Jeder kennt sie, die nervigen Werbemails von Online-Läden oder -Diensten, die man irgendwann für einen Gutschein oder auch völlig unbeabsichtigt abonniert hat. Doch auch seriöse Anbieter wie der juristische Recherchedienst Juris können ihre Kunden offenbar mit Werbung zur Weißglut treiben. Ein Rechtsanwalt wehrt sich zurzeit in einem Verfahren vor dem LG Saarbrücken gegen Werbebriefe des Datenbankbetreibers und die Speicherung seiner Daten zu diesem Zweck. Nun musste auch der EuGH auf eine Vorlage des LG in der Sache tätig werden (Urteil vom 11.04.2024 - C-741/21).
Der Anwalt hatte erfahren, dass Juris seine personenbezogenen Daten nicht nur für den Versand der von ihm bestellten Newsletter, sondern auch zu Werbezwecken speicherte. Daraufhin widerrief er alle zuvor abgegebenen Einwilligungen und widersprach jeglicher Verarbeitung seiner Daten zu Werbezecken. Trotzdem erhielt er immer wieder Briefe von Juris, in denen eine individuelle zehnstellige Zeichenfolge abgedruckt war. Diese konnte dann auf der Juris-Website eingegeben werden, woraufhin eine Bestellmaske erschien, die persönliche Angaben über den Mann enthielt.
Der Anwalt wies Juris daher nochmals schriftlich auf seinen Widerspruch gegen jegliche Werbung hin. Außerdem habe das Unternehmen, indem es weiterhin Werbe-Briefe mithilfe der Daten erstellt hatte, diese Daten rechtswidrig verarbeitet. Hierfür stehe ihm ein Schadenersatz nach Art. 82 DS-GVO zu. Sollte er gedacht haben, dass nach dieser juristischen Drohung keine weiteren Werbebriefe mehr ankommen sollten, hätte er sich jedenfalls getäuscht: Auch weiterhin erhielt er Post von Juris, woraufhin er seinen Widerspruch auch noch per Gerichtsvollzieher zustellen ließ. Im Übrigen beauftragte er einen Notar, der gemeinsam mit ihm die Bestellmaske aufrief, um zu bestätigen, dass diese tatsächlich Daten zu seiner Person enthielt.
Ist unerlaubte Werbepost ein ersatzfähiger Schaden?
Nunmehr fordert er vor dem LG Saarbrücken neben dem Ersatz der Kosten für Notar und Gerichtsvollzieher auch Schadensersatz, der ihm seiner Ansicht nach aufgrund der rechtswidrigen Verarbeitung seiner Daten zusteht. Dies wirft die spannende Frage auf, ob die DS-GVO-widrige Datenverarbeitung tatsächlich einen immateriellen Schaden darstellt, der ersatzfähig ist. Eben diese legte das LG sodann dem EuGH zur Vorabentscheidung vor.
Hierzu stelle der EuGH klar, dass Art. 82 DS-GVO, der jeder Person, der "wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist", einen Schadensersatz zuspricht, hiermit auf einen konkreten Schaden abstellt. Diesen müssten Betroffene auch nachweisen. Die bloße Verletzung subjektiver Rechte aus der DS-GVO reicht damit nicht aus. Gleichwohl kann der "Verlust der Kontrolle" über die eigenen Daten, den der klagende Anwalt im Ausgangsverfahren zur Begründung anführt, eine solche Schadensposition sein, wie der Gerichtshof nun ausführte. Dieser sei im 85. Erwägungsgrund der DS-GVO ausdrücklich als ein Schaden genannt, der durch eine Verletzung personenbezogener Daten verursacht werden könne.
Unternehmen können sich nicht mit Verschulden von Angestellten herausreden
Weiterhin wollte das LG wissen, ob der Einwand, den Juris in dem Verfahren vorbringt, wonach vielleicht ein Mitarbeiter oder eine Mitarbeiterin für die rechtswidrige Datenverarbeitung verantwortlich sei, überhaupt durchgreift. Mit anderen Worten: ob sich ein Unternehmen dadurch exkulpieren kann, dass Beschäftigte einen Schaden entgegen ihrer Anweisungen verursacht haben. Das verneinten die Luxemburger Richterinnen und Richter nun klar. Schließlich, so ihr Argument, würde der Schadensersatzanspruch praktisch an Bedeutung verlieren, wenn sich Unternehmen stets unter Verweis auf vorschriftswidrig handelnde Beschäftigte aus der Verantwortung ziehen könnten.
Schließlich hatte das LG den EuGH auch dazu befragt, wie ein Schadensersatzanspruch zu bemessen wäre, wenn - wie hier - mehrere Verstöße zulasten derselben Person im selben Datenverarbeitungsvorgang geschehen sind. Hierzu verwies der Gerichtshof darauf, dass Art. 82 DS-GVO keine Straf-, sondern eine Ausgleichsfunktion habe, womit es zunächst einmal nicht darauf ankomme, ob der Verantwortliche mehrere Verstöße gegenüber derselben Person begangen habe, sondern allein auf den von dieser Person konkret erlittene Schaden (Urt. v. 11.4.2024 - C-741/21).