Hvad der faktisk ændrede sig

I årevis var den gængse antagelse i mange tyske virksomheder enkel. Håndhævelse af databeskyttelse kom fra to retninger: tilsynsmyndighederne, der kunne undersøge og udstede bøder, og de berørte enkeltpersoner, der kunne klage eller kræve erstatning. Konkurrenter stod uden for den kreds. Den grænse er nu flyttet. Den forankrende afgørelse er EuGH Lindenapotheke-dommen (C-21/23) af 4. oktober 2024, som fastslog, at et brud på GDPR-reglerne også kan forfølges som en overtrædelse af reglerne om illoyal konkurrence under den tyske UWG. Den blev ført ind i tysk praksis ved Bundesgerichtshof-opfølgningen af 23. januar 2025 (I ZR 222/19), og det er den aktuelle erhvervsdækning fra juni 2026, der har bragt den frem for den bredere Mittelstand.

Det praktiske skift er, at en konkurrent nu kan behandle din databehandling som et spørgsmål om markedsadfærd og udstede en Abmahnung, et formelt påkrav om ophør bakket op af truslen om et forbud. Den oprindelige sag drejede sig om et apotek, der solgte ikke-receptpligtige, men apoteksforbeholdte lægemidler gennem en markedsplads, men ræsonnementet er ikke begrænset til apoteker. Enhver aktør, hvis datapraksis kan anfægtes, står nu over for en part, der holder øje, er motiveret og har retlig søgsmålskompetence. Vi bemærker, at forankringsdommen er fra oktober 2024, og at regler om omkostningsgodtgørelse og sagens særlige forhold stadig kan skifte, så billedet nedenfor er, hvad man bør overveje, ikke juridisk rådgivning.

Hvorfor almindelige ordredata er den skarpe kant

Den del, der bør give ejere anledning til eftertanke, er ikke håndhævelseskanalen alene. Det er, hvad domstolene behandlede som følsomme data. I apotekssagen blev kombinationen af et kundenavn, en leveringsadresse og det specifikke bestilte produkt fundet i stand til at kvalificere sig som helbredsdata, selv om varerne ikke var receptpligtige. Helbredsdata ligger i en strengere kategori under GDPR, hvor barren for lovlig behandling stiger, og hvor der i mange situationer forventes udtrykkeligt samtykke. Med andre ord blev information, som en virksomhed ville se som en rutinemæssig ordrepost, behandlet som tilhørende den mest beskyttede klasse af personoplysninger.

Konsekvensen rækker langt ud over apoteker. En kosttilskudsforhandler, en butik med medicinsk udstyr, en optiker, en fitness- eller wellness-aktør eller enhver e-handelssælger, hvis produkter kan antyde en helbredstilstand, kan behandle data, som domstolene kunne se på samme måde. Det betyder ikke, at enhver onlineordre er helbredsdata, og den præcise grænse vil blive prøvet fra sag til sag. Hvad det betyder, er, at antagelsen om rutinedata ikke længere holder automatisk, og at en konkurrent nu har både søgsmålskompetencen og incitamentet til at argumentere for pointen.

Hvad en velovervejet ejer gennemgår nu

Den afmålte reaktion er ikke panik, det er en kort, ærlig revision, før en anden kører den for dig. Fornuftige spørgsmål at stille dit team: hvilke data indsamler vi ved kassen og i vores formularer, på hvilket retsgrundlag, og ville det grundlag holde til granskning. Hvor samtykke er grundlaget, er det så ægte, specifikt og dokumenteret, eller er det begravet i forudafkrydsede felter og vage vilkår. Stemmer vores markedspladslistninger, cookiehåndtering, tracking-pixels og nyhedsbrevstilmeldinger overens med, hvad vores privatlivspolitik faktisk lover. Det er de sømme, som en motiveret konkurrent, eller deres advokat, først ville undersøge.

Det er værd at holde omkostningsbilledet i proportion. Under UWG er godtgørelse af en konkurrents advarselsomkostninger begrænset, når kravet hviler på et GDPR-brud, hvilket blødgør en økonomisk løftestang. Men selve påkravet om ophør, risikoen for et forbud, advokatomkostningerne på din side og forstyrrelsen forbliver meget reelle, og appel eller præcisering af de finere punkter kan stadig komme. Det kloge træk er at behandle din databeskyttelsesposition som en konkurrencemæssig eksponering, ikke kun et myndighedskrav, og at lukke de åbenlyse huller, før en rival gør dem til dit problem.