Datenschutzrechtlich zulässige Nutzung von Gesundheitsdaten bei Arzneimittelversandhandel - Arzneimittelbestelldaten
Leitsatz
Arzneimittelbestelldaten
Dem Gerichtshof der Europäischen Union werden zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119/1 vom , S. 1) und der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie, DSRL, ABl. 281 vom , S. 31) folgende Fragen zur Vorabentscheidung vorgelegt:
1. Stehen die Regelungen in Kapitel VIII der Datenschutz-Grundverordnung nationalen Regelungen entgegen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - Mitbewerbern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen?
2. Sind die Daten, die Kunden eines Apothekers, der auf einer Internet-Verkaufsplattform als Verkäufer auftritt, bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform eingeben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO sowie Daten über Gesundheit im Sinne von Art. 8 Abs. 1 DSRL?
Gesetze: Art 9 Abs 1 EUV 2016/679, Art 8 Abs 1 EGRL 46/95, § 3 Abs 1 UWG, § 3a UWG, § 8 Abs 3 Nr 1 UWG
Instanzenzug: Oberlandesgericht des Landes Sachsen-Anhalt Az: 9 U 39/18vorgehend LG Dessau-Roßlau Az: 3 O 29/17 Urteilanhängig EuGH Az: C-21/23
Gründe
1A. Der Kläger betreibt eine Apotheke in M. . Der Beklagte ist ebenfalls Apotheker und betreibt in G. eine Apotheke. Er ist Inhaber einer Versandhandelserlaubnis und vertreibt sein Sortiment auch im Internet unter der Adresse "www.u. .de". Darüber hinaus handelte der Beklagte sein Sortiment, das apothekenpflichtige Medikamente einschließt, im Jahr 2017 über die Internet-Verkaufsplattform "Amazon-Marketplace" (im Folgenden: Amazon); er war dort mit dem Verkäuferprofil "A. " vertreten.
2Der Kläger beanstandet den Vertrieb apothekenpflichtiger Medikamente über Amazon als unlauter unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer datenschutzrechtlichen Einwilligung des Kunden.
3Der Kläger hat beantragt, dem Beklagten unter Androhung von Ordnungsmitteln zu verbieten,
im geschäftlichen Verkehr zu Wettbewerbszwecken apothekenpflichtige Medikamente über die Internethandelsplattform Amazon zu vertreiben, solange bei dem Anmelde- bzw. Kaufprozess über diese Internethandelsplattform nicht sichergestellt ist, dass der Kunde vorab seine Einwilligung mit einer Erhebung, Verarbeitung und Nutzung seiner Gesundheitsdaten (als besondere Daten im Sinne des § 3 Abs. 9 des Bundesdatenschutzgesetzes) gegenüber einer Person oder Institution erteilen kann, die zum Umgang mit diesen gesundheitsbezogenen Daten berechtigt ist.
4Das Landgericht hat der Klage stattgegeben (LG Dessau-Roßlau, CR 2018, 646). Die Berufung des Beklagten hat das Berufungsgericht (OLG Naumburg, WRP 2020, 114) zurückgewiesen. Der Beklagte verfolgt mit der vom Berufungsgericht zugelassenen Revision seinen Antrag auf Klageabweisung weiter. Der Kläger beantragt die Zurückweisung der Revision, hilfsweise mit der Maßgabe, dass es im Unterlassungsausspruch statt "(als besondere Daten im Sinne des § 3 Abs. 9 des Bundesdatenschutzgesetzes)" heißt "(als besondere Daten im Sinne von Art. 9 DSGVO)".
5B. Der Erfolg der Revision hängt von der Auslegung des Kapitels VIII der Datenschutz-Grundverordnung ab. Darüber hinaus hängt der Erfolg der Revision auch von der Auslegung von Art. 9 DSGVO und Art. 8 Abs. 1 DSRL ab. Vor einer Entscheidung über die Revision ist deshalb das Verfahren auszusetzen und gemäß Art. 267 Abs. 1 Buchst. b und Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union einzuholen.
6I. Das Berufungsgericht hat angenommen, der gegen den Vertrieb von apothekenpflichtigen Medikamenten über die Internet-Verkaufsplattform Amazon gerichtete Unterlassungsantrag sei unter dem Gesichtspunkt des Rechtsbruchs gemäß § 8 Abs. 1 UWG begründet. Der beanstandete Vertrieb stelle eine unlautere und damit gemäß § 3 Abs. 1 UWG unzulässige geschäftliche Handlung dar, weil er gegen eine gesetzliche Vorschrift im Sinne von § 3a UWG verstoße. In dem Vertrieb apothekenpflichtiger Medikamente über Amazon liege eine Verarbeitung von Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO, in die die Kunden nicht gemäß Art. 9 Abs. 2 Buchst. a DSGVO ausdrücklich eingewilligt hätten und die auch sonst nicht gesetzlich erlaubt sei. Bei den erfassten Bestelldaten handele es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO. Aus ihnen könnten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden. Die Regeln der Datenschutz-Grundverordnung seien in der vorliegenden Fallkonstellation als Marktverhaltensregelungen im Sinne des § 3a UWG anzusehen. Der Kläger sei als Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG berechtigt, den Unterlassungsanspruch im Wege der Klage durchzusetzen.
7II. Für den Erfolg der Revision kommt es darauf an, ob der Kläger als Mitbewerber befugt ist, wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen (Vorlagefrage 1, dazu B II 1). Außerdem kommt es darauf an, ob es sich bei den Daten, die Kunden des Beklagten bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform einzugeben haben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO sowie Daten über Gesundheit im Sinne von Art. 8 Abs. 1 DSRL handelt (Vorlagefrage 2, dazu B II 2).
81. Der Kläger hat geltend gemacht, dass der Beklagte im Rahmen des Vertriebs von apothekenpflichtigen Arzneimitteln auf Amazon mit der Verarbeitung der Bestelldaten der Kunden - also des Namens des Kunden, der Lieferadresse und der für die Individualisierung des bestellten Medikaments notwendigen Informationen - Gesundheitsdaten verarbeite, ohne die insoweit geltenden besonderen gesetzlichen Anforderungen an die Zulässigkeit der Verarbeitung von Gesundheitsdaten gemäß § 4 Abs. 1, § 4a Abs. 1 und 3, § 28 Abs. 7 Satz 1 BDSG in der bis zum geltenden Fassung (aF) zu erfüllen. Damit hat er seine Klage auf Vorschriften gestützt, die gemäß Art. 99 Abs. 2 DSGVO ab dem durch Art. 9 Abs. 1 und 2 Buchst. a und h DSGVO ersetzt worden sind. Mit der Ingeltungsetzung der Datenschutz-Grundverordnung könnte die ursprünglich bestehende Befugnis des Klägers zur Geltendmachung der Verletzung dieser Anforderungen an eine zulässige Verarbeitung von Gesundheitsdaten durch eine Klage vor den Zivilgerichten entfallen sein. Der Klärung dieser Frage dient die Vorlagefrage 1.
9a) Der Kläger war unter Geltung der Datenschutz-Richtlinie als Mitbewerber im Sinne von § 8 Abs. 3 Nr. 1 UWG materiell-rechtlich befugt, seinen auf den Gesichtspunkt des Rechtsbruchs gemäß § 3a UWG in Verbindung mit § 4 Abs. 1, § 4a Abs. 1 und 3, § 28 Abs. 7 Satz 1 BDSG aF gestützten Unterlassungsantrag im Wege der Klage vor den Zivilgerichten zu verfolgen. Die Prozessführungsbefugnis ergab sich für den Kläger als Mitbewerber aus den allgemeinen Vorschriften (§ 51 ZPO, vgl. Köhler/Feddersen in Köhler/Bornkamm/Feddersen, UWG, 40. Aufl., § 8 Rn. 3.8a; Ohly in Ohly/Sosnitza, UWG, 7. Aufl., § 8 Rn. 86). Nach der Rechtsprechung des Gerichtshofs der Europäischen Union stehen die in Kapitel III der Datenschutz-Richtlinie getroffenen Regelungen einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen die mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegen (vgl. , GRUR 2019, 977 [juris Rn. 43 bis 63] = WRP 2019, 1146 - Fashion ID). Nichts anderes gilt für die hier in Rede stehende Klage eines Mitbewerbers. Der Gerichtshof der Europäischen Union hat angenommen, dass die Artikel 22 bis 24 DSRL keine umfassende Harmonisierung der nationalen Vorschriften über gerichtliche Rechtsbehelfe, die gegen mutmaßliche Verletzer von Vorschriften über den Schutz personenbezogener Daten eingelegt werden können, vornehmen (EuGH, GRUR 2019, 977 [juris Rn. 57] - Fashion ID).
10b) Mit der Vorlagefrage 1 ist zu klären, ob sich diese Rechtslage mit dem Beginn der Geltung der Datenschutz-Grundverordnung am in entscheidungserheblicher Weise geändert hat.
11aa) Es ist umstritten, ob Mitbewerber im Sinne von § 8 Abs. 3 Nr. 1 UWG nach Ingeltungsetzung der Datenschutz-Grundverordnung befugt sind, Verstöße gegen die Bestimmungen dieser Verordnung unter dem Gesichtspunkt des Rechtsbruchs gemäß § 3a UWG im Klagewege durchzusetzen.
12Eine Auffassung geht davon aus, dass die in der Datenschutz-Grundverordnung enthaltenen Regelungen zur Durchsetzung der datenschutzrechtlichen Bestimmungen der Verordnung abschließend sind; sie verneint deshalb eine wettbewerbsrechtliche Klagebefugnis von Mitbewerbern (vgl. LG Bochum, WRP 2018, 1535 [juris Rn. 15]; LG Stuttgart, WRP 2019, 1089 [juris Rn. 32 bis 35]; LG Wiesbaden, ZD 2019, 367 [juris Rn. 39]; Barth, WRP 2018, 790 Rn. 14 bis 19; ders., WRP 2020, 118 Rn. 5; Baumgartner/Sitte, ZD 2018, 555, 557 f.; Büscher/Hohlweck, UWG, 2. Aufl., § 3a Rn. 288; Heckmann/Gierschmann/Selk, CR 2018, 728 Rn. 5 und 13; Köhler in Köhler/Bornkamm/Feddersen aaO § 3a Rn. 1.40f bis 140j; ders., WRP 2018, 1269 Rn. 34 bis 37; ders., WRP 2019, 1279 Rn. 5 und 64; ders., ZD 2018, 337, 338; ders., ZD 2019, 285; MünchKomm.UWG/Schaffert, 3. Aufl., § 3a Rn. 84; Ohly, GRUR 2019, 686, 688 f.; ders., GRUR 2022, 924, 925; Schmitt, WRP 2019, 27, 29 f.; Spittka, GRUR-Prax 2018, 561; ders., GRUR-Prax 2019, 4, 5; Stellungnahme der GRUR zum Referentenentwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs, GRUR 2019, 59, 65; vgl. auch den vom Freistaat Bayern vorgeschlagenen Entwurf eines Gesetzes zur Anpassung zivilrechtlicher Vorschriften an die Datenschutz-Grundverordnung, BR-Drucks. 304/18, sowie die Stellungnahme des Ausschusses für Innere Angelegenheiten und des Wirtschaftsausschusses zum Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie [EU] 2016/680, BR-Drucks. 430/1/18, S. 6 f.).
13Andere halten die in der Datenschutz-Grundverordnung zur Rechtsdurchsetzung getroffenen Regelungen nicht für abschließend und daher die in § 8 Abs. 3 Nr. 1 UWG genannten Mitbewerber auch weiterhin für befugt, Unterlassungsansprüche unter dem Gesichtspunkt des Rechtsbruchs im Sinne von § 4 Nr. 11 UWG aF, § 3a UWG im Wege der Klage durchzusetzen (vgl. OLG Hamburg, WRP 2018, 1510 [juris Rn. 54 bis 57]; OLG Stuttgart, WRP 2020, 509 [juris Rn. 40 bis 62]; Aßhoff, CR 2018, 720 Rn. 43; Laoutoumai/Hoppe, K&R 2018, 533, 535; Schreiber, GRUR-Prax 2018, 371, 373; Uebele, GRUR 2019, 694, 697 f.; Wolff, ZD 2018, 248, 251 f.). Auch der deutsche Gesetzgeber geht davon aus, dass es Mitbewerbern möglich ist, Verstöße gegen die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz nach dem Gesetz gegen unlauteren Wettbewerb zu verfolgen (vgl. § 13 Abs. 4 Nr. 2 UWG; dazu Köhler, WRP 2022, 1323 Rn. 29 f.).
14bb) Die Streitfrage lässt sich nicht eindeutig beantworten.
15(1) Dem Wortlaut der Datenschutz-Grundverordnung, namentlich der Bestimmungen ihres Kapitels VIII, in dem die Rechtsbehelfe, die Haftung und die Sanktionen bei Verstößen gegen die in der Verordnung aufgestellten Anforderungen für eine zulässige Verarbeitung personenbezogener Daten geregelt sind, lässt sich keine Antwort auf diese Frage entnehmen. Mitbewerber werden in der Verordnung an keiner Stelle erwähnt.
16(2) Die Auslegung unter Berücksichtigung des systematischen Zusammenhangs der die Rechtsdurchsetzung betreffenden Vorschriften der Datenschutz-Grundverordnung lässt ebenfalls nicht eindeutig erkennen, ob der Unionsgesetzgeber mit dieser Verordnung - anders als noch mit der Datenschutz-Richtlinie - nicht nur die Bestimmungen zum Schutz personenbezogener Daten, sondern auch die zur Durchsetzung der danach bestehenden Rechte vereinheitlicht hat.
17(a) Die Datenschutz-Grundverordnung sieht in Art. 57 und 58 DSGVO für die Aufsichtsbehörden im Sinne von Art. 51 Abs. 1, Art. 4 Nr. 21 DSGVO umfangreiche Aufgaben und Befugnisse zur Überwachung und Durchsetzung dieser Verordnung vor (vgl. auch Erwägungsgrund 129). Dem könnte zu entnehmen sein, dass der Unionsgesetzgeber grundsätzlich von einer Durchsetzung der Bestimmungen der Verordnung durch die Aufsichtsbehörden ("public enforcement") ausgeht (vgl. Köhler, WRP 2018, 1269 Rn. 26 bis 31). Die Datenschutz-Grundverordnung soll eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen (, GRUR 2022, 920 [juris Rn. 57] = WRP 2022, 684 - Meta Platforms Ireland).
18(b) Darüber hinaus stellt die Datenschutz-Grundverordnung betroffenen Personen in Art. 77 Abs. 1, Art. 78 Abs. 1 und 2 sowie in Art. 79 Abs. 1 DSGVO Rechtsschutzmöglichkeiten zur Verfügung. Dass in diesen Vorschriften jeweils die Wendung "unbeschadet eines anderweitigen Rechtsbehelfs" enthalten ist, könnte gegen eine abschließende Regelung der Rechtsdurchsetzung sprechen (vgl. OLG Hamburg, WRP 2018, 1510 [juris Rn. 56]; Diercks, CR 2018, S 001 Rn. 16; Laoutoumai/Hoppe, K&R 2018, 533, 535; Wolff, ZD 2018, 248, 251).
19(c) Die Zulässigkeit einer Mitbewerberklagebefugnis dürfte sich allerdings nicht auf Art. 84 Abs. 1 DSGVO stützen lassen (so aber Laoutoumai/Hoppe, K&R 2018, 533, 535), wonach die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen die Verordnung festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Eine Klagebefugnis für Mitbewerber kann nach der Systematik der Datenschutz-Grundverordnung schon deshalb keine "Sanktion" sein, weil der Unionsgesetzgeber in Kapitel VIII der Verordnung ausdrücklich zwischen Rechtsbehelfen, Haftung und Sanktion unterscheidet und sich aus dem Zusammenhang zwischen Art. 84, Art. 83 und den Erwägungsgründen 148 bis 152 der Verordnung ergibt, dass es bei den Sanktionen im Sinne von Art. 84 DSGVO um verwaltungs- und strafrechtliche Sanktionen von Verstößen geht (vgl. EuGH, GRUR 2022, 920 [juris Rn. 49] - Meta Platforms Ireland; vgl. auch Baumgartner/Sitte, ZD 2018, 555, 558; Köhler in Köhler/Bornkamm/Feddersen aaO § 3a Rn. 140f; ders., WRP 2018, 1269 Rn. 41; ders., ZD 2018, 337, 338; Ohly, GRUR 2019, 686, 689 f.; Schmitt, WRP 2019, 27, 30; Spittka, GRUR-Prax 2019, 4, 6).
20(d) Jedenfalls ist der Datenschutz-Grundverordnung keine Regelung zu entnehmen, nach der die Verfolgung von Verstößen gegen das Datenschutzrecht als unlautere Geschäftspraktiken ausgeschlossen sein soll (vgl. Schlussanträge des Generalanwalts in der Rechtssache C-319/20 vom Rn. 51; Dünkel, DuD 2019, 483, 487; Hense, ZD 2022, 386, 388). Es ist daher fraglich, ob die Datenschutz-Grundverordnung auch im Hinblick auf wettbewerbsrechtlich begründete Verstöße abschließend sein soll (vgl. Diercks, CR 2018, S 001 Rn. 26; dies., CR 2019, 95, 98 f.; Laoutoumai/Hoppe, K&R 2018, 533, 535; Nägele/Apel/Stolz/Bosman, K&R 2019, 361, 364 f.; aA Ohly, GRUR 2022, 924, 925).
21(3) Das neben dem Wortlaut und dem Regelungszusammenhang bei der Auslegung des Unionsrechts zu berücksichtigende Regelungsziel lässt ebenfalls keine eindeutige Antwort auf die Vorlagefrage zu.
22(a) Die Zulässigkeit einer wettbewerbsrechtlichen Klagebefugnis für Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG könnte mit dem vom Unionsgesetzgeber mit der Schaffung der Datenschutz-Grundverordnung verfolgten Harmonisierungsziel unvereinbar sein.
23Unter der Geltung der Datenschutz-Richtlinie bestand in den Mitgliedstaaten der Europäischen Union nicht nur ein unterschiedliches Datenschutzniveau, sondern es gab auch Unterschiede in der Durchsetzung der Bestimmungen zum Datenschutz (vgl. Köhler, WRP 2018, 1269 Rn. 24). Aus den Erwägungsgründen 11 und 13 der Datenschutz-Grundverordnung ergibt sich die Zielsetzung des Unionsgesetzgebers, im Hinblick auf beide Gesichtspunkte Abhilfe zu schaffen und damit auch das Durchsetzungsniveau innerhalb der Union zu vereinheitlichen (Köhler, WRP 2018, 1269 Rn. 24 f.). Eine über die in der Verordnung geregelten Instrumente hinausgehende Durchsetzung datenschutzrechtlicher Bestimmungen durch Private, also durch Mitbewerber, könnte diesem Vereinheitlichungsziel entgegenstehen (Barth, WRP 2018, 790 Rn. 16; Köhler, WRP 2018, 1269 Rn. 44 bis 46; Spittka, GRUR-Prax 2019, 272, 274; vgl. auch Ohly, GRUR 2022, 924, 925).
24Es ist auch nicht zweifelsfrei, dass eine Schutzlücke im Durchsetzungssystem der Datenschutz-Grundverordnung vorliegt, die durch die Zulassung der wettbewerbsrechtlichen Klagebefugnis von Mitbewerbern geschlossen werden müsste (Köhler, WRP 2019, 1279 Rn. 38; ders., ZD 2019, 285, 286). Gemäß Art. 8 Abs. 3 EU-Grundrechtecharta wird die Einhaltung des Schutzes der personenbezogenen Daten einer Person durch eine unabhängige Stelle überwacht. Dementsprechend regelt die Datenschutz-Grundverordnung umfassend die Aufgaben und Befugnisse der Aufsichtsbehörden. Es könnte die Gefahr bestehen, dass eine Konkurrenz bei der Durchsetzung des objektiven Datenschutzrechts zwischen den Aufsichtsbehörden einerseits und den Zivilgerichten andererseits zu einer Ausschaltung der differenzierten Befugnisse der Aufsichtsbehörden und zu Unterschieden bei der Durchsetzung des Datenschutzrechts innerhalb der Europäischen Union führt (Barth, WRP 2018, 790 Rn. 16; Köhler, WRP 2018, 1269 Rn. 45 f.; ders., ZD 2019, 285, 286; Ohly in Festschrift Köhler, 2014, S. 507, 510, 514 f.). Allerdings ist insoweit zu beachten, dass gemäß Art. 80 Abs. 2 DSGVO unter bestimmten Voraussetzungen eine solche Konkurrenz ohnehin bereits besteht (vgl. EuGH, GRUR 2022, 920 [juris Rn. 83] - Meta Platforms Ireland).
25(b) Für die Annahme einer weiterhin gegebenen wettbewerbsrechtlichen Klagebefugnis für Mitbewerber könnte sprechen, dass damit eine nach dem Effektivitätsgrundsatz ("effet utile") wünschenswerte zusätzliche Möglichkeit der Rechtsdurchsetzung erhalten bliebe, um gemäß dem Erwägungsgrund 10 der Datenschutz-Grundverordnung ein möglichst hohes Datenschutzniveau zu gewährleisten (vgl. Laoutoumai/Hoppe, K&R 2018, 533, 535; Podszun/de Thoma, NJW 2016, 2987, 2989). Bei der Rechtsdurchsetzung durch Mitbewerber handelt es sich um eine besonders effektive Rechtsdurchsetzung (vgl. Buchner in Festschrift Köhler aaO S. 51, 57 f.; Diercks, CR 2019, 95, 99; Huppertz/Ohrmann, CR 2011, 449, 454; Linsenbarth/Schiller, WRP 2013, 576, 582; Metzger, GRUR Int. 2015, 687, 689, 691; Ohly in Festschrift Köhler aaO S. 507, 509 f.; Podszun/de Thoma, NJW 2016, 2987, 2989; Schaffert in Festschrift Bornkamm, 2014, S. 463, 475; Stellungnahme der GRUR zum Referentenentwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs, GRUR 2019, 59, 60). Sie ermöglicht ebenso wie eine Verbandsklage, zahlreiche Verletzungen der Rechte von Betroffenen zu verhindern, und ist damit wirksamer als die Klage, die eine einzelne, von einer Verletzung ihres Rechts auf Schutz ihrer personenbezogenen Daten individuell und konkret betroffene Person gegen ihren Verletzer erheben kann (vgl. EuGH, GRUR 2022, 920 [juris Rn. 75] - Meta Platforms Ireland).
26(4) Die Vorlagefrage 1 ist nicht bereits durch die Rechtsprechung des Gerichtshofs der Europäischen Union geklärt. Seiner Entscheidung "Meta Platforms Ireland" vom (GRUR 2022, 920) lässt sich keine eindeutige Antwort auf diese Frage entnehmen (aA - allerdings mit unterschiedlichen Ergebnissen - Hense, ZD 2022, 386, 388; Ohly, GRUR 2022, 924, 925). Der Gerichtshof hat die Klagebefugnis eines Mitbewerbers ausdrücklich offengelassen (vgl. EuGH, GRUR 2022, 920 [juris Rn. 50] - Meta Platforms Ireland).
272. Für den Erfolg der Revision kommt es außerdem darauf an, ob es sich bei den Daten, die Kunden des Beklagten bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Internet-Verkaufsplattform einzugeben haben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), um Daten über Gesundheit im Sinne von Art. 8 Abs. 1 DSRL sowie um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO handelt (Vorlagefrage 2).
28a) Der vom Kläger auf Wiederholungsgefahr gestützte und in die Zukunft gerichtete Unterlassungsanspruch besteht nur, wenn das beanstandete Verhalten des Beklagten sowohl zum Zeitpunkt seiner Vornahme rechtswidrig war als auch zum Zeitpunkt der Revisionsverhandlung rechtswidrig ist (st. Rspr.; vgl. , GRUR 2022, 1308 [juris Rn. 68] = WRP 2022, 1106 - YouTube II, mwN).
29Die vom Kläger als verletzt gerügten Bestimmungen zur Zulässigkeit der Verarbeitung von Gesundheitsdaten gemäß § 4 Abs. 1, § 4a Abs. 1 und 3, § 28 Abs. 7 Satz 1 BDSG aF, mit denen Art. 8 Abs. 1, 2 Buchst. a und 3 DSRL ins deutsche Recht umgesetzt worden sind, sind durch Art. 9 Abs. 1 und 2 Buchst. a und h DSGVO ersetzt worden.
30aa) Zum Zeitpunkt der Vornahme war das beanstandete Verhalten rechtswidrig, wenn beim in Rede stehenden Bestellvorgang Daten über Gesundheit im Sinne von Art. 8 Abs. 1 DSRL verarbeitet wurden. Nach Art. 8 Abs. 1 DSRL untersagen die Mitgliedstaaten die Verarbeitung personenbezogener Daten über Gesundheit. Von dieser Regelung gibt es Ausnahmen. Davon kommen im Streitfall allenfalls die ausdrückliche Einwilligung (Art. 8 Abs. 2 Buchst. a DSRL, § 4 Abs. 1, § 4a Abs. 1 und 3 Satz 1 BDSG aF) und die Verarbeitung der Daten zum Zwecke der Gesundheitsversorgung (Art. 8 Abs. 3 DSRL, § 28 Abs. 7 Satz 1 BDSG aF) in Betracht. Die Voraussetzungen dieser Ausnahmevorschriften liegen nicht vor. Deshalb kommt es darauf an, ob die von den Kunden des Beklagten bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Internet-Verkaufsplattform einzugebenden Angaben Daten über Gesundheit im Sinne von Art. 8 Abs. 1 DSRL (§ 3 Abs. 9, § 4a Abs. 3 BDSG aF) sind.
31bb) Die vorstehend genannten Bestimmungen zur Verarbeitung besonderer Kategorien personenbezogener Daten sind mit Wirkung ab dem durch die in Art. 9 DSGVO getroffenen Regelungen ersetzt worden (Art. 94 Abs. 1, 99 Abs. 2 DSGVO). Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung von Gesundheitsdaten einer natürlichen Person untersagt. Dies gilt nach Art. 9 Abs. 2 DSGVO nicht in - hier allenfalls in Betracht kommenden - Fällen der Einwilligung (Art. 9 Abs. 2 Buchst. a DSGVO) und der Versorgung im Gesundheitsbereich (Art. 9 Abs. 2 Buchst. h in Verbindung mit Abs. 3 DSGVO). Die Voraussetzungen dieser Ausnahmevorschriften liegen nicht vor. Deshalb kommt es darauf an, ob es sich bei den im Streitfall in Rede stehenden Bestelldaten um Gesundheitsdaten im Sinne von Art. 4 Nr. 15, Art. 9 Abs. 1 DSGVO handelt.
32cc) Der Senat geht davon aus, dass mit der Änderung der Rechtslage seit Geltung der Datenschutz-Grundverordnung keine Änderung der inhaltlichen Anforderungen verbunden ist, die nach dem Unionsrecht für die besondere Kategorie personenbezogener Daten mit Bezug auf die Gesundheit gelten. Auch der Gerichtshof der Europäischen Union geht von einheitlichen Maßstäben der Datenschutz-Richtlinie und der Datenschutz-Grundverordnung für die Auslegung der besonderen Kategorien personenbezogener Daten aus (vgl. , ZD 2022, 611 [juris Rn. 117 bis 128] - Vyriausioji tarnybinés etikos komisija). Der Begriff der Daten über Gesundheit dürfte daher mit dem Begriff der Gesundheitsdaten übereinstimmen, so dass mit der Vorlagefrage 2 die Auslegung beider Begriffe einheitlich geklärt werden kann.
33b) Die Vorlagefrage 2 ist nicht eindeutig zu beantworten.
34aa) Gemäß Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen oder Standortdaten identifiziert werden kann.
35bb) Im Streitfall besteht die Besonderheit, dass sich der Klageantrag einschränkungslos auf den Vertrieb von apothekenpflichtigen Medikamenten über die Internet-Verkaufsplattform Amazon bezieht. Kunden des Beklagten können dort auch solche apothekenpflichtigen Medikamente bestellen, die nicht verschreibungspflichtig sind. Bei nicht verschreibungspflichtigen Medikamenten liegt keine ärztliche Verschreibung vor, aus der zu ersehen ist, wem dieses Medikament verschrieben worden ist und wer es demnach einnehmen soll. Bei nicht verschreibungspflichtigen Medikamenten ist es also nicht ausgeschlossen, dass der Käufer, dessen Bestelldaten (Name des Kunden, Lieferadresse und die für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendigen Informationen) der Beklagte selbst oder in seinem Auftrag Amazon verarbeitet, nicht derjenige ist, der das bestellte Medikament einnimmt, sondern dass der Käufer die Medikamente für Dritte kauft und an diese weitergibt.
36Es ist fraglich, ob Informationen auch dann Gesundheitsdaten darstellen, wenn nicht mit Sicherheit, sondern nur mit einer gewissen Wahrscheinlichkeit davon auszugehen ist, dass die durch Name und Lieferadresse identifizierte oder identifizierbare natürliche Person auch das bestellte Medikament einnehmen wird und damit aus den Bestelldaten in ihrer Gesamtheit eine Information über ihren Gesundheitszustand hervorgeht.
37(1) Aus dem Wortlaut von Art. 4 Nr. 15 und Art. 9 Abs. 1 DSGVO und aus Erwägungsgrund 35 der Datenschutz-Grundverordnung ergeben sich keine eindeutigen Anhaltspunkte für die Beantwortung dieser Frage.
38(2) Allerdings hat der Gerichtshof der Europäischen Union zum Begriff der besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO entschieden, dass dieser mit Blick auf das Ziel der Datenschutz-Richtlinie und der Datenschutz-Grundverordnung, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen - insbesondere ihres Privatlebens - bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten, weit auszulegen ist (EuGH, ZD 2022, 611 [juris Rn. 125] - Vyriausioji tarnybinés etikos komisija). Dies könnte dafür sprechen, dass Informationen auch dann Gesundheitsdaten darstellen, wenn nicht mit Sicherheit, sondern nur mit einer gewissen Wahrscheinlichkeit davon auszugehen ist, dass die durch Name und Lieferadresse identifizierte oder identifizierbare natürliche Person das bestellte Medikament auch einnehmen wird.
393. Die Vorlagefragen sind entscheidungserheblich. Die übrigen Voraussetzungen des geltend gemachten Unterlassungsanspruchs liegen vor.
40a) Das vom Berufungsgericht in Bezug genommene landgerichtliche Urteil ist rechtsfehlerfrei davon ausgegangen, dass die mit dem Klageantrag angegriffene Erhebung, Verarbeitung und Nutzung von Bestelldaten zum Zeitpunkt der Vornahme des beanstandeten Verhaltens eine Verarbeitung von personenbezogenen Daten darstellt, die nicht durch eine wirksame Einwilligung im Sinne von § 4 Abs. 1 und § 4a Abs. 1 und 3 BDSG aF (Art. 8 Abs. 2 Buchst. a DSRL) oder den in § 28 Abs. 7 Satz 1 BDSG aF (Art. 8 Abs. 3 DSRL) geregelten Erlaubnistatbestand gerechtfertigt war. In der Verletzung der für die Zulässigkeit der Verarbeitung von Gesundheitsdaten geltenden Bestimmungen lag zugleich eine Zuwiderhandlung gegen gesetzliche Vorschriften im Sinne von § 3a UWG. Der Beklagte war bei der Erhebung der persönlichen Daten im Rahmen des Bestellvorgangs der für die Einhaltung der datenschutzrechtlichen Bestimmungen Verantwortliche im Sinne von § 3 Abs. 7 BDSG aF (Art. 2 Buchst. d DSRL), weil er durch das Betreiben eines Verkäuferprofils bei Amazon jedenfalls gemeinsam mit dem Betreiber des Marketplace über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entschieden hat. Zudem war er gemäß § 8 Abs. 2 UWG wettbewerbsrechtlich für die Erhebung und Weitergabe der Bestelldaten durch Amazon verantwortlich, weil er Amazon in seinen Vertrieb eingebunden hat (vgl. , GRUR 2009, 1167 [juris Rn. 21] = WRP 2009, 1529 - Partnerprogramm, mwN).
41b) Entsprechendes gilt für die Rechtslage nach Ingeltungsetzung der Datenschutz-Grundverordnung. Das Berufungsgericht ist rechtsfehlerfrei davon ausgegangen, dass die Zulässigkeitsvoraussetzungen einer Verarbeitung von Gesundheitsdaten gemäß Art. 9 Abs. 2 Buchst. a und h und Abs. 3 DSGVO im Streitfall nicht vorliegen. Es handelt sich bei der Vorschrift des Art. 9 DSGVO um eine Marktverhaltensregel im Sinne von § 3a UWG. Der Kläger ist als Mitbewerber nach § 8 Abs. 3 Nr. 1 UWG materiell-rechtlich berechtigt, einen Unterlassungsanspruch geltend zu machen. Der Beklagte ist als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO gehalten, die datenschutzrechtlichen Bestimmungen gemäß Art. 9 DSGVO einzuhalten, und kann gemäß § 8 Abs. 1 und 2 UWG wettbewerbsrechtlich mit Blick auf die bei Amazon und im eigenen Betrieb vorgenommenen Datenverarbeitungsvorgänge auf Unterlassung in Anspruch genommen werden.
ECLI Nummer:
ECLI:DE:BGH:2023:120123BIZR223.19.0
Fundstelle(n):
BB 2023 S. 194 Nr. 5
LAAAJ-31770