ND tegen DR

• 1.

  Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 9, lid 1, en de bepalingen van hoofdstuk VIII van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35; hierna: „AVG”), alsmede van artikel 8, lid 1, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).

• 2.

  Dit verzoek is ingediend in het kader van een geding tussen ND en DR, twee natuurlijke personen die elk een apotheek exploiteren, betreffende de verkoop door ND, via een onlineplatform, van geneesmiddelen die alleen in apotheken mogen worden verkocht.

 Unierecht

• 3.

  Artikel 8 van richtlijn 95/46 („Verwerkingen die bijzondere categorieën gegevens betreffen”) bepaalde het volgende:

  „1.      De lidstaten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen.

  2.      Lid 1 is niet van toepassing wanneer:

  a)      de betrokkene uitdrukkelijk heeft toegestemd in een dergelijke verwerking, tenzij in de wetgeving van de lidstaat is bepaald dat het in lid 1 bedoelde verbod niet door toestemming van de betrokkene ongedaan kan worden gemaakt; [...]

  […]”

• 4.

  De overwegingen 9 tot en met 11, 13, 35, 51, 53, 141 en 142 AVG luiden:

  „(9)      De doelstellingen en beginselen van richtlijn [95/46] blijven overeind, maar de richtlijn heeft niet kunnen voorkomen dat gegevens in de Unie op gefragmenteerde wijze worden beschermd, dat er rechtsonzekerheid heerst of dat in brede lagen van de bevolking het beeld bestaat dat met name online‑activiteiten aanzienlijke risico’s voor de bescherming van natuurlijke personen inhouden. De lidstaten bieden op het vlak van verwerking van persoonsgegevens uiteenlopende niveaus van bescherming van de rechten en vrijheden van natuurlijke personen, met name de bescherming van persoonsgegevens, wat het vrije verkeer van persoonsgegevens binnen de Unie in de weg kan staan. Die verschillen kunnen dan ook een belemmering vormen voor de uitoefening van economische activiteiten op Unieniveau, de mededinging verstoren en de overheid beletten de taak die zij uit hoofde van het Unierecht heeft, te vervullen. Die verschillende beschermingsniveaus zijn toe te schrijven aan de verschillen in de uitvoering en toepassing van richtlijn [95/46].

  (10)      Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. [...] Deze verordening biedt de lidstaten ook ruimte om eigen regels voor de toepassing vast te stellen, onder meer wat de verwerking van bijzondere persoonsgegevenscategorieën (‚gevoelige gegevens’) betreft. [...]

  (11)      Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist de versterking en nadere omschrijving van de rechten van betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, alsmede gelijkwaardige bevoegdheden op het gebied van toezicht en handhaving van de regels inzake gegevensbescherming en vergelijkbare sancties voor overtredingen in de lidstaten.

  [...]

  (13)      Teneinde natuurlijke personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van persoonsgegevens op de interne markt hinderen, is een verordening nodig om marktdeelnemers, met inbegrip van kleine, middelgrote en micro‑ondernemingen, rechtszekerheid en transparantie te bieden, te voorzien in dezelfde wettelijk afdwingbare rechten voor natuurlijke personen in alle lidstaten en in verplichtingen en verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers, te zorgen voor consistent toezicht op de verwerking van persoonsgegevens en voor vergelijkbare sancties in alle lidstaten, alsook voor doeltreffende samenwerking tussen de toezichthoudende autoriteiten van verschillende lidstaten. [...]

  [...]

  (35)      Persoonsgegevens over gezondheid dienen alle gegevens te omvatten die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst. [...]

  [...]

  (51)      Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming aangezien de context van de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en de fundamentele vrijheden. [...] Dergelijke persoonsgegevens mogen niet worden verwerkt, tenzij de verwerking is toegestaan in deze verordening vermelde specifieke gevallen, rekening houdend met het feit dat in de wetgeving van de lidstaten specifieke bepalingen inzake gegevensbescherming kunnen worden opgenomen teneinde de toepassing van de regels van deze verordening aan te passen met het oog op de vervulling van een wettelijke verplichting of met het oog op de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Naast de specifieke voorschriften voor die verwerking dienen de algemene beginselen en andere regels van deze verordening te worden toegepast, met name wat betreft de voorwaarden voor rechtmatige verwerking. Er moet onder meer uitdrukkelijk in afwijkingen van het algemene verbod op de verwerking van die bijzondere categorieën persoonsgegevens worden voorzien ingeval de betrokkene zijn uitdrukkelijke toestemming geeft of in geval van specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van gerechtvaardigde activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken.

  [...]

  (53)      Bijzondere categorieën van persoonsgegevens waarvoor betere bescherming is vereist, mogen alleen voor gezondheidsdoeleinden worden verwerkt indien dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel, met name bij het beheer van gezondheidszorgdiensten en ‑stelsels [...]. Derhalve dient deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën van persoonsgegevens over de gezondheid, in geval van specifieke behoeften, met name indien deze gegevens met het oog op bepaalde gezondheidsdoeleinden worden verwerkt door personen die wettelijk aan het beroepsgeheim gebonden zijn. Het Unierecht of het lidstatelijke recht moet voorzien in specifieke en passende maatregelen voor de bescherming van de grondrechten en persoonsgegevens van natuurlijke personen. De lidstaten moet worden toegestaan andere voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid te handhaven of in te voeren. [...]

  [...]

  (141)      Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij een enkele toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, en een doeltreffende voorziening in rechte in te stellen overeenkomstig artikel 47 van het [Handvest van de grondrechten van de Europese Unie; hierna: ‚Handvest’] indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. [...]

  (142)      Wanneer een betrokkene van oordeel is dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening, moet hij het recht hebben organen, organisaties of verenigingen zonder winstoogmerk, die overeenkomstig het recht van een lidstaat zijn opgericht, die statutaire doelstellingen hebben die in het publieke belang zijn en die actief zijn op het gebied van de bescherming van persoonsgegevens, te machtigen om namens hem een klacht in te dienen bij een toezichthoudende autoriteit, om namens betrokkenen het recht op een voorziening in rechte uit te oefenen, of om namens betrokkenen het recht op de ontvangst van een vergoeding uit te oefenen indien dit in het lidstatelijke recht is voorzien. De lidstaten kunnen bepalen dat deze organen, organisaties of verenigingen over het recht beschikken om, ongeacht een eventuele machtiging door een betrokkene, in die lidstaat een klacht in te dienen en over het recht op een doeltreffende voorziening in rechte, indien zij redenen hebben om aan te nemen dat de rechten van een betrokkene zijn geschonden als gevolg van een verwerking van persoonsgegevens die inbreuk maakt op deze verordening. Voor deze organen, organisaties of verenigingen kan worden bepaald dat zij niet het recht hebben om namens een betrokkene een vergoeding te eisen buiten de machtiging door de betrokkene om.”

• 5.

  Artikel 1 van deze verordening („Onderwerp en doelstellingen”) bepaalt het volgende:

  „1.      Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens.

  2.      Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.

  3.      Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.”

• 6.

  Artikel 4 van deze verordening luidt:

  „Voor de toepassing van deze verordening wordt verstaan onder:

  1)      ‚persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

  2)      ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

  [...]

  7)      ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

  [...]

  15)      ‚gegevens over gezondheid’: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;

  [...]

  21)      ‚toezichthoudende autoriteit’: een door een lidstaat ingevolge artikel 51 ingestelde onafhankelijke overheidsinstantie;

  [...]”

• 7.

  Hoofdstuk II AVG („Beginselen”) omvat de artikelen 5 tot en met 11 ervan.

• 8.

  In artikel 5 van deze verordening worden de beginselen met betrekking tot de verwerking van persoonsgegevens uiteengezet, terwijl in artikel 6 de voorwaarden worden vastgesteld waaronder deze verwerking rechtmatig is.

• 9.

  Artikel 9 van deze verordening („Verwerking van bijzondere categorieën van persoonsgegevens”) bepaalt het volgende:

  „1.      Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

  2.      Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

  a)      de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven;

  [...]

  h)      de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en ‑diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen;

  [...]”

• 10.

  Artikel 51 van deze verordening („Toezichthoudende autoriteit”) bepaalt in lid 1:

  „Elke lidstaat bepaalt dat één of meer onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken (‚toezichthoudende autoriteit’).”

• 11.

  Hoofdstuk VIII AVG („Beroep, aansprakelijkheid en sancties”) omvat de artikelen 77 tot en met 84 van die verordening.

• 12.

  Artikel 77 van deze verordening („Recht om een klacht in te dienen bij een toezichthoudende autoriteit”) bepaalt in lid 1:

  „Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening.”

• 13.

  Artikel 78 van deze verordening („Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit”) bepaalt in lid 1 het volgende:

  „Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit een doeltreffende voorziening in rechte in te stellen.”

• 14.

  Artikel 79 van deze verordening („Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker”) bepaalt in lid 1:

  „Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 77 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.”

• 15.

  Artikel 80 AVG („Vertegenwoordiging van betrokkenen”) bepaalt het volgende:

  „1.      De betrokkene heeft het recht een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doelstellingen het algemeen belang dienen en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen, namens hem de in artikelen 77, 78 en 79 bedoelde rechten uit te oefenen en namens hem het in artikel 82 bedoelde recht op schadevergoeding uit te oefenen, indien het lidstatelijke recht daarin voorziet.

  2.      De lidstaten kunnen bepalen dat een orgaan, organisatie of vereniging als bedoeld in lid 1 van dit artikel, over het recht beschikt om onafhankelijk van de opdracht van een betrokkene in die lidstaat een klacht in te dienen bij de overeenkomstig artikel 77 bevoegde toezichthoudende autoriteit en de in de artikelen 78 en 79 bedoelde rechten uit te oefenen, indien het, onderscheidenlijk zij, van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking.”

• 16.

  Artikel 82 van deze verordening („Recht op schadevergoeding en aansprakelijkheid”) bepaalt in lid 1:

  „Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.”

• 17.

  Artikel 83 van deze verordening („Algemene voorwaarden voor het opleggen van administratieve geldboeten”) bepaalt in lid 1 het volgende:

  „Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn.”

• 18.

  Artikel 84 van deze verordening („Sancties”) bepaalt in lid 1:

  „De lidstaten stellen de regels inzake andere sancties vast die van toepassing zijn op inbreuken op deze verordening, in het bijzonder op inbreuken die niet aan administratieve geldboeten onderworpen zijn overeenkomstig artikel 83, en treffen alle nodige maatregelen om ervoor te zorgen dat zij worden toegepast. Die sancties zijn doeltreffend, evenredig en afschrikkend.”

• 19.

  Artikel 94, lid 1, AVG bepaalt het volgende:

  „Richtlijn [95/46] wordt met ingang van 25 mei 2018 ingetrokken.”

• 20.

  Artikel 99 van deze verordening luidt:

  „1.      Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

  2.      Zij is van toepassing met ingang van 25 mei 2018.

  [...]”

   Wet inzake oneerlijke mededinging

 Duits recht

• 21.

  § 3 van het Gesetz gegen den unlauteren Wettbewerb (wet inzake oneerlijke mededinging) van 3 juli 2004 (BGBl. 2004 I, blz. 1414), in de versie die van toepassing is op het hoofdgeding (hierna: „UWG”), draagt het opschrift „Verbod van oneerlijke mededinging” en bepaalt in lid 1 het volgende:

  „Oneerlijke handelspraktijken zijn verboden.”

• 22.

  § 3a UWG („Inbreuken op het recht”) luidt als volgt:

  „Eenieder die handelt in strijd met een wettelijk voorschrift dat mede is vastgesteld om in het belang van de marktdeelnemers het marktgedrag te reguleren, maakt zich schuldig aan een oneerlijke handelspraktijk indien de inbreuk de belangen van consumenten, andere marktdeelnemers of concurrenten wezenlijk kan aantasten.”

• 23.

  § 8 van deze wet („Verbodsactie en vordering tot nalaten”) bepaalt het volgende:

  „(1)      Van eenieder die zich schuldig maakt aan een krachtens § 3 of § 7 verboden handelspraktijk kan worden gevorderd dat hij deze praktijk staakt en er, in geval van gevaar voor recidive, in de toekomst van afziet. [...]

  [...]

  (3)      De in lid 1 bedoelde vorderingen komen toe aan:

  1.      elke concurrent die in een niet te veronachtzamen mate en anders dan op incidentele basis goederen of diensten aanbiedt of afneemt;

  [...]”

   Geneesmiddelenwet

• 24.

  De verkoop van medicijnen wordt geregeld in het Gesetz über den Verkehr mit Arzneimitteln (wet op de handel in geneesmiddelen) van 24 augustus 1976 (BGBl. 1976 I, blz. 2444), zoals gepubliceerd op 12 december 2005 (BGBl. 2005 I, blz. 3394) en van toepassing op het hoofdgeding. Die wet maakt een onderscheid tussen enerzijds geneesmiddelen die in een apotheek worden verkocht en anderzijds geneesmiddelen die uitsluitend op recept verkrijgbaar zijn als bedoeld in § 48 („Receptplichtige geneesmiddelen”).

 Hoofdgeding en prejudiciële vragen

• 25.

  ND, die een apotheek exploiteert onder de handelsnaam „Lindenapotheke”, verkoopt sinds 2017 geneesmiddelen die uitsluitend in een apotheek mogen worden verkocht op het onlineplatform „Amazon‑Marketplace” (hierna: „Amazon”). Bij de onlinebestelling van deze geneesmiddelen moeten zijn klanten informatie invoeren zoals hun naam, het afleveradres en de gegevens die nodig zijn om die geneesmiddelen te individualiseren.

• 26.

  DR, die ook een apotheek exploiteert, heeft bij het Landgericht Dessau‑Roßlau (rechter in eerste aanleg van de deelstaat Saksen‑Anhalt, Duitsland) een vordering ingesteld tot veroordeling van ND tot het staken, op straffe van een geldboete, van de verkoop op Amazon van geneesmiddelen die uitsluitend in een apotheek mogen worden verkocht, zolang niet is gewaarborgd dat de klanten vooraf toestemming kunnen geven voor de verwerking van gegevens over de gezondheid.

• 27.

  Tot staving van zijn vordering heeft DR aangevoerd dat de verkoop op Amazon van geneesmiddelen die uitsluitend in een apotheek mogen worden verkocht oneerlijk is wegens niet‑naleving van de wettelijke vereisten inzake het verkrijgen van toestemming van de klant, zoals voorgeschreven door de wetgeving inzake de bescherming van persoonsgegevens.

• 28.

  Het Landgericht Dessau‑Roßlau heeft deze vordering bij beslissing van 28 maart 2018 toegewezen.

• 29.

  ND heeft tegen deze beslissing hoger beroep ingesteld bij het Oberlandesgericht Naumburg (hoogste rechterlijke instantie van de deelstaat Saksen‑Anhalt, Duitsland), die dit hoger beroep bij beslissing van 7 november 2019 heeft verworpen.

• 30.

  De rechter in tweede aanleg was van oordeel dat de verkoop op Amazon door ND van geneesmiddelen die uitsluitend in een apotheek mogen worden verkocht een oneerlijke handelspraktijk is en dus in strijd is met § 3, lid 1, UWG. Volgens deze rechter vormt deze verkoop namelijk een verwerking van gegevens over de gezondheid, hetgeen op grond van artikel 9, lid 1, AVG verboden is indien de klanten die geneesmiddelen kopen niet uitdrukkelijk toestemming hebben gegeven overeenkomstig artikel 9, lid 2, onder a), van deze verordening. De bij die verordening vastgestelde regels vormen wettelijke bepalingen die bedoeld zijn om gedragingen op de markt te reguleren in de zin van § 3a UWG, aldus die rechter. Bovendien is DR krachtens § 8, lid 3, punt 1, UWG als concurrent gerechtigd om bij de civiele rechter jegens ND een vordering tot staking in te stellen wegens schending van deze regels.

• 31.

  ND heeft beroep in Revision ingesteld bij de verwijzende rechter, het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland).

• 32.

  Volgens deze rechter hangt de uitkomst van het geding af van de uitlegging van zowel hoofdstuk VIII AVG als artikel 9, lid 1, van deze verordening, alsook van artikel 8, lid 1, van richtlijn 95/46.

• 33.

  In de eerste plaats wenst de verwijzende rechter te vernemen of het sinds de intrekking van richtlijn 95/46 met ingang van 25 mei 2018, de datum waarop de AVG in werking is getreden, de lidstaten nog steeds vrijstaat om naar nationaal recht te bepalen dat de in § 8, lid 3, punt 1, UWG bedoelde concurrenten van een onderneming bevoegd zijn om op grond van het verbod op oneerlijke handelspraktijken bij de civiele rechter een vordering in te stellen tot staking van door die onderneming begane inbreuken op de bepalingen van de AVG.

• 34.

  De verwijzende rechter merkt op dat deze vraag aanleiding geeft tot uiteenlopende antwoorden op nationaal niveau. Het antwoord valt namelijk niet eenduidig af te leiden uit de bewoordingen van de bepalingen van hoofdstuk VIII AVG of uit de algemene opzet van deze bepalingen en zelfs ook niet uit het door deze verordening nagestreefde doel.

• 35.

  Om te beginnen merkt de verwijzende rechter met betrekking tot de bewoordingen van de bepalingen van hoofdstuk VIII AVG op dat het juist is dat deze bepalingen nergens melding maken van de mogelijkheid dat concurrenten van een onderneming een vordering tegen haar instellen, met name ook niet wanneer de schending van de wettelijke regeling inzake gegevensbescherming een oneerlijke handelspraktijk vormt. Tegelijkertijd sluiten die bepalingen deze mogelijkheid evenwel niet formeel uit, aldus die rechter.

• 36.

  Wat vervolgens de algemene opzet van de bepalingen van hoofdstuk VIII AVG betreft, brengt de verwijzende rechter enerzijds in herinnering dat, zoals het Hof in het arrest van 28 april 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, punt 57), heeft verklaard, met deze verordening wordt beoogd om de nationale regelgevingen inzake de bescherming van persoonsgegevens in beginsel volledig te harmoniseren. Anderzijds kan het feit dat artikel 77, lid 1, artikel 78, leden 1 en 2, en artikel 79, lid 1, AVG elk de zinsnede „[o]nverminderd andere mogelijkheden van [beroep]” bevatten, in de weg staan aan de slotsom dat de handhaving van het recht uitputtend is geregeld.

• 37.

  Wat ten slotte de door de AVG nagestreefde harmonisatiedoelstelling en in het bijzonder het beoogde gelijktrekken van het niveau van de handhaving van het recht in de Unie betreft, wijst de verwijzende rechter er enerzijds op dat de omstandigheid dat concurrenten bevoegd kunnen zijn om een procedure te starten op grond van het mededingingsrecht en er dus zonder gebruik te maken van de instrumenten van de AVG voor kunnen zorgen dat de bepalingen van het gegevensbeschermingsrecht worden gehandhaafd, in strijd zou kunnen zijn met deze doelstelling. Bovendien is het niet duidelijk of het stelsel van handhaving van het recht waarin de verordening voorziet, wel een leemte bevat die moet worden opgevuld door aan concurrenten de bevoegdheid te verlenen om een vordering in te stellen op grond van het mededingingsrecht. Evenzo zou concurrentie bij de handhaving van het gegevensbeschermingsrecht tussen de toezichthoudende autoriteiten aan de ene kant en de civiele rechter aan de andere kant afbreuk kunnen doen aan de bevoegdheden van de toezichthoudende autoriteiten en kunnen leiden tot verschillen in de handhaving van het gegevensbeschermingsrecht binnen de Unie.

• 38.

  Anderzijds is het volgens de verwijzende rechter wel zo dat de mogelijkheid voor concurrenten om een procedure te starten op grond van het mededingingsrecht, een extra mogelijkheid tot handhaving van het recht kan vormen, hetgeen op grond van het doeltreffendheidsbeginsel („effet utile”) wenselijk is om overeenkomstig overweging 10 AVG een zo hoog mogelijk beschermingsniveau met betrekking tot persoonsgegevens te waarborgen.

• 39.

  De verwijzende rechter merkt op dat deze aan de orde zijnde vraag niet is opgehelderd in de rechtspraak van het Hof en dat het Hof met name in het arrest van 28 april 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), de procesbevoegdheid van een concurrent uitdrukkelijk in het midden heeft gelaten.

• 40.

  In de tweede plaats vraagt de verwijzende rechter zich af of de gegevens die klanten bij het bestellen van geneesmiddelen op het platform voor onlinehandel moeten invoeren, zoals hun naam, het afleveradres en de informatie die nodig is voor de individualisering van de bestelde geneesmiddelen, „gegevens over de gezondheid” in de zin van artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, AVG vormen.

• 41.

  Volgens deze rechter ligt het antwoord op deze vraag niet voor de hand wanneer de bestelde geneesmiddelen zonder recept verkrijgbaar zijn. In dat geval kan immers niet worden uitgesloten dat de geneesmiddelen niet voor de klanten zelf zijn bestemd, maar voor niet‑identificeerbare derden.

• 42.

  De verwijzende rechter benadrukt dat de bewoordingen van die bepalingen en die van artikel 4, punt 15, AVG, gelezen in samenhang met overweging 35 van die verordening, op zichzelf niet volstaan om deze vraag te beantwoorden.

• 43.

  Volgens de verwijzende rechter heeft het Hof in punt 125 van het arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), evenwel verklaard dat het begrip „bijzondere categorieën van persoonsgegevens” als bedoeld in artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, AVG ruim dient te worden uitgelegd gelet op de doelstelling van die verordening, die erin bestaat een hoog niveau van bescherming van de fundamentele vrijheden en de grondrechten van natuurlijke personen, met name van hun privéleven, te waarborgen in verband met de verwerking van persoonsgegevens die hen betreffen. Een dergelijk ruime uitlegging van dit begrip zou de slotsom toelaten dat er bij dergelijke informatie sprake is van gegevens over de gezondheid, hoewel het niet zeker maar slechts waarschijnlijk is dat de klanten die de geneesmiddelen hebben besteld ook de personen zijn voor wie deze bestemd zijn.

• 44.

  De verwijzende rechter merkt op dat het door DR ingeroepen verbod slechts kan worden afgedwongen indien de betrokken gedragingen van ND zowel op het tijdstip dat hij zich daaraan schuldig heeft gemaakt als op het tijdstip van de behandeling van het beroep in Revision onrechtmatig waren, en dat op het eerste van die twee tijdstippen artikel 8, lid 1, van richtlijn 95/46 nog van toepassing was, maar dat het tweede tijdstip thans onder de werkingssfeer van artikel 9, lid 1, AVG valt.

• 45.

  In deze context heeft het Bundesgerichtshof de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

  „1)       Staan de bepalingen in hoofdstuk VIII [AVG] in de weg aan nationale regelingen die, naast de bevoegdheden tot optreden van de voor het toezicht op en de handhaving van de verordening bevoegde autoriteiten en de aan de betrokkene geboden rechtsbeschermingsmogelijkheden, aan concurrenten de bevoegdheid verlenen om wegens inbreuken op die verordening bij de civiele rechter een vordering tegen de inbreukmaker in te stellen op grond van het verbod op oneerlijke handelspraktijken?

  2)       Zijn de gegevens die klanten van een apotheek die op een platform voor onlinehandel als verkoper optreedt, invoeren bij de bestelling van geneesmiddelen die alleen in apotheken mogen worden verkocht maar zonder recept verkrijgbaar zijn (naam van de klant, afleveradres en de informatie die noodzakelijk is voor de individualisering van de bestelde geneesmiddelen die alleen in apotheken mogen worden verkocht), gegevens over gezondheid in de zin van artikel 9, lid 1, [AVG] alsook gegevens die de gezondheid betreffen in de zin van artikel 8, lid 1, van richtlijn 95/46?”

 Eerste vraag

• 46.

  Met zijn eerste vraag wenst de verwijzende rechter te vernemen of de bepalingen van hoofdstuk VIII AVG aldus moeten worden uitgelegd dat zij zich verzetten tegen een nationale regeling die voorziet in de bevoegdheden tot optreden van de voor het toezicht op en de handhaving van die verordening bevoegde autoriteiten en in de aan de betrokkene geboden rechtsbeschermingsmogelijkheden, maar daarnaast ook aan concurrenten van een persoon van wie wordt gesteld dat hij inbreuk heeft gemaakt op de bescherming van persoonsgegevens de bevoegdheid verleent om bij inbreuk op de verordening bij de civiele rechter een vordering tegen de inbreukmaker in te stellen op grond van het verbod op oneerlijke handelspraktijken.

• 47.

  Om te beginnen zij eraan herinnerd dat hoofdstuk VIII AVG onder meer de rechtsmiddelen regelt waarmee de rechten van de betrokkene kunnen worden beschermd wanneer zijn persoonsgegevens beweerdelijk in strijd met de bepalingen van de verordening zijn verwerkt. De bescherming van deze rechten kan dus worden ingeroepen hetzij rechtstreeks door de betrokkene, overeenkomstig de artikelen 77 tot en met 79 van deze verordening, hetzij door een daartoe gemachtigde entiteit, al dan niet met een daartoe strekkende opdracht, overeenkomstig artikel 80 van die verordening (zie in die zin arrest van 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punt 53).

• 48.

  Artikel 77, lid 1, AVG bepaalt namelijk dat iedere betrokkene, onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, het recht heeft om een klacht in te dienen bij een toezichthoudende autoriteit. Ingevolge artikel 78, lid 1, van die verordening heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit een doeltreffende voorziening in rechte in te stellen, onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep. Artikel 79, lid 1, AVG garandeert elke betrokkene het recht om een doeltreffende voorziening in rechte in te stellen, onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht om uit hoofde van artikel 77 van de verordening een klacht in te dienen bij een toezichthoudende autoriteit.

• 49.

  Daarnaast is het zo dat de betrokkene overeenkomstig artikel 80, lid 1, AVG het recht heeft om een orgaan, organisatie of vereniging zonder winstoogmerk onder bepaalde voorwaarden opdracht te geven om namens hem een klacht in te dienen of de in artikelen 77 tot en met 79 van deze verordening bedoelde rechten uit te oefenen. Bovendien kunnen de lidstaten overeenkomstig artikel 80, lid 2, van die verordening bepalen dat een orgaan, organisatie of vereniging over het recht beschikt om, onafhankelijk van de opdracht van een betrokkene, in de betreffende lidstaat een dergelijke klacht in te dienen bij de toezichthoudende autoriteit en die rechten uit te oefenen indien dit orgaan of deze organisatie of vereniging van mening is dat de rechten van de betrokkene uit hoofde van de verordening zijn geschonden ten gevolge van de verwerking van zijn persoonsgegevens.

• 50.

  In casu blijkt uit het dossier waarover het Hof beschikt dat ND, die een apotheek exploiteert, op Amazon geneesmiddelen verkoopt waarvan de verkoop is voorbehouden aan apotheken, en dat de klanten bij de onlinebestelling van die geneesmiddelen gegevens moeten invoeren zoals hun naam, het afleveradres en de informatie die nodig is om te weten om welke geneesmiddelen het specifiek gaat. In het hoofdgeding zijn het evenwel niet die klanten, die betrokkenen zijn in de zin van artikel 4, punt 1, AVG, die de vordering bij de civiele rechter hebben ingesteld op grond van artikel 79 van die verordening, en ook niet een orgaan dat of organisatie of vereniging die uit hoofde van artikel 80 AVG bevoegd is, al dan niet met een daartoe strekkende opdracht van een betrokkene, maar een concurrent van die apotheker op grond van het verbod op oneerlijke handelspraktijken omdat die apotheker inbreuk zou hebben gemaakt op de bepalingen van de verordening.

• 51.

  In het hoofdgeding is derhalve de vraag aan de orde of de AVG eraan in de weg staat dat een concurrent als DR, die geen betrokkene is in de zin van artikel 4, punt 1, van deze verordening, bevoegd is om een dergelijke vordering in te stellen bij de nationale civiele rechter.

• 52.

  Dienaangaande zij eraan herinnerd dat voor de uitlegging van een Unierechtelijke bepaling niet alleen rekening moet worden gehouden met de bewoordingen van deze bepaling, maar ook met de context ervan en met de doelstellingen die worden nagestreefd met de regeling waarvan zij deel uitmaakt (arrest van 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punt 32).

• 53.

  Wat betreft de bewoordingen van de bepalingen van hoofdstuk VIII AVG, zij erop gewezen dat geen daarvan uitdrukkelijk de mogelijkheid uitsluit dat een concurrent van een onderneming op grond van het verbod op oneerlijke handelspraktijken bij de civiele rechter tegen die onderneming een vordering instelt wegens gestelde schending door die onderneming van de in die verordening neergelegde verplichtingen. Uit de bewoordingen van artikel 77, lid 1, artikel 78, lid 1, en artikel 79, lid 1, AVG, die in punt 48 van dit arrest in herinnering zijn gebracht, volgt veeleer dat er in die bepalingen sprake is van het recht om een klacht in te dienen bij een toezichthoudende autoriteit en het recht om een doeltreffende voorziening in rechte in te stellen tegen een dergelijke autoriteit en tegen een verwerkingsverantwoordelijke of een verwerker, „onverminderd” andere mogelijkheden van administratief of buitengerechtelijk beroep of een voorziening in rechte.

• 54.

  Wat betreft de context van hoofdstuk VIII AVG, zij erop gewezen dat hoofdstuk II van deze verordening een reeks materiële bepalingen bevat betreffende onder meer de in artikel 5 genoemde beginselen inzake de verwerking van persoonsgegevens en de in artikel 6 genoemde voorwaarden voor de rechtmatigheid van de verwerking, die met name de volledige eerbiediging moeten waarborgen van het grondrecht op bescherming van persoonsgegevens van de betrokkenen, dat wordt gewaarborgd door artikel 16, lid 1, VWEU en artikel 8 van het Handvest. Het ontbreken in hoofdstuk VIII AVG van bepalingen die concurrenten van een onderneming die inbreuk zou hebben gemaakt op deze materiële bepalingen in staat stellen om een vordering in te stellen tot staking van de inbreuk, wordt derhalve verklaard door het feit dat, zoals de advocaat‑generaal in punt 80 van zijn conclusie heeft opgemerkt, alleen de betrokkenen en niet die concurrenten de adressaten zijn van de door deze verordening geboden bescherming van persoonsgegevens.

• 55.

  Ook al is de inbreuk op die materiële bepalingen van dien aard dat zij in de eerste plaats de personen op wie de betrokken gegevens betrekking hebben raakt, zij kan evenwel ook derden schaden, zoals blijkt uit het feit dat artikel 82, lid 1, AVG voorziet in een recht op schadevergoeding voor „[e]enieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening”. Het Hof is ook al in de gelegenheid geweest om te verklaren dat de schending van een regel inzake de bescherming van persoonsgegevens tegelijkertijd kan leiden tot de schending van regels inzake consumentenbescherming of oneerlijke handelspraktijken (arrest van 28 april 2022, Meta Platforms Ireland, C‑319/20, EU: C:2022:322, punt 78) en een belangrijke aanwijzing kan vormen voor de beoordeling van het bestaan van misbruik van een machtspositie in de zin van artikel 102 VWEU [zie in die zin arrest van 4 juli 2023, Meta Platforms e. a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk), C‑252/21, EU:C:2023:537, punten 47 en 62].

• 56.

  In deze context is het van belang eraan te herinneren dat de toegang tot en de exploitatie van persoonsgegevens in de digitale economie van groot belang zijn. De toegang tot en de mogelijkheid van verwerking van persoonsgegevens zijn namelijk een belangrijke parameter geworden voor de mededinging tussen ondernemingen in de digitale economie. Om rekening te houden met de realiteit van deze economische ontwikkelingen en om eerlijke mededinging te waarborgen, kan het daarom nodig zijn de regels inzake de bescherming van persoonsgegevens in aanmerking te nemen bij de handhaving van het mededingingsrecht en de regels inzake oneerlijke handelspraktijken [zie in die zin arrest van 4 juli 2023, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk), C‑252/21, EU:C:2023:537, punten 50 en 51].

• 57.

  Voorts volgt uit artikel 1, lid 1, AVG, gelezen in het licht van met name de overwegingen 9 en 13 ervan, weliswaar dat deze verordening in beginsel beoogt om de nationale regelgevingen inzake de bescherming van persoonsgegevens volledig te harmoniseren, maar dit doet niet af aan het feit dat verschillende bepalingen van de verordening de lidstaten expliciet de mogelijkheid bieden om aanvullende – strengere of afwijkende – nationale regels vast te stellen en hun een beoordelingsmarge laten met betrekking tot de wijze waarop deze bepalingen kunnen worden toegepast („open clausules”) (arrest van 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punt 57).

• 58.

  Het Hof heeft reeds verklaard dat dit ook geldt voor artikel 80, lid 2, AVG, dat de lidstaten een beoordelingsmarge laat bij de uitvoering ervan en niet in de weg staat aan een nationale regeling die het een vereniging die consumentenbelangen behartigt, toestaat – ook wanneer zij geen opdracht daartoe heeft gekregen en los van de vraag of er sprake is van enige schending van concrete rechten van de betrokkenen – om in rechte op te treden tegen de vermeende dader van een inbreuk op de bescherming van persoonsgegevens en zich daarbij onder meer te beroepen op het verbod op oneerlijke handelspraktijken, wanneer de desbetreffende gegevensverwerking afbreuk kan doen aan de rechten die geïdentificeerde of identificeerbare natuurlijke personen aan die verordening ontlenen (arrest van 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punten 59 en 83).

• 59.

  Het is juist dat de bepalingen van hoofdstuk VIII AVG niet specifiek voorzien in een dergelijke open clausule die de lidstaten uitdrukkelijk de mogelijkheid biedt om het voor concurrenten van een onderneming die beweerdelijk inbreuk maakt op de materiële bepalingen van deze verordening, mogelijk te maken om een vordering tot staking van die inbreuk in te stellen.

• 60.

  Uit de bewoordingen en de context van de bepalingen van hoofdstuk VIII, die in de punten 53 tot en met 58 van dit arrest in herinnering zijn gebracht, volgt evenwel dat de Uniewetgever met de vaststelling van de AVG niet heeft willen overgaan tot een volledige harmonisatie van de rechtsmiddelen die openstaan wanneer er sprake is van inbreuk op de bepalingen van die verordening, en met name voor concurrenten van de vermeende inbreukmaker op de bescherming van persoonsgegevens niet de mogelijkheid heeft willen uitsluiten om zich op grond van het nationale recht inzake het verbod op oneerlijke handelspraktijken tot de rechter te wenden.

• 61.

  Deze uitlegging wordt bevestigd door de doelstellingen van de AVG die, zoals met name blijkt uit overweging 10 ervan, tot doel heeft een consistent en hoog niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens te bieden en de belemmeringen voor het verkeer van dergelijke gegevens binnen de Unie op te heffen. In overweging 11 van deze verordening valt bovendien te lezen dat doeltreffende bescherming van deze gegevens de versterking van de rechten van betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen vereist, alsmede gelijkwaardige bevoegdheden op het gebied van toezicht en handhaving van de regels inzake gegevensbescherming en vergelijkbare sancties voor overtredingen in de lidstaten. In overweging 13 van de verordening staat dat om natuurlijke personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van persoonsgegevens op de interne markt hinderen, een verordening nodig is om marktdeelnemers rechtszekerheid en transparantie te bieden, te voorzien in dezelfde wettelijk afdwingbare rechten voor natuurlijke personen in alle lidstaten en in verplichtingen en verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers, en te zorgen voor consistent toezicht op de verwerking van persoonsgegevens en voor vergelijkbare sancties in alle lidstaten.

• 62.

  De mogelijkheid voor een concurrent van een onderneming om op grond van het verbod op oneerlijke handelspraktijken een vordering bij de civiele rechter in te stellen om een einde te maken aan een vermeende inbreuk op de materiële bepalingen van de AVG door die onderneming, ondermijnt die doelstellingen niet, maar kan juist het nuttig effect van die bepalingen en dus het met die verordening nagestreefde hoge niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens versterken.

• 63.

  Om te beginnen doet een verbodsactie die een concurrent op grond van het verbod op oneerlijke handelspraktijken tegen een onderneming instelt wegens beweerde inbreuk op de materiële bepalingen van de AVG namelijk op geen enkele wijze afbreuk aan de beroepsmogelijkheden waarin hoofdstuk VIII van die verordening voorziet, en ook niet aan de doelstelling om natuurlijke personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van persoonsgegevens op de interne markt hinderen.

• 64.

  Het is juist dat een dergelijke actie mogelijkerwijs, zij het incidenteel, gebaseerd is op een inbreuk op dezelfde bepalingen van de AVG als die welke ten grondslag liggen aan een klacht of een vordering die krachtens artikel 77, artikel 78 of artikel 79 van die verordening is ingediend of ingesteld door de betrokkenen of door een orgaan, organisatie of vereniging in de zin van artikel 80 van die verordening.

• 65.

  Opgemerkt moet evenwel worden dat een verbodsactie van een concurrent ten eerste, in tegenstelling tot de artikelen 77 tot en met 80 AVG, als zodanig niet tot doel heeft de grondrechten en de fundamentele vrijheden van de betrokkenen in verband met de verwerking van hun persoonsgegevens te beschermen, maar is gericht op het waarborgen van eerlijke mededinging, met name in het belang van die concurrent.

• 66.

  Ten tweede vormt de mogelijkheid voor een concurrent om bij de civiele rechter een dergelijke actie in te stellen op grond van het verbod op oneerlijke handelspraktijken, een aanvulling op de beroepsmogelijkheden die zijn vastgelegd in de artikelen 77 tot en met 79 AVG en die onverkort blijven bestaan en nog steeds kunnen worden uitgeoefend door de betrokkenen en eventueel ook door organen, organisaties of verenigingen in de zin van artikel 80 van die verordening.

• 67.

  Met name vormt de omstandigheid dat er zowel beroepsmogelijkheden op grond van het recht inzake gegevensbescherming als op grond van het mededingingsrecht zijn, geen gevaar voor de uniforme handhaving van de AVG, zoals de Duitse regering heeft opgemerkt. In dit verband zij erop gewezen dat uit de artikelen 77 tot en met 80 van deze verordening volgt dat zij niet voorziet in een prioritaire of exclusieve bevoegdheid en evenmin een voorrangsregel bevat voor de beoordeling, door de autoriteit of rechterlijke instanties die in die verordening worden genoemd, van de vraag of inbreuk wordt gemaakt op de bij die verordening verleende rechten (zie in die zin arrest van 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU: C:2023:2, punt 35). Het feit dat er een verbodsactie bij de civiele rechter wordt ingesteld door een concurrent van degene die beweerdelijk inbreuk heeft gemaakt op de bescherming van persoonsgegevens, is dus niet van invloed op de in hoofdstuk VIII AVG neergelegde beroepsmogelijkheden. Bovendien waarborgt de prejudiciële procedure van artikel 267 VWEU, zoals ook door de Duitse regering is opgemerkt, dat de materiële bepalingen van die verordening – die op dezelfde inbreuk kunnen worden toegepast door zowel de toezichthoudende autoriteit en de rechterlijke instanties waarop op grond van de artikelen 77 tot en met 80 van die verordening een beroep is gedaan als de rechterlijke instanties waartoe een concurrent zich op grond van het verbod op oneerlijke handelspraktijken heeft gewend – uniform worden uitgelegd.

• 68.

  Ten derde komt de verwezenlijking van de doelstelling om de betrokkenen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van persoonsgegevens op de interne markt hinderen, zoals de advocaat‑generaal in punt 104 van zijn conclusie in wezen heeft opgemerkt, niet in het gedrang doordat ook andere personen dan alleen de betrokkenen zelf en organen, organisaties en verenigingen in de zin van artikel 80 van die verordening zich kunnen beroepen op de materiële bepalingen van de AVG. Ook al zou een lidstaat niet in die mogelijkheid voorzien, er zou namelijk nog steeds geen sprake zijn van een gefragmenteerde handhaving van het gegevensbeschermingsrecht in de Unie, aangezien de materiële bepalingen van de AVG in gelijke mate bindend zijn voor alle verwerkingsverantwoordelijken in de zin van artikel 4, punt 7, van die verordening en de naleving ervan wordt verzekerd via de beroepsmogelijkheden waarin deze verordening voorziet.

• 69.

  Voorts moet, wat de doelstelling om een doeltreffende bescherming van de betrokkenen in verband met de verwerking van hun persoonsgegevens te waarborgen en de doeltreffendheid van de materiële bepalingen van de AVG betreft, worden vastgesteld dat, ofschoon een verbodsactie die is ingesteld door een concurrent van de vermeende dader van een inbreuk op de bescherming van persoonsgegevens -– zoals in punt 65 van dit arrest is opgemerkt – niet op die doelstelling is gericht maar op het waarborgen van eerlijke mededinging, dit niet wegneemt dat die verbodsactie er ongetwijfeld toe bijdraagt dat die bepalingen worden nageleefd en bijgevolg dat de rechten van de betrokkenen worden versterkt en hun een hoog beschermingsniveau wordt geboden (zie in die zin arrest van 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punt 74).

• 70.

  Bovendien kan een dergelijke door een concurrent ingestelde verbodsactie, net als de vordering die wordt ingesteld door verenigingen die consumentenbelangen behartigen, bijzonder doeltreffend zijn om die bescherming te verzekeren, aangezien daarmee een groot aantal schendingen kan worden voorkomen van de rechten van personen op wie de verwerking van de persoonsgegevens betrekking heeft (zie in die zin arrest van 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punt 75).

• 71.

  Hieruit volgt dat de uitlegging in punt 60 van dit arrest in overeenstemming is met de vereisten die voortvloeien uit artikel 16, lid 1, VWEU en uit artikel 8 van het Handvest en dus met het door de AVG nagestreefde doel, namelijk een doeltreffende bescherming van de fundamentele rechten en vrijheden van natuurlijke personen waarborgen en met name een hoog niveau van bescherming van het recht van eenieder op bescherming van zijn persoonsgegevens (zie in die zin arrest van 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punt 73).

• 72.

  In casu staat het aan de verwijzende rechter om na te gaan of de gestelde inbreuk op de materiële bepalingen van de AVG die in het hoofdgeding aan de orde is – indien bewezen – ook inbreuk maakt op het verbod op oneerlijke handelspraktijken zoals dat is neergelegd in de relevante nationale regeling.

• 73.

  Gelet op de voorgaande overwegingen moet op de eerste vraag worden geantwoord dat de bepalingen van hoofdstuk VIII AVG aldus moeten worden uitgelegd dat zij zich niet verzetten tegen een nationale regeling die voorziet in de bevoegdheden tot optreden van de voor het toezicht op en de handhaving van die verordening bevoegde autoriteiten en in de aan de betrokkene geboden rechtsbeschermingsmogelijkheden, maar daarnaast ook aan concurrenten van een persoon van wie wordt gesteld dat hij inbreuk heeft gemaakt op de bescherming van persoonsgegevens de bevoegdheid verleent om bij inbreuk op de verordening bij de civiele rechter een vordering tegen de inbreukmaker in te stellen op grond van het verbod op oneerlijke handelspraktijken.

 Tweede vraag

• 74.

  Met zijn tweede vraag wenst de verwijzende rechter in wezen te vernemen of artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, AVG aldus moeten worden uitgelegd dat, wanneer de exploitant van een apotheek via een onlineplatform geneesmiddelen verkoopt die alleen in apotheken mogen worden verkocht, de gegevens die de klanten van die exploitant invoeren bij de onlinebestelling van de geneesmiddelen, zoals hun naam, het afleveradres en de informatie die nodig is om te weten om welke geneesmiddelen het specifiek gaat, gegevens over de gezondheid in de zin van die bepalingen vormen, ook al zijn die geneesmiddelen verkrijgbaar zonder recept.

• 75.

  Artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, AVG, die voor de uitlegging waar het Hof om wordt verzocht een vergelijkbare draagwijdte hebben (arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punten 58 en 117) en die – zoals het opschrift van die artikelen aangeeft – betrekking hebben op de verwerking van „bijzondere categorieën” van persoonsgegevens, leggen het beginsel vast dat een dergelijke verwerking verboden is. Zoals overweging 51 van de verordening uitdrukkelijk vermeldt, verdienen persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, namelijk specifieke bescherming aangezien de context van de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en de fundamentele vrijheden.

• 76.

  Tot de bijzondere categorieën persoonsgegevens die in artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, AVG worden genoemd, behoren ook gegevens over de gezondheid. Overeenkomstig artikel 4, punt 15, van de verordening, gelezen in samenhang met overweging 35 ervan, omvatten gegevens over de gezondheid alle persoonsgegevens die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van een natuurlijke persoon in het verleden, het heden en de toekomst, waaronder gegevens over verleende gezondheidsdiensten aan die persoon.

• 77.

  Voorts volgt met name uit artikel 4, punt 1, AVG dat het begrip „persoonsgegevens” alle informatie betreft over een geïdentificeerde of identificeerbare natuurlijke persoon en dat het om als „identificeerbaar” te worden beschouwd voldoende is dat de betrokkene direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

• 78.

  Gegevens over de aankoop van geneesmiddelen die het mogelijk maken om conclusies te trekken over de gezondheidstoestand van een geïdentificeerde of identificeerbare persoon, moeten dus worden aangemerkt als gegevens over de gezondheid in de zin van artikel 4, punt 15, AVG.

• 79.

  In casu blijkt uit het dossier waarover het Hof beschikt dat de klanten van ND bij het online bestellen bij Amazon van geneesmiddelen die alleen in apotheken mogen worden verkocht, gegevens invoeren zoals hun naam, het afleveradres en de informatie die nodig is om te weten om welke geneesmiddelen het specifiek gaat. Bij dergelijke informatie is er ongetwijfeld sprake van „persoonsgegevens”, aangezien zij betrekking heeft op geïdentificeerde of identificeerbare natuurlijke personen.

• 80.

  Onder die omstandigheden moet worden vastgesteld of met die gegevens informatie over de gezondheidstoestand van die personen wordt gegeven in de zin van artikel 4, punt 15, AVG en het dus gaat om gegevens over de gezondheid in de zin van artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, van die verordening.

• 81.

  Dienaangaande heeft het Hof reeds verklaard dat, gelet op de doelstelling van richtlijn 95/46 en de AVG, die erin bestaat een hoog niveau van bescherming van de fundamentele vrijheden en de grondrechten van natuurlijke personen, met name van hun privéleven, te waarborgen in verband met de verwerking van persoonsgegevens die hen betreffen, het begrip „gegevens over gezondheid” in artikel 9, lid 1, van die verordening, dat overeenkomt met het begrip „gegevens die de gezondheid [...] betreffen” in artikel 8, lid 1, van die richtlijn, ruim moet worden uitgelegd (zie in die zin arresten van 6 november 2003, Lindqvist, C‑101/01, EU:C:2003:596, punt 50, en 1 augustus 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punt 125).

• 82.

  In het bijzonder kunnen bovengenoemde bepalingen niet aldus worden uitgelegd dat de verwerking van persoonsgegevens waarmee indirect gevoelige informatie over een natuurlijke persoon kan worden gegeven, niet onder de in die bepalingen neergelegde regeling inzake verhoogde bescherming valt, omdat anders afbreuk wordt gedaan aan het nuttig effect van deze regeling alsook aan de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen die zij beoogt te waarborgen (arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punt 127).

• 83.

  Om persoonsgegevens te kunnen aanmerken als gegevens over de gezondheid in de zin van artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, AVG, is het dus voldoende dat daaruit door het leggen van beredeneerde verbanden of door deductie informatie over de gezondheidstoestand van de betrokkene kan worden afgeleid (zie in die zin arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punt 123).

• 84.

  Uit de gegevens die een klant invoert op een onlineplatform wanneer hij geneesmiddelen bestelt die alleen in apotheken mogen worden verkocht, kan door het leggen van beredeneerde verbanden of door deductie informatie over de gezondheidstoestand van de betrokkene in de zin van artikel 4, punt 1, AVG worden afgeleid, aangezien er bij de bestelling een verband wordt gelegd tussen een geneesmiddel, de therapeutische indicaties en het gebruik van dat geneesmiddel, en een natuurlijke persoon die wordt geïdentificeerd of kan worden geïdentificeerd aan de hand van gegevens zoals de naam van die persoon of het afleveradres.

• 85.

  De verwijzende rechter vraagt zich echter af of de omstandigheid dat voor de verkoop van de bestelde geneesmiddelen geen recept nodig is, relevant is voor zover die geneesmiddelen in dat geval mogelijkerwijs niet bestemd zijn voor de klant die de bestelling heeft geplaatst, maar voor derden.

• 86.

  Dienaangaande zij erop gewezen dat, wanneer de exploitant van een apotheek persoonsgegevens verwerkt in het kader van activiteiten die worden uitgeoefend via een onlineplatform, er voor de toepassing van artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, AVG moet worden nagegaan of deze gegevens informatie kunnen onthullen die onder een van de in die bepalingen bedoelde categorieën valt, ongeacht of deze informatie betrekking heeft op een gebruiker van dat platform of op een andere natuurlijke persoon. Zo ja, dan is een dergelijke verwerking van persoonsgegevens verboden, behoudens de uitzonderingen in lid 2 van die bepalingen [zie in die zin arrest van 4 juli 2023, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk), C‑252/21, EU:C:2023:537, punt 68].

• 87.

  Dit principiële verbod staat los van de vraag of de informatie die bij de betrokken verwerking aan het licht komt al dan niet juist is en of de exploitant het doel nastreeft om informatie te verkrijgen die onder een van de in artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, AVG bedoelde bijzondere categorieën valt. Gelet op de aanzienlijke risico’s voor de grondrechten en de fundamentele vrijheden van de betrokkenen die gepaard gaan met elke verwerking van persoonsgegevens die onder die categorieën vallen, beogen deze bepalingen immers om deze verwerkingen te verbieden, ongeacht het gestelde doel ervan en de juistheid van de betrokken informatie [zie in die zin arrest van 4 juli 2023, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk), C‑252/21, EU:C:2023:537, punten 69 en 70].

• 88.

  Hieruit volgt dat wanneer een gebruiker van een onlineplatform persoonsgegevens invoert bij de bestelling van geneesmiddelen die alleen in apotheken mogen worden verkocht maar waarvoor geen recept nodig is, de verwerking van die gegevens door de exploitant van een apotheek die deze geneesmiddelen via dat onlineplatform verkoopt, moet worden beschouwd als een verwerking van gegevens over de gezondheid in de zin van artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, AVG, aangezien bij deze gegevensverwerking informatie over de gezondheidstoestand van een natuurlijke persoon aan het licht kan komen, ongeacht of deze informatie betrekking heeft op die gebruiker of op een andere persoon voor wie deze de bestelling plaatst [zie in die zin arrest van 4 juli 2023, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk), C‑252/21, EU:C:2023:537, punt 73].

• 89.

  Een uitlegging van die bepalingen die ertoe zou leiden dat een onderscheid wordt gemaakt afhankelijk van het soort geneesmiddel waar het over gaat en de vraag of er voor de verkoop ervan al dan niet een recept nodig is, zou namelijk niet stroken met de in punt 81 van dit arrest vermelde doelstelling van een hoog beschermingsniveau. Een dergelijke uitlegging zou bovendien indruisen tegen de met artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, AVG nagestreefde doelstelling, die erin bestaat een verhoogde bescherming te bieden tegen verwerkingen die – zoals blijkt uit onder meer overweging 51 AVG – wegens de bijzondere gevoeligheid van de gegevens die er het voorwerp van zijn, een bijzonder ernstige inmenging kunnen opleveren in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens (arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punt 126 en aldaar aangehaalde rechtspraak).

• 90.

  Bijgevolg is de informatie die de klanten van een exploitant van een apotheek invoeren bij het online bestellen van geneesmiddelen die alleen in apotheken mogen worden verkocht maar waarvoor geen recept nodig is, aan te merken als gegevens over de gezondheid in de zin van artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, AVG, ook al zijn die geneesmiddelen slechts met een zekere mate van waarschijnlijkheid – en niet met absolute zekerheid – voor die klanten bestemd.

• 91.

  Bovendien kan niet worden uitgesloten dat zelfs wanneer de geneesmiddelen bestemd zijn voor andere personen dan de klanten, het toch mogelijk is om deze personen te identificeren en conclusies over hun gezondheidstoestand te trekken. Dit zou bijvoorbeeld het geval kunnen zijn wanneer de betrokken geneesmiddelen niet bij de besteller worden afgeleverd, maar bij een andere persoon, of wanneer de klant, ongeacht het afleveradres, in zijn bestelling of de daarop betrekking hebbende communicatie heeft verwezen naar een andere identificeerbare persoon, zoals een lid van zijn gezin. Ook wanneer het om te bestellen vereist is dat de klant zich identificeert en/of registreert, bijvoorbeeld door een klantenaccount aan te maken of deel te nemen aan een loyaliteitsprogramma, kan niet worden uitgesloten dat de door de klant in dit verband ingevoerde informatie – met name in combinatie met informatie over de bestelde geneesmiddelen – wordt gebruikt om niet alleen conclusies te trekken over zijn gezondheidstoestand, maar ook over die van een andere persoon.

• 92.

  Ten slotte staat, zoals in punt 86 van dit arrest is aangegeven, het feit dat gegevens als die welke in het hoofdgeding aan de orde zijn gegevens over de gezondheid zijn in de zin van artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, AVG er, zoals onder meer blijkt uit overweging 53 van die verordening, niet aan in de weg dat deze gegevens met name bij het beheer van gezondheidszorgdiensten en ‑stelsels worden verwerkt, mits is voldaan aan een van de voorwaarden in lid 2 van die bepalingen.

• 93.

  Dit kan met name het geval zijn wanneer de betrokkene overeenkomstig lid 2, onder a), van die bepalingen en behoudens de daarin genoemde uitzondering uitdrukkelijk toestemming geeft voor een of meerdere verwerkingen van dergelijke persoonsgegevens nadat de specifieke kenmerken en doeleinden van die verwerkingen hem op een nauwkeurige, volledige en begrijpelijke wijze zijn meegedeeld. Voorts kan de verwerking krachtens artikel 9, lid 2, onder h), AVG toelaatbaar zijn wanneer deze noodzakelijk is voor het verstrekken van gezondheidszorg op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker.

• 94.

  Gelet op het voorgaande moet op de tweede vraag worden geantwoord dat artikel 8, lid 1, van richtlijn 95/46 en artikel 9, lid 1, AVG aldus moeten worden uitgelegd dat, wanneer de exploitant van een apotheek via een onlineplatform geneesmiddelen verkoopt die alleen in apotheken mogen worden verkocht, de gegevens die de klanten van die exploitant invoeren bij de onlinebestelling van de geneesmiddelen, zoals hun naam, het afleveradres en de informatie die nodig is om te weten om welke geneesmiddelen het specifiek gaat, gegevens over de gezondheid in de zin van die bepalingen vormen, ook al zijn die geneesmiddelen verkrijgbaar zonder recept.

 Kosten

• 95.

  Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

  Het Hof (Grote kamer) verklaart voor recht:

  1)      De bepalingen van hoofdstuk VIII van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

  moeten aldus worden uitgelegd dat

  zij zich niet verzetten tegen een nationale regeling die voorziet in de bevoegdheden tot optreden van de voor het toezicht op en de handhaving van die verordening bevoegde autoriteiten en in de aan de betrokkene geboden rechtsbeschermingsmogelijkheden, maar daarnaast ook aan concurrenten van een persoon van wie wordt gesteld dat hij inbreuk heeft gemaakt op de bescherming van persoonsgegevens de bevoegdheid verleent om bij inbreuk op de verordening bij de civiele rechter een vordering tegen de inbreukmaker in te stellenop grond van het verbod op oneerlijke handelspraktijken.

  2)      Artikel 8, lid 1, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en artikel 9, lid 1, van verordening 2016/679

  moeten aldus worden uitgelegd dat,

  wanneer de exploitant van een apotheek via een onlineplatform geneesmiddelen verkoopt die alleen in apotheken mogen worden verkocht, de gegevens die de klanten van die exploitant invoeren bij de onlinebestelling van de geneesmiddelen, zoals hun naam, het afleveradres en de informatie die nodig is om te weten om welke geneesmiddelen het specifiek gaat, gegevens over de gezondheid in de zin van die bepalingen vormen, ook al zijn die geneesmiddelen verkrijgbaar zonder recept.

  ondertekeningen

  *      Procestaal: Duits.