Der Europäische Gerichtshof (EuGH) hat in einer kürzlich ergangenen Entscheidung (Urteil vom 4. Oktober 2024) festgestellt, dass die Datenschutz-Grundverordnung (DSGVO) nicht abschließend regelt, wer Verstöße gegen den Datenschutz verfolgen darf. Diese Entscheidung hat weitreichende Konsequenzen für Mitbewerber, die gegen DSGVO-Verstöße vorgehen möchten.
Hintergrund des Verfahrens
Das Verfahren betraf den Verkauf von apothekenpflichtigen Arzneimitteln durch eine Apotheke auf einer Onlineplattform, wobei Kundendaten verarbeitet wurden. Ein Mitbewerber klagte auf Unterlassung, da die Apotheke keine ausdrückliche Einwilligung zur Verarbeitung der Gesundheitsdaten der Kunden eingeholt hatte. Der Mitbewerber sah darin einen Verstoß gegen die DSGVO und zugleich eine unlautere geschäftliche Handlung nach dem Gesetz gegen den unlauteren Wettbewerb (UWG). In Deutschland ist es nach § 3a UWG unlauter, wenn eine gesetzliche Vorschrift verletzt wird, die das Marktverhalten regelt.
Die Entscheidung des EuGH
Der EuGH bestätigte, dass Kapitel VIII der DSGVO keine abschließenden Regelungen enthält, die andere Rechtsbehelfe ausschließen würden. Dies bedeutet, dass nationale Regelungen, wie das deutsche UWG, ergänzend wirken können. Im konkreten Fall bedeutet dies, dass auch Mitbewerber, die keine „betroffenen Personen“ im Sinne der DSGVO sind, befugt sind, Verstöße gegen die DSGVO im Wege einer wettbewerbsrechtlichen Klage zu verfolgen. Dies gilt auch dann, wenn die DSGVO selbst hierfür keine expliziten Vorschriften enthält.
Wettbewerbsrechtliche Klagen und Abmahnungen
Der EuGH stellte klar, dass Mitbewerber wettbewerbsrechtliche Unterlassungsklagen erheben können, wenn Datenschutzverstöße gleichzeitig unlautere geschäftliche Handlungen darstellen. Dies eröffnet Mitbewerbern die Möglichkeit, Abmahnungen gegen Konkurrenten auszusprechen, die sich nicht an die Datenschutzvorschriften halten.
Das Gericht argumentierte, dass Verstöße gegen den Datenschutz sich auch auf den Wettbewerb auswirken können, insbesondere in Bereichen, in denen der Zugang zu personenbezogenen Daten einen Wettbewerbsvorteil verschafft. Ein lauterer Wettbewerb erfordert daher auch die Einhaltung der Datenschutzbestimmungen.
Auswirkungen auf Deutschland
In Deutschland wird diese Entscheidung erhebliche Auswirkungen haben, da sie Mitbewerbern ausdrücklich das Recht einräumt, Datenschutzverstöße über das Wettbewerbsrecht zu verfolgen. Allerdings setzt § 13 Abs. 4 UWG hohe Hürden für die Erstattung von Abmahnkosten in solchen Fällen. Der deutsche Gesetzgeber hat diese Regelung eingeführt, um eine Abmahnindustrie zu verhindern. Das bedeutet, dass Mitbewerber zwar Verstöße abmahnen können, aber in der Regel keine Erstattung der Kosten für diese Abmahnungen erwarten dürfen, es sei denn, der Verstoß war besonders schwerwiegend und offensichtlich.
Gesundheitsdaten und deren Schutz
Ein weiterer zentraler Punkt der Entscheidung war die Frage, ob Daten, die im Zusammenhang mit dem Kauf apothekenpflichtiger Arzneimittel erhoben werden, als „Gesundheitsdaten“ im Sinne der DSGVO gelten. Der EuGH entschied, dass die Eingabe von Informationen wie Name, Lieferadresse und Arzneimitteltyp als Gesundheitsdaten eingestuft werden muss, da aus diesen Informationen Rückschlüsse auf den Gesundheitszustand der betroffenen Person gezogen werden können.
Dies gilt auch dann, wenn das Arzneimittel nicht verschreibungspflichtig ist oder für eine andere Person gekauft wurde. Die Sensibilität der erhobenen Daten erfordert in jedem Fall den besonderen Schutz durch die DSGVO.
Fazit
Die Entscheidung des EuGH verdeutlicht, dass Datenschutzverstöße nicht nur von betroffenen Personen oder Aufsichtsbehörden verfolgt werden können, sondern auch von Mitbewerbern, wenn diese Verstöße zugleich unlautere geschäftliche Handlungen darstellen. In Deutschland wird dies dazu führen, dass Mitbewerber in wettbewerbsrechtlichen Auseinandersetzungen verstärkt auf Datenschutzverstöße abstellen werden. Dennoch bleiben die Hürden für eine Kostenerstattung hoch, was eine Ausweitung der Abmahnpraxis in diesem Bereich zumindest begrenzt.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden - 14. März 2026
- Retrograde Telegram-Überwachung als Quellen-TKÜ - 13. März 2026
- Cyber Resilience Act als Ende der analogen Fabrik - 11. März 2026
