Art. 82 Abs. 1 DSGVO räumt Betroffenen bei Verstößen einen Schadensersatzanspruch ein. Nun hat erstmals ein deutsches Gericht darüber entschieden.
Seit dem 25. Mai 2018 gilt in den Mitgliedsstaaten der Europäischen Union die Datenschutzgrundverordnung, mit der die Datenschutzregeln in Europa angeglichen und – zumindest aus Sicht einiger Mitgliedsstaaten – deutlich verschärft wurden. Neben umfangreichen Vorgaben zu den Voraussetzungen rechtskonformer Datenverarbeitung, regelt die DSGVO auch die rechtlichen Folgen von durch Verantwortliche begangene Verstöße gegen die Verordnung. So steht betroffenen Personen gemäß Artikel 82 Abs. 1 der DSGVO unter anderem auch ein Schadensersatzanspruch für den Fall zu, dass der betroffenen Person durch den Verstoß ein materieller oder immaterieller Schaden entstanden ist.
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Nähere Ausführungen zu den Voraussetzungen eines solchen Schadensersatzanspruches oder gar zu dessen Umfang oder Höhe sucht man in der DSGVO jedoch vergeblich. In Erwägungsgrund 146 DSGVO wird lediglich bestimmt, dass
die betroffenen Personen […] einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten [sollen].
Nicht zuletzt aufgrund der eher wenig ausdifferenzierten Vorgaben des europäischen Gesetzgebers werden erste gerichtliche Entscheidungen seit Geltung der DSGVO mit Spannung erwartet. Mit Urteil vom 07. November 2018 (Az. 8 C 130/18) hat sich nun mit dem Amtsgericht Diez erstmals ein deutsches Gericht zu der Frage positioniert, ob und in welcher Höhe dem Empfänger einer einmaligen unerlaubten Werbe-E-Mail ein Anspruch aus Art. 82 Abs. 1 DSGVO zusteht.
Amtsgericht Diez lehnt „Schmerzensgeld″ für einen Bagatellverstoß gegen DSGVO ab
Nachdem der Beklagte außergerichtlich bereits 50 Euro an den Kläger gezahlt hatte, gab sich dieser hiermit nicht zufrieden und beantragte den Beklagten zur Zahlung von Schadensersatz in Form einer Geldentschädigung („Schmerzensgeld″) in Höhe von insgesamt 500 Euro zu verurteilen, was das Amtsgericht Diez im Ergebnis ablehnte. Das Gericht stellt dabei zunächst unter Verweis auf den Wortlaut von Art. 82 Abs. 1 DSGVO fest, dass nicht bereits jeder Bagatellverstoß gegen die DSGVO automatisch zu seinem Schadensersatzanspruch führe, weil bereits der Gesetzestext voraussetze, dass der betroffenen Person aufgrund des Verstoßes überhaupt ein kausaler materieller oder immaterieller Schaden entstanden ist und führt unter Bezugnahme auf den Gesetzestext weiter aus:
Daraus geht bereits hervor, dass ein bloßer Verstoß gegen die DSGVO, ohne dass eine Schadensfolge eintritt, nicht zu einer Haftung führt; der Verstoß gegen Vorschriften der DSGVO alleine führt nicht direkt zum Schadensersatz (Schaffland/Wiltfang, Art. 82 DSGVO Rn. 5; Plath, Art. 82 DSGVO Rn. 4 d m.w.N.).
Sodann äußerte das Gericht erhebliche Zweifel, ob schon ein Bagatellverstoß in Form einer einmaligen Werbe-E-Mail ohne entsprechende Einwilligung des Empfängers, überhaupt geeignet sei, die Interessen des Betroffenen so stark zu beeinträchtigen, dass dies die Verurteilung zur Zahlung eines Schmerzensgeldes für erlittene immaterielle Schäden zulasse:
Einerseits ist eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (Plath, Art. 82 DSGVO Rn. 4 c, d).
Von diesen Grundsätzen ausgehend teilt das Gericht vorliegend die Auffassung der Beklagten, dass ein Schmerzensgeldanspruch, so er bestand, mit dem anerkannten Betrag als abgegolten anzusehen ist (so auch bereits der Hinweis des zunächst angerufenen Landgerichts Koblenz vom 31.07.2018). Dasjenige, was der Kläger hier moniert, beschränkte sich auf eine einzige E-Mail der Beklagten, mit welcher sie am 25.05.2018, als die DSGVO Gültigkeit erlangte, eben aus diesem Grund und unter Bezugnahme hierauf nach einer Einwilligung zum Newsletterbezug anfragte, weshalb im Ergebnis vorliegend ein weitergehendes Schmerzensgeld nicht mehr der Angemessenheit entsprochen hätte.
Für die Praxis: Bagatellverstöße führen nicht zwingend zum Schadensersatzanspruch
Mit seiner Entscheidung liefert das Amtsgericht Diez einen ersten Richtwert, ob und in welcher Höhe geringbelastende Verstöße eine Schadensersatzpflicht aus Art. 82 Abs. 1 DSGVO (im konkreten Fall in Form eines Schmerzensgeldes) begründen können.
Das Gericht hat seine Zweifel am grundsätzlichen Bestehen des Schmerzensgeldanspruchs zwar deutlich zum Ausdruck gebracht („ein Schmerzensgeldanspruch,so er denn bestand“), im Ergebnis jedoch offen gelassen, ob zumindest der bereits außergerichtliche Betrag von 50 Euro auch gerichtlich hätte zugesprochen werden können.
