Das LG Bonn hat entschieden, dass es gegen Art. 6 Abs. 1 DSGVO verstößt, eine an eine bestimmte Person gerichtete E-Mail nicht nur deren, sondern an zusätzliche wahllos, im Internet „recherchierte“ E-Mail-Adressen zu senden.
Es hat dem Betroffenen ein Schmerzensgeld in Höhe von 500 € und die die Erstattung von Abmahnkosten von insgesamt rund 1.100 € zugesprochen und einen Geschäftswert der Angelegenheit in Höhe von 5.000 € für angemessen gehalten. Interessant ist, dass es im vorliegenden Fall noch nicht einmal darauf ankam, ob die derart verschickten E-Mails auch an den betreffenden E-Mail-Adressen tatsächlich angekommen waren.
Abschlussschreiben an wahllos bei Google „ermittelte“ E-Mail-Adressen
Der Beklagte zu 1. hatte gegen den Kläger eine einstweilige Verfügung erwirkt und diese auch bereits per Post an ihn zugestellt. Das später versandte Abschlussschreiben richtete der diesen vertretende Rechtsanwalt, der Beklagte zu 2., im Auftrag des Beklagten zu 1. jedoch nicht über diese Postadresse, sondern per E-Mail an den Kläger.
Was grundsätzlich zulässig und auch nicht unüblich ist, war nach Auffassung des Klägers dadurch datenschutzrechtswidrig, da der Beklagte diese an gleich sechs unterschiedliche E-Mail-Adressen richtete, die er zum Teil lediglich bei Google „recherchiert“ hatte und bei denen es sich um E-Mail-Adressen handelte, die der Kläger zwar vor längerer Zeit einmal genutzt hatte, aber aktuell nicht mehr nutzte. Der Kläger musste also befürchten, dass die in der E-Mail enthaltenen teilweise privaten Daten an einen unbestimmten Empfängerkreis gelangen würden.
Das wollte er sich verständlicherweise nicht gefallen lassen, zumal er aus nachvollziehbaren Gründen annehmen musste, dass die Beklagten den Empfängerkreis der E-Mail absichtlich etwas größer gezogen hatten, um ihn bei Dritten herabsetzen zu können.
LG Bonn entschied auf 500 € Schmerzensgeld und insgesamt rund 1.100 € Abmahnkosten
Der Kläger mahnte zuerst den Beklagten zu 1. ab und forderte ihn zur Abgabe einer Unterlassungserklärung, der Übernahme der Anwaltskosten und einer Zahlung eines Schmerzensgelds in Anspruch. Gleichzeitig bot er an, auf die ihm auch gegen den Rechtsanwalt des Beklagten zu 1, den Beklagten zu 2, zustehenden Ansprüche zu verzichten, falls der Beklagte zu 1 alle geltend gemachten Ansprüche vollständig erfülle. Dieser gab zwar eine Unterlassungserklärung ab, weitere Ansprüche erfüllte er jedoch nicht. Daher versandte der Kläger in der Folgezeit auch eine Abmahnung an den Beklagten zu 2. Ebenfalls mit dem Ergebnis einer Unterlassungserklärung. Zahlungen lehnte auch dieser ab.
Auf die darauf hin vor dem Landgericht Bonn erhobene Klage verurteilte die Kammer beide Beklagten zur Zahlung eines gesamtschuldnerisch geschuldeten Schmerzensgeld in Höhe von insgesamt 500 € und zur Erstattung jeweils eine 1,3 Geschäftsgebühr auf Basis einer Streitwert von 5.000 € für die außergerichtlichen Abmahnungen (LG Bonn, Urteil v. 19.12.2022, Az. 13 O 169/22, nicht rechtskräftig, hier als PDF abrufbar).
Darauf, ob die E-Mails angekommen waren, kam es nicht an
Interessant ist, dass es im vorliegenden Fall noch nicht einmal darauf ankam, ob die derart verschickten E-Mails auch an den betreffenden E-Mail-Adressen tatsächlich angekommen waren, was unklar geblieben war. Die Beklagten hatten mit umständlichen Testversendungen von E-Mails (im Widerspruch zu ihrem Vortrag, das Sie die E-Mail-Adressen zu dem Zwecke recherchiert hätten, um den Kläger zu erreichen) an abgeänderte E-Mailadressen belegen wollen, dass kein so genannter „Catch-All“ bei den jeweiligen Domains existierte und die E-Mails daher nicht angekommen sein konnten. Dieser Umstand war für das Gericht allerdings nicht relevant, da die Daten im Sinne des Art. 4 Nr. 2 DSGVO durch Offenlegung durch Übermittlung bereits mit Absendung der E-Mails im rechtlichen Sinne verarbeitet worden seien.
Die Datenverarbeitung war rechtswidrig
Die Verarbeitung sei auch nicht rechtmäßig im Sinne des Art. 6 Abs. 1 DSGVO gewesen. Es komme in diesem Zusammenhang nicht darauf an, ob der Kläger die betreffenden E-Mail-Adressen in der Vergangenheit Einmal genutzt habe, da es jedenfalls an einer Einwilligung des Klägers in die Nutzung für die konkrete Datenverarbeitung im Einzelfall fehle. Eine solche sei im konkreten Fall insbesondere deswegen notwendig gewesen, da es sich bei den E-Mail Konten um geschäftliche Konten gehandelt habe und der Inhalt der betreffenden E-Mail jedenfalls auch Privates enthalten habe. Schließlich sei auch kein Grund dafür ersichtlich, weshalb das Abschlussschreiben nicht – wie die einstweilige Verfügung – auch auf postalischen Wege übersandt worden sei.
Der Verstoß erfolgte schuldhaft
Die Beklagten seien beide für den Datenschutzrechtsverstoß auch verantwortlich im Sinne des Art. 82 Abs. 2 S. 1 DSGVO, d.h. sie treffe den Vorwurf eines (vermuteten) Verschuldens. Sie hätten nicht davon ausgehen dürfen, dass der Kläger die E-Mail-Adressen dem unverschlüsselten rechtserheblichen Schriftverkehr in der streitgegenständlichen Angelegenheit eröffnet habe, zumal die E-Mail-Adressen unstreitig Jahre alten Internetbeiträgen entnommen worden waren.
Kriterien für die Höhe des Schmerzensgelds
Das Gericht hat bei Bestimmung des Schmerzensgeld in Höhe von 500 € erhöhend berücksichtigt, dass die Beklagten erkennbar und wahllos nicht freigegebene E-Mail-Adressen für unverschlüsselte, rechtserhebliche Kommunikation verwendet und damit einem über die Inhaber der jeweiligen Postfächer hinaus potentiell nicht überblickbaren Teilnehmerkreis die Möglichkeit zur Kenntnisnahme eröffnet haben. Zusätzlich sei zu berücksichtigen, dass es sich dabei um durchaus sensible Daten aus der Privatsphäre des Klägers gehandelt habe. Auch der Umstand, dass vorliegend zwei Adressdomänen und drei E-Mail-Adressen verwendet worden sein, falle ins Gewicht.
Nicht zu berücksichtigen seien allerdings konkrete negative Auswirkungen für den Kläger, da insbesondere nicht bewiesen worden sei, dass es tatsächlich zur Kenntnisnahme Dritter gekommen sei. Mindernd sei schließlich zu berücksichtigen, dass die potentielle Kenntnisnahme Dritter unwahrscheinlich und der Umfang der offen gelegten personenbezogenen Daten trotz ihrer grundsätzlichen Sensibilität überschaubar sei.
Das Gericht war nicht sonderlich beeindruckt vom Vortrag der Beklagten und konnte seine Verärgerung darüber insbesondere an zwei Stellen der Begründung nicht verbergen. Bei Lektüre der Gründe fallen sie einem ziemlich schnell auf.
Indiskretionen werden oft als Waffe eingesetzt
Rechtsanwalt Arno Lampmann von der Kanzlei LHR:
Indiskretionen werden häufig als Mittel eingesetzt, um unliebsamen Personen zu schaden. Das beginnt dem schlichten „Weitertratschen“ im Bekanntenkreis und geht bis hin zum öffentlichen „Doxing“ in den sozialen Medien, also dem als Angriff auf die Privatsphäre orchestrierte Offenlegung möglichst vieler persönlicher Daten des Betroffenen (Anschrift, Arbeitgeber, Verwandtschaftsverhältnisse, Vorlieben, Aktivitäten, etc.). Bei Twitter und Co geht dies oft mit der (unausgesprochenen) Aufforderung an die „Follower“ einher, diese so verbreiteten Daten auch zu Lasten des Betroffenen zu nutzen und ihm damit weiter zu schaden und ihn zu bedrohen. Eine Spielart dieser Unsitte wurde im vorliegenden Fall angewandt. Man kann von Glück reden, dass das Gericht insbesondere die angebliche Sorge des Beklagten zu 1. (der den Kläger übrigens bereits seit Monaten öffentlich diskreditiert, was separat verfolgt wird), den Kläger nicht auf herkömmlichen Wege erreichen zu können, als Schutzbehauptung erkannt hat.
(Offenlegung: Unsere Kanzlei hat den Kläger vertreten.)