Immaterieller Schadensersatz bei Kontrollverlust der eigenen Daten wird anerkannt

von Franziska

Der Großkonzern Meta hält die deutschen Gerichte wieder mal auf Trab und zwang den BGH nun aufgrund eines Datenlecks bei Facebook und seinen Auswirkungen im Jahr 2021 eine Grundsatzentscheidung bezüglich des immateriellen Schadensersatzes zu treffen.

Diese Entscheidung ist höchstrelevant, da bisher keine einheitliche Rechtsprechung in Bezug auf den immateriellen Schadensersatz bei Datenschutzverstößen gem. Art. 82 DSGVO besteht. Dies bewirkte eine Vielzahl an unterschiedlichen Vorgehensweisen der deutschen Gerichte. Zwar hatte sich der EuGH seit dem Jahr 2023 in mehreren Urteilen zu dem Thema positioniert, aber lieferte keine konkrete Auslegung, nach der sich die Gerichte richten könnten. Der BGH hat sich dem nun angenommen und eine Leitentscheidung gefällt, die für mehr Klarheit bei der Auslegung des Begriffes des immateriellen Schadens und der Bemessung liefern soll.

Der Auslöser für das umstrittene Thema rund um den immateriellen Schadensersatz war der Hackerangriff auf die Plattform Facebook im Jahr 2019.

2021: Hacker-Angriff auf Facebook

Im Jahr 2021 kam es zu einem Datenleck bei Facebook, von dem rund 533 Millionen Nutzer betroffen waren. In einem Hackerforum wurden Nutzerdaten, wie die vollständigen Nutzernamen, Geburtsdaten, E-Mail AdressenE-Mail-Adressen, Telefonnummern und auch den der Beziehungsstatus von mehreren Millionen Facebook-Nutzern veröffentlicht. Dies ging auf einem Vorfall aus dem Jahr 2019 zurück, bei dem Daten durch das sogenannte „Scraping“ abgegriffen wurden. Scraping bedeutet, dass automatisiert öffentlich einsehbare Daten massenhaft abgerufen wurden. In dem Fall bedienten sich die Hacker einen eines ZufallsgeneratorZufallsgenerators, der Suchanfragen mit zufällig generierten Nummern durchführte. Bei der Übereinstimmung mit einem Profil, konnten sich die Hacker Zugriff auf den Namen, Wohnort und Handynummer verschaffen. Diese wurden erst zwei Jahre später in zahlreichen Hacker-Foren veröffentlicht und verschaffte in Deutschland weit über sechs Millionen Menschen die Gefahr Spamanrufe, kriminelle Anrufe oder Nachrichten zu erhalten. Facebook schloss das Datenleck, aber musste sich im Nachgang mit zahlreichen Schadensersatzklagen auseinandersetzen. Die Urteile dieser Klagen fielen sehr unterschiedlich aus, da bisher keine einheitliche Auslegung datenschutzrechtlicher Schadensersatzansprüche existiert und die Rechtsfrage diesbezüglich höchst umstritten ist.

Auslegung des EuGH

Der Europäische Gerichtshof musste sich der vielschichtenden Rechtsprechung der deutschen Gerichte annehmen und sie zu einer höchstrichterlichen Rechtsprechung vereinen. Der Schadensersatzanspruch bei Verstößen gegen Datenschutzvorschriften richtet sich nach Art. 82 DSGVO. Diese Vorschrift gewährt Personen einen Anspruch, denen ein materieller oder immaterieller Schaden entstanden ist. Der Schadensbegriff gestaltet sich gerade bei dem Kontrollverlust über persönliche Daten als schwierig. In diesem Zusammenhang wurde der EuGH ersucht konkrete Aussagen über die Bemessung und Voraussetzungen des immateriellen Schadensersatzes gem. Art. 82 DSGVO zu treffen. Dabei stellte er fest, dass ein bloßer Verstoß gegen die DSGVO noch keinen Schadensersatz begründet, vielmehr muss ein dadurch entstandener Schaden bewiesen werden. An welchen Kriterien ein solcher Schaden bemessen wird und in welcher Form dieser ausgestaltet sein soll, lässt der EuGH offen. Der EuGH entschied jedoch, dass bei der Bemessung des Schadens der tatsächliche Nachteil des Geschädigten Berücksichtigung finden soll. Das Verhalten des Schädigers soll dabei keine Rolle spielen. Der EuGH betonte in einer Entscheidung von Oktober 2024, dass auch der kurzzeitige Kontrollverlust über personenbezogene Daten einen Schaden darstellt und keinen Beweis von zusätzlichen negativen Folgen erfordert. Dabei muss die betroffene Person den Kontrollverlust als Schaden nachweisen können. Auch eine alleinige Befürchtung der missbräuchlichen Verwendung personenbezogener Daten kann ausreichen, wenn der Nachweis eines Kontrollverlustes nicht erfolgen kann. Der EuGH stellte in diesen diesem Kontext aber noch einmal klar, dass solche negativen Gefühle begründet sein müssen. Eine nähere Auslegung überließ er den nationalen Gerichten, die dies in jedem Einzelfall gesondert prüfen müssen. Dadurch entstand eine Rechtszersplitterung, da die Instanzgerichte in Deutschland die Auffassung des EuGH unterschiedlich interpretierten.

Leitentscheidung des BGH

Im November 2024 traf der BGH zum ersten Mal eine Leitentscheidung im Datenschutz und äußerte sich damit zu dem höchst brisanten Thema des immateriellen Schadensersatzes. Leitentscheidungsverfahren wurden neu eingeführt und dienen einer schnellen höchstrichterlichen Entscheidung bei einer großen Anzahl an Verfahren mit vergleichbaren Rechtsfragen. In dieser ersten Leitentscheidung des BGH kannte er einen kurzweiligen Kontrollverlust über personenbezogene Daten als immateriellen Schaden an. Hierbei sollen keine spürbaren negativen Folgen wie Ängste und Sorgen mehr eintreten müssen. Das heißt, dass es in Zukunft keine besondere Erheblichkeit der Rechtsverletzung oder die Darlegung der konkreten missbräuchlichen Verwendung sowie sonstige Nachteile mehr bedarf. Es muss lediglich der Kontrollverlust an sich eintreten oder die Befürchtung einer solchen gegeben sein. Falls der Betroffene nur die Befürchtung des Kontrollverlustes hat, muss diese inklusive der negativen Folgen bewiesen werden.  Laut dem BGH reiche eben die bloße Behauptung von Gefühlen wie Angst, Sorge oder Unwohlsein nicht aus, sondern müssen vielmehr noch mit konkreten Indizien bewiesen werden. Die Gerichte sollten bei der Schätzung des Schadens nicht nur auf die Sensibilität der betroffenen Daten und der zweckgemäßen Verwendung, sondern auch auf die Art und Dauer des Kontrollverlustes achten. Zudem darf dabei die Möglichkeit der Wiedererlangung der Kontrolle nicht außer Acht gelassen werden. Mit dieser Entscheidung haben die Betroffenen eine größere Chance immateriellen Schadensersatz bei solchen gelagerten Fällen oder auch bei Datenpannen geltend zu machen. Dies stellt eine deutliche Stärkung der Rechte für die Betroffenen dar. Ein kleiner Wehmutstropfen betrifft allein die Höhe des Schadensausgleichs. Dieser beziffert der BGH in einer Größenordnung von 100 €, wenn keine weiteren Folgen wie psychische Belastungen oder missbräuchlichen Verwendung durch Dritte eingetreten sind. Dem Schadensersatzanspruch soll nur einer Ausgleichsfunktion zukommen und dabei nicht als Abschreckung oder Strafe angesehen werden. Aus diesem Grund sollte bei der Ermittlung der Schadenshöhe nicht die Schwere des Verstoßes und nicht die Anzahl der Verstöße gegen eine Person miteinbezogen werden. Bei einem geringen Schaden fällt somit auch der Ersatz dieses Schadens in geringer Höhe aus.

Die Leitentscheidung des BGH stellt nun ausdrücklich klar, dass der alleinige Kontrollverlust der Daten einen immateriellen Schaden darstellt und keine zusätzlichen negativen Folgen hinzukommen müssen. Den deutschen Gerichten bleibt aber nicht aus,  die Beurteilung über die Auslegung und Reichweite des Begriffes des Kontrollverlustes in jedem Einzelfall gesondert zu fällen.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

Franziska

Franziska hat Rechtswissenschaften an den Universitäten Passau und Salzburg studiert und bringt wertvolle Kenntnisse sowohl des deutschen als auch des österreichischen Rechts mit. Frisch von der Universität überzeugt sie nicht nur durch ihre neuen Perspektiven und innovativen Ideen, sondern auch durch ihre offene und freundliche Art, die sie zu einer geschätzten Kollegin macht.

Mit ihrem umfassenden juristischen Fachwissen steht Franziska unseren KundInnen kompetent und engagiert in allen datenschutzrechtlichen Fragen zur Seite.