Nach wie vor belasten tausende Verfahren deutsche Gerichte, in denen es um Schadensersatz wegen Verletzungen der Datenschutz-Grundverordnung (DSGVO) geht. Aber dank diverser Entscheidungen des EuGH (wir berichteten bspw. hier und hier) wird nach und nach klarer, unter welchen Voraussetzungen ein solcher Anspruch besteht.
Laut EuGH müssen lediglich drei Voraussetzungen vorliegen, um einen Schadensersatzanspruch nach Art. 82 DSGVO zu begründen: erstens muss ein Verstoß gegen die DSGVO vorliegen, zweitens muss ein Schaden entstanden sein und drittens muss der Verstoß ursächlich für den Schaden gewesen sein.
Der Begriff des „Schadens“ soll dabei weit ausgelegt werden, und zwar in einer Art und Weise, die den Zielen der DSGVO in vollem Umfang entspricht. Weiter steht fest, dass es keine Bagatellgrenze gibt, also auch klein(st)e Schäden grundsätzlich erstattungsfähig sind.
Ferner soll schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen können, ohne dass der Verletzte zusätzlich spürbare negative Folgen beweisen müsste. Die Hürden für die Geltendmachung eines Schadens sind damit denkbar niedrig.
Dass es dennoch keinen Automatismus dergestalt gibt, dass ein behaupteter Datenschutzverstoß immer einen Schadensersatzanspruch begründet, zeigt ein Urteil des Bundesgerichtshofs vom 28.01.2025 (Az. VI ZR 109/23). Der Kläger hatte in einem Webshop Aufkleber bestellt. Etwa ein Jahr später erhielt er von dem Shop eine Werbe-E-Mail. Als Reaktion hierauf forderte der Kläger von dem Shopbetreiber eine Unterlassungserklärung sowie „Schmerzensgeld“ in Höhe von EUR 500,00, das er später auch einklagte.
Den Unterlassungsanspruch hat der Beklagte vor dem Amtsgericht anerkannt, den Zahlungsanspruch verneinten das Amtsgericht Tuttlingen und das Landgericht Rottweil.
Auch der BGH wies die Klage ab. Zur Begründung erinnerte der BGH daran, dass derjenige, der einen Schadensersatzanspruch wegen eines DSGVO-Verstoßes geltend macht, den Nachweis erbringen muss, dass er einen in einem bloßen Kontrollverlust als solchem bestehenden Schaden erlitten hat. Das sei dem Kläger nicht gelungen:
„Weder den Feststellungen des Berufungsgerichts noch den Angaben in der Klageschrift, auf die die Revision verweist, ist zu entnehmen, dass der Kläger aufgrund der Verwendung seiner E-Mail-Adresse zur Übersendung der WerbeE-Mail am 20. März 2020 einen Kontrollverlust über seine personenbezogenen Daten erlitten hätte. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall.“
Auch eine begründete Befürchtung, dass seine personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, habe der Kläger nicht ausreichend dargelegt. Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen genüge jedoch ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten.
Autor: Rechtsanwalt Marc Hügel