Der Europäische Gerichtshof hat in einem wegweisenden Urteil vom 04.10.2024 die Tür zu UWG-Verfahren bei Datenschutzverstößen weit geöffnet.
Datenschutzverstöße können über das UWG verfolgt werden
In dem Urteil hat er die lange umstrittene Frage, ob Verstöße gegen die Datenschutzgrundverordnung (DSGVO) auch von Mitbewerbern auf Grundlage des Gesetzes gegen den unlauteren Wettbewerb (UWG) verfolgt werden können, mit Ja beantwortet (CURIA - Dokumente (europa.eu)).
Für Unternehmen bedeutet dies, dass im Falle von Lücken in der Datenschutz-Compliance eine weitere Angriffsfläche droht. Neben Datenschutzaufsichtsbehörden, Verbraucherverbänden und betroffenen Personen kommt künftig mit dem Mitbewerber ein weiterer potenzieller Anspruchsteller hinsichtlich etwaiger Verstöße gegen die DSGVO hinzu. Als Hebel für die Geltendmachung solcher Ansprüche dient insoweit das UWG. Dennoch ist nicht zu befürchten, dass massenhaft durch Abmahnanwälte ausgelöste Anspruchsschreiben auf den Mittelstand zurollen. Insoweit sieht das Lauterkeitsrecht in § 13 Abs. 4 UWG vor, dass ein Anspruch auf Ersatz der Abmahnkosten im Hinblick auf Datenschutzverstöße nicht geltend gemacht werden kann; jedenfalls wenn das abgemahnte Unternehmen weniger als 250 Mitarbeiter beschäftigt.
Wir hatten die Hintergründe und den Sachverhalt dieses Verfahrens in einem vorherigen Beitrag aufgearbeitet (Dürfen Mitbewerber bei Datenschutzverstößen klagen? (skwschwarz.de)).
Unternehmen sollten die Entscheidung des EuGH zum Anlass nehmen, ihre Produkte und Dienstleistungen sowohl aus datenschutzrechtlicher Sicht als auch aus dem Blickwinkel der Unlauterkeit noch einmal gründlich zu untersuchen.
Weite Auslegung des Begriffs „Gesundheitsdatum“
Neben der beschriebenen Thematik des Verhältnisses zwischen der DSGVO und dem UWG hat der EuGH zu einer weiteren, aus datenschutzrechtlicher Sicht sehr praxisrelevanten Frage Stellung genommen, nämlich zur Auslegung der Definition des Gesundheitsdatums (Art. 4 Nr. 15 DSGVO).
Dieser, so der EuGH, sei wegen des zu fordernden hohen Schutzniveaus von Gesundheitsdaten grundsätzlich weit auszulegen. Im hier konkreten Fall hat der EuGH die von Kunden bei der Onlinebestellung eines apothekenpflichtigen Arzneimittels eingegebenen Daten (wie z. B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen) als Gesundheitsdaten im Sinne der DSGVO qualifiziert. Das gelte auch dann, wenn die betreffenden Arzneimittel zwar nur in Apotheken vertrieben werden dürfen, aber ohne Rezept erhältlich sind. Es genüge, dass aus diesen Daten mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand einer identifizierten oder identifizierbaren natürlichen Person geschlossen werden könne. Ob diese Person der Besteller oder ein – unbekannter – Dritter, für den die Bestellung getätigt wird, ist, sei unerheblich, da der Personenbezug zunächst hergestellt werde. Ob dieser Personenbezug richtig ist, sei keine Frage, die sich im Rahmen des Verbotstatbestandes des Art. 9 DSGVO stelle, sondern eine Frage der Datenrichtigkeit.
Weil die Verarbeitung von Gesundheitsdaten dem grundsätzlich strengen Regelungsregime des Art. 9 DSGVO unterliegen, sollten Unternehmen im Bereich der Gesundheitswirtschaft kritisch hinterfragen, ob sie bestimmte Datenverarbeitungen bislang auf einen der Tatbestände des Art. 6 Abs. 1 DSGVO stützen und ob diese Einschätzung für ihr Geschäftsmodell vor dem Hintergrund der Erwägungen des EuGH noch hinreichend rechtssicher ist.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
