Direktmarketing: Nicht jeder Datenschutzverstoß berechtigt zum Schadensersatz

Die Österreichische Post hatte seit 2017 Informationen über politische Präferenzen der österreichischen Bevölkerung zusammengestellt. Diese Daten wurden daraufhin zum Zwecke zielgerichteter Werbung, also Direktmarketing, an verschiedene Organisationen verkauft. Im Rahmen dieses Vorgangs verstieß die Österreichische Post gegen geltendes Datenschutzrecht.

Mit diesem Sachverhalt konfrontiert, legte das höchste österreichische Gericht, der Oberste Gerichtshof (OGH), dem EuGH mehrere Fragen im Wege eines Vorabentscheidungsgesuch gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) vor. Konkret beauftrage der OGH den EuGH insbesondere mit der Beantwortung der Fragen, ob die Gewährung von Schadensersatz nach Art. 82 DSGVO einen konkreten Schaden erfordert, sowie ob auch Bagatellschäden zu ersetzen sind. 

Folgen der Entscheidung für Onlinehandel und Direktmarketing

Die Entscheidung des EuGH ist grundsätzlich für jeden Bereich des unternehmensweiten Vertriebs relevant. Dies folgt zum einen daraus, dass die DSGVO bereits im Grundsatz nicht nur technikneutral konzipiert ist, also deren Anwendung unabhängig der von der verwendeten Art der Verarbeitung gilt. Die DSGVO unterscheidet überdies nicht zwischen einzelnen Art von betroffenen Personen. Kunden sind also unabhängig von der Art des Marketings, beispielsweise via Mail oder per Dialogpost sowie der Plattform des Handels in gleichem Umfang schutzwürdig.

Verstoßen Unternehmen gegen die für eine Datenverarbeitung maßgeblichen Normen, so sieht Art. 82 DSGVO einen Anspruch auf Schadensersatz vor. Die Vorschrift erlaubt es den Geschädigten neben materiellen Forderungen auch immaterielle Schadensersatzansprüche geltend zu machen. Unter welchen Voraussetzungen ein derartiger Anspruch besteht, hat der EuGH nunmehr konkretisiert.

Anforderungen an den Schadensersatzanspruch

In seiner Entscheidung konstatierte der EuGH insoweit aus Sicht der Autoren richtigerweise, dass der Schadensersatzanspruch in der DSGVO an drei kumulative Voraussetzungen geknüpft ist. Konkret erfordert ein Anspruch auf Schadensersatz ausweislich der Rechtsprechung jeweils

• einen schuldhaften Verstoß gegen die DSGVO,
• einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert,
• einen kausalen Zusammenhang zwischen Schaden und Verstoß.

Voraussetzung für Ansprüche nach Maßgabe des Art. 82 DSGVO ist also grundsätzlich ein schuldhafter, demnach vorsätzlich oder fahrlässig begangener, Verstoß gegen die DSGVO. Im Zusammenhang mit dem Onlinehandel kommen regelmäßig Verstöße

• gegen das Verarbeitungsverbot mit Erlaubnisvorbehalt z.B. nach Maßgabe des Art. 5 Abs. 1 lit. a) und Art.6 DSGVO,
• gegen die Pflicht zur Implementierung technischer und organisatorischer Maßnahmen (TOMs) sowie
• im Zusammenhang mit der Auftragsverarbeitung (Art. 28 DSGVO) in Betracht.

Nachweis eines fehlenden Verschuldens

Die Aufzählung ist nicht abschließend. Das Verschulden des Verantwortlichen wird grundsätzlich gemäß Art. 82 Abs. 3 DSGVO vermutet. Mit anderen Worten muss die verantwortliche Stelle nachweisen können, dass kein Verschulden ihrerseits vorliegt.

Praxishinweis: Der Nachweis fehlenden Verschuldens dürfte ausschließlich dann gelingen, wenn der Datenschutz im Direktmarketing ordnungsgemäß implementiert wurde, also eine taugliche Datenschutzorganisation vorgehalten wurde. Zu denken wäre etwa daran, dass Hacker zwar tatsächlich auf Kundendaten zugreifen, der Zugriff jedoch nachweislich durch menschliches Versagen eines individuellen Arbeitnehmers ermöglicht wurde.

Liegt ein schuldhafter Verstoß gegen die DSGVO vor, so müssen vermeintlich geschädigte Betroffene einen konkret erlittenen Schaden nachweisen. Mit anderen Worten genügt es also nicht, von einen Datenschutzverstoß sofort und automatisch auf einen Schadenseintritt zu schließen.

Praxishinweis: Für die unternehmerischen Praxis ist insbesondere der Nachweis eines immateriellen Schadens relevant. Insoweit ist festzuhalten, dass ein bloßes Ärgernis nicht mit einem Schaden gleichzusetzen ist. Grundsätzlich liegt ein Schaden beispielsweise dann vor, wenn Personen durch eine unzulässige Veröffentlichung von Daten im Internet „bloßgestellt“ werden (LG Frankfurt a.M., Urteil vom 18.September 2020 – 2/27 O 100/20).

Weiter entschied der EuGH, dass der Schadensersatzanspruch nicht durch eine Erheblichkeitsschwelle eingeschränkt wird. Diese Auffassung teilte etwa bereits das Oberlandesgericht Hamm (OLG Hamm, Urteil vom 20. Januar 2023 – 11 U 88/22).

Praxishinweis: Durch diese Entscheidung dürfte nunmehr auch die Ansicht einiger deutscher Instanzgerichte Makulatur sein. Diese hatten nämlich entschieden, dass gerade nicht jeder (Bagatell-)Schaden einen Schadensersatz begründen solle (LG Karlsruhe, Urteil vom 9. Februar 2021 – 4 O 67/20; LG Köln Urteil vom 7. Oktober 2020 – 28 O 71/20).

Beeinträchtigung von persönlichkeitsbezogenen Belangen

Der Umstand, dass Bagatellschäden ebenfalls umfasst sind, ist nach Auffassung der Autoren nur konsequent und richtig. Nach wohl herrschender Meinung ist nachzuweisen, dass dem Betroffenen ein messbarer oder spürbarer Nachteil durch Direktmarketing entstanden ist, der aus einer objektiv nachvollziehbaren mit gewissem Gewicht erfolgten Beeinträchtigung von persönlichkeitsbezogenen Belangen herführt. Offenzulegen sind daher erlittene, objektiv nachvollziehbare, erhebliche oder persönliche Nachteile, etwa in Form einer öffentlichen Bloßstellung (LG Karlsruhe, Urteil vom 02.08.2019 – Az: 8 O 26/19.).

Sind die vorgenannten Voraussetzungen des Art. 82 DSGVO erfüllt, kann der Betroffen von dem Verantwortlichen Schadensersatz verlangen. Die Höhe des Schadens wird hierbei im jeweiligen Einzelfall bemessen. Die Höhe des konkret geschuldeten Schadensersatzes wird bei Vorliegen der Voraussetzungen nach nationalem Recht definiert. Hierbei muss ausweislich des Urteils des EuGH das nationale Recht unter Anderem den Äquivalenz- und Effektivitätsgrundsatz sowie die Ausgleichsfunktion beachten.

Funktionsfähiger Datenschutz für das Direktmarketing

Dies vorangestellt, müssen Unternehmen selbstredend auch unter Berücksichtigung des EuGH-Urteils weiterhin eine funktionsfähige Datenschutzorganisation vorhalten, die die Einhaltung der in der DSGVO statuierten Pflichten gewährleistet. Dennoch ist es erfreulich, dass aller Voraussicht nach vermeintlich geschädigte Betroffene jedenfalls einen erlittenen Schaden nachweisen müssen. Hierdurch dürfte einem etwaigen Rechtsmissbrauch jedenfalls in krassen Fällen vorgegriffen werden.

Über die Autoren: Daniel Wasser, LL.M., ist als Rechtsanwalt bei Rödl & Partner in Nürnberg tätig. Er berät in- und ausländische Unternehmen in allen Fragen des Individual- und Kollektivarbeitsrechts. Insbesondere berät Herr Wasser Unternehmen in der Schnittstelle von Arbeits- und Datenschutzrecht, wobei ein Fokus auf der Implementierung und Anpassung von Datenschutz- oder Compliance-Management Systemen (DMS/CMS) sowie der betrieblichen Digitalisierung liegt. Ferner beschäftigt er sich mit der arbeitsrechtlichen Begleitung von Re- und Umstrukturierungsmaßnahmen.

Johannes Marco Holz ist Rechtsanwalt, Fachanwalt für Informationstechnologierecht und zertifizierter betrieblicher Datenschutzbeauftragter (GDDcert. EU) und bei Rödl & Partner im Bereich IT- und Datenschutzrecht in Nürnberg tätig. Nach mehrjähriger Erfahrung als Unternehmensjurist im In- und Ausland berät er mittelständische und große Unternehmen und die öffentliche Hand in IT- und datenschutzrechtlichen Fragen außergerichtlich und gerichtlich, begleitet Software-Implementierungsprojekte ebenso wie DSGVO-Complianceprojekte und steht für Vortragstätigkeiten zur Verfügung. Einen weiteren Schwerpunkt seiner Tätigkeit hat er in der datenschutzrechtlichen Begleitung von Due Diligence Prüfungen. (sg)

Lesen Sie auch: Datenschutz-Grundverordnung: Analyse der verhängten Bußgelder in Europa