Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 04.10.2024 - C-21/23
EuGH 04.10.2024 - C-21/23 - URTEIL DES GERICHTSHOFS (Große Kammer) - 4. Oktober 2024 ( *1) - „Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Kapitel VIII – Rechtsbehelfe – Vertrieb von Arzneimitteln durch einen Apotheker über eine Onlineplattform – Unter dem Gesichtspunkt des Verbots unlauterer Geschäftspraktiken bei den Zivilgerichten erhobene Klage eines Mitbewerbers des Apothekers wegen dessen Verstoßes gegen die in dieser Verordnung vorgesehenen Pflichten – Klagebefugnis – Art. 4 Nr. 15 und Art. 9 Abs. 1 und 2 – Richtlinie 95/46/EG – Art. 8 Abs. 1 und 2 – Begriff ‚Gesundheitsdaten‘ – Voraussetzungen für die Verarbeitung dieser Daten“
Leitsatz
In der Rechtssache C-21/23
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesgerichtshof (Deutschland) mit Beschluss vom 12. Januar 2023, beim Gerichtshof eingegangen am 19. Januar 2023, in dem Verfahren
ND
gegen
DR
erlässt
DER GERICHTSHOF (Große Kammer)
unter Mitwirkung des Präsidenten K. Lenaerts, des Vizepräsidenten L. Bay Larsen, der Kammerpräsidentin K. Jürimäe, der Kammerpräsidenten C. Lycourgos, E. Regan, F. Biltgen und N. Piçarra, der Richter S. Rodin und P. G. Xuereb, der Richterin L. S. Rossi, der Richter I. Jarukaitis und N. Jääskinen sowie der Richterin I. Ziemele (Berichterstatterin),
Generalanwalt: M. Szpunar,
Kanzler: N. Mundhenke, Verwaltungsrätin,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 9. Januar 2024,
unter Berücksichtigung der Erklärungen
von ND, vertreten durch Rechtsanwälte A. Datta, M. Mogendorf und W. Spoerr,
von DR, vertreten durch Rechtsanwalt M. Bahmann,
der deutschen Regierung, vertreten durch J. Möller und P.-L. Krüger als Bevollmächtigte,
der Europäischen Kommission, vertreten durch A. Bouchagiar, F. Erlbacher und H. Kranenborg als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 25. April 2024
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 9 Abs. 1 und den Bestimmungen des Kapitels VIII der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO) sowie von Art. 8 Abs. 1 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).
Es ergeht im Rahmen eines Rechtsstreits zwischen ND und DR, zwei natürlichen Personen, die jeweils eine Apotheke betreiben, über den Vertrieb apothekenpflichtiger Arzneimittel durch ND über eine Onlineplattform.
Rechtlicher Rahmen
Unionsrecht
Art. 8 („Verarbeitung besonderer Kategorien personenbezogener Daten“) der Richtlinie 95/46 sieht vor:
„(1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben.
(2) Absatz 1 findet in folgenden Fällen keine Anwendung:
Die betroffene Person hat ausdrücklich in die Verarbeitung der genannten Daten eingewilligt, es sei denn, nach den Rechtsvorschriften des Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden;
…“
In den Erwägungsgründen 9 bis 11, 13, 35, 51, 53, 141 und 142 DSGVO heißt es:
Die Ziele und Grundsätze der Richtlinie [95/46] besitzen nach wie vor Gültigkeit, doch hat die Richtlinie nicht verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt wird, Rechtsunsicherheit besteht oder in der Öffentlichkeit die Meinung weit verbreitet ist, dass erhebliche Risiken für den Schutz natürlicher Personen bestehen, insbesondere im Zusammenhang mit der Benutzung des Internets. Unterschiede beim Schutzniveau für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, können den unionsweiten freien Verkehr solcher Daten behindern. Diese Unterschiede im Schutzniveau können daher ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern. Sie erklären sich aus den Unterschieden bei der Umsetzung und Anwendung der Richtlinie [95/46].
Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. … Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden: ‚sensible Daten‘). …
Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.
…
Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. …
…
Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. …
…
Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. … Derartige personenbezogene Daten sollten nicht verarbeitet werden, es sei denn, die Verarbeitung ist in den in dieser Verordnung dargelegten besonderen Fällen zulässig, wobei zu berücksichtigen ist, dass im Recht der Mitgliedstaaten besondere Datenschutzbestimmungen festgelegt sein können, um die Anwendung der Bestimmungen dieser Verordnung anzupassen, damit die Einhaltung einer rechtlichen Verpflichtung oder die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder die Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, möglich ist. Zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen.
…
Besondere Kategorien personenbezogener Daten, die eines höheren Schutzes verdienen, sollten nur dann für gesundheitsbezogene Zwecke verarbeitet werden, wenn dies für das Erreichen dieser Zwecke im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt erforderlich ist, insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des [Gesundheitsbereichs] … Diese Verordnung sollte daher harmonisierte Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Gesundheitsdaten im Hinblick auf bestimmte Erfordernisse [vorsehen], insbesondere wenn die Verarbeitung dieser Daten für gesundheitsbezogene Zwecke von Personen durchgeführt wird, die gemäß einer rechtlichen Verpflichtung dem Berufsgeheimnis unterliegen. Im Recht der Union oder der Mitgliedstaaten sollten besondere und angemessene Maßnahmen zum Schutz der Grundrechte und der personenbezogenen Daten natürlicher Personen vorgesehen werden. Den Mitgliedstaaten sollte gestattet werden, weitere Bedingungen – einschließlich Beschränkungen – in Bezug auf die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten beizubehalten oder einzuführen. …
…
Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbehörde insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts eine Beschwerde einzureichen und gemäß Artikel 47 der Charta [der Grundrechte der Europäischen Union, im Folgenden: Charta] einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. …
Betroffene Personen, die sich in ihren Rechten gemäß dieser Verordnung verletzt sehen, sollten das Recht haben, nach dem Recht eines Mitgliedstaats gegründete Einrichtungen, Organisationen oder Verbände ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentliche[n] Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen oder das Recht auf Schadensersatz in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Die Mitgliedstaaten können vorsehen, dass diese Einrichtungen, Organisationen oder Verbände das Recht haben, unabhängig vom Auftrag einer betroffenen Person in dem betreffenden Mitgliedstaat eine eigene Beschwerde einzulegen, und das Recht auf einen wirksamen gerichtlichen Rechtsbehelf haben sollten, wenn sie Grund zu der Annahme haben, dass die Rechte der betroffenen Person infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung verletzt worden sind. Diesen Einrichtungen, Organisationen oder Verbänden kann unabhängig vom Auftrag einer betroffenen Person nicht gestattet werden, im Namen einer betroffenen Person Schaden[s]ersatz zu verlangen.“
Art. 1 („Gegenstand und Ziele“) DSGVO bestimmt:
„(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
(3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“
Art. 4 DSGVO sieht vor:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden: ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
…
‚Gesundheitsdaten‘ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
…
‚Aufsichtsbehörde‘ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
…“
Kapitel II („Grundsätze“) DSGVO umfasst die Art. 5 bis 11.
In Art. 5 DSGVO sind die Grundsätze für die Verarbeitung personenbezogener Daten festgelegt, in Art. 6 DSGVO die Voraussetzungen für die Rechtmäßigkeit der Verarbeitung.
In Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) DSGVO heißt es:
„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
…
die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
…“
Art. 51 („Aufsichtsbehörde“) Abs. 1 DSGVO bestimmt:
„Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden: ‚Aufsichtsbehörde‘).“
Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) DSGVO enthält die Art. 77 bis 84.
Art. 77 („Recht auf Beschwerde bei einer Aufsichtsbehörde“) Abs. 1 DSGVO lautet:
„Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.“
Art. 78 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde“) Abs. 1 DSGVO sieht vor:
„Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.“
Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) Abs. 1 DSGVO bestimmt:
„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“
Art. 80 („Vertretung von betroffenen Personen“) DSGVO lautet:
„(1) Die betroffene Person hat das Recht, eine Einrichtung, [Organisation] oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentliche[n] Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.
(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.“
Art. 82 („Haftung und Recht auf Schaden[s]ersatz“) Abs. 1 DSGVO bestimmt:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schaden[s]ersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) Abs. 1 DSGVO sieht vor:
„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“
Art. 84 („Sanktionen“) Abs. 1 DSGVO sieht vor:
„Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“
Art. 94 Abs. 1 DSGVO bestimmt:
„Die Richtlinie [95/46] wird mit Wirkung vom 25. Mai 2018 aufgehoben.“
Art. 99 DSGVO lautet:
„(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im [Amtsblatt der Europäischen Union] in Kraft.
(2) Sie gilt ab dem 25. Mai 2018.“
Deutsches Recht
Gesetz gegen den unlauteren Wettbewerb
§ 3 („Verbot unlauterer geschäftlicher Handlungen“) Abs. 1 des Gesetzes gegen den unlauteren Wettbewerb vom 3. Juli 2004 (BGB1. 2004 I S. 1414) in seiner für den Ausgangsrechtsstreit maßgeblichen Fassung (im Folgenden: UWG) sieht vor:
„Unlautere geschäftliche Handlungen sind unzulässig.“
§ 3a („Rechtsbruch“) UWG lautet:
„Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.“
§ 8 („Beseitigung und Unterlassung“) UWG bestimmt:
„(1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. …
…
(3) Die Ansprüche aus Absatz 1 stehen zu:
jedem Mitbewerber, der Waren oder Dienstleistungen in nicht unerheblichem Maße und nicht nur gelegentlich vertreibt oder nachfragt,
…“
Gesetz über den Verkehr mit Arzneimitteln
Das Gesetz über den Verkehr mit Arzneimitteln vom 24. August 1976 (BGBl. 1976 I S. 2445) in der Fassung der Bekanntmachung vom 12. Dezember 2005 (BGBl. 2005 I S. 3394) regelt in der für den Ausgangsrechtsstreit maßgeblichen Fassung den Verkehr mit Arzneimitteln und unterscheidet zwischen Arzneimitteln, die in Apotheken abgegeben werden dürfen, und solchen, die nur auf ärztliche Verschreibung abgegeben werden dürfen und § 48 („Verschreibungspflicht“) unterliegen.
Ausgangsverfahren und Vorlagefragen
ND, der eine Apotheke unter der Geschäftsbezeichnung „Lindenapotheke“ betreibt, vertreibt seit 2017 apothekenpflichtige Arzneimittel über die Onlineplattform „Amazon-Marketplace“ (im Folgenden: Amazon). Bei der Onlinebestellung dieser Arzneimittel müssen Kunden von ND Angaben wie ihren Namen, ihre Lieferadresse und die für die Individualisierung der Arzneimittel notwendigen Informationen eingeben.
DR, der ebenfalls eine Apotheke betreibt, erhob beim Landgericht Dessau-Roßlau (Deutschland) eine Klage, mit der er beantragte, es ND unter Androhung von Ordnungsmitteln zu verbieten, apothekenpflichtige Arzneimittel über Amazon zu vertreiben, solange nicht sichergestellt sei, dass Kunden vorab die Möglichkeit hätten, in die Verarbeitung von Gesundheitsdaten einzuwilligen.
DR stützt seine Klage darauf, dass der Vertrieb apothekenpflichtiger Arzneimittel über Amazon wegen Verstoßes gegen gesetzliche Anforderungen an die gemäß den Rechtsvorschriften über den Schutz personenbezogener Daten erforderliche Einholung einer Einwilligung der Kunden unlauter sei.
Mit Urteil vom 28. März 2018 gab das Landgericht Dessau-Roßlau der Klage statt.
Gegen dieses Urteil legte ND beim Oberlandesgericht Naumburg (Deutschland) Berufung ein, die mit Urteil vom 7. November 2019 zurückgewiesen wurde.
Das Berufungsgericht betrachtete den Vertrieb von apothekenpflichtigen Arzneimitteln über Amazon als unlautere Handlung und daher gemäß § 3 Abs. 1 UWG als unzulässig. Bei einem solchen Vertrieb von Arzneimitteln komme es nämlich zu einer Verarbeitung von Gesundheitsdaten, die gemäß Art. 9 Abs. 1 DSGVO verboten sei, wenn keine ausdrückliche Einwilligung der die Arzneimittel erwerbenden Kunden gemäß Art. 9 Abs. 2 Buchst. a DSGVO vorliege. Die Regeln dieser Verordnung seien als Marktverhaltensregelungen im Sinne von § 3a UWG anzusehen. DR sei als Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG berechtigt, den Unterlassungsanspruch gegenüber ND wegen eines Verstoßes gegen diese Regeln bei den Zivilgerichten durchzusetzen.
ND hat beim Bundesgerichtshof (Deutschland), dem vorlegenden Gericht, Revision eingelegt.
Nach Ansicht dieses Gerichts hängt die Entscheidung des Rechtsstreits von der Auslegung der Bestimmungen des Kapitels VIII DSGVO, des Art. 9 Abs. 1 DGSVO und des Art. 8 Abs. 1 der Richtlinie 95/46 ab.
Als Erstes wirft das vorlegende Gericht die Frage auf, ob die Mitgliedstaaten seit der Aufhebung der Richtlinie 95/46 mit Wirkung vom 25. Mai 2018 – dem Tag, ab dem die DSGVO galt – im nationalen Recht weiterhin vorsehen können, dass Mitbewerber eines Unternehmens wie die in § 8 Abs. 3 Nr. 1 UWG genannten befugt sind, von diesem Unternehmen begangene Verstöße gegen die Bestimmungen der DSGVO auf der Grundlage des Verbots unlauterer Geschäftspraktiken im Klagewege vor einem Zivilgericht zu unterbinden.
Das vorlegende Gericht führt aus, dass diese Frage auf nationaler Ebene unterschiedlich beantwortet werde. Die Antwort lasse sich nämlich weder aus dem Wortlaut der Bestimmungen des Kapitels VIII DSGVO noch aus dem systematischen Zusammenhang dieser Bestimmungen oder aus dem mit dieser Verordnung verfolgten Ziel eindeutig ableiten.
So werde, was zunächst den Wortlaut der Bestimmungen des Kapitels VIII DSGVO angehe, Mitbewerbern eines Unternehmens in diesen Bestimmungen zwar nirgends ausdrücklich die Möglichkeit eingeräumt, gegen dieses Unternehmen Klage zu erheben, insbesondere in Fällen, in denen der Verstoß gegen datenschutzrechtliche Bestimmungen unlautere Geschäftspraktiken darstelle. Gleichzeitig werde eine Klagemöglichkeit aber auch nicht ausdrücklich ausgeschlossen.
Sodann solle, was den systematischen Zusammenhang der Bestimmungen des Kapitels VIII DSGVO betreffe, einerseits mit dieser Verordnung – wie vom Gerichtshof im Urteil vom 28. April 2022, Meta Platforms Ireland (C-319/20, EU:C:2022:322, Rn. 57), festgestellt – eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sichergestellt werden. Dass in Art. 77 Abs. 1, Art. 78 Abs. 1 und 2 und Art. 79 Abs. 1 DSGVO jeweils die Wendung „unbeschadet eines anderweitigen Rechtsbehelfs“ enthalten sei, könne andererseits gegen eine abschließende Regelung der Rechtsdurchsetzung sprechen.
Schließlich könnte es, was das mit der DSGVO verfolgte Ziel der Harmonisierung des Datenschutzrechts und insbesondere der Vereinheitlichung des Durchsetzungsniveaus innerhalb der Union anbelangt, einerseits diesem Ziel entgegenstehen, wenn Mitbewerber über eine wettbewerbsrechtliche Klagebefugnis verfügten und damit Möglichkeiten zur Durchsetzung datenschutzrechtlicher Bestimmungen hätten, die über die in der DSGVO vorgesehenen Instrumente hinausgingen. Es sei auch nicht zweifelsfrei, dass eine Schutzlücke im Durchsetzungssystem der DSGVO vorliege, die durch die Zulassung der wettbewerbsrechtlichen Klagebefugnis der Mitbewerber geschlossen werden müsste. Es könnte die Gefahr bestehen, dass eine Konkurrenz bei der Durchsetzung des Datenschutzrechts zwischen den Aufsichtsbehörden einerseits und den Zivilgerichten andererseits zu einer Beeinträchtigung der Befugnisse der Aufsichtsbehörden und zu Unterschieden bei der Durchsetzung des Datenschutzrechts innerhalb der Union führe.
Den Mitbewerbern eine wettbewerbsrechtliche Klagebefugnis einzuräumen, könnte andererseits eine nach dem Effektivitätsgrundsatz („effet utile“) wünschenswerte zusätzliche Möglichkeit der Rechtsdurchsetzung darstellen, um gemäß dem zehnten Erwägungsgrund der DSGVO ein möglichst hohes Datenschutzniveau zu gewährleisten.
Das vorlegende Gericht weist darauf hin, dass diese Frage nicht bereits durch die Rechtsprechung des Gerichtshofs geklärt worden sei und dass dieser insbesondere im Urteil vom 28. April 2022, Meta Platforms Ireland (C-319/20, EU:C:2022:322), die Frage nach der Klagebefugnis eines Mitbewerbers ausdrücklich offengelassen habe.
Als Zweites stellt sich das vorlegende Gericht die Frage, ob die Daten, die die Kunden bei der Bestellung von Arzneimitteln auf der Onlineverkaufsplattform eingeben müssen (Name, Adresse und für die Individualisierung der Arzneimittel notwendige Informationen), „Gesundheitsdaten“ im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO darstellen.
Die Antwort auf diese Frage sei nicht offensichtlich, sofern es sich bei den bestellten Arzneimitteln um nicht verschreibungspflichtige Arzneimittel handele. Denn in einem solchen Fall sei nicht ausgeschlossen, dass diese Arzneimittel nicht für die Kunden selbst, sondern für nicht identifizierbare Dritte bestimmt seien.
Allein anhand des Wortlauts dieser Bestimmungen und von Art. 4 Nr. 15 DSGVO in Verbindung mit ihrem 35. Erwägungsgrund lasse sich die Frage nicht beantworten.
Allerdings habe der Gerichtshof in Rn. 125 des Urteils vom 1. August 2022, Vyriausioji tarnybinės etikos komisija (C-184/20, EU:C:2022:601), entschieden, dass der Begriff „besondere Kategorien personenbezogener Daten“ gemäß Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO in Anbetracht des Ziels dieser Verordnung, das darin bestehe, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten, weit auszulegen sei. Bei einer solchen weiten Auslegung dieses Begriffs ließe sich der Schluss ziehen, dass derartige Informationen auch dann Gesundheitsdaten darstellten, wenn nicht mit Sicherheit, sondern nur mit einer gewissen Wahrscheinlichkeit davon auszugehen sei, dass die Kunden, die die Arzneimittel bestellten, diese für sich bestellten.
Das vorlegende Gericht erläutert, dass der von DR geltend gemachte Unterlassungsanspruch voraussetze, dass das in Rede stehende Verhalten von ND sowohl zum Zeitpunkt seiner Vornahme rechtswidrig gewesen sei als auch zum Zeitpunkt der Revisionsverhandlung rechtswidrig sei, wobei zum ersten dieser beiden Zeitpunkte noch Art. 8 Abs. 1 der Richtlinie 95/46 maßgeblich gewesen sei, zum zweiten Zeitpunkt aber Art. 9 Abs. 1 DSGVO gelte.
Vor diesem Hintergrund hat der Bundesgerichtshof beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
Stehen die Regelungen in Kapitel VIII DSGVO nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern die Befugnis einräumen, wegen Verstößen gegen die DSGVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen?
Sind die Daten, die Kunden eines Apothekers, der auf einer Internet-Verkaufsplattform als Verkäufer auftritt, bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform eingeben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO sowie Daten über Gesundheit im Sinne von Art. 8 Abs. 1 der Datenschutz-Richtlinie?
Zu den Vorlagefragen
Zur ersten Frage
Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob die Bestimmungen des Kapitels VIII DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung dieser Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Befugnis einräumt, wegen Verstößen gegen die DSGVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen.
Vorab ist darauf hinzuweisen, dass Kapitel VIII DSGVO u. a. die Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person geschützt werden können, wenn die sie betreffenden personenbezogenen Daten Gegenstand einer Verarbeitung gewesen sind, die mutmaßlich gegen die Bestimmungen dieser Verordnung verstößt. Der Schutz dieser Rechte kann somit entweder gemäß Art. 77 bis 79 DSGVO unmittelbar von der betroffenen Person oder nach Art. 80 DSGVO von einer befugten Einrichtung – mit oder ohne entsprechenden Auftrag –beansprucht werden (vgl. in diesem Sinne Urteil vom 28. April 2022, Meta Platforms Ireland,C-319/20, EU:C:2022:322, Rn. 53).
Zum einen sieht Art. 77 Abs. 1 DSGVO nämlich vor, dass jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde hat. Nach Art. 78 Abs. 1 DSGVO hat jede natürliche oder juristische Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde, und zwar unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs. Art. 79 Abs. 1 DSGVO garantiert jeder betroffenen Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO.
Zum anderen hat die betroffene Person nach Art. 80 Abs. 1 DSGVO das Recht, eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht unter bestimmten Voraussetzungen zu beauftragen, in ihrem Namen eine Beschwerde einzureichen oder die in den Art. 77 bis 79 DGSVO genannten Rechte wahrzunehmen. Außerdem können die Mitgliedstaaten nach Art. 80 Abs. 2 DSGVO vorsehen, dass jede Einrichtung, Organisation oder Vereinigung unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der Aufsichtsbehörde eine solche Beschwerde einzulegen und diese Rechte in Anspruch zu nehmen, wenn ihres Erachtens die nach dieser Verordnung bestehenden Rechte einer betroffenen Person infolge einer Verarbeitung sie betreffender personenbezogener Daten verletzt worden sind.
Im vorliegenden Fall ergibt sich aus den dem Gerichtshof vorliegenden Akten, dass ND, der eine Apotheke betreibt, über Amazon apothekenpflichtige Arzneimittel vertreibt und dass die Kunden bei der Onlinebestellung dieser Arzneimittel Daten wie ihren Namen, ihre Lieferadresse und die für die Individualisierung der Arzneimittel notwendigen Informationen eingeben müssen. Im Ausgangsverfahren wurde die Klage bei einem Zivilgericht jedoch weder nach Art. 79 DSGVO von diesen Kunden, bei denen es sich um betroffene Personen im Sinne von Art. 4 Nr. 1 DSGVO handelt, noch gemäß Art. 80 DSGVO von einer Einrichtung, Organisation oder Vereinigung – mit oder ohne entsprechenden Auftrag einer betroffenen Person – erhoben, sondern von einem Wettbewerber dieses Apothekers unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken aufgrund der Verstöße, die dieser Apotheker gegen die Bestimmungen der DSGVO begangen haben soll.
Das Ausgangsverfahren wirft also die Frage auf, ob die DSGVO dem entgegensteht, dass ein Mitbewerber wie DR, der keine betroffene Person im Sinne von Art. 4 Nr. 1 dieser Verordnung ist, befugt ist, bei den nationalen Zivilgerichten eine solche Klage zu erheben.
Hierzu ist darauf hinzuweisen, dass bei der Auslegung einer unionsrechtlichen Vorschrift nicht nur ihr Wortlaut, sondern auch ihr Kontext und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden (Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, Rn. 32).
Zum Wortlaut der Bestimmungen des Kapitels VIII DSGVO ist festzustellen, dass in keiner dieser Bestimmungen ausdrücklich ausgeschlossen wird, dass ein Mitbewerber eines Unternehmens unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken wegen eines angeblichen Verstoßes dieses Unternehmens gegen die in der DSGVO vorgesehenen Pflichten bei den Zivilgerichten Klage gegen dieses Unternehmen erheben kann. Aus Art. 77 Abs. 1, Art. 78 Abs. 1 und Art. 79 Abs. 1 DSGVO, die in Rn. 48 des vorliegenden Urteils angeführt wurden, ergibt sich vielmehr, dass das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde und gegen einen Verantwortlichen oder Auftragsverarbeiter gemäß diesen Bestimmungen „unbeschadet“ jegliches anderen verwaltungsrechtlichen, gerichtlichen oder außergerichtlichen Rechtsbehelfs besteht.
Zum Regelungszusammenhang von Kapitel VIII DSGVO ist darauf hinzuweisen, dass diese Verordnung in ihrem Kapitel II materielle Bestimmungen enthält, die u. a. die Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5) und die Voraussetzungen für die Rechtmäßigkeit der Verarbeitung (Art. 6) umfassen und die uneingeschränkte Achtung insbesondere des in Art. 16 Abs. 1 AEUV und Art. 8 der Charta verankerten Grundrechts der betroffenen Personen auf Schutz personenbezogener Daten sicherstellen sollen. Dass Kapitel VIII DSGVO keine Bestimmungen enthält, die vorsehen, dass Mitbewerber eines Unternehmens, das gegen diese materiellen Bestimmungen verstoßen haben soll, Klage auf Unterlassung dieser Verstöße erheben können, geht darauf zurück, dass – wie vom Generalanwalt in Nr. 80 seiner Schlussanträge ausgeführt – nur betroffene Personen, nicht aber diese Mitbewerber Adressaten des durch diese Verordnung gewährleisteten Schutzes personenbezogener Daten sind.
Ist der Verstoß gegen diese materiellen Bestimmungen jedoch geeignet, sich vorrangig auf die von den fraglichen Daten betroffenen Personen auszuwirken, kann er auch Dritte beeinträchtigen. Dies wird dadurch verdeutlicht, dass Art. 82 Abs. 1 DSGVO für „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“, ein Recht auf Schadensersatz vorsieht. Der Gerichtshof hat auch bereits festgestellt, dass der Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig den Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen kann (Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 78) und ein wichtiges Indiz für die Beurteilung der Frage, ob ein Missbrauch einer beherrschenden Stellung im Sinne von Art. 102 AEUV vorliegt, darstellen kann (vgl. in diesem Sinne Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 47 und 62).
In diesem Zusammenhang ist darauf hinzuweisen, dass der Zugang zu personenbezogenen Daten sowie deren Verwertung im Rahmen der digitalen Wirtschaft von erheblicher Bedeutung sind. Der Zugang zu personenbezogenen Daten und die Möglichkeit ihrer Verarbeitung sind nämlich zu einem bedeutenden Parameter des Wettbewerbs zwischen Unternehmen der digitalen Wirtschaft geworden. Um der tatsächlichen wirtschaftlichen Entwicklung Rechnung zu tragen und einen lauteren Wettbewerb zu wahren, kann es also erforderlich sein, bei der Durchsetzung des Wettbewerbsrechts und der Regeln über unlautere Geschäftspraktiken die Vorschriften zum Schutz personenbezogener Daten zu berücksichtigen (vgl. in diesem Sinne Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 50 und 51).
Außerdem ergibt sich zwar aus Art. 1 Abs. 1 DSGVO im Licht insbesondere der Erwägungsgründe 9 und 13 der Verordnung, dass diese eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen soll. Mehrere ihrer Bestimmungen eröffnen den Mitgliedstaaten aber ausdrücklich die Möglichkeit, zusätzliche – strengere oder einschränkende – nationale Vorschriften vorzusehen, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise ihrer Durchführung lassen („Öffnungsklauseln“) (Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 57).
Der Gerichtshof hat bereits festgestellt, dass dies für Art. 80 Abs. 2 DSGVO gilt, der den Mitgliedstaaten einen Ermessensspielraum hinsichtlich seiner Umsetzung lässt und der einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage insbesondere mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann (Urteil vom 28. April 2022, Meta Platforms Ireland,C-319/20, EU:C:2022:322, Rn. 59 und 83).
Zwar enthalten die Bestimmungen des Kapitels VIII DSGVO keine solche spezielle Öffnungsklausel, die es den Mitgliedstaaten ausdrücklich erlaubt, den Mitbewerbern eines Unternehmens, das angeblich gegen die materiellen Bestimmungen dieser Verordnung verstößt, die Möglichkeit einzuräumen, auf Unterlassung dieses Verstoßes zu klagen.
Aus dem Wortlaut und dem Kontext der Bestimmungen dieses Kapitels VIII, die in den Rn. 53 bis 58 des vorliegenden Urteils erläutert wurden, ergibt sich jedoch, dass der Unionsgesetzgeber mit dem Erlass dieser Verordnung keine umfassende Harmonisierung der Rechtsbehelfe, die bei einem Verstoß gegen die Bestimmungen der DSGVO zur Verfügung stehen, vornehmen und insbesondere nicht ausschließen wollte, dass Mitbewerber eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des nationalen Rechts unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken Klage erheben können.
Diese Auslegung wird durch die mit der DSGVO verfolgten Ziele bestätigt. Insbesondere aus dem zehnten Erwägungsgrund dieser Verordnung geht nämlich hervor, dass bei der Verarbeitung personenbezogener Daten ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen gewährleistet und die Hemmnisse für den Verkehr personenbezogener Daten in der Union beseitigt werden sollen. Im elften Erwägungsgrund der Verordnung heißt es außerdem, dass ein wirksamer Schutz dieser Daten die Stärkung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen erfordert, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Fall ihrer Verletzung. Dem 13. Erwägungsgrund der Verordnung zufolge ist, damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten gewährleistet.
Die Möglichkeit für den Mitbewerber eines Unternehmens, unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken bei den Zivilgerichten Klage auf Unterlassung eines von diesem Unternehmen angeblich begangenen Verstoßes gegen die materiellen Bestimmungen der DSGVO zu erheben, lässt diese Ziele nicht nur unberührt, sondern kann die praktische Wirksamkeit dieser Bestimmungen sogar verstärken und damit das mit dieser Verordnung angestrebte hohe Schutzniveau der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verbessern.
Denn zum einen hat eine Unterlassungsklage, die von einem Mitbewerber gegen ein Unternehmen unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken wegen eines behaupteten Verstoßes gegen die materiellen Bestimmungen der DSGVO erhoben wird, keinerlei Einfluss auf das in Kapitel VIII dieser Verordnung vorgesehene Rechtsbehelfssystem oder auf das Ziel, in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen zu gewährleisten und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, zu beseitigen.
Zwar kann eine solche Klage, wenn auch inzident, auf dem Verstoß gegen die gleichen Bestimmungen der DSGVO beruhen wie jene, auf die betroffene Personen oder eine Einrichtung, Organisation oder Vereinigung im Sinne von Art. 80 dieser Verordnung gemäß deren Art. 77 bis 79 eine Beschwerde oder einen Rechtsbehelf stützen können.
Doch dient erstens eine von einem Mitbewerber erhobene Unterlassungsklage – im Unterschied zu den Art. 77 bis 80 DSGVO – nicht dem Ziel, die Grundrechte und Grundfreiheiten der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten zu schützen; vielmehr soll, im Interesse insbesondere dieses Mitbewerbers, ein lauterer Wettbewerb sichergestellt werden.
Zweitens besteht die Möglichkeit eines Mitbewerbers, unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken bei den Zivilgerichten eine solche Klage zu erheben, zusätzlich zu den Rechtsbehelfen gemäß den Art. 77 bis 79 DSGVO, die uneingeschränkt erhalten bleiben und von den betroffenen Personen sowie gegebenenfalls von den Einrichtungen, Organisationen oder Vereinigungen im Sinne von Art. 80 DSGVO jederzeit ergriffen werden können.
Insbesondere ist, wie von der deutschen Regierung ausgeführt, durch eine Koexistenz von datenschutzrechtlichen und wettbewerbsrechtlichen Rechtsbehelfen keine Gefahr für die einheitliche Durchsetzung der DSGVO zu befürchten. Aus den Art. 77 bis 80 DGSVO ergibt sich, dass diese Verordnung weder eine vorrangige oder ausschließliche Zuständigkeit vorsieht noch einen Vorrang der Beurteilung der genannten Behörde oder des genannten Gerichts zum Vorliegen einer Verletzung der durch die Verordnung verliehenen Rechte (vgl. in diesem Sinne Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, Rn. 35). Folglich wirkt sich die Erhebung einer Unterlassungsklage durch einen Mitbewerber des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten bei den Zivilgerichten nicht auf das durch Kapitel VIII DSGVO geschaffene Rechtsbehelfssystem aus. Außerdem wird, wie ebenfalls von der deutschen Regierung dargelegt, durch das in Art. 267 AEUV vorgesehene Vorabentscheidungsverfahren gewährleistet, dass die materiellen Bestimmungen der DSGVO, die die Aufsichtsbehörde und die auf der Grundlage der Art. 77 bis 80 DSGVO angerufenen Gerichte auf der einen Seite und die von einem solchen Mitbewerber unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken angerufenen Gerichte auf der anderen Seite möglicherweise auf den gleichen Verstoß anwenden, einheitlich ausgelegt werden.
Drittens wird, wie vom Generalanwalt im Wesentlichen in Nr. 104 seiner Schlussanträge ausgeführt, die Verwirklichung des Ziels, in der Union ein gleichmäßiges Datenschutzniveau für die betroffenen Personen zu gewährleisten und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, zu beseitigen, nicht dadurch gefährdet, dass auch anderen als den betroffenen Personen und den Einrichtungen, Organisationen und Vereinigungen gemäß Art. 80 DSGVO die Möglichkeit eingeräumt wird, sich auf die materiellen Bestimmungen der DSGVO zu berufen. Selbst wenn einzelne Mitgliedstaaten diese Möglichkeit nicht vorsähen, würde dies nämlich nicht zu einer Fragmentierung der Umsetzung des Datenschutzes in der Union führen, weil die materiellen Bestimmungen der DSGVO für alle Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO gleichermaßen verbindlich sind und ihre Einhaltung durch die in dieser Verordnung vorgesehenen Rechtsbehelfe sichergestellt wird.
Zum anderen ist zum Ziel der Gewährleistung eines wirksamen Schutzes der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten und zur praktischen Wirksamkeit der materiellen Bestimmungen der DSGVO festzustellen, dass – wie in Rn. 65 des vorliegenden Urteils ausgeführt – eine von einem Mitbewerber des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten erhobene Unterlassungsklage zwar nicht diesem Ziel dient, sondern einen lauteren Wettbewerb sicherstellen soll; sie trägt jedoch unbestreitbar zur Einhaltung dieser Bestimmungen und damit dazu bei, die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten (vgl. in diesem Sinne Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 74).
Im Übrigen könnte sich eine solche Unterlassungsklage eines Mitbewerbers, ähnlich wie Klagen von Verbänden zur Wahrung von Verbraucherinteressen, für die Gewährleistung dieses Schutzes als besonders wirksam erweisen, da sie es ermöglicht, zahlreiche Verletzungen der Rechte der von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen zu verhindern (vgl. in diesem Sinne Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 75).
Daraus folgt, dass die in Rn. 60 des vorliegenden Urteils vorgenommene Auslegung im Einklang mit den Anforderungen steht, die sich aus Art. 16 Abs. 1 AEUV und Art. 8 der Charta ergeben, und damit mit dem Ziel der DSGVO, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. in diesem Sinne Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 73).
Im vorliegenden Fall ist es Sache des vorlegenden Gerichts, zu prüfen, ob der mutmaßliche Verstoß gegen die im Ausgangsverfahren in Rede stehenden materiellen Bestimmungen der DSGVO, sofern er erwiesen ist, auch einen Verstoß gegen das Verbot der Vornahme unlauterer Geschäftspraktiken gemäß den einschlägigen nationalen Regelungen darstellt.
Nach alledem ist auf die erste Frage zu antworten, dass die Bestimmungen des Kapitels VIII DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung nicht entgegenstehen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung dieser Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Befugnis einräumt, wegen Verstößen gegen die DSGVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen.
Zur zweiten Frage
Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO dahin auszulegen sind, dass in einem Fall, in dem der Betreiber einer Apotheke über eine Onlineplattform apothekenpflichtige Arzneimittel vertreibt, Daten, die seine Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen (wie z. B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen), Gesundheitsdaten im Sinne dieser Bestimmungen darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.
Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO, die einen ähnlichen Regelungsgehalt haben, soweit es um die Auslegung geht, die der Gerichtshof vorzunehmen hat (Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, Rn. 58 und 117), und die gemäß der Überschrift dieser Artikel die Verarbeitung „besonderer Kategorien“ personenbezogener Daten betreffen, stellen den Grundsatz des Verbots solcher Bearbeitungen auf. Wie im 51. Erwägungsgrund der DSGVO ausdrücklich dargelegt wird, verdienen personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, nämlich einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können.
Zu diesen besonderen Kategorien personenbezogener Daten, die in Art. 8 Abs. 1 der Richtlinie 95/46 und in Art. 9 Abs. 1 DSGVO aufgeführt sind, zählen auch Gesundheitsdaten. Diese umfassen gemäß Art. 4 Nr. 15 DSGVO in Verbindung mit dem 35. Erwägungsgrund der Verordnung alle personenbezogenen Daten, aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand einer natürlichen Person hervorgehen, einschließlich Daten betreffend die Erbringung von Gesundheitsdienstleistungen an diese Person.
Außerdem ergibt sich insbesondere aus Art. 4 Nr. 1 DSGVO, dass der Begriff „personenbezogene Daten“ alle Informationen umfasst, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, und dass es, damit eine Person „identifizierbar“ ist, ausreicht, dass sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Onlinekennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Wenn also aus den Daten zum Erwerb von Arzneimitteln Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können, sind sie als Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO anzusehen.
Im vorliegenden Fall ergibt sich aus den dem Gerichtshof vorliegenden Akten, dass die Kunden von ND bei der Onlinebestellung von apothekenpflichtigen Arzneimitteln über Amazon Daten wie ihren Namen, die Lieferadresse und Informationen zur Individualisierung der Arzneimittel eingeben. Bei diesen Informationen handelt es sich zweifellos um „personenbezogene Daten“, da sie identifizierte oder identifizierbare natürliche Personen betreffen.
Unter diesen Umständen ist zu ermitteln, ob aus diesen Daten auf den Gesundheitszustand dieser Personen im Sinne von Art. 4 Nr. 15 DSGVO geschlossen werden kann, und sie damit Gesundheitsdaten im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO darstellen.
In diesem Zusammenhang hat der Gerichtshof bereits entschieden, dass angesichts des Ziels der Richtlinie 95/46 und der DSGVO, das darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten, der Begriff „Gesundheitsdaten“ gemäß Art. 9 Abs. 1 DSGVO, der dem Begriff „Daten über Gesundheit“ in Art. 8 Abs. 1 der Richtlinie 95/46 entspricht, weit auszulegen ist (vgl. in diesem Sinne Urteile vom 6. November 2003, Lindqvist, C-101/01, EU:C:2003:596, Rn. 50, und vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, Rn. 125).
Diese Bestimmungen können insbesondere nicht dahin ausgelegt werden, dass die Verarbeitung personenbezogener Daten, die indirekt sensible Informationen über eine natürliche Person offenbaren können, von der in diesen Bestimmungen vorgesehenen verstärkten Schutzregelung ausgenommen ist, da anderenfalls die praktische Wirksamkeit dieser Regelung und der von ihr bezweckte Schutz der Grundrechte und Grundfreiheiten natürlicher Personen beeinträchtigt würden (Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, Rn. 127).
Damit personenbezogene Daten als Gesundheitsdaten im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO eingestuft werden können, genügt folglich, dass aus diesen Daten mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person geschlossen werden kann (vgl. in diesem Sinne Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, Rn. 123).
Aus den Daten, die ein Kunde bei der Bestellung von apothekenpflichtigen Arzneimitteln über eine Onlineplattform eingibt, kann mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person im Sinne von Art. 4 Nr. 1 DSGVO geschlossen werden, da die Bestellung eine Verbindung zwischen einem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen und einer identifizierten oder durch Angaben wie den Namen oder die Lieferadresse identifizierbaren natürlichen Person herstellt.
Das vorlegende Gericht stellt sich jedoch die Frage, ob der Umstand, dass für den Verkauf der bestellten Arzneimittel keine ärztliche Verschreibung erforderlich ist, insoweit relevant ist, als die Arzneimittel in diesem Fall nicht unbedingt für den Kunden bestimmt sind, der sie bestellt, sondern möglicherweise für Dritte.
Für die Zwecke der Anwendung von Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO ist in dem Fall, dass der Betreiber einer Apotheke im Rahmen einer über eine Onlineplattform ausgeübten Tätigkeit personenbezogene Daten verarbeitet, zu prüfen, ob diese Daten die Offenlegung von Informationen ermöglichen, die unter eine der in diesen Bestimmungen genannten Kategorien fallen, unabhängig davon, ob diese Informationen einen Nutzer dieser Plattform oder eine andere natürliche Person betreffen. Ist dies der Fall, ist eine solche Verarbeitung personenbezogener Daten vorbehaltlich der in Abs. 2 dieser Bestimmungen vorgesehenen Ausnahmen untersagt (vgl. in diesem Sinne Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 68).
Dieses grundsätzliche Verbot gilt unabhängig davon, ob die durch die fragliche Verarbeitung offengelegte Information richtig ist oder nicht und ob der Betreiber mit dem Ziel handelt, Informationen zu erhalten, die unter eine der in Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO genannten besonderen Kategorien fallen. In Anbetracht der erheblichen Risiken für die Grundfreiheiten und Grundrechte der betroffenen Personen, die sich aus jeder Verarbeitung personenbezogener Daten ergeben, die unter eine dieser Kategorien fallen, zielen diese Vorschriften nämlich darauf ab, solche Datenverarbeitungen unabhängig von ihrem erklärten Zweck und der Richtigkeit der betreffenden Informationen zu verbieten (vgl. in diesem Sinne Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 69 und 70).
Demnach ist, wenn ein Nutzer einer Onlineplattform bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln personenbezogene Daten übermittelt, die Verarbeitung dieser Daten durch den Betreiber einer Apotheke, der diese Arzneimittel über die Onlineplattform vertreibt, als eine Verarbeitung von Gesundheitsdaten im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO anzusehen, da durch die Verarbeitung dieser Daten Informationen über den Gesundheitszustand einer natürlichen Person offengelegt werden können, und zwar unabhängig davon, ob diese Informationen den Nutzer oder eine andere Person betreffen, für die diese Bestellung getätigt wird (vgl. in diesem Sinne Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 73).
Eine Auslegung dieser Bestimmungen, bei der nach der Art der betreffenden Arzneimittel und danach differenziert würde, ob ihr Verkauf einer ärztlichen Verschreibung bedarf, stünde nämlich nicht im Einklang mit dem in Rn. 81 des vorliegenden Urteils genannten Ziel eines hohen Schutzniveaus. Eine solche Auslegung liefe zudem dem Zweck von Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO zuwider, der darin besteht, einen erhöhten Schutz vor Datenverarbeitungen zu gewährleisten, die, wie sich insbesondere aus dem 51. Erwägungsgrund der DSGVO ergibt, aufgrund der besonderen Sensibilität der betreffenden Daten einen besonders schweren Eingriff in die durch die Art. 7 und 8 der Charta garantierten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen können (Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, Rn. 126 und die dort angeführte Rechtsprechung).
Folglich stellen die Angaben, die die Kunden eines Apothekenbetreibers bei der Onlinebestellung apothekenpflichtiger, aber nicht verschreibungspflichtiger Arzneimittel eingeben, Gesundheitsdaten im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO dar, auch wenn diese Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für diese Kunden bestimmt sind.
Im Übrigen lässt sich, selbst wenn solche Arzneimittel für andere Personen als die Kunden bestellt werden, nicht ausschließen, dass diese Personen identifiziert und Rückschlüsse auf ihren Gesundheitszustand gezogen werden können. Dies könnte z. B. der Fall sein, wenn die Arzneimittel nicht an den Wohnort des Kunden geliefert werden, der sie bestellt hat, sondern an den Wohnort eines Dritten, oder wenn der Kunde unabhängig von der Lieferadresse bei der Bestellung oder im Rahmen der damit einhergehenden Kommunikation auf eine andere identifizierbare Person Bezug genommen hat, etwa ein Familienmitglied. Ist für die Bestellung eine Identifizierung und/oder eine Registrierung des Kunden erforderlich, beispielsweise durch das Anlegen eines Kundenkontos oder die Aufnahme des Kunden in ein Treueprogramm, ist ebenfalls nicht ausgeschlossen, dass die vom Kunden in diesem Zusammenhang gemachten Angaben – insbesondere in Kombination mit Informationen über die bestellten Arzneimittel – verwendet werden können, um Rückschlüsse nicht nur auf seinen Gesundheitszustand, sondern auch auf den eines Dritten zu ziehen.
Schließlich verhindert, wie in Rn. 86 des vorliegenden Urteils ausgeführt, der Umstand, dass Angaben, wie sie im Ausgangsrechtsstreit in Rede stehen, Gesundheitsdaten im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO darstellen, nicht, dass sie, wie sich u. a. aus dem 53. Erwägungsgrund der DGSVO ergibt, insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheitsbereichs verarbeitet werden können, wenn eine der in Abs. 2 dieser Bestimmungen genannten Voraussetzungen erfüllt ist.
Dies kann vor allem dann der Fall sein, wenn zum einen gemäß Buchst. a dieses Abs. 2 und vorbehaltlich der dort vorgesehenen Ausnahme die betroffene Person ausdrücklich in die ein- oder mehrmalige Verarbeitung dieser personenbezogenen Daten einwilligt, nachdem ihr die spezifischen Umstände und Zwecke klar, vollständig und in leicht verständlicher Weise dargelegt wurden. Zum anderen kann eine solche Verarbeitung nach Art. 9 Abs. 2 Buchst. h DSGVO zulässig sein, wenn sie für Zwecke der Versorgung im Gesundheitsbereich auf der Grundlage des Unionsrechts, des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist.
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO dahin auszulegen sind, dass in einem Fall, in dem der Betreiber einer Apotheke über eine Onlineplattform apothekenpflichtige Arzneimittel vertreibt, Daten, die seine Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen (wie z. B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen), Gesundheitsdaten im Sinne dieser Bestimmungen darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:
Die Bestimmungen des Kapitels VIII der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
sind dahin auszulegen, dass
sie einer nationalen Regelung nicht entgegenstehen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung dieser Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Befugnis einräumt, wegen Verstößen gegen die DSGVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen.
Art. 8 Abs. 1 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie Art. 9 Abs. 1 der Verordnung 2016/679
sind dahin auszulegen, dass
in einem Fall, in dem der Betreiber einer Apotheke über eine Onlineplattform apothekenpflichtige Arzneimittel vertreibt, Daten, die seine Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen (wie z. B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen), Gesundheitsdaten im Sinne dieser Bestimmungen darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.
Unterschriften
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK Rheinland-Pfalz/Saarland
Persönlicher Ansprechpartner