EuGH verschärft datenschutzrechtliche Anforderungen an den Onlinehandel
Steht die DS-GVO der (wettbewerbsrechtlichen) Verfolgung von Datenschutzverstößen durch Mitbewerber entgegen? Handelt es sich bei Bestelldaten zu Arzneimittelkäufen im Internet um besonders geschützte Gesundheitsdaten? Ersteres hat der EuGH in seiner wegweisenden Entscheidung vom 04.10.2024 (C-21/23) verneint, letzteres bejaht. Betreiber von Onlineshops etc. sind nun – auch angesichts des zu erwartenden Verfolgungsdrucks – angehalten, ihre Prozesse zu prüfen und erforderliche Maßnahmen zu treffen.
A. Weshalb handelt es sich bei Bestelldaten um Gesundheitsdaten?
Bestellt eine Person ein (nicht-verschreibungspflichtiges) Arzneimittel, ergibt sich daraus zunächst einmal nur, dass diese Person ein bestimmtes Produkt kaufen und erhalten möchte.
Daraus mag man theoretisch spekulieren können, dass diese Person eine derjenigen Krankheiten hat, für die das jeweilige Medikament typischerweise zum Einsatz kommen soll. Genauso gut kann die Person das Medikament natürlich für eine Dritte Person gekauft haben oder z.B. auf Vorrat für die Hausapotheke.
Der Generalanwalt führte in seinen Schlussanträgen nachvollziehbarerweise noch aus, dass die bloße Möglichkeit, solche gesundheitsspezifischen Spekulationen anzustellen, nicht genügt. Vielmehr sei für die Qualifikation als Gesundheitsdatum ein „Mindestmaß an Gewissheit“ dieser sensiblen Rückschlussmöglichkeiten erforderlich. Der Generalanwalt verneinte daher noch die Qualifikation solcher Bestelldaten als Gesundheitsdaten.
Die Entscheidung des EuGH weicht hiervon diametral ab: Der EuGH folgte seiner strengen Linie der weiten Auslegung des Begriffs der Gesundheitsdaten und lässt hier auch völlig unsichere, rein hypothetische Rückschlussmöglichkeiten auf Krankheiten genügen – unabhängig davon, ob der jeweilige Verantwortliche gesundheitsspezifische Schlüsse aus den Bestelldaten ziehen will. Das begründet der EuGH im Wesentlichen mit dem von der DS-GVO vorgesehenen hohen Schutzniveau von Gesundheitsdaten. Mit der naheliegenden Frage, ob dieses Schutzniveau denn nicht auch ohne die Qualifizierung solcher Bestelldaten als Gesundheitsdaten gewahrt wäre, setzt sich der EuGH scheinbar nicht näher auseinander, obwohl es hier durchaus gute Argumente gibt.
Für Betreiber von Onlineshops und sonstige Verantwortliche stellt sich vor diesem Hintergrund die Frage, bei welchen weiteren Bestelldaten und sonstigen Daten sensible Daten, wie Gesundheitsdaten, anfallen. Zu denken ist hier beispielsweise an Hilfsmittel (z.B. Rollatoren oder Rollstühle).
B. Was folgt aus der Qualifikation als Gesundheitsdatum?
Während ohnehin jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage bedarf (Art. 6 DS-GVO), existiert für die Verarbeitung „besonderer Kategorien personenbezogener Daten“ (wozu Gesundheitsdaten gehören) ein besonderes Verarbeitungsverbot, das nur mit einer zusätzlichen Erlaubnisnorm aus Art. 9 (2) DS-GVO überwunden werden kann.
Während bei Bestellprozessen mit „normalen“, nicht-sensiblen Daten typischerweise leicht eine gesetzliche Rechtsgrundlage zu finden ist, verhält sich das bei besonderen Kategorien personenbezogener Daten anders. Art. 9 (2) DS-GVO erlaubt weder pauschal die Verarbeitung solcher Daten zur Vertragsdurchführung noch auf Basis einer Interessenabwägung.
Vielfach wird daher hier eine Einwilligung erforderlich sein, die Shopbetreiber bei ihren Kunden einholen müssen (Art. 9 (2) (a) DS-GVO). Demgegenüber liegt es im Ausgangsfall der EuGH-Entscheidung nahe, dass zumindest der Beklagte als Apotheker Gesundheitsdaten zur Vertragsdurchführung auf einer gesetzlichen Rechtsgrundlage (also ohne Einwilligung) verarbeiten darf, was der EuGH in seiner Entscheidung auch zumindest andeutet (Art. 9 (2) (h), (3) DS-GVO i.V.M. § 22 Abs. 1 Nr. 1 lit. b BDSG i.V.m. § 203 Abs. 1 Nr. 1 StGB).
C. Können Mitbewerber nun sämtliche Datenschutzverstöße wettbewerbsrechtlich verfolgen?
Zunächst einmal hat der EuGH „nur“ entschieden, dass die DS-GVO Maßnahmen von Mitbewerbern auf Basis des nationalen Wettbewerbsrecht nicht entgegensteht.
Es obliegt somit den nationalen Gerichten in Streitfällen – wie dem Ausgangsfall der EuGH-Entscheidung – für jeden Einzelfall zu klären, ob Mitbewerber sich auf eigene Ansprüche (z.B. auf Unterlassung) berufen können. In Deutschland ist damit die Möglichkeit eröffnet, die Verletzung der DS-GVO durch Mitbewerber als unlauteren Rechtsbruch gem. § 3 a UWG zivilrechtlich zu verfolgen, wenn die Voraussetzungen von § 3 a UWG erfüllt sind. Maßgeblich dafür ist die Frage, ob die verletzte datenschutzrechtliche Bestimmung eine sog. „Marktverhaltensregel“ ist. Nach der Legaldefinition des § 3 a UWG ist dies eine gesetzliche Vorschrift, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und deren Verletzung geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen: Bereits vor Einführung der DS-GVO am 25.5.2018 war umstritten, inwieweit die datenschutzrechtlichen Vorschriften des BDSG aF, des TMG aF und des TKG aF als Marktverhaltensregeln anzusehen seien.
Der BGH selbst hat sich weder unter der Geltung des BDSG aF noch nach Geltung der DS-GVO bislang dazu geäußert, inwieweit Datenschutzvorschriften auch Marktverhaltensregeln sind. In der Literatur und Rechtsprechung wurde vertreten, dass die Bestimmungen des BDSG aF als Ausfluss des Persönlichkeitsrechts nur Individualrechtspositionen schützen und daher grundsätzlich keine Marktverhaltensregeln darstellen. Andere meinten, Datenschutzregelungen seien bereits deshalb Marktverhaltensregeln, weil sie auch dem Verbraucherschutz dienen und bereits deshalb einen Wettbewerbsbezug aufweisen. Nach wohl herrschender Meinung kommt es auf die spezifische Datenschutzbestimmung an, deren Verletzung im Raum steht: dient die verletzte datenschutzrechtliche Regelung dem Schutz personenbezogener Daten, die eine erhebliche ökonomische Bedeutung haben, sei es in Form von Kundendaten für personalisierte Werbung und Direktmarketing oder als Nutzerdaten für die Produktentwicklung auf Basis von Kundenbedürfnissen, spricht dies für eine Einordnung als sog. „Marktverhaltensregel“.
Zudem müsste der Verstoß auch geeignet sein, „die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen“ (§ 3a UWG). Auch wenn die Gerichte diese „Spürbarkeit“ im Lauterkeitsrecht oft reflexartig bejahen, bedarf dies gerade im Datenschutzrecht einer kritischen Einzelfallprüfung. Denn eine spürbare Beeinträchtigung erscheint zumindest dann fraglich, wenn die Datenverarbeitung wie im Ausgangsprozess offensichtlich dem klaren Wunsch der Nutzer entspricht und sie eine Einwilligung daher sicherlich auch bereitwillig erteilen würden (der Nutzer will ja gerade, dass seine Bestelldaten verarbeitet werden, damit man ihm das gewünschte Produkt zusenden kann).
Der Verfolgungsdruck dürfte aufgrund der Entscheidung des EuGH sicherlich steigen. Je nach konkretem Verstoß gegen datenschutzrechtliche Vorschriften verbleiben aber noch Verteidigungsmöglichkeiten, die es im Einzelfall zu eruieren gilt.
Unternehmen sollten in jedem Fall wachsam sein, um beim Erhalt einer Abmahnung adäquat zu reagieren. Das schließt beispielsweise auch die Frage ein, ob es im jeweiligen Fall angezeigt ist, nach Erhalt einer Abmahnung eine Schutzschrift zu hinterlegen, um das Risiko des Erlasses einer einstweiligen Verfügung ohne mündliche Verhandlung zu reduzieren.
In diesem Zusammenhang bleibt auch mit Spannung zu erwarten, ob der deutsche Gesetzgeber Datenschutzverstöße explizit aus § 3a UWG ausnehmen wird (siehe dazu den Gesetzentwurf des Bundesrates).
D. Was können Betreiber von Onlineshops und sonstige datenschutzrechtliche Verantwortliche allgemein aus der Entscheidung des EuGH mitnehmen?
Die Entscheidung zu Gesundheitsdaten zeigt, dass Datenschutzthemen sehr vielschichtig sind und letztlich in allen Bereichen des Unternehmens „schlummern“ können. Es sollte klar sein, dass das interne Datenschutzmanagement und der Datenschutzbeauftragte bei der Einführung neuer Verarbeitungsprozesse, insbesondere datengetriebener Tools (z.B. Cookie-basierte Marketing-Tools in Onlineshops), sowie bei Änderungen solcher Prozesse unbedingt einzubeziehen ist. Die Entscheidung verdeutlich, dass das aber nicht in jedem Fall genügt, sondern sogar Änderungen in der Produktpalette (z.B. Hinzunehmen medizinischer Produkte in einen Onlineshop der zuvor nur Produkte aus nicht-sensiblen Bereichen verkauft hat) deutliche Datenschutzrelevanz haben können.
Um diesen Themen Herr zu werden bedarf es einer robusten Datenschutz-Governance (oder idealerweise einer umfassenderen robusten Data Compliance Governance). Durch regelmäßige Schulungen sind alle Mitarbeiter auf diese Themen zu sensibilisieren. Unternehmen, die insoweit „gut aufgestellt“ sind, können auch dem durch die EuGH-Entscheidung sicherlich wachsenden Verfolgungsdruck gelassener entgegensehen.
Zur Praxisgruppe: Data, Tech & Telecoms
Insights
