Nach wie vor ist nicht abschließend geklärt, ob Verstöße gegen die DSGVO von Mitbewerbern abgemahnt werden können. Hintergrund ist die Frage, ob es sich bei den Vorschriften der DSGVO um Marktverhaltensregeln handelt und inwiefern die DSGVO die Durchsetzung dieser Rechte abschließend regelt. Nachdem der BGH die entsprechende Frage dem EuGH zur Vorabentscheidung vorgelegt hat, hat nun der Generalanwalt am EuGH in seinen Schlussanträgen ( v. 25.4.2024 – C‑21/23) seine Auffassung bekanntgegeben. Er kommt zu dem Ergebnis, dass die Bestimmungen von Kapitel VIII der DSGVO nationalen Vorschriften nicht entgegenstehen, die Unternehmen das Recht einräumen, sich auf der Grundlage des Verbots von Handlungen unlauteren Wettbewerbs darauf zu berufen, DSGVO-Verstöße ihrer Mitbewerber zu verfolgen.
Im betreffenden Fall ging es um den Vertrieb von apothekenpflichtigen Medikamenten eines Apothekers über Amazon. Das LG Magdeburg (Urt. v. 18.1.2019 – 36 O 48/18) hatte die Frage zunächst verneint. Im Hinblick auf Verstöße gegen die DSGVO sei der Kläger als Mitbewerber nicht klagebefugt. Die DSGVO enthalte ein abschließendes Sanktionssystem, das den Wettbewerber nicht einschließe. Das OLG Naumburg (Urt. v. 7.11.2019 – 9 U 6/19) kam auf die Berufung des Klägers hin zu einem anderen Ergebnis. Es entschied, dass es sich bei bestimmten Regelungen der DSGVO um Marktverhaltensregelungen im Sinne von § 3a UWG handle. Der Beklagte verarbeite im Rahmen der Bestellungen Gesundheitsdaten seiner Kunden im Sinne von Art. 9 Abs. 1 DSGVO. Hierfür fehle die im Streitfall erforderliche Einwilligung. Ein Verstoß gegen die weiteren vom Kläger angeführten Vorschriften scheide jedoch aus. Das OLG Naumburg hatte die Revision zugelassen. Beide Parteien haben Rechtsmittel gegen die Entscheidung eingelegt (BGH, I ZR 222/19).
In einem anderen Verfahren vor dem BGH (I ZR 223/19) ging es um die Erhebung und Verarbeitung personenbezogener Daten im Rahmen des Bestellprozesses. Der Kläger war der Ansicht, dass die Beklagte keine Einwilligung eingeholt habe. Die Beklagte hingegen hielt den Kläger als Mitbewerber für nicht klagebefugt. Das LG Dessau-Roßlau (Urt. v. 27.3.2018 – 3 O 29/17) hatte der Klage stattgegeben. Es hat das Datenschutzrecht als Marktverhaltensregelung im Sinne von § 3a UWG angesehen, weil es auch dem Schutz der Interessen der Mitbewerber diene. Die Veräußerung apothekenpflichtiger Produkte über die Plattform Amazon Marketplace verletze datenschutzrechtliche und berufsrechtliche Vorschriften. Das OLG Naumburg (Urt. v. 7.11.2019 – 9 U 39/18) hatte die Berufung des Beklagten gegen die Entscheidung des LG zurückgewiesen. Es hat angenommen, die Regelungen der DSGVO seien in der konkreten Fallkonstellation als Marktverhaltensregelungen im Sinne von § 3a UWG anzusehen. Der Beklagte verarbeite im Rahmen der Bestellungen Gesundheitsdaten seiner Kunden im Sinne von Art. 9 Abs. 1 DSGVO. Hierfür fehle die im Streitfall erforderliche Einwilligung. Der Beklagte hat die vom OLG zugelassene Revision eingelegt.
Der BGH hatte beide Verfahren ausgesetzt und dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII DSGVO vorgesehenen Regelungen nationalen Bestimmungen entgegenstehen, die es Mitbewerbern ermöglichen, gegen den Verletzer vorzugehen. Zudem möchte der BGH in einer weiteren Vorlagefrage wissen, ob es sich bei den bei einer Bestellung von apothekenpflichtigen Medikamenten eingegebenen Daten auf einer Verkaufsplattform um Gesundheitsdaten im Sinne von Art. 9 DSGVO handelt.
Der Generalanwalt beginnt in seiner Würdigung mit der Beantwortung der zweiten Vorlagefrage des BGH. Der Generalanwalt kommt zu dem Ergebnis, dass es sich bei Daten der Kunden eines Apothekers, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, nicht um „Gesundheitsdaten“ im Sinne von Art. 4 Nr. 15 und Art. 9 DSGVO handelt.
Ich bin daher der Auffassung, dass die zweite Vorlagefrage dahin zu beantworten ist, dass die Daten der Kunden eines Apothekers, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, keine „Gesundheitsdaten“ im Sinne von Art. 4 Nr. 15 und Art. 9 DSGVO darstellen, weil aus ihnen nur hypothetische oder ungenaue Rückschlüsse auf den Gesundheitszustand der Person, die die Online-Bestellung vornimmt, gezogen werden können, was zu überprüfen Sache des vorlegenden Gerichts ist.
Er nennt mehrere Gesichtspunkte für diese Einordnung. Zunächst zielen nicht verschreibungspflichtige Arzneimittel grundsätzlich nicht auf die Behandlung eines bestimmten Krankheitszustands, sondern können allgemein zur Behandlung von Alltagsbeschwerden eingesetzt werden. Zudem würden solche Medikamente häufig vorsorglich bestellt. Zudem komme es häufig vor, dass solche nicht verschreibungspflichtigen Medikamente für jemand anderen oder ohne genaue Angaben zur Identität bestellt würden.
Erstens weise ich in Bezug auf die Produkte, die Gegenstand der Bestellung sind, darauf hin, dass die in Rede stehenden Arzneimittel, d. h. solche, die nicht verschreibungspflichtig sind, grundsätzlich nicht auf die Behandlung eines bestimmten Krankheitszustands abzielen, sondern allgemeiner zur Behandlung von Alltagsbeschwerden verwendet werden können, die bei jedem auftreten können und nicht für eine bestimmte Krankheit oder einen bestimmten Gesundheitszustand symptomatisch sind. Darüber hinaus werden diese Arzneimittel auch häufig vorsorglich gekauft, um sie im Bedarfsfall zur Verfügung zu haben, z. B. vor Antritt einer Reise zu einem vom gewöhnlichen Aufenthaltsort entfernten Ziel. Beispielsweise lässt eine Bestellung von Paracetamol keine Rückschlüsse auf den genauen Zustand einer Person zu, weil dieser Wirkstoff zur Behandlung einer Vielzahl von Schmerzen und Fieberzuständen indiziert ist und häufig zu den Medikamenten gehört, die Menschen auch ohne besonderen Bedarf zu Hause haben.
Zweitens bedeutet – wie ND ausführt – die Tatsache, dass eine Person online ein nicht verschreibungspflichtiges Arzneimittel bestellt, nicht zwangsläufig, dass diese Person, deren Daten verarbeitet werden, und nicht eine andere Person in ihrem Haushalt oder ihrem Umfeld das Medikament anwenden wird. Es kommt nämlich häufig vor, dass eine Bestellung auf einer Online-Verkaufsseite von einer Person, die ein Konto auf dieser Seite hat, im Namen und auf Rechnung einer Person getätigt wird, die kein Konto hat. Ohne eine Verschreibung, in der die Person, für die das Medikament bestimmt ist, namentlich genannt wird und aufgrund deren davon auszugehen ist, dass der Anwender des Medikaments und der Käufer ein und dieselbe Person sind, kann aus der Bestellung eines online frei zugänglichen Produkts nicht abgeleitet werden, dass dieses Produkt dazu bestimmt ist, vom Käufer und nur von diesem verwendet zu werden. Daraus folgt, dass sich über den Gesundheitszustand der Person, deren Daten verarbeitet werden, vernünftigerweise keine Schlussfolgerungen aus diesen Daten mit der Folge ziehen lassen, dass sie als „Gesundheitsdaten“ eingestuft werden könnten.
Dies gilt umso mehr, als drittens – vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen – eine Person eine Bestellung über das Internet aufgeben kann, ohne genaue Angaben zu ihrer Identität machen zu müssen, insbesondere wenn die Lieferung des Produkts nicht an die Adresse der betreffenden Person, sondern über eine Abgabestelle erfolgt und keine weiteren Angaben zur bürgerlichen Identität für Rechnungszwecke erforderlich sind.
In der ersten Vorlagefrage des BGH ging es jedoch darum, ob die in Kapitel VIII DSGVO vorgesehenen Regelungen nationalen Bestimmungen entgegenstehen, die es Mitbewerbern ermöglichen, gegen den Verletzer vorzugehen. Der Generalanwalt kommt zu dem Ergebnis, dass die Bestimmungen von Kapitel VIII der DSGVO nationalen Vorschriften nicht entgegenstehen, die Unternehmen das Recht einräumen, sich auf der Grundlage des Verbots von Handlungen unlauteren Wettbewerbs darauf zu berufen, DSGVO-Verstöße ihrer Mitbewerber zu verfolgen.
Unter diesen Umständen bin ich der Auffassung, dass eine Unterlassungsklage, die ein Unternehmen gegen einen Mitbewerber erhebt, indem es sich darauf beruft, dieser habe gegen die Bestimmungen der DSGVO verstoßen, neben den durch Kapitel VIII der DSGVO eröffneten Rechtsbehelfen bestehen kann, weil sie diese nicht beeinträchtigt und die Ziele und die praktische Wirksamkeit dieser Verordnung nicht gefährdet.
Daher schlage ich dem Gerichtshof vor, zu entscheiden, dass die Bestimmungen von Kapitel VIII der DSGVO nationalen Vorschriften nicht entgegenstehen, die den Unternehmen das Recht einräumen, sich auf der Grundlage des Verbots von Handlungen unlauteren Wettbewerbs darauf zu berufen, dass ihre Mitbewerber gegen die materiellen Bestimmungen der DSGVO verstoßen hätten.
Hierzu stelle der Generalanwalt zunächst noch einmal heraus, dass es unterschiedliche Ansichten zu dieser Frage gebe. Die Kommission und die Beklagte sehen die Bestimmungen der DSGVO als abschließend an, während die deutsche Regierung die Bestimmungen der DSGVO als ein Mindestbestand von Rechtsbehelfen verstehe, der von den Mitgliedstaaten ergänzt werden könne. Der nicht erschöpfende Charakter sei dadurch gerechtfertigt, dass die DSGVO auch darauf abziele, die Wettbewerbsbedingungen zu schützen und dass die Möglichkeit für einen Mitbewerber, sich auf die Verletzung der materiellen Bestimmungen der DSGVO durch einen anderen Wettbewerber zu berufen, die Durchsetzungskraft dieser Verordnung erhöhe.
Die Parteien haben auf diese Frage diametral entgegengesetzte Antworten gegeben. Einerseits sind die Kommission und ND der Ansicht, das durch die Bestimmungen des Kapitels VIII der DSGVO eingeführte System von Rechtsbehelfen sei im Licht der Ziele dieser Verordnung als ein erschöpfendes System zu verstehen, das jede Möglichkeit für die Mitgliedstaaten ausschließe, im nationalen Recht alternative Rechtsbehelfe vorzusehen.
Andererseits soll das durch die Bestimmungen des Kapitels VIII der DSGVO eingeführte System von Rechtsbehelfen nach Ansicht der deutschen Regierung als ein Mindestbestand von Rechtsbehelfen zu verstehen sein, der von den Mitgliedstaaten ergänzt werden könne. Der nicht erschöpfende Charakter eines solchen Systems sei dadurch gerechtfertigt, dass die DSGVO auch darauf abziele, die Wettbewerbsbedingungen zu schützen und Verzerrungen zu verhindern, die sich aus unterschiedlichen Niveaus des Datenschutzes ergeben könnten, und dass die Möglichkeit für einen Mitbewerber, sich auf die Verletzung der materiellen Bestimmungen der DSGVO durch einen anderen Wettbewerber zu berufen, die Durchsetzungskraft dieser Verordnung erhöhe.
Der Generalanwalt kommt zu dem Schluss, dass die DSGVO nicht das Ziel verfolge, einen freien und unverfälschten Wettbewerb innerhalb des Binnenmarkts zu gewährleisten. Unternehmen seien keine Adressaten des durch die DSGVO gewährten Schutzes, da die DSGVO nur den betroffenen Personen Rechte gewähre.
Die DSGVO verfolgt daher meiner Ansicht nach nicht das Ziel, einen freien und unverfälschten Wettbewerb innerhalb des Binnenmarkts zu gewährleisten.
Ferner stelle ich fest, dass keine der materiellen Bestimmungen der DSGVO darauf abzielt, einen freien und unverfälschten Wettbewerb zwischen Unternehmen zu gewährleisten und diese zu den Adressaten des Schutzes zu machen, den diese Verordnung einführt. Sie zielen im Gegenteil im Wesentlichen darauf ab, den für die Datenverarbeitung verantwortlichen Unternehmen Pflichten aufzuerlegen. […]
Was schließlich die Verfahrensbestimmungen des Kapitels VIII der DSGVO betrifft, weise ich erneut darauf hin, dass diese nur den betroffenen Personen und den mit ihrer Vertretung beauftragten Einrichtungen Rechtsbehelfe eröffnen. Diese Einschränkung der Personen, die nach den Bestimmungen der DSGVO befugt sind, vor Gericht eine Verletzung des Schutzes ihrer personenbezogenen Daten geltend zu machen, ist meines Erachtens ein klarer Hinweis darauf, dass sie die einzigen Adressaten dieses Schutzes sind. Nach meiner Auffassung wäre es nämlich inkonsequent, die DSGVO auch zu einem Instrument zum Schutz der Rechte von Wettbewerbern zu machen, ohne in dieser Verordnung Rechtsbehelfe vorzusehen, die es diesen Wettbewerbern ermöglichen, gegen eine Verletzung dieser Rechte zu klagen, obwohl solche Rechtsbehelfe ausdrücklich vorgesehen sind, soweit es um den Schutz der Rechte der betroffenen natürlichen Personen geht.
Daher bin ich der Ansicht, dass die Unternehmen nicht Adressaten des durch die DSGVO gewährten Schutzes sind, weil diese Verordnung nur den betroffenen Personen Rechte gewährt.
Danach sei allein die Frage relevant, ob das durch die DSGVO geschaffene System von Rechtsbehelfen als abschließend zu verstehen sei. Hierfür sei relevant, welche Möglichkeiten Unternehmen haben, sich auf die Bestimmungen der DSGVO zu berufen, obwohl sie nicht Inhaber der durch diese Bestimmungen gewährten Rechte sind, und zum anderen, wie die Wechselwirkung solcher Rechtsbehelfe mit dem in dieser Verordnung vorgesehenen System von Rechtsbehelfen ausgestaltet ist. Die Unterlassungsklage eines Mitbewerbers beeinträchtige nicht das System der in Kapitel VIII DSGVO vorgesehenen Rechtsbehelfe. Vielmehr werde das Schutzniveau für natürliche Personen erhöht.
Was zunächst die Frage betrifft, ob eine Unterlassungsklage, die ein Unternehmen gegen einen Mitbewerber mit der Begründung erhebt, dieser habe gegen die Bestimmungen der DSGVO verstoßen, das in Kapitel VIII der DSGVO vorgesehene System von Rechtsbehelfen beeinträchtigt, bin ich der Ansicht, dass dies nicht der Fall ist. […]
Insoweit möchte ich auch darauf hinweisen, dass ich nicht zu erkennen vermag, inwiefern solche Rechtsbehelfe, wie die Kommission geltend macht, das durch die DSGVO geschaffene öffentliche System der Rechtsdurchsetzung gefährden könnten, da diese Verordnung neben einem solchen öffentlichen System bereits ausdrücklich die Möglichkeit vorsieht, dass eine betroffene Person ihre Rechte aus der DSGVO im Rahmen von Gerichtsverfahren geltend machen kann.
Was sodann die mit der DSGVO verfolgten Ziele betrifft, geht aus dem 10. Erwägungsgrund dieser Verordnung hervor, dass diese insbesondere darauf abzielt, sowohl ein hohes Schutzniveau für natürliche Personen als auch eine gleichmäßige und einheitliche Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten.
Meines Erachtens wird keines dieser Ziele dadurch gefährdet, dass einem Unternehmen die Möglichkeit geboten wird, gegen einen Mitbewerber eine Unterlassungsklage auf der Grundlage des Verbots unlauterer Wettbewerbshandlungen zu erheben, indem es sich darauf beruft, dieser habe gegen die Bestimmungen der DSGVO verstoßen.
Ob der EuGH diese erste Vorlagefrage letztendlich entscheiden wird jedoch unklar, da er diese Frage nicht beantwortet werden muss, wenn die zweite Vorlagefrage aus dem Verfahren verneint wird.
Zunächst stelle ich fest, dass die erste Frage – wie bereits ausgeführt – nicht beantwortet zu werden braucht, falls die zweite Frage zu verneinen sein sollte, weil die Antwort des Gerichtshofs für das vorlegende Gericht ausreichend wäre, um den bei ihm anhängigen Rechtsstreit zu entscheiden. Unter diesen Umständen halte ich es für angebracht, meine Würdigung der Vorlagefragen mit dieser zweiten Frage zu beginnen.
Die Frage, ob Mitbewerber Datenschutzverstöße verfolgen können, ist seit Langem umstritten und wurde von den Gerichten unterschiedlich beantwortet (LG Magdeburg, LG Stuttgart). Zuletzt schien sich die Ansicht durchzusetzen, dass im Einzelfall geprüft werden müsse, ob die DSGVO-Norm, gegen die verstoßen wird, als Marktverhaltensregel einzustufen ist (LG Düsseldorf; OLG Naumburg, OLG Hamburg; OLG Stuttgart).
Ob der EuGH den Schlussanträgen folgen wird, bleibt abzuwarten; in der Regel folgt das Gericht jedoch der Ansicht des Generalanwaltes. Ein Termin zur Verkündung des Urteils ist bislang noch nicht bekannt gegeben worden. Eine abschließende Entscheidung des EuGH zu dieser Frage wird für Rechtssicherheit sorgen.
Marian Weyo/Shutterstock.com