Laut EuGH verdienen sensible personenbezogene Daten einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten könnten. Gesundheitsdaten nach Datenschutz-Grundverordnung (DSGVO) umfassten dabei alle Informationen, aus denen Details zum „früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand einer natürlichen Person hervorgehen, einschließlich Daten betreffend die Erbringung von Gesundheitsdienstleistungen an diese Person“.

„Wenn also aus den Daten zum Erwerb von Arzneimitteln Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können, sind sie als Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO anzusehen.“

Bei der Bestellung von apothekenpflichtigen Arzneimitteln angegebene Daten wie Name, Lieferadresse und Arzneimittel sind laut EuGH zweifellos „personenbezogene Daten“. Denn: „Aus den Daten, die ein Kunde bei der Bestellung von apothekenpflichtigen Arzneimitteln über eine Onlineplattform eingibt, kann mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person [...] geschlossen werden, da die Bestellung eine Verbindung zwischen einem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen und einer identifizierten oder durch Angaben wie den Namen oder die Lieferadresse identifizierbaren natürlichen Person herstellt.“

Auch Daten Dritter sind geschützt

Der Bundesgerichtshof (BGH) hatte im konkreten Fall argumentiert, dass bei OTC-Bestellungen der Käufer nicht immer auch der Anwender sei. Laut EuGH wäre eine Verarbeitung personenbezogener Daten auch in diesem Fall untersagt: „Dieses grundsätzliche Verbot gilt unabhängig davon, ob die durch die fragliche Verarbeitung offengelegte Information richtig ist oder nicht und ob der Betreiber mit dem Ziel handelt, Informationen zu erhalten, die unter eine der [...] besonderen Kategorien fallen.“ In Anbetracht der erheblichen Risiken für die Grundfreiheiten und Grundrechte der betroffenen Personen spiele beides nämlich keine Rolle.

Eine Abgrenzung zur Bestellung verschreibungspflichtiger Arzneimittel stünde laut EuGH nicht im Einklang mit dem Ziel eines hohen Schutzniveaus. „Folglich stellen die Angaben, die die Kunden eines Apothekenbetreibers bei der Onlinebestellung apothekenpflichtiger, aber nicht verschreibungspflichtiger Arzneimittel eingeben, Gesundheitsdaten [...] dar, auch wenn diese Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für diese Kunden bestimmt sind.“

Ohnehin ließen sich bei Bestellungen für Dritte eine Identifizierbarkeit und Rückschlüsse auf den Gesundheitszustand nicht ausschließen, beispielsweise weil die Arzneimittel von einem Familienmitglied eingenommen würden oder an die Adresse des Anwenders geliefert würden. „Ist für die Bestellung eine Identifizierung und/oder eine Registrierung des Kunden erforderlich, beispielsweise durch das Anlegen eines Kundenkontos oder die Aufnahme des Kunden in ein Treueprogramm, ist ebenfalls nicht ausgeschlossen, dass die vom Kunden in diesem Zusammenhang gemachten Angaben – insbesondere in Kombination mit Informationen über die bestellten Arzneimittel – verwendet werden können, um Rückschlüsse nicht nur auf seinen Gesundheitszustand, sondern auch auf den eines Dritten zu ziehen.“

Zustimmung ist möglich

Allerdinds dürften Gesundheitsdaten in Ausnahmefällen verarbeitet werden: „Dies kann vor allem dann der Fall sein, wenn zum einen [...] die betroffene Person ausdrücklich in die ein- oder mehrmalige Verarbeitung dieser personenbezogenen Daten einwilligt, nachdem ihr die spezifischen Umstände und Zwecke klar, vollständig und in leicht verständlicher Weise dargelegt wurden.“

Und dies gilt andererseits, wenn es „für Zwecke der Versorgung im Gesundheitsbereich auf der Grundlage des Unionsrechts, des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist“.