300€ Schmerzensgeld für SPAM

Unverlangt zugesendete Mails (SPAM) können einen DSGVO-Schmerzensgeldanspruch auslösen. Hintergrund ist Art. 82 DSGVO, der recht einfach festhält:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Da eine unverlangt zugesendete Mail regelmässig einen Verstoss gegen die DSGVO darstellen kann, landet man dann recht schnell beim Schmerzensgeld. Ein weiterer Grund, von unverlangten Mails Abstand zu nehmen. Insbesondere ein Grund, sich vor Werbekampagnen beraten zu lassen: Viele glauben bis heute zu Unrecht, dass mutmassliche Einwilligungen irgendeinen bei SPAM interessieren. Ein aktuelles Beispiel für die Thematik findet sich beim Amtsgericht Pfaffenhofen a.d. Ilm (2 C 133/21).

SPAM als Verstoß gegen die DSGVO

Wer SPAM versendet hat regelmässig im Sinne des Art. 4 DSGVO die Email-Adresse des Klägers verarbeitet, nämlich erhoben, erfasst und gespeichert, sowie durch die SPAM-Mail weiter verwendet. FÜr jeden einzelnen dieser Schritte muss ein rechtfertigender Tatbestand (Art. 6 Abs. 1 DSGVO) bestehen, was schwierig sein dürfte:

Die Werbung mittels E-Mail-Marketing setzt für ihre Zulässigkeit außerhalb der Fälle des § 7 Abs. 3 UWG eine – vorherige und ausdrückliche – Einwilligung voraus, mithin eine Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage
erfolgt (vgl. Eckhardt a.a.O. Rdnr. 86 m.Nw.). Eine solche wird schon durch die Beklagte – welche insoweit darlegungs- und beweisbelastet wäre – nicht im Ansatz behauptet oder vorgetragen.

Ebensowenig ist aus dem Vorbringen einer – auch nur z.B. konkludent – erteilte Einwilligung iSd Art. 6 Abs. 1 S. 1 lit a. DS-GVO zu entnehmen. Auch keiner der weiteren Fälle der Vorschrift ist zu erkennen, insbesondere auch nicht ein Fall des Art. 6 Abs. 1 S. 1 lit. f. DSGVO (überwiegende berechtigte Interessen des Verwantwortlichen oder eines Dritten). Gem. Erwägungsgrund 47 ist im Rahmen der Interessenabwägung nach lit. f zu prüfen, „ob eine betroffene Person zum Zeitpunkt der Datenerhebung und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“ (vgl. Gola DS-GVO/Schulz, 2. Aufl. 2018, DS-GVO Art. 6 Rn. 61).

Im Rahmen der Interessenabwägung ist zunächst der vom Datenverarbeiter verfolgte Zweck mit der Art, dem Inhalt sowie der Aussagekraft der Daten gegenüberzustellen; zu berücksichtigen sind sodann insbesondere die vernünftige Erwartungshaltung der betroffenen
Person bzw. die Absehbarkeit (Branchenüblichkeit) der Verarbeitung sowie ihre Beziehung zu dem Verantwortlichen (BeckOK DatenschutzR/Albers/Veit, 36. Ed. 1.5.2020, DS-GVO Art. 6 Rn. 53). Vorliegend führt bereits vor diesem Hintergrund die Abwägung hier zu dem Ergebnis, dass die schutzwürdigen Interessen des Klägers – welcher unstreitig in keinerlei vorheriger Beziehung zur Beklagten gestanden und auch sonst nicht nachweisbar seine Email-Adresse selbst in einer Weise, die solche Verwendung absehbar gemacht hätte, mitgeteilt oder veröffentlich hatte – die Interessen der Beklagten an einer Werbemaßnahme für von ihr vertriebene Masken überwogen. Zudem spricht viel dafür, auch insoweit die Maßstäbe des § 7 Abs. 2 UWG zu berücksichtigen. Das OVG Saarlouis (B.v. 16.02.2021, 2 A 355/19, NJW 2021, 2225) führte in einem Fall der unerlaubten Telefonwerbung hierzu aus „dass die Bewertungsmaßstäbe des §7 II Nr. 2 UWG, welcher der Umsetzung RL 2002/58/EG dient, auch im Rahmen des Art. 6 I Buchst. f DS-GVO zu berücksichtigen wären. Es ist zwar zutreffend, dass auch die
Verarbeitung personenbezogener Daten für Direktwerbung ein berechtigtes Interesse nach dem Erwägungsgrund 47 DS-GVO darstellen kann. Aber auch in diesem Zusammenhang ist zu berücksichtigen, dass die Ziele, die mit der Verarbeitung verfolgt werden, unionrechtskonform sein müssen. Daher gilt auch in diesem Zusammenhang die Wertung des § 7 II Nr. 2 UWG Geltung beanspruchen, mit der Folge, dass sich die Kl. nicht auf ein „berechtigtes“ Interesse berufen kann.

Für dieses Ergebnis spricht im Übrigen auch die Forderung, für die Auslegung des Art. 6 I Buchst. f DSGVO als Ausgangspunkt konkret gefasste Erlaubnistatbestände aus dem nationalen Recht
heranzuziehen, um dem allgemeinen Erlaubnistatbestand Konturen zu verleihen und Rechtssicherheit herzustellen“. Diese Ausführungen überzeugen und gelten ebenso für den hier vorliegenden Fall der Direktwerbung per Email, der ebenfalls von Art. 13 der Richtlinie
2002/58/EG erfasst und in § 7 Abs. 2 Nr. 3 UWG konkret geregelt ist.

Schmerzensgeld bei DSGVO Verstoß

Sehr schön, weil ausführlich und die letzten Streitfragen berücksichtigend, sind die Ausführungen zum Schmerzensgeld, wobei das AG offenlassen konnte ob ein Verschulden notwendig ist; es macht aber dann deutlich, dass gerade nicht jeder DSGVO Verstoß reflexartig zu einem Schmerzensgeld führt, sondern vielmehr ein wenig „Input“ dazu kommen muss, worin der „Schmerz“ eigentlich bestand. Da aber baut das AG eine Brücke und weist darauf hin, dass schon ein ungutes Gefühl Geld wert sein kann:

Die genannten Verstöße haben (…) zu einem immateriellen Schaden des Klägers geführt (welcher entgegen der Ansicht des Klägers allerdings nicht in dem Verstoß allein als solchem liegt, sondern der Verstoß muss – dies auch kausal – zu einem Schaden geführt haben; Gegenteiliges ist auch der Entscheidung des BVerfG nicht zu entnehmen, dort wurde letztlich beanstandet, dass die Vorinstanz auf eine „Erheblichkeit“ abgestellt hatte, jedoch nicht vorgegeben, dass ein kausaler Schaden als solcher gar nicht mehr vorliegen bzw. festgestellt werden müsste). Auf eine „Erheblichkeitsschwelle“ kommt es insofern nicht an, da eine solche in der DS-GVO nicht erkennbar wird und für einen weiten Schadensbegriff auch die Zielsetzung der DS-GVO spricht; Verstöße müssen wirksam sanktioniert werden, damit die DS-GVO wirken kann (vgl. Frenzel a.a.O. Rdnr. 10). Die Schwere des immateriellen Schadens
ist daher zutreffend für die Begründung der Haftung nach Art. 82 Abs. 1 DS-GVO irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus (vgl. ArbG Düsseldorf Urt. v. 5.3.2020 – 9 Ca 6557/18, BeckRS 2020, 11910, Rdnr. 84, m.w.Nw.).

Der Schaden kann auch bereits etwa in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, insbesondere wenn nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden, auch bereits in der Ungewissheit, ob personenbezogene Daten an Unbefugte gelangt sind. Unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert. Den Kontrollverlust nennt EG 75 ausdrücklich als „insbesondere“ zu erwartenden Schaden. Desweiteren kommen etwa Ängste, Stress, Komfort- und Zeiteinbußen in Betracht. (vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18b)

Zur Höhe führt es dann abstrakt aus:

Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der
Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a).

So sprach etwa das AG Hildesheim (U.v. 05.10.2020, 43 C 145/19, ZD 2021, 384) 800,00 € zu in einem Fall, in dem auf einem wiederaufbereiteten und weiterveräußerten PC private Daten des ursprünglichen Besitzers noch vorhanden und somit an den Dritten gelangt waren. Das LG Lüneburg ( Urteil vom 14.7.2020 – 9 O 145/19, ZD 2021, 275) etwa sprach 1.000,00€ zu in einem Fall eines rechtswidrigen Schufa-Eintrags (…)

Die erkennbaren Auswirkungen lagen vielmehr darin, dass der Kläger sich – wie er unwidersprochen vortrug – sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen musste. Gerade letzteres – zumal unter Berücksichtigung der Dauer des Verstoßes und der zunächst nicht ansatzweise zielführend erfolgten Auskunftserteilung – ist geeignet, zu einem durchaus belastenden Eindruck des Kontrollverlusts zu führen, zumal dies auch die Auseinandersetzung mit dem Verstoß und auch die Abwehr ggf. drohender anderweitiger Verstöße erschwert (die Quelle der Daten kann ja – und wird erfahrungsgemäß auch die Quelle für andere sein, die ggf. unter Verstoß gegen die DS-GVO diese Daten
verarbeiten) (…)

Das Gericht erachtet – auch im Vergleich mit den o.g. Entscheidungen, denen noch deutlich gravierendere (zumindest potentielle) Auswirkungen zugrundelagen – vorliegend im Ergebnis eine Entschädigung von 300,00 € für angemessen.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.

Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

• Schaden beim Subventionsbetrug - 19. April 2024
• BGH-Urteils zum Verbreiten kinderpornographischer Inhalte - 19. April 2024
• OLG Köln zur Abschöpfung des Gewinns im Wettbewerbsrecht - 19. April 2024