Zurück zur Übersicht
06.12.2024Fachbeitrag

Update Datenschutz Nr. 195

Neues vom Bundesgerichtshof zum Schadensersatz beim sog. Scraping – eine Lose/Lose-Situation für Unternehmen und Verbraucher?

Der Bundesgerichtshof („BGH“) hat mit Urteil vom 18. November 2024 (Az. VI ZR 10/24) ein wegweisendes Urteil zum Schadensersatzanspruch aus Art. 82 Datenschutz-Grundverordnung („DSGVO“) gesprochen. Hintergrund des Verfahrens war ein Datenleck bei Facebook, bei dem massenhaft Nutzerdaten durch sog. Scraping abgegriffen wurden.

Nachdem der EuGH in den letzten Jahren mit verschiedenen Urteilen seine Position zum datenschutzrechtlichen Schadensersatzanspruch konturiert hatte, liegt damit nun ein höchstrichterliches Urteil der deutschen Rechtsprechung vor, dass diese EuGH-Rechtsprechung aufgreift. Dabei belässt es der BGH nicht bei einer bloßen Anwendung der EuGH-Vorgaben, sondern akzentuiert diese noch weiter – mit potenziell erheblichen Folgen für die Rechtspraxis und davon betroffene Unternehmen.

I. Sachverhalt

Das Urteil betrifft ein Datenleck beim Internetkonzern Meta und dessen sozialem Netzwerk Facebook.

Der Kläger des vorliegenden Verfahrens hatte einen Nutzeraccount auf Facebook und dort persönliche Daten eingestellt. Dazu gehörten die bei der Registrierung verpflichtenden Angaben wie Name und Geschlecht, aber auch die ihm zugewiesene Nutzer-ID. Diese Daten sind auf Facebook stets öffentlich zugänglich. Für seine Telefonnummer, die der Kläger ebenfalls eintrug, hatte er die Datenschutzeinstellungen so konfiguriert, dass die Nummer nur für ihn sichtbar war und nicht für andere Nutzer. In den Sucheinstellungen seines Profils hatte der Kläger allerdings die Standardvoreinstellung „alle“ belassen. Das bedeutete, dass man ihn über die Facebook-Suchfunktion anhand aller Daten finden konnte, die er in seinem Account angegeben hatte – auch mit seiner Telefonnummer, auch wenn diese ansonsten nicht öffentlich angezeigt wurde.

Diese Voreinstellung erlaubte es z. B. den Nutzern von Facebook mithilfe der sog. Kontakt-Import-Funktion gespeicherte Telefonnummern in Facebook zu importieren und die dazugehörigen Nutzer zu finden.

Im den Jahren 2018 und 2019 nutzten unbekannte Dritte diese Kontakt-Import-Funktion, um durch die Eingabe zufälliger Ziffernfolgen Telefonnummern zu Nutzerkonten zuzuordnen und die damit verbundenen Daten abzugreifen (sog. Scraping). Diese Daten, die Informationen von etwa 533 Millionen Nutzern umfassten, wurden im April 2021 im Internet verbreitet. Auch die persönlichen Daten des Klägers, einschließlich Telefonnummer, Nutzer-ID, Name, Geschlecht und Arbeitsstätte, waren betroffen.

Der Kläger forderte daraufhin vor Gericht, neben anderen datenschutzrechtlichen Ansprüchen, vor allem immateriellen Schadensersatz, da die Beklagte gegen die DSGVO verstoßen und seine Daten nicht ausreichend geschützt habe. Das habe zu einem Kontrollverlust über seine Daten und einem Anstieg betrügerischer Kontaktversuche geführt. Das Oberlandesgericht wies die Klage in zweiter Instanz zunächst ab.

II. (Keine) Premiere für das Leitentscheidungsverfahren

Auf die Revision des Klägers hin bestimmte der BGH das Verfahren zum sog. Leitentscheidungsverfahren. Diese Verfahrensart ermöglicht es dem BGH, auch dann noch über wesentliche Rechtsfragen des Verfahrens zu entscheiden, falls die Parteien die Revision zuvor beispielsweise aufgrund eines Vergleichs oder aus prozesstaktischen Gründen zurücknehmen. Gemäß § 552b der Zivilprozessordnung (ZPO) kann diese Möglichkeit genutzt werden, wenn die Revision Rechtsfragen aufwirft, deren Klärung für eine Vielzahl von Verfahren von Bedeutung ist. Diese Möglichkeit wurde zum 1. November 2024 neu eingeführt, und der BGH nutzte sie erstmalig im vorliegenden Verfahren, da derzeit tausende Klagen wegen desselben Scraping-Vorfalls vor deutschen Gerichten anhängig sind. Vorliegend kam es schlussendlich nicht zu einer solchen Leitentscheidung, sondern nur zu einem normalen Revisionsurteil, weil sich das Verfahren nicht vorher erledigte. Wesentliche Rechtsfragen, die für eine Vielzahl von Verfahren von Bedeutung sind, behandelt das Urteil nichtsdestotrotz.

III. Europarechtlicher Hintergrund

Vor dem Blick auf die Entscheidung des BGH ist der Hintergrund der europäischen Rechtsprechung zu beachten.

Insbesondere mit zwei Urteilen hatte der Europäische Gerichtshof („EuGH“) zuletzt den datenschutzrechtlichen Schadensersatzanspruch ausgestaltet:

Dem Urteil des EuGH vom 4. Mai 2023 (Az. C-300/21) lagen folgende Fragen des vorlegenden österreichischen Gerichts zugrunde: Genügt bereits ein bloßer DSGVO-Verstoß, um einen Schadensersatzanspruch zu begründen? Kann ein immaterieller Schadensersatzanspruch davon abhängig gemacht werden, dass der Schaden einen bestimmten Erheblichkeitsgrad erreicht und wie ist der immaterielle Schaden zu bestimmen?

Der EuGH stellte daraufhin zunächst klar, dass ein DSGVO-Verstoß für sich genommen nicht ausreicht, um einen Anspruch zu begründen. Vielmehr müsse durch den Verstoß ein kausaler Schaden für den Betroffenen entstehen. Allerdings würde es Art. 82 Abs. 1 DSGVO widersprechen, den Ersatz eines Schadens davon abhängig zu machen, dass der Schaden der betroffenen Person einen bestimmten Erheblichkeitsgrad erreicht. Zuletzt müsse die Schadensersatzhöhe nur den erlittenen Schaden vollständig ausgleichen, ohne dass der Schadensersatz einen Strafcharakter habe.

Weitergehend entschied der EuGH mit Urteil vom 14. Dezember 2023 (Az. C-340/21), dass ein ersatzfähiger immaterieller Schaden schon dann vorliegen kann, wenn eine betroffene Person infolge des Verstoßes befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten. Auch Sorgen, Befürchtungen und Ängste können also schon unter den Begriff des immateriellen Schadens im Kontext von Art. 82 Abs. 1 DSGVO fallen (siehe ausführlich Update Datenschutz Nr. 163).

IV. Entscheidung des BGH

Der BGH griff in seinem Urteil vom 18. November 2024 zunächst die anerkannten Grundsätze der europäischen Rechtsprechung zum Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO auf. Danach braucht es einen Verstoß gegen die DSGVO, das Vorliegen eines materiellen oder immateriellen Schadens und einen Kausalzusammenhang zwischen Verstoß und Schaden.

Bei der Bestimmung des Umfangs des Schadensersatzanspruches stellt der BGH, wie auch schon der EuGH, zunächst klar, dass der Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO nur eine Ausgleichsfunktion habe. Er diene nicht der Abschreckung- oder Bestrafung. Deshalb würden mehrere Verstöße nicht zu einem höheren Schadensersatz führen.

Weitergehend konkretisierte der BGH dann die europäische Rechtsprechung zum immateriellen Schadensersatz. Der BGH stellte in seinem Urteil ausdrücklich fest, dass schon der Verlust der Kontrolle über die eigenen personenbezogenen Daten einen immateriellen Schaden darstellen kann. Dabei bedürfe es keiner missbräuchlichen Verwendung der betroffenen Daten zum Nachteil der betroffenen Person im konkreten Fall. Schon der bloße Verlust der Kontrolle (vgl. die englische Übersetzung des Urteils: „the mere loss of control“) sei unter den unionsrechtlichen Schadensbegriff zu fassen.

Das befreie einen Kläger aber nicht davon, dass er nachweisen müsse, dass er einen solchen Schaden erlitten hat, der bloß aus dem Kontrollverlust als solchem besteht. Über die bisherige Rechtsprechung des EuGH hinaus stellt der BGH hier ausdrücklich fest, dass es keiner besonderen Befürchtungen oder Ängste bedarf, um einen Schaden anzunehmen, wenn der Kontrollverlust nachgewiesen ist.

Wenn ein solcher Kontrollverlust nicht nachgewiesen werden kann, kann es laut BGH aber wiederum ausreichen, wenn eine betroffene Person die begründete Befürchtung hat, dass ihre Daten missbräuchlich verwendet werden.

Mit diesen Ausführungen geht der BGH weiter als der EuGH. Der hatte bisher nicht eindeutig formuliert, ob der Kontrollverlust selbst schon den immateriellen Schaden begründet oder ob der Kontrollverlust ausreichen kann, um einen immateriellen Schaden zu verursachen, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden erlitten hat, so geringfügig er auch sein mag (z. B. in Form von begründeten Befürchtungen).

V. Auswirkungen auf die Rechtspraxis

Das Urteil wird erhebliche Auswirkungen auf die Rechtspraxis haben. Dabei sollte es für Kläger- wie auch Beklagtenseite und somit Unternehmen und Privatpersonen gleichermaßen ambivalente Gefühle hervorrufen.

Für Kläger in Scraping-Verfahren oder ähnlich gelagerten datenschutzrechtlichen Schadensersatzprozessen stellt die Entscheidung des BGH zunächst eine erhebliche Erleichterung dar. Sie müssen jetzt nicht mehr zumindest konkrete Befürchtungen oder Ängste wegen des Kontrollverlusts darlegen und ggf. beweisen. Der Kontrollverlust für sich reicht schon aus. Einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO zu begründen ist somit leichter geworden.

Getrübt wird dieses Bild für Anspruchsteller aber dadurch, dass der BGH dem Oberlandesgericht, an welches das Verfahren nun zurückgeht, noch einen Hinweis zur angemessenen Schadensbemessung mitgegeben hat. Laut BGH sei im vorliegenden Fall ein Betrag von 100 € als immaterieller Schadensersatz für den Kontrollverlust angemessen. Damit setzt der BGH den immateriellen Schadensersatz hier geringer an, als es Instanzgerichte teilweise getan haben.

Dies ändert aber nichts daran, dass das Urteil für die Beklagte und auch generell für Unternehmen eine schlechte Nachricht darstellt. Allein im hiesigen Scraping-Fall wird die Zahl der potenziellen Kläger gegen Meta auf ca. 6 Mio. Personen geschätzt. Da der Klägerseite die Anspruchsbegründung nun erheblich erleichtert ist, kann trotz der geringen Schadenssumme im individuellen Fall aus dem Urteil insgesamt ein massiver Haftungsumfang für das Unternehmen resultieren.

Diese Überlegungen lassen sich auch auf ähnliche Fälle von Datenleaks übertragen. Sobald eine hohe Anzahl von Personen betroffen ist, besteht für Unternehmen ein erhebliches finanzielles Risiko. Denn die Schadenssumme mag in jedem individuellen Fall gering sein, aber die Erleichterung der Anspruchsbegründung für Kläger führt unterm Strich möglicherweise dazu, dass das Haftungsrisiko steigt. Insbesondere könnten Anbieter für Massenverfahren oder Verbraucherschutzverbände jetzt eine stärkere Rolle spielen bei datenschutzrechtlichen Schadensersatzprozessen. Der Blick auf die Handhabung von Massenverfahren bei Fluggastrechten kann dabei als Indikator dienen. Auch dort gibt es eine Vielzahl von leicht zu begründenden Ansprüchen, deren Geltendmachung für einzelne Kläger wegen der geringen Höhe der Einzelansprüche vielleicht nicht immer rentabel ist, deren massenhafte Geltendmachung sich wegen der einfachen Anspruchsbegründung aber für Massenanbieter rentabel gestaltet.
Vor diesem Hintergrund zeigt das Urteil des BGH einmal mehr, dass eine robuste Handhabung von Datenschutz-Compliance kein „nice-to-have“ für Unternehmen ist, sondern für den wirtschaftlichen Erfolg und das Vermeiden von erheblichen Haftungsrisiken unerlässlich ist.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf
Georg Thomas, LL.M. (University of Glasgow)
Düsseldorf

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf
Georg Thomas, LL.M. (University of Glasgow)
Düsseldorf

Weitere Artikel

03.01.2025
EU-Digitalrecht 2025 – Diese Neuerungen sollten Beachtung finden
20.12.2024
Europäischer Datenschutzausschuss veröffentlicht Stellungnahme zum Einsatz von KI-Modellen
11.12.2024
Wonach haften Plattformbetreiber? – Das Verhältnis zwischen Art. 17 DSM-RL, UrhDaG und DSA
02.12.2024
Haftung des Verantwortlichen für (Unter-)Auftragsverarbeiter – aktuelle Rechtsprechung zu vermeidbaren Haftungsrisiken
27.11.2024
Neue Vorgaben zur Barrierefreiheit: Betroffene Unternehmen müssen bis Juni ihren Webauftritt überarbeiten
15.11.2024
Datenschutzaufsicht: Unterlassene Löschung personenbezogener Daten führt zu Bußgeld von EUR 900.000
11.11.2024
US-Wahl 2024: Konsequenzen für Compliance in Deutschland
04.11.2024
BGH urteilt zur Panoramafreiheit bei Drohnenaufnahmen
04.11.2024
Referentenentwurf des Beschäftigtendatengesetzes (BeschDG): Neue Regelungen für den Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis
31.10.2024
Cyber Resilience Act verabschiedet und NIS2-Umsetzung in Deutschland auf der Zielgeraden
29.10.2024
Der Referentenentwurf für das Beschäftigtendatengesetz (BeschDG) – Fundament für den rechtssicheren Umgang mit Beschäftigtendaten in der digitalen Arbeitswelt?
17.10.2024
Europäische Kommission veröffentlicht FAQ zum Data Act

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.