Rechtliche Fallstricke erkennen

Die zunehmende Digitalisierung stellt auch Vor-Ort-Apotheken vor große Herausforderungen. Fallstricke lauern unter anderem bei der rechtssicheren elektronischen Kommunikation mit anderen Heilberuflern, Patienten und Institutionen. Bei der Nutzung der Telematik-Infrastruktur und Bearbeitung elektronischer Verschreibungen können Apotheken von den Erfahrungen profitieren, die sie mit der Verarbeitung von Gesundheitsdaten in Pandemiezeiten – etwa für Impfzertifikate und Tests – bereits gemacht haben.

Vorsicht ist geboten, wenn Apotheken mit Blick auf die (bis auf Weiteres verschobene) Einführung des E-Rezepts Angebote externer Dienstleister in Anspruch nehmen, um ein zusätzliches digitales Standbein aufzubauen. Eine solche hybride Positionierung ist sicher vielversprechend, allerdings gilt es für alle Beteiligten, die (Apotheken-)rechtlichen Rahmenbedingungen einzuhalten. Das gilt insbesondere für den Datenschutz.

Maßgeblich sind besonders für den Gesundheitsmarkt nach wie vor die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO). Dabei gelten sensible Gesundheitsdaten nach Art. 9 DSGVO als besonders schutzwürdig.

Vor-Ort-Apotheken, die mit Online-Plattformen kooperieren wollen, sollten sich zunächst über deren datenschutzrechtliche Regularien informieren. Die Plattformen verarbeiten Daten bei der Registrierung für ein Nutzerkonto, der Standortabfrage, Bestellung sowie für die Chatfunktion – inklusive Datenanalyse und Tracking. Zu den erfassten personenbezogenen Daten gehören spezifische Informationen zu den Nutzern – darunter Details über die gekauften oder angesehenen Produkte, der Such- und Browserverlauf sowie das Verhalten auf der Webseite (z.B. Scroll-Geschwindigkeit und Anzahl der Klicks) – ebenso wie Infos zu den zuvor besuchten Websites und Google-Suchbegriffen samt IP-Adressen.

Für die Verarbeitung von Gesundheitsdaten benötigen Plattformanbieter regelmäßig die Einwilligung der Nutzer nach Art. 6 Abs. 1 S. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO. Aufgrund der Sensibilität der Daten sind die Anforderungen an die Datensicherheit besonders hoch. Es müssen insbesondere Informationspflichten nach Art. 13, 14 DSGVO eingehalten werden – sowohl hinsichtlich der Datenschutzinformationen des Plattformanbieters als auch der Apotheke.

Für die kooperierenden Apotheken stellt sich die schwierige Spezialfrage, ob für sie – aufgrund der umfangreichen Verarbeitung von Gesundheitsdaten durch die Plattform – auch eine eigene, in der Regel sehr aufwendige Datenschutz-Folgenabschätzung nach Art. 35 Abs. 3 lit. b DSGVO notwendig wird. Die rechtlich entscheidende Frage in diesem Kontext lautet, ob es sich bei der Nutzung der Plattform um ein Auftragsverarbeitungsverhältnis i.S.d. Art. 28 DSGVO handelt, oder ob möglicherweise eine gemeinsame Verantwortlichkeit von Plattformbetreiber und Apothekeninhaber gemäß Art. 26 DSGVO besteht.

In beiden Fällen müssen nach den Vorgaben der DSGVO entsprechende Vereinbarungen abgeschlossen werden, die sorgfältig geprüft werden sollten. Denn Verstöße gegen Datenschutzvorgaben sind zumeist gleichzeitig Verstöße gegen berufsrechtliche Regelungen.

Ein zentraler Bestandteil des Geschäftsmodells von Online-Anbietern ist ihre "Sammelleidenschaft": Sie sammeln alle (ohne Ausnahme) eine Vielzahl an Kundendaten – mehr als es eine Apotheke vor Ort je könnte. Direkt nach der Registrierung wird man als Kunde mit Werbung und Anreizen in Form von Rabatten auf allen digitalen Kanälen adressiert. Fortwährend tauchen Push-Nachrichten auf dem Smartphone auf, die mit Rabattcodes und besonderen Angeboten locken. All diese Informationen können zu detaillierten Datenprofilen über jeden einzelnen Nutzer zusammengefasst werden, die konkret darüber Auskunft geben, wer er ist, wie es ihm vermutlich geht und wie es um seine körperliche oder geistige Gesundheit steht.

Auch die Frage der Absicherung von Drittstaatentransfers nach Art. 45ff. DSGVO kann eine alles andere als triviale Rolle spielen, wenn eine Plattform nicht in Deutschland angesiedelt ist.

Mit Wirkung zum 1. Dezember 2021 ist das Gesetz zur Regelung des Datenschutzes sowie des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) auch hierzulande in Kraft getreten. Seitdem gilt auch in Deutschland die auf EU-Seite schon 2009 beschlossene und höchstrichterlich bestätigte Einwilligungspflicht für technisch nicht notwendige Cookies. Neu ist ein eigener Bußgeld-Tatbestand, wonach unzureichende oder fehlende Einwilligungsmechanismen mit Geldbußen von bis zu 300.000 € geahndet werden können.

In der Vergangenheit war ein Cookie-Banner keine Pflicht: Wenn man seine Website so gebaut hat, dass man keine Cookies benötigt hat, konnte man die Website ohne ein solches Banner betreiben. Nun muss man beweisen, dass der Benutzer Cookies an- oder abgewählt hat – erforderlich ist eine echte Einwilligung. Das geht nur über ein entsprechendes Tool, das diese Daten aufzeichnet.

Ein wichtiger Punkt ist der erweiterte Anwendungsbereich für Cookies. Das TTDSG bezieht sich auf alle "Endeinrichtungen", für die Sie als Apotheke Services anbieten. Das gilt z.B. auch für Messenger-Dienste wie WhatsApp und für Apps, die Sie Ihren Kunden zur Verfügung stellen.

Zur Frage, was genau bei der Gestaltung des Cookie-Banners zu beachten ist, gibt es kaum konkrete Aussagen. Allerdings gibt es Stellungnahmen von Datenschutzbehörden und Verbraucherzentralen, die zeigen, wo die Reise hingeht. Folgende Merkmale sollte ein Cookie-Banner aufweisen:

• Bis der Besucher seine Einwilligung erteilt hat, dürfen nur technisch zwingend notwendige Cookies auf der Website aktiviert werden.
• Es darf keine Cookie-Auswahl voreingestellt sein. Der Nutzer muss die Einwilligung aktiv setzen.
• Es muss ein "Annehmen"- und "Ablehnen"-Button angeboten werden. Beide müssen von gleicher Wertigkeit sein (gleiche Höhe, gleiche Größe, gleiche Farbe).
• Wichtig: Der "Zustimmen-Button" darf nicht auffälliger gestaltet sein.

Bei der Umsetzung all dieser Datenschutz-Regeln sollten Sie als Apothekeninhaber/-leiter stets im Blick haben, dass es vorrangig darum geht, das Vertrauen der Kunden darin zu stärken, dass deren sensible Daten bei Ihnen am allerbesten aufgehoben sind!

Laut einer aktuellen Untersuchung des Münchener Unternehmens Usercentrics haben Versandapotheken ein massives Datenschutzproblem: Demnach verstoßen beim Umgang mit sensiblen Gesundheitsdaten neun von zehn Versandapotheken in Europa gegen die DSGVO. Über die Hälfte der Cookies auf den untersuchten Websites sollen nicht rechtskonform sein, da sie bereits beim Öffnen der Website ohne Zustimmung aktiviert würden. Vor der Verarbeitung personenbezogener Daten über Cookies ist bekanntlich die Einwilligung der Nutzer einzuholen. Dabei handelt es sich noch dazu um Marketing-Cookies von Drittanbietern.

Besonders drastisch fallen die Ergebnisse hierzulande aus: So soll laut Usercentrics jede in Deutschland untersuchte Versandapotheke mindestens ein nicht notwendiges Cookie verwenden, das ohne Einwilligung der Nutzer gesetzt wird! Im Durchschnitt sind es gar 14 pro Seite.

Bei der Einhaltung der DSGVO gibt es also gravierende Defizite. Offenbar ist es schwierig, die Datenschutzbestimmungen einzuhalten und gleichzeitig ein Online-Geschäft zu betreiben, das auf Daten angewiesen ist.

Lesen Sie dazu den Bericht zur Analyse von Usercentrics auf DAZ-online.

Dr. Bettina Mecking, M.M., Fachanwältin für Medizinrecht, Justiziarin der Apothekerkammer Nordrhein, 40213 Düsseldorf, E-Mail: b.mecking@aknr.de