Foreløbig udgave
FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
M. SZPUNAR
fremsat den 25. april 2024 (1)
Sag C-21/23
ND
mod
DR
(anmodning om præjudiciel afgørelse indgivet af Bundesgerichtshof (forbundsdomstol, Tyskland))
»Præjudiciel forelæggelse – beskyttelse af personoplysninger – forordning (EU) 2016/679 – retsmidler – fastlæggelse af retsmidler – behandling af særlige kategorier af personoplysninger – begreberne »oplysninger om helbredsforhold« og »helbredsoplysninger««
I. Indledning
1. Den foreliggende sag vedrører fortolkningen af en række bestemmelser i forordning (EU) 2016/679 (2) (herefter »databeskyttelsesforordningen«) for så vidt angår dels det retsmiddelsystem, der er indført ved denne forordning, dels den kategori af særligt følsomme oplysninger, der omfatter »helbredsoplysninger«.
2. Anmodningen om præjudiciel afgørelse er fremsat i forbindelse med et negatorisk søgsmål, som en virksomhed har anlagt med støtte i det i national ret indeholdte forbud mod illoyale konkurrencehandlinger med henblik på at bringe en konkurrents forhandling af ikke-receptpligtige lægemidler på internettet til ophør. Den hævdede illoyale konkurrencehandling består ifølge denne virksomhed i manglende overholdelse af de krav med hensyn til behandling af »helbredsoplysninger«, som følger af databeskyttelsesforordningen.
3. Jeg vil indledningsvis behandle det andet præjudicielle spørgsmål, som giver Domstolen mulighed for at klarlægge rammerne for begrebet »helbredsoplysninger«, som afgør, om der skal anvendes en skærpet beskyttelsesordning.
4. Såfremt de oplysninger, der er omhandlet i den foreliggende sag, ikke kan kvalificeres som »helbredsoplysninger« som omhandlet i databeskyttelsesforordningens artikel 9, stk. 1, medfører dette nemlig, at den hævdede illoyale konkurrencehandling ikke foreligger. Det vil i så fald ikke være relevant at besvare det første præjudicielle spørgsmål, hvormed det ønskes oplyst, om det retsmiddelsystem, der er indført ved databeskyttelsesforordningen, tillader, at der i henhold til national ret anlægges sag for overtrædelse af reglerne om forbud mod illoyale konkurrencehandlinger under påberåbelse af en tilsidesættelse af de materielle bestemmelser i databeskyttelsesforordningen.
II. Retsforskrifter
A. EU-retten
1. Direktiv 95/46/EF
5. Artikel 8, stk. 1, i direktiv 95/46/EF (3) fastsætter:
»Medlemsstaterne forbyder behandling af personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold.«
2. Databeskyttelsesforordningen
6. 9., 10., 13., 35., 51. og 142. betragtning til databeskyttelsesforordningen har følgende ordlyd:
»(9) Målsætningerne og principperne i direktiv [95/46] er stadig gyldige, men direktivet har ikke forhindret en fragmentering af gennemførelsen af databeskyttelse i Unionen, manglende retssikkerhed eller en udbredt offentlig opfattelse af, at der er betydelige risici for beskyttelsen af fysiske personer, navnlig i forbindelse med onlineaktivitet. Forskelle i niveauet for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder, navnlig retten til beskyttelse af personoplysninger, i forbindelse med behandling af personoplysninger i medlemsstaterne, kan forhindre fri udveksling af personoplysninger i Unionen. Disse forskelle kan derfor udgøre en hindring for udøvelsen af en række økonomiske aktiviteter på EU-plan, virke konkurrenceforvridende og hindre myndighederne i at varetage de opgaver, de er pålagt i medfør af EU-retten. En sådan forskel i beskyttelsesniveauet skyldes forskelle i gennemførelsen og anvendelsen af direktiv [95/46].
(10) For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for Unionen bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. […]
[…]
(13) For at sikre et ensartet beskyttelsesniveau for fysiske personer i hele Unionen og for at hindre, at forskelle hæmmer den frie udveksling af personoplysninger på det indre marked, er der behov for en forordning for at skabe retssikkerhed og gennemsigtighed for erhvervsdrivende, herunder mikrovirksomheder og små og mellemstore virksomheder, at give fysiske personer i alle medlemsstaterne det samme niveau af rettigheder, som kan håndhæves, og forpligtelser og ansvar for dataansvarlige og databehandlere og at sikre konsekvent tilsyn med behandling af personoplysninger og tilsvarende sanktioner i alle medlemsstaterne samt effektivt samarbejde mellem tilsynsmyndighederne i de forskellige medlemsstater. […]
[…]
(35) Helbredsoplysninger bør omfatte alle personoplysninger om den registreredes helbredstilstand, som giver oplysninger om den registreredes tidligere, nuværende eller fremtidige fysiske eller mentale helbredstilstand. Dette omfatter oplysninger om den fysiske person indsamlet i løbet af registreringen af denne med henblik på eller under levering af sundhedsydelser, jf. [direktiv 2011/24/EU (4)], til den fysiske person; et nummer, symbol eller særligt mærke, der tildeles en fysisk person for entydigt at identificere den fysiske person til sundhedsformål; oplysninger, der hidrører fra prøver eller undersøgelser af en legemsdel eller legemlig substans, herunder fra genetiske data og biologiske prøver; og enhver oplysning om f.eks. en sygdom, et handicap, en sygdomsrisiko, en sygehistorie, en sundhedsfaglig behandling eller den registreredes fysiologiske eller biomedicinske tilstand uafhængigt af kilden hertil, f.eks. fra en læge eller anden sundhedsperson, et hospital, medicinsk udstyr eller in vitro-diagnostik.
[…]
(51) Personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da sammenhængen for behandling af dem kan indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. […] Sådanne personoplysninger bør ikke behandles, medmindre behandling er tilladt i specifikke tilfælde, der er fastsat i denne forordning, under hensyntagen til at medlemsstaternes nationale ret kan fastsætte specifikke bestemmelser om databeskyttelse for at tilpasse anvendelsen af reglerne i denne forordning med henblik på overholdelse af en retlig forpligtelse eller udførelse af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Foruden de specifikke krav til sådan behandling bør de generelle principper og andre regler i denne forordning finde anvendelse, navnlig for så vidt angår betingelserne for lovlig behandling. Der bør udtrykkelig gives mulighed for undtagelser fra det generelle forbud mod behandling af sådanne særlige kategorier af personoplysninger, bl.a. hvis den registrerede giver sit udtrykkelige samtykke eller for så vidt angår specifikke behov, navnlig hvis behandling foretages i forbindelse med visse sammenslutningers eller stiftelsers legitime aktiviteter, hvis formål er at muliggøre udøvelse af grundlæggende frihedsrettigheder.
[…]
(142) Hvis en registreret finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, bør den pågældende have ret til at give et organ, en organisation eller en sammenslutning, som ikke arbejder med gevinst for øje, som er etableret i overensstemmelse med en medlemsstats ret, hvis vedtægtsmæssige formål er i samfundets interesse, og som beskæftiger sig med beskyttelse af personoplysninger, bemyndigelse til på vedkommendes vegne at indgive en klage til en tilsynsmyndighed, udøve adgangen til retsmidler på vegne af vedkommende eller, hvis det er fastsat i medlemsstaternes nationale ret, udøve retten til erstatning på vegne af vedkommende. En medlemsstat kan fastsætte, at et sådant organ eller en sådan organisation eller sammenslutning skal have ret til uafhængigt af en registrerets bemyndigelse at indgive en klage i den pågældende medlemsstat og have adgang til effektive retsmidler, hvis det eller den har grund til at formode, at en registrerets rettigheder er blevet krænket som følge af behandling af personoplysninger, der overtræder denne forordning. Dette organ eller denne organisation eller sammenslutning kan ikke kræve erstatning på en registrerets vegne uafhængigt af bemyndigelse fra den registrerede.«
7. Denne forordnings artikel 1 med overskriften »Genstand og formål« bestemmer:
»1. I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger.
2. Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.
3. Den frie udveksling af personoplysninger i Unionen må hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.«
8. Samme forordnings artikel 4 fastsætter:
»I denne forordning forstås ved:
1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet […]
15) »helbredsoplysninger«: personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand
[…]«
9. Den nævnte forordnings artikel 9 med overskriften »Behandling af særlige kategorier af personoplysninger« har følgende ordlyd:
»1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.
2. Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:
a) Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål, medmindre det i EU-retten eller medlemsstaternes nationale ret er fastsat, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke.
[…]
h) Behandling er nødvendig med henblik på forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller ‑behandling eller forvaltning af social- og sundhedsomsorg og ‑tjenester på grundlag af EU-retten eller medlemsstaternes nationale ret eller i henhold til en kontrakt med en sundhedsperson og underlagt de betingelser og garantier, der er omhandlet i stk. 3.
[…]«
10. Databeskyttelsesforordningens artikel 77-84 er indeholdt i kapitel VIII med overskriften »Retsmidler, ansvar og sanktioner«.
11. Denne forordnings artikel 77 med overskriften »Ret til at indgive klage til en tilsynsmyndighed« bestemmer i stk. 1:
»Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning.«
12. Samme forordnings artikel 78 med overskriften »Adgang til effektive retsmidler over for en tilsynsmyndighed« fastsætter i stk. 1:
»Uden at det berører andre administrative eller udenretslige klageadgange, har enhver fysisk eller juridisk person ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.«
13. Den nævnte forordnings artikel 79 med overskriften »Adgang til effektive retsmidler over for en dataansvarlig eller databehandler« fastsætter i stk. 1:
»Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i henhold til artikel 77, skal den enkelte registrerede have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med denne forordning.«
14. Databeskyttelsesforordningens artikel 80 med overskriften »Repræsentation af registrerede« fastsætter:
»1. Den registrerede har ret til at bemyndige et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med en medlemsstats nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger, til at indgive en klage på sine vegne, til at udøve de rettigheder, der er omhandlet i artikel 77, 78 og 79, på sine vegne og til, hvis det er fastsat i medlemsstaternes nationale ret, at udøve retten til at modtage erstatning som omhandlet i artikel 82 på sine vegne.
2. Medlemsstaterne kan fastsætte, at ethvert organ, enhver organisation eller enhver sammenslutning, jf. denne artikels stk. 1, uafhængigt af en bemyndigelse fra den registrerede har ret til at indgive en klage i den pågældende medlemsstat til den tilsynsmyndighed, der er kompetent i henhold til artikel 77, og til at udøve de rettigheder, der er omhandlet i artikel 78 og 79, hvis den/det har grund til at formode, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling.«
15. Denne forordnings artikel 82 med overskriften »Ret til erstatning og erstatningsansvar« bestemmer i stk. 1:
»Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.«
16. Samme forordnings artikel 84 med overskriften »Sanktioner« fastsætter i stk. 1:
»Medlemsstaterne fastsætter regler om andre sanktioner, der skal anvendes i tilfælde af overtrædelser af denne forordning, navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel 83, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.«
B. Tysk ret
1. Loven om bekæmpelse af illoyal konkurrence
17. § 3 i Gesetz gegen den unlauteren Wettbewerb (lov om bekæmpelse af illoyal konkurrence) af 3. juli 2004 (5) i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »lov om illoyal konkurrence«), med overskriften »Forbud mod urimelig handelspraksis« fastsætter i stk. 1, at »[u]rimelig handelspraksis er forbudt«.
18. Denne lovs § 3a med overskriften »Lovbrud« har følgende ordlyd:
»Illoyalt handler den, som handler i strid med en lovbestemmelse, der bl.a. har til formål at regulere adfærden på markedet i markedsaktørernes interesse, for så vidt som overtrædelsen mærkbart kan skade forbrugernes, øvrige markedsaktørers eller konkurrenters interesser.«
19. Den nævnte lovs § 8 med overskriften »Ophør og forbud« lyder således:
»1. Den, der gør sig skyldig i ulovlig handelspraksis som omhandlet i § 3 eller § 7, kan meddeles påbud om at ophøre med den retsstridige handling og kan, såfremt der er risiko for gentagelse, meddeles forbud mod denne. […]
[…]
3. Påbud og forbud i henhold til stk. 1 kan begæres af:
1. konkurrenter, der distribuerer eller efterspørger varer eller tjenesteydelser i ikke ubetydelig grad og ikke kun lejlighedsvis
[…]«
2. Lægemiddelloven
20. Omsætning af lægemidler er reguleret ved Arzneimittelgesetz (lægemiddelloven) af 24. august 1976 i den udgave, der blev offentliggjort den 12. december 2005 (6), senest ændret ved § 8c i lov af 20. december 2022 (7). Der sondres i denne lov mellem lægemidler, som sælges på apoteker, og som er omhandlet i lovens § 43 (med overskriften »Apoteksudlevering«) til 47, og lægemidler, som sælges på recept, og som er omhandlet i lovens § 48 med overskriften »Ordineret udlevering«.
III. De faktiske omstændigheder i hovedsagen, retsforhandlingerne og de præjudicielle spørgsmål
21. ND og DR driver hver især et apotek. Sagsøger i hovedsagen, ND, har desuden tilladelse til at drive postordrevirksomhed og forhandler ligeledes sine varer, herunder lægemidler, hvis salg er forbeholdt apoteker, via Amazon Marketplace (herefter »Amazon«), en elektronisk handelsplatform, hvor sælgere kan udbyde varer til salg direkte over for forbrugerne.
22. Sagsøgte i hovedsagen, DR, anlagde sag med påstand om, at det blev forbudt ND at forhandle lægemidler, hvis salg er forbeholdt apoteker, på onlineplatformen Amazon. Ifølge DR udgør denne forhandling en urimelig kommerciel handling, for så vidt som den medfører, at ND handler i strid med en lovbestemmelse som omhandlet i § 3a i lov om illoyal konkurrence, dvs. navnlig databeskyttelsesforordningens artikel 9 om indhentning af kundens forudgående og udtrykkelige samtykke til behandling af dennes personlige helbredsoplysninger.
23. Landgericht Dessau-Roßlau (den regionale ret i første instans i Dessau-Roßlau, Tyskland) gav sagsøgeren medhold i sagen. Oberlandesgericht Naumburg (den regionale appeldomstol i Naumburg, Tyskland) forkastede dernæst ND’s appel, idet den fastslog, at det er i strid med den nationale lov om illoyal konkurrence, at ND forhandler lægemidler, hvis salg er forbeholdt apoteker, på Amazon. Ifølge denne domstol indebærer denne forhandling nemlig en behandling af helbredsoplysninger som omhandlet i databeskyttelsesforordningens artikel 9, stk. 1, som kunderne ikke udtrykkeligt har givet samtykke til. Databeskyttelsesforordningens bestemmelser bør imidlertid betragtes som regler om markedsadfærd som omhandlet i national konkurrenceret, hvilket medfører, at DR som konkurrent har ret til at nedlægge påstand om forbud med støtte i national konkurrenceret under påberåbelse af, at ND har tilsidesat bestemmelserne i denne forordning.
24. ND har iværksat revisionsanke ved den forelæggende ret, Bundesgerichtshof (forbundsdomstol, Tyskland) og i denne forbindelse fastholdt sin påstand om frifindelse i det negatoriske søgsmål.
25. Ifølge den forelæggende ret afhænger udfaldet af revisionsanken af fortolkningen af databeskyttelsesforordningens kapitel VIII og denne forordnings artikel 9 samt af fortolkningen af artikel 8, stk. 1, i direktiv 95/46.
26. Den forelæggende ret har nemlig for det første fremhævet, at det er nødvendigt at få afgjort, om sagsøgeren i hovedsagen som konkurrent har beføjelse til at anlægge sag mod den krænkende part for overtrædelse af databeskyttelsesforordningen ved de civile domstole, henset til forbuddet mod urimelig handelspraksis. Den forelæggende ret har præciseret, at der er tale om et kontroversielt spørgsmål, som kan besvares med, at databeskyttelsesforordningens regler om håndhævelse af bestemmelserne heri er udtømmende, og at konkurrenter derfor ikke har søgsmålskompetence i henhold til konkurrenceretten. Det kan imidlertid ligeledes hævdes, at databeskyttelsesforordningens bestemmelser om retshåndhævelse ikke er udtømmende, og at konkurrenterne derfor har kompetence til at anlægge sag med påstand om nedlæggelse af forbud under påberåbelse af overtrædelsen af denne forordning.
27. Den forelæggende ret har for det andet anført, at det skal afgøres, om de oplysninger, som kunderne skal indtaste i forbindelse med onlinebestilling af lægemidler, hvis salg er forbeholdt apotekere, men som ikke er receptpligtige, udgør helbredsoplysninger som omhandlet i databeskyttelsesforordningens artikel 9, stk. 1, og tidligere i artikel 8, stk. 1, i direktiv 95/46, eftersom der kun kan meddeles forbud, hvis ND’s adfærd var ulovlig både på det tidspunkt, hvor forordningen blev vedtaget, og på det tidspunkt, hvor der forhandles om dens revision.
28. Bundesgerichtshof (forbundsdomstol) har i denne sammenhæng besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:
»1) Er bestemmelserne i kapitel VIII i [forordning 2016/679] til hinder for national lovgivning, der – ud over de kompetente tilsynsmyndigheders beføjelser til at gribe ind med henblik på at kontrollere og håndhæve forordningen og de registreredes adgang til retsmidler – giver konkurrenter beføjelse til at anlægge sag mod den krænkende part for overtrædelse af denne forordning ved de civile domstole, henset til forbuddet mod urimelig handelspraksis?
2) Udgør de oplysninger, som kunderne hos en apoteker, der på en internetsalgsplatform optræder som sælger, indtaster på salgsplatformen i forbindelse med bestillingen af lægemidler, hvis salg ganske vist er forbeholdt apoteker, men som ikke er receptpligtige (kundens navn, leveringsadresse og informationer, der er nødvendige med henblik på individualisering af det bestilte lægemiddel, hvis salg er forbeholdt apoteker), helbredsoplysninger som omhandlet i artikel 9, stk. 1, i [forordning 2016/679] samt oplysninger om helbredsforhold som omhandlet i artikel 8, stk. 1, i direktiv 95/46?«
29. Den foreliggende anmodning om præjudiciel afgørelse er indgået til Domstolen den 19. januar 2023. Parterne i hovedsagen, den tyske regering og Europa-Kommissionen har indgivet skriftlige indlæg. De samme procesdeltagere deltog i retsmødet den 9. januar 2024.
IV. Bedømmelse
30. DR har i den foreliggende sag gjort gældende, at ND har tilsidesat databeskyttelsesforordningens artikel 9 ved at behandle oplysninger om kunder, der har bestilt ikke-receptpligtige lægemidler online, uden at overholde kravet om indhentning af kundernes udtrykkelige samtykke til behandlingen af disse oplysninger.
31. Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om bestemmelserne i databeskyttelsesforordningens kapitel VIII skal fortolkes således, at de er til hinder for nationale regler, der giver virksomheder ret til med støtte i forbuddet mod illoyale konkurrencehandlinger at påberåbe sig overtrædelser af de materielle bestemmelser i denne forordning, som deres konkurrenter hævdes at have begået. Med det andet præjudicielle spørgsmål har den forelæggende ret anmodet Domstolen om at oplyse, om databeskyttelsesforordningens artikel 9 skal fortolkes således, at de pågældende oplysninger udgør helbredsoplysninger og derfor falder ind under de særlige kategorier af oplysninger, der er omhandlet i denne bestemmelse (8).
32. Som jeg allerede har fremhævet, bør det indledningsvis anføres, at såfremt det andet spørgsmål besvares benægtende, er det ikke nødvendigt at besvare det første spørgsmål, for så vidt som Domstolens svar vil være tilstrækkeligt til, at den forelæggende ret kan afgøre den tvist, der verserer for den. Det vil under disse omstændigheder være hensigtsmæssigt at behandle det andet spørgsmål først i forbindelse med vurderingen af de præjudicielle spørgsmål.
A. Det andet præjudicielle spørgsmål
33. Med det andet præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om de oplysninger, som en apotekers kunder videregiver i forbindelse med bestillinger på en platform for onlinesalg af lægemidler, hvis salg er forbeholdt apoteker, men som ikke er receptpligtige, udgør »helbredsoplysninger« som omhandlet i databeskyttelsesforordningens artikel 9, stk. 1.
34. Det skal indledningsvis præciseres, at begrebet »helbredsoplysninger« i databeskyttelsesforordningens artikel 9, stk. 1, er defineret i denne forordnings artikel 4, nr. 15). Der er således behov for en samlet fortolkning af disse to bestemmelser for at kunne besvare det andet præjudicielle spørgsmål.
1. Fortolkningen af begrebet »helbredsoplysninger« i lyset af den eksisterende retspraksis
35. I henhold til databeskyttelsesforordningens artikel 4, nr. 15), skal der ved »helbredsoplysninger« forstås personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand.
36. Senne definition understøttes desuden af 35. betragtning til databeskyttelsesforordningen. Domstolen har således fastslået i sin praksis, understøttes, at det følger af »[denne betragtning, at] helbredsoplysninger bør omfatte alle personoplysninger om den registreredes helbredstilstand, som giver oplysninger om den registreredes tidligere, nuværende eller fremtidige fysiske eller mentale helbredstilstand« (9).
37. Det følger således af ordlyden af databeskyttelsesforordningens artikel 4, nr. 15), der præciseres i 35. betragtning hertil, at det er afgørende for fastlæggelsen af, at visse personoplysninger udgør helbredsoplysninger, om det er muligt at drage konklusioner om den registreredes helbredstilstand ud fra de pågældende oplysninger. De pågældende »helbredsoplysninger« er med andre ord ikke begrænset til lægelige oplysninger eller oplysninger, der er direkte relateret til sundhedsproblemer, men omfatter ligeledes enhver oplysning, der gør det muligt at drage konklusioner om den registreredes helbredstilstand, uanset om der er tale om en patologisk eller en fysiologisk tilstand.
38. Dette bekræftes af det formål, der forfølges med databeskyttelsesforordningens artikel 9. Domstolen har således fremhævet i sin praksis, at formålet med denne bestemmelse er at sikre en øget beskyttelse mod sådanne behandlinger, der som følge af de behandlede oplysningers særligt følsomme karakter, således som det fremgår af 51. betragtning til databeskyttelsesforordningen, kan udgøre et særligt alvorligt indgreb i de grundlæggende rettigheder til respekt for privatliv og beskyttelse af personoplysninger, der er sikret ved artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder (10).
39. Helbredsoplysningers særligt følsomme karakter kan nemlig forklares med, at de vedrører oplysninger, som griber ind i menneskers mest intime sfære og kan udstille deres sårbarhed. Denne særlige følsomhed og det heraf følgende særlige beskyttelsesbehov anerkendes i øvrigt ikke kun i EU-retten, men også i Den Europæiske Menneskerettighedsdomstols praksis, hvorefter »[r]especting the confidentiality of health data is a vital principle in the legal systems of all the Contracting Parties to the Convention [for the Protection of Human Rights and Fundamental Freedoms signed in Rome on 4 November 1950]« (11).
40. Det følger således af Domstolens praksis, at det i lyset af dette formål er vigtigt at anlægge en bred fortolkning af begrebet »særlige kategorier af personoplysninger«, som omfatter helbredsoplysninger, således at de vedrører ikke alene egentligt følsomme oplysninger, men også oplysninger, som indirekte gennem en intellektuel refleksion i form af sammenstilling eller deduktion afslører informationer af denne art (12).
41. Det bør i denne forbindelse påpeges, at Det Europæiske Databeskyttelsesråd, der er oprettet i henhold til databeskyttelsesforordningens artikel 68 ff., ligeledes har anlagt en sådan fortolkning af begrebet »helbredsoplysninger«, hvor det har fremhævet, at det ikke kun er oplysningernes egentlige karakter, der er afgørende for deres kvalificering som »helbredsoplysninger«, men også omstændighederne i forbindelse med deres indsamling og behandling, og har fremlagt eksempler herpå. Ifølge Databeskyttelsesrådet omfatter »helbredsoplysninger« således oplysninger, der er indeholdt i en lægejournal, oplysninger, der tilvejebringer information om helbredstilstand ved krydshenvisning til andre data, eller oplysninger, der overgår til at være helbredsoplysninger på grund af deres anvendelse i en specifik sammenhæng, f.eks. oplysninger om en rejse, som bearbejdes af en læge med henblik på at stille en diagnose (13). Derimod omfatter »helbredsoplysninger« ikke oplysninger, der indsamles af en app, som gør det muligt at måle, hvor mange skridt den registrerede har foretaget, når denne app ikke gør det muligt at forbinde disse oplysninger med andre oplysninger om den registrerede, og de indsamlede oplysninger ikke behandles i medicinsk sammenhæng (14).
42. Det fremgår derfor klart af databeskyttelsesforordningens artikel 4, nr. 15), og artikel 9, som fortolket i retspraksis, at oplysninger, der kan gøre det muligt at drage konklusioner om den registreredes helbredstilstand, skal betragtes som »helbredsoplysninger« i disse bestemmelsers forstand.
43. Det kan således ikke umiddelbart afvises, at der ved onlinebestilling af ikke-receptpligtige lægemidler sker behandling af oplysninger, hvoraf der kan udledes visse helbredsoplysninger, eller som i det mindste indeholder visse indicier vedrørende den pågældendes helbred, for så vidt som bestillingen indebærer en forbindelse mellem købet af et lægemiddel, der er et udpræget sundhedsprodukt, og køberens identitet. Efter min opfattelse og af de grunde, som jeg nu vil angive, fremgår det imidlertid af de oplysninger, som den forelæggende ret har fremlagt for Domstolen, at denne forbindelse er for spinkel, og de indicier, der kan udledes heraf, er for upræcise eller hypotetiske til, at de pågældende oplysninger kan kvalificeres som »helbredsoplysninger« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 15), og artikel 9.
2. Kravet om en vis sikkerhed for, hvilke konklusioner der kan drages om en registreret persons helbredstilstand
44. Der er behov for visse præciseringer for så vidt angår fortolkningen af begrebet »helbredsoplysninger« i særdeleshed og begrebet »særlige kategorier af oplysninger« i almindelighed.
45. Det er for det første min opfattelse, at et produkt, der bestilles online, henset til disse fortolkningselementer vil kunne tilvejebringe generelle oplysninger om en persons helbredstilstand, men også, som det fremgår af databeskyttelsesforordningens artikel 9, om vedkommendes race eller etniske oprindelse, politiske, religiøse eller filosofiske overbevisning eller seksuelle orientering. Der kan efter min opfattelse udledes visse oplysninger om disse forskellige forhold vedrørende den registrerede af de varer, der bestilles online.
46. Følgende eksempler taler for denne opfattelse. Bestillingen af en bog om en kendt politiker kan potentielt indikere, at vedkommende er enig i de tanker, som politikeren giver udtryk for, bestillingen af en beklædningsgenstand kan være et tegn på en persons religiøse overbevisning, og bestillingen af erotisk materiale kan pege i retning af den pågældendes seksuelle orientering. For at undgå, at behandling af oplysninger i forbindelse med onlinehandel i overvejende grad underlægges ordningen i databeskyttelsesforordningens artikel 9, stk. 2, anser jeg det således for nødvendigt at uddybe fortolkningen af begrebet »helbredsoplysninger« i den forstand, at de konklusioner, der kan drages af oplysningerne om en bestilling, ikke må være rent potentielle. Efter min opfattelse må den information, som de pågældende oplysninger tilvejebringer om den registreredes helbredstilstand, med andre ord ikke være rene formodninger, men skal frembyde en vis sikkerhed.
47. Det er for det andet min opfattelse, at spørgsmålet om, hvorvidt oplysninger kan kvalificeres som »helbredsoplysninger«, afhænger af omstændighederne i den enkelte sag, medmindre der i sagens natur er tale om sådanne oplysninger. De konklusioner, der kan drages af disse oplysninger, synes nærmere bestemt at afhænge af den sammenhæng, hvori de indsamles, og af deres behandling. Som Det Europæiske Databeskyttelsesråd, der er oprettet i henhold til databeskyttelsesforordningens artikel 68 ff., har fremhævet, kan oplysninger, der ikke umiddelbart vedrører medicinske forhold, f.eks. rejseoplysninger, alligevel betragtes som »helbredsoplysninger«, når de analyseres i medicinsk sammenhæng og sammenholdes med andre oplysninger for i det nævnte eksempel at påvise en potentiel kontaminering med en bakterie eller et virus, der optræder i en bestemt region.
48. Det bør navnlig fremhæves, at den dataansvarliges identitet er særlig relevant i denne henseende. Såfremt oplysningerne behandles af et organ på sundhedsområdet, kan dette nemlig efter min opfattelse indikere, at disse oplysninger faktisk er »helbredsoplysninger«. De samme oplysninger vil derimod kunne kvalificeres anderledes, hvis de ikke behandles af en institution på sundhedsområdet og ikke kan knyttes til andre oplysninger om den registrerede. Den samme oplysning kan med andre ord tilvejebringe mere information om en persons helbredstilstand, når denne oplysning behandles af en institution på sundhedsområdet, som har beføjelser til at fortolke denne eller andre oplysninger om den pågældende, end når den pågældende oplysning behandles af et organ uden for denne sektor.
49. Det er som følge heraf min opfattelse, at det tilkommer den forelæggende ret at efterprøve både de pågældende oplysningers indhold og samtlige omstændigheder i forbindelse med deres behandling med henblik på at afgøre, om der med en vis sikkerhed kan udledes oplysninger heraf om den registreredes helbredstilstand.
50. Henset til oplysningerne i den forelæggende rets afgørelse synes det imidlertid at være muligt at give nærmere oplysninger med henblik på at vejlede denne ret i forbindelse med afgørelsen af hovedsagen (15).
3. De forhold, der er relevante for den forelæggende rets undersøgelse af muligheden for at udlede oplysninger om en registreret persons helbredstilstand
51. Hvad for det første angår de produkter, der bestilles, skal det fremhæves, at de omhandlede lægemidler, dvs. ikke-receptpligtige lægemidler, i princippet ikke er beregnet til at behandle en bestemt tilstand, men anvendes mere generelt til behandling af almindelige lidelser, som kan ramme alle, og som ikke er symptomer på en bestemt sygdom eller helbredstilstand. Desuden købes disse lægemidler ofte i forebyggende øjemed, således at de f.eks. er til rådighed, hvis der bliver brug for dem, eller før den pågældende forlader sit sædvanlige opholdssted. En bestilling af paracetamol fortæller eksempelvis intet om en persons konkrete tilstand, da dette molekyle er indikeret til behandling af forskellige former for smerter og febertilstande og ofte indgår i de lægemidler, som enkeltpersoner opbevarer i deres hjem, uden at der foreligger et særligt behov herfor.
52. For det andet er den omstændighed, at en person bestiller et ikke-receptpligtigt lægemiddel online, som ND har anført, ikke ensbetydende med, at det er denne person, hvis oplysninger behandles, der er brugeren af dette lægemiddel, og ikke en anden person i vedkommendes husstand eller omgangskreds. I mange tilfælde afgives en bestilling på et onlinesalgssted nemlig af en person, der er indehaver af en konto på dette websted, på vegne af en person, der ikke har en sådan konto, og for dennes regning. Når der ikke foreligger en recept, som angiver navnet på den person, hvortil lægemidlet er ordineret, og hvor det må antages, at brugeren og køberen af lægemidlet er den samme person, kan det ikke udledes af en bestilling af et produkt, der er frit tilgængeligt online, at dette produkt skal anvendes af køberen og ikke af en anden person. Det følger heraf, at der ikke med rimelighed kan drages nogen konklusion om helbredstilstanden hos den person, hvis oplysninger behandles, af disse oplysninger, således at de kan kvalificeres som »helbredsoplysninger«.
53. For det tredje gælder dette så meget desto mere, som en person – med forbehold af den prøvelse, som det tilkommer den forelæggende ret at foretage – kan afgive en bestilling via internettet, uden at det er nødvendigt at angive præcise oplysninger om vedkommendes identitet, navnlig når produktet ikke skal leveres til den registreredes adresse, men til et afhentningssted, og der ikke kræves andre identitetsoplysninger med henblik på fakturering.
54. Det er derfor min opfattelse, at det andet præjudicielle spørgsmål skal besvares med, at de oplysninger, som en apotekers kunder videregiver i forbindelse med bestillinger på en platform for onlinesalg af lægemidler, hvis salg er forbeholdt apoteker, men som ikke er receptpligtige, ikke udgør »helbredsoplysninger« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 15), og artikel 9, for så vidt som der kun kan drages hypotetiske eller upræcise konklusioner om helbredstilstanden hos den person, der afgiver onlinebestillingen, hvilket det tilkommer den forelæggende ret at efterprøve.
55. Det skal i øvrigt også præciseres, at hvis begrebet »helbredsoplysninger« fortolkes således, at det omfatter oplysninger, der videregives i forbindelse med bestillinger på en platform for onlinesalg af lægemidler, hvis salg er forbeholdt apoteker, men som ikke er receptpligtige, kan dette efter min opfattelse paradoksalt nok medføre, at der afgives flere følsomme oplysninger på grund af den skærpede beskyttelsesordning, der er fastsat i databeskyttelsesforordningens artikel 9, stk. 2. Kravet om udtrykkeligt samtykke til behandling af oplysninger, der allerede er identificeret som følsomme, kan nemlig i sidste ende tilskynde køberen til at afsløre, hvem den endelige bruger af produktet er. Der kan i denne situation drages mere sikre konklusioner om denne persons helbredstilstand.
B. Det første præjudicielle spørgsmål
56. Henset til den foreslåede besvarelse af det første præjudicielle spørgsmål er det efter min opfattelse ufornødent at besvare det andet præjudicielle spørgsmål. For fuldstændighedens skyld og henset til den vurdering, som den forelæggende ret skal foretage, vil jeg imidlertid behandle dette spørgsmål, hvormed den forelæggende ret nærmere bestemt ønsker oplyst, om bestemmelserne i databeskyttelsesforordningens kapitel VIII skal fortolkes således, at de er til hinder for nationale regler, der giver virksomheder ret til med støtte i forbuddet mod illoyale konkurrencehandlinger at påberåbe sig overtrædelser af de materielle bestemmelser i denne forordning, som deres konkurrenter hævdes at have begået.
57. Parterne har givet diametralt modsatte svar på dette spørgsmål. På den ene side har Kommissionen og ND anført, at det retsmiddelsystem, der er indført ved bestemmelserne i databeskyttelsesforordningens kapitel VIII, fortolket i lyset af denne forordnings formål, skal betragtes som et udtømmende system, der ikke giver medlemsstaterne nogen som helst mulighed for at fastsætte alternative retsmidler i national ret.
58. På den anden side har den tyske regering anført, at det retsmiddelsystem, der er indført ved bestemmelserne i databeskyttelsesforordningens kapitel VIII, skal betragtes som et minimum af retsmidler, der kan suppleres af medlemsstaterne. Den ikke-udtømmende karakter af et sådant system er begrundet i, at databeskyttelsesforordningen ligeledes har til formål at beskytte konkurrencevilkårene og forhindre de fordrejninger, der kan opstå som følge af forskelle i databeskyttelsesniveauet, og at det øger forordningens anvendelighed, hvis en konkurrent har mulighed for at påberåbe sig en anden konkurrents overtrædelse af de materielle bestemmelser i denne forordning.
59. Parternes bemærkninger fokuserer således på spørgsmålet om, hvorvidt det retsmiddelsystem, der er fastsat i databeskyttelsesforordningen, skal betragtes som en udtømmende harmoniseringsordning, hvilket efter parternes opfattelse er afgørende for, om medlemsstaterne i deres nationale ret kan fastsætte andre retsmidler end dem, der er omhandlet i denne forordning.
60. Selv om det har betydning for en sagligt korrekt besvarelse af det første præjudicielle spørgsmål, om retsmiddelsystemet er udtømmende, anser jeg det imidlertid af nedenstående grunde for nødvendigt først at undersøge det underliggende spørgsmål om, hvilke personer der er omfattet af den beskyttelse, der følger af de såvel materielle som proceduremæssige regler i databeskyttelsesforordningen. Såfremt de virksomheder, der er ansvarlige for behandling af personoplysninger, anses for at være indehavere af de rettigheder, der er tillagt ved databeskyttelsesforordningen, bør denne forordning nemlig efter min opfattelse fortolkes således, at der i national ret skal indføres retsmidler, som gør det muligt at påberåbe sig disse rettigheder. Jeg vil derfor indledningsvis behandle dette punkt, inden jeg besvarer spørgsmålet om, hvorvidt det retsmiddelsystem, der er indført ved databeskyttelsesforordningen, skal anses for at være udtømmende i den forstand, at det er til hinder for, at en virksomhed i henhold til national ret anlægger et negatorisk søgsmål med støtte i forbuddet mod illoyale konkurrencehandlinger mod en konkurrent under påberåbelse af dennes tilsidesættelse af forordningens bestemmelser.
1. Identificeringen af indehaverne af de rettigheder, der er tillagt ved databeskyttelsesforordningen
61. Jeg vil først præcisere, hvorfor der er behov for en sådan identificering, dernæst foretage denne identificering og til sidst forklare, hvilken betydning det har for besvarelsen af det første præjudicielle spørgsmål, at de registrerede identificeres som de eneste indehavere af de rettigheder, der er tillagt ved databeskyttelsesforordningen.
a) Behovet for at identificere indehaverne af de rettigheder, der er beskyttet ved databeskyttelsesforordningen
62. Der er efter min opfattelse to grunde til, at det med henblik på besvarelsen af det præjudicielle spørgsmål er nødvendigt at identificere indehaverne af de rettigheder, der er beskyttet ved databeskyttelsesforordningen, før der tages stilling til, om det retsmiddelsystem, der er fastsat i denne forordning, er af udtømmende karakter.
1) Medlemsstatens pligt til at fastsætte retsmidler, der gør det muligt at påberåbe sig en rettighed i henhold til EU-retten
63. Domstolen har i sin faste praksis fastslået, at EU-retten ikke blot pålægger borgerne forpligtelser, men også giver dem rettigheder, som dermed bliver en del af de rettigheder, der som helhed tilkommer borgerne (16), og i denne henseende fremhævet, at disse rettigheder bl.a. består, når private, medlemsstaterne eller EU-institutionerne pålægges forpligtelser (17). Når en fysisk eller juridisk person pålægges en forpligtelse, vil det nemlig som regel bevirke, at en anden person tillægges en rettighed.
64. Det er desuden ubestridt, at enhver rettighed, som en borger tillægges i henhold til EU-retten, indebærer, at der også foreligger et retsmiddel, som netop kan benyttes til at gøre denne rettighed gældende, idet det i mangel af specifikke EU-retlige bestemmelser herom tilkommer medlemsstaterne at sikre overholdelsen af de pågældende rettigheder ved hjælp af et nationalt retsmiddel (18). Det fremgår nemlig klart af retspraksis, at det påhviler de nationale domsmyndigheder at beskytte de rettigheder, som de EU-retlige bestemmelser udstyrer borgerne med (19).
65. Hvis databeskyttelsesforordningen som anført af den tyske regering skal fortolkes således, at den ikke kun beskytter de registrerede, men også konkurrencevilkårene på markedet og dermed i sidste ende virksomhederne, skal denne forordning anses for at give dem rettigheder, som dermed bliver en del af de rettigheder, der som helhed tilkommer disse virksomheder (20).
66. Under disse omstændigheder bør overholdelsen af de rettigheder, som virksomhederne har i henhold til databeskyttelsesforordningen, i mangel af udtrykkelige EU-retlige bestemmelser herom kunne sikres ved hjælp af de retsmidler, som medlemsstaterne har fastsat.
67. Det følger heraf, at det første præjudicielle spørgsmål – uden at det er nødvendigt at tage stilling til, om det retsmiddelsystem, der er indført ved databeskyttelsesforordningen, er udtømmende – bør besvares med, at denne forordnings kapitel VIII ikke skal fortolkes således, at det ikke er til hinder for, at medlemsstaterne gør det muligt for en konkurrent at anlægge søgsmål mod en anden virksomhed under påberåbelse af en overtrædelse af den nævnte forordning, men snarere således, at det kræver, at overholdelsen af forordningens bestemmelser kan sikres i forbindelse med et søgsmål, som en virksomhed anlægger mod en konkurrent under påberåbelse af dennes overtrædelse af disse bestemmelser (21).
68. Efter min opfattelse er det således nødvendigt at identificere indehaverne af de rettigheder, der er tillagt ved databeskyttelsesforordningen, for at kunne besvare det første præjudicielle spørgsmål.
2) De to aspekter af et udtømmende retsmiddelsystem
69. Selve begrebet »udtømmende retsmiddelsystem« dækker over to forskellige aspekter, som skal vurderes hver for sig og kræver, at indehaverne af de rettigheder, hvis overholdelse sikres af et sådant system, identificeres på forhånd.
70. Det første aspekt vedrører retsmiddelsystemets udtømmende karakter i forhold til alle andre retsmidler, der har til formål at beskytte den samme rettighed. Dette aspekt vedrører med andre ord spørgsmålet om, hvorvidt de retsmidler, der er fastsat i EU-retten for at beskytte de rettigheder, som borgerne er tillagt heri, er udtømmende. Domstolen har i sin tidligere praksis taget stilling til betydningen af, at de retsmidler, der er fastsat i EU-retten for at beskytte en rettighed, som også er fastsat i EU-retten, er af udtømmende karakter. Domstolen har eksempelvis konsekvent fastslået, at en ansvarsordning, der er udtømmende harmoniseret ved EU-retten, alligevel kan eksistere side om side med en anden ansvarsordning, der er fastsat i national lovgivning, og som hviler på de samme faktiske omstændigheder og det samme grundlag, såfremt denne anden ordning ikke berører den harmoniserede ordning og ikke er til fare for dens formål og effektive virkning (22). Selv om et retsmiddelsystem, der er fastsat i EU-retten, er af udtømmende karakter, er dette således ikke tilstrækkeligt til at udelukke, at en medlemsstat i national ret kan fastsætte et alternativt retsmiddel baseret på den samme rettighed, forudsat at visse betingelser er opfyldt.
71. Det andet aspekt af begrebet »udtømmende retsmiddelsystem«, der er omhandlet i EU-retten, er bredere og vedrører systemets udtømmende karakter i forhold til alle andre retsmidler, der iværksættes af personer, som ikke er direkte indehavere af rettigheder i henhold til EU-retten, men som alligevel påberåber sig disse rettigheder i forbindelse med et retsmiddel, der er fastsat i national ret. En sådan anskuelse af et udtømmende retsmiddelsystem, der er indført ved EU-retten, kræver derfor en særskilt vurdering (23).
72. For at kunne foretage en passende vurdering af, om det retsmiddelsystem, der er fastsat i databeskyttelsesforordningen, er af udtømmende karakter, skal det derfor også i denne sammenhæng afgøres på forhånd, hvem indehaverne af de rettigheder, der er tillagt ved denne forordning, er, hvilket jeg vil gøre i det følgende.
b) Identificeringen af indehaverne af de rettigheder, der er beskyttet ved databeskyttelsesforordningen
73. Det personelle anvendelsesområde for den beskyttelse, der sikres ved databeskyttelsesforordningen, skal efter min opfattelse fastlægges i lyset af denne forordnings formål såvel som dens indhold.
74. Hvad indledningsvis angår databeskyttelsesforordningens formål har den tyske regering i denne forbindelse gjort gældende, at forordningen både har til formål at sikre et højt og ensartet niveau for beskyttelse af fysiske personer og at skabe lige konkurrencevilkår.
75. Det fremgår ganske vist af niende betragtning til databeskyttelsesforordningen, at forskelle i beskyttelsesniveauet med hensyn til retten til beskyttelse af personoplysninger i forbindelse med behandling af disse oplysninger kan virke konkurrenceforvridende. Efter min opfattelse kan en sådan præcisering imidlertid ikke fortolkes således, at den gør garantien for en fri og ufordrejet konkurrence til et formål med databeskyttelsesforordningen. Den omstændighed, at forskelle i medlemsstaternes lovgivning for så vidt angår de standarder, som virksomhederne er underlagt, medfører konkurrencefordrejninger, er efter min opfattelse en ren konstatering, der ikke er kendetegnende for databeskyttelsesforordningen. Når de materielle bestemmelser fastsætter strengere rammer for virksomhedernes markedsadfærd i én medlemsstat end i en anden medlemsstat, resulterer dette selvfølgelig i en vis konkurrencemæssig fordel for de virksomheder, der er aktive i den sidstnævnte medlemsstat, i forhold til virksomhederne i den førstnævnte medlemsstat, hvilket enhver harmoniseringsforskrift vil kunne afhjælpe.
76. En sådan fortolkning bekræftes efter min opfattelse af henvisningen i niende betragtning til databeskyttelsesforordningen til behovet for at sikre »fri udveksling af personoplysninger i Unionen«, da denne udveksling kan trues af forskelle i de nationale retsforskrifter.
77. Som Kommissionen anførte i retsmødet, vedrører niende betragtning til databeskyttelsesforordningen desuden ikke den konkurrence, der altid vil være mellem virksomheder, men først og fremmest den konkurrence, der er mellem virksomheder i to forskellige medlemsstater som følge af forskellige retsforskrifter. Der er med andre ord hovedsageligt tale om at sikre lige konkurrencevilkår i de forskellige medlemsstater ved at fastsætte harmoniserede standarder for virksomhederne, selv om disse standarder indirekte bidrager til, at ingen virksomhed opnår en konkurrencefordel i forhold til andre virksomheder inden for samme medlemsstat.
78. Databeskyttelsesforordningen har således efter min opfattelse ikke til formål at sikre en fri og ufordrejet konkurrence i det indre marked.
79. Det bør dernæst anføres, at ingen af de materielle bestemmelser i databeskyttelsesforordningen har til formål at sikre en fri og ufordrejet konkurrence mellem virksomheder og at give dem adgang til den beskyttelse, der er omhandlet i denne forordning. De sigter tværtimod i det væsentlige mod at pålægge virksomheder, der er ansvarlige for behandling af oplysninger, forpligtelser. Selv om det som tidligere nævnt er korrekt, at når en fysisk eller juridisk person pålægges en forpligtelse, vil det nødvendigvis bevirke, at en anden person tillægges en rettighed, er det imidlertid ikke virksomhederne, der er de eneste indehavere af de pågældende rettigheder, men de personer, hvis oplysninger behandles af disse virksomheder. Dette antydes i databeskyttelsesforordningens titel, hvori der kun henvises til beskyttelse af fysiske personer.
80. Hvad endelig angår de proceduremæssige bestemmelser i databeskyttelsesforordningens kapitel VIII bør det som tidligere nævnt påpeges, at de kun giver de registrerede og deres repræsentanter adgang til retsmidler. Denne begrænsning af, hvilke personer der i henhold til databeskyttelsesforordningens bestemmelser kan anlægge søgsmål under påberåbelse af et indgreb i beskyttelsen af deres personoplysninger, viser efter min opfattelse klart, at de er de eneste, der er omfattet af denne beskyttelse. Efter min opfattelse ville det nemlig være inkonsekvent at gøre databeskyttelsesforordningen til et instrument, som ligeledes skal beskytte konkurrenters rettigheder, når der ikke er fastsat noget retsmiddel i denne forordning, som gør det muligt for konkurrenter at anlægge sag til prøvelse af en krænkelse af disse rettigheder, men der udtrykkeligt er fastsat sådanne retsmidler med henblik på at beskytte de registreredes rettigheder.
81. Det er som følge heraf min opfattelse, at virksomheder ikke er omfattet af den beskyttelse, der er fastsat i databeskyttelsesforordningen, eftersom denne forordning kun tillægger de registrerede rettigheder.
c) Betydningen af databeskyttelsesforordningens fortolkning som en retsakt, der alene skal beskytte de registrerede
82. Når databeskyttelsesforordningen fortolkes således, at bestemmelserne i denne forordning kun tillægger de registrerede rettigheder og ikke virksomhederne, kan der drages en række konklusioner.
83. For det første udelukker denne fortolkning, som jeg har anført, at det fastslås, at overholdelsen af databeskyttelsesforordningens bestemmelser skal kunne sikres, ved at en virksomhed anlægger sag mod en konkurrent under påberåbelse af, at konkurrenten har tilsidesat disse bestemmelser.
84. For så vidt som kredsen af personer, der er tillagt rettigheder i henhold til databeskyttelsesforordningen, alene omfatter de registrerede, er det for det andet min opfattelse, at Domstolens praksis vedrørende medlemsstaternes mulighed for i national ret at fastsætte yderligere retsmidler for indehaverne af disse rettigheder, såfremt disse retsmidler ikke berører det harmoniserede retsmiddelsystem og ikke er til fare for dets formål (24), ikke uden videre kan overføres på den omhandlede situation. Den omhandlede retspraksis kan imidlertid, som jeg vil godtgøre, danne grundlag for en vurdering af denne situation.
85. Ifølge denne fortolkning af begrebet »udtømmende retsmiddelsystem« skal det nemlig afgøres, om det retsmiddelsystem, der er indført ved databeskyttelsesforordningen, skal forstås som et udtømmende system i den forstand, at det er til hinder for, at der i henhold til national ret kan iværksættes andre retsmidler end dem, der er fastsat i denne forordning, til fordel for de registrerede.
86. Hovedsagen vedrører imidlertid et søgsmål anlagt af en virksomhed, som ikke er omfattet af de rettigheder, der er tillagt ved databeskyttelsesforordningen.
87. Da databeskyttelsesforordningen ikke tillægger virksomheder og deres konkurrenter nogen rettigheder, er det kun nødvendigt at undersøge, om det retsmiddelsystem, der er indført ved databeskyttelsesforordningen, skal betragtes som et udtømmende system i den forstand, at denne forordning ligeledes udelukker, at virksomheder påberåber sig en overtrædelse af bestemmelserne heri i forbindelse med retsmidler, der er fastsat i national ret, hvilket jeg vil afgøre i det følgende.
2. Adgang til retsmidler i henhold til national ret for personer, som ikke er omfattet af de rettigheder, der er tillagt ved databeskyttelsesforordningen
88. Spørgsmålet om, hvorvidt bestemmelserne om det retsmiddelsystem, der er fastsat i databeskyttelsesforordningen, er til hinder for, at virksomheder påberåber sig en overtrædelse af denne forordnings bestemmelser i forbindelse med retsmidler, der er fastsat i national ret, skal efter min opfattelse besvares i to trin.
89. Besvarelsen af dette spørgsmål kræver nemlig en undersøgelse af dels virksomheders mulighed for at påberåbe sig databeskyttelsesforordningens bestemmelser, selv om de ikke er omfattet af de rettigheder, der er tillagt heri, dels betingelserne samspillet mellem sådanne retsmidler og det retsmiddelsystem, der er fastsat i denne forordning.
90. Hvad for det første angår virksomheders mulighed for at påberåbe sig databeskyttelsesforordningens bestemmelser skal det påpeges, at denne mulighed i forbindelse med et søgsmål i henhold til national ret som det i hovedsagen omhandlede kun er af indirekte karakter. Virksomheden har nærmere bestemt anlagt sag i henhold til national ret, nærmere bestemt forbuddet mod illoyale konkurrencehandlinger. Den pågældende handlings illoyale karakter følger således af en overtrædelse af databeskyttelsesforordningen. Sagen er med andre ord ikke baseret på en overtrædelse af databeskyttelsesforordningens bestemmelser, men der tages indirekte hensyn til en sådan overtrædelse (25).
91. Domstolen har imidlertid allerede – dog i en anden sammenhæng – tilladt en sådan indirekte hensyntagen. Domstolen fastslog nemlig i dommen i sagen Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), at »en behandling af personoplysninger, som en dominerende virksomhed har foretaget, og som kan udgøre misbrug af denne stilling, er i strid med [databeskyttelsesforordningen]« (26), og at det generelt er nødvendigt at lade »reglerne for beskyttelse af personoplysninger [indgå i] den retlige ramme, som konkurrencemyndighederne skal tage i betragtning, når de undersøger misbrug af dominerende stilling« (27). Domstolen medgav med andre ord, at det strider mod konkurrenceretten, når databeskyttelsesforordningens bestemmelser tilsidesættes.
92. Selv om dette ikke blev fastslået i forbindelse med en tvist mellem private, men i forbindelse med en national konkurrencemyndigheds undersøgelse af en konkurrencebegrænsende praksis, har jeg vanskeligt ved at se, hvorfor det kun skulle være muligt at tage indirekte hensyn til en overtrædelse af databeskyttelsesforordningens bestemmelser i denne situation.
93. Med hensyn til konkurrenceretten vil det nemlig, når der tillades en sådan hensyntagen i forbindelse med public enforcement, efter min opfattelse være nødvendigt at gøre det samme i forbindelse med private enforcement og dermed for så vidt angår tvister mellem private, som ikke i det væsentlige vedrører en krænkelse af en rettighed, der er tillagt ved databeskyttelsesforordningen, eftersom private ellers ikke vil kunne opnå erstatning for en skade, der skyldes en overtrædelse af konkurrenceretten, selv om denne er fastslået af en konkurrencemyndighed.
94. Desuden kan beskyttelsen af personoplysninger, som generaladvokat Richard de la Tour har anført, have »forgreninger […] på andre områder vedrørende bl.a. arbejdsret, konkurrenceret eller forbrugerret« (28). Databeskyttelsesforordningen indflydelse på andre områder bør efter min opfattelse gøre det muligt at tage hensyn til denne forordnings bestemmelser i forbindelse med sager, som i det væsentlige vedrører bestemmelser, der ikke indgår i denne forordning.
95. Hvad for det andet angår spørgsmålet om samspillet mellem nationale retsmidler, hvor der indirekte tages hensyn til databeskyttelsesforordningens bestemmelser, og det retsmiddelsystem, der er indført ved denne forordning, bør sådanne retsmidler efter min opfattelse kun tillades, såfremt de ikke berører retsmiddelsystemet i den nævnte forordning eller opfyldelsen af dennes formål.
96. Disse betingelser følger af retspraksis vedrørende et harmoniseret retsmiddelsystems udtømmende karakter i forhold til nationale retsmidler, der støttes på den samme rettighed (29). De bør derfor så meget desto mere være opfyldt, når der er tale om nationale regler, som giver virksomheder ret til at anlægge sag på grundlag af national ret og ikke med støtte i den samme rettighed under påberåbelse af overtrædelser af de materielle bestemmelser i databeskyttelsesforordningen, som en anden virksomhed hævdes at have begået.
97. Det skal derfor efterprøves, om disse betingelser er opfyldt i det foreliggende tilfælde.
98. Hvad indledningsvis angår spørgsmålet om, hvorvidt et søgsmål med påstand om forbud, som en virksomhed har anlagt mod en konkurrent under påberåbelse af dennes tilsidesættelse af databeskyttelsesforordningens bestemmelser, berører det retsmiddelsystem, der er fastsat i denne forordnings kapitel VIII, er dette efter min opfattelse ikke tilfældet. Disse retsmidler giver nemlig de registrerede eller de af dem bemyndigede organer, organisationer eller sammenslutninger, som ikke arbejder med gevinst for øje, ret til at indgive klage til en tilsynsmyndighed (artikel 77), retsmidler over for en afgørelse truffet af en tilsynsmyndighed (artikel 78), at anlægge sag mod en dataansvarlig eller en databehandler (artikel 79) eller erstatning for skade som følge af en overtrædelse af forordningen fra den dataansvarlige eller databehandleren (artikel 82).
99. Som Domstolen har fremhævet i sin praksis, regulerer databeskyttelsesforordningens kapitel VIII med andre ord »de retsmidler, der gør det muligt at beskytte den registreredes rettigheder, når personoplysningerne vedrørende vedkommende har været genstand for en behandling, der angiveligt er i strid med nævnte forordnings bestemmelser«, idet beskyttelsen af disse rettigheder »kan […] påberåbes enten direkte af den registrerede eller af et bemyndiget organ/en bemyndiget organisation, når der foreligger eller ikke foreligger bemyndigelse hertil« (30).
100. Under disse omstændigheder er den sag, som en virksomhed kan anlægge mod en konkurrent under påberåbelse af sidstnævntes tilsidesættelse af databeskyttelsesforordningen, ganske vist i sidste ende baseret på en overtrædelse af den samme bestemmelse, men den forfølger ikke det samme formål, og parterne er ikke de samme. Et sådant retsmiddel i henhold til national ret er med andre ord ikke udviklet med henblik på at sikre overholdelsen af de rettigheder, som de registrerede har.
101. Det følger efter min opfattelse heraf, at retsmidlerne for de personer, der er omfattet af det retsmiddelsystem, som er indført ved databeskyttelsesforordningen, bevares og stadig kan anvendes, selv om en virksomhed har anlagt sag mod en konkurrent.
102. Det bør i denne henseende ligeledes præciseres, at det er uklart, i hvilket omfang sådanne retsmidler som anført af Kommissionen kan bringe det offentlige retshåndhævelsessystem, der er fastsat i databeskyttelsesforordningen, i fare, for så vidt som denne forordning ud over at fastsætte et sådant offentligt system udtrykkeligt gør det mulig for en registreret at gøre sine rettigheder i henhold til databeskyttelsesforordningen gældende i forbindelse med retslige procedurer.
103. Hvad dernæst angår de formål, der forfølges med databeskyttelsesforordningen, fremgår det af tiende betragtning hertil, at denne forordning bl.a. har til formål at sikre et højt niveau for beskyttelse af fysiske personer og at sikre, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet.
104. Det synes ikke at true opfyldelsen af disse formål, at en virksomhed har mulighed for at anlægge et negatorisk søgsmål med støtte i forbuddet mod illoyale konkurrencehandlinger mod en konkurrent under påberåbelse af dennes tilsidesættelse af databeskyttelsesforordningens bestemmelser. Det er dels min opfattelse, at muligheden for, at en virksomheds konkurrent kan påberåbe sig denne virksomheds overtrædelse af de materielle bestemmelser i databeskyttelsesforordningen, tilgodeser og endog styrker det høje niveau for beskyttelse af fysiske personer i forbindelse med behandling af deres personoplysninger. Dels er den øgede adgang for andre personer end de registrerede til at påberåbe sig disse bestemmelser ikke til fare for opfyldelsen af formålet om en konsekvent og ensartet beskyttelse inden for Unionen. Selv om medlemsstaterne ikke har indført en sådan mulighed, fører dette nemlig ikke til en fragmentering af gennemførelsen af databeskyttelse i Unionen, da de materielle bestemmelser i databeskyttelsesforordningen gælder på samme måde for alle virksomheder, og deres overholdelse sikres af de retsmidler, der er fastsat i denne forordning.
105. Hvad endelig angår databeskyttelsesforordningens effektive virkning, der på ingen måde berøres af en virksomheds mulighed for at anlægge et søgsmål med påstand om forbud mod en konkurrent under påberåbelse af en overtrædelse af denne forordning, synes denne som nævnt at blive forstærket af den omstændighed, at overholdelsen af bestemmelserne i denne forordning ligeledes kan sikres i forbindelse med retslige procedurer, som adskiller sig fra dem, der er omhandlet i det retsmiddelsystem, der er indført ved denne forordning.
106. Det er under disse omstændigheder min opfattelse, at et søgsmål med påstand om forbud, som en virksomhed anlægger mod en konkurrent under påberåbelse af dennes overtrædelse af databeskyttelsesforordningens bestemmelser, kan eksistere side om side med de retsmidler, der er indført ved databeskyttelsesforordningens kapitel VIII, for så vidt som det ikke berører disse retsmidler og ikke er til fare for denne forordnings formål og effektive virkning.
107. Jeg foreslår som følge heraf, at Domstolen fastslår, at bestemmelserne i databeskyttelsesforordningens kapitel VIII ikke er til hinder for nationale regler, der giver virksomheder ret til med støtte i forbuddet mod illoyale konkurrencehandlinger at påberåbe sig overtrædelser af de materielle bestemmelser i denne forordning, som deres konkurrenter hævdes at have begået.
V. Forslag til afgørelse
108. Jeg foreslår, henset til samtlige ovenstående betragtninger, at Domstolen besvarer de præjudicielle spørgsmål, som Bundesgerichtshof (forbundsdomstol, Tyskland) har forelagt, således:
»Artikel 4, nr. 15), og artikel 9, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
skal fortolkes således, at
de oplysninger, som en apotekers kunder videregiver i forbindelse med bestillinger på en platform for onlinesalg af lægemidler, hvis salg er forbeholdt apoteker, men som ikke er receptpligtige, ikke udgør »helbredsoplysninger«.«