Ihre Kontakte
Das Amtsgericht Diez hatte sich in einem jüngst ergangenen Entscheid mit der Frage auseinanderzusetzen, ob und gegebenenfalls in welcher Höhe dem Empfänger eines unerwünschten Newsletters ein Schadenersatzanspruch aufgrund eines Verstosses gegen die DSGVO zusteht. Das Amtsgericht Dietz hatte sich damit als erstes deutsches Gericht mit der noch wenig beachteten Rechtsfrage auseinanderzusetzen, ab wann ein Schaden anzunehmen ist und ob eine Bagatellgrenze besteht. Das Gericht gelangte zwar zum Schluss, eine schwere Verletzung des Persönlichkeitsrechts sei für die Begründung eines Schadenersatzanspruchs nach der DSGVO – im Unterschied zur früheren Rechtslage in Deutschland –nicht erforderlich. Gleichwohl verneinte es aber einen Schadenersatzanspruch mit der Begründung, ein blosser Bagatellverstoss gegen die DSGVO ohne ernsthafte Beeinträchtigung vermöge keinen Schadenersatzanspruch auszulösen.
Versenden einer unerwünschten E-Mail
Anlass für den Streit gab eine E-Mail, welche die Beklagte am 25.05.2018 – am Tag an dem die DSGVO in Kraft trat – an sämtliche Kunden ihres Onlineshops versendete, um die gemäss der europäischen Datenschutzgrundverordnung (DSGVO) erforderliche Einwilligung in den weiteren Erhalt des E-Mail-Newsletters einzuholen (vgl. dazu MLL-News vom 13. Februar 2018, MLL-News vom 30. Juli 2017 und MLL-News vom 14. Januar 2016). Diese E-Mail wurde unter anderem auch an den Kläger – einen Rechtsanwalt – geschickt. Problematisch war dabei, dass bereits bei der Versendung dieser E-Mails die Anforderungen der DSGVO eingehalten werden müssen.
Der Kläger war der Ansicht, dass diese Voraussetzungen nicht gegeben waren und damit eine unrechtmässige Verarbeitung von personenbezogenen Daten vorlag. Nach Erhalt der E-Mail mahnte der Kläger die Beklagte vorerst ab. Letztere reagierte allerdings nicht darauf. Daraufhin klagte der Kläger beim Landgericht Koblenz auf Unterlassung, Auskunft und Schadenersatz in der Höhe von mindestens EUR 500. Die Beklagte anerkannte den Unterlassungsantrag und erteile Auskunft. Zudem hatte die Beklagte dem Kläger bereits aussergerichtlich und freiwillig ein Schmerzensgeld in der Höhe von EUR 50 für den Versand der unerwünschten E-Mail bezahlt. Mit diesem Betrag gab sich der Kläger jedoch nicht zufrieden und klagte vor dem Amtsgericht Dietz auf Schadenersatz in der Höhe von mindestens EUR 500.
Schadenersatzanspruch und Schadensbegriff unter der DSGVO
Vorliegend machte der Kläger einen Anspruch aus Art. 82 Abs. 1 DSGVO geltend, gemäss welchem jeder Person, der infolge eines DSGVO-Verstosses (in casu pauschal: Art. 6 DSGVO) ein Schaden entstanden ist, ein Schadenersatzanspruch gegenüber dem Verantwortlichem zusteht. Der Nachweis dieses Schadens sowie dessen Höhe obliegt dabei den Betroffenen. Dieser steht nicht nur ein Schadenersatz für den materiell erlittenen Schaden zu, sondern auch ein Anspruch auf Schmerzensgeld für den Ersatz des erlittenen immateriellen Schadens. Letzteres machte der Kläger aufgrund der durch die unerwünscht erhaltene E-Mail entstandenen Unannehmlichkeiten geltend.
Sowohl die DSGVO, als auch die Erwägungsgründe schweigen zur Frage, wann ein Schaden im Sinne dieser Bestimmung vorliegt und wie dieser zu berechnen ist. Ein allgemeiner Hinweis ergibt sich lediglich aus Erwägungsgrund 146 der DSGVO, gemäss welchem die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten soll. Um die Ziele der DSGVO zu erreichen soll der Schadensbegriff weit ausgelegt werden. Folglich ist die Schwelle für die Annahme eines potenziellen Schadens niedrig. Ob allerdings gleichwohl eine Bagatellgrenze besteht, lässt sich dem Erwägungsgrund nicht entnehmen.
Kein Erfordernis einer schweren Persönlichkeitsverletzung
Vor Anwendung der DSGVO hatte die deutsche Rechtsprechung immateriellen Schadenersatz nur bei schwerwiegenden Persönlichkeitsverletzungen bejaht. In diesem Entscheid vertrat das Amtsgericht die Ansicht, dass dies im Vergleich zur alten Rechtslage zur Begründung eines Schadensersatzanspruchs nun nicht mehr erforderlich ist. Dies bedeute allerdings nicht, wie bereits Art. 82 Abs. 1 DSGVO zu entnehmen sei, dass jeder Verstoss gegen die DSGVO den Verantwortlichen direkt zu Schadenersatz verpflichten würde. Dem Betroffenen sei für einen lediglich bagatellartigen DSGVO-Verstoss ohne ernsthafte Beeinträchtigung bzw. für jede bloss individuell empfundene Unannehmlichkeit, kein Schadenersatz zu gewähren. Dem Gericht zufolge muss dem Betroffenen ein spürbarer Nachteil entstanden sein, wobei zusätzlich eine persönlichkeitsbezogene Beeinträchtigung mit gewissem Gewicht, welche objektiv nachvollziehbar ist, vorausgesetzt wird.
Damit stellte das Gericht klar, dass trotz der weiten Auslegung des Schadensbegriffs Bagatellverstösse für die Begründung eines Schadenersatzanspruchs nicht ausreichen und dass es eine untere Grenze gibt.
Schmerzensgeld von EUR 50 für unerwünschte E-Mail ausreichend
Im Hinblick auf die bereits aussergerichtlich von der Beklagten bezahlten EUR 50, hielt das Gericht fest, dass dieser Betrag den Anspruch auf Schmerzensgeld, soweit ein solcher überhaupt zu bejahen wäre, bereits abgelte. Gemäss den Ausführungen des Gerichts hätte ein weitergehendes Schmerzensgeld für eine einzige E-Mail nicht mehr der Angemessenheit entsprochen. Das Gericht bezweifelte indessen bereits, ob der geltend gemachte Schadenersatzanspruch aus Art. 82 DSGVO bei einer einzigen versendeten unerwünschten E-Mail überhaupt besteht. Dies insbesondere darum, weil die von der Beklagten versandte E-Mail bezweckte, die Einwilligungen von den betroffenen Personen einzuholen. Diese Frage liess das Gericht aufgrund der bereits erfolgten aussergerichtlichen Schmerzensgeldzahlung allerdings ausdrücklich offen.
Fazit und Anmerkung
Zusammenfassend lässt sich festhalten, dass ein Verstoss gegen die DSGVO nicht unmittelbar zu einem Schadenersatzanspruch führt. Hingegen lässt sich dem Entscheid entnehmen, dass eine schwere Persönlichkeitsverletzung jedenfalls nicht mehr erforderlich ist, um einen Anspruch auf Schmerzensgeld nach der DSGVO zu begründen. Nicht ausreichend bleibt jedoch das Vorliegen eines blossen Bagatellverstosses ohne ernsthafte Beeinträchtigung. Abzuwarten bleibt nun, ob sich die vom Amtsgericht Diez vertretene Ansicht in der künftigen Rechtsprechung durchsetzen wird. Eines der Ziele der DSGVO ist es, die Rechte der Betroffenen effektiv zu schützen. Aus diesem Grund erscheint es nicht als unwahrscheinlich, dass künftige mit dieser Thematik befasste Gerichte eine datenschutzfreundlichere Argumentation vertreten.
Auch nach dem Entscheid bleibt weiterhin offen, wie schwer ein Verstoss gegen die DSGVO zu sein hat, um einen Schmerzensgeldanspruch zu begründen und welche Grenzen für Bagatellfälle bestehen. Das Amtsgericht Diez setzt mit seinem Entscheid nur aber immerhin bereits einen ersten Richtwert.
Blick auf die Rechtslage in der Schweiz
Auch in der Schweiz steht betroffenen Personen bei Verletzung ihrer Persönlichkeit grundsätzlich ein Anspruch auf Genugtuung zu. Dies setzt allerdings voraus, dass die Persönlichkeitsverletzung objektiv schwer wiegt, was eine aussergewöhnliche «Kränkung» erfordert. Leichte Persönlichkeitsverletzungen bei der Datenbearbeitung begründen für sich alleine hingegen noch keinen Anspruch auf Genugtuung. Zudem verlangt das Schweizerische Bundesgericht, dass der Betroffene die objektiv schwerwiegende Verletzung auch subjektiv als schweren seelischen Schmerz empfindet. Ein Genugtuungsanspruch steht dem Verletzten schliesslich nur dann zu, wenn dieser nicht bereits anders wiedergutgemacht worden ist (Art. 49 OR). Die Bejahung von Genugtuungsansprüchen ist somit an strenge Voraussetzungen geknüpft. Auch bei Bejahung eines Genugtuungsanspruchs, wird dieser nach der ständigen Rechtsprechung des Bundesgerichts zumeist sehr restriktiv und nur in geringer Höhe ausgesprochen.
Weitere Informationen:
- Entscheid des Amtsgerichts Dietz: Urteil vom 7. November 2018 (8 C 130/18)
- MLL-News vom 13. Februar 2018: OLG Frankfurt: Verkauf von Adressdaten wegen datenschutzrechtlich ungültiger Einwilligung unwirksam
- MLL-News vom 30. Juli 2017: Jetzt handeln: EU-DSGVO-Umsetzungsfrist läuft am 25. Mai 2018 ab
- MLL-News vom 14. Januar 2016: EU-Datenschutzgrundverordnung ( DSGVO ): Alles Neue zur Datenschutzreform
- EU-Datenschutzgrundverordnung (DSGVO) Art. 82 Abs. 1
- Erwägungsgrund 146 der DSGVO
- Schweizer Obligationenrecht Artikel 49