Nicht nur der Politik steht ein „Herbst der Entscheidungen“ bevor. Auch das oberste rechtsprechende Organ der Europäischen Union, der EuGH, arbeitet fleißig an richtungsweisenden Urteilen. Eines davon wurde in der letzten Woche gesprochen: In einem Vorabentscheidungsverfahren, eingereicht vom BGH, hatte der EuGH über Fragen aus dem Gesundheitsbereich zu entscheiden (Rechtssache C-21/23). Gegenstand des Verfahrens war ein Rechtsstreit zwischen zwei Apothekenbetreibern.
Konkret warf der Kläger dem Beklagten unlautere Geschäftspraktiken vor: Der Beklagte vertrieb apothekenpflichtige Arzneimittel über eine Onlineplattform. Im Rahmen der Onlinebestellung dieser Arzneimittel müssen Kunden Angaben wie Name, Lieferadresse und die für die Individualisierung der Arzneimittel notwendigen Informationen eingeben. Der Kläger brachte vor, dass für die einhergehenden Datenverarbeitungen keine aus seiner Sicht notwendige Einwilligung durch den Beklagten eingeholt würde – immerhin handele es sich im Rahmen der Bestellungen um Gesundheitsdaten nach Art. 9 DSGVO. Solange prozessual keine Einwilligung eingeholt würde, müsse der Vertrieb von apothekenpflichtigen Arzneimitteln über eine Onlineplattform unterlassen bzw. verboten werden.
Der EuGH musste in der Folge über die Fragen entscheiden, ob die gegenständlichen Daten innerhalb des Bestellvorgangs als Gesundheitsdaten im Sinne von Artt. 9 Abs. 1, 4 Nr. 15 DSGVO i. V. m. Erwägungsgrund 35 zur DSGVO zu klassifizieren sind und ob Datenschutzverstöße von Mitbewerbern wettbewerbsrechtlich verfolgt werden können. Im Ergebnis bejaht der EuGH beides.
Arzneimitteldaten sind Gesundheitsdaten
Der EuGH stellt klar, dass Daten, die Kunden bei der Onlinebestellung apothekenpflichtiger Arzneimittel eingeben, Gesundheitsdaten im Sinne der DSGVO darstellen:
„Aus den Daten, die ein Kunde bei der Bestellung von apothekenpflichtigen Arzneimitteln über eine Onlineplattform eingibt, kann mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person im Sinne von Art. 4 Nr. 1 DSGVO geschlossen werden, da die Bestellung eine Verbindung zwischen einem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen und einer identifizierten oder durch Angaben wie den Namen oder die Lieferadresse identifizierbaren natürlichen Person herstellt.“ (Rn. 84)
Der EuGH greift im Folgenden auch die besonderen Umstände der nicht verschreibungspflichtigen Arzneimittel auf, charakterisieren diese sich gerade dadurch, nicht zwangsläufig für den bestellenden Kunden bestimmt zu sein, sondern möglicherweise für Dritte, für die der Kunde die Arzneimittel erwerben möchte. Aber auch hier kommt der EuGH zu keinem anderen Ergebnis:
„Demnach ist, wenn ein Nutzer einer Onlineplattform bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln personenbezogene Daten übermittelt, die Verarbeitung dieser Daten durch den Betreiber einer Apotheke, der diese Arzneimittel über die Onlineplattform vertreibt, als eine Verarbeitung von Gesundheitsdaten im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO anzusehen, da durch die Verarbeitung dieser Daten Informationen über den Gesundheitszustand einer natürlichen Person offengelegt werden können, und zwar unabhängig davon, ob diese Informationen den Nutzer oder eine andere Person betreffen, für die diese Bestellung getätigt wird.“ (Rn. 88)
Und weiter:
„Ist für die Bestellung eine Identifizierung und/oder eine Registrierung des Kunden erforderlich, beispielsweise durch das Anlegen eines Kundenkontos oder die Aufnahme des Kunden in ein Treueprogramm, ist ebenfalls nicht ausgeschlossen, dass die vom Kunden in diesem Zusammenhang gemachten Angaben – insbesondere in Kombination mit Informationen über die bestellten Arzneimittel – verwendet werden können, um Rückschlüsse nicht nur auf seinen Gesundheitszustand, sondern auch auf den eines Dritten zu ziehen.“ (Rn. 91)
Folglich sei ein Verkäufer wie der Beklagte nach den Ausführungen des EuGH verpflichtet, die von der Datenverarbeitung betroffene Person klar, vollständig und in leicht verständlicher Weise über die spezifischen Umstände und Zwecke der Verarbeitung dieser Daten zu informieren sowie die Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO sicherzustellen. Dies könne in Form der vom Kläger geforderten Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO geschehen. Der EuGH betont aber ausdrücklich, dass Datenverarbeitungen wie im gegenständlichen Rechtsstreit auch auf der Grundlage von Art. 9 Abs. 2 lit. h DSGVO zulässig sein können, wenn die entsprechenden Voraussetzungen vorliegen.
Mitbewerber können Datenschutzverstöße verfolgen (lassen)
Zudem urteilte der EuGH, dass zusätzlich zu den Rechten und Befugnissen, die die DSGVO den betroffenen Personen, den diese Personen vertretenden Verbänden und den nationalen Aufsichtsbehörden einräumt, auch Mitbewerber des mutmaßlichen Verletzers Datenschutzverstöße auf der Grundlage des Verbots unlauterer Geschäftspraktiken (in Deutschland im UWG adressiert) gerichtlich verfolgen lassen können:
„Aus dem Wortlaut und dem Kontext der Bestimmungen dieses Kapitels VIII, die in den Rn. 53 bis 58 des vorliegenden Urteils erläutert wurden, ergibt sich jedoch, dass der Unionsgesetzgeber mit dem Erlass dieser Verordnung keine umfassende Harmonisierung der Rechtsbehelfe, die bei einem Verstoß gegen die Bestimmungen der DSGVO zur Verfügung stehen, vornehmen und insbesondere nicht ausschließen wollte, dass Mitbewerber eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des nationalen Rechts unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken Klage erheben können.“ (Rn. 60)
Sowie weiter:
„Die Möglichkeit für den Mitbewerber eines Unternehmens, unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken bei den Zivilgerichten Klage auf Unterlassung eines von diesem Unternehmen angeblich begangenen Verstoßes gegen die materiellen Bestimmungen der DSGVO zu erheben, lässt diese Ziele nicht nur unberührt, sondern kann die praktische Wirksamkeit dieser Bestimmungen sogar verstärken und damit das mit dieser Verordnung angestrebte hohe Schutzniveau der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verbessern.“ (Rn. 62)
Der BGH hat nun inhaltlich zu prüfen, ob der mutmaßliche Verstoß gegen die im Ausgangsverfahren in Rede stehenden Regelungen der DSGVO auch einen Verstoß gegen des UWG darstellt.
Wie so häufig: Prüfung der eigenen Prozesse
Dass der EuGH den weiten Schutzkreis des Art. 9 DSGVO hier annimmt, überrascht nicht. Auch die Folgen für die Praxis sind konsequent, da sie die gewohnten Themen Rechtmäßigkeit, Anforderungen an die Wirksamkeit von Einwilligungserklärungen, Transparenz sowie die Erforderlichkeit relevanter Datensicherheitsaspekte nach Art. 32 DSGVO i. V .m. Erwägungsgrund 53 zur DSGVO adressieren. Praktische Hürden könnten indes bei Bestellungen „im Auftrag“ aufkommen, wenn Kunde/Besteller und eigentlicher Patient / die Person, für die die Bestellung getätigt wird, nicht personengleich sein sollten und ein Einwilligungsprozess diesen Umstand abbilden muss. Gerade um diese Fälle sauber umzusetzen, sollten Verantwortliche, die ähnlichen Sachverhalten wie der Beklagte im oben skizzierten Fall unterliegen, prüfen, ob ggf. einzurichtende oder bereits bestehende Einwilligungsprozesse die erforderlichen Umstände abbilden. Erfolgt dies nicht, kann neben der Sanktionspallette der DSGVO – wie vom EuGH betont – auch ein wettbewerbsrechtliches Tätigwerden von Mitbewerbern drohen.
8. Oktober 2024 @ 16:13
Das ist ein durchaus bemerkenswertes Urteil. 1. Weil es nicht der Einschätzung des Generalanwaltes folgt und 2. weil es sehr weitreichende Folgen haben kann, die über die konkrete Rechtsprechung zum Versand von OTC-Arzneimitteln über Amazon durch Versandapotheken hinaus gehen. Konsequent angewandt bedeutet das Urteil, dass die für den Versand von nicht-apothekenpflichtigen Arzneien durch z.B. Online-Drogerien benutzten Daten auch Gesundheitsdaten sind, deren Verarbeitung einer Einwilligung bedarf. Auch der Versand von laktosefreier Milch durch Online-Discounter würde das selbe bedeuten, da zumindest der vom Gericht als Maßstab genommenen abstrakte Gesundheitsbezug genüge. Und auch der stationäre Handel wäre betroffen zumindest dann, wenn Gesundheitsprodukte gekauft und Digital bezahlt werden: nach der Lesart des EuGH wäre auch hier ein Gesundheitsbezug abstrakt gegeben. In allen Fällen müsste eine Einwilligung der Betroffenen eingeholt werden. Ich sehe hier eine ausufernde Bürokratie drohen, die nicht geeignet scheint, die Rechte und Freiheiten der Betroffenen zu schützen und die dem Datenschutz einen Bärendienst erweist. Hier ist wohl der Gesetzgeber gefragt, um Auswüchsen entgegenzuwirken.
20. November 2024 @ 18:24
Im stationären Handel käme es wohl darauf an, ob beim Kauf die personenbezogenen Bezahldaten mit den gekauften Produkten verbunden werden. Sind die Bezahldaten anonymisiert, entfällt das Problem.