180.000 Euro Strafe für Versandapotheke

Die Datenschutzbehörde bezeichnete das Vorgehen der Apotheke als „unfassbaren“ Verstoß gegen das Datenschutzgesetz. Ende vergangenen Jahres habe das Unternehmen persönliche Details von mehr als 100.000 Kunden zum Verkauf auf einer Onlinemarketing-Website angeboten. In der Bewerbung der Datenbank habe man herausgestellt, dass sie vor allem Personen enthalte, die an einer Krankheit litten, darunter Asthma, Parkinson oder erektile Dysfunktion.

Der Preis habe bei rund 130 Pfund (180 Euro) pro 1000 Daten gelegen. Einige der Informationen seien an eine australische Lotteriegesellschaft verkauft worden, teilte die Datenschützer mit. Diese habe die Patientendetails genutzt, um „gezielt ältere und gefährdete Personen mit ihrer Werbung anzusprechen“. Es sei wahrscheinlich, dass einige Kunden Geld verloren hätten, weil ihre Daten weitergegeben worden seien. Auch ein Hersteller von Nahrungsergänzungsmitteln habe die Informationen bezogen, teilte die Datenschutzstelle mit.

Pharmacy2U arbeitet seit 2001 eng mit der NHS zusammen. Unter anderem entwickelte die Versandapotheke gemeinsam mit der Behörde ein Onlinesystem für Folgerezepte. 20 Prozent des Unternehmens mit Sitz in Leeds gehören dem größten britischen Computeranbieter EMIS, einer der größten Anbieter für Praxissoftware.

Die NHS begrüßte die Strafe und bezeichnete das Verhalten der Versandapotheke als „nicht akzeptabel“. Phil Booth, Vertreter der Datenschutzkampagne medConfidential, kritisierte die Strafe als zu gering: Man könne nicht ernsthaft mit einer sechsstelligen Geldstrafe dafür sorgen, dass der „vergiftete Handel“ mit Kundeninformationen eingestellt werde. Die Aktivisten fordern ein generelles Verbot für jegliches Patientenmarketing.

„Schutzlose Personen sollten vor dieser Art von Schaden und Stress freigehalten werden. Noch viel schlimmer ist aber, dass der Handel von der größten NHS-registrierten Versandapotheke des Landes ausgegangen ist, die wiederum zum Teil der Firma gehört, die einen Großteil der Ärzte im Land mit Software für digitale Patientenakten versorgt“, so Booth. Er hat die Beschwerde an die Datenschutzbehörde eingereicht.

Der stellvertretende ICO-Präsident David Smith sagte, er hoffe, dass die Strafe eine „klare Botschaft“ an andere Unternehmen senden würde. Die Kundendaten seien „nicht ihre, mit denen sie machen können, was sie wollen“.

Er fügte hinzu, Diskretion gegenüber Patienten werde den Apothekern vom ersten Tag an eingebläut. „Es ist unfassbar, dass irgendein Unternehmen, das in diesem Bereich tätig ist, glauben konnte, derlei Aktionen wären akzeptabel. Langer Rede kurzer Sinn: Eine angesehene Firma hat einen gravierenden Fehler gemacht und muss nun die Konsequenzen dafür tragen.“

Smith befürchtet, dass das Verhalten von Pharmacy2U zu einem Schneeballeffekt führen könnte: Seien persönliche Informationen einmal verkauft, könnten die Käufer diese Daten weiter und weiter verkaufen. Dies führe häufig dazu, dass Kunden mit Anrufen und Briefen von Unternehmen bombardiert würden, mit denen sie nie zu tun hatten.

Pharmacy2U entschuldigte sich für den „bedauerlichen Zwischenfall“ und versprach, zukünftig keine Kundendaten mehr zu verkaufen. „Wir nehmen unsere Verantwortung gegenüber der Öffentlichkeit sehr ernst. Wir möchten unseren Kunden versichern, dass keine medizinischen Informationen, keine E-Mail-Adressen oder Telefonnummern verkauft wurden.“ Ausschließlich Namen und Postadressen seien zur einmaligen Verwendung weitergegeben worden, sagte Daniel Lee, Geschäftsführer der Versandapotheke.

Pharmacy2U hat seine Datenschutzrichtlinien inzwischen überarbeitet. Hier heißt es nun deutlich: „Eines unserer wichtigsten Prinzipien ist, dass wir ihre Informationen niemals an Dritte verkaufen werden.“