Datenschutz

Immaterieller Schadenersatz: Alles unter Kontrolle?

03.12.2024

Zusammenfassung

Der BGH hat mit einem neuen Urteil klargestellt, dass ein Kontrollverlust über personenbezogene Daten gemäß Art. 82 DSGVO bereits einen immateriellen Schaden begründen kann, ohne dass "spürbare negative Folgen" nachgewiesen werden müssen. Gleichzeitig wurden Kriterien für die Bemessung des Schadenersatzes definiert, wobei einfache Fälle wie der Verlust von Namen und Telefonnummern mit mindestens 100 Euro bewertet werden.

4 Minuten Lesezeit

Der Bundesgesetzhof (BGH) hat vor kurzem ein Urteil über Scraping personenbezogener Daten bei Facebook erlassen (VI ZR 10/24), welches die Frage näher beantwortet, wann immaterieller Schadenersatz im Sinne des Art. 82 DSGVO begründet vorliegt. – Das vielseitig zitierte und diskutierte Urteil beantwortet dabei ein paar elementare Fragen.

Wann sprechen wir von „Schaden“?

„Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen […] immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten […].“ (Erwägungsgrund 85 der DSGVO)

In seiner jüngsten Rechtsprechung interpretiert der Bundesgerichtshof die Urteile aus Luxemburg dahingehend, dass ein Kontrollverlust als ausreichend zur Begründung eines Schadens erachtet wird, insbesondere mit Blick auf Erwägungsgrund 85 der Datenschutz-Grundverordnung. Ein Nachweis “spürbarer negativer Folgen” ist demnach nicht erforderlich. Dies bedeutet jedoch nicht, dass die Betroffenen dadurch von der Nachweispflicht befreit werden.

In der Vergangenheit haben sich deutsche Gerichte diesbezüglich deutlich zurückhaltender geäußert und weiterhin auf die explizite Kausalität im Einzelfall bestanden.

Tut es ausreichend weh?

„Eine Auslegung von Art. 82 Abs. 1 DSGVO dahin, dass der Begriff ‚immaterieller Schaden“ im Sinne dieser Bestimmung keine Situationen erfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre jedoch nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird.“ (EuGH vom 14. Dezember 2023 in C-340/21, Rn. 83)

In seinem Urteil „Österreichische Post“ (C-300/21 vom 4. Mai 2023) hatte der Europäische Gerichtshof (EuGH) zwar festgestellt, dass ein Verstoß gegen die Grundverordnung nicht automatisch zu einem begründeten Schadenersatzanspruch führt. Gleichzeitig hatten die Luxemburger Richter jedoch auch herausgearbeitet, dass im Gegensatz zu verschiedenen nationalen Rechtsordnungen keine Erheblichkeitsschwelle vorliegt.

In Ergänzung zu der Grundanforderung eines hohen Schutzniveaus für natürliche Personen nach Erwägungsgrund 10 der DSGVO gelangten die deutschen Richter zu dem Schluss, dass bei einem Kontrollverlust die Finalisierung eines immateriellen Schadens anzunehmen sei.

Wie groß ist das Pflaster?

„Ist nach den Feststellungen des Gerichts allein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DSGVO) und deren typischerweise zweckmäßige Verwendung zu berücksichtigen. Weiter hat die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (z.B. Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen.“ (BGH in besagtem Urteil VI ZR 10/24, Rn. 99)

Des Weiteren hat der BGH Kriterien definiert, die bei der Bemessung der Schadenersatzsumme zu berücksichtigen sind. Für weniger eingriffsintensive Fälle eines Kontrollverlusts, beispielsweise bei Verlust von Namen und Telefonnummern, wird ein Schadenersatz von mindestens 100 Euro als angemessen erachtet.

„Und, ist das ein gutes Urteil?“

Das kommt ein bisschen darauf an, wen man genau fragt. – Es kommt darauf an, wen man fragt. Aus verschiedenen Richtungen werden unterschiedliche Perspektiven eingenommen, die bestimmte Aspekte betonen. Festzuhalten ist definitiv, dass künftig bei einem Kontrollverlust nicht mehr im Einzelfall begründet werden muss, ob ein immaterieller Schaden durch den Verlust von Datensätzen vorliegt. Auf der anderen Seite ist bei einfachen Datensätzen auch nicht mit 5.000 Euro zu rechnen, wie so oft behauptet wird.

Die Zukunft wird zeigen, in welchen Fällen mit wie viel Schadenersatz zu rechnen ist. Ob daraus – wie oftmals gehofft – ein Katalog und damit ein echtes Geschäftsmodell erwachsen wird, bleibt allerdings abzuwarten. Die Wahrscheinlichkeit ist allerdings gestiegen.

Michael Wehowsky

Über den Autor - Michael Wehowsky, CIPP/E, CIPT

Michael Wehowsky verfügt als Certified Information Privacy Professional (CIPP/E) und Certified Information Privacy Technologist (CIPT) sowie als zertifizierter Datenschutzbeauftragter (udis, FernUni Hagen) über eine Kombination aus juristischem und technischem Fachwissen.
Er berät Unternehmen verschiedener Ausrichtung und Größe in deutscher, englischer und italienischer Sprache, mit besonderem Schwerpunkt auf Software- und Internet-Datenschutz. Darüber hinaus teilt er seine Erfahrungen als Speaker auf nationalen und internationalen Konferenzen.

Beitrag teilen:

Kontakt

Rechtsanwalt Dr. Sebastian Kraska,
externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail: email@iitr.de
www.iitr.de

0 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot