Oder auch: Bestelle ich immer für mich selbst? Sind Bestellungen von Medikamenten dadurch zugleich Gesundheitsdaten, die sich auf mich beziehen? Der Bundesgerichtshof (BGH) hat dem Europäischen Gerichtshof (EuGH) mit Beschluss vom 12.01.2023 hierzu eine Frage vorgelegt: Sind Arzneimittelbestelldaten auch dann Gesundheitsdaten, wenn aus den übermittelten Daten nicht hervorgeht, für wen ein Arzneimittel bestimmt ist? Das Verfahren ist für die Auslegung des Begriffs der Gesundheitsdaten in Art. 9 DSGVO praktisch hoch relevant und auch für sonstige Fälle, in denen Gesundheitsdaten zur Vertragserfüllung verarbeitet werden.
Dem Vorlagebeschluss (I ZR 223/19, veröffentlicht ist bislang nur die Pressemitteilung) lag die Klage eines Apothekers gegen einen anderen Apotheker zugrunde. Der Beklagte vertreibt sein Sortiment auch im Internet, wofür er eine Versandhandelserlaubnis hat, u.a. über den sog. Amazon Marketplace. Das angebotene Sortiment enthält dabei auch apothekenpflichtige Medikamente.
Der Kläger sah den Vertrieb apothekenpflichtiger, jedoch nicht verschreibungspflichtiger Medikamente über Amazon durch den Beklagten als wettbewerblich unlauter an. Er ging von einem Rechtsbruch aus, da die notwendige datenschutzrechtliche Erlaubnis nicht vorläge. Im Kern ist dafür entscheidend, ob die in Rede stehenden Daten besonders sensitive Daten i.S.d. Art. 9 DSGVO (Gesundheitsdaten) darstellen oder aber nur „normale“ personenbezogene Daten, deren Verarbeitungserlaubnis aus Art. 6 DSGVO folgen kann.
Das OLG Naumburg vertrat in der Berufungsinstanz die Auffassung, dass es sich bei den erfassten Bestelldaten um Gesundheitsdaten i.S.v. Art. 9 Abs. 1 DSGVO handle. Aus den Bestelldaten könnten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden.
Der in der Revisionsinstanz eingeschaltete BGH geht davon aus, dass der Erfolg der Revision von der Auslegung insb. des Art. 9 DSGVO abhängt.
Konkret fragt der BGH den EuGH u.a., „ob es sich bei den Daten, die Kunden des Beklagten bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform einzugeben haben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO sowie Daten über Gesundheit im Sinne von Art. 8 Abs. 1 DSRL handelt“ (Vorlagefrage 2).
Zweifel ergeben sich hier, da es nicht um verschreibungspflichtige Medikamente geht. Dementsprechend könne man aus der Bestellung selbst, so der BGH, nicht ersehen, wem dieses Medikament verschrieben worden sei und wer es demnach einnehmen solle bzw. wolle. Es sei nicht ausgeschlossen, dass der Besteller das Medikament nicht für sich selbst kaufe, sondern für einen Dritten. Ob diese Daten des Bestellers dann Gesundheitsdaten darstellen würden, obwohl nicht mit Sicherheit davon auszugehen ist, dass die durch die Bestelldaten identifizierte oder identifizierbare natürliche Person auch das bestellte Medikament einnehmen wird, hält der BGH für fraglich. Dafür spräche allerdings, dass der EuGH den Begriff der besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO in seiner Rechtsprechung sehr weit auslege.
Die ausstehende Entscheidung des EuGH hierzu ist höchst praxisrelevant: Reicht für die Qualifikation als besonders sensitive Daten schon die Möglichkeit, dass die Informationen etwas über den Gesundheitszustand der betroffenen Person aussagen? Wird dies bejaht, erweitert sich der Anwendungsbereich des Art. 9 DSGVO weiter.