EuGHUrteil vom 4.10.2024 – C-21/23 – “Lindenapotheke”
Ausgangsfrage und Anträge:
Der Bundesgerichtshof (BGH) wollte wissen, ob die Bestimmungen des Kapitels VIII DS-GVO einer nationalen Regelung entgegenstehen, die Mitbewerbern erlaubt, wegen Verstößen gegen die DS-GVO vor Zivilgerichten unter dem Gesichtspunkt des Verbots unlauterer Geschäftspraktiken zu klagen. Zudem wurde gefragt, ob Daten, die Kunden bei der Online-Bestellung apothekenpflichtiger Arzneimittel eingeben, als Gesundheitsdaten im Sinne der DS-GVO gelten, auch wenn keine ärztliche Verschreibung erforderlich ist.
DR, ein Mitbewerber, beantragte, ND zu verbieten, apothekenpflichtige Arzneimittel über Amazon zu vertreiben, solange nicht sichergestellt sei, dass Kunden vorab in die Verarbeitung ihrer Gesundheitsdaten einwilligen.
Entscheidung des EuGH:
- Erste Frage: Der EuGH entschied, dass die Bestimmungen des Kapitels VIII DS-GVO einer nationalen Regelung nicht entgegenstehen, die Mitbewerbern erlaubt, wegen Verstößen gegen die DS-GVO vor Zivilgerichten unter dem Gesichtspunkt des Verbots unlauterer Geschäftspraktiken zu klagen.
- Zweite Frage: Der EuGH stellte fest, dass Daten, die Kunden bei der Online-Bestellung apothekenpflichtiger Arzneimittel eingeben (wie Name, Lieferadresse und Informationen zur Individualisierung der Arzneimittel), als Gesundheitsdaten im Sinne der DS-GVO gelten, auch wenn keine ärztliche Verschreibung erforderlich ist.
Datenschutzverstoß kann auch Verstoß gegen den unlauteren Wettbewerb (UWG) sein
ND betreibt die “Lindenapotheke” und vertreibt apothekenpflichtige Arzneimittel über Amazon. DR, ein Mitbewerber, klagte gegen ND, da dieser keine ausdrückliche Einwilligung der Kunden zur Verarbeitung ihrer Gesundheitsdaten einholte. DR argumentierte, dass dies unlautere Geschäftspraktiken darstelle.
Der BGH wollte klären, ob die DS-GVO einer nationalen Regelung entgegensteht, die es Mitbewerbern erlaubt, wegen Verstößen gegen die DS-GVO vor Zivilgerichten zu klagen.
Der EuGH stellte fest, dass Kapitel VIII der DS-GVO die Rechtsbehelfe regelt, die betroffenen Personen zur Verfügung stehen, wenn ihre personenbezogenen Daten verarbeitet werden. Diese Bestimmungen schließen jedoch nicht aus, dass auch andere Rechtsbehelfe nach nationalem Recht bestehen können (Rn. 47).
Der EuGH entschied, dass die DS-GVO einer nationalen Regelung nicht entgegensteht, die Mitbewerbern erlaubt, wegen Verstößen gegen die DS-GVO vor Zivilgerichten zu klagen. Dies gilt insbesondere unter dem Gesichtspunkt des Verbots unlauterer Geschäftspraktiken (Rn. 73). Der EuGH betonte, dass der Wortlaut der DS-GVO keine ausdrückliche Ausschlussklausel enthält, die Mitbewerberklagen verbietet. Zudem verfolgt die DS-GVO das Ziel, einen hohen Schutz personenbezogener Daten zu gewährleisten, was durch zusätzliche nationale Rechtsbehelfe unterstützt werden kann (Rn. 53).
Der EuGH erkannte an, dass Datenschutzverstöße auch wettbewerbsrechtliche Auswirkungen haben können. Der Zugang zu personenbezogenen Daten ist ein wichtiger Wettbewerbsfaktor in der digitalen Wirtschaft. Daher kann es erforderlich sein, Datenschutzvorschriften im Rahmen des Wettbewerbsrechts durchzusetzen, um einen fairen Wettbewerb zu gewährleisten (Rn. 56).
Folgen des Urteils für das Haftungsrisiko von Unternehmen:
Das Urteil des EuGH erlaubt es Mitbewerbern, wegen Verstößen gegen die DS-GVO vor Zivilgerichten zu klagen. Dies bedeutet, dass Unternehmen nicht nur von betroffenen Personen oder Aufsichtsbehörden, sondern auch von Mitbewerbern verklagt werden können (Rn. 73). Dies erhöht das Haftungsrisiko erheblich, da die Anzahl der potenziellen Kläger steigt.
Datenschutzverstöße können nun als unlautere Geschäftspraktiken eingestuft werden, was zusätzliche rechtliche Konsequenzen nach sich ziehen kann. Unternehmen müssen daher sicherstellen, dass ihre Datenschutzpraktiken nicht nur den Anforderungen der DS-GVO entsprechen, sondern auch wettbewerbsrechtlich unbedenklich sind (Rn. 56).
Unternehmen sollten ein umfassendes Risikomanagementsystem implementieren, das sowohl datenschutzrechtliche als auch wettbewerbsrechtliche Aspekte berücksichtigt. Dies kann durch regelmäßige Audits, Schulungen und die Implementierung von Datenschutzrichtlinien erreicht werden.
Das Urteil lässt einige rechtliche Unsicherheiten bestehen, insbesondere hinsichtlich der Abgrenzung zwischen datenschutzrechtlichen und wettbewerbsrechtlichen Verstößen. Unternehmen müssen daher besonders wachsam sein und sich gegebenenfalls rechtlich beraten lassen, um sicherzustellen, dass sie alle relevanten Vorschriften einhalten (Rn. 60).
Das Urteil des EuGH erhöht das Haftungsrisiko für Unternehmen erheblich, da es Mitbewerbern ermöglicht, wegen Datenschutzverstößen zu klagen. Unternehmen müssen daher ihre Datenschutz- und Compliance-Maßnahmen verstärken, um rechtliche Risiken zu minimieren und wettbewerbsrechtliche Konsequenzen zu vermeiden.
Recent Comments