BGH – Datenverlust durch Scraping begründet Schadensersatz

by | Jan 31, 2024 | News | 0 comments

BGH, Urt. v. 18.11.2024 – VI ZR 10/24 (OLG Köln)

Ausgangsfrage: 

Der Kläger macht Schadensersatz-, Feststellungs-, Unterlassungs- und Auskunftsansprüche wegen einer Verletzung der Datenschutz-Grundverordnung (DSGVO) durch die Beklagte geltend. Die Beklagte, die das soziale Netzwerk Facebook betreibt, hat durch eine Sicherheitslücke (Scraping) die personenbezogenen Daten des Klägers unzureichend geschützt, was zu einem Kontrollverlust über diese Daten führte.

Anträge der Parteien:

  1. Der Kläger fordert immateriellen Schadensersatz in Höhe von 1.000 EUR wegen des Kontrollverlusts über seine Daten.
  2. Er begehrt die Feststellung, dass die Beklagte verpflichtet ist, ihm alle künftigen Schäden zu ersetzen.
  3. Er verlangt Unterlassung der unbefugten Weitergabe seiner Daten und der Verarbeitung seiner Telefonnummer ohne ausreichende Einwilligung.
  4. Er fordert Auskunft über die Empfänger seiner Daten und Ersatz der vorgerichtlichen Rechtsanwaltskosten.

Entscheidung des BGH: 

Der BGH hat entschieden, dass ein immaterieller Schaden im Sinne des Art. 82 DSGVO auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten sein kann. Es ist nicht erforderlich, dass eine konkrete missbräuchliche Verwendung der Daten oder sonstige spürbare negative Folgen nachgewiesen werden. Der Kontrollverlust selbst stellt bereits einen immateriellen Schaden dar, der einen Schadensersatzanspruch begründet.

Begründung:

Der BGH stellte fest, dass der Kläger einen einheitlichen Anspruch auf Ersatz eines immateriellen Schadens geltend macht, der sich aus mehreren Datenschutzverstößen der Beklagten ergeben soll (Rn. 16-18). Der BGH betonte, dass der Begriff des „immateriellen Schadens“ autonom unionsrechtlich zu definieren ist und weit ausgelegt werden soll (Rn. 28-29). Der BGH folgte der Rechtsprechung des EuGH, wonach der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass zusätzliche spürbare negative Folgen nachgewiesen werden müssen (Rn. 30-31).  Der BGH hob hervor, dass die Möglichkeit künftiger Schäden ausreicht, um ein Feststellungsinteresse zu begründen, insbesondere wenn ein deliktsrechtlich geschütztes absolutes Rechtsgut verletzt wurde (Rn. 48-49).

Diese Ausführungen des BGH zeigen, dass der Kläger durch den Scraping-Vorfall einen immateriellen Schaden erlitten hat, der einen Schadensersatzanspruch begründet. Der BGH hob die Entscheidung des Berufungsgerichts teilweise auf und verwies die Sache zur neuen Verhandlung und Entscheidung zurück.

Kontrollverlust durch Scraping: 

Zusammengefasst bewertet der BGH den Kontrollverlust im vorliegenden Fall als immateriellen Schaden im Sinne der Rechtsprechung des EuGH. Der Kläger hat den Kontrollverlust und die daraus resultierenden negativen Folgen ausreichend dargelegt, was den immateriellen Schadensersatzanspruch begründet.

Er stellt klar, dass nach der Rechtsprechung des EuGH bereits der bloße und kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann. Es ist nicht erforderlich, dass zusätzlich spürbare negative Folgen nachgewiesen werden (Rn. 30).

Auch wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung, dass personenbezogene Daten missbräuchlich verwendet werden könnten, aus, um einen Schadensersatzanspruch zu begründen. Diese Befürchtungen müssen jedoch ordnungsgemäß nachgewiesen sein (Rn. 32).

Substanziierter Vortrag des Klägers: Der BGH hält den Vortrag des Klägers für ausreichend substanziiert. Der Kläger hat dargelegt, dass seine Telefonnummer und andere persönliche Daten durch den Scraping-Vorfall öffentlich zugänglich gemacht wurden und er dadurch Kontrollverlust sowie psychische Beeinträchtigungen wie Unwohlsein und Sorge erlitten hat (Rn. 39-41).

Unterlassungsantrag bei Datenschutzverletzung möglich

Der BGH sah den Unterlassungsantrag (zu Nr. 3b) als begründet an. Anbei die stichpunktartigen Ausführungen:

  1. Hinreichende Bestimmtheit: Der Unterlassungsantrag zu Nr. 3b war hinreichend bestimmt. Der Kläger begehrte, dass die Beklagte die Telefonnummer des Klägers nicht auf Basis einer unzureichenden Einwilligung verarbeiten darf. Der Antrag konkretisierte die inkriminierte Verletzungshandlung und machte deutlich, dass die Einwilligung aufgrund unübersichtlicher und unvollständiger Informationen unwirksam sei (Rn. 62-64).
  2. Rechtsschutzbedürfnis: Der BGH bejahte das Rechtsschutzbedürfniss. Das Rechtsschutzbedürfnis des Klägers entfällt nicht dadurch, dass er seine Telefonnummer selbst aus dem Nutzerkonto löschen könnte. Das Ziel des Klägers, die unrechtmäßige Verarbeitung seiner Telefonnummer zu unterbinden, ist nicht identisch mit der bloßen Löschung der Telefonnummer. Zudem könnte der Kläger durch die Löschung der Telefonnummer die Möglichkeit der Zwei-Faktor-Authentifizierung verlieren (Rn. 66-69).
  3. Unrechtmäßige Verarbeitung: Der Kläger argumentierte, dass die Einwilligung zur Verarbeitung seiner Telefonnummer unwirksam sei, da ihm das Ausmaß der Datenverarbeitung bei Erteilung der Einwilligung nicht verständlich war. Der BGH sah diesen Vortrag als ausreichend substanziiert an, um die Unrechtmäßigkeit der Verarbeitung zu begründen (Rn. 63-64).

Welche Haftungsrisiken ergeben sich aus dem Urteil?

Das Urteil des BGH hat erhebliche Auswirkungen auf die Haftungsrisiken von Unternehmen im Bereich des Datenschutzes:

  • Erweiterung des Schadensbegriffs: Unternehmen müssen sich darauf einstellen, dass bereits der bloße und kurzzeitige Verlust der Kontrolle über personenbezogene Daten als immaterieller Schaden anerkannt wird. Dies bedeutet, dass Betroffene auch ohne konkrete missbräuchliche Verwendung ihrer Daten Schadensersatzansprüche geltend machen können.
  • Erhöhte Anforderungen an Datenschutzmaßnahmen: Unternehmen sind verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, die sicherstellen, dass personenbezogene Daten angemessen geschützt sind. Insbesondere müssen Voreinstellungen datenschutzfreundlich sein und dem Grundsatz der Datenminimierung entsprechen.
  • Transparenz und Einwilligung: Unternehmen müssen sicherstellen, dass Einwilligungen zur Datenverarbeitung transparent und verständlich sind. Betroffene müssen klar darüber informiert werden, wie ihre Daten verwendet werden, auch wenn diese auf „privat“ gestellt sind.
  • Rechtsschutzbedürfnis und Unterlassungsansprüche: Betroffene können Unterlassungsansprüche geltend machen, wenn sie der Ansicht sind, dass ihre Daten unrechtmäßig verarbeitet werden. Unternehmen müssen daher sicherstellen, dass sie keine Daten ohne gültige Einwilligung oder rechtliche Grundlage verarbeiten.
  • Auskunftspflichten: Unternehmen müssen in der Lage sein, Betroffenen umfassende Auskünfte über die Verarbeitung ihrer Daten zu erteilen. Dies umfasst auch die Information über die Empfänger der Daten, soweit dies möglich ist.
  • Vorgerichtliche Rechtsanwaltskosten Unternehmen müssen damit rechnen, dass sie auch die vorgerichtlichen Rechtsanwaltskosten der Betroffenen tragen müssen, wenn diese zur Wahrnehmung ihrer Rechte erforderlich und zweckmäßig waren.

Insgesamt erhöht das Urteil die Haftungsrisiken für Unternehmen erheblich und zwingt sie dazu, ihre Datenschutzpraktiken zu überprüfen und gegebenenfalls anzupassen, um den Anforderungen der DSGVO gerecht zu werden und Schadensersatzansprüche zu vermeiden.