Wettbewerbsklage dank Datenschutzverstoß

Frau Vohns präsentierte auf dem Business Frühstück im Dezember ein buntes Potpourri aus datenschutzrechtlichen Geschichten aus der „Nikolaustüte“. Einen Fall hieraus möchten wir an dieser Stelle vorstellen.

Ist ein Verstoß gegen die DSGVO auch ein Thema, welches das Wettbewerbsrecht betrifft? Diese Frage war bislang ungeklärt, jedoch hat sich das nun durch ein Urteil geändert.

Die Lindenapotheke und der Verstoß gegen das Wettbewerbsrecht

Die Lindenapotheke verkaufte auf Amazon rezeptfreie Medikamente. Im Rahmen der Bestellung wurde keine Einwilligung der Kundschaft abgefragt, wodurch der Bestellprozess deutlich vereinfacht wurde und der Lindenapotheke Vorteile bei der Abwicklung von Bestellungen entstanden.

Die Konkurrenz sah darin unlauteren Wettbewerb. Man verschaffe sich durch einen Verstoß gegen die DSGVO einen Wettbewerbsvorteil, da bei gesetzeskonformen Handeln eine Einwilligung in die Verarbeitung von besonderen Kategorien personenbezogener Daten, wie Gesundheitsdaten, im Zusammenhang mit der Begründung eines Kaufvertrages, einzuholen gewesen wäre.

Bislang war unklar, ob Klagen gegen die Konkurrenz wegen Verstößen gegen die DSGVO auch auf das Wettbewerbsrecht und damit auf das Verbot unlauterer Geschäftspraktiken gestützt werden können (§ 8 Abs. 3 Nr. 1 UWG).

Das Urteil und die weitreichenden Konsequenzen

Mit Urteil des Europäischen Gerichtshofs (EuGH) vom 04. Oktober 2024 (C-21/23) wurde der Begriff des „Gesundheitsdatums“ grundlegend neu interpretiert und in einem weiten Sinne ausgelegt. Nach dieser Entscheidung ist es nun schon ausreichend, dass aus den relevanten Daten lediglich indirekt Informationen über den Gesundheitszustand einer Person hervorgehen oder dass solche Informationen durch gedankliche Kombination oder Ableitung aus den Daten erschlossen werden können. Diese Auslegung stellt eine deutliche Erweiterung des bisherigen Begriffsverständnisses dar und hat weitreichende Konsequenzen für den Umgang mit personenbezogenen Daten.

Eine zentrale Neuerung der Entscheidung ist die Feststellung, dass es keine Rolle mehr spielt, ob die Gesundheitsdaten sich auf die betroffene Person selbst oder auf Dritte beziehen. Ebenso unerheblich ist es, ob die Daten inhaltlich korrekt oder fehlerhaft sind. Auch die Absicht des Verantwortlichen, die Daten als Gesundheitsdaten zu nutzen, ist nicht länger maßgeblich. Selbst wenn die Verarbeitung der Daten zu einem Zweck erfolgt, der keine direkte Verbindung zur Information über den Gesundheitszustand aufweist, können personenbezogene Daten dennoch als Gesundheitsdaten klassifiziert werden.

Ein anschauliches Beispiel für diese weite Auslegung stellt der Besitz von Medikamenten dar: Bereits die Information, dass eine Person Medikamente besitzt, genügt, um die entsprechenden Daten als Gesundheitsdaten einzuordnen – unabhängig davon, um welche Art von Medikamenten es sich handelt und ob diese für die Person selbst oder für Dritte gedacht sind. Dies bedeutet, dass alle Daten, die bei der Bestellung von Medikamenten in sogenannten Online-Apotheken angegeben werden, nun automatisch als Gesundheitsdaten eingestuft werden. In der Praxis hat dies zur Folge, dass die Verarbeitung dieser Daten nur noch unter den strengen Voraussetzungen des Art. 9 DSGVO erfolgen darf.

Insbesondere ergibt sich aus Art. 9 Abs. 2 lit. a in Verbindung mit Art. 6 Abs. 1 lit. c DSGVO, dass die Verarbeitung dieser sensiblen Daten in der Regel nur mit ausdrücklicher Einwilligung der betroffenen Person zulässig ist. Im Gegensatz zu „einfachen“ personenbezogenen Daten können Gesundheitsdaten nämlich nicht auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO, der eine Verarbeitung zur Vertragsanbahnung oder -durchführung, etwa eines Kaufvertrages, erlaubt, verarbeitet werden.

Was bedeutet dieses Urteil für andere besondere personenbezogene Daten?

Spinnt man diese Definition von Gesundheitsdaten jetzt weiter, wäre die Konsequenz, dass bereits ein:e Taxifahrer:in Gesundheitsdaten verarbeitet, wenn Fahrgäste zum Krankenhaus gefahren werden, da dies Rückschlüsse auf den Gesundheitszustand zulässt und damit die Möglichkeit eines Gesundheitsdatums besteht. Das Taxiunternehmen müsste in diesem Fall eine Einwilligung der Fahrgäste zur Verarbeitung der Gesundheitsdaten einholen.

Diese weite Auslegung des Begriffs der Gesundheitsdaten lässt sich auch auf andere besondere personenbezogene Daten i.S.d. Art. 9 Abs. 1 DSGVO übertragen. Wenn IG Metall oder Verdi streiken und Angestellte am selben Tag nicht im Betrieb erscheinen, könnten Rückschlüsse auf eine Gewerkschaftszugehörigkeit gezogen werden.

Abschließender Hinweis

Frau Vohns machte darauf aufmerksam, dass bereits das Tragen einer Brille auf Fotos Gesundheitsdaten darstellen kann. Sie gab den Teilnehmenden den Hinweis mit, dass in Einwilligungserklärungen ein Satz aufgenommen werden sollte, dass auch auf Fotos Gesundheitsdaten verarbeitet werden können.

Für die Zukunft ist nun auch geklärt, dass ein Datenschutzverstoß, der sich gegen den Schutz von Betroffenen richtet, unlauteren Wettbewerb darstellen kann, sodass der Verursacher vom Wettbewerber verklagt werden kann.

Mit 10 Jahren Erfahrung im Datenschutzrecht ist Volljuristin Saskia Vohns eine der führenden Datenschutz Consultants bei Biehn & Professionals. Wenn es um die Umsetzung der Anforderungen der DSGVO oder des KDG geht, bringt sie Unternehmen und kirchliche Einrichtungen auf die nächste Stufe der Datenschutzkonformität. In Beratungen, Schulungen und Vorträgen vermittelt sie komplexe datenschutzrechtliche Themen verständlich, praxisnah und mit einer kleinen Prise Humor. Deshalb und aufgrund ihrer umfassenden Expertise ist sie als Referentin stets gefragt und fester Bestandteil des Business-Frühstücks.