Die Entscheidung des Bundesgerichtshofs (BGH) in Sachen „Lindenapotheke“ (BGH, Urteil vom 23. Januar 2025, I ZR 222/19) folgt dem Urteil des EuGH in der Rechtssache C-21/23 vom 4. Oktober 2024 und bestätigt damit für Deutschland abschließend, dass auch Mitbewerber Datenschutzverstöße verfolgen können. Die Entscheidung präzisiert zudem den Anwendungsbereich der DSGVO-Regelungen von Gesundheitsdaten.
Hintergrund
Der Rechtsstreit vor dem BGH betrifft die Auseinandersetzung zwischen zwei Apothekenbetreibern in Deutschland. Eine der Parteien verkaufte rezeptfreie, aber apothekenpflichtige Medikamente über eine Online-Plattform. Ein Wettbewerber des Verkäufers klagte auf Unterlassung, da nach seiner Auffassung der Verkäufer gegen Datenschutzbestimmungen verstoßen habe, indem er die Gesundheitsdaten der Kunden ohne Einwilligung verarbeitet habe. Das Landgericht Dessau-Roßlau entschied in der ersten Instanz zu Gunsten des Klägers, das Oberlandesgericht Naumburg wies die Berufung des Beklagten zurück. Der BGH legte dem EuGH mit Beschluss vom 12. Januar 2023 die Fragen vor, ob die von Kunden bei der Bestellung erhobenen Daten – wie Name, Lieferadresse und bestellte Medikamente – Gesundheitsdaten im Sinne von Artikel 9 DSGVO darstellen und, falls ja, ob Wettbewerber rechtliche Schritte in Bezug auf damit zusammenhängende Verstöße gegen die DSGVO einleiten können. Der EuGH entschied, dass die DSGVO einer Verfolgung von Datenschutzverstößen nach nationalem Recht durch Wettbewerber nicht entgegensteht und die konkreten Bestelldaten Gesundheitsdaten darstellen.
Die Entscheidung des BGH
Wenig überraschend hat der BGH auf Grundlage der EuGH-Entscheidung geurteilt, dass Wettbewerber nach § 8 Abs. 3 Nr. 1 UWG klagebefugt sind, Unterlassungsansprüche bei Datenschutzverstößen geltend zu machen. Dies gilt für alle Verstöße gegen Vorschriften der DSGVO, die Marktverhaltensregel darstellen.
Ferner konkretisierte der BGH die Entscheidung des EuGH in Bezug auf die Einordnung der Bestellinformationen für nicht verschreibungspflichtige Medikamente als Gesundheitsdaten. Der BGH ist der Auffassung, dass im vorliegenden Fall das konkrete Medikament in Zuordnung zu dem Betroffenen als Besteller ein Gesundheitsdatum im Sinne des Art. 9 DSGVO darstellt und damit nur eingeschränkt verarbeitet werden darf. Im konkreten Fall einer Bestellung über einen Online-Marktplatz hätte der Verkäufer folglich eine Einwilligung des Käufers für die Verarbeitung der Bestelldaten einholen müssen, was er nicht tat. Die Verarbeitung der Käuferdaten ohne die notwendige Einwilligung nach Art. 9 Abs. 1 DSGVO stellt nach Ansicht des BGH einen Verstoß gegen eine Marktverhaltensregel im Sinne des §§ 3, 3a UWG dar, so dass Wettbewerber aus § 8 Abs. 3 Nr. 1 UWG Ansprüche auf Unterlassung geltend machen können.
Praxisempfehlung
Bereits im Anschluss an die EuGH-Entscheidung C-21/23 zeichnete sich ab, dass als Folge aus diesem Verfahren diverse To Dos für Unternehmen folgen werden. Im Einzelnen:
- Rechtsgrundlagen überprüfen: Der Handel muss nicht nur beim Verkauf verschreibungspflichtiger Medikamente, sondern auch bei nicht verschreibungspflichtigen Medikamenten prüfen, ob eine wirksame Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Bestellvorgang vorliegt. Bei einer fehlenden Rechtsgrundlage für die Verarbeitung dürfte ein solcher Verstoß in jedem Fall vorliegen. Aufgrund des weiten Verständnisses der Gerichte sollte zudem bei schon gesundheitsbezogenen Waren bzw. Dienstleistungen geprüft werden, ob nicht bereits die Schwelle zur Verarbeitung von Gesundheitsdaten überschritten wird.
- Löschen von Altdaten prüfen: Sind in der Vergangenheit personenbezogene Daten ohne ausreichende Rechtsgrundlage verarbeitet worden, sind diese umgehend zu löschen. Vorsicht: Ggf. bestehende Aufbewahrungspflichten z.B. aus dem Steuerrecht müssen trotzdem beachtet werden.
- Technische und organisatorische Maßnahmen anpassen: Wurden bestimmte Daten bislang fälschlich nicht als Gesundheitsdaten qualifiziert, müssen die für die Verarbeitung einschlägigen technischen und organisatorischen Maßnahmen überprüft und angepasst werden, um das erforderliche Schutzniveau sicherzustellen.
- Marktplatzbetreiber: Marktplatzbetreiber sind gehalten, ihren Händlern die technische Möglichkeit einzuräumen, die notwendigen Einwilligungen für die Verarbeitung der Gesundheitsdaten im Check-Out-Prozess anzubieten. Anderenfalls können Händler gegen den Marktplatzbetreiber ggf. Schadenersatzansprüche geltend machen. Besondere Sorgfalt müssen Marktplatzbetreiber bei hybriden Marktplätzen im Hinblick auf die Datenverarbeitung von Gesundheitsdaten an den Tag legen.
