Vad som faktiskt forandrats

I aratal var det underforstadda antagandet i manga tyska foretag enkelt. Efterlevnaden av dataskydd kom fran tva hall: tillsynsmyndigheterna, som kunde utreda och botfalla, och de berorda individerna, som kunde klaga eller krava skadestand. Konkurrenter stod utanfor den kretsen. Den gransen har nu flottats. Det avgorande beslutet ar EU-domstolens Lindenapotheke-dom (C-21/23) av den 4 oktober 2024, som slog fast att ett brott mot GDPR-reglerna ocksa kan drivas som en overtradelse av illojal konkurrens enligt den tyska UWG. Den fordes in i tysk praxis genom Bundesgerichtshofs uppfoljning av den 23 januari 2025 (I ZR 222/19), och det ar den aktuella affarsbevakningen i juni 2026 som har stallt den infor den bredare Mittelstand.

Den praktiska forandringen ar att en konkurrent nu kan behandla din datahantering som en fraga om marknadsbeteende och utfarda en Abmahnung, ett formellt krav pa att upphora och avsta som stods av hotet om ett forbud. Det ursprungliga fallet gallde ett apotek som salde receptfria men apoteksbundna lakemedel via en marknadsplats, men resonemanget ar inte begransat till apotek. Varje aktor vars datapraxis kan ifragasattas star nu infor en part som iakttar, ar motiverad och har rattslig taleratt. Vi noterar att ankardomen ar fran oktober 2024 och att regler om kostnadsersattning och fallspecifika detaljer fortfarande kan andras, sa bilden nedan ar vad som bor overvagas, inte juridisk radgivning.

Varfor vanliga orderuppgifter ar den vassa kanten

Det som bor fa agare att tveka ar inte efterlevnadskanalen ensam. Det ar vad domstolarna behandlade som kansliga uppgifter. I apoteksfallet befanns kombinationen av ett kundnamn, en leveransadress och den specifika bestallda produkten kunna kvalificera sig som halsouppgifter, aven om varorna inte var receptbelagda. Halsouppgifter tillhor en strangare kategori enligt GDPR, dar kraven pa laglig behandling stiger och, i manga situationer, uttryckligt samtycke forvantas. Med andra ord behandlades information som ett foretag skulle se som en rutinmassig orderpost som tillhorande den mest skyddade klassen av personuppgifter.

Konsekvensen stracker sig langt bortom apotek. En kosttillskottsaterforsaljare, en butik for medicinska hjalpmedel, en optiker, en tranings- eller wellnessaktor, eller varje e-handlare vars produkter kan antyda ett halsotillstand kan hantera uppgifter som domstolar skulle kunna se pa samma satt. Det betyder inte att varje onlineorder ar halsouppgifter, och den exakta gransen kommer att provas fran fall till fall. Vad det innebar ar att antagandet om rutinuppgifter inte langre haller automatiskt, och en konkurrent har nu bade taleratten och incitamentet att driva fragan.

Vad en eftertanksam agare granskar nu

Det avvagda svaret ar inte oro, det ar en kort och arlig revision innan nagon annan gor den at dig. Rimliga fragor att stalla till ditt team: vilka uppgifter samlar vi in i kassan och i vara formular, pa vilken rattslig grund, och skulle den grunden klara en provning. Dar samtycke ar grunden, ar det akta, specifikt och dokumenterat, eller ar det begravt i forkryssade rutor och vaga villkor. Matchar vara marknadsplatsannonser, cookiehantering, sparningspixlar och nyhetsbrevsregistreringar det som var integritetspolicy faktiskt lovar. Det ar dessa sommar en motiverad konkurrent, eller deras advokat, skulle undersoka forst.

Det ar vart att halla kostnadsbilden i proportion. Enligt UWG ar ersattning av en konkurrents varningskostnader begransad nar kravet vilar pa ett GDPR-brott, vilket mildrar en finansiell havstang. Men sjalva foreläggandet, risken for forbud, advokatkostnaderna pa din sida och storningen forblir hogst verkliga, och overklagande eller klargorande pa de finare punkterna kan fortfarande komma. Det kloka draget ar att behandla din dataskyddshallning som en konkurrensmassig exponering, inte bara en regulatorisk ruta, och att tappa till de uppenbara luckorna innan en rival gor dem till ditt problem.