SCHLUSSANTRÄGE DES GENERALANWALTS
MACIEJ SZPUNAR
vom 25. April 2024(1)
Rechtssache C‑21/23
ND
gegen
DR
(Vorabentscheidungsersuchen des Bundesgerichtshofs [Deutschland])
„Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Rechtsbehelfe – Abgrenzung der Rechtsbehelfe – Verarbeitung besonderer Kategorien personenbezogener Daten – Begriffe ‚Daten über Gesundheit‘ und ‚Gesundheitsdaten‘“
I. Einleitung
1. Die vorliegende Rechtssache betrifft die Auslegung mehrerer Bestimmungen der Verordnung (EU) 2016/679(2) (im Folgenden: DSGVO), die sich zum einen auf das durch diese Verordnung eingeführte System von Rechtsbehelfen und zum anderen auf die besonders sensible Datenkategorie der „Gesundheitsdaten“ beziehen.
2. Hintergrund des Vorabentscheidungsersuchens ist eine auf das innerstaatliche Verbot unlauterer Geschäftspraktiken gestützte Unterlassungsklage, die von einem Unternehmen mit dem Ziel erhoben wurde, den Online-Vertrieb von nicht verschreibungspflichtigen Arzneimitteln durch einen seiner Mitbewerber zu unterbinden. Laut diesem Unternehmen soll die unlautere Wettbewerbshandlung darin bestehen, dass die Anforderungen der DSGVO in Bezug auf die Verarbeitung von „Gesundheitsdaten“ nicht eingehalten worden seien.
3. Ich werde meine Würdigung mit der Prüfung der zweiten Vorlagefrage beginnen, die es dem Gerichtshof ermöglichen wird, die Konturen des Begriffs „Gesundheitsdaten“ zu klären, von denen es abhängt, ob ein verstärktes Schutzsystem anzuwenden ist oder nicht.
4. Sollten die in der vorliegenden Rechtssache in Rede stehenden Daten nämlich nicht als „Gesundheitsdaten“ im Sinne von Art. 9 Abs. 1 DSGVO eingestuft werden können, würde dies bedeuten, dass die behauptete unlautere Wettbewerbshandlung nicht vorliegt. Dann würde es sich erübrigen, auf die erste Vorlagefrage zu antworten, die dahin lautet, ob das durch die DSGVO eingeführte System von Rechtsbehelfen es zulässt, dass das nationale Recht einen auf das Verbot unlauterer Wettbewerbshandlungen gestützten Rechtsbehelf vorsieht, mit dem der Kläger einen Verstoß gegen die materiellen Bestimmungen der DSGVO geltend macht.
II. Rechtlicher Rahmen
A. Unionsrecht
1. Richtlinie 95/46/EG
5. Art. 8 Abs. 1 der Richtlinie 95/46/EG(3) sieht vor:
„Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben.“
2. DSGVO
6. In den Erwägungsgründen 9, 10, 13, 35, 51 und 142 der DSGVO heißt es:
„(9) Die Ziele und Grundsätze der Richtlinie [95/46] besitzen nach wie vor Gültigkeit, doch hat die Richtlinie nicht verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt wird, Rechtsunsicherheit besteht oder in der Öffentlichkeit die Meinung weit verbreitet ist, dass erhebliche Risiken für den Schutz natürlicher Personen bestehen, insbesondere im Zusammenhang mit der Benutzung des Internets. Unterschiede beim Schutzniveau für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, können den unionsweiten freien Verkehr solcher Daten behindern. Diese Unterschiede im Schutzniveau können daher ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern. Sie erklären sich aus den Unterschieden bei der Umsetzung und Anwendung der Richtlinie [95/46].
(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …
…
(13) Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. …
…
(35) Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der [Richtlinie 2011/24/EU(4)] für die natürliche Person erhoben werden, Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen.
…
(51) Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. … Derartige personenbezogene Daten sollten nicht verarbeitet werden, es sei denn, die Verarbeitung ist in den in dieser Verordnung dargelegten besonderen Fällen zulässig, wobei zu berücksichtigen ist, dass im Recht der Mitgliedstaaten besondere Datenschutzbestimmungen festgelegt sein können, um die Anwendung der Bestimmungen dieser Verordnung anzupassen, damit die Einhaltung einer rechtlichen Verpflichtung oder die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder die Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, möglich ist. Zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen.
…
(142) Betroffene Personen, die sich in ihren Rechten gemäß dieser Verordnung verletzt sehen, sollten das Recht haben, nach dem Recht eines Mitgliedstaats gegründete Einrichtungen, Organisationen oder Verbände ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen oder das Recht auf Schadensersatz in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Die Mitgliedstaaten können vorsehen, dass diese Einrichtungen, Organisationen oder Verbände das Recht haben, unabhängig vom Auftrag einer betroffenen Person in dem betreffenden Mitgliedstaat eine eigene Beschwerde einzulegen, und das Recht auf einen wirksamen gerichtlichen Rechtsbehelf haben sollten, wenn sie Grund zu der Annahme haben, dass die Rechte der betroffenen Person infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung verletzt worden sind. Diesen Einrichtungen, Organisationen oder Verbänden kann unabhängig vom Auftrag einer betroffenen Person nicht gestattet werden, im Namen einer betroffenen Person Schadenersatz zu verlangen.“
7. Art. 1 („Gegenstand und Ziele“) DSGVO bestimmt:
„(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
(3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“
8. Art. 4 DSGVO sieht vor:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …
15. ‚Gesundheitsdaten‘ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
…“
9. In Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) DSGVO heißt es:
„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
…
h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
…“
10. Die Art. 77 bis 84 DSGVO sind in deren Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) enthalten.
11. Art. 77 („Recht auf Beschwerde bei einer Aufsichtsbehörde“) Abs. 1 DSGVO lautet:
„Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.“
12. Art. 78 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde“) Abs. 1 DSGVO lautet:
„Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.“
13. Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) Abs. 1 DSGVO sieht vor:
„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“
14. Art. 80 („Vertretung von betroffenen Personen“) DSGVO bestimmt:
„(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.
(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.“
15. Art. 82 („Haftung und Recht auf Schadenersatz“) Abs. 1 DSGVO bestimmt:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
16. Art. 84 („Sanktionen“) Abs. 1 DSGVO lautet:
„Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“
B. Deutsches Recht
1. Gesetz gegen den unlauteren Wettbewerb
17. § 3 („Verbot unlauterer geschäftlicher Handlungen“) Abs. 1 des Gesetzes gegen den unlauteren Wettbewerb vom 3. Juli 2004(5) in seiner auf das Ausgangsverfahren anwendbaren Fassung (im Folgenden: UWG) bestimmt, dass „[u]nlautere Geschäftspraktiken … unzulässig [sind]“.
18. § 3a („Rechtsbruch“) UWG lautet:
„Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.“
19. § 8 („Beseitigung und Unterlassung“) UWG bestimmt:
„(1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. …
…
(3) Die Ansprüche aus Absatz 1 stehen zu:
1. jedem Mitbewerber, der Waren oder Dienstleistungen in nicht unerheblichem Maße und nicht nur gelegentlich vertreibt oder nachfragt,
…“
2. Arzneimittelgesetz
20. Der Verkehr mit Arzneimitteln wird durch das Arzneimittelgesetz vom 24. August 1976 in der Fassung der Bekanntmachung vom 12. Dezember 2005(6), zuletzt geändert durch § 8c des Gesetzes vom 20. Dezember 2022(7), geregelt. Dieses Gesetz unterscheidet zwischen den in § 43 („Apothekenpflicht“) bis § 47 genannten Arzneimitteln, die nur in Apotheken abgegeben werden dürfen, und den in § 48 („Verschreibungspflicht“) genannten Arzneimitteln, die nur auf Verschreibung abgegeben werden dürfen.
III. Sachverhalt, Verfahren und Vorlagefragen
21. ND und DR betreiben jeweils eine Apotheke. ND, der Revisionskläger des Ausgangsverfahrens, ist darüber hinaus Inhaber einer Versandhandelserlaubnis und vertreibt sein Sortiment, das auch apothekenpflichtige Arzneimittel einschließt, über die Internet-Verkaufsplattform Amazon Marketplace (im Folgenden: Amazon), über die Verkäufer ihre Produkte Verbrauchern direkt zum Kauf anbieten können.
22. DR, der Revisionsbeklagte des Ausgangsverfahrens, erhob eine Unterlassungsklage, um ND den Vertrieb von apothekenpflichtigen Arzneimitteln über die Internet-Verkaufsplattform Amazon zu untersagen. Nach Auffassung von DR stellt ein solcher Vertrieb eine unlautere geschäftliche Handlung dar, weil er dazu führe, dass ND gegen eine gesetzliche Bestimmung im Sinne von § 3a UWG verstoße, nämlich insbesondere gegen Art. 9 DSGVO, der die Einholung der vorherigen und ausdrücklichen Einwilligung des Kunden in die Verarbeitung seiner personenbezogenen Gesundheitsdaten verlange.
23. Das Landgericht Dessau-Roßlau (Deutschland) gab der Klage statt. Das Oberlandesgericht Naumburg (Deutschland) wies die von ND eingelegte Berufung zurück und entschied, dass der Vertrieb von apothekenpflichtigen Arzneimitteln durch ND über Amazon gegen das UWG verstoße. Dieser Vertrieb gehe nämlich mit einer Verarbeitung von Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO einher, in die die Kunden nicht ausdrücklich eingewilligt hätten. Die Bestimmungen der DSGVO seien als Marktverhaltensregeln im Sinne des nationalen Wettbewerbsrechts anzusehen, so dass DR als Mitbewerber berechtigt sei, einen auf das nationale Wettbewerbsrecht gestützten Unterlassungsanspruch geltend zu machen, indem er sich auf einen von ND begangenen Verstoß gegen die Bestimmungen der DSGVO berufe.
24. ND legte beim vorlegenden Gericht, dem Bundesgerichtshof (Deutschland), Revision ein, mit der er seinen Antrag auf Abweisung der Unterlassungsklage weiterverfolgt.
25. Nach Auffassung des vorlegenden Gerichts hängt der Ausgang des Revisionsverfahrens davon ab, wie sowohl Kapitel VIII der DSGVO als auch Art. 9 dieser Verordnung und Art. 8 Abs. 1 der Richtlinie 95/46 auszulegen sind.
26. Zum einen führt dieses Gericht nämlich aus, dass es darauf ankomme, ob der Revisionsbeklagte des Ausgangsverfahrens als Mitbewerber über die erforderliche Befugnis verfüge, im Wege einer Klage vor den Zivilgerichten wegen Verstößen gegen die DSGVO auf der Grundlage des Verbots unlauterer Geschäftspraktiken gegen den Urheber dieser Verstöße vorzugehen. Das vorlegende Gericht stellt klar, dass es sich hierbei um eine umstrittene Frage handele, die dahin beantwortet werden könne, dass die in der DSGVO enthaltenen Vorschriften zur Durchsetzung ihrer Bestimmungen abschließend seien, so dass eine wettbewerbsrechtliche Klagebefugnis von Mitbewerbern ausgeschlossen sei. Es lasse sich jedoch auch die Auffassung vertreten, dass die der Rechtsdurchsetzung dienenden Vorschriften der DSGVO nicht abschließend seien und die Mitbewerber daher befugt seien, Unterlassungsansprüche im Wege der Klage durchzusetzen, indem sie sich auf einen Verstoß gegen die DSGVO beriefen.
27. Zum anderen führt das vorlegende Gericht aus, es müsse geklärt werden, ob die Daten, die die Kunden bei der Online-Bestellung von apothekenpflichtigen, nicht aber verschreibungspflichtigen Arzneimitteln eingeben müssten, Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO darstellten bzw. zuvor Daten über Gesundheit im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46 gewesen seien, da der Unterlassungsanspruch nur dann bestehe, wenn das Verhalten von ND sowohl zum Zeitpunkt seiner Vornahme als auch zum Zeitpunkt der Revisionsverhandlung rechtswidrig gewesen sei.
28. Unter diesen Umständen hat der Bundesgerichtshof beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Stehen die Regelungen in Kapitel VIII der Datenschutz-Grundverordnung nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen?
2. Sind die Daten, die Kunden eines Apothekers, der auf einer Internet-Verkaufsplattform als Verkäufer auftritt, bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform eingeben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), Gesundheitsdaten im Sinne von Art. 9 Abs. 1 Datenschutz-Grundverordnung sowie Daten über Gesundheit im Sinne von Art. 8 Abs. 1 Datenschutz-Richtlinie?
29. Das vorliegende Vorabentscheidungsersuchen ist am 19. Januar 2023 beim Gerichtshof eingegangen. Die Parteien des Ausgangsverfahrens, die deutsche Regierung und die Europäische Kommission haben schriftliche Erklärungen eingereicht. Dieselben Beteiligten waren in der mündlichen Verhandlung am 9. Januar 2024 vertreten.
IV. Würdigung
30. In der vorliegenden Rechtssache macht DR geltend, dass ND gegen Art. 9 DSGVO verstoßen habe, indem er die Daten von Kunden, die nicht verschreibungspflichtige Arzneimittel online bestellt hätten, verarbeitet habe, ohne die Anforderungen zu beachten, nach denen die ausdrückliche Zustimmung der Kunden zur Verarbeitung dieser Daten eingeholt werden müsse.
31. Mit seiner ersten Vorlagefrage möchte das vorlegende Gericht im Wesentlichen wissen, ob die Bestimmungen des Kapitels VIII der DSGVO dahin auszulegen sind, dass sie nationalen Vorschriften entgegenstehen, die Unternehmen das Recht einräumen, sich auf der Grundlage des Verbots unlauterer Wettbewerbshandlungen darauf zu berufen, dass ihre Mitbewerber gegen materielle Bestimmungen der DSGVO verstoßen hätten. Mit seiner zweiten Vorlagefrage möchte dieses Gericht vom Gerichtshof wissen, ob Art. 9 DSGVO dahin auszulegen ist, dass die in Rede stehenden Daten Gesundheitsdaten darstellen und somit unter die besonderen Kategorien von Daten fallen, die in dieser Bestimmung genannt werden(8).
32. Zunächst stelle ich fest, dass die erste Frage – wie bereits ausgeführt – nicht beantwortet zu werden braucht, falls die zweite Frage zu verneinen sein sollte, weil die Antwort des Gerichtshofs für das vorlegende Gericht ausreichend wäre, um den bei ihm anhängigen Rechtsstreit zu entscheiden. Unter diesen Umständen halte ich es für angebracht, meine Würdigung der Vorlagefragen mit dieser zweiten Frage zu beginnen.
A. Zweite Vorlagefrage
33. Mit seiner zweiten Vorlagefrage möchte das vorlegende Gericht im Wesentlichen wissen, ob die Daten der Kunden eines Apothekers, die bei der Bestellung von apothekenpflichtigen, nicht aber verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, „Gesundheitsdaten“ im Sinne von Art. 9 Abs. 1 DSGVO sind.
34. Ich muss gleich zu Beginn klarstellen, dass der in Art. 9 Abs. 1 DSGVO verwendete Begriff „Gesundheitsdaten“ in Art. 4 Nr. 15 DSGVO definiert wird. Die Antwort auf die zweite Vorlagefrage setzt daher eine gemeinsame Auslegung dieser beiden Bestimmungen voraus.
1. Zur Auslegung des Begriffs „Gesundheitsdaten“ im Licht der bestehenden Rechtsprechung
35. Gemäß Art. 4 Nr. 15 DSGVO sind „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
36. Diese Definition wird außerdem durch den 35. Erwägungsgrund der DSGVO gestützt. Der Gerichtshof hat in seiner Rechtsprechung darauf hingewiesen, dass „es [darin] heißt, dass zu den personenbezogenen Gesundheitsdaten … alle Daten zählen sollten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person ‚hervorgehen‘“(9).
37. Aus dem Wortlaut von Art. 4 Nr. 15 DSGVO, der im 35. Erwägungsgrund der DSGVO näher erläutert wird, ergibt sich daher, dass das entscheidende Merkmal für die Feststellung, dass bestimmte personenbezogene Daten Gesundheitsdaten sind, der Umstand ist, dass aus den betreffenden Daten Rückschlüsse auf den Gesundheitszustand der betroffenen Person gezogen werden können. Die „Gesundheitsdaten“ beschränken sich mit anderen Worten nicht auf medizinische Daten oder Daten, die sich unmittelbar auf Gesundheitsprobleme beziehen, sondern umfassen auch alle Daten, die Rückschlüsse auf den Gesundheitszustand der betroffenen Person zulassen, unabhängig davon, ob es sich dabei um einen pathologischen oder physiologischen Zustand handelt.
38. Dies findet seine Bestätigung im Licht des in Art. 9 DSGVO verfolgten Ziels. So hat der Gerichtshof in seiner Rechtsprechung betont, dass der Zweck dieser Bestimmung darin besteht, einen erhöhten Schutz gegen Verarbeitungen zu gewährleisten, die, wie sich aus dem 51. Erwägungsgrund der DSGVO ergibt, aufgrund der besonderen Sensibilität der betreffenden Daten einen besonders schweren Eingriff in die durch die Art. 7 und 8 der Charta der Grundrechte der Europäischen Union garantierten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen können(10).
39. Die besondere Sensibilität von Gesundheitsdaten erklärt sich nämlich aus der Tatsache, dass sie sich auf Informationen beziehen, die in den intimsten Bereich der Menschen fallen und ihre Anfälligkeit offenbaren können. Diese besondere Sensibilität und folglich ihre besondere Schutzbedürftigkeit werden im Übrigen nicht nur im Unionsrecht, sondern auch in der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte anerkannt, der ausführt, dass „die Wahrung der Vertraulichkeit von Informationen über die Gesundheit einen wesentlichen Grundsatz des Rechtssystems aller Vertragsparteien der [Europäischen] Konvention [zum Schutz der Menschenrechte und Grundfreiheiten, unterzeichnet am 4. November 1950 in Rom] darstellt“(11).
40. Im Licht dieses Ziels ist es daher nach der Rechtsprechung des Gerichtshofs wichtig, den Begriff der „besonderen Kategorien personenbezogener Daten“, zu denen die Gesundheitsdaten gehören, weit auszulegen, so dass er nicht nur ihrem Wesen nach sensible Daten umfasst, sondern auch Daten, aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben(12).
41. In diesem Zusammenhang weise ich darauf hin, dass der Europäische Datenschutzausschuss, der durch die Art. 68 ff. DSGVO eingesetzt wurde, ebenfalls eine solche Auffassung des Begriffs „Gesundheitsdaten“ vertritt, indem er ausführt, dass nicht nur die eigentliche Natur der Informationen ausschlaggebend dafür sei, ob diese als „Gesundheitsdaten“ einzustufen seien, sondern auch die Umstände, unter denen sie erhoben und verarbeitet würden, und hierfür verschiedene Beispiele anführt. Nach Auffassung des Europäischen Datenschutzausschusses gehören zu den „Gesundheitsdaten“ Informationen, die in einer Patientenakte erfasst sind, Informationen, die den Gesundheitszustand durch die Verknüpfung mit anderen Daten offenlegen, oder auch Daten, die aufgrund ihrer Nutzung in einem bestimmten Kontext zu Gesundheitsdaten werden, wie z. B. Informationen zu einer Reise, die von medizinischem Personal zu Diagnosezwecken verarbeitet werden(13). Dagegen stellen Daten, die von einer Anwendung erhoben werden, die die von der betroffenen Person zurückgelegten Schritte zählt, keine „Gesundheitsdaten“ dar, wenn die Anwendung diese Daten nicht mit anderen Daten dieser Person verknüpfen kann und die erhobenen Daten nicht in einem medizinischen Kontext verarbeitet werden(14).
42. Aus Art. 4 Nr. 15 und Art. 9 DSGVO in ihrer Auslegung durch die Rechtsprechung geht daher eindeutig hervor, dass als „Gesundheitsdaten“ im Sinne dieser Bestimmungen Daten anzusehen sind, die geeignet sind, Rückschlüsse auf den Gesundheitszustand der betroffenen Person zuzulassen.
43. Ich stelle daher fest, dass sich auf den ersten Blick nicht leugnen lässt, dass die Online-Bestellung nicht verschreibungspflichtiger Arzneimittel die Verarbeitung von Daten voraussetzt, aus denen bestimmte Informationen über die Gesundheit abgeleitet werden können oder die zumindest bestimmte Hinweise auf die Gesundheit geben, da diese Bestellung eine Verbindung zwischen dem Kauf eines Arzneimittels, eines gesundheitsbezogenen Produkts par excellence, und der Identität des Käufers herstellt. Aus den Gründen, die ich im Folgenden darlegen werde, ergibt sich jedoch meines Erachtens aus den Informationen, die das vorlegende Gericht dem Gerichtshof übermittelt hat, dass diese Verbindung zu schwach ist und dass die Indizien, die sich daraus ableiten lassen, zu ungenau oder hypothetisch sind, um die in Rede stehenden Daten als „Gesundheitsdaten“ im Sinne von Art. 4 Nr. 15 und Art. 9 DSGVO einstufen zu können.
2. Zum Erfordernis eines Mindestmaßes an Gewissheit der Schlussfolgerungen, die über den Gesundheitszustand einer betroffenen Person gezogen werden können
44. Zur Auslegung des Begriffs „Gesundheitsdaten“ im Besonderen und des Begriffs „besondere Kategorien [von] Daten“ im Allgemeinen muss ich einige Klarstellungen vornehmen.
45. Zum einen dürfte auf der Grundlage dieser Auslegungskriterien ein online bestelltes Produkt als geeignet angesehen werden können, allgemeine Informationen über den Gesundheitszustand einer Person zu offenbaren, aber auch, wie aus Art. 9 DSGVO hervorgeht, Informationen über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die sexuelle Orientierung einer Person. Meines Erachtens lassen sich aus den online bestellten Waren bestimmte Informationen über diese verschiedenen Merkmale der betroffenen Person ableiten.
46. Für diese Ansicht kann ich mehrere Beispiele anführen. Die Bestellung eines Buchs einer politischen Persönlichkeit kann auf eine Zustimmung zu den von ihr vertretenen Ideen schließen lassen, die Bestellung eines Kleidungsstücks kann ein Zeichen für die religiösen Überzeugungen einer Person sein, oder die Bestellung von Erotikartikeln kann ein Hinweis auf die sexuelle Orientierung einer Person sein. Sofern nicht ein sehr großer Teil der Datenverarbeitung im Online-Handel der Regelung in Art. 9 Abs. 2 DSGVO unterworfen werden soll, scheint es mir daher notwendig, die Auslegung des Begriffs „Gesundheitsdaten“ in dem Sinne weiter zu verfeinern, dass die Schlussfolgerungen, die aus den Daten einer Bestellung gezogen werden können, nicht lediglich potenziell sein dürfen. Mit anderen Worten dürfen die Informationen, die aus den in Rede stehenden Daten in Bezug auf den Gesundheitszustand der betroffenen Person hervorgehen, meines Erachtens keine bloßen Vermutungen sein, sondern müssen ein Mindestmaß an Gewissheit bieten.
47. Zum anderen bin ich der Meinung, dass es – abgesehen von den Fällen, in denen die Daten schon ihrer Natur nach „Gesundheitsdaten“ sind – von den Umständen des jeweiligen Falls abhängt, ob Daten in diese Kategorie eingestuft werden können. Genauer gesagt scheinen mir die Schlussfolgerungen, die aus diesen Daten gezogen werden können, vom Kontext, in dem sie gesammelt werden, und von der Art und Weise, wie sie verarbeitet werden, abhängig zu sein. Wie der durch die Art. 68 ff. DSGVO eingesetzte Europäische Datenschutzausschuss ausführt, können Daten, die auf den ersten Blick nicht zum medizinischen Bereich gehören, wie z. B. Reiseinformationen, dennoch als „Gesundheitsdaten“ anzusehen sein, wenn sie in einem medizinischen Kontext analysiert und mit anderen Informationen verknüpft werden, um im genannten Beispiel eine potenzielle Ansteckung mit einem Bakterium oder Virus festzustellen, das in einer bestimmten Region verbreitet ist.
48. Insbesondere weise ich darauf hin, dass die Identität des für die Datenverarbeitung Verantwortlichen in diesem Zusammenhang besonders relevant ist. Wenn die Daten nämlich von einer Stelle im Gesundheitsbereich verarbeitet werden, kann dies meines Erachtens ein Indiz dafür sein, dass es sich bei diesen Daten tatsächlich um „Gesundheitsdaten“ handelt. Dagegen könnten dieselben Daten aufgrund der Tatsache, dass sie nicht von einer Einrichtung des Gesundheitswesens verarbeitet werden und nicht mit anderen Daten der betroffenen Person verknüpft werden können, anders einzustufen sein. Mit anderen Worten können ein und dieselben Daten mehr Informationen über den Gesundheitszustand einer Person offenbaren, wenn sie von einer Einrichtung des Gesundheitswesens verarbeitet werden, die kompetent ist, sie zu interpretieren, oder die über weitere diese Person betreffende Daten verfügt, als wenn sie von einer Stelle außerhalb des Gesundheitswesens verarbeitet werden.
49. Unter diesen Umständen bin ich der Auffassung, dass es Sache des vorlegenden Gerichts ist, sowohl den Inhalt der in Rede stehenden Daten als auch sämtliche Umstände ihrer Verarbeitung zu prüfen, um festzustellen, ob aus ihnen mit einem gewissen Grad an Sicherheit Informationen über den Gesundheitszustand der betroffenen Person abgeleitet werden können.
50. In Anbetracht der in der Entscheidung des vorlegenden Gerichts enthaltenen Angaben halte ich es jedoch für möglich, ihm zweckdienliche Hinweise für die Entscheidung im Ausgangsverfahren zu geben(15).
3. Zu den Gesichtspunkten, die für die vom vorlegenden Gericht vorzunehmende Prüfung der Möglichkeit, Informationen über den Gesundheitszustand einer betroffenen Person abzuleiten, relevant sind
51. Erstens weise ich in Bezug auf die Produkte, die Gegenstand der Bestellung sind, darauf hin, dass die in Rede stehenden Arzneimittel, d. h. solche, die nicht verschreibungspflichtig sind, grundsätzlich nicht auf die Behandlung eines bestimmten Krankheitszustands abzielen, sondern allgemeiner zur Behandlung von Alltagsbeschwerden verwendet werden können, die bei jedem auftreten können und nicht für eine bestimmte Krankheit oder einen bestimmten Gesundheitszustand symptomatisch sind. Darüber hinaus werden diese Arzneimittel auch häufig vorsorglich gekauft, um sie im Bedarfsfall zur Verfügung zu haben, z. B. vor Antritt einer Reise zu einem vom gewöhnlichen Aufenthaltsort entfernten Ziel. Beispielsweise lässt eine Bestellung von Paracetamol keine Rückschlüsse auf den genauen Zustand einer Person zu, weil dieser Wirkstoff zur Behandlung einer Vielzahl von Schmerzen und Fieberzuständen indiziert ist und häufig zu den Medikamenten gehört, die Menschen auch ohne besonderen Bedarf zu Hause haben.
52. Zweitens bedeutet – wie ND ausführt – die Tatsache, dass eine Person online ein nicht verschreibungspflichtiges Arzneimittel bestellt, nicht zwangsläufig, dass diese Person, deren Daten verarbeitet werden, und nicht eine andere Person in ihrem Haushalt oder ihrem Umfeld das Medikament anwenden wird. Es kommt nämlich häufig vor, dass eine Bestellung auf einer Online-Verkaufsseite von einer Person, die ein Konto auf dieser Seite hat, im Namen und auf Rechnung einer Person getätigt wird, die kein Konto hat. Ohne eine Verschreibung, in der die Person, für die das Medikament bestimmt ist, namentlich genannt wird und aufgrund deren davon auszugehen ist, dass der Anwender des Medikaments und der Käufer ein und dieselbe Person sind, kann aus der Bestellung eines online frei zugänglichen Produkts nicht abgeleitet werden, dass dieses Produkt dazu bestimmt ist, vom Käufer und nur von diesem verwendet zu werden. Daraus folgt, dass sich über den Gesundheitszustand der Person, deren Daten verarbeitet werden, vernünftigerweise keine Schlussfolgerungen aus diesen Daten mit der Folge ziehen lassen, dass sie als „Gesundheitsdaten“ eingestuft werden könnten.
53. Dies gilt umso mehr, als drittens – vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen – eine Person eine Bestellung über das Internet aufgeben kann, ohne genaue Angaben zu ihrer Identität machen zu müssen, insbesondere wenn die Lieferung des Produkts nicht an die Adresse der betreffenden Person, sondern über eine Abgabestelle erfolgt und keine weiteren Angaben zur bürgerlichen Identität für Rechnungszwecke erforderlich sind.
54. Ich bin daher der Auffassung, dass die zweite Vorlagefrage dahin zu beantworten ist, dass die Daten der Kunden eines Apothekers, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, keine „Gesundheitsdaten“ im Sinne von Art. 4 Nr. 15 und Art. 9 DSGVO darstellen, weil aus ihnen nur hypothetische oder ungenaue Rückschlüsse auf den Gesundheitszustand der Person, die die Online-Bestellung vornimmt, gezogen werden können, was zu überprüfen Sache des vorlegenden Gerichts ist.
55. Im Übrigen muss ich noch darauf hinweisen, dass eine Auslegung des Begriffs „Gesundheitsdaten“ dahin gehend, dass er auch Daten umfasst, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln über eine Online-Verkaufsplattform übermittelt werden, meines Erachtens paradoxerweise dazu führen kann, dass aufgrund des verstärkten Schutzsystems nach Art. 9 Abs. 2 DSGVO mehr sensible Informationen offengelegt werden. Das Erfordernis einer ausdrücklichen Einwilligung in die Verarbeitung von Daten, die bereits als sensibel identifiziert wurden, könnte den Käufer nämlich letztlich dazu veranlassen, die Identität des Endnutzers des Produkts preiszugeben. In diesem Fall könnten sicherere Schlussfolgerungen über den Gesundheitszustand dieser Person gezogen werden.
B. Erste Vorlagefrage
56. In Anbetracht der von mir vorgeschlagenen Antwort auf die zweite Vorlagefrage halte ich es nicht für erforderlich, die erste Vorlagefrage zu beantworten. Der Vollständigkeit halber und unter Berücksichtigung der Beurteilung, die das vorlegende Gericht vorzunehmen hat, werde ich gleichwohl auch diese Frage prüfen, mit der das vorlegende Gericht im Wesentlichen wissen möchte, ob die Bestimmungen des Kapitels VIII der DSGVO dahin auszulegen sind, dass sie nationalen Vorschriften entgegenstehen, die Unternehmen das Recht einräumen, sich auf der Grundlage des Verbots unlauterer Wettbewerbshandlungen darauf zu berufen, dass ihre Mitbewerber gegen materielle Bestimmungen der DSGVO verstoßen hätten.
57. Die Parteien haben auf diese Frage diametral entgegengesetzte Antworten gegeben. Einerseits sind die Kommission und ND der Ansicht, das durch die Bestimmungen des Kapitels VIII der DSGVO eingeführte System von Rechtsbehelfen sei im Licht der Ziele dieser Verordnung als ein erschöpfendes System zu verstehen, das jede Möglichkeit für die Mitgliedstaaten ausschließe, im nationalen Recht alternative Rechtsbehelfe vorzusehen.
58. Andererseits soll das durch die Bestimmungen des Kapitels VIII der DSGVO eingeführte System von Rechtsbehelfen nach Ansicht der deutschen Regierung als ein Mindestbestand von Rechtsbehelfen zu verstehen sein, der von den Mitgliedstaaten ergänzt werden könne. Der nicht erschöpfende Charakter eines solchen Systems sei dadurch gerechtfertigt, dass die DSGVO auch darauf abziele, die Wettbewerbsbedingungen zu schützen und Verzerrungen zu verhindern, die sich aus unterschiedlichen Niveaus des Datenschutzes ergeben könnten, und dass die Möglichkeit für einen Mitbewerber, sich auf die Verletzung der materiellen Bestimmungen der DSGVO durch einen anderen Wettbewerber zu berufen, die Durchsetzungskraft dieser Verordnung erhöhe.
59. Somit haben die Parteien in ihren Stellungnahmen auf die Frage abgestellt, ob das in der DSGVO vorgesehene System von Rechtsbehelfen als ein System abschließender Harmonisierung anzusehen ist, wovon nach ihrer Auffassung abhängt, ob die Mitgliedstaaten die Möglichkeit haben, in ihrem nationalen Recht alternative Rechtsbehelfe zu den durch diese Verordnung eingeführten Rechtsbehelfen vorzusehen.
60. Auch wenn die Klärung der Frage, ob das System der Rechtsbehelfe erschöpfend ist oder nicht, einen relevanten Gesichtspunkt für eine sachdienliche Beantwortung der ersten Vorlagefrage darstellt, halte ich es aus den Gründen, die ich im Folgenden darlegen werde, gleichwohl für erforderlich, bei einer solchen Analyse zunächst die zugrunde liegende Frage zu prüfen, wie die Personen zu bestimmen sind, die den durch die materiellen und verfahrensrechtlichen Normen der DSGVO gewährten Schutz genießen. Für den Fall, dass die für die Datenverarbeitung verantwortlichen Unternehmen als Inhaber von durch die DSGVO gewährten Rechten anzusehen sind, bin ich nämlich der Auffassung, dass diese Verordnung so ausgelegt werden sollte, dass sie vom nationalen Recht die Bereitstellung von Rechtsbehelfen zur Durchsetzung dieser Rechte verlangt. Ich werde meine Analyse daher mit diesem Aspekt beginnen, bevor ich die Frage beantworte, ob das von der DSGVO eingeführte System von Rechtsbehelfen als ein erschöpfendes System in dem Sinne zu verstehen ist, dass es die nach nationalem Recht bestehende Möglichkeit eines Unternehmens ausschließt, eine auf der Grundlage des Verbots unlauterer Wettbewerbshandlungen erhobene Unterlassungsklage gegen einen Mitbewerber zu erheben, indem es sich darauf beruft, dass dieser gegen die Bestimmungen der DSGVO verstoßen habe.
1. Bestimmung der Inhaber der durch die DSGVO gewährten Rechte
61. Ich werde mich zunächst auf die Notwendigkeit einer solchen Bestimmung konzentrieren, diese dann vornehmen und schließlich darlegen, wie sich die Bestimmung der betroffenen Personen als einzige Nutznießer der durch die DSGVO gewährten Rechte auf die Beantwortung der ersten Vorlagefrage auswirkt.
a) Zur Notwendigkeit, die Inhaber der durch die DSGVO geschützten Rechte zu bestimmen
62. Die Notwendigkeit, zur Beantwortung der Vorlagefrage zunächst die Inhaber der durch die DSGVO geschützten Rechte zu bestimmen, bevor die Frage behandelt wird, ob das durch diese Verordnung eingeführte System von Rechtsbehelfen erschöpfend ist, ergibt sich meines Erachtens in zweifacher Hinsicht.
1) Die Verpflichtung der Mitgliedstaaten, Rechtsbehelfe zur Durchsetzung eines sich aus dem Unionsrecht ergebenden Rechts vorzusehen
63. Ich weise darauf hin, dass das Unionsrecht nach ständiger Rechtsprechung ebenso, wie es den Einzelnen Pflichten auferlegt, auch dazu bestimmt ist, ihnen Rechte zu verleihen, die Teil ihres rechtlichen Besitzstands werden(16), wobei der Gerichtshof insoweit betont, dass solche Rechte u. a. aufgrund von Verpflichtungen entstehen, die dem Einzelnen wie auch den Mitgliedstaaten und den Organen der Union auferlegt werden(17). Jede Verpflichtung, die einer natürlichen oder juristischen Person auferlegt wird, hat nämlich in der Regel die damit verbundene Wirkung, einer anderen Person ein Recht zu gewähren.
64. Außerdem steht fest, dass jedes Recht, das einem Einzelnen durch das Unionsrecht verliehen wird, mit einem Rechtsbehelf einhergeht, der gerade auf die Durchsetzung dieses Rechts abzielt, wobei es in Ermangelung spezifischer unionsrechtlicher Vorschriften, die diesem Zweck dienen, Sache der Mitgliedstaaten ist, die Achtung der in Rede stehenden Rechte im Rahmen von Rechtsbehelfen des innerstaatlichen Rechts sicherzustellen(18). Aus der Rechtsprechung geht nämlich eindeutig hervor, dass die nationalen Gerichte die Rechte schützen müssen, die das Unionsrecht dem Einzelnen verleiht(19).
65. Wenn die DSGVO, wie die deutsche Regierung geltend macht, so ausgelegt werden sollte, dass sie über die betroffenen Personen hinaus die Wettbewerbsbedingungen auf dem Markt und damit letztlich die Unternehmen schützt, müsste diese Verordnung so verstanden werden, dass sie Rechte erzeugt, die Teil des rechtlichen Besitzstands dieser Unternehmen werden(20).
66. Unter diesen Umständen sollte die Durchsetzung der Rechte, die die Unternehmen aus der DSGVO herleiten können, in Ermangelung ausdrücklicher Bestimmungen des Unionsrechts, die diesem Zweck dienen, im Rahmen der von den Mitgliedstaaten vorgesehenen Rechtsbehelfe sichergestellt werden können.
67. Daraus würde sich – ohne dass auf die Frage eingegangen werden müsste, ob das durch die DSGVO eingeführte System von Rechtsbehelfen erschöpfend ist oder nicht – ergeben, dass die erste Vorlagefrage dahin zu beantworten wäre, dass Kapitel VIII dieser Verordnung nicht nur dahin auszulegen ist, dass es den Mitgliedstaaten nicht verwehrt, die Möglichkeit vorzusehen, dass ein Mitbewerber gegen ein anderes Unternehmen klagt, indem er sich auf einen Verstoß gegen die DSGVO beruft, sondern vielmehr dahin, dass es sogar verlangt, dass die Einhaltung der Bestimmungen dieser Verordnung im Rahmen einer Klage eines Unternehmens gegen einen Mitbewerber, der sich auf einen Verstoß des Wettbewerbers gegen diese Verordnung beruft, sichergestellt werden kann(21).
68. Die Antwort auf die erste Vorlagefrage ist daher meines Erachtens in der Tat von der Bestimmung der Inhaber der von der DSGVO verliehenen Rechte abhängig.
2) Die zweifache Dimension des erschöpfenden Charakters eines Systems von Rechtsbehelfen
69. Schon der Begriff „erschöpfender Charakter eines Systems von Rechtsbehelfen“ kann zwei verschiedene Dimensionen umfassen, die jeweils unterschiedlich analysiert werden müssen und es erfordern, zunächst die Personen zu bestimmen, die Inhaber der Rechte sind, deren Einhaltung durch ein solches System gewährleistet wird.
70. Die erste Dimension betrifft den erschöpfenden Charakter des Systems von Rechtsbehelfen gegenüber allen anderen Rechtsbehelfen, die zum Schutz desselben Rechts bestimmt sind. Es geht mit anderen Worten um den erschöpfenden Charakter der Rechtsbehelfe, die das Unionsrecht für den Schutz der Rechte vorsieht, die seine Normen Einzelpersonen gewähren. Der Gerichtshof hat sich in seiner Rechtsprechung bereits zu den Auswirkungen des erschöpfenden Charakters der im Unionsrecht vorgesehenen Rechtsbehelfe für den Schutz eines im Unionsrecht selbst vorgesehenen Rechts geäußert. So hat er z. B. in ständiger Rechtsprechung entschieden, dass eine durch das Unionsrecht umfassend harmonisierte Haftungsregelung dennoch neben einer alternativen Haftungsregelung nach nationalem Recht bestehen kann, die auf demselben Sachverhalt und derselben Grundlage beruht, sofern diese alternative Regelung das harmonisierte System nicht beschädigt und dessen Ziele und praktische Wirksamkeit nicht beeinträchtigt(22). Allein der erschöpfende Charakter eines im Unionsrecht vorgesehenen Systems von Rechtsbehelfen reicht daher nicht aus, um die Möglichkeit eines Mitgliedstaats auszuschließen, im nationalen Recht einen alternativen Rechtsbehelf vorzusehen, der sich auf dasselbe Recht stützt, sofern bestimmte Bedingungen erfüllt sind.
71. Die zweite Dimension des Begriffs „erschöpfender Charakter eines [im Unionsrecht vorgesehenen] Systems von Rechtsbehelfen“ ist weiter gefasst und betrifft den Ausschluss jedes anderen Rechtsbehelfs, der von Personen eingelegt wird, die nicht unmittelbar Inhaber von durch das Unionsrecht verliehenen Rechten sind, sich aber dennoch im Rahmen eines im nationalen Recht vorgesehenen Rechtsbehelfs auf diese Rechte berufen. Eine solche Auffassung vom erschöpfenden Charakter eines durch das Unionsrecht eingeführten Systems von Rechtsbehelfen erfordert daher eine andere Analyse(23).
72. Auch hier kommt es somit für eine sachgerechte Prüfung der Frage, ob das in der DSGVO vorgesehene System von Rechtsbehelfen erschöpfend ist oder nicht, darauf an, zunächst die Inhaber der durch diese Verordnung gewährten Rechte zu bestimmen, was ich in den folgenden Ausführungen tun werde.
b) Zur Bestimmung der Inhaber der durch die DSGVO geschützten Rechte
73. Der persönliche Geltungsbereich des von der DSGVO gewährten Schutzes muss meiner Ansicht nach im Licht sowohl der Ziele als auch des Inhalts der Verordnung bestimmt werden.
74. Was zunächst die Ziele der DSGVO betrifft, macht die deutsche Regierung insoweit geltend, dass diese Verordnung neben dem Ziel, ein hohes und gleichmäßiges Schutzniveau für natürliche Personen zu gewährleisten, auch darauf abziele, gleiche Wettbewerbsbedingungen zu schaffen.
75. Im 9. Erwägungsgrund der DSGVO wird zwar erwähnt, dass Unterschiede im Schutzniveau für das Recht auf Schutz personenbezogener Daten im Zusammenhang mit ihrer Verarbeitung den Wettbewerb verzerren können. Gleichwohl kann eine solche Klarstellung meiner Meinung nach nicht dahin gehend ausgelegt werden, dass die Gewährleistung eines freien und unverfälschten Wettbewerbs ein Ziel der DSGVO sei. Der Umstand, dass Unterschiede in den Rechtsvorschriften der Mitgliedstaaten in Bezug auf Standards, die für Unternehmen gelten, zu Wettbewerbsverzerrungen führen, scheint mir lediglich eine bloße Feststellung zu sein, die nicht nur für die DSGVO gilt. Sobald materielle Bestimmungen das Handeln von Unternehmen auf dem Markt in einem Mitgliedstaat strenger regeln als in einem anderen, führt dies zwangsläufig dazu, dass die im letzteren Mitgliedstaat tätigen Unternehmen gegenüber den im ersteren ansässigen Unternehmen einen gewissen Wettbewerbsvorteil haben, der durch jede Harmonisierungsvorschrift ausgeglichen werden kann.
76. Eine solche Auslegung wird meines Erachtens durch den Verweis im 9. Erwägungsgrund der DSGVO auf die Notwendigkeit bestätigt, „den unionsweiten freien Verkehr solcher Daten“ zu gewährleisten, der aufgrund der unterschiedlichen nationalen Rechtsrahmen potenziell gefährdet ist.
77. Darüber hinaus bezieht sich der 9. Erwägungsgrund der DSGVO, wie die Kommission in der mündlichen Verhandlung ausgeführt hat, nicht auf den Wettbewerb zwischen beliebigen Unternehmen, sondern in erster Linie auf den Wettbewerb zwischen Unternehmen in zwei verschiedenen Mitgliedstaaten, der durch unterschiedliche Rechtsrahmen ausgelöst wird. Es geht mit anderen Worten im Wesentlichen darum, gleiche Wettbewerbsbedingungen in den verschiedenen Mitgliedstaaten zu gewährleisten, indem Unternehmen harmonisierten Standards unterworfen werden, auch wenn diese Standards inzident dazu beitragen, dass kein Unternehmen einen Wettbewerbsvorteil gegenüber anderen Unternehmen in ein und demselben Mitgliedstaat genießt.
78. Die DSGVO verfolgt daher meiner Ansicht nach nicht das Ziel, einen freien und unverfälschten Wettbewerb innerhalb des Binnenmarkts zu gewährleisten.
79. Ferner stelle ich fest, dass keine der materiellen Bestimmungen der DSGVO darauf abzielt, einen freien und unverfälschten Wettbewerb zwischen Unternehmen zu gewährleisten und diese zu den Adressaten des Schutzes zu machen, den diese Verordnung einführt. Sie zielen im Gegenteil im Wesentlichen darauf ab, den für die Datenverarbeitung verantwortlichen Unternehmen Pflichten aufzuerlegen. Wie ich bereits erwähnt habe, trifft es zwar zu, dass jede Verpflichtung, die einer natürlichen oder juristischen Person auferlegt wird, notwendigerweise mit der Wirkung einhergeht, einer anderen Person ein Recht zu gewähren; die in Rede stehenden Rechte begünstigen jedoch nicht die Unternehmen, sondern allein die Personen, deren Daten von ihnen verarbeitet werden. Der Titel der DSGVO ist in dieser Hinsicht aufschlussreich, weil er sich nur auf den Schutz natürlicher Personen bezieht.
80. Was schließlich die Verfahrensbestimmungen des Kapitels VIII der DSGVO betrifft, weise ich erneut darauf hin, dass diese nur den betroffenen Personen und den mit ihrer Vertretung beauftragten Einrichtungen Rechtsbehelfe eröffnen. Diese Einschränkung der Personen, die nach den Bestimmungen der DSGVO befugt sind, vor Gericht eine Verletzung des Schutzes ihrer personenbezogenen Daten geltend zu machen, ist meines Erachtens ein klarer Hinweis darauf, dass sie die einzigen Adressaten dieses Schutzes sind. Nach meiner Auffassung wäre es nämlich inkonsequent, die DSGVO auch zu einem Instrument zum Schutz der Rechte von Wettbewerbern zu machen, ohne in dieser Verordnung Rechtsbehelfe vorzusehen, die es diesen Wettbewerbern ermöglichen, gegen eine Verletzung dieser Rechte zu klagen, obwohl solche Rechtsbehelfe ausdrücklich vorgesehen sind, soweit es um den Schutz der Rechte der betroffenen natürlichen Personen geht.
81. Daher bin ich der Ansicht, dass die Unternehmen nicht Adressaten des durch die DSGVO gewährten Schutzes sind, weil diese Verordnung nur den betroffenen Personen Rechte gewährt.
c) Zu den Auswirkungen der Auslegung der DSGVO als eine Norm, die nur die betroffenen Personen schützt
82. Die Auslegung der DSGVO dahin, dass die Bestimmungen dieser Verordnung nicht den Unternehmen, sondern allein den betroffenen Personen Rechte einräumen, lässt mich zu mehreren Schlussfolgerungen kommen.
83. Als Erstes schließt diese Auslegung, wie ich bereits erwähnt habe, meines Erachtens die Annahme aus, dass sichergestellt werden müsse, die Einhaltung der Bestimmungen der DSGVO im Rahmen einer Klage durchsetzen zu können, die ein Unternehmen gegen einen Mitbewerber erhebt, indem er sich darauf beruft, dieser habe gegen diese Bestimmungen verstoßen.
84. Als Zweites bin ich aufgrund der Beschränkung des Kreises der Begünstigten der durch die DSGVO gewährten Rechte auf die betroffenen Personen der Auffassung, dass die Rechtsprechung des Gerichtshofs zur Möglichkeit der Mitgliedstaaten, im nationalen Recht zusätzliche Rechtsbehelfe für die Inhaber dieser Rechte vorzusehen, sofern diese Rechtsbehelfe das harmonisierte System von Rechtsbehelfen nicht beschädigen und dessen Ziele nicht beeinträchtigen(24), nicht unmittelbar auf die vorliegende Situation übertragbar ist. Diese Rechtsprechung kann jedoch, wie ich noch ausführen werde, als Grundlage für die Analyse dieser Situation dienen.
85. Nach diesem Verständnis des Begriffs „erschöpfender Charakter eines Systems von Rechtsbehelfen“ kommt es nämlich darauf an, zu bestimmen, ob das durch die DSGVO eingeführte System von Rechtsbehelfen als ein erschöpfendes System in dem Sinne zu verstehen ist, dass es dem entgegensteht, dass im nationalen Recht andere als die in dieser Verordnung vorgesehenen Rechtsbehelfe zugunsten der betroffenen Personen eröffnet werden können.
86. Im Ausgangsverfahren geht es jedoch um eine Klage eines Unternehmens, das nicht zu den Inhabern der von der DSGVO gewährten Rechte gehört.
87. Unter diesen Umständen und in Anbetracht der Tatsache, dass die DSGVO den Unternehmen und ihren Wettbewerbern keine Rechte verleiht, bleibt allein die Frage relevant, ob das durch die DSGVO geschaffene System von Rechtsbehelfen als ein erschöpfendes System in dem Sinne zu verstehen ist, dass diese Verordnung auch ausschließt, dass Unternehmen einen Verstoß gegen ihre Bestimmungen im Rahmen von Rechtsbehelfen nach nationalem Recht geltend machen können, was ich nunmehr zu klären versuche.
2. Die Möglichkeit der Einlegung auf nationales Recht gestützter Rechtsbehelfe durch Personen, die nicht Inhaber der von der DSGVO gewährten Rechte sind
88. Die Frage, ob die Bestimmungen über das in der DSGVO vorgesehene System von Rechtsbehelfen dem entgegenstehen, dass Unternehmen einen Verstoß gegen die Bestimmungen dieser Verordnung im Rahmen von im nationalem Recht vorgesehenen Rechtsbehelfen geltend machen, erfordert meines Erachtens eine Antwort in zwei Schritten.
89. Die Beantwortung dieser Frage setzt nämlich zum einen voraus, zu prüfen, welche Möglichkeiten Unternehmen haben, sich auf die Bestimmungen der DSGVO zu berufen, obwohl sie nicht Inhaber der durch diese Bestimmungen gewährten Rechte sind, und zum anderen, zu untersuchen, wie die Wechselwirkung solcher Rechtsbehelfe mit dem in dieser Verordnung vorgesehenen System von Rechtsbehelfen ausgestaltet ist.
90. Was als Erstes die Frage betrifft, ob die Unternehmen sich auf die Bestimmungen der DSGVO berufen können, stelle ich fest, dass sich diese Frage im Rahmen von auf das nationale Recht gestützten Klagen wie der im Ausgangsverfahren in Rede stehenden nur inzident stellt. Genauer gesagt erhebt das Unternehmen eine Klage auf der Grundlage des nationalen Rechts, nämlich des Verbots unlauterer Wettbewerbshandlungen. Die Unlauterkeit der in Rede stehenden Handlung soll sich insoweit aus einem Verstoß gegen die DSGVO ergeben. Die Klage stützt sich mit anderen Worten nicht auf die Verletzung der Bestimmungen der DSGVO, sondern macht eine solche Verletzung nur inzident geltend(25).
91. Eine solche inzidente Berücksichtigung wurde jedoch bereits vom Gerichtshof zugelassen, wenn auch in einem anderen Kontext. Im Urteil Meta Platforms u. a. (Allgemeine Nutzungsbedingungen eines sozialen Netzwerks) hat der Gerichtshof nämlich festgestellt, dass eine mit der DSGVO nicht zu vereinbarende Datenverarbeitung durch ein Unternehmen in beherrschender Stellung einen Missbrauch dieser Stellung darstellen kann(26) und dass es generell notwendig ist, die „Vorschriften über den Schutz personenbezogener Daten [in den] rechtlichen Rahmen [einzubeziehen], den die Wettbewerbsbehörden bei der Prüfung des Missbrauchs einer beherrschenden Stellung zu berücksichtigen haben“(27). Der Gerichtshof erkennt mit anderen Worten an, dass ein Verstoß gegen die Bestimmungen der DSGVO einen Verstoß gegen das Wettbewerbsrecht darstellen kann.
92. Obwohl diese Feststellung nicht im Rahmen eines Rechtsstreits zwischen Privatpersonen, sondern im Rahmen der Prüfung einer wettbewerbswidrigen Praxis durch eine nationale Wettbewerbsbehörde getroffen wurde, sehe ich keinen Grund, die Möglichkeit einer inzidenten Berücksichtigung des Verstoßes gegen die Bestimmungen der DSGVO allein auf diese Fallgestaltung zu beschränken.
93. Zum einen halte ich es nämlich, was das Wettbewerbsrecht betrifft, für erforderlich, sofern man eine solche Berücksichtigung im Bereich der öffentlichen Durchsetzung („public enforcement“) zulässt, dies auch für die private Durchsetzung und damit für zwischen Privatpersonen bestehende Rechtsstreitigkeiten zu ermöglichen, deren Hauptgrund nicht die Verletzung eines durch die DSGVO gewährten Rechts ist, es sei denn, man wäre hinzunehmen bereit, dass Privatpersonen keinen Ersatz für einen durch einen Verstoß gegen das Wettbewerbsrecht verursachten Schaden erhalten könnten, obwohl dieser Verstoß von einer Wettbewerbsbehörde festgestellt wurde.
94. Zum anderen kann der Schutz personenbezogener Daten, wie Generalanwalt Richard de la Tour ausgeführt hat, „Verästelungen … in anderen Bereichen, insbesondere im Arbeits‑, Wettbewerbs- oder Verbraucherschutzrecht“ haben(28). Dieser Einfluss der DSGVO auf andere Bereiche muss meines Erachtens dazu führen, die Berücksichtigung der Bestimmungen dieser Verordnung im Rahmen von Rechtsbehelfen zuzulassen, die in erster Linie auf Bestimmungen gestützt werden, die mit der DSGVO nichts zu tun haben.
95. Was als Zweites die Frage der Wechselwirkung von nationalen Rechtsbehelfen, bei denen die Bestimmungen der DSGVO inzident berücksichtigt werden, mit dem durch diese Verordnung eingeführten System von Rechtsbehelfen betrifft, bin ich der Auffassung, dass solche Rechtsbehelfe nur unter der Bedingung zugelassen werden sollten, dass sie das Rechtsbehelfssystem dieser Verordnung oder die Erreichung ihrer Ziele nicht beeinträchtigen.
96. Diese Bedingungen sind in der Rechtsprechung zum erschöpfenden Charakter eines harmonisierten Systems von Rechtsbehelfen gegenüber auf demselben Recht beruhenden nationalen Rechtsbehelfen entwickelt worden(29). Sie müssen daher meines Erachtens erst recht erfüllt sein, wenn es um nationale Vorschriften geht, die Unternehmen das Recht einräumen, einen Rechtsbehelf nicht auf der Grundlage desselben Rechts, sondern auf der Grundlage des nationalen Rechts einzulegen und sich dabei dennoch auf Verstöße gegen die materiellen Bestimmungen der DSGVO durch ein anderes Unternehmen zu berufen.
97. Es ist daher zu prüfen, ob diese Bedingungen im vorliegenden Fall erfüllt sind.
98. Was zunächst die Frage betrifft, ob eine Unterlassungsklage, die ein Unternehmen gegen einen Mitbewerber mit der Begründung erhebt, dieser habe gegen die Bestimmungen der DSGVO verstoßen, das in Kapitel VIII der DSGVO vorgesehene System von Rechtsbehelfen beeinträchtigt, bin ich der Ansicht, dass dies nicht der Fall ist. Diese Rechtsbehelfe ermöglichen es nämlich den betroffenen Personen oder den von ihnen beauftragten Einrichtungen, Organisationen oder Verbänden ohne Gewinnerzielungsabsicht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen (Art. 77), einen Rechtsbehelf gegen einen Beschluss einer Aufsichtsbehörde einzulegen (Art. 78), Klage gegen einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter zu erheben (Art. 79) oder von dem Verantwortlichen oder dem Auftragsverarbeiter Schadenersatz wegen eines Verstoßes gegen die Verordnung zu erhalten (Art. 82).
99. Kapitel VIII der DSGVO regelt mit anderen Worten, wie der Gerichtshof in seiner Rechtsprechung ausführt, „die Rechtsbehelfe, mit denen die Rechte der betroffenen Person geschützt werden können, wenn die sie betreffenden personenbezogenen Daten Gegenstand einer Verarbeitung gewesen sind, die mutmaßlich gegen die Bestimmungen dieser Verordnung verstößt“, wobei der Schutz dieser Rechte „entweder unmittelbar von der betroffenen Person oder von einer befugten Einrichtung – mit oder ohne entsprechenden Auftrag – … beansprucht werden [kann]“(30).
100. Unter diesen Umständen beruht die Klage, die ein Unternehmen gegen einen Mitbewerber erheben könnte, indem es sich darauf beruft, dieser habe gegen die DSGVO verstoßen, zwar letztlich auf der Verletzung derselben Bestimmung, verfolgt aber nicht dasselbe Ziel und betrifft nicht dieselben Parteien. Ein solcher vom nationalen Recht vorgesehener Rechtsbehelf ist mit anderen Worten nicht darauf ausgelegt, die Durchsetzung der Rechte zu gewährleisten, die den betroffenen Personen zuerkannt werden.
101. Daraus folgt meines Erachtens, dass die Rechtsbehelfe, die das von der DSGVO eingeführte System von Rechtsbehelfen den betroffenen Personen eröffnet, erhalten bleiben und selbst im Fall der Klage eines Unternehmens gegen einen Mitbewerber immer noch in Anspruch genommen werden können.
102. Insoweit möchte ich auch darauf hinweisen, dass ich nicht zu erkennen vermag, inwiefern solche Rechtsbehelfe, wie die Kommission geltend macht, das durch die DSGVO geschaffene öffentliche System der Rechtsdurchsetzung gefährden könnten, da diese Verordnung neben einem solchen öffentlichen System bereits ausdrücklich die Möglichkeit vorsieht, dass eine betroffene Person ihre Rechte aus der DSGVO im Rahmen von Gerichtsverfahren geltend machen kann.
103. Was sodann die mit der DSGVO verfolgten Ziele betrifft, geht aus dem 10. Erwägungsgrund dieser Verordnung hervor, dass diese insbesondere darauf abzielt, sowohl ein hohes Schutzniveau für natürliche Personen als auch eine gleichmäßige und einheitliche Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten.
104. Meines Erachtens wird keines dieser Ziele dadurch gefährdet, dass einem Unternehmen die Möglichkeit geboten wird, gegen einen Mitbewerber eine Unterlassungsklage auf der Grundlage des Verbots unlauterer Wettbewerbshandlungen zu erheben, indem es sich darauf beruft, dieser habe gegen die Bestimmungen der DSGVO verstoßen. Zum einen dürfte das hohe Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten durch die einem Unternehmen eingeräumte erweiterte Möglichkeit, sich auf eine Verletzung der materiellen Bestimmungen der DSGVO durch einen Mitbewerber zu berufen, erreicht oder sogar verstärkt werden. Zum anderen wird die Verwirklichung des Ziels, einen gleichmäßigen und einheitlichen Schutz innerhalb der Union zu gewährleisten, durch die auch anderen als nur den betroffenen Personen eingeräumte Möglichkeit, sich auf diese Bestimmungen zu berufen, nicht gefährdet. Selbst wenn einzelne Mitgliedstaaten eine solche Möglichkeit nicht vorsähen, würde dies nämlich nicht zu einer Fragmentierung der Umsetzung des Datenschutzes in der Union führen, weil die materiellen Bestimmungen der DSGVO für alle Unternehmen gleichermaßen verbindlich sind und ihre Einhaltung durch die in dieser Verordnung vorgesehenen Rechtsbehelfe sichergestellt wird.
105. Was schließlich die praktische Wirksamkeit der DSGVO betrifft, die durch die einem Unternehmen eingeräumte Möglichkeit, unter Berufung auf einen Verstoß gegen die DSGVO eine Unterlassungsklage gegen einen Mitbewerber zu erheben, in keiner Weise in Frage gestellt wird, bin ich, wie bereits erwähnt, der Ansicht, dass diese Wirksamkeit durch den Umstand verstärkt wird, dass die Einhaltung der Bestimmungen dieser Verordnung auch im Rahmen von Gerichtsverfahren sichergestellt werden kann, die sich von denen unterscheiden, die in dem durch diese Verordnung eingeführten System von Rechtsbehelfen vorgesehen sind.
106. Unter diesen Umständen bin ich der Auffassung, dass eine Unterlassungsklage, die ein Unternehmen gegen einen Mitbewerber erhebt, indem es sich darauf beruft, dieser habe gegen die Bestimmungen der DSGVO verstoßen, neben den durch Kapitel VIII der DSGVO eröffneten Rechtsbehelfen bestehen kann, weil sie diese nicht beeinträchtigt und die Ziele und die praktische Wirksamkeit dieser Verordnung nicht gefährdet.
107. Daher schlage ich dem Gerichtshof vor, zu entscheiden, dass die Bestimmungen von Kapitel VIII der DSGVO nationalen Vorschriften nicht entgegenstehen, die den Unternehmen das Recht einräumen, sich auf der Grundlage des Verbots von Handlungen unlauteren Wettbewerbs darauf zu berufen, dass ihre Mitbewerber gegen die materiellen Bestimmungen der DSGVO verstoßen hätten.
V. Ergebnis
108. Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen des Bundesgerichtshofs (Deutschland) wie folgt zu beantworten:
Art. 4 Nr. 15 und Art. 9 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
sind dahin auszulegen, dass
die Daten der Kunden eines Apothekers, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, keine „Gesundheitsdaten“ darstellen.