Wat er werkelijk is veranderd

Jarenlang was de gangbare aanname in veel Duitse bedrijven eenvoudig. Handhaving van gegevensbescherming kwam uit twee richtingen: de toezichthoudende autoriteiten, die konden onderzoeken en beboeten, en de betrokken personen, die konden klagen of schadevergoeding konden eisen. Concurrenten stonden buiten die kring. Die grens is nu verschoven. De verankerende beslissing is het EuGH-arrest Lindenapotheke (C-21/23) van 4 oktober 2024, dat oordeelde dat een schending van AVG-regels ook kan worden vervolgd als een schending van het oneerlijkeconcurrentierecht onder het Duitse UWG. Het werd in de Duitse praktijk gebracht door het vervolgarrest van het Bundesgerichtshof van 23 januari 2025 (I ZR 222/19), en het is de actuele zakelijke berichtgeving van juni 2026 die het onder de aandacht van het bredere mkb heeft gebracht.

De praktische verschuiving is dat een concurrent uw gegevensverwerking nu kan behandelen als een kwestie van marktgedrag en een Abmahnung kan uitvaardigen, een formele sommatie tot staking ondersteund door de dreiging van een verbod. De oorspronkelijke zaak betrof een apotheek die niet-receptplichtige maar apotheekgebonden geneesmiddelen via een marktplaats verkocht, maar de redenering is niet beperkt tot apotheken. Elke onderneming waarvan de gegevenspraktijken vatbaar zijn voor betwisting, wordt nu geconfronteerd met een partij die meekijkt, gemotiveerd is en juridisch belanghebbende is. Wij merken op dat het ankerarrest van oktober 2024 dateert en dat regels voor kostenvergoeding en zaakspecifieke details nog kunnen verschuiven, dus het onderstaande beeld is wat u moet overwegen, geen juridisch advies.

Waarom gewone bestelgegevens de scherpe rand vormen

Het deel dat eigenaren zou moeten doen nadenken is niet alleen het handhavingskanaal. Het is wat de rechters als gevoelige gegevens behandelden. In de apotheekzaak werd de combinatie van een klantnaam, een bezorgadres en het specifiek bestelde product geacht in staat te zijn te kwalificeren als gezondheidsgegevens, ook al waren de artikelen niet receptplichtig. Gezondheidsgegevens vallen onder de AVG in een strengere categorie, waar de drempel voor rechtmatige verwerking stijgt en, in veel situaties, expliciete toestemming wordt verwacht. Met andere woorden, informatie die een bedrijf als een routinematige bestelregistratie zou zien, werd behandeld als behorend tot de meest beschermde klasse van persoonsgegevens.

De implicatie reikt veel verder dan apotheken. Een verkoper van supplementen, een winkel voor medische hulpmiddelen, een opticien, een fitness- of wellnessonderneming, of elke e-commerceverkoper waarvan de producten kunnen wijzen op een gezondheidsaandoening, kan gegevens verwerken die rechters op dezelfde manier zouden kunnen bekijken. Dat betekent niet dat elke onlinebestelling gezondheidsgegevens is, en de exacte grens zal per geval worden getoetst. Wat het wel betekent is dat de aanname van routinegegevens niet langer automatisch standhoudt, en een concurrent heeft nu zowel het belang als de prikkel om het punt te bepleiten.

Wat een bedachtzame eigenaar nu beoordeelt

De afgewogen reactie is geen paniek, het is een korte, eerlijke audit voordat iemand anders die voor u uitvoert. Zinnige vragen om aan uw team te stellen: welke gegevens verzamelen wij bij de checkout en in onze formulieren, op welke rechtsgrond, en zou die grond standhouden onder toetsing. Waar toestemming de grond is, is die dan echt, specifiek en gedocumenteerd, of ligt die verstopt in voorvinkte vakjes en vage voorwaarden. Komen onze marktplaatsvermeldingen, cookieverwerking, trackingpixels en nieuwsbriefaanmeldingen overeen met wat onze privacyverklaring daadwerkelijk belooft. Dit zijn de naden die een gemotiveerde concurrent, of diens advocaat, als eerste zou onderzoeken.

Het is de moeite waard om het kostenplaatje in verhouding te houden. Onder het UWG is vergoeding van de waarschuwingskosten van een concurrent beperkt wanneer de eis berust op een AVG-overtreding, wat een financiele hefboom verzacht. Maar de sommatie tot staking zelf, het risico op een verbod, de juridische kosten aan uw kant en de verstoring blijven zeer reeel, en beroep of verduidelijking op de fijnere punten kan nog komen. De verstandige zet is om uw gegevensbeschermingshouding te behandelen als een concurrentiele blootstelling, niet alleen als een regelgevingsvakje, en om de voor de hand liggende hiaten te sluiten voordat een rivaal ze tot uw probleem maakt.