Das OLG Hamburg hat mit Urteil
vom 25.10.2018, Az.: 3 U 66/17 festgestellt, dass Verstöße gegen die DSGVO
als Wettbewerbsverstöße abmahnbar sind. Zuvor hatte auch schon das LG
Würzburg  die Auffassung vertreten, dass derartige Verstöße abmahnbar
sein können. Das LG
Bochum  hatte gegenteilig entschieden und hält Verstöße gegen die
DSGVO nicht für abmahnbar.

Verfahrensgang

 LG
Hamburg 27. Zivilkammer, 2. März 2017, Az: 327 O 148/16, Urteil

Leitsätze:

1. Weder die RL 95/46/EG (Datenschutzrichtlinie) noch die VO
(EU) 2016/679 (Datenschutzgrundverordnung) enthalten ein abgeschlossenes
Sanktionssystem und stehen deshalb der Klagbefugnis von Wettbewerbern nach § 8
Abs. 3 Nr. 1 UWG wegen Verstoßes gegen datenschutzrechtlche Bestimmungen
entgegen.

2. Nicht jegliche datenschutzrechtliche Norm hat
marktverhaltensregelnden Charakter i.S. des § 3a UWG. Vielmehr muss die
jeweilige Norm konkret darauf überprüft werden, ob gerade jene Norm eine
Regelung des Marktverhaltens zum Gegenstand hat.

3. Soweit § 28 Abs. 7 BDSG a.F. das Erheben sowie
Verarbeitung und Nutzung von sensiblen personenbezogenen Gesundheitsdaten unter
den in der Vorschriften genannten Voraussetzungen auch ohne die Einwilligung
des Betroffenen für zulässig erklärt, ist die betroffene Person – mag sie im
Gesundheitsbereich in anderen Zusammenhängen auch durchaus als Markteilnehmer
auftreten – nicht in ihrer Eigenschaft als Verbraucher und Marktteilnehmer
angesprochen sondern in ihrer Eigenschaft als Patient und Träger von
Persönlichkeitsrechten. Ein Bezug der Norm zu einer wie auch immer gearteten
Teilnahme des Betroffenen oder von Wettbwerbern am Markt ist nicht zu erkennen.
§ 28 Abs. 7 BDSG a.F. ist daher keine marktverhaltensregelnde Norm i.S. des §
3a UWG.

Gründe:

I.            

Die Klägerin, die wie die Beklagte Therapieallergene für die
spezifische Immuntherapie (SIT) herstellt und vertreibt, nimmt die Beklagte
bezogen auf die konkrete Verletzungsform eines Bestellbogens, wie er dem
angegriffenen Urteil des Landgerichts als Anlage beigefügt ist, auf
Unterlassung der Benutzung von Bestellbögen für derartige Therapieallergene in
Anspruch, wenn deren Benutzung erfolgt, ohne die erforderliche Einwilligung der
Patienten zur Erhebung, Verarbeitung und Nutzung personenbezogener
Gesundheitsdaten der Patienten einzuholen. Weiter macht die Klägerin bezogen
auf solche Handlungen Auskunfts- sowie – wegen der vorgerichtlichen
Abmahnkosten – Zahlungs-Ansprüche geltend und begehrt auch die Feststellung der
Schadensersatzpflicht der Beklagten. Neben den Parteien gibt es nur noch zwei
weitere maßgebliche Wettbewerber auf dem Gebiet der Herstellung und des
Vertriebs von Therapieallergenen.             

Bei den für die SIT hergestellten Immuntherapeutika, deren
Gabe eine Hyposensibilisierung der Patienten bewirken soll, handelt es sich
einerseits um nach dem AMG und der Therapieallergene-Verordnung (TAV) –
zulassungspflichtige – Fertigarzneimittel und andererseits um aufgrund einer
Rezeptur individuell für den Patienten hergestellte – und damit nicht
zulassungspflichtige – Mittel. Sie sind sämtlich verschreibungs- und
apothekenpflichtig. Die Hyposensibilisierungsbehandlung dauert durchschnittlich
drei bis fünf Jahre, in denen dem Patienten regelmäßig alle vier bis sechs Wochen
Therapieallergene injiziert werden. Es gibt auch Therapieallergene, die
sublingual verabreicht werden. Die Beklagte vertreibt indes nur
Injektionslösungen. Sie werden in Schachteln mit 1-2 Vials
(Injektionsfläschchen) geliefert, die jeweils Therapieallergene für fünf
Anwendungen enthalten. Die Therapieallergene sind in den Vials im geöffneten
Zustand vier Monate haltbar, sonst 5 Jahre. Eine Schachtel wird bei den
behandelnden Ärzten – in der Regel im Bereich der Allergologie spezialisierte
Ärzte – für die Dauer der Behandlung des Patienten mehrere Monate im
Kühlschrank aufbewahrt. Dabei ist es üblich, dass Ärzte diese Mittel für rund
200 Patienten gleichzeitig lagern. Es kommt aber auch vor, dass ein Arzt 500
und mehr Patienten gleichzeitig mit Therapieallergenen behandelt.        

Die Bestellung von Therapieallergenen erfolgt über den
behandelnden Arzt. Dieser wählt für einen therapiebedürftigen Patienten ein
Unternehmen aus, das Therapieallergene anbietet. Jedes Unternehmen verwendet
für die Bestellung dieser Therapieallergene eigene Bestellbögen. Mittels dieser
Bögen werden die Therapieallergene bestellt. Die Bögen werden vom Arzt
ausgefüllt. In den Bestellbögen der Beklagten ist vorgesehen, dass nicht nur
Name und Geburtsdatum des Patienten oder – falls abweichend – des Versicherten,
sondern auch die Kassen-Nr., die Versicherten-Nr., der Status des Versicherten
(die Beklagte behauptet, dass diese Informationen in den meisten Fällen erst
nach der Bestellung bei ihr von der Apotheke im Rahmen der Abrechnung oder gar
nicht ergänzt werden), die Vertragsarzt.-Nr., die Kunden-Nr., die Informationen
über die jeweiligen Allergien des Patienten und der Name sowie die Anschrift
des behandelnden Arztes nebst dessen Kunden-Nr. eingetragen werden. Der Arzt
versieht solche Bestellbögen an deren Ende unten rechts mit seiner
Unterschrift. Wiederum darunter befindet sich ein „Hinweis“, in dem es
heißt, dass der Arzt versichert, dass der Bestellbogen mit dem Patientennamen
zum Zwecke der Qualitätssicherung und der Abwicklung der Bestellung mit
Einverständnis des Patienten an die ………….. GmbH (Beklagte) übermittelt
wird. Die ………….. GmbH versichert in dem Hinweis sodann, dass sie die
Daten auch ausschließlich zu den genannten Zwecken und zur Erleichterung von Nachbestellungen
nutzt. Das Formular weist keinen Bereich auf, in welchem der Patient selbst
eine Erklärung über die Einwilligung zur Nutzung seiner Daten erteilen kann.
Die Beklagte holt eine solche Einwilligung nach den nicht angegriffenen
Feststellungen des Landgerichts auch nicht ein. 

Den mit den genannten Patientendaten und Daten des
behandelnden Arztes ausgefüllten Bestellbogen legt der Patient anschließend
einer Apotheke vor. Der Apotheker versieht den Bogen mit seinem Stempel,
ebenfalls seiner Kunden-Nr. sowie seiner Unterschrift und schickt ihn per Fax
oder Post an die Beklagte. Im Anschluss an eine inhaltliche
Plausibilitätsprüfung des Bogens durch die Beklagte leitet diese die Bestellung
an ihre spanische Muttergesellschaft, die Fa. ………….. S.L.U., weiter,
die die jeweiligen Mittel herstellt und die mit den Therapieallergenen
gefüllten Vials mit Namen und Geburtsdaten des Patienten versieht. Anschließend
werden die Vials an die Beklagte versandt, die die Mittel an die jeweilige
Apotheke weiterleitet, wo sie vom Patienten abgeholt und zum behandelnden Arzt
zum Zwecke der Verabreichung des Mittels gebracht werden.       

Die Klägerin, die für die Benutzung der personenbezogenen
Daten der Patienten von diesen regelmäßig eine Einwilligung einholt, sieht in
der einwilligungslosen Datenbenutzung durch die Beklagte einen Verstoß gegen
das Bundesdatenschutzgesetz (BDSG), speziell gegen §§ 3 Abs. 9, 4, 4a und 28
BDSG (im Folgenden BDSG a.F.). Es handele sich bei den erhobenen Daten um –
noch dazu sensible (§ 3 Abs. 9 BDSG a.F.) – personenbezogene Daten (§ 3 BDSG
a.F.), die nur mit Einwilligung der Betroffenen (§§ 4, 4a BDSG a.F.) erhoben
und genutzt werden dürften, weil das BDSG oder eine andere Rechtsvorschrift die
Datenbenutzung nicht schon erlaube. § 28 Abs. 7 BDSG a.F. rechtfertige die
einwilligungslose Nutzung der Daten entgegen der Ansicht der Beklagten nicht,
denn die Datenerhebung sei schon nicht i.S. der Vorschrift zum Zwecke der
Gesundheitsversorgung oder Behandlung erforderlich. Der Beklagten stehe eine
Pseudonymisierung nach § 3 Abs. 6a BDSG a.F. als milderes Mittel zur Verfügung.
Es komme bei der Kennzeichnung der Fläschchen mit den Namen und Geburtsdaten
der Patienten entgegen der Behauptung der Beklagten viel eher zu
Verwechslungen. Auch gehöre die Beklagte bzw. gehörten ihre Mitarbeiter oder
die ihrer spanischen Muttergesellschaft und deren Mitarbeiter nicht zu dem
Personenkreis, der nach der genannten Vorschrift personenbezogene Daten im
Gesundheitsbereich auch ohne die Einwilligung des Patienten benutzen dürfe,
nämlich Ärzte und deren Personal oder sonstige Personen, die einer
„entsprechenden Geheimhaltungspflicht unterliegen“. § 28 Abs. 7 Satz 3
BDSG a.F. eröffne entgegen der Ansicht der Beklagten keine Möglichkeit zur
einwilligungslosen Datenerhebung, -verarbeitung oder -nutzung durch die
Beklagte bzw. deren Muttergesellschaft und deren jeweiligen Mitarbeiter als
„Angehörige eines anderen als in § 203 Abs. 1 und 4 StGB genannten
Berufes“ im dort definierten Gesundheitsbereich. Denn das sei nach der
Vorschrift „nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst
hierzu befugt wäre“. Die handelnden Personen müssten also ihrerseits einer
nach § 203 StGB strafbewehrten Schweigepflicht unterliegen, was bei dem Personal
der Beklagten und ihrer Muttergesellschaft – unstreitig – nicht der Fall sei.
Die Vorschrift des § 28 Abs. 7 Satz 3 BDSG a.F. dehne die in § 28 Abs. 7 Satz 1
und 2 BDSG a.F. für den dort genannten Personenkreis (Ärzte und ihr Personal)
angeordnete Zweckbindung und Geheimhaltungsverpflichtung entgegen der Annahme
der Beklagten nicht auf die in § 28 Abs. 7 Satz 3 BDSG a.F. genannten
Berufsgruppen, für die § 203 StGB nicht gelte, aus.           

Bei den relevanten Vorschriften des BDSG handele es sich um
Marktverhaltensregeln i.S. des § 3a UWG.            

Die Klägerin hat mit ihrer der Beklagten am 12.04.2016
zugestellten Klage beantragt,   

I. die Beklagte zu verurteilen, es bei Meidung der
gesetzlich vorgesehenen Ordnungsmittel       

zu unterlassen,

im geschäftlichen Verkehr zu Zwecken des Wettbewerbs
Bestellbögen für Therapieallergene zu benutzen und/oder benutzen zu lassen,
ohne die erforderliche Einwilligung der Patienten zur Erhebung, Verarbeitung
und Nutzung personenbezogener Gesundheitsdaten der Patienten einzuholen, wenn
dies wie in der aus der Anlage ersichtlichen Art und Weise geschieht;           

II.die Beklagte zu verurteilen, Auskunft zu erteilen in
welchem Umfang die vorstehend unter Ziff. I. genannten Handlungen begangen
wurden, insbesondere unter Angabe der Art und des Umfangs der benutzten
Bestellbögen sowie etwaiger daraufhin ohne Einwilligung ausgeführter
Bestellungen;             

III. festzustellen, dass die Beklagte verpflichtet ist, der
Klägerin sämtlichen Schaden zu ersetzen, der ihr durch die vorstehend unter
Ziff. I. genannten Handlungen entstanden ist oder noch entstehen wird;        

IV. die Beklagte zu verurteilen, an die Klägerin € 1.953,90
nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz
ab Rechtshängigkeit zu zahlen.

Die Beklagte hat beantragt,       

die Klage abzuweisen,  

und widerklagend,        

1.die Klägerin zu verurteilen, es bei Meidung der gesetzlich
vorgesehenen Ordnungsmittel        

zu unterlassen,

im geschäftlichen Verkehr Bestellungen von
Therapieallergenen entgegenzunehmen und/oder auszuführen, ohne eine
Einwilligung der Patienten in die Erhebung, Verarbeitung und Nutzung
personenbezogener Gesundheitsdaten der Patienten einzuholen;  

2.der Beklagten Auskunft zu erteilen, in welchem Umfang die
vorstehenden unter Ziff. 1. genannten Handlungen begangen wurden, insbesondere
unter Angabe der Art und des Umfangs der Benutzung des Bestellbogens sowie der
daraufhin ohne Einwilligung ausgeführten Bestellungen;            

3.an die Beklagte € 1.973,90 nebst Zinsen in Höhe von fünf
Prozentpunkten über dem jeweiligen Basiszinssatz ab Rechtshängigkeit zu zahlen;       

4.festzustellen, dass die Klägerin verpflichtet ist, der
Beklagten sämtlichen Schaden zu ersetzen, der ihr durch die vorstehend unter
Ziff. 1. genannten Handlungen entstanden ist oder noch entstehen wird.       

Sie ist der Ansicht, dass es sich bei den maßgeblichen
Vorschriften des BDSG nicht um marktverhaltensregelnde Normen i.S. des § 3a UWG
handele. Schon deshalb stünden der Klägerin die geltend gemachten Ansprüche
nicht zu.    

Die einwilligungslose Datenerhebung und Datennutzung sei
durch Art 28 Abs. 7 BDSG a.F. datenschutzrechtlich gerechtfertigt. Die
angegriffene Datenerhebung sei einerseits zur Vermeidung von Verwechslungen der
für den jeweiligen Patienten bestimmten Arzneimittel i.S. des § 28 Abs. 7 BDSG
a.F. erforderlich, weil sich der Arzt und sein Personal besser an Namen und
Geburtsdaten der Patienten orientieren könnten, um das jeweils richtige Arzneimittel
im Kühlschrank des Arztes auffinden zu können, als an einer für den Patienten
vergebenen Nummer. Das halte auch das Paul-Ehrlich-Institut (PEI) für sinnvoll
(Anlage HL 2). Ebenso halte der Ärzteverband Deutscher Allergologen e.V. (AeDA)
eine solche Kennzeichnung für unerlässlich (Anlage HL 3). Die Klägerin selbst
weise in ihrer Patienteninformation (Anlage K 2) darauf hin, dass die
Pseudonymisierung „das Risiko einer Verwechslung bei der Verwendung des
Präparats in der Arztpraxis erhöhen“ könne. Die Mitarbeiter der Beklagten
bzw. ihrer Muttergesellschaft gehörten andererseits auch zu dem nach § 28 Abs.
7 BDSG a.F. von dem dortigen Erlaubnistatbestand betroffenen Personenkreis. §
28 Abs. 7 Satz 3 BDSG a.F. dehne die in § 28 Abs. 7 Satz 1 und 2 BDSG a.F. für
den dort genannten Personenkreis (Ärzte und ihr Personal) angeordnete
Zweckbindung und Geheimhaltungsverpflichtung auf die in § 28 Abs. 7 Satz 3 BDSG
a.F. genannten Berufsgruppen aus, obwohl § 203 StGB für diese nicht gelte. Auch
jene Mitarbeiter unterlägen einer Geheimhaltungspflicht und seien entsprechend
verpflichtet worden.     

Zur Begründung der Widerklage hat die Beklagte unter
Beweisantritt vorgetragen, die Klägerin habe in drei Fällen auch ohne eine
Einwilligung personenbezogene Daten von Patienten erhoben und benutzt.     

Die Klägerin hat beantragt,        

die Widerklage abzuweisen.     

Sie hat das Vorbringen der Beklagten zu den drei von der
Beklagten angeführten Fällen einer einwilligungslosen Erhebung und Verarbeitung
personenbezogener Daten durch die Klägerin zunächst als unsubstantiiert
zurückgewiesen und bestritten. Nach weiterer Substantiierung ihres Vorbringens
durch die Beklagte (u.a. Anlage HL 5) und Anberaumung einer mündlichen
Verhandlung mit Beweisaufnahme durch das Landgericht hat die Klägerin den
Beklagtenvortrag unstreitig gestellt.      

Das Landgericht hat die Beklagte ebenso antragsgemäß
verurteilt wie die Klägerin. Auf das Urteil wird – auch wegen der tatsächliche
Feststellungen in erster Instanz – verwiesen.   

Dagegen richtet sich die form- und fristgerecht eingereichte
Berufung der Beklagten. Die Klägerin hat die auf die Widerklage erfolgte
Verurteilung hingenommen. Sie ist nicht Gegenstand des Berufungsverfahrens.     

Die Beklagte ist der Ansicht, die Klägerin sei schon nach
der bis zum Inkrafttreten der Datenschutzgrundverordnung (DS-GVO) zum
25.05.2018 bestehenden Rechtslage nicht befugt, als Wettbewerberin Verstöße
gegen das BDSG gerichtlich zu verfolgen. Bereits die Regelungen der Datenschutzrichtlinie
95/46/EG (DS-RL) legten abschließend den Kreis der wegen einer Verletzung von
Datenschutzvorschriften Klagebefugten fest, zu denen Mitbewerber nicht
gehörten. Die Richtlinie habe das Ziel der Vollharmonisierung verfolgt.

Jedenfalls nach dem Inkrafttreten der DS-GVO sei die
Klägerin nicht mehr klagebefugt. Eine Klagebefugnis von Mitbewerbern auf der
Grundlage von § 8 Abs. 3 Nr. 1 UWG i.V.m. § 3a UWG sei mit dem Sanktionssystem
der DS-GVO, das abschließend sei und Wettbewerbern keine Klagebefugnis
einräume, nicht zu vereinbaren.   

Die Beklagte ist im Übrigen der Ansicht, dass die bei
Klagerhebung noch geltende Norm des § 28 Abs. 7 BDSG a.F. keine
marktverhaltensregelnde Norm i.S. des § 3a UWG sei. Der Schutz von Verbrauchern
oder Mitbewerbern als Marktteilnehmer sei nicht Zweck der Vorschriften, sondern
lediglich reflexartige Folge dieser datenschutzrechtlichen Regelungen, was aber
nicht ausreichend sei, um eine Einstufung der Normen als
Marktverhaltensregelungen zu rechtfertigen. Keinesfalls habe jede Norm des BDSG
marktverhaltensregelnden Charakter. Es müsse von Fall zu Fall geprüft werden,
ob dem so sei. § 28 Abs. 7 BDSG a.F. habe einen rein individualrechtlichen
Charakter. Es gehe nur um Gesundheitsvorsorge zum Wohl des Betroffenen, indem
die Datenverarbeitung nur im Falle der Erforderlichkeit und bei Bestehen einer
Geheimhaltungspflicht erlaubt sei. Im Vordergrund stehe der Verbraucher als
Grundrechtsträger und nicht als Markteilnehmer. Die Daten würden nicht primär
als wirtschaftliches Gut, sondern als notwendige Information zum Zwecke der
Gesundheitsversorgung verarbeitet. Die Beklagte benutze die Daten nicht zu
werbenden Zwecken. Es bestehe deshalb, anders als dies etwa bei der
Datenverarbeitung für Zwecke des Adresshandels oder der Werbung der Fall sein
könnte (§ 28 Abs. 3 BDSG a.F.), kein Marktbezug.              

Im Übrigen sei § 28 Abs. 7 Satz 3 BDSG a.F. ein
Erlaubnistatbestand, der die einwilligungslose Erhebung und Benutzung
personenbezogener Daten auch durch Hersteller von Arzneimitteln erlaube. § 28
Abs. 7 Satz 3 BDSG a.F. stehe entgegen der Ansicht des Landgerichts nicht im
Widerspruch zu Art. 8 Abs. 3 der DS-RL 95/46/EG, denn durch Art. 5 der DS-RL
seien den Mitgliedsstaaten die Befugnisse eingeräumt worden, die Voraussetzungen,
unter denen eine Verarbeitung personenbezogener Daten rechtmäßig sei, näher zu
bestimmen. Dass die Mitarbeiter der Beklagten der nach § 203 StGB
strafbewehrten Schweigepflicht nicht unterworfen gewesen seien, ändere nichts,
weil das Gesetz nur eine dem entsprechende Geheimhaltungspflicht verlange, ohne
dass eine entsprechende Strafbewehrung gefordert sei. Art. 8 Abs. 3 der DS-RL
sehe nicht vor, dass ein Verstoß gegen die dort geregelte Geheimhaltungspflicht
zwingend strafbewehrt sein müsse. § 39 Abs. 1 BDSG a.F. erweitere das originäre
ärztliche Berufsgeheimnis auf Unternehmen wie die Beklagte und erlege diesen
eine dem Berufsgeheimnis gleichgerichtete datenschutzrechtliche
Geheimhaltungspflicht auf. „Entsprechende“ Geheimhaltungspflichten hätten
auch die Mitarbeiter der Beklagten. Sie seien schon gemäß § 5 BDSG a.F. zur
Geheimhaltung verpflichtet. Die Rechtsfolgen eines Verstoßes seien
vergleichbar, weil die Verletzung der Geheimhaltungspflicht ordnungsgeldbewehrt
oder in Fällen des Handelns gegen Entgelt oder der Bereicherungs- oder
Schädigungsabsicht auch strafbar sei. Die Verletzung der nach § 28 Abs. 7 BDSG
a.F. bestehenden Zweckbindung sei nach § 43 Abs. 2 Nr. 5 i.V.m. § 39 Abs. 1
BDSG a.F. eine Ordnungswidrigkeit.            

Spätestens unter der Geltung der DS-GVO würden
datenschutzrechtliche Bestimmungen durch die Verwendung der
streitgegenständlichen Bestellbögen und der darin liegenden Erhebung und
Benutzung personenbezogener Daten nicht mehr verletzt. Nach Art. 9 Abs. 3
DS-GVO i.V.m. mit § 22 Abs. 1 lit. b BDSG n.F. sei die Verarbeitung
gesundheitsbezogener Daten nunmehr auch ohne eine Einwilligung der betroffenen
Person zulässig, wenn die Verarbeitung für die Versorgung und Behandlung im
Gesundheitsbereich erforderlich sei und die Verarbeitung – neben dem ärztlichen
Personal – durch sonstige Personen erfolge, die einer – dem ärztlichen Personal
entsprechenden – Geheimhaltungspflicht unterliegen. Die letztgenannte
Voraussetzung sei im Streitfall erfüllt. § 203 StGB habe nämlich eine
Neuregelung erfahren. Nach § 203 Abs. 3 und 4 StGB n.F. unterlägen auch an der
Berufsausübung schweigepflichtiger Personen mitwirkende Personen der
Strafvorschrift des § 203 StGB, nachdem Ärzte und ärztliches Personal ihnen
anvertraute Geheimnisse – soweit erforderlich – auch an sonstige Personen, die
an ihrer beruflichen Tätigkeit mitwirken, weitergeben dürften. Letzteres sei
bei den Mitarbeitern der Beklagten der Fall, denn sie seien in die berufliche
Tätigkeit des Apothekers, nämlich in die Bereitstellung der Therapieallergene,
eingebunden und unterlägen deshalb der aus § 203 Abs. 3 und 4 StGB folgenden
strafbewehrten Geheimhaltungspflicht.

Die Beklagte beantragt,

das Urteil des Landgerichts Hamburg vom 02.03.2017
abzuändern und die Klage abzuweisen.

Die Klägerin beantragt,

die Berufung zurückzuweisen. 

Sie verteidigt das angefochtene Urteil unter Wiederholung
und Vertiefung ihres bereits in erster Instanz gehaltenen Vortrags. Die
Datenerhebung sei schon nicht erforderlich. In ihren Formularen habe sie
lediglich dargelegt, dass sich das Risiko von Verwechslungen durch die
Verwendung von Nummer statt Namen erhöhen könne. Der Wortlaut des § 28 Abs. 7
Abs. 3 BDSG a.F. fordere eindeutig, dass die nach dieser Vorschrift handelnden
Personen der Schweigepflicht des § 203 Abs. 1 und 3 StGB unterworfen sein
müssten. Das werde auch in der Kommentarliteratur so gesehen und sei bei den
Mitarbeitern der Beklagten nicht der Fall. Die Strafandrohung des § 203 StGB
sei mit der „simplen inter partes Verpflichtung“, Daten geheim zu halten,
nicht vergleichbar. Das zeige auch die Gesetzesbegründung zu § 13 Nr. 7 BDSG
a.F., auf die in der Begründung zu § 28 Abs. 7 BDSG a.F. verwiesen werde. Die
DS-RL setze nur einen Mindeststandard.          

Wegen des weiteren Vortrags der Parteien wird auf den
Akteninhalt verwiesen.             

II.           

Die Berufung der Beklagten hat Erfolg. Die Klägerin ist zwar
klagebefugt (unten Ziff. 1.), das Landgericht hat die Beklagte aber zu Unrecht
entsprechend den Klaganträgen verurteilt (unten Ziff. 2. und 3).          

Die Rechtslage hat sich seit Beginn des Rechtsstreits
verändert, weil das alte BDSG nach dem Inkrafttreten der DS-GVO keine Geltung
mehr hat. Das BDSG ist auf der Grundlage der DS-GVO entsprechend neu gefasst
worden.           

1. Die Klägerin ist gemäß § 8 Abs. 1 und 3 Nr. 1 UWG
klagebefugt. Sie ist Mitbewerberin der Beklagten. Sie steht zur Beklagten in
einem konkreten Wettbewerbsverhältnis (§ 2 Abs. 1 Nr. 3 UWG), denn beide
Parteien vertreiben Therapieallergene.        

a) Die Klagebefugnis muss als Sachurteilsvoraussetzung nicht
nur im Zeitpunkt der beanstandeten Wettbewerbshandlung bestanden haben, sondern
auch im Zeitpunkt der letzten mündlichen Berufungsverhandlung noch fortbestehen
(BGH, Urt. v. 27.04.2017, I ZR 55/16, BGHZ 215, 12, Rn. 15 – Preisportal). Zum
Zeitpunkt der beanstandeten Wettbewerbshandlung hatte auf der Grundlage der
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober
1995 – Datenschutzrichtlinie (im Folgenden DS-RL) – das Bundesdatenschutzgesetz
(im Folgenden BDSG a.F.) in der bis zum 08.11.2017 gültigen Fassung Geltung.
Zum Zeitpunkt der Berufungsverhandlung am 13.09.2018, nämlich schon zum
25.05.2018, war bereits die VO (EU) 2016/679 vom 27.04.2016 zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien
Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG –
Datenschutzgrundverordnung (Im Folgenden DS-GVO) und auf ihrer Grundlage zum
gleichen Zeitpunkt das BDSG in der Fassung vom 30.06.2017 (im Folgenden BDSG
n.F.) in Kraft getreten. Die Klägerin muss deshalb sowohl unter der Geltung des
BDSG a.F. als auch unter der Geltung der DS-GVO bzw. des BDSG n.F. klagebefugt
sein. Das ist der Fall.           

b) Das Landgericht hat sich nicht mit der Frage beschäftigt,
ob die Klägerin bezogen auf den beanstandeten Verstoß gegen
datenschutzrechtliche Bestimmungen des BDSG a.F. überhaupt klagebefugt ist. Der
Senat hat die Frage der Klagebefugnis in seiner vom Landgericht herangezogenen
Entscheidung vom 27.06.2013 (WRP 2013, 1203) ebenfalls nicht angesprochen,
sondern hat diese als unproblematisch gegeben unterstellt.           

Inzwischen ist, worauf die Beklagte hinweist, in der
Literatur (vgl. Zech, WRP 2013, 1434, 1436) und in der Rechtsprechung (OLG
Düsseldorf, GRUR 2017, 416 ff. – „Gefällt mir“-Button) die Frage
aufgeworfen worden, ob das Sanktionssystem der DS-RL ein abschließendes
Sanktionssystem mit der Folge enthält, dass Verstöße gegen
datenschutzrechtliche Bestimmungen nur durch die nach der DS-RL vorgesehenen
Berechtigten mit den dort vorgesehenen Instrumentarien verfolgen können. Dann
wären Wettbewerber i.S. von § 8 Abs. 3 Nr. 1 UWG oder qualifizierte
Einrichtungen i.S. von § 8 Abs. 3 Nr. 3 UWG, die in der DS-RL nicht angeführt
sind, ebenfalls nicht nach § 8 Abs. 1 und Abs. 3 Nr. 1 und 3 UWG klagebefugt.
Nach Auffassung des Senats stehen allerdings die Vorschriften der DS-RL einer
Klagebefugnis von Wettbewerbern gemäß § 8 Abs. 1 und Abs. 3 Nr. 1 UWG nicht
entgegen.    

Die DS-RL enthält erkennbar kein abschließendes
Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von
Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und
Abs. 3 Nr. 1 UWG entgegenstünde. Trotz der mit der Richtlinie beabsichtigten
Vollharmonisierung – nicht Mindestharmonisierung (so schon zutreffend das
Landgericht unter Hinweis auf EUGH, EuZW 2012, 37, Ls. 1) – ist mit der
Richtlinie kein abschließendes Rechtsbehelfssystem festgelegt worden ist. Nach
Art. 22 DS-RL sehen die Mitgliedsstaaten unbeschadet des verwaltungsrechtlichen
Beschwerdeverfahrens, das vor Beschreiten des Rechtsweges insbesondere bei der
in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, vor, dass „jede
Person“ bei der Verletzung der Rechte, die ihr durch die für die
betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften
garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann. Die Vorschrift
greift den in Art. 2 lit. a) DS-RL definierten Begriff der „betroffenen
Person“ nicht auf, sondern sieht die Möglichkeit zur Einlegung eines
Rechtsbehelfs bei Gericht ausdrücklich für „jede Person“ vor. Gleiches
gilt für die in Art. 23 Abs. 1 DS-RL geregelte Möglichkeit, dass jede Person,
der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den
einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu
vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die
Verarbeitung Verantwortlichen Schadenersatz zu verlangen. Das spricht klar
gegen die Installierung eines abschließenden Sanktionssystems und dafür, dass
die DS-RL die Möglichkeit gerichtlicher Rechtsbehelfe außerhalb des
verwaltungsgerichtlichen Beschwerdeverfahrens nicht ausschließt.       

In Art. 22 DS-RL ist zum verwaltungsrechtlichen
Beschwerdeverfahren zudem davon die Rede, dass es vor Beschreiten des
Rechtsweges „insbesondere“ bei der in Artikel 28 genannten Kontrollstelle
eingeleitet werden kann. Die Regelung spricht damit die Möglichkeit, dass sich
jede Person oder ein sie vertretender Verband zum Schutz der die Person
betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten
an jede Kontrollstelle mit einer Eingabe wenden kann (Art. 28 Abs. 4 DS-RL) nur
beispielhaft („insbesondere“) an. Auch das spricht gegen die Annahme eines
durch die DS-RL geschaffenen abschließenden Sanktionssystems.          

Schließlich lässt Art. 24 der DS-RL geeignete Maßnahmen, die
die volle Anwendung der Bestimmungen der Richtlinie sicherstellen, zu. Zwar
verweist Köhler (ZD 2018, 337, 338) bezogen auf die DS-GVO darauf, dass die
dortige Regelung in Art. 84 DS-GVO – wie i.Ü. auch Art. 24 DS-RL – mit
„Sanktionen“ überschrieben ist und eine Sanktion nicht gleichbedeutend mit
einem Rechtsbehelf sei. Ob daraus maßgebliche Schlüsse gezogen werden können,
ist im vorliegenden Zusammenhang nicht zu entscheiden, denn jedenfalls in Art.
24 DS-RL ist nur davon die Rede, dass die Mitgliedstaaten „insbesondere“
die Sanktionen festlegen, die bei Verstößen gegen die zur Umsetzung dieser
Richtlinie erlassenen Vorschriften anzuwenden sind. Im 1. Halbsatz der
Vorschrift heißt es dagegen, dass die Mitgliedstaaten geeignete Maßnahmen
ergreifen, um die volle Anwendung der Bestimmungen dieser Richtlinie sicherzustellen.
Die volle Anwendung der Bestimmungen der Richtlinie kann aber gerade auch
dadurch sichergestellt werden, dass auf lauterkeitsrechtlicher Grundlage
Verstöße gegen datenschutzrechtliche Bestimmungen durch Mitbewerber verfolgt
werden können, wenn und soweit das Lauterkeitsrecht als Anspruchsgrundlage in
Betracht kommt. Im Übrigen enthält die DS-RL, anders als die DS-GVO etwa in
Art. 80 Abs. 2 DS-GVO, keinen Ansatz für eine explizite Ermächtigung zur
Anwendung nationaler Rechtsbehelfe, die eine Verfolgung datenschutzrechtlicher
Rechtsverletzungen durch andere als die jeweils betroffenen Personen zum
Gegenstand haben. Daher kann auch nicht – wie es teils für die DS-GVO
angenommen wird – im Umkehrschluss festgestellt werden, dass solche Regelungen
nach der DS-RL unzulässig wären.

c) Die Klägerin ist aber auch unter der Geltung der DS-GVO
klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen
Auffassung nicht der Ansicht, dass die DS-GVO ein abgeschlossenes
Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher
Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber
ausschlösse.     

Diese insbesondere auch von Köhler (ZD 2018, 337 ders. in:
Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3a Rn. 1.40a, 1.74b;
ebenso: Barth, WRP 2018, 790 (791); Holländer in: BeckOK Datenschutzrecht, 25.
Edition 1. August 2018, Art. 84 Rn. 3.2) vertretene Auffassung, ist auf Kritik
gestoßen. Sie basiert vor allem darauf, dass die Art. 77 – 79 DS-GVO der
„betroffenen Person“, also derjenigen Person, deren Daten verarbeitet
werden (vgl. Art. 4 Nr. 1 DS-GVO) , Rechtsbehelfe zur Seite stellt und die
betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist,
Organisationen zu beauftragen, die in ihrem Namen die genannten Rechte
wahrnimmt. Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor,
dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen
können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu
verfolgen. Dem entnimmt die Beklagte mit Köhler, dass Wettbewerbern die
Befugnis, eigene Rechte geltend machen können, nicht zukommt.

Dagegen wird zur Recht eingewendet, dass Art. 80 Abs. 2
DS-GVO die Frage der Verbandsklage regeln will, aber keinen abschließenden
Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248,
252; ebenso Schreiber, GRUR-Prax 2018, 371 Laoutoumai/Hoppe, K & R 2018,
533, 534ff.). Dafür spricht auch, dass zwar in den Artt. 77 – 79 DS-GVO
Rechtsbehelfe betroffener Personen (Artt. 77, 78 Abs. 2, 79 DS-GVO) oder jeder
anderen Person (Art. 78 Abs. 1 DS-GVO) geregelt sind, insoweit aber stets
unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art.
77 Abs. 1 DS-GVO) bzw. eines anderweitigen verwaltungsrechtlichen oder
außergerichtlichen (Artt. 78 Abs. 1 und 2, 79 Abs. 1 DS-GVO) Rechtsbehelfs. Und
Art. 82 DS-GVO spricht wiederum „jeder Person“, die wegen des Verstoßes
gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch
das lässt klar erkennen, dass die DS-GVO die Verfolgung von
datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen
Personen“, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DS-GVO),
nicht ausschließt.         

Schließlich heißt es in Art. 84 Abs. 1 DS-GVO, dass die
Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen
diese Verordnung — insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel
83 unterliegen — festlegen und alle zu deren Anwendung erforderlichen Maßnahmen
treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend
sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an
Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.). Der Umstand, dass
die Vorschrift mit „Sanktionen“ überschrieben ist, spricht entgegen Köhler
(ZD 2018, 337, 338) nicht schon gegen diese Feststellung (vgl. Bergt in
Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 84 Rn. 2). Gerade im
Kontext der Vorschrift des Art. 77 DS-GVO, die für jede betroffene Person auch
anderweitige – also nicht in der DS-GVO selbst geregelte – gerichtliche
Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DS-GVO, die
nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz
einräumt, wird deutlich, dass die DS-GVO wegen anderweitiger, in der Verordnung
selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.           

2. Die geltend gemachten Ansprüche stehen der Klägerin indes
in der Sache nicht zu. Dabei muss nicht entschieden werden, ob das von der
Klägerin beanstandete Verhalten der Beklagten unter der Geltung der DS-GVO
unzulässig ist.  

Zwar muss das beanstandete Verhalten der Beklagten, weil der
geltend gemachte Unterlassungsanspruch in die Zukunft gerichtet ist, sowohl
nach dem zur Zeit des beanstandeten Verhaltens geltenden Recht als auch nach
dem zur Zeit der Berufungsverhandlung geltenden Recht wettbewerbswidrig sein
(st. Rspr.; vgl. nur BGH, BGHZ 215, 12, Rn. 15 – Preisportal; GRUR 2016, 1076,
Rn. 18 m.w.N. – LGA tested). Wäre die angegriffene Handlung der Beklagten – wie
vom Landgericht angenommen – unter der Geltung des BDSG a.F. unzulässig und als
Wettbewerbsverstoß zu qualifizieren, könnte jedenfalls das ausgesprochene
Verbot deshalb nur aufrechterhalten bleiben, wenn die verbotene Handlung auch
künftig, also auch unter der Geltung der DS-GVO rechtswidrig wäre.      

Der von der Klägerin geltend gemachte Unterlassungsanspruch
stand ihr indes schon anfänglich nicht zu. Zwar verstößt die Verwendung der
streitgegenständlichen Bestellbögen schon deshalb gegen § 28 Abs. 7 BDSG a.F.,
weil die Verwendung dieser Bestellbögen durch die Beklagte bzw. ihre
Muttergesellschaft und deren jeweiligen Mitarbeiter nicht „erforderlich“
i.S. der genannten Vorschrift ist (unten lit .a)). Bei den in Rede stehenden
Normen des BDSG a.F. handelt es sich indes nicht um marktverhaltensregelnde
Normen i.S. des § 3a UWG, weshalb die Verwendung der Bestellbögen nicht
wettbewerbswidrig ist und der Klägerin als Mitbewerberin der geltend gemachte
Unterlassungsanspruch deshalb nicht zusteht (unten lit. b)).      

Die von der Klägerin angegriffene Handlung der Beklagten
konnte in der Folge schon nicht die für das Entstehen eines
Unterlassungsanspruches der Klägerin erforderliche Gefahr begründen, dass sich
eine solche – tatsächlich nicht feststellbare – Verletzungshandlung wiederholt.
Weitere Verletzungshandlungen, die eine Wiederholungsgefahr hätten begründen
können, hat die Klägerin nicht beanstandet. Die Klägerin hat die Verwendung des
streitgegenständlichen Bestellbogens durch die Beklagte mit anwaltlichem
Schreiben vom 07.12.2015 abmahnen lassen (Anlage K 5). Vortrag zur Verwendung
des streitgegenständlichen Bestellbogens durch die Beklagte nach Dezember 2015 und
insbesondere unter der Geltung der DS-GVO hat die Klägerin nicht gehalten. Es
muss deshalb nicht entschieden werden, ob die Verwendung der
streitgegenständlichen Bestellbögen unter der Geltung der DS-GVO rechtmäßig
wäre oder nicht. Da der Klägerin aus Wettbewerbsrecht kein
Unterlassungsanspruch zusteht, sind auch die Annexansprüche nicht begründet
(unten lit. c)).            

a) Die Erhebung bzw. Verarbeitung personenbezogener Daten
mittels des streitgegenständlichen Bestellbogens für Therapieallergene ist nicht
im Sinne des § 28 Abs. 7 BDSG a.F. „erforderlich“ und deshalb nicht
einwilligungslos zulässig. Es bedarf vielmehr für eine solche Datenverarbeitung
der Einwilligung des Patienten nach §§ 4, 4 a BDSG a.F..

Die Frage der Erforderlichkeit der einwilligungslosen
Erhebung und Verarbeitung personenbezogener Daten mittels der
streitgegenständlichen Bestellbögen ist nicht etwa deswegen unstreitig, weil –
worauf das Landgericht hingewiesen hat – auch die Klägerin gegenüber den
Patienten die Auffassung vertritt, dass eine Pseudonymisierung der in Rede
stehenden personenbezogenen Gesundheitsdaten mittels einer PVS-Nummer das
Risiko einer Verwechslung bei der Verwendung des Präparats in der Arztpraxis
erhöhen kann (Anlage K 2). Denn bei Frage danach, ob die einwilligungslose
Datenerhebung i.S. des § 28 Abs. 7 BDSG a.F. erforderlich ist, handelt es sich
um eine Rechtsfrage, die die Parteien nicht unstreitig stellen können. Zwar
können bei der Beantwortung der Frage nach der Erforderlichkeit einer solchen
Datenverarbeitung die Stellungnahmen der Fachgesellschaften, wie des
Paul-Ehrlich-Instituts und des Ärzteverbandes deutscher Allergologen e.V.
(Anlagen HL 2 und HL 3) nicht unbeachtet bleiben. Der Senat ist indes der
Auffassung, dass die dort mit der Beklagten vertretene Ansicht, die
Verarbeitung von Name und Geburtsdatum des jeweiligen Patienten sei sinnvoll
und werde akzeptiert (PEI) bzw. sei absolut notwendig (AeDA), nicht überzeugend
ist. 

Das gilt schon für die Verarbeitung von Name und
Geburtsdatum des jeweils betroffenen Patienten durch die Beklagte bzw. deren
Mitarbeiter oder gar durch die Muttergesellschaft der Beklagten bzw. deren
Mitarbeiter. Diese Daten werden in Kombination mit der gleichzeitigen
Verordnung konkret auf den Patienten bezogener Therapieallergene zu sensiblen
Gesundheitsdaten i.S. der §§ 3 Abs. 9, 28 Abs. 7 BDSG a.F..    

Konkrete tatsächliche Anhaltspunkte dafür, dass es infolge
einer Pseudonymisierung jener Daten tatsächlich zu einer Risikoerhöhung bei der
Anwendung der Präparate kommen könnte, sind nicht dargelegt. Der bloße Hinweis
darauf, dass im Kühlschrank des Arztes teils mehrere Hundert verschiedene
Therapieallergene gelagert werden, die über den Namen und das Geburtsdatum des
Patienten zuverlässiger erfasst werden können, ist insoweit nicht hinreichend.
Zudem ist diese Behauptung streitig. Das PEI hält die Beschriftung der
Umhüllung des Mittels mit dem individuellen Patientennamen zwar für sinnvoll
und verweist auf die gängige Praxis. Das belegt die Risikoerhöhung durch eine
abweichende Handhabung, etwa durch eine Pseudonymisierung, indes nicht. Aus der
Stellungnahme des AeDA ergibt sich ebenfalls lediglich, dass nach dortiger
Auffassung die Arzneimittelsicherheit nur umfassend erfüllt werden kann, wenn
die in Rede stehenden Präparate im Rahmen eines dokumentierten und behördlich
kontrollierten Herstellungsverfahrens mit dem jeweiligen Patientennamen gut
lesbar und klar und eindeutig gekennzeichnet sind. Alternativen werden jeweils
nicht erwogen. Ob und welche Erkenntnisse in Fällen einer Pseudonymisierung
vorliegen, wird nicht mitgeteilt. Es ist insbesondere nicht erkennbar, welche
Verwechslungsgefahren das jeweilige Herstellungsverfahren birgt, bei dem es bei
der Übertragung sensibler Daten ebenso zu Fehlern kommen kann wie in der
Arztpraxis. 

Im Übrigen ist nicht erkennbar, dass die streitige
Datenverarbeitung gerade durch die Beklagte bzw. ihre Muttergesellschaft und
deren jeweilige Mitarbeiter erfolgen muss, um notwendig der Erhöhung der Gefahr
von Verwechslungen der jeweils verordneten Präparate entgegenzuwirken. Konkrete
tatsächliche Anhaltspunkte dafür, dass die – hier unterstelltermaßen – nicht
der nach § 203 StGB strafbewehrten Geheimhaltungspflicht von Ärzten und
Apothekern unterliegenden Mitarbeiter der Beklagten und ihrer
Muttergesellschaft die in Rede stehende sensiblen Gesundheitsdaten besser
verarbeiten könnten als diejenigen, die – wie insbesondere Apotheker – näheren
Kontakt mit dem jeweiligen Patienten haben und der besonderen
Geheimhaltungspflicht unterliegen, gibt es nicht. Es kommt aber angesichts des
zwischen den Parteien unstreitigen Ablaufs des Bestellvorgangs ohne weiteres in
Betracht, dass der Apotheker auf der Grundlage eines Rezepts eine gegenüber der
Beklagten pseudonymisierte Bestellung aufgibt, um die dann speziell für diese
Bestellung gefertigte und anschließend an ihn gelieferte Therapieallergene für
deren weitere Verwendung beim Arzt anhand einer Bestellnummer oder anderen
zuverlässigen pseudonymisierten Bestelldaten mit dem Namen und dem Geburtsdatum
des Patienten zu versehen. Dafür, dass es dabei mit höherer Wahrscheinlichkeit
zu Verwechslungen kommt als im Rahmen der Produktion bei der Beklagten und
ihrer Muttergesellschaft, gibt es keine Erkenntnisse. Und der Apotheker gehört
gemäß § 203 Abs. 1 Nr. 1 StGB zu dem in § 28 Abs. 7 Satz 1 und 2 BDSG a.F.
angesprochenen Personenkreis, der einer der ärztlichen Schweigepflicht
entsprechenden Geheimhaltungspflicht unterliegt.

Darauf, dass auch in der Arztpraxis, die nach dem Klagvortrag
in den eigentlichen Bestellvorgang der Apotheke nicht eingebunden ist,
derartige Beschriftungen an den von den Patienten zur Praxis gebrachten
Arzneimittelbehältnissen vorgenommen werden können, kommt es nicht maßgeblich
an.              

Schließlich ist nichts dafür dargetan, warum es i.S. des §
28 Abs. 7 BDSG a.F. erforderlich ist, mittels des streitgegenständlichen
Bestellbogens die weiteren personenbezogenen Daten, deren Erhebung und
Verarbeitung die Klägerin ebenfalls als unzulässig rügt, nämlich die Kassen-Nr.,
die Versicherten-Nr. und der Status des Patienten, ohne Einwilligung des
Patienten durch die Beklagte erheben und verarbeiten zu lassen. Die Beklagte
macht lediglich Ausführungen zur Erforderlichkeit der Verarbeitung von Namen
und Geburtsdatum des Patienten in Verbindung mit der Verarbeitung der
Verordnungsdaten zu den jeweiligen Therapieallergenen. Wegen aller weiteren
Patientendaten, die mittels des streitgegenständlichen Bestellbogens erhoben
werden, ist nicht erkennbar, dass eine Erforderlichkeit bestünde, der Beklagten
diese Daten mitzuteilen. Und es ist auch keinesfalls so, dass diese Daten stets
erst nach der Lieferung der Arzneimittel an den Apotheker in das Formular
eingetragen würden. Die Beklagte behauptet nur, dass das „in den meisten Fällen“
so sei. Danach ist aber unstreitig, dass es auch andere Handhabungen gibt.

Insgesamt ist die Erforderlichkeit für eine
einwilligungslose Datenerhebung im streitbefangenen Umfang durch die Beklagte
nicht hinreichend dargetan. Das wäre aber vorbehaltlich der nachfolgenden
Ausführungen notwendig, denn das BDSG a.F. erfordert für die Verarbeitung
personenbezogener Daten grundsätzlich eine Einwilligung der jeweils betroffenen
Person (§§ 4, 4a BDSG a.F.), auf die nur unter besonderen Voraussetzungen, wie
etwa unter denen des § 28 Abs. 7 BDSG a.F., verzichtet werden kann. Es handelt
sich also um ein Verbot mit Erlaubnisvorbehalt (vgl. OLG Köln, MMR 2009, 845),
weshalb derjenige, der personenbezogene Daten einwilligungslos verarbeitet, das
Vorliegen der insoweit notwendigen Voraussetzungen dartun und gegebenenfalls
beweisen muss.    

b) Dass der Beklagten letzteres nicht gelungen ist, verhilft
der Klage indes nicht zum Erfolg, denn bei der verletzten Vorschrift des § 28
Abs. 7 BDSG a.F. handelt es sich nicht um eine marktverhaltensregelnde Norm
i.S. des § 3a UWG.   

Nach § 3a UWG handelt – wenn der Verstoß zu einer spürbaren
Beeinträchtigung führen kann – unlauter, wer einer gesetzlichen Vorschrift
zuwider handelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer
das Marktverhalten zu regeln. Eine Norm regelt das Marktverhalten im Interesse
der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen
Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange
der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht
kommenden Personen schützt. Eine Vorschrift, die dem Schutz von Rechten,
Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine
Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die
Marktteilnahme, also durch den Abschluss von Austauschverträgen und den
nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch
genommenen Dienstleistung berührt wird. Nicht erforderlich ist eine spezifisch
wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die
Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres
Marktverhaltens schützt. Die Vorschrift muss jedoch – zumindest auch – den
Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken; lediglich
reflexartige Auswirkungen zu deren Gunsten genügen daher nicht (BGH, GRUR 2017,
819, Rn. 20 – Aufzeichnungspflicht). Dem Interesse der Mitbewerber dient eine
Norm dann, wenn sie die Freiheit ihrer wettbewerblichen Entfaltung schützt; es
genügt nicht, dass sie ein wichtiges Gemeinschaftsgut oder die Interessen
Dritter schützt, sofern damit nicht gleichzeitig auch die Interessen von
Marktteilnehmern geschützt werden sollen (BGH, GRUR 2017, 641, Rn. 20 m.w.N. –
Zuzahlungsverzicht bei Hilfsmitteln).    

Der Senat hat unter der Geltung des § 4 Nr. 11 UWG (jetzt §
3a UWG) einen solchen marktverhaltensregelnden Charakter in Bezug auf die
Vorschrift des 13 Abs. 1 TMG unter Hinweis auf die Erwägungsgründe 6 bis 8 der
DS-RL bejaht (Senat, Urt. v. 27.06.2013, 3 U 26/12, WRP 2013, 1203, Rn. 39 f.;
a.A. KG, GRUR-RR 2012, 19). Dem hat sich ein Teil der Literatur (vgl.
Köhler/Bornkamm/Feddersen, UWG, 36. Aufl., Rn. 1.310b zu § 3a UWG) und der
Rechtsprechung (OLG Köln, WRP 2016, 885, Rn. 22 ff.) angeschlossen. Ein anderer
Teil der Rechtsprechung geht demgegenüber davon aus, dass Datenschutznormen
generell keine marktverhaltensregelnden Normen seien (OLG München, ZD 2012,
330; OLG Düsseldorf, DUD 2004, 631; OLG Frankfurt, NJW-RR 2005, 839). Dem
vermag der Senat zwar nicht zu folgen. Mit der Entscheidung des Senats vom
27.06.2013 ist indes – anders als offenbar vom Landgericht angenommen – nicht
schon zum Ausdruck gebracht, dass jegliche datenschutzrechtliche Norm
marktverhaltensregelnden Charakter hat. In Rechtsprechung und Literatur wird
inzwischen zu Recht angenommen, dass insoweit die jeweilige Norm konkret darauf
überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens
zum Gegenstand hat.

Nach § 4 Abs. 1 BDSG a.F. dürfen personenbezogene Daten nur
erhoben, verarbeitet und genutzt werden, wenn der Betroffene eingewilligt oder
eine solche Nutzung durch das Bundesdatenschutzgesetz oder eine andere
Rechtsvorschrift erlaubt oder angeordnet ist. Das in § 4 Abs. 1 BDSG enthaltene
Verbot mit Erlaubnisvorbehalt zielt zwar nicht schon generell darauf ab,
Marktverhalten zu regeln. Erfolgt indes eine Datennutzung ohne eine
Einwilligung des Betroffenen, dann ist der jeweils für die Datennutzung in
Betracht kommende Erlaubnistatbestand darauf zu überprüfen, ob die von ihm
gezogenen Grenzen jedenfalls auch den Schutz des Betroffenen in seiner Stellung
als Marktteilnehmer bezwecken, was der Fall ist, wenn das geschützte Interesse
gerade durch die Marktteilnahme berührt wird (vgl. OLG Köln, MMR 2009, 845). 

Das ist in der Rechtsprechung bezogen auf die Nutzung von
Daten zu Werbezwecken nach § 28 Abs. 3 BDSG a.F. bejaht worden (OLG Stuttgart,
MMR 2007, 437, Rn. 27; OLG Köln, MMR 2009, 845; CR 2011, 680; ZD 2012, 421; OLG
Karlsruhe, ZD 2012, 432, Rn. 34; OLG Dresden, BeckRS 2014, 15220, insoweit
unklar, ob nur die dort ebenfalls allein streitige Regelung des § 28 Abs. 3
BDSG a.F. oder § 28 BDSG a.F. generell als marktverhaltensregelnd angesehen worden
ist ). Für § 28 Abs. 7 BDSG a.F. kann ein marktverhaltensregelnder Charakter
indes nicht angenommen werden.             

Im Rahmen des Erlaubnistatbestandes von § 28 Abs. 7 BDSG
a.F. geht es um besonders sensible Gesundheitsdaten und deren Verarbeitung zum
Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der
Gesundheitsversorgung oder Behandlung oder für die Verwaltung von
Gesundheitsdiensten. Und nicht – wie in § 28 Abs. 3 BDSG a.F. – um eine
Datennutzung zum Zwecke der Werbung und damit für Zwecke, die die geschützten
Interessen des Betroffenen gerade in Bezug auf seine Marktteilnahme berühren.
Die Beklagte hat unbestritten vorgetragen, sie nutze die streitigen
personenbezogenen Daten nicht für Werbezwecke. Ein Bezug der Norm zu einer wie
auch immer gearteten Teilnahme des Betroffenen oder gar der Klägerin am Markt
ist nicht zu erkennen. Zwar meint die Klägerin, sie sei in ihrer Marktstellung
betroffen, weil es die Beklagte wegen des Verzichts auf eine Einwilligung
leichter habe, an Bestellungen von Therapieallergenen zu kommen, denn der – wie
bei der Klägerin – um eine Einwilligung ersuchte Patient könnte dadurch
abgeschreckt werden, so dass es die – nach ihrer Ansicht rechtstreue – Klägerin
schwerer haben könnte, Kunden zu gewinnen. Das ist aber allenfalls eine
reflexartige Folge eines – unterstellten – Verstoßes gegen die Vorschrift der
§§ 4, 4a, 28 Abs. 7 BDSG a.F.. Die Person, um deren Daten es hier geht, ist –
mag sie im Gesundheitsbereich in anderen Zusammenhängen auch durchaus als Markteilnehmer
auftreten – nicht in ihrer Eigenschaft als Verbraucher und Marktteilnehmer
angesprochen sondern in ihrer Eigenschaft als Patient und Träger von
Persönlichkeitsrechten. Es geht für sie nicht um das Angebot von oder die
Nachfrage nach Waren oder Dienstleistungen. Und die Parteien als
Marktteilnehmer sind nur insoweit angesprochen als sie die
Persönlichkeitsrechte des jeweils betroffenen Patienten bei ihrer
Marktteilnahme zu wahren haben. Die Norm verfolgt dabei – anders als die Norm
des § 28 Abs. 3 BDSG a.F. – nicht das Ziel, im Verhältnis der Mitbewerber
gleiche Marktbedingungen zu schaffen.              

Das kann auch nicht allein deshalb angenommen werden, weil
die DS-RL nicht nur datenbezogene Grundrechte gewährleisten soll
(Erwägungsgrund 1), sondern es in den Erwägungsgründen 6 bis 8 der DS-RL heißt,
dass die Richtlinie auch den grenzüberschreitenden Verkehr personenbezogener
Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7),
weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von
Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb
verfälschen könne (Erwägungsgrund 7 Satz 2), und die Regelungen der Richtlinie
auch der Beseitigung solcher Hemmnisse diene, um einen grenzüberschreitenden Fluss
personenbezogener Daten kohärent in allen Mitgliedsstaaten und in
Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8).
Denn die Verfolgung jener – auch marktbezogenen – Ziele setzt voraus, dass die
jeweils betroffenen personenbezogenen Daten im konkreten Zusammenhang – wie
etwa im Rahmen der Datennutzung zum Zwecke der Werbung – jedenfalls auch aus
Gründen der Betätigung der jeweiligen Personen bzw. Unternehmen am Markt, also
für die wettbewerbsrelevante Ausübung von Wirtschaftstätigkeiten, erhoben und
verarbeitet werden. Das ist aber bei den im Streit stehenden sensiblen
personenbezogenen Gesundheitsdaten, deren Schutz nach der Regelung des § 28
Abs. 7 BDSG a.F. allein zum Zwecke der Gesundheitsvorsorge, der medizinischen
Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung
von Gesundheitsdiensten dadurch eingeschränkt werden darf, dass eine
Datenerhebung und -verarbeitung ausnahmsweise auch ohne Einwilligung des
Betroffenen erfolgen kann, nicht der Fall. Hier geht es allein um die
Gesundheit des Patienten sowie den Schutz seiner datenbezogenen Grundrechte und
nicht um dessen Marktteilnahme oder die Marktbetätigung von Wettbewerbern.           

Damit fehlt es letztlich an einer den Unterlassungsanspruch
der Klägerin tragenden Anspruchsgrundlage. Deshalb muss die zwischen den
Parteien streitige und vom Landgericht unter Hinweis auf Art. 8 Abs. 3 der
DS-RL verneinte Frage, ob § 28 Abs. 7 Satz 3 BDSG a.F. mit der Beklagten so
auszulegen ist, dass die Vorschrift die einwilligungslose Datenverarbeitung zu
den in der Vorschrift genannten Zwecken auch durch solche Dritte erlaubt, die
nicht der strafbewehrten Geheimhaltungspflicht des § 203 StGB unterliegen,
sondern nur einer – ggfls. ordnungsmittelbewehrten – allgemeinen
Geheimhaltungspflicht des § 5 BDSG (Datengeheimnis), nicht entschieden werden.              

c) Fehlt es nach dem Vorstehenden mangels einer Verletzung
lauterkeitsrechtlicher Vorschriften durch die Beklagte an einem
Unterlassungsanspruch der Klägerin, dann gehen auch die geltend gemachten
Annexansprüche ins Leere und ist die Klage auch insoweit mangels eines
wettbewerbswidrigen Verhaltens der Beklagten, das Grundlage solcher Ansprüche
sein könnte, abzuweisen.     

3. Die Kostenentscheidung folgt aus § 91 Abs. 1 ZPO, die
Entscheidung über die vorläufige Vollstreckbarkeit aus §§ 708 Ziff. 10, 709
Satz 2, 711 ZPO.     

4. Der Senat hat die Revision zugelassen, weil die Fragen,
ob die DS-RL und/oder die DS-GVO der Klagebefugnis des Wettbewerbers
entgegenstehen, bislang noch nicht höchstrichterlich entschieden ist. Ebenso
wenig die Frage nach der generellen oder nur partiellen Einordnung
datenschutzrechtlicher Bestimmungen als marktverhaltensregelnde Normen i.S. des
§ 3a UWG. Die Revisionszulassung ist auf diese Gesichtspunkte nicht beschränkt.
Die Sache hat grundsätzliche Bedeutung und erfordert zur Fortbildung des Rechts
eine Entscheidung des Revisionsgerichts (§ 543 Abs. 2 Nr. 1. und 2 ZPO)