EuGH-Urteil vom 4.10.2024, Rechtssache C‑21/23
Sachverhalt:
Eine Apotheke namens „Lindenapotheke“ vertreibt seit 2017 apothekenpflichtige Arzneimittel über die Onlineplattform Amazon. Kunden müssen bei der Bestellung personenbezogene Daten, einschließlich Gesundheitsinformationen, angeben. Ein Apotheker klagte beim Landgericht Dessau-Roßlau gegen diese Geschäftspraxis und argumentierte, dass der Verkauf über Amazon unlauter sei, da die Kunden nicht ausdrücklich in die Verarbeitung ihrer Gesundheitsdaten einwilligen könnten.
Das Erstgericht gab der Klage statt. Die Berufung der „Lindenapotheke“ wurde zurückgewiesen. Der danach mit dem Verfahren befasste BGH legte den Fall dem EuGH zur Vorabentscheidung vor.
Entscheidung:
Der EuGH hatte insbesondere zu klären, ob die bei einer Bestellung erfassten Daten – darunter Name, Lieferadresse und bestellte Medikamente – als Gesundheitsdaten im Sinne von Artikel 9 DSGVO gelten. Falls dies zutrifft, stellte sich die Frage, ob Wettbewerber rechtlich gegen Verstöße in diesem Zusammenhang vorgehen können. Zudem war zu prüfen, ob der Verkauf rezeptfreier Medikamente überhaupt unter die Regelung des Art. 9 DSGVO fällt.
Der EuGH entschied, dass die DSGVO einer nationalen Regelung nicht entgegensteht, die es Wettbewerbern erlauben, wegen Datenschutzverstößen von Mitbewerbern zu klagen. Wenn ein Unternehmen gegen die DSGVO verstößt und dadurch unlauteren Wettbewerb betreibt, können Mitbewerber also vor Zivilgerichten rechtliche Schritte einleiten.
Zur Frage der „Gesundheitsdaten“ führte der EuGH aus, dass es sich um eine Verarbeitung von Gesundheitsdaten im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO handelt, wenn ein Nutzer einer Onlineplattform bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln personenbezogene Daten übermittelt. Durch die Verarbeitung dieser Daten können Informationen über den Gesundheitszustand einer natürlichen Person offengelegt werden können, und zwar unabhängig davon, ob diese Informationen den Nutzer oder eine andere Person betreffen, für die diese Bestellung getätigt wird. Folglich stellen die Angaben, die die Kunden eines Apothekenbetreibers bei der Onlinebestellung eingeben Gesundheitsdaten dar, auch wenn diese Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für diese Kunden bestimmt sind.
Der EuGH entschied daher, dass Kundendaten, die beim Kauf nicht verschreibungspflichtiger Medikamente erfasst werden – wie Name, Lieferadresse und bestellte Produkte – als „Gesundheitsdaten“ im Sinne der DSGVO gelten. Selbst einfache Informationen über Standardmedikamente können Hinweise auf die Gesundheit des Kunden geben. Daher fallen sie unter die besondere Kategorie personenbezogener Daten gemäß Artikel 9 DSGVO.
Eine Verarbeitung dieser Daten ist nur mit einer Ausnahme vom allgemeinen Verbot zulässig, beispielsweise, wenn gemäß Abs. 2 Buchst. a und vorbehaltlich der dort vorgesehenen Ausnahme die betroffene Person ausdrücklich in die Verarbeitung einwilligt, nachdem ihr die spezifischen Umstände und Zwecke klar, vollständig und in leicht verständlicher Weise dargelegt wurden.
Weitere EuGH-Entscheidungen zur DSGVO: