Eine aktuelle Entscheidung des BGH zum immateriellen Schadensersatz nach DSGVO-Verstoß sorgt derzeit für Aufregung: Am 18. November 2024 entschied der BGH in einer Leitentscheidung im sog. Scraping-Komplex. Seither feiern sich Klägervertreter medial, da der Schadensnachweis vereinfacht und auch mit Textbausteinen möglich sei. Beklagtenvertreter verweisen auf einen Scheinsieg angesichts der niedrigen Summen, die der BGH als berechtigt ansieht. Auch wenn die Urteilsgründe noch nicht vorliegen, ordnen wir Ihnen die Entscheidung nachfolgend in den Kontext der bisherigen Rechtsprechung zum immateriellen Schadensersatz nach Art. 82 DSGVO und bewerten die Auswirkungen auf Ihr Unternehmen.
Der Kontrollverlust über personenbezogene Daten und der aufgrund dessen erlittene Ärger im Zusammenhang mit einem Scraping-Vorfall genügen, um einen Schadensersatzanspruch nach Art. 82 DSGVO zu begründen. Dies entschied der BGH am 18. November 2024 zum sog. Scraping-Komplex.
Besondere Bedeutung erlangt dieses Verfahren in vielerlei Hinsicht. Von dem für Datenschutz zuständigen VI. Zivilsenat des BGH wurde es mit Beschluss vom 31. Oktober 2024 zu dem ersten Leitentscheidungsverfahren i. S. d. neuen § 552b ZPO erklärt. Die Vorschrift ermöglicht es dem BGH, ein anhängiges Revisionsverfahren zum Leitentscheidungsverfahren zu erklären, wenn die zu klärenden Fragen – wie in diesem Fall – für eine Vielzahl von Verfahren von Bedeutung sind. Vor deutschen Gerichten sind aktuell noch weitere tausende Klagen zu ähnlichen Sachverhalten anhängig. Durch die Entscheidung des BGH können andere Gerichte ihre Verfahren nun danach ausrichten und schneller zu Ergebnissen kommen.
Worum es in dem Verfahren ging
Facebook ermöglicht es, in Abhängigkeit von den Suchbarkeits-Einstellungen des jeweiligen Nutzers, dessen Facebook-Profil mithilfe seiner Telefonnummer zu finden. Diese Funktion nutzen unbekannte Dritte im April 2021 aus. Sie gaben in großem Umfang Ziffernfolgen ein und ordneten Telefonnummern unzähligen Nutzerkonten zu, um im Anschluss die zu diesen Nutzerkonten vorhandenen öffentlichen Daten abzugreifen (sog. Scraping). Auf diese Weise konnten sie Daten von rund 533 Millionen Nutzern aus 106 Ländern erlangen. Insbesondere wurde auf Daten wie Nutzer-IDs, Namen, Geschlechter, Arbeitsstätten und Geschlecht zugegriffen. Diese Daten wurden von ihnen daraufhin öffentlich im Internet verbreitet.
Zu den Betroffenen des Scrapings zählte auch der Kläger. Er machte deshalb der beklagten Facebook-Betreiberin Meta gegenüber geltend, dass die Sicherheitsmaßnahmen auf Facebook unzureichend seien, da das Ausnutzen des Kontakt-Suche-Tools nicht im Vorhinein verhindert worden sei. Aufgrund des Datendiebstahls habe er großen Ärger empfunden. Dies begründe einen immateriellen Schaden und damit einen Anspruch auf Entschädigung nach der DSGVO.
Die Entscheidung des BGH
Nachdem das Landgericht Bonn (Urteil vom 29. März 2023 – 13 O 125/22) dem Kläger zunächst Schadensersatz in Höhe von 250 Euro zusprach, wies das Oberlandesgericht Köln (Urteil vom 07. Dezember 2023 – 15 U 67/23) die Klage ab. Das ist nicht verwunderlich. Über den Ersatz eines immateriellen Schadens im Rahmen des Scraping-Komplexes wurde von den Landgerichten und Oberlandesgerichten bisher unterschiedlich geurteilt. Gegen Facebook eingereichte Schadensersatzklagen von Nutzern blieben größtenteils ohne Erfolg.
Anders fällt nun das Urteil des BGH aus. Auch er prüfte auf die Revision des Klägers hin insbesondere, ob die Voraussetzungen für einen Schadensersatzanspruch nach Art. 82 DSGVO vorliegen und entschied: Auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO kann ein immaterieller Schaden im Sinne der Norm sein. Dafür bedürfe es keiner konkreten missbräuchlichen Verwendung dieser Daten zum Nachteil des Betroffenen und auch sonst müssen keine zusätzlichen spürbaren negativen Folgen vorliegen.
Der BGH verwies das Berufungsgericht für die erneute Verhandlung und Entscheidung darauf, dass die von der Beklagten vorgenommene Voreinstellung der Suchbarkeitseinstellung auf „alle“ nicht dem Grundsatz der Datenminimierung entsprochen haben dürfte. Ergänzend dürfte zudem die Frage einer wirksamen Einwilligung des Klägers in die Datenverarbeitung durch die Beklagte zu prüfen sein. Schließlich bestünden keine rechtlichen Bedenken dagegen, den Ausgleich für den bloßen Kontrollverlust über personenbezogene Daten im vorliegenden Fall in einer Größenordnung von 100 Euro zu bemessen.
Entscheidungen des EuGH
Bereits aus der Pressemitteilung zu dem Urteil geht ausdrücklich hervor, dass der BGH sich für seine Entscheidung auf die für die Auslegung des Art. 82 DSGVO maßgebliche Rechtsprechung des EuGH stützt. Gerade diese geht jedoch mit der Schlussfolgerung, dass aus dem Umstand des bloßen Kontrollverlusts das Vorliegen eines immateriellen Schadens folgt, besonders kritisch um. Im August berichteten wir hier über die Linie des EuGH und insbesondere darüber, dass ein Schaden durch den Betroffenen konkret und detailliert nachzuweisen ist. Allgemein behauptete „Sorgen“ oder „Ängste“ genügen hierfür noch nicht.
Im Rahmen einer dreistufigen Prüfung muss zur Feststellung des Verstoßes gegen die DSGVO (1) und den hieraus resultierenden negativen Folgen für den Betroffenen (2) auf dritter Ebene der konkrete Nachweis hinzutreten, dass diese negativen Folgen auch einen immateriellen Schaden begründen (3).
Aus früherer Rechtsprechung des EuGH ergibt sich daher auch für den Fall des Scrapings: Der Kontrollverlust über die eigenen personenbezogenen Daten darf nicht bereits mit einem immateriellen Schaden gleichgesetzt werden.
Erst im letzten Monat hat der EuGH erneut klargestellt, „dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten […] ausreichen kann, um einen „immateriellen Schaden“ zu verursachen, sofern diese Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert.“ (Urteil vom 4. Oktober 2024 – C‑200/23, Rn. 156)
Wir sind gespannt, ob die schriftliche Urteilsbegründung des BGH über den konkreten Nachweis des Schadens des sich ärgernden Facebook-Nutzers im Scraping-Fall Aufschluss geben wird. Nach der Pressemitteilung wird der Schadensnachweis leichter, als von vielen Instanzgerichten zuletzt gefordert: „Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.“ Allerdings sieht der BGH keinen hohen Schadensersatzanspruch, jedenfalls nicht im vierstelligen Bereich, wie gefordert, sondern mein, der „Ausgleich für den bloßen Kontrollverlust“ sei „in einer Größenordnung von 100 € zu bemessen“.
Was dies für die Praxis bedeutet, ob die Entscheidung wirklich zu einem Umschwung in der bisherigen Schadensersatzrechtsprechung nach DSGVO-Verstoß spürt und wie sich Unternehmen im Fall von Schadensersatzbegehren nach dieser Entscheidung verhalten können, diskutieren wir mit ihnen in unserem Lunch@Loschelder Webinar am 12. Dezember 2024: BGH-Urteil zum Facebook-Datenleck – Tasche auf bei jeder Datenpanne? Weitere Informationen dazu finden Sie hier; wir freuen uns über Ihre Anmeldung!
Bei Fragen melden Sie sich auch gerne direkt bei uns:
Dr. Kristina Schreiber – Rebecca Moßner – Dennis Pethke, LL.M.