Gesundheitsdaten

 

Die Verarbeitung von personenbezogenen Daten ist seit einiger Zeit in aller Munde. Stichwort: DSGVO. Wie aber sieht es mit den „besonderen Datenkategorien“ des Art 9 DSGVO aus. Darunter fallen insbes. auch Gesundheitsdaten, und die Verarbeitung dieser Daten ist untersagt.

 

 

Artikel 9 Abs 1 DSGVO:
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

 

 

 

Was sind „Gesundheitsdaten“?

 

Der Begriff der Gesundheitsdaten ist sehr weit. ErwG 35 beschreibt diese wie folgt:

 

Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates für die natürliche Person erhoben werden, Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen.

 

 

Wann dürfen diese Daten verarbeitet werden?

 

Die Verarbeitung dieser Daten kann nur unter sehr einschränkenden Voraussetzungen erfolgen, die in Artikel 9 Abs 2 DSGVO definiert sind:

 

(a) ausdrückliche Einwilligung (außer dies ist nach dem Unionsrecht oder dem Recht des Mitgliedstaates nicht zulässig)

 

(b) arbeitsrechtliche oder sozialversicherungsrechtliche oder sozialschutzrechtliche Notwendigkeit

 

(e) offensichtlich von der betroffenen Person öffentlich gemachte personenbezogene Daten

 

(f) Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit

 

(h) Gesundheitsvorsorge, Arbeitsmedizin, Beurteilung der Arbeitsfähigkeit medizinische Diagnostik, Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich

 

 

 

Besonders bedeutsam ist, dass die Verarbeitung im Gesundheitsbereich nur durch Fachpersonal oder unter dessen Verantwortung erfolgen darf und ein Berufsgeheimnis oder eine in nationalen Vorschriften geregelte Geheimhaltungspflicht bestehen muss; besteht kein Berufsgeheimnis oder keine generelle Regelung zu einer Geheimhaltungspflicht, dann ist die Verarbeitung der Gesundheitsdaten nur zulässig, sofern eine ausdrückliche Einwilligung iSd Art 9 (2) lit a DSGVO vorliegt.

 

In einem wettbewerbsrechtlichen Verfahren in D unterlag nun eine Online-Apotheke, da diese für die Abwicklung der Bestellungen keine ausdrückliche Einwilligung der Kunden einholte:

 

„Die Veräußerung apothekenpflichtiger Produkte durch den Beklagten über die Internethandelsplattform Amazon verletzt datenschutzrechtliche Vorschriften des BDSG und damit zugleich berufsrechtliche Vorschriften. Der Kunde gibt bei einer Bestellung von apothekenpflichtigen Medikamenten über die Internetplattform xxxxxxxxx personenbezogene Daten an. Gemäß § 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse. Gemäß § 3 Abs. 9 BDSG sind besondere Arten personenbezogener Daten (sog. sensitive Daten) Angaben, u. a. über die Gesundheit. Als besondere Arten personenbezogener Daten über die Gesundheit werden Angaben über einzelne Krankheiten, Abläufe und Inhalte der medizinischen Behandlung und eingenommene Medikamente erfasst. Direkte oder aber auch indirekte Angaben zu diesen Kategorien genügen. Alle Angaben, die direkt oder indirekt Informationen zu den in § 3 Abs. 9 BDSG angesprochenen Datenkategorien vermitteln gehören zu den sensitiven Daten. Auf die Korrektheit der Schlüsse, die sie nahelegen, kommt es nicht an (Simitis, BDSG, 8. Auflage, § 3 Rn. 263 m. w. N.).

Denn wenn es sich um besondere Arten personenbezogener Daten handelt, bedarf es zur Verarbeitung und Erhebung gemäß § 4 Abs. 1 BDSG der vorherigen Einwilligung durch den Betroffenen. Eine solche Einwilligung muss sich gemäß § 4 a Abs. b 3 BDSG neben der allgemeinen Einwilligung zur Datenverarbeitung ausdrücklich auf diese Daten beziehen. D. h. der Einwilligung muss zu entnehmen sein, um welche der in § 3 Abs. 9 BDSG aufgezählten Kategorien es sich im Einzelnen handelt und in welchem Kontext sie unter welchen Bedingungen für welche Zwecke verwendet werden sollen. Daran fehlt es hier. Der Beklagte selbst verlangt eine solche konkrete Einwilligung von den Kunden nicht. Er trägt auch nicht vor, dass er sie über die Handelsplattform xxxxxx bekommt. Die Einwilligung der Kunden in die Datenverarbeitung über die AGB von xxxxxxx sieht eine solche, auf besondere Arten personenbezogener Daten konkretisierte Einwilligung über die Datenverarbeitung ebenfalls nicht vor.

 

Der weitere Ausnahmetatbestand des § 28 Abs. 7 BDSG bedeutet, dass ohne ausdrückliche Einwilligung sensitive Daten u. a. zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik und der Gesundheitsvorsorge erhoben werden dürfen. Sie können sowohl für die Behandlung als auch für die Abrechnung erhoben, verarbeitet und genutzt werden. Apotheken sind als Teil der medizinischen Versorgung anzusehen sind und deshalb in dem für ihre Aufgaben erforderlichen Umfang legitimiert, sensitive Daten zu verwenden.

 

§ 28 Abs. 7 BDSG macht aber den Zugang zu den Daten noch von einer  zweiten Bedingung abhängig. Sie müssen durch Personen verarbeitet werden, die der ärztlichen oder einen entsprechenden Geheimhaltung unterliegen. § 28 Abs. 7 BDSG sieht in der Geheimhaltungspflicht den Maßstab, der an jede Verwendungsabsicht anzulegen ist, sie bestimmt und begrenzt den Verarbeitungs- und Übermittlungsspielraum. Sie legt damit zugleich den potenziellen Empfänger fest (Simitis, § 28 Rn. 315 ff.). Daraus aber ergibt sich auch, dass der beanstandete Vertriebsweg diesem Erfordernis nicht gerecht wird.

Der Beklagte persönlich gehört zu dem der Geheimhaltungspflicht unterliegenden Personenkreis. Er ist berechtigt, bei einer fehlenden Einwilligung des Kunden die sensitiven Daten zu erheben und zu verarbeiten, denn für ihn als Apotheker und damit der Geheimhaltung unterliegenden Person greift der Ausnahmetatbestand des § 28 Abs. 7 BDSG ein. Das gilt aber nicht, soweit der Kunde – wie auch vom Beklagten beschrieben – seine Daten, auch die sensitiven Daten beim Bestell- und Auswahlvorgang bei xxxxxx angeben muss. Der Kunde gibt seine Daten zunächst an xxxxxxxx. Von dort werden sie – so trägt es der Beklagte vor – dann an den ausgewählten Verkäufer, wie z. B. den Beklagten, weitergeleitet. xxxxxxx aber unterliegt nicht den Geheimhaltungsregelungen, die den Ausnahmetatbestand des § 28 Abs. 7 BDSG eröffnen und ist auf dieser Grundlage nicht berechtigt, die Daten zu erheben. Dort ist der Ausnahmetatbestand für die Erhebung der Daten nicht eröffnet. Durch diesen Vertriebsweg, über den der Beklagte unter Einschaltung der Handelsplattform xxxxxx seine apothekenpflichtigen Medikamente vertreibt, kommen Personen mit gesundheitsbezogenen Daten in Kontakt, die nicht der besonderen Verschwiegenheits- und Geheimhaltungspflicht eines Apothekers unterliegen und die in den Organisationsablauf seiner Apotheke nicht eingebunden sind. Dadurch werden sowohl die datenschutzrechtlichen Vorschriften aber auch die Vorschriften des Apothekengesetzes und der Apothekenbetriebsordnung verletzt.“

 

               

 

Wenn daher Daten im Rahmen der Gesundheitsvorsorge nicht durch Fachpersonal mit Berufsgeheimnis/gesetzlicher Verschwiegenheitspflicht verarbeitet werden, dann bedarf es der ausdrücklichen Einwilligung. Dies ist zB bei Optikern der Fall, denn diese können sich nicht auf eine Regelung zum Berufsgeheimnis / zur Verschwiegenheit berufen, oder auch bei Versicherungsvermittlern, -agenten oder –maklern, insbes. wenn diese außerhalb der Kranken- oder Unfallversicherung (Art 9 (2) h) oder bei der Durchsetzung von schadenersatzrechtlichen Ansprüchen (Art 9 (2) f) erfolgt.