EU-DSGVO – Schadensersatz nun auch bei bloßem Kontrollverlust
Am 18.11.2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zum EU – DSGVO – Schadensersatz gesprochen.
.png)
Facebook & EU-DSGVO
Demnach können
Facebook – Nutzer, die Betroffene der sog. Scraping – Fälle waren, allein wegen
des Kontrollverlustes ein Schmerzensgeld verlangen.
.png)
Worum ging es im zugrundeliegenden Fall?
Im zugrundeliegenden Sachverhalt
nutzten Dritte eine Schwachstelle in der Kontakt-Import-Funktion von Facebook
aus, um eine große Zahl von randomisierten Telefonnummern den Nutzerkonten
zuzuordnen und so die öffentlich zugänglichen Daten abzugreifen (sog.
Scraping).
Der Kläger, der vom Scraping
betroffen war, verlangte von Facebook unter anderem den Ersatz seiner
immateriellen Schäden. Facebook habe keine ausreichenden Sicherheitsmaßnahmen
(also ungeeignete TOMs) gehabt, um das Scraping zu verhindern.
In a nutshell: Was ist an dem Urteil neu?
Der BGH gab dem Kläger insoweit Recht. Um Schadensersatz
geltend machen zu können, müssen Betroffene keine spürbare (psychische)
Beeinträchtigung nachweisen, sondern lediglich einen Verlust über die Kontrolle
über ihre personenbezogenen Daten.
Der BGH nimmt damit die jüngere Rechtsprechung des EuGH
auf. Da Europarecht in der Normenhierarchie über dem nationalen Recht steht,
sind die Urteile des EuGH für den BGH bindend bei der Auslegung des Art. 82 EU
– DSGVO.
Der BGH hat dieses Verfahren sogar als erster Verfahren
überhaupt zum Leitentscheidungsverfahren gemacht, sodass sich die
unterinstanzlichen Gerichte bei Scraping – Verfahren daran orientieren können.
Was ändert sich nun für Unternehmen?
Weil der BGH hier zu Gunsten der Betroffenen entschieden
hat und die Anforderungen and den Nachweis eines immateriellen Schadens nun
nicht mehr hoch sind, ist mit einem erhöhten Klageaufkommen hinsichtlich EU –
DSGVO - Schadensersatz zu rechnen.
Die Verallgemeinerbarkeit der Fälle von Kontrollverlust
eignen sich potentiell auch gut für Massenklagen. Die gute Nachricht ist
jedoch, dass der Schadensersatz mit 100 € vom BGH niedrig angesetzt wurde. Er
kann allerdings durch eine psychische Beeinträchtigung, etwa ein ungutes Gefühl
beim Betroffenen, vertieft werden – wenn der Nachweis gelingt.
Wie lässt sich das Urteil in die Rechtsprechung
von EuGH und deutschen Gerichten einordnen?
Gerade das deutsche Zivilrecht kennt für den Ersatz
immaterieller Schäden wegen einer Verletzung des allgemeinen
Persönlichkeitsrechts eine sog. Erheblichkeitsschwelle. Daher hatte sich der
EuGH in letzter Zeit wiederholt mit Fällen zu beschäftigen, in denen ein
Betroffener Schadensersatz aufgrund von einer EU – DSGVO – Verletzung begehrt,
den ihm deutsche Gerichte nicht zugesprochen hätten. Nationale Gerichte aus
verschiedenen Mitgliedsstaaten legten ihm im in der Folge in sog.
Vorabentscheidungsverfahren gem. Art. 267 AEUV in verschiedener Form die Frage
zur Entscheidung vor, welche Voraussetzungen an einen Schadensersatzanspruch
nach Art. 82 EU – DSGVO zu stellen sind.
Der EuGH kam in insgesamt mittlerweile 10 Urteilen zur
Rechtsauffassung, dass zwar nicht der bloße Verstoß gegen die EU – DSGVO
bereits einen Schaden begründen könne, wie zuvor von einzelnen Gerichten
behauptet wurde. Allerdings sei der EU – DSGVO auch keine
Erheblichkeitsschwelle zu entnehmen (vgl. EuGH,
Urteil vom 14.12.2023 - C-456/22 – Gemeinde Ummendorf). Daher müsse der
Betroffene zumindest beweisen, dass er die Kontrolle über personenbezogene
Daten verloren habe (vgl. EuGH, Urteil vom 25.01.2024, C‑687/21 –
MediaMarktSaturn und EuGH, Urteil vom 11.04.2024, C-741/21 – juris und EuGH,
04.10.2024 - C-200/23 - Agentsia po vpisvaniyata). Darauf, ob die Daten darüber
hinaus missbräuchlich verwendet wurden oder nicht, komme es nicht an.
Zur Begründung stützt sich der BGH, wie zuvor auch schon
der EuGH, auf Erwägungsgrund 85 S. 1 EU -DSGVO, der besagt:
Eine Verletzung des Schutzes
personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert
wird – einen physischen, materiellen oder immateriellen Schaden für natürliche
Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre
personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung,
Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der
Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem
Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche
oder gesellschaftliche Nachteile für die betroffene natürliche Person.
In diesem Erwägungsgrund findet sich sogar die
Formulierung, bei dem Verlust der Kontrolle über personenbezogene Daten und den
weiteren dort erwähnten Schäden handle es sich um erhebliche Nachteile.
Fazit: Unternehmen sollten sich darauf einstellen, dass EU-DSGVO – Schadensersatz nun einfacher zu bekommen ist – wenn auch die Haftungssummen im Einzelfall nicht hoch sind. Bei einer großen Datenpanne können jedoch auch die 100 € pro Betroffenem schmerzlich sein. Neben Datenpannen dürfte die Webseite ein möglicher Ansatzpunkt für Schadensersatzforderungen sein. Eine Prüfung der Webseite ist vor diesem Hintergrund empfehlenswert.
Benötigen Sie dennoch Hilfe? Kein Problem!
Das könnte Sie auch interessieren:
