Abmahnung durch Mitbewerber wegen Datenschutzverstoß zulässig

Mitbewerber dürfen Datenschutzverstöße abmahnen – das hat der Bundesgerichtshof (BGH) in zwei Grundsatzurteilen vom 27. März 2025 entschieden. Damit droht Unternehmen eine neue juristische Gefahr: Neben Aufsichtsbehörden können nun auch Konkurrenten gegen fehlerhafte Datenschutzerklärungen, mangelhafte Einwilligungen oder unsaubere Datenverarbeitung vorgehen. Besonders im Onlinegeschäft, wo nahezu jede Kundeninteraktion personenbezogene Daten betrifft, steigt das Abmahnrisiko spürbar.

Der folgende Artikel erklärt verständlich, worum es in den Entscheidungen ging, warum Abmahnungen durch Mitbewerber wegen Datenschutzverstoß zulässig sind – und was Unternehmen jetzt dringend beachten sollten.

Einleitung

• Relevanz der Entscheidung für den Datenschutz und den lauteren Wettbewerb im Onlinehandel
• Kurzer Hinweis auf die EuGH-Vorentscheidung und die Rolle des BGH

Hintergrund der Streitfälle

• Übersicht zu den Verfahren I ZR 222/19 und I ZR 223/19
• Beteiligte Parteien: Apotheker vs. Mitbewerber
• Streitgegenstand: Datenschutzverstöße im Rahmen von Online-Bestellungen apothekenpflichtiger Medikamente

Vorlage an den EuGH: Zwei zentrale Fragen

• Können Mitbewerber DSGVO-Verstöße zivilrechtlich verfolgen?
• Sind Daten über den Kauf apothekenpflichtiger Medikamente „Gesundheitsdaten“ im Sinne der DSGVO?

Antwort des EuGH

• DSGVO steht nationaler Mitbewerberklage nach UWG nicht entgegen
• Bestelldaten solcher Arzneimittel = Gesundheitsdaten → besonderer Schutz erforderlich

Die Entscheidung des BGH

• Klare Zustimmung zur Linie des EuGH
• Mitbewerber dürfen Verstöße gegen DSGVO als Wettbewerbsverstoß geltend machen
• Revisionen der Beklagten erfolglos, teilweise Erfolg für Kläger bzgl. Schadensersatz

Auswirkungen auf die Praxis

• Neue Abmahngefahren: DSGVO-Verstöße nun auch von Mitbewerbern verfolgbar
• Anforderungen an Datenschutzmaßnahmen im Onlinehandel steigen
• Konkrete Empfehlungen für Unternehmen (z. B. Einwilligungsmanagement, Datenklassifizierung, Prüfung von Bestellprozessen)

Fazit

• Signalwirkung der Urteile
• Unternehmen müssen Datenschutz nicht nur mit Blick auf Behörden, sondern auch Wettbewerber ernst nehmen

1. Einleitung

Die Entscheidungen des Bundesgerichtshofs (BGH) vom 27. März 2025 sorgen für Aufsehen: Erstmals stellt das höchste deutsche Zivilgericht klar, dass Unternehmen nicht nur von Datenschutzbehörden mit der Einhaltung der DSGVO (Datenschutz-Grundverordnung) konfrontiert werden – sondern auch von ihren eigenen Wettbewerbern. Wer im geschäftlichen Verkehr gegen datenschutzrechtliche Vorgaben verstößt, muss künftig damit rechnen, von Mitbewerbern auf Unterlassung oder sogar Schadensersatz in Anspruch genommen zu werden.

Besonders relevant ist diese Entwicklung für Betreiber von Online-Shops, Dienstleister im E-Commerce und generell Unternehmen, die personenbezogene Daten im Rahmen ihrer Geschäftstätigkeit verarbeiten. Die Entscheidungen betreffen zwei Verfahren (Az. I ZR 222/19 und I ZR 223/19), die sich mit dem Umgang von Apotheken mit sensiblen Kundendaten beim Onlineverkauf von Medikamenten beschäftigten – die juristische Tragweite reicht aber weit darüber hinaus.

Mit Blick auf die Antworten des Europäischen Gerichtshofs (EuGH) und die konsequente Umsetzung durch den BGH steht fest: Die DSGVO ist auch ein wettbewerbsrechtlich relevantes Regelwerk – und Verstöße dagegen sind kein rein „behördliches“ Problem mehr.

2. Hintergrund der Streitfälle

Den beiden Entscheidungen des Bundesgerichtshofs lagen zwei ähnlich gelagerte Fälle zugrunde: Zwei Apotheker vertrieben apothekenpflichtige, aber nicht verschreibungspflichtige Medikamente über das Internet. Ihre Mitbewerber warfen ihnen vor, dabei gegen datenschutzrechtliche Vorgaben der DSGVO zu verstoßen – insbesondere, weil bei der Bestellung Gesundheitsdaten verarbeitet wurden, ohne dass eine ausdrückliche Einwilligung der Kunden eingeholt wurde.

Die Kläger sahen darin nicht nur einen Datenschutzverstoß, sondern auch einen Verstoß gegen das Wettbewerbsrecht. Ihre Argumentation: Wer personenbezogene Daten – und insbesondere besonders sensible Gesundheitsdaten – nicht korrekt verarbeitet, verschafft sich einen unlauteren Wettbewerbsvorteil. Deshalb sei eine Abmahnung durch den Konkurrenten wegen Datenschutzverstoß zulässig.

Während in einem der beiden Fälle (I ZR 223/19) der BGH den Europäischen Gerichtshof (EuGH) zur Klärung grundlegender Fragen anrief, wurde das parallel laufende Verfahren (I ZR 222/19) zunächst ausgesetzt. Nach der Antwort des EuGH entschied der BGH nun in beiden Fällen und gab den klagenden Mitbewerbern in weiten Teilen recht.

Diese Konstellation – Datenschutzverstoß trifft auf Wettbewerbsrecht – ist juristisch brisant und praktisch höchst relevant. Denn sie bedeutet: Datenschutz ist ab sofort auch unternehmerisches Risiko im Wettbewerb – nicht nur gegenüber Aufsichtsbehörden, sondern gegenüber jedem Konkurrenten im Markt.

3. Vorlage an den EuGH: Zwei zentrale Fragen

Bevor der Bundesgerichtshof selbst entscheiden konnte, legte er dem Europäischen Gerichtshof (EuGH) im Verfahren I ZR 223/19 zwei zentrale Rechtsfragen vor. Beide betreffen das Zusammenspiel zwischen Datenschutzrecht und Wettbewerbsrecht – und damit den Kern der Streitigkeit:

1.    Dürfen Mitbewerber Verstöße gegen die DSGVO überhaupt zivilrechtlich verfolgen?
Die Datenschutz-Grundverordnung sieht in erster Linie behördliche Aufsicht und Sanktionen durch Datenschutzbehörden vor. Ob daneben auch Wettbewerber eine Abmahnung wegen Datenschutzverstoß aussprechen dürfen, war bis dahin umstritten – insbesondere, weil die DSGVO kein ausdrückliches Klagerecht für Konkurrenten enthält.

2.    Handelt es sich bei Bestelldaten apothekenpflichtiger Medikamente um besonders schützenswerte Gesundheitsdaten?
Diese Frage ist entscheidend, weil für die Verarbeitung sogenannter „sensibler Daten“ - wie Gesundheitsinformationen – besonders strenge Anforderungen gelten. Wenn solche Daten betroffen sind, reicht eine einfache Bestellung nicht aus: Dann ist regelmäßig eine ausdrückliche Einwilligung erforderlich.

Der EuGH hat beide Fragen eindeutig beantwortet – und damit die Tür für eine neue Art von Abmahnrisiken im Datenschutzrecht geöffnet. Unternehmen können sich nun nicht mehr darauf verlassen, dass Datenschutzverstöße nur dann Konsequenzen haben, wenn sie den Aufsichtsbehörden auffallen. Auch Wettbewerber dürfen Verstöße verfolgen – eine Abmahnung durch Mitbewerber wegen Datenschutzverstoß ist zulässig, wenn der Verstoß zugleich einen wettbewerbsrechtlichen Vorteil verschafft.

4. Antwort des EuGH

In seiner Entscheidung vom 12. Januar 2023 (C-319/20) stellte der Europäische Gerichtshof klar: Die DSGVO steht nationalen Regelungen, die Mitbewerbern zivilrechtliche Klagen bei Datenschutzverstößen ermöglichen, nicht entgegen. Das bedeutet: Wenn ein Datenschutzverstoß gleichzeitig eine unlautere geschäftliche Handlung darstellt – etwa durch die missbräuchliche Nutzung oder Verarbeitung personenbezogener Daten – darf ein Konkurrent diesen Verstoß zivilrechtlich verfolgen.

Damit hat der EuGH das Fundament dafür gelegt, dass Abmahnungen durch Mitbewerber wegen Datenschutzverstoß zulässig sind – zumindest dann, wenn neben einem DSGVO-Verstoß auch ein Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) vorliegt. Zudem stellte der EuGH klar: Bestelldaten über apothekenpflichtige Medikamente sind als Gesundheitsdaten im Sinne der DSGVO einzustufen. Diese fallen unter die besonders geschützte Kategorie personenbezogener Daten. Unternehmen dürfen solche Informationen also nicht ohne ausdrückliche und informierte Einwilligung der betroffenen Person verarbeiten – ein einfaches „Häkchen“ im Bestellprozess reicht nicht unbedingt aus.

Die Konsequenz: 

Wer im Onlinehandel tätig ist, muss höchste Sorgfalt beim Umgang mit Kundendaten walten lassen. Schon kleinere Versäumnisse können Abmahnungen durch Mitbewerber auf den Plan rufen.

5. Die Entscheidung des BGH

Auf Grundlage der EuGH-Vorgaben entschied der Bundesgerichtshof am 27.03.2025 die beiden anhängigen Verfahren (I ZR 222/19 und I ZR 223/19). Die Kernbotschaft ist deutlich: Mitbewerber dürfen Datenschutzverstöße abmahnen, wenn diese zugleich gegen das Wettbewerbsrecht verstoßen.

Im Verfahren I ZR 223/19 bestätigte der BGH, dass der beklagte Apotheker gegen die DSGVO verstoßen hatte, indem er bei der Onlinebestellung apothekenpflichtiger Medikamente keine ausreichende Einwilligung zur Verarbeitung sensibler Gesundheitsdaten eingeholt hatte. Dies stellte zugleich eine unlautere geschäftliche Handlung dar – und war somit abmahnfähig durch den klagenden Mitbewerber. Auch wenn der Kläger nicht in allen Punkten obsiegte, erkannte der BGH ihm grundsätzlich das Recht zu, zivilrechtlich gegen den Datenschutzverstoß vorzugehen. Die parallel geführte Klage im Verfahren I ZR 222/19 wurde nach der EuGH-Entscheidung entsprechend fortgeführt.

Wichtig für Unternehmen: Der BGH hat sich damit klar auf die Linie des EuGH gestellt und unterstreicht: Datenschutz ist nicht nur ein öffentlich-rechtliches Thema. Wenn ein Verstoß zugleich Wettbewerbsvorteile mit sich bringt – z. B. durch vereinfachte Bestellprozesse oder den Verzicht auf Einwilligungen – können Konkurrenten abmahnen und Unterlassung fordern.

Die Urteile sind ein deutliches Signal: Wer personenbezogene Daten – insbesondere sensible Gesundheitsdaten – verarbeitet, muss mit größter Sorgfalt vorgehen. Die Gefahr, von einem Konkurrenten wegen eines Datenschutzverstoßes belangt zu werden, ist real – und nun auch höchstrichterlich bestätigt.

6. Auswirkungen auf die Praxis

Die Urteile des BGH vom 27. März 2025 haben weitreichende Folgen für Unternehmen – insbesondere für solche, die im digitalen Raum tätig sind. Denn sie machen klar: Datenschutzverstöße sind nicht mehr nur ein Fall für Aufsichtsbehörden, sondern können auch von Konkurrenten zivilrechtlich verfolgt werden. Abmahnung durch Mitbewerber wegen Datenschutzverstoß ist zulässig – und damit eine reale geschäftliche Gefahr.

Warum der Onlinebereich besonders betroffen ist

Im Onlinehandel und in digitalen Geschäftsmodellen werden zwangsläufig ständig personenbezogene Daten verarbeitet – und oft sogar, ohne dass es den Verantwortlichen in vollem Umfang bewusst ist. Bereits die Erhebung von IP-Adressen, das Setzen von Cookies, das Speichern von Kontaktformularen oder der Versand von Newslettern ist datenschutzrechtlich relevant. Hinzu kommen sensible Prozesse wie Online-Bestellungen, Nutzerkonten, Tracking oder Zahlungsabwicklungen – alles potenzielle Stolperfallen. Im digitalen Geschäftsverkehr ist die Verarbeitung personenbezogener Daten nicht die Ausnahme, sondern die Regel. Genau deshalb ist hier auch das Risiko, ungewollt gegen DSGVO-Vorgaben zu verstoßen, besonders hoch – und damit auch die Gefahr, von einem Mitbewerber abgemahnt zu werden.

Abmahngrund Nr. 1: Fehlende oder fehlerhafte Einwilligungen

Ein besonders häufiges Einfallstor für Abmahnungen sind unzureichende Einwilligungslösungen. Viele Unternehmen verlassen sich auf Standard-Checkboxen oder voreingestellte Cookie-Banner, die den Anforderungen an eine informierte, freiwillige und eindeutige Einwilligung nicht genügen. Im Lichte der aktuellen Rechtsprechung kann das ein Wettbewerbsverstoß sein – und damit angreifbar durch Konkurrenten.

Auch kleine Verstöße können teuer werden

Was in der Praxis gerne als „Kavaliersdelikt“ abgetan wird – etwa ein fehlendes Häkchen, eine unklare Datenschutzerklärung oder ein unzureichendes Double-Opt-in-Verfahren – kann nun schnell finanzielle und rechtliche Konsequenzen nach sich ziehen. Denn Mitbewerber haben nicht nur ein Interesse daran, Recht durchzusetzen – sondern oft auch daran, Marktanteile zu sichern oder Druck aufzubauen.

Die Schwelle für eine Abmahnung ist in der Praxis niedrig: Es reicht ein konkreter Datenschutzverstoß, der gleichzeitig einen lauterkeitsrechtlich relevanten Wettbewerbsvorteil verschafft. Das ist etwa dann der Fall, wenn ein Unternehmen durch vereinfachte oder rechtswidrige Datenverarbeitung günstiger oder effizienter wirtschaften kann als seine datenschutzkonformen Wettbewerber.

Empfehlungen für Unternehmen

Gerade vor dem Hintergrund der BGH-Urteile gilt: Datenschutz muss Chefsache sein – nicht nur, um Bußgelder zu vermeiden, sondern auch zur Abwehr von Abmahnungen. Unternehmen sollten deshalb:

·         Ihre Datenverarbeitungsprozesse regelmäßig überprüfen, insbesondere im Onlinebereich (Websites, Shops, Apps)

·         Einwilligungslösungen (z. B. Cookie-Banner, Newsletter-Anmeldung) auf Konformität prüfen

·         Datenschutzerklärungen aktualisieren und transparent gestalten

·         Technische und organisatorische Maßnahmen implementieren, um Daten sicher zu verarbeiten

·         Besonderes Augenmerk auf sensible Daten (z. B. Gesundheitsdaten, Zahlungsdaten) legen

·         Dokumentation & Nachweisführung verbessern, um im Fall einer Abmahnung reagieren zu können

Fazit aus unternehmerischer Sicht

Die Grenze zwischen Datenschutz und Wettbewerbsrecht ist durchlässig geworden. Wer in digital geprägten Märkten tätig ist, sollte sich der ständigen „Abmahnbarkeit“ im Onlinekontext bewusst sein. Fehler passieren schnell – sei es aus Unkenntnis, Nachlässigkeit oder durch technische Lücken. Dass nun auch Konkurrenten zur rechtlichen Verfolgung berechtigt sind, macht die Lage noch sensibler.

Für Unternehmen bedeutet das: Datenschutz ist kein reines Compliance-Thema mehr – sondern ein aktiver Wettbewerbsfaktor.

7. Fazit

Die Entscheidungen des Bundesgerichtshofs vom 27. März 2025 markieren einen Wendepunkt im Zusammenspiel von Datenschutz- und Wettbewerbsrecht. Sie machen klar: Eine Abmahnung durch Mitbewerber wegen Datenschutzverstoß ist zulässig – jedenfalls dann, wenn der Verstoß zugleich einen unlauteren Wettbewerbsvorteil begründet.

Für Unternehmen, insbesondere im Onlinehandel und digitalen Dienstleistungssektor, bedeutet das eine neue Risikolage. Datenschutzverstöße bleiben nicht mehr im behördlichen Raum – sie werden zur offenen Flanke im Wettbewerb. Und das in einem Umfeld, in dem praktisch jede digitale Interaktion mit Kunden personenbezogene Daten betrifft.

Die Konsequenz: Datenschutz wird zur unternehmerischen Pflicht mit strategischer Bedeutung. Wer hier nicht sauber arbeitet, riskiert nicht nur Bußgelder, sondern auch juristische Angriffe durch Wettbewerber. Die Zeiten, in denen DSGVO-Verstöße als abstraktes Compliance-Thema abgetan wurden, sind vorbei.

Unternehmen sollten die neuen rechtlichen Rahmenbedingungen zum Anlass nehmen, ihre Datenschutzprozesse kritisch zu prüfen – bevor es ein Konkurrent tut.