Bei einer Onlinebestellung apothekenpflichtiger Arzneimittel eingegebene Daten sind Gesundheitsdaten im Sinne der DSGVO
Der Europäische Gerichtshof hat in einem Urteil vom 4. Oktober 2024 (C-21/23) festgestellt, dass die von einem Kunden bei der Onlinebestellung apothekenpflichtiger Arzneimittel eingegebenen Daten (wie z. B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen) Gesundheitsdaten im Sinne der DSGVO darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.
Der deutsche Bundesgerichtshof hat einen Rechtsstreit zwischen zwei Apothekern zu entscheiden. Einer dieser Apotheker vertreibt apothekenpflichtige Medikamente über Amazon. Die Kunden müssen im Rahmen der Onlinebestellung dieser Medikamente verschiedene Informationen eingeben.
Gestützt auf die deutschen Rechtsvorschriften über unlautere Geschäftspraktiken beantragte ein Mitbewerber des Apothekers bei den deutschen Gerichten, dem Inhaber der besagten Apotheke aufzutragen, diese Tätigkeit einzustellen, solange nicht gewährleistet sei, dass die Kunden vorab in die Verarbeitung von Gesundheitsdaten einwilligen können. Die Gerichte erster und zweiter Instanz vertraten die Ansicht, dass dieser Vertrieb eine unlautere und unzulässige Praxis darstelle, da er gegen die DSGVO verstoße. Wenn keine ausdrückliche Einwilligung der die Arzneimittel erwerbenden Kunden vorliege, komme es beim Verkauf nämlich zu einer Verarbeitung von Gesundheitsdaten, die gemäß der DSGVO verboten sei.
Der deutsche Bundesgerichtshof stellt sich die Frage, ob die nationalen Rechtsvorschriften, die es einem Mitbewerber ermöglichen, auf der Grundlage des Verbots unlauterer Geschäftspraktiken Klage gegen den mutmaßlichen Verletzer von Vorschriften der DSGVO zu erheben, mit dieser Verordnung im Einklang stehen. Nach der DSGVO obliege die Überwachung und Durchsetzung der DSGVO nämlich grundsätzlich den nationalen Aufsichtsbehörden und die betroffenen Personen (in diesem Fall die Kunden) seien für die Durchsetzung ihrer Rechte verantwortlich. Der deutsche Bundesgerichtshof möchte außerdem wissen, ob die Daten, die beim Kauf apothekenpflichtiger Arzneimittel über das Internet eingegeben werden, Gesundheitsdaten im Sinne der DSGVO darstellen, auch wenn diese Arzneimittel keiner ärztlichen Verschreibung bedürfen. Er hat sich daher diesbezüglich an den Gerichtshof gewandt.
Urteil des EuGH
Der Gerichtshof antwortet als Erstes, dass die DSGVO einer nationalen Regelung nicht entgegensteht, nach der – zusätzlich zu den Rechten und Befugnissen, die die DSGVO den nationalen Aufsichtsbehörden, den betroffenen Personen und den diese Personen vertretenden Verbänden einräumt – Mitbewerber des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des Verbots unlauterer Geschäftspraktiken wegen eines Verstoßes gegen die DSGVO gerichtlich gegen diese Person vorgehen können. Im Gegenteil – dies trägt unbestreitbar dazu bei, die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten. Im Übrigen kann sich dies als besonders wirksam erweisen, da so zahlreiche Verstöße gegen die DSGVO verhindert werden können.
Als Zweites stellt der Gerichtshof fest, dass die von den Kunden bei der Onlinebestellung apothekenpflichtiger Arzneimittel eingegebenen Daten (wie z. B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen) Gesundheitsdaten im Sinne der DSGVO darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.
Aus diesen Daten kann nämlich mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand einer identifizierten oder identifizierbaren natürlichen Person geschlossen werden, da eine Verbindung zwischen dieser Person und einem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen hergestellt wird, unabhängig davon, ob diese Informationen den Kunden oder eine andere Person betreffen, für die der Kunde die Bestellung tätigt. Folglich ist unerheblich, dass ohne ärztliche Verschreibung Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für die Kunden bestimmt sind, die sie bestellt haben. Nach der Art der Arzneimittel und danach zu differenzieren, ob ihr Verkauf einer ärztlichen Verschreibung bedarf, liefe dem mit der DSGVO verfolgten Ziel eines hohen Schutzniveaus zuwider. Der Verkäufer muss diese Kunden daher klar, vollständig und in leicht verständlicher Weise über die spezifischen Umstände und Zwecke der Verarbeitung dieser Daten informieren und ihre ausdrückliche Einwilligung in diese Verarbeitung einholen.
Fazit
Der Gerichtshof entscheidet, dass Daten, die Kunden bei der Onlinebestellung apothekenpflichtiger Arzneimittel eingeben, Gesundheitsdaten im Sinne der DSGVO darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf. Folglich muss der Verkäufer diese Kunden klar, vollständig und in leicht verständlicher Weise über die spezifischen Umstände und Zwecke der Verarbeitung dieser Daten informieren und ihre ausdrückliche Einwilligung in diese Verarbeitung einholen.
Fundstelle: Pressemitteilung Nr. 159/24 des EuGH vom 4. Oktober 2024 – abrufbar im Internet unter https://curia.europa.eu/jcms/jcms/p1_4584865/de/