Inbreukmaker AVG mag aangevochten worden op grond van oneerlijke handelspraktijk

HvJ EU 4 oktober 2024, IT 4642; ECLI:EU:C:2024:846 (Lindenapotheke). In deze zaak vroeg een Duitse apotheker zijn concurrent, de eigenaar van de online verkopende apotheek “Lindenapotheke”, om het verkopen van apotheekgeneesmiddelen te staken, zolang klanten geen voorafgaande toestemming voor gegevensverwerking gaven. Volgens de concurrent vormde het gebrek aan toestemming een schending van de AVG en een verboden oneerlijke handelspraktijk onder Duitse wetgeving. De Duitse rechter stelde vragen aan het HvJ EU over de toelaatbaarheid van een rechtsvordering door een concurrent in AVG-zaken, en of de klantinformatie bij de online aankoop van apotheekgeneesmiddelen als gezondheidsgegevens onder de AVG valt. Het Hof oordeelt dat de AVG het niet uitsluit dat concurrenten rechtsvorderingen instellen voor schendingen van de AVG op basis van nationale wetgeving inzake oneerlijke handelspraktijken. Het Hof benadrukte dat deze mogelijkheid naast de handhavingsbevoegdheden van toezichthouders en het recht van betrokkenen op schadevergoeding bestaat, en bijdraagt aan een hoog beschermingsniveau van persoonsgegevens. Verder oordeelt het Hof dat informatie die klanten invoeren bij het bestellen van geneesmiddelen online – zoals namen en adresgegevens – gezondheidsgegevens betreft, omdat deze gegevens inzicht kunnen geven in iemands gezondheidstoestand. Hierdoor moet de verkoper duidelijk en volledig informeren over de gegevensverwerking en expliciete toestemming van de klant vragen, ongeacht of een medisch voorschrift vereist is.

73      In the light of the foregoing considerations, the answer to the first question is that the provisions of Chapter VIII of the GDPR must be interpreted as not precluding national legislation which, alongside the powers of intervention of the supervisory authorities responsible for monitoring and enforcing that regulation and the remedies available to data subjects, confers on competitors of the person allegedly responsible for an infringement of the laws protecting personal data standing to bring proceedings against that person, by means of an action before the civil courts, for infringements of that regulation and on the basis of the prohibition of unfair commercial practices.

94      In the light of the foregoing, the answer to the second question is that Article 8(1) of Directive 95/46 and Article 9(1) of the GDPR must be interpreted as meaning that, in a situation where the operator of a pharmacy markets pharmacy-only medicinal on an online platform, the information which the customers of that operator enter when ordering the medicinal products online, such as their name, the delivery address and the details required for individualising the medicinal products, constitutes data concerning health, within the meaning of those provisions, even where the sale of those medicinal products does not require a prescription.