BRIEFING DE SEGURIDAD · 03.07.2026 DEENFRES

Actualidad/9 min

Reclamación por parte de competidores según la DSGVO: lo que cuenta tras el fallo del BGH

Von Benedikt Langer · 14. junio 2026

8 Min. de lectura

Desde que el Bundesgerichtshof decidió en marzo de 2025 que los concurrentes pueden perseguir ciertos incumplimientos de protección de datos bajo las condiciones del derecho de competencia, la situación de riesgo para las empresas se ha desplazado claramente. Un banner de cookies defectuoso o un servicio externo integrado sin base legal ya no es solo un tema para la autoridad de control. Puede desencadenar una amonestación con costos por parte de un concorrente. Quien conoce y documenta adecuadamente los valores técnicos predeterminados de su sitio web, reduce el riesgo a su máximo.

Lo más importante en resumen

  • Nueva posibilidad de demanda: El BGH confirmó en marzo de 2025 (Az. I ZR 222/19 y I ZR 223/19) que los concorrentes pueden perseguir ciertos incumplimientos de la DSGVO según el UWG, siempre que se cumplan sus condiciones. Con ello se añade un segundo canal de defensa junto a la autoridad de control.
  • Indemnización con umbral: Un incumplimiento solo no basta para reclamaciones según el artículo 82 DSGVO. Se necesitan incumplimiento, daño concreto y causalidad. Sin embargo, un tribunal puede valorar la pérdida de control sobre los datos como daño material.
  • Los palancas son los valores técnicos predeterminados: Tipicas, visibles y bien visibles son los riesgos en banners de cookies, seguimiento y servicios de terceros integrados. Una consentimiento claro y una documentación verificable reducen el riesgo significativamente.

Relacionado:Passkeys en el mundo empresarial  /  Cuando el servidor de respaldo se convierte en una debilidad

¿Qué ha cambiado gracias a la decisión del BGH?

¿Qué es una amonestación por DSGVO? Una amonestación es la petición fuera de los tribunales de dejar de realizar un comportamiento considerado ilegal, normalmente acompañada de una declaración de cesación y una factura de gastos. En temas de protección de datos, esta práctica solía pasar por las autoridades de control y por las personas afectadas. El camino a través del derecho antimonopolio fue durante años discutido.

Con dos sentencias del 27 de marzo de 2025, el Bundesgerichtshof clarificó esta cuestión: ciertos incumplimientos contra la DSGVO pueden ser perseguidos por concurrentes como prácticas comerciales desleales según el derecho contra la competencia desleal, siempre que se cumplan sus condiciones. En la práctica, esto significa que un concorrente puede abordar una mala práctica de protección de datos sin estar personalmente afectado.

Para las empresas, con ello no se cambia tanto la situación jurídica material como la probabilidad de ser realmente demandado. La autoridad de control prioriza según recursos. Un concorrente o un sindicato suele tener un interés directo en capturar un error formal. Por eso es por lo que los valores técnicos predeterminados pequeños y visibles, como el banner de cookies, entran en el foco.

Cuándo una infracción deriva en una indemnización por daños y perjuicios

Paralelamente, la línea sobre las indemnizaciones se ha precisado. El BGH dejó claro a finales de 2024 que la mera pérdida de control sobre los datos personales puede constituir un daño inmaterial en el sentido del artículo 82 del DSGVO. Esto reduce el umbral frente a la suposición anterior de que una reclamación requería una desventaja tangible y cuantificable.

Al mismo tiempo, el umbral sigue siendo real. Según la jurisprudencia del EuGH y del BGH, la infracción por sí sola no basta. Se necesita un daño concreto y una relación causal entre la infracción y el daño. Un riesgo puramente hipotético de que los datos puedan caer en manos equivocadas no justifica, según la evaluación de los tribunales, ninguna reclamación. Esta diferenciación es importante para la práctica, ya que pone freno a las demandas colectivas exageradas.

Para los departamentos de seguridad y legal, de ello se desprende una prioridad clara. Resulta costoso sobre todo allí donde existe una fuga de datos documentada y los afectados pueden demostrar concretamente la pérdida de control. Quien conoce y asegura los flujos de datos reduce precisamente este escenario.

Las trampas de costes más frecuentes en el día a día

La mayoría de las reclamaciones giran en torno a configuraciones técnicas por defecto recurrentes, y rara vez a casos especiales exóticos. Los Cookie-Banner que inician el Tracking antes del consentimiento encabezan la lista. A esto se suman los servicios de terceros integrados, como fuentes, mapas o scripts de análisis, que transmiten datos a servidores externos, así como la información incompleta en la política de privacidad.

Un segundo impulsor de costes es la reacción en sí. Muchos costes posteriores no surgen por el error original, sino por una firma prematura en una declaración de cese y desistimiento demasiado amplia o por una respuesta no verificada a una carta de requerimiento. Una declaración de cese y desistimiento tiene efectos a largo plazo y conlleva una penalización contractual, por lo que debe ser revisada jurídicamente antes de su firma.

Lo que protege

  • Cargar el Tracking solo tras el consentimiento activo
  • Alojar los servicios de terceros localmente o asegurarlos con base legal y contrato
  • Registrar los consentimientos de forma auditable
  • Hacer revisar las cartas de requerimiento antes de cualquier reacción

Lo que crea riesgo

  • Casillas marcadas previamente o preconfiguradas
  • Scripts externos sin base legal documentada
  • Política de privacidad que no refleja el estado real
  • Firma no verificada en la declaración de cese y desistimiento

El Cookie-Banner como punto de ataque más visible

Ningún elemento de un sitio web es tan fácil de comprobar desde el exterior como el Cookie-Banner. Se puede acceder a él sin conocimientos internos, y sus defectos a menudo son reconocibles ya en las herramientas del navegador. La jurisprudencia exige un consentimiento activo e informado antes de que se instalen cookies no estrictamente necesarias. El rechazo debe ser tan fácil de alcanzar como la aceptación.

En la práctica, esto significa un botón de rechazo equivalente en el primer nivel, ninguna opción preseleccionada y una separación clara entre los servicios técnicamente necesarios y los que requieren consentimiento. Los llamados Pur-Modelle, en los que los usuarios eligen entre el consentimiento y un acceso de pago sin Tracking, también son examinados por los tribunales y las autoridades, entre otras cosas, con vistas a una selección granular de los fines del tratamiento. Quien apuesta aquí por configuraciones por defecto limpias, elimina la base del motivo de reclamación más frecuente.

Lista de comprobación: en cinco pasos hacia una configuración sólida

A partir de la situación jurídica actual se puede derivar una rutina práctica, aplicable sin conocimientos jurídicos especializados y que, en caso de litigio, refuerza la posición probatoria.

En primer lugar, el inventario: registrar todos los scripts, rastreadores y servicios de terceros activos en el sitio web y asignar a cada uno una base jurídica. En segundo lugar, comprobar el banner para verificar que rechazar es tan fácil como aceptar y que realmente nada se carga antes del consentimiento. En tercer lugar, protocolizar los consentimientos de forma que superen cualquier auditoría, para que en caso de disputa se pueda demostrar quién, cuándo y a qué dio su consentimiento.

En cuarto lugar, cotejar la política de privacidad con el estado técnico real, en lugar de mantenerla como un texto estándar. En quinto lugar, establecer un plan de reacción para el caso de recibir un requerimiento extrajudicial: personas de contacto fijas, un control estricto de los plazos y la regla de no firmar ninguna declaración sin una revisión jurídica previa. Este último punto previene los errores más costosos, porque frena las reacciones irreflexivas.

Preguntas frecuentes

¿Pueden realmente los competidores interponer requerimientos por infracciones de protección de datos?

Sí, en determinadas circunstancias. El Tribunal Federal de Justicia ha confirmado, en sus sentencias del 27 de marzo de 2025 (n.º I ZR 222/19 y I ZR 223/19), que las infracciones del RGPD pueden ser perseguidas por los competidores a través del derecho de competencia como actos de competencia desleal, siempre que se cumplan los requisitos de la Ley contra la Competencia Desleal. De este modo, existe una vía de ejecución adicional junto a la autoridad de control.

¿Conlleva toda infracción automáticamente una indemnización por daños y perjuicios?

No. Según la jurisprudencia del TJUE y el Tribunal Federal de Justicia, una reclamación basada en el artículo 82 del RGPD requiere una infracción, un daño concreto y una relación causal entre ambos. Un tribunal puede considerar la mera pérdida de control sobre los datos como un daño moral, pero un riesgo puramente hipotético no es suficiente.

¿Qué elemento del sitio web es objeto de reclamación con más frecuencia?

El banner de cookies. Es fácil de comprobar desde fuera, y deficiencias como las casillas marcadas por defecto o el rastreo previo al consentimiento son rápidamente visibles. Estrechamente relacionados con esto están los servicios de terceros integrados que transfieren datos a servidores externos sin una base jurídica clara.

¿Cómo debe reaccionar una empresa ante un requerimiento extrajudicial?

Con prudencia y tras un análisis exhaustivo. Anotar los plazos, documentar los hechos y no firmar ninguna declaración de cese y desistimiento sin revisarla previamente. Dicha declaración tiene efectos a largo plazo y conlleva una penalización contractual, por lo que debe ser evaluada jurídicamente antes de su firma.

¿Cuál es la medida preventiva más eficaz?

Unos valores predeterminados técnicos impecables y una documentación sólida. Quien conoce todos los flujos de datos, asigna una base jurídica a cada tratamiento, protocoliza los consentimientos y revisa periódicamente el banner, reduce tanto el riesgo de requerimientos como la probabilidad de sufrir un daño demostrable.

Consejos de lectura de la redacción

Más del MBF Media Netzwerk

cloudmagazin

Coolify en prueba: Self-Hosting en lugar de Vercel y Heroku

mybusinessfuture

Lo que cuesta una vacante no cubierta para la PYME

digital-chiefs

La IA ha estropeado el proceso de contratación – lo que importa ahora

Imagen principal: generada por IA (junio 2026)

Fuente de la imagen: generada por IA (junio 2026), certificado C2PA incrustado en la imagen

Lectura adicional

Ein Magazin der Evernine Media GmbH