BGH urteilt zu Kontrollverlust über personenbezogene Daten
BGH urteilt zum immateriellen Schadensersatz im sog. Scraping-Komplex
Am 31. Oktober 2024 bestimmte der BGH ein in der Revision anhängiges Verfahren aus dem sogenannten Scraping-Komplex zum ersten Leitentscheidungsverfahren und verkündete am 18. November 2024 das Urteil. Darin befasst sich der BGH erstmals mit zentralen Fragen des immateriellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO.
In den Scraping-Verfahren werfen betroffene Personen dem Betreiber einer Social-Media-Plattform vor, dass unbekannte Dritte durch die Verknüpfung von Telefonnummern mit Nutzerkonten persönliche Daten wie Vor- und Nachnamen, Geschlecht und Arbeitsstätte abgegriffen haben (sogenanntes Scraping). Diese Daten wurden anschließend im Internet verbreitet. Die Betroffenen sehen die Verantwortung beim Plattformbetreiber und fordern unter anderem immateriellen Schadensersatz wegen Kontrollverlusts. Allein vor deutschen Gerichten sind tausende solcher Klagen anhängig.
Immaterieller Schaden wegen Kontrollverlusts oder psychischer Beeinträchtigungen
In seinem Urteil aus November 2024 stellt der BGH unter Verweis auf Satz 1 des Erwägungsgrunds 85 der DSGVO und die Rechtsprechung des EuGH klar, dass der Nachweis des bloßen Kontrollverlusts über personenbezogene Daten ausreicht, um einen immateriellen Schaden im Sinne des Art. 82 DSGVO zu begründen. Zusätzliche Umstände, wie eine missbräuchliche Nutzung der Daten oder das Auftreten von Ängsten, sind nicht erforderlich. Solche Umstände können den Schaden zwar vertiefen, sind jedoch keine Voraussetzung, damit der Anspruch überhaupt entstehen kann.
Darüber hinaus kann ein immaterieller Schaden im Sinne des Art. 82 DSGVO auch ohne Nachweis eines Kontrollverlusts bei psychischen Beeinträchtigungen gegeben sein. Hierfür muss die betroffene Person nachweisen, dass die begründete Befürchtung missbräuchlicher Datenverwendung einschließlich negativer Folgen besteht.
Ermessensspielraum bei der Höhe des immateriellen Schadensersatzes
Auch hinsichtlich der Schadenshöhe gibt der BGH den Instanzgerichten Leitlinien vor. Er betont im Einklang mit der Rechtsprechung des EuGH, dass sich in Anbetracht der Ausgleichsfunktion des Art. 82 DSGVO weder die Schwere des Datenschutzverstoßes noch die Anzahl der DSGVO-Verstöße auf die Schadenshöhe auswirken. Besteht der Schaden allein im Kontrollverlust, sind dem BGH zufolge insbesondere die Sensibilität der betroffenen Daten, die Art und Dauer des Kontrollverlusts sowie die Möglichkeit zur Wiedererlangung der Kontrolle relevant. Auch der hypothetische Aufwand zur Wiedererlangung der Kontrolle über die Daten kann für die Schadensbemessung herangezogen werden. Im konkreten Fall hat der BGH keine Bedenken, den Schadensersatzbetrag in einer Größenordnung von EUR 100 anzusetzen. Gerichte können jedoch abhängig vom Einzelfall auch höhere Beträge zusprechen, etwa wenn zusätzlich psychische Beeinträchtigungen nachweisbar sind. Den Gerichten kommt insoweit ein Schätzungsermessen zu (vgl. § 287 ZPO).
Zunahme von Verbraucherklagen im Bereich Datenschutz zu erwarten
Da der BGH die Anforderungen für immateriellen Schadensersatz nach der DSGVO deutlich niedriger ansetzt als von einigen Instanzgerichten bislang angenommen, ist mit einer Zunahme von Klagen bei Datenschutzverstößen zu rechnen. Zwar werden die Schadenssummen in der Regel eher im drei- als im vierstelligen Bereich liegen, doch hängt es von Klägerkanzleien oder Legal-Tech-Anbietern ab, ob sie sich angesichts der oftmals hohen Anzahl betroffener Personen so aufstellen können, dass die gerichtliche Durchsetzung solcher Ansprüche wirtschaftlich rentabel wird. Darüber hinaus müssen Unternehmen mit Kollektivklagen, etwa in Form von Abhilfeklagen durch Verbraucherschutzorganisationen oder andere qualifizierte Einrichtungen, rechnen.
Um diesen Risiken zu begegnen, sind ein robustes Datenschutzmanagement und umfassende Notfallpläne unerlässlich. Diese sollten klare Schritte enthalten, wie Unternehmen schnell und effizient auf Datenschutzverstöße und potenzielle Klagen reagieren können. Ein wesentlicher Bestandteil muss zudem eine Kommunikationsstrategie sein, die einerseits Transparenz wahrt und das Vertrauen der betroffenen Personen sichert und andererseits die rechtlichen Anforderungen berücksichtigt, um Reputationsschäden zu vermeiden.
Bleiben Sie informiert
In dem Scraping-Fall des BGH wird das Berufungsgericht nun erneut entscheiden. Dabei hat es nicht nur den entstandenen Schaden erneut zu prüfen, sondern auch, ob überhaupt ein DSGVO-Verstoß vorliegt. CMS hält Sie zu allen relevanten Entwicklungen rund um die DSGVO auf dem Laufenden. Mit unseren regelmäßigen Updates zu aktuellen Urteilen und rechtlichen Trends können Sie schnell und gezielt auf neue Herausforderungen reagieren.
