Wer Spam E-Mails erhält, hat standardmäßig keinen Anspruch auf DSGVO-Schadensersatz. Etwas anderes gilt, wenn Dritte durch den Versand die personenbezogenen Daten des Werbeempfängers erhalten (BGH, Urteil vom 28.01.2025, Az. VI ZR 109/23).
Rechtlicher Rahmen bei E-Mailwerbung
Der Versand von Werbemails ohne vorherige ausdrückliche Erlaubnis des Empfängers ist verboten (§ 7 Abs. 2 Nr. 2 UWG). Das gilt sowohl für E-Mails mit Werbung an Unternehmen als auch Verbraucher.
In unserem Blog finden Sie sehr ausführliche Informationen rund um E-Mail Werbung und Spam.
Kostenerstattung bei anwaltlichen Abmahnungen
Schon die erste unerlaubte versendete Werbemail ist abmahnbar, ohne dass der Werbende vorab kostenlos gewarnt werden müsste. Entscheidet sich der Betroffene, nicht selbst abzumahnen, sondern über einen Rechtsanwalt, muss der Werbende angemessene Abmahnkosten in Gestalt von Anwaltsgebühren in voller Höhe erstatten, was zur Not auch gerichtlich durchgesetzt werden kann.
Zusätzlich Anspruch auf DSGVO-Schadensersatz?
Bei rechtswidriger E-Mailwerbung liegt darüber hinaus auch oft ein DSGVO-Verstoß vor. Jedenfalls eine persönliche E-Mailadresse wie vorname.nachname@email.de stellt ein personenbezogenes Datum des Betroffenen dar. Wird diese für den Versand von Werbung genutzt, handelt es sich um eine automatisierte Verarbeitung im Sinne der DSGVO.
Damit kommt grundsätzlich auch ein Anspruch des Betroffenen auf immateriellen Schadensersatz nach Art. 82 DSGVO in Betracht. ErwG 146 Satz 3 DSGVO legt den Begriff des Schadens weit aus (vgl. BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24). Eine Bagatellgrenze gibt es nicht. Nach der Rechtsprechung des EuGH muss kein besonderer Grad an Schwere oder Erheblichkeit vorliegen, um den Ersatz eines immateriellen Schadens verlangen zu dürfen (vgl. EuGH, Urteil vom 20.06.2024, Az. C-590/22).
Schadensnachweis erforderlich
Trotz fehlender Erheblichkeitsschwelle muss der Betroffene aber die negativen Folgen des DSGVO-Verstoßes nachweisen. Das ist kein Automatismus. Ein bloßer DSGVO-Verstoß reicht nach der Rechtsprechung nicht aus, um einen Schadensersatzanspruch zu begründen. Der Eintritt eines Schadens (durch diesen Verstoß) ist erforderlich (st. Rspr., vgl. EuGH, Urteil vom 20.06.2024, Az. C-590/22; BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24 jeweils mwN).
Im vorliegenden Fall hatte der Empfänger der Werbemail vorgetragen, durch Zusendungen der in Rede stehenden Art werde das ungute Gefühl erweckt, dass personenbezogene Daten Unbefugten bekannt gemacht worden seien, eben weil die Daten unbefugt verwendet worden seien. Der Kläger habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen, was zu einem durchaus belastenden Eindruck des Kontrollverlusts geführt habe. Außerdem habe der Werbende nach dem Verstoß zunächst einmal nicht reagiert; darin komme eine erneute Missachtung des Klägers zum Ausdruck.
(Befürchtung von) Kontrollverlust muss dargelegt werden
Das reichte dem BGH nicht. Weder ergebe sich aus diesem Vortrag ein Kontrollverlust des Betroffenen über seine personenbezogenen Daten noch sei die geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt.
Der EuGH habe zwar klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteil vom 04.10.2024, Az. C-200/23).
Freilich müsse die betroffene Person aber auch hier den Nachweis erbringen, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten habe. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stelle dieser selbst den immateriellen Schaden dar und es bedürfe keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24).
Kein Kontrollverlust, da keine Datenweitergabe an Dritte
Auf dieser Grundlage lehnte der BGH einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO ab. Der Betroffene habe durch die Übersendung der Werbemail keinen Kontrollverlust über seine personenbezogenen Daten erlitten.
Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Werbende die Daten des Betroffenen mit der Übersendung der Werbemail zugleich Dritten zugänglich gemacht hätte. Das war hier aber nicht der Fall gewesen. Die aus dem Spamversand gefolgerte Befürchtung einer missbräuchlichen Datenverwendung durch unbefugte Dritte sei ein rein hypothetisches Risiko.
Kommentar
- Die Entscheidung des BGH ist ausgesprochen praxisrelevant. Der Versand von Spam E-Mails darf natürlich abgemahnt werden. Erfolgt die Abmahnung über einen Anwalt, ist es auch rechtens, den Werbenden mit Anwaltskosten und der Pflicht zur Abgabe einer strafbewehrten Unterlassungserklärung zu belasten. Häufig wurde in Spam Abmahnungen aber auch pauschal versucht, zusätzlich DSGVO-Schadensersatz zu Gunsten des Werbeempfängers herauszuschlagen. Diesem (Geschäfts-)Modell hat der BGH nun eine Absage erteilt.
- Etwas anderes gilt, wenn der Werbende Dritte in den Versand einbezieht. Darin kann ein Kontrollverlust liegen, der im Standardszenario fehlt. Es bleibt abzuwarten, wie der BGH den Begriff des „Dritten“ auslegen wird.
