Verkauf von Medikamenten auf Amazon Marketplace. Datenschutzrechtliche Aspekte.

Verkauf von Medikamenten auf Amazon Marketplace. Datenschutzrechtliche Aspekte.

Kurz und Knapp:

Beim Kauf von nicht verschreibungspflichtigen Medikamenten über den Amazon-Marketplace fallen durch die Bestellabwicklung keine Gesundheitsdaten im Sinne von Art. 4 Nummer 15 DSGVO an. Daher ist auch eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 Buchstabe a DSGVO nicht erforderlich.  

Verkaufsprozess und Datenverarbeitung

Kopfschmerztabletten kann man auch bei Amazon kaufen. Das geht, weil die strenge Regulierung der Medikamentenabgabe primär verschreibungspflichtige Medikamente betrifft. Nicht verschreibungspflichtige Medikamente wie Kopfschmerztabletten sind im Prinzip frei verkäuflich – auch online und außerhalb einer Apotheke oder eines Apothekenshops.

Während Amazon selbst als Händler auftreten kann, bietet Amazon gleichzeitig die Möglichkeit, über den marketplace Produkte anzubieten. Die am marketplace teilnehmenden externen Händler können den Bestellvorgang über Amazon abwickeln lassen - sowie auch den Versand. Die marketplace-Händler schließen einen Amazon Service über Business Solutions Vertrag, in dem dies im Detail geregelt wird. Voraussetzung für den konkreten Verkaufsablauf ist daneben, dass auch die Kunden sich unter Akzeptanz der von Amazon bereitgehaltenen AGBs bei Amazon anmelden.

Amazon verarbeitet dort diejenigen Daten, die die Kunden im Rahmen der Anmeldung und im Rahmen der Produktbestellung dort abgeben. Die Verarbeitung dieser personenbezogenen Daten erfolgt durch Amazon auf der Rechtsgrundlage des Art. 6 Abs. 1 Satz 1a und b DSGVO. Die weitere Abwicklung des Verkaufsprozesses erfolgt dann mit dem jeweiligen Händler, dem die Zahlungsdaten des Kunden für die Abrechnung mit Amazon und Adressdaten der Kundinnen und Kunden für den Fall des direkten Versandes durch den Händler von Amazon übermittelt werden. In einem weiteren Schritt werden diese Kundendaten zur Abwicklung des Verkaufsvorgangs unter Berücksichtigung der steuerlichen Aufbewahrungspflicht gespeichert.

Gemeinsame Verantwortung ?

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. 

Aus Käufersicht ist der Bestellvorgang in beiden Varianten gleich: Amazon bietet den Produktkauf auf seiner Seite an. Der Käufer legt die Ware in den Warenkorb und klickt „Kaufen“ an. In diesem Moment erst werden konkret auf den Bestellvorgang bezogene Käuferdaten erhoben (Datenverarbeitungen wegen Tracking wird hier außer vorgelassen). Es wird damit immer die von Amazon bereit gestellte Datenverarbeitung genutzt. 

Eine etwaige gemeinsame Verantwortung von Händler und Amazon nach Art. 26 DSGVO liegt hingegen nicht vor. Eine gemeinsame Verantwortlichkeit kommt dann in Betracht, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Auch eine Zurechnung des Verkäufers im Sinne einer gemeinsamen Verantwortung kommt ebenfalls nicht in Betracht. 

Unterschiede zu Entscheidungen des EuGH: Facebook-Fanpage und Fashion ID

Im Urteil des EuGH zur Facebook-Fanpage (EuGH, Urteil vom 05.06.2018, NJW 2018, 2537 (2539 Rn. 36 ff.) heißt es sinngemäß: Der Betreiber einer Webseite, der einen „Gefällt mir“-Button von Facebook als Plugin auf seiner Webseite einbindet, sei nur für die Phase des Erhebens und der Übermittlung personenbezogener Daten der Webseitenbesucher gemeinsam mit Facebook verantwortlich, weil der Betreiber durch die Einbindung erst die Verarbeitung ermöglicht habe. 

Beim Verkauf über Amazon liegt dabei eine direkte Verarbeitung bereits durch Amazon vor. Für eine Zurechnung des Verkäufers zur Datenverarbeitung von Amazon gibt es keine Anhaltspunkte, da die Datenverarbeitung auf der Plattform von Amazon erfolgt und gerade nicht auf der eigenen Webseite mittels Einbindung eines Plugins. 

In seinem Fashion ID-Urteil differenziert der EuGH (Fashion-ID Urteil vom 29.07.2019, C-40/17) hinsichtlich der einzelnen konkreten Verarbeitungsvorgängen für den die Akteure tatsächlich gemeinsam eine Entscheidung fällen und auf den sie auch Einfluss nehmen. Einzelne Vorgänge, wie z.B. das Erheben, das Erfassen, die Organisation der Daten etc., sind einzeln für die Verantwortlichkeitszuteilung zu bewerten. 

Die Datenverarbeitung im Rahmen des Bestellvorgangs erfolgt allerdings allein durch Amazon. Eine gemeinsame Entscheidung über Zweck und Mittel der Datenverarbeitung ist zu keiner Zeit gegeben, weil der Verkäufer noch nicht einmal geringfügig Einfluss auf die Datenverarbeitung nimmt. 

Bestelldaten sind keine sind Gesundheitsdaten

Die Rechtsprechung ist zu diesem Thema rar. Meist wird das Thema unter wettbewerbsrechtlichen Gesichtspunkten geprüft unter dem Aspekt dass Datenschutzregelungen auch „Marktverhaltensregeln“ sind. Ein Verstoß gegen Marktverhaltensregeln - und damit ein Datenschutzverstoß - wurde von Gerichten für den Medikamentenvertrieb über Amazon angenommen, weil bei der Bestellung Gesundheitsdaten ohne besondere Einwilligung verarbeitet würden (so z.B. OLG Naumburg) Ohne nähere weitere Begründung bejaht das OLG Naumburg (Urteil vom 07.11.2019 - 9 U 39/18, RN 54, 55) hierbei das Vorliegen von Gesundheitsdaten. Es führt zur Begründung aus, dass aus den Bestelldaten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden können und insbesondere die Kombination aus mehreren Medikamenten ein Rückschluss auf den Gesundheitszustand zulasse. 

Ist das so ? 

Wenn ja, ist das bei allen Online-Medikamentenkäufen der Fall ?

Nein.

Gesundheitsdaten werden gemäß Art. 4 Nummer 15 DSGVO definiert als personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Anknüpfungspunkt ist primär der Gesundheitszustand, nicht die Krankheit einer Person, sodass auch der Ablauf und der Inhalt einer medizinischen Behandlung einschließlich der eingenommenen Medikamente wie auch die Feststellung, dass eine Person genesen oder überhaupt völlig gesund ist, erfasst werden. (vgl. Kühling/Buchner/Weichert, 2. Aufl. 2018, DS-GVO Art. 4 Nr. 15 ). 

In der Literatur wird häufig auch unterschieden zwischen unmittelbar und mittelbar sensiblen Daten. Argumentiert wird hierbei mit dem Grundgedanken des effektiven Grundrechtsschutzes. Daher ist darauf abzustellen, ob sich besonders schutzwürdige Umstände „mit hinreichender Sicherheit“ ableiten lassen. (vgl. Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 9; Bergauer in: Knyrim, Das neue Datenschutzrecht in Österreich und in der EU, 2016, 43 (60).)

Indirekte Informationen sind daher regelmäßig nur dann Gesundheitsdaten, wenn sie den logischen und eindeutigen Schluss auf den Gesundheitszustand einer Person nahelegen, wobei es nicht darauf ankommt, dass aus den indirekten Daten korrekte Schlüsse gezogen werden. (Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 4 Nr. 15). 

Schlussfolgerungen:

Es sprechen gute Gründe gegen die Annahme, dass beim Verkauf von nicht verschreibungspflichtigen Medikamenten auf Amazon immer „Gesundheitsdaten“ im Sinne der DSGVO verarbeitet werden. 

• Würde man einer anderen Auffassung folgen, würde auch beim Kauf von laktosefreier Milch ein Gesundheitsdatum anfallen müssen, weil damit ein Rückschluss auf den Gesundheitszustand des Bestellers – vermutlich Laktoseintoleranz - gezogen werden könnte. 
• Auch der Umstand, dass eine Bestellung nicht nur für den Besteller selber sondern für Dritte erfolgt, wird bei dieser Auffassung nicht ausreichend berücksichtigt. 
• Weiterhin wird bei den anderen Verständnis ebenfalls nicht berücksichtigt, dass nicht verschreibungspflichtige Medikamente auch für etwaige mögliche zukünftige Fälle bestellt werden können. Deutlich wird dies bei gerade bei Kopfschmerztabletten, wenn man für den Fall der Fälle welche im Haus haben möchte. 

Beim Kauf von nicht verschreibungspflichtigen Medikamenten über den Amazon-Marketplace fallen durch die Bestellabwicklung keine Gesundheitsdaten im Sinne von Art. 4 Nummer 15 DSGVO an.



Henning Kochist in der Wirtschaftskanzlei Ruhmann Peters Altmeyer PartG mbB am Standort Marburg Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht und zertifizierter (zugleich auch behördlicher) Datenschutzbeauftragter sowie Geschäftsführer der RPA Datenschutz + Compliance GmbH. 

Folgen auf: Xing oder LinkedIn

https://www.linkedin.com/feed/update/urn:li:ugcPost:6844316117528408064?updateEntityUrn=urn%3Ali%3Afs_feedUpdate%3A%28*%2Curn%3Ali%3AugcPost%3A6844316117528408064%29