Online Apotheke eugh gesundheitsdaten

Was Online-Shops wissen müssen: EuGH-Urteil zu Gesundheitsdaten

/von

Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO ist nur unter besonderen Umständen erlaubt. Da es hierzu immer wieder interessante Neuigkeiten und Gerichtsurteile gibt, hatten wir dieses Thema schon häufiger in unseren Beiträgen. So beispielsweise hier, hier, hier oder hier.

Nun gibt es mal wieder was Neues zu diesem Thema. Kein geringerer als der Europäische Gerichtshof (EuGH) hat sich zum Online-Handel mit Medikamenten geäußert. Konkret hat der EuGH entschieden, dass Bestelldaten rezeptfreier Medikamente von Online-Apotheken als besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO zu behandeln sind. Also, ja, auch wenn wir bloß ein rezeptfreies Paracetamol bestellen, könnten unsere Bestelldaten einschließlich der Versandanschrift durch diesen Kauf laut EuGH als Gesundheitsdaten gelten.

Was steckt dahinter?

Im zugrunde liegenden Fall (EuGH, C-21/23) hatte ein Apotheker gegen einen Konkurrenten geklagt, weil dieser apothekenpflichte Produkte über Amazon Marketplace verkauft hatte – und das ohne Einwilligung der Käufer zur Verarbeitung ihrer (Gesundheits-)Daten. Die Frage war: Sind Bestelldaten von rezeptfreien Medikamenten wirklich schon Gesundheitsdaten?

Der EuGH sagt nun „Ja“.

Und hier wird es spannend: Der EuGH argumentiert, dass sich durch die bloße Bestellung eines Medikaments möglicherweise Rückschlüsse auf den Gesundheitszustand der Kund*innen ziehen lassen könnten – wenn auch nur theoretisch. Damit weicht das Gericht von der Meinung des Generalanwalts ab, der es noch als „übertrieben“ ansah, solche rein hypothetischen Rückschlüsse als Gesundheitsdaten einzustufen.

Gesetzliche Grundlage

Schauen wir uns Art. 9 DSGVO mal genauer an: Dieser regelt den Umgang mit besonders sensiblen Daten, darunter auch Gesundheitsdaten. Grundsätzlich ist die Verarbeitung solcher Daten verboten, außer es greift eine der Ausnahmeregelungen des Art. 9 Abs. 2 DSGVO. Eine der möglichen Ausnahmen zur Verarbeitung dieser besonders sensiblen Daten liegt vor, wenn die betroffene Person gemäß Art. 9 Abs. 2 lit. a DSGVO ihre ausdrückliche Einwilligung erteilt hat. Andere Ausnahmeregelungen des Art. 9 Abs. 2 DSGVO sind für den Verkauf von Medikamenten über eine durch einen Dritten betriebene Online-Plattform, wie beispielsweise den Amazon Marketplace, nicht anwendbar. Grundsätzlich könnte sich eine Apotheke (online oder als Ladengeschäft vor Ort) auf die Ausnahme des Art. 9 Abs. 2 lit. h DSGVO stützen, da die Verarbeitung der Daten dort von Fachpersonal unter der Aufsicht eines Angehörigen eines Gesundheitsberufs erfolgt. Dies ist bei einem Verkauf über eine Online-Plattform nicht der Fall, sodass die Einwilligung beim Verkauf von beispielsweise Kopfschmerztabletten über Amazon zwingend erforderlich wäre, sollte es sich bei den Bestelldaten tatsächlich um Gesundheitsdaten handeln. Der EuGH hat nun in seinem Urteil festgehalten, dass schon eine gedanklich mögliche Verknüpfung ausreicht, um den Gesundheitsbezug herzustellen, was eine sehr weite Auslegung des Begriffs „Gesundheitsdaten“ bedeutet.

Die Sicht des Generalanwalts und die überraschende Abweichung des EuGH

Wie bereits erwähnt, sah der Generalanwalt, dessen Schlussanträge im April 2024 veröffentlicht wurden, die Sache anders: Er betonte, dass nicht jede Bestellung rezeptfreier Medikamente ausreicht, um als Gesundheitsdaten gewertet zu werden. Dabei verwies er auf Art. 4 Abs. 15 DSGVO, wonach Gesundheitsdaten solche Daten sind,

„[…] die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen; […]“.

Da rezeptfreie Medikamente auch für allgemeine Zwecke oder als Vorrat gekauft werden könnten, sah der Generalanwalt keinen ausreichenden Gesundheitsbezug in diesen Fällen. Der EuGH stellte sich jedoch gegen diese Interpretation. Das Gericht entschied, dass schon die Möglichkeit eines Rückschlusses auf den Gesundheitszustand genügt, um den sensiblen Stauts der Daten anzunehmen. Bestellt eine Person ein apothekenpflichtiges Medikament, lässt sich – so die Argumentation des EuGH – der Schluss ziehen, dass möglicherweise ein medizinischer Bedarf an genau diesem Produkt besteht. Auch der hypothetische Charakter solcher Rückschlüsse sei von der Definition der Gesundheitsdaten erfasst, da die DSGVO den Schutz von Informationen bezwecke, die potenziell Rückschlüsse auf den Gesundheitszustand zulassen.

Folgen und Herausforderungen für Online-Händler und Kunden

Dieses Urteil stellt Online-Apotheken, die über andere Plattformen verkaufen möchten oder auch andere Online-Händler, die Gesundheitsprodukte (beispielsweise Sanitätshäuser) verkaufen möchten vor erhebliche Herausforderungen, denn sie sind nun gezwungen, die Einwilligung der Kunden zur Datenverarbeitung einzuholen. Dies gilt selbst bei rezeptfreien Medikamenten, die nicht zwingend auf spezifische Erkrankungen hindeuten. Die Kunden müssen in diesen Fällen aufgeklärt und ihre Einwilligung dokumentiert werden – ein zusätzlicher Aufwand, der sowohl für die Anbieter als auch für Kunden zu spürbaren Konsequenzen führt.

Widersprüchliche Interpretationen und praktische Herausforderungen

Das Urteil wird durchaus kontrovers diskutiert. In der Praxis wird der Bezug zur Gesundheit in vielen Fällen rein hypothetisch sein. Rezeptfreie Medikamente können vielseitig eingesetzt oder einfach auf Vorrat gekauft werden. Die Bestellung eines Grippemittels bedeutet wohl nicht zwingend, dass die bestellende Person akut an der Grippe leidet. Vielleicht will sie auch einfach nur vorbereitet sein. Vieles was in der Hausapotheke lagert, wurde womöglich nur vorsorglich gekauft. Damit stellt sich die Frage, ob wirklich jede Bestellung einen Gesundheitsbezug darstellt oder ob hier eine stärkere Abgrenzung nötig wäre. Kritiker bemängeln, dass der Datenschutz durch diese weitreichende Auslegung auf einen wenig greifbaren Bereich ausgeweitet wird und damit „uferlos“ werde.

Andererseits, nur weil in vielen Fällen der konkrete Gesundheitsbezug nicht gegeben sein wird, können die anderen Fälle eben nicht vernachlässigt werden. Was ist, wenn jemand Reinigungsflüssigkeit für Kontaktlinsen bestellt? Dies wird wohl kaum vorsorglich erfolgen. Oder was ist mit der Bestellung von Kontaktlinsen bei einem entsprechenden Online-Händler? Dieser hat nicht nur Kenntnis darüber, dass die bestellende Person „irgendwas an den Augen hat“, sondern kennt exakt die jeweils notwendige Stärke. Das Problem der Gesundheitsdaten betrifft also eine Vielzahl von Online-Angeboten. Online-Apotheken sind immer dann betroffen, wenn sie über eine Drittanbieter-Plattform verkaufen möchten.

Was bedeutet das Urteil für die Zukunft des Datenschutzes?

Das Urteil drängt die grundsätzliche Frage auf, wie eng oder weit der Anwendungsbereich von Art. 9 DSGVO zu fassen ist. Kritiker*innen warnen, dass durch eine solche Auslegung künftig jede Art von Daten hypothetisch als sensibel gelten könnte.

Auch die Frage, ob der Datenschutz durch diese Auslegung wirklich gestärkt wird, bleibt offen. Statt eine klare Abgrenzung vorzunehmen, könnten Online-Händler gezwungen sein, über das eigentliche Bedürfnis hinaus, Einwilligungen für eine Vielzahl von hypothetischen Rückschlüssen einzuholen. Damit steigt die Gefahr, dass Online-Kunden im E-Commerce von allzu vielen Einwilligungserklärungen überwältigt werden.

Ein weiteres Problem wird durch die Ausweitung des Begriffs Gesundheitsdaten im Urteil des EuGH ebenfalls deutlich. Mit der Argumentation des Gerichts könnte auch die Bestellung von gluten- oder laktosefreien Lebensmitteln in einem Online-Supermarkt als Verarbeitung von Gesundheitsdaten gelten, da hier ebenfalls durch eine gedankliche Verknüpfung auf eine mögliche Lebensmittelunverträglichkeit der Käufer*innen geschlossen werden könnte. Die Frage, ob die Entscheidung aus gesundheitlichen Gründen erfolgt oder beispielsweise aus persönlicher Präferenz, ist ebenso hypothetisch wie die Frage, warum rezeptfreie Medikamente bestellt werden.

Diese Ausweitung des Begriffs Gesundheitsdaten führt zu einem nahezu unüberschaubaren Anwendungsbereich, der schwer zu handhaben und zu kontrollieren ist. Auch der Kauf von Produkten, die hypothetische Rückschlüsse auf den Gesundheitszustand zulassen – etwa bei der Bestellung von Artikeln wie Brillen oder Krücken – könnte nun unter die strengen Vorgaben von Art. 9 DSGVO fallen. Hierbei stellt sich die Frage, wie realistisch und praktikabel eine solche Klassifizierung ist.

Fazit

Das EuGH-Urteil zur Einstufung von Bestelldaten rezeptfreier Medikamente als Gesundheitsdaten wirft Fragen zur praktischen Umsetzung und zum Nutzen dieser Entscheidung auf. Die Einwilligungspflicht und die Ausweitung der Definition von Gesundheitsdaten könnten Online-Händler stark belasten, ohne für Kund*innen einen tatsächlichen Mehrwert zu schaffen.

Es bleibt abzuwarten, ob der EuGH künftig den Gesundheitsbegriff wieder einschränken wird, um eine Überlastung der Datenschutzpflichten zu verhindern. Das Ziel, einen angemessenen Schutz sensibler Informationen zu gewährleisten, ist grundsätzlich zu begrüßen. Doch es muss eine Balance gefunden werden, die den hohen Schutzansprüchen der DSGVO Rechnung trägt, ohne den Online-Handel unnötig zu verkomplizieren.

Dieses Urteil zeigt: Der Datenschutz entwickelt sich weiter, und seine Herausforderungen werden komplexer. Für Online-Händler wie auch für Kunden bedeutet das EuGH-Urteil mehr Achtsamkeit – eine Entwicklung, die sicherlich noch Diskussionsstoff bietet.