Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
19. November 2021

300 € Schadensersatz für eine einzige unerlaubte E-Mail

Ein kleiner Schadesnersatz für eine Mail kann sich schnell aufsummieren, wenn die beanstandete Mail an zig Empfänger ging
Bild: iStock.com / tolgart
4,20 (5)
drucken
Inhalte in diesem Beitrag
Datenschutz-Verstöße
Schadensersatz wegen einer Verletzung des Datenschutzes – das gab es vor der DSGVO so gut wie nie. Inzwischen sieht das deutlich anders aus. Schon die Belästigung durch eine einzige unerlaubte Mail kann einen Schadensersatz in Höhe von 300 € rechtfertigen. Wehe, jemand hat dann 100 solcher unerlaubten Mails verschickt …

Einmal ist eben nicht keinmal!

Eine unerwünschte Werbemail ist doch mit einem Klick gelöscht. Von einem Schaden, der einen Schadensersatz rechtfertigen würde, kann in solchen Fällen keine Rede sein. Argumentationen dieser Art waren vor Geltung der Datenschutz-Grundverordnung (DSGVO) allgemein üblich. Die Gerichte haben sie damals akzeptiert. Damit ist inzwischen Schluss.

Eine Frau schickt „Maskenwerbung“ an einen Anwalt

Stein des Anstoßes war eine Werbemail, die eine Frau an einen Rechtsanwalt schickte. Die Überschrift der Mail lautete: „Ihre Anfrage zu Kinder FFP 2 NR Masken“. Im Text der Mail selbst ging es um ein „Vorteilspaket FFP 2 Masken für Kinder und Erwachsene“.

Der Anwalt konnte sich beim besten Willen nicht daran erinnern, eine Anfrage für Corona-Masken gestellt zu haben. Deshalb wandte er sich an die Absenderin der E-Mail und fragte sie, woher sie denn seine Mailadresse hätte.

Die Frau hat Mailadressen im Netz gesammelt

Die Erklärung der Frau war etwas eigentümlich: Angeblich hatte sie sich an ihrem Heimatort wegen einer Rechtsberatung umgesehen. Dabei sei ihr die Mailadresse des Rechtsanwalts aufgefallen. Der Bedarf für eine Rechtsberatung habe sich dann irgendwie erledigt. Die Mailadresse habe sie trotzdem von Hand aufgeschrieben und später bei der Mailing-Aktion verwendet. Die ganze Mailing-Aktion habe auf Kontaktdaten beruht, die sie manuell erfasst habe.

Sie gibt eine Unterlassungserklärung ab

Das passte dem Rechtsanwalt überhaupt nicht. Er forderte die Frau auf, eine Unterlassungserklärung abzugeben. Das tat sie. Sie verpflichtete sich, ihm künftig keine Werbemails mehr zu schicken.

Jetzt will der Anwalt auch noch Schadensersatz

Das akzeptierte der Anwalt. Erledigt ist die Sache damit aus seiner Sicht aber noch nicht. Nun geht es ihm noch um Schadensersatz.

Der Rechtsanwalt argumentiert, er verwende die Mailadresse für seine anwaltliche Tätigkeit. Deshalb habe er ein besonderes Interesse daran, dass gerade diese Mailadresse nicht für Werbezwecke missbraucht werde. Er müsse nämlich alle Mails, die unter seiner „Anwalts-Mailadresse“ eingehen, mit besonderer Sorgfalt bearbeiten.

Die Frau hält alles für harmlos

Die Frau sieht nicht ein, dass sie Schadensersatz zahlen soll. Schließlich sei die Mailadresse des Anwalts im Internet frei zugänglich gewesen.

Das Gericht spricht 300 € Schadensersatz zu

Mit dieser Argumentation hat die Frau beim Gericht kein Glück. Das Gericht ist vielmehr der Auffassung, dass dem Rechtsanwalt ein Schadensersatz in Höhe von 300 € zusteht. Dabei argumentiert das Gericht wie folgt:

Die Frau hat ohne Rechtsgrundlage Daten verarbeitet

  • Es steht außer Frage, dass die Frau die Mailadresse des Rechtsanwalts verarbeitet hat (Verarbeitung gemäß Art. 4 Nr, 2 DSGVO) und dass die Mailadresse personenbezogen ist.
  • Einen rechtfertigenden Grund im Sinn von Art. 6 Abs. 1 DSGVO kann sie dafür nicht anführen.

Eine Einwilligung wäre nötig gewesen

  • Dass der Rechtsanwalt in die Verarbeitung der Daten eingewilligt hätte, behauptet nicht einmal sie selbst. Eine Werbung mittels E-Mail-Marketing ist jedoch nur mit einer solchen Einwilligung zulässig. Das ergibt sich aus § 7 Abs. 3 des Gesetzes gegen unlauteren Wettbewerb (UWG).

Die Berufung auf „berechtigte Interessen“ reicht nicht aus

  • Die Frau kann sich auch nicht auf berechtigte Interessen berufen, die gegenüber den Interessen des Rechtsanwalts überwiegen würden. Diese Konstellation ist in Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO geregelt.
  • Dabei kommt es gemäß Erwägungsgrund 47 zur DSGVO maßgeblich darauf an, ob die betroffene Person vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung ihrer Daten für diesen Zweck erfolgen wird, hier also für den Zweck „Werbung“.
  • In diesem Zusammenhang hält Erwägungsgrund 47 auch fest, dass die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung ein berechtigtes Interesse darstellen kann.
  • Das gibt Werbetreibenden jedoch keinen Freibrief. Vielmehr dürfen sie dabei nicht ausblenden, dass § 7 Abs. 3 UWG eine Werbung per Mail nur mit einer Erlaubnis der betroffenen Person zulässt. Zwar handelt es sich bei § 7 UWG um eine Vorschrift des nationalen Rechts. Sie dient jedoch der Umsetzung der Richtlinie 2002/58/EG und damit der Umsetzung einer europarechtlichen Regelung. Sie darf deshalb nicht durch eine zu weite Auslegung der DSGVO unterlaufen werden.

Schadensersatz gibt es auch für scheinbare Bagatellen

Der Anspruch auf Schadensersatz ergibt sich aus Art. 82 DSGVO. Die DSGVO gewährt einen Anspruch auf Schadensersatz nicht erst dann, wenn eine „Schwelle der Erheblichkeit“ überschritten ist. Vielmehr löst prinzipiell jeder Verstoß gegen die DSGVO ein Anspruch auf Schadensersatz aus. Die Erheblichkeit des Eingriffs spielt nur für die Höhe des Anspruchs eine Rolle, dagegen nicht für die Frage, ob überhaupt ein solcher Anspruch besteht.

Schäden müssen nicht in Geld messbar sein

Ein materieller Schaden ist im vorliegenden Fall nicht eingetreten. Darunter versteht man Schäden, die mit Geld „repariert“ werden können. Ein solcher materieller Schaden ist jedoch auch nicht notwendig. Vielmehr gilt nach Auffassung des Gerichts:

Achtung
Schon ein ungutes Gefühl kann ein Schaden sein

„Der Schaden kann auch bereits etwa in dem unguten Gefühl liegen, dass personenbezogener Daten Unbefugten bekannt geworden sind, insbesondere wenn nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden.“

Weiter führt das Gericht aus: „unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilflosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert.“

Erwägungsgrund 75 zur DSGVO nennt den „Kontrollverlust“ ausdrücklich als einen möglichen Schaden. Die Notwendigkeit, sich mit der Abwehr unerwünschter Werbung auseinanderzusetzen, kann zu einem Gefühl des Kontrollverlustes führen. Auch Ängste, Stress und Zeiteinbußen kommen als Schaden in Betracht.

Das Gericht wägt sorgfältig ab

Das Gericht erörtert genau, was für einen Anspruch auf Schadensersatz spricht und was dagegen:

  • Im vorliegenden Fall beschränken sich die Auswirkungen auf den eigenen Bereich des Klägers. Beziehungen des Klägers zu außenstehenden Dritten waren nicht betroffen. Sein Ansehen und seine Kreditwürdigkeit wurden nach außen nicht beeinträchtigt. Diese Aspekte sprechen dafür, den Schadensersatz nicht zu hoch anzusetzen.
  • Andererseits hat die Frau gegen eine Reihe von Vorschriften der DSGVO verstoßen. Insbesondere hat sie den Rechtsanwalt nicht über die Verarbeitung seiner Daten informiert. Dazu wäre sie jedoch gemäß Art. 14 DSGVO verpflichtet gewesen, und zwar unaufgefordert. Außerdem hat sie ihm zunächst keine korrekte Auskunft über die Verarbeitung der Daten gemäß Art. 15 DSGVO erteilt. Dies spricht dafür, den Schadensersatz nicht zu niedrig zu bemessen.

Sanktionen müssen weh tun

Im Ergebnis erscheint ein Schadensersatz in Höhe von 300 € angemessen. Dabei berücksichtigt das Gericht den Gedanken, dass Verstöße gegen die DSGVO wirksam sanktioniert werden müssen. Nur so kann die ie DSGVO ihre Wirkung entfalten.

Eine Mailingaktion kann richtig teuer werden

Da die Frau selbst von einer Mailing-Aktion gesprochen hat, ist zu vermuten, dass sie eine ganze Reihe entsprechender Mails an unterschiedliche Adressaten geschickt hat. Jeder dieser Adressaten könnte getrennt Schadensersatz fordern. Es gibt insoweit auch keinen „Mengenrabatt“, weil der Anspruch jeder einzelnen Person getrennt zu beachten ist.

Wichtig
Aus 300 € je E-Mail werden schnell 40.000 € insgesamt

Im Ergebnis heißt dies: Wenn die Frau beispielsweise 100 solcher Mails an 100 verschiedene Adressaten versandt hätte, könnte jeder von ihnen getrennt Schadensersatz fordern. Unterstellt, dass 300 € Schadensersatz pro Person angemessen sind, sähe sich die Frau Ansprüchen in Höhe von insgesamt 30.000 € ausgesetzt. Die Kosten für die Gerichtsverfahren und die jeweiligen Rechtsanwälte kämen noch hinzu. Setzt man diese Kosten überschlägig mit 10.000 € insgesamt an, hätte die Frau alles in allem 40.000 € zu tragen.

Die DSGVO gilt auch für die „händische Verarbeitung“

Etwas hilflos wirkt das Argument der Frau, sie hätte lediglich frei zugängliche Adressen von Hand erfasst. Dahinter steckt wohl der etwas diffuse Gedanke, dass dies für die DSGVO nicht relevant sein kann, weil dabei keine EDV im Spiel war.

Das stimmt deshalb nicht, weil die Adressen aus dem Internet stammten und das Internet natürlich nur mithilfe von EDV zugänglich ist. Zum andern erfasst die DSGVO – anders als frühere Datenschutzgesetze – sehr wohl auch die „manuelle Datenverarbeitung“ ohne Einsatz von EDV.

Die Berufung gegen das Urteil ist ausdrücklich zugelassen

Das Gericht hat die Berufung gegen sein Urteil ausdrücklich zugelassen. Dazu bestand auch aller Anlass. Denn immerhin hat das Amtsgericht Goslar in einem nahezu identischen Fall einen Schadensersatzanspruch abgelehnt.

Sein Argument: Es wäre unangemessen, für Bagatellenverletzungen der DSGVO einen Schadensersatz zu gewähren. Eine Berufung hat das Amtsgericht Goslar dabei nicht zugelassen. Das hat ihm die Rüge des Bundesverfassungsgerichts eingehandelt, dass es den Rechtsstreit dann dem Europäischen Gerichtshof hätte vorlegen müssen (Beschluss des Bundesverfassungsgerichts vom 14. Januar 2021 – 1 BvR 2853/19; dieser Beschluss ist abrufbar unter https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2021/01/rk20210114_1bvr285319.html).

Ob der Kläger Berufung eingelegt hat, ist im Augenblick noch nicht bekannt.

Das Urteil des Amtsgerichts Pfaffenhofen an der Ilm vom 9.9.2021 – 2 C 133/21 ist abrufbar unter https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2021-N-27106?hl=true.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Urteil
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Verwandte Beiträge
11. November 2024
DP+
Der Europäische Gerichtshof (EuGH) hat zwei wichtige Entscheidungen getroffen. Ein Fall beschreibt das Versagen von technischen, der andere das Versagen von organisatorischen Maßnahmen.
Bild: iStock.com/Flashvector

EuGH: Risikomanagement ja, Risikofreiheit nein

Urteil
EuGH Urteil
08. November 2024
Kontaktdaten eines Datenschutzbeauftragten - hier symbolisiert durch ein @-Zeichen, einen Briefumschlag und ein Telefonhörer
Bild: peterschreiber.media/iStock/Getty Images Plus

„Kontaktdaten“ eines DSB

Urteil
Urteil
15. Juni 2021
DP+
Auskunft: Der Schlüssel, um Schadenersatzansprüche und Geldbußen zu vermeiden, ist die richtige Organisation im Betrieb
Bild: iStock.com / Vertigo3d

DSGVO: Auskunftspflicht verletzt, Schadenersatz berechtigt?

Hintergrund
EuGH Urteil
04. Mai 2021
Beim Schadenersatz nach DSGVO geht es zwar in den bisherigen Urteilen nicht um Millionensummen. Doch die Wahrscheinlichkeit, vor Gericht mit Schadenersatz konfrontiert zu sein, ist wesentlich höher, als ein Bußgeldverfahren zu erleben.
Bild: iStock.com / muhamad rukmana

Schadensersatz nach DSGVO: Das zeigen aktuelle Urteile

Ratgeber
EuGH Urteil
22. Juli 2020
Schadenersatzansprüche: Das unterschätzte Risiko der DSGVO
Bild: iStock.com / peterschreiber.media

Schadenersatzansprüche: Das unterschätzte Risiko der DSGVO

Analyse
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.