OLG Hamburg, Urteil vom 25.10.2018, Az. 3 U 66/17
§ 3a UWG, § 8 Abs. 1 UWG, § 8 Abs. 3 Nr. 1 UWG; EGRL 46/95; Art. 24 EUV 2016/679; § 28 Abs. 7 BDSG
Zur Besprechung dieser Entscheidung hier (OLG Hamburg – Abmahnung bestimmter Datenschutzrechtsverstöße); den Volltext finden Sie unten:
Benötigen Sie Hilfe zur Datenschutzgrundverordnung / DSGVO?
Droht Ihnen eine Abmahnung, eine einstweilige Verfügung oder eine Unterlassungsklage? Wir prüfen gern für Sie, ob ihre datenschutzrechtlichen Informationen rechtmäßig sind oder beraten Sie, wenn Sie deswegen bereits zur Unterlassung aufgefordert wurden. Rufen Sie uns gleich an: 04321 / 390 550 oder 040 / 35716-904. Schicken Sie uns Ihre Unterlagen gern per E-Mail (info@damm-legal.de) oder per Fax (Kontakt). Die Erstprüfung von Unterlagen und unsere Ersteinschätzung ist für Sie kostenlos. Rechtsanwalt Dr. Damm ist als Fachanwalt für IT-Recht und zertifizierter Datenschutzbeauftragter (TÜV) mit dem Datenschutzrecht bestens vertraut (Gegnerliste) und hilft Ihnen zeitnah, die für Sie beste Lösung zu finden.
Hanseatisches Oberlandesgericht Hamburg
Urteil
Auf die Berufung der Beklagten wird das Urteil des Landgerichts Hamburg vom 02.03.2017, Az. 327 O 148/16, abgeändert.
Die Klage wird abgewiesen.
Die Klägerin hat die Kosten des Rechtsstreits beider Instanzen zu tragen.
Das Urteil ist vorläufig vollstreckbar. Die Klägerin darf die Zwangsvollstreckung der Beklagten wegen der Kosten durch Sicherheitsleistung in Höhe von 110% des aus dem vorliegenden Urteil insgesamt vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages leistet.
Die Revision wird zugelassen.
Tatbestand
I.
Die Klägerin, die wie die Beklagte Therapieallergene für die spezifische Immuntherapie (SIT) herstellt und vertreibt, nimmt die Beklagte bezogen auf die konkrete Verletzungsform eines Bestellbogens, wie er dem angegriffenen Urteil des Landgerichts als Anlage beigefügt ist, auf Unterlassung der Benutzung von Bestellbögen für derartige Therapieallergene in Anspruch, wenn deren Benutzung erfolgt, ohne die erforderliche Einwilligung der Patienten zur Erhebung, Verarbeitung und Nutzung personenbezogener Gesundheitsdaten der Patienten einzuholen. Weiter macht die Klägerin bezogen auf solche Handlungen Auskunfts- sowie – wegen der vorgerichtlichen Abmahnkosten – Zahlungs-Ansprüche geltend und begehrt auch die Feststellung der Schadensersatzpflicht der Beklagten. Neben den Parteien gibt es nur noch zwei weitere maßgebliche Wettbewerber auf dem Gebiet der Herstellung und des Vertriebs von Therapieallergenen.
Bei den für die SIT hergestellten Immuntherapeutika, deren Gabe eine Hyposensibilisierung der Patienten bewirken soll, handelt es sich einerseits um nach dem AMG und der Therapieallergene-Verordnung (TAV) – zulassungspflichtige – Fertigarzneimittel und andererseits um aufgrund einer Rezeptur individuell für den Patienten hergestellte – und damit nicht zulassungspflichtige – Mittel. Sie sind sämtlich verschreibungs- und apothekenpflichtig. Die Hyposensibilisierungsbehandlung dauert durchschnittlich drei bis fünf Jahre, in denen dem Patienten regelmäßig alle vier bis sechs Wochen Therapieallergene injiziert werden. Es gibt auch Therapieallergene, die sublingual verabreicht werden. Die Beklagte vertreibt indes nur Injektionslösungen. Sie werden in Schachteln mit 1-2 Vials (Injektionsfläschchen) geliefert, die jeweils Therapieallergene für fünf Anwendungen enthalten. Die Therapieallergene sind in den Vials im geöffneten Zustand vier Monate haltbar, sonst 5 Jahre. Eine Schachtel wird bei den behandelnden Ärzten – in der Regel im Bereich der Allergologie spezialisierte Ärzte – für die Dauer der Behandlung des Patienten mehrere Monate im Kühlschrank aufbewahrt. Dabei ist es üblich, dass Ärzte diese Mittel für rund 200 Patienten gleichzeitig lagern. Es kommt aber auch vor, dass ein Arzt 500 und mehr Patienten gleichzeitig mit Therapieallergenen behandelt.
Die Bestellung von Therapieallergenen erfolgt über den behandelnden Arzt. Dieser wählt für einen therapiebedürftigen Patienten ein Unternehmen aus, das Therapieallergene anbietet. Jedes Unternehmen verwendet für die Bestellung dieser Therapieallergene eigene Bestellbögen. Mittels dieser Bögen werden die Therapieallergene bestellt. Die Bögen werden vom Arzt ausgefüllt. In den Bestellbögen der Beklagten ist vorgesehen, dass nicht nur Name und Geburtsdatum des Patienten oder – falls abweichend – des Versicherten, sondern auch die Kassen-Nr., die Versicherten-Nr., der Status des Versicherten (die Beklagte behauptet, dass diese Informationen in den meisten Fällen erst nach der Bestellung bei ihr von der Apotheke im Rahmen der Abrechnung oder gar nicht ergänzt werden), die Vertragsarzt.-Nr., die Kunden-Nr., die Informationen über die jeweiligen Allergien des Patienten und der Name sowie die Anschrift des behandelnden Arztes nebst dessen Kunden-Nr. eingetragen werden. Der Arzt versieht solche Bestellbögen an deren Ende unten rechts mit seiner Unterschrift. Wiederum darunter befindet sich ein „Hinweis“, in dem es heißt, dass der Arzt versichert, dass der Bestellbogen mit dem Patientennamen zum Zwecke der Qualitätssicherung und der Abwicklung der Bestellung mit Einverständnis des Patienten an die … GmbH (Beklagte) übermittelt wird. Die … GmbH versichert in dem Hinweis sodann, dass sie die Daten auch ausschließlich zu den genannten Zwecken und zur Erleichterung von Nachbestellungen nutzt. Das Formular weist keinen Bereich auf, in welchem der Patient selbst eine Erklärung über die Einwilligung zur Nutzung seiner Daten erteilen kann. Die Beklagte holt eine solche Einwilligung nach den nicht angegriffenen Feststellungen des Landgerichts auch nicht ein.
Den mit den genannten Patientendaten und Daten des behandelnden Arztes ausgefüllten Bestellbogen legt der Patient anschließend einer Apotheke vor. Der Apotheker versieht den Bogen mit seinem Stempel, ebenfalls seiner Kunden-Nr. sowie seiner Unterschrift und schickt ihn per Fax oder Post an die Beklagte. Im Anschluss an eine inhaltliche Plausibilitätsprüfung des Bogens durch die Beklagte leitet diese die Bestellung an ihre spanische Muttergesellschaft, die Fa … S.L.U., weiter, die die jeweiligen Mittel herstellt und die mit den Therapieallergenen gefüllten Vials mit Namen und Geburtsdaten des Patienten versieht. Anschließend werden die Vials an die Beklagte versandt, die die Mittel an die jeweilige Apotheke weiterleitet, wo sie vom Patienten abgeholt und zum behandelnden Arzt zum Zwecke der Verabreichung des Mittels gebracht werden.
Die Klägerin, die für die Benutzung der personenbezogenen Daten der Patienten von diesen regelmäßig eine Einwilligung einholt, sieht in der einwilligungslosen Datenbenutzung durch die Beklagte einen Verstoß gegen das Bundesdatenschutzgesetz (BDSG), speziell gegen §§ 3 Abs. 9, 4, 4a und 28 BDSG (im Folgenden BDSG a.F.). Es handele sich bei den erhobenen Daten um – noch dazu sensible (§ 3 Abs. 9 BDSG a.F.) – personenbezogene Daten (§ 3 BDSG a.F.), die nur mit Einwilligung der Betroffenen (§§ 4, 4a BDSG a.F.) erhoben und genutzt werden dürften, weil das BDSG oder eine andere Rechtsvorschrift die Datenbenutzung nicht schon erlaube. § 28 Abs. 7 BDSG a.F. rechtfertige die einwilligungslose Nutzung der Daten entgegen der Ansicht der Beklagten nicht, denn die Datenerhebung sei schon nicht i.S. der Vorschrift zum Zwecke der Gesundheitsversorgung oder Behandlung erforderlich. Der Beklagten stehe eine Pseudonymisierung nach § 3 Abs. 6a BDSG a.F. als milderes Mittel zur Verfügung. Es komme bei der Kennzeichnung der Fläschchen mit den Namen und Geburtsdaten der Patienten entgegen der Behauptung der Beklagten viel eher zu Verwechslungen. Auch gehöre die Beklagte bzw. gehörten ihre Mitarbeiter oder die ihrer spanischen Muttergesellschaft und deren Mitarbeiter nicht zu dem Personenkreis, der nach der genannten Vorschrift personenbezogene Daten im Gesundheitsbereich auch ohne die Einwilligung des Patienten benutzen dürfe, nämlich Ärzte und deren Personal oder sonstige Personen, die einer „entsprechenden Geheimhaltungspflicht unterliegen“. § 28 Abs. 7 Satz 3 BDSG a.F. eröffne entgegen der Ansicht der Beklagten keine Möglichkeit zur einwilligungslosen Datenerhebung, -Verarbeitung oder -nutzung durch die Beklagte bzw. deren Muttergesellschaft und deren jeweiligen Mitarbeiter als „Angehörige eines anderen als in § 203 Abs. 1 und 4 StGB genannten Berufes“ im dort definierten Gesundheitsbereich. Denn das sei nach der Vorschrift „nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre“. Die handelnden Personen müssten also ihrerseits einer nach § 203 StGB strafbewehrten Schweigepflicht unterliegen, was bei dem Personal der Beklagten und ihrer Muttergesellschaft – unstreitig – nicht der Fall sei. Die Vorschrift des § 28 Abs. 7 Satz 3 BDSG a.F. dehne die in § 28 Abs. 7 Satz 1 und 2 BDSG a.F. für den dort genannten Personenkreis (Ärzte und ihr Personal) angeordnete Zweckbindung und Geheimhaltungsverpflichtung entgegen der Annahme der Beklagten nicht auf die in § 28 Abs. 7 Satz 3 BDSG a.F. genannten Berufsgruppen, für die § 203 StGB nicht gelte, aus.
Bei den relevanten Vorschriften des BDSG handele es sich um Marktverhaltensregeln i.S. des § 3a UWG.
Die Klägerin hat mit ihrer der Beklagten am 12.04.2016 zugestellten Klage beantragt,
I. die Beklagte zu verurteilen, es bei Meidung der gesetzlich vorgesehenen Ordnungsmittel zu unterlassen,
im geschäftlichen Verkehr zu Zwecken des Wettbewerbs Bestellbögen für Therapieallergene zu benutzen und/oder benutzen zu lassen, ohne die erforderliche Einwilligung der Patienten zur Erhebung, Verarbeitung und Nutzung personenbezogener Gesundheitsdaten der Patienten einzuholen, wenn dies wie in der aus der Anlage ersichtlichen Art und Weise geschieht;
II. die Beklagte zu verurteilen, Auskunft zu erteilen in welchem Umfang die vorstehend unter Ziff. I. genannten Handlungen begangen wurden, insbesondere unter Angabe der Art und des Umfangs der benutzten Bestellbögen sowie etwaiger daraufhin ohne Einwilligung ausgeführter Bestellungen;
III. festzustellen, dass die Beklagte verpflichtet ist, der Klägerin sämtlichen Schaden zu ersetzen, der ihr durch die vorstehend unter Ziff. I. genannten Handlungen entstanden ist oder noch entstehen wird;
IV. die Beklagte zu verurteilen, an die Klägerin € 1.953,90 nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz ab Rechtshängigkeit zu zahlen.
Die Beklagte hat beantragt, die Klage abzuweisen, und widerklagend,
1. die Klägerin zu verurteilen, es bei Meidung der gesetzlich vorgesehenen Ordnungsmittel zu unterlassen,
im geschäftlichen Verkehr Bestellungen von Therapieallergenen entgegenzunehmen und/oder auszuführen, ohne eine Einwilligung der Patienten in die Erhebung, Verarbeitung und Nutzung personenbezogener Gesundheitsdaten der Patienten einzuholen;
2. der Beklagten Auskunft zu erteilen, in welchem Umfang die vorstehenden unter Ziff. 1. genannten Handlungen begangen wurden, insbesondere unter Angabe der Art und des Umfangs der Benutzung des Bestellbogens sowie der daraufhin ohne Einwilligung ausgeführten Bestellungen;
3. an die Beklagte € 1.973,90 nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz ab Rechtshängigkeit zu zahlen;
4. festzustellen, dass die Klägerin verpflichtet ist, der Beklagten sämtlichen Schaden zu ersetzen, der ihr durch die vorstehend unter Ziff. 1. genannten Handlungen entstanden ist oder noch entstehen wird.
Sie ist der Ansicht, dass es sich bei den maßgeblichen Vorschriften des BDSG nicht um marktverhaltensregelnde Normen i.S. des § 3a UWG handele. Schon deshalb stünden der Klägerin die geltend gemachten Ansprüche nicht zu.
Die einwilligungslose Datenerhebung und Datennutzung sei durch Art 28 Abs. 7 BDSG a.F. datenschutzrechtlich gerechtfertigt. Die angegriffene Datenerhebung sei einerseits zur Vermeidung von Verwechslungen der für den jeweiligen Patienten bestimmten Arzneimittel i.S. des § 28 Abs. 7 BDSG a.F. erforderlich, weil sich der Arzt und sein Personal besser an Namen und Geburtsdaten der Patienten orientieren könnten, um das jeweils richtige Arzneimittel im Kühlschrank des Arztes auffinden zu können, als an einer für den Patienten vergebenen Nummer. Das halte auch das Paul-Ehrlich-Institut (PEI) für sinnvoll (Anlage HL 2). Ebenso halte der Ärzteverband Deutscher Allergologen e.V. (AeDA) eine solche Kennzeichnung für unerlässlich (Anlage HL 3). Die Klägerin selbst weise in ihrer Patienteninformation (Anlage K 2) darauf hin, dass die Pseudonymisierung „das Risiko einer Verwechslung bei der Verwendung des Präparats in der Arztpraxis erhöhen“ könne. Die Mitarbeiter der Beklagten bzw. ihrer Muttergesellschaft gehörten andererseits auch zu dem nach § 28 Abs. 7 BDSG a.F. von dem dortigen Erlaubnistatbestand betroffenen Personenkreis. § 28 Abs. 7 Satz 3 BDSG a.F. dehne die in § 28 Abs. 7 Satz 1 und 2 BDSG a.F. für den dort genannten Personenkreis (Ärzte und ihr Personal) angeordnete Zweckbindung und Geheimhaltungsverpflichtung auf die in § 28 Abs. 7 Satz 3 BDSG a.F. genannten Berufsgruppen aus, obwohl § 203 StGB für diese nicht gelte. Auch jene Mitarbeiter unterlägen einer Geheimhaltungspflicht und seien entsprechend verpflichtet worden.
Zur Begründung der Widerklage hat die Beklagte unter Beweisantritt vorgetragen, die Klägerin habe in drei Fällen auch ohne eine Einwilligung personenbezogene Daten von Patienten erhoben und benutzt.
Die Klägerin hat beantragt, die Widerklage abzuweisen.
Sie hat das Vorbringen der Beklagten zu den drei von der Beklagten angeführten Fällen einer einwilligungslosen Erhebung und Verarbeitung personenbezogener Daten durch die Klägerin zunächst als unsubstantiiert zurückgewiesen und bestritten. Nach weiterer Substantiierung ihres Vorbringens durch die Beklagte (u.a. Anlage HL 5) und Anberaumung einer mündlichen Verhandlung mit Beweisaufnahme durch das Landgericht hat die Klägerin den Beklagtenvortrag unstreitig gestellt.
Das Landgericht hat die Beklagte ebenso antragsgemäß verurteilt wie die Klägerin. Auf das Urteil wird – auch wegen der tatsächliche Feststellungen in erster Instanz – verwiesen.
Dagegen richtet sich die form- und fristgerecht eingereichte Berufung der Beklagten. Die Klägerin hat die auf die Widerklage erfolgte Verurteilung hingenommen. Sie ist nicht Gegenstand des Berufungsverfahrens.
Die Beklagte ist der Ansicht, die Klägerin sei schon nach der bis zum Inkrafttreten der Datenschutzgrundverordnung (DS-GVO) zum 25.05.2018 bestehenden Rechtslage nicht befugt, als Wettbewerberin Verstöße gegen das BDSG gerichtlich zu verfolgen. Bereits die Regelungen der Datenschutzrichtlinie 95/46/EG (DS-RL) legten abschließend den Kreis der wegen einer Verletzung von Datenschutzvorschriften Klagebefugten fest, zu denen Mitbewerber nicht gehörten. Die Richtlinie habe das Ziel der Vollharmonisierung verfolgt.
Jedenfalls nach dem Inkrafttreten der DS-GVO sei die Klägerin nicht mehr klagebefugt. Eine Klagebefugnis von Mitbewerbern auf der Grundlage von § 8 Abs. 3 Nr. 1 UWG i.V.m. § 3a UWG sei mit dem Sanktionssystem der DS-GVO, das abschließend sei und Wettbewerbern keine Klagebefugnis einräume, nicht zu vereinbaren.
Die Beklagte ist im Übrigen der Ansicht, dass die bei Klagerhebung noch geltende Norm des § 28 Abs. 7 BDSG a.F. keine marktverhaltensregelnde Norm i.S. des § 3a UWG sei. Der Schutz von Verbrauchern oder Mitbewerbern als Marktteilnehmer sei nicht Zweck der Vorschriften, sondern lediglich reflexartige Folge dieser datenschutzrechtlichen Regelungen, was aber nicht ausreichend sei, um eine Einstufung der Normen als Marktverhaltensregelungen zu rechtfertigen. Keinesfalls habe jede Norm des BDSG marktverhaltensregelnden Charakter. Es müsse von Fall zu Fall geprüft werden, ob dem so sei. § 28 Abs. 7 BDSG a.F. habe einen rein individualrechtlichen Charakter. Es gehe nur um Gesundheitsvorsorge zum Wohl des Betroffenen, indem die Datenverarbeitung nur im Falle der Erforderlichkeit und bei Bestehen einer Geheimhaltungspflicht erlaubt sei. Im Vordergrund stehe der Verbraucher als Grundrechtsträger und nicht als Markteilnehmer.
Die Daten würden nicht primär als wirtschaftliches Gut, sondern als notwendige Information zum Zwecke der Gesundheitsversorgung verarbeitet. Die Beklagte benutze die Daten nicht zu werbenden Zwecken. Es bestehe deshalb, anders als dies etwa bei der Datenverarbeitung für Zwecke des Adresshandels oder der Werbung der Fall sein könnte (§ 28 Abs. 3 BDSG a.F.), kein Marktbezug.
Im Übrigen sei § 28 Abs. 7 Satz 3 BDSG a.F. ein Erlaubnistatbestand, der die einwilligungslose Erhebung und Benutzung personenbezogener Daten auch durch Hersteller von Arzneimitteln erlaube. § 28 Abs. 7 Satz 3 BDSG a.F. stehe entgegen der Ansicht des Landgerichts nicht im Widerspruch zu Art. 8 Abs. 3 der DS-RL 95/46/EG, denn durch Art. 5 der DS-RL seien den Mitgliedsstaaten die Befugnisse eingeräumt worden, die Voraussetzungen, unter denen eine Verarbeitung personenbezogener Daten rechtmäßig sei, näher zu bestimmen. Dass die Mitarbeiter der Beklagten der nach § 203 StGB strafbewehrten Schweigepflicht nicht unterworfen gewesen seien, ändere nichts, weil das Gesetz nur eine dem entsprechende Geheimhaltungspflicht verlange, ohne dass eine entsprechende Strafbewehrung gefordert sei. Art. 8 Abs. 3 der DS-RL sehe nicht vor, dass ein Verstoß gegen die dort geregelte Geheimhaltungspflicht zwingend strafbewehrt sein müsse. § 39 Abs. 1 BDSG a.F. erweitere das originäre ärztliche Berufsgeheimnis auf Unternehmen wie die Beklagte und erlege diesen eine dem Berufsgeheimnis gleichgerichtete datenschutzrechtliche Geheimhaltungspflicht auf. „Entsprechende“ Geheimhaltungspflichten hätten auch die Mitarbeiter der Beklagten. Sie seien schon gemäß § 5 BDSG a.F. zur Geheimhaltung verpflichtet. Die Rechtsfolgen eines Verstoßes seien vergleichbar, weil die Verletzung der Geheimhaltungspflicht ordnungsgeldbewehrt oder in Fällen des Handelns gegen Entgelt oder der Bereicherungs- oder Schädigungsabsicht auch strafbar sei. Die Verletzung der nach § 28 Abs. 7 BDSG a.F. bestehenden Zweckbindung sei nach § 43 Abs. 2 Nr. 5 i.V.m. § 39 Abs. 1 BDSG a.F. eine Ordnungswidrigkeit.
Spätestens unter der Geltung der DS-GVO würden datenschutzrechtliche Bestimmungen durch die Verwendung der streitgegenständlichen Bestellbögen und der darin liegenden Erhebung und Benutzung personenbezogener Daten nicht mehr verletzt. Nach Art. 9 Abs. 3 DS-GVO i.V.m. mit § 22 Abs. 1 lit. b BDSG n.F. sei die Verarbeitung gesundheitsbezogener Daten nunmehr auch ohne eine Einwilligung der betroffenen Person zulässig, wenn die Verarbeitung für die Versorgung und Behandlung im Gesundheitsbereich erforderlich sei und die Verarbeitung – neben dem ärztlichen Personal – durch sonstige Personen erfolge, die einer – dem ärztlichen Personal entsprechenden – Geheimhaltungspflicht unterliegen. Die letztgenannte Voraussetzung sei im Streitfall erfüllt.
§ 203 StGB habe nämlich eine Neuregelung erfahren. Nach § 203 Abs. 3 und 4 StGB n.F. unterlägen auch an der Berufsausübung schweigepflichtiger Personen mitwirkende Personen der Strafvorschrift des § 203 StGB, nachdem Ärzte und ärztliches Personal ihnen anvertraute Geheimnisse – soweit erforderlich – auch an sonstige Personen, die an ihrer beruflichen Tätigkeit mitwirken, weitergeben dürften. Letzteres sei bei den Mitarbeitern der Beklagten der Fall, denn sie seien in die berufliche Tätigkeit des Apothekers, nämlich in die Bereitstellung der Therapieallergene, eingebunden und unterlägen deshalb der aus § 203 Abs. 3 und 4 StGB folgenden strafbewehrten Geheimhaltungspflicht.
Die Beklagte beantragt, das Urteil des Landgerichts Hamburg vom 02.03.2017 abzuändern und die Klage abzuweisen.
Die Klägerin beantragt, die Berufung zurückzuweisen.
Sie verteidigt das angefochtene Urteil unter Wiederholung und Vertiefung ihres bereits in erster Instanz gehaltenen Vortrags. Die Datenerhebung sei schon nicht erforderlich. In ihren Formularen habe sie lediglich dargelegt, dass sich das Risiko von Verwechslungen durch die Verwendung von Nummer statt Namen erhöhen könne. Der Wortlaut des § 28 Abs. 7 Abs. 3 BDSG a.F. fordere eindeutig, dass die nach dieser Vorschrift handelnden Personen der Schweigepflicht des § 203 Abs. 1 und 3 StGB unterworfen sein müssten.
Das werde auch in der Kommentarliteratur so gesehen und sei bei den Mitarbeitern der Beklagten nicht der Fall. Die Strafandrohung des § 203 StGB sei mit der „simplen inter partes Verpflichtung“, Daten geheim zu halten, nicht vergleichbar. Das zeige auch die Gesetzesbegründung zu § 13 Nr. 7 BDSG a.F., auf die in der Begründung zu § 28 Abs. 7 BDSG a.F. verwiesen werde. Die DS-RL setze nur einen Mindeststandard.
Wegen des weiteren Vortrags der Parteien wird auf den Akteninhalt verwiesen.
Entscheidungsgründe
II.
Die Berufung der Beklagten hat Erfolg. Die Klägerin ist zwar klagebefugt (unten Ziff. 1.), das Landgericht hat die Beklagte aber zu Unrecht entsprechend den Klaganträgen verurteilt (unten Ziff. 2. und 3).
Die Rechtslage hat sich seit Beginn des Rechtsstreits verändert, weil das alte BDSG nach dem Inkrafttreten der DSGVO keine Geltung mehr hat. Das BDSG ist auf der Grundlage der DSGVO entsprechend neu gefasst worden.
1.
Die Klägerin ist gemäß § 8 Abs. 1 und 3 Nr. 1 UWG klagebefugt. Sie ist Mitbewerberin der Beklagten. Sie steht zur Beklagten in einem konkreten Wettbewerbsverhältnis (§ 2 Abs. 1 Nr. 3 UWG), denn beide Parteien vertreiben Therapieallergene.
a)
Die Klagebefugnis muss als Sachurteilsvoraussetzung nicht nur im Zeitpunkt der beanstandeten Wettbewerbshandlung bestanden haben, sondern auch im Zeitpunkt der letzten mündlichen Berufungsverhandlung noch fortbestehen (BGH, Urt. v. 27.04.2017, I ZR 55/16, BGHZ 215, 12, Rn. 15 – Preisportal). Zum Zeitpunkt der beanstandeten Wettbewerbshandlung hatte auf der Grundlage der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 – Datenschutzrichtlinie (im Folgenden DS-RL) – das Bundesdatenschutzgesetz (im Folgenden BDSG a.F.) in der bis zum 08.11.2017 gültigen Fassung Geltung. Zum Zeitpunkt der Berufungsverhandlung am 13.09.2018, nämlich schon zum 25.05.2018, war bereits die VO (EU) 2016/679 vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutzgrundverordnung (Im Folgenden DS-GVO) und auf ihrer Grundlage zum gleichen Zeitpunkt das BDSG in der Fassung vom 30.06.2017 (im Folgenden BDSG n.F.) in Kraft getreten. Die Klägerin muss deshalb sowohl unter der Geltung des BDSG a.F. als auch unter der Geltung der DS-GVO bzw. des BDSG n.F. klagebefugt sein. Das ist der Fall.
b)
Das Landgericht hat sich nicht mit der Frage beschäftigt, ob die Klägerin bezogen auf den beanstandeten Verstoß gegen datenschutzrechtliche Bestimmungen des BDSG a.F. überhaupt klagebefugt ist. Der Senat hat die Frage der Klagebefugnis in seiner vom Landgericht herangezogenen Entscheidung vom 27.06.2013 (WRP 2013, 1203) ebenfalls nicht angesprochen, sondern hat diese als unproblematisch gegeben unterstellt.
Inzwischen ist, worauf die Beklagte hinweist, in der Literatur (vgl. Zech, WRP 2013, 1434, 1436) und in der Rechtsprechung (OLG Düsseldorf, GRUR 2017, 416 ff. – „Gefällt mir“-Button) die Frage aufgeworfen worden, ob das Sanktionssystem der DS-RL ein abschließendes Sanktionssystem mit der Folge enthält, dass Verstöße gegen datenschutzrechtliche Bestimmungen nur durch die nach der DS-RL vorgesehenen Berechtigten mit den dort vorgesehenen Instrumentarien verfolgen können. Dann wären Wettbewerber i.S. von § 8 Abs. 3 Nr. 1 UWG oder qualifizierte Einrichtungen i.S. von § 8 Abs. 3 Nr. 3 UWG, die in der DS-RL nicht angeführt sind, ebenfalls nicht nach § 8 Abs. 1 und Abs. 3 Nr. 1 und 3 UWG klagebefugt. Nach Auffassung des Senats stehen allerdings die Vorschriften der DS-RL einer Klagebefugnis von Wettbewerbern gemäß § 8 Abs. 1 und Abs. 3 Nr. 1 UWG nicht entgegen.
Die DS-RL enthält erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde. Trotz der mit der Richtlinie beabsichtigten Vollharmonisierung – nicht Mindestharmonisierung (so schon zutreffend das Landgericht unter Hinweis auf EUGH, EuZW 2012, 37, Ls. 1) – ist mit der Richtlinie kein abschließendes Rechtsbehelfssystem festgelegt worden ist. Nach Art. 22 DS-RL sehen die Mitgliedsstaaten unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor Beschreiten des Rechtsweges insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, vor, dass „jede Person“ bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann. Die Vorschrift greift den in Art. 2 lit. a) DS-RL definierten Begriff der „betroffenen Person“ nicht auf, sondern sieht die Möglichkeit zur Einlegung eines Rechtsbehelfs bei Gericht ausdrücklich für „jede Person“ vor. Gleiches gilt für die in Art. 23 Abs. 1 DS-RL geregelte Möglichkeit, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die Verarbeitung Verantwortlichen Schadenersatz zu verlangen. Das spricht klar gegen die Installierung eines abschließenden Sanktionssystems und dafür, dass die DS-RL die Möglichkeit gerichtlicher Rechtsbehelfe außerhalb des verwaltungsgerichtlichen Beschwerdeverfahrens nicht ausschließt.
In Art. 22 DS-RL ist zum verwaltungsrechtlichen Beschwerdeverfahren zudem davon die Rede, dass es vor Beschreiten des Rechtsweges „insbesondere“ bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann. Die Regelung spricht damit die Möglichkeit, dass sich jede Person oder ein sie vertretender Verband zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann (Art. 28 Abs. 4 DS-RL) nur beispielhaft („insbesondere“) an. Auch das spricht gegen die Annahme eines durch die DS-RL geschaffenen abschließenden Sanktionssystems.
Schließlich lässt Art. 24 der DS-RL geeignete Maßnahmen, die die volle Anwendung der Bestimmungen der Richtlinie sicherstellen, zu. Zwar verweist Köhler (ZD 2018, 337, 338) bezogen auf die DS-GVO darauf, dass die dortige Regelung in Art. 84 DS-GVO – wie i.Ü. auch Art. 24 DS-RL – mit „Sanktionen“ überschrieben ist und eine Sanktion nicht gleichbedeutend mit einem Rechtsbehelf sei. Ob daraus maßgebliche Schlüsse gezogen werden können, ist im vorliegenden Zusammenhang nicht zu entscheiden, denn jedenfalls in Art. 24 DS-RL ist nur davon die Rede, dass die Mitgliedstaaten „insbesondere“ die Sanktionen festlegen, die bei Verstößen gegen die zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind. Im 1. Halbsatz der Vorschrift heißt es dagegen, dass die Mitgliedstaaten geeignete Maßnahmen ergreifen, um die volle Anwendung der Bestimmungen dieser Richtlinie sicherzustellen. Die volle Anwendung der Bestimmungen der Richtlinie kann aber gerade auch dadurch sichergestellt werden, dass auf lauterkeitsrechtlicher Grundlage Verstöße gegen datenschutzrechtliche Bestimmungen durch Mitbewerber verfolgt werden können, wenn und soweit das Lauterkeitsrecht als Anspruchsgrundlage in Betracht kommt. Im Übrigen enthält die DS-RL, anders als die DS-GVO etwa in Art. 80 Abs. 2 DS-GVO, keinen Ansatz für eine explizite Ermächtigung zur Anwendung nationaler Rechtsbehelfe, die eine Verfolgung datenschutzrechtlicher Rechtsverletzungen durch andere als die jeweils betroffenen Personen zum Gegenstand haben. Daher kann auch nicht – wie es teils für die DS-GVO angenommen wird – im Umkehrschluss festgestellt werden, dass solche Regelungen nach der DS-RL unzulässig wären.
c)
Die Klägerin ist aber auch unter der Geltung der DS-GVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DS-GVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.
Diese insbesondere auch von Köhler (ZD 2018, 337 ders. in: Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3a Rn. 1.40a, 1.74b; ebenso: Barth, WRP 2018, 790 (791); Holländer in: BeckOK Datenschutzrecht, 25. Edition 1. August 2018, Art. 84 Rn. 3.2) vertretene Auffassung, ist auf Kritik gestoßen. Sie basiert vor allem darauf, dass die Art. 77 – 79 DS-GVO der „betroffenen Person“, also derjenigen Person, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DS-GVO) , Rechtsbehelfe zur Seite stellt und die betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist, Organisationen zu beauftragen, die in ihrem Namen die genannten Rechte wahrnimmt. Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor, dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu verfolgen. Dem entnimmt die Beklagte mit Köhler, dass Wettbewerbern die Befugnis, eigene Rechte geltend machen können, nicht zukommt.
Dagegen wird zur Recht eingewendet, dass Art. 80 Abs. 2 DS-GVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRUR-Prax 2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534ff.). Dafür spricht auch, dass zwar in den Art. 77 – 79 DS-GVO Rechtsbehelfe betroffener Personen (Art. 77, 78 Abs. 2, 79 DS-GVO) oder jeder anderen Person (Art. 78 Abs. 1 DS-GVO) geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art. 77 Abs. 1 DS-GVO) bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Art. 78 Abs. 1 und 2, 79 Abs. 1 DS-GVO) Rechtsbehelfs. Und Art. 82 DS-GVO spricht wiederum „jeder Person“, die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen, dass die DS-GVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DS-GVO), nicht ausschließt.
Schließlich heißt es in Art. 84 Abs. 1 DS-GVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung — insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen — festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.). Der Umstand, dass die Vorschrift mit „Sanktionen“ überschrieben ist, spricht entgegen Köhler (ZD 2018, 337, 338) nicht schon gegen diese Feststellung (vgl. Bergt in Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 84 Rn. 2). Gerade im Kontext der Vorschrift des Art. 77 DS-GVO, die für jede betroffene Person auch anderweitige – also nicht in der DS-GVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DS-GVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DS-GVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.
2.
Die geltend gemachten Ansprüche stehen der Klägerin indes in der Sache nicht zu. Dabei muss nicht entschieden werden, ob das von der Klägerin beanstandete Verhalten der Beklagten unter der Geltung der DS-GVO unzulässig ist.
Zwar muss das beanstandete Verhalten der Beklagten, weil der geltend gemachte Unterlassungsanspruch in die Zukunft gerichtet ist, sowohl nach dem zur Zeit des beanstandeten Verhaltens geltenden Recht als auch nach dem zur Zeit der Berufungsverhandlung geltenden Recht wettbewerbswidrig sein (st. Rspr.; vgl. nur BGH, BGHZ 215, 12, Rn. 15 – Preisportal; GRUR 2016, 1076, Rn. 18 m.w.N. – LGA tested). Wäre die angegriffene Handlung der Beklagten – wie vom Landgericht angenommen – unter der Geltung des BDSG a.F. unzulässig und als Wettbewerbsverstoß zu qualifizieren, könnte jedenfalls das ausgesprochene Verbot deshalb nur aufrechterhalten bleiben, wenn die verbotene Handlung auch künftig, also auch unter der Geltung der DS-GVO rechtswidrig wäre.
Der von der Klägerin geltend gemachte Unterlassungsanspruch stand ihr indes schon anfänglich nicht zu. Zwar verstößt die Verwendung der streitgegenständlichen Bestellbögen schon deshalb gegen § 28 Abs. 7 BDSG a.F., weil die Verwendung dieser Bestellbögen durch die Beklagte bzw. ihre Muttergesellschaft und deren jeweiligen Mitarbeiter nicht „erforderlich“ i.S. der genannten Vorschrift ist (unten lit .a)). Bei den in Rede stehenden Normen des BDSG a.F. handelt es sich indes nicht um marktverhaltensregelnde Normen i.S. des § 3a UWG, weshalb die Verwendung der Bestellbögen nicht wettbewerbswidrig ist und der Klägerin als Mitbewerberin der geltend gemachte Unterlassungsanspruch deshalb nicht zusteht (unten lit. b)).
Die von der Klägerin angegriffene Handlung der Beklagten konnte in der Folge schon nicht die für das Entstehen eines Unterlassungsanspruches der Klägerin erforderliche Gefahr begründen, dass sich eine solche – tatsächlich nicht feststellbare – Verletzungshandlung wiederholt. Weitere Verletzungshandlungen, die eine Wiederholungsgefahr hätten begründen können, hat die Klägerin nicht beanstandet. Die Klägerin hat die Verwendung des streitgegenständlichen Bestellbogens durch die Beklagte mit anwaltlichem Schreiben vom 07.12.2015 abmahnen lassen (Anlage K 5). Vortrag zur Verwendung des streitgegenständlichen Bestellbogens durch die Beklagte nach Dezember 2015 und insbesondere unter der Geltung der DS-GVO hat die Klägerin nicht gehalten. Es muss deshalb nicht entschieden werden, ob die Verwendung der streitgegenständlichen Bestellbögen unter der Geltung der DS-GVO rechtmäßig wäre oder nicht. Da der Klägerin aus Wettbewerbsrecht kein Unterlassungsanspruch zusteht, sind auch die Annexansprüche nicht begründet (unten lit. c)).
a)
Die Erhebung bzw. Verarbeitung personenbezogener Daten mittels des streitgegenständlichen Bestellbogens für Therapieallergene ist nicht im Sinne des § 28 Abs. 7 BDSG a.F. „erforderlich“ und deshalb nicht einwilligungslos zulässig. Es bedarf vielmehr für eine solche Datenverarbeitung der Einwilligung des Patienten nach §§ 4, 4 a BDSG a.F..
Die Frage der Erforderlichkeit der einwilligungslosen Erhebung und Verarbeitung personenbezogener Daten mittels der streitgegenständlichen Bestellbögen ist nicht etwa deswegen unstreitig, weil – worauf das Landgericht hingewiesen hat – auch die Klägerin gegenüber den Patienten die Auffassung vertritt, dass eine Pseudonymisierung der in Rede stehenden personenbezogenen Gesundheitsdaten mittels einer PVS-Nummer das Risiko einer Verwechslung bei der Verwendung des Präparats in der Arztpraxis erhöhen kann (Anlage K 2). Denn bei Frage danach, ob die einwilligungslose Datenerhebung i.S. des § 28 Abs. 7 BDSG a.F. erforderlich ist, handelt es sich um eine Rechtsfrage, die die Parteien nicht unstreitig stellen können. Zwar können bei der Beantwortung der Frage nach der Erforderlichkeit einer solchen Datenverarbeitung die Stellungnahmen der Fachgesellschaften, wie des Paul-Ehrlich-Instituts und des Ärzteverbandes deutscher Allergologen e.V. (Anlagen HL 2 und HL 3) nicht unbeachtet bleiben. Der Senat ist indes der Auffassung, dass die dort mit der Beklagten vertretene Ansicht, die Verarbeitung von Name und Geburtsdatum des jeweiligen Patienten sei sinnvoll und werde akzeptiert (PEI) bzw. sei absolut notwendig (AeDA), nicht überzeugend ist.
Das gilt schon für die Verarbeitung von Name und Geburtsdatum des jeweils betroffenen Patienten durch die Beklagte bzw. deren Mitarbeiter oder gar durch die Muttergesellschaft der Beklagten bzw. deren Mitarbeiter. Diese Daten werden in Kombination mit der gleichzeitigen Verordnung konkret auf den Patienten bezogener Therapieallergene zu sensiblen Gesundheitsdaten i.S. der §§ 3 Abs. 9, 28 Abs. 7 BDSG a.F..
Konkrete tatsächliche Anhaltspunkte dafür, dass es infolge einer Pseudonymisierung jener Daten tatsächlich zu einer Risikoerhöhung bei der Anwendung der Präparate kommen könnte, sind nicht dargelegt. Der bloße Hinweis darauf, dass im Kühlschrank des Arztes teils mehrere Hundert verschiedene Therapieallergene gelagert werden, die über den Namen und das Geburtsdatum des Patienten zuverlässiger erfasst werden können, ist insoweit nicht hinreichend. Zudem ist diese Behauptung streitig. Das PEI hält die Beschriftung der Umhüllung des Mittels mit dem individuellen Patientennamen zwar für sinnvoll und verweist auf die gängige Praxis. Das belegt die Risikoerhöhung durch eine abweichende Handhabung, etwa durch eine Pseudonymisierung, indes nicht. Aus der Stellungnahme des AeDA ergibt sich ebenfalls lediglich, dass nach dortiger Auffassung die Arzneimittelsicherheit nur umfassend erfüllt werden kann, wenn die in Rede stehenden Präparate im Rahmen eines dokumentierten und behördlich kontrollierten Herstellungsverfahrens mit dem jeweiligen Patientennamen gut lesbar und klar und eindeutig gekennzeichnet sind. Alternativen werden jeweils nicht erwogen. Ob und welche Erkenntnisse in Fällen einer Pseudonymisierung vorliegen, wird nicht mitgeteilt. Es ist insbesondere nicht erkennbar, welche Verwechslungsgefahren das jeweilige Herstellungsverfahren birgt, bei dem es bei der Übertragung sensibler Daten ebenso zu Fehlern kommen kann wie in der Arztpraxis.
Im Übrigen ist nicht erkennbar, dass die streitige Datenverarbeitung gerade durch die Beklagte bzw. ihre Muttergesellschaft und deren jeweilige Mitarbeiter erfolgen muss, um notwendig der Erhöhung der Gefahr von Verwechslungen der jeweils verordneten Präparate entgegenzuwirken. Konkrete tatsächliche Anhaltspunkte dafür, dass die – hier unterstelltermaßen – nicht der nach § 203 StGB strafbewehrten Geheimhaltungspflicht von Ärzten und Apothekern unterliegenden Mitarbeiter der Beklagten und ihrer Muttergesellschaft die in Rede stehende sensiblen Gesundheitsdaten besser verarbeiten könnten als diejenigen, die – wie insbesondere Apotheker – näheren Kontakt mit dem jeweiligen Patienten haben und der besonderen Geheimhaltungspflicht unterliegen, gibt es nicht. Es kommt aber angesichts des zwischen den Parteien unstreitigen Ablaufs des Bestellvorgangs ohne weiteres in Betracht, dass der Apotheker auf der Grundlage eines Rezepts eine gegenüber der Beklagten pseudonymisierte Bestellung aufgibt, um die dann speziell für diese Bestellung gefertigte und anschließend an ihn gelieferte Therapieallergene für deren weitere Verwendung beim Arzt anhand einer Bestellnummer oder anderen zuverlässigen pseudonymisierten Bestelldaten mit dem Namen und dem Geburtsdatum des Patienten zu versehen. Dafür, dass es dabei mit höherer Wahrscheinlichkeit zu Verwechslungen kommt als im Rahmen der Produktion bei der Beklagten und ihrer Muttergesellschaft, gibt es keine Erkenntnisse. Und der Apotheker gehört gemäß § 203 Abs. 1 Nr. 1 StGB zu dem in § 28 Abs. 7 Satz 1 und 2 BDSG a.F. angesprochenen Personenkreis, der einer der ärztlichen Schweigepflicht entsprechenden Geheimhaltungspflicht unterliegt.
Darauf, dass auch in der Arztpraxis, die nach dem Klagvortrag in den eigentlichen Bestellvorgang der Apotheke nicht eingebunden ist, derartige Beschriftungen an den von den Patienten zur Praxis gebrachten Arzneimittelbehältnissen vorgenommen werden können, kommt es nicht maßgeblich an.
Schließlich ist nichts dafür dargetan, warum es i.S. des § 28 Abs. 7 BDSG a.F. erforderlich ist, mittels des streitgegenständlichen Bestellbogens die weiteren personenbezogenen Daten, deren Erhebung und Verarbeitung die Klägerin ebenfalls als unzulässig rügt, nämlich die Kassen-Nr., die Versicherten-Nr. und der Status des Patienten, ohne Einwilligung des Patienten durch die Beklagte erheben und verarbeiten zu lassen. Die Beklagte macht lediglich Ausführungen zur Erforderlichkeit der Verarbeitung von Namen und Geburtsdatum des Patienten in Verbindung mit der Verarbeitung der Verordnungsdaten zu den jeweiligen Therapieallergenen. Wegen aller weiteren Patientendaten, die mittels des streitgegenständlichen Bestellbogens erhoben werden, ist nicht erkennbar, dass eine Erforderlichkeit bestünde, der Beklagten diese Daten mitzuteilen. Und es ist auch keinesfalls so, dass diese Daten stets erst nach der Lieferung der Arzneimittel an den Apotheker in das Formular eingetragen würden. Die Beklagte behauptet nur, dass das „in den meisten Fällen“ so sei. Danach ist aber unstreitig, dass es auch andere Handhabungen gibt.
Insgesamt ist die Erforderlichkeit für eine einwilligungslose Datenerhebung im streitbefangenen Umfang durch die Beklagte nicht hinreichend dargetan. Das wäre aber vorbehaltlich der nachfolgenden Ausführungen notwendig, denn das BDSG a.F. erfordert für die Verarbeitung personenbezogener Daten grundsätzlich eine Einwilligung der jeweils betroffenen Person (§§ 4, 4a BDSG a.F.), auf die nur unter besonderen Voraussetzungen, wie etwa unter denen des § 28 Abs. 7 BDSG a.F., verzichtet werden kann. Es handelt sich also um ein Verbot mit Erlaubnisvorbehalt (vgl. OLG Köln, MMR 2009, 845), weshalb derjenige, der personenbezogene Daten einwilligungslos verarbeitet, das Vorliegen der insoweit notwendigen Voraussetzungen dartun und gegebenenfalls beweisen muss.
b)
Dass der Beklagten letzteres nicht gelungen ist, verhilft der Klage indes nicht zum Erfolg, denn bei der verletzten Vorschrift des § 28 Abs. 7 BDSG a.F. handelt es sich nicht um eine marktverhaltensregelnde Norm i.S. des § 3a UWG.
Nach § 3a UWG handelt – wenn der Verstoß zu einer spürbaren Beeinträchtigung führen kann – unlauter, wer einer gesetzlichen Vorschrift zuwider handelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt. Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird. Nicht erforderlich ist eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt. Die Vorschrift muss jedoch – zumindest auch – den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken; lediglich reflexartige Auswirkungen zu deren Gunsten genügen daher nicht (BGH, GRUR 2017, 819, Rn. 20 – Aufzeichnungspflicht). Dem Interesse der Mitbewerber dient eine Norm dann, wenn sie die Freiheit ihrer wettbewerblichen Entfaltung schützt; es genügt nicht, dass sie ein wichtiges Gemeinschaftsgut oder die Interessen Dritter schützt, sofern damit nicht gleichzeitig auch die Interessen von Marktteilnehmern geschützt werden sollen (BGH, GRUR 2017, 641, Rn. 20 m.w.N. – Zuzahlungsverzicht bei Hilfsmitteln).
Der Senat hat unter der Geltung des § 4 Nr. 11 UWG (jetzt § 3a UWG) einen solchen marktverhaltensregelnden Charakter in Bezug auf die Vorschrift des 13 Abs. 1 TMG unter Hinweis auf die Erwägungsgründe 6 bis 8 der DS-RL bejaht (Senat, Urt. v. 27.06.2013, 3 U 26/12, WRP 2013, 1203, Rn. 39 f.; a.A. KG, GRUR-RR 2012, 19). Dem hat sich ein Teil der Literatur (vgl. Köhler/Bornkamm/Feddersen, UWG, 36. Aufl., Rn. 1.310b zu § 3a UWG) und der Rechtsprechung (OLG Köln, WRP 2016, 885, Rn. 22 ff.) angeschlossen. Ein anderer Teil der Rechtsprechung geht demgegenüber davon aus, dass Datenschutznormen generell keine marktverhaltensregelnden Normen seien (OLG München, ZD 2012, 330; OLG Düsseldorf, DUD 2004, 631; OLG Frankfurt, NJW-RR 2005, 839). Dem vermag der Senat zwar nicht zu folgen. Mit der Entscheidung des Senats vom 27.06.2013 ist indes – anders als offenbar vom Landgericht angenommen – nicht schon zum Ausdruck gebracht, dass jegliche datenschutzrechtliche Norm marktverhaltensregelnden Charakter hat. In Rechtsprechung und Literatur wird inzwischen zu Recht angenommen, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat.
Nach § 4 Abs. 1 BDSG a.F. dürfen personenbezogene Daten nur erhoben, verarbeitet und genutzt werden, wenn der Betroffene eingewilligt oder eine solche Nutzung durch das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift erlaubt oder angeordnet ist. Das in § 4 Abs. 1 BDSG enthaltene Verbot mit Erlaubnisvorbehalt zielt zwar nicht schon generell darauf ab, Marktverhalten zu regeln. Erfolgt indes eine Datennutzung ohne eine Einwilligung des Betroffenen, dann ist der jeweils für die Datennutzung in Betracht kommende Erlaubnistatbestand darauf zu überprüfen, ob die von ihm gezogenen Grenzen jedenfalls auch den Schutz des Betroffenen in seiner Stellung als Marktteilnehmer bezwecken, was der Fall ist, wenn das geschützte Interesse gerade durch die Marktteilnahme berührt wird (vgl. OLG Köln, MMR 2009, 845).
Das ist in der Rechtsprechung bezogen auf die Nutzung von Daten zu Werbezwecken nach § 28 Abs. 3 BDSG a.F. bejaht worden (OLG Stuttgart, MMR 2007, 437, Rn. 27; OLG Köln, MMR 2009, 845; CR 2011, 680; ZD 2012, 421; OLG Karlsruhe, ZD 2012, 432, Rn. 34; OLG Dresden, BeckRS 2014, 15220, insoweit unklar, ob nur die dort ebenfalls allein streitige Regelung des § 28 Abs. 3 BDSG a.F. oder § 28 BDSG a.F. generell als marktverhaltensregelnd angesehen worden ist ). Für § 28 Abs. 7 BDSG a.F. kann ein marktverhaltensregelnder Charakter indes nicht angenommen werden.
Im Rahmen des Erlaubnistatbestandes von § 28 Abs. 7 BDSG a.F. geht es um besonders sensible Gesundheitsdaten und deren Verarbeitung zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten. Und nicht – wie in § 28 Abs. 3 BDSG a.F. – um eine Datennutzung zum Zwecke der Werbung und damit für Zwecke, die die geschützten Interessen des Betroffenen gerade in Bezug auf seine Marktteilnahme berühren. Die Beklagte hat unbestritten vorgetragen, sie nutze die streitigen personenbezogenen Daten nicht für Werbezwecke. Ein Bezug der Norm zu einer wie auch immer gearteten Teilnahme des Betroffenen oder gar der Klägerin am Markt ist nicht zu erkennen. Zwar meint die Klägerin, sie sei in ihrer Marktstellung betroffen, weil es die Beklagte wegen des Verzichts auf eine Einwilligung leichter habe, an Bestellungen von Therapieallergenen zu kommen, denn der – wie bei der Klägerin – um eine Einwilligung ersuchte Patient könnte dadurch abgeschreckt werden, so dass es die – nach ihrer Ansicht rechtstreue – Klägerin schwerer haben könnte, Kunden zu gewinnen. Das ist aber allenfalls eine reflexartige Folge eines – unterstellten – Verstoßes gegen die Vorschrift der §§ 4, 4a, 28 Abs. 7 BDSG a.F.. Die Person, um deren Daten es hier geht, ist – mag sie im Gesundheitsbereich in anderen Zusammenhängen auch durchaus als Markteilnehmer auftreten – nicht in ihrer Eigenschaft als Verbraucher und Marktteilnehmer angesprochen sondern in ihrer Eigenschaft als Patient und Träger von Persönlichkeitsrechten. Es geht für sie nicht um das Angebot von oder die Nachfrage nach Waren oder Dienstleistungen. Und die Parteien als Marktteilnehmer sind nur insoweit angesprochen als sie die Persönlichkeitsrechte des jeweils betroffenen Patienten bei ihrer Marktteilnahme zu wahren haben. Die Norm verfolgt dabei – anders als die Norm des § 28 Abs. 3 BDSG a.F. – nicht das Ziel, im Verhältnis der Mitbewerber gleiche Marktbedingungen zu schaffen.
Das kann auch nicht allein deshalb angenommen werden, weil die DS-RL nicht nur datenbezogene Grundrechte gewährleisten soll (Erwägungsgrund 1), sondern es in den Erwägungsgründen 6 bis 8 der DS-RL heißt, dass die Richtlinie auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2), und die Regelungen der Richtlinie auch der Beseitigung solcher Hemmnisse diene, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8). Denn die Verfolgung jener – auch marktbezogenen – Ziele setzt voraus, dass die jeweils betroffenen personenbezogenen Daten im konkreten Zusammenhang – wie etwa im Rahmen der Datennutzung zum Zwecke der Werbung – jedenfalls auch aus Gründen der Betätigung der jeweiligen Personen bzw. Unternehmen am Markt, also für die wettbewerbsrelevante Ausübung von Wirtschaftstätigkeiten, erhoben und verarbeitet werden. Das ist aber bei den im Streit stehenden sensiblen personenbezogenen Gesundheitsdaten, deren Schutz nach der Regelung des § 28 Abs. 7 BDSG a.F. allein zum Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten dadurch eingeschränkt werden darf, dass eine Datenerhebung und -verarbeitung ausnahmsweise auch ohne Einwilligung des Betroffenen erfolgen kann, nicht der Fall. Hier geht es allein um die Gesundheit des Patienten sowie den Schutz seiner datenbezogenen Grundrechte und nicht um dessen Marktteilnahme oder die Marktbetätigung von Wettbewerbern.
Damit fehlt es letztlich an einer den Unterlassungsanspruch der Klägerin tragenden Anspruchsgrundlage. Deshalb muss die zwischen den Parteien streitige und vom Landgericht unter Hinweis auf Art. 8 Abs. 3 der DS-RL verneinte Frage, ob § 28 Abs. 7 Satz 3 BDSG a.F. mit der Beklagten so auszulegen ist, dass die Vorschrift die einwilligungslose Datenverarbeitung zu den in der Vorschrift genannten Zwecken auch durch solche Dritte erlaubt, die nicht der strafbewehrten Geheimhaltungspflicht des § 203 StGB unterliegen, sondern nur einer – ggfls. ordnungsmittelbewehrten – allgemeinen Geheimhaltungspflicht des § 5 BDSG (Datengeheimnis), nicht entschieden werden.
c)
Fehlt es nach dem Vorstehenden mangels einer Verletzung lauterkeitsrechtlicher Vorschriften durch die Beklagte an einem Unterlassungsanspruch der Klägerin, dann gehen auch die geltend gemachten Annexansprüche ins Leere und ist die Klage auch insoweit mangels eines wettbewerbswidrigen Verhaltens der Beklagten, das Grundlage solcher Ansprüche sein könnte, abzuweisen.
3.
Die Kostenentscheidung folgt aus § 91 Abs. 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit aus §§ 708 Ziff. 10, 709 Satz 2, 711 ZPO.
4.
Der Senat hat die Revision zugelassen, weil die Fragen, ob die DS-RL und/oder die DS-GVO der Klagebefugnis des Wettbewerbers entgegenstehen, bislang noch nicht höchstrichterlich entschieden ist. Ebenso wenig die Frage nach der generellen oder nur partiellen Einordnung datenschutzrechtlicher Bestimmungen als marktverhaltensregelnde Normen i.S. des § 3a UWG. Die Revisionszulassung ist auf diese Gesichtspunkte nicht beschränkt. Die Sache hat grundsätzliche Bedeutung und erfordert zur Fortbildung des Rechts eine Entscheidung des Revisionsgerichts (§ 543 Abs. 2 Nr. 1. und 2 ZPO).