Fachbeiträge

Datenschutz & Apothekenwebsiten

Unsere Kanzlei erreichten in den vergangenen Wochen zahlreiche Anfragen zur Umsetzung der DSGVO in Bezug auf Internetseiten von Apotheken. Dieser Beitrag gibt einen Überblick über die rechtlichen Anforderungen, denen eine Apothekenwebsite genügen muss, und Hinweise zur Abmahnfähigkeit diesbezüglicher Verstöße.

A Welche Daten werden auf einer Apothekenwebsite erhoben?

Der Besucher einer Website bleibt im Regelfall anonym, da der Inhaber zunächst nicht mehr als die IP-Adresse erfährt, also der Adresse des Computers, von dem aus der Besucher auf die Website-Daten zugreift. Der sich hinter der IP-Adresse befindliche Computer kann nur mithilfe der Verbindungsdaten ermitteln werden, die dem Telekommunikationsgeheimnis (Fernmeldegeheimnis) aus § 88 TGK unterliegen und von den Telekommunikationsanbietern nicht weitergegeben werden dürfen.

Anders verhält es sich, wenn auf der Website ein Kontaktformular eingebunden ist und der Besucher dieses benutzt, da hier persönlichen Daten (Name, Anschrift, zwingend: E-Mail-Adresse) eingegeben und verwendet werden.

Eine weitere Ausnahme von der Anonymität ist die Verwendung von Datenverkehrsanalyseprogrammen (sog. Tracking-Tools), mit denen das Nutzungsverhalten des anonymen Besuchers aufgezeichnet und ausgewertet werden kann. Hierzu gehört insbesondere Google Analytics.

B Gilt die DSGVO für Websiten?

Nach unserer Auffassung gilt für Websiten nicht die DSGVO, sondern weiterhin das in den §§ 11 - 15a TMG enthaltene Sonderdatenschutzrecht für Telemedien. Zwar wurde durch die §§ 11 - 15a TMG die EU-Datenschutzrichtlinie 95/46/EG umgesetzt, die gemäß Art. 94 Abs. 1 DSGVO mit Einführung der DSGVO außer Kraft tritt. Dies heißt aber nicht, dass nunmehr die DSGVO deren Platz einnimmt. Denn ursprünglich wollte die EU parallel zur DSGVO auch die rechtlichen Anforderungen für den soge-nannten „E-Commerce“ (erfasst auch Websiten) reformieren. Da sich diese Reform aber derzeit bis wenigstens 2019 verzögert, bleibt bis zu deren Einführung eine erhebliche Regelungslücke. Der deutsche Gesetzgeber hat an dieser Stelle keinen Handlungsbedarf gesehen: während er das BDSG und andere Sonderdatenschutzregelungen an die Vorgaben der DSGVO anpasste, nahm er am TMG keine Änderungen vor. Im schlimmsten Fall sind die §§ 11 - 15a TMG daher europarechtwidrig, was aber nicht dazu führt, dass diese nicht mehr zu beachten sind. Denn die Euro-parechtswidrigkeit nationaler Vorschriften führt lediglich dazu, dass sich EU-Ausländer nicht mehr an diese halten müssen, Deutsche hingegen weiterhin an diese Gesetze gebunden sind. Umgekehrt bedeutet dies aber auch, dass sich deutsche Websitenbetreiber weiterhin auf die Fortgeltung des TMG berufen können.

C Welche datenschutzrechtlichen Vorgaben sind zu beachten?

Selbst wenn man IP-Adressen als personenbezogene Daten einordnet (was trotz der Entscheidung des BGH vom 16.05.2017 [Az. VI ZR 135/17 = NJW 2017, S. 2416 ff.] umstritten bleibt) ist auf einer „normalen Website“ an keiner Stelle die Einwilligung des Besuchers in seine Datenverarbeitung notwendig:

  • die beim bloßen Besuch stattfindende Verarbeitung der IP-Adresse wird durch § 15 Abs. 1 TMG gestattet,  
  • gleiches gilt für die Verwendung des Kontaktformulars, 
  • die Datenverkehrsanalyse (Nutzung von Google Analytics) ist gemäß § 15 Abs. 3 TMG zulässig, da hier die Auswertung lediglich zur Websitenoptimierung in einer anonymisierten Form stattfindet).

Der Besucher einer Website ist jedoch gemäß § 13 Abs. 1 TMG zu Beginn des Besuchs über die Art, Umfang und Zweck der Datenerhebung aufzuklären. Hierzu kann auf die vom Bayerischen Datenschutzbeauftragten unter dem folgenden Link abrufbaren Standardformulierungen zurückgegriffen werden:
https://www.datenschutz-bayern.de/technik/orient/internetauftritt.html

Außerdem sollten Verwender von Google Analytics beim Hinweis auf die Verwendung den folgenden Link einbinden:
https://tools.google.com/dlpage/gaoptout?hl=de

Da im Zuge der Einführung der DSGV § 5 TMG nicht reformiert wurde, gehört ein Datenschutzbeauftragter, soweit ein solcher denn benannt werden muss, nicht zu den notwendigen Angaben im Impressum. Auch sonst kennt das TMG keine Pflicht, dem Besucher einer Website den Datenschutzbeauftragten mitzuteilen.

D Sind Verstöße gegen das TMG abmahnfähig?

Ob Verstöße gegen das in den §§ 11 - 15a TMG enthaltene Sonderdatenschutzrecht für Telemedien abmahnfähig sind, ist vor dem Hintergrund des § 3a UWG zu beantworten, wonach einer Marktverhaltensvorschrift zuwidergehandelt werden und der Verstoß geeignet sein muss, die Interessen anderer spürbar zu beeinträchtigen.

Ob die Datenschutzvorschriften des TMG Marktverhaltensvorschriften sind, wurde durch die Oberlandesgerichte nicht einheitlich beantwortet. Während die Oberlandesgerichte Hamburg (Az. 3 U 26/12 = PharmR 2013, S. 391 ff.) und Köln (Az. 6 U 121/15 = NJW-RR 2016, S. 867 ff.) hiervon ausgingen, lehnte das KG Berlin dies zunächst ab (Az. 5 W 88/11 = NJW-RR 2011, S. 1264 ff.), schloss sich im vergangenen Jahr dann aber doch den Befürwortern an (Az. 5 U 155/14). Eine Klärung durch den BGH steht noch aus, hier ist derzeit unter dem Aktenzeichen I ZR 186/17 ein Revisionsverfahren anhängig.
Da Verstöße gegen das TMG über das Internet einfach zu ermitteln sind, werden auch kleine Fehler regelmäßig durch Rechtsanwälte abgemahnt, die auf keine zufriedene Mandantschaft zurückgreifen können, aber dennoch ihren Lebensunterhalt verdienen müssen. Erfreulicherweise reagiert die Rechtsprechung auf dieses Ge-schäftsmodell, indem sie zunehmend hinterfragt, ob Verstöße gegen das TMG die Interessen anderer Marktteilnehmer wirklich spürbar beeinträchtigen (ablehnend: LG Leipzig, Az. 5 O 2272/15; LG Berlin, Az. 52 O 394/15 LG Neuruppin, Az. 5 O 199/14; LG München I, Az. 33 O 14269/09). Außerdem wird wegen der geringen wettbewerbsrechtlichen Relevanz regelmäßig nur ein geringer Streitwert angenommen, was derartige Abmahnungen weniger lukrativ macht (LG Leipzig, Az. 5 O 2272/15: 1.000 EUR; OLG Celle, Az. 13 U 50/11: 2.000 EUR; OLG Frankfurt, Az. 6 W 117/06: 5.000 EUR). Abmahnungen sollten daher regelmäßig nicht ohne weiteres akzeptiert werden.
RA Virkus