1. Aktuelle Seite:  
  2. Prinz-Blog
  3. Urteil: Das Recht von Wettbewerbern, Datenschutzverstöße zu verfolgen und die Definition von Gesundheitsdaten im Sinne der Datenschutz-Grundverordnung (DSGVO)

Urteil: Das Recht von Wettbewerbern, Datenschutzverstöße zu verfolgen und die Definition von Gesundheitsdaten im Sinne der Datenschutz-Grundverordnung (DSGVO)

Mit seinem Urteil vom 4. Oktober 2024 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C-21/23 zwei bedeutende Fragen des Datenschutzes geklärt:

  1. Das Recht von Wettbewerbern, Datenschutzverstöße zu verfolgen.
  2. Die Definition von Gesundheitsdaten im Sinne der Datenschutz-Grundverordnung (DSGVO).

Hintergrund

Die Rechtssache betrifft einen Streit zwischen zwei Apothekenbetreibern in Deutschland. Einer der Betreiber verkaufte rezeptfreie, aber apothekenpflichtige Medikamente über eine Online-Plattform. Der Wettbewerber argumentierte, dass der Verkäufer gegen Datenschutzvorschriften verstoßen habe, indem er personenbezogene Daten seiner Kunden ohne deren Einwilligung verarbeitet habe. Der Streit konzentrierte sich auf zwei Hauptfragen:

  • Sind die bei der Bestellung erhobenen Daten wie Name, Adresse und bestellte Produkte als Gesundheitsdaten gemäß Artikel 9 DSGVO einzustufen?
  • Dürfen Wettbewerber rechtliche Schritte gegen Datenschutzverstöße einleiten, auch wenn sie selbst nicht direkt betroffen sind?

Entscheidung des EuGH

Der EuGH hat in seinem Urteil die folgenden Kernaussagen getroffen:

  1. Recht von Wettbewerbern auf Klagebefugnis bei DSGVO-Verstößen:
    • Wettbewerber können rechtliche Schritte einleiten, wenn Datenschutzverstöße zugleich unlautere Geschäftspraktiken darstellen und sie dadurch benachteiligt werden. Die DSGVO schließt nationale Vorschriften nicht aus, die Wettbewerbern diese Möglichkeit einräumen.
    • Wettbewerber sind also berechtigt, Verstöße anzugreifen, auch wenn sie keine direkt betroffene Person, Aufsichtsbehörde oder ein Verantwortlicher im Sinne der DSGVO sind. Dies schafft eine ergänzende Kontrollinstanz neben den Aufsichtsbehörden.
  2. Einstufung von Daten als Gesundheitsdaten:
    • Der EuGH stellte klar, dass Daten, die bei der Bestellung von rezeptfreien, apothekenpflichtigen Medikamenten erhoben werden, Gesundheitsdaten gemäß Artikel 9 DSGVO darstellen. Dazu gehören Informationen wie Name, Adresse und die bestellten Medikamente, da diese Daten indirekt Aufschluss über den Gesundheitszustand geben können.
    • Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten, deren Verarbeitung grundsätzlich verboten ist, es sei denn, es liegt eine ausdrückliche Einwilligung der betroffenen Person vor oder eine andere Ausnahme des Artikel 9 Absatz 2 DSGVO greift.

Auswirkungen auf Unternehmen

Das Urteil hat weitreichende Konsequenzen für Unternehmen, die im Online-Handel mit Gesundheitsprodukten tätig sind:

  1. Erweiterte Klagebefugnis von Wettbewerbern:
    • Unternehmen müssen sicherstellen, dass ihre Datenschutzpraktiken DSGVO-konform sind, um rechtliche Auseinandersetzungen mit Wettbewerbern zu vermeiden. Verstöße können nun nicht nur von betroffenen Personen oder Aufsichtsbehörden, sondern auch von Wettbewerbern angefochten werden.
  2. Verarbeitung von Gesundheitsdaten:
    • Kundendaten, die beim Kauf von apothekenpflichtigen, aber rezeptfreien Medikamenten erhoben werden, müssen als Gesundheitsdaten behandelt werden. Dies erfordert besondere Schutzmaßnahmen wie:
      • Einholung einer ausdrücklichen Einwilligung vor der Verarbeitung.
      • Regelmäßige Überprüfung von Datenschutzprozessen, insbesondere in Bezug auf die Weitergabe von Daten an Drittplattformen.
      • Sicherstellung der Verschlüsselung und des Zugriffsmanagements für diese Daten.
  3. Online-Plattformen und Marktplätze:
    • Plattformbetreiber müssen ihre Prozesse überprüfen, um sicherzustellen, dass sie die DSGVO-Vorgaben einhalten. Dies gilt insbesondere für die Verarbeitung und Speicherung von Gesundheitsdaten durch Drittanbieter.

Praktische Empfehlungen

Unternehmen sollten die folgenden Schritte in Betracht ziehen:

  1. Datenschutz-Compliance sicherstellen:
    • Führen Sie Datenschutz-Audits durch, um potenzielle Verstöße zu identifizieren und zu beheben.
    • Implementieren Sie Prozesse, um ausdrückliche Einwilligungen von Kunden einzuholen und zu dokumentieren.
  2. Schulung und Sensibilisierung:
    • Schulen Sie Mitarbeiter in der Handhabung von Gesundheitsdaten und den Anforderungen der DSGVO.
  3. Risikomanagement:
    • Entwickeln Sie Strategien zur Risikominderung im Umgang mit sensiblen Daten.
    • Führen Sie regelmäßige Überprüfungen der Datenschutzpraktiken durch, insbesondere bei Änderungen der geschäftlichen Abläufe.
  4. Zusammenarbeit mit Datenschutzbeauftragten:
    • Konsultieren Sie Ihren Datenschutzbeauftragten, um sicherzustellen, dass Ihre Prozesse den neuesten rechtlichen Anforderungen entsprechen.

Das EuGH-Urteil in der Rechtssache Lindenapotheke stellt klar, dass Datenschutzverstöße nicht nur eine Angelegenheit der Aufsichtsbehörden oder der betroffenen Personen sind. Wettbewerber können ebenfalls klagen, was die Bedeutung der Datenschutz-Compliance im Wettbewerb erhöht. Gleichzeitig definiert das Urteil den Begriff der Gesundheitsdaten weitreichend, was Unternehmen in der Gesundheitsbranche vor neue Herausforderungen stellt. Die Einhaltung der DSGVO wird somit nicht nur zur rechtlichen, sondern auch zur geschäftlichen Notwendigkeit. 

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz

Quelle: Urteil des EuGH in der Rechtssache C-21/23



Google: Vorfälle in Sachen Datenschutz
Das Recht auf Vergessenwerden: Aktuelle Entscheidu...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.