Datenschutz Evidence Brief
Geöffnetes Apothekenpaket mit Tablettenblistern neben dem gedruckten EuGH-Urteil C-21/23 Lindenapotheke auf einem Anwaltsschreibtisch

C-21/23 Lindenapotheke: Die rezeptfreie Bestellung ist Art. 9 DSGVO

In C-21/23 hat die Grosse Kammer des EuGH entschieden, dass Bestelldaten für apothekenpflichtige, rezeptfreie Arzneimittel Gesundheitsdaten im Sinn von Art. 9 DSGVO sind. Schweizer Plattformen mit EU-Reichweite müssen Rechtsgrundlage, Bestellprozess und Due Diligence anpassen — und damit rechnen, dass der erste Vorwurf vom Mitbewerber kommt.

Casimir von Firn, MLaw

Am 4. Oktober 2024 hat die Grosse Kammer des Europäischen Gerichtshofs in der Rechtssache C-21/23 Lindenapotheke entschieden: Name, Lieferadresse und Produktangabe, mit denen eine Kundin ein apothekenpflichtiges, aber rezeptfreies Arzneimittel online bestellt, sind Gesundheitsdaten im Sinn von Art. 9 Abs. 1 DSGVO. Das Argument, ohne ärztliche Verschreibung entstünden keine Gesundheitsdaten, trägt damit nicht mehr. Wer EU-Kundinnen und -Kunden beliefert, braucht eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO oder einen anderen Erlaubnistatbestand des Absatzes 2, und muss damit rechnen, dass der erste Brief nicht von der Aufsichtsbehörde, sondern vom Mitbewerber kommt.

ND betreibt unter dem Firmennamen Lindenapotheke einen Verkauf apothekenpflichtiger Arzneimittel über den Amazon-Marketplace. DR, ein konkurrierender Apotheker, beantragte Unterlassung mit dem Argument, ohne ausdrückliche Einwilligung der Bestellenden lägen unzulässige Verarbeitungen von Gesundheitsdaten vor. Über die Berufungsinstanz und den Bundesgerichtshof landete die Vorlage in Luxemburg. Die Grosse Kammer folgt der OT-Linie (C-263/21): Daten fallen unter Art. 9 Abs. 1 DSGVO, sobald sich aus ihnen Aussagen über die Gesundheit der betroffenen Person ableiten lassen, und sei diese Ableitung wahrscheinlichkeitsbasiert. Wer Name, Lieferadresse und konkretes Präparat zusammenführt, ermöglicht genau diesen Schluss. Dass die Ableitung im Einzelfall unscharf bleibt (Bestellung für Dritte, Vorratshaltung), schliesst die Anwendung nicht aus. Die Lesart von Bird & Bird trifft den Punkt: Es genügt die wahrscheinlichkeitsbasierte Verknüpfung, ein zwingender Schluss auf eine Erkrankung ist nicht erforderlich. Der Generalanwalt hatte die entgegengesetzte Auffassung vertreten — ohne Rezept sei der Schluss auf einen Gesundheitszustand zu unscharf für Art. 9 Abs. 1; die Grosse Kammer ist dieser Linie nicht gefolgt.

Für Schweizer Plattformen ist die Reichweite unmittelbar. Art. 3 Abs. 2 lit. a DSGVO erfasst Verarbeitungen durch Verantwortliche ausserhalb der Union, soweit sie Personen in der Union Waren oder Dienstleistungen anbieten. Damit ist jede Apotheken-, Drogerie- oder Telemedizinplattform mit Sitz in der Schweiz und Lieferadressen im EU-Raum vom europäischen Marktortprinzip erfasst — der operative Standardfall des grenzüberschreitenden Versandgeschäfts. Parallel greift das DSG: Art. 5 lit. c DSG qualifiziert «Daten über die Gesundheit» als besonders schützenswerte Personendaten, Art. 31 DSG verlangt für deren Verarbeitung einen Rechtfertigungsgrund. Der EDÖB hat zur Reichweite der Definition keine spezifische Stellungnahme zum Apothekenversand veröffentlicht. Eine Übertragung der EuGH-Auslegung auf die parallele Begriffsbestimmung im DSG liegt jedoch nahe; die Aufbereitung der Walder-Wyss-Datenrechtsgruppe liest das Urteil entsprechend als für die Schweizer Praxis relevant.

Die zweite Frage des EuGH ist für die operative Bedrohungslage zentral. Die Mitgliedstaaten dürfen (so die Grosse Kammer) Mitbewerbern eines DSGVO-Verletzers das Recht einräumen, den Verstoss als unlautere Geschäftspraxis zivilgerichtlich anzugreifen. In Deutschland greift damit § 3a UWG voll durch. Für die Schweiz ist die Symmetrie offen: Art. 2 UWG verlangt eine «unlautere» Handlung im Sinn der Geschäftsmoral, und die schweizerische Rechtsbruchnorm-Praxis ist enger als jene zu § 3a UWG. Ob ein Apothekenmitbewerber gegen eine Schweizer Plattform mit der Rüge eines systematischen DSG-Verstosses durchdringt, ist nicht abschliessend geklärt — denkbar wird der Vorwurf erst, wenn er marktstrategisch wirkt und das Treu-und-Glauben-Mass von Art. 2 UWG plausibel reisst.

Drei Punkte gehören auf die Compliance-Agenda jeder Schweizer Apotheken-, Drogerie- oder Telemedizinplattform mit EU-Reichweite. Erstens die Rechtsgrundlage. Art.-9-Daten verlangen eine zweilagige Rechtsgrundlage: einen Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO und, selbständig davon, einen der Tatbestände von Art. 9 Abs. 2 DSGVO. Für den Apothekenversand ist der Art.-9-Abs.-2-Layer typischerweise die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die nach Art. 7 Abs. 1 DSGVO nachweisbar eingeholt und nach Art. 7 Abs. 3 DSGVO jederzeit widerrufbar sein muss. Zweitens der Bestellprozess. Die Einwilligung muss vor der Verarbeitung eingeholt werden, konkret: ein separates Modal beim Einlegen des apothekenpflichtigen Artikels in den Warenkorb, mit Aufklärung über die Einordnung als Gesundheitsdaten und eigener Position in der Auftragshistorie für den Nachweis. Offen bleibt, wie eine wirksame Einwilligung eingeholt werden kann, wenn die Bestellung für eine dem Händler unbekannte Drittperson erfolgt (die Grosse Kammer adressiert dieses Szenario in Rn. 88, ohne die Einwilligungsmechanik aufzulösen). Dieser Punkt ist intern vor Inbetriebnahme des Modals zu klären. Drittens die M&A-Due-Diligence. Wer in den nächsten zwölf Monaten einen Apotheken-, Telemedizin- oder Nahrungsergänzungs-Plattformdeal vorbereitet, hat den Lindenapotheke-Konformitätsstatus der Zielgesellschaft systematisch zu prüfen. Ein flächendeckender Verstoss gehört in den Disclosure-Letter und in die Verhandlung des Garantiekatalogs, nicht in das Standardpaket der Reps and Warranties.

Bekannt ist der materielle Befund: Apothekenpflichtige Bestelldaten fallen unter Art. 9 DSGVO; die Erstreckung auf Vitamine, Sportnahrung und andere Online-Drogeriesortimente folgt der gleichen probabilistischen Logik und dürfte nur noch im Einzelfall anders beurteilt werden. Für Deutschland steht nach dem BGH-Urteil vom 27. März 2025 im Stammverfahren I ZR 222/19 zudem fest, dass sowohl Mitbewerber- als auch Verbandsklagen zulässig sind und die einstweilige Verfügung das realistische Eskalationsinstrument bleibt. Offen ist demgegenüber der Schweizer Vollzug, sowohl in der Reichweite des UWG-Hebels als auch in der Position des EDÖB zum Apothekenversand mit grenzüberschreitendem Geschäft. Was diese Frage entscheidet, ist das nächste UWG-Verfahren vor einem Schweizer Zivilgericht oder eine publizierte EDÖB-Stellungnahme zur Übertragung der EuGH-Auslegung. Die Einwilligungsumstellung ist davon unabhängig fällig — die DSGVO-Reichweite trifft das grenzüberschreitende Versandgeschäft schon heute.