Der Bundesgerichtshof (BGH) hat dem Europäischen Gerichtshof (EuGH) jüngst in einem Vorabentscheidungsverfahren wegweisende Fragen zur Auslegung der Definition von Gesundheitsdaten und zur Abmahnbarkeit von DSGVO-Verstößen durch Wettbewerber gestellt (BGH, Beschl. v. 12.1.2022, Az. I ZR 223/19).
BGH will wissen, ob Apotheken ohne ausdrückliche Einwilligung der Kunden apothekenpflichtige Medikamente auf Internetplattformen verkaufen dürfen
Wer in einer Apotheke ohne Rezept Medikamente für sich einkauft, kann diese mit Barzahlung bezahlen und anonym bleiben. Auch bei der Bezahlung mit EC- oder Kreditkarte landen Kunden nicht automatisch in einer Kundendatei. Wer hingegen im Internet, z. B. bei Amazon einkauft, muss dort ein Kundenkonto anlegen und die persönlichen Daten werden zur Durchführung der Bestellung, Rechnungserstellung und Versand von der Plattform an den Verkäufer übermittelt und dauerhaft gespeichert.
Eintrag in die Kundendatei einer Apotheke vor Ort nur mit entsprechender Einwilligung
Auch in einer Apotheke können die Kunden bekannt werden, indem sie sich in eine Kundendatei eintragen lassen, um beispielsweise Bonuspunkte beim Kauf von Medikamenten zu sammeln oder individualisierte Werbung zu erhalten. Eine Speicherung dieser personenbezogenen Gesundheitsdaten in der Kundendatei darf nur mit entsprechender ausdrücklicher, zweckgebundener Einwilligung erfolgen.
Ein Apotheker bemerkte, dass seine Konkurrenz auf der Internetplattform Amazon Marketplace nicht-rezeptpflichtige Medikamente zum Kauf anbot und somit automatisch, ähnlich einer Kundendatei, eine Speicherung über Kunden und deren erworbene Medikamente erfolgte. Eine entsprechende Einwilligung hierfür konnte der Konkurrent jedoch nicht nachweisen.
In der Regel kann der Verkäufer, der sich einer Verkaufsplattform bedient, auch keine eigenen zusätzlichen Zwischenschritte einbauen, um beispielsweise eine Einwilligung einzuholen. Wenn der Verkauf über die Internetplattform mangels erforderlicher Einwilligung datenschutzrechtlich nicht in zulässiger Weise abgewickelt werden kann, darf dieser Vertriebsweg nicht genutzt werden. Der EuGH wird nun zu klären haben, ob eine solche Einwilligung erforderlich ist oder nicht.
Reichweite der Definition von Gesundheitsdaten umstritten
Die datenschutzrechtliche ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO ist im streitgegenständlichen Fall nur erforderlich, wenn es sich bei der Verarbeitung der Kundendaten zum Medikamentenkauf über die Internetplattform um Gesundheitsdaten handelt.
Dem Wortlaut von Art. 4 Nr. 15 DSGVO nach sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Bei der Bestellung von Medikamenten über Amazon kann der Verkäufer aber nur mit einer gewissen Wahrscheinlichkeit davon ausgehen, dass die bestellende Person das Medikament auch einnehmen wird. Nur in diesem Fall gehen aus den Bestelldaten auch Informationen über den Gesundheitszustand über die Person hervor. Es ist nicht ausgeschlossen, dass nicht-rezeptpflichtige Ware für eine dritte Person gekauft werden, die weder der Internetplattform noch der Apotheke, die darüber verkauft, bekannt sind. In dem Fall würden die Informationen gerade nichts über den Gesundheitszustand des Bestellers oder einer identifizierbaren Person aussagen.
Interpretation der Informationen über den Gesundheitszustand umstritten – ob eine gewisse Wahrscheinlichkeit ausreicht, ist zu klären
Der EuGH hat zu klären, ob es sich bei der Information, dass ein bestimmtes gesundheitsrelevantes Produkt durch eine bestimmte Person gekauft wird, bereits um besonders geschützte Gesundheitsdaten über diese Person im Sinne von Art. 4 Nr. 15, Art. 9 Abs. 1 DSGVO handelt.
Sollte der EuGH den Begriff der Gesundheitsdaten weit auslegen und bejahen, dass die bloße Information über die Bestellung eines apothekenpflichtigen Medikaments der bestellenden Information als Information über den Gesundheitszustand der Person zugerechnet werden, hat dies ist eine ausdrückliche Einwilligung in die Verarbeitung der Gesundheitsdaten erforderlich. Die Vorinstanzen hatten die weite Auslegung der Gesundheitsdaten befürwortet.
Da Amazon eine solche Möglichkeit zum Einholen einer ausdrücklichen, dokumentierten Einwilligung derzeit nicht anbietet, dürften in Deutschland apothekenpflichtige Medikamente künftig nicht über Amazon oder vergleichbare Plattformen vertrieben werden.
Aufgrund der weiteren Vorlagefrage des BGH an den EuGH wird sich zeigen, ob derartige mögliche DSGVO-Verstöße künftig von Mitbewerbern verfolgt werden
Deutsches System der Selbstregulierung des Marktes auf dem Prüfstand – Dürfen Mitbewerber Verstöße gegen die DSGVO abmahnen?
Das brisante Thema, zu dem sich der EuGH äußern soll, ist das deutsche Rechtssystem beim Wettbewerb, das auf eine Selbstregulierung des Marktes setzt. Mitbewerber überwachen sich gegenseitig, können sich bei festgestellten Verstößen gegen Marktverhaltensregeln abmahnen und Unterlassung des rechtswidrigen Verhaltens verlangen. Ob es sich bei den Regelungen, wie im konkreten Fall z. B. Art. 9 DSGVO, der die Zulässigkeit der Verarbeitung von besonders schützenswerten Daten regelt, um Marktverhaltensregeln im Sinne von § 3a UWG handelt, ist umstritten.
EuGH soll klären, ob die Regelungen zur Durchsetzung der DSGVO abschließend sind
Die DSGVO selbst äußert sich nicht dazu, ob ihre Regelungen Marktverhaltensregelungen darstellen, die abmahnbar sind. Zur Durchsetzung in Kapitel VII der DSGVO sind Rechtsbehelfe, Haftung und Sanktionen vorgesehen, ohne dabei Mitbewerber zu benennen. Zuständige Datenschutzaufsichtsbehörden haben umfangreiche Befugnisse zur Überwachung und Durchführung der Verordnung. Die betroffenen Personen können neben der Geltendmachung von Schadensersatzansprüchen auch Rechtsschutzmöglichkeiten durch Aufsichtsbehörden und Gerichte in Anspruch nehmen.
DSGVO schließt Abmahnbarkeit nicht ausdrücklich aus, zielt aber auf Harmonisierung ab
Nach Ansicht der Vorinstanzen und des BGH sollen Verstöße gegen die DSGVO durch Wettbewerber abmahnbar sein, weil die DSGVO die Verfolgung als unlautere Geschäftspraktiken jedenfalls nicht ausdrücklich ausschließt. Allerdings stellt der BGH fest, dass die DSGVO das Ziel der Harmonisierung verfolgt, was ein einheitliches Durchsetzungsniveau voraussetzt. Dieses Ziel könnte bei einer unterschiedlichen Einschätzung über die Abhilfe-Möglichkeiten in der EU gefährdet sein. Der BGH gibt zu bedenken, dass die zusätzliche Möglichkeit einer wettbewerbsrechtlichen Abmahnung in Deutschland die differenzierten Befugnisse der Aufsichtsbehörden beeinträchtigen und zu Unterschieden bei der Durchsetzung der DSGVO in der EU führen könnte.
Wegweisende Klärung auf europäischer Ebene
Die Antworten auf beide dieser in Praxis und Literatur viel diskutierten Fragen werden mit Spannung erwartet und werden sich als wegweisend zeigen. Die Frage, ob Wettbewerber DSGVO-Verstöße abmahnen können, obwohl die DSGVO sich hierzu nicht äußert, wird darüber entscheiden, inwieweit die Wettbewerber sich auch bei der Einhaltung des Datenschutzes gegenseitig kontrollieren. Die enge oder weite Auslegung der Definition der Gesundheitsdaten wird sich auf den Umgang mit Gesundheitsdaten in der Praxis auswirken. Ob sich Plattformen wie Amazon bei einer strengen Auslegung durch den EuGH anpassen und eine Möglichkeit zum Einholen einer ausdrücklichen Einwilligung bieten werden, bleibt abzuwarten.