Damit personenbezogene Daten als besondere Kategorien iSv Art 9 Abs 1 EU-DSGVO eingestuft werden können, genügt, dass aus diesen Daten mittels gedanklicher Kombination oder Ableitung auf das Merkmal der betroffenen Person geschlossen werden kann.
EuGH. Urteil. Sind personenbezogene Daten, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln über eine Onlineplattform erhoben werden, Gesundheitsdaten? Unter anderem das hatte der EuGH in dieser Entscheidung zu beantworten.
Zugrunde liegt ein Rechtsstreit zwischen zwei Apothekern. Der eine Apotheker vertreibt seit 2017 bloß apothekenpflichtige Arzneimittel über den Amazon-Marketplace. Kunden, die Arzneimittel über diese Plattform bestellen, müssen dabei verschiedene personenbezogene Daten eingeben, darunter ihren Namen, die Lieferadresse und Informationen, die für die Individualisierung der Arzneimittel notwendig sind. Der andere Apotheker erhob gegen diesen Vertriebskanal Klage, weil es unzulässig sei, Arzneimittel über Amazon zu vertreiben. Die Daten, die bei der Bestellung eingegeben werden, seien Gesundheitsdaten und deren Verarbeitung ohne ausdrückliche Einwilligung verboten. Eine solche ausdrückliche Einwilligung werden am Amazon-Marketplace nicht eingeholt.
Für das nationale Gericht stellte sich zunächst die Frage, ob zwei Apotheker überhaupt über eine etwaige Non-Compliance mit der EU-DSGVO streiten können. Hierzu gibt der EuGH folgenden Hinweis:
- Die EU-DSGVO enthält keine Bestimmung, die es Mitbewerbern eines Unternehmens, das gegen materielle Bestimmungen verstoßen haben soll, verbietet, Klage auf Unterlassung dieser Verstöße zu erheben.
- Aus dem Wortlaut und dem Kontext der Art 77 – 79, 82 EU-DSGVO ergibt sich, dass der Unionsgesetzgeber mit dem Erlass dieser Verordnung keine umfassende Harmonisierung der Rechtsbehelfe vornehmen und insbesondere nicht ausschließen wollte, dass Mitbewerber eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des nationalen Rechts unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken Klage erheben können.
- Deshalb stehen die Bestimmungen in Kapitel VIII EU-DSGVO einer nationalen Regelung nicht entgegenstehen, die Mitbewerbern die Befugnis einräumt, wegen Verstößen gegen die EU-DSGVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen.
- Das nationale Gericht muss jedoch prüfen, ob der mutmaßliche Verstoß gegen materielle Bestimmungen der EU-DSGVO auch einen Verstoß gegen das Verbot der Vornahme unlauterer Geschäftspraktiken gemäß den einschlägigen nationalen Regelungen darstellt.
Nachdem das geklärt war, sollte der EuGH noch in der Sache klarstellen, ob solche Daten tatsächlich Gesundheitsdaten darstellen:
- Können aus Daten zum Erwerb von Arzneimitteln Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden, sind sie Gesundheitsdaten.
- Denn hierfür genügt, dass aus diesen Daten mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person geschlossen werden kann.
- Es reicht aus, wenn Arzneimittel dabei nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für die betroffene Person bestimmt sind.
- Eine Auslegung, bei der nach der Art der betreffenden Arzneimittel und danach differenziert würde, ob ihr Verkauf einer ärztlichen Verschreibung bedarf, stünde nicht im Einklang mit dem hohen Schutzniveau der EU-DSGVO.
- Dementsprechend ist Art 9 Abs 1 EU-DSGVO dahin auszulegen, dass in einem Fall, in dem der Betreiber einer Apotheke über eine Onlineplattform apothekenpflichtige Arzneimittel vertreibt, Daten, die seine Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen, Gesundheitsdaten darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.