Auf dieser Seite
    Autor
    David Klein

    Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

    Salary Partner

    Hamburg
    Read More
    Autor
    David Klein

    Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

    Salary Partner

    Hamburg
    Read More
    • Auf dieser Seite

    23. Oktober 2024

    EU case digest – 4 von 6 Insights

    Urteil des EuGH in der Rechtssache C-21/23 (Lindenapotheke)

    Mit seinem Urteil vom 4. Oktober 2024 bestätigt der EuGH in der Rechtssache Lindenapotheke das Recht von Wettbewerbern, Verstöße gegen die DSGVO zu verfolgen, und definiert, was Gesundheitsdaten sind.

    Hintergrund

    Die Rechtssache C-21/23 vor dem Europäischen Gerichtshof betrifft einen Rechtsstreit zwischen zwei Apothekenbetreibern in Deutschland. Eine der Parteien verkaufte rezeptfreie, aber apothekenpflichtige Medikamente über eine Online-Plattform. Ein Wettbewerber des Verkäufers reichte Klage ein, da nach seiner Auffassung der Verkäufer gegen Datenschutzbestimmungen verstoßen habe, indem er die Gesundheitsdaten der Kunden ohne Einwilligung verarbeitet habe. Die wichtigsten Fragen, die dem Gericht vorgelegt wurden, waren, ob die von Kunden bei der Bestellung erhobenen Daten – wie Name, Lieferadresse und bestellte Medikamente – Gesundheitsdaten im Sinne von Artikel 9 DSGVO darstellen und, falls ja, ob Wettbewerber rechtliche Schritte in Bezug auf damit zusammenhängende Verstöße gegen die DSGVO einleiten können. Eine weitere Frage war, ob der Verkauf von rezeptfreien Medikamenten überhaupt in den Geltungsbereich der Regelung des Art. 9 DSGVO fällt.

    Die Auffassung des Gerichts

    Der EuGH entschied in zwei wichtigen Punkten:

    Recht von Wettbewerbern, bei Verstößen gegen die DSGVO rechtliche Schritte einzuleiten

    Der EuGH stellte klar, dass die DSGVO nationale Rechtsvorschriften nicht ausschließt, die es Wettbewerbern ermöglichen, gegen Datenschutzverletzungen vorzugehen, selbst wenn sie nicht betroffene Personen, Verantwortliche oder Auftragsverarbeiter sind – im Wesentlichen, wenn sie in Bezug auf die Verarbeitungsvorgänge Dritte sind. Dies gilt insbesondere dann, wenn der Verstoß auch eine unlautere Geschäftspraxis darstellt: Wenn der Wettbewerber durch den Verstoß benachteiligt wird, kann er rechtliche Schritte gegen den mutmaßlichen Täter einleiten. Neben den Rechten der betroffenen Personen und der Aufsichtsbehörden können Wettbewerber daher auch zivilrechtliche Verfahren wegen Datenschutzverletzungen nach nationalem Recht einleiten.

    Verarbeitung personenbezogener Daten im Arzneimittelvertrieb

    Der EuGH entschied ferner, dass Kundendaten, die beim Kauf nicht verschreibungspflichtiger Arzneimittel erhoben werden – wie Name, Lieferadresse und Produktdetails – im Sinne der DSGVO als „Gesundheitsdaten“ gelten. Der EuGH stellte fest, dass selbst grundlegende Informationen über Standardarzneimittel Aufschluss über die Gesundheit des Kunden geben können und daher Daten der besonderen Kategorie gemäß Artikel 9 DSGVO sind. Eine Ausnahme vom allgemeinen Verbot der Verarbeitung von Daten der besonderen Kategorie ist daher erforderlich (in diesem Fall eine ausdrückliche Einwilligung zur Verarbeitung). Diese Analyse des EuGH deutet auf eine breite Auslegung dessen hin, was Gesundheitsdaten über rein gesundheitsbezogene Informationen hinaus sind.

    Praktische Empfehlung

    Dieses Urteil hat weitreichende Auswirkungen auf Unternehmen, die auf dem Markt für Online-Gesundheitsprodukte und -Medikamente tätig sind, sowie auf den Umgang mit personenbezogenen Daten. Unternehmen sollten die folgenden Punkte berücksichtigen:

    • Klagen von Wettbewerbern wegen Verstößen gegen die DSGVO: Unternehmen sollten sich darüber im Klaren sein, dass Verstöße gegen die DSGVO nicht nur von Aufsichtsbehörden, sondern auch von Wettbewerbern angefochten werden können, sofern das nationale Recht dies zulässt. Die strikte Einhaltung der DSGVO ist daher unerlässlich, um einen Wettbewerbsvorteil zu erhalten. Von Verstößen betroffene Wettbewerber könnten erfolgreich Zivilverfahren einleiten.
    • Verarbeitung von Gesundheitsdaten: Der EuGH stellte klar, dass der Verkauf von nicht verschreibungspflichtigen, aber apothekenpflichtigen Arzneimitteln die Verarbeitung von Gesundheitsdaten beinhaltet. Dieses Verständnis des Geltungsbereichs von Artikel 9 der DSGVO ist recht weit gefasst. Relevante Unternehmen sollten ihre Kaufprozesse und die Verarbeitung personenbezogener Daten, die bei solchen Käufen erhoben werden, überprüfen. Unternehmen, die nicht verschreibungspflichtige apothekenpflichtige Produkte verkaufen, müssen sicherstellen, dass sie die ausdrückliche Zustimmung der Kunden einholen, bevor sie deren Daten verarbeiten, insbesondere was die Weitergabe von Informationen an Dritte wie Plattformen betrifft. Online-Marktplätze müssen ihre Prozesse für die Aufnahme von Verkäufern und Produktkatalogen überprüfen, um die Einhaltung der Vorschriften bei der Verarbeitung potenzieller Gesundheitsdatensätze von Kunden sicherzustellen. Verstöße gegen diese Anforderungen können sowohl von Aufsichtsbehörden als auch von Wettbewerbern angefochten werden.

    Das Urteil schärft die Voraussetzungen, wann Gesundheitsdaten vorliegen. Es unterstreicht auch die Bedeutung der Einhaltung der DSGVO nicht nur in Bezug auf Kunden, sondern auch in Bezug auf den Wettbewerb mit anderen Unternehmen sowie den Zusammenhang zwischen Datenschutz und Verbraucherschutzrecht. Der EuGH erklärte, dass diese Art von Maßnahmen den Datenschutz tatsächlich stärkt, da sie einen weiteren Weg bieten, die Rechte der betroffenen Personen zu schützen, da Verstöße gegen die DSGVO nicht nur von betroffenen Personen, sondern auch von Wettbewerbern erfolgreich angefochten werden können.

    Rechtsgebiete und Gruppen Daten & Cyber-Sicherheit Health Data

    In dieser Serie

    Daten & Cyber-Sicherheit

    Dutch DPA imposes record-breaking fine of EUR 290 million on Uber for unlawful international data transfers

    Sharif Ibrahim and Solange Baris take a high-level look at the Dutch DPA's decision to sanction Uber.

    20. January 2025

    von Sharif Ibrahim, Solange Baris

    Daten & Cyber-Sicherheit

    CNIL fines health data management software supplier for GDPR and French Data Protection Act failings

    Laura Huck looks at the CNIL's analysis of the controller and processor role and at the distinction between anonymisation and pseudonymisation of health data.

    20. January 2025

    von Laura Huck

    Daten & Cyber-Sicherheit

    What does the recent CJEU decision in Schrems v Meta mean for data aggregation practices in online advertising?

    Christopher Bakier and Julia Pranz look at the CJEU's views on data minimisation and special data processing in the context of targeted digital advertising.

    20. January 2025

    von Mag. Christopher Bakier

    Daten & Cyber-Sicherheit

    Urteil des EuGH in der Rechtssache C-21/23 (Lindenapotheke)

    David Klein looks at the ECJ Lindenpotheke ruling which clarifies the right of competitors to sue for GDPR breaches and what constitutes health data.

    23. October 2024

    von Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

    Daten & Cyber-Sicherheit

    CJEU sheds light: commercial interests can serve as legitimate interests

    Dominique Lensink looks at the CJEU's confirmation that the Dutch DPA's interpretation of legitimate interests was too strict.

    20. January 2025

    von Dominique Lensink

    Daten & Cyber-Sicherheit

    Bindl gegen Kommission - Der EuG zu internationalen Datenübermittlungen und immateriellem Schaden

    3. February 2025

    von Susan Hillert, geb. Lipeyko, Lic. en droit (Toulouse I Capitole)

    Call To Action Arrow Image

    Newsletter-Anmeldung

    Wählen Sie aus unserem Angebot Ihre Interessen aus!

    Jetzt abonnieren
    Jetzt abonnieren

    © Taylor Wessing