EuGH: Abmahnungen wegen DSGVO-Verstößen möglich

Mitbewerber können – ohne im Sinne von Art. 4 Nr. 1 DSGVO eine betroffene Person zu sein – wettbewerbsrechtliche Beseitigungs- und Unterlassungsansprüche (§ 8 UWG) auf die Verletzung von materiellen Bestimmungen der DSGVO stützen und Klagen bei den nationalen Zivilgerichten erheben, wenn diese Verletzung nach den nationalen Bestimmungen zugleich auch einen Verstoß gegen das Verbot der Vornahme unlauterer Geschäftspraktiken darstellt.

 

Der Gerichtshof der Europäischen Union (EuGH) hat mit Urteil vom 04. Oktober 2024 (Az. C-21/23) auf ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesgerichtshof (BGH) mit Beschluss vom 12.01.2023, unter anderem entschieden, dass die Bestimmungen des Kapitels VIII der DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung nicht entgegenstehen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung dieser Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Person – Mitbewerbern des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Befugnis einräumt, wegen Verstößen gegen die DSGVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen. 

 

Ausgangsverfahren

 

Das Urteil des EuGH ist im Rahmen eines Rechtsstreits zweier natürlicher Personen, die jeweils eine Apotheke betreiben, über den Vertrieb apothekenpflichtiger Arzneimittel mittels einer Onlineplattform ergangen.

 

Der in der ersten Instanz Beklagte Apotheker vertreibt apothekenpflichtige Arzneimittel über die Onlineplattform „Amazon-Marketplace“. Bei der Bestellung müssen Kunden unter anderem ihren Namen, ihre Lieferadresse und die für die Individualisierung der Arzneimittel notwendig gewordenen Informationen eingeben.

 

Der andere Apotheker erhob Klage und beantragte, es unter Androhung von Ordnungsmitteln zu verbieten, apothekenpflichtige Arzneimittel über Amazon zu vertreiben, solange nicht sichergestellt ist, dass Kunden vorab die Möglichkeit haben, in die Verarbeitung von Gesundheitsdaten einzuwilligen. Dies sei unlauter, weil gegen Rechtsvorschriften verstoßen würde, die dem Schutz personenbezogener Daten dienen und die Einholung einer Einwilligung des Kunden vorsähen.

 

Das Landgericht gab der Klage erstinstanzlich statt. Die Berufung des Beklagten und Berufungsklägers wurde zurückgewiesen. Das Berufungsgericht führte aus, dass der Vertrieb apothekenpflichtiger Arzneimittel eine unlautere Handlung darstelle und daher gemäß § 3 Abs. 1 UWG unzulässig sei. Bei dem Vertrieb komme es zu einer Verarbeitung von Gesundheitsdaten, die gemäß Art. 9 Abs. 1 DSGVO ohne ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO verboten sei. Dabei handele es sich auch um eine Marktverhaltensregelung im Sinne von § 3 a UWG und der Kläger sei als Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG aktivlegitimiert.

 

Der Beklagte hat dagegen Revision eingelegt. Der BGH war der Ansicht, dass der Ausgang des Rechtsstreits (neben der vom EuGH positiv beantworteten zweiten Vorlagefrage, ob es sich bei den auf Amazon bei der Abgabe von Bestellungen abzugebenden Daten überhaupt um Gesundheitsdaten im Sinne von Art. 8 Abs. 1 der Datenschutzrichtlinie bzw. Art. 9 Abs. 1 der DSGVO handelt) von der Auslegung der Bestimmungen des Kapitels VIII DSGVO abhängt. Er sah es als ungeklärt an, ob Mitbewerber auf Grundlage von Verstößen gegen materielle Bestimmungen der DSGVO im Wege des nationalen Lauterkeitsrechts gegeneinander vorgehen können, und legte dem EuGH die Fragen zur Entscheidung vor.

 

Nach Auffassung des BGH könne dies weder aus dem Wortlaut der Bestimmungen des 8. Kapitels der DSGVO noch aus deren systematischem Zusammenhang oder dem mit der DSGVO verfolgten Ziele eindeutig abgeleitet werden.

 

Dem Wortlaut nach würde Mitbewerbern zwar nirgends ausdrücklich die Möglichkeit eingeräumt, gegen solche Unternehmen vorzugehen, sie andererseits aber auch nicht ausdrücklich ausgeschlossen.

 

Für eine abschließende Anwendung der Bestimmungen der DSGVO des 8. Kapitels spreche das Ziel der Verordnung, eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherzustellen. Andererseits würden die Art. 77 Abs. 1, Art. 78 Abs. 1 und 2 und Art. 79 Abs. 1 die Wendung „unbeschadet eines anderweitigen Rechtsbehelfs“ enthalten, was wiederum gegen die abschließende Regelung der Rechtsdurchsetzung spräche.

 

Die Einräumung einer wettbewerbsrechtlichen Klagebefugnis für Mitbewerber könne auch aus dem Grund der Harmonisierung des Datenschutzrechts und dessen Durchsetzungsniveaus entgegenstehen, dass die Mitbewerber dadurch datenschutzrechtliche Bestimmungen in einer Weise durchsetzen könnten, die über die in der DSGVO vorgesehenen Instrumente hinausgehen. Allerdings könne die Einräumung wiederum nach dem Effektivitätsgrundsatz („effet utile“) förderlich sein, um ein möglichst hohes Datenschutzniveau zu erreichen.

 

Rechtliche Würdigung des EuGH

 

Der EuGH folgte zunächst der Argumentation, dass Art. 77 Abs. 1, Art. 78 Abs. 1 und Art. 79 Abs. 1 DSGVO Rechtsbehelfe „unbeschadet“ jeglichen anderen verwaltungsrechtlichen, gerichtlichen oder außergerichtlichen Rechtsbehelfs kodifizieren. Sie schlössen in ihrem Wortlaut also eine solche Klage bei den Zivilgerichten nicht aus.

 

Auch wenn Adressaten des von der DSGVO gewährten Schutzes personenbezogener Daten betroffene Personen, nicht aber etwaige Mitbewerber seien, könne ein Verstoß gegen materielle Bestimmungen dennoch auch Dritte beeinträchtigen. Art. 82 Abs. 1 DSGVO sehe daneben für „jede Person“, der wegen des Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden sei, ein Recht auf Schadensersatz vor. Es sei bereits festgestellt worden, dass der Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig den Verstoß gegen verbraucherschützende oder lauterkeitsrechtliche Vorschriften darstellen könne.

 

Wegen der erheblichen Bedeutung des Zugangs zu personenbezogenen Daten sowie deren Verwertung im Rahmen der digitalen Wirtschaft könne es darüber hinaus erforderlich sein, bei der Durchsetzung des Wettbewerbsrechts und der Regeln über unlautere Geschäftspraktiken die Vorschriften zum Schutz personenbezogener Daten zu berücksichtigen.

 

Aus dem Wortlaut und Kontext der Bestimmungen des Kapitels VIII ergebe sich, dass der Unionsgesetzgeber mit dem Erlass der DSGVO keine umfassende Harmonisierung der Rechtsbehelfe bei Verstößen gegen die DSGVO habe vornehmen wollen. Er habe nicht ausschließen wollen, dass Mitbewerber im Falle eines vorgetragenen Verstoßes gegen Datenschutzvorschriften sowie Verstoßes gegen das Verbot unlauterer Geschäftspraktiken auf der Grundlage des nationalen Rechts Klage erheben könne. Dies folge insbesondere aus den im 10., 11. Und 13, Erwägungsgrund niedergelegten Schutzzielen der DSGVO, deren praktische Wirksamkeit durch eine solche Klage verstärkt werden könne. Derartige Klagen würden – trotz des vorrangig wettbewerbsrechtlichen Schutzziels – zudem zur Einhaltung der Bestimmungen und somit generell zu einem höheren Schutzniveau beitragen.

 

Letztlich werde sich die zivilgerichtliche Unterlassungsklage des Mitbewerbers gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten nicht auf das durch Kapitel VIII der DSGVO geschaffene Rechtsbehelfssystem auswirken. Durch Vorabentscheidungsverfahren nach Art. 267 AEUV werde eine einheitliche Auslegung bei Aufsichtsbehörden und nationalen Gerichten gewährleistet.

 

Die nationalen Gerichte haben also zu prüfen, ob die verletzte Regel der DSGVO auch einen Verstoß gegen das Verbot unlauterer Geschäftspraktiken nach dem nationalen Recht darstellt.

 

"EuGH: Abmahnungen wegen DSGVO-Verstößen möglich"

von Dominik Skornia, wissenschaftlicher Mitarbeiter