BGH: Wichtige Weichenstellung zum Schadensersatz bei Datenschutzverstößen
Am 18. November 2024 traf der Bundesgerichtshof (BGH) in der Rechtssache VI ZR 10/24 eine bedeutende Entscheidung zur Reichweite von Schadensersatzansprüchen nach der Datenschutz-Grundverordnung (DSGVO). Im Kern befasst sich das Urteil mit der Frage, wie immaterielle Schäden durch Datenschutzverstöße behandelt werden und welche Anforderungen an die Darlegung eines solchen Schadens bestehen. Dieses Urteil wird die zukünftige Rechtsprechung im Datenschutzrecht erheblich beeinflussen, insbesondere in Bezug auf die Rechte der Betroffenen und die Pflichten der Verantwortlichen.
Hintergrund: Scraping-Vorfall
Ein Nutzer des sozialen Netzwerks Facebook klagte auf immateriellen Schadensersatz in Höhe von 1.000 Euro, nachdem unbekannte Dritte seine Telefonnummer und andere persönliche Daten durch einen „Scraping“-Vorfall öffentlich zugänglich gemacht hatten. Die Täter nutzten automatisierte Anfragen, um personenbezogene Daten von Millionen Nutzern zu erfassen. Die Beklagte, Meta Platforms Ireland Ltd., informierte weder die zuständige Datenschutzbehörde noch den Kläger über den Vorfall, obwohl sie allgemeine Informationen zu den gespeicherten Daten bereitgestellt hatte. Der Kläger sah darin einen klaren Verstoß gegen die Informationspflichten der DSGVO, der seine Schadensersatzansprüche untermauern sollte.
Die entscheidenden Punkte des Urteils
Die Entscheidung ist in verschiedenen Punkten aufschlussreich für künftige Schadensersatzprozesse im Datenschutzrecht. Besondere Bedeutung wird dem Begriff des Kontrollverlusts in Zukunft zukommen.
Immaterieller Schaden durch Kontrollverlust
Der BGH bestätigte, dass bereits der Verlust der Kontrolle über personenbezogene Daten als immaterieller Schaden gelten kann. Dies gilt selbst dann, wenn Betroffene keine weiteren spürbaren negativen Folgen wie Datenmissbrauch nachweisen können. Dennoch müssen Betroffene den Kontrollverlust nachweisen. Der BGH stellte klar, dass schon der bloße Kontrollverlust über Daten, wie Telefonnummern und andere persönliche Informationen, ausreicht, um einen immateriellen Schaden anzunehmen. Den Schaden beziffert der BGH in diesem Fall nicht direkt, stellt aber klar, dass er „von Rechts wegen“ keine Bedenken gegen eine Schadenssumme von 100 EUR hat. Es bleibt aber eine Entscheidung des Tatrichters, also der Landgerichte oder Oberlandesgerichte.
Zentral für diese Entscheidung ist die Feststellung, dass bereits der Kontrollverlust den Schaden darstellt. Es wird nun darauf ankommen, den Begriff des Kontrollverlustes im datenschutzrechtlichen Kontext weiter auszudifferenzieren. Was genau bedeutet Kontrollverlust? Der BGH hat deutlich gemacht, dass ein bloßer Verstoß gegen die DSGVO nicht automatisch als Kontrollverlust gewertet werden kann. Betroffene müssen konkret darlegen, inwiefern sie die Kontrolle über ihre Daten verloren haben und welche spezifischen Auswirkungen dieser Verlust auf sie hatte. Der Kontrollverlust muss über die bloße Verletzung von Vorschriften hinausgehen und spezifische, nachvollziehbare Konsequenzen für die betroffene Person beinhalten. Erforderlich wäre also eine genauere Definition, welche Arten von Folgen als tatsächlicher Kontrollverlust gelten können. Beispielsweise wird die ungewollte öffentliche Verbreitung von bestimmten Daten als Kontrollverlust einzustufen sein.
Darlegungsanforderungen an den Schaden
Der Kläger muss schlüssig darlegen, welche konkreten negativen Folgen der Datenschutzverstoß für ihn hatte. Pauschale Behauptungen oder generische Textbausteine reichen nicht aus. Im vorliegenden Fall wertete der BGH die Vorträge des Klägers zu Unwohlsein, Sorgen und erhöhtem Aufwand als hinreichend konkret. Der BGH betonte, dass die emotionale Belastung, etwa durch ständige Sorge vor ungewollten Kontaktaufnahmen oder Missbrauch der Daten, als nachvollziehbare negative Folge zu werten ist. Damit stärkt der BGH die Position der Kläger, die unter den Folgen eines Datenschutzverstoßes leiden, ohne dass sie konkret materielle Schäden nachweisen müssen.
Erneute Verhandlung zu Schadensersatz und Feststellungsanträgen
Der BGH hob das Berufungsurteil teilweise auf und verwies den Fall zurück. Er stellte klar, dass künftige materielle oder immaterielle Schäden möglich sind, wenn personenbezogene Daten weiterhin öffentlich zugänglich bleiben. Insbesondere betonte der BGH, dass das Risiko von Folgeschäden, wie der Missbrauch der Daten, auch nach einer längeren Zeitspanne nicht ausgeschlossen werden kann. Das Urteil macht klar, dass die Unsicherheit über die künftige Verwendung von Daten ein berechtigtes Interesse der Betroffenen darstellt, welches zu einem Feststellungsinteresse und einem Anspruch führen kann.
Unterlassungsansprüche klar formulieren
Zuletzt stellt der BGH klar, dass Kläger den Klageantrag für einen Unterlassungsanspruch klar und präzise formulieren müssen. Allgemeine Formulierungen wie „nach dem Stand der Technik mögliche Sicherheitsmaßnahmen“ sind nicht ausreichend. Betroffene müssen die begehrte Unterlassung eindeutig beschreiben, um Missverständnisse zu vermeiden. Das stellt sicher, dass Unternehmen klare Vorgaben erhalten und Betroffene ihre Rechte wirksam durchsetzen können.
Praxishinweise
Das Urteil setzt neue Maßstäbe für die Durchsetzung von Rechten aus der DSGVO. In der öffentlichen Diskussion um Datenschutzschadensersatz wird prognostiziert, dass die Schadensersatzklagen gegen Unternehmen zunehmen werden. Wir meinen: Abwarten! Nicht jeder Datenschutzverstoß oder Sicherheitsvorfall ist zugleich ein Kontrollverlust. Die Entscheidung des BGH ist dennoch richtungsweisend und wird als Referenz für zukünftige Datenschutzklagen dienen. Unternehmen müssen ihre Pflichten nach der DSGVO sorgfältig prüfen und gegebenenfalls anpassen, um den DSGVO-Anforderungen gerecht zu werden. Denn der Schmerz der Entscheidung liegt sicherlich in dem Multiplikator der von einem Vorfall betroffenen Personen. Bei Meta waren in Deutschland dem Vernehmen nach 6 Millionen Nutzer betroffen. Bei 100 EUR immateriellem Schadensersatz pro betroffener Person beträgt der von Meta zu ersetzende Schaden bei 600 Millionen Euro.