BGH: DSGVO-Schadensersatz bei unerwünschter Werbe-E-Mail?

E-Mail-Spam ist nicht nur lästig, sondern auch rechtswidrig. Doch schuldet der Versender auch Schadensersatz nach der DSGVO? Dazu positionierte sich nun der BGH.

Der Sachverhalt

Ausgang des Streits war der Versand von unerwünschten Werbe-Emails durch einen Online-Händler an seine Kunden.

Einige Zeit nachdem er beim Online-Händler eingekauft hatte, erhielt der Käufer, ein Verbraucher, eine unerwünschte Werbe-E-Mail von diesem. Eine vorherige Einwilligung hatte der Kläger nicht erteilt.

Er widersprach daraufhin der Nutzung seiner Daten „für Zwecke der Werbung oder der Markt- oder Meinungsforschung auf jeglichem Kommunikationsweg“ und forderte die Abgabe einer Unterlassungserklärung.

Darüber hinaus verlangte er einen DSGVO-Schadensersatz in Höhe von 500 Euro als „Schmerzensgeld“.

Weil der Beklagte die Unterlassungserklärung nicht abgab, zog der Kläger vor Gericht.

Im Prozess vor dem Amtsgericht Tuttlingen als Ausgangsgericht erkannte der Beklagte die Unterlassungsforderung an, aber nicht den Antrag auf Schadensersatz. Das Amtsgericht verurteilte den Beklagten entsprechend seines Teilanerkenntnisses, wies die Klage aber im Übrigen – und insbesondere hinsichtlich des Zahlungsantrags – ab.

Die Berufung des Klägers gegen die Teilabweisung wurde in zweiter Instanz vom LG Rottweil zurückgewiesen, woraufhin der Kläger seinen Anspruch auf Zahlung von Schmerzensgeld nach DSGVO mit einer Revision zum BGH weiterverfolgte.

Die Entscheidung

Der BGH wies die klägerische Revision mit Urteil vom 28.01.2025 (Az: VI ZR 109/23) zurück und lehnte den Anspruch des Klägers auf Schadensersatz nach Art. 82 Abs. 1 DSGVO ab.

Der Verstoß gegen die DSGVO in Form einer Werbemail allein sei für einen Schadensersatzanspruch nicht ausreichend. Vielmehr müsse der Anspruchsteller einen auf dem Verstoß basierenden Schadens substantiiert darlegen.

1. Erforderlich: Konkreter immaterieller Schaden

Das Berufungsgericht habe die Ablehnung des Anspruchs zu Recht damit begründet, dass der Kläger keinen konkreten immateriellen Schaden nachgewiesen habe.

Weder ein Kontrollverlust über seine Daten noch eine objektiv nachvollziehbare Beeinträchtigung seines Persönlichkeitsrechts seien dargelegt worden.

Ein Kontrollverlust könne allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das sei aber nicht der Fall.

Wenn ein Kontrollverlust nicht nachgewiesen werden könne, reiche die begründete Befürchtung einer Person aus, dass ihre personenbezogenen Daten aufgrund eines DSGVO-Verstoßes von Dritten missbräuchlich verwendet würden, um einen Schadensersatzanspruch zu begründen.

Die Befürchtung samt ihren negativen Folgen müsse aber ordnungsgemäß nachgewiesen werden. Demgegenüber genüge die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten.

Soweit der Kläger die Befürchtung äußere, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe, stütze sich der Kläger auf eine reine Hypothese.

2. Nicht erforderlich: Überschreiten einer Bagatellgrenze

Das Berufungsgericht hatte in seiner Entscheidung darüber hinaus angenommen, dass für das Vorliegen eines immateriellen Schadens eine Bagatellgrenze überschritten sein müsse.

Dies sei nach Ansicht des Berufungsgerichts bei einem lediglich kurzfristigen Verlust der Datenhoheit nicht der Fall.

Dieser Auffassung trat der BGH entgegen. Ein Anspruch des Klägers auf Schadensersatz könne nicht deshalb verneint werden, weil der Schaden nicht einen bestimmten Grad an Schwere oder Erheblichkeit überschreite. Eine Bagatellgrenze gebe es nicht, wie der EuGH im Jahr 2023 verbindlich entschied.

Fazit

Eine unerwünschte Werbe-E-Mail allein löst keinen DSGVO-Schadensersatzanspruch aus.
Der Eintritt eines Datenschutzverstoßes begründe nicht automatisch auch einen Schaden.
Um einen solchen geltend zu machen, ist vielmehr substantiiert darzulegen, dass der Datenschutzverstoß in einem Kontrollverlust über die Datenhoheit oder einer sonstigen nachvollziehbaren Beeinträchtigung des Persönlichkeitsrechts resultiert ist.

Bloße Hypothesen oder irrationale Befürchtungen reichen wiederum für diese Darlegung nicht.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .