Datenschutzverstöße bei Online-Apotheken: Konkurrenz darf abmahnen

By /

Die Verarbeitung personenbezogener Daten unterliegt strengen Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO). Während die Klagerechte von Betroffenen bei Datenschutzverstößen allgemein bekannt sind, hat ein aktuelles Urteil des Gerichtshofs der Europäischen Union (EuGH) eine wichtige Klarstellung für Mitbewerber geschaffen: Auch sie dürfen Konkurrenten wegen DSGVO-Verstößen abmahnen. Dies betrifft insbesondere den Online-Handel mit Medikamenten.

Der Fall: Apotheke gegen Apotheke

Ein Fall, der bis zum Europäischen Gerichtshof eskalierte, betraf eine Online-Apotheke, die Medikamente sowohl über eine eigene Webseite als auch über den Amazon-Marktplatz vertrieb. Bei der Bestellabwicklung wurden unter anderem Gesundheitsdaten der Kunden abgefragt, für deren Verarbeitung jedoch keine ausdrückliche Einwilligung eingeholt wurde. Die klagende Konkurrenz-Apotheke sah darin einen Verstoß gegen die DSGVO und damit einen unlauteren Wettbewerb. Sie beantragte ein Verbot des Vertriebs apothekenpflichtiger Arzneimittel über Amazon, solange die Einwilligung der Kunden nicht sichergestellt ist.

Der Fall gelangte bis zum Bundesgerichtshof (BGH). Bevor dieser eine endgültige Entscheidung treffen konnte, musste der EuGH klären, ob die Konkurrenz-Apotheke nach der DSGVO überhaupt klageberechtigt ist und ob apotheken-, aber nicht verschreibungspflichtige Medikamente in diesem Kontext als Gesundheitsdaten gelten.

Schema zur Abgrenzung von Gesundheitsdaten im Sinne der DSGVO

Gesundheitsdaten im Sinne der DSGVO: Auch rezeptfreie Medikamente zählen

Der EuGH stellte unmissverständlich klar, dass auch nicht-verschreibungspflichtige Medikamente als Gesundheitsdaten im Sinne der DSGVO zu betrachten sind. Dies begründet sich damit, dass auch aus dem Kauf solcher Medikamente durch gedankliche Kombination oder Ableitung Rückschlüsse auf den Gesundheitszustand des Betroffenen gezogen werden können. Der Schutz solcher Daten ist ein zentraler Zweck des Datenschutzrechts.

Diese Einordnung bleibt auch dann bestehen, wenn die Medikamente möglicherweise für eine andere Person bestellt wurden. Die Verbindung zwischen dem Käufer und dem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen herzustellen, ermöglicht Rückschlüsse auf den Gesundheitszustand.

Klageberechtigung von Mitbewerbern bestätigt

Der EuGH bejahte auch die Klageberechtigung von Mitbewerbern. Diese Möglichkeit trägt dazu bei, zahlreiche Verstöße gegen den Datenschutz zu verhindern und stärkt die Datenschutzrechte der Betroffenen. Somit darf die klagende Online-Apotheke gemäß § 8 Absatz 3 Nummer 1 des Gesetzes gegen unlauteren Wettbewerb (UWG) durch die Konkurrenz abgemahnt werden.

Das Urteil des EuGH unterstreicht die Notwendigkeit, die Vorschriften der DSGVO ernst zu nehmen. Es ist jedoch zu beachten, dass primär die Übermittlung der Daten an externe Plattformen wie Amazon beanstandet wird. Die Datenverarbeitung innerhalb der Apotheke selbst ist davon unberührt, sofern sie datenschutzkonform erfolgt.

Einwilligungserfordernis und Informationspflichten

Für alle Online-Apotheken, die apothekenpflichtige Medikamente vertreiben, ergibt sich aus dem Urteil ein klares Einwilligungserfordernis. Kunden müssen ausdrücklich in die Verarbeitung ihrer Daten einwilligen. Dies schließt Informationen wie Name, Lieferadresse und weitere Daten ein, die für die Auswahl und Individualisierung der Arzneimittel notwendig sind.

Die Apotheken sind verpflichtet, die Kunden klar, vollständig und in leicht verständlicher Weise über die Umstände und den Zweck der Datenverarbeitung zu informieren. Diese Informationspflicht ist essenziell, um eine informierte Einwilligung zu gewährleisten.

Cyberkriminalität und Schutzmaßnahmen für Apotheken

Neben den datenschutzrechtlichen Aspekten sind Online-Apotheken auch verstärkt von Cyberkriminalität betroffen. Gezielte Angriffe, wie Phishing, Whaling, Vishing und Evil-Twin-Angriffe, zielen darauf ab, sensible Daten zu erbeuten, Zahlungen auszulösen oder Zugriff auf interne Systeme zu erhalten.

Um sich wirksam zu schützen, sollten Apotheken auf eine Kombination aus technischen Absicherungen, klaren Prozessen und gezielter Schulung setzen. Dazu gehören:

  • Einführung einer Zwei-Faktor-Authentifizierung.
  • Aufstellung klarer Regeln für die IT-Nutzung und Verzicht auf private Anwendungen am Arbeitsplatz.
  • Schnelles Reagieren im Falle eines Vorfalls (z. B. Trennen vom Netzwerk, Prüfung auf Schadsoftware).
  • Verwendung sicherer, neuer Passwörter.
  • Dokumentation von Vorfällen zur internen Verbesserung und für eventuelle Meldungen an Datenschutzbehörden.

Phishing-E-Mails enttarnen! | BSI

Haftung bei Cyber-Angriffen

Die Haftung nach einem Cyber-Angriff hängt stark vom Einzelfall ab, insbesondere von der Einhaltung von Sorgfaltspflichten.

  • In Apotheken haftet grundsätzlich die Inhaberin oder der Inhaber für den ordnungsgemäßen IT-Betrieb.
  • Mitarbeitende haften nur eingeschränkt, in der Regel nur bei grober Fahrlässigkeit oder Vorsatz.
  • Arbeitgeber sind verpflichtet, für ausreichende IT-Sicherheit und Mitarbeiterschulungen zu sorgen.

Eine Cyber-Versicherung kann für Apotheken eine sinnvolle Ergänzung sein, um Kosten für IT-Forensik, Systemwiederherstellung und Datenverlust sowie Haftpflichtansprüche abzudecken.

Bekämpfung gefälschter Arzneimittel im Internet

Ein weiteres ernstes Problem im Online-Handel mit Medikamenten ist der Verkauf von gefälschten Arzneimitteln. Diese können nicht nur unwirksam, sondern auch schädlich oder tödlich sein, da ihre Inhaltsstoffe unkontrolliert und oft verunreinigt sind.

Um Verbraucher zu schützen, hat die EU-Kommission ein Prüflogo entwickelt. Dieses Logo, ein weißes Kreuz auf grün-grauem Hintergrund, dürfen nur zertifizierte Online-Apotheken auf ihrer Homepage anzeigen. Ein Klick auf das Logo führt zur Liste der verantwortlichen Behörden des jeweiligen Landes, wo zertifizierte Arzneimittelvertreiber verzeichnet sind.

EU-Prüflogo für zertifizierte Online-Apotheken

Zusätzlich können Verbraucher sich schützen, indem sie:

  • Verschreibungspflichtige Produkte nur gegen Vorlage eines gültigen Rezepts kaufen.
  • Angebote von Medikamenten ohne Rezept oder mit falscher/fehlender Verpackung meiden.
  • Verdächtige Arzneimittel dem Arzt oder Apotheker vorlegen.

Unternehmen wie Bayer engagieren sich aktiv im Kampf gegen Arzneimittelfälschungen durch Aufklärungskampagnen und technische Schutzmaßnahmen.

tags: #datenklau #brei #onlineapotheken

Populäre Artikel:

  • Die Folgen von Überbehütung
  • Mehr über die Nabelschnur erfahren
  • Angebote für Übernachtungen in Rosenheim
  • Ursachen von Rückenschmerzen während der Schwangerschaft
  • Informationen zum Philips Avent Babyphone SCD481