Der Europäische Datenschutzausschuss (EDSA) hat seinen Bericht über die erste Überprüfung des EU-US-Angemessenheitsbeschlusses am 4. November 2024 veröffentlicht. Die Überprüfung selbst erfolgte bereits am 18. und 19. Juli 2024 in Washington. Der Bericht fällt positiv aus. Der EDSA lobt die schnelle Implementierung des EU-US-Data-Privacy-Framework (DPF) und stellt positive Entwicklungen zum Datenschutz in den USA fest, insbesondere im Hinblick auf die Stärkung des Data Protection Review Court zur Durchsetzung der Datenschutzrechte.
UPDATE: Der EuGH mischt die Karten im Datenschutz neu: Wettbewerbsrechtliche Durchsetzung und Schutz von Gesundheitsdaten
Montag, 21. Oktober 2024
Der EuGH hat am 04.10.2024 in der Rechtssache C‑21/23, über die wir bereits zuvor berichteten, wie folgt entschieden:
1. Die Regelungen der DSGVO stehen einem Unterlassungsanspruch eines Wettbewerbers wegen Vornahme einer unlauteren Handlung nach §§ 8 (1), (3) Nr. 1, 3 UWG nicht entgegen. Die EU-Mitgliedstaaten dürfen die nationalen Rechtsdurchsetzungsmöglichkeiten erweitern, auch über die in der DSGVO enthaltenen Regelungen hinaus.
Insoweit stellt der EuGH klar, dass bei der Auslegung einer unionsrechtlichen Vorschrift nicht nur ihr Wortlaut, sondern auch ihr Kontext und die Regelungsziele zu berücksichtigen sind.
Der EuGH nutzt die Gelegenheit – wie schon in einer seiner Meta-Entscheidungen (EuGH-Urteil vom 28. April 2022, C‑319/20) – zum Wettbewerb zwischen Unternehmen der digitalen Wirtschaft auszuführen und erläutert, dass der Zugang zu personenbezogenen Daten und die Möglichkeit ihrer Verarbeitung zu einem bedeutenden Parameter des Wettbewerbs geworden sind. Um der tatsächlichen wirtschaftlichen Entwicklung Rechnung zu tragen und einen lauteren Wettbewerb zu wahren, könne es daher erforderlich sein, bei der Durchsetzung des Wettbewerbsrechts auch auf die Datenschutzvorschriften abzustellen. Insbesondere weil die Möglichkeit eines Wettbewerbers, auf Unterlassung eines angeblich begangenen Datenschutzverstoßes zu klagen, die praktische Wirksamkeit der Datenschutzanforderungen sogar verstärke und damit das mit der DSGVO angestrebte hohe Schutzniveau verbessere. Insoweit trete die Klagemöglichkeit der Wettbewerber neben die DSGVO-Rechtsbehelfe der Betroffenen.
2. Wenn aus den Daten zum Erwerb von Arzneimitteln Rückschlüsse auf den Gesundheitszustand einer Person gezogen werden können, sind sie als Gesundheitsdaten im Sinne der DSGVO einzuordnen.
Hierzu führt der EuGH aus, dass aus den Daten, die ein Kunde bei der Bestellung von apothekenpflichtigen Arzneimitteln über eine Onlineplattform eingebe, mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person geschlossen werden könne. Eine Bestellung ermögliche insoweit eine Verbindung zwischen einem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen und einer identifizierten oder durch Angaben wie den Namen oder die Lieferadresse identifizierbaren natürlichen Person.
Um ein hohes Schutzniveau für Gesundheitsdaten zu gewährleisten, sei hierbei unerheblich, ob die Datenverarbeitung auf die Verarbeitung von Gesundheitsdaten abziele oder die verarbeiteten Informationen richtig seien. Eine Verarbeitung von Gesundheitsdaten sei auch dann gegeben, wenn ein Nutzer einer Onlineplattform bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln personenbezogene Daten übermittele, auch wenn er dabei nicht offenlege, ob die Bestellung für sich selbst oder eine andere Person erfolge. Hierzu erklärt der EuGH ergänzend, dass – wenn solche Arzneimittel für andere Personen als die Kunden bestellt werden – sich nicht ausschließen lasse, dass ein Bezug zu dieser Person hergestellt werden könne. Dies beispielsweise, wenn die Arzneimittel nicht an den Wohnort des bestellenden Kunden geliefert werden, sondern an den Wohnort eines Dritten.
