Blog IT/Data Protection
BGH-Leitentscheidung zum datenschutzrechtlichen Schadenersatzanspruch
Der Bundesgerichtshof („BGH“) hat mit Urteil vom 18.11.2024 ein wegweisendes Urteil im Leitentscheidungsverfahren zum Schadensersatzanspruch nach Art. 82 Datenschutz-Grundverordnung (DS-GVO) gefällt.
Der VI. Zivilsenat des BGH hat mit Beschluss vom 31.10.2024 und somit am ersten Tag des Inkrafttretens vom Gesetz zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof, ein sog. Scraping-Verfahren zum Leitentscheidungsverfahren bestimmt.
Eine Leitentscheidung kann erfolgen, wenn ein Verfahren Rechtsfragen aufwirft, deren Entscheidung für eine Vielzahl anderer Verfahren von Bedeutung ist. Mittels einer Leitentscheidung können die wesentlichen Rechtsfragen eines Massenverfahrens frühzeitig geklärt werden, so dass die Instanzgerichte in ähnlichen Fällen darauf basierend Entscheidungen treffen können.
Hintergrund der BGH-Urteils war, dass es eine Voreinstellung von Meta erlaubte, dass durch die Eingabe potentieller Telefonnummern Daten abgeglichen und mit öffentlich zugänglichen weiteren Daten der Nutzer verknüpft werden konnten. Diese Daten wurden anschließend kopiert.
Anfang April 2021 tauchten hierdurch erlangte Daten von circa. 533 Millionen Facebook-Nutzern aus 106 Ländern (davon circa sechs Millionen Nutzer in Deutschland) öffentlich im Internet auf. Dies führte zu einem Bußgeld in Höhe von 265 Euro gegen Meta Platforms Ireland Ltd. und zehntausenden von datenschutzrechtlichen Schadenersatzklagen. Die Leitentscheidung diente der Beantwortung offener Fragen bezüglich des datenschutzrechtlichen Schadenersatzanspruchs nach Art. 82 DS-GVO.
Bloßer Verlust als immaterieller Schaden
Mit Urteil vom 18. November 2024 hat der VI. Zivilsenat des BGH unter Verweis auf die Rechtsprechung des EuGH entschieden, dass der bloße Verlust der Kontrolle über Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte, zu einen immateriellen Schaden führen kann. Dieser Kontrollverlust muss nachgewiesen werden.
Ist dieser Nachweis erbracht, stellt der Kontrollverlust selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person. Diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.
Darlegung des immateriellen Schadens
Ein Sachvortrag zur Begründung eines Schadenersatzanspruchs ist nach dem BGH bereits dann schlüssig und erheblich, wenn die Partei Tatsachen vorträgt, die in Verbindung mit einem Rechtssatz geeignet und erforderlich sind, das geltend gemachte Recht als in der Person der Partei entstanden erscheinen zu lassen. Ein Gericht müsse lediglich in die Lage versetzt werden, aufgrund des tatsächlichen Vorbringens der Partei zu entscheiden, ob die gesetzlichen Voraussetzungen für das Bestehen des geltend gemachten Rechts vorliegen. Sind diese Anforderungen erfüllt, ist es Sache des Tatrichters, in die Beweisaufnahme einzutreten und dabei gegebenenfalls die benannten Zeugen oder die zu vernehmende Partei nach weiteren Einzelheiten zu befragen oder einem Sachverständigen die beweiserheblichen Streitfragen zu unterbreiten.
Die Nutzung von standardisierten Textbausteinen führt nach dem BGH nicht bereits zu einem unschlüssigen Vortrag, da bei einem einheitlichen Vorgang wie dem hier vorliegenden Scraping-Vorfall, bei dem vergleichbare Daten von Millionen Nutzern abgegriffen und ins Internet gestellt wurden, auch der Vortrag der Betroffenen zu den ihnen hieraus erwachsenden individuellen Folgen jedenfalls im Ausgangspunkt notwendig vergleichbare Züge trägt.
Höhe des Schadenersatzes
Bezüglich der Höhe des Schadensersatzes ordnete der BGH den Schaden bei 100 Euro ein. Ein Schadenersatzanspruch soll nach der EuGH-Rechtsprechung nicht abschreckend oder strafend sein, sondern lediglich den entstandenen Schaden ausgleichen.
Feststellungsinteresse für zukünftige Schäden
Kläger haben nach dem BGH einen Anspruch auf die Feststellung zukünftiger Schäden, da die Möglichkeit des Eintritts solcher Schäden unter den Umständen des Streitfalls besteht.
Die Möglichkeit künftiger Schäden reiche aus, weil es nicht um reine Vermögensschäden geht, sondern um Schäden, die aus der vom Kläger behaupteten Verletzung seines Rechts auf informationelle Selbstbestimmung.
Dies gilt nach dem BGH auch für den Schadenersatzanspruch nach Art. 82 DSGVO, wenn - wie hier - mit einem möglichen Verstoß gegen Art. 5 DS-GVO auch eine unrechtmäßige Datenverarbeitung gerügt wird, die eine Verletzung des Rechts auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh zum Inhalt hat.
Unterlassungsanspruch
Der BGH stellt zudem klar, dass ein Unterlassungsanspruch hinsichtlich der unbefugten Nutzung der Telefonnummer des Klägers hinreichend bestimmt war und rechtlich als zulässig anerkannt wird.
Fazit
Das Verfahren wird zunächst an das OLG Köln zurückverwiesen, das klären muss, ob im konkreten Fall ein DS-GVO-Verstoß vorlag. Hiervon ist aber auszugehen.
Auch wenn die Entscheidungen des BGH für die deutschen Gerichte nicht bindend sind, werden sich diese hieran orientieren. Dies wird voraussichtlich zu einer Häufung von datenschutzrechtlichen Schadenersatzklagen führen, da ein immaterieller Schaden bei einem unbefugten Zugriff Dritter, wie z.B. bei Cyberangriffen, leichter nachgewiesen werden kann und der BGH betonte, dass die Verwendung von standardisierten Textbausteinen möglich ist.
Der Verbraucherzentrale Bundesverband (vzbv) hat die BGH-Leitentscheidung am 09.12.2024 bereits zum Anlass genommen eine Sammelklage mittels der neuen Musterfeststellungsklage gegen Meta Platforms Ltd. zu erheben:
https://news.vzbv.de/-viewonline2/31825/3098/3158/LfJPK6cs/2iem66jH25/1
Um zivilrechtlichen datenschutzrechtlichen Schadenersatzklagen zu entgehen, sollten Unternehmen auf die Datenschutzkonformität ihrer Prozesse achten und insbesondere das Datenschutzmanagement und die IT-Sicherheit überprüfen lassen.