Der Bundesgerichtshof (BGH) hat in einem aufsehenerregenden Urteil (Az. VI ZR 10/24) am 18. November 2024 klargestellt, dass selbst ein bloßer und kurzzeitiger Kontrollverlust über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen kann. Anlass war ein Scraping-Vorfall bei Facebook, bei dem Unbekannte Daten von über 533 Millionen Nutzern abgegriffen hatten. Der Kläger, dessen Daten betroffen waren, hatte Schadensersatz sowie weitere Ansprüche geltend gemacht.
Hintergrund: Der Scraping-Vorfall
Im Jahr 2021 wurden Daten von Facebook-Nutzern – darunter Telefonnummern, Namen und weitere öffentliche Informationen – durch systematische Abfragen öffentlich zugänglich gemacht. Ursache war eine Schwachstelle in der Facebook-Kontakt-Import-Funktion. Der Kläger machte geltend, Facebook habe durch unzureichende Sicherheitsmaßnahmen gegen die DSGVO verstoßen und ihm einen immateriellen Schaden zugefügt.
Bisheriger Prozessverlauf
Das Landgericht Bonn sprach dem Kläger 250 € immateriellen Schadensersatz zu, während das Oberlandesgericht Köln die Klage abwies. Das OLG argumentierte, der bloße Kontrollverlust über Daten sei für einen Schadensersatzanspruch nicht ausreichend.
Entscheidung des BGH
Der BGH hob das Urteil des OLG auf und stärkte damit die Rechte Betroffener bei Datenschutzverstößen.
Wesentliche Feststellungen des Gerichts:
- Kontrollverlust als Schaden: Nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) kann bereits der Verlust der Kontrolle über eigene Daten einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Eine konkrete missbräuchliche Nutzung der Daten ist nicht erforderlich.
- Feststellung zukünftiger Schäden: Der Kläger hatte ein berechtigtes Interesse daran, die Ersatzpflicht für künftige Schäden feststellen zu lassen. Die Möglichkeit weiterer Schäden sei angesichts des Vorfalls realistisch.
- Unterlassungsanspruch: Der Anspruch auf Unterlassung der Datenverarbeitung ohne Einwilligung des Klägers wurde vom BGH als berechtigt anerkannt.
- Schadenshöhe: Der BGH wies darauf hin, dass ein immaterieller Schaden aufgrund bloßen Kontrollverlusts auch mit einem Betrag von 100 € angemessen ausgeglichen werden könne, ließ die abschließende Bewertung jedoch offen und verwies die Sache an das Berufungsgericht zurück.
Auswirkungen auf die Praxis
Das Urteil hat weitreichende Bedeutung für den Datenschutz:
- Erleichterung der Anspruchsdurchsetzung: Betroffene müssen keinen konkreten Schaden wie psychische Beeinträchtigungen oder finanzielle Nachteile nachweisen. Der Kontrollverlust über die Daten selbst genügt.
- Bemessung immaterieller Schäden: Das Urteil gibt eine Orientierungshilfe für die Bemessung von Schadensersatz, wobei der Betrag von 100 € als untere Grenze für den bloßen Kontrollverlust anzusehen ist.
- Verantwortung von Unternehmen: Die Entscheidung erhöht den Druck auf Unternehmen, Datenschutzmaßnahmen streng zu überwachen und Schwachstellen zu vermeiden, da selbst geringfügige Verstöße erhebliche rechtliche Folgen haben können.
Fazit
Das Urteil des BGH stärkt die Rechte von Verbrauchern und präzisiert die Anforderungen an die Auslegung von Art. 82 DSGVO. Unternehmen müssen sicherstellen, dass Datenschutzverletzungen vermieden werden, da selbst vermeintlich geringfügige Verstöße Ansprüche auf Schadensersatz nach sich ziehen können. Gleichzeitig eröffnet die Entscheidung Betroffenen neue Möglichkeiten, ihre Rechte durchzusetzen.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530