Mit wegweisendem Urteil vom 18. November 2024 (Az. VI ZR 10/24) hat sich der Bundesgerichtshof zum Schadensersatzanspruch nach Art. 82 DS-GVO geäußert. Dem Urteil zugrunde lag eine potentielle Datenschutzverletzung von Facebook, wodurch in den Jahren 2018-2019 massenhaft Nutzerdaten durch sog. Scraping abgegriffen werden konnten. Mit Veröffentlichung dieser Daten im April 2021 wurde der Datenschutzvorfall öffentlich bekannt. Seitdem gibt es hunderte Verfahren mit unterschiedlichen Ausgängen vor deutschen Gerichten.
Nachdem der Europäische Gerichtshof in den letzten Jahren mit verschiedenen Urteilen seine Position zum datenschutzrechtlichen Schadensersatzanspruch konturiert hatte, liegt nun mit dem genannten Urteil ein höchstrichterliches Urteil der deutschen Rechtsprechung vor – mit potenziell erheblichen Folgen für betroffene Unternehmen in Deutschland und Europa.
Hintergrund
Der Kläger des vorliegenden Verfahrens gehörte zu den rund 533 Millionen (davon ca. 6 Millionen deutsche Nutzer) Facebook-Nutzern, deren Daten nach einem Datenleck Anfang April 2021 im Internet öffentlich zugänglich gemacht wurden. Unbekannte hatten in den Jahren 2018 - 2019 eine Einstellung bei Facebook ausgenutzt, über welche anhand der Telefonnummer Nutzer gesucht und gefunden werden konnten (Kontakt-Import-Funktion). Durch die Eingabe zufälliger Nummernfolgen wurden Telefonnummern mit Nutzerkonten verknüpft und dadurch öffentlich zugängliche Daten dieser Facebook-Nutzer (u.a. Name und Geschlecht) abgegriffen (sog. Scraping).
Der Kläger hatte zwar für seine Telefonnummer die Datenschutzeinstellungen bei Facebook so konfiguriert, dass die Nummer nur für ihn sichtbar war und nicht für andere Nutzer. In den Sucheinstellungen seines Profils hatte der Kläger allerdings die Standardvoreinstellung „alle“ belassen. Das bedeutete, dass man ihn über die Facebook-Suchfunktion anhand seiner Telefonnummer finden konnte, auch wenn diese ansonsten nicht öffentlich angezeigt wurde. Durch Nutzung der Kontakt-Import-Funktion wurden im Fall des Klägers seine Telefonnummer, Nutzer-ID, Name, Geschlecht und Arbeitsstätte abgegriffen und veröffentlicht.
Der Kläger forderte daraufhin vor Gericht, neben anderen datenschutzrechtlichen Ansprüchen, vor allem immateriellen Schadensersatz, da die Beklagte gegen die DS-GVO verstoßen und seine Daten nicht ausreichend geschützt habe. Dies habe zu einem Kontrollverlust über seine Daten und einem Anstieg betrügerischer Kontaktversuche geführt. Das Landgericht Köln sprach in erster Instanz einen Schadensersatzanspruch i.H.v. 250 Euro zu. Nach Berufung der Beklagten wies das Oberlandesgericht Köln die Klage in zweiter Instanz ab.
Entscheidung des BGH
In den letzten Monaten hat der Europäische Gerichtshof Grundsätze zum Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO entwickelt. Danach braucht es einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens und einen Kausalzusammenhang zwischen Verstoß und Schaden. Diese Grundsätze hat der Bundesgerichtshof in seinem Urteil vom 18. November 2024 aufgegriffen.
Zunächst stellte der Bundesgerichtshof klar, dass der Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO nur eine Ausgleichsfunktion habe. Er diene nicht der Abschreckung- oder Bestrafung. Deshalb würden mehrere Verstöße nicht automatische zu einem höheren Schadensersatz führen. Es ist lediglich der entstandene Schaden auszugleichen.
Anschließend stellte der Bundesgerichtshof – im Einklang mit der Rechtsprechung des Europäischen Gerichtshofs (Urteil vom 4. Oktober 2024, C-200/23) – klar, dass schon der kurzfristige Verlust der Kontrolle über die eigenen personenbezogenen Daten einen immateriellen Schaden darstellen kann, ohne dass ein Nachweis zusätzlicher spürbarer negativer Folgen erforderlich ist. Es bedürfe somit auch keiner missbräuchlichen Verwendung der betroffenen Daten zum Nachteil der betroffenen Person im konkreten Fall.
Der Kläger müsse allerdings nachweisen, dass er einen immateriellen Schaden – im vorliegenden Fall einen Kontrollverlust – erlitten hat (EuGH, Urteil vom 20. Juni 2024, C-590/22). Sofern dem Kläger dieser Nachweis gelingt, sind keine weiteren Befürchtungen oder Ängste der betroffenen Person erforderlich, um einen Schaden zu bejahen.
Abschließend wurde die Angelegenheit zurück an das Oberlandesgericht verwiesen, da dieses noch klären müsste, ob überhaupt ein Datenschutzverstoß vorliegt und über die Höhe des Schadensersatzes zu entscheiden habe. Der Bundesgerichtshof wies das Oberlandesgericht darauf hin, dass bei der Schadenshöhe zu berücksichtigen ist, dass der Schadensersatz vollständig und wirksam sein muss. Eine Abschreckungs- und Straffunktion erfüllt der Schadensersatz jedoch nicht. Folglich darf weder die Schwere des Verstoßes gegen die DS-GVO, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen und ob er vorsätzlich gehandelt hat.
Der Bundesgerichtshof, hält in seinem Urteil weiter fest, dass bei einem Schaden in Form eines Kontrollverlusts bei der Bemessung der Höhe insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DSGVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen ist. Weiter ist die Art des Kontrollverlusts, die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung des personenbezogenen Datums (z.B. Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich könnte in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insbesondere eines Rufnummernwechsels) dienen. Aus diesem Grunde hält der Bundesgerichtshof im zu entscheidenden Fall einen Schadensersatz i.H.v. 100,00 Euro für angemessen.
Praxistipp
Das Urteil wird erhebliche Auswirkungen auf die Praxis haben. Zum einen dürfte nach diesem Urteil klar sein, dass ein bloßer Kontrollverlust ausreichend ist, um einen Schadensersatzanspruch zu haben. Allerdings muss dieser Kontrollverlust durch die betroffene Person nachgewiesen werden. Hierbei sind die Regelungen der ZPO zu beachten. Vor allem bei Massenklagen ist genau zu prüfen, ob der Nachweis erbracht worden ist.
Dennoch ist damit zu rechnen, dass betroffenen Personen in Scraping-Fällen oder ähnlich gelagerten Fällen (z.B. Phishing oder Hackerangriff) vermehrt Schadensersatzansprüche geltend machen werden. Das Bundesgerichtshof hat es für betroffene Personen in jeden Fall erheblich erleichtert Schadensersatzansprüche nach Datenschutzverletzungen durchzusetzen. Insbesondere könnten Anbieter für Massenverfahren oder Verbraucherschutzverbände jetzt eine stärkere Rolle bei datenschutzrechtlichen Schadensersatzprozessen spielen.
Positiv für Unternehmen ist insofern jedoch, die geringe Höhe des Schadensersatzes, welche der Bundesgerichtshof für angemessen hält. Bei zahlreichen Betroffenen kann dies für Unternehmen jedoch noch immer zu einer hohen Haftungssumme führen. Das Urteil des Bundesgerichtshofs zeigt somit einmal mehr, dass die vorbeugende Datenschutz Compliance unerlässlich ist, insbesondere um die erheblichen Haftungsrisiken zu vermeiden.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
