Am 12. Januar 2023 veröffentlichte der Bundesgerichtshof einen Beschluss zur Vorlage zweier Fragen an den EuGH (Beschluss vom 12. Januar 2023, I ZR 222/19 und I ZR 223/19), welche die Auslegung der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) und der Richtlinie 95/46/EG Datenschutz-Richtlinie, DSRL) betreffen.
Im Kern geht es hierbei um die bereits seit längerem umstrittene Frage, ob Unternehmen gemäß § 8 Abs. 3 Nr. 1 UWG berechtigt sind, Datenschutzrechtsverstöße auf der Grundlage des Wettbewerbsrechts zivilgerichtlich zu verfolgen oder ob diesbezüglich das VIII. Kapitel der DSGVO ein abschließendes Sanktionssystem darstellt, welches die nationalen Regelungen verdrängt. Darüber hinaus bestand Klärungsbedarf, wie weitreichend der Begriff der „Gesundheitsdaten“ i.S.d. Art. 9 Abs. 1 DSGVO auszulegen ist, zumal an die Verarbeitung von Gesundheitsdaten besondere Anforderungen zu stellen sind.
In einem ähnlich gelagerten Verfahren zur Frage der Klagebefugnis von Verbraucherschutzverbänden hat der Bundesgerichtshof im Anschluss an die Entscheidung des EuGH (Urteil vom 28. April 2022, Rs. C-319/20 – Meta Platforms Ireland) erneut offene Rechtsfragen dem EuGH vorgelegt (Beschluss vom 10. November 2022, I ZR 186/17 ).
Sachverhalt und Verfahrensgang
Die Parteien sind jeweils Apotheker. Der Beklagte verfügt zudem über eine Versandhandelserlaubnis und vertreibt apothekenpflichtige Arzneimittel auch außerhalb seiner Apotheke, nämlich über die Internetplattform „Amazon-Marketplace“. Der Kläger ging aufgrund dieses Vertriebswegs gegen seinen Mitbewerber gerichtlich vor und begehrt die Unterlassung des weiteren Vertriebs der Medikamente über Amazon. Er begründete dies damit, dass der Vertrieb apothekenpflichtiger Arzneimittel über Amazon wegen Datenschutzrechtsverstößen unlauter gemäß § 3a UWG sei. Der Datenschutzverstoß liege nach Ansicht des Klägers in der fehlenden Einwilligung betroffener Kunden des Beklagten für die Verarbeitung derer Bestelldaten, die als besondere Kategorie personenbezogener Daten anzusehen seien.
Das erstinstanzlich zuständige Landgericht hat der Klage stattgegeben. Die daraufhin eingelegte Berufung des Beklagten hat das Berufungsgericht zurückgewiesen. Der Beklagte verfolgt nunmehr mit der vom Berufungsgericht zugelassenen Revision seinen Antrag auf Klageabweisung weiter.
Zur ersten Vorlagefrage
Gemäß alter Rechtslage war der Kläger unter Geltung der DSRL als Mitbewerber im Sinne von § 8 Abs. 3 Nr. 1 UWG materiell-rechtlich befugt, seinen auf den Gesichtspunkt des Rechtsbruchs gemäß § 3a UWG in Verbindung mit § 4 Abs. 1, § 4a Abs. 1 und 3, § 28 Abs. 7 Satz 1 BDSG a.F. gestützten Unterlassungsantrag im Wege der Klage vor den Zivilgerichten zu verfolgen. Dass gemäß der alten Rechtslage die Befugnis des Klägers bestand, eine mögliche Verletzung der Anforderungen an die Verarbeitung von Gesundheitsdaten gerichtlich geltend zu machen, war unstreitig. Umstritten ist nun, ob die ursprünglich bestehende Befugnis zur Klage vor den Zivilgerichten mit Inkrafttreten der DSGVO entfallen ist, zumal die DSGVO in Kapitel VIII ein eigenes Sanktionssystem zur Geltendmachung von Datenschutzverstößen beinhaltet.
Eine Auffassung geht deshalb davon aus, dass die in der DSGVO enthaltenen Regelungen zur Durchsetzung der datenschutzrechtlichen Bestimmungen der Verordnung abschließend seien. Eine wettbewerbsrechtliche Klagebefugnis von Mitbewerbern sei demnach zu verneinen. Argumente für diese Ansicht fänden sich beispielsweise im Wortlaut des VIII. Kapitels der DSGVO, in welchem Mitbewerber an keiner Stelle erwähnt werden. Eine andere Ansicht vertritt demgegenüber die Ansicht, dass Mitbewerbern auch eine wettbewerbsrechtliche Klagebefugnis zur Durchsetzung datenschutzrechtlicher Bestimmungen der DSGVO einzuräumen sei, wobei zu den Vertretern dieser Ansicht auch der deutsche Gesetzgeber zählt, wie sich aus § 13 Abs. 4 Nr. 2 UWG ergibt.
Laut dem BGH lässt sich diese Frage jedoch nicht eindeutig beantworten. So lasse die Auslegung der die Rechtsdurchsetzung betreffenden Vorschriften der DSGVO nicht eindeutig erkennen, ob der Unionsgesetzgeber mit dieser Verordnung – anders als noch mit der DSLR – nicht nur die Bestimmungen zum Schutz personenbezogener Daten, sondern auch die zur Durchsetzung der danach bestehenden Rechte vereinheitlicht habe. Die bisherige Rechtsprechung des EuGH trage ebenfalls nicht zur Klärung der aufgeworfenen Fragen bei, zumal der EuGH in seiner Entscheidung "Meta Platforms Ireland" vom 28. April 2022 (GRUR 2022, 920) die Klagebefugnis eines Mitbewerbers ausdrücklich offengelassen habe.
Der BGH legte dem EuGH deshalb die folgende Frage zur Vorabentscheidung vor:
„Stehen die Regelungen in Kapitel VIII der Datenschutz-Grundverordnung nationalen Rege-lungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen?“
Zur zweiten Vorlagefrage
Gemäß alter Rechtslage (§ 4 Abs. 1, § 4a Abs. 1 und 3, § 28 Abs. 7 Satz 1 BDSG a.F., mit denen Art. 8 Abs. 1, 2 lit. a und 3 DSRL ins deutsche Recht umgesetzt worden sind) war es dem Beklagten untersagt, „Daten über Gesundheit“ zu erheben. Von diesem Grundsatz gab es Ausnahmen (z.B. die ausdrückliche Einwilligung gemäß Art. 8 Abs. 2 lit. a DSRL, § 4 Abs. 1, § 4a Abs. 1 und 3 Satz 1 BDSG a.F.). Die bisherigen Regelungen sind zum 25. Mai 2018 durch Art. 9 Abs. 1 und 2 lit. a und h DSGVO ersetzt worden, welcher nunmehr die Verarbeitung von „Gesundheitsdaten“ natürlicher Personen untersagt. Mit Art. 9 Abs. 2 DSGVO existieren zwar Ausnahmebestimmungen (z.B. die ausdrückliche Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO).
Fraglich ist vor diesem Hintergrund indes, ob Art. 9 Abs. 1 DSGVO überhaupt zur Anwendung kommt, mithin ob vorliegend überhaupt Gesundheitsdaten verarbeitet worden sind. Die Besonderheit am Geschäftsmodell des Beklagten war nämlich, dass bei dem Verkauf nicht verschreibungspflichtiger Medikamente keine ärztliche Verschreibung vorliegt, aus welcher ersichtlich ist, wem dieses Medikament verschrieben wurde und wer dieses einnimmt. Es ist also nicht ausgeschlossen, dass der Käufer, dessen Bestelldaten (Name des Kunden, Lieferadresse und die für die Individualisierung des bestellten Medikaments notwendigen Informationen) der Beklagte selbst oder in seinem Auftrag Amazon verarbeitet, nicht derjenige ist, der das bestellte Medikament einnimmt, sondern dass der Käufer die Medikamente für Dritte kauft und an diese weitergibt.
Der BGH konnte vor diesem Hintergrund nicht eindeutig beantworten, ob Informationen auch dann Gesundheitsdaten darstellen, wenn nicht mit Sicherheit, sondern nur mit einer gewissen Wahrscheinlichkeit davon auszugehen ist, dass die durch die übermittelten Daten identifizierbare Person das bestellte Medikament auch einnehmen wird und damit aus den Bestelldaten in ihrer Gesamtheit eine Information über den Gesundheitszustand der betreffenden Person hervorgeht.
Der BGH legte deshalb dem EuGH die folgende weitere Frage zur Vorabentscheidung vor:
„Sind die Daten, die Kunden eines Apothekers, der auf einer Internet-Verkaufsplattform als Verkäufer auftritt, bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform eingeben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO sowie Daten über Gesundheit im Sinne von Art. 8 Abs. 1 DSRL?“
Der Bundesgerichtshof hat das Verfahren bis zur Entscheidung des EuGH über sein Vorabentscheidungsersuchen ausgesetzt. Mit Spannung bleibt abzuwarten, wie der EuGH diese grundlegenden Fragen beantworten wird. Angesichts der bislang vertretenen Linie des EuGH (zuletzt Urteil vom 1. August 2022, Rs. C‑184/20) ist zu erwarten, dass er auch bei der nun anstehenden Entscheidung dem erhöhten Schutz von Gesundheitsdaten besondere Bedeutung beimessen wird.
