Am 4. Oktober 2024 fällte der Europäische Gerichtshof (EuGH) eine bedeutende Entscheidung in Bezug auf den Begriff der „Gesundheitsdaten“ im Kontext der Verarbeitung von Kundendaten durch Online-Plattformen. In der Rechtssache C-21/23 bekräftigte der EuGH, dass der Begriff „Gesundheitsdaten“ weit auszulegen sei, insbesondere in Fällen, in denen apothekenpflichtige Arzneimittel über Online-Plattformen wie Amazon bestellt werden. Diese Entscheidung hat weitreichende Auswirkungen auf den Datenschutz und die Verpflichtungen von Unternehmen, die mit sensiblen Informationen umgehen.
Der Fall im Überblick
Im Ausgangsfall wurde eine Apotheke verklagt, die seit 2017 Medikamente über den Express-Lieferdienst Amazon Prime vertrieb. Ein Wettbewerber beantragte die Untersagung dieser Praxis aufgrund eines möglichen Verstoßes gegen das Gesetz gegen den unlauteren Wettbewerb (UWG). Der Kläger argumentierte, dass die Praxis der Apotheke, Medikamente über eine Online-Plattform zu vertreiben, gegen das UWG und die Vorgaben der Datenschutz-Grundverordnung (DSGVO) verstoße.
Die zentrale Frage in diesem Fall war, ob bei der Bestellung von Arzneimitteln über Online-Plattformen Informationen wie Name, Lieferadresse und Medikationsangaben als „Gesundheitsdaten“ im Sinne der DSGVO eingestuft werden können.
Weite Auslegung des Begriffs „Gesundheitsdaten“
Der EuGH entschied, dass solche Daten tatsächlich als Gesundheitsdaten zu qualifizieren sind. Nach Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über den Gesundheitszustand dieser Person hervorgehen“. In seinem Urteil betonte der EuGH, dass die Verarbeitung von Daten im Zusammenhang mit der Bestellung von Arzneimitteln Rückschlüsse auf den Gesundheitszustand einer Person zulassen kann.
Diese Rückschlüsse sind nicht auf den Besteller selbst beschränkt. Sie können auch Informationen über eine andere Person offenlegen, etwa wenn jemand Medikamente für eine dritte Person bestellt. Es spielt keine Rolle, ob aus den Daten explizit eine Erkrankung hervorgeht. Allein der Bezug zu apothekenpflichtigen Arzneimitteln reicht aus, um die Daten als Gesundheitsdaten im Sinne der DSGVO einzuordnen.
Die weite Auslegung des Begriffs Gesundheitsdaten ist hier nicht überraschend. Sowohl die Rechtsprechung als auch die Literatur sind schon immer davon ausgegangen, dass vor dem Hintergrund der besonderen Sensibilität dieser Daten der Begriff sehr weit verstanden werden muss. Teilweise wird vertreten, dass schon ein Passbild, auf dem eine Person eine Brille trägt, ein Gesundheitsdatum ist. Dem ist auch nach der Lektüre des aktuellen Urteils zuzustimmen.
Besondere Schutzanforderungen bei der Verarbeitung von Gesundheitsdaten
Gesundheitsdaten gehören zu den besonders schützenswerten Kategorien personenbezogener Daten (Art. 9 DSGVO). Die Verarbeitung solcher Daten ist grundsätzlich verboten, es sei denn, es greift eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen, wie z. B. eine ausdrückliche Einwilligung der betroffenen Person. Diese Ausnahme muss dann zusätzlich zu einer regulären Rechtsgrundlage vorliegen.
Der EuGH stellte klar, dass bei der Bestellung von Arzneimitteln über eine Online-Plattform eine besondere Einwilligung der Nutzer erforderlich ist, da es sich um sensible Daten handelt. Diese Einwilligung muss spezifisch und klar erteilt werden und kann nicht implizit aus allgemeinen Geschäftsbedingungen oder standardisierten Einverständniserklärungen abgeleitet werden.
Verhältnis zwischen DSGVO und nationalem Wettbewerbsrecht
Ein weiteres wichtiges Element des Urteils betrifft die Vereinbarkeit der DSGVO mit nationalen Wettbewerbsregelungen. Der EuGH stellte erneut fest, dass die DSGVO einer Anwendung des UWG nicht entgegensteht. Dies bedeutet, dass die Möglichkeit, Verstöße gegen Datenschutzvorgaben über Klagen nach dem UWG geltend zu machen, bestehen bleibt.
Für betroffene Unternehmen bedeutet dies, dass sie nicht nur die Anforderungen der DSGVO im Blick haben müssen. Sie müssen auch potenzielle wettbewerbsrechtliche Risiken beachten. Mitbewerber könnten Verstöße gegen den Datenschutz als unlauteren Wettbewerb qualifizieren und vor Gericht anfechten.
Fazit
Die Entscheidung des EuGH verdeutlicht erneut die strengen Anforderungen, die bei der Verarbeitung von Gesundheitsdaten zu beachten sind. Unternehmen, die mit sensiblen personenbezogenen Daten umgehen, insbesondere im Online-Handel mit apothekenpflichtigen Medikamenten, müssen ihre Prozesse überprüfen und sicherstellen, dass sie den Anforderungen der DSGVO gerecht werden. Die weite Auslegung des Begriffs „Gesundheitsdaten“ führt dazu, dass viele Kundendaten, die bei Bestellungen verarbeitet werden, als besonders schützenswert gelten und dementsprechend behandelt werden müssen.
Bildnachweis: KI generiert
AUTOR
Moritz Kolb ist als externer Datenschutzbeauftragter und Datenschutzberater bei der RMPrivacy GmbH für Unternehmen und öffentliche Stellen tätig. Darüber hinaus hat er als Rechtsanwalt und Rettungssanitäter besonderes Interesse für Rechtsfragen an den Schnittstellen zwischen Datenschutzrecht und Medizinrecht sowie Datenschutzrecht und Vereinsrecht.