© IMAGO / photothek

EuGH: Lindenapotheke/DSGVO – Die Mitgliedstaaten können Mitbewerbern eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Möglichkeit einräumen, diesen Verstoß als verbotene unlautere Geschäftspraxis gerichtlich zu beanstanden

EuGH, Urteil vom 4.10.2024 – C-21/23

Der Verkauf apothekenpflichtiger Arzneimittel über das Internet erfordert die ausdrückliche Einwilligung des Kunden in die Verarbeitung seiner Daten, auch wenn es sich um nicht verschreibungspflichtige Arzneimittel handelt. 

Der deutsche BGH, der den Rechtsstreit zwischen zwei konkurrierenden Apothekern zu entscheiden hat, ersucht den Gerichtshof um Auslegung der Verordnung zum Schutz personenbezogener Daten (DSGVO). Der Gerichtshof stellt fest, dass die DSGVO einer nationalen Regelung nicht entgegensteht, die es Mitbewerbern eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten ermöglicht, diesen Verstoß als verbotene unlautere Geschäftspraxis gerichtlich zu beanstanden. Die Möglichkeit der Mitbewerber, eine solche Klage zu erheben, besteht zusätzlich zu den Eingriffsbefugnissen der zur Überwachung und Durchsetzung dieser Verordnung zuständigen Aufsichtsbehörden sowie den Rechtsschutzmöglichkeiten der betroffenen Personen, die in der DSGVO vorgesehen sind.

Der Gerichtshof entscheidet außerdem, dass Daten, die Kunden bei der Onlinebestellung apothekenpflichtiger Arzneimittel eingeben, Gesundheitsdaten im Sinne der DSGVO darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf. Folglich muss der Verkäufer diese Kunden klar, vollständig und in leicht verständlicher Weise über die spezifischen Umstände und Zwecke der Verarbeitung dieser Daten informieren und ihre ausdrückliche Einwilligung in diese Verarbeitung einholen.

Der deutsche BGH hat einen Rechtsstreit zwischen zwei deutschen Apothekern zu entscheiden. Der Apotheker, dem die „Lindenapotheke“ gehört, vertreibt seit dem Jahr 2017 apothekenpflichtige Medikamente über Amazon. Die Kunden müssen im Rahmen der Onlinebestellung dieser Medikamente verschiedene Informationen eingeben.

Gestützt auf die deutschen Rechtsvorschriften über unlautere Geschäftspraktiken beantragte ein Mitbewerber des Apothekers bei den deutschen Gerichten, dem Inhaber der Lindenapotheke aufzutragen, diese Tätigkeit einzustellen, solange nicht gewährleistet sei, dass die Kunden vorab in die Verarbeitung von Gesundheitsdaten einwilligen können. Die Gerichte erster und zweiter Instanz vertraten die Ansicht, dass dieser Vertrieb eine unlautere und unzulässige Praxis darstelle, da er gegen die Verordnung zum Schutz personenbezogener Daten (VO (EU) 2016/679 – DSGVO) verstoße. Wenn keine ausdrückliche Einwilligung der die Arzneimittel erwerbenden Kunden vorliege, komme es beim Verkauf nämlich zu einer Verarbeitung von Gesundheitsdaten, die gemäß der DSGVO verboten sei.

Der deutsche BGH stellt sich die Frage, ob die nationalen Rechtsvorschriften, die es einem Mitbewerber ermöglichen, auf der Grundlage des Verbots unlauterer Geschäftspraktiken Klage gegen den mutmaßlichen Verletzer von Vorschriften der DSGVO zu erheben, mit dieser Verordnung im Einklang stehen. Nach der DSGVO obliege die Überwachung und Durchsetzung dieser Verordnung nämlich grundsätzlich den nationalen Aufsichtsbehörden und die betroffenen Personen (in diesem Fall die Kunden) seien für die Durchsetzung ihrer Rechte verantwortlich. Der deutsche BGH möchte außerdem wissen, ob die Daten, die beim Kauf apothekenpflichtiger Arzneimittel über das Internet eingegeben werden, Gesundheitsdaten im Sinne der DSGVO darstellen, auch wenn diese Arzneimittel keiner ärztlichen Verschreibung bedürfen. Er hat sich daher an den Gerichtshof gewandt.

Der Gerichtshof antwortet als Erstes, dass die DSGVO einer nationalen Regelung nicht entgegensteht, nach der – zusätzlich zu den Rechten und Befugnissen, die die DSGVO den nationalen Aufsichtsbehörden, den betroffenen Personen und den diese Personen vertretenden Verbänden einräumt – Mitbewerber des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des Verbots unlauterer Geschäftspraktiken wegen eines Verstoßes gegen die DSGVO gerichtlich gegen diese Person vorgehen können. Im Gegenteil – dies trägt unbestreitbar dazu bei, die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten. Im Übrigen kann sich dies als besonders wirksam erweisen, da so zahlreiche Verstöße gegen die DSGVO verhindert werden können.

Als Zweites stellt der Gerichtshof fest, dass die von den Kunden bei der Onlinebestellung apothekenpflichtiger Arzneimittel eingegebenen Daten (wie z. B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen) Gesundheitsdaten im Sinne der DSGVO darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.

Aus diesen Daten kann nämlich mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand einer identifizierten oder identifizierbaren natürlichen Person geschlossen werden, da eine Verbindung zwischen dieser Person und einem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen hergestellt wird, unabhängig davon, ob diese Informationen den Kunden oder eine andere Person betreffen, für die der Kunde die Bestellung tätigt. Folglich ist unerheblich, dass ohne ärztliche Verschreibung Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für die Kunden bestimmt sind, die sie bestellt haben. Nach der Art der Arzneimittel und danach zu differenzieren, ob ihr Verkauf einer ärztlichen Verschreibung bedarf, liefe dem mit der DSGVO verfolgten Ziel eines hohen Schutzniveaus zuwider. Der Verkäufer muss diese Kunden daher klar, vollständig und in leicht verständlicher Weise über die spezifischen Umstände und Zwecke der Verarbeitung dieser Daten informieren und ihre ausdrückliche Einwilligung in diese Verarbeitung einholen.

(EuGH, PM Nr. 159/2023 vom 4.10.2024)