personenbezogene Daten

Kein Schmerzensgeld für unerwünschte Werbe-E-Mail

Wolfgang Riegger

Der Bundesgerichtshof (BGH) hat mit Urteil vom 28. Januar 2025 (Az. VI ZR 109/23) entschieden, dass eine einzelne unerwünschte Werbe-E-Mail nicht ausreicht, um einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Damit wurde die Klage eines Verbrauchers auf Schmerzensgeld in Höhe von 500 Euro zurückgewiesen.

Sachverhalt

Der Kläger hatte im Januar 2019 beim Beklagten Aufkleber für seinen Briefkasten mit der Aufschrift „Betteln und Hausieren verboten“ erworben. Am 20. März 2020 erhielt er vom Beklagten eine Werbe-E-Mail, in der ihm weiterhin Dienstleistungen angeboten wurden. Daraufhin widersprach der Kläger der Nutzung seiner personenbezogenen Daten für Werbezwecke und forderte eine strafbewehrte Unterlassungserklärung sowie ein „Schmerzensgeld“ in Höhe von 500 Euro nach Art. 82 DSGVO.

Der Beklagte erkannte den Unterlassungsanspruch an, verweigerte jedoch die Zahlung des immateriellen Schadensersatzes. Das Amtsgericht Tuttlingen und das Landgericht Rottweil wiesen die Klage insoweit zurück. Der Kläger legte daraufhin Revision beim BGH ein.

Entscheidung des BGH

Der BGH wies die Revision des Klägers zurück und entschied, dass ein bloßer DSGVO-Verstoß allein nicht automatisch einen Anspruch auf immateriellen Schadensersatz auslöst. Ein Schaden muss konkret dargelegt werden.

  1. Kein genereller Anspruch bei Bagatellverstößen: Der EuGH hatte bereits klargestellt, dass es keine Erheblichkeitsschwelle gibt, ein immaterieller Schaden aber nachweisbar sein muss.
  2. Fehlende substantielle Darlegung eines Schadens: Der Kläger habe lediglich subjektive Unannehmlichkeiten beschrieben, aber keine nachweisbaren negativen Folgen erläutert.
  3. Kein Kontrollverlust über personenbezogene Daten: Da die E-Mail-Adresse des Klägers nicht an Dritte weitergegeben wurde, fehle es an einem relevanten Kontrollverlust.
  4. Hypothetische Befürchtungen reichen nicht aus: Eine bloße Sorge um einen möglichen Missbrauch personenbezogener Daten genügt nicht für die Annahme eines immateriellen Schadens.

Fazit

Das Urteil des BGH bestätigt, dass nicht jede ungewollte Nutzung personenbezogener Daten automatisch einen Entschädigungsanspruch nach der DSGVO auslöst. Wer Schadensersatz beansprucht, muss nachweisen, dass ihm ein spürbarer Nachteil entstanden ist. Dies dürfte insbesondere für Unternehmen von Bedeutung sein, die mit DSGVO-basierten Schadensersatzforderungen konfrontiert werden.

Das Urteil stellt eine Klarstellung für den Umgang mit unerwünschter Werbung per E-Mail dar und zeigt, dass nicht jede Datenschutzverletzung automatisch eine finanzielle Entschädigung nach sich zieht.

Ungültigkeit des sog. Privacy-Shield-Abkommens zwischen der EU und der USA: Was sind die Folgen?

Wolfgang Riegger

Das Urteil des EuGH zur Ungültigkeit des sog. Privacy-Shield-Abkommens zwischen der EU und der USA vom 16.07.2020, Az.: C-311/18, wurde in zahlreichen Medienberichten thematisiert. .

Nachdem dazu bereits auch Fragen bei mir eingegangen sind, das Wichtigste im Überblick:

Was ist das Privacy-Shield-Abkommen?

Dabei handelt es sich um eine Absprache zwischen der EU und der USA auf dem Gebiet des Datenschutzrechts, und zwar für die Übermittlung von personenbezogenen Daten aus der EU in die USA.

Kurz gesagt ging es darum, dass sich US-Unternehmen in eine Liste eintragen konnten und dadurch zusicherten, dass ein US-Unternehmen einen gewissen Mindestschutz für personenbezogene Daten auf Grundlage des EU-Datenschutzrechts einhält.

Wollte also ein Unternehmen aus der EU in die USA personenbezogene Daten übermitteln, musste das EU-Unternehmen lediglich prüfen, ob das US-Unternehmen in der Privacy-Shield-Liste eingetragen war. War dem der Fall, so sollte die Übermittlung der personenbezogenen Daten zulässig sein.

Was hat der EuGH entschieden?

Der EuGH hat den Beschluss der EU-Kommission zum Privacy-Shield-Abkommen für ungültig erklärt. Nach Auffassung des EuGH könne das Privacy-Shield-Abkommen kein nach EU-Recht angemessenes Datenschutzniveau gewährleisten, weil amerikanische Behörden zu weitreichende Befugnisse hätten, um auf die übermittelten personenbezogenen Daten aus der EU zuzugreifen.

Ist damit die Übermittlung personenbezogener Daten in die USA generell unzulässig?

Nein.

In seinem Urteil hat der EuGH nämlich auch entschieden, dass die sog. EU-Standardvertragsklauseln gültig seien.

Diese sog. EU-Standardvertragsklauseln gehen zurück auf einen Beschluss der EU-Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern. Zu diesen Drittländern gehört auch die USA.

Diesem Beschluss ist als Anhang ein Mustervertrag für Auftragsverarbeiter in diesen Drittländern beigefügt. Und diesen Standardvertrag hat der EuGH für gültig erklärt.

Daraus folgt:

Wer nun aus der EU in die USA personenbezogene Daten übermitteln möchte, muss nun mehr tun als zuvor vor dem EuGH-Urteil:

Es genügt nicht mehr zu prüfen, ob das US-Unternehmen, an das die Daten übermittelt werden sollen, dem Privacy-Shield-Abkommen beigetreten ist.

Es muss nun – am besten – der Mustervertrag der EU-Kommission für die Auftragsverarbeitung personenbezogener Daten verwendet werden, so dass das EU-Unternehmen mit dem US-Unternehmen explizit einen solchen Individualvertrag abschließen muss.

Dazu gibt es auch zwischenzeitlich eine Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 28.07.2020. Dabei betont die DSK, dass es nicht genüge, dass das EU-Unternehmen mit dem US-Unternehmen die EU-Standardvertragsklauseln verwende, sondern darüber hinaus auch eine individuelle Verantwortung des Unternehmens in der EU bestehe, so dass auch geprüft werden solle, ob diese Klauseln vom US-Unternehmen auch tatsächlich eingehalten und beachtet werden.

Nachtrag (25.08.2020):

Eine erste Orientierungshilfe einer deutschen Aufsichtsbehörde zum Thema internationaler Datentransfer kommt nun vom Landesdatenschutzbeauftragten von Baden-Württemberg.

Danach muss ein EU-Unternehmen, welches personenbezogene Daten in die USA übermittelt, nicht nur bei einem Vertragsschluss die oben genannten EU-Standardvertragsklauseln nutzen sondern auch prüfen, ob in den USA ein Zugriff auf die übermittelten Daten z.B. durch US Behörden nicht möglich ist.

In der Orientierungshilfe heißt es dazu:

„Der Verantwortliche muss hier zusätzliche Garantien bieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen; dies wäre in folgenden Fällen denkbar:

  • Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann
  • Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann.“

Das würde vermutlich das faktische „Aus“ für die Übermittlung von personenenbezogenen Daten in die USA bedeuten.