Der Bundesgerichtshof (BGH) hat am 18. November 2024 (VI ZR 10/24) über Ansprüche von betroffenen Personen im Zusammenhang mit sogenanntem „scraping“ (deutsch: „abschürfen“) entschieden. Nachdem im Rahmen von unterinstanzlichen Urteilen die Schadensersatzansprüche in der Regel verneint wurden, hat der BGH im Wege eines Leitentscheidungsverfahrens hiervon abweichend geurteilt. Die höchstrichterliche Entscheidung hat nun Einfluss auf unzählig ähnlich gelagerte Klagen, die derzeit an Landes- und Oberlandesgerichten in Deutschland anhängig sind. Auch wenn im konkreten Fall lediglich ein Schadensersatz in Höhe von 100 Euro als angemessen angesehen wurde, sollten die Auswirkungen dieser Entscheidung für die Praxis nicht unterschätzt werden.
Zum Sachverhalt
Hintergrund der unzähligen Klagen sind Vorfälle aus den Jahren 2018 und 2019, im Rahmen derer Unbekannte eine beträchtliche Anzahl nicht-veröffentlichter personenbezogener Daten – darunter zum Beispiel Telefonnummern – von rund 533 Millionen Facebook-Nutzenden aus 106 Ländern abgriffen und anschließend verknüpft mit abrufbaren Profilinformationen im April 2021 im sogenannten Darknet weltweit veröffentlichten. Hiervon betroffene Personen machten infolgedessen gegenüber dem Facebook-Betreiber Meta verschiedenste Ansprüche geltend. Meta habe in mehrfacher Hinsicht gegen die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) verstoßen, insbesondere aufgrund einer unzureichenden Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten unter Berücksichtigung des aktuellen Stands der Technik und unzureichender Voreinstellungen. Dies habe dazu geführt, dass den Unbekannten das Scraping der personenbezogenen Daten erheblich erleichtert wurde.
Im konkreten Fall hatte zwar zunächst das Landgericht Bonn (LG Bonn, Urt. v. 29.3.2023, Az. 13 O 125/22) dem Kläger 250 Euro Schadensersatz zugesprochen, die Klage im Übrigen jedoch abgewiesen, woraufhin im Rahmen des Berufungsverfahrens das Oberlandesgericht Köln (OLG Köln, Urt. v. 7.12.2023, Az. 15 U 67/23) die Klage insgesamt abwies. Nach Ansicht des OLG Köln reiche weder der bloße Kontrollverlust zur Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DS-GVO aus, noch habe der Kläger im Rahmen des Verfahrens substantiiert darlegen können, aufgrund des Kontrollverlustes über seine personenbezogenen Daten psychisch beeinträchtigt worden zu sein. Mit Beschluss vom 31. Oktober 2024 bestimmte der BGH das zugrundeliegende Verfahren zum Leitentscheidungsverfahren gemäß § 552b ZPO (Zivilprozessordnung).
Zur Entscheidung
Nach Ansicht des BGH lässt sich der Anspruch des Klägers auf Ersatz eines immateriellen Schadens mit der Begründung des OLG Köln nicht verneinen. Nach der maßgeblichen Rechtsprechung des Europäischen Gerichtshofes (EuGH) zu Art. 82 Abs. 1 DS-GVO, kann bereits ein kurzzeitiger Verlust der Kontrolle über die eigenen personenbezogenen Daten infolge eines Verstoßes gegen die Anforderungen der DS-GVO einen immateriellen Schadensersatz begründen (vgl. zuletzt EuGH, Urt. v. 4.10.2024, Rs. C-200/23). Es bedarf demnach weder einer konkreten missbräuchlichen Verwendung der personenbezogenen Daten zum Nachteil der betroffenen Person noch sonstiger zusätzlicher spürbar negativer Folgen. Begründete Befürchtungen oder Ängste vor einem Missbrauch der personenbezogenen Daten können ebenfalls Gründe für die Annahme eines immateriellen Schadens sein, sind jedoch keine zwingenden Voraussetzungen dafür.
Auch den Anträgen des Klägers auf Feststellung einer Ersatzpflicht für etwaige zukünftige Schäden, die aus dem ursprünglichen Verstoß resultieren können und Unterlassung der Verwendung der Telefonnummer ohne entsprechende Einwilligung wurden stattgegeben. Für den konkreten Fall könnte somit eine Haftung Metas für Schäden, die aufgrund der Veröffentlichung personenbezogener Daten im Darknet gegebenenfalls erst in Zukunft eintreten, bestehen. Derartige Schäden könnten beispielsweise aus der Übermittlung von Phishing-E-Mails oder weiteren kriminellen Aktivitäten wie Identitätsdiebstahl resultieren.
Der BGH hat nun zur neuen Verhandlung und Entscheidung an das OLG Köln zurückverwiesen. Das Berufungsgericht muss nun also noch einmal im Detail prüfen, inwiefern Datenschutzverstöße vorliegen und hierin tatsächlich ein Schadensersatzanspruch sowie eine mögliche Haftung begründet sein kann. In diesem Zusammenhang erteilte der BGH Hinweise zur Bemessung des immateriellen Schadens und führte aus, dass keine Bedenken dagegen bestünden, die Höhe des Schadensersatzes in einer Größenordnung von 100 Euro zu bemessen. Die hierbei angesetzte Höhe des Schadensersatzes scheint zwar zunächst gering, ausgehend von mehreren zehntausenden oder gar hunderttausenden Betroffenen allein in Deutschland, können jedoch insgesamt Schadensersatzforderungen in mehrstelliger Millionenhöhe auflaufen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
