DSGVO: Online-Apotheken müssen auch bei nicht verschreibungspflichtigen Arzneimitteln den Datenschutz gewährleisten ("Lindenapotheke")
EuGH v. 4.10.2024 - C-21/23
Der Sachverhalt:
Der Apotheker, dem die "Lindenapotheke" gehört, vertreibt seit 2017 apothekenpflichtige Medikamente über Amazon. Die Kunden müssen im Rahmen der Onlinebestellung dieser Medikamente verschiedene Informationen eingeben. Gestützt auf die deutschen Rechtsvorschriften über unlautere Geschäftspraktiken hatte ein Mitbewerber des Apothekers gerichtlich beantragt, dem Inhaber der Lindenapotheke diese Tätigkeit zu verbieten, solange nicht gewährleistet sei, dass die Kunden vorab in die Verarbeitung von Gesundheitsdaten einwilligen können.
Die Gerichte erster und zweiter Instanz vertraten die Ansicht, dass dieser Vertrieb eine unlautere und unzulässige Praxis darstelle, da er gegen die Verordnung zum Schutz personenbezogener Daten (DSGVO)1 verstoße. Wenn keine ausdrückliche Einwilligung der die Arzneimittel erwerbenden Kunden vorliege, komme es beim Verkauf nämlich zu einer Verarbeitung von Gesundheitsdaten, die mit der DSGVO nicht vereinbar sei.
Der BGH hat sich im Revisionsverfahren die Frage gestellt, ob die nationalen Rechtsvorschriften, die es einem Mitbewerber ermöglichen, auf der Grundlage des Verbots unlauterer Geschäftspraktiken Klage gegen den mutmaßlichen Verletzer von Vorschriften der DSGVO zu erheben, mit dieser Verordnung im Einklang stehen. Denn nach der DSGVO obliege die Überwachung und Durchsetzung dieser Verordnung nämlich grundsätzlich den nationalen Aufsichtsbehörden und die betroffenen Personen (in diesem Fall die Kunden) seien für die Durchsetzung ihrer Rechte verantwortlich. Der BGH wollte zudem wissen, ob die Daten, die beim Kauf apothekenpflichtiger Arzneimittel über das Internet eingegeben werden, Gesundheitsdaten i.S.d. DSGVO darstellen, auch wenn diese Arzneimittel keiner ärztlichen Verschreibung bedürfen. Er hat sich daher an den EuGH gewandt.
Der EuGH hat beide Fragen bejaht.
Die Gründe:
Die DSGVO steht einer nationalen Regelung, nach der - zusätzlich zu den Rechten und Befugnissen, die die DSGVO den nationalen Aufsichtsbehörden, den betroffenen Personen und den diese Personen vertretenden Verbänden einräumt - Mitbewerber des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des Verbots unlauterer Geschäftspraktiken wegen eines Verstoßes gegen die DSGVO gerichtlich gegen diese Person vorgehen können, nicht entgegen. Vielmehr trägt dies unbestreitbar dazu bei, die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten. Im Übrigen kann sich dies als besonders wirksam erweisen, da so zahlreiche Verstöße gegen die DSGVO verhindert werden können.
Außerdem stellen die von Kunden bei der Onlinebestellung apothekenpflichtiger Arzneimittel eingegebenen Daten (wie etwa Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen) Gesundheitsdaten i.S.d. DSGVO dar. Dies gilt auch, wenn der Verkauf der Arzneimittel keiner ärztlichen Verschreibung bedarf. Denn aus diesen Daten kann mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand einer identifizierten oder identifizierbaren natürlichen Person geschlossen werden, da eine Verbindung zwischen dieser Person und einem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen hergestellt wird, unabhängig davon, ob diese Informationen den Kunden oder eine andere Person betreffen, für die der Kunde die Bestellung tätigt.
Insofern ist es unerheblich, dass ohne ärztliche Verschreibung Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für die Kunden bestimmt sind, die sie bestellt haben. Nach der Art der Arzneimittel und danach zu differenzieren, ob ihr Verkauf einer ärztlichen Verschreibung bedarf, liefe dem mit der DSGVO verfolgten Ziel eines hohen Schutzniveaus zuwider. Der Verkäufer muss diese Kunden daher klar, vollständig und in leicht verständlicher Weise über die spezifischen Umstände und Zwecke der Verarbeitung der Daten informieren und ihre ausdrückliche Einwilligung in diese Verarbeitung einholen.
Mehr zum Thema:
Beratermodul Datenschutzrecht
Das weitgreifende Komplettangebot zum deutschen und europäischen Datenschutzrecht deckt die DSGVO, das TTDSG und das BDSG ab. Mit Top-Inhalten aus den Verlagen Dr. Otto Schmidt und C.F. Müller. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!
Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht: Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
EuGH PM Nr. 159 vom 4.10.2024
Der Apotheker, dem die "Lindenapotheke" gehört, vertreibt seit 2017 apothekenpflichtige Medikamente über Amazon. Die Kunden müssen im Rahmen der Onlinebestellung dieser Medikamente verschiedene Informationen eingeben. Gestützt auf die deutschen Rechtsvorschriften über unlautere Geschäftspraktiken hatte ein Mitbewerber des Apothekers gerichtlich beantragt, dem Inhaber der Lindenapotheke diese Tätigkeit zu verbieten, solange nicht gewährleistet sei, dass die Kunden vorab in die Verarbeitung von Gesundheitsdaten einwilligen können.
Die Gerichte erster und zweiter Instanz vertraten die Ansicht, dass dieser Vertrieb eine unlautere und unzulässige Praxis darstelle, da er gegen die Verordnung zum Schutz personenbezogener Daten (DSGVO)1 verstoße. Wenn keine ausdrückliche Einwilligung der die Arzneimittel erwerbenden Kunden vorliege, komme es beim Verkauf nämlich zu einer Verarbeitung von Gesundheitsdaten, die mit der DSGVO nicht vereinbar sei.
Der BGH hat sich im Revisionsverfahren die Frage gestellt, ob die nationalen Rechtsvorschriften, die es einem Mitbewerber ermöglichen, auf der Grundlage des Verbots unlauterer Geschäftspraktiken Klage gegen den mutmaßlichen Verletzer von Vorschriften der DSGVO zu erheben, mit dieser Verordnung im Einklang stehen. Denn nach der DSGVO obliege die Überwachung und Durchsetzung dieser Verordnung nämlich grundsätzlich den nationalen Aufsichtsbehörden und die betroffenen Personen (in diesem Fall die Kunden) seien für die Durchsetzung ihrer Rechte verantwortlich. Der BGH wollte zudem wissen, ob die Daten, die beim Kauf apothekenpflichtiger Arzneimittel über das Internet eingegeben werden, Gesundheitsdaten i.S.d. DSGVO darstellen, auch wenn diese Arzneimittel keiner ärztlichen Verschreibung bedürfen. Er hat sich daher an den EuGH gewandt.
Der EuGH hat beide Fragen bejaht.
Die Gründe:
Die DSGVO steht einer nationalen Regelung, nach der - zusätzlich zu den Rechten und Befugnissen, die die DSGVO den nationalen Aufsichtsbehörden, den betroffenen Personen und den diese Personen vertretenden Verbänden einräumt - Mitbewerber des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des Verbots unlauterer Geschäftspraktiken wegen eines Verstoßes gegen die DSGVO gerichtlich gegen diese Person vorgehen können, nicht entgegen. Vielmehr trägt dies unbestreitbar dazu bei, die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten. Im Übrigen kann sich dies als besonders wirksam erweisen, da so zahlreiche Verstöße gegen die DSGVO verhindert werden können.
Außerdem stellen die von Kunden bei der Onlinebestellung apothekenpflichtiger Arzneimittel eingegebenen Daten (wie etwa Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen) Gesundheitsdaten i.S.d. DSGVO dar. Dies gilt auch, wenn der Verkauf der Arzneimittel keiner ärztlichen Verschreibung bedarf. Denn aus diesen Daten kann mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand einer identifizierten oder identifizierbaren natürlichen Person geschlossen werden, da eine Verbindung zwischen dieser Person und einem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen hergestellt wird, unabhängig davon, ob diese Informationen den Kunden oder eine andere Person betreffen, für die der Kunde die Bestellung tätigt.
Insofern ist es unerheblich, dass ohne ärztliche Verschreibung Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für die Kunden bestimmt sind, die sie bestellt haben. Nach der Art der Arzneimittel und danach zu differenzieren, ob ihr Verkauf einer ärztlichen Verschreibung bedarf, liefe dem mit der DSGVO verfolgten Ziel eines hohen Schutzniveaus zuwider. Der Verkäufer muss diese Kunden daher klar, vollständig und in leicht verständlicher Weise über die spezifischen Umstände und Zwecke der Verarbeitung der Daten informieren und ihre ausdrückliche Einwilligung in diese Verarbeitung einholen.
Beratermodul Datenschutzrecht
Das weitgreifende Komplettangebot zum deutschen und europäischen Datenschutzrecht deckt die DSGVO, das TTDSG und das BDSG ab. Mit Top-Inhalten aus den Verlagen Dr. Otto Schmidt und C.F. Müller. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!
Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht: Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!