In Zusammenarbeit mit Kanzlei Föhlisch

BGH: Kein Schadensersatz nach DSGVO für Zusendung einer Werbe-E-Mail ohne Einwilligung

Jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entsteht, hat gemäß Art. 82 Abs. 1 DSGVO einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Der BGH (Urt. v. 28.1.2024 – VI 109/23) entschied nun, dass allein die Zusendung einer Werbe-E-Mail ohne Einwilligung und damit ein Verstoß gegen die DSGVO für sich genommen nicht ausreiche, um einen Schadensersatzanspruch zu begründen.

Der Kläger kaufte im Januar 2019 vom Beklagten Aufkleber für seinen Briefkasten mit der Aufschrift „Betteln und Hausieren verboten“. Mit E-Mail vom 20. 3.2020 meldete sich der Beklagte beim Kläger und warb damit, weiterhin für ihn da zu sein, trotz der Corona-Pandemie stehe der volle Service zur Verfügung. Der Kläger übersandte dem Beklagten noch am selben Tag eine E-Mail, mit der er der „Verarbeitung oder Nutzung“ seiner Daten „für Zwecke der Werbung oder der Markt- oder Meinungsforschung auf jeglichem Kommunikationsweg“ widersprach. Er verlangte neben der Abgabe einer strafbewehrten Unterlassungserklärung auch „Schmerzensgeld gem. Art. 82 DSGVO“ in Höhe von 500 €. Diesen Text sandte der Kläger am 6. April 2020 nochmals per Fax an den Beklagten.

Mit seiner Klage hat der Kläger beantragt, dem Beklagten zu untersagen, mit dem Kläger per E-Mail zu Werbezwecken ohne seine Einwilligung Kontakt aufzunehmen. Außerdem hat er beantragt, den Beklagten zur Zahlung eines angemessenen „Schmerzensgeldes“ in Höhe von mindestens 500 € nebst Zinsen zu verurteilen. Der Beklagte hat den Unterlassungsantrag anerkannt. Das AG Tuttlingen (Urt. v. 18.11.2022 – 1 C 392/21) hat den Beklagten seinem Teilanerkenntnis gemäß verurteilt und im Übrigen die Klage abgewiesen sowie die Berufung zugelassen. Das LG Rottweil (Urt. v. 15.3.2023 – 1 S 86/22) hat die Berufung des Klägers zurückgewiesen. Mit der vom Berufungsgericht zugelassenen Revision verfolgt der Kläger seinen Zahlungsantrag weiter.

Der BGH entschied nun, dass dem Kläger kein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO zustehe. Die reine Zusendung einer Werbe-E-Mail reiche nicht aus, um einen Schadensersatzanspruch zu begründen. Erforderlich sei der Eintritt eines Schadens.

Keine Erheblichkeitsschwelle für Schaden

Der BGH stellte jedoch zunächst klar, dass ein Anspruch des Klägers auf immateriellen Schadensersatz nicht mit der Begründung verneint werden könne, ein Schaden überschreite nicht einen bestimmten Grad an Schwere oder Erheblichkeit, also eine Bagatellgrenze. Hierzu verwies das Gericht auf die Rechtsprechung des EuGH. Entsprechend hatte das Berufungsgericht jedoch u.a. seine Entscheidung begründet.

Zu Recht wendet sich die Revision allerdings gegen die Ansicht des Berufungsgerichts, dem Kläger stehe schon deshalb kein Anspruch auf immateriellen Schadensersatz zu, da eine Bagatellgrenze nicht überschritten sei.

Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 31 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28). Weiter hat der Gerichtshof der Europäischen Union (im Folgenden: Gerichtshof) ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat (EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 26 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 29 mwN).

Das Berufungsgericht hat seine Entscheidung unter anderem damit begründet, dass der Kläger lediglich substanzlose und allgemeine Belästigungen dargelegt habe, die eine Bagatellgrenze nicht überschreiten würden. Nach den angeführten Grundsätzen kann ein Anspruch des Klägers auf immateriellen Schadensersatz jedoch nicht mit der Begründung verneint werden, ein Schaden überschreite einen bestimmten Grad an Schwere oder Erheblichkeit, also eine Bagatellgrenze, nicht.

Bloßer Verstoß gegen die DSGVO nicht ausreichend

Der BGH verwies auf die Rechtsprechung des EuGH, dass der bloße Verstoß gegen die DSGVO nicht ausreiche, um einen Schadensersatzanspruch auszulösen, sondern auch der Eintritt eines Schadens erforderlich sei. Diesen Schaden müsse der Kläger beweisen, was vorliegend jedoch nicht der Fall gewesen sei, wie das Berufungsgericht zutreffend entschieden habe. Es liege weder ein Kontrollverlust des Klägers über seine personenbezogenen Daten vor, noch habe er die Befürchtung eines entsprechenden Kontrollverlustes substantiiert dargelegt.

Das Berufungsgericht hat einen Anspruch des Klägers zu Recht aber deshalb verneint, weil der Kläger einen immateriellen Schaden bereits nicht hinreichend dargelegt hat.

Die Ablehnung einer Erheblichkeitsschwelle durch den Gerichtshof bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 27 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 29; jeweils mwN). Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 25 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN).

Das Berufungsgericht hat den Vortrag des Klägers - auch den Vortrag in der Klageschrift, auf den die Revision verweist - zu Recht als nicht hinreichend zur Darlegung eines immateriellen Schadens des Klägers angesehen. Deshalb bedarf es keiner Entscheidung, ob überhaupt ein Verstoß gegen die Datenschutz-Grundverordnung vorlag (Art. 95 DSGVO, Art. 13 Abs. 2 der Richtlinie 2002/58/EG, § 7 Abs. 3 UWG).

Aus diesem Vortrag ergibt sich jedoch nicht, dass dem Kläger durch die Verwendung seiner E-Mail-Adresse ohne Einwilligung zum Zweck der Zusendung einer Werbe-E-Mail ein immaterieller Schaden entstanden wäre. Es liegt weder ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor (hierzu unter aa)), noch ist die vom Kläger geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt (unter bb)). Das Berufungsgericht hat auch keine weiteren Umstände festgestellt, aus denen sich ein immaterieller Schaden ergäbe. Die Revision zeigt insoweit keinen übergangenen Vortrag auf (unter cc)).

Kein Kontrollverlust über Daten

Der BGH verwies wieder auf die bereits ergangene Rechtsprechung des EuGH. Dieser hatte entschieden, dass bereits der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen könne. Aber auch in diesem Fall müsse der Betroffene beweisen, dass er einen solchen in einem bloßen Kontrollverlust bestehenden Schaden erlitten hat. Dies sei nicht der Fall. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte, was jedoch nicht der Fall gewesen sei.

Der Gerichtshof hat in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO (vgl. ferner ErwG 75 DSGVO) klargestellt, dass schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteil vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137 - Agentsia po vpisvaniyata; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 30 mwN).

Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust als solchem bestehenden - Schaden erlitten hat (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31 mwN). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31).

Weder den Feststellungen des Berufungsgerichts noch den Angaben in der Klageschrift, auf die die Revision verweist, ist zu entnehmen, dass der Kläger aufgrund der Verwendung seiner E-Mail-Adresse zur Übersendung der Werbe-E-Mail am 20. März 2020 einen Kontrollverlust über seine personenbezogenen Daten erlitten hätte. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall (zu den Voraussetzungen eines Kontrollverlusts auch BAG, DB 2024, 3114 Rn. 18).

Befürchtung eines Missbrauchs nicht nachgewiesen

Wenn ein Kontrollverlust nicht nachgewiesen werden könne, genüge auch die begründete Befürchtung der betroffenen Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, um einen Schadensersatzanspruch zu begründen. Entsprechend hatte ebenfalls bereits der EuGH entschieden. Der Kläger äußerte hierzu allerdings nur die Befürchtung, dass der Beklagte die E-Mail-Adresse auch Dritten zugänglich gemacht habe, da dieser sie bereits ihm gegenüber unbefugt verwendet habe. Dies genüge als Nachweis nicht.

Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 67 - MediaMarktSaturn; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 36 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urteile vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 35 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN).

Die Revision verweist hierzu auf Vortrag des Klägers, aus dem sich die Befürchtung ergebe, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe. Damit legt der Kläger aber nur die - im Übrigen aus sich heraus nicht ohne Weiteres nachvollziehbare - Befürchtung weiterer Verstöße gegen die Datenschutz-Grundverordnung durch den Beklagten dar. Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen. Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß. Auch die von der Revision angeführte Abwehr der unerwünschten Werbung rechtfertigt den behaupteten Eindruck eines Kontrollverlusts für sich genommen nicht.

Fazit

Das Urteil des BGH verdeutlicht, dass ein bloßer Verstoß gegen die DSGVO keinen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DSGVO begründet. Voraussetzung für einen Schadensersatzanspruch ist der tatsächliche Eintritt eines Schadens, wobei auch immaterielle Schäden grundsätzlich von der Schadensersatzpflicht umfasst sind. Die Darlegungs- und Beweislast eines solchen Schadenseintritts trägt der Kläger bzw. die Klägerin.
06.03.25

Weitere relevante Artikel

LG Berlin: Abfrage des Kennwortes beim Kündigungsbutton zulässig

OLG Celle: Geltendmachung von Vertragsstrafe durch den IDO rechtsmissbräuchlich

OLG Celle: Kein verlängertes Widerrufsrecht wegen fehlender Telefonnummer in Belehrung

© 2024 Trusted Shops SE Impressum Datenschutz Cookies