Worum es in diesem Beitrag geht
Die Frage, ob Mitbewerber Datenschutzverstöße wettbewerbsrechtlich verfolgen können, ist für Unternehmen mehr als ein Randthema. Sie betrifft Bestellstrecken, Einwilligungen, Datenschutzhinweise und andere marktnahe Prozesse, die im Datenschutzrecht nicht nur aufsichtsbehördlich, sondern unter Umständen auch lauterkeitsrechtlich relevant werden können.
Der Beitrag ordnet ein EuGH-Urteil zu einer konkreten Apotheken- und Plattformkonstellation ein. Im Kern geht es um zwei Punkte: um die wettbewerbsrechtliche Verfolgbarkeit von DSGVO-Verstößen und um die Einordnung der bei der Online-Bestellung apothekenpflichtiger Arzneimittel erhobenen Angaben als Gesundheitsdaten.
Für wen das relevant ist
Relevant ist der Beitrag vor allem für Unternehmen, Betreiber digitaler Vertriebsstrecken, Online-Shops, Plattformnutzer und Verantwortliche, die Einwilligungs- und Bestellprozesse rechtssicher aufsetzen müssen.
Was Sie mitnehmen
Der Beitrag zeigt, warum das Urteil keine bloße Datenschutznachricht bleibt, sondern praktische Folgen für Wettbewerbsverhältnisse haben kann. Zugleich macht er deutlich, dass nicht jeder DSGVO-Verstoß automatisch zu einer berechtigten Abmahnung führt.
Das Wichtigste in Kürze
Der EuGH hat entschieden, dass die DSGVO nationalen Regelungen nicht entgegensteht, die Mitbewerbern eine zivilgerichtliche Verfolgung von DSGVO-Verstößen unter dem Gesichtspunkt unlauterer Geschäftspraktiken erlauben.
Die Entscheidung bedeutet keine pauschale Freigabe jeder Datenschutz-Abmahnung. Maßgeblich bleibt, ob der gerügte Verstoß im nationalen Lauterkeitsrecht im konkreten Einzelfall trägt.
Für den entschiedenen Fall war zusätzlich wichtig, dass die bei der Online-Bestellung apothekenpflichtiger Arzneimittel eingegebenen Angaben als Gesundheitsdaten eingeordnet wurden.
Unternehmen müssen marktnahe Datenschutzprozesse nicht nur aus Sicht von Aufsichtsbehörden und Betroffenen prüfen, sondern auch mit Blick auf wettbewerbsrechtliche Angriffe durch Mitbewerber.
Stand April 2026
Der Beitrag ist weiterhin relevant, weil der Bundesgerichtshof die EuGH-Linie inzwischen in den Parallelverfahren vom 27.03.2025 aufgenommen hat. Die Frage ist damit für die hier behandelte Konstellation nicht mehr nur theoretisch.
Für Unternehmen bedeutet das: Datenschutzverstöße können in Wettbewerbsverhältnissen zusätzlich lauterkeitsrechtlich angegriffen werden. Maßgeblich bleibt dennoch der Einzelfall, insbesondere ob die verletzte DSGVO-Norm im konkreten Zusammenhang zugleich wettbewerbsrechtlich durchgreift.
Datenschutz-Abmahnungen möglich!
Wettbewerbsrecht. Mitbewerber können – ohne im Sinne von Art. 4 Nr. 1 DSGVO eine betroffene Person zu sein – wettbewerbsrechtliche Beseitigungs- und Unterlassungsansprüche (§ 8 UWG) auf die Verletzung von materiellen Bestimmungen der DSGVO stützen und Klagen bei den nationalen Zivilgerichten erheben, wenn diese Verletzung nach den nationalen Bestimmungen zugleich auch einen Verstoß gegen das Verbot der Vornahme unlauterer Geschäftspraktiken darstellt.
Der Gerichtshof der Europäischen Union (EuGH) hat mit Urteil vom 04. Oktober 2024 (Az. C-21/23) auf ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesgerichtshof (BGH) mit Beschluss vom 12.01.2023, unter anderem entschieden, dass die Bestimmungen des Kapitels VIII der DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung nicht entgegenstehen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung dieser Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Person – Mitbewerbern des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Befugnis einräumt, wegen Verstößen gegen die DSGVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen.
Ausgangsverfahren
Das Urteil des EuGH ist im Rahmen eines Rechtsstreits zweier natürlicher Personen, die jeweils eine Apotheke betreiben, über den Vertrieb apothekenpflichtiger Arzneimittel mittels einer Onlineplattform ergangen.
Der in der ersten Instanz Beklagte Apotheker vertreibt apothekenpflichtige Arzneimittel über die Onlineplattform „Amazon-Marketplace“. Bei der Bestellung müssen Kunden unter anderem ihren Namen, ihre Lieferadresse und die für die Individualisierung der Arzneimittel notwendig gewordenen Informationen eingeben.
Der andere Apotheker erhob Klage und beantragte, es unter Androhung von Ordnungsmitteln zu verbieten, apothekenpflichtige Arzneimittel über Amazon zu vertreiben, solange nicht sichergestellt ist, dass Kunden vorab die Möglichkeit haben, in die Verarbeitung von Gesundheitsdaten einzuwilligen. Dies sei unlauter, weil gegen Rechtsvorschriften verstoßen würde, die dem Schutz personenbezogener Daten dienen und die Einholung einer Einwilligung des Kunden vorsähen.
Das Landgericht gab der Klage erstinstanzlich statt. Die Berufung des Beklagten und Berufungsklägers wurde zurückgewiesen. Das Berufungsgericht führte aus, dass der Vertrieb apothekenpflichtiger Arzneimittel eine unlautere Handlung darstelle und daher gemäß § 3 Abs. 1 UWG unzulässig sei. Bei dem Vertrieb komme es zu einer Verarbeitung von Gesundheitsdaten, die gemäß Art. 9 Abs. 1 DSGVO ohne ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO verboten sei. Dabei handele es sich auch um eine Marktverhaltensregelung im Sinne von § 3 a UWG und der Kläger sei als Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG aktivlegitimiert.
Der Beklagte hat dagegen Revision eingelegt. Der BGH war der Ansicht, dass der Ausgang des Rechtsstreits (neben der vom EuGH positiv beantworteten zweiten Vorlagefrage, ob es sich bei den auf Amazon bei der Abgabe von Bestellungen abzugebenden Daten überhaupt um Gesundheitsdaten im Sinne von Art. 8 Abs. 1 der Datenschutzrichtlinie bzw. Art. 9 Abs. 1 der DSGVO handelt) von der Auslegung der Bestimmungen des Kapitels VIII DSGVO abhängt. Er sah es als ungeklärt an, ob Mitbewerber auf Grundlage von Verstößen gegen materielle Bestimmungen der DSGVO im Wege des nationalen Lauterkeitsrechts gegeneinander vorgehen können, und legte dem EuGH die Fragen zur Entscheidung vor.
Nach Auffassung des BGH könne dies weder aus dem Wortlaut der Bestimmungen des 8. Kapitels der DSGVO noch aus deren systematischem Zusammenhang oder dem mit der DSGVO verfolgten Ziele eindeutig abgeleitet werden.
Dem Wortlaut nach würde Mitbewerbern zwar nirgends ausdrücklich die Möglichkeit eingeräumt, gegen solche Unternehmen vorzugehen, sie andererseits aber auch nicht ausdrücklich ausgeschlossen.
Für eine abschließende Anwendung der Bestimmungen der DSGVO des 8. Kapitels spreche das Ziel der Verordnung, eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherzustellen. Andererseits würden die Art. 77 Abs. 1, Art. 78 Abs. 1 und 2 und Art. 79 Abs. 1 die Wendung „unbeschadet eines anderweitigen Rechtsbehelfs“ enthalten, was wiederum gegen die abschließende Regelung der Rechtsdurchsetzung spräche.
Die Einräumung einer wettbewerbsrechtlichen Klagebefugnis für Mitbewerber könne auch aus dem Grund der Harmonisierung des Datenschutzrechts und dessen Durchsetzungsniveaus entgegenstehen, dass die Mitbewerber dadurch datenschutzrechtliche Bestimmungen in einer Weise durchsetzen könnten, die über die in der DSGVO vorgesehenen Instrumente hinausgehen. Allerdings könne die Einräumung wiederum nach dem Effektivitätsgrundsatz („effet utile“) förderlich sein, um ein möglichst hohes Datenschutzniveau zu erreichen.
Rechtliche Würdigung des EuGH
Der EuGH folgte zunächst der Argumentation, dass Art. 77 Abs. 1, Art. 78 Abs. 1 und Art. 79 Abs. 1 DSGVO Rechtsbehelfe „unbeschadet“ jeglichen anderen verwaltungsrechtlichen, gerichtlichen oder außergerichtlichen Rechtsbehelfs kodifizieren. Sie schlössen in ihrem Wortlaut also eine solche Klage bei den Zivilgerichten nicht aus.
Auch wenn Adressaten des von der DSGVO gewährten Schutzes personenbezogener Daten betroffene Personen, nicht aber etwaige Mitbewerber seien, könne ein Verstoß gegen materielle Bestimmungen dennoch auch Dritte beeinträchtigen. Art. 82 Abs. 1 DSGVO sehe daneben für „jede Person“, der wegen des Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden sei, ein Recht auf Schadensersatz vor. Es sei bereits festgestellt worden, dass der Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig den Verstoß gegen verbraucherschützende oder lauterkeitsrechtliche Vorschriften darstellen könne.
Wegen der erheblichen Bedeutung des Zugangs zu personenbezogenen Daten sowie deren Verwertung im Rahmen der digitalen Wirtschaft könne es darüber hinaus erforderlich sein, bei der Durchsetzung des Wettbewerbsrechts und der Regeln über unlautere Geschäftspraktiken die Vorschriften zum Schutz personenbezogener Daten zu berücksichtigen.
Aus dem Wortlaut und Kontext der Bestimmungen des Kapitels VIII ergebe sich, dass der Unionsgesetzgeber mit dem Erlass der DSGVO keine umfassende Harmonisierung der Rechtsbehelfe bei Verstößen gegen die DSGVO habe vornehmen wollen. Er habe nicht ausschließen wollen, dass Mitbewerber im Falle eines vorgetragenen Verstoßes gegen Datenschutzvorschriften sowie Verstoßes gegen das Verbot unlauterer Geschäftspraktiken auf der Grundlage des nationalen Rechts Klage erheben könne. Dies folge insbesondere aus den im 10., 11. Und 13, Erwägungsgrund niedergelegten Schutzzielen der DSGVO, deren praktische Wirksamkeit durch eine solche Klage verstärkt werden könne. Derartige Klagen würden – trotz des vorrangig wettbewerbsrechtlichen Schutzziels – zudem zur Einhaltung der Bestimmungen und somit generell zu einem höheren Schutzniveau beitragen.
Letztlich werde sich die zivilgerichtliche Unterlassungsklage des Mitbewerbers gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten nicht auf das durch Kapitel VIII der DSGVO geschaffene Rechtsbehelfssystem auswirken. Durch Vorabentscheidungsverfahren nach Art. 267 AEUV werde eine einheitliche Auslegung bei Aufsichtsbehörden und nationalen Gerichten gewährleistet.
Die nationalen Gerichte haben also zu prüfen, ob die verletzte Regel der DSGVO, gegen das Datenschutzrecht auch einen Verstoß gegen das Verbot unlauterer Geschäftspraktiken nach dem nationalen Recht darstellt.
Sie haben eine Abmahnung erhalten? Wir wehren diese im Team ab!
Worauf es jetzt praktisch ankommt
- Marktnahe Datenschutzverstöße können nicht nur aufsichtsbehördliche und betroffenenbezogene Folgen haben, sondern zusätzlich wettbewerbsrechtliche Angriffe auslösen.
- Besonders sensibel sind Konstellationen, in denen aus Bestell- oder Nutzungsdaten Rückschlüsse auf Gesundheitsdaten oder andere besonders geschützte Daten möglich sind.
- Wer eine Abmahnung erhält, sollte den Vorgang nicht isoliert datenschutzrechtlich lesen. Regelmäßig sind zugleich UWG-Fragen, Unterlassungsrisiken, Fristen und prozessuale Anschlussfragen zu prüfen.
Die Entscheidung sagt nicht
- Nicht jeder DSGVO-Verstoß ist automatisch wettbewerbsrechtlich abmahnbar.
- Das Urteil ersetzt keine Einzelfallprüfung dazu, ob die konkret verletzte Norm im nationalen Lauterkeitsrecht tatsächlich trägt.
- Die Entscheidung betrifft eine konkrete Wettbewerbs- und Plattformkonstellation und sollte nicht vorschnell auf jede datenschutzrechtliche Unsauberkeit übertragen werden.
Offizielle Quellen und weiterführende Hinweise
Weitere Artikel zu diesem Thema
Zur historischen Einordnung der früheren Unsicherheit vor der EuGH- und BGH-Linie passt ergänzend dieser ältere Beitrag:
Zuständige Rechtsanwälte bei ITMR
Dominik Skornia
Fachlich naheliegend für Datenschutzrecht, IT-Recht und wettbewerbsnahe Konfliktlagen mit digitalem Bezug.
Jean Paul P. Bohne
Fachlich passend für datenschutzrechtliche Streitlagen, Compliance-Fragen und komplexe Konfliktlagen an der Schnittstelle von IT-Recht und Marktverhalten.
Kurzfazit
Der Beitrag bleibt relevant, weil die zentrale Weichenstellung inzwischen höchstrichterlich eingeordnet und im nationalen Verfahren fortgeführt wurde. Für Unternehmen folgt daraus vor allem eines: Datenschutz-Compliance in marktbezogenen Prozessen ist nicht nur eine Frage der Aufsicht, sondern kann auch zum Gegenstand wettbewerbsrechtlicher Auseinandersetzungen werden.