Dem BGH lag ein Rechtsstreit zwischen zwei Apothekern vor, von denen einer apothekenpflichtige Medikamente über Amazon verkaufte. Bei ihrer Bestellung mussten die Kunden persönliche Informationen angeben. Sein Mitbewerber beantragte gerichtlich die Einstellung des Onlineverkaufs, soweit nicht gewährleistet sei, dass den Kunden vorab eine Einwilligung in die Datenverarbeitung möglich ist. Er stützte sich hierbei auf die deutschen Rechtsvorschriften über unlautere Geschäftspraktiken. In erster und zweiter Instanz gaben ihm die Gerichte Recht, da der Vertrieb mangels Kundeneinwilligung zu einer durch die DSGVO verbotenen Verarbeitung von Gesundheitsdaten führe. Der BGH wollte vom EuGH wissen, ob die von den Kunden beim Onlinekauf nichtverschreibungspflichtiger Arzneimittel eingegebenen Daten Gesundheitsdaten i.S.d. DSGVO seien. Ferner hinterfragte er, ob die deutschen Rechtsvorschriften überhaupt im Einklang mit der DSGVO stünden. Diese sieht grundsätzlich die Zuständigkeit nationaler Aufsichtsbehörden für die Überwachung und Durchsetzung der Verordnung vor und überlässt es Betroffenen, ihre Rechte durchzusetzen.
In seinem Urteil teilte der EuGH mit, dass es sich bei den von den Kunden in der Onlinebestellung apothekenpflichtiger Arzneimittel eingegebenen Daten um Gesundheitsdaten i.S.d. DSGVO handele. Ob der Arzneimittelverkauf einer ärztlichen Verschreibung bedarf, spiele hierbei keine Rolle. Der maßgebliche Rückschluss auf den Gesundheitszustand einer identifizierten oder identifizierbaren natürlichen Person sei dennoch möglich, etwa durch Herstellen von Verbindungen zwischen der Person und ihren Arzneimitteln. Unerheblich sei, dass bei nichtverschreibungspflichtigen Arzneimitteln nie absolut sicher ist, dass diese für den Besteller bestimmt sind – bereits eine gewisse Wahrscheinlichkeit hierfür reiche aus. Eine Differenzierung würde an dieser Stelle also der Gewährleistung eines hohen Schutzniveaus als Ziel der DSGVO zuwiderlaufen. Deshalb müsse der Verkäufer seine Kunden klar, vollständig und leicht verständlich über die genauen Umstände und Zwecke der Datenverarbeitung informieren und ihre ausdrückliche Einwilligung hierzu einholen. Zudem sei ein gerichtliches Vorgehen auf Basis der unlauteren Geschäftspraktiken laut dem EuGH mit der DSGVO vereinbar und zusätzlich zur Rechtausübung durch Aufsichtsbehörden und Betroffene möglich. So ließen sich viele Verstöße gegen die DSGVO vermeiden sowie Rechte und Schutz der Betroffenen stärken. (LH)