Bundesgerichtshof, EuGH-Vorlage vom 12.01.2023, Az. I ZR 223/19

A. Der Kläger betreibt eine Apotheke in M.   . Der [X.]ist ebenfalls Apotheker und betreibt in G.       eine Apotheke. Er ist Inhaber einer Versandhandelserlaubnis und vertreibt sein Sortiment auch im [X.]unter der Adresse "www.u.          .de". Darüber hinaus handelte der [X.]sein Sortiment, das apothekenpflichtige Medikamente einschließt, im Jahr 2017 über die [X.]"Amazon-Marketplace" (im Folgenden: Amazon); er war dort mit dem Verkäuferprofil "A.    " vertreten.

Der Kläger beanstandet den Vertrieb apothekenpflichtiger Medikamente über [X.]als unlauter unter dem Gesichtspunkt des [X.]wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer datenschutzrechtlichen Einwilligung des Kunden.

Der Kläger hat beantragt, dem [X.]unter Androhung von [X.]zu verbieten,

Das [X.]hat der Klage stattgegeben (LG Dessau-Roßlau, CR 2018, 646). Die Berufung des [X.]hat das Berufungsgericht (OLG Naumburg, WRP 2020, 114) zurückgewiesen. Der [X.]verfolgt mit der vom Berufungsgericht zugelassenen Revision seinen Antrag auf Klageabweisung weiter. Der Kläger beantragt die Zurückweisung der Revision, hilfsweise mit der Maßgabe, dass es im [X.]statt "(als besondere Daten im Sinne des § 3 Abs. 9 des Bundesdatenschutzgesetzes)" heißt "(als besondere Daten im Sinne von Art. 9 DSGVO)".

B. Der Erfolg der Revision hängt von der Auslegung des [X.]ab. Darüber hinaus hängt der Erfolg der Revision auch von der Auslegung von Art. 9 DSGVO und Art. 8 Abs. 1 [X.]ab. Vor einer Entscheidung über die Revision ist deshalb das Verfahren auszusetzen und gemäß Art. 267 Abs. 1 Buchst. b und Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der [X.]einzuholen.

I. Das Berufungsgericht hat angenommen, der gegen den Vertrieb von apothekenpflichtigen Medikamenten über die [X.][X.]gerichtete Unterlassungsantrag sei unter dem Gesichtspunkt des [X.]gemäß § 8 Abs. 1 UWG begründet. Der beanstandete Vertrieb stelle eine unlautere und damit gemäß § 3 Abs. 1 UWG unzulässige geschäftliche Handlung dar, weil er gegen eine gesetzliche Vorschrift im Sinne von § 3a UWG verstoße. In dem Vertrieb apothekenpflichtiger Medikamente über [X.]liege eine Verarbeitung von Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO, in die die Kunden nicht gemäß Art. 9 Abs. 2 Buchst. a [X.]ausdrücklich eingewilligt hätten und die auch sonst nicht gesetzlich erlaubt sei. Bei den erfassten Bestelldaten handele es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO. Aus ihnen könnten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden. Die Regeln der [X.]seien in der vorliegenden Fallkonstellation als Marktverhaltensregelungen im Sinne des § 3a UWG anzusehen. Der Kläger sei als Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG berechtigt, den Unterlassungsanspruch im Wege der Klage durchzusetzen.

II. Für den Erfolg der Revision kommt es darauf an, ob der Kläger als Mitbewerber befugt ist, wegen Verstößen gegen die [X.]gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen (Vorlagefrage 1, dazu B II 1). Außerdem kommt es darauf an, ob es sich bei den Daten, die Kunden des [X.]bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform einzugeben haben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO sowie Daten über Gesundheit im Sinne von Art. 8 Abs. 1 [X.]handelt (Vorlagefrage 2, dazu B II 2).

1. Der Kläger hat geltend gemacht, dass der [X.]im Rahmen des Vertriebs von apothekenpflichtigen Arzneimitteln auf [X.]mit der Verarbeitung der Bestelldaten der Kunden - also des Namens des Kunden, der Lieferadresse und der für die Individualisierung des bestellten Medikaments notwendigen Informationen - Gesundheitsdaten verarbeite, ohne die insoweit geltenden besonderen gesetzlichen Anforderungen an die Zulässigkeit der Verarbeitung von Gesundheitsdaten gemäß § 4 Abs. 1, § 4a Abs. 1 und 3, § 28 Abs. 7 Satz 1 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (aF) zu erfüllen. Damit hat er seine Klage auf Vorschriften gestützt, die gemäß Art. 99 Abs. 2 DSGVO ab dem 25. Mai 2018 durch Art. 9 Abs. 1 und 2 Buchst. a und h [X.]ersetzt worden sind. Mit der Ingeltungsetzung der [X.]könnte die ursprünglich bestehende Befugnis des Klägers zur Geltendmachung der Verletzung dieser Anforderungen an eine zulässige Verarbeitung von Gesundheitsdaten durch eine Klage vor den Zivilgerichten entfallen sein. Der Klärung dieser Frage dient die Vorlagefrage 1.

a) Der Kläger war unter Geltung der [X.]als Mitbewerber im Sinne von § 8 Abs. 3 Nr. 1 UWG materiell-rechtlich befugt, seinen auf den Gesichtspunkt des [X.]gemäß § 3a UWG in Verbindung mit § 4 Abs. 1, § 4a Abs. 1 und 3, § 28 Abs. 7 Satz 1 BDSG aF gestützten Unterlassungsantrag im Wege der Klage vor den Zivilgerichten zu verfolgen. Die Prozessführungsbefugnis ergab sich für den Kläger als Mitbewerber aus den allgemeinen Vorschriften (§ 51 ZPO, vgl. Köhler/[X.]in Köhler/Bornkamm/Feddersen, UWG, 40. Aufl., § 8 Rn. 3.8a; [X.]in Ohly/Sosnitza, UWG, 7. Aufl., § 8 Rn. 86). Nach der Rechtsprechung des Gerichtshofs der [X.]stehen die in [X.]der [X.]getroffenen Regelungen einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen die mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegen (vgl. EuGH, Urteil vom 29. Juli 2019 - C-40/17, [X.]2019, 977 [juris Rn. 43 bis 63] = WRP 2019, 1146 - Fashion ID). Nichts anderes gilt für die hier in Rede stehende Klage eines Mitbewerbers. Der Gerichtshof der [X.]hat angenommen, dass die Artikel 22 bis 24 [X.]keine umfassende Harmonisierung der nationalen Vorschriften über gerichtliche Rechtsbehelfe, die gegen mutmaßliche Verletzer von Vorschriften über den Schutz personenbezogener Daten eingelegt werden können, vornehmen (EuGH, [X.]2019, 977 [juris Rn. 57] - Fashion ID).

b) Mit der Vorlagefrage 1 ist zu klären, ob sich diese Rechtslage mit dem Beginn der Geltung der [X.]am 25. Mai 2018 in entscheidungserheblicher Weise geändert hat.

aa) Es ist umstritten, ob Mitbewerber im Sinne von § 8 Abs. 3 Nr. 1 UWG nach Ingeltungsetzung der [X.]befugt sind, Verstöße gegen die Bestimmungen dieser Verordnung unter dem Gesichtspunkt des [X.]gemäß § 3a UWG im Klagewege durchzusetzen.

Eine Auffassung geht davon aus, dass die in der [X.]enthaltenen Regelungen zur Durchsetzung der datenschutzrechtlichen Bestimmungen der Verordnung abschließend sind; sie verneint deshalb eine wettbewerbsrechtliche Klagebefugnis von Mitbewerbern (vgl. LG Bochum, WRP 2018, 1535 [juris Rn. 15]; LG Stuttgart, WRP 2019, 1089 [juris Rn. 32 bis 35]; LG Wiesbaden, ZD 2019, 367 [juris Rn. 39]; Barth, WRP 2018, 790 Rn. 14 bis 19; ders., WRP 2020, 118 Rn. 5; Baumgartner/Sitte, ZD 2018, 555, 557 f.; Büscher/Hohlweck, UWG, 2. Aufl., § 3a Rn. 288; Heckmann/Gierschmann/Selk, CR 2018, 728 Rn. 5 und 13; [X.]in Köhler/Bornkamm/[X.]aaO § 3a Rn. 1.40f bis 140j; ders., WRP 2018, 1269 Rn. 34 bis 37; ders., WRP 2019, 1279 Rn. 5 und 64; ders., ZD 2018, 337, 338; ders., ZD 2019, 285; MünchKomm.UWG/Schaffert, 3. Aufl., § 3a Rn. 84; Ohly, [X.]2019, 686, 688 f.; ders., [X.]2022, 924, 925; Schmitt, WRP 2019, 27, 29 f.; Spittka, [X.]2018, 561; ders., [X.]2019, 4, 5; Stellungnahme der [X.]zum Referentenentwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs, [X.]2019, 59, 65; vgl. auch den vom [X.]vorgeschlagenen Entwurf eines Gesetzes zur Anpassung zivilrechtlicher Vorschriften an die Datenschutz-Grundverordnung, BR-Drucks. 304/18, sowie die Stellungnahme des [X.]und des Wirtschaftsausschusses zum Entwurf eines [X.]zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie [EU] 2016/680, BR-Drucks. 430/1/18, [X.]f.).

Andere halten die in der [X.]zur Rechtsdurchsetzung getroffenen Regelungen nicht für abschließend und daher die in § 8 Abs. 3 Nr. 1 UWG genannten Mitbewerber auch weiterhin für befugt, Unterlassungsansprüche unter dem Gesichtspunkt des [X.]im Sinne von § 4 Nr. 11 UWG aF, § 3a UWG im Wege der Klage durchzusetzen (vgl. OLG Hamburg, WRP 2018, 1510 [juris Rn. 54 bis 57]; OLG Stuttgart, WRP 2020, 509 [juris Rn. 40 bis 62]; Aßhoff, CR 2018, 720 Rn. 43; Laoutoumai/Hoppe, K&R 2018, 533, 535; Schreiber, [X.]2018, 371, 373; Uebele, [X.]2019, 694, 697 f.; Wolff, ZD 2018, 248, 251 f.). Auch der [X.]Gesetzgeber geht davon aus, dass es Mitbewerbern möglich ist, Verstöße gegen die [X.]und das [X.]nach dem Gesetz gegen unlauteren Wettbewerb zu verfolgen (vgl. § 13 Abs. 4 Nr. 2 UWG; dazu Köhler, WRP 2022, 1323 Rn. 29 f.).

bb) Die Streitfrage lässt sich nicht eindeutig beantworten.

(1) Dem Wortlaut der Datenschutz-Grundverordnung, namentlich der Bestimmungen ihres Kapitels VIII, in dem die Rechtsbehelfe, die Haftung und die Sanktionen bei Verstößen gegen die in der Verordnung aufgestellten Anforderungen für eine zulässige Verarbeitung personenbezogener Daten geregelt sind, lässt sich keine Antwort auf diese Frage entnehmen. Mitbewerber werden in der Verordnung an keiner Stelle erwähnt.

(2) Die Auslegung unter Berücksichtigung des systematischen Zusammenhangs der die Rechtsdurchsetzung betreffenden Vorschriften der [X.]lässt ebenfalls nicht eindeutig erkennen, ob der [X.]mit dieser Verordnung - an[X.]als noch mit der [X.]- nicht nur die Bestimmungen zum Schutz personenbezogener Daten, sondern auch die zur Durchsetzung der danach bestehenden Rechte vereinheitlicht hat.

(a) Die [X.]sieht in Art. 57 und 58 [X.]für die Aufsichtsbehörden im Sinne von Art. 51 Abs. 1, Art. 4 Nr. 21 DSGVO umfangreiche Aufgaben und Befugnisse zur Überwachung und Durchsetzung dieser Verordnung vor (vgl. auch Erwägungsgrund 129). Dem könnte zu entnehmen sein, dass der [X.]grundsätzlich von einer Durchsetzung der Bestimmungen der Verordnung durch die Aufsichtsbehörden ("public enforcement") ausgeht (vgl. Köhler, WRP 2018, 1269 Rn. 26 bis 31). Die [X.]soll eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen (EuGH, Urteil vom 28. April 2022 - C-319/20, [X.]2022, 920 [juris Rn. 57] = WRP 2022, 684 - [X.]Ireland).

(b) Darüber hinaus stellt die [X.]betroffenen Personen in Art. 77 Abs. 1, Art. 78 Abs. 1 und 2 sowie in Art. 79 Abs. 1 DSGVO Rechtsschutzmöglichkeiten zur Verfügung. Dass in diesen Vorschriften jeweils die Wendung "unbeschadet eines anderweitigen Rechtsbehelfs" enthalten ist, könnte gegen eine abschließende Regelung der Rechtsdurchsetzung sprechen (vgl. OLG Hamburg, WRP 2018, 1510 [juris Rn. 56]; Diercks, CR 2018, [X.]Rn. 16; Laoutoumai/Hoppe, K&R 2018, 533, 535; Wolff, ZD 2018, 248, 251).

(c) Die Zulässigkeit einer Mitbewerberklagebefugnis dürfte sich allerdings nicht auf Art. 84 Abs. 1 DSGVO stützen lassen (so aber Laoutoumai/Hoppe, K&R 2018, 533, 535), wonach die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen die Verordnung festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Eine Klagebefugnis für Mitbewerber kann nach der Systematik der [X.]schon deshalb keine "Sanktion" sein, weil der [X.]in Kapitel VIII der Verordnung ausdrücklich zwischen Rechtsbehelfen, Haftung und Sanktion unterscheidet und sich aus dem Zusammenhang zwischen Art. 84, Art. 83 und den Erwägungsgründen 148 bis 152 der Verordnung ergibt, dass es bei den Sanktionen im Sinne von Art. 84 DSGVO um verwaltungs- und strafrechtliche Sanktionen von Verstößen geht (vgl. EuGH, [X.]2022, 920 [juris Rn. 49] - [X.]Ireland; vgl. auch Baumgartner/Sitte, ZD 2018, 555, 558; [X.]in Köhler/Bornkamm/[X.]aaO § 3a Rn. 140f; ders., WRP 2018, 1269 Rn. 41; ders., ZD 2018, 337, 338; Ohly, [X.]2019, 686, 689 f.; Schmitt, WRP 2019, 27, 30; Spittka, [X.]2019, 4, 6).

(d) Jedenfalls ist der [X.]keine Regelung zu entnehmen, nach der die Verfolgung von Verstößen gegen das Datenschutzrecht als unlautere Geschäftspraktiken ausgeschlossen sein soll (vgl. Schlussanträge des Generalanwalts in der Rechtssache C-319/20 vom 2. Dezember 2021 Rn. 51; Dünkel, DuD 2019, 483, 487; Hense, ZD 2022, 386, 388). Es ist daher fraglich, ob die [X.]auch im Hinblick auf wettbewerbsrechtlich begründete Verstöße abschließend sein soll (vgl. Diercks, CR 2018, [X.]Rn. 26; dies., CR 2019, 95, 98 f.; Laoutoumai/Hoppe, K&R 2018, 533, 535; Nägele/Apel/Stolz/Bosman, K&R 2019, 361, 364 f.; aA Ohly, [X.]2022, 924, 925).

(3) Das neben dem Wortlaut und dem [X.]bei der Auslegung des Unionsrechts zu berücksichtigende Regelungsziel lässt ebenfalls keine eindeutige Antwort auf die Vorlagefrage zu.

(a) Die Zulässigkeit einer wettbewerbsrechtlichen Klagebefugnis für Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG könnte mit dem vom [X.]mit der Schaffung der [X.]verfolgten Harmonisierungsziel unvereinbar sein.

Unter der Geltung der [X.]bestand in den Mitgliedstaaten der [X.]nicht nur ein unterschiedliches Datenschutzniveau, sondern es gab auch Unterschiede in der Durchsetzung der Bestimmungen zum Datenschutz (vgl. Köhler, WRP 2018, 1269 Rn. 24). Aus den Erwägungsgründen 11 und 13 der [X.]ergibt sich die Zielsetzung des Unionsgesetzgebers, im Hinblick auf beide Gesichtspunkte Abhilfe zu schaffen und damit auch das [X.]innerhalb der [X.]zu vereinheitlichen (Köhler, WRP 2018, 1269 Rn. 24 f.). Eine über die in der Verordnung geregelten Instrumente hinausgehende Durchsetzung datenschutzrechtlicher Bestimmungen durch Private, also durch Mitbewerber, könnte diesem Vereinheitlichungsziel entgegenstehen (Barth, WRP 2018, 790 Rn. 16; Köhler, WRP 2018, 1269 Rn. 44 bis 46; Spittka, [X.]2019, 272, 274; vgl. auch Ohly, [X.]2022, 924, 925).

Es ist auch nicht zweifelsfrei, dass eine Schutzlücke im Durchsetzungssystem der [X.]vorliegt, die durch die Zulassung der wettbewerbsrechtlichen Klagebefugnis von Mitbewerbern geschlossen werden müsste (Köhler, WRP 2019, 1279 Rn. 38; ders., ZD 2019, 285, 286). Gemäß Art. 8 Abs. 3 EU-Grundrechtecharta wird die Einhaltung des Schutzes der personenbezogenen Daten einer Person durch eine unabhängige Stelle überwacht. Dementsprechend regelt die [X.]umfassend die Aufgaben und Befugnisse der Aufsichtsbehörden. Es könnte die Gefahr bestehen, dass eine Konkurrenz bei der Durchsetzung des objektiven Datenschutzrechts zwischen den Aufsichtsbehörden einerseits und den Zivilgerichten andererseits zu einer Ausschaltung der differenzierten Befugnisse der Aufsichtsbehörden und zu Unterschieden bei der Durchsetzung des Datenschutzrechts innerhalb der [X.]führt (Barth, WRP 2018, 790 Rn. 16; Köhler, WRP 2018, 1269 Rn. 45 f.; ders., ZD 2019, 285, 286; [X.]in Festschrift Köhler, 2014, S. 507, 510, 514 f.). Allerdings ist insoweit zu beachten, dass gemäß Art. 80 Abs. 2 DSGVO unter bestimmten Voraussetzungen eine solche Konkurrenz ohnehin bereits besteht (vgl. EuGH, [X.]2022, 920 [juris Rn. 83] - [X.]Ireland).

(b) Für die Annahme einer weiterhin gegebenen wettbewerbsrechtlichen Klagebefugnis für Mitbewerber könnte sprechen, dass damit eine nach dem [X.]("effet utile") wünschenswerte zusätzliche Möglichkeit der Rechtsdurchsetzung erhalten bliebe, um gemäß dem Erwägungsgrund 10 der [X.]ein möglichst hohes Datenschutzniveau zu gewährleisten (vgl. Laoutoumai/Hoppe, K&R 2018, 533, 535; Podszun/de Thoma, NJW 2016, 2987, 2989). Bei der Rechtsdurchsetzung durch Mitbewerber handelt es sich um eine beson[X.]effektive Rechtsdurchsetzung (vgl. [X.]in Festschrift [X.]aaO S. 51, 57 f.; Diercks, CR 2019, 95, 99; Huppertz/Ohrmann, CR 2011, 449, 454; Linsenbarth/Schiller, WRP 2013, 576, 582; Metzger, [X.]Int. 2015, 687, 689, 691; [X.]in Festschrift [X.]aaO S. 507, 509 f.; Podszun/de Thoma, NJW 2016, 2987, 2989; [X.]in Festschrift Bornkamm, 2014, S. 463, 475; Stellungnahme der [X.]zum Referentenentwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs, [X.]2019, 59, 60). Sie ermöglicht ebenso wie eine Verbandsklage, zahlreiche Verletzungen der Rechte von Betroffenen zu verhindern, und ist damit wirksamer als die Klage, die eine einzelne, von einer Verletzung ihres Rechts auf Schutz ihrer personenbezogenen Daten individuell und konkret betroffene Person gegen ihren Verletzer erheben kann (vgl. EuGH, [X.]2022, 920 [juris Rn. 75] - [X.]Ireland).

(4) Die Vorlagefrage 1 ist nicht bereits durch die Rechtsprechung des Gerichtshofs der [X.]geklärt. Seiner Entscheidung "[X.]Ireland" vom 28. April 2022 ([X.]2022, 920) lässt sich keine eindeutige Antwort auf diese Frage entnehmen (aA - allerdings mit unterschiedlichen Ergebnissen - Hense, ZD 2022, 386, 388; Ohly, [X.]2022, 924, 925). Der Gerichtshof hat die Klagebefugnis eines Mitbewerbers ausdrücklich offengelassen (vgl. EuGH, [X.]2022, 920 [juris Rn. 50] - [X.]Ireland).

2. Für den Erfolg der Revision kommt es außerdem darauf an, ob es sich bei den Daten, die Kunden des [X.]bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der [X.]einzugeben haben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), um Daten über Gesundheit im Sinne von Art. 8 Abs. 1 [X.]sowie um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO handelt (Vorlagefrage 2).

a) Der vom Kläger auf Wiederholungsgefahr gestützte und in die Zukunft gerichtete Unterlassungsanspruch besteht nur, wenn das beanstandete Verhalten des [X.]sowohl zum Zeitpunkt seiner Vornahme rechtswidrig war als auch zum Zeitpunkt der Revisionsverhandlung rechtswidrig ist (st. Rspr.; vgl. BGH, Urteil vom 2. Juni 2022 - I ZR 140/15, [X.]2022, 1308 [juris Rn. 68] = WRP 2022, 1106 - YouTube II, mwN).

Die vom Kläger als verletzt gerügten Bestimmungen zur Zulässigkeit der Verarbeitung von Gesundheitsdaten gemäß § 4 Abs. 1, § 4a Abs. 1 und 3, § 28 Abs. 7 Satz 1 BDSG aF, mit denen Art. 8 Abs. 1, 2 Buchst. a und 3 [X.]ins [X.]Recht umgesetzt worden sind, sind durch Art. 9 Abs. 1 und 2 Buchst. a und h [X.]ersetzt worden.

aa) Zum Zeitpunkt der Vornahme war das beanstandete Verhalten rechtswidrig, wenn beim in Rede stehenden Bestellvorgang Daten über Gesundheit im Sinne von Art. 8 Abs. 1 [X.]verarbeitet wurden. Nach Art. 8 Abs. 1 [X.]untersagen die Mitgliedstaaten die Verarbeitung personenbezogener Daten über Gesundheit. Von dieser Regelung gibt es Ausnahmen. Davon kommen im Streitfall allenfalls die ausdrückliche Einwilligung (Art. 8 Abs. 2 Buchst. a DSRL, § 4 Abs. 1, § 4a Abs. 1 und 3 Satz 1 BDSG aF) und die Verarbeitung der Daten zum Zwecke der Gesundheitsversorgung (Art. 8 Abs. 3 DSRL, § 28 Abs. 7 Satz 1 BDSG aF) in Betracht. Die Voraussetzungen dieser Ausnahmevorschriften liegen nicht vor. Deshalb kommt es darauf an, ob die von den Kunden des [X.]bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der [X.]einzugebenden Angaben Daten über Gesundheit im Sinne von Art. 8 Abs. 1 [X.](§ 3 Abs. 9, § 4a Abs. 3 BDSG aF) sind.

bb) Die vorstehend genannten Bestimmungen zur Verarbeitung besonderer Kategorien personenbezogener Daten sind mit Wirkung ab dem 25. Mai 2018 durch die in Art. 9 DSGVO getroffenen Regelungen ersetzt worden (Art. 94 Abs. 1, 99 Abs. 2 DSGVO). Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung von Gesundheitsdaten einer natürlichen Person untersagt. Dies gilt nach Art. 9 Abs. 2 DSGVO nicht in - hier allenfalls in Betracht kommenden - Fällen der Einwilligung (Art. 9 Abs. 2 Buchst. a DSGVO) und der Versorgung im Gesundheitsbereich (Art. 9 Abs. 2 Buchst. h in Verbindung mit Abs. 3 DSGVO). Die Voraussetzungen dieser Ausnahmevorschriften liegen nicht vor. Deshalb kommt es darauf an, ob es sich bei den im Streitfall in Rede stehenden Bestelldaten um Gesundheitsdaten im Sinne von Art. 4 Nr. 15, Art. 9 Abs. 1 DSGVO handelt.

cc) Der Senat geht davon aus, dass mit der Änderung der Rechtslage seit Geltung der [X.]keine Änderung der inhaltlichen Anforderungen verbunden ist, die nach dem Unionsrecht für die besondere Kategorie personenbezogener Daten mit Bezug auf die Gesundheit gelten. Auch der Gerichtshof der [X.]geht von einheitlichen Maßstäben der [X.]und der [X.]für die Auslegung der besonderen Kategorien personenbezogener Daten aus (vgl. EuGH, Urteil vom 1. August 2022 - C-184/20, ZD 2022, 611 [juris Rn. 117 bis 128] - Vyriausioji tarnybinés etikos komisija). Der Begriff der Daten über Gesundheit dürfte daher mit dem Begriff der Gesundheitsdaten übereinstimmen, so dass mit der Vorlagefrage 2 die Auslegung beider Begriffe einheitlich geklärt werden kann.

b) Die Vorlagefrage 2 ist nicht eindeutig zu beantworten.

aa) Gemäß Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen oder Standortdaten identifiziert werden kann.

bb) Im Streitfall besteht die Besonderheit, dass sich der Klageantrag [X.]auf den Vertrieb von apothekenpflichtigen Medikamenten über die [X.][X.]bezieht. Kunden des [X.]können dort auch solche apothekenpflichtigen Medikamente bestellen, die nicht verschreibungspflichtig sind. Bei nicht verschreibungspflichtigen Medikamenten liegt keine ärztliche Verschreibung vor, aus der zu ersehen ist, wem dieses Medikament verschrieben worden ist und wer es demnach einnehmen soll. Bei nicht verschreibungspflichtigen Medikamenten ist es also nicht ausgeschlossen, dass der Käufer, dessen Bestelldaten (Name des Kunden, Lieferadresse und die für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendigen Informationen) der [X.]selbst oder in seinem Auftrag [X.]verarbeitet, nicht derjenige ist, der das bestellte Medikament einnimmt, sondern dass der Käufer die Medikamente für Dritte kauft und an diese weitergibt.

Es ist fraglich, ob Informationen auch dann Gesundheitsdaten darstellen, wenn nicht mit Sicherheit, sondern nur mit einer gewissen Wahrscheinlichkeit davon auszugehen ist, dass die durch Name und Lieferadresse identifizierte oder identifizierbare natürliche Person auch das bestellte Medikament einnehmen wird und damit aus den Bestelldaten in ihrer Gesamtheit eine Information über ihren Gesundheitszustand hervorgeht.

(1) Aus dem Wortlaut von Art. 4 Nr. 15 und Art. 9 Abs. 1 DSGVO und aus Erwägungsgrund 35 der [X.]ergeben sich keine eindeutigen Anhaltspunkte für die Beantwortung dieser Frage.

(2) Allerdings hat der Gerichtshof der [X.]zum Begriff der besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO entschieden, dass dieser mit Blick auf das Ziel der [X.]und der Datenschutz-Grundverordnung, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen - insbesondere ihres Privatlebens - bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten, weit auszulegen ist (EuGH, ZD 2022, 611 [juris Rn. 125] - Vyriausioji tarnybinés etikos komisija). Dies könnte dafür sprechen, dass Informationen auch dann Gesundheitsdaten darstellen, wenn nicht mit Sicherheit, sondern nur mit einer gewissen Wahrscheinlichkeit davon auszugehen ist, dass die durch Name und Lieferadresse identifizierte oder identifizierbare natürliche Person das bestellte Medikament auch einnehmen wird.

3. Die Vorlagefragen sind entscheidungserheblich. Die übrigen Voraussetzungen des geltend gemachten Unterlassungsanspruchs liegen vor.

a) Das vom Berufungsgericht in Bezug genommene landgerichtliche Urteil ist rechtsfehlerfrei davon ausgegangen, dass die mit dem Klageantrag angegriffene Erhebung, Verarbeitung und Nutzung von Bestelldaten zum Zeitpunkt der Vornahme des beanstandeten Verhaltens eine Verarbeitung von personenbezogenen Daten darstellt, die nicht durch eine wirksame Einwilligung im Sinne von § 4 Abs. 1 und § 4a Abs. 1 und 3 BDSG aF (Art. 8 Abs. 2 Buchst. a DSRL) oder den in § 28 Abs. 7 Satz 1 BDSG aF (Art. 8 Abs. 3 DSRL) geregelten Erlaubnistatbestand gerechtfertigt war. In der Verletzung der für die Zulässigkeit der Verarbeitung von Gesundheitsdaten geltenden Bestimmungen lag zugleich eine Zuwiderhandlung gegen gesetzliche Vorschriften im Sinne von § 3a UWG. Der [X.]war bei der Erhebung der persönlichen Daten im Rahmen des Bestellvorgangs der für die Einhaltung der datenschutzrechtlichen Bestimmungen Verantwortliche im Sinne von § 3 Abs. 7 BDSG aF (Art. 2 Buchst. d DSRL), weil er durch das Betreiben eines Verkäuferprofils bei [X.]jedenfalls gemeinsam mit dem Betreiber des [X.]über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entschieden hat. Zudem war er gemäß § 8 Abs. 2 UWG wettbewerbsrechtlich für die Erhebung und Weitergabe der Bestelldaten durch [X.]verantwortlich, weil er [X.]in seinen Vertrieb eingebunden hat (vgl. BGH, Urteil vom 7. Oktober 2009 - I ZR 109/06, [X.]2009, 1167 [juris Rn. 21] = WRP 2009, 1529 - Partnerprogramm, mwN).

b) Entsprechendes gilt für die Rechtslage nach Ingeltungsetzung der Datenschutz-Grundverordnung. Das Berufungsgericht ist rechtsfehlerfrei davon ausgegangen, dass die Zulässigkeitsvoraussetzungen einer Verarbeitung von Gesundheitsdaten gemäß Art. 9 Abs. 2 Buchst. a und h und Abs. 3 [X.]im Streitfall nicht vorliegen. Es handelt sich bei der Vorschrift des Art. 9 DSGVO um eine Marktverhaltensregel im Sinne von § 3a UWG. Der Kläger ist als Mitbewerber nach § 8 Abs. 3 Nr. 1 UWG materiell-rechtlich berechtigt, einen Unterlassungsanspruch geltend zu machen. Der [X.]ist als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO gehalten, die datenschutzrechtlichen Bestimmungen gemäß Art. 9 DSGVO einzuhalten, und kann gemäß § 8 Abs. 1 und 2 UWG wettbewerbsrechtlich mit Blick auf die bei [X.]und im eigenen Betrieb vorgenommenen Datenverarbeitungsvorgänge auf Unterlassung in Anspruch genommen werden.