Der Generalanwalt beim EuGH argumentiert in seinen Schlussanträgen vom 25.04.2024 - C-21/23 in Richtung einer engen Auslegung des Begriffs der Gesundheitsdaten.
Der Fall
Der Kläger betreibt eine Apotheke. Der Beklagte ist ebenfalls Apotheker und betreibt ebenfalls eine Apotheke. Er ist Inhaber einer Versandhandelserlaubnis und vertreibt sein Sortiment auch im Internet unter einer bestimmten Internetadresse. Darüber hinaus handelte der Beklagte sein Sortiment, das apothekenpflichtige Medikamente einschließt, im Jahr 2017 über die Internet-Verkaufsplattform „Amazon-Marketplace“; er war dort mit einem bestimmten Verkäuferprofil vertreten. Der Kläger beanstandet den Vertrieb apothekenpflichtiger Medikamente über Amazon-Marketplace als unlauter unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer datenschutzrechtlichen Einwilligung des Kunden. Der Kläger hat beantragt, dem Beklagten unter Androhung von Ordnungsmitteln zu verbieten, im geschäftlichen Verkehr zu Wettbewerbszwecken apothekenpflichtige Medikamente über die Internethandelsplattform Amazon-Marketplace zu vertreiben, solange bei dem Anmelde- bzw. Kaufprozess über diese Internethandelsplattform nicht sichergestellt ist, dass der Kunde vorab seine Einwilligung mit einer Erhebung, Verarbeitung und Nutzung seiner Gesundheitsdaten (als besondere Daten im Sinne des § 3 Abs. 9 des Bundesdatenschutzgesetzes) gegenüber einer Person oder Institution erteilen kann, die zum Umgang mit diesen gesundheitsbezogenen Daten berechtigt ist.
Vorlage BGH an EuGH
Der zwischenzeitlich mit der Sache befasste BGH (Beschluss vom12.01.2023 – I ZR 223/19) hat dem EuGH zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119/1 vom 4. Mai 2016, S. 1) und der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie, DSRL, ABl. 281 vom 23. November 1995, S. 31) folgende Fragen zur Vorabentscheidung vorgelegt: 1. Stehen die Regelungen in Kapitel VIII der Datenschutz-Grundverordnung nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen? 2. Sind die Daten, die Kunden eines Apothekers, der auf einer Internet-Verkaufsplattform als Verkäufer auftritt, bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform eingeben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO sowie Daten über Gesundheit im Sinne von Art. 8 Abs. 1 DSRL?
Schlussanträge des Generalanwalts vom Generalanwalt beim EuGH, 25.04.2024 – C-21/23: enge Auslegung des Begriffs Gesundheitsdaten
Der Generalanwalt beim EuGH argumentiert in seinen Schlussanträgen vom 25.04.2024 – C-21/23 in Richtung einer engeren Auslegung des Begriffs der Gesundheitsdaten. So führt er in Tz. 46 seiner Schlussanträge aus: „Sofern nicht ein sehr großer Teil der Datenverarbeitung im Online-Handel der Regelung in Art. 9 Abs. 2 DSGVO unterworfen werden soll, scheint es mir daher notwendig, die Auslegung des Begriffs „Gesundheitsdaten“ in dem Sinne weiter zu verfeinern, dass die Schlussfolgerungen, die aus den Daten einer Bestellung gezogen werden können, nicht lediglich potenziell sein dürfen. Mit anderen Worten dürfen die Informationen, die aus den in Rede stehenden Daten in Bezug auf den Gesundheitszustand der betroffenen Person hervorgehen, meines Erachtens keine bloßen Vermutungen sein, sondern müssen ein Mindestmaß an Gewissheit bieten.“
Fazit
Es ist zu beobachten ob bzw. inwieweit sich der EuGH in seiner demnächst zu erwartenden Entscheidung dieser Argumentation und der These der Notwendigkeit der engen Auslegung des Begriffs der Gesundheitsdaten im Sinne des Art. 9 DSGVO anschließt. Dabei wird auch zu prüfen sein ob bzw. inwieweit sich aus der Interpretation des Begriffs der Gesundheitsdaten zu der dort streitgegenständlichen Fallgruppe Auswirkungen auf andere Fallgruppen wie den z.B. bei der Anwendung des Art. 82 Abs. 1 DSGVO und der Bestimmung der dort insbesondere gegenüber wem als geschützt zugrunde zu legenden Gesundheitsdaten ergeben. Zu dieser Norm hat jüngst der 8. Senat des BAG zu entscheiden betreffend einen Kläger, der geltend machte, die Verarbeitung seiner Gesundheitsdaten durch den beklagten Medizinischen Dienst Nordrhein sei unzulässig gewesen (BAG Urteil vom 20.6.2024 – 8 AZR 253/20 (PM BAG 18/24)). Der dortige Kläger machte eine Norminterpretation der DSGVO geltend dahin gehend, dass ein Gutachten betreffend seine Gesundheitsdaten nicht durch den eigenen Arbeitgeber erstellt werden dürfte und, dass die beim Arbeitgeber tätige Gutachterin nicht berechtigt wäre, betreffend seiner Gesundheitsdaten beim behandelnden Arzt telefonisch Auskünfte einzuholen.