Auf den Punkt gebracht
Am 18. November 2024 hat der Bundesgerichtshof (BGH) mit einem Urteil zum sog. Facebook-Scraping zum Schadensersatz bei Datenschutzverstößen Stellung genommen. Der BGH hat insbesondere entschieden, dass schon der Verlust der Kontrolle über personenbezogene Daten einen Anspruch auf immateriellen Schadensersatz darstellen kann. Dabei hält der BGH einen Anspruch in der Größenordnung von 100 EUR für angemessen. Daneben waren die Kläger mit Anträgen auf Feststellung über den Ersatz künftiger Schäden, auf Unterlassung der Verwendung bestimmter personenbezogener Daten und auf Ersatz seiner vorgerichtlichen Rechtsanwaltskosten erfolgreich. Damit stärkt er die Position von Anspruchstellern. Unternehmen sollten die Entscheidung daher zum Anlass nehmen, um ihre Datenschutz- und Compliance-Maßnahmen zu überprüfen. Es ist bei Datenschutzvorfällen verstärkt mit Klagewellen zu rechnen – diese können schlimmstenfalls existenzbedrohend sein.
Was steckt hinter dem Urteil?
Die Datenschutzgrundverordnung (DSGVO) räumt in Art. 82 DSGVO jedem das Recht ein, Schadensersatz zu verlangen, wenn ein Unternehmen gegen die DSGVO verstößt. Dabei können nicht nur “materielle” Schäden - also finanzielle Einbußen -, sondern auch “immaterielle Schäden” geltend gemacht werden. Ähnlich dem sog. “Schmerzensgeld” bei Körperverletzungen kann also Geld verlangt werden, obwohl der Betroffene gar keinen finanziellen Verlust erlitten hat. In der Rechtsprechung ist bisher nicht vollständig geklärt, wann ein solcher “immaterieller Schaden” vorliegt.
Um immateriellen Schaden geht es auch beim sog. Facebook-Scraping. 2021 missbrauchten Unbekannte die sog. Kontaktimportfunktion von Facebook, um insgesamt ca. 533 Millionen Datensätze mit personenbezogenen Daten wie Namen, Telefonnummern und E-Mail-Adressen von Facebook abzugreifen. In der Folge strengten professionell organisierten Klägervertreter tausende Klagen auf Schadensersatz gegen Facebook an. Bisher wurden diese Klagen zum Großteil abgewiesen. Die Gerichte sahen in der Regel keinen Rechtsverstoß von Facebook oder jedenfalls keinen Schaden, sodass die Klagen abgewiesen wurden. Nur vereinzelt sprachen Gerichte Schadensersatz (häufig nur 100 Euro) zu.
Ein wesentlicher Streitpunkt bei den Klagen ist die Frage, ob der Verlust der Kontrolle über die eigenen personenbezogenen Daten bereits ein immaterieller Schaden ist. Anders gewendet: Ist es bereits ein Schaden, dass ein Betroffener nicht weiß, ob die eigenen Daten wie Name und Telefonnummer zur Kenntnis gelangt sind? Häufig können die Kläger keine weitere Beeinträchtigungen - etwa vermehrte Spam-Anrufe - nachweisen. Geld bekommen sie daher nur, wenn der “abstrakte” Kontrollverlust als Schaden anerkannt wird.
Dass der “Kontrollverlust” Schaden sein kann, ist gleichzeitig unstrittig. Das hat der Europäische Gerichtshof (EuGH) schon längst anerkannt. Nach dem EuGH muss aber nachgewiesen werden, dass es tatsächlich zu einem solchen Schaden gekommen ist. Die deutschen Gerichte argumentieren daher bisher häufig, dass allein die Möglichkeit, dass Dritte Zugriff auf die Daten erlangt haben, kein Schaden ist. Es müsse schon noch mehr hinzutreten, wie eine nachweisbare Zunahme von Spam-Anrufe oder glaubhafte psychische Belastungen. Den meisten Anspruchstellern gelingt das nicht.
An dieser Stelle hat der BGH nun laut seiner Pressmitteilung anders entschieden: Nach dem BGH begründet allein der “bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung ein[en] immaterieller Schaden”. Nicht erforderlich ist der Nachweis, dass die Daten missbräuchlich zu Lasten des Betroffenen verwendet worden sind. Auch weiterer spürbarer negativer Folgen bedarf es nicht.
Damit dürfte sich jedoch auch nach der Rechtsprechung des BGH eine Schadenersatzpflicht vermeiden lassen, wenn ein Kontrollverlust ausgeschlossen werden kann. Bei den Facebook-Fällen ist der Datenabfluss unstrittig. Hier steht fest, dass die Daten abgeflossen sind. Bei anderen Datenschutzvorfällen ist das aber nicht notwendigerweise der Fall. Liegen aber beispielsweise Daten auf einem ungesicherten Server, bedeutet dies nicht automatisch, dass jemand auch die Daten heruntergeladen hat. Ein Kontrollverlust ist daher nicht notwendigerweise eingetreten.
Darüber hinaus hat der BGH laut seiner Pressemitteilung festgestellt, dass im streitigen Fall ein Schadensersatz von 100 EUR angemessen sei. Damit bestätigt der BGH, dass der bloße Kontrollverlust, wenn schon Schaden, so doch kein im Einzelfall besonders schwerwiegender Schaden ist.
Betroffene versuchen in der Regel auch, die Ersatzpflicht des Verantwortlichen für zukünftige Folgen des Verstoßes gegen die DSGVO feststellen zu lassen. Hier haben die Instanzgerichte teilweise die Zulässigkeit der Feststellungsklage verneint, da drohende zukünftige Schäden nicht hinreichend belegt seien. Auch hier stärkt der BGH den Betroffenen den Rücken: Diese können auf Feststellung einer Ersatzpflicht für zukünftige Schäden klagen. Im Streitfall bestünde die Möglichkeit des Eintritts künftiger Schäden . Gleichzeitig bedeutet dies, dass das Feststellungsinteresse keine Automatismus ist, sondern im Einzelfall geprüft werden muss.
Weiter sieht der BGH einen Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten und auf Unterlassung der Verwendung personenbezogener Daten. Zu große Anforderungen an die Bestimmtheit des Unterlassungsanspruchs dürfen - entgegen der Rechtsprechung einiger Instanzgerichte – nicht gestellt werden.
Auswirkungen auf Unternehmen
Für die meisten Unternehmen hat das Urteilnur indirekte Auswirkungen, sollte aber gleichwohl ernst genommen werden, denn die negativen Folgen können erheblich sein.
Das Urteil gibt vor allem professionellen Klägervertretern Aufwind. Diese werden vor allem aktiv, wenn ein Datenschutzvorfall bekannt wird, bei dem mutmaßlich eine große Zahl von Personen betroffen ist. Professionelle Klägervertreter starten dann zum Teil Werbekampagnen, um Betroffene mit teils überzogenen Versprechungen zu einer Klage zu motivieren. Mit jeder Klage verdienen sie unabhängig vom Erfolg Geld. Das BGH-Urteil kann als Anker für die Werbung genutzt werden, weil es so hingestellt werden kann, als müsste nun jedes Unternehmen sofort erhebliche Summen zahlen. Indessen hat der BGH selbst im entschiedenen Fall 100 EUR für ausreichend erachtet. Wird ein Unternehmen von einer solchen Klagewelle getroffen, kann dies dennoch schlimmstenfalls existenzbedrohend werden. Zum einen können sich auch eine Vielzahl von kleinen Forderungen zu großen Summen addieren. Zum anderen können die teils erheblichen Rechtsverteidigungskosten häufig auch bei erfolgreicher Verteidigung nicht vollständig oder gar nicht von den Klägern zurückgeholt werden.
Was Unternehmen tun können
Unternehmen brauchen gleichwohl nicht verzagen. Stattdessen lohnt es, regelmäßig die eigene Datenschutz-Compliance zu überprüfen und insbesondere bei den eigenen technischen und organisatorischen Maßnahmen (TOMs) regelmäßig zu prüfen, ob diese noch angemessen sind. Bestenfalls, sorgen gute TOMs dafür, dass es gar nicht erst zu einem Datenschutzvorfall kommt.
Kommt es gleichwohl zu einem Datenschutzvorfall, was nie auszuschließen ist, lassen sich Ansprüche mit guten TOMs abwehren: Entgegen der Rhetorik mancher Datenschutzanwälte ist nicht jeder Datenschutzvorfall automatisch ein Verstoß gegen die DSGVO. Die Artikel 24 und 32 DSGVO verlangen der Datenverarbeitung „angemessene“ Sicherheitsmaßnahmen, jedoch keine absolute Perfektion. Der EuGH hat daher bestätigt: Wer aufzeigen kann, dass die TOMs angemessen sind, haftet nicht, selbst wenn es zum Abfluss der Daten und damit dem “Kontrollverlust” kommt. Unternehmen müssen dafür dokumentieren, dass ihre TOMs dem Stand der Technik entsprechen. Diese Dokumentation sollte so vorgehalten werden, dass sie bei Eingang einer Klage, schnell zur Verfügung steht.
Gleichzeitig gilt: Wer auf Schadensersatz wegen eines Datenschutzvorfalls in Anspruch genommen wird, sollte sich schnell kompetenten anwaltlichen Rat holen. Häufig ist die Lage bei genauerer Betrachtung nicht so verheerend, wie es anfangs scheint. Insbesondere sollten aber keine vorschnellen Vergleiche geschlossen werden, weil das weitere Klagen provozieren kann.
Fazit
Der BGH hat in einer Leitentscheidung eine positive Entscheidung für Anspruchsteller getroffen. Anders als von interessierten Kreisen dargestellt, sollte die Entscheidung in ihren Auswirkungen auf die Schadensersatzpflicht von Unternehmen aber nicht überschätzt werden. Unternehmen sollten sich daher nicht verunsichern lassen und insbesondere keine unüberlegten Entscheidungen treffen, etwa unvorteilhafte Vergleiche schließen.
Gleichzeitig sollten Unternehmen Vorkehrungen treffen: Datenschutzverstöße können schnell teuer werden, weil professionelle Klägervertreter zum eigenen finanziellen Vorteil Klagewellen organisieren. Dem kann mit einer guten Datenschutz-Compliance vorgebeugt werden. Idealerweise führt diese nämlich bereits dazu, dass es gar nicht zu einem Vorfall kommt. Kommt doch ein Datenschutzvorfall vor, was nie auszuschließen ist, bietet eine gute Dokumentation der ergriffenen TOMs eine gute Verteidigungslinie, um Ansprüche im Keim zu ersticken.
