Im April letzten Jahres hat der Gerichtshof der Europäischen Union (EuGH) entschieden, dass Verbraucherschutzverbände auch ohne konkreten Auftrag gegen Datenschutzverstöße von Unternehmen klagen können. Die Frage nach der Klagekompetenz von Mitbewerbern hat er allerdings offengelassen. In einer aktuellen Vorlage will der Bundesgerichtshof (BGH) nun unter anderem wissen, ob ein Apotheker befugt ist zivilgerichtlich gegen seine Konkurrenten wegen mutmaßlicher Datenschutzverstöße vorzugehen (BGH, EuGH-Vorlage vom 12.01.2023, Az. I ZR 223/19).
Das Wichtigste in Kürze
- Das Oberlandesgericht entschied in der Vorinstanz, dass die Regelungen der DSGVO marktregulierenden Charakter i.S.v. § 3a UWG haben.
- Der Apotheker sei daher als Mitbewerber nach Wettbewerbsrecht grundsätzlich berechtigt, einen Beseitigungs- und Unterlassungsanspruch zivilgerichtlich geltend zu machen.
- Der BGH möchte nun wissen, ob die Datenschutzgrundverordnung einem solchen Klagerecht des Mitbewerbers bei mutmaßlichen Datenschutzverstößen eines Konkurrenten entgegensteht.
- Ferner soll der EuGH entscheiden, ob es sich bei Arzneimittelbestelldaten, um Gesundheitsdaten handelt.
Hintergrund
Hintergrund des Verfahrens sind zwei Klagen eines Apothekers gegen zwei Mitbewerber, die zwar apothekenpflichtige, nicht aber verschreibungspflichtige Medikamente über Amazon Marketplace vertreiben. Nach Auffassung des Klägers verstoßen seine Konkurrenten dabei unter anderem gegen die Datenschutzgrundverordnung. Aus Sicht des Klägers werden im Rahmen des Amazon-Bestellvorgangs Gesundheitsdaten im Sinne der DSGVO erhoben. Gesundheitsdaten sind solche Daten, die Rückschlüsse auf den Gesundheitszustand einer Person zulassen. Die datenschutzrechtlichen Zulässigkeitsvoraussetzungen für die Verarbeitung solcher Gesundheitsdaten liegen nach Auffassung des Klägers in den konkreten Fällen jedoch nicht vor. Problematisch sei vor allem auch, dass neben dem verkaufenden Apotheker auch das nicht pharmazeutische ausgebildete Amazon-Personal Zugriff auf die Gesundheitsdaten habe.
LG: Datenschutzrechtliche Vorgaben sind Marktverhaltensregelungen
Vor dem Landgericht Dessau-Roßlau (Urteil vom 28.03.2018 – 3 O 29/17) hatte der Apotheker mit seiner Klage Erfolg. Das Landgericht vertrat die Auffassung, dass es sich bei datenschutzrechtlichen Vorgaben um Marktverhaltensregelungen im Sinne des Wettbewerbsrechts handle, weil sie auch dem Schutz der Interessen des Mitbewerbers dienen. Schließlich werden durch den Vertrieb von Arzneimitteln über eine Handelsplattform wie Amazon Daten kommerziell nutzbar wie eine Ware, sodass nach Auffassung der Klägerseite eine Marktrelevanz zu bejahen sei.
Das Gericht bejahte im konkreten Fall sowohl Verstöße gegen berufsrechtliche Vorschriften als auch Verstöße gegen geltendes Datenschutzrecht.
OLG: Arzneimittelbestelldaten sind Gesundheitsdaten i.S.d. Art. 9 DSGVO
Auch in zweiter Instanz hatte der Kläger Erfolg. Bei den vom Beklagten beim Bestellvorgang verarbeiteten Kundendaten handle es sich nach Auffassung des OLG Naumburg (Urt. v. 7.11.2019 – 9 U 39/18) um Gesundheitsdaten. Gesundheitsdaten sind besondere personenbezogene Daten, deren Verarbeitung nur unter den Voraussetzungen des Art. 9 DSGVO, insbesondere dem Vorliegen einer Einwilligung, zulässig ist. Eine Einwilligung lag nach den Feststellungen des OLG in den konkreten Fällen nicht vor, sodass die Verarbeitung der Kundendaten im Rahmen des Bestellvorgangs datenschutzwidrig sei.
Regelungen der DSGVO dienen auch dem Schutz der Interessen von Mitbewerbern
Ferner käme den Regelungen der DSGVO nach Auffassung des Gerichts im konkreten Fall marktregulierenden Charakter im Sinne von § 3a UWG (Gesetz gegen den unlauteren Wettbewerb) zu, da sie auch dem Schutz der Interessen der Mitbewerber dienen.
Der klagende Apotheker sei daher als Mitbewerber nach § 8 Abs. 3 Nr. 1 UWG grundsätzlich berechtigt, einen Beseitigungs- und Unterlassungsanspruch geltend zu machen. Beide Beklagten seien als Verantwortliche im Sinne der DSGVO gehalten gewesen, die Bestimmungen der DSGVO einzuhalten. Daher können sie gemäß § 8 Abs. 1 und 2 UWG wettbewerbsrechtlich mit Blick auf die bei Amazon und im eigenen Betrieb durchgeführte Verarbeitung der Gesundheitsdaten auf Unterlassung in Anspruch genommen werden.
Aussetzung der Verfahren und Vorlage beim EuGH
Nachdem die Beklagten Rechtsmittel gegen die Entscheidung des OLG eingelegt hatten, befasste sich der BGH mit der Sache. Dieser setzte die Verfahren nun bereits zum zweiten Mal aus, um dem EuGH zwei entscheidungserhebliche Fragen vorzulegen.
Rechtliche Verfolgung von Datenschutzverstößen als unlautere Geschäftspraktik
Die Richter wollen zum einen geklärt wissen, ob ein Mitbewerber befugt ist, wegen mutmaßlicher Datenschutzverstöße gegen den Verantwortlichen unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken zivilgerichtlich vorzugehen. Dies ist bisher umstritten. Eine solche Klagebefugnis ist von der DSGVO nirgends ausdrücklich vorgesehen. Jedoch ist der DSGVO auch keine Regelung zu entnehmen, nach der die Verfolgung von Datenschutzverstößen als unlautere Geschäftspraktiken ausgeschlossen sein soll.
Kategorisierung von Arzneimittelbestelldaten als Gesundheitsdaten i.S.d. Art. 9 DSGVO
Zum anderen soll der EuGH die Frage klären, ob es sich bei den Daten, die im Zuge der Bestellung des Arzneimittels, das zwar apotheken-, aber nicht verschreibungspflichtig ist, angegeben werden, um Gesundheitsdaten handelt. In den konkreten Fällen geht es um Daten wie Namen, Lieferadressen sowie die Art der Arzneimittel.
Bei Gesundheitsdaten handelt es sich gem. Art. 4 Nr. 15 DSGVO um personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und die einen Rückschluss auf den Gesundheitszustand einer Person erlauben.
Nach Auffassung des BGH sei unklar, ob Gesundheitsdaten auch dann vorliegen, wenn – wie im Streitfall – nicht eindeutig festgestellt werden kann, ob die bestellten Produkte der Eigenmedikation dienen, sodass aus den Bestelldaten auf Informationen über den Gesundheitszustand des Bestellers geschlossen werden könnte. Schließlich könnte die bestellende Person das Arzneimittel auch für einen anderen erwerben. Die Antwort auf diese Frage ergibt sich weder aus dem Wortlaut der DSGVO noch aus dem entsprechenden Erwägungsgrund 35 der DSGVO.
EuGH bejaht Klagebefugnis von Verbänden
Der BGH hatte im Mai 2020 bereits in einer anderen Rechtssache ein Vorabentscheidungsersuchen an den EuGH gerichtet. Darin ging es unter anderem um die Klärung der Frage, ob Bestimmungen der DSGVO nationalen Regelungen entgegenstehen, die Mitbewerber sowie Verbände ermächtigen, zivilgerichtlich gegen Datenschutzverstöße vorzugehen, und zwar unabhängig davon, ob eine Verletzung konkreter Rechte einzelner Betroffener vorliegt und ohne, dass ein Auftrag erteilt wurde.
Der EuGH entschied jedoch lediglich über die Klagebefugnis der nach nationalem Recht berechtigten Verbände, Einrichtungen und Kammern. Die Frage nach der Klagebefugnis von Mitbewerbern hat der EuGH mangels Entscheidungserheblichkeit im Ausgangsverfahren ausdrücklich offengelassen.
Ausblick
Eine Bestätigung der OLG-Entscheidung durch den EuGH hätte erhebliche Auswirkungen auf den Wettbewerb im unternehmerischen Geschäftsverkehr. Mitbewerber könnten ihre Konkurrenten, insbesondere deren Internetauftritt, im Hinblick auf die Einhaltung des Datenschutzrechts näher unter die Lupe nehmen und anschließend zivilgerichtlich gegen mutmaßliche Verstöße vorgehen. Allerdings würde die Bejahung eines solchen „allgemeinen“ Klagerechts langfristig betrachtet höchstwahrscheinlich die Einhaltung des Datenschutzes und die Sensibilität für das Thema vorantreiben.
Auch die Frage hinsichtlich der datenschutzrechtlichen Kategorisierung der zu verarbeitenden Daten im Rahmen des Bestellvorgangs ist nicht uninteressant. Schließlich greift im digitalen Zeitalter ein Großteil der Kunden auf die Online-Version einer Apotheke zurück. Die Beurteilung der Reichweite von Gesundheitsdaten ist damit insgesamt relevant. Eine ähnliche Problematik besteht auch bei anderen besonderen Kategorien von Daten, bei denen indirekte Rückschlüsse häufig für Unklarheiten sorgen. Der EuGH ist in der Vergangenheit tendenziell von einem weiten Verständnis des Anwendungsbereichs von Art. 9 DSGVO ausgegangen (Urteil vom 01.08.2022, Rs. C-184/20).
„>