Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
Rechtsanwalt für den Gewerblichen Rechtsschutz, Lebensmittel- und Kosmetikrecht
T (+49) 040 / 7344 086-0
Rechtsanwalt & Spezialist für Kryptorecht & KI-Recht, Zertifizierter Geldwäschebeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für Kryptorecht
T (+49) 040 / 7344 086-0
Blog News
Was viele Unternehmen nicht wissen: Seit 2020 eröffnet das Wettbewerbsrecht die Möglichkeit, dass Unternehmen Datenschutzverstöße von Konkurrenten gerichtlich abmahnen. Konkret bedeutet das, Sie können Verstöße von Mitbewerbern gegen datenschutzrechtliche Vorschriften im Rahmen einer wettbewerbsrechtlichen Klage vor Zivilgerichten geltend machen.
Aufgrund der Brisanz, die damit einhergeht, kommt es immer wieder zu gerichtlichen Auseinandersetzungen, so wie in einem aktuellen Fall.
Ein Datenschutzverstoß liegt dann vor, wenn der Schutz von personenbezogenen Daten verletzt wurde. Sprich: Daten wurden unbefugt offengelegt, sind verloren gegangen oder wurden verändert. Auch der Zugriff durch unbefugte Dritte fällt unter einen Datenschutzverstoß. Rechtsgrundlage ist die bekannte Datenschutz-Grundverordnung (DSGVO) in der EU.
Wie genau können Datenschutzverstöße aussehen?
Unbefugte Zugriffe entstehen beispielsweise, wenn externe Personen sich unerlaubt Zugang zu sensiblen Daten verschaffen. Sei es durch Cyberangriffe oder ungesicherte IT-Systeme.
Der Verlust personenbezogener Informationen kann auftreten, wenn Daten durch Softwarefehler, defekte Hardware oder versehentliches Löschen unwiederbringlich vernichtet werden. Auch die unbeabsichtigte Weiterleitung persönlicher Angaben an falsche Empfänger, etwa durch einen falsch adressierten E-Mail-Versand, stellt einen häufigen Datenschutzvorfall dar.
Werden personenbezogene Daten verarbeitet, ohne dass dafür eine ordnungsgemäße und eindeutig erklärte Zustimmung der betroffenen Personen vorliegt, liegt ein Verstoß gegen die Einwilligungspflicht vor.
Ebenso werden die Rechte der Betroffenen verletzt, wenn Unternehmen etwa auf Anfragen zur Auskunft, Berichtigung oder Löschung gespeicherter Daten nicht reagieren. Häufig entsteht ein erhöhtes Risiko, weil technische Schutzmaßnahmen oder organisatorische Abläufe fehlen oder nicht dem aktuellen Stand der gesetzlichen Vorgaben entsprechen.
Wird eine Datenpanne festgestellt, fordert die Datenschutz-Grundverordnung ein rasches und strukturiertes Vorgehen innerhalb von 72 Stunden. Folgende Schritte sind in einem solchen Fall wichtig:
Unverzügliche Prüfung und Bewertung
Zunächst muss umgehend geklärt werden, ob tatsächlich eine Verletzung des Schutzes personenbezogener Daten vorliegt und welche Risiken daraus für die Betroffenen entstehen können.
Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden
Ergibt sich, dass die Datenpanne ein Risiko für die Rechte und Freiheiten natürlicher Personen nach sich zieht, ist eine Meldung an die zuständige Datenschutzaufsichtsbehörde erforderlich, möglichst innerhalb von 72 Stunden nach dem Bekanntwerden. Wird diese Frist überschritten, muss der Grund für die Verzögerung bei der Meldung mitgeteilt werden.
Ausnahmen von der Meldepflicht
Besteht nach sorgfältiger Einschätzung lediglich ein geringes Risiko für die Betroffenen, entfällt die Meldepflicht. Dennoch sollte die Entscheidung dokumentiert werden.
Dokumentation der Datenpanne
Alle relevanten Informationen zur Art der Verletzung, den betroffenen Daten und den ergriffenen Maßnahmen sind sorgfältig zu dokumentieren. Auch interne Abläufe rund um Feststellung und Umgang mit der Panne sollten nachvollziehbar niedergeschrieben werden.
Benachrichtigung der Betroffenen
Ist durch die Datenpanne ein hohes Risiko zu befürchten, müssen auch die von der Verletzung betroffenen Personen ohne unnötige Verzögerung informiert werden.
Warum ist die schnelle Meldung so wichtig?
Datenschutzverstöße können schwere Folgen, wie Identitätsdiebstahl, Diskriminierung, finanzielle Einbußen oder Imageschäden, für die Betroffenen nach sich ziehen. Ein ordnungsgemäßes Meldeverfahren dient dem Schutz dieser Personen und verhindert weitere Schäden.
Viele Aufsichtsbehörden stellen für die Meldung von Datenschutzvorfällen Online-Formulare zur Verfügung.
Ein Verstoß gegen die Datenschutzvorschriften kann für Unternehmen neben datenschutzrechtliche auch wettbewerbsrechtliche Folgen nach sich ziehen.
Denn die Vorgaben der DSGVO gelten gleichermaßen für sogenannte Marktverhaltensregeln nach § 3a UWG und sollen das Verhalten von Unternehmen im Wettbewerb steuern, auch wenn dies in der Praxis kontrovers diskutiert wird. Damit ist die Grundlage, wie eingangs erwähnt, geschaffen, dass Unternehmen Datenschutzverstöße ihrer Mitbewerber gerichtlich anzeigen können.
Kommt es in diesem Zusammenhang also zu einem Datenschutzverstoß, liegt ein unlauteres Verhalten vor, das Mitbewerber und Verbraucher benachteiligt. In solchen Fällen können Wettbewerber oder bestimmte Verbände mit einer Abmahnung oder einer Unterlassungsklage gegen das Unternehmen vorgehen.
Höchstrichterlich ist klargestellt, dass dies nur gilt, wenn die verletzte Vorschrift tatsächlich den Wettbewerb schützt. Insgesamt bleibt festzuhalten, dass datenschutzrechtliche Fehler häufig auch das Risiko wettbewerbsrechtlicher Ansprüche mit sich bringen.
Wie kann das genau aussehen?
Fehlen in einer Datenschutzerklärung die gesetzlich vorgeschriebenen Informationen zur Datenverarbeitung, droht Unternehmen eine Abmahnung durch Mitbewerber. Auch die unerlaubte Erhebung oder Verarbeitung personenbezogener Kundendaten ohne rechtmäßige Grundlage kann als unlautere Geschäftspraktik gewertet werden. In solchen Fällen können sowohl Wettbewerber als auch Verbände Klage erheben und Unterlassungsansprüche durchsetzen. Der Europäische Gerichtshof (EuGH) hat wiederholt bestätigt, dass datenschutzrechtliche Verstöße, die zugleich unlauteres Verhalten im Sinne des Wettbewerbsrechts darstellen, von Mitbewerbern wettbewerbsrechtlich angegriffen werden dürfen.
Im digitalen Arzneimittelhandel geraten Apotheken zunehmend in den Fokus der Justiz. Insbesondere, wenn es um den Schutz sensibler Gesundheitsdaten und die Einhaltung spezieller Branchenvorschriften geht. Immer häufiger liefern sich hier Konkurrenten gerichtliche Auseinandersetzungen, deren Ausgang maßgeblich von der aktuellen Rechtsauslegung und der Bewertung der Klagebefugnis der Mitbewerber abhängt.
In gleich zwei Verfahren, die vor dem Bundesgerichtshof landeten, standen Apotheker im Zentrum der Auseinandersetzung: Die Beklagten nutzten die Handelsplattform Amazon, um Medikamente zu vertreiben. Die Kläger warfen ihnen vor, bei Bestellungen personenbezogene Bestelldaten wie Namen, Anschrift und Details zur Medikamentierung zu erfassen und zu nutzen. Ohne dafür eine ausdrückliche Einwilligung der Kunden eingeholt zu haben. In einem Verfahren wurde zusätzlich geltend gemacht, dass der Medikamentenversand über Amazon gegen diverse gesetzliche Vorgaben des Arzneimittelrechts und der Apothekenberufsordnung verstoße. Zur Debatte standen also nicht nur das Datenschutzrecht, sondern auch verschiedene branchenspezifische Regelungen wie das Arzneimittelgesetz, das Heilmittelwerbegesetz, die Apothekenbetriebsordnung und die Berufsordnung für Apotheker. Die Kläger beschränkten sich dabei nicht nur auf Unterlassungsansprüche, sondern forderten im ersten Fall auch Schadensersatz.
Das Oberlandesgericht Naumburg gab ihnen teilweise recht und stufte die DSGVO erstmals als „Marktverhaltensregel“ im Sinne des Wettbewerbsrechts ein: Demnach handle es sich bei den Gesundheitsdaten um besonders schützenswerte Informationen, die ohne die erforderliche Einwilligung der Betroffenen nicht verarbeitet werden dürfen. Dies sei nicht zuletzt wichtig, um auf europäischer Ebene einheitliche Standards für den Datenschutz und gesunde Wettbewerbsbedingungen zu sichern.
Spannung kam auf, als der Bundesgerichtshof die Verfahren zunächst aussetzte und den Europäischen Gerichtshof zur Klärung zentraler Fragen einschaltete. Nach dessen Antwort folgte eine wegweisende Entscheidung: Die obersten deutschen Richter bestätigten, dass Mitbewerber gegen datenschutzwidriges Verhalten vor Zivilgerichten klagen können – konkret immer dann, wenn die betroffenen Vorschriften des Datenschutzrechts darauf abzielen, das Marktverhalten im Interesse der Verbraucher zu regeln.
Die Richter stellten zudem klar, dass die ungeladene Nutzung und Weiterverarbeitung von Kundendaten im Rahmen einer Medikamentenbestellung, selbst bei rezeptfreien Produkten, den Vorgaben der DSGVO widerspreche, wenn keine ausdrückliche Zustimmung eingeholt wird. Die Bestelldaten gelten dabei als Gesundheitsdaten und unterliegen dem höchsten Schutzstandard.
Der Versuch, auch noch Bußgelder, Schadensersatz und Sanktionen wegen weiterer behaupteter Gesetzesverstöße durchzusetzen, blieb allerdings erfolglos: Der Bundesgerichtshof wies die Revision des klagenden Apothekers diesbezüglich zurück. Im Ergebnis steht nun fest, dass Mitbewerber gerichtlich gegen Datenschutzverletzungen im Online-Arzneimittelvertrieb vorgehen dürfen, sofern die einschlägigen EU-Vorgaben als Marktverhaltensregeln ausgestaltet sind und damit dem Schutz der Marktteilnehmer und des freien Wettbewerbs dienen.
Die Entwicklungen verdeutlichen, wie sensibel der Umgang mit Gesundheitsdaten im E-Commerce ist und welche enormen rechtlichen Risiken Verstöße für Unternehmen bedeuten können. Die Entscheidung sorgt für neue Klarheit und schärft zugleich das Bewusstsein für die eigenen Pflichten im digitalen Apothekenalltag.
Gerade vor diesem Hintergrund wird deutlich, wie unverzichtbar fachkundiger rechtlicher Beistand für Unternehmen in der Gesundheitsbranche ist. Die Vielzahl an datenschutzrechtlichen und spezialgesetzlichen Vorgaben, die sich zudem stetig weiterentwickeln, stellt Unternehmen vor enorme Herausforderungen.
Als erfahrene Rechtsanwälte mit besonderer Spezialisierung auf Datenschutz- und Wettbewerbsrecht leisten wir professionelle Unterstützung bei Auseinandersetzungen. Auch im Vorfeld helfen wir dabei, interne Prozesse und den Umgang mit sensiblen Daten rechtskonform mit Ihnen gemeinsam zu gestalten.
So lassen sich potenzielle Risiken frühzeitig erkennen, Bußgelder vermeiden und Ihr guter Ruf schützen. Bewegen Sie sich mit uns souverän und verantwortungsvoll im digitalen Wettbewerbsumfeld.
Sie fragen sich, ob Ihre Apotheke beim Online-Vertrieb wirklich alle datenschutzrechtlichen Bestimmungen einhält? Haben Sie eine Abmahnung wegen angeblicher Datenschutzverstöße erhalten oder besteht die Gefahr, dass Mitbewerber wettbewerbsrechtlich gegen Sie vorgehen? Möchten Sie prüfen lassen, ob Ihr Umgang mit Kundendaten im Einklang mit der DSGVO und den Datenschutzrecht steht? Oder möchten Sie sicherstellen, dass Ihre Plattform-Nutzung, z. B. auf Amazon oder im eigenen Webshop, allen gesundheitsrechtlichen Vorgaben genügt?
Unser erfahrenes Team berät Sie fundiert bei allen wettbewerbsrechtlichen Fragestellungen. Vom Datenschutz im Apothekenalltag bis zur Absicherung Ihrer Vertriebskanäle im digitalen Handel. Wir unterstützen Sie nicht nur bei der Prüfung datenschutzkonformer Prozesse, sondern setzen auch Ihre Rechte gegenüber Mitbewerbern durch und verteidigen Sie gegen Abmahnungen und Unterlassungsklagen.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?