Schlussanträge des Generalanwaltes beim EuGH: Daten der Kunden eines Apothekers, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, sind keine „Gesundheitsdaten“ nach Art. 9 DSGVO

So die am 25. April 2024 (Az.: C‑21/23) veröffentlichten Ausführungen im Ergebnis. Der Bundesgerichtshof hatte dem EuGH zwei Fragen im Wege eines Vorabentscheidungsersuchens vorgelegt. Die erste Frage, der möglichen Verfolgung über das UWG durch Mitbewerber. Zudem war fraglich, ob bei Kundendaten bei Bestellung von Kunden über Online-Verkaufsplattformen bei entsprechenden Anbietern zu den nach Art. 9 DSGVO besonders schützenswerten personenbezogenen Daten zählen. Dies sieht der Generalanwalt nicht so.

Er führt in seiner Begründung unter anderem aus:

„..Ich stelle daher fest, dass sich auf den ersten Blick nicht leugnen lässt, dass die Online-Bestellung nicht verschreibungspflichtiger Arzneimittel die Verarbeitung von Daten voraussetzt, aus denen bestimmte Informationen über die Gesundheit abgeleitet werden können oder die zumindest bestimmte Hinweise auf die Gesundheit geben, da diese Bestellung eine Verbindung zwischen dem Kauf eines Arzneimittels, eines gesundheitsbezogenen Produkts par excellence, und der Identität des Käufers herstellt. Aus den Gründen, die ich im Folgenden darlegen werde, ergibt sich jedoch meines Erachtens aus den Informationen, die das vorlegende Gericht dem Gerichtshof übermittelt hat, dass diese Verbindung zu schwach ist und dass die Indizien, die sich daraus ableiten lassen, zu ungenau oder hypothetisch sind, um die in Rede stehenden Daten als „Gesundheitsdaten“ im Sinne von Art. 4 Nr. 15 und Art. 9 DSGVO einstufen zu können…

Erstens weise ich in Bezug auf die Produkte, die Gegenstand der Bestellung sind, darauf hin, dass die in Rede stehenden Arzneimittel, d. h. solche, die nicht verschreibungspflichtig sind, grundsätzlich nicht auf die Behandlung eines bestimmten Krankheitszustands abzielen, sondern allgemeiner zur Behandlung von Alltagsbeschwerden verwendet werden können, die bei jedem auftreten können und nicht für eine bestimmte Krankheit oder einen bestimmten Gesundheitszustand symptomatisch sind. Darüber hinaus werden diese Arzneimittel auch häufig vorsorglich gekauft, um sie im Bedarfsfall zur Verfügung zu haben, z. B. vor Antritt einer Reise zu einem vom gewöhnlichen Aufenthaltsort entfernten Ziel. Beispielsweise lässt eine Bestellung von Paracetamol keine Rückschlüsse auf den genauen Zustand einer Person zu, weil dieser Wirkstoff zur Behandlung einer Vielzahl von Schmerzen und Fieberzuständen indiziert ist und häufig zu den Medikamenten gehört, die Menschen auch ohne besonderen Bedarf zu Hause haben.

Zweitens bedeutet – wie ND ausführt – die Tatsache, dass eine Person online ein nicht verschreibungspflichtiges Arzneimittel bestellt, nicht zwangsläufig, dass diese Person, deren Daten verarbeitet werden, und nicht eine andere Person in ihrem Haushalt oder ihrem Umfeld das Medikament anwenden wird. Es kommt nämlich häufig vor, dass eine Bestellung auf einer Online-Verkaufsseite von einer Person, die ein Konto auf dieser Seite hat, im Namen und auf Rechnung einer Person getätigt wird, die kein Konto hat. Ohne eine Verschreibung, in der die Person, für die das Medikament bestimmt ist, namentlich genannt wird und aufgrund deren davon auszugehen ist, dass der Anwender des Medikaments und der Käufer ein und dieselbe Person sind, kann aus der Bestellung eines online frei zugänglichen Produkts nicht abgeleitet werden, dass dieses Produkt dazu bestimmt ist, vom Käufer und nur von diesem verwendet zu werden. Daraus folgt, dass sich über den Gesundheitszustand der Person, deren Daten verarbeitet werden, vernünftigerweise keine Schlussfolgerungen aus diesen Daten mit der Folge ziehen lassen, dass sie als „Gesundheitsdaten“ eingestuft werden könnten.

Dies gilt umso mehr, als drittens – vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen – eine Person eine Bestellung über das Internet aufgeben kann, ohne genaue Angaben zu ihrer Identität machen zu müssen, insbesondere wenn die Lieferung des Produkts nicht an die Adresse der betreffenden Person, sondern über eine Abgabestelle erfolgt und keine weiteren Angaben zur bürgerlichen Identität für Rechnungszwecke erforderlich sind.

Ich bin daher der Auffassung, dass die zweite Vorlagefrage dahin zu beantworten ist, dass die Daten der Kunden eines Apothekers, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, keine „Gesundheitsdaten“ im Sinne von Art. 4 Nr. 15 und Art. 9 DSGVO darstellen, weil aus ihnen nur hypothetische oder ungenaue Rückschlüsse auf den Gesundheitszustand der Person, die die Online-Bestellung vornimmt, gezogen werden können, was zu überprüfen Sache des vorlegenden Gerichts ist.

Im Übrigen muss ich noch darauf hinweisen, dass eine Auslegung des Begriffs „Gesundheitsdaten“ dahin gehend, dass er auch Daten umfasst, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln über eine Online-Verkaufsplattform übermittelt werden, meines Erachtens paradoxerweise dazu führen kann, dass aufgrund des verstärkten Schutzsystems nach Art. 9 Abs. 2 DSGVO mehr sensible Informationen offengelegt werden. Das Erfordernis einer ausdrücklichen Einwilligung in die Verarbeitung von Daten, die bereits als sensibel identifiziert wurden, könnte den Käufer nämlich letztlich dazu veranlassen, die Identität des Endnutzers des Produkts preiszugeben. In diesem Fall könnten sicherere Schlussfolgerungen über den Gesundheitszustand dieser Person gezogen werden…

Hinweis des Autors:

Dies ist noch kein Urteil des EuGH. Dieses wird noch gesprochen, in den meisten Fällen wird aber der Ansicht aus den Schlussanträgen des Generalanwaltes in den Entscheidungen gefolgt.