Eine Klage gegen einen Mitbewerber wegen eines DSGVO-Verstoßes, der als unlautere Geschäftspraktik geltend gemacht wird, ist möglich. Das entschied der EuGH in einem kürzlich ergangenen Urteil. Dabei ging es um den DSGVO-widrigen Vertrieb von Arzneimitteln über eine Online-Plattform. Im Ausgangsfall wurde durch den Verkäufer beim Bestellprozess keine datenschutzrechtliche Einwilligung in die Verarbeitung von Gesundheitsdaten von den Kunden eingeholt. Der EuGH musste sich deshalb auch mit der Frage auseinandersetzen, ob die beim Bestellvorgang eingegebene Kundendaten Gesundheitsdaten im Sinne der DSGVO darstellen.
Die Möglichkeit, nach nationalen wettbewerbsrechtlichen Vorschriften gegen Datenschutzverstöße eines Mitbewerbers zu klagen, wird nicht durch die DSGVO ausgeschlossen. Zu diesem Schluss kam der EuGH in seinem Urteil vom 4. Oktober 2024 zur Rechtssache C-21/23; die Frage war zuvor umstritten.
Der Fall
Sowohl Kläger als auch Beklagter im Ausgangsverfahren waren Betreiber von Apotheken. Der Beklagte vertreibt Arzneimittel in seiner Apotheke sowie online über Amazon. Bei der Bestellung der Medikamente müssen die Kunden ihre Daten wie Namen, Lieferadresse und Informationen zur Individualisierung des Arzneimittels angeben. Dabei holte der Beklagte keine datenschutzrechtliche Einwilligung in die Verarbeitung von Gesundheitsdaten ein. Der Kläger beantragte deshalb vor dem Landgericht Dessau-Roßlau, zu verbieten, dass der Beklagte weiterhin online Arzneimittel verkauft, ohne dabei eine entsprechende datenschutzrechtliche Einwilligung der Kunden einzuholen. Es handele sich hierbei um eine unlautere Handlung, die nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) unzulässig sei.
Zivilrechtliche Klage eines Mitbewerbers zulässig
Dem EuGH wurde hierzu zum einen die Frage vorgelegt, ob es für Mitbewerber (hier den anderen Apothekenbetreiber) überhaupt möglich ist, vor nationalen Zivilgerichten gegen DSGVO-Verstöße vorzugehen. In der DSGVO selbst sind nämlich Rechtsbehelfe bei DSGVO-Verstößen vorgesehen. Danach ist es grundsätzlich Sache der betroffenen Personen – in diesem Fall der Kunden – Verstöße gegen den Schutz der sie betreffenden personenbezogenen Daten geltend zu machen. Möglich sind z.B. die Beschwerde bei einer Aufsichtsbehörde oder gerichtliche Rechtsbehelfe gegen den Verantwortlichen.
Nach Ansicht des EuGH schließt die DSGVO eine zivilgerichtliche Geltendmachung von DSGVO-Verstößen durch Mitbewerber jedoch nicht aus. Der DSGVO-Verstoß kann wettbewerbsrechtlich als unlautere Geschäftspraktik im Sinne des UWG geltend gemacht werden. Dass nicht ausschließlich betroffene Personen zu datenschutzrechtlichen Klagen befugt sind, trage dazu bei, die Rechte betroffener Personen in Bezug auf ihre Daten zu stärken und das in der EU angestrebte hohe Schutzniveau personenbezogener Daten zu gewährleisten. Durch diese Möglichkeit können insgesamt mehr Datenschutzverstöße geltend gemacht werden, was auch zu einer besonders wirksamen Erhaltung dieses hohen Datenschutzniveaus beiträgt.
Welche Folgen dies wettbewerbsrechtlich hat, haben unsere Kollegen aus dem gewerblichen Rechtsschutz im Blick und etwa hier bereits zusammengefasst (dort von Dr. Stefan Maaßen).
Weiterlesen: EuGH: Wettbewerbsrechtliche Klage bei DSGVO-Verstoß möglich und weiter Begriff „Gesundheitsdaten“Relevanz wird die Entscheidung für Unternehmen haben, die mehr als 250 Mitarbeiter beschäftigen: Diese können kostenpflichtig wegen jedes kleinen Datenschutzverstoßes abgemahnt werden.
Kundendaten sind Gesundheitsdaten
In der zweiten Vorlagefrage befasste sich der EuGH damit, ob es sich überhaupt bei den beim Online-Kauf angegebenen Kundendaten um Gesundheitsdaten im Sinne der DSGVO handelt. Gesundheitsdaten sind alle personenbezogenen Daten, die Rückschlüsse auf den Gesundheitszustand der jeweiligen Person zulassen. Sie gehören zu den besonders geschützten Kategorien von personenbezogenen Daten. Ihre Verarbeitung ist nur unter bestimmten Voraussetzungen gem. Art. 9 Abs. 2 DSGVO zulässig, u.a., wenn eine ausdrückliche Einwilligung in die Datenverarbeitung erteilt wurde.
Die eingegebenen Kundendaten sind unzweifelhaft Gesundheitsdaten, wenn verschreibungspflichtige Medikamente bestellt werden. Die Bestellung eines Medikaments ermöglicht es, einen Zusammenhang zwischen dessen therapeutischen Indikationen und der durch die Angaben identifizierbaren Person herzustellen – wird ein Rezept vorgelegt, ist eindeutig, für welche Person das Medikament bestimmt ist.
Aber ist das auch bei den nicht-verschreibungspflichtigen OTC-Arzneimitteln der Fall? Diese können für jedermann bestimmt sein. Der BGH zweifelte daher in seinem Vorlagebeschluss daran, sie als Gesundheitsdaten qualifizieren (wir berichteten hier). Der EuGH zweifelt nicht: Er ordnet auch diese Daten als Gesundheitsdaten ein. Zwar könne es sein, dass diese nicht für den Kunden selber, sondern für einen Dritten bestellt werden. Laut EuGH kann allerdings auch dabei auf den Gesundheitszustand einer natürlichen Person geschlossen werden – unabhängig davon, ob es sich dabei um den Kunden oder eine andere Person handelt. Die bloße „gewisse Wahrscheinlichkeit“ dafür, dass der Kunde selber die Medikamente benötigt, reicht aus, um die Eigenschaft der Kundendaten als Gesundheitsdaten zu bejahen. Dies liegt auf der Linie der bisherigen Rechtsprechung des EuGH, die Begriffe des Art. 9 DSGVO für den bestmöglichen Schutz äußerst weit auszulegen (siehe dazu auch schon hier). Für die Praxis bringt diese weite Auslegung enorme Herausforderungen, da in etlichen Fällen von Art. 9er-Daten auszugehen und so auf die zusätzliche Erlaubnis nach Art. 9 Abs. 2 DSGVO abzustellen ist.