Aktuelle Urteile zur DSGVO : Schadenersatz auch bei Bagatellverstößen?

Erstmals hat ein deutsches Gericht eine Entscheidung zum Anspruch auf Schadenersatz bei Bagatellverstößen nach Artikel 82 der EU-Datenschutzgrundverordnung (DSGVO) gefällt. Diese Regelung spricht in Absatz 1 jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen Verantwortliche oder Auftragsverarbeiter zu.

Nach dem zugrunde liegenden Erwägungsgrund 146 soll der Begriff des Schadens „weit“ auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnungen in vollem Umfang entspricht. Der betroffenen Person soll ein vollständiger und wirksamer Schadenersatz für den erlittenen Schaden zustehen. Greifbare Kriterien, an denen die Höhe des Schadenersatzes zu messen ist, finden sich weder in der Verordnung noch in den Erwägungsgründen.

Wirksame Voraussetzung für einen wie und in welcher Höhe auch immer gearteten Schadenersatzanspruch ist allerdings das Vorliegen eines Schadens selbst, wie jüngst das Amtsgericht Diez in seinem Urteil vom 7. November 2018 (Az. 8 C 130/18) entschieden hat. Im vorliegenden Fall hatte der dortige Kläger exakt an dem Tag, als die DSGVO Gültigkeit erlangte, nämlich am 25. Mai 2018, von der Beklagten eine als unzulässig monierte E-Mail erhalten und verlangte nunmehr Schadenersatz von ihr, den er am Ende einklagte.

Die jetzige Entscheidung ist für alle Gewerbetreibenden deswegen interessant, weil eine elektronische Werbung ohne ausdrückliche Einwilligung des Empfängers als unzulässig zu betrachten ist und somit den Schadenersatz nach Artikel 82 DSGVO auslösen könnte. Jeder Unternehmer fragt sich, was ihm droht, wenn er aus Versehen gegen diese Regelung verstößt – denn dass einmal die eine oder andere E-Mail tatsächlich „durchrutscht“, lässt sich in der Praxis wohl tatsächlich nicht vermeiden.

Auch wenn man rechtlich erst dann eine Sicherheit erlangen kann, wenn diese Frage einmal höchstrichterlich entschieden worden ist, so zeigt das Amtsgericht Diez zumindest eine Richtung auf, indem es sich zu zwei Fragestellungen in diesem Zusammenhang relativ deutlich äußert:

Schaden oder nicht?

Erstens stellt es sich die Frage, ob in diesem Fall überhaupt ein tatsächlicher Schaden entstanden ist. Denn nicht jeder Verstoß gegen die DSGVO muss automatisch zu einem Schaden führen. So dürfen etwa Fußgänger auch nicht bei Rot die Straße überqueren – tun sie es trotzdem, verstoßen sie damit gegen das Gesetz. Doch solange „nichts passiert“, entsteht kein Schaden.

Das Amtsgericht Diez vertritt die Meinung, dass ein bloßer Verstoß gegen die DSGVO, ohne dass eine Schadensfolge eintritt, keine Haftung begründet – ein Verstoß gegen die Vorschriften der DSGVO allein also nicht direkt zu einem Schadenersatz führen könnte.

So verständlich sich dies im ersten Augenblick anhört, so muss man doch beachten: Man mag es als übertrieben und als unsinnig einstufen, wenn man einen Schaden darin sehen möchte, dass dem Empfänger einer unerlaubten E-Mail Speicherplatz verloren geht und das Laden der E-Mail Zeit für den Download in Anspruch nimmt. Dies sieht das Amtsgericht Diez offenbar nicht als Schaden an.

Andererseits darf man auch nicht die Zeiten vergessen, in denen es noch keine hochwirksamen Spamfilter gegeben hat und in denen man morgens nach dem Einschalten des Rechners zunächst mit hunderten Werbe-Mails geflutet wurde, aus denen man mühsam die echten E-Mails herauspflücken musste. Dies regulierte erst der Einsatz sogenannter Spamfilter, die letztlich über die Providerkosten von allen Nutzern bezahlt werden.

Insofern verursachen unerwünschte Werbe-Mails tatsächlich nicht unerhebliche Kosten für die Gemeinschaft. Auch heute schafft es noch, allen Spamfiltern zum Trotz, jeden Tag eine nicht unbedeutende Menge an Werbe-Mails in die Accounts vieler Empfänger – mit der Folge, dass diese solche Nachrichten erst einmal löschen und hierbei aufpassen müssen, nicht aus Versehen auch wichtige E-Mails mit zu beseitigen. Dies bedeutet für den Nutzer am Computer auf jeden Fall einen Zeitaufwand.

Dennoch vertritt das Amtsgericht Diez die Auffassung, dass im vorliegenden Fall kein Schaden entstanden ist, sodass bereits aus diesem Grund die Klage abzuweisen war.

Denkbare Höhe des Schadenersatzes

Zweitens hat sich das Gericht aber hinsichtlich der möglichen Höhe eines Schadenersatzanspruchs dennoch zu einer Meinungsäußerung hinreißen lassen: Der Beklagte hatte im Vorfeld der gerichtlichen Auseinandersetzung bereits eine Pauschale von 50 e an den Kläger gezahlt. Das Amtsgericht Diez vertritt die Auffassung, dieser Betrag sei bereits durchaus ausreichend, um einen eventuellen Anspruch abzugelten – ein weitergehender Anspruch wäre nicht angemessen.

Fazit: Ein tatsächlicher Anspruch auf Ausgleich würde zwar nach Einführung der DSGVO nicht mehr eine schwere Verletzung des Persönlichkeitsrechtes erfordern, jedoch reicht auch nicht jeder Bagatellverstoß oder jede ernsthafte Beeinträchtigung beziehungsweise individuell empfundene Unannehmlichkeit aus, um einen Ausgleichsanspruch entstehen zu lassen. Vielmehr müsse der Betroffene einen spürbaren Nachteil haben und eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen mit einem gewissen Gewicht vorliegen.

OLG Hamburg: DSGVO-Verstöße wettbewerbsrechtlich verfolgbar

Nachdem sich schon das Landgericht Wiesbaden (Urteil vom 5. Nov. 2018 – Az. 5 O 214/18), das Landgericht Bochum (Urteil vom 7. Aug. 2018 – Az. I-12 O 85/18) und das Landgericht Würzburg (Beschluss vom 13. Sept. 2018 – Az. 11 O 1741/18 UWG), mit der Frage beschäftigt haben, ob ein im Wettbewerb stehender Unternehmer, der Regelungen der Datenschutzgrundverordnung verletzt, damit automatisch auch einen Wettbewerbsverstoß begeht, hat sich nunmehr erstmalig ein Oberlandesgericht (OLG) mit dieser Frage beschäftigt.

Jeder Unternehmer muss sich an die Regelung der Gesetze und sonstigen Normen halten. Tut er dies nicht, so kann er einen Wettbewerbsvorteil gegenüber seinen Mitbewerbern erlangen, womit er sich wettbewerbswidrig verhält und dem Mitbewerber die Möglichkeit eröffnet, ihn deswegen abzumahnen oder zu verklagen.

Ein Beispiel: Ein Lkw-Unternehmen mit über 100 Fahrzeugen zahlt seinen Fahrern nicht den Mindestlohn und spart so jeden Monat Tausende Euro – er kann deswegen Fahrten billiger anbieten als die Konkurrenz, die nach Mindestlohn bezahlt. Dadurch verschafft er sich einen Wettbewerbsvorteil und verstößt somit nicht nur gegen das Mindestlohngesetz, sondern auch gegen das Wettbewerbsrecht.

Da die Datenschutzgrundverordnung viele Regelungen aufstellt, die einem Unternehmer Kosten verursachen (beispielsweise die Beschäftigung eines Datenschutzbeauftragten, die Erhöhung von Sicherheitsstandards etc.), spart schnell viel Geld, wer diese Anforderungen nicht, nicht vollständig oder nur verzögert umsetzt.

Ob aber nun ein Verstoß gegen die DSGVO automatisch auch zu einem Wettbewerbsverstoß führt, ist von den bisherigen Gerichten unterschiedlich gesehen worden: So hat beispielsweise das Landgericht Bochum diese Frage noch verneint, während das Landgericht Würzburg sie bejaht hat – das Landgericht Wiesbaden wiederum hat ebenfalls eine Verletzung des Wettbewerbs verneint.

Das Landgericht Bochum hatte geurteilt, dass dem dortigen Verfügungskläger eine Klagebefugnis nicht zustehen würde, weil die DSGVO mit den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern abschließende und ausschließende Regelung enthält. Es stünde damit nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielung. Dieser Ansicht hat sich das Landgericht Wiesbaden in seiner oben genannten Entscheidung angeschlossen.

Anders das OLG Hamburg: Der dortige Senat ist der Meinung, dass die Klägerin auch unter der Geltung der DSGVO klagebefugt sei, denn die DSGVO sei kein abgeschlossenes Sanktionssystem, welches die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Das OLG Hamburg führt aus: „Dagegen wird zu Recht eingewendet, dass Art. 80 Abs. 2 DS-GVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRURPrax 2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534 ff.). Dafür spricht auch, dass zwar in den Art. 77–79 DS-GVO Rechtsbehelfe betroffener Personen (Art. 77, 78 Abs. 2, 79 DS-GVO) oder jeder anderen Person (Art. 78 Abs.)