Urteil des Europäischen Gerichtshofs
Anfang Oktober hat der Europäische Gerichtshof (EuGH) auf Vorlage des Bundesgerichtshofs (BGH) ein Urteil gefällt, das Fragen zur wettbewerbsrechtlichen Klagebefugnis und zu Gesundheitsdaten beantwortet.
In dem vorgelegten Fall betreibt ND eine Apotheke, die apothekenpflichtige Arzneimittel über Amazon vertreibt. DR, ein Mitbewerber von ND, reichte eine Klage ein und forderte, dass ND der Verkauf von Arzneimitteln über Amazon untersagt wird, solange keine Einwilligung der Kunden zur Verarbeitung ihrer Gesundheitsdaten vorliegt. DR argumentierte, dass der Vertrieb ohne diese Einwilligung unlauter sei und gegen Datenschutzbestimmungen verstoße. Die Vorinstanzen gaben DR Recht, was ND zur Revision veranlasste.
Der BGH legte dem EuGH zwei Hauptfragen zur Entscheidung vor. Einmal geht es um die Frage, ob die DSGVO nationalen Regelungen entgegenstehe, die es Wettbewerbenden ermöglichen, gegen Datenschutzverstöße Klage wegen unlauterer Geschäftspraktiken zu erheben. Außerdem erörtert der EuGH die Frage, ob es sich bei den Daten, die bei einer Arzneimittelbestellung auf einer Online-Plattform erhoben werden, um Gesundheitsdaten im Sinne der DSGVO handelt.
Zur ersten Frage stellt der EuGH fest, dass die DSGVO die Möglichkeit nicht explizit ausschließt, dass Mitbewerbende Datenschutzverstöße vor Zivilgerichten geltend machen können. Auch wenn die Verordnung primär den Schutz betroffener Personen regelt, kann ein Verstoß gegen Datenschutzbestimmungen auch den Wettbewerb beeinflussen. Daher kann es im Interesse eines lauteren Wettbewerbs zulässig sein, dass Wettbewerber auf Grundlage nationalen Rechts Klagen einreichen.
Die DSGVO verfolgt das Ziel, ein hohes und einheitliches Datenschutzniveau in der gesamten EU sicherzustellen. Durch die Möglichkeit, dass Mitbewerber Klagen einreichen können, wird dieses Ziel unterstützt, da zusätzliche Durchsetzungsmechanismen geschaffen werden, die zur Einhaltung der Datenschutzbestimmungen beitragen. Die Möglichkeit für Mitbewerbende, Klagen einzureichen, ergänzt die bestehenden Rechtsbehelfe gemäß den Artikeln 77 bis 80 DSGVO. Sie stellen somit eine zusätzliche Ebene der Kontrolle dar, ohne das bestehende System zu beeinträchtigen. So kann die Klage indirekt Betroffenen zugutekommen und zu einer zusätzlichen Stärkung der Datenschutzrechte führen.
Außerdem fördert die Möglichkeit, Datenschutzverstöße als unlautere Geschäftspraktiken zu klagen, einen fairen Wettbewerb. Unternehmen werden motiviert, die Datenschutzvorschriften einzuhalten, um Wettbewerbsnachteile durch Klagen zu vermeiden.
Darüber hinaus beschäftigt sich der EuGH damit, ob die bei einer Arzneimittelbestellung auf einer Online-Plattform (wie Name, Lieferadresse und individualisierende Informationen) erhobenen Daten als “Gesundheitsdaten” im Sinne der DSGVO einzustufen sind, selbst wenn es sich um nicht verschreibungspflichtige Medikamente handelt.
Der EuGH bejaht dies und stuft die Daten als Gesundheitsdaten im Sinne der DSGVO und der Richtlinie 95/46 ein. Dies gilt auch, wenn für den Verkauf dieser Arzneimittel keine ärztliche Verschreibung erforderlich ist. Auch dann können Rückschlüsse auf den Gesundheitszustand einer Person gezogen werden, selbst wenn die Arzneimittel nicht unbedingt für die bestellende Person bestimmt sind.
Eine Unterscheidung danach, ob für den Verkauf eine ärztliche Verschreibung notwendig ist, würde dem EuGH zufolge zudem hohen Schutzniveau der DSGVO zuwiderlaufen. Somit ist eine ausdrückliche Einwilligung der betroffenen Personen zur Verarbeitung der mit der Arzneimittelbestellung verbundenen Daten erforderlich.
Praktisch relevant ist dieses Urteil für Online-Apotheken. Diese müssen strengere Maßnahmen ergreifen, um den Schutz personenbezogener Daten zu gewährleisten.
Große Plattformen wie Amazon, die Drittanbietern ermöglichen, Arzneimittel zu verkaufen, müssen sicherstellen, dass die Datenverarbeitung im Einklang mit der DSGVO steht. Sie könnten verpflichtet sein, strengere Richtlinien und Kontrollmechanismen einzuführen, um sicherzustellen, dass die auf ihrer Plattform getätigten Bestellungen den Datenschutzvorgaben entsprechen.
Verbraucherinnen und Verbraucher können sich über ein erhöhtes Datenschutzniveau freuen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.