Out-Law News Lesedauer: 3 Min.
10 Oct 2024, 6:50 am
Der Europäische Gerichtshof hat entschieden, dass nationale Regelungen, welche einen Verstoß gegen die Datenschutzgrundverordnung zugleich auch als Verletzung des nationalen Lauterkeitsrechts einstufen, dem Unionsrecht nicht entgegenstehen.
Die Luxemburger Richter erlauben mithin eine Verschränkung von Datenschutzrecht und Wettbewerbsrecht in der Weise, dass über den sogenannten „Rechtsbruchtatbestand“ geschäftliche Handlungen, die primär außerhalb des Lauterkeitsrechts stehen, letztendlich doch mit dessen Instrumenten geahndet werden können. Wann ein solcher Rechtsbruch zugleich auch eine unlautere Handlung darstellt, war im Detail seit langem umstritten.
„Die Mitgliedstaaten können Mitbewerbern eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Möglichkeit einräumen, diesen Verstoß als verbotene unlautere Geschäftspraxis gerichtlich zu beanstanden“, so der Tenor des Urteils des Europäischen Gerichtshofes (EuGH) vom 4. Oktober 2024.
In dem Verfahren, über das der EuGH zu entscheiden hatte, ging es um eine Versand-Apotheke, die apothekenpflichtige Arzneimittel online über Amazon vertrieb. Ein Mitbewerber ging gegen diese Praktik vor und berief sich unter anderem auf Paragraf 3a des deutschen Gesetzes gegen den unlauteren Wettbewerb (UWG). Nach dieser Norm handelt unlauter, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Zudem muss der Verstoß geeignet sein, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Während das Datenschutzrecht primär dem betroffenen Individuum die Möglichkeit gibt, sich gegen jede unautorisierte Nutzung seiner personenbezogenen Daten zu wehren, ist es im Lauterkeitsrecht der Mitbewerber, der rechtlich vorgehen kann. Der Kreis potenzieller Kläger weitet sich somit erkennbar aus.
Der EuGH hält dies dem Grunde nach für vereinbar mit dem Unionsrecht. Jedenfalls stehen die Bestimmungen des Kapitels VIII der Datenschutzgrundverordnung (DSGVO) einer solchen Ausweitung nicht entgegen. Überdies entscheid der EuGH, dass Artikel 8 Absatz 1 der Datenschutzrichtlinie sowie Artikel 9 der DSGVO so auszulegen sind, dass „in einem Fall, in dem der Betreiber einer Apotheke über eine Onlineplattform apothekenpflichtige Arzneimittel vertreibt, Daten, die seine Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen […], Gesundheitsdaten im Sinne dieser Bestimmungen darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.“
Gegenstand des Verfahrens waren und sind damit besonders sensible Gesundheitsdaten, die in besonderem Maße Schutz beanspruchen. „Dies stand deshalb zur Disposition“, so Dr. Nils Rauer, Experte für Wettbewerbsrecht bei Pinsent Masons, „weil die in Rede stehenden Daten sich auf Bestellungen bezogen, die auch nicht verschreibungspflichtige Arzneimittel betrafen. Es hätten daher auch Bestellungen für Drittpersonen und nicht den Besteller selbst sein können.“
Der EuGH stellt in seinem Urteil fest, dass immer dann von Gesundheitsdaten im Sinne von Artikel 4 Nr. 15 DSGVO auszugehen ist, wenn sie Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person zulassen. Dies kann auch bei Online-Bestellungen der Fall sein, die sich auf nicht verschreibungspflichtige Arzneimittel beziehen.
Zu der Frage des Verhältnisses von Datenschutzrecht und Lauterkeitsrecht führen die Richter zunächst aus, dass im Kern die Frage zu beantworten sei, ob nach nationalem Recht ein Kläger, der nicht als betroffene Person im Sinne des Artikel 4 Nr. 1 DSGVO gelten kann, vor ein Zivilgericht ziehen und gegenüber einem Wettbewerber einen Datenschutzrechtsverstoß geltend machen kann.
„Es ist hervorzuheben, dass Kapitel VIII der DSGVO eine solche Vorgehensweise weder explizit ausschließt noch umgekehrt eine diesbezügliche Öffnungsklausel enthält“, sagte Laura-Charlotte Lingenfelder, ebenfalls von Pinsent Masons. „Der EuGH hebt jedoch zu Recht die Tatsache hervor, dass die DSGVO eine Drittbetroffenheit im Falle von Datenschutzrechtsverstößen anerkennt. Artikel 82 DSGVO ist hier ein deutliches Indiz“.
Der EuGH führt in diesem Zusammenhang aus: „Zum anderen ist zum Ziel der Gewährleistung eines wirksamen Schutzes der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten und zur praktischen Wirksamkeit der materiellen Bestimmungen der DSGVO festzustellen, dass [...] eine von einem Mitbewerber des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten erhobene Unterlassungsklage zwar nicht diesem Ziel dient, sondern einen lauteren Wettbewerb sicherstellen soll; sie trägt jedoch unbestreitbar zur Einhaltung dieser Bestimmungen und damit dazu bei, die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten“.
Das Urteil des EuGH bringt etwas Klarheit in einen schon seit geraumer Zeit bestehenden Streit, ob Datenschutzbestimmungen eine sogenannte Marktverhaltensregelung darstellen. Dies wird gemeinhin als Voraussetzung für die Anwendbarkeit des Paragraf 3a UWG gesehen. „Es gibt in Deutschland eine ganze Reihe von Gerichtsurteilen, die eine Anwendbarkeit des Rechtsbruchtatbestandes befürworten. Mitunter haben Richter aber auch die gegenteilige Position vertreten“, so Nils Rauer. „Es ist daher per se erfreulich, dass sich der EuGH nun mit dieser Angelegenheit befasst hat. Das Ergebnis ist auch nicht wirklich überraschend.“
Hervorzuheben ist dabei, dass insbesondere Artikel 80 Absatz 2 DSGVO den Mitgliedstaaten einen gewissen Ermessensspielraum hinsichtlich seiner Umsetzung lässt. Eine nationale Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage insbesondere mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken verstoßen worden sei, steht die DSGVO nach Ansicht der Richter daher nicht entgegen, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.
„Im Ergebnis weitet sich damit der Kreis potenzieller Kläger im Falle von datenschutzrechtlichen Verstößen deutlich aus. Das Lauterkeitsrecht kann einerseits zum Vehikel zur Durchsetzung des Datenschutzrechts werden. Andererseits kann das Datenschutzrecht zum Hebel werden, wenn es gilt Mitbewerbern die Nutzung personenbezogener Daten zu erschweren. Gerade mit Blick auf kundenspezifische Werbung und intelligentes Marketing muss künftig doppelt darauf geachtet werden, dass die Erhebung, Speicherung und Nutzung personenbezogener Daten im Einklang mit der DSGVO und dem BDSG erfolgt,“ schlussfolgert Laura-Charlotte Lingenfelder.