Wenn Ihre Online-Apotheke Kundendaten an Google oder Meta weitergibt!
Ein Datenschutzverstoß der größten finnischen Online-Apotheke zeigt, wie kritisch der Einsatz von Tracking-Technologien im Gesundheitskontext ist. Die Datenschutzaufsicht hat ein Bußgeld von 1,1 Millionen Euro verhängt – wegen unsachgemäßer Weitergabe von Gesundheitsdaten an Dritte.
Was ist passiert, worauf müssen Verantwortliche achten und welche Maßnahmen sind jetzt zwingend?
Was war der Auslöser?
Die finnische Datenschutzaufsicht untersuchte die Universität-Apotheke (Yliopiston Apteekki), weil sie über ihre Website personenbezogene Daten, darunter auch Informationen über Medikamente, an Google, Meta und New Relic weitergab.
Diese Daten wurden für Analyse- und Marketingzwecke genutzt. Die Apotheke argumentierte, die Daten seien pseudonymisiert und nicht auf einzelne Personen zurückzuführen. Die Aufsichtsbehörde kam zu einem anderen Ergebnis.
Warum ist das ein Datenschutzverstoß?
Die Behörde stellte Verstöße gegen folgende Vorschriften der DSGVO fest:
-
Artikel 5(1)(f) – Verletzung der Vertraulichkeit durch unzureichende Schutzmaßnahmen
-
Artikel 32(1) und (2) – fehlende technische und organisatorische Sicherheitsvorkehrungen
-
Artikel 5(1)(c) – keine Datenminimierung, unnötige Übermittlung von Daten
-
Artikel 25(2) – keine datenschutzfreundliche Voreinstellung
-
Artikel 9 – Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage
Zentrale Aussage: Bereits das bloße Aufrufen von Medikamentenseiten oder das Hinzufügen zum Warenkorb kann Rückschlüsse auf den Gesundheitszustand zulassen. Damit handelt es sich um besonders schützenswerte Daten im Sinne von Artikel 9 DSGVO.
Welche Fehler wurden gemacht?
-
Tracking durch Meta und Google bei rezeptpflichtigen Produkten
-
Teilweise wurden konkrete Medikamentennamen oder Produkt-IDs übermittelt.
-
Die Daten wurden an Drittanbieter übermittelt, ohne ausreichende Maskierung.
-
-
Keine wirksame Anonymisierung
-
Das Maskieren der Namen durch Begriffe wie „PRESCRIPTION DRUG“ reichte nicht.
-
Die URLs enthielten weiterhin identifizierbare Produktinformationen.
-
-
Technische Sicherheitsvorkehrungen unzureichend
-
Der Einsatz externer Dienste wie New Relic war nicht ausreichend abgesichert.
-
Die Übertragungen erfolgten ohne vorherige Risikoanalyse.
-
-
Verstoß gegen das Prinzip der Datenminimierung
-
Es wurden weit mehr Informationen an Dritte weitergegeben, als notwendig gewesen wäre.
-
Welche Maßnahmen sind jetzt erforderlich?
1. Tracking auf Gesundheitsportalen grundsätzlich hinterfragen
-
Keine Übermittlung von IP-Adressen oder URL-Parametern mit sensiblen Inhalten
-
Trackingdienste wie Google Analytics, Meta Pixel oder New Relic kritisch prüfen oder vermeiden
2. Pseudonymisierung reicht nicht
-
Vermeiden Sie sprechende URLs, die Gesundheitsdaten enthalten könnten
-
Maskierung ist kein Ersatz für Anonymisierung
3. Technische Maßnahmen umsetzen (Art. 32 DSGVO)
-
Keine direkte Einbindung von Drittquellen (z. B. YouTube, Google Fonts) ohne eigene Zwischenschicht
-
Einsatz eines Reverse Proxys zur Entkopplung externer Dienste
-
Regelmäßige Tests mit HAR-Dateien und Privacy-Scanner durchführen
4. Vertragliche Kontrolle sichern
-
AV-Verträge (Artikel 28 DSGVO) mit klarer Zweckbindung prüfen
-
Sicherstellen, dass Dienstleister keine eigenen Zwecke verfolgen
-
Auftragsverarbeiter auswählen, die keine Profilbildung betreiben
5. Datenschutz-Folgenabschätzung durchführen
-
Insbesondere bei Online-Apotheken oder vergleichbaren sensiblen Plattformen
-
Bewertung der Risiken für die betroffenen Personen und Umsetzung technischer Maßnahmen dokumentieren
6. Keine Einwilligung als Freifahrtschein
-
Selbst bei Zustimmung zur Cookie-Nutzung bleibt Artikel 9 DSGVO vorrangig
-
Die Weitergabe sensibler Daten erfordert immer eine ausdrückliche Einwilligung nach Artikel 9(2)(a)
Vergleichbare Entscheidungen
| Behörde | Unternehmen | Verstoß | Bußgeld |
|---|---|---|---|
| Finnland | Yliopiston Apteekki | Tracking bei Medikamenten | 1,1 Mio € |
| Schweden | Apohem & Apoteket AB | Datenübermittlung zu Gesundheitsprodukten an Meta | 696.000 € bzw. 3,2 Mio € |
Fazit
Wer in einem besonders sensiblen Bereich wie dem Online-Apothekenhandel tätig ist, muss Tracking-Technologien besonders restriktiv einsetzen. Die DSGVO lässt hier wenig Spielraum. Die Verarbeitung von Gesundheitsdaten für Marketing oder Webanalyse erfordert entweder eine ausdrückliche Einwilligung – oder darf schlicht nicht stattfinden. Die wichtigste Maßnahme: Prüfen Sie alle externen Dienste. Vermeiden Sie Dienste, deren Geschäftsmodell auf Profilbildung basiert. Hosting, Analyse und Werbung gehören bei Gesundheitsdaten besser in die eigene Hand.
Sind Sie sicher, ob Ihr Unternehmen oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks