EuGH: Du bist, was Du bestellst.

In seinem Urteil „Lindenapotheke“ (Rechtssache C-21/23) hatte der Europäische Gerichtshof (EuGH) darüber zu entscheiden, ob Mitbewerber Datenschutzverstöße wettbewerbsrechtlich abmahnen dürften und wie weit der Begriff „Gesundheitsdaten“ bei der Bestellung von Arzneimitteln zu verstehen sei.

Aber der Reihe nach: Ein Apothekenbetreiber (unter der Geschäftsbezeichnung „Lindenapotheke“) vertreibt apothekenpflichtige Arzneimittel über die Onlineplattform „Amazon-Marketplace“, wozu bei Bestellung durch den Kunden entsprechende personenbezogene Daten eingegeben werden müssen. Dessen Konkurrent erhob daraufhin Klage, in der beantragt wurde, einen solchen Verkauf zu verbieten, soweit nicht sichergestellt sei, dass eine datenschutzrechtliche Einwilligung zur Verarbeitung von Gesundheitsdaten eingeholt wurde.

Dieser Fall wurde an EuGH im Zuge eines Vorlageverfahrens verwiesen, um offene europarechtliche Fragestellungen zu klären.

Vorlagefrage 1: Können nationale Regelungen zum unlauteren Wettbewerb auch im europäischen Datenschutzrecht geltend gemacht werden?

Die Datenschutz-Grundverordnung kennt in Kapitel 8 verschiedene Rechtsbehelfe zum Schutz der Rechte betroffener Personen. Die Klage eines Konkurrenten ginge allerdings darüber hinaus, denn dieser ist nicht „betroffen“ im Sinne von Art. 4 Nr. 1 DSGVO (vgl. Rn. 51 des Urteils). Infolgedessen finden sich keine spezifischen Regelungen für derartige Konstellationen, sind aber auf der anderen Seite auch nicht explizit ausgeschlossen (vgl. Rn. 53 des Urteils).

Es sei allerdings festzustellen, dass die Verwertung personenbezogener Daten im Rahmen der digitalen Wirtschaft von erheblicher Bedeutung sei. Die Möglichkeit personenbezogener Datenverarbeitung sei „zu einem bedeutenden Parameter des Wettbewerbs zwischen Unternehmen der digitalen Wirtschaft“ geworden. Demnach könne es durchaus erforderlich sein, bei der Durchsetzung des Wettbewerbsrechts datenschutzrechtliche Vorschriften zu beachten (vgl. Rn. 56 des Urteils).

In einer Gesamtbetrachtung sei es nicht Ziel der DSGVO gewesen, für eine Vollharmonisierung der Rechtsbehelfe zu sorgen, so dass für nationale Vorgaben durchaus Raum bestünde (vgl. Rn. 60 des Urteils). Dies fände sich in der tatsächlichen Zielsetzung der DSGVO bestätigt: Insbesondere solle für die Verarbeitung personenbezogener Daten ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen gewährleistet werden. Die Möglichkeit eines Konkurrenten auf Unterlassung unlauterer Geschäftspraktiken auch aus Datenschutzgesichtspunkten zu klagen, verstärkt und verbessert vielmehr diese Schutzwirkung (vgl. Rn. 61 f. des Urteils).

Dadurch stünde aus Sicht des EuGH europäisches Datenschutzrecht der Durchsetzung nationaler wettbewerbsrechtlicher Ansprüche nicht entgegen.

Vorlagefrage 2: Wie weit reicht der Begriff „Gesundheitsdatum“?

Auf den Fall bezogen war zu klären, ob die Bestellung apothekenpflichtiger Arzneimittel „Gesundheitsdaten“ im Sinne des Art. 4 Nr. 15 DSGVO darstellen. Seit dem Urteil „Lindqvist“ vom 6. November 2003 (Rechtssache C-101/01) ist klar, dass der Begriff grundsätzlich weit auszulegen ist.

Das sei grundsätzlich anzunehmen, wenn aus dem Erwerb etwaiger Arzneimittel „Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können“ (vgl. Rn. 78 des Urteils).

Für eine solche Einstufung sei ausreichend, wenn „mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person geschlossen werden kann“ (vgl. Rn. 83 des Urteils), was anhand der Arzneimittel und deren therapeutischen Indikationen und Anwendungen verbunden mit den Angaben des Bestellenden durchaus erfolgen kann (vgl. Rn. 84 des Urteils). Angesichts der „erheblichen Risiken für die Grundfreiheiten und Grundrechte der betroffenen Personen“ käme es allerdings auch nicht darauf an, ob in der konkreten Situation die Arznei für sich selbst oder Dritte bestellt würde (vgl. Rn. 85 ff. des Urteils).

Demnach sind nach Ansicht des EuGH Arzneimittelbestellungen – auch apothekenpflichtiger und nicht verschreibungspflichtiger Mittel – als Gesundheitsdaten im Sinne der DSGVO zu klassifizieren.

Das führe jedoch nicht unweigerlich zu einem Verbot, diese über das Internet zu verkaufen, soweit ein Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO erfüllt ist (vgl. Rn. 93 des Urteils).

Dabei kommt es auf die Umstände der Bestellung an: Wenn die personenbezogenen Daten über eine Onlineplattform verarbeitet werden, ist „zu prüfen, ob diese Daten die Offenlegung von Informationen ermöglichen“ (vgl. Rn. 86 des Urteils). Der Begriff „Offenlegung“ (vgl. Art. 4 Nr. 2 DSGVO) impliziert, dass neben dem Verkäufer noch ein weiterer Akteur potenziellen Zugriff auf diese Informationen erhält. Dafür benötigt es jedoch eine Rechtsgrundlage, die in aller Regel die Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO darstellt. Weiterhin stellt der EuGH jedoch auch klar, dass die Verarbeitung von Gesundheitsdaten keineswegs nur auf Grundlage der Einwilligung zulässig sein solle, sondern auch gem. Art. 9 Abs. 2 lit. h DSGVO, also für Zwecke der Versorgung im Gesundheitsbereich bspw. aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs wie Apotheker (vgl. Rn. 93 des Urteils). Durch diese Betonung am Ende des Urteils lässt sich gegebenenfalls herauslesen, dass ein Verkauf über eigene Plattformen – also ohne Offenlegung an Dritte – eine (zusätzliche) Einwilligung nicht erforderlich ist.

Fazit: Consent Fatigue?

Klar wird durch das Urteil des EuGH, dass der Vertrieb von Arzneimitteln über Onlineplattformen Dritter (wie in diesem Falle Amazon) der Einwilligung bedürfen. Es ist davon auszugehen, dass diese in naher Zukunft entsprechende Vorkehrungen (wie zusätzliche Einwilligungsbuttons) implementieren werden, um den Vorgaben gerecht zu werden. – Eine Übertragung auf sämtliche Verkäufe über das Internet lässt der EuGH allerdings (zumindest) offen, wenn er betont, dass es weitere Rechtsgrundlagen gebe und es insbesondere auf eine Offenlegung ankäme. Diese Konstellationen werden im Einzelfall zu prüfen sein. – Der Argumentation man wisse ja gar nicht, für wen letztlich bestellt würde – hinsichtlich der Eigenschaft als Gesundheitsdatum – erteilt der EuGH dagegen eine klare Absage.