AG Mainz zum Geschäftsmodell-Datenschutz

Die Durchsetzung datenschutzrechtlicher Ansprüche ist ein wichtiger Baustein des Grundrechtsschutzes im digitalen Raum. Doch was passiert, wenn Betroffene ihre Rechte nicht zum Datenschutz, sondern aus kommerziellen Motiven geltend machen? Ein aktuelles Urteil des Amtsgerichts (AG) Mainz (88 C 200/24) vom 27.04.2025 gibt eine Stellungnahme zum Geschäftsmodell-Datenschutz. In diesem Zusammenhang wies das Gericht die Klage eines Onlinemarketers ab, der Datenschutzverstöße von Zahnarztpraxen gerügt hatte.

Zugrundeliegender Fall

Der Kläger war als Einzelunternehmer im Online-Marketing tätig und hatte sich auf Zahnarztpraxen spezialisiert. Sein Geschäftsmodell bestand darin, Praxisseiten auf datenschutzrechtliche Schwächen zu prüfen und die betroffenen Ärzte anschließend per E-Mail auf die Verstöße hinzuweisen. Gleichzeitig bot er ihnen kostenpflichtig eine datenschutzkonforme Website-Lösung an, bei der keine Cookies zum Einsatz kommen sollten.

Reagierte eine Praxis nicht auf dieses Angebot oder lehnte es ab, folgte eine weitere E-Mail mit der Aufforderung zur Auskunft nach Art. 15 DSGVO, um über diesen Weg Schadensersatzforderungen und weitere Kosten durchzusetzen. Daneben schaltete der Kläger seinen Bruder ein, der unabhängiger IT-Forensiker sei. Von ihm ließ er ein IT-Gutachten anfertigen, dass über 1.100 Euro kosten sollte.

Die meisten angeschriebenen Praxen wiesen die Forderungen mit dem Argument zurück, dass der Auskunftsanspruch rechtsmissbräuchlich sei. Er werde nicht geltend gemacht, um eigene datenschutzrechtliche Interessen zu verfolgen, sondern diene ausschließlich dazu, Druck zu einem finanziellen Zweck aufzubauen. Daraufhin erhob der Einzelunternehmer gleich mehrere Klage beim AG Mainz und forderte jeweils die Gutachterkosten als auch Schadensersatz von mindestens 100 Euro.

Rechtsmissbräuchlicher Auskunftsanspruch

Grundsätzlich gewährt Art. 15 DSGVO Betroffenen im Rahmen des Auskunftsanspruchs das Recht, von dem Verantwortlichen Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten verarbeitet werden. Diesen Anspruch können Verantwortliche aber beispielsweise nach Art. 12 Abs. 5 S. 2 lit. b DSGVO wegen Rechtsmissbrauchs verweigern. Das ist der Fall bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person. Den Nachweis für einen solchen Rechtsmissbrauch muss der Verantwortliche erbringen. In der Vergangenheit wurde bereits entschieden, dass die Geltendmachung von DGSVO-Verstößen als Geschäftsmodell als Rechtsmissbrauch zu bewerten sei.

Gericht erkennt systematischen Rechtsmissbrauch

Das AG Mainz hat sich nun in seinem Urteil zum Geschäftsmodell-Datenschutz geäußert. Hierin schloss sich das Gericht der Argumentation der Beklagtenseite an und wies die Klage wegen Rechtsmissbrauchs zurück. Zwar stellte das Gericht fest, dass auf den Webseiten der Praxen tatsächlich datenschutzrechtliche Defizite vorlagen, ein Ersatzanspruch bestehe jedoch trotzdem nicht.

Entscheidend sei, dass der Kläger seine Betroffenenrechte nicht zum Schutz seiner personenbezogenen Daten, sondern zur Erzielung von Einnahmen und damit aus sachfremden Motiven, genutzt habe. Ziel sei entweder der Verkauf einer neuen Webseite gewesen oder, im Falle des Scheiterns dieses Angebots, die Geltendmachung von Schadensersatzansprüche in Kombination mit Gutachterkosten.

Die Absicht, seine personenbezogenen Daten zu schützen, hielt das Gericht nicht für hinreichend dargelegt. Das ergebe sich auch daraus, dass diese im ersten Schreiben in keiner Weise hervorgetreten sei, sondern lediglich seine Vermarktungsinteressen. Hinzukomme, dass der Kläger seinen Bruder bereits vor Fristablauf zur Anfertigung der Gutachten beauftragt habe. Das zeige, dass es ihm nicht um eine tatsächliche Geltendmachung seiner Rechte ging, sondern um die Sicherung seines Geschäftsmodells. Außerdem habe er mit seiner ersten Werbemail bereits Beweise hinreichend gesichert, weshalb ein Gutachten gar nicht mehr erforderlich gewesen sei.

Fazit

Laut der Beklagtenseite soll der Kläger bereits einige andere Klagen zurückgenommen haben. Das Urteil des AG Mainz zum Geschäftsmodell-Datenschutz zeigt trotzdem eindrücklich, dass auch im Bereich der DSGVO eine Grenze zwischen legitimer Rechtsdurchsetzung und rechtsmissbräuchlichem Verhalten zu ziehen ist. Unternehmen, insbesondere kleine und mittelständische Betriebe wie Arztpraxen, dürfen nicht durch strategisch inszenierte Datenschutzforderungen unter Druck gesetzt werden. Insofern ergibt sich aus dem Urteil eine geeignete Argumentationskette, um sich gegen weitreichende Auskunfts- und Schadensersatzforderungen zu wehren.

Hierbei ist allerdings zu beachten, dass Datenschutzverstöße ganz generell reale und finanzielle Konsequenzen haben können. Ob ein unlauteres Verhalten des Betroffenen vorliegt, sollte deshalb sorgfältig geprüft und nicht pauschal angenommen werden. Eine ungerechtfertigte und zu schnelle Ablehnung von Auskunftsbegehren aufgrund vermeintlichen Rechtsmissbrauchs, kann unbequeme Konsequenzen haben.

Im Übrigen ist hier anzumerken, dass die vom Kläger vorgenommene Werbekampagne durch die erste E-Mail wahrscheinlich rechtswidrig war, falls er hierfür (wie anzunehmen) keine Einwilligung der Arztpraxen hatte. Eine entsprechende Kontaktaufnahme beispielsweise per Brief könnte hingegen datenschutzkonform sein, wenn auch eher unseriös und potenziell nicht zielführend.