Wer dachte, Datenschutz sei nur ein Thema für Behörden oder besonders pingelige Patienten, liegt falsch.

Seit einem aktuellen BGH-Urteil ist klar: Auch Mitbewerber können DSGVO-Verstöße abmahnen – und zwar ganz regulär nach dem Wettbewerbsrecht.

Zwar ist nicht jeder Verstoß gegen die DSGVO automatisch abmahnfähig. Aber abmahnfähig sind solche Verstöße, die

  • konkret das Marktverhalten betreffen,
  • nach außen wirken (z. B. im Rahmen von Bestellprozessen oder Buchungen),
  • und geeignet sind, die Entscheidung von Kunden zu beeinflussen.

Mit anderen Worten: Wenn du personenbezogene Daten im geschäftlichen Kontext nicht datenschutzkonform erhebst oder verarbeitest, kann dich auch dein Mitbewerber abmahnen. Es braucht also keinen verärgerten Patienten und keine Datenschutzbehörde.

Was heißt das konkret für Ärzte und Heilpraktiker?

  • Wenn du eine Praxiswebsite betreibst, Online-Buchungen anbietest oder Gesundheitsprodukte verkaufst, verarbeitest du Gesundheitsdaten, also sensible Daten.
  • Eine einfache Datenschutzerklärung reicht für die Verarbeitung nicht, sondern du brauchst eine ausdrückliche, freiwillige Einwilligung, die vor der Verarbeitung eingeholt wird.
  • Du musst wissen, wer die Daten verarbeitet (du selbst oder ein Dritter?) – und ob die Person der gesetzlichen Schweigepflicht unterliegt.
  • Wenn du das nicht sicherstellen kannst, droht nicht nur ein Bußgeld, sondern du machst dich auch wettbewerbsrechtlich angreifbar:
  • Ein Mitbewerber braucht nur nachzuweisen, dass du Daten falsch verarbeitest und kann dich allein dafür schon abmahnen.

Der BGH hat es am 27. März 2025 klipp und klar entschieden:

Wer personenbezogene Gesundheitsdaten über Dritte (wie Amazon) verarbeiten lässt, ohne ausdrückliche Einwilligung und ohne datenschutzkonforme Kontrolle, handelt wettbewerbswidrig und ist abmahnbar.

Ein Apotheker hatte apothekenpflichtige (=nicht rezeptpflichtige) Medikamente über Amazon Marketplace verkauft. Kunden gaben beim Bestellen ihren Namen, ihre Adresse und Informationen zum Medikament an. Das sind laut EuGH und BGH Gesundheitsdaten.

Das Problem war: Amazon holte keine ausdrückliche Einwilligung der Kunden ein. Ergebnis: Verstoß gegen Art. 9 DSGVO. Und weil es um ein geschäftliches Verhalten ging, konnte ein Mitbewerber den Apotheker abmahnen und gewann.

Fazit

Es genügt also nicht, nur eine vollständige Datenschutzerklärung auf deiner Website zu haben, sondern du musst die Vorschrift verstanden haben, um ein funktionierendes Datenschutzkonzept für deine Praxis zu entwickeln.

Denn die Gefahr kommt nicht nur von der Aufsichtsbehörde. Sie kann genauso gut von deinem nächsten Mitbewerber ausgehen. Oder von jemandem, der einfach genauer hinschaut.

Wie fit bist du in der DSGVO?

Hast du auch nur eine Datenschutzerklärung, die dir dein Webdesigner in deine Seite eingebaut hat und denkst jetzt, du seiest safe?

Das ist leider falsch. Du müsstest dich sogar dann mit der DSGVO auskennen, wenn du nicht mal eine Website hättest!

DSGVO Überblick