Der Bundesgerichtshof hat am 18. November 2024 seine Entscheidung im Leitentscheidungsverfahren zum sog. „Scraping-Fall“ getroffen (Urteil vom 18. November 2024, Az.: VI ZR 10/24).
Zur Erinnerung: Das Verfahren betraf ein Datenleck bei Facebook aus den Jahren 2018 und 2019, bei dem unbekannte Täter personenbezogene Daten von Millionen Nutzern extrahierten und im Darknet veröffentlichten (siehe unseren Beitrag vom 13. November 2024).
Der BGH hat die Position der Facebook-Nutzer im Streit um Schadensersatzansprüche nun gestärkt.
Nach der Entscheidung des BGH soll bereits der bloße und kurzfristige Verlust der Kontrolle über die eigenen personenbezogenen Daten infolge eines Verstoßes gegen die DSGVO ausreichen, um einen Anspruch auf immateriellen Schadensersatz geltend machen zu können. Der Betroffene müsse lediglich für den konkreten Einzelfall nachweisen, dass tatsächlich ein Kontrollverlust eingetreten ist. Es sei somit nicht erforderlich, den konkreten Missbrauch der Daten oder spürbare negative Folgen für den Betroffenen nachzuweisen.
Aus den Urteilsgründen wird jedoch auch deutlich, dass der Schadensersatz beim bloßem Kontrollverlust über Daten nicht sehr hoch ausfallen kann. Aus Sicht des BGH sei ein Ersatzanspruch in Höhe von überschaubaren 100 Euro angemessen. Für einen höheren Schadensersatz sei der Nachweis einer konkreten Beeinträchtigung erforderlich.
Die Sache wurde nun an das OLG Köln zur neuen Verhandlung und Entscheidung zurückverwiesen.
Angesichts der Vielzahl von Betroffenen bei Datenlecks und der zukünftigen Möglichkeit von ähnlichen Vorfällen (nicht nur in sozialen Netzwerken) hat die Entscheidung weitreichende Bedeutung. Sie stellt einen wichtigen Schritt zur Klärung der rechtlichen Verantwortung von Unternehmen im Umgang mit Nutzerdaten dar. Gleichzeitig setzt das Urteil neue Maßstäbe für die Prüfung von immateriellen Schadensersatzansprüchen bei DSGVO-Verstößen.
Unternehmen stehen aber weiterhin Optionen offen, sich gegen Klagen wegen immateriellen Schadensersatzes zu verteidigen. Die Instanzgerichte müssen stets im Einzelfall entscheiden, ob tatsächlich ein Kontrollverlust nachgewiesen wurde und in welcher Höhe ein Schaden zugesprochen werden kann.. Zudem besteht für andere Fallgestaltungen weiterhin Rechtsunsicherheit.
Gerne beraten wir Sie zur Implementierung einer praktikablen Datenschutz-Compliance oder bei gerichtlichen Verfahren im Zusammenhang mit Schadensersatzansprüchen wegen DSGVO-Verstößen.
