30.11.2021

300 € Schadensersatz für eine einzige unerlaubte E-Mail

Schadensersatz wegen einer Verletzung des Datenschutzes – das gab es vor der DSGVO so gut wie nie. Inzwischen sieht das deutlich anders aus. Schon die Belästigung durch eine einzige unerlaubte Mail kann einen Schadensersatz in Höhe von 300 € rechtfertigen. Wehe, jemand hat dann 100 solcher unerlaubten Mails verschickt …

Schadensersatz unerlaubte E-Mail

Einmal ist eben nicht keinmal!

Eine unerwünschte Werbemail ist doch mit einem Klick gelöscht. Von einem Schaden, der einen Schadensersatz rechtfertigen würde, kann in solchen Fällen keine Rede sein. Argumentationen dieser Art waren vor Geltung der Datenschutz-Grundverordnung (DSGVO) allgemein üblich. Die Gerichte haben sie damals akzeptiert. Damit ist inzwischen Schluss.

Eine Frau schickt „Maskenwerbung“ an einen Anwalt

Stein des Anstoßes war eine Werbemail, die eine Frau an einen Rechtsanwalt schickte. Die Überschrift der Mail lautete: „Ihre Anfrage zu Kinder FFP 2 NR Masken“. Im Text der Mail selbst ging es um ein „Vorteilspaket FFP 2 Masken für Kinder und Erwachsene“.

Der Anwalt konnte sich beim besten Willen nicht daran erinnern, eine Anfrage für Corona-Masken gestellt zu haben. Deshalb wandte er sich an die Absenderin der E-Mail und fragte sie, woher sie denn seine Mailadresse hätte.

Die Frau hat Mailadressen im Netz gesammelt

Die Erklärung der Frau war etwas eigentümlich: Angeblich hatte sie sich an ihrem Heimatort wegen einer Rechtsberatung umgesehen. Dabei sei ihr die Mailadresse des Rechtsanwalts aufgefallen. Der Bedarf für eine Rechtsberatung habe sich dann irgendwie erledigt. Die Mailadresse habe sie trotzdem von Hand aufgeschrieben und später bei der Mailing-Aktion verwendet. Die ganze Mailing-Aktion habe auf Kontaktdaten beruht, die sie manuell erfasst habe.

Sie gibt eine Unterlassungserklärung ab

Das passte dem Rechtsanwalt überhaupt nicht. Er forderte die Frau auf, eine Unterlassungserklärung abzugeben. Das tat sie. Sie verpflichtete sich, ihm künftig keine Werbemails mehr zu schicken.

Newsletter abonnieren

Jetzt will der Anwalt auch noch Schadensersatz

Das akzeptierte der Anwalt. Erledigt ist die Sache damit aus seiner Sicht aber noch nicht. Nun geht es ihm noch um Schadensersatz.

Der Rechtsanwalt argumentiert, er verwende die Mailadresse für seine anwaltliche Tätigkeit. Deshalb habe er ein besonderes Interesse daran, dass gerade diese Mailadresse nicht für Werbezwecke missbraucht werde. Er müsse nämlich alle Mails, die unter seiner „Anwalts-Mailadresse“ eingehen, mit besonderer Sorgfalt bearbeiten.

Die Frau hält alles für harmlos

Die Frau sieht nicht ein, dass sie Schadensersatz zahlen soll. Schließlich sei die Mailadresse des Anwalts im Internet frei zugänglich gewesen.

Das Gericht spricht 300 € Schadensersatz zu

Mit dieser Argumentation hat die Frau beim Gericht kein Glück. Das Gericht ist vielmehr der Auffassung, dass dem Rechtsanwalt ein Schadensersatz in Höhe von 300 € zusteht. Dabei argumentiert das Gericht wie folgt:

Die Frau hat ohne Rechtsgrundlage Daten verarbeitet

  • Es steht außer Frage, dass die Frau die Mailadresse des Rechtsanwalts verarbeitet hat (Verarbeitung gemäß Art. 4 Nr, 2 DSGVO) und dass die Mailadresse personenbezogen ist.
  • Einen rechtfertigenden Grund im Sinn von Art. 6 Abs. 1 DSGVO kann sie dafür nicht anführen.

Eine Einwilligung wäre nötig gewesen

  • Dass der Rechtsanwalt in die Verarbeitung der Daten eingewilligt hätte, behauptet nicht einmal sie selbst. Eine Werbung mittels E-Mail-Marketing ist jedoch nur mit einer solchen Einwilligung zulässig. Das ergibt sich aus § 7 Abs. 3 des Gesetzes gegen unlauteren Wettbewerb (UWG).

Die Berufung auf „berechtigte Interessen“ reicht nicht aus

  • Die Frau kann sich auch nicht auf berechtigte Interessen berufen, die gegenüber den Interessen des Rechtsanwalts überwiegen würden. Diese Konstellation ist in Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO geregelt.
  • Dabei kommt es gemäß Erwägungsgrund 47 zur DSGVO maßgeblich darauf an, ob die betroffene Person vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung ihrer Daten für diesen Zweck erfolgen wird, hier also für den Zweck „Werbung“.
  • In diesem Zusammenhang hält Erwägungsgrund 47 auch fest, dass die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung ein berechtigtes Interesse darstellen kann.
  • Das gibt Werbetreibenden jedoch keinen Freibrief. Vielmehr dürfen sie dabei nicht ausblenden, dass § 7 Abs. 3 UWG eine Werbung per Mail nur mit einer Erlaubnis der betroffenen Person zulässt. Zwar handelt es sich bei § 7 UWG um eine Vorschrift des nationalen Rechts. Sie dient jedoch der Umsetzung der Richtlinie 2002/58/EG und damit der Umsetzung einer europarechtlichen Regelung. Sie darf deshalb nicht durch eine zu weite Auslegung der DSGVO unterlaufen werden.

Schadensersatz gibt es auch für scheinbare Bagatellen

Der Anspruch auf Schadensersatz ergibt sich aus Art. 82 DSGVO. Die DSGVO gewährt einen Anspruch auf Schadensersatz nicht erst dann, wenn eine „Schwelle der Erheblichkeit“ überschritten ist. Vielmehr löst prinzipiell jeder Verstoß gegen die DSGVO ein Anspruch auf Schadensersatz aus. Die Erheblichkeit des Eingriffs spielt nur für die Höhe des Anspruchs eine Rolle, dagegen nicht für die Frage, ob überhaupt ein solcher Anspruch besteht.

Schäden müssen nicht in Geld messbar sein

Ein materieller Schaden ist im vorliegenden Fall nicht eingetreten. Darunter versteht man Schäden, die mit Geld „repariert“ werden können. Ein solcher materieller Schaden ist jedoch auch nicht notwendig. Vielmehr gilt nach Auffassung des Gerichts:

Achtung

Schon ein ungutes Gefühl kann ein Schaden sein

„Der Schaden kann auch bereits etwa in dem unguten Gefühl liegen, dass personenbezogener Daten Unbefugten bekannt geworden sind, insbesondere wenn nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden.“

Weiter führt das Gericht aus: „unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilflosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert.“

Erwägungsgrund 75 zur DSGVO nennt den „Kontrollverlust“ ausdrücklich als einen möglichen Schaden. Die Notwendigkeit, sich mit der Abwehr unerwünschter Werbung auseinanderzusetzen, kann zu einem Gefühl des Kontrollverlustes führen. Auch Ängste, Stress und Zeiteinbußen kommen als Schaden in Betracht.

Das Gericht wägt sorgfältig ab

Das Gericht erörtert genau, was für einen Anspruch auf Schadensersatz spricht und was dagegen:

  • Im vorliegenden Fall beschränken sich die Auswirkungen auf den eigenen Bereich des Klägers. Beziehungen des Klägers zu außenstehenden Dritten waren nicht betroffen. Sein Ansehen und seine Kreditwürdigkeit wurden nach außen nicht beeinträchtigt. Diese Aspekte sprechen dafür, den Schadensersatz nicht zu hoch anzusetzen.
  • Andererseits hat die Frau gegen eine Reihe von Vorschriften der DSGVO verstoßen. Insbesondere hat sie den Rechtsanwalt nicht über die Verarbeitung seiner Daten informiert. Dazu wäre sie jedoch gemäß Art. 14 DSGVO verpflichtet gewesen, und zwar unaufgefordert. Außerdem hat sie ihm zunächst keine korrekte Auskunft über die Verarbeitung der Daten gemäß Art. 15 DSGVO erteilt. Dies spricht dafür, den Schadensersatz nicht zu niedrig zu bemessen.

Sanktionen müssen weh tun

Im Ergebnis erscheint ein Schadensersatz in Höhe von 300 € angemessen. Dabei berücksichtigt das Gericht den Gedanken, dass Verstöße gegen die DSGVO wirksam sanktioniert werden müssen. Nur so kann die DSGVO ihre Wirkung entfalten.

Eine Mailingaktion kann richtig teuer werden

Da die Frau selbst von einer Mailing-Aktion gesprochen hat, ist zu vermuten, dass sie eine ganze Reihe entsprechender Mails an unterschiedliche Adressaten geschickt hat. Jeder dieser Adressaten könnte getrennt Schadensersatz fordern. Es gibt insoweit auch keinen „Mengenrabatt“, weil der Anspruch jeder einzelnen Person getrennt zu beachten ist.

Wichtig

Aus 300 € je E-Mail werden schnell 40.000 € insgesamt

Im Ergebnis heißt dies: Wenn die Frau beispielsweise 100 solcher Mails an 100 verschiedene Adressaten versandt hätte, könnte jeder von ihnen getrennt Schadensersatz fordern. Unterstellt, dass 300 € Schadensersatz pro Person angemessen sind, sähe sich die Frau Ansprüchen in Höhe von insgesamt 30.000 € ausgesetzt. Die Kosten für die Gerichtsverfahren und die jeweiligen Rechtsanwälte kämen noch hinzu. Setzt man diese Kosten überschlägig mit 10.000 € insgesamt an, hätte die Frau alles in allem 40.000 € zu tragen.

Die DSGVO gilt auch für die „händische Verarbeitung“

Etwas hilflos wirkt das Argument der Frau, sie hätte lediglich frei zugängliche Adressen von Hand erfasst. Dahinter steckt wohl der etwas diffuse Gedanke, dass dies für die DSGVO nicht relevant sein kann, weil dabei keine EDV im Spiel war.

Das stimmt deshalb nicht, weil die Adressen aus dem Internet stammten und das Internet natürlich nur mithilfe von EDV zugänglich ist. Zum andern erfasst die DSGVO – anders als frühere Datenschutzgesetze – sehr wohl auch die „manuelle Datenverarbeitung“ ohne Einsatz von EDV.

Die Berufung gegen das Urteil ist ausdrücklich zugelassen

Das Gericht hat die Berufung gegen sein Urteil ausdrücklich zugelassen. Dazu bestand auch aller Anlass. Denn immerhin hat das Amtsgericht Goslar in einem nahezu identischen Fall einen Schadensersatzanspruch abgelehnt.

Sein Argument: Es wäre unangemessen, für Bagatellenverletzungen der DSGVO einen Schadensersatz zu gewähren. Eine Berufung hat das Amtsgericht Goslar dabei nicht zugelassen. Das hat ihm die Rüge des Bundesverfassungsgerichts eingehandelt, dass es den Rechtsstreit dann dem Europäischen Gerichtshof hätte vorlegen müssen (Beschluss des Bundesverfassungsgerichts vom 14. Januar 2021 – 1 BvR 2853/19; dieser Beschluss ist abrufbar unter https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2021/01/rk20210114_1bvr285319.html).

Ob der Kläger Berufung eingelegt hat, ist im Augenblick noch nicht bekannt.

Das Urteil des Amtsgerichts Pfaffenhofen an der Ilm vom 9.9.2021 – 2 C 133/21 ist abrufbar unter https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2021-N-27106?hl=true.

Autor*in: Dr. Eugen Ehmann (Dr. Ehmann ist Regierungsvizepräsident von Mittelfranken und ist seit Jahren im Datenschutz aktiv.)