Seit der BGH Entscheidung zu Facebook-Scraping (Urteil vom 18. November 2024 – VI ZR 10/24 , siehe auch den Blogbeitrag von Axel von Walter aus November 2024), befasst sich die deutsche Rechtsprechung vertieft mit der Frage, unter welchen Umständen ein immaterieller Schadensersatz im Rahmen von Datenschutzverstößen vorliegen kann. Aus Sicht des BGH kann bereits ein bloßer Kontrollverlust einen ersatzfähigen Schaden darstellen. Aber wann liegt ein solcher Verlust der Kontrolle vor?
Der BGH hat sich in einer weiteren Entscheidung vom 28. Januar 2025 – ZR 109/23 mit dieser Frage beschäftigt und einen Kontrollverlust bei dem Erhalt einer unverlangten Werbe-E-Mail verneint.

Hintergrund

Ein Kunde hatte bei dem Beklagten einen Aufkleber für seinen Briefkasten mit der Aufschrift „Betteln und Hausieren verboten“ gekauft. Nach dem Kauf verschickte der Beklagte dem Kunden eine unverlangte Werbe-E-Mail.
Der Kunde war der Auffassung, die Werbe-E-Mail wäre rechtswidrig. Er widersprach der Verwendung seiner personenbezogenen Daten unter anderem für Zwecke der Werbung und verlangte die Abgabe einer Unterlassungserklärung sowie Schmerzensgeld nach Art. 82 DSGVO in Höhe EUR 500,00. Der Beklagte erkannte den Unterlassungsanspruch an. Der BGH musste noch über die Frage des Schmerzensgeldes entscheiden.

Entscheidung

Der BGH folgte dem Berufungsgericht und lehnte einen immateriellen Schadensersatz ab. Aus Sicht des BGH sei der Verstoß gegen die DSGVO in Form einer Werbe-E-Mail für einen Schadensersatzanspruch allein nicht ausreichend. Der Kläger hätte den auf einem DSGVO-Verstoß basierenden Schaden substantiiert darlegen müssen. 
Die wichtigsten Punkte im Überblick:

Keine Bagatellgrenze

Gemäß der Rechtsprechung des EuGH (Urteil vom 20. Juni 2024 - C-590/22) lehnt der BGH das Erfordernis des Überschreitens einer Bagatellgrenze für einen Schadenersatz ab:
„Weiter hat der Gerichtshof der Europäischen Union […] ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat.“

Kontrollverlust kann einen immateriellen Schaden begründen

Der BGH folgt der Ansicht des EuGH, nach welcher schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Die betroffene Person muss dabei den Nachweis erbringen, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Steht der Kontrollverlust fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person.

DSGVO-Verstoß ≠ Kontrollverlust

Aber: Nicht jeder Verstoß gegen die DSGVO stellt einen Kontrollverlust dar, der zu einem immateriellen Schadensersatz führen kann. Vielmehr muss der Anspruchsteller einen immateriellen Schaden hinreichend darlegen. So führt der BGH unter Verweis auf die Rechtsprechung des EuGH aus:

„Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22 […]).“

Kein Kontrollverlust bei unzulässiger Werbe-E-Mail

Eine unzulässige Werbe-E-Mail stellt aus Sicht des BGH noch keinen Kontrollverlust dar. Ein Kontrollverlust könnte aus Sicht des BGH allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Die lag in dem konkreten Fall aber nicht vor.

Anforderungen an die begründete Behauptung eines Kontrollverlusts

Kann ein Kontrollverlust nicht nachgewiesen werden, reicht die begründete Befürchtung, dass die personenbezogenen Daten der betroffenen Person aufgrund eines Verstoßes gegen die DSGVO von Dritten missbräuchlich verwendet werden aus, um einen Schadensersatzanspruch zu begründen. 
Der Anspruchsteller muss in diesem Fall darlegen, dass er begründete Befürchtungen dafür hat, dass seine Daten missbraucht werden. Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen, ist ebenso wenig ausreichend, wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch Dritte. 
Soweit der Kläger den immateriellen Schadensersatz darauf begründen möchte, der Beklagte werde die E-Mail-Adresse auch Dritten zugänglich machen, da er sie bereits unbefugt verwendet habe, genügt dies nach Ansicht des BGH nicht. Aus Sicht des BGH werde durch die Argumentation des Klägers nur die Befürchtung weiterer Verstöße gegen die DSGVO dargelegt. Aus Sicht des BGH könnten zwar diese weiteren befürchteten Verstöße zu einem Schadensersatz führen. Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß.

Praxishinweise

Bei der Verteidigung gegen Schmerzensgeldansprüche aufgrund DSGVO-Verstöße sollten damit insbesondere die folgenden Punkte beachtet werden: 

• Ein DSGVO-Verstoß begründet nicht automatisch einen Schaden.
• Der Anspruchsteller muss vielmehr substantiiert darlegen, dass der Datenschutzverstoß zu einem Kontrollverlust über die Datenhoheit oder zu einer begründeten Befürchtung eines Missbrauchs geführt hat.
• Eine begründete Befürchtung für einen Kontrollverlust muss in dem aktuellen Datenschutzverstoß liegen und nicht in der Befürchtung weiterer Datenschutzverstöße. Liegt die Befürchtung in weiteren Verstößen, fehlt es bereits an der Kausalität für den konkret geltend gemachten Schaden.