Verlieren die Unternehmen jetzt endgültig die Kontrolle über Schadenersatzansprüche im Datenschutz? – Der Bundesgerichtshof fällt Urteil zum Schadenersatz wegen Kontrollverlust in Facebook-Scraping-Fällen

Der Bundesgerichtshof (BGH) hat am 18. November 2024 ein Urteil gefällt, das den Nachweis eines Schadens in Form des Kontrollverlusts bei Datenschutzvorfällen erleichtert. Die Schadenshöhe bewertet der BGH – im Vergleich zu den häufig geltend gemachten Summen – als eher gering. Dies wird eine Vielzahl von laufenden und zukünftigen Schadenersatzprozessen beeinflussen.

Worum geht es im Verfahren vor dem BGH?

Der BGH hat am 18. November 2024 in einem der zahlreichen Fälle zum Datenverlust durch sogenanntes Scraping bei Facebook entschieden (Az. VI ZR 10/24). Gegenstand der Entscheidung ist das Abgreifen von Telefonnummern und anderen Daten über die Nutzer von Facebook in den Jahren 2018 und 2019, die im April 2021 im Internet öffentlich verbreitet wurden. Darunter waren auch persönliche Daten des Klägers, namentlich seine Telefonnummer in Verknüpfung mit den Daten seines Nutzerkontos, d. h. Nutzer-lD, Vorname, Nachname, Geschlecht und Arbeitsstätte. Der Kläger nahm die Beklagte wegen eines Verstoßes gegen die DSGVO in Anspruch, und zwar in erster Linie auf immateriellen Schadenersatz in angemessener Höhe von mindestens EUR 1.000, weil er einen spürbaren Kontrollverlust über seine Daten erlitten habe. Dadurch sollen betrügerische Kontaktversuche massiv angestiegen seien, sowie wegen daraus resultierender Ängste und Sorgen. Darüber hinaus begehrte der Kläger die Feststellung der Verpflichtung zum Ersatz künftiger Schäden, Unterlassung sowie Auskunft. Das LG hatte dem Kläger erstinstanzlich Schadenersatz in Höhe von EUR 250 zugesprochen und die Klage im Übrigen abgewiesen. Das OLG hatte die Klage auf die Berufung insgesamt abgewiesen.

Der BGH hat die Entscheidung des OLG Köln in weiten Teilen aufgehoben und zur erneuten Entscheidung durch das OLG Köln zurückverwiesen. Dieses muss nun zunächst prüfen, ob überhaupt ein Verstoß gegeben war (die Hinweise des BGH deuten darauf hin, dass dies zu bejahen ist) und für diesen Fall dann die entsprechenden Ansprüche und deren Höhe überprüfen.

Warum ist die Entscheidung relevant?

Die Entscheidung sorgt für Aufsehen, weil vor deutschen Gerichten massenhaft ähnliche individuelle Klagen von Verbrauchern anhängig sind. Klägervertreter sind oftmals spezialisierte Verbraucherkanzleien, die Nutzer mit dem Versprechen von immateriellem Schadenersatz bis zu 5000 EUR für DSGVO-Verstöße anlocken. Begleitet werden die Schadenersatzansprüche regelmäßig von einer Reihe weiterer Ansprüche wie Feststellung auf Ersatz zukünftiger Schäden, Unterlassung und Auskunft sowie Ersatz vorgerichtlicher Anwaltskosten. Es hat sich bereits im Vorfeld der Entscheidung abgezeichnet, dass die mit vergleichbaren Verfahren befassten Gerichte auf die BGH-Entscheidung warten, um ihre Urteile daran auszurichten. Die Entscheidung wird absehbar aber auch die zukünftige Durchsetzung von Schadenersatzansprüchen wegen Verstößen gegen die DSGVO beeinflussen.  

Was hat der BGH zum Kontrollverlust als Schaden entschieden?

Von besonderer Bedeutung ist, dass der BGH den Verlust der Kontrolle über personenbezogene Daten selbst als immateriellen Schaden einordnet. Voraussetzung ist, dass die betroffene Person einen solchen Kontrollverlust nachweist, etwa, dass sie noch zuvor die Kontrolle hatte. Nicht erforderlich ist demgegenüber, dass der Kontrollverlust in einen weiteren Schaden mündet, etwa einen konkreten Missbrauch der Daten oder eine psychische Beeinträchtigung der betroffenen Person.

Unklar ist, ob diese Auslegung des BGH mit der jüngsten Rechtsprechung des EuGH (Urteil vom 4. Oktober 2024 – C-200/23) vereinbar ist, der einen Nachweis für den Kontrollverlust verlangt, allerdings, ohne dies weiter zu erläutern. Der EuGH hat außerdem mehrfach klargestellt, dass der Verstoß nicht gleich dem Schaden ist. Wenn aber der Verstoß darin liegt, dass unbefugte Dritte Zugriff auf die personenbezogenen Daten haben und damit der Verlust der Kontrolle der betroffenen Person einhergeht, stellt sich die Frage, welche konkreten nachteiligen Folgen die Klägerpartei darlegen muss, um eine solche Gleichsetzung von Verstoß und Schaden zu vermeiden. So hat das Bundessozialgericht etwa eine „bloß formelhafte Behauptung, einen "Kontrollverlust“ dadurch erlitten zu haben, im Ungewissen über die Verarbeitung seiner personenbezogenen Daten zu sein,“ nicht ausreichen lassen (BSG, 24. September 2024 - B 7 AS 15/23 R). Auch das Bundesarbeitsgericht hat in einer jüngeren Entscheidung unter Abheben auf den Kontrollverlust weitergehende Nachweise konkreter negativer Folgen verlangt als formelhafte Behauptungen einer Besorgnis (BAG, 20. Juni 2024, 8 AZR 124/23). Die obersten Bundesgerichte verfolgen insofern also keine einheitliche Linie, was eigentlich einer Entscheidung des Gemeinsamen Senats erfordert hätte. Schließlich ist beim Kontrollverlust die notwendige Kausalität nicht immer einfach darzulegen. Wenn etwa eine E-Mail-Adresse bereits in vorherigen Datenleaks abhandengekommen und veröffentlicht worden ist, kann im danach erfolgenden Datenleak nach diesem Verständnis nicht erneut ein Kontrollverlust eingetreten sein.  Die Nachweis-Thematik hat sich also nicht erledigt, selbst wenn die Voraussetzungen gelockert wurden.

Im Übrigen verlangt der BGH weiterhin, dass konkrete negative Folgen zu substantiieren und ggfs. nachzuweisen sind und liegt damit weiterhin auf der Linie des EuGH. Die bloß formelhafte Behauptung von „Unwohlsein“ und „Sorge“ genügen nicht, vielmehr sind dahingehend konkrete Umstände vorzutragen. Daran fehlt es insbesondere bei massenhaftem Vorgehen durch Verbraucherkanzleien häufig.

Was sagt der BGH zur Schadenshöhe?

Der BGH hat sich eingehend zur Bemessung der Schadenshöhe geäußert und klargestellt, dass eine Schätzung nach § 287 ZPO erfolgen muss. Der Schaden müsse vollständig und wirksam ausgeglichen werden. Dabei sei aber zu berücksichtigen, dass Schadenersatzansprüche eine reine Ausgleichs-, aber keine Straf- oder Abschreckungsfunktion haben.

Liegt der Schaden allein in einem Kontrollverlust sind die Sensibilität und die zweckmäßige Verwendung der konkret betroffenen Daten zu berücksichtigen, außerdem die Art und Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle. Der BGH erwägt in dem Kontext, den Schaden anhand des hypothetischen Aufwands für die Wiedererlangung der Kontrolle durch einen Wechsel der abhandengekommenen Daten zu bemessen. Diese Kosten dürften im Einzelfall und je nach betroffenem Datum, etwa Passnummer, Kreditkartennummer, Telefonnummer oder E-Mail-Adresse, erheblich variieren. Der BGH bezweifelte, dass im konkreten Fall ein einstelliger Betrag mit dem Effektivitätsgrundsatz vereinbar sei, hält aber einen Betrag in der Größenordnung von etwa 100 Euro für rechtlich unbedenklich.

Was hat der BGH sonst entschieden?

Andere Feststellungen des BGH fielen vorhersehbarer aus. Der BGH bejaht die Zulässigkeit von Feststellungsanträgen, wenn ein Verstoß und ein Schaden bereits festgestellt sind und damit die Möglichkeit künftiger Schäden zu bejahen ist. Ist das nicht der Fall, dürfte dies weiterhin schwierig sein. Unterlassungsanträge sind nur dann bestimmt genug, wenn darin eine Bezugnahme auf die konkrete Verletzungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und sich der Klageantrag zumindest unter Heranziehung des Klagevortrags eindeutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll. Insbesondere bei Datenleaks in Folge von Cyberangriffen unbekannter Dritter wird es selten gelingen, konkrete Unterlassungsanträge zu formulieren. Auskunftsansprüche nach Art. 15 werden häufig bereits frühzeitig erfüllt sein. Hierzu hat der BGH klargestellt, dass eine Auskunft über konkrete Empfänger der abgegriffenen Daten dann nicht gegeben werden muss und kann, wenn es sich um unbekannte dritte Straftäter handelt.

Folgt nun eine noch größere Klagewelle?

Die Leitentscheidung des BGH ist nur auf den ersten Blick ein Gewinn für Kläger und Verbraucheranwälte. Der Kontrollverlust mag per se einen immateriellen Schaden begründen, der Schadenersatz wird sich aber im Regelfall in einer überschaubaren Größenordnung von EUR 100 bewegen. Damit ist den massenhaften Klageverfahren, die auf immateriellen Schadenersatz von mehreren tausend Euro abzielen, der Boden entzogen. Dasselbe gilt für lockende Werbeversprechen von Verbraucheranwälten, die bislang häufig darauf zählen konnten, dass ihr Geschäftsmodell durch Rechtsschutzversicherer unterstützt wird. Deckungszusagen für überhöhte Klageforderungen werden sich nach der Leitentscheidung aber nicht mehr rechtfertigen lassen.

Ob die Aussicht auf einen Schadenersatz von etwa 100 Euro für betroffene Personen künftig noch zu Individualklagen motivieren kann, bleibt abzuwarten. Dafür wären dann streitwertbedingt jedenfalls nicht mehr die Land-, sondern die Amtsgerichte zuständig. Zur Alternative dürften nun Sammelklagen in Form der Musterfeststellungs- oder auch der Abhilfeklage werden. Diese sind darauf zugeschnitten, Ansprüche einer Vielzahl gleichartig geschädigter Verbraucher ohne großen (finanziellen) Aufwand durch Verbraucherverbände durchzusetzen – also auch von Datenlecks betroffenen Verbrauchern zur Rechtsdurchsetzung zu verhelfen.

Die Entscheidung des BGH wird folglich die massenhaften Individualklagen abebben lassen und – sinnvollerweise – zur Bündelung von Verbraucheransprüchen in Sammelklagen führen. Damit sind jedenfalls die Interessen von Verbrauchern und Gerichten gewahrt. Unternehmen müssen sich darauf einstellen, dass sie statt mit einer Vielzahl von Einzelklagen künftig mit einer Sammelklage konfrontiert werden. 

Zurück zur Übersicht