„Online-Apotheke Datenschutz“– Zu Risiken und Nebenwirkungen fragen Sie Ihren Datenschutzbeauftragten oder Datenschutzberater

Online-Apotheke Datenschutz

Das Internet ermöglicht uns nahezu sämtliche Waren online zu bestellen oder uns zum Teil fachkundigen Rat einzuholen. Dies gilt sowohl für Kleidung, Elektronik, Kosmetika, Nahrung, aber auch für das Angebot der Hersteller und Anbieter von Arzneimitteln und Medizinprodukten sowie der Leistungserbringer im Gesundheitswesen, insbesondere der Apotheken und eingeschränkt auch von Ärzten und Krankenhäusern. So lassen sich also auch Arzneimittel online bestellen, ohne das wir nur einen Fuß vor die Tür setzen müssen.

Die Online-Dienste dürften für die meisten Konsumenten sehr praktisch sein, zumal Bestellungen völlig unabhängig von irgendwelchen Öffnungszeiten getätigt werden können. Dieser und viele weitere Vorteile führen dazu, dass sich die meisten Kunden nur wenig bzw. keine Gedanken machen, welche persönlichen Daten im Rahmen der Bestellung übermittelt werden.

Der Zusatz bzw. Aufdruck auf Arzneimitteln „Zu Risiken und Nebenwirkungen lesen Sie die Packungsbeilage und fragen Sie Ihren Arzt oder Apotheker“ ist eine Vorgabe des § 4 Abs. 3 HWG [Gesetz über die Werbung auf dem Gebiete des Heilwesens (Heilmittelwerbegesetz)] und dient dem Schutz der Patienten.

Dem Schutz der personenbezogenen Daten ist Ihr externer Datenschutzbeauftragter bzw. der Datenschutzbeauftragte der verantwortlichen Stelle verpflichtet. Wir erklären daher, worauf Konsumenten und Online-Shop-Betreiber, insbesondere Online-Apotheken, achten sollten, um personenbezogene (Gesundheits-)Daten nicht zu gefährden.

„ Online-Apotheke Datenschutz “ – Schritt 1: Impressum und Datenschutzerklärung

Jeder Webseitenbetreiber sollte, unabhängig ob er einen Online-Shop betreibt, ein Impressum und eine Datenschutzerklärung einbinden.

Mit dem Betreiben einer Website werden Organisationen, wie Unternehmen, Vereine oder Behörden, zu Diensteanbietern im Sinne des Telemediengesetzes (TMG) und müssen damit einhergehende Vorschriften einhalten. Das TMG sieht in § 5 allgemeine Informationenpflichten vor, wonach unter anderem der Name und die Anschrift, aber auch die Kontaktdaten auf der Webseite hinterlegt werden sollten. Je nach Webseitenbetreiber sollte zum Beispiel auch die gesetzliche Berufsbezeichnung und der Staat, in dem die Berufsbezeichnung verliehen worden ist, benannt werden. Dies sollte zum Beispiel eine Online-Apotheke berücksichtigen.

Neben der Impressumspflicht sollte der Diensteanbieter nach § 13 Abs. 1 TMG den Nutzer (Seitenbesucher) über:

  • Art, Umfang und Zweck der Erhebung und Verwendung seiner personenbezogenen Daten
  • die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

informieren. Dies geschieht in der Regel mit Hilfe einer Datenschutzerklärung.

Werden Seitenbesucher nicht, nicht richtig oder nicht vollständig entgegen § 5 Abs. 1 TMG oder § 13 Abs. 1 TMG informiert, so können Bußgelder von bis zu 50.000 Euro drohen. Sie sind sich nicht sicher, ob Sie auf Ihrer Webseite ausreichend informieren, dann nehmen Sie gerne Kontakt zu uns auf. Wir prüfen Ihre Webseite und unterstützen Sie bei der Erstellung des Impressums und der Datenschutzerklärung.

Datenübermittlung durch Einsatz von Diensten Dritter

Kaum eine Webseite läuft ohne das Dienste von Dritten eingesetzt werden. Klassische Dienste sind zum Beispiel Analysetools, Social Plugins, Online-Kartendienste und Routenplaner, Videodienste, Newsletteranbieter sowie Werbedienste, die mittels Cookies und Pixel, das Anbieten von personalisierter Werbung ermöglichen.

In der Regel findet spätestens beim Aufruf dieser Dienste eine Übermittlung der IP-Adresse statt. IP-Adressen sollten als personenbezogene Daten angesehen werden, wodurch das Datenschutzrecht berücksichtigt werden sollte. Nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) dürfen personenbezogene Daten nur erhoben, verarbeitet und genutzt werden, wenn eine Rechtgrundlage oder informierte Einwilligungen dies erlauben.

Eine mögliche Rechtsgrundlage wäre § 11 BDSG, sofern der Auftragnehmer (Anbieter des Dienstes) die Daten im Auftrag und nach Weisung des Auftraggebers (Webseitenbetreibers) verarbeitet, allerdings wäre der Auftragnehmer zu prüfen und einen Vertrag zu Auftragsdatenverarbeitung abzuschließen. Häufig haben die Anbieter der Dienste ihren Sitz außerhalb der EU / des EWR (Drittland) wodurch allerdings andere Maßnahmen notwendig wären. Aus diesem Grund empfiehlt es sich auch hier fachkundige Beratung und Unterstützung eines Datenschutzberaters oder Datenschutzbeauftragten hinzuziehen, da die erforderlichen Maßnahmen je nach eingesetztem Dienst unterschiedlich ausfallen.

Online-Apotheken und Leistungserbringer aufgepasst! – Besonderer Schutz für Gesundheitsdaten

Dürften Online-Shops, die zum Beispiel Kleidung anbieten, lediglich Informationen über die Konfektionsgröße in Erfahrung bringen, so dürfte eine Online-Apotheke viele weitere Information, insbesondere über die Gesundheit eines Kunden, erhalten.

Gesundheitsdaten gehören nach § 3 Abs. 9 BDSG zu den besonderen Arten personenbezogener Daten. Für diese sieht das BDSG eine Reihe von Sonderregelungen vor. Unter anderem gibt § 4a Abs. 3 BDSG vor, dass soweit besondere Arten personenbezogener Daten erhoben, verarbeitet oder genutzt werden, sich die Einwilligung der Betroffenen ausdrücklich auf diese Daten beziehen muss. Soweit der Betroffene nicht in die Erhebung, Verarbeitung und/oder Nutzung eingewilligt hat, sollte insbesondere § 28 Abs. 6 bis 9 BDSG berücksichtigt werden, da spezielle Vorschriften für die eigene Verwendung gelten.

Auch in der Europäischen Datenschutz-Grundverordnung (DS-GVO), die im Mai 2016 in Kraft getreten ist und nach einer Übergangsfrist von zwei Jahren europaweit gilt, wird ein höherer Schutz für besondere Arten personenbezogener Daten (in der DSGVO „besondere Kategorien personenbezogener Daten“) vorgesehen, Art. 9 DS-GVO.

Übertragung von personenbezogener Daten im Internet

Das Schlüsselwort lautet hier „Verschlüsselung“, denn das Anbieten eines Online-Shops, insbesondere einer Online-Apotheke oder sonstiger Leistungserbringer im Gesundheitswesen, dürfte ohne eine Verschlüsselung dazu führen, dass Unbefugte – bei der Übermittlung der Daten – sämtliche Informationen theoretisch mitlesen können.

Sowohl das IT-Sicherheitsgesetz als auch das Bundesdatenschutzgesetz sehen vor, dass Webseitenbetreiber/verantwortliche Stellen technische und organisatorische Maßnahmen nach Stand der Technik ergreifen, um den Zugriff auf technische Einrichtungen und (personenbezogene) Daten zu verhindern.

Aus diesem Grund sollte eine Verschlüsselung auf allen Seiten stattfinden, zumindest aber auf Webseiten auf denen eine Übermittlung personenbezogener Daten, insbesondere von Gesundheitsdaten und personenbezogenen Bank- sowie Kreditkartendaten, implementiert werden.

Achtung! Bereichsspezifische Vorschriften beachten!

Neben dem Datenschutzrecht gelten häufig bereichsspezifische Vorschriften, die ebenfalls von den Organisationen berücksichtigt werden sollten.

Für Online-Apotheken gilt zum Beispiel, dass diese laut § 43 Abs. 1 S. 1 AMG (Arzneimittelgesetz) in Verbindung mit § 11a Apothekengesetz (ApoG) nur von öffentlichen Apotheken betrieben werden dürfen.

Hersteller und Anbietern von Arzneimitteln und Medizinprodukten sowie alle weiteren Leistungserbringer im Gesundheitswesen, aber insbesondere die Apotheken, sollten zahlreiche weitere Vorschriften beachten und Maßnahmen ergreifen, da sie mit vielen sensiblen Daten arbeiten. Möchten Sie mehr zum Datenschutz im Gesundheitswesen erfahren, dann lesen Sie doch unseren Beitrag „Datenschutz im Gesundheitswesen – Wieso ein externer Datenschutzbeauftragter bitter nötig ist“.

Nehmen Sie gerne direkt Kontakt zu uns auf oder fordern Sie ein kostenlosen Datenschutz-Angebot an. Gerne beraten wir Sie rund um den Datenschutz im Gesundheitswesen, prüfen Ihre Webseite oder unterstützen Sie bei der Erstellung von Datenschutzerklärungen.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.