Domstolens dom (stora avdelningen) den 4 oktober 2024
Hänvisat till av
I mål C‑21/23, angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Bundesgerichtshof (Federala högsta domstolen, Tyskland) genom beslut av den 12 januari 2023, som inkom till EU-domstolen den 19 januari 2023, i målet
DOMSTOLEN (stora avdelningen) sammansatt av ordföranden K. Lenaerts, vice-ordföranden L. Bay Larsen, avdelningsordförandena K. Jürimäe, C. Lycourgos, E. Regan, F. Biltgen och N. Piçarra samt domarna S. Rodin, P.G. Xuereb, L.S. Rossi, I. Jarukaitis, N. Jääskinen, och I. Ziemele (referent), generaladvokat: M. Szpunar, justitiesekreterare: handläggaren N. Mundhenke,
efter det skriftliga förfarandet och förhandlingen den 9 januari 2024,
med beaktande av de yttranden som avgetts av: ND, genom A. Datta, M. Mogendorf och W. Spoerr, Rechtsanwälte, DR, genom M. Bahmann, Rechtsanwalt, Tysklands regering, genom J. Möller och P.-L. Krüger, båda i egenskap av ombud, Europeiska kommissionen, genom A. Bouchagiar, F. Erlbacher och H. Kranenborg, samtliga i egenskap av ombud,
och efter att den 25 april 2024 ha hört generaladvokatens förslag till avgörande,
följande
Dom
Tillämpliga bestämmelser
Unionsrätt
Tysk rätt
Lagen om förbud mot otillbörlig konkurrens
Läkemedelslagen
Målet vid den nationella domstolen och tolkningsfrågorna
Prövning av tolkningsfrågorna
Den första frågan
Den andra frågan
Rättegångskostnader
1 Begäran om förhandsavgörande avser tolkningen av artikel 9.1 och bestämmelserna i kapitel VIII i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelser i EUT L 127, 2018, s. 2, och i EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen) samt av artikel 8.1 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).
2 Begäran har framställts i ett mål mellan ND och DR, två fysiska personer som var och en driver ett apoteksföretag. Målet rör ND:s försäljning, via en e‑handelsplattform, av läkemedel som endast får säljas på apotek (nedan även kallade apoteksexklusiva läkemedel).
3 I artikel 8 (Behandlingen av särskilda kategorier av uppgifter) i direktiv 95/46 föreskrivs följande:
4 Skälen 9–11, 13, 35, 51, 53, 141 och 142 i dataskyddsförordningen har följande lydelse:
5 I artikel 1 (Syfte) i dataskyddsförordningen föreskrivs följande:
6 I artikel 4 i dataskyddsförordningen föreskrivs följande:
7 Kapitel II (Principer) i dataskyddsförordningen innehåller artiklarna 5–11.
8 I artikel 5 i förordningen anges principerna för behandling av personuppgifter och i artikel 6 fastställs villkoren för laglig behandling av sådana uppgifter.
9 Artikel 9 (Behandling av särskilda kategorier av personuppgifter) i dataskyddsförordningen har följande lydelse:
10 I artikel 51 (Tillsynsmyndighet) i dataskyddsförordningen föreskrivs följande i punkt 1:
11 Kapitel VIII (Rättsmedel, ansvar och sanktioner) i dataskyddsförordningen innehåller artiklarna 77–84.
12 I artikel 77 (Rätt att lämna in klagomål till en tillsynsmyndighet) föreskrivs följande i punkt 1:
13 I artikel 78 (Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut) föreskrivs följande i punkt 1:
14 I artikel 79 (Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde) föreskrivs följande i punkt 1:
15 Artikel 80 (Företrädande av registrerade) har följande lydelse:
16 I artikel 82 (Ansvar och rätt till ersättning) föreskrivs följande i punkt 1:
17 I artikel 83 (Allmänna villkor för påförande av administrativa sanktionsavgifter) föreskrivs följande i punkt 1:
18 I artikel 84 (Sanktioner) föreskrivs följande i punkt 1:
19 I artikel 94.1 i dataskyddsförordningen föreskrivs följande:
20 I artikel 99 i dataskyddsförordningen föreskrivs följande:
21 I 3 § (Förbud mot otillbörliga affärsmetoder) i Gesetz gegen den unlauteren Wettbewerb (lag om förbud mot otillbörlig konkurrens) av den 3 juli 2004 (BGBl. 2004 I, s. 1414), i den lydelse som är tillämplig i det nationella målet (nedan kallad UWG), föreskrivs följande i punkt 1:
22 I 3a § (Lagöverträdelser) UWG föreskrivs följande:
23 I 8 § (Föreläggande om upphörande och förbud) UWG föreskrivs följande:
24 Handel med läkemedel regleras av Gesetz über den Verkehr mit Arzneimitteln (lag om handel med läkemedel) av den 24 augusti 1976 (BGBl. 1976 I, s. 2445), i den lydelse som offentliggjordes den 12 december 2005 (BGBl. 2005 I, s. 3394), vilken är tillämplig i det nationella målet. I denna lag görs åtskillnad mellan apoteksexklusiva läkemedel och receptbelagda läkemedel, varav de sistnämnda omhandlas i 48 § (Förskrivningsläkemedel).
25 ND driver apoteksföretaget Lindenapotheke, som sedan år 2017 bedriver e‑handel med apoteksexklusiva läkemedel på e‑handelsplattformen Amazon-Marketplace (nedan kallad Amazon). När Lindenapothekes kunder gör beställningar av läkemedel via företagets e‑handelsbutik måste de lämna en rad uppgifter, såsom namn och leveransadress samt information som krävs för att kunna individualisera läkemedlen.
26 DR, som också driver ett apoteksföretag, väckte talan vid Landgericht Dessau-Roßlau (Regionala domstolen i Dessau-Roßlau, Tyskland) och yrkade att ND skulle föreläggas att vid vite upphöra med sin försäljning av apoteksexklusiva läkemedel på Amazon, så länge det inte var säkerställt att kunderna i förväg hade möjlighet att ge sitt samtycke till behandling av hälsouppgifter.
27 Till stöd för sin talan gjorde DR gällande att Lindenapothekes e‑handelsförsäljning av apoteksexklusiva läkemedel på Amazon var otillbörlig, på grund av att företaget inte uppfyllde de lagstadgade krav på att inhämta kundernas samtycke till sådan behandling som följer av lagstiftningen om skydd av personuppgifter.
28 Genom dom av den 28 mars 2018 biföll Landgericht Dessau-Roßlau (Regionala domstolen i Dessau-Roßlau) DR:s talan.
29 ND överklagade denna dom till Oberlandesgericht Naumburg (Regionala överdomstolen i Naumburg, Tyskland), som ogillade överklagandet genom dom av den 7 november 2019.
30 I domskälen anförde denna domstol följande. Lindenapothekes e‑handelsförsäljning av apoteksexklusiva läkemedel på Amazon utgör en otillbörlig affärsmetod och är därmed förbjuden enligt 3 § punkt 1 UWG. Vid sådan läkemedelsförsäljning behandlas nämligen hälsouppgifter på ett sätt som, om de kunder som köper läkemedlen inte har lämnat sitt uttryckliga samtycke till behandlingen, i enlighet med artikel 9.2 a i dataskyddsförordningen, är förbjudet enligt artikel 9.1 i förordningen. Bestämmelserna i dataskyddsförordningen ska anses utgöra bestämmelser som reglerar aktörernas beteende på marknaden, i den mening som avses i 3a § UWG. Härtill kommer att DR har rätt enligt 8 § punkt 3 led 1 UWG att vid allmän domstol yrka att ett förbudsföreläggande ska utfärdas mot ND på grund av överträdelse av bestämmelserna i dataskyddsförordningen.
31 ND överklagade denna dom till den hänskjutande domstolen, Bundesgerichtshof (Federala högsta domstolen, Tyskland).
32 I sin begäran om förhandsavgörande har den hänskjutande domstolen anfört att utgången av målet beror på tolkningen av bestämmelserna i kapitel VIII och artikel 9.1 i dataskyddsförordningen samt av artikel 8.1 i direktiv 95/46.
33 För det första vill den hänskjutande domstolen få klarhet i vad som gäller efter den 25 maj 2018, då direktiv 95/46 upphörde att gälla och dataskyddsförordningen började gälla. Frågan gäller närmare bestämt huruvida det fortfarande är tillåtet för medlemsstaterna att i nationell rätt föreskriva att konkurrenter, i den mening som avses i 8 § punkt 3 led 1 UWG, till ett företag som påstås ha begått en överträdelse av dataskyddsförordningens bestämmelser har möjlighet att få överträdelserna att upphöra genom att vid allmän domstol väcka talan med stöd av förbudet mot otillbörliga affärsmetoder.
34 Den hänskjutande domstolen har förklarat att det i Tyskland råder olika uppfattningar om hur denna fråga ska besvaras. Svaret på frågan kan nämligen inte entydigt utläsas vare sig av lydelsen av bestämmelserna i kapitel VIII i dataskyddsförordningen eller av den allmänna systematiken i dessa bestämmelser och inte heller av det mål som eftersträvas med förordningen.
35 Vad först gäller lydelsen av bestämmelserna i kapitel VIII i dataskyddsförordningen har den hänskjutande domstolen påpekat följande. Möjligheten för ett företags konkurrenter att väcka talan mot detta företag, särskilt i fall där företagets överträdelse av dataskyddslagstiftningen utgör otillbörliga affärsmetoder, nämns visserligen inte uttryckligen på något ställe i dessa bestämmelser. Samtidigt innebär de dock inte att det är formellt uteslutet med en sådan talemöjlighet.
36 Vad sedan beträffar systematiken i bestämmelserna i kapitel VIII i dataskyddsförordningen har den hänskjutande domstolen påpekat följande. Å ena sidan gäller att dataskyddsförordningen syftar till att säkerställa en i princip fullständig harmonisering av nationell lagstiftning om skydd av personuppgifter, såsom framgår av EU-domstolens uttalande i punkt 57 i domen av den 28 april 2022, Meta Platforms Ireland ( C‑319/20, EU:C:2022:322). Å andra sidan kan det konstateras att det faktum att formuleringen [u]tan att det påverkar något annat … prövningsförfarande eller rättsmedel återfinns i artiklarna 77.1, 78.1 och 78.2 samt 79.1 i förordningen skulle kunna utgöra hinder för att anse att frågan om tillsyn över förordningens efterlevnad är uttömmande reglerad i förordningen.
37 Vad slutligen gäller det med förordningen eftersträvade harmoniseringsmålet – och i synnerhet målet att åstadkomma en enhetlig nivå av efterlevnadskontroll inom unionen – har den hänskjutande domstolen påpekat följande. Å ena sidan skulle det kunna anses vara i strid med detta mål att ett företags konkurrenter har möjlighet att väcka talan mot företaget på konkurrensrättslig grund för att på detta sätt få till stånd att dataskyddsrättsliga bestämmelser efterlevs, eftersom en sådan möjlighet går utöver de i dataskyddsförordningen angivna sätten att säkerställa efterlevnad. Det kan inte heller anses stå utom tvivel att det genom förordningen inrättade systemet för efterlevnadskontroll innehåller en lucka som bör fyllas genom en sådan talemöjlighet på konkurrensrättslig grund. Det finns dessutom en risk för att det vid tillsynen av dataskyddslagstiftningens efterlevnad uppstår en konkurrens mellan tillsynsmyndigheter och allmänna domstolar vad gäller kontrollen av efterlevnaden av dataskyddslagstiftningen som kan inkräkta på tillsynsmyndigheternas befogenheter och leda till att det inom unionen uppstår skillnader i denna efterlevnadskontroll.
38 Å andra sidan skulle man – enligt den hänskjutande domstolen – med stöd av effektivitetsprincipen (effet utile), kunna anse att institutet talerätt på konkurrensrättslig grund för konkurrenter utgör ett önskvärt komplement till de befintliga möjligheterna till efterlevnadskontroll, eftersom det bidrar till att säkerställa en så hög skyddsnivå som möjligt för personuppgifter, vilket ligger i linje med det som anges i skäl 10 i dataskyddsförordningen.
39 Den hänskjutande domstolen har anfört att denna fråga inte har klargjorts i EU-domstolens praxis och att det särskilt av domen av den 28 april 2022, Meta Platforms Ireland ( C‑319/20, EU:C:2022:322), framgår att domstolen uttryckligen lämnade frågan om en konkurrents talerätt öppen.
40 För det andra vill den hänskjutande domstolen få klarhet i huruvida de uppgifter som kunderna måste lämna när de beställer läkemedel på den aktuella e‑handelsplattformen (såsom kundens namn och leveransadress samt information som krävs för att kunna individualisera de beställda läkemedlen) utgör uppgifter om hälsa, i den mening som avses i artikel 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen.
41 Enligt den hänskjutande domstolen är det inte uppenbart hur denna fråga ska besvaras i det fallet att de beställda läkemedlen inte är receptbelagda. I ett sådant fall kan det nämligen inte uteslutas att läkemedlen är avsedda för andra icke identifierbara personer och inte för kunderna själva.
42 Enligt den hänskjutande domstolen är det inte möjligt att besvara frågan enbart utifrån ordalydelsen i dessa bestämmelser och i artikel 4.15 jämförd med skäl 35 i dataskyddsförordningen.
43 Den har dock påpekat att det framgår av EU-domstolens uttalande i punkt 125 i domen av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija ( C‑184/20, EU:C:2022:601), att begreppet särskilda kategorier av personuppgifter i artikel 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen ska ges en vid tolkning med hänsyn till förordningens syfte, vilket är att säkerställa en hög skyddsnivå för fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av deras personuppgifter. Vid en sådan vid tolkning av begreppet ligger det enligt den hänskjutande domstolen nära till hands att anse att uppgifter som kunderna lämnar vid beställning av läkemedel utgör hälsouppgifter i fall där det inte med säkerhet, utan endast med viss grad av sannolikhet, kan fastställas att läkemedlen är avsedda för de kunder som beställt dem.
44 Den hänskjutande domstolen har förklarat att den av DR åberopade rätten att bringa det aktuella agerandet att upphöra förutsätter att ND:s agerande var rättsstridigt både vid den tidpunkt då det ägde rum och vid tidpunkten för huvudförhandlingen i det nationella målet, och att artikel 8.1 i direktiv 95/46 fortfarande var relevant vid den förstnämnda tidpunkten, medan den sistnämnda tidpunkten omfattas av tillämpningsområdet för artikel 9.1 i dataskyddsförordningen.
45 Det är mot den nu redovisade bakgrunden som Bundesgerichtshof (Federala högsta domstolen) har beslutat att vilandeförklara målet och ställa följande frågor till EU-domstolen:
46 Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida bestämmelserna i kapitel VIII i dataskyddsförordningen ska tolkas på så sätt att de utgör hinder för en nationell lagstiftning som – vid sidan av de ingripandebefogenheter som tillkommer tillsynsmyndigheter med ansvar för att övervaka och säkerställa efterlevnaden av förordningen samt vid sidan av de registrerades möjligheter att tillvarata sina rättigheter på rättslig väg – ger en möjlighet för konkurrenter till ett företag som påstås ha åsidosatt bestämmelser om skydd av personuppgifter att med stöd av förbudet mot otillbörliga affärsmetoder väcka talan mot detta företag vid allmän domstol på grund av överträdelser av dataskyddsförordningen.
47 EU-domstolen gör i denna del följande bedömning. Det ska inledningsvis påpekas att kapitel VIII i dataskyddsförordningen bland annat innehåller bestämmelser om de rättsmedel som gör det möjligt att skydda de registrerades rättigheter när personuppgifter som rör dem har behandlats på ett sätt som påstås strida mot bestämmelserna i förordningen. Bestämmelserna innebär att skyddet av dessa rättigheter kan göras gällande antingen direkt av den registrerade (enligt artiklarna 77–79 i dataskyddsförordningen) eller av ett bemyndigat organ, med eller utan uppdrag från den registrerade (enligt artikel 80 i förordningen) (se, för ett liknande resonemang, som av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 53).
48 Av artikel 77.1 i dataskyddsförordningen framgår att den registrerade ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet, utan att detta påverkar andra möjligheter till administrativ prövning eller domstolsprövning. Av artikel 78.1 i dataskyddsförordningen framgår att alla fysiska eller juridiska personer ska ha rätt till en effektiv domstolsprövning av ett rättsligt bindande beslut som fattats av en tillsynsmyndighet, om beslutet avser dem, utan att detta påverkar andra möjligheter till administrativ eller utomrättslig prövning. Av artikel 79.1 i förordningen framgår att alla registrerade ska ha rätt till en effektiv domstolsprövning, utan att detta påverkar andra möjligheter till administrativ eller utomrättslig prövning, däribland rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77 i förordningen.
49 Vidare framgår av artikel 80.1 i dataskyddsförordningen att en registrerad ska ha rätt att på vissa villkor ge ett organ, en organisation eller sammanslutning utan vinstsyfte (nedan kallade ideella organisationer) i uppdrag att lämna in ett klagomål eller utöva de rättigheter som avses i artiklarna 77–79 i förordningen för hans eller hennes räkning. Härtill kommer att artikel 80.2 i dataskyddsförordningen föreskriver en möjlighet för medlemsstaterna att ge ideella organisationer rätt att utan uppdrag från en registrerad lämna in ett klagomål till tillsynsmyndigheten och utöva de rättigheter som avses i denna förordning i den aktuella medlemsstaten, om en sådan organisation anser att en registrerads rättigheter enligt förordningen har kränkts vid behandlingen av hans eller hennes personuppgifter.
50 Vad gäller det nu aktuella fallet framgår följande av handlingarna i målet. ND driver ett apoteksföretag som bedriver e‑handel med apoteksexklusiva läkemedel på Amazon. När kunderna beställer läkemedel via företagets e‑handelsbutik måste de lämna en rad uppgifter, såsom namn och leveransadress samt information som krävs för att kunna individualisera läkemedlen. Det är dock inte företagets kunder, i egenskap av registrerade i den mening som avses i artikel 4.1 i dataskyddsförordningen, som med stöd av artikel 79 i förordningen har väckt den i det nationella målet aktuella talan vid allmän domstol. Inte heller är det någon ideell organisation som med eller utan uppdrag från en registrerad har väckt denna talan med stöd av artikel 80 i förordningen. Talan har i stället väckts av en konkurrent till apoteksföretaget med stöd av förbudet mot otillbörliga affärsmetoder, på grund av att företaget påstås ha begått en överträdelse av dataskyddsförordningens bestämmelser.
51 Det nationella målet aktualiserar således frågan om dataskyddsförordningen utgör hinder för att en konkurrent som DR, som inte är en registrerad i den mening som avses i artikel 4.1 i förordningen, har rätt att väcka en sådan talan vid allmän domstol i en medlemsstat.
52 I detta avseende ska det påpekas att det framgår av rättspraxis att vid tolkningen av en unionsbestämmelse ska inte bara lydelsen beaktas, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i (dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 32).
53 Vad gäller lydelsen av bestämmelserna i kapitel VIII i dataskyddsförordningen kan det konstateras att ingen av dem uttryckligen utesluter möjligheten för en konkurrent till ett företag att väcka talan vid allmän domstol mot företaget med stöd av förbudet mot otillbörliga affärsmetoder på grund av företagets påstådda åsidosättande av skyldigheter enligt förordningen. Tvärtom framgår det av lydelsen i artiklarna 77.1, 78.1 och 79.1 i förordningen (se punkt 48 ovan) att rätten att lämna in ett klagomål till en tillsynsmyndighet samt rätten till en effektiv domstolsprövning av en tillsynsmyndighets beslut och rätten att väcka talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde, som följer av dessa bestämmelser, [inte] påverkar andra möjligheter för de registrerade att få till stånd en administrativ prövning, domstolsprövning eller utomrättslig prövning.
54 När det gäller det sammanhang i vilket kapitel VIII i dataskyddsförordningen ingår, ska det påpekas att förordningens kapitel II innehåller ett antal materiella bestämmelser som bland annat handlar om principerna för behandling av personuppgifter (artikel 5) och om förutsättningarna för laglig behandling av sådana uppgifter (artikel 6), vilka syftar till att fullt ut tillgodose, i synnerhet, den i artikel 16.1 FEUF och artikel 8 i stadgan fastslagna grundläggande rätten till skydd av personuppgifter, som gäller för alla registrerade. Såsom generaladvokaten har påpekat i punkt 80 i sitt förslag till avgörande gäller personuppgiftsskyddet enligt förordningen endast för registrerade, och inte för konkurrenter till ett företag som påstås ha begått en överträdelse av nämnda materiella bestämmelser. Således är det av det skälet som det i kapitel VIII i dataskyddsförordningen inte finns några bestämmelser om att konkurrenter till ett sådant företag har rätt att väcka talan mot det i syfte att få överträdelsen att upphöra.
55 Det nu sagda innebär dock inte att överträdelser av de materiella bestämmelserna i dataskyddsförordningens kapitel II inte också kan drabba andra än registrerade, även om sådana överträdelser i första hand påverkar de vars personuppgifter berörs. Detta visas av att det i artikel 82.1 i förordningen föreskrivs en rätt till ersättning för varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning. Domstolen har även i tidigare praxis slagit fast att en överträdelse av en bestämmelse om personuppgiftsskydd samtidigt kan medföra en överträdelse av bestämmelser om konsumentskydd eller om otillbörliga affärsmetoder (dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 78) samt utgöra en viktig faktor vid bedömningen av om det föreligger missbruk av dominerande ställning i den mening som avses i artikel 102 FEUF (se, för ett liknande resonemang, dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkterna 47 och 62).
56 I detta sammanhang ska det erinras om att tillgång till och utnyttjande av personuppgifter har en mycket stor betydelse i den digitala ekonomin. Tillgång till personuppgifter och möjligheten att behandla dessa uppgifter har nämligen blivit en viktig konkurrensfaktor för företagen i den digitala ekonomin. För att beakta den faktiska ekonomiska utvecklingen och säkerställa konkurrens på lika villkor kan det därmed bli nödvändigt att beakta bestämmelserna om personuppgiftsskydd i samband med förfaranden för kontroll av efterlevnad av konkurrensreglerna eller bestämmelserna om otillbörliga affärsmetoder (se, för ett liknande resonemang, dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkterna 50 och 51).
57 Härtill kommer att även om det framgår av artikel 1.1 jämförd med skälen 9 och 13 i dataskyddsförordningen att förordningen syftar till att säkerställa en i princip fullständig harmonisering av nationell lagstiftning om skydd av personuppgifter, så kvarstår det faktum att förordningen innehåller flera bestämmelser som uttryckligen öppnar en möjlighet för medlemsstaterna att införa nationella tilläggsregler, som är strängare eller avvikande i förhållande till förordningen, och som ger dem ett handlingsutrymme för hur dessa bestämmelser i förordningen ska genomföras (så kallade öppningsklausuler) (dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 57).
58 Av rättspraxis framgår att artikel 80.2 i dataskyddsförordningen tillhör denna kategori. Vidare framgår att bestämmelsen ger medlemsstaterna ett handlingsutrymme när det gäller hur den ska genomföras och att den inte utgör hinder för en nationell lagstiftning som innebär att nationella konsumentskyddsorganisationer har rätt att väcka talan mot den som påstås ha åsidosatt bestämmelser om skydd av personuppgifter – utan att getts i uppdrag att göra det och oberoende av om något åsidosättande av registrerades konkreta rättigheter har skett – på den särskilda grunden att agerandet varit i strid med förbudet mot otillbörliga affärsmetoder, i fall där den aktuella personuppgiftsbehandlingen kan påverka identifierade eller identifierbara fysiska personers rättigheter enligt förordningen (dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkterna 59 och 83).
59 Bestämmelserna i kapitel VIII i dataskyddsförordningen innehåller visserligen inte specifikt någon sådan öppningsklausul som uttryckligen gör det möjligt för medlemsstaterna att föreskriva en möjlighet för en konkurrent till ett företag som påstås överträda de materiella bestämmelserna i förordningen att väcka talan mot företaget för att få överträdelsen att upphöra.
60 Det framgår dock av lydelsen av och sammanhanget för bestämmelserna i kapitel VIII (se punkterna 53–58 ovan), att unionslagstiftarens avsikt med förordningen inte har varit att genomföra en uttömmande harmonisering av de rättsmedel som står till buds vid överträdelser av bestämmelserna i dataskyddsförordningen och att avsikten inte att har varit att särskilt utesluta en sådan talemöjlighet för konkurrenter till ett företag som påstås ha åsidosatt bestämmelser om skydd av personuppgifter, på grundval av förbudet mot otillbörliga affärsmetoder.
61 Den nu angivna tolkningen vinner stöd av de mål som eftersträvas med dataskyddsförordningen. Såsom framgår av skäl 10 i förordningen syftar förordningen nämligen till att säkerställa en enhetlig och hög skyddsnivå för fysiska personer med avseende på behandling av personuppgifter och att undanröja hindren för det fria flödet av personuppgifter inom unionen. Av skäl 11 i förordningen framgår dessutom att ett effektivt skydd av personuppgifter förutsätter att de registrerades rättigheter förstärks och att personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter vid behandling av personuppgifter skärps samt att det i medlemsstaterna finns likvärdiga befogenheter för övervakning och kontroll av efterlevnaden av reglerna om personuppgiftskydd och likvärdiga sanktioner för överträdelser. Av skäl 13 framgår att det för att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden krävs en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer och som ger fysiska personer i alla medlemsstater samma nivå av rättsligt verkställbara rättigheter samt föreskriver samma skyldigheter och ansvar för personuppgiftsansvariga och personuppgiftsbiträden, så att övervakningen av behandling av personuppgifter blir enhetlig och sanktionerna i alla medlemsstater blir likvärdiga.
62 Möjligheten för en konkurrent till ett företag att med stöd av förbudet mot otillbörliga affärsmetoder väcka talan vid allmän domstol mot detta företag i syfte att få företagets påstådda överträdelse av de materiella bestämmelserna i dataskyddsförordningen att upphöra står inte i strid med förordningens syften. Tvärtom kan detta bidra till ett ökat genomslag för dessa bestämmelser och därmed till att förbättra den i förordningen eftersträvade höga skyddsnivån för registrerade vid behandling av deras personuppgifter.
63 Det kan nämligen inledningsvis konstateras att möjligheten för en konkurrent till ett företag att väcka talan om förbudsföreläggande mot företaget med stöd av förbudet mot otillbörliga affärsmetoder, på grund av att företaget påstås ha begått en överträdelse av de materiella bestämmelserna i dataskyddsförordningen, inte inverkar negativt på det system med rättsmedel som föreskrivs i kapitel VIII i förordningen eller på möjligheten att uppnå målet att säkerställa en enhetlig skyddsnivå för fysiska personer i hela unionen samt att undvika avvikelser som hindrar den fria rörligheten av personuppgifter på den inre marknaden.
64 Det är visserligen möjligt att, om än indirekt, grunda en sådan talan på ett påstående om att det skett en överträdelse av samma bestämmelser i dataskyddsförordningen som de som registrerade eller ideella organisationer, i den mening som avses i artikel 80 i förordningen, skulle kunna lägga till grund för ett klagomål eller en talan enligt artiklarna 77–79 i förordningen.
65 Det ska dock, för det första, påpekas att en talan om förbudsföreläggande som väcks av en konkurrent inte i sig – till skillnad från artiklarna 77–80 i dataskyddsförordningen – syftar till att skydda de registrerades grundläggande fri- och rättigheter vid behandling av deras personuppgifter, utan till att säkerställa konkurrens på lika villkor, bland annat i den processförande konkurrentens intresse.
66 För det andra ska möjligheten för en konkurrent att väcka en sådan talan vid allmän domstol med stöd av förbudet mot otillbörliga affärsmetoder anses utgöra ett komplement till de rättsmedel som föreskrivs i artiklarna 77–79 i dataskyddsförordningen, vilka utan hinder av en sådan talemöjlighet fortsatt står till buds för och alltid kan utnyttjas av registrerade och, i förekommande fall, av ideella organisationer, i den mening som avses i artikel 80 i förordningen.
67 I synnerhet kan det konstateras, i likhet med vad den tyska regeringen har påpekat, att det förhållandet att dataskyddsrättsliga och konkurrensrättsliga rättsmedel existerar parallellt med varandra inte utgör något hot mot dataskyddsförordningens enhetliga tillämpning. I detta sammanhang ska det påpekas att artiklarna 77–80 i dataskyddsförordningen ger vid handen att det i förordningen inte finns någon regel om primär eller exklusiv behörighet eller om att den i förordningen angivna tillsynsmyndigheten, eller där angivna domstolar, har prioritet vad gäller att bedöma huruvida det skett en kränkning av de registrerades rättigheter enligt förordningen (se, för ett liknande resonemang, dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 35). Det nu sagda innebär att det inte står i strid med dataskyddsförordningens rättsmedelssystem, såsom det utformats i dess kapitel VIII, att en konkurrent väcker talan om förbudsföreläggande vid allmän domstol mot ett företag som påstås ha åsidosatt bestämmelser om personuppgiftsskydd. EU-domstolen instämmer även i vad den tyska regeringen anfört om att förfarandet för förhandsavgörande enligt artikel 267 FEUF får anses utgöra en garanti för en enhetlig tolkning av de materiella bestämmelserna i dataskyddsförordningen, vilka kan komma att tillämpas på en och samma överträdelse dels av tillsynsmyndigheten eller av en domstol i ett förfarande som inletts med stöd av artiklarna 77–80 i förordningen, dels av en domstol vid vilken en sådan konkurrensrättslig talan har väckts med stöd av förbudet mot otillbörliga affärsmetoder.
68 För det tredje kan det konstateras, i likhet med vad generaladvokaten har påpekat i punkt 104 i sitt förslag till avgörande, att den omständigheten att inte bara registrerade och ideella organisationer, i den mening som avses i artikel 80 i dataskyddsförordningen, utan även andra personer, ges möjlighet att åberopa förordningens materiella bestämmelser inte utgör något hot mot uppnåendet av målet att säkerställa en enhetlig skyddsnivå för registrerade i hela unionen och att undvika avvikelser som hindrar den fria rörligheten för personuppgifter på den inre marknaden. Det förhållandet att en sådan möjlighet eventuellt inte finns i vissa medlemsstater kan inte anses medföra att genomförandet av skyddet av personuppgifter i unionen blir fragmenterat. De materiella bestämmelserna i dataskyddsförordningen gäller nämligen på samma sätt för alla personuppgiftsansvariga och efterlevnaden av dem säkerställs genom det i förordningen angivna rättsmedelssystemet.
69 EU-domstolen övergår därefter till att behandla det med dataskyddsförordningen eftersträvade målet att säkerställa att registrerade ges ett effektivt skydd vid behandling av deras personuppgifter och att de materiella bestämmelserna i förordningen får genomslag. Såsom redan anförts i punkt 65 angående en talan om förbudsföreläggande som en konkurrent till ett företag väcker mot detta företag med stöd av förbudet mot otillbörliga affärsmetoder, på grund av att företaget påstås ha begått en överträdelse av bestämmelser om skydd av personuppgifter, är syftet med en talan av detta slag visserligen inte att uppnå dataskyddsförordningens mål, utan att uppnå målet att säkerställa konkurrens på lika villkor. Faktum kvarstår dock att en sådan talan otvivelaktigt bidrar till efterlevnaden av nämnda bestämmelser i förordningen och därmed till att stärka de registrerades rättigheter samt till att tillförsäkra dessa en hög skyddsnivå (se, för ett liknande resonemang, dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 74).
70 Därutöver kan en sådan konkurrensrättslig talan om förbudsföreläggande – i likhet med en talan som väcks av en konsumentskyddsorganisation – visa sig vara särskilt effektiv för att säkerställa det eftersträvade skyddet, eftersom den kan bidra till att förhindra ett stort antal rättighetskränkningar för registrerade i samband behandling av deras personuppgifter (se, för ett liknande resonemang, dom av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 75).
71 Härav följer att den ovan i punkt 60 angivna tolkningen är förenlig med de krav som följer av artikel 16.1 FEUF och artikel 8 i stadgan, vilket innebär att den ligger i linje med dataskyddsförordningens syfte att säkerställa ett effektivt skydd för fysiska personers grundläggande fri- och rättigheter och, i synnerhet, att säkerställa enskilda individers rätt till ett starkt skydd av sina personuppgifter (se, för ett liknande resonemang, som av den 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 73).
72 I förevarande fall ankommer det på den hänskjutande domstolen att pröva huruvida det finns fog för påståendet om att det skett en överträdelse av de i målet aktuella materiella bestämmelserna i dataskyddsförordningen och att, om så är fallet, ta ställning till om denna överträdelse även utgör en överträdelse av förbudet mot otillbörliga affärsmetoder, såsom detta regleras i den relevanta nationella lagstiftningen.
73 Mot bakgrund av det ovan anförda ska den första frågan besvaras enligt följande. Bestämmelserna i kapitel VIII i dataskyddsförordningen ska tolkas på så sätt att de inte utgör hinder för en nationell lagstiftning som – vid sidan av de ingripandebefogenheter som tillkommer tillsynsmyndigheter med ansvar för att övervaka och säkerställa efterlevnaden av förordningen samt vid sidan av de registrerades möjligheter att tillvarata sina rättigheter på rättslig väg – ger en möjlighet för konkurrenter till ett företag som påstås ha åsidosatt bestämmelser om skydd av personuppgifter att med stöd av förbudet mot otillbörliga affärsmetoder väcka talan mot detta företag vid allmän domstol på grund av överträdelser av dataskyddsförordningen.
74 Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen ska tolkas på så sätt att de uppgifter som kunder till ett apoteksföretag som bedriver e‑handel med apoteksexklusiva läkemedel på en e‑handelsplattform måste lämna när de beställer läkemedel på plattformen (såsom kundens namn och leveransadress samt information som krävs för att kunna individualisera läkemedlen) utgör hälsouppgifter i dessa bestämmelsers mening, även i fall där de beställda läkemedlen inte är receptbelagda.
75 EU-domstolen gör i denna del följande bedömning. Artikel 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen får anses ha en liknande innebörd med avseende på den tolkning som domstolen har att göra i förevarande mål (dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkterna 58 och 117). Det som regleras i dessa bestämmelser är, såsom framgår av rubriken till dem, behandling av särskilda kategorier av personuppgifter, och bestämmelserna innebär ett principiellt förbud mot att behandla sådana uppgifter. Av skäl 51 i dataskyddsförordningen framgår nämligen uttryckligen att personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande fri- och rättigheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för dessa fri- och rättigheter.
76 Artikel 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen innehåller en uppräkning av dessa särskilda kategorier av personuppgifter, och dit hör bland annat hälsouppgifter. Av artikel 4.15 jämförd med skäl 35 i dataskyddsförordningen framgår att hälsouppgifter omfattar samtliga personuppgifter som avslöjar information om en fysisk persons tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd, däribland uppgifter om tillhandahållande av hälso- och sjukvårdstjänster till denna person.
77 Vidare framgår av bland annat artikel 4.1 i dataskyddsförordningen att med begreppet personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person (en registrerad) och att det för att en registrerad ska anses vara identifierbar räcker att han eller hon direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare, såsom ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en onlineidentifierare eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,
78 Av detta följer att uppgifter om läkemedelsinköp som gör det möjligt att dra slutsatser om en identifierad eller identifierbar persons hälsotillstånd ska anses utgöra hälsouppgifter, i den mening som avses i artikel 4.15 i dataskyddsförordningen.
79 Vad gäller det nu aktuella fallet framgår följande av handlingarna i målet. När ND:s kunder beställer apoteksexklusiva läkemedel på e‑handelsplattformen Amazon lämnar de upplysningar om bland annat namn och leveransadress samt upplysningar som krävs för att kunna individualisera läkemedlen. Det är utrett att dessa upplysningar utgör personuppgifter, eftersom de avser identifierade eller identifierbara fysiska personer.
80 Vid dessa förhållanden måste det fastställas huruvida sådana uppgifter kan avslöja information om dessa personers hälsotillstånd, i den mening som avses i artikel 4.15 i dataskyddsförordningen, och därmed utgör hälsouppgifter, i den mening som avses i artikel 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen.
81 I detta avseende har EU-domstolen redan slagit fast att syftet med direktiv 95/46 och dataskyddsförordningen – som är att säkerställa en hög skyddsnivå för fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av deras personuppgifter – kräver att begreppet uppgifter om hälsa i artikel 9.1 i dataskyddsförordningen, som motsvarar begreppet uppgifter som rör hälsa i artikel 8.1 i direktiv 95/46, ges en vid tolkning (se, för ett liknande resonemang, dom av den 6 november 2003, Lindqvist, C‑101/01, EU:C:2003:596, punkt 50, och dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 125).
82 I synnerhet gäller att dessa bestämmelser inte kan tolkas på ett sätt som medför att behandling av personuppgifter som indirekt kan avslöja känslig information om en fysisk person undantas från den särskilda skyddsreglering som föreskrivs i nämnda bestämmelser, eftersom detta skulle vara i strid med regleringens ändamålsenliga verkan och det skydd för fysiska personers grundläggande fri- och rättigheter som den syftar till att säkerställa (dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 127).
83 Vad som nu anförts innebär att det är en tillräcklig förutsättning för att personuppgifter ska kunna anses utgöra hälsouppgifter – i den mening som avses i artikel 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen – att uppgifterna till sin karaktär är sådana att de, genom associering eller slutledning, kan avslöja information om den registrerades hälsotillstånd (se, för ett liknande resonemang, dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 123).
84 Uppgifter som en kund lämnar på en e‑handelsplattform vid beställning av apoteksexklusiva läkemedel är till sin karaktär sådana att de, genom associering eller slutledning, kan avslöja information om den registrerades hälsotillstånd, i den mening som avses i artikel 4.1 i dataskyddsförordningen. En sådan beställning innebär nämligen att det skapas ett samband mellan ett läkemedel, dess terapeutiska indikationer eller dess användning, och en fysisk person som är identifierad eller identifierbar genom exempelvis namn eller leveransadress.
85 Den hänskjutande domstolen vill dock få klarhet i huruvida det är relevant att de beställda läkemedlen inte är receptbelagda, eftersom det i det fallet skulle kunna vara så, att läkemedlen inte är avsedda för den kund som gjort beställningen, utan för någon annan person.
86 Vid tillämpning av artikel 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen med avseende på ett apoteksföretags behandling av personuppgifter i samband med e‑handelsverksamhet på en plattform gäller att företaget måste kontrollera om de uppgifter som det behandlar kan avslöja information som omfattas av någon av de i bestämmelserna angivna kategorierna, och detta oavsett om informationen rör en användare av denna plattform eller någon annan fysisk person. Om så är fallet är den aktuella personuppgiftsbehandlingen förbjuden, om inte annat följer av undantagen i artikel 9.2 i dataskyddsförordningen (se, för ett liknande resonemang, dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 68).
87 Detta principiella förbud gäller oavsett om den information som avslöjas genom den aktuella personuppgiftsbehandlingen är korrekt eller inte och oavsett om apoteksföretaget agerar i syfte att erhålla information som ingår i någon av de särskilda kategorier som avses i artikel 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen. Syftet med dessa bestämmelser är nämligen att förbjuda all behandling av personuppgifter hänförliga till någon av dessa kategorier oavsett det angivna ändamålet med behandlingen och oavsett om den aktuella informationen är korrekt. Detta syfte har sin grund i att all sådan personuppgiftsbehandling är förenad med betydande risker för de registrerades grundläggande fri- och rättigheter (se, för ett liknande resonemang, dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkterna 69 och 70).
88 Det nu sagda innebär följande. När en användare av en e‑handelsplattform lämnar personuppgifter i samband med beställning av apoteksexklusiva receptfria läkemedel, och dessa uppgifter behandlas av ett apoteksföretag som säljer dessa läkemedel via plattformen, så ska det anses vara fråga om behandling av hälsouppgifter i den mening som avses i artikel 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen. Detta eftersom denna personuppgiftsbehandling till sin karaktär är sådan att den kan avslöja information om en fysisk persons hälsotillstånd, oavsett om informationen rör användaren eller någon annan person för vars räkning användaren gör beställningen (se, för ett liknande resonemang, dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 73).
89 Det skulle nämligen strida mot dataskyddsförordningens mål om att säkerställa en hög skyddsnivå (se punkt 81 ovan) att tolka dessa bestämmelser på så sätt att det ska göras en distinktion utifrån vilken typ av läkemedel det är fråga om och huruvida de är receptbelagda eller inte. En sådan tolkning skulle dessutom strida mot syftet med 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen, vilket är att säkerställa ett utökat skydd mot personuppgiftsbehandling som på grund av att den avser särskilt känsliga uppgifter kan utgöra ett synnerligen allvarligt ingrepp i de i artiklarna 7 och 8 i stadgan fastslagna grundläggande rättigheterna avseende respekt för privatlivet och skydd av personuppgifter, såsom framgår av skäl 51 i dataskyddsförordningen (dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 126 och där angiven rättspraxis).
90 Det anförda innebär att information som ett apoteksföretags kunder lämnar i samband med att de beställer apoteksexklusiva receptfria läkemedel på en e‑handelsplattform utgör hälsouppgifter, i den mening som avses i artikel 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen, även om det endast med viss grad av sannolikhet, och inte med full säkerhet, kan fastställas att dessa läkemedel är avsedda för kunderna som beställt dem.
91 Härtill kommer att det även i det fallet att läkemedlen är avsedda för andra personer än kunderna som beställt dem inte kan uteslutas att det skulle kunna gå att identifiera dessa personer och att dra slutsatser om deras hälsotillstånd. Så skulle exempelvis kunna vara fallet när de aktuella läkemedlen inte levereras till den beställande kundens hemadress, utan till en annan persons hemadress. Detta skulle även kunna hända i fall där kunden – oavsett vilken leveransadress som angetts – i sin beställning eller i sina meddelanden angående beställningen har hänvisat till en annan identifierbar person, till exempel en familjemedlem. På samma sätt gäller att det i fall där det för att kunna göra en beställning krävs att kunden identifierar sig och/eller registrerar sig – till exempel genom att skapa ett användarkonto eller bli medlem i ett lojalitetsprogram – inte kan uteslutas att den information som kunden lämnar i detta sammanhang skulle kunna användas för att dra slutsatser inte bara om kundens hälsotillstånd, utan även om en annan persons hälsotillstånd, bland annat i kombination med informationen om de beställda läkemedlen.
92 Slutligen vill EU-domstolen erinra om det som anförts ovan i punkt 86, nämligen att den omständigheten att information av nu aktuellt slag utgör hälsouppgifter – i den mening som avses i artikel 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen – inte utgör hinder för att den kan bli föremål för behandling, särskilt i samband med förvaltning av hälso- och sjukvårdstjänster och hälso- och sjukvårdssystem, om något av villkoren i punkt 2 i respektive artikel är uppfyllt. Detta framgår av bland annat skäl 53 i dataskyddsförordningen.
93 Så kan särskilt vara fallet om den registrerade – i enlighet med led a) i punkt 2 i nämnda artiklar och om inte annat följer av det där angivna undantaget – ger sitt uttryckliga samtycke till en eller flera typer av behandling av dessa personuppgifter, efter att ha fått klar, fullständig och lättförståelig information om hur och för vilka specifika ändamål uppgifterna kommer att behandlas. Sådan personuppgiftsbehandling kan också vara tillåten enligt artikel 9.2 h i dataskyddsförordningen om den är nödvändig för att kunna tillhandahålla hälso- och sjukvård på grundval av unionsrätten, medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet.
94 Mot bakgrund av det ovan anförda ska den andra frågan besvaras enligt följande. Artikel 8.1 i direktiv 95/46 och artikel 9.1 i dataskyddsförordningen ska tolkas på så sätt att de uppgifter som kunder till ett apoteksföretag som bedriver e‑handel med apoteksexklusiva läkemedel på en e‑handelsplattform måste lämna när de beställer läkemedel på plattformen (såsom kundens namn och leveransadress samt information som krävs för att kunna individualisera läkemedlen) utgör hälsouppgifter i dessa bestämmelsers mening, även i fall där de beställda läkemedlen inte är receptbelagda.
95 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.
1 Rättegångsspråk: tyska.