Was sich tatsächlich geändert hat

Jahrelang galt in vielen deutschen Unternehmen eine einfache Grundannahme. Die Durchsetzung des Datenschutzes kam aus zwei Richtungen: von den Aufsichtsbehörden, die ermitteln und Bußgelder verhängen konnten, und von den betroffenen Personen, die sich beschweren oder Schadensersatz fordern konnten. Wettbewerber standen außerhalb dieses Kreises. Diese Grenze hat sich nun verschoben. Die maßgebliche Entscheidung ist das EuGH-Urteil Lindenapotheke (C-21/23) vom 4. Oktober 2024, das feststellte, dass ein Verstoß gegen DSGVO-Vorschriften auch als wettbewerbsrechtlicher Verstoß nach dem deutschen UWG verfolgt werden kann. In die deutsche Praxis wurde es durch die BGH-Umsetzung vom 23. Januar 2025 (I ZR 222/19) übertragen, und es ist die aktuelle Berichterstattung im Juni 2026, die das Thema dem breiteren Mittelstand vor Augen geführt hat.

Die praktische Verschiebung besteht darin, dass ein Wettbewerber Ihren Umgang mit Daten nun als eine Frage des Marktverhaltens behandeln und eine Abmahnung aussprechen kann, eine formelle Unterlassungsaufforderung, die durch die Androhung einer einstweiligen Verfügung gestützt wird. Der ursprüngliche Fall betraf eine Apotheke, die nicht verschreibungspflichtige, aber apothekenpflichtige Medikamente über einen Marktplatz verkaufte, doch die Begründung ist nicht auf Apotheken beschränkt. Jeder Betreiber, dessen Datenpraktiken angreifbar sind, sieht sich nun einer Partei gegenüber, die aufmerksam ist, motiviert ist und über Klagebefugnis verfügt. Wir weisen darauf hin, dass das maßgebliche Urteil aus Oktober 2024 stammt und dass sich die Regeln zur Kostenerstattung sowie die Besonderheiten des Falls noch ändern können, sodass die nachfolgende Darstellung als Überlegung zu verstehen ist und keine Rechtsberatung darstellt.

Warum gewöhnliche Bestelldaten der wunde Punkt sind

Der Teil, der Unternehmern zu denken geben sollte, ist nicht allein der Durchsetzungsweg. Es ist, was die Gerichte als sensible Daten eingestuft haben. Im Fall der Apotheke wurde die Kombination aus Kundenname, Lieferadresse und dem konkret bestellten Produkt als geeignet befunden, um als Gesundheitsdaten zu gelten, obwohl die Artikel nicht verschreibungspflichtig waren. Gesundheitsdaten fallen unter der DSGVO in eine strengere Kategorie, in der die Anforderungen an eine rechtmäßige Verarbeitung steigen und in vielen Fällen eine ausdrückliche Einwilligung erwartet wird. Mit anderen Worten: Informationen, die ein Unternehmen als routinemäßigen Bestelldatensatz ansehen würde, wurden der am stärksten geschützten Klasse personenbezogener Daten zugeordnet.

Die Tragweite reicht weit über Apotheken hinaus. Ein Händler von Nahrungsergänzungsmitteln, ein Sanitätshaus, ein Optiker, ein Fitness- oder Wellness-Anbieter oder jeder E-Commerce-Verkäufer, dessen Produkte auf eine gesundheitliche Verfassung hindeuten können, verarbeitet möglicherweise Daten, die Gerichte auf dieselbe Weise bewerten könnten. Das bedeutet nicht, dass jede Online-Bestellung ein Gesundheitsdatum ist, und die genaue Grenze wird von Fall zu Fall zu klären sein. Es bedeutet aber, dass die Annahme routinemäßiger Daten nicht mehr automatisch gilt und ein Wettbewerber nun sowohl die Klagebefugnis als auch den Anreiz hat, diesen Punkt geltend zu machen.

Was ein umsichtiger Unternehmer jetzt prüft

Die besonnene Reaktion ist keine Panik, sondern eine kurze, ehrliche Bestandsaufnahme, bevor jemand anderes sie für Sie durchführt. Sinnvolle Fragen an Ihr Team: Welche Daten erheben wir an der Kasse und in unseren Formularen, auf welcher Rechtsgrundlage, und würde diese Grundlage einer Prüfung standhalten. Wo die Einwilligung die Grundlage ist, ist sie echt, spezifisch und dokumentiert, oder ist sie in vorangekreuzten Kästchen und vagen Bedingungen verborgen. Stimmen unsere Marktplatz-Angebote, der Umgang mit Cookies, Tracking-Pixel und Newsletter-Anmeldungen mit dem überein, was unsere Datenschutzerklärung tatsächlich verspricht. Das sind die Nahtstellen, die ein motivierter Wettbewerber oder dessen Anwalt zuerst untersuchen würde.

Es lohnt sich, das Kostenbild im richtigen Verhältnis zu betrachten. Nach dem UWG ist die Erstattung der Abmahnkosten eines Wettbewerbers eingeschränkt, wenn die Forderung auf einem DSGVO-Verstoß beruht, was einen finanziellen Hebel abmildert. Doch die Unterlassungsaufforderung selbst, das Risiko einer einstweiligen Verfügung, die Anwaltskosten auf Ihrer Seite und die Störungen bleiben sehr real, und eine Berufung oder Klärung in den feineren Punkten kann noch folgen. Der kluge Schritt ist, Ihre Datenschutz-Aufstellung als wettbewerbliche Gefährdung zu behandeln, nicht nur als regulatorisches Häkchen, und die offensichtlichen Lücken zu schließen, bevor ein Rivale sie zu Ihrem Problem macht.