BGH-Urteil zum immateriellen Schadensersatz der DSGVO wegen „Scraping“
Der Bundesgerichtshof hat heute das Urteil im Leitentscheidungsverfahren zum sog. Scraping-Fall verkündet und dazu eine Pressemitteilung veröffentlicht. Er hat entschieden, dass von Datenschutzverstößen betroffene Personen unter Umständen allein deshalb Schadensersatz verlangen können, weil sie die Kontrolle über ihre personenbezogenen Daten verloren haben. Viele Gerichte in Deutschland gingen bisher davon aus, dass die betroffenen Personen zusätzlich nachweisen müssen, dass sie auch Ängste und Sorgen erlitten haben – diese behaupteten Gefühle müssten die Gerichte jeweils mühsam anhand der Persönlichkeit des Anspruchstellers, der Umstände und der vom Kläger angebotenen Beweise verifizieren. Mit dem Kontrollverlust als möglichem Schaden steht den Anspruchstellern nun eine weitere Begründung für die Geltendmachung von Schadensersatzansprüchen zur Verfügung. Allerdings muss der Anspruchsteller nachweisen, dass dieser Kontrollverlust für ihn auch tatsächlich eingetreten ist und es dürfte vergleichsweise geringe Entschädigungssummen für diese Form des Schadens geben.
Das Urteil des Bundesgerichtshofs folgt auf inzwischen 10 Urteile des Europäischen Gerichtshofs (hier und hier zusammengefasst). Die Urteile des Europäischen Gerichtshofs sind recht kurz und folgen häufig nicht der dogmatischen Struktur, mit der deutsche Gerichte arbeiten. Deutsche Gerichte haben die Urteile des Europäischen Gerichtshofs daher oft verschieden interpretiert. Das Urteil des Bundesgerichtshofs gibt den deutschen Gerichten nun konkretere und an die deutsche Dogmatik angepasste Hinweise an die Hand.
Das Leitentscheidungsverfahren
Das Urteil des Bundesgerichtshofs betrifft einen sog. Scraping-Fall, in dem Facebook-Nutzer die Betreiberin des sozialen Netzwerks auf Schadensersatz verklagen. Im Jahr 2021 wurden Daten von rund 533 Millionen Facebook-Nutzern im Internet veröffentlicht. Unbekannte konnten die Daten abgreifen, weil es je nach Einstellung des Nutzerprofils möglich war, ein Profil über die Angabe der dazugehörigen Telefonnummer zu finden. Die Unbekannten haben automatisiert und in großem Umfang Telefonnummern über die Kontakt-Import-Funktion hochgeladen. Wenn eine Telefonnummer mit einem Profil verknüpft war, wurden die öffentlichen Informationen des Profils und die Telefonnummer zusammengeführt, abgegriffen und schließlich veröffentlicht.
Der Bundesgerichtshof hat das Verfahren als Leitentscheidungsverfahren bestimmt. Dies hat zur Folge, dass der Bundesgerichtshof auch dann noch über relevante Rechtsfragen des Verfahrens entscheiden kann, wenn die Parteien die Revision zuvor zum Beispiel wegen eines Vergleichs oder aus prozesstaktischen Gründen zurückgenommen haben. Das Verfahren ist für Fälle gedacht, in denen sich in einer Vielzahl von Verfahren vergleichbare Rechtsfragen stellen und eine schnelle höchstrichterliche Entscheidung herbeigeführt werden soll. Derzeit sind Tausende von Klagen vor deutschen Gerichten wegen des Vorfalls anhängig. Das Leitentscheidungsverfahren wurde neu in die Zivilprozessordnung eingeführt und ist erst seit dem 01.11.2024 anwendbar. Das vorliegende Verfahren ist das erste, das der Bundesgerichtshof zum Leitentscheidungsverfahren bestimmt hat.
Schaden durch Verlust der Kontrolle über Daten
Der Bundesgerichtshof hat entschieden, dass bereits der bloße Verlust der Kontrolle über die eigenen Daten einen immateriellen Schaden darstellen kann. Damit klärt der Bundesgerichtshof eine bislang offene Frage, die durch eine ungenaue Formulierung des Europäischen Gerichtshofs entstanden war: Ob der Kontrollverlust selbst einen Schaden darstellt oder nur die daraus möglicherweise für einen Betroffenen entstehenden negativen Folgen.
Der Bundesgerichtshof stellt zwar klar, dass eine konkrete missbräuchliche Verwendung der Daten zum Nachteil des Betroffenen noch nicht erfolgt sein muss, damit ein Schaden vorliegen kann. Er konkretisiert aber nicht, ab wann der Kontrollverlust selbst vorliegt. Der BGH hatte im konkreten Fall nur zu entscheiden, ob der tatsächliche Zugriff auf die Nutzerdaten bei Facebook einen Schaden darstellt. Ob in anderen Fallgestaltungen ebenfalls ein schadenskonstituierender Kontrollverlust eingetreten sein kann, werden die Gerichte nun in jedem Einzelfall feststellen müssen.
Diese Beurteilung kann je nach konkretem Sachverhalt unterschiedlich ausfallen. Dabei ist zu beachten, dass der Verlust der Kontrolle eine Tatsache darstellt. Ob diese vorliegt, ist im Einzelfall individuell zu prüfen. Fraglich ist etwa, ob ein Anspruchsteller Zugriffe auf Daten, die auf einem ungesicherten Server über eine gewisse Zeit zugänglich waren, überhaupt nachweisen kann. Auch lässt der Bundesgerichtshof offen, ob der Verlust der Kontrolle ein qualitatives Element enthält. Dies dürfte insbesondere in Fällen relevant sein, in denen es nur zu einzelnen unberechtigten Zugriffen auf Daten gekommen ist, etwa durch „White Hat Hacker“ oder Journalisten, die ein Datenleck entdecken und die Daten unmittelbar im Anschluss wieder löschen.
Zudem setzt ein Kontrollverlust bereits begrifflich voraus, dass die betroffene Person überhaupt über die Kontrolle über die Daten verfügte und dass sie die Kontrollmöglichkeit verliert. Da ein Dateneigentum weder im deutschen noch im europäischen Recht existiert, kann sich die Kontrolle nur auf die faktischen und rechtlichen Kontrollmöglichkeiten der betroffenen Person beziehen. Es liegt daher nahe, dass eine betroffene Person nicht bei jedem unberechtigten Zugriff die Kontrolle über die Daten verliert, sofern es ihr in diesen Fällen noch möglich ist, ihre Kontrollrechte aus der DSGVO geltend machen und zum Beispiel die Löschung der Daten verlangen.
Die oben genannten Unsicherheiten dürften weitere prozessuale Fragen aufwerfen, insbesondere im Hinblick auf die Anforderungen an die Substantiierung des Vorbringens der Anspruchsteller bzgl. des Kontrollverlustes sowie in Bezug auf die Beweislastverteilung.
Unter welchen Voraussetzungen ein Kontrollverlust dargelegt ist, hat der Bundesgerichtshof also in seiner Pressemitteilung noch nicht näher definiert. Es bleibt zu hoffen, dass sich eine solche Definition in den Urteilsgründen findet, damit die Gerichte einheitlich beurteilen können, wann die Grenze zum tatsächlichen Kontrollverlust überschritten ist.
Bemessung der Höhe des Schadensersatzanspruchs
Der Bundesgerichtshof hat entschieden, dass im konkreten Fall ein Ausgleich in einer Größenordnung von EUR 100 für den bloßen Kontrollverlust für die betroffenen Facebook-Nutzer angemessen ist.
Damit greift der Bundesgerichtshof die Vorgaben des Europäischen Gerichtshofs auf und konkretisiert diese für die konkrete Fallgestaltung, also den Verlust von Telefonnummern durch gezieltes, massenhaftes Scraping. Da es bislang kaum Gerichtsentscheidungen gibt, die eine Orientierung geben können, welche Höhe für einen Kontrollverlust in unterschiedlichen Fallgestaltungen angemessen ist, bleibt die konkrete Bemessung für Gerichte allerdings weiterhin schwierig.
Zu beachten dürfte allerdings sein, dass die Schadensform Kontrollverlust, stärker an objektive Elemente anknüpft (nämlich die faktische Möglichkeit die Verwendung der Daten zu kontrollieren) als Schäden, die ausschließlich an negative Gefühle der betroffenen Person in Folge des Data Breach anknüpfen (also an rein subjektive Elemente). Es dürfte daher naheliegen, jedenfalls im Ausgangspunkt auch den Wert der Daten bzw. den Wert der Kontrollmöglichkeiten zur Bemessung des Schadens heranzuziehen. Ein möglicher Maßstab für die Schadenshöhe könnte der Marktwert der Daten sein. Die Pressemitteilung des Bundesgerichtshofs gibt jedenfalls Anlass zur Vermutung, dass auch der Bundesgerichtshof die Schadenshöhe beim Kontrollverlust unterhalb der Schadenshöhe von Schäden, die auf Befürchtungen oder anderen subjektiven Empfindungen der betroffenen Personen beruhen, einordnet. Diese sind von den Untergerichten meist höher bewertet worden.
Wir hoffen, dass die Urteilsbegründung des Bundesgerichtshofs weitere Hinweise zur Schadensberechnung geben wird. Dies würde eine einheitliche Rechtsprechung fördern und den Unternehmen eine realistische Einschätzung des finanziellen Risikos von Schadensersatzansprüchen ermöglichen.
Ausblick
Das Urteil des Bundesgerichtshofes gibt deutschen Gerichten einen neuen Prüfungsmaßstab für immaterielle Schadensersatzansprüche bei Datenschutzverstößen. Gleichwohl bleiben beklagten Unternehmen weiterhin Möglichkeiten, sich gegen Schadensersatzklagen zur Wehr zu setzen. Neben dem Umstand, dass die Auslegung und Reichweite des Begriffs des Kontrollverlusts noch nicht abschließend ist, bieten insbesondere die Darlegungs- und Beweislastverteilung Ansatzpunkte. Die Gerichte müssen sich nun mit der Frage auseinandersetzen, ob im jeweiligen Einzelfall tatsächlich ein Kontrollverlust vorliegt und wie der daraus resultierende Schaden zu bemessen ist. Es ist zu erwarten, dass die Gerichte vermehrt Klagen aufgrund eines nachgewiesenen Kontrollverlustes stattgeben werden, die durchschnittlich zugesprochenen Beträge aber sinken werden, da für einen Kontrollverlust im Licht der BGH-Entscheidung nur ein geringer Schadensbetrag angemessen erscheint.
Wir werden die deutsche Rechtsprechung weiterhin auf unserem Noerr Damages Tracker darstellen. Sobald die Urteilsgründe veröffentlicht sind, werden wir auch auf unserer Website ein Update geben.
Wir empfehlen Unternehmen auf Nummer sicher zu gehen und eine robuste Datenschutz-Governance aufzubauen, ein effektives Management der Rechte der Betroffenen einzuführen und mögliche Datenschutzvorfälle professionell zu evaluieren und zu handhaben. Unternehmen sollten sich also frühzeitig und strategisch mit den Herausforderungen, Chancen und Risiken der Data Protection Litigation auseinanderzusetzen. Unser eingespieltes Team aus anerkannten Datenschutz- und Litigation Expertinnen und Experten berät Sie gerne.
Insights
