BGH erlaubt DSGVO-Abmahnung durch Mitbewerber



Dr. Sener Dincer

Rechtsanwalt

Zuletzt aktualisiert

23. April 2026 • 8 Min Lesezeit

Das Wichtigste in Kürze

Dürfen Mitbewerber DSGVO-Verstöße abmahnen?: Der BGH hat am 27. März 2025 in drei Urteilen bestätigt, dass DSGVO-Verstöße von Mitbewerbern wettbewerbsrechtlich abgemahnt werden können.
Welche DSGVO-Normen stehen im Fokus?: Verstöße gegen Art. 7, 9, 12 und 13 DSGVO sind nach § 3a UWG abmahnfähig.
Müssen Unternehmen jetzt handeln?: Unternehmen sollten ihre Datenschutz-Compliance jetzt überprüfen - eine Übergangsfrist gibt es nicht.

Individuelle Prüfung

Jeder Fall ist speziell. Lassen Sie uns Ihren Sachverhalt unverbindlich prüfen.

Soforthilfe anfragen Artikel weiterlesen

Der Bundesgerichtshof hat am 27. März 2025 eine der meistdiskutierten Fragen des deutschen Datenschutzrechts beantwortet: DSGVO-Verstöße können von Mitbewerbern wettbewerbsrechtlich abgemahnt werden.

Drei Urteile beenden die jahrelange Rechtsunsicherheit und schaffen ein neues Risiko für Unternehmen jeder Größe. Bei konkretem Handlungsbedarf vertieft unsere Beratung zu DSGVO Abmahnung die rechtliche Umsetzung.

Wer fehlerhafte Datenschutzerklärungen, mangelhafte Cookie-Banner oder rechtswidrige Datenverarbeitungen betreibt, muss nun nicht nur mit Bußgeldern der Aufsichtsbehörden rechnen - sondern auch mit Abmahnungen der Konkurrenz.

Die Tragweite dieser Entscheidungen ist kaum zu überschätzen: Datenschutz wird vom reinen Compliance-Thema zum Wettbewerbsinstrument.

Dieser Beitrag erklärt:

Welche BGH-Urteile die Rechtslage verändert haben und auf welcher europäischen Grundlage sie beruhen
Welche konkreten DSGVO-Verstöße besonders abmahngefährdet sind
Was Unternehmen jetzt tun sollten, um sich vor Abmahnungen zu schützen

Wie der BGH die Streitfrage entschieden hat

Die jahrelange Debatte um die wettbewerbsrechtliche Verfolgbarkeit von Datenschutzverstößen ist beendet.

Der BGH hat in drei Urteilen vom 27. März 2025 klargestellt, dass Mitbewerber Datenschutzverstöße über das Wettbewerbsrecht verfolgen können - sofern die verletzte DSGVO-Norm eine Marktverhaltensregel darstellt.

Den Weg hatte der Europäische Gerichtshof bereitet.

Der Europäische Gerichtshof hat in seinem Urteil vom 4. Oktober 2024 (Rs. C-21/23, Lindenapotheke) entschieden, dass die DSGVO einer nationalen Regelung nicht entgegensteht, die Mitbewerbern die Befugnis einräumt, wegen Datenschutzverstößen wettbewerbsrechtlich vorzugehen. Die DSGVO entfaltet demnach keine Sperrwirkung gegenüber nationalen Durchsetzungsmechanismen.

Zuvor war die Rechtsprechung in Deutschland tief gespalten.

Das LG Bochum nahm 2018 eine abschließende Sperrwirkung der DSGVO an und erklärte Mitbewerber-Abmahnungen für unzulässig.

Die Argumentation: Die DSGVO regle ihre Sanktionen - Bußgelder und Schadensersatzansprüche - abschließend und lasse keinen Raum für zusätzliche wettbewerbsrechtliche Ansprüche.

Das OLG Naumburg und das OLG Hamburg sahen das anders und bejahten die Abmahnfähigkeit - allerdings unter unterschiedlichen Voraussetzungen.

Das OLG Hamburg verlangte eine Einzelfallprüfung, ob die konkret verletzte DSGVO-Norm tatsächlich eine Marktverhaltensregel darstellt.

Diese widersprüchliche Rechtsprechung führte dazu, dass Unternehmen jahrelang nicht wussten, ob ein Datenschutzverstoß des Konkurrenten angreifbar ist oder nicht. Manche Anwälte rieten von Abmahnungen ab, andere sahen gute Erfolgsaussichten - je nach zuständigem Gericht.

Kernaussage der BGH-Urteile

DSGVO-Vorschriften, die das Marktverhalten regeln, sind zugleich Marktverhaltensregeln im Sinne von § 3a UWG. Ein Verstoß berechtigt Mitbewerber zur Abmahnung und Unterlassungsklage - unabhängig davon, ob der Abmahnende selbst von der Datenverarbeitung betroffen ist.

Der Bundesgerichtshof hat in seinem Urteil vom 27. März 2025 (Az. I ZR 223/19) entschieden, dass Art. 9 Abs. 1 DSGVO - das Verbot der Verarbeitung besonderer Datenkategorien ohne ausdrückliche Einwilligung - eine Marktverhaltensregel im Sinne von § 3a UWG darstellt. Ein Apotheker, der verschreibungsfreie Arzneimittel über einen Online-Marktplatz vertrieb, verarbeitete dabei Gesundheitsdaten seiner Kunden ohne die erforderliche ausdrückliche Einwilligung.

Parallel bestätigte der BGH in der Sache I ZR 186/17, dass auch Verbraucherschutzverbände befugt sind, Unterlassungsklagen wegen unzureichender Datenschutzhinweise zu erheben.

Damit existieren nun zwei parallele Durchsetzungswege: Verbände klagen über die DSGVO direkt, Mitbewerber über das Wettbewerbsrecht.

Welche Datenschutzverstöße sind jetzt abmahnfähig?

Nicht jeder formale DSGVO-Verstoß löst automatisch einen wettbewerbsrechtlichen Anspruch aus.

Entscheidend ist, ob die verletzte Norm eine Marktverhaltensregel darstellt und ob der Verstoß die Interessen von Verbrauchern oder Mitbewerbern spürbar beeinträchtigt.

 Wischen

Inhalt	Vom BGH als Marktverhaltensregel bestätigt?	DSGVO-Norm
Verbot der Verarbeitung besonderer Datenkategorien	Ja, ausdrücklich	Art. 9 Abs. 1 DSGVO
Transparenz- und Informationspflichten	Ja, ausdrücklich	Art. 12, Art. 13 DSGVO
Bedingungen für wirksame Einwilligung	Ja (Planet49-Rechtsprechung)	Art. 7 DSGVO
Rechtsgrundlagen der Verarbeitung	Noch nicht direkt klassifiziert	Art. 6 DSGVO

Unvollständige oder irreführende Datenschutzerklärungen gehören zu den häufigsten Verstößen - und sind nun besonders angreifbar.

Die Transparenzpflichten verpflichten Unternehmen, Nutzer verständlich und vollständig über jede Datenverarbeitung zu informieren.

In der Sache I ZR 186/17 stellte der Bundesgerichtshof fest, dass bei internetbasierten Geschäftsmodellen, bei denen Nutzer mit ihren Daten bezahlen, die Informationen über Zweck und Umfang der Datenverarbeitung von zentraler Bedeutung für den Wettbewerb sind. Fehlende Transparenz kann ein unlauteres Marktverhalten im Sinne von § 5a Abs. 1 UWG darstellen.

In der Praxis bedeutet das: Cookie-Banner, die keine echte Wahlmöglichkeit bieten, voreingestellte Zustimmungshäkchen verwenden oder den Widerspruch durch ein bewusst umständliches Design erschweren, sind ebenso angreifbar wie Datenschutzerklärungen, die eingesetzte Drittanbieterdienste verschweigen oder Verarbeitungszwecke nur vage beschreiben. Typische Schwachstellen, die Mitbewerber gezielt angreifen können, sind fehlende Angaben zu Tracking-Diensten, unvollständige Informationen zur Datenweitergabe an Drittländer und generische Rechtsgrundlagen ohne konkreten Bezug zum jeweiligen Verarbeitungszweck.

Verarbeitung sensibler Daten ohne Einwilligung

Der BGH hat Art. 9 DSGVO in seinem Urteil vom 27. März 2025 (I ZR 223/19) als Marktverhaltensregel eingestuft.

Betroffen sind vor allem Gesundheitsdaten, biometrische Daten und Daten zur politischen Meinung oder religiösen Überzeugung.

Der BGH hat in seinen Urteilen vom 27. März 2025 (Az. I ZR 222/19 und I ZR 223/19) entschieden, dass bereits die Bestellung nicht verschreibungspflichtiger Arzneimittel über einen Online-Marktplatz die Verarbeitung von Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO auslöst. Die Weitergabe solcher Daten an den Plattformbetreiber ohne ausdrückliche Einwilligung der Betroffenen verstößt gegen die DSGVO und ist wettbewerbsrechtlich abmahnbar.

Dieses Ergebnis betrifft nicht nur Apotheken.

Die Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO ist nur zulässig, wenn eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen vorliegt, etwa eine ausdrückliche Einwilligung.

Das gilt etwa für Anbieter von Nahrungsergänzungsmitteln, Fitnesstrackern, genetischen Tests, psychologischen Beratungsangeboten oder Personalvermittlungen, die Gesundheitsinformationen abfragen. Auch Online-Shops, die Arzneimittel, medizinische Hilfsmittel oder Pflegeprodukte verkaufen, verarbeiten mit jeder Bestellung potenziell Gesundheitsdaten.

Wann greift die Spürbarkeitsschwelle?

Nicht jeder Formverstoß führt zu einem wettbewerbsrechtlichen Anspruch.

Der Verstoß muss geeignet sein, die Interessen von Verbrauchern oder Mitbewerbern spürbar zu beeinträchtigen.

Ein fehlender Nebensatz in einer Datenschutzerklärung, der für die Entscheidung des Nutzers praktisch irrelevant ist, dürfte die Schwelle nicht erreichen.

Umgekehrt genügt es, wenn der Verstoß dem Unternehmen einen messbaren Wettbewerbsvorteil verschafft. Wer etwa durch den Verzicht auf ein rechtskonformes Consent-Management mehr Nutzerdaten erhebt und diese für gezieltere Werbung nutzt, verschafft sich einen Vorteil gegenüber rechtstreuen Mitbewerbern.

Bei Verstößen gegen Art. 9 DSGVO hat der BGH eine spürbare Interessenbeeinträchtigung im Sinne von § 3a UWG bejaht.

Gleiches gilt für Unternehmen, die durch unzureichende Datenschutzhinweise den Registrierungsprozess bewusst vereinfachen und dadurch höhere Conversion-Raten erzielen als ihre regelkonform arbeitenden Wettbewerber.

Was sollten Unternehmen jetzt tun?

Unternehmen sollten ihre Datenschutz-Compliance unverzüglich überprüfen - eine Übergangsfrist gibt es nicht. Die BGH-Urteile gelten seit ihrer Verkündung am 27. März 2025 unmittelbar.

Wer abgemahnt wird, hat in der Regel nur sieben bis vierzehn Tage Zeit, um eine Unterlassungserklärung abzugeben oder abzulehnen.

Deshalb ist es entscheidend, potenzielle Schwachstellen proaktiv zu beseitigen, bevor ein Mitbewerber sie entdeckt.

Die folgenden Maßnahmen haben Priorität:

Datenschutzerklärung vollständig aktualisieren - alle Verarbeitungszwecke, Rechtsgrundlagen und Empfänger müssen transparent und verständlich dargestellt sein.
Cookie-Banner und Consent-Management prüfen - voreingestellte Häkchen, irreführende Designs oder fehlende Ablehnungsmöglichkeiten sind häufige Angriffspunkte.
Einwilligungen dokumentieren - für jede Datenverarbeitung, die auf einer Einwilligung beruht, muss die Einholung und der Inhalt der Einwilligung nachweisbar sein.
Besondere Datenkategorien identifizieren - wer Gesundheitsdaten, biometrische Daten oder andere sensible Informationen verarbeitet, benötigt eine ausdrückliche Einwilligung.
Verarbeitungsverzeichnis aktuell halten - ein vollständiges Verzeichnis ist nicht nur gesetzliche Pflicht, sondern auch Grundlage für eine strukturierte Risikoanalyse.
Drittanbieter-Tools überprüfen - Analytics-Dienste, Marketing-Pixel und Social-Media-Integrationen müssen auf DSGVO-Konformität geprüft werden. Besonderes Augenmerk verdienen Dienste, die Daten in Drittländer übertragen.
Abmahnungen ernst nehmen und fachkundig prüfen lassen - wer eine wettbewerbsrechtliche Abmahnung wegen eines DSGVO-Verstoßes erhält, sollte die Frist wahren und die Ansprüche durch einen spezialisierten Anwalt bewerten lassen. Vorformulierte Unterlassungserklärungen sollten nicht ungeprüft unterzeichnet werden.



Drei parallele Durchsetzungsebenen

Unternehmen müssen seit den BGH-Urteilen mit drei parallelen Risiken rechnen: behördliche Bußgelder durch die Datenschutzaufsicht, wettbewerbsrechtliche Abmahnungen durch Mitbewerber und individuelle Schadensersatzansprüche betroffener Personen. Wer die eigene Datenschutz-Compliance bisher aufgeschoben hat, sollte jetzt handeln.

Wer den eigenen Datenschutzstatus professionell bewerten lassen möchte, findet in unserem Bereich Datenschutz weitere Informationen zur anwaltlichen Beratung. Auch die Überschneidung mit dem Wettbewerbsrecht spielt bei der Abwehr ungerechtfertigter Abmahnungen eine zentrale Rolle.

Fazit und Ausblick

Die Urteile schaffen Klarheit, erhöhen aber das Risiko für Unternehmen erheblich. Datenschutzverstöße sind nicht mehr nur ein Thema zwischen Unternehmen und Aufsichtsbehörde - sie werden zum Wettbewerbsinstrument. Fehlende oder fehlerhafte Datenschutzmaßnahmen können nicht nur Bußgelder nach sich ziehen, sondern auch kostspielige Abmahnverfahren durch die Konkurrenz.

Ein Gesetzentwurf aus dem Bundesrat, der die wettbewerbsrechtliche Verfolgbarkeit wieder einschränken soll, ist bislang nicht verabschiedet worden und aufgrund der Diskontinuität des Bundestages in der neuen Wahlperiode erneut einzubringen.

Ob und wann eine legislative Korrektur kommt, ist offen. Mit weiteren Urteilen zur konkreten Reichweite der Abmahnfähigkeit - insbesondere zur Frage, welche weiteren DSGVO-Normen als Marktverhaltensregeln einzustufen sind - ist in den kommenden Monaten zu rechnen.

Wir begleiten Unternehmen bei der Bewertung und Umsetzung der neuen Anforderungen - von der Risikoanalyse bis zur Verteidigung gegen ungerechtfertigte Abmahnungen.

Antworten auf einen Blick

Häufige Fragen

Die häufigsten Fragen zum Thema, kompakt beantwortet. Für die vollständige Einordnung bleiben die Abschnitte oben maßgeblich.

Können DSGVO-Verstöße von Mitbewerbern abgemahnt werden?

Ja. Der BGH hat am 27. März 2025 in drei Urteilen bestätigt, dass DSGVO-Verstöße über § 3a UWG wettbewerbsrechtlich verfolgt werden können, sofern die verletzte Norm eine Marktverhaltensregel darstellt. Grundlage ist das EuGH-Urteil vom 4. Oktober 2024 (Rs. C-21/23, Lindenapotheke), wonach die DSGVO keine Sperrwirkung gegenüber nationalen Durchsetzungsmechanismen entfaltet. Mitbewerber können Unterlassung verlangen und Abmahnkosten geltend machen, ohne selbst von der Datenverarbeitung betroffen zu sein. Eine Übergangsfrist gibt es nicht – die Urteile gelten seit Verkündung.

Welche DSGVO-Normen hat der BGH als Marktverhaltensregeln eingestuft?

Der BGH hat Art. 9 Abs. 1 DSGVO (Verbot der Verarbeitung besonderer Datenkategorien), Art. 12 und 13 DSGVO (Transparenz- und Informationspflichten) sowie Art. 7 DSGVO (Einwilligungsbedingungen) als Marktverhaltensregeln im Sinne von § 3a UWG bestätigt. Art. 6 DSGVO (Rechtsgrundlagen der Verarbeitung) wurde noch nicht direkt klassifiziert. Die Einstufung bedeutet, dass Verstöße gegen diese Normen von Mitbewerbern über Abmahnungen und Unterlassungsklagen verfolgt werden können – unabhängig von einer eigenen Betroffenheit.

Sind fehlerhafte Cookie-Banner jetzt abmahnbar?

Ja. Cookie-Banner ohne echte Wahlmöglichkeit, mit voreingestellten Zustimmungshäkchen oder bewusst umständlichem Ablehnungsdesign sind seit den BGH-Urteilen vom 27. März 2025 wettbewerbsrechtlich angreifbar. Gleiches gilt für Datenschutzerklärungen, die eingesetzte Tracking-Dienste verschweigen oder Verarbeitungszwecke nur vage beschreiben. Der BGH stuft fehlende Transparenz bei datenbasierten Geschäftsmodellen als unlauteres Marktverhalten nach § 5a Abs. 1 UWG ein. Mitbewerber können solche Verstöße abmahnen, ohne selbst betroffen zu sein.

Drohen bei Gesundheitsdaten ohne Einwilligung besondere Risiken?

Ja, das Risiko ist besonders hoch. Der BGH hat im Urteil I ZR 222/19 vom 27. März 2025 klargestellt, dass die Bestellung apothekenpflichtiger Arzneimittel über einen Online-Marktplatz Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO auslöst. Die Weitergabe dieser Daten an den Plattformbetreiber ohne ausdrückliche Einwilligung ist nach § 3a UWG wettbewerbsrechtlich abmahnbar; Art. 9 DSGVO ist als Marktverhaltensregel anerkannt. Auch andere Anbieter müssen prüfen, ob sie besondere Kategorien personenbezogener Daten verarbeiten und ob ein Erlaubnistatbestand nach Art. 9 Abs. 2 DSGVO greift.

Was sollten Unternehmen als Erstes tun, um eine DSGVO-Abmahnung zu vermeiden?

Unternehmen sollten ihre Datenschutz-Compliance unverzüglich überprüfen, da die BGH-Urteile seit dem 27. März 2025 ohne Übergangsfrist gelten. Priorität haben die vollständige Aktualisierung der Datenschutzerklärung, die Prüfung des Cookie-Banners auf echte Wahlmöglichkeit, die Dokumentation aller Einwilligungen und die Identifikation besonderer Datenkategorien. Bei einer Abmahnung beträgt die Reaktionsfrist typischerweise 7 bis 14 Tage. Vorformulierte Unterlassungserklärungen sollten nicht ungeprüft unterzeichnet, sondern durch einen spezialisierten Anwalt bewertet werden.

Noch offene Fragen?

Wir prüfen, ob Ihre Datenschutzerklärung und Ihr Consent-Management den aktuellen Anforderungen standhalten.

Jetzt Ersteinschätzung anfragen

Aktuelle Beiträge

Zwei unbeschriftete weiße Haushaltsgeräte vor einer grünen Wand in einem hellen Waschraum

Markenrecht

Arbeitsrecht

E-Commerce & Compliance

Beliebte Ratgeber

KI-Verordnung für Unternehmen

Abmahnsichere Shop-AGB 2026

Service Level Agreement

BGH erlaubt DSGVO-Abmahnung durch Mitbewerber