EuGH: Immaterieller Schaden durch Werbung von juris?
Mit Urteil vom 11.04.2024 befasste sich der EuGH erneut mit den Anforderungen an einen Anspruch auf immateriellen Schadensersatz nach der Datenschutzgrundverordnung (DSGVO). In diesem Zusammenhang sollte der EuGH entscheiden, ob ein immaterieller Schaden durch die wiederholte und ungefragte Zusendung von Werbung von juris entstanden sei. Im Ergebnis blieb er – konsistent zu seiner bisherigen Rechtsprechung – vage.
Der zugrundeliegende Fall
Juris sendete per E-Mail Werbung an einen Rechtsanwalt. Jedoch auch nachdem der Anwalt die juristische Online-Datenbank mehrfach aufgefordert hatte, ihn aus dem E-Mail-Verteiler zu entfernen, erhielt er weiterhin Werbemails. Selbst nachdem er von dem Unternehmen Schadensersatz wegen Datenschutzverletzungen verlangt hatte, schickte juris ihm eine weitere Werbemail.
Nach insgesamt drei vergeblichen Abbestellversuchen wandte er sich mit einer Klage an das Landgericht (LG) Saarbrücken und verlangte Schadensersatz nach Art. 82 Abs. 1 DSGVO. Er habe durch Kontrollverlust über seine personenbezogenen Daten einen immateriellen Schaden erlitten. Juris lehnt einen Anspruch auf immateriellen Schadensersatz ab, da allein die Verletzung der DSGVO einen solchen Anspruch noch nicht begründe. Welche Voraussetzungen und Darlegungsanforderungen für einen immateriellen Schadensersatz erforderlich sind, wollte das LG vom EuGH mittels des Vorabentscheidungsverfahrens klären lassen. Dabei ging es vor allem um die Frage, ob für einen immateriellen Schaden ein tatsächlicher Schaden vorliegen muss.
Vergleichsfall bei Saturn
Diese Frage hatte der EuGH Anfang des Jahres in einem ähnlich gelagerten Fall bereits beantwortet. Hier waren versehentlich kurzfristig Kundeninformationen an einen anderen Kunden weitergegeben worden. Der EuGH entschied damals, dass lediglich ein ungutes Gefühl wegen einer kurzen Datenweitergabe noch keinen immateriellen Schaden darstellt.
EuGH: Kein Schadensersatz ohne konkreten Schaden
Mit Urteil vom 11.04.2024 (C-741/21) bestätigte der EuGH nun erneut, dass ein bloßer Verstoß gegen die DSGVO nicht ausreicht, um einen Schadensersatzanspruch geltend zu machen. Vielmehr brauche ein immaterieller Schaden durch die Zusendung von Werbung durch juris laut dem EuGH einen konkreten, nachweisbaren Schaden. Der EuGH ließ jedoch offen, welche Kriterien hierfür erfüllt sein müssen. Jedenfalls sei es unerheblich, wie oft die Verletzung begangen worden sei. Entscheidend sei nur, welcher Schaden hieraus entstanden sei.
Wenigstens stellt der EuGH fest, dass etwaige Missachtungen von betrieblichen Weisungen durch Mitarbeitende nicht von der Pflicht zum Ersatz von entstandenen Schäden entbinden. Juris versuchte sich auf Art. 82 Abs. 3 DSGVO zu stützen und sich mit dem Argument zu verteidigen, dass Mitarbeiter betriebliche Weisungen missachtet hätten. Der EuGH wies jedoch darauf hin, dass Unternehmen in der Verantwortung stehen, sicherzustellen, dass ihre Mitarbeiter diese Weisungen korrekt umsetzen. Somit kann sich ein Unternehmen nicht einfach aus der Haftung ziehen, indem es auf fehlerhaftes Verhalten der Mitarbeiter verweist. Welche genauen Anforderungen der EuGH an den Haftungsausschluss stellt, erklärt er nicht.
Fazit
Die neben des Kontrollverlusts in Erwägungsgrund 85 der DSGVO aufgelisteten Gründe für immaterielle Schäden stellen häufig gleichzeitig auch Vermögensschäden dar. Deshalb ist aufgrund des vagen Urteils des EuGHs weiterhin unklar, welche Anforderungen an einen immateriellen Schadensersatz aufgrund Kontrollverlusts zu stellen sind. Jedenfalls müsse ein konkreter Schaden nachgewiesen werden. Wie das konkrete Urteil ausfallen wird, wird nun das LG Saarbrücken entscheiden.
Aufgrund der Vagheit des EuGH sind Unternehmen jedoch umso mehr angehalten, ihre Datenschutzmaßnahmen zu überprüfen und zu verstärken. Das Urteil zeigt erneut, dass zur Erfüllung sämtlicher datenschutzrechtlicher Vorgaben genau definierte technische und organisatorische Maßnahmen erforderlich sind, deren Beachtung vom Unternehmen gewährleistet werden muss. Dazu sollten Unternehmen qualifizierte Datenschutzbeauftragte einstellen.
