Charro
Am 20. Juni 2024 veröffentlichte der Europäische Gerichtshof (EuGH) wichtige Urteile in den Rechtssachen „Scalable Capital“ und „PS GbR“, die wesentliche Klarstellungen zu datenschutzrechtlichen Schadensersatzansprüchen nach Art. 82 DSGVO liefern. Der EuGH stellt klar, dass Art. 82 DSGVO ausschließlich eine Ausgleichsfunktion hat. Er dient nicht der Bestrafung von Datenschutzverstößen, sondern dem vollständigen Ersatz des erlittenen Schadens. Bei der Berechnung des Schadensersatzes ist das Verschulden des Verantwortlichen nicht zu berücksichtigen. Die Höhe des Schadensersatzes orientiert sich ausschließlich am erlittenen Schaden.
Der EuGH bestätigt, dass immaterielle Schäden gleichwertig zu materiellen Schäden behandelt werden müssen. Dies betrifft insbesondere Fälle, in denen Personen durch Datenschutzverletzungen emotional belastet werden. Ein geringfügiger Schaden kann auch zu einem entsprechend geringen Schadensersatz führen, solange der Schaden nachgewiesen wird. Die bloße Befürchtung eines Schadens reicht nicht aus, es sei denn, sie ist begründet und nachweisbar. Wenn es um die Schadensersatzbemessung geht, müssen die Kriterien für die Bußgeldbemessung nach Art. 83 DSGVO außen vorbleiben. Auch Verstöße gegen andere gesetzliche Vorschriften sind bei der Berechnung des Schadensersatzes nicht zu berücksichtigen.
Die Wettbewerbszentrale erstritt vor dem Landgericht München I ein Unterlassungsurteil (Urt. v. 19. März 2024, Az. 33 O 7368/23) gegen einen süddeutschen Stromanbieter. Dieser wurde wegen falscher Behauptungen in der Telefonwerbung und fehlender Einwilligung verklagt. Ein Mitarbeiter des Unternehmens hatte fälschlicherweise behauptet, sie würden mit einem großen Konkurrenten zusammenarbeiten. Das Gericht verbot diese irreführende Werbung und verpflichtete den Stromanbieter, Telefonwerbung gegenüber Verbrauchern für Stromlieferverträge zu unterlassen, ohne dass eine ausdrückliche Einwilligung betroffener Verbraucher vorliegt.
Das Unternehmen hatte argumentiert, die Verbraucherin habe durch die Teilnahme an einem Preisausschreiben eingewilligt. Bei diesem mussten die Teilnehmer des Gewinnspiels einzelne "Sponsoren" aus einer längeren Liste abwählen. Doch das Gericht entschied, dass das Opt-Out-Verfahren nicht ausreichend sei und verweist auf die Rechtsprechung des BGH vom 28. Mai 2020 (Az. I ZR 7/16 - Cookie-Einwilligung II). Das Urteil ist nicht rechtskräftig.
Das Landgericht (LG) Paderborn stellte mit Urteil vom 12. März 2024 (Az. 2 O 325/23) fest, dass die bloße Verlinkung der Datenschutzhinweise, die wiederum einen Verweis auf die Marketingaktivitäten nebst eines Hinweises auf einen Abmeldelink enthielten, nicht die Anforderungen an einen klaren und deutlichen Hinweis auf das Widerspruchsrecht bei Erhebung der Adresse erfüllen, wie es die Ausnahmevorschrift des § 7 Abs. 3 UWG u. a. verlangt, um werbliche E-Mail ohne vorherige ausdrückliche Einwilligung versenden zu können. Es reiche nicht aus, dass die Datenschutzerklärung Hinweise enthalte, dass die Kundendaten für Werbezwecke genutzt werden und sich der Empfänger von der E-Mail-Marketingkommunikation abmelden könne.
Im konkreten Fall war dieser Hinweis ohne textliche Hervorhebung im Rahmen eines 26 Seiten umfassenden Schriftstücks enthalten. Erforderlich sei darüber hinaus aber auch die Benennung einer Kontaktadresse, an die ein zeitlich nach dem Vertragsschluss ausgesprochener Widerspruch zu senden ist (Postadresse, Telefon- oder Telefaxnummer, E-Mail-Adresse). Unternehmen, die sich auf die Ausnahmevorschrift des § 7 Abs. 3 berufen möchten, sollten sicherstellen, dass alle in der Vorschrift genannten Voraussetzungen kumulativ vorliegen, wozu auch die deutliche Sichtbarkeit des Widerrufshinweises im Rahmen der Datenerhebung gehört. Unachtsamkeiten können schnell dazu führen, dass eine E-Mail unzulässig versendet wird.
In einem Urteil vom 7. März 2024 (Az. C-604/22) präzisiert der Europäische Gerichtshof (EuGH) die Definition von "personenbezogenen Daten" (Art. 4 Nr. 1 DSGVO) und die "Verantwortlichkeit" (Art. 4 Nr. 7 i.V.m. Art. 26 Abs. 1 DSGVO) in der Online-Werbebranche. Geklagt hatte das Interactive Advertising Bureau Europe (IAB), eine Vertretung von Werbeunternehmen auf europäischer Ebene, gegen die belgische Datenschutzbehörde, die Maßnahmen und Bußgelder wegen angeblicher Verstöße gegen die DSGVO verhängt hatte. Das IAB hat das "Transparency and Consent Framework" (TCF) entwickelt, das dazu dient, personalisierte Werbung gemäß der DSGVO zu ermöglichen. Dazu kodiert und speichert die Consent Management Platform (CMP) des IAB die Präferenzen der Website-User in einer Zeichenfolge, bekannt als "Transparency and Consent String" (TC-String).
Im Ergebnis entschied der EuGH, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO ist. Darüber hinaus sei das IAB als gemeinsam Verantwortlicher im Sinne der DSGVO anzusehen. Gleichzeitig hob das Gericht aber hervor, dass nach der Speicherung der Einwilligungspräferenzen das IAB nur noch dann im Sinne der DSGVO verantwortlich sei, wenn es nachweislich auch Einfluss auf die Weiterverarbeitung der Daten hatte.
Ein Kläger hatte Schadenersatz eingeklagt, weil seine öffentlich zugängliche Anschrift ohne seine Einwilligung zur Versendung postalischer Werbung verwendet wurde.
Das Landgericht Stuttgart wies die Klage mit Urteil vom 25. Februar 2022 (Az. 17 O 807/21) ab. Die dagegen eingelegte Berufung wurde mit Beschluss des OLG Stuttgart vom 23. Februar 2024 als „offensichtlich“ unbegründet zurückgewiesen. Dies begründete der Senat in einem Hinweisbeschluss vom 2. Februar 2024 (Az. 2 U 63/22).
Das Urteil des Landgerichts Stuttgart ist damit rechtskräftig.