EuGH: Verletzung datenschutzrechtlicher Bestimmungen kann ein Wettbewerbsverstoß sein

Die Luxemburger Richter erlauben mithin eine Verschränkung von Datenschutzrecht und Wettbewerbsrecht in der Weise, dass über den sogenannten „Rechtsbruchtatbestand“ geschäftliche Handlungen, die primär außerhalb des Lauterkeitsrechts stehen, letztendlich doch mit dessen Instrumenten geahndet werden können. Wann ein solcher Rechtsbruch zugleich auch eine unlautere Handlung darstellt, war im Detail seit langem umstritten.

„Die Mitgliedstaaten können Mitbewerbern eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Möglichkeit einräumen, diesen Verstoß als verbotene unlautere Geschäftspraxis gerichtlich zu beanstanden“, so der Tenor des Urteils des Europäischen Gerichtshofes (EuGH) vom 4. Oktober 2024.

In dem Verfahren, über das der EuGH zu entscheiden hatte, ging es um eine Versand-Apotheke, die apothekenpflichtige Arzneimittel online über Amazon vertrieb. Ein Mitbewerber ging gegen diese Praktik vor und berief sich unter anderem auf Paragraf 3a des deutschen Gesetzes gegen den unlauteren Wettbewerb (UWG). Nach dieser Norm handelt unlauter, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Zudem muss der Verstoß geeignet sein, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Während das Datenschutzrecht primär dem betroffenen Individuum die Möglichkeit gibt, sich gegen jede unautorisierte Nutzung seiner personenbezogenen Daten zu wehren, ist es im Lauterkeitsrecht der Mitbewerber, der rechtlich vorgehen kann. Der Kreis potenzieller Kläger weitet sich somit erkennbar aus.

Der EuGH hält dies dem Grunde nach für vereinbar mit dem Unionsrecht. Jedenfalls stehen die Bestimmungen des Kapitels VIII der Datenschutzgrundverordnung (DSGVO) einer solchen Ausweitung nicht entgegen. Überdies entscheid der EuGH, dass Artikel 8 Absatz 1 der Datenschutzrichtlinie sowie Artikel 9 der DSGVO so auszulegen sind, dass „in einem Fall, in dem der Betreiber einer Apotheke über eine Onlineplattform apothekenpflichtige Arzneimittel vertreibt, Daten, die seine Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen […], Gesundheitsdaten im Sinne dieser Bestimmungen darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.“

Gegenstand des Verfahrens waren und sind damit besonders sensible Gesundheitsdaten, die in besonderem Maße Schutz beanspruchen. „Dies stand deshalb zur Disposition“, so Dr. Nils Rauer, Experte für Wettbewerbsrecht bei Pinsent Masons, „weil die in Rede stehenden Daten sich auf Bestellungen bezogen, die auch nicht verschreibungspflichtige Arzneimittel betrafen. Es hätten daher auch Bestellungen für Drittpersonen und nicht den Besteller selbst sein können.“

Der EuGH stellt in seinem Urteil fest, dass immer dann von Gesundheitsdaten im Sinne von Artikel 4 Nr. 15 DSGVO auszugehen ist, wenn sie Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person zulassen. Dies kann auch bei Online-Bestellungen der Fall sein, die sich auf nicht verschreibungspflichtige Arzneimittel beziehen.

Zu der Frage des Verhältnisses von Datenschutzrecht und Lauterkeitsrecht führen die Richter zunächst aus, dass im Kern die Frage zu beantworten sei, ob nach nationalem Recht ein Kläger, der nicht als betroffene Person im Sinne des Artikel 4 Nr. 1 DSGVO gelten kann, vor ein Zivilgericht ziehen und gegenüber einem Wettbewerber einen Datenschutzrechtsverstoß geltend machen kann.

„Es ist hervorzuheben, dass Kapitel VIII der DSGVO eine solche Vorgehensweise weder explizit ausschließt noch umgekehrt eine diesbezügliche Öffnungsklausel enthält“, sagte Laura-Charlotte Lingenfelder, ebenfalls von Pinsent Masons. „Der EuGH hebt jedoch zu Recht die Tatsache hervor, dass die DSGVO eine Drittbetroffenheit im Falle von Datenschutzrechtsverstößen anerkennt. Artikel 82 DSGVO ist hier ein deutliches Indiz“.

Der EuGH führt in diesem Zusammenhang aus: „Zum anderen ist zum Ziel der Gewährleistung eines wirksamen Schutzes der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten und zur praktischen Wirksamkeit der materiellen Bestimmungen der DSGVO festzustellen, dass [...] eine von einem Mitbewerber des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten erhobene Unterlassungsklage zwar nicht diesem Ziel dient, sondern einen lauteren Wettbewerb sicherstellen soll; sie trägt jedoch unbestreitbar zur Einhaltung dieser Bestimmungen und damit dazu bei, die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten“.

Das Urteil des EuGH bringt etwas Klarheit in einen schon seit geraumer Zeit bestehenden Streit, ob Datenschutzbestimmungen eine sogenannte Marktverhaltensregelung darstellen. Dies wird gemeinhin als Voraussetzung für die Anwendbarkeit des Paragraf 3a UWG gesehen. „Es gibt in Deutschland eine ganze Reihe von Gerichtsurteilen, die eine Anwendbarkeit des Rechtsbruchtatbestandes befürworten. Mitunter haben Richter aber auch die gegenteilige Position vertreten“, so Nils Rauer. „Es ist daher per se erfreulich, dass sich der EuGH nun mit dieser Angelegenheit befasst hat. Das Ergebnis ist auch nicht wirklich überraschend.“

Hervorzuheben ist dabei, dass insbesondere Artikel 80 Absatz 2 DSGVO den Mitgliedstaaten einen gewissen Ermessensspielraum hinsichtlich seiner Umsetzung lässt. Eine nationale Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage insbesondere mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken verstoßen worden sei, steht die DSGVO nach Ansicht der Richter daher nicht entgegen, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.