Der BGH hat mit Urteil vom 28.01.2025 (Az. VI ZR 109/23) entschieden, dass ein immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO nicht hinreichend dargelegt ist, wenn ein auf dem gerügten Verstoß beruhender Kontrollverlust über die personenbezogenen Daten nicht vorliegt und auch die geäußerte Befürchtung eines Kontrollverlusts nicht substantiiert dargelegt worden ist.
Sachverhalt
Die Parteien streiten um immateriellen Schadensersatz wegen Verletzung der DSGVO.
Der Kläger kaufte vom Beklagten Aufkleber. Mit einer nachfolgenden E-Mail meldete sich der Beklagte beim Kläger und warb damit, weiterhin für ihn da zu sein. Der Kläger übersandte dem Beklagten noch am selben Tag eine E-Mail, mit der er der „Verarbeitung oder Nutzung“ seiner Daten „für Zwecke der Werbung oder der Markt- oder Meinungsforschung auf jeglichem Kommunikationsweg“ widersprach. Er verlangte neben der Abgabe einer strafbewehrten Unterlassungserklärung auch „Schmerzensgeld gem. Art. 82 DSGVO“ in Höhe von 500 €.
Mit seiner Klage hat der Kläger beantragt, dem Beklagten zu untersagen, den Kläger per E-Mail zu Werbezwecken ohne seine Einwilligung zu kontaktieren. Außerdem hat er beantragt, den Beklagten zur Zahlung eines angemessenen „Schmerzensgeldes“ in Höhe von mindestens 500 € nebst Zinsen zu verurteilen. Der Beklagte hat den Unterlassungsantrag anerkannt. Das Amtsgericht hat den Beklagten seinem Teilanerkenntnis gemäß verurteilt und im Übrigen die Klage abgewiesen sowie die Berufung zugelassen. Das Landgericht hat die Berufung des Klägers zurückgewiesen. Mit der vom Berufungsgericht zugelassenen Revision verfolgt der Kläger seinen Zahlungsantrag weiter.
Entscheidung
Die zulässige Revision hatte in der Sache keinen Erfolg. Das Berufungsgericht habe – so der BGH – im Ergebnis zu Recht einen Anspruch des Klägers auf Ersatz von immateriellem Schaden nach Art. 82 Abs. 1 DSGVO verneint.
Das Berufungsgericht sei zwar im Ausgangspunkt unzutreffend davon ausgegangen, dass dem Kläger schon deshalb kein Anspruch auf immateriellen Schadensersatz zustehe, da eine „Bagatellgrenze“ nicht überschritten sei. Ein solcher Ansatz stehe nicht in Einklang mit der Rechtsprechung des EuGH, wonach Art. 82 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat.
Das Berufungsgericht habe einen Anspruch des Klägers zu Recht aber deshalb verneint, weil der Kläger einen immateriellen Schaden bereits nicht hinreichend dargelegt habe.
Die Ablehnung einer Erheblichkeitsschwelle durch den EuGH bedeute nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Der bloße Verstoß gegen die Bestimmungen der DSGVO reiche nach der Rechtsprechung des Gerichtshofs nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr sei darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens durch diesen Verstoß erforderlich.
Aus dem Vortrag des Klägers ergebe sich nicht, dass dem Kläger durch die Verwendung seiner E-Mail-Adresse ohne Einwilligung zum Zweck der Zusendung einer Werbe-E-Mail ein immaterieller Schaden entstanden wäre. Es liege weder ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor, noch sei die vom Kläger geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt.
Der EuGH habe in seiner jüngeren Rechtsprechung klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen könne, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordere. Gleichwohl müsse die betroffene Person den Nachweis erbringen, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten habe. Stehe der Kontrollverlust fest, stelle dieser selbst den immateriellen Schaden dar und es bedürfe keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person.
Dem klägerischen Vortrag sei nicht zu entnehmen gewesen, dass der Kläger aufgrund der Verwendung seiner E-Mail-Adresse zur Übersendung der streitgegenständlichen E-Mail einen Kontrollverlust über seine personenbezogenen Daten erlitten hätte. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das sei aber nicht der Fall gewesen.
Wenn ein Kontrollverlust nicht nachgewiesen werden könne, reiche die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Die Befürchtung samt ihrer negativen Folgen müsse dabei ordnungsgemäß nachgewiesen sein. Demgegenüber genüge die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten.
Den betreffenden Vortrag des Klägers, wonach die Befürchtung bestehe, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt gegenüber dem Kläger verwendet habe, ließ der BGH nicht genügen. Der Kläger lege insoweit nur die – im Übrigen aus sich heraus nicht ohne Weiteres nachvollziehbare – Befürchtung weiterer Verstöße gegen die Datenschutz-Grundverordnung durch den Beklagten dar.
Anmerkung
Die Entscheidung des BGH ist im Ergebnis zu begrüßen.
Die Rechtsprechung des EuGH, wonach ein festgestellter bzw. valide begründeter „Kontrollverlust“ per se – und ohne weitere Nachweise – einen immateriellen Schaden darstellt, erleichtert die Begründung von Schadensersatzansprüchen ganz erheblich und dürfte gerade professionelle Anbieter dazu veranlassen, verstärkt Schadensersatzforderungen zu verfolgen bzw. betreffende Geschäftsmodelle zu etablieren. Bei Fällen von „Datenlecks“ und dem Abfluss von Daten sind entsprechende Angebote bereits am Markt verbreitet.
Im vorliegenden Fall hat der BGH einer – zudem schwachen – Kontrollverlust-Argumentation die Grenzen aufgezeigt. Jedenfalls die Anforderungen an die Darlegung eines Kontrollverlusts bzw. eine begründete Befürchtung eines solchen setzt der BGH zutreffend nicht zu gering an. Das scheint auch konsequent. Wenn schon allein ein Kontrollverlust bzw. ein befürchteter Kontrollverlust für die Begründung von Schadensersatzansprüchen ausreichen sollen, sind jedenfalls für die Darlegung dieser Umstände angemessene Hürden zu überspringen. Die Durchsetzung immateriellen Schadensersatzes unter der DSGVO ist eben kein Selbstläufer und sollte auch kein solcher sein.
