Mit Urteil vom 4. Oktober 2024 (EuGH, Az.: C-21/23) hat der Europäische Gerichtshof zwei datenschutzrechtlich relevante Fragen beantwortet: Einerseits, ob Mitbewerber Datenschutzverstöße wettbewerbsrechtlich angreifen können und andererseits, ob Bestelldaten aus dem Vertrieb apothekenpflichtiger, aber nicht verschreibungspflichtiger Arzneimittel bereits Gesundheitsdaten darstellen.
Worum ging es in dem konkreten Fall?
Ausgangspunkt war ein Rechtsstreit zwischen zwei Apothekenbetreibern. Hintergrund war der Vertrieb apothekenpflichtiger Arzneimittel über eine Onlineplattform. Dabei mussten Kunden Daten wie Namen, Lieferadresse und Angaben zur Individualisierung des bestellten Produkts eingeben. Der EuGH sollte klären, ob solche Angaben datenschutzrechtlich als Gesundheitsdaten einzuordnen sind und ob Mitbewerber wegen DSGVO-Verstößen klagen dürfen.
Warum sind das Gesundheitsdaten?
Der EuGH legt den Begriff der Gesundheitsdaten dabei weit aus. Entscheidend ist nicht, ob eine Information den Gesundheitszustand sicher beweist. Es reicht vielmehr aus, dass aus den Daten durch gedankliche Verknüpfung Rückschlüsse auf den Gesundheitszustand einer Person gezogen werden können. Genau das sei bei Bestellungen apothekenpflichtiger Arzneimittel regelmäßig der Fall. Deshalb können schon die bei der Onlinebestellung eingegebenen Kundendaten Gesundheitsdaten bei Online-Apotheken sein – auch dann, wenn für das Arzneimittel keine ärztliche Verschreibung erforderlich ist.
Was bedeutet das für die Praxis?
Für Betreiber von Online-Apotheken ist die Entscheidung ein deutliches Warnsignal. Wer solche Daten verarbeitet, bewegt sich im Anwendungsbereich von Art. 9 Abs. 1 DSGVO. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist grundsätzlich verboten, es sei denn, eine Ausnahme nach Art. 9 Abs. 2 DSGVO greift.
Der EuGH hat zwar nicht pauschal entschieden, dass in jedem Fall nur eine ausdrückliche Einwilligung zulässig ist. Die Entscheidung zeigt aber klar, dass Anbieter die Rechtsgrundlage ihrer Datenverarbeitung sehr sorgfältig prüfen und dokumentieren müssen. Wo keine tragfähige Ausnahme eingreift, wird eine ausdrückliche Einwilligung regelmäßig naheliegen. Diese Schlussfolgerung ergibt sich aus der Einordnung als Gesundheitsdaten und aus der Systematik des Art. 9 DSGVO.
Mitbewerber dürfen DSGVO-Verstöße verfolgen
Besonders relevant ist auch der erste Teil des Urteils: Die Vorschriften der DSGVO stehen nationalen Regelungen nicht entgegen, nach denen Mitbewerber DSGVO-Verstöße über das Lauterkeitsrecht vor Zivilgerichten verfolgen können. Für Deutschland ist das brisant, weil damit der Weg über § 8 Abs. 3 Nr. 1 UWG grundsätzlich offenbleibt. Datenschutzrecht ist damit nicht nur Aufsichtsbehörden- und Betroffenenrecht, sondern kann zugleich ein wettbewerbsrechtliches Risiko sein.
Häufige Fragen
Sind Bestelldaten von Online-Apotheken immer Gesundheitsdaten?
Nicht in jedem Einzelfall, aber nach dem EuGH regelmäßig dann, wenn aus den Bestellangaben Rückschlüsse auf den Gesundheitszustand möglich sind. Das betrifft vor allem apothekenpflichtige Arzneimittel – auch ohne Rezeptpflicht.
Können Mitbewerber jetzt DSGVO-Verstöße abmahnen?
Das UWG erlaubt die wettbewerbsrechtliche Verfolgung von DSGVO-Verstößen. Voraussetzung ist, dass der Verstoß eine geschäftliche Handlung darstellt. Eine Einzelfallprüfung bleibt erforderlich.
Was müssen Online-Apotheken jetzt konkret tun?
Bestellprozesse, Einwilligungstexte, Datenschutzhinweise und Löschkonzepte sollten zeitnah überprüft und angepasst werden. Für Gesundheitsdaten ist grundsätzlich eine ausdrückliche Einwilligung oder ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO erforderlich.
Was das für die Praxis bedeutet
Die Entscheidung schärft den Blick dafür, dass Gesundheitsdaten bei Online-Apotheken sehr viel früher vorliegen können, als viele Unternehmen bislang angenommen haben. Nicht erst Diagnosen oder Rezepte sind sensibel. Schon die Kombination aus Produktbezug, Bestellangaben und Kundenzuordnung kann genügen. Für die Praxis heißt das: Bestellprozesse, Einwilligungstexte, Datenschutzhinweise, technische Zugriffsrechte und Löschkonzepte sollten zeitnah überprüft werden. Gerade weil nun zusätzlich Mitbewerber gegen Verstöße vorgehen können, steigt das Prozessrisiko deutlich.
