In Zusammenarbeit mit Kanzlei Föhlisch

BGH: Schadensersatz nach DSGVO auch ohne Missbrauch der Daten

Jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entsteht, hat gemäß Art. 82 Abs. 1 DSGVO einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Diese vage Formulierung lässt in der Praxis viele Fragen offen. Insbesondere die Geltendmachung immaterieller Schäden beschäftigen zunehmend die Gerichte. Der BGH (Urt. v. 18.11.2024 – VI ZR 10/24) entschied nun, dass auch der bloße kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO einen immateriellen Schaden im Sinne der DGVO darstellen könne. Es müsse weder zu einer konkreten missbräuchlichen Verwendung dieser Daten gekommen sein noch bedürfe es sonstiger zusätzlicher spürbarer negativer Folgen. In einem solchen Fall seien 100 € angemessen.

Hintergrund

Hintergrund des Prozesses ist ein Datenleck von Facebook. Anfang April 2021 wurden Daten von ca. 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet öffentlich verbreitet. Unbekannte Dritte hatten sich zuvor den Umstand zu Nutze gemacht, dass Facebook es in Abhängigkeit von den Suchbarkeits-Einstellungen des jeweiligen Nutzers ermöglicht, dass dessen Facebook-Profil mithilfe seiner Telefonnummer gefunden werden kann. Die unbekannten Dritten luden mit Hilfe automatisierter Tools über die Kontakt-Import-Funktion der Beklagten in großem Umfang Telefonnummern hoch, führten diese, sofern sie mit einem Nutzerkonto verknüpft waren, mit den dort verbundenen öffentlich zugänglichen Daten zusammen und griffen diese Daten sodann ab (sog. Scraping). Dieses Datenleck führte zu unzähligen Gerichtsverfahren, die größtenteils noch immer anhängig sind.

Worum ging es in dem Verfahren?

Von diesem Scraping-Vorfall waren auch Daten des Klägers (Nutzer-ID, Vor- und Nachname, Geschlecht und Arbeitsstätte) betroffen, die auf diese Weise auch mit dessen Telefonnummer verknüpft wurden. Der Kläger macht geltend, die Beklagte habe keine ausreichenden Sicherheitsmaßnahmen ergriffen, um eine Ausnutzung der Kontakt-Tools zu verhindern. Ihm stehe Ersatz für immaterielle Schäden zu. Er habe einen spürbaren Kontrollverlust über seine Daten erlitten, der zu einem massiven Anstieg von betrügerischen Kontaktversuchen geführt habe. Darüber hinaus begehrt er die Feststellung, dass die Beklagte verpflichtet ist, ihm in diesem Zusammenhang alle künftigen Schäden zu ersetzen, und macht weitere Unterlassungs- und Auskunftsansprüche geltend. Mit Schreiben vom 23. August 2021 teilte die Beklagte dem Kläger mit, welche Daten sie über ihn gespeichert hat.

Das LG Bonn (Urt. v. 29.3.2023 – 13 O 125/22) hat der Klage zunächst teilweise stattgegeben und dem Kläger aus Art. 82 Abs. 1 DSGVO Schadensersatz in Höhe von 250 € sowie einen Teil der begehrten Rechtsverfolgungskosten zugesprochen. Im Übrigen hat es die Klage abgewiesen. Auf die vom Landgericht zugelassene Berufung der Beklagten hat das OLG Köln (Urt. v. 7.12.2023 – 15 U 67/23) die Entscheidung des Landgerichts unter Zurückweisung der Anschlussberufung des Klägers abgeändert und die Klage insgesamt abgewiesen. Mit seiner vom OLG zugelassenen Revision verfolgt der Kläger seine Ansprüche weiter.

Der BGH hat dieses Verfahren zu einem Leitentscheidungsverfahren bestimmt. Eine solche Möglichkeit besteht nach 552b ZPO erst seit dem 31.10.2024 nach dem Leitentscheidungsgesetz. Danach hat der BGH die Möglichkeit, in zentralen Rechtsfragen zu entscheiden, selbst wenn sich das Verfahren anderweitig erledigt, z.B. durch einen Vergleich.

Der BGH möchte mit dem Verfahren folgende Rechtsfragen klären:

  • ob in der von der Beklagten bei Implementierung der sog. Kontakt-Import-Funktion vorgenommenen Standardvoreinstellung auf „alle“ ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO liegt,
  • ob der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des jeweiligen Betroffenen verknüpften Daten geeignet ist, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen,
  • wie in einem solchen Fall der Schaden zu bemessen wäre,
  • welche Anforderungen an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen sind,
  • ob die bloße Möglichkeit des Eintritts künftiger Schäden ausreicht, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen,
  • ob die vom Kläger gestellten Unterlassungsanträge dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO genügen.

Diese Rechtsfragen sind für eine Vielzahl beim Bundesgerichtshof und in den Tatsacheninstanzen anhängiger, in wesentlichen Teilen gleichgearteter Verfahren von Bedeutung.

Die Entscheidung des BGH

Der BGH entschied heute, dass auch der bloße kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO einen immateriellen Schaden im Sinne der DGVO darstellen könne. Es müsse weder zu einer konkreten missbräuchlichen Verwendung dieser Daten gekommen sein noch bedürfe es sonstiger zusätzlicher spürbarer negativer Folgen.

Die Entscheidung liegt noch nicht im Volltext vor, das Gericht hat jedoch bereits eine Pressemitteilung veröffentlicht.

Reiner Kontrollverlust über Daten für Schadensersatz ausreichend

Das Gericht stellte klar, dass es nicht zu einem konkreten Missbrauch gekommen sein müsse.

Der Anspruch des Klägers auf Ersatz immateriellen Schadens lässt sich mit der Begründung des Berufungsgerichts nicht verneinen. Nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden im Sinne der Norm sein. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

Erfolg hatte die Revision auch, soweit das Berufungsgericht die Anträge des Klägers auf Feststellung einer Ersatzpflicht für zukünftige Schäden, auf Unterlassung der Verwendung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt ist, und auf Ersatz seiner vorgerichtlichen Rechtsanwaltskosten abgewiesen hat. Entgegen der Auffassung des Berufungsgerichts fehlt es nicht an dem notwendigen Feststellungsinteresse des Klägers, da die Möglichkeit des Eintritts künftiger Schäden unter den Umständen des Streitfalles ohne Weiteres besteht. Der genannte Unterlassungsanspruch ist hinreichend bestimmt und dem Kläger fehlt insoweit auch nicht das Rechtsschutzbedürfnis. Im Übrigen (weiterer Unterlassungsantrag und Auskunftsantrag) blieb die Revision hingegen ohne Erfolg.

100 € Schadensersatz

Der BGH stellte klar, dass die Beklagte gegen den Grundsatz der Datenminimierung verstoßen habe. Der BGH äußerte sich auch zur Höhe des Schadensersatzes – im Falle eines bloßen Kontrollverlustes halte das Gericht einen Ausgleich in der Größenordnung von 100 € für angemessen. Er verwies die Sache zurück an das Berufungsgericht.

Im Umfang des Erfolges der Revision hat der Bundesgerichtshof die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Für die weitere Prüfung hat der Bundesgerichtshof das Berufungsgericht zum einen darauf hingewiesen, dass die von der Beklagten vorgenommene Voreinstellung der Suchbarkeitseinstellung auf "alle" nicht dem Grundsatz der Datenminimierung entsprochen haben dürfte, wobei das Berufungsgericht ergänzend die Frage einer wirksamen Einwilligung des Klägers in die Datenverarbeitung durch die Beklagte zu prüfen haben wird. Zum anderen hat der Bundesgerichtshof Hinweise zur Bemessung (§ 287 ZPO) des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO erteilt und ausgeführt, warum unter den Umständen des Streitfalles von Rechts wegen keine Bedenken dagegen bestünden, den Ausgleich für den bloßen Kontrollverlust in einer Größenordnung von 100 € zu bemessen.

Fazit

Der EuGH hatte bereits entschieden, dass allein die Befürchtung einer betroffenen Person, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten infolge eines Verstoßes gegen die DSGVO, einen immateriellen Schaden darstellen könne. Der BGH konkretisiert diese Vorgaben nun. Es müsse nicht zu einem tatsächlichen Missbrauch gekommen sein, allein der Kontrollverlust genüge für einen Anspruch auf Schadensersatz. In einem solchen Fall sei eine Entschädigung in der Größenordnung von 100 € angemessen. Damit sorgt der BGH für mehr Rechtssicherheit und erleichtert die Geltendmachung Betroffener in solchen Fällen deutlich.

Unser Tipp: Im Rahmen unserer Legal Products Enterprise und Ultimate übernehmen wir auch eine außergerichtliche Vertretung bei der Geltendmachung von Unterlassungs- und Aufwendungsersatzansprüchen sowie Schadensersatz-/Schmerzensgeldansprüchen nach der DSGVO (z.B. aufgrund eines nicht erteilten Auskunftsersuchens oder einer unzulässigen Datenübermittlung). Eine Lösung, um die Einwilligung wirksam einzuholen, bietet zudem der Trusted Shops Consent-Manager. Selbstverständlich erhalten Sie umfassenden Support bei der Integration. Ebenfalls enthalten ist ein Update-Service – ergeben sich Gesetzesänderungen oder relevante gerichtliche oder behördliche Entscheidungen, die auch Sie betreffen, aktualisieren wir den Consent-Manager entsprechend und informieren Sie darüber natürlich. Unser Consent-Manager ist in allen Legal Products enthalten. Nutzen Sie auch für Ihre AGB, Ihr Impressum, Ihre Datenschutzerklärung und Ihre Widerrufsbelehrung unseren kostenlosen Rechtstexter.
18.11.24

Weitere relevante Artikel

OLG Frankfurt: Durch Gewinnspiel beeinflusste Bewertungen sind unlauter

LG Berlin zu den neuen Transparenzpflichten bei Bewertungen

OLG Hamburg: Kündigungsbutton bei Dauerschuldverhältnissen mit Einmalzahlung nicht erforderlich

© 2024 Trusted Shops SE Impressum Datenschutz Cookies