EuGH: Kein Schmerzensgeld für Spamming

Für die Geltendmachung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO reicht es alleine nicht aus, dass eine Verletzungshandlung im Sinne der DSGVO begangen wurde. Vielmehr muss der Geschädigte auch darlegen, dass er einen tatsächlichen materiellen oder immateriellen Schaden erlitten hat. Dies hat der EuGH in einem Urteil vom 11. April 2024 (Az. C-741/21) festgestellt.

Sachverhalt

Der Kläger, ein selbstständiger Rechtsanwalt, war Kunde von juris, Betreberin einer juristische Datenbank. Obwohl der Kläger mehrmals all seine Einwilligungen, von juris per E-Mail oder per Telefon Informationen zu erhalten, schriftlich widerrufen hatte, erhielt er weiterhin über einen längeren Zeitraum hinweg weiter Werbung von juris.

Konkret fand sich in den Werbemails jeweils ein persönlicher Code, mit dem der Anwalt teilweise Zugriff auf spezielle juris-Produkte erhalten sollte. Nachdem juris auf mehrere Schreiben des Anwalts sowie ein Schadensersatzverlangen gestützt auf Art. 82 Abs. 1 DSGVO nicht reagierte und auch weiter Werbemails versendete, erhob der Anwalt schließlich Klage vor dem Landgericht Saarbrücken und forderte Schadensersatz nach Art. 82. Abs. 1 DSGVO. Das Landgericht Saarbrücken legte dem EuGH insgesamt vier Fragen zur Klärung vor.

Der EuGH musste letztlich zu der Frage Stellung beziehen, ob ein Verstoß gegen Art. 82 Abs. 1 DSGVO für sich genommen ausreicht, einen Schadensersatzanspruch anzunehmen oder auch ein tatsächlicher Schaden vorliegen muss. Dieser Schaden müsste dann im Einzelnen dargelegt und bewiesen werden. Der Verstoß gegen die DSGVO lag hier in der Vewendung der personenbezogenen Daten des Anwalts zu Werbezwecken, obwohl dieser der Verwendung widersprochen hatte. Einen detaillierten Schaden hatte der Kollege aber nicht geltend gemacht.

Bloßer DSGVO-Verstoß genügt nicht

Der EuGH bestätigte seine bisherige Rechtsprechung, wonach ein nur ungutes Gefühl, ein Dritter könnte personenbezogene Daten missbrauchen, pauschal nicht für einen Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO ausreicht. Vielmehr müsste durch den Anspruchssteller auch ein tatsächlicher Schaden, sei dieser materiell oder immateriell, dargelegt werden. Der bloße Verstoß gegen Art. 82 Abs. 1 DSGVO reicht also nicht aus, um einen Schadensersatzanspruch zu begründen.

Der EuGH wies zwar darauf hin, dass ein „Verlust der Kontrolle“ nach Erwägungsgrund (85) DSGVO ausdrücklich zu den Schäden zählt, die durch eine Verletzung personenbezogenen Daten verursacht werden können. Dabei kann der – selbst kurzfristige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ darstellen. Dies aber eben nur, wenn die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat.

Schlampige Mitarbeiter keine gute Ausrede

Mehr Klarheit schaffte der EuGH bei der Beantwortung einer weiteren wichtigen Frage: Der EuGH betonte, dass sich juris nicht mit Verweis auf die Verletzung einer internen betrieblichen Weisung durch einen Mitarbeiter, aus der Affäre ziehen kann. Es sei vielmehr die Aufgabe des Arbeitgebers, dafür Sorge zu tragen, dass seine Weisungen von den Mitarbeitern auch korrekt ausgeführt werden. Ein reiner Nachweis, dass der Arbeitgeber Weisungen erteilt hat und der betreffende Mitarbeiter diese Weisungen nicht befolgt hat, reicht nach dem EuGH insofern nicht aus.

Folgen für die Praxis

Das Urteil des EuGH bringt etwas mehr Licht ins Dunkel, lässt aber an den entscheidenden Stellen noch immer viele Fragen offen.

Klar ist, dass es einen DSGVO-Verstoß darstellt, wenn E-Mails ohne Einwilligung des privaten Nutzers versendet werden. Dies sollte verhindern, wer Ärger vermeiden möchte. Allerdings hilft der EuGH insofern, als DSGVO-Verstöße nicht unmittelbar zur Schadensersatzpflicht von Verantwortlichen führen. Ein Freifahrtsschein für werbende Unternehmen ist das nicht. Dies gilt auch mit Blick auf die schwierige Möglichkeit der Exkulpation nach Art. 82 Abs. 3 DSGVO.

Es muss konkret darauf geachtet werden, dass organisatorische und technische Maßnahmen ergriffen werden, um die Einhaltung von Weisungen durch die Mitarbeiter auch tatsächlich sicherzustellen und so etwaigen Datenschutzverstößen schon im Voraus effektiv zu begegnen. Hierzu zählt die Implementierung einer effizienten und robusten Aufbau- und Ablauforganisation, um so datenschutzrechtliche Vorgaben mit klar definierten Verantwortlichkeiten und sinnvollen Prozessen effektiv umsetzen zu können.

Hat Ihnen der Beitrag gefallen? Dann teilen Sie ihn doch mit anderen:
Der RSS-Feed für Kommentare zu diesem Artikel. Die TrackBack URI dieses Artikel.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hat Ihnen der Beitrag gefallen? Dann teilen Sie ihn doch mit anderen: