Datenschutz

Grundsatzstreit um codierte Bestellungen Alexander Müller, 22.11.2018 10:36 Uhr

Berlin - 

Apotheker dürfen Bestellungen von Therapieallergenen nicht unter Verwendung des Klarnamens des Patienten an den Hersteller schicken, sofern der Kunde nicht ausdrücklich zugestimmt hat. Das Hanseatische Oberlandesgericht (OLG) hat sich in einem Streit zweier Hersteller aber vor allem mit Grundsatzfragen des Datenschutzes befasst und ist unter anderem zu dem Schluss gekommen, dass sich Wettbewerber wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) gegenseitig abmahnen können.

Im Rechtsstreit zwischen den Konkurrenten Allergopharma und Leti geht es um die Frage, ob die Hersteller eigentlich wissen dürfen, für wen konkret sie die Therapieallergene individuell produzieren. Schließlich handelt es sich um die Verarbeitung personenbezogener Daten. Allergopharma holt sich daher nach eignen Angaben seit 2014 eine Einwilligung zur Datenübermittlung und -verarbeitung ein. Der Patient kann dabei auch eine Pseudonymisierung wählen, der Hersteller bekommt dann nur eine Nummer übermittelt.

Konkurrent Leti verzichtete seinerzeit auf eine solche Maßnahme, Allergopharma sah sich deswegen im Nachteil und mahnte den Mitbewerber im Dezember 2015 ab. Daraufhin ließ Leti Testbestellungen bei Allergopharma durchführen und mahnte den Konkurrenten ebenfalls ab. Denn in drei Fällen wurde nur das Rezept an die Merck-Tochter geschickt, die Bestellungen trotzdem allesamt beliefert. Laut Allergopharma war das ein Versehen. Und so verklagten sich die Firmen gegenseitig – und wurden vom Landgericht Hamburg beide verurteilt. Nur Leti ist gegen die Entscheidung in Berufung gegangen und hatte Erfolg, aber dazu später mehr, denn das ist nicht der eigentliche Clou der Entscheidung.

Eine Kernaussage des OLG ist: Die Erhebung personenbezogener Daten auf dem Bestellbogen ist nicht „erforderlich“ und daher auch ohne Einwilligung des Patienten nicht zulässig. Denn zusammen mit den Therapieallergenen würden diese zu „sensiblen Gesundheitsdaten“ im Sinne des Bundesdatenschutzgesetzes. Das Gericht hält eine Pseudonymisierung der Daten durch die Apotheke daher für das gebotene Mittel.

Beide Hersteller hatten vor Gericht vorgetragen, dass dies eine Sicherheitslücke darstellen könne, da es in der Arztpraxis leichter zu Verwechslungen kommen könnte. Leti hatte sich dabei auf Aussagen des Paul-Ehrlich-Instituts (PEI) sowie Ärzteverbands deutscher Allergologen (AeDA) gestützt, die die Weitergabe der Daten für sinnvoll erachtet hätten.

Das Gericht fand dies nicht überzeugend. Es sei nicht erwiesen, dass eine Pseudonymisierung tatsächlich zu einer Risikoerhöhung führe. Der bloße Hinweis, dass im Kühlschrank des Arztes teilweise mehrere Hundert Therapieallergene gelagert würden, reiche nicht aus. PEI und AeDA hätten die gängige Praxis womöglich freigezeichnet, aber nichts vorgetragen, warum die Verwendung einer Codierung unsicher sein sollte. Apotheker und ihre Mitarbeiter unterlägen wie Ärzte auf jeden Fall der Geheimhaltung, was bei den Mitarbeitern der Hersteller nicht zwingend gegeben sei.

Das Fazit: Wer Gesundheitsdaten erheben will, muss laut Urteil begründen, warum das erforderlich ist. Dies sei Leti nicht gelungen, die Klage von Allergopharma wurde dennoch abgewiesen. Denn gemäß der alten Fassung des Bundesdatenschutzgesetzes handele es sich nicht um eine marktverhaltensregelnde Norm im Sinne des Gesetzes gegen unlauteren Wettbewerb (UWG). Heißt übersetzt: Wettbewerber konnten sich nach der alten Fassung wegen etwaiger datenschutzrechtlicher Verstöße nicht gegenseitig abmahnen. Bitter für Allergopharma: Wäre der Hersteller auch in Berufung gegangen, hätte man zumindest diesen Teil des Verfahrens gewonnen.

Das OLG erörtert aber ausführlich die Frage, wie sich der Fall nach der zwischenzeitlich in Kraft getretenen DSGVO dargestellt hätte. Denn verhandelt wurde im September, seit Ende Mai gilt die neue EU-Richtlinie. Seitdem rätseln die Juristen darüber, ob sich Wettbewerber wegen Datenschutzthemen abmahnen dürfen, oder ob ein Einschreiten den persönlich Betroffenen und Behörden sowie bestimmten Verbänden vorbehalten ist. Landgerichte haben bislang unterschiedlich hierzu geurteilt. Jetzt könnte die Frage mit dem Streit um Therapieallergene vor den Bundesgerichtshof (BGH) gelangen.

Aus Sicht des OLG Hamburg wäre Allergopharma nach der DSGVO klagebefugt gewesen. Die Richtlinie sei laut Art 84 Abs. 1 nämlich offen gegenüber Sanktionen, die die Mitgliedstaaten vorsehen. „Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein“, so das OLG. Ob das Verhalten von Leti nach der DSGVO unzulässig gewesen wäre, hatte das Gericht jedoch nicht zu entscheiden.

Nach dem alten BDSG berührte aus Sicht des OLG dagegen nicht jede Datenschutznorm automatisch den Wettbewerb. Es komme auf den Einzelfall an. Im Fall der Therapieallergene sei es nämlich nicht um Datennutzung zu Werbezwecken gegangen. Dass Leti mit der uncodierten Weitergabe der Bestellungen leichter an Kunden kommen könne, ließen die Richter als Argument nicht gelten. „Hier geht es allein um die Gesundheit des Patienten sowie den Schutz seiner datenbezogenen Grundrechte und nicht um dessen Marktteilnahme oder die Marktbetätigung von Wettbewerbern“, heißt es im Urteil.

Ob die DSGVO einer Klagebefugnis unter Konkurrenten im Weg steht, wird jetzt vermutlich in Karlsruhe entschieden, wenn Allergopharma vor den BGH zieht. Denn wegen der grundsätzlichen Bedeutung der Frage hat das OLG Revision zugelassen. Womöglich wäre das DSGVO-Thema auch eine Frage für den Europäischen Gerichtshof (EuGH).