OTC via Amazon: Generalanwalt sieht keinen Datenverstoß

Szpunar räumt ein, dass aus Bestelldaten ganz allgemein schnell sensible Informationen über die jeweilige Person gewonnen werden können. Das betrifft nicht nur Arzneimittel; selbst aus der Bestellung eines Buchs oder eines Kleidungsstücks könnten Rückschlüsse etwa auf religiöse Überzeugungen oder sexuelle Orientierung gezogen werden.

Um tatsächlich als Gesundheitsdaten eingestuft zu werden, die laut Datenschutz-Grundverordnung (DSGVO) besonders schützenswert sind, müssten Informationen ganz konkret sein – als nicht nur „bloße Vermutungen“ erlauben, sondern ein „Mindestmaß an Gewissheit“ bieten.

Darüber hinaus könnten auch weitere Daten in diese Kategorie eingestuft werden, wenn man aus ihnen hinreichend konkrete Schlussfolgerungen ziehen kann. Dies hängt laut Szpunar vom Kontext, in dem sie gesammelt werden, und von der Art und Weise, wie sie verarbeitet werden, ab. So könnten auch Daten, die auf den ersten Blick nicht zum medizinischen Bereich gehören, als Gesundheitsdaten anzusehen sein, „wenn sie in einem medizinischen Kontext analysiert und mit anderen Informationen verknüpft werden“. Als Beispiel nennt der Generalanwalt Informationen zu Reisen, aus denen sich eine potenzielle Ansteckung mit einem Bakterium oder Virus feststellen lässt, das in einer bestimmten Region verbreitet ist.

Wer versteht die Daten?

Vor allem aber die Identität des für die Datenverarbeitung Verantwortlichen sei in diesem Zusammenhang relevant. So könnten „ein und dieselben Daten mehr Informationen über den Gesundheitszustand einer Person offenbaren, wenn sie von einer Einrichtung des Gesundheitswesens verarbeitet werden, die kompetent ist, sie zu interpretieren, oder die über weitere diese Person betreffende Daten verfügt, als wenn sie von einer Stelle außerhalb des Gesundheitswesens verarbeitet werden“.

Laut Szpunar ist es also Aufgabe des vorlegenden Gerichts, „sowohl den Inhalt der in Rede stehenden Daten als auch sämtliche Umstände ihrer Verarbeitung zu prüfen, um festzustellen, ob aus ihnen mit einem gewissen Grad an Sicherheit Informationen über den Gesundheitszustand der betroffenen Person abgeleitet werden können“.

OTC-Bestellung verrät nichts

Allerdings hält er es für angebracht, im konkreten Fall „zweckdienliche Hinweise“ zu geben:

• Aus Daren zu nicht verschreibungspflichtigen Arzneimitteln könne man nicht ohne Weiteres auf die Behandlung eines bestimmten Krankheitszustands schließen, da sie „allgemeiner zur Behandlung von Alltagsbeschwerden verwendet werden, die bei jedem auftreten können und nicht für eine bestimmte Krankheit oder einen bestimmten Gesundheitszustand symptomatisch sind“. Außerdem würden diese Arzneimittel auch häufig vorsorglich gekauft. „Beispielsweise lässt eine Bestellung von Paracetamol keine Rückschlüsse auf den genauen Zustand einer Person zu, weil dieser Wirkstoff zur Behandlung einer Vielzahl von Schmerzen und Fieberzuständen indiziert ist und häufig zu den Medikamenten gehört, die Menschen auch ohne besonderen Bedarf zu Hause haben.“
• Die Bestellung eines nicht verschreibungspflichtigen Arzneimittels bedeute nicht zwangsläufig, dass die Person, deren Daten verarbeitet würden, das Medikament tatsächlich selbst anwenden werde. „Es kommt nämlich häufig vor, dass eine Bestellung auf einer Online-Verkaufsseite von einer Person, die ein Konto auf dieser Seite hat, im Namen und auf Rechnung einer Person getätigt wird, die kein Konto hat.“ Daher lassen sich laut Szpunar „vernünftigerweise keine Schlussfolgerungen aus diesen Daten mit der Folge ziehen“, sodass sie nicht als Gesundheitsdaten eingestuft werden könnten.
• Noch dazu könne man im Internet eine Bestellung aufgeben, ohne genaue Angaben zur Identität machen zu müssen.

Allenfalls ungenaue Rückschlüsse

„Ich bin daher der Auffassung, dass [...] die Daten der Kunden eines Apothekers, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, keine ‚Gesundheitsdaten‘ im Sinne von Art. 4 Nr. 15 und Art. 9 DSGVO darstellen, weil aus ihnen nur hypothetische oder ungenaue Rückschlüsse auf den Gesundheitszustand der Person, die die Online-Bestellung vornimmt, gezogen werden können, was zu überprüfen Sache des vorlegenden Gerichts ist.“

Eine andere Auslegung könnte „paradoxerweise“ sogar dazu führen, dass bei einer Bestellung „mehr sensible Informationen“ offengelegt werden müssten: „Das Erfordernis einer ausdrücklichen Einwilligung in die Verarbeitung von Daten, die bereits als sensibel identifiziert wurden, könnte den Käufer nämlich letztlich dazu veranlassen, die Identität des Endnutzers des Produkts preiszugeben. In diesem Fall könnten sicherere Schlussfolgerungen über den Gesundheitszustand dieser Person gezogen werden.“

Sollte der EuGH in seinem Urteil zu derselben Einschätzung kommen, müsste der Bundesgerichtshof (BGH) im konkreten Fall entscheiden; die Richter in Karlsruhe hatten bereits in der Vorlage ähnliche Überlegungen angestellt.

Wettbewerber können klagen

Neben diesen inhaltlichen Fragen hat Szpunar sich auch geklärt, ob sich Wettbewerber wegen vermeintlicher Datenschutzverstöße überhaupt abmahnen dürfen. Seiner Ansicht hat die DSGVO nicht das Ziel, einen freien und unverfälschten Wettbewerb innerhalb des Binnenmarkts zu gewährleisten. Vielmehr gehe es ausschließlich darum, den für die Datenverarbeitung verantwortlichen Unternehmen bestimmte Pflichten aufzuerlegen. Damit könnte alleine die Personen, deren Daten von ihnen verarbeitet würden, Ansprüche geltend machen.

Allerdings hält er es für zulässig, dass nationale Vorschriften den Unternehmen das Recht einräumen, sich auf der Grundlage des Verbots von Handlungen unlauteren Wettbewerbs darauf zu berufen, dass ihre Mitbewerber gegen die materiellen Bestimmungen der DSGVO verstoßen hätten.

Der Münchener Apotheker Dr. Hermann Vogel Jr. hatte seinen Kollegen Michael Spiegel aus Gräfenhainichen verklagt. Der Inhaber der Linden-Apotheke bietet apothekenpflichtige Arzneimittel über Amazon an. Vogel hatte Verstöße gegen das Apothekenrecht sowie die Datenschutzgrundverordnung (DSGVO) geltend gemacht, da Rückschlüsse auf den Gesundheitszustand der Kund:innen möglich seien, ohne dass deren Einverständnis eingeholt worden sei.

Das Landgericht Dessau-Roßlau (LG) hatte der Klage stattgegeben, auch die Berufung vor dem Oberlandesgericht Naumburg (OLG) blieb ohne Erfolg. Zwar konnte Vogel mit seinen apothekenrechtlichen Bedenken nicht durchdringen, da das OLG den Verkauf über Amazon als eine zulässige Spielart des Versandhandels bewertete.