mkm-legal-logo

Ein Warenkorb voller Gesundheitsdaten

Ein Warenkorb voller Gesundheitsdaten

EuGH konkretisiert besondere Kategorien personenbezogener Daten

 

Bei einem Arzt- oder Apothekenbesuch werden unumgänglich Gesundheitsdaten verarbeitet. Das Bewusstsein, dass es sich dabei um sensible Daten handelt, wird spätestens dann erkennbar, wenn man sich vor einer großen Aufschrift „Diskretion“ im Wartebereich wiederfindet. In Zeiten von Online-Apotheken und Same Day Lieferungen lassen sich Medikamentenbestellungen aber auch ganz einfach von zuhause aus tätigen – für sich selbst und für andere. Mit der Frage, inwiefern Bestellungen von apothekenpflichtigen Arzneimitteln eine Verarbeitung von Gesundheitsdaten darstellt, musste sich nun auch der Europäische Gerichtshof (EuGH) im Rahmen einer Vorabentscheidungsersuchens mit Urteil vom 4. Oktober 2024 (C-21/23) auseinandersetzen.

Gesundheitsdaten vor dem EuGH

Besonders sensible personenbezogene Daten sind durch die EU Datenschutz-Grundverordnung (DSGVO) besonders geschützt und in Art. 9 Abs. 1 DSGVO abschließend genannt. Auch Gesundheitsdaten sind zweifelsohne als sensibel und damit als besonders schützenswert gemäß Art. 9 Abs. 1 DSGVO zu klassifizieren. Die Verarbeitung personenbezogener Daten ist grundsätzlich untersagt und nur bei Vorliegen einer Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO erlaubt. Die Praxisrelevanz dieser Fälle ist dabei nicht zu von der Hand zu weisen. Bereits im Dezember 2023 hatte der EuGH in Bezug auf die Verarbeitung von Gesundheitsdaten entschieden, dass eine Verarbeitung auf Basis einer Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO nur dann rechtmäßig ist, wenn sie auch mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt. Im vorliegenden Fall war der EuGH erneut mit der Verarbeitung von Gesundheitsdaten konfrontiert.

Worum ging es?

Geklagt hatte ein Apothekenbetreiber gegen eine Wettbewerberin aufgrund unlauterer Geschäftspraktiken. Die Beklagte hatte apothekenpflichtige Arzneimittel über die Onlineplattform „Amazon-Marketplace“ vertrieben. Für die Verarbeitung der hierzu erhobenen Daten wurde keine Einwilligung der Kunden eingeholt. In erster Instanz wurde der Klage stattgegeben. Die Beklagte legte gegen die Entscheidungen der weiteren Instanzen jeweils Rechtsmittel ein. Der BGH wandte sich letztlich in einem Vorabentscheidungsersuchen an den EuGH. In einer der vorgelegten Fragen ging es um die Klärung, ob die Daten, die die Kunden bei der Bestellung von Arzneimittel auf der Onlineverkaufsplattform eingeben müssen, Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO darstellen. Was auf den ersten Blick einfach zu beantworten sein mag, hängt mit der praxisrelevanten Frage zusammen, inwiefern vermeintliche Rückschlüsse auf Personen ein Datum als personenbezogen qualifizieren. So könnte es beispielsweise sein, dass ein Angehöriger Bestellungen für ein erkranktes Familienmitglied vornimmt.

Was wurde entschieden?

Der EuGH orientiert sich eng am Wortlaut der DSGVO, insbesondere an der Definition von Gesundheitsdaten (Art. 4 Nr. 15 DSGVO), personenbezogener Daten (Art. 4 Nr. 1 DSGVO) und dem Erwägungsgrund 35 DSGVO. Dass es sich im geschilderten Fall um personenbezogene Daten handelt ist nicht strittig. Zu beantworten bleibt hingegen, ob durch die angegebenen Daten Rückschlüsse auf den Gesundheitszustand der Kunden gezogen werden können. Dies wird durch den EuGH bejaht. Nach dessen Einschätzung genügt es, dass aus den erhobenen Daten mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person geschlossen werden kann. Eine andere Auslegung führe zu einer Beeinträchtigung der praktischen Wirksamkeit der Regelungen für die Verarbeitung besonders schutzbedürftiger Daten und damit des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen. Die Tatsache, dass mangels einer Verschreibungspflicht eine Bestellung für Dritte erfolgen könnte, sei darüber hinaus für die Anwendbarkeit der besonderen Voraussetzungen aus Art. 9 Abs. 2 DSGVO nicht relevant. Bei dem Verarbeitungsverbot aus Art. 9 Abs. 1 DSGVO komme es nicht auf die Richtigkeit der Daten oder gar auf eine Verarbeitungsabsicht solcher Daten an. 

Fazit und Einordnung

Eine weite Auslegung des Begriffs Gesundheitsdaten dient in erster Linie dem Schutz natürlicher Personen und ist grundsätzlich zu begrüßen. Bedauerlicherweise behandelt der EuGH die Frage nach dem Ziel der Verantwortlichen zur Verarbeitung sensibler Daten nur in einem Nebensatz. In der Praxis ergeben sich regelmäßig Fallkonstellationen, die kontrovers diskutiert werden. Bei strenger Anwendung des EuGH-Urteils wird so wohl auch das Foto eines Brillenträgers als Gesundheitsdatum zu werten sein, da hierdurch Rückschlüsse auf eine Sehschwäche möglich sind. Demnach wäre es auch nicht von Bedeutung, ob die Brille lediglich als modisches Accessoire ohne medizinische Relevanz getragen wird oder tatsächlich eine Sehschwäche ausgleicht.

Unternehmen sollten in Bezug auf die eigene Risikobewertung im Zweifel von einer Verarbeitung besonderer Kategorien ausgehen und die Rechtmäßigkeit auch in Bezug auf Art. 9 DSGVO prüfen.

 

Autorin: Rebecca Schimkat

 

Further insights on the topic

mkm-legal-logo
Legal

Imprint

GDPR

Terms & conditions

Whistleblower System

Contact

+49 911 669 577-0

info@mkm-partner.de

LinkedIn

Address

Äußere Sulzbacher Str. 118
90491 Nürnberg

Äußere Sulzbacher Str. 124a
90491 Nürnberg

Leipziger Platz 9
10117 Berlin

Newsletter-Anmeldung