mit Rechtsanwalt Samuel Schrepfer

Online-Bestellungen von apothekenpflichtigen Produkten sind längst alltägliche Praxis geworden. Was Verbraucher:innen als einfachen Bestellvorgang empfinden, entfaltet jedoch im Hintergrund erhebliche datenschutzrechtliche Relevanz: Name, Anschrift und das bestellte Arzneimittel lassen Rückschlüsse auf den Gesundheitszustand zu.

Damit handelt es sich nicht mehr um bloße Kund:innendaten, sondern um besonders geschützte
Gesundheitsdaten nach Art. 9 DSGVO, deren Verarbeitung eine ausdrückliche Einwilligung voraussetzt.

Der Bundesgerichtshof (BGH) hat in seiner Entscheidung „Arzneimittelbestelldaten III“ vom 27.03.2025 (Az. I ZR 222/19) klargestellt, welche Folgen fehlende Einwilligungen für Händler:innen haben – insbesondere für diejenigen, die ihre Produkte über Drittplattformen wie Amazon Marketplace vertreiben.

Worum ging es?
Ein Apotheker bot apothekenpflichtige Produkte über Amazon Marketplace an. Die Plattform holte jedoch keine Einwilligung für die Verarbeitung der sensiblen Gesundheitsdaten ein. Ein Mitbewerber mahnte dies ab und bekam Recht. Der BGH sah im Fehlen der Einwilligung zugleich einen Verstoß gegen § 3a UWG. Datenschutzverstöße, so das Gericht, können unmittelbar wettbewerbsrechtlich geahndet werden.

Wesentliche Leitlinien des BGH
1. Art. 9 DSGVO ist eine Marktverhaltensregel
Der Schutz gesundheitsbezogener Daten betrifft unmittelbar das Marktverhalten. Händler:innen müssen sicherstellen, dass die Einwilligung rechtskonform eingeholt wird auch dann, wenn sie über Plattformen verkaufen.

2. Mitbewerber dürfen Verstöße verfolgen
Nicht nur die Datenschutzbehörden, auch Konkurrent:innen können fehlende Einwilligungen abmahnen. Damit wird das Gesetz gegen den unlauteren Wettbewerb (UWG) zum zusätzlichen Durchsetzungsinstrument der DSGVO.

3. DSGVO und UWG greifen parallel
Die DSGVO schließt wettbewerbsrechtliche Ansprüche nicht aus. Datenschutz wird so zum doppelt Compliancethema mit doppeltem Risiko: behördliche Sanktionen einerseits, wettbewerbsrechtliche Angriffe andererseits.

Was bedeutet das für betroffene Händler:innen – besonders im Onlinehandel?
1. Einwilligungen müssen zwingend eingeholt werden.
Wer Gesundheitsdaten verarbeitet, benötigt eine ausdrückliche, nachweisbare Einwilligung. Fehlt sie, drohen Abmahnungen, Unterlassungsansprüche und Bußgelder.

2. Datenschutzhinweise müssen klar sein.
Verbraucher:innen müssen nachvollziehen können, welche Daten verarbeitet werden und wofür. Unklare oder zu pauschale Angaben reichen nicht aus.

3. Drittplattformen bergen besondere Risiken.
Händler:innen, die ihre Produkte über Amazon & Co. verkaufen, tragen trotz technischer Abhängigkeit die datenschutzrechtliche Verantwortung. Fehlen auf der Plattform Einwilligungsmechanismen, trifft dies auch den Händlerinnen und nicht (nur) den Plattformbetreiber.

Das Urteil des BGH hat somit erhebliche praktische Bedeutung für alle Marktteilnehmer:innen, die Gesundheitsdaten verarbeiten, insbesondere für Apotheken, Versandhändler:innen und Anbieter auf Online-Marktplätzen. Datenschutzverstöße stellen nicht länger ausschließlich einen Gegenstand behördlicher Aufsicht dar, sondern werden zugleich zum wettbewerbsrechtlich relevanten Fehlverhalten. Damit steigt die Notwendigkeit einer sorgfältigen und rechtlich sauberen Gestaltung datenschutzrechtlicher Prozesse.