Das Amtsgericht (AG) Mainz hat in einem Urteil vom 27. März 2025 (Az.: 88 C 200/24) entschieden: Wer Datenschutzverstöße auf Webseiten moniert, um anschließend kostenpflichtige Abhilfe anzubieten, handelt rechtsmissbräuchlich. Das Amtsgericht (AG) Mainz lehnte im konkreten Fall die Forderung von DSGVO-Schadensersatz und Ersatz der Kosten für ein privates Beweissicherungsgutachten ab. 

Der Fall: Webdesigner kontaktiert Zahnarzt wegen DSGVO-Verstößen auf dessen Webseite 

Ein Webdesigner, spezialisiert auf Webseiten für Zahnärzte, kontaktierte einen Zahnarzt per E-Mail. Er monierte verschiedene DSGVO-Verstöße auf dessen Webseite und bot gleichzeitig seine Dienstleistungen zur Behebung der Probleme an. Nach ausbleibender Reaktion ließ der Webdesigner durch seinen Bruder ein privates Gutachten über die Datenschutzverstöße erstellen, dessen Kosten er vom Zahnarzt einforderte. Ferner forderte er Schadenersatz aufgrund eines angeblichen Kontrollverlusts über seine Daten. 

Das Urteil 

Das AG Mainz stufte das Vorgehen des Webdesigners als rechtsmissbräuchlich gemäß § 242 BGB (Treu und Glauben) und § 226 BGB (Schikaneverbot) ein. Das Gericht war überzeugt, dass der Kläger gezielt nach Datenschutzverstößen auf Webseiten von Zahnärzten gesucht hatte, um neue Kunden zu gewinnen oder Geldforderungen für ein privates Beweissicherungsgutachten zu stellen und lehnte die Klage ab. 

Die wichtigsten Argumente des Gerichts: 

  1. Kein Ersatz der Kosten für das Privatgutachten 

  • Nicht erforderliche Maßnahme: Das Gericht sah keine Notwendigkeit für die Einholung des Gutachtens. Der Kläger hätte durch einfachere Mittel wie Screenshots, Quellcode-Analyse oder Zeugenaussagen den behaupteten Verstoß dokumentieren können. 

  • Untauglichkeit als Beweismittel: Das Gutachten sei ein reines Privatgutachten und damit lediglich Parteivortrag – kein tauglicher Beweis. Es hätte weder das Gericht binden können noch sei es zur Beweissicherung geeignet. 

  • Fehlende Kausalität: Die Beauftragung erfolgte bereits wenige Tage nach dem Auskunftsverlangen, also, bevor eine ernsthafte Verweigerung durch den Beklagten vorlag. Der Beklagte antwortete fristgerecht am 12.07.2024; das Gutachten war bereits am 26.06.2024 begonnen worden. 

  • Zweifel an redlicher Motivation: Das Gericht sah ein kollusives Zusammenwirken zwischen dem Kläger und seinem Bruder (dem Gutachter). Ziel sei eher die Generierung von Forderungen als die Rechtsverfolgung gewesen. 

  1. Kein immaterieller Schaden durch Kontrollverlust über personenbezogene Daten 

  • Kein konkreter Nachweis eines Schadens: Der Kläger habe zwar einen möglichen Kontrollverlust behauptet (z. B. durch Google-Tracking), jedoch keine konkreten negativen Folgen oder tatsächliche Beeinträchtigungen dargelegt. 

  • Vergleich mit „Scraping“-Fällen nicht tragfähig: Das Gericht unterschied klar zwischen Fällen anonymen Datenabgriffs (Scraping) und der hier gegebenen bewussten Webseitenanalyse durch den Kläger selbst. 

  • Reine Abstraktionen reichen nicht aus: Allgemeine Sorgen (z. B. vor KI-Profilbildung) und technische Einschränkungen (z. B. Nutzung von Pi-Hole) wurden als bloße „Lästigkeiten“ ohne erhebliche persönliche Beeinträchtigung gewertet. 

  • Keine Bedeutung des konkreten Beklagten-Webseitenbesuchs: Da der Kläger Dutzende Zahnarztseiten besuchte, sei ein „zusätzlicher“ Kontrollverlust durch die Webseite des Beklagten nicht individuell zurechenbar. 

Was bedeutet das Urteil für Unternehmen? 

Das Gericht hat ausdrücklich klargestellt, dass Datenschutzrechte nicht zur Generierung von Einnahmen zweckentfremdet werden dürfen. Unternehmen, die: 

  • von „interessierten Dritten“ kontaktiert werden, 

  • mit einer Kombination aus angeblichen Datenschutzverstößen und Werbeangeboten konfrontiert werden, 

  • und anschließend mit DSGVO-Auskunfts- oder Schadensersatzansprüchen überzogen werden, 

können sich erfolgreich auf Rechtsmissbrauch (§§ 226, 242 BGB i.V.m. Art. 12 Abs. 5 DSGVO) berufen – sofern das Vorgehen erkennbar nicht dem Schutz eigener Daten, sondern wirtschaftlicher Zwecke dient. 

Praktischer Nutzen: Unternehmen müssen nicht reflexartig auf jede DSGVO-Schadenersatzforderung zahlen oder Datenschutzgutachten vergüten, wenn erkennbar ein strategischer Missbrauch vorliegt. 

Fazit 

Das Gericht setzt ein klares Zeichen gegen die kommerzielle Instrumentalisierung der DSGVO. Wer Datenschutzverstöße systematisch aufdeckt, um damit gezielt wirtschaftliche Interessen (z. B. durch Werbeangebote oder Schadensersatzforderungen) zu verfolgen, handelt rechtsmissbräuchlich – auch im Sinne des § 242 BGB und Art. 12 Abs. 5 DSGVO. 

Meta-Description: Das AG Mainz lehnt DSGVO-Schadensersatz ab – keine Kostenerstattung für Gutachten und kein Schmerzensgeld bei Kontrollverlust ohne echte Beeinträchtigung. Klare Abgrenzung zu missbräuchlichen Massenvorgehen. 

FAQ 

Wann liegt ein rechtsmissbräuchliches Vorgehen bei DSGVO-Auskunfts- und Schadensersatzansprüchen vor? 
Wenn die Geltendmachung nicht dem Schutz eigener Rechte dient, sondern primär der Gewinnerzielung, etwa durch massenhafte Abmahnungen oder vorgeschaltete Werbeangebote. 

Darf ein DSGVO-Auskunftsanspruch mit werblichen Angeboten kombiniert werden? 
Nein, dies kann als unlauterer Druck und Indiz für Rechtsmissbrauch gewertet werden. 

Wie erkennen Unternehmen, ob ein DSGVO-Anspruch rechtsmissbräuchlich geltend gemacht wird? 
An standardisierten Schreiben, vorheriger werblicher Kontaktaufnahme und einer großen Zahl gleichartiger Verfahren ohne echtes Schutzbedürfnis. 

Müssen Unternehmen die Kosten für ein privat beauftragtes DSGVO-Gutachten erstatten? 
Nein, wenn das Gutachten nicht notwendig war oder durch einfachere Mittel wie Screenshots hätte ersetzt werden können. 

Welche Alternativen zu einem Privatgutachten erkennt das Gericht als zumutbar an? 
Screenshots, Quellcode-Analyse, Zeugenaussagen oder gerichtliche Beweiserhebung (z. B. durch Sachverständige). 

Inhalt