Der Umgang mit sensiblen Daten in Online-Shops als Konsequenz der EuGH-Rechtsprechung

1. Sachverhalt zum EuGH-Urteil „Lindenapotheke“ – Verkauf von apothekenpflichtigen Arzneimitteln über den Amazon Marketplace

Der Sachverhalt der Entscheidung ist schnell dargelegt. Ein Apotheker, der eine Apotheke unter der Geschäftsbezeichnung „Lindenapotheke“ führt, vertrieb seit 2017 (das Urteil beinhaltet daher auch noch Ausführungen zur DS-RL 95/46/EG) apothekenpflichtige aber nicht verschreibungspflichtiger Arzneimittel (sog. OTC-Arzneimittel) über die Onlineplattform „Amazon Marketplace“. Bei der Onlinebestellung dieser Arzneimittel müssen dessen Kunden Angaben wie ihren Namen, ihre Lieferadresse und die für die Individualisierung der Arzneimittel notwendigen Informationen eingeben. Ein anderer Apotheker erhob gegen diese Praxis Klage und beantragte, es dem Mitbewerber unter Androhung von Ordnungsmitteln zu verbieten, apothekenpflichtige Arzneimittel über den Amazon Marketplace zu vertreiben, solange nicht sichergestellt sei, dass die Kunden vorab die Möglichkeit hätten, in die Verarbeitung von Gesundheitsdaten einzuwilligen.

Nachdem der Rechtsstreit in der Revision beim BGH gelandet war, legte dieser dem EuGH – neben der Frage zur Abmahnfähigkeit von datenschutzrechtlichen Verstößen durch Mitbewerber – auch die einleitend genannte Vorlagefrage vor.

2. Begründung des EuGH im Urteil „Lindenapotheke“

In seinem Urteil entschied der EuGH, dass die betroffenen personenbezogenen Daten Gesundheitsdaten darstellen. Die zentralen Aussagen des EuGH (mit Hervorhebungen):

• „Damit personenbezogene Daten als Gesundheitsdaten […] eingestuft werden können, genügt […], dass aus diesen Daten mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person geschlossen werden kann […]. Aus den Daten, die ein Kunde bei der Bestellung von apothekenpflichtigen Arzneimitteln über eine Onlineplattform eingibt, kann mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person […] geschlossen werden, da die Bestellung eine Verbindung zwischen einem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen und einer identifizierten oder durch Angaben wie den Namen oder die Lieferadresse identifizierbaren natürlichen Person herstellt.“ (Rn. 83 und 84)
• „Demnach ist, wenn ein Nutzer einer Onlineplattform bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln personenbezogene Daten übermittelt, die Verarbeitung dieser Daten durch den Betreiber einer Apotheke, der diese Arzneimittel über die Onlineplattform vertreibt, als eine Verarbeitung von Gesundheitsdaten […] anzusehen, da durch die Verarbeitung dieser Daten Informationen über den Gesundheitszustand einer natürlichen Person offengelegt werden können, und zwar unabhängig davon, ob diese Informationen den Nutzer oder eine andere Person betreffen, für die diese Bestellung getätigt wird […].“ (Rn. 88)
• Eine Auslegung […], bei der nach der Art der betreffenden Arzneimittel und danach differenziert würde, ob ihr Verkauf einer ärztlichen Verschreibung bedarf, stünde nämlich nicht im Einklang mit dem […] Ziel eines hohen Schutzniveaus. Eine solche Auslegung liefe zudem dem Zweck von […] Art. 9 Abs. 1 DSGVO zuwider, der darin besteht, einen erhöhten Schutz vor Datenverarbeitungen zu gewährleisten, die […] aufgrund der besonderen Sensibilität der betreffenden Daten einen besonders schweren Eingriff in die durch die Art. 7 und 8 der Charta garantierten Grundrechte […] darstellen können […].“ (Rn. 89)
• „Folglich stellen die Angaben, die die Kunden eines Apothekenbetreibers bei der Onlinebestellung apothekenpflichtiger, aber nicht verschreibungspflichtiger Arzneimittel eingeben, Gesundheitsdaten […] dar, auch wenn diese Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für diese Kunden bestimmt sind.“ (Rn. 90)

Mit dem Urteil setzt der EuGH seine Rechtsprechung zur extrem weiten Auslegung von Art. 9 DSGVO fort und bestätigt bereits ergangene Entscheidungen. Hierzu zählen insbesondere die Urteile vom 01.08.2022 und vom 04.07.2023 (Rs. C-252/21). Hierin hatte der EuGH bereits geurteilt, dass die Verarbeitung von personenbezogenen Daten, die dazu geeignet sind, ein besonderes personenbezogenes Datum nach Art. 9 DSGVO indirekt zu offenbaren (mittels gedanklicher Kombination oder Ableitung), eine solche Verarbeitung darstellt. Zudem gilt das in Art. 9 Abs. 1 DSGVO vorgesehene grundsätzliche Verbot unabhängig davon, ob die durch die fragliche Verarbeitung offengelegte Information richtig ist oder nicht und ob der Verantwortliche mit dem Ziel handelt, Informationen zu erhalten, die unter eine der in dieser Bestimmung genannten besonderen Kategorien fallen.

Eine Begründungstiefe lässt der EuGH im „Lindenapotheken“-Urteil allerdings vermissen, wenn er erneut lediglich pauschal auf den Schutzzweck von Art. 9 DSGVO zur Erreichung eines hohen Schutzniveaus abstellt (vgl. Rn. 81, 87 und 89). Inwiefern diese Rechtsprechungslinie überhaupt tauglich ist, ein hohes Schutzniveau zu erreichen, erscheint fraglich. Denn insbesondere in alltäglichen und nicht-sensiblen Verarbeitungssituationen führt diese weite Auslegung in einem Großteil der Fälle nun zu einer Parallelität von Datenverarbeitungen auf Basis der Vertragsdurchführung oder Interessenabwägung (Art. 6 Abs. 1 UAbs. 1 lit. b und f DSGVO) sowie einer Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Dieses Nebeneinander verschiedener Rechtfertigungsinstrumente ist einerseits auf Prozessebene mit Herausforderungen bei der Umsetzung verbunden und dürfte vor allem rechtsunkundigen Betroffenen auch nur schwer zu vermitteln sein. In der Konstellation mit Dritten (z.B. Kauf von nicht-verschreibungspflichtigen Arzneimitteln für ein Kind oder einen Partner) kann diese Rechtsprechung sogar dazu führen, dass ein Mehr an personenbezogenen Daten verarbeitet wird, da der Käufer im Rahmen der Bestellung und der erforderlichen Einwilligung den Namen des Dritten preisgibt.

Bemerkenswert ist auch, dass der EuGH im Rahmen der zweiten Vorlagefrage nur über das (Nicht-)Vorliegen von Gesundheitsdaten zu entscheiden hatte, aber dann im Rahmen der offiziellen Pressemitteilung zum Urteil folgende Unterüberschrift produziert, die zur Vorlagefrage überhaupt keinen direkten Bezug hat:. „Der Verkauf apothekenpflichtiger Arzneimittel über das Internet erfordert die ausdrückliche Einwilligung des Kunden in die Verarbeitung seiner Daten, auch wenn es sich um nicht verschreibungspflichtige Arzneimittel handelt.“ Zwar ging es in den erstinstanzlichen Verfahren und Berufungsverfahren in Deutschland durchaus um die Frage der Rechtfertigung nach Art. 9 DSGVO, schließlich war Kernbestandteil des Verfahrens der Verkauf der OTC-Arzneimittel über die Plattform Amazon, für welchen Art. 9 Abs. 2 lit. h DSGVO nicht passt, doch kein Bestandteil der Vorlagefrage des BGH.

Den vom Generalanwalt Szpunar in den Schlussanträgen vorgeschlagene Einschränkungsansatz ist der EuGH im Rahmen seiner Entscheidung nicht gefolgt. Der Generalanwalt schlug vor, dass im Rahmen der Prüfung des Vorliegens von Gesundheitsdaten sowohl der Inhalt der in Rede stehenden Daten als auch sämtliche Umstände ihrer Verarbeitung betrachtet werden müssen, um festzustellen, ob aus ihnen mit einem gewissen Grad an Sicherheit Informationen über den Gesundheitszustand der betroffenen Person abgeleitet werden können (dort Rz. 49). Er wies darauf hin, dass OTC-Arzneimittel nicht unbedingt im Zeitpunkt einer Erkrankung gekauft werden, sondern vielmehr öfters auch auf Vorrat, und diese zudem auch nicht für den Käufer selbst zum Verbrauch bestimmt sein müssen.

3. Schlussfolgerungen und Konsequenzen aus dem EuGH-Urteil „Lindenapotheke“

Die Folgen dieser Fortschreibung der Rechtsprechung des EuGH zur weiten Auslegung von Art. 9 DSGVO gehen weit über den vorliegenden Sachverhalt hinaus. Es braucht nicht viel Phantasie, um zig Beispiele für gewöhnliche Gegenstände in Online-Shops zu bilden, welche sich anhand der Grundsätze der EuGH-Rechtsprechung dann als Verarbeitungen besonderer Kategorien personenbezogener Daten darstellen. Als prägnanteste Beispiele seien hier (und z.T. auch schon anderenorts genannt) der Kauf von glutenfreien Produkten (Schlussfolgerung auf eine Glutenunverträglichkeit des Käufers) oder einer Brille (Sehschwäche) sowie die Bestellung eines Buches zu einer politischen Denkrichtung oder einer Biographie eines Politikers angeführt.

Wie die Auswirkungen dieser Rechtsprechung insbesondere im Online-Handel aufzufangen sind, wird sich herausstellen müssen. Die nunmehr nach der EuGH-Rechtsprechung vielfach erforderliche Parallelität zwischen Vertragsdurchführung (Kaufvertrag) und Einwilligung (besondere Kategorien personenbezogener Daten) ist aufgrund der jederzeit möglichen Widerruflichkeit der Einwilligung eher unpraktikabel, herausfordernd umzusetzen und für Betroffene in der Regel nicht verständlich. Der Anwendungsbereich anderer Rechtfertigungsinstrumente aus Art. 9 Abs. 2 DSGVO ist eng, jedenfalls aber einzelfallabhängig zu prüfen. Zusätzliche Herausforderungen für die rechtmäßige Verarbeitung stellen sich bei Mischdatensätzen, aufgedrängten besonderen Kategorien personenbezogener Daten (beispielsweise über Freitextfelder) und besonderen Kategorien personenbezogener Daten von Dritten.

Verkaufen Sie über Ihren Online-Shop Produkte, die eine direkte oder zumindest mittelbare Ableitung auf sensible Informationen ermöglichen? Wir von HÄRTING Rechtsanwälte unterstützen Sie gerne bei der Analyse und Bewertung Ihres Online-Shops sowie bei der Ausarbeitung und Gestaltung von datenschutzkonformen Prozessen. Die Entscheidung und ihre Auswirkungen wird zudem in unserer bevh-Webinarreihe im 1. Halbjahr 2025 Gegenstand eines Webinars (am 20.Februar 2025) sein.