1.

Det här målet avser tolkningen av flera bestämmelser i förordning (EU) 2016/679 ( 2 ) (nedan kallad dataskyddsförordningen) vad gäller, för det första, det system med rättsmedel som har inrättats genom den förordningen och, för det andra, uppgifter om hälsa, som är en kategori av särskilt känsliga uppgifter.

2.

Begäran om förhandsavgörande har framställts i samband med en talan om förbudsföreläggande grundad på ett förbud i nationell rätt mot illojal konkurrens som ett företag har väckt i syfte att en konkurrent ska upphöra med sin saluföring av icke receptbelagda läkemedel på internet. Enligt företaget föreligger illojal konkurrens på grund av att de krav avseende behandling av uppgifter om hälsa som följer av dataskyddsförordningen inte iakttas.

3.

Jag kommer att inleda min bedömning med att undersöka den andra tolkningsfrågan. Denna fråga ger domstolen tillfälle att precisera omfattningen av begreppet uppgifter om hälsa, som är avgörande för huruvida ett förstärkt skydd ska tillämpas.

4.

För det fall att de uppgifter som avses i förevarande mål inte kan betraktas som uppgifter om hälsa i den mening som avses i artikel 9.1 i dataskyddsförordningen, föreligger inte illojal konkurrens. I så fall finns det inte anledning att besvara den första tolkningsfrågan, som avser huruvida det system med rättsmedel som har inrättats genom dataskyddsförordningen tillåter att det i nationell rätt föreskrivs ett rättsmedel grundat på åsidosättande av bestämmelserna om förbudet mot illojal konkurrens genom vilket åsidosättande av de materiella bestämmelserna i dataskyddsförordningen kan åberopas.

5.

I artikel 8.1 i direktiv 95/46/EG ( 3 ) föreskrivs följande:

”Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.”

6.

Skälen 9, 10, 13, 35, 51 och 142 i dataskyddsförordningen har följande lydelse:

…

…

…

…

7.

I artikel 1 i dataskyddsförordningen, med rubriken ”Syfte”, föreskrivs följande:

”1.   I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.

2.   Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

3.   Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.”

8.

I artikel 4 i samma förordning föreskrivs följande:

”I denna förordning avses med

…”

9.

Artikel 9 i nämnda förordning, med rubriken ”Behandling av särskilda kategorier av personuppgifter”, har följande lydelse:

”1.   Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.   Punkt 1 ska inte tillämpas om något av följande gäller:

…

…”

10.

Artiklarna 77–84 ingår i kapitel VIII i dataskyddsförordningen, vilket har rubriken ”Rättsmedel, ansvar och sanktioner”.

11.

I artikel 77.1 i dataskyddsförordningen, under rubriken ”Rätt att lämna in klagomål till en tillsynsmyndighet”, föreskrivs följande:

”Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.”

12.

I artikel 78.1 i samma förordning, under rubriken ”Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut”, föreskrivs följande:

”Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.”

13.

I artikel 79.1 i nämnda förordning, under rubriken ”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”, föreskrivs följande:

”Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.”

14.

I artikel 80 i dataskyddsförordningen, med rubriken ”Företrädande av registrerade”, föreskrivs följande:

”1.   Den registrerade ska ha rätt att ge ett organ, en organisation eller sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter, i uppdrag att lämna in ett klagomål för hans eller hennes räkning, att utöva de rättigheter som avses i artiklarna 77, 78 och 79 för hans eller hennes räkning samt att för hans eller hennes räkning utöva den rätt till ersättning som avses i artikel 82 om så föreskrivs i medlemsstatens nationella rätt.

2.   Medlemsstaterna får föreskriva att ett organ, en organisation eller en sammanslutning enligt punkt 1 i den här artikeln, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen eller sammanslutningen anser att den registrerades rättigheter enligt den här förordningen har kränkts som en följd av behandlingen.”

15.

I artikel 82.1 i dataskyddsförordningen, under rubriken ”Ansvar och rätt till ersättning”, föreskrivs följande:

”Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.”

16.

I artikel 84.1 i samma förordning, under rubriken ”Sanktioner”, föreskrivs följande:

”Medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.”

17.

I 3 § stycke 1 i Gesetz gegen den unlauteren Wettbewerb (lag om illojal konkurrens) av den 3 juli 2004, ( 5 ) i den lydelse som är tillämplig i det nationella målet (nedan kallad lagen om illojal konkurrens), under rubriken ”Förbud mot otillbörligt kommersiellt beteende”, föreskrivs att ”[o]tillbörliga affärsmetoder är förbjudna”.

18.

I 3a § i denna lag, under rubriken ”Åsidosättande av bestämmelser”, föreskrivs följande:

”Personer agerar illojalt om de åsidosätter bestämmelser som bland annat är avsedda att reglera beteendet på marknaden i marknadsaktörernas intresse och denna överträdelse är ägnad att märkbart påverka konsumenters, andra marknadsaktörers eller konkurrenters intressen.”

19.

I 8 § i nämnda lag, under rubriken ”Föreläggande om upphörande och förbud”, föreskrivs följande:

”1)   Den som använder affärsmetoder som är förbjudna enligt 3 eller 7 §§ kan bli föremål för ett föreläggande om upphörande och, om det föreligger risk för att beteendet upprepas, ett förbudsföreläggande. …

…

3)   Följande personer kan ansöka om de förelägganden som avses i första stycket:

…”

20.

Utsläppandet av läkemedel på marknaden regleras genom Arzneimittelgesetz (läkemedelslag) av den 24 augusti 1976, i den lydelse som offentliggjordes den 12 december 2005, ( 6 ) senast ändrad genom 8c § i lagen av den 20 december 2022. ( 7 ) I denna lag görs åtskillnad mellan läkemedel som säljs på apotek, vilka avses i 43 § (med rubriken ”Läkemedel som endast får säljas på apotek”) till 47 §, och receptbelagda läkemedel, vilka avses i 48 § (som har rubriken ”Receptbelagda läkemedel”).

21.

ND och DR driver var sitt apotek. Klaganden i det nationella målet, ND, innehar dessutom tillstånd att bedriva postorderförsäljning och saluför även sina produkter, inbegripet läkemedel som endast får säljas på apotek, via Amazon Marketplace (nedan kallat Amazon), som är en e‑handelsplattform där säljare kan erbjuda sina produkter direkt till konsumenterna.

22.

Motparten i det nationella målet, DR, väckte talan om förbudsföreläggande för att ND skulle förbjudas att på e‑handelsplattformen Amazon saluföra läkemedel som endast får säljas på apotek. Enligt DR utgör denna saluföring illojal konkurrens, eftersom ND genom saluföringen åsidosätter bestämmelser i den mening som avses i 3a § i lagen om illojal konkurrens, det vill säga framför allt artikel 9 i dataskyddsförordningen vad gäller inhämtande av uttryckligt samtycke från kunden innan personuppgifter rörande hans eller hennes hälsa behandlas.

23.

Landgericht Dessau-Roßlau (Regionala domstolen i Dessau-Roßlau, Tyskland) biföll talan. Oberlandesgericht Naumburg (Regionala överdomstolen i Naumburg, Tyskland) avslog ND:s överklagande och slog fast att ND:s saluföring via Amazon av läkemedel som endast får säljas på apotek strider mot lagen om illojal konkurrens. Enligt den domstolen utgör saluföringen nämligen behandling av uppgifter om hälsa i den mening som avses i artikel 9.1 i dataskyddsförordningen som kunderna inte uttryckligen har samtyckt till. Bestämmelserna i dataskyddsförordningen ska anses reglera beteendet på marknaden i den mening som avses i nationell konkurrensrätt, vilket innebär att DR i egenskap av konkurrent hade rätt att framställa ett yrkande om förbudsföreläggande grundat på nationell konkurrensrätt med åberopande av att ND hade åsidosatt bestämmelserna i dataskyddsförordningen.

24.

ND ingav ett överklagande till den hänskjutande domstolen, Bundesgerichtshof (Federala högsta domstolen, Tyskland), i vilket ND vidhöll sina yrkanden om att talan om förbudsföreläggande ska ogillas.

25.

Utgången av överklagandet beror enligt den hänskjutande domstolen på tolkningen av såväl kapitel VIII som artikel 9 i dataskyddsförordningen och artikel 8.1 i direktiv 95/46.

26.

Den hänskjutande domstolen har betonat att det måste avgöras om DR i egenskap av konkurrent är behörig att på grundval av förbudet mot otillbörliga affärsmetoder väcka talan vid allmän domstol med åberopande av att dataskyddsförordningen har åsidosatts. Den hänskjutande domstolen har preciserat att det rör sig om en omdebatterad fråga som kan besvaras så, att de bestämmelser i dataskyddsförordningen som syftar till att säkerställa efterlevnaden av förordningens bestämmelser är uttömmande, vilket innebär att konkurrenter inte har någon konkurrensrättslig behörighet att väcka talan. Men det kan även hävdas att de bestämmelser i dataskyddsförordningen som syftar till efterlevnad av den inte är uttömmande och att konkurrenter således kan väcka talan om förbudsföreläggande med åberopande av att dataskyddsförordningen har åsidosatts.

27.

Vidare har den hänskjutande domstolen hävdat att det måste avgöras om de uppgifter som kunderna måste ange när de online beställer läkemedel som endast får säljas på apotek men som inte är receptbelagda utgör hälsouppgifter i den mening som avses i artikel 9.1 i dataskyddsförordningen och, tidigare, artikel 8.1 i direktiv 95/46, eftersom rätten till förbudsföreläggande endast föreligger om ND:s beteende både var rättsstridigt vid tidpunkten då det ägde rum och är rättsstridigt vid tidpunkten då förhandlingen till följd av överklagandet hålls.

28.

Mot denna bakgrund beslutade Bundesgerichtshof (Federala högsta domstolen) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

29.

Begäran om förhandsavgörande inkom till domstolens kansli den 19 januari 2023. Parterna i det nationella målet, den tyska regeringen och Europeiska kommissionen har inkommit med skriftliga yttranden. Samtliga dessa var företrädda vid förhandlingen som hölls den 9 januari 2024.

30.

DR har gjort gällande att ND har åsidosatt artikel 9 i dataskyddsförordningen genom att behandla uppgifter om kunder som beställt icke receptbelagda läkemedel online utan att iaktta kravet på att uttryckligt samtycke ska inhämtas från kunderna för behandling av dessa uppgifter.

31.

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida bestämmelserna i kapitel VIII i dataskyddsförordningen ska tolkas så, att de utgör hinder för nationell lagstiftning som ger företag rätt att på grundval av förbudet mot illojal konkurrens åberopa att deras konkurrenter har åsidosatt de materiella bestämmelserna i dataskyddsförordningen. Genom den andra fråga vill den få klarhet i huruvida artikel 9 i dataskyddsförordningen ska tolkas så, att uppgifterna i fråga utgör uppgifter om hälsa och således omfattas av de särskilda kategorier av uppgifter som anges i denna bestämmelse. ( 8 )

32.

Det ska inledningsvis påpekas att som jag redan har betonat finns det inte anledning att besvara den första frågan i det fall att den andra frågan besvaras nekande, eftersom EU-domstolens svar då är tillräckligt för att den hänskjutande domstolen ska kunna avgöra det mål som är anhängigt vid den. Under dessa omständigheter förefaller det lämpligt att inleda min bedömning av tolkningsfrågorna med den andra frågan.

33.

Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida uppgifter som en apotekares kunder anger när de på en e‑handelsplattform beställer läkemedel som endast får säljas på apotek men som inte är receptbelagda utgör uppgifter om hälsa i den mening som avses i artikel 9.1 i dataskyddsförordningen.

34.

Det ska preciseras att begreppet uppgifter om hälsa i artikel 9.1 i dataskyddsförordningen definieras i artikel 4.15 i förordningen. För att besvara den andra frågan krävs således att dessa båda bestämmelser tolkas tillsammans.

35.

Med uppgifter om hälsa avses enligt lydelsen i artikel 4.15 i dataskyddsförordningen personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.

36.

Som det har påpekats i domstolens praxis styrks denna definition dessutom av skäl 35 i dataskyddsförordningen, där det anges att ”[p]ersonuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd”. ( 9 )

37.

Av lydelsen i artikel 4.15 i dataskyddsförordningen, vilken preciseras genom skäl 35 i förordningen, följer således att det som är avgörande för att fastställa huruvida vissa personuppgifter utgör uppgifter om hälsa är huruvida det är möjligt att utifrån uppgifterna i fråga dra slutsatser om den registrerades hälsotillstånd. Uppgifter om hälsa begränsar sig således inte till medicinska uppgifter eller uppgifter som är direkt relaterade till hälsoproblem, utan omfattar även varje uppgift som gör det möjligt att dra slutsatser om den registrerades hälsotillstånd, oavsett om det rör sig om ett patologiskt eller fysiologiskt tillstånd.

38.

Detta bekräftas av det syfte som eftersträvas med artikel 9 i dataskyddsförordningen. Domstolen har i sin praxis betonat att syftet med denna bestämmelse är att säkerställa ett utökat skydd mot behandling som, på grund av att de uppgifter som behandlas är särskilt känsliga, kan utgöra ett synnerligen allvarligt ingrepp i de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter, vilka garanteras genom artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna, såsom även framgår av skäl 51 i dataskyddsförordningen. ( 10 )

39.

Att uppgifter om hälsa är särskilt känsliga förklaras av den omständigheten att de avser information som omfattas av en persons mest intima sfär och som kan exponera hans eller hennes sårbarheter. Att sådana uppgifter är särskilt känsliga och följaktligen har ett särskilt behov av skydd erkänns för övrigt inte endast i unionsrätten, utan också i praxis från Europeiska domstolen för de mänskliga rättigheterna, som har betonat att ”iakttagandet av sekretess för information som rör hälsa utgör en väsentlig princip i rättsordningarna för samtliga konventionsparter i [Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som undertecknades i Rom den 4 november 1950]”. ( 11 )

40.

Mot bakgrund av detta syfte ska enligt domstolens praxis begreppet särskilda kategorier av personuppgifter, vilket omfattar uppgifter om hälsa, ges en vid tolkning, så att de inte endast avser uppgifter som i sig är känsliga, utan även uppgifter som indirekt efter en intellektuell slutledning eller avstämning avslöjar information av detta slag. ( 12 )

41.

Även Europeiska dataskyddsstyrelsen, som inrättats genom artikel 68 och följande artiklar i dataskyddsförordningen, har antagit en sådan syn på begreppet uppgifter om hälsa. Den har betonat att det inte endast är informationen i sig som avgör huruvida den ska betecknas som uppgifter om hälsa, utan även omständigheterna kring insamlingen och behandlingen av den, och har gett olika exempel på detta. Således anser Europeiska dataskyddsstyrelsen att uppgifter om hälsa omfattar information i en patientjournal, information som genom korshänvisning till andra uppgifter avslöjar hälsotillståndet och information som blir hälsouppgifter på grund av att den används i ett visst sammanhang (till exempel information om en resa som behandlas av läkare för att ställa diagnos). ( 13 ) Uppgifter om hälsa omfattar däremot inte uppgifter som har samlats in genom en app som gör det möjligt att räkna antalet steg som den registrerade har tagit, när denna app inte kan koppla dessa uppgifter till andra uppgifter om personen i fråga och i den mån som uppgifterna inte samlas in och behandlas i ett medicinskt sammanhang. ( 14 )

42.

Av artiklarna 4 led 15 och 9 i dataskyddsförordningen, såsom de har tolkats i rättspraxis, framgår således klart att uppgifter som kan möjliggöra slutsatser om den registrerades hälsotillstånd ska betraktas som uppgifter om hälsa i den mening som avses i dessa bestämmelser.

43.

Det kan vid första anblicken inte förnekas att beställning online av icke receptbelagda läkemedel förutsätter behandling av uppgifter av vilka det går att sluta sig till viss information om hälsotillståndet eller som åtminstone ger vissa indicier om hälsotillståndet, i den mån som beställningen innebär en koppling mellan inköpet av ett läkemedel, som är en produkt framför alla andra som rör hälsa, och köparens identitet. Av de skäl som jag anger nedan anser jag emellertid att det av den information som den hänskjutande domstolen har lämnat till EU‑domstolen framgår att denna koppling är alltför tunn och att de indicier som det går att sluta sig till av den är alltför oprecisa eller hypotetiska för att uppgifterna i fråga ska kunna betraktas som uppgifter om hälsa i den mening som avses i artiklarna 4 led 15 och 9 i dataskyddsförordningen.

44.

Vissa preciseringar behöver göras, särskilt vad gäller ovan angivna tolkning av begreppet uppgifter om hälsa och mer allmänt vad gäller tolkningen av begreppet särskild kategori av personuppgifter.

45.

På basen av dessa uppgifter om tolkningen verkar det kunna anses att en produkt som beställs online kan avslöja allmän information om en persons hälsotillstånd, men även, som det framgår av artikel 9 i dataskyddsförordningen, om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller en persons sexuella läggning. Jag anser att det utifrån de varor som beställs online är möjligt att sluta sig till viss information om dessa olika faktorer rörande registrerade personer.

46.

Flera exempel kan ges som styrker min åsikt. Beställning av en bok om en politiker kan potentiellt indikera att personen i fråga instämmer i de idéer som politikern förespråkar, beställning av ett klädesplagg kan vara ett tecken på en persons religiösa övertygelse och beställning av erotiskt material kan vara ett indicium på personens sexuella läggning. Det förefaller således nödvändigt att ytterligare förfina tolkningen av begreppet uppgifter om hälsa i den meningen att de slutsatser som kan dras av uppgifter i samband med en beställning inte endast ska vara potentiella, eftersom en betydande andel av behandlingen av uppgifter i samband med onlinehandel i annat fall skulle omfattas av den ordning som föreskrivs i artikel 9.2 i dataskyddsförordningen. Den information som uppgifterna i fråga avslöjar om den registrerades hälsotillstånd kan med andra ord inte endast vara antaganden, utan måste ha en viss grad av säkerhet.

47.

Jag anser vidare att frågan huruvida uppgifter kan betraktas som uppgifter om hälsa är beroende av omständigheterna i det enskilda fallet, förutom i de fall där uppgifterna i sig är uppgifter om hälsa. Närmare bestämt förefaller de slutsatser som kan dras av uppgifterna bero på det sammanhang i vilket de har samlats in och den behandling som de har genomgått. Som Europeiska dataskyddsstyrelsen, vilken har inrättats genom artikel 68 och följande artiklar i dataskyddsförordningen, har betonat kan uppgifter som vid första anblicken inte verkar ha något samband med det medicinska området, såsom information om en resa, ändå betraktas som uppgifter om hälsa när de analyseras i ett medicinskt sammanhang och tillsammans med annan information i syfte att till exempel fastställa potentiell kontamination med en bakterie eller ett virus som förekommer i en given region.

48.

Den personuppgiftsansvariges identitet är särskilt relevant i detta sammanhang. När uppgifterna behandlas av ett organ på hälsoområdet kan det nämligen enligt min mening utgöra ett indicium på att uppgifterna faktiskt är uppgifter om hälsa. Däremot kan samma uppgifter kvalificeras annorlunda när de inte behandlas av en inrättning på hälsoområdet och inte kan kopplas till andra uppgifter om den registrerade. Samma uppgift kan med andra ord avslöja mer information om en persons hälsotillstånd när den behandlas av ett institut på hälsoområdet, som har kompetens att tolka informationen eller som innehar andra uppgifter om personen, än när den behandlas av ett organ utanför denna sektor.

49.

Under dessa omständigheter anser jag att det ankommer på den hänskjutande domstolen att göra en prövning av såväl de aktuella uppgifternas innehåll som alla omständigheter kring behandlingen av dem, i syfte att avgöra om det är möjligt att utifrån uppgifterna med en viss grad av säkerhet sluta sig till information om den registrerades hälsotillstånd.

50.

Med beaktande av de omständigheter som anges i den hänskjutande domstolens begäran om förhandsavgörande förefaller vissa förtydliganden emellertid kunna göras för att vägleda den vid avgörandet av det nationella målet. ( 15 )

51.

Vad gäller de produkter som kan beställas ska det, för det första, betonas att läkemedlen i fråga, det vill säga icke receptbelagda läkemedel, i princip inte är avsedda för behandling av ett särskilt tillstånd, utan kan användas mer allmänt för att behandla dagliga åkommor som kan drabba vem som helst och som inte är symtomatiska för en patologi eller ett särskilt hälsotillstånd. Dessa läkemedel köps dessutom ofta även i förebyggande syfte, för att de ska finnas tillgängliga vid behov eller till exempel inför en resa utanför den stadigvarande vistelseorten. Som exempel kan nämnas en beställning av paracetamol, som inte möjliggör några slutsatser om en persons särskilda hälsotillstånd, eftersom denna molekyl används för att behandla olika typer av smärta och feber och ofta finns bland de läkemedel som personer har hemma, trots att de inte har särskilt behov av dem.

52.

Som ND har påpekat innebär, för det andra, den omständigheten att en person beställer ett icke receptbelagt läkemedel online inte med nödvändighet att det är denna person, vars uppgifter behandlas, som kommer att använda läkemedlet, och inte en annan person i hushållet eller den personliga kretsen. Det är nämligen vanligt att en person som har ett konto på en e‑handelswebbplats gör en beställning för någon annans räkning som inte har ett konto på webbplatsen. I avsaknad av ett recept som har utfärdats för en namngiven person som läkemedlet är avsett för och som gör att det kan presumeras att läkemedlets användare och köparen är samma person, är det inte möjligt att av en beställning av en produkt som är fritt tillgänglig online sluta sig till att produkten är avsedd att användas av köparen, och endast av köparen. Av detta följer att det av dessa uppgifter inte rimligen kan dras någon slutsats om hälsotillståndet för den person vars uppgifter behandlas, så att de skulle kunna betraktas som uppgifter om hälsa.

53.

Detta är särskilt fallet eftersom, för det tredje och med förbehåll för den kontroll som det ankommer på den hänskjutande domstolen att göra, en person kan göra en beställning online utan att behöva lämna precisa uppgifter om sin identitet, särskilt när leveransen av produkten inte sker till den registrerades adress, utan till ett utlämningsställe och det inte krävs någon ytterligare uppgift om civil identitet för faktureringen.

54.

Jag anser således att den andra frågan ska besvaras så, att de uppgifter som en apotekares kunder anger när de på en e‑handelsplattform beställer läkemedel som endast får säljas på apotek men som inte är receptbelagda inte utgör uppgifter om hälsa i den mening som avses i artiklarna 4 led 15 och 9 i dataskyddsförordningen, i den mån som det av dessa uppgifter endast kan dras hypotetiska eller oprecisa slutsatser om hälsotillståndet hos den person som gör beställningen online, vilket det ankommer på den hänskjutande domstolen att kontrollera.

55.

Det ska även preciseras att om begreppet uppgifter om hälsa skulle tolkas så, att det inbegriper uppgifter som anges vid beställning på en e-handelsplattform av läkemedel som endast får säljas på apotek men som inte är receptbelagda skulle det paradoxalt nog kunna leda till att mer känslig information avslöjas på grund av den ordning för utökat skydd som föreskrivs i artikel 9.2 i dataskyddsförordningen. Att begära uttryckligt samtycke för behandling av uppgifter som redan har identifierats som känsliga skulle nämligen in fine kunna leda till att köparen avslöjar identiteten hos produktens slutanvändare. I denna situation skulle mer säkra slutsatser kunna dras om denna persons hälsotillstånd.

56.

Mot bakgrund av det svar som jag har föreslagit på den andra frågan finns det enligt min mening ingen anledning att besvara den första frågan. För fullständighetens skull och med beaktande av den bedömning som det ankommer på den hänskjutande domstolen att göra kommer jag ändå att bedöma den första frågan, som den hänskjutande domstolen har ställt för att få klarhet i huruvida bestämmelserna i kapitel VIII i dataskyddsförordningen ska tolkas så, att de utgör hinder för nationell lagstiftning som ger företag rätt att på grundval av förbudet mot illojal konkurrens åberopa att deras konkurrenter har åsidosatt de materiella bestämmelserna i dataskyddsförordningen.

57.

De som har inkommit med yttranden till domstolen har anfört diametralt motsatta svar på denna fråga. Enligt kommissionen och ND, å ena sidan, ska det system med rättsmedel som har inrättats genom bestämmelserna i kapitel VIII i dataskyddsförordningen, tolkat mot bakgrund av dataskyddsförordningens syften, ses som ett uttömmande system, som utesluter varje annan möjlighet för medlemsstaterna att föreskriva alternativa rättsmedel i nationell rätt.

58.

Enligt den tyska regeringen, å andra sidan, ska det system med rättsmedel som har inrättats genom bestämmelserna i kapitel VIII i dataskyddsförordningen ses som en minimiuppsättning rättsmedel som medlemsstaterna kan komplettera. Att detta system inte är uttömmande styrks av den omständigheten att dataskyddsförordningen även syftar till att skydda konkurrensen och förhindra snedvridningar som kan följa av skillnader i nivåerna av skydd för uppgifter samt att möjligheten för en konkurrent att åberopa att en annan konkurrent har åsidosatt de materiella bestämmelserna i dataskyddsförordningen förbättrar förordningens funktion.

59.

De som har inkommit med yttranden till domstolen har följaktligen koncentrerat sina synpunkter kring frågan huruvida det system med rättsmedel som föreskrivs i dataskyddsförordningen ska ses som ett uttömmande harmoniserande system, vilket enligt dem påverkar medlemsstaternas möjlighet att i sin nationella rätt föreskriva alternativa rättsmedel utöver de som fastställs i förordningen.

60.

Även om fastställandet av huruvida systemet med rättsmedel är uttömmande är en relevant omständighet för att ge ett ändamålsenligt svar på den första frågan, förutsätter en sådan bedömning emellertid, av de skäl som jag anger nedan, först en undersökning av den underliggande frågan om identifiering av de personer som omfattas av det skydd som föreskrivs i dataskyddsförordningens materiella såväl som formella bestämmelser. För det fall att de företag som ansvarar för behandlingen av uppgifter ska anses omfattas av de rättigheter som följer av dataskyddsförordningen, anser jag att denna förordning ska tolkas så, att den kräver att det i nationell rätt inrättas rättsmedel för att göra gällande dessa rättigheter. Jag kommer således att inleda min bedömning med denna punkt, innan jag svarar på frågan huruvida det system med rättsmedel som har inrättats genom dataskyddsförordningen ska ses som ett uttömmande system i den meningen att det utesluter att nationell rätt ger företag möjlighet att på grundval av förbudet mot illojal konkurrens väcka talan om förbudsföreläggande mot en konkurrent med åberopande av att denna har åsidosatt bestämmelserna i dataskyddsförordningen.

61.

Jag kommer först att försöka precisera varför det är nödvändigt att identifiera dessa personer. Jag kommer därefter att identifiera dem och slutligen kommer jag att redogöra för hur identifieringen av registrerade personer som de enda som omfattas av de rättigheter som föreskrivs i dataskyddsförordningen inverkar på svaret på den första frågan.

62.

Det finns två skäl till att det, för att besvara den första frågan, är nödvändigt att först identifiera de personer som omfattas av de rättigheter som skyddas genom dataskyddsförordningen, innan jag behandlar frågan om huruvida det system med rättsmedel som fastställs i dataskyddsförordningen är uttömmande.

63.

Av rättspraxis följer att på samma sätt som unionsrätten ålägger de enskilda förpliktelser, är den också avsedd att skapa rättigheter som blir en del av de enskildas rättsliga arv. ( 16 ) I detta sammanhang har domstolen betonat att dessa rättigheter uppkommer framför allt på grund av de skyldigheter som åläggs såväl de enskilda som medlemsstaterna och unionens institutioner. ( 17 ) Varje skyldighet som åläggs en fysisk eller juridisk person motsvaras nämligen i allmänhet av en rättighet som tillkommer en annan person.

64.

Det är dessutom vedertaget att varje rättighet som en enskild har enligt unionsrätten även medför att det finns ett rättsmedel som syftar just till att göra gällande denna rättighet, vilket innebär att om specifika bestämmelser inte föreskrivs i unionsrätten för detta ändamål, ankommer det på medlemsstaterna att säkerställa att rättigheterna i fråga iakttas genom rättsmedel i nationell rätt. ( 18 ) Av rättspraxis framgår nämligen klart att det åligger de nationella domstolarna att skydda de rättigheter som enskilda har erhållit genom unionsrätten. ( 19 )

65.

Om dataskyddsförordningen, som den tyska regeringen har hävdat, ska tolkas så, att den förutom de registrerade även skyddar konkurrensen på marknaden och således in fine företagen, måste förordningen anses ge upphov till rättigheter som blir en del av företagens rättsliga arv. ( 20 )

66.

Eftersom det inte finns några uttryckliga unionsrättsliga bestämmelser i detta syfte, måste under dessa omständigheter iakttagandet av de rättigheter som företagen har enligt dataskyddsförordningen kunna säkerställas genom rättsmedel som medlemsstaterna föreskriver.

67.

Utan att det är nödvändigt att behandla frågan om huruvida det system med rättsmedel som har inrättats genom dataskyddsförordningen är uttömmande följer av detta att den första frågan skulle behöva besvaras så, att kapitel VIII i förordningen inte ska tolkas så, att det inte utgör hinder för att medlemsstaterna föreskriver en möjlighet för en konkurrent att väcka talan mot ett annat företag med åberopande av att dataskyddsförordningen har åsidosatts, utan i stället så att det kräver att iakttagandet av dataskyddsförordningens bestämmelser säkerställs genom att ett företag kan väcka talan mot en konkurrent med åberopande av att denna har åsidosatt förordningens bestämmelser. ( 21 )

68.

Svaret på den första frågan är följaktligen beroende av identifieringen av de personer som omfattas av de rättigheter som följer av dataskyddsförordningen.

69.

Själva begreppet ett uttömmande system med rättsmedel kan omfatta två olika dimensioner, som måste bedömas på olika sätt och som förutsätter att de personer som omfattas av de rättigheter vilkas iakttagande säkerställs genom systemet i fråga först har identifierats.

70.

Den första dimensionen avser huruvida systemet med rättsmedel är uttömmande i förhållande till alla andra rättsmedel som är avsedda att skydda samma rättighet. Det är med andra ord frågan om huruvida de rättsmedel som föreskrivs i unionsrätten för att skydda de rättigheter som de unionsrättsliga bestämmelserna ger enskilda är uttömmande. Domstolen har i sin praxis redan uttalat sig om vilken inverkan det har att de rättsmedel som föreskrivs i unionsrätten för att skydda en rättighet som föreskrivs i unionsrätten är uttömmande. Som exempel kan nämnas att den i sin fasta praxis har slagit fast att ett ansvarssystem som på ett uttömmande sätt har harmoniserats genom unionsrätten ibland kan samexistera med ett alternativt ansvarssystem i nationell rätt avseende samma omständigheter och samma grund under förutsättning att detta alternativa ansvarssystem inte skadar den harmoniserade ordningen och inte undergräver dess syften och dess ändamålsenliga verkan. ( 22 ) Enbart den omständigheten att ett system med rättsmedel som föreskrivs i unionsrätten är uttömmande räcker således inte för att utesluta möjligheten att en medlemsstat i nationell rätt föreskriver ett alternativt rättsmedel som grundar sig på samma rättighet, förutsatt att vissa villkor iakttas.

71.

Den andra dimensionen av begreppet ett uttömmande system med rättsmedel som föreskrivs i unionsrätten är vidare och avser huruvida systemet är uttömmande i förhållande till alla andra rättsmedel som utövas av personer som inte direkt omfattas av de rättigheter som unionsrätten ger, men som ändå åberopar dem inom ramen för ett rättsmedel som föreskrivs i nationell rätt. En sådan syn på begreppet ett uttömmande system med rättsmedel som har inrättats genom unionsrätten föranleder således en annan bedömning. ( 23 )

72.

För att kunna göra en relevant bedömning av huruvida det system med rättsmedel som föreskrivs i dataskyddsförordningen eventuellt är uttömmande måste det följaktligen först fastställas vilka personer som omfattas av de rättigheter som föreskrivs i förordningen, vilket jag kommer att försöka göra i det följande.

73.

Den personkrets som omfattas av det skydd som föreskrivs i dataskyddsförordningen måste enligt min mening fastställas mot bakgrund av förordningens syften och innehåll.

74.

Vad till att börja med gäller dataskyddsförordningens syften har den tyska regeringen gjort gällande att förordningen förutom att säkerställa en hög och enhetlig skyddsnivå för fysiska personer även syftar till att fastställa jämlika konkurrensvillkor.

75.

I skäl 9 i dataskyddsförordningen nämns visserligen den omständigheten att skillnaderna i skyddet av rätten till skydd för personuppgifter vid behandling av dem kan snedvrida konkurrensen. Jag anser emellertid att en sådan precisering inte kan tolkas så, att ett av dataskyddsförordningens syften är att säkerställa en fri och icke snedvriden konkurrens. Den omständigheten att skillnaderna mellan medlemsstaternas lagstiftning vad gäller de regler som är ålagda företagen medför snedvridningar av konkurrensen framstår endast som ett konstaterande, som inte specifikt gäller dataskyddsförordningen. Eftersom de materiella bestämmelser som reglerar företagens verksamhet på marknaden är striktare i en medlemsstat än i en annan, följer av detta med nödvändighet en viss konkurrensfördel för de företag som är verksamma i sistnämnda medlemsstat jämfört med företagen i den förstnämnda, vilket alla harmoniserande rättsakter kan motverka.

76.

En sådan tolkning förefaller stödjas av hänvisningen i skäl 9 i dataskyddsförordningen till att det är nödvändigt att säkerställa ”det fria flödet av personuppgifter över hela unionen”, som potentiellt hotas på grund av skillnaderna mellan de nationella regelverken.

77.

Som kommissionen påpekade vid förhandlingen åsyftas i skäl 9 i dataskyddsförordningen dessutom inte den konkurrens som finns mellan alla företag, utan framför allt den konkurrens mellan företag i två olika medlemsstater som föranleds av olika regelverk. Det rör sig med andra ord huvudsakligen om att säkerställa lika konkurrensvillkor i de olika medlemsstaterna genom att företagen åläggs harmoniserade regler, även om dessa regler också bidrar till att inget företag åtnjuter konkurrensfördelar i förhållande till andra företag i en och samma medlemsstat.

78.

Dataskyddsförordningen syftar således inte enligt min mening till att säkerställa en fri och icke snedvriden konkurrens på den inre marknaden.

79.

Det ska vidare påpekas att ingen av de materiella bestämmelserna i dataskyddsförordningen syftar till att säkerställa en fri och icke snedvriden konkurrens mellan företag eller att företag ska omfattas av det skydd som har inrättats genom denna förordning. De materiella bestämmelserna syftar tvärtom huvudsakligen till att ålägga skyldigheter för de företag som ansvarar för behandlingen av uppgifter. Även om det, som jag har nämnt ovan, är riktigt att varje skyldighet som åläggs en fysisk eller juridisk person med nödvändighet motsvaras av en rättighet som ges en annan person, omfattar rättigheterna i fråga emellertid inte företagen, utan endast de personer vilkas uppgifter företagen behandlar. Detta framgår även av dataskyddsförordningens titel, eftersom den endast nämner skyddet för personer.

80.

Vad slutligen gäller de formella bestämmelserna i kapitel VIII i dataskyddsförordningen ska det betonas att som jag redan har påpekat avser de rättsmedel som föreskrivs däri endast registrerade personer och de enheter som har i uppdrag att företräda dem. Denna begränsning av de personer som enligt bestämmelserna i dataskyddsförordningen kan väcka talan vid domstol med åberopande av att skyddet för deras personuppgifter har åsidosatts förefaller tydligt ange att de är de enda som omfattas av detta skydd. Det vore nämligen inkonsekvent att göra dataskyddsförordningen till ett instrument också för skydd av konkurrenters rättigheter, trots att det i den inte föreskrivs något rättsmedel som ger konkurrenter möjlighet att väcka talan mot ett åsidosättande av dessa rättigheter, medan ett sådant rättsmedel uttryckligen föreskrivs när det gäller skyddet av registrerade personers rättigheter.

81.

Jag anser följaktligen att det skydd som föreskrivs i dataskyddsförordningen inte omfattar företag, eftersom det i den endast föreskrivs rättigheter för registrerade personer.

82.

Min tolkning av dataskyddsförordningen, enligt vilken de rättigheter som föreskrivs i dess bestämmelser inte omfattar företag, utan endast registrerade personer, föranleder flera slutsatser.

83.

För det första utesluter denna tolkning, som jag har angett ovan, att det kan anses att iakttagandet av bestämmelserna i dataskyddsförordningen måste kunna säkerställas inom ramen för en talan som ett företag har väckt mot en konkurrent med åberopande av att denna har åsidosatt nämnda bestämmelser.

84.

För det andra anser jag, i den mån den personkrets som omfattas av de rättigheter som föreskrivs i dataskyddsförordningen är begränsad till endast registrerade personer, att domstolens praxis avseende medlemsstaternas möjlighet att i nationell rätt föreskriva ytterligare rättsmedel för de som omfattas av dessa rättigheter, på villkor att dessa rättsmedel inte skadar det harmoniserade systemet med rättsmedel eller undergräver dess syften, ( 24 ) inte direkt kan överföras på förevarande situation. Som jag kommer att visa nedan kan rättspraxisen i fråga emellertid tjäna som bas för bedömningen av denna situation.

85.

Mot bakgrund av denna syn på begreppet ett uttömmande system med rättsmedel ska det nämligen avgöras om det system med rättsmedel som inrättats genom dataskyddsförordningen ska förstås som ett uttömmande system i den meningen att det utgör hinder för att andra rättsmedel för registrerade personer än de som föreskrivs i förordningen kan inrättats i nationell rätt.

86.

I det nationella målet avses emellertid en talan som väckts av ett företag, som inte ingår bland de personer som omfattas av de rättigheter som föreskrivs i dataskyddsförordningen.

87.

Under dessa omständigheter och med beaktande av att det i dataskyddsförordningen inte föreskrivs några rättigheter för företag och deras konkurrenter, är den enda relevanta frågan huruvida det system med rättsmedel som har inrättats genom dataskyddsförordningen ska ses som ett uttömmande system i den meningen att förordningen också utesluter att företag åberopar ett åsidosättande av dess bestämmelser inom ramen för en talan som föreskrivs i nationell rätt, vilket jag kommer att försöka avgöra nedan.

88.

Frågan om huruvida bestämmelserna om det system med rättsmedel som föreskrivs i dataskyddsförordningen utgör hinder för att ett företag inom ramen för en talan som föreskrivs i nationell rätt åberopar ett åsidosättande av bestämmelserna i dataskyddsförordningen förefaller behöva besvaras i två steg.

89.

Svaret på denna fråga förutsätter nämligen dels en prövning av huruvida det är möjligt för ett företag att åberopa bestämmelserna i dataskyddsförordningen trots att det inte omfattas av de rättigheter som föreskrivs i den, dels en prövning av villkoren för samspelet mellan en sådan talan och det system med rättsmedel som föreskrivs i dataskyddsförordningen.

90.

Vad för det första gäller huruvida ett företag kan åberopa bestämmelserna i dataskyddsförordningen ska det påpekas att inom ramen för en talan som grundas på nationell rätt av det slag som avses i det nationella målet är denna fråga endast av accessorisk betydelse. Företaget har närmare bestämt väckt talan på grundval av nationell rätt, det vill säga förbudet mot illojal konkurrens. Konkurrensen påstås vara illojal till följd av ett åsidosättande av dataskyddsförordningen. Talan grundas med andra ord inte på ett åsidosättande av bestämmelserna i dataskyddsförordningen, utan detta åsidosättande beaktas accessoriskt. ( 25 )

91.

Ett sådant accessoriskt beaktande har redan tillåtits av domstolen, om än i ett annat sammanhang. I domen Meta Platforms m.fl. (Ett socialt nätverks användarvillkor) slog domstolen nämligen fast att ”en behandling av personuppgifter som utförs av ett företag i dominerande ställning och som kan utgöra missbruk av denna ställning inte är förenlig med [dataskyddsförordningen]” ( 26 ) och att det är nödvändigt att låta ”reglerna om skydd för personuppgifter ingå bland de bestämmelser som konkurrensmyndigheterna ska beakta i samband med utredningen av missbruk av dominerande ställning”. ( 27 ) Domstolen har med andra ord medgett att konkurrensrätten åsidosatts på grund av ett åsidosättande av bestämmelserna i dataskyddsförordningen.

92.

Även om detta konstaterande inte gjordes inom ramen för en tvist mellan enskilda, utan inom ramen för en nationell konkurrensmyndighets prövning av ett konkurrensbegränsande beteende ser jag inget skäl till att begränsa möjligheten att accessoriskt beakta ett åsidosättande av bestämmelserna i dataskyddsförordningen till endast den situationen.

93.

Eftersom ett sådant beaktande såvitt avser konkurrensrätten tillåts när det gäller public enforcement, förefaller det nämligen nödvändigt att även möjliggöra det när det gäller private enforcement och således när det rör sig om tvister mellan enskilda som inte huvudsakligen grundar sig på ett åsidosättande av en rättighet som föreskrivs i dataskyddsförordningen, eftersom det i annat fall skulle medges att enskilda inte kan få ersättning för en skada som orsakats av en överträdelse av konkurrensrätten som dock har konstaterats av en konkurrensmyndighet.

94.

Som generaladvokaten Richard de la Tour har påpekat kan skyddet av personuppgifter vidare ha ”förgreningar … på andra områden, exempelvis i fråga om arbetsrätt, konkurrensrätt eller konsumenträtt”. ( 28 ) Denna inverkan som dataskyddsförordningen har på andra områden föranleder enligt min mening att det måste tillåtas att dataskyddsförordningens bestämmelser beaktas inom ramen för en talan som huvudsakligen grundar sig på andra bestämmelser än de som föreskrivs i dataskyddsförordningen.

95.

Vad för det andra gäller frågan om samspelet mellan ett nationellt rättsmedel som innebär att dataskyddsförordningens bestämmelser beaktas accessoriskt och det system med rättsmedel som inrättats genom dataskyddsförordningen, anser jag att ett sådant rättsmedel ska tillåta endast på villkor att det inte skadar dataskyddsförordningens system med rättsmedel eller undergräver uppnåendet av förordningens syften.

96.

Dessa villkor har utvecklats i rättspraxis avseende huruvida ett harmoniserat system med rättsmedel är uttömmande i förhållande till ett nationellt rättsmedel som grundas på samma rättighet. ( 29 ) Jag anser att dessa villkor med desto större skäl måste uppfyllas när det rör sig om nationella bestämmelser som ger företag rätt att väcka talan, inte på grundval av samma rättighet utan på grundval av nationell rätt med åberopande av att ett annat företag har åsidosatt de materiella bestämmelserna i dataskyddsförordningen.

97.

Det ska följaktligen kontrolleras om dessa villkor är uppfyllda i förevarande fall.

98.

Vad till att börja med gäller huruvida en talan om förbudsföreläggande som ett företag har väckt mot en konkurrent med åberopande av att denna har åsidosatt bestämmelserna i dataskyddsförordningen skadar det system med rättsmedel som föreskrivs i kapitel VIII i denna förordning anser jag att så inte är fallet. Dessa rättsmedel ger nämligen registrerade personer eller ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte, som har getts mandat av den registrerade personen, möjlighet att inge klagomål till en tillsynsmyndighet (artikel 77), inge ett överklagande mot ett beslut som meddelats av en tillsynsmyndighet (artikel 78), väcka talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde (artikel 79) eller erhålla ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den skada som uppkommit på grund av att förordningen åsidosatts (artikel 82).

99.

Som det har betonats i domstolens praxis reglerar kapitel VIII i dataskyddsförordningen med andra ord ”de rättsmedel som gör det möjligt att skydda den registrerades rättigheter när personuppgifter som rör honom eller henne har behandlats i strid med bestämmelserna i förordningen”. Skyddet av dessa rättigheter kan ”göras gällande antingen direkt av den registrerade eller av en bemyndigad enhet, med eller utan något uppdrag i detta avseende”. ( 30 )

100.

Den talan som ett företag kan väcka mot en konkurrent med åberopande av att denna har åsidosatt dataskyddsförordningen grundar sig under dessa omständigheter visserligen in fine på ett åsidosättande av samma bestämmelse, men har inte samma syfte och rör inte samma parter. En sådan talan, som föreskrivs i nationell rätt, är med andra ord inte avsedd att säkerställa att registrerade personers rättigheter iakttas.

101.

Av detta följer enligt min mening att de rättsmedel som är tillgängliga för registrerade personer genom det system med rättsmedel som har inrättats genom dataskyddsförordningen upprätthålls och fortfarande kan utövas även i den situationen att ett företag väcker talan mot en konkurrent.

102.

Det ska i detta sammanhang även preciseras att jag inte kan se på vilket sätt en sådan talan skulle kunna skada det offentliga system för kontroll av efterlevnaden som fastställs i dataskyddsförordningen, såsom kommissionen har hävdat, i den mån som det i denna förordning vid sidan av ett sådant offentligt system redan uttryckligen föreskrivs att registrerade personer har möjlighet att inom ramen för rättsliga förfaranden göra gällande sina rättigheter enligt dataskyddsförordningen.

103.

Vad vidare gäller de syften som eftersträvas med dataskyddsförordningen framgår det av skäl 10 att den framför allt syftar till att säkerställa både en hög skyddsnivå för fysiska personer och en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter.

104.

Uppnåendet av dessa syften förefaller inte hotas av möjligheten för ett företag att väcka talan om förbudsföreläggande mot en konkurrent på grundval av förbudet mot illojal konkurrens med åberopande av att konkurrenten har åsidosatt bestämmelserna i dataskyddsförordningen. Den höga skyddsnivån för fysiska personer vid behandling av personuppgifter förefaller att uppnås och till och med förstärkas genom att möjligheten att åberopa att ett företag har åsidosatt de materiella bestämmelserna i dataskyddsförordningen även utsträcks till att gälla ett företags konkurrenter. Att dessa bestämmelser kan åberopas även av andra personer än enbart registrerade personer undergräver inte heller uppnåendet av syftet att säkerställa ett konsekvent och enhetligt skydd inom unionen. Även om vissa medlemsstater inte föreskriver en sådan möjlighet leder detta dock inte till att genomförandet av skyddet av uppgifter i unionen blir fragmenterat, eftersom de materiella bestämmelserna i dataskyddsförordningen gäller på samma sätt för alla företag och eftersom iakttagandet av dem säkerställs genom de rättsmedel som föreskrivs i den.

105.

Vad slutligen gäller dataskyddsförordningens ändamålsenliga verkan skadas denna inte alls av att ett företag ges möjlighet att väcka talan om förbudsföreläggande mot en konkurrent med åberopande av att dataskyddsförordningen har åsidosatts, utan verkar, som jag har angett ovan, stärkas av den omständigheten att iakttagandet av bestämmelserna i dataskyddsförordningen även kan säkerställas inom ramen för andra rättsliga förfaranden än de som föreskrivs inom ramen för det system med rättsmedel som inrättats genom förordningen.

106.

Under dessa omständigheter anser jag att en talan om förbudsföreläggande som ett företag har väckt mot en konkurrent med åberopande av att konkurrenten har åsidosatt bestämmelserna i dataskyddsförordningen kan samexistera med de rättsmedel som har inrättats genom kapitel VIII i dataskyddsförordningen i den mån som den inte skadar förordningens syften eller undergräver dess ändamålsenliga verkan.

107.

Jag föreslår följaktligen att domstolen ska slå fast att bestämmelserna i kapitel VIII i dataskyddsförordningen inte utgör hinder för nationella bestämmelser som ger ett företag rätt att på grundval av förbudet mot illojal konkurrens åberopa att deras konkurrenter har åsidosatt de materiella bestämmelserna i dataskyddsförordningen.

108.

Mot bakgrund av det ovan anförda föreslår jag att domstolen besvarar de frågor som ställts av Bundesgerichtshof (Federala högsta domstolen, Tyskland) på följande sätt:

Artiklarna 4 led 15 och 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så,

att uppgifter som en apotekares kunder anger när de på en e‑handelsplattform beställer läkemedel som endast får säljas på apotek men som inte är receptbelagda inte utgör uppgifter om hälsa.