SBS Firmengruppe Logos

| Datenschutzrecht, Internetrecht, Wettbewerbsrecht

Online-Verkauf von Medikamenten & Einwilligung Datenschutz


Beim Verkauf von Medikamenten in Online-Shops werden Daten ermittelt, die rechtlich als Gesundheitsdaten zu qualifizieren sind. Denn hier lassen sich Rückschlüsse auf den Gesundheitszustand der Kunden ziehen. Darum ist beim Verkauf unbedingt eine ausdrückliche Einwilligung des Kunden in diesen Prozess erforderlich, um die Datenschutz-Grundverordnung (DSGVO) nicht zu verletzen. Wegen eines Verstoßes hiergegen wurde auch schon Amazon verurteilt.

Wann ist eine Einwilligung erforderlich?

Zunächst ist wichtig, in welchen Fällen die ausdrückliche Einwilligung eingeholt werden soll. Dies ist dann der Fall, wenn sog. Gesundheitsdaten nach der DSGVO betroffen sind.  Gesundheitsdaten sind ein Unterfall der personenbezogenen Daten. Gemäß Art. 3 Nr. 15 DSGVO fallen darunter nicht nur Daten, welche sich auf die körperliche oder geistige Gesundheit einer Person beziehen. Sondern müssen aus diesen Daten auch „Informationen über deren Gesundheitszustand“ hervorgehen.

Im Falle des Online-Verkaufes von Medikamenten können sich diese auf bestimmte Krankheitsbilder zurückführen lassen. Solche Gesundheitsdaten dürfen gemäß Art. 9 Abs. 2 lit. a DSGVO nicht ohne die ausdrückliche Einwilligung des Käufers verarbeitet werden.

Wie man die Einwilligung korrekt einholt

Bei der Einholung der Einwilligung muss beachtet werden, dass sie bei Gesundheitsdaten ausdrücklich erfolgen muss. Ansonsten droht eine Verletzung der DSGVO. Gemäß Art. 7 DSGVO muss eine eindeutige, unmissverständliche und freiwillig abgegebene Willenserklärung des informierten Einwilligenden erfolgen. Der Käufer muss also klar informiert werden, worin genau er einwilligt. In der Datenschutzerklärung des Online-Shops sollte genau beschrieben sein, welche Gesundheitsdaten erhoben werden und wie diese verarbeitet werden sollen.

Außerdem ist wichtig, dass der Bestellprozess ohne die Einwilligung nicht erfolgen darf. Es sollte dem Kunden also nicht möglich sein, die Medikamente zu bestellen, ohne in die Verarbeitung seiner Gesundheitsdaten i.S.d. DSGVO eingewilligt zu haben.

Opt-In oder Opt-Out

Bei Datenschutzerklärungen hat der Anbieter technisch immer die Möglichkeit, bestimmte Kästchen von Anfang an mit einem Haken zu versehen. Der Kunde muss den Haken dann aktiv entfernen, um die Zustimmung nicht zu erteilen (Opt-Out).

Bei Gesundheitsdaten muss die Einwilligung jedoch nach Art. 9 Abs. 2 lit. a DSGVO ausdrücklich erfolgen. Ein Opt-Out-Prozess würde hier bedeuten, dass der Käufer sich durch den Bestellprozess klickt, ohne aktiv zuzustimmen. Deshalb muss der Haken aktiv gesetzt werden, um die DSGVO nicht zu verletzen (Opt-In). Der Abschnitt in der Datenschutzerklärung über Gesundheitsdaten darf also keinen Haken enthalten, der nicht selbst vom Kunden gesetzt wurde.

Ein wichtiger letzter Schritt

Ist die Datenschutzerklärung angepasst, fehlt noch ein letzter Schritt. Gemäß Art. 7 Abs. 1 DSGVO ist hier nämlich ein wichtiger Grundsatz zu beachten: Der Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Daraus folgt als Konsequenz, dass jegliche Einwilligungen der Käufer gespeichert werden sollten. Dies lässt sich dann in einem Protokoll speichern. So kann im Nachhinein einwandfrei nachgewiesen werden, dass der Kunde in die Verarbeitung seiner Gesundheitsdaten eingewilligt hat.

Amazon musste den Verkauf unterlassen

So entschied es das Oberlandesgericht Naumburg am 09.11.2019 (Az. 9 U 6/19). Amazon hatte es zu unterlassen, apothekenpflichtige Medikamente auf ihrer Plattform zu verkaufen, ohne die nach Art. 9 Abs. 2 lit. a DSGVO nötige ausdrückliche Einwilligung der Kunden einzuholen.

Hierbei wurde noch einmal gesondert betont, dass eine sog. konkludente Einwilligung nicht ausreicht. Dies begründet die Wichtigkeit eines aktiven Ankreuzens des Kunden. Und zwar nicht bezüglich der Erhebung der Daten, sondern vor allem bezüglich deren Verarbeitung. Amazon drohte für jeden Fall der Zuwiderhandlung ein Ordnungsgeld in Höhe von bis zu 250.000,00 EUR.

SBS LEGAL – Ihre Kanzlei für das Datenschutzrecht

Datenschutz ist bereits seit einiger Zeit ein Thema, das Unternehmen fast täglich mit neuen rechtlichen Herausforderungen konfrontiert. Als Kanzlei für Datenschutz befasst sich SBS LEGAL im Datenschutzrecht mit den Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Für Unternehmen aus dem Bereich des Direktvertriebs und des Mittelstandes ist hierbei besonders das Erstellen einer korrekten Datenschutzerklärung attraktiv.

Haben Sie noch Fragen zum Datenschutzrecht?

Sie brauchen eine Beratung im Datenschutzrecht oder einen Datenschutzanwalt, etwa für die Erstellung einer Datenschutzerklärung, mit der Sie der DSGVO entsprechen? Dann sind Sie bei uns richtig.

Der Erstkontakt zu SBS Legal ist kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht