Eine unerwünschte Werbe-E-Mail allein reicht nicht für einen immateriellen DSGVO-Schadensersatz aus (BGH, Urt. v. 28.01.2025 - Az.: VI ZR 109/23).
Der klägerische Verbraucher kaufte beim Beklagten ein. Einige Zeit später erhielt er von dem Beklagten eine unzulässige Werbe-E-Mail.
Der Kläger widersprach der Nutzung seiner Daten für Werbezwecke und forderte einen DSGVO-Schadensersatz in Höhe von 500,- EUR.
Zu Unrecht, wie der BGH nun entschied.
Ein Verstoß gegen die DSGVO in Form einer Werbemail allein reiche für einen Schadensersatzanspruch nicht aus.
Einen konkreten immateriellen Schaden konnte der Kläger nicht nachweisen. Weder ein Kontrollverlust über seine Daten noch eine objektiv nachvollziehbare Beeinträchtigung seines Persönlichkeitsrechts seien dargelegt worden.
Zwar gebe es keine Bagatellgrenze für Schäden, dennoch müsse der Betroffene einen konkreten Schaden nachweisen:
"Aus diesem Vortrag ergibt sich jedoch nicht, dass dem Kläger durch die Verwendung seiner E-Mail-Adresse ohne Einwilligung zum Zweck der Zusendung einer Werbe-E-Mail ein immaterieller Schaden entstanden wäre. Es liegt weder in auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor (…), noch ist die vom Kläger geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt (…).
Weder den Feststellungen des Berufungsgerichts noch den Angaben in der Klageschrift, auf die die Revision verweist, ist zu entnehmen, dass der Kläger aufgrund der Verwendung seiner E-Mail-Adresse zur Übersendung der Werbe-E-Mail (…) einen Kontrollverlust über seine personenbezogenen Daten erlitten hätte. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall (…)."
Und weiter:
"Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (…).
Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (…). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (…).
Die Revision verweist hierzu auf Vortrag des Klägers, aus dem sich die Befürchtung ergebe, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe. Damit legt der Kläger aber nur die - im Übrigen aus sich heraus nicht ohne Weiteres nachvollziehbare - Befürchtung weiterer Verstöße gegen die Datenschutz-Grundverordnung durch den Beklagten dar.
Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen. Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß. Auch die von der Revision angeführte Abwehr der unerwünschten Werbung rechtfertigt den behaupteten Eindruck eines Kontrollverlusts für sich genommen nicht. "
Anmerkung von RA Dr. Bahr:
Eine überaus wichtige Grundsatzentscheidung für die tägliche Praxis. Damit ist höchstrichterlich klargestellt, dass eine Spam-Mail grundsätzlich keinen Schadensersatzanspruch nach der DSGVO auslöst.
Seit Inkrafttreten der DSGVO wurden immer wieder solche pauschalen Ansprüche geltend gemacht. Mit dem vorliegenden Urteil des BGH wird dem ein Riegel vorgeschoben.