EuGH: Mitbewerber können DSGVO-Verstöße verfolgen

Lange war ungeklärt, ob Verstöße gegen die DSGVO von Mitbewerbern abgemahnt werden können. Hintergrund ist die Frage, ob es sich bei den Vorschriften der DSGVO um Marktverhaltensregeln handelt und inwiefern die DSGVO die Durchsetzung dieser Rechte abschließend regelt. Der EuGH (Urt. v. 4.10.2024 – C-21/23) entschied nun, dass die DSGVO nationalen Vorschriften nicht entgegenstehe, die Unternehmen das Recht einräumen, sich auf der Grundlage des Verbots von Handlungen unlauteren Wettbewerbs darauf zu berufen, DSGVO-Verstöße ihrer Mitbewerber zu verfolgen. 

Bisheriger Prozessverlauf

Im betreffenden Fall ging es um den Vertrieb von apothekenpflichtigen Medikamenten eines Apothekers über Amazon. Das LG Magdeburg (Urt. v. 18.1.2019 – 36 O 48/18) hatte die Frage zunächst verneint. Im Hinblick auf Verstöße gegen die DSGVO sei der Kläger als Mitbewerber nicht klagebefugt. Die DSGVO enthalte ein abschließendes Sanktionssystem, das den Wettbewerber nicht einschließe. Das OLG Naumburg (Urt. v. 7.11.2019 – 9 U 6/19) kam auf die Berufung des Klägers hin zu einem anderen Ergebnis. Es entschied, dass es sich bei bestimmten Regelungen der DSGVO um Marktverhaltensregelungen im Sinne von § 3a UWG handle. Der Beklagte verarbeite im Rahmen der Bestellungen Gesundheitsdaten seiner Kunden im Sinne von Art. 9 Abs. 1 DSGVO. Hierfür fehle die im Streitfall erforderliche Einwilligung. Ein Verstoß gegen die weiteren vom Kläger angeführten Vorschriften scheide jedoch aus. Das OLG Naumburg hatte die Revision zugelassen. Beide Parteien haben Rechtsmittel gegen die Entscheidung eingelegt (BGH, I ZR 222/19).

In einem anderen Verfahren vor dem BGH (I ZR 223/19) ging es um die Erhebung und Verarbeitung personenbezogener Daten im Rahmen des Bestellprozesses. Der Kläger war der Ansicht, dass die Beklagte keine Einwilligung eingeholt habe. Die Beklagte hingegen hielt den Kläger als Mitbewerber für nicht klagebefugt. Das LG Dessau-Roßlau (Urt. v. 27.3.2018 – 3 O 29/17) hatte der Klage stattgegeben. Es hat das Datenschutzrecht als Marktverhaltensregelung im Sinne von § 3a UWG angesehen, weil es auch dem Schutz der Interessen der Mitbewerber diene. Die Veräußerung apothekenpflichtiger Produkte über die Plattform Amazon Marketplace verletze datenschutzrechtliche und berufsrechtliche Vorschriften. Das OLG Naumburg (Urt. v. 7.11.2019 – 9 U 39/18) hatte die Berufung des Beklagten gegen die Entscheidung des LG zurückgewiesen. Es hat angenommen, die Regelungen der DSGVO seien in der konkreten Fallkonstellation als Marktverhaltensregelungen im Sinne von § 3a UWG anzusehen. Der Beklagte verarbeite im Rahmen der Bestellungen Gesundheitsdaten seiner Kunden im Sinne von Art. 9 Abs. 1 DSGVO. Hierfür fehle die im Streitfall erforderliche Einwilligung. Der Beklagte hat die vom OLG zugelassene Revision eingelegt.

Der BGH hatte beide Verfahren ausgesetzt und dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII DSGVO vorgesehenen Regelungen nationalen Bestimmungen entgegenstehen, die es Mitbewerbern ermöglichen, gegen den Verletzer vorzugehen. Zudem möchte der BGH in einer weiteren Vorlagefrage wissen, ob es sich bei den bei einer Bestellung von apothekenpflichtigen Medikamenten eingegebenen Daten auf einer Verkaufsplattform um Gesundheitsdaten im Sinne von Art. 9 DSGVO handelt.

Mitbewerber können DSGVO-Verstöße verfolgen

Der EuGH entschied nun, dass die DSGVO nationalen Vorschriften nicht entgegenstehe, die Unternehmen das Recht einräumen, sich auf der Grundlage des Verbots von Handlungen unlauteren Wettbewerbs darauf zu berufen, DSGVO-Verstöße ihrer Mitbewerber zu verfolgen. Vielmehr werde hierdurch das Schutzniveau sogar noch erhöht.

Kein ausdrücklicher Ausschluss einer Klagemöglichkeit 

In seiner Entscheidung stellte der Gerichtshof zunächst fest, dass in keiner der Bestimmungen des Kapitels VIII DSGVO ausdrücklich ausgeschlossen werde, dass Unternehmen gegen Mitbewerber aufgrund unlauterer Geschäftspraktiken in Form von Verstößen gegen die Vorschriften der DSGVO bei den Zivilgerichten Klage erheben können.  

“Zum Wortlaut der Bestimmungen des Kapitels VIII DSGVO ist festzustellen, dass in keiner dieser Bestimmungen ausdrücklich ausgeschlossen wird, dass ein Mitbewerber eines Unternehmens unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken wegen eines angeblichen Verstoßes dieses Unternehmens gegen die in der DSGVO vorgesehenen Pflichten bei den Zivilgerichten Klage gegen dieses Unternehmen erheben kann. Aus Art. 77 Abs. 1, Art. 78 Abs. 1 und Art. 79 Abs. 1 DSGVO, die in Rn. 48 des vorliegenden Urteils angeführt wurden, ergibt sich vielmehr, dass das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde und gegen einen Verantwortlichen oder Auftragsverarbeiter gemäß diesen Bestimmungen „unbeschadet“ jegliches anderen verwaltungsrechtlichen, gerichtlichen oder außergerichtlichen Rechtsbehelfs besteht.“  

Datenschutzverstöße können gleichzeitig Verstöße gegen Vorschriften über Verbraucherschutz oder unlautere Geschäftspraktiken sein 

Der Gerichtshof habe in der Vergangenheit bereits festgestellt, dass der Verstoß gegen Vorschriften zum Schutz personenbezogener Daten gleichzeitig einen Verstoß gegen Verbraucherschutzvorschriften oder Vorschriften über unlautere Geschäftspraktiken nach sich ziehen könne. 

„Der Gerichtshof hat auch bereits festgestellt, dass der Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig den Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen kann (Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, ECLI:EU:C:2022:322, Rn. 78) […]“. 

Erforderlich, Datenschutz im Wettbewerbsrecht zu berücksichtigen 

In der Entscheidung thematisierte der EuGH die Bedeutung des Zugangs zu personenbezogenen Daten und deren Verwertung. Er führte aus, dass es sich dabei inzwischen um einen bedeutenden Parameter des Wettbewerbs zwischen Unternehmen der digitalen Wirtschaft handle. Es könne daher erforderlich sein, bei der Durchsetzung des Wettbewerbsrechts und der Regeln über unlautere Geschäftspraktiken die Vorschriften zum Schutz personenbezogener Daten zu berücksichtigen.  

„In diesem Zusammenhang ist darauf hinzuweisen, dass der Zugang zu personenbezogenen Daten sowie deren Verwertung im Rahmen der digitalen Wirtschaft von erheblicher Bedeutung sind. Der Zugang zu personenbezogenen Daten und die Möglichkeit ihrer Verarbeitung sind nämlich zu einem bedeutenden Parameter des Wettbewerbs zwischen Unternehmen der digitalen Wirtschaft geworden. Um der tatsächlichen wirtschaftlichen Entwicklung Rechnung zu tragen und einen lauteren Wettbewerb zu wahren, kann es also erforderlich sein, bei der Durchsetzung des Wettbewerbsrechts und der Regeln über unlautere Geschäftspraktiken die Vorschriften zum Schutz personenbezogener Daten zu berücksichtigen (vgl. in diesem Sinne Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, ECLI:EU:C:2023:537, Rn. 50 und 51).“  

Kein ausdrücklicher Ausschluss einer Klagemöglichkeit 

Die DSGVO solle zwar grundsätzlich die vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen, enthalte aber zugleich mehrere Bestimmungen, die den Mitgliedsstaaten ausdrücklich die Möglichkeit eröffnen, zusätzliche nationale Vorschriften vorzusehen (sog. Öffnungsklauseln). Dadurch werde den Mitgliedsstaaten ein gewisser Ermessensspielraum gewährt. Eine spezielle Öffnungsklausel, die es den Mitgliedsstaaten erlaube, den Mitbewerbern eines Unternehmens, das angeblich gegen die materiellen Bestimmungen dieser Verordnung verstoße, die Möglichkeit einzuräumen, auf Unterlassung dieses Verstoßes zu klagen, gebe es in Kapitel VIII DSGVO nicht. Aber: 

„Aus dem Wortlaut und dem Kontext der Bestimmungen dieses Kapitels VIII […] ergibt sich jedoch, dass der Unionsgesetzgeber mit dem Erlass dieser Verordnung keine umfassende Harmonisierung der Rechtsbehelfe, die bei einem Verstoß gegen die Bestimmungen der DSGVO zur Verfügung stehen, vornehmen und insbesondere nicht ausschließen wollte, dass Mitbewerber eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des nationalen Rechts unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken Klage erheben können.“ 

Schutzniveau für betroffene Personen wird erhöht 

Der EuGH stellte klar, dass eine Klagemöglichkeit für Mitbewerber die praktische Wirksamkeit der DSGVO und das angestrebte hohe Schutzniveau der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogener Daten vielmehr erhöhe. Eine Koexistenz von datenschutzrechtlichen und wettbewerbsrechtlichen Rechtsbehelfen gefährde nicht die einheitliche Durchsetzung der DSGVO. Die Erhebung einer Unterlassungsklage durch einen Mitbewerber des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten bei den Zivilgerichten wirke nicht auf das durch Kapitel VIII DSGVO geschaffene Rechtsbehelfssystem aus. 

Die Möglichkeit für den Mitbewerber eines Unternehmens, unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken bei den Zivilgerichten Klage auf Unterlassung eines von diesem Unternehmen angeblich begangenen Verstoßes gegen die materiellen Bestimmungen der DSGVO zu erheben, lässt diese Ziele nicht nur unberührt, sondern kann die praktische Wirksamkeit dieser Bestimmungen sogar verstärken und damit das mit dieser Verordnung angestrebte hohe Schutzniveau der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verbessern. 

Denn zum einen hat eine Unterlassungsklage, die von einem Mitbewerber gegen ein Unternehmen unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken wegen eines behaupteten Verstoßes gegen die materiellen Bestimmungen der DSGVO erhoben wird, keinerlei Einfluss auf das in Kapitel VIII dieser Verordnung vorgesehene Rechtsbehelfssystem oder auf das Ziel, in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen zu gewährleisten und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, zu beseitigen. 

Einhaltung der DSGVO wird gefördert 

Selbst wenn einzelne Mitgliedstaaten keine entsprechende Möglichkeit der Durchsetzung für Mitbewerber vorsähen, sei keine Fragmentierung der Umsetzung der DSGVO zu befürchten. Vielmehr trage eine solche Möglichkeit zur Einhaltung der DSGVO und der Stärkung der Rechte der betroffenen Person bei. 

Drittens wird, wie vom Generalanwalt im Wesentlichen in Nr. 104 seiner Schlussanträge ausgeführt, die Verwirklichung des Ziels, in der Union ein gleichmäßiges Datenschutzniveau für die betroffenen Personen zu gewährleisten und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, zu beseitigen, nicht dadurch gefährdet, dass auch anderen als den betroffenen Personen und den Einrichtungen, Organisationen und Vereinigungen gemäß Art. 80 DSGVO die Möglichkeit eingeräumt wird, sich auf die materiellen Bestimmungen der DSGVO zu berufen. Selbst wenn einzelne Mitgliedstaaten diese Möglichkeit nicht vorsähen, würde dies nämlich nicht zu einer Fragmentierung der Umsetzung des Datenschutzes in der Union führen, weil die materiellen Bestimmungen der DSGVO für alle Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO gleichermaßen verbindlich sind und ihre Einhaltung durch die in dieser Verordnung vorgesehenen Rechtsbehelfe sichergestellt wird. 

Zum anderen ist zum Ziel der Gewährleistung eines wirksamen Schutzes der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten und zur praktischen Wirksamkeit der materiellen Bestimmungen der DSGVO festzustellen, dass – wie in Rn. 65 des vorliegenden Urteils ausgeführt – eine von einem Mitbewerber des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten erhobene Unterlassungsklage zwar nicht diesem Ziel dient, sondern einen lauteren Wettbewerb sicherstellen soll; sie trägt jedoch unbestreitbar zur Einhaltung dieser Bestimmungen und damit dazu bei, die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten (vgl. in diesem Sinne Urteil vom 28. April 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, Rn. 74). 

Mitbewerber können DGVO-Verstöße verfolgen 

 Schlussendlich sei die erste Vorlagefrage daher wie folgt zu beantworten: 

„Nach alledem ist auf die erste Frage zu antworten, dass die Bestimmungen des Kapitels VIII DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung nicht entgegenstehen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung dieser Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Befugnis einräumt, wegen Verstößen gegen die DSGVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen.“ 

Daten zur Bestellung nicht verschreibungspflichtiger Medikamente sind Gesundheitsdaten

Zudem entschied der EuGH, dass es sich bei Daten der Kunden eines Apothekers, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, um „Gesundheitsdaten“ im Sinne von Art. 4 Nr. 15 und Art. 9 DSGVO handelt. Damit folgt er nicht der Einschätzung des Generalanwalts.

Daten zum Erwerb von Arzneimitteln, die Rückschlüsse auf den Gesundheitszustand einer identifizierten/ identifizierbaren Person zulassen, sind Gesundheitsdaten 

Der EuGH griff die Legaldefinitionen aus Art. 4 Nr. 15 DSGVO und Art. 4 Nr. 1 DSGVO auf und fasste zusammen, dass sofern aus Daten zum Erwerb von Arzneimitteln Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können, diese als Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO anzusehen seien.  

„Wenn also aus den Daten zum Erwerb von Arzneimitteln Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können, sind sie als Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO anzusehen.“  

Im vorliegenden Sachverhalt gebe der Kunde bei der Onlinebestellung von apothekenpflichtigen Arzneimitteln über Amazon Daten wie seinen Namen, die Lieferadresse und Informationen zur Individualisierung der Arzneimittel an. Hierbei handle es sich um personenbezogene Daten. Ermittelt werden müsse, ob aus diesen Daten auf den Gesundheitszustand der Personen geschlossen werden könne und es sich daher um Gesundheitsdaten handle. 

“Im vorliegenden Fall ergibt sich aus den dem Gerichtshof vorliegenden Akten, dass die Kunden von ND bei der Onlinebestellung von apothekenpflichtigen Arzneimitteln über Amazon Daten wie ihren Namen, die Lieferadresse und Informationen zur Individualisierung der Arzneimittel eingeben. Bei diesen Informationen handelt es sich zweifellos um „personenbezogene Daten“, da sie identifizierte oder identifizierbare natürliche Personen betreffen. 

Unter diesen Umständen ist zu ermitteln, ob aus diesen Daten auf den Gesundheitszustand dieser Personen im Sinne von Art. 4 Nr. 15 DSGVO geschlossen werden kann, und sie damit Gesundheitsdaten im Sinne von Art. 8 Abs. 1 der RL 95/46 und Art. 9 Abs. 1 DSGVO darstellen.“ 

Weite Auslegung des Begriffs „Gesundheitsdaten“ 

Vor dem Hintergrund des Ziels der RL 95/46 sowie der DSGVO, ein hohes Schutzniveau für die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung von personenbezogenen Daten sicherzustellen, sei der Begriff „Gesundheitsdaten“ weit auszulegen. Der EuGH entschied daher, dass auch Daten, die indirekt sensible Informationen über eine natürliche Person offenbaren können, den verstärkten Schutzregelungen unterliegen. Andernfalls bestehe die Gefahr, dass die praktische Wirksamkeit der Regelungen beeinträchtig werde. 

„Diese Bestimmungen können insbesondere nicht dahin ausgelegt werden, dass die Verarbeitung personenbezogener Daten, die indirekt sensible Informationen über eine natürliche Person offenbaren können, von der in diesen Bestimmungen vorgesehenen verstärkten Schutzregelung ausgenommen ist, da anderenfalls die praktische Wirksamkeit dieser Regelung und der von ihr bezweckte Schutz der Grundrechte und Grundfreiheiten natürlicher Personen beeinträchtigt würden (Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, ECLI:EU:C:2022:601, Rn. 127).“ 

Gedankliche Kombination oder Ableitung auf den Gesundheitszustand bereits ausreichend 

Für eine Einstufung als Gesundheitsdaten sei es bereits ausreichend, dass aus den Daten durch gedankliche Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person geschlossen werden kann. 

Daher seien die laut Sachverhalt vom Kunden bei der Onlinebestellung von apothekenpflichtigen Arzneimitteln eingegebenen Informationen bereits als Gesundheitsdaten i.S.v. Art. 8 Abs. 1 RL 95/46 und Art. 9 Abs. 1 DSGVO zu werten. Dem stehe auch nicht entgegen, dass die apotheken-, aber nicht verschreibungspflichtigen Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für diesen Kunden bestimmt seien. 

„Aus den Daten, die ein Kunde bei der Bestellung von apothekenpflichtigen Arzneimitteln über eine Onlineplattform eingibt, kann mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person im Sinne von Art. 4 Nr. 1 DSGVO geschlossen werden, da die Bestellung eine Verbindung zwischen einem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen und einer identifizierten oder durch Angaben wie den Namen oder die Lieferadresse identifizierbaren natürlichen Person herstellt. […] 

Demnach ist, wenn ein Nutzer einer Onlineplattform bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln personenbezogene Daten übermittelt, die Verarbeitung dieser Daten durch den Betreiber einer Apotheke, der diese Arzneimittel über die Onlineplattform vertreibt, als eine Verarbeitung von Gesundheitsdaten im Sinne von Art. 8 Abs. 1 der RL 95/46 und Art. 9 Abs. 1 DSGVO anzusehen, da durch die Verarbeitung dieser Daten Informationen über den Gesundheitszustand einer natürlichen Person offengelegt werden können, und zwar unabhängig davon, ob diese Informationen den Nutzer oder eine andere Person betreffen, für die diese Bestellung getätigt wird (vgl. in diesem Sinne Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, ECLI:EU:C:2023:537, Rn. 73). […] 

Folglich stellen die Angaben, die die Kunden eines Apothekenbetreibers bei der Onlinebestellung apothekenpflichtiger, aber nicht verschreibungspflichtiger Arzneimittel eingeben, Gesundheitsdaten im Sinne von Art. 8 Abs. 1 der RL 95/46 und Art. 9 Abs. 1 DSGVO dar, auch wenn diese Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für diese Kunden bestimmt sind.“