Der Empfänger einer unerlaubt zugesandten E-Mail-Werbung hat einen DSGVO-Schadensersatz-Anspruch iHv. 300,- EUR (AG Pfaffenhofen ad. Ilm, Urt. v. 09.09.2021 - Az.: 2 C 133/21).
Der Kläger hat von dem beklagten Unternehmen ohne Einwilligung Werbung für FFP2-Masken auf elektronischem Weg übermittelt bekommen. Daraufhin verlangte er nach Art. 82 DSGVO einen Schadensersatz für die unerlaubte Verwendung seiner Daten.
Zu Recht, wie das Amtsgericht nun entschied.
Ein Schaden könne bereits in dem "unguten Gefühl" der unerlaubten Datenverarbeitung liegen, so die entscheidende Richterin:
"Der Schaden kann auch bereits etwa in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, insbesondere wenn nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden, auch bereits in der Ungewissheit, ob personenbezogene Daten an Unbefugte gelangt sind.
Unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert. Den Kontrollverlust nennt EG 75 ausdrücklich als „insbesondere“ zu erwartenden Schaden. Desweiteren kommen etwa Ängste, Stress, Komfort- und Zeiteinbußen in Betracht. (vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18b)."
Hinsichtlich der konkreten Schadenshöhe führt das Gericht dann aus:
"Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a).
So sprach etwa das AG Hildesheim (U.v. 05.10.2020, 43 C 145/19, ZD 2021, 384) 800,00 € zu in einem Fall, in dem auf einem wiederaufbereiteten und weiterveräußerten PC private Daten des ursprünglichen Besitzers noch vorhanden und somit an den Dritten gelangt waren. Das LG Lüneburg (Urteil vom 14.7.2020 - 9 O 145/19, ZD 2021, 275) etwa sprach 1.000,00 € zu in einem Fall eines rechtswidrigen Schufa-Eintrags.
Vorliegend berücksichtigt das Gericht, dass der Kläger (der selbst zunächst von der Beklagten 300,00 € gefordert hatte, im Rahmen der prozessualen Geltendmachung dann einen Bereich von nicht unter 100,00 € für angemessen hielt) nicht nur von einem, sondern von mehreren Verstößen der Beklagten gegen Vorschriften der DS-GVO betroffen war (s.o.).
Andererseits blieben die Auswirkungen für den Kläger - anders als etwa in den beiden o.g. Fällen des AG Hildesheim und des LG Lüneburg im „eigenen Bereich“ des Klägers, es wurde von den Verstößen kein Bereich tangiert (jedenfalls wurde derartiges nicht erkennbar), der Beziehungen des Klägers zu anderen Dritten betraf, etwa (auch nur potentiell) die Gefahr einer Schädigung seines Ansehens, seiner Kreditwürdigkeit o.ä. bot."
Und weiter:
"Die erkennbaren Auswirkungen lagen vielmehr darin, dass der Kläger sich - wie er unwidersprochen vortrug - sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen musste. Gerade letzteres - zumal unter Berücksichtigung der Dauer des Verstoßes und der zunächst nicht ansatzweise zielführend erfolgten Auskunftserteilung - ist geeignet, zu einem durchaus belastenden Eindruck des Kontrollverlusts zu führen, zumal dies auch die Auseinandersetzung mit dem Verstoß und auch die Abwehr ggf. drohender anderweitiger Verstöße erschwert (die Quelle der Daten kann ja - und wird erfahrungsgemäß - auch die Quelle für andere sein, die ggf. unter Verstoß gegen die DS-GVO diese Daten verarbeiten).
Vor diesem Hintergrund ist insbesondere die bestenfalls als zögerlich zu bezeichnende Information durch die Beklagte (die insoweit auch im Prozess recht vage blieb, wenn auch der Kläger dies nicht mehr weiter verfolgte) im Interesse einer effektiven Abschreckung als schmerzensgelderhöhend zu berücksichtigen. Soweit die Beklagte mit ihrem letzten Vorbringen möglicherweise behaupten will, nur zur Versorgung ihrer Mitmenschen agiert zu haben (quasi altruistisch) erscheint dies im Übrigen wenig lebensnah. Nicht zu berücksichtigen war dagegen, dass der Kläger zwischenzeitlich weitere unerwünschte Emails erhalten haben mag; eine Verantwortung der Beklagten hierfür wird schon nicht behauptet oder ersichtlich.
Das Gericht erachtet - auch im Vergleich mit den o.g. Entscheidungen, denen noch deutlich gravierendere (zumindest potentielle) Auswirkungen zugrundelagen - vorliegend im Ergebnis eine Entschädigung von 300,00 € für angemessen."
Anmerkung von RA Dr. Bahr:
Die vorliegende Entscheidung widerspricht der bisherigen oberinstanzgerichtlichen Rechtsprechung, wonach ein DSGVO-Schadensersatz eine gewisse Erheblichkeitsschwelle überschreiten muss, damit ein Schadensersatz fällig wird. Auch setzt sie sich nicht mit den bereits ergangenen Urteilen des AG Diez (Urt. v. 07.11.2018 - 8 C 130/18) und des AG Hamburg-Bergedorf (Urt. v. 07.12.2020 - Az.: 410d C 197/20) überhaupt nicht auseinander.
Wenig überzeugend sind auch die Ausführungen zur konkreten Höhe des Schadensersatzes. Das Gericht zieht zwei andere Urteile, denen aber komplett andere Lebenssachverhalte zugrunde liegen, heran und kommt dann auf den Wert von 300,- EUR. Genauso gut hätten es 100,- EUR oder 400,- EUR sein können.
Sollte die Beklagtenseite in Berufung gehen, spricht somit vieles dafür, dass das Urteil in der nächsthöheren Instanz aufgehoben wird.
In absehbarer Zeit wird ohnehin der EuGH zu den konkreten Problemen des Schadensersatzanspruchs nach Art. 82 DSGVO Stellung nehmen, da ein entsprechendes Vorabentscheidungsverfahren existiert, vgl. unsere Kanzlei-News v. 18.02.2021.