Art. 82 Abs. 1 EU-Datenschutzgrundverordnung (DSGVO) sieht vor, dass jeder Person, der wegen eines Verstoßes gegen diese Verordnung ein (materieller oder immaterieller) Schaden entstanden ist, ein Anspruch auf Schadenersatz gegen den Verantwortlichen (oder gegen den Auftragsverarbeiter) zusteht. Es stellt sich damit die Frage, ob bzw. inwieweit Verstöße gegen datenschutzrechtliche Vorgaben der DSGVO zu einem Schadenersatzanspruch des Betroffenen führen können.
In einem vom AG Diez (Urt. v. 7.11.2018 – 8 C 130/18) entschiedenen Verfahren ging es um Folgendes: ein Unternehmen (Beklagte) hatte einem Betroffenen (Kläger) am 25.5.2018 eine E-Mail-Nachricht zugesendet und diesen darin vor dem Hintergrund der ab diesem Tag anwendbaren DSGVO um seine Einwilligung gebeten, um ihm (auch zukünftig) Newsletter senden zu können. Dieser wertete diese Nachricht als Verstoß gegen die DSGVO und damit als unerlaubte E-Mail. Er wendete sich hiernach außergerichtlich an den Beklagten und verlangte von diesem Schadenersatz. Das Unternehmen zahlte daraufhin einen Betrag i.H.v. 50 EUR. Der Kläger war jedoch hiermit nicht einverstanden und klagte auf Zahlung eines weiteren Schmerzensgeldbetrags, der mindestens 500 EUR betragen sollte.
Das AG Diez hat die Klage abgewiesen. Das Gericht betonte zunächst, dass der Wortlaut des Art. 82 Abs. 1 DSGO u.a. voraussetze, dass ein Schaden entstanden sei. Daher könne nur ein Verstoß gegen die DSGVO, der auch zu einem Schaden führe, einen Schadenersatzanspruch begründen; nicht jeder Verstoß gegen die DSGVO sei damit schadenersatzbewehrt. Es sei vielmehr eine Interessenabwägung durchzuführen. Bagatellverstöße ohne ernsthafte Beeinträchtigungen führten zu keinem Schadenersatzanspruch. Ein solcher sei nur dann zu gewähren, wenn dem Betroffenen ein spürbarer Nachteil entstanden sei und eine mit einem gewissen Gewicht verbundene Beeinträchtigung persönlichkeitsbezogener Belange eingetreten sei. Unter Berücksichtigung dieser Vorgaben hat das AG Diez einen – über 50 EUR hinausgehenden – Schadenersatzanspruch verneint: Da nur eine einzige E-Mail-Nachricht, die zudem einen konkreten Bezug auf die ab diesem Tag anwendbare DSGVO gehabt habe, streitgegenständlich gewesen sei, sei ein höherer Schadenersatzanspruch als 50 EUR nicht gerechtfertigt.
In einem weiteren – von einem anderen Kläger geführten – Verfahren vor dem AG Gütersloh (10 C 665/18) ging es um folgenden Sachverhalt: Ein Betroffener hatte sich an den Betreiber eines Web-Portals gewandt, in dem "Erfahrungsberichte" zu Institutionen, Unternehmen etc. eingestellt werden konnten. Zum Zwecke der Kontaktierung hatte der Betroffene die im Impressum des Web-Portals genannte E-Mail-Adresse verwendet. Unmittelbar nach Versendung seiner E-Mail-Nachricht erhielt er eine Eingangsbestätigung einer Behörde, wonach seine E-Mail-Nachricht auf dem Server der Behörde (hier: einer Justizvollzugsanstalt) eingegangen sei. Es stellte sich heraus, dass die – im Impressum vorgehaltene – E-Mail-Adresse des Ansprechpartners des Web-Portal-Betreibers auf dessen (personalisierte) E-Mail-Adresse bei der Behörde, bei der er beruflich beschäftigt war, weitergeleitet worden war. Der Betroffene verlangte hiernach von dem Portalbetreiber u.a. Auskunft nach Art. 15 DSGVO sowie Löschung nach Art. 17 DSGVO. Ferner begehrte er Schadenersatz nach Art. 82 Abs. 1 DSGVO, da für die Weiterleitung seiner Nachricht an die Behörde kein Rechtfertigungsgrund i.S.d. Art. 6 Abs. 1 DSGVO vorlag. Nachdem der Portalbetreiber hierauf vorgerichtlich nicht eingegangen ist, erhob der Kläger Klage. Während des gerichtlichen Verfahrens erteilte der Portalbetreiber die geforderte Auskunft, er gab im Hinblick auf die Weiterleitung an die Behörde eine Unterlassungsverpflichtungserklärung ab und avisierte die Löschung. Daraufhin empfahl das Gericht den Parteien, den Schadenersatzanspruch gegen Zahlung eines Betrags i.H.v. 200 EUR zu erledigen. Hierauf einigten sich nachfolgend die Parteien.
Auch das OLG Dresden entschied über einen Schadenersatzanspruch auf Grundlage von Art. 82 DSGVO (Beschl. v. 11.6.2019 – 4 U 760/19). In diesem Fall hatte der Kläger auf einer Social-Media-Plattform einen Kommentar veröffentlicht. Die Plattform hatte den Kommentar hiernach gelöscht und das Konto des Klägers dahingehend beschränkt, dass er nur noch Leserechte hatte. Der Kläger wandte sich gegen diese Löschung sowie die Beschränkung seiner Rechte und verlangte Schadenersatz. Das OLG Dresden entschied, dass ein Schadenersatzanspruch i.H.v. 150 EUR – unabhängig von der Fragestellung, ob sich Sperrung / Löschung als rechtmäßig erweisen – nicht besteht. Die Besonderheit des Falls lag zunächst darin, dass die betroffene Löschung am 31.3.2018 – und damit vor Anwendbarkeit der DSGVO seit dem 25.5.2018 – erfolgt ist. Diese Fragestellung entschied das Gericht jedoch nicht final, da nach seiner Ansicht – auch bei unterstellter Anwendbarkeit – ein Schadenersatzanspruch ausschied. Nach Ansicht des Gerichts l...