EuGH, Urt. v. 04.10.2024, C-21/23, Lindenapotheke
Bestelldaten für apothekenpflichtige Arzneimittel sind Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO; Zulässigkeit nationaler Klagebefugnisse von Mitbewerbern nach Lauterkeitsrecht.
1 Überblick
Das Urteil klärt zwei zentrale Fragen zur Verarbeitung sensibler Daten im Online-Handel: Erstens, unter welchen Voraussetzungen Bestelldaten im Arzneimittelhandel Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO darstellen. Zweitens, ob nationales Recht Mitbewerbern eine Klagebefugnis gegen Datenschutzverstöße nach lauterkeitsrechtlichen Grundsätzen einräumen darf.
Fundstelle: EuGH, Urt. v. 04.10.2024, C-21/23, Lindenapotheke
2 Sachverhalt
Der Betreiber der „Lindenapotheke" vertrieb apothekenpflichtige, nicht verschreibungspflichtige Arzneimittel über die Handelsplattform Amazon. Ein konkurrierender Apotheker klagte nach lauterkeitsrechtlichen Grundsätzen gegen den Vertrieb und machte geltend, dass die Bestelldaten Gesundheitsdaten enthielten und ohne erforderliche Einwilligung verarbeitet würden.
3 Entscheidung
3.1 Gesundheitsdaten auch bei apothekenpflichtigen, nicht verschreibungspflichtigen Arzneimitteln
Der Gerichtshof bejaht die Einordnung von Bestelldaten als Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO. Aus der Kombination von Identifikationsdaten (Name, Lieferadresse) und den bestellten apothekenpflichtigen Arzneimitteln lässt sich (durch gedankliche Kombination oder Schlussfolgerung) ein Bezug zum Gesundheitszustand der Person herstellen. Entscheidend ist, dass das Produkt auf therapeutische Indikationen verweist, die einen Rückschluss auf die gesundheitliche Situation des Bestellers zulassen.
Die Einordnung erfolgt unabhängig davon, ob die Abgabe des Arzneimittels eine ärztliche Verordnung voraussetzt. Auch frei verkäufliche, nur apothekenpflichtige Präparate können als Gesundheitsdaten zu behandeln sein, wenn ihre therapeutische Zuordnung die beschriebenen Rückschlüsse ermöglicht.
3.2 Konsequenzen für Online-Shops mit apothekenpflichtigen Arzneimitteln
Aus der Einordnung folgt, dass Bestelldaten nur unter den Voraussetzungen des Art. 9 Abs. 2 DSGVO verarbeitet werden dürfen. In der Praxis scheidet lit. b (Vertragserfüllung) mangels Parallelnorm im Katalog des Art. 9 Abs. 2 DSGVO aus; in Betracht kommen regelmäßig nur:
- Abs. 2 lit. a: ausdrückliche Einwilligung, zweckbezogen und informiert,
- Abs. 2 lit. h: soweit eine individuelle Gesundheitsversorgung vorliegt und die personellen Anforderungen des Abs. 3 (Berufsgeheimnis) gewahrt sind.
3.3 Klagebefugnis von Mitbewerbern
Der Gerichtshof stellt fest, dass die DSGVO nationalen Regelungen nicht entgegensteht, die Mitbewerbern eine lauterkeitsrechtliche Klagebefugnis gegen Verstöße gegen das Datenschutzrecht einräumen. Das deutsche Gesetz gegen den unlauteren Wettbewerb (UWG) kann damit als zusätzlicher Durchsetzungsweg neben der aufsichtsbehördlichen und individualschutzrechtlichen Durchsetzung der DSGVO fungieren.
4 Bedeutung
Das Urteil hat weitreichende Folgen für den Versand- und Online-Handel mit apothekenpflichtigen Arzneimitteln:
- Einwilligungspflicht: Online-Apotheken müssen eine ausdrückliche, informierte Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO einholen, bevor sie Bestelldaten verarbeiten, soweit nicht lit. h einschlägig ist.
- Dokumentationspflichten: Die erhöhten Anforderungen aus Art. 9 DSGVO, kombiniert mit den Dokumentations- und DSFA-Pflichten (Art. 30, 35 DSGVO), greifen auch im elektronischen Handel mit frei verkäuflichen Arzneimitteln.
- Durchsetzung durch Mitbewerber: Der Kreis der Kontrollakteure vergrößert sich, weil Konkurrenten datenschutzrechtliche Verstöße als wettbewerbsrechtlich unlautere Handlungen angreifen können.
Das Urteil bildet damit einen zentralen Baustein der Rechtsprechung zum Anwendungsbereich von Art. 9 Abs. 1 DSGVO bei datenbasierten Geschäftsmodellen im Gesundheitsumfeld.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
EuGH, Urt. v. 04.10.2024, C-446/21, Schrems/Meta
Reichweite sensibler Daten nach Art. 9 DSGVO bei Werbung in sozialen Netzwerken; restriktive Auslegung des Art. 9 Abs. 2 lit. e und Pflicht zur zeitlichen Begrenzung der Verarbeitung.
EuGH, Urt. v. 07.12.2023, C-634/21, SCHUFA Holding (Scoring)
Automatisierte Entscheidungen und Profiling nach Art. 22 DSGVO; Grenzen mitgliedstaatlicher Ausgestaltung nach Art. 22 Abs. 2 lit. b DSGVO; keine Vorwegnahme der Interessenabwägung.