Ein Update zum neuen Datenschutzrecht für Apotheken

Eines ist klar: Seit Inkrafttreten der DSGVO am 25. Mai 2018 besteht eine grundsätzliche Abmahngefahr für alle Branchen – so auch für Apotheken. Der häufigste Abmahngrund sind fehlerhafte oder nicht vorhandene Datenschutzinformationen. Und das, obwohl es für jeden Unternehmer ein Leichtes ist, die Datenschutzinformationen auf der eigenen Webseite zu prüfen, zu validieren, zu überarbeiten und zu aktualisieren.

Konkrete Abmahnfälle im Apothekensektor gibt es bislang nicht. Und die Entwicklung zeigt, dass Apothekenleiter sich bereits engagiert um den Datenschutz in ihrer Apotheke gekümmert haben bzw. kümmern. Dennoch bleibt es wichtig, weiterhin sensibel mit der Thematik umzugehen.

Aufgrund der Pflicht zur Information gemäß Art. 13 und gegebenenfalls auch Art. 14 DSGVO muss auf Ihrer Apotheken-Webseite eine Datenschutzerklärung zu finden sein. Aus dieser müssen Art, Zwecke, Mittel und weitere Informationen der Datenverarbeitung hervorgehen (vgl. AWA 7/2018).

Wie wichtig es ist, die Datenschutzerklärung an die Vorgaben der DSGVO und des neuen Bundesdatenschutzgesetzes (BDSG_neu) anzupassen, zeigen die ersten Urteilssprüche.

So geht das Landgericht Würzburg davon aus, dass eine nur siebenzeilige Datenschutzerklärung ausgerechnet im Impressum einer Rechtsanwältin nicht den Anforderungen der DSGVO genügt (Beschluss vom 13.09.2018, Aktenzeichen: 11 O 1741/18). Konkret kritisiert wurde das Fehlen

• von Angaben zum Verantwortlichen,
• von Angaben zur Erhebung und Speicherung personenbezogener Daten sowie zu Art und Zweck von deren Verwendung,
• einer Erklärung zur Weitergabe von Daten,
• von Erklärungen über Cookies und Analysetools,
• vor allem einer Belehrung über die Betroffenenrechte, insbesondere das Widerspruchsrecht und das Recht auf angemessene Datensicherheit, sowie
• eines Hinweises zur Möglichkeit, sich bei einer Aufsichtsbehörde zu beschweren.

Das Landgericht Würzburg beruft sich in den Urteilsgründen auch auf Urteile des Oberlandesgerichts Hamburg und des Oberlandesgerichts Köln, die noch aus Vor-DSGVO-Zeiten stammen: In beiden Urteilen wurde darauf hingewiesen, dass es sich bei fehlenden Datenschutzhinweisen um Verstöße gegen das Wettbewerbsrecht handele, nämlich konkret gegen §4 Nr. 11 (bzw. jetzt §3a) des Gesetzes gegen den unlauteren Wettbewerb (UWG). Damit sind entsprechende Tatbestände abmahnbar. Indem es sich auf diese älteren Urteile bezieht, wirken sich dem Landgericht Würzburg zufolge auch die neuen Datenschutz-Regelungen wettbewerbschützend aus.

Konkret auf Apotheken bezogen würde das bedeuten: Wenn ein Apothekenleiter Geld in die Hand nimmt, um in Sachen Datenschutz auf seiner Homepage rechtskonform aufgestellt zu sein, ein anderer sich hingegen nicht um den Datenschutz kümmert, dann hat der erste Apothekenleiter hierdurch einen Wettbewerbsnachteil. Und dafür wiederum darf er seinen Konkurrenten abmahnen (vgl. auch AWA 16/2018).

Ein anderes Beispiel zeigt allerdings, dass diese Auffassung des Landgerichts Würzburg nicht pauschal ist: So hat das Landgericht Bochum im Falle eines Einzelhandelsunternehmens entschieden, dass ein Verstoß gegen Art. 13 DSGVO nicht abmahnbar ist (Urteil vom 07.08.2018, Aktenzeichen: I-12 O 85/18). Denn Art. 77 bis 84 DSGVO enthielten Regelungen, die die Ansprüche von Wettbewerbern aus- bzw. abschlössen. Das Gericht begründet seine Auffassung des Weiteren damit, dass die DSGVO detailliert regele, welche Personenkreise anspruchsberechtigt seien. Das wiederum würde bedeuten, dass sich auch Apotheker bei einem Verstoß gegen Art. 13 DSGVO nicht gegenseitig abmahnen könnten.

Zwei Urteile also und zwei zueinander konträre Meinungen. Nicht zuletzt hat auch das Oberlandesgericht Hamburg in einem weiteren Urteil bestätigt, das es – wie so oft bei Rechtsstreitigkeiten – auf den Einzelfall ankomme (Urteil vom 25.10.2018, Aktenzeichen: 3 U 66/17). Ihm zufolge wird "inzwischen zu Recht angenommen, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat."

Bis zu weiteren Entscheidungen höherer Instanzen bleibt es spannend, wie die Frage nach der Abmahnbarkeit letztlich entschieden wird. Um allen Eventualitäten vorzubeugen und kein Risiko einzugehen, sollten Sie sich – so noch nicht geschehen – in jedem Fall schnellstmöglich darum kümmern, dass auf Ihrer Homepage eine ordnungsgemäße Datenschutzerklärung vorhanden ist.

Zum anderen ist auch darauf zu achten, dass die Webseite nach §13 Abs. 7 Telemediengesetz mit dem Secure-Sockets-Layer (SSL)-Zertifikat verschlüsselt ist. So hat das LG Würzburg im bereits angeführten Urteil ebenfalls darauf hingewiesen, dass "eine Verschlüsselung der Homepage erforderlich (ist), die hier fehlt." Der Streitwert insgesamt wurde hier auf 2.000 € festgesetzt. Grundsätzlich können unverschlüsselte Seiten aber Geldbußen von bis zu 50.000 € zur Folge haben.

Übrigens: Mit dem SSL-Zertifikat werden die Daten Ihrer Webseiten-Besucher sicher an den Server übertragen. Sie erhalten das Zertifikat bei zahlreichen Anbietern und sorgen damit nicht nur für Rechtssicherheit, sondern auch für einen vertrauenswürdigen Webauftritt und ein besseres Google-Ranking.

Auch Datenpannen zählen zu den Verstößen gegen die DSGVO. Typische Fälle sind

• unzulässige Werbemails oder
• offene E-Mail-Verteiler.

Auch dazu gehören kann die Speicherung von Gesundheitsdaten, ohne dass der Kunde eine Einwilligungsserklärung unterschrieben hat. Hier kommt es allerdings wiederum auf den Einzelfall an. Denn Sie haben durchaus auch Rechte zur Datenverarbeitung ohne Einwilligungserklärung. Denken Sie dabei etwa an den Abrechnungsverkehr mit den Krankenkassen.

Kritisch ist vor allem der Einsatz von WhatsApp zur Bestellung von Rx-Arzneimitteln (vgl. AWA 10/2018). Die Landesbeauftragen für Datenschutz haben bereits mehrfach darauf hingewiesen, dass eine entsprechende Kommunikation über WhatsApp gegen die DSGVO verstößt.

Grundsätzlich gilt, dass Unternehmen die Pflicht haben, Pannen bei personenbezogenen Daten selbst zu melden – und zwar unverzüglich und möglichst innerhalb von 72 Stunden, nachdem die Verletzung des Schutzes personenbezogener Daten bekannt geworden ist (Art. 33 DSGVO).

Halten Sie sich also an diese Frist, sofern sich in Ihrer Apotheke eine entsprechende Datenpanne ereignet. Da in den wenigsten Fällen alle relevanten Informationen direkt zur Verfügung stehen, ist es allerdings möglich, "diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung zu stellen" (Art. 33 Abs. 4 DSGVO).

Haben Sie ein gutes Gefühl, wenn Sie an den Datenschutz in Ihrer Apotheke denken? Oder kommen Ihnen Zweifel? Wenn ja: Tun Sie alles, um sicher aufgestellt zu sein – und holen Sie sich bei Bedarf Unterstützung von Juristen und/oder Datenschützern!

Johannes Schwiegk, Geschäftsführer, 180° Sicherheit GmbH, 40549 Düsseldorf, E-Mail: sicherheit@180-grad.de