Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.
Datenschutz und immaterieller Schadensersatz
In seinem Urteil vom 18.11.2024 (VI ZR 10/24) befasste sich der BGH mit den Ansprüchen eines Facebook-Nutzers, dessen personenbezogene Daten im Rahmen eines Scraping-Vorfalls veröffentlicht wurden. Die Entscheidung beleuchtet wesentliche Aspekte des Datenschutzrechts und der Haftung für immaterielle Schäden nach der DS-GVO.
Sachverhalt
Im April 2021 wurden Daten von etwa 533 Millionen Facebook-Nutzern öffentlich zugänglich gemacht. Die unbekannten Täter nutzten eine Schwachstelle in der Suchfunktion von Facebook, die es ermöglichte, Nutzerprofile mithilfe von Telefonnummern zu finden und deren öffentliche Daten zu sammeln. Der Kläger, dessen Daten ebenfalls betroffen waren, forderte immateriellen Schadensersatz aufgrund des Kontrollverlusts über seine Daten sowie Feststellung und Unterlassung zukünftiger Schäden.
Kontrollverlust als Schaden
In seinem Urteil setzt sich der BGH mit der Frage auseinander, ob bereits der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DS-GVO darstellt. Der BGH stellt klar, dass gemäß der Rechtsprechung des Europäischen Gerichtshofs (EuGH) bereits der kurzzeitige Verlust der Kontrolle über persönliche Daten als immaterieller Schaden anzusehen ist, ohne dass konkrete missbräuchliche Verwendungen oder weitere spürbare negative Folgen nachgewiesen werden müssen. Dies hatte das Berufungsgericht noch anders gesehen und eine so weitreichende Auslegung abgelehnt.
Spannend: Erst vor einigen Wochen hat das Bundessozialgericht ausgesprochen, dass die „bloß formelhafte Behauptung, einen „Kontrollverlust“ dadurch erlitten zu haben, im Ungewissen über die Verarbeitung seiner personenbezogenen Daten zu sein“ für einen Schadensersatzanspruch nach der DS-GVO nicht ausreiche (BSG, Urteil vom 24.09.2024, B 7 AS 15/23 R).
Weitere Einstandspflicht
Der BGH sieht auch weitere Ansprüche des Klägers wegen des Vorfalls als begründet an, darunter die Feststellung der Ersatzpflicht für zukünftige Schäden und einen Unterlassungsanspruch hinsichtlich der Verwendung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt ist. Der BGH hebt hervor, dass die Möglichkeit zukünftiger Schäden gegeben sei und somit ein berechtigtes Interesse des Klägers bestehe. Zudem wurde festgestellt, dass die voreingestellte Suchbarkeitseinstellung bei Facebook nicht dem Grundsatz der Datenminimierung entsprach. Dem Berufungsgericht wird aufgegeben, die Einwilligung des Klägers in die Datenverarbeitung sowie die Bemessung des immateriellen Schadens erneut zu prüfen. Der Schaden könne sich, so der BGH, bei rund 100 Euro bewegen.
Auch wenn es angesichts der zahlreichen Urteile des EuGH zum datenschutzrechtlichen Schadensersatzanspruch erwartbar war: Haftungsfälle wegen der Verletzung von Datenschutzpflichten werden mit der extrem weiten Auslegung der zugrundeliegenden Normen nun auch in Deutschland immer wahrscheinlicher. Die im Einzelfall ggfs. zuzugestehenden Minimalbeträge lassen bei entsprechend großen Datenschutzvorfällen Massenverfahren als lukratives Geschäftsmodell insbesondere für Legal Tech-Anbieter erscheinen.