BGH: Immaterieller Schadensersatz auch für Verlust der Kontrolle über Daten

Bundesgericht erkennt DSGVO-Schadensersatz wegen bloßem Kontrollverlust über die Daten an, sieht ihn allerdings im Regelfall bei etwa EUR 100

Am 18. November 2024 hat der Bundesgerichtshof (BGH) unter dem Aktenzeichen VI ZR 10/24 eine (bis dato unveröffentlichte) Entscheidung über Ansprüche auf den Ersatz immateriellen Schadens aus Art. 82 DSGVO wegen des Verlusts der Kontrolle über personenbezogene Daten getroffen.

Dem Urteil liegt ein Datenschutzvorfall bei Facebook zugrunde. Im April 2021 wurden Daten von über 500 Millionen Usern im Internet öffentlich gemacht. Diese Daten wurden von unbekannten Dritten mittels sog. Scrapings abgegriffen.

Im Zuge dieses Vorgangs wurden auch die Daten des Klägers (Nutzer-ID, Vor- und Nachname, Arbeitsstätte und Geschlecht) im Internet veröffentlicht. Der Kläger ist der Ansicht, Facebook habe keine ausreichenden Maßnahmen zur Sicherung seiner personenbezogenen Daten getroffen und begehrt im Wesentlichen immateriellen Schadensersatz wegen des erlittenen Ärgers und Kontrollverlusts über seine personenbezogenen Daten.

Nachdem dem Kläger in der ersten Instanz ein statt den beantragten mindestens EUR 1.000 ein Betrag von EUR 250 zugesprochen wurde, unterlag er in der Berufungsinstanz. Das Berufungsgericht ist der Ansicht, der bloße Kontrollverlust reiche für die Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO nicht aus. Darüber hinaus habe der Kläger nicht hinreichend substantiiert dargelegt, über den Kontrollverlust hinaus psychisch beeinträchtigt worden zu sein.

Die Revision zum BGH war teilweise erfolgreich. Der BGH ist der Ansicht, bereits der bloße und kurzzeitige Verlust der Kontrolle über personenbezogene Daten infolge eines DSGVO-Verstoßes könne einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen. Es bedürfe keiner konkreten missbräuchlichen Verwendung der Daten zum Nachteil des Betroffenen oder sonstiger zusätzlicher spürbarer negativer Folgen. Für den konkreten Fall hat der BGH keine abschließende Entscheidung hinsichtlich der Höhe der Schadenssumme getroffen, erachtet aber eine Schadenssumme in Höhe von EUR 100 angesichts der zugrundeliegenden Umstände für unbedenklich. Allerdings bleibt es grundsätzlich auch nach dieser Entscheidung des BGH Sache des Anspruchstellers, die Voraussetzungen für seinen Anspruch darzulegen und zu beweisen.

Der BGH hat die Sache nun zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen.

Das Urteil schafft insoweit Klarheit, als dass der BGH Stellung in einer bis dato umstrittenen und uneinheitlich behandelten Rechtsfrage – immaterieller Schadensersatz für den Kontrollverlust über personenbezogene Daten und dessen Höhe – bezieht. Bereits am 31. Oktober 2024 bestimmte der BGH das Verfahren zum Leitentscheidungsverfahren gemäß § 552b ZPO. Mit einem solchen Verfahren kann der BGH Rechtsfragen, die für eine Vielzahl von Verfahren entscheidungserheblich sind, entscheiden und so eine Orientierung für die Instanzgerichte bieten. Leitentscheidungen entfalten allerdings keine formale Bindungswirkung. Da der BGH den Verlust über die Kontrolle personenbezogener Daten in Bezug auf die Schadenshöhe als gering erachtet, geht von der Entscheidung eine Signalwirkung aus.