Sofortkontakt zur Kanzlei
 

Data-Scraping Immaterieller Schadensersatz bei Datendiebstahl

In einer aktuellen Entscheidung senkt der BGH die Hürden für DSGVO-Schadenersatzforderungen von Social-Media-Nutzern, die vom sog. Scraping betroffen sind.

Sachverhalt

Im April 2021 hatten Unbekannte Daten von 533 Millionen Facebook-Nutzern im Internet veröffentlicht. Die Täter hatten eine Funktion im sozialen Netzwerk (Freunde-Suche oder „Kontakt-Tool“) genutzt und sich so die Daten verschafft (sog. Scraping). Nach Ansicht des Bundesgerichtshofs hatte eine Voreinstellung des Facebook-Konzerns Meta nicht dem Grundsatz der Datenminimierung entsprochen, nach dem sich Datenverarbeitung auf das „absolut Notwendige beschränken“ muss. Dagegen bestreitet Meta jeden Verstoß gegen den Datenschutz.

Vorgehen gegen Datendiebstahl

Gemäß § 82 DSGVO hat jede betroffene Person das Recht auf Ersatz sowohl materieller als auch immaterieller Schäden, die durch einen Verstoß gegen die DSGVO verursacht wurden. Ziel dieser Regelung ist es, den Datenschutz als Grundrecht durchzusetzen und Betroffenen eine wirksame Rechtsdurchsetzung zu ermöglichen.

Die Schadenersatzklagen betroffener Nutzer sind zunächst jedoch überwiegend abgewiesen worden. Das hatte vor allem folgende Gründe:

  1. Immaterieller Schaden: Die Anerkennung und Bewertung von immateriellen Schäden, wie emotionalem Stress oder Kontrollverlust über Daten, ist in der Rechtsprechung umstritten. Deutsche Gerichte legen oft strenge Maßstäbe an und verlangen eine gewisse Erheblichkeit des Schadens.
  2. Beweislast: Die betroffene Person muss den Schaden, den Verstoß und die Kausalität nachweisen. Dies ist häufig mit erheblichen Hürden verbunden.

Zudem existieren keine festen Standards für die Bemessung der Höhe des Schadensersatzes. Gerichtsurteile zeigen eine große Bandbreite, was zu Rechtsunsicherheit führt.

Grundsatzentscheidung des EuGH

Dies wurde jedoch etwas erleichtert durch eine Grundsatzentscheidung des Der Europäischen Gerichtshofs (EuGH) vom 4. Mai 2023 ((C-300/21 ).

Zunächst stellte der EuGH fest, dass für die Geltendmachung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO kein Mindestschaden nachgewiesen werden muss. Selbst geringfügige Beeinträchtigungen können als Schaden anerkannt werden, sofern sie im Zusammenhang mit einem Verstoß stehen. Zudem umfasse der Begriff des Schadens sowohl materielle als auch immaterielle Schäden. Immaterielle Schäden, wie z. B. Ärger, emotionaler Stress oder Kontrollverlust über personenbezogene Daten, können Schadensersatzansprüche begründen.

Jedoch betonte der EuGH auch, dass ein Verstoß gegen die DSGVO allein nicht automatisch einen Anspruch auf Schadensersatz auslöst. Es muss ein tatsächlicher Schaden vorliegen, der durch den Verstoß verursacht wurde. Dies schützt vor übermäßigen oder pauschalen Klagen. Zudem muss zwischen dem Verstoß gegen die DSGVO und dem geltend gemachten Schaden ein ursächlicher Zusammenhang bestehen. Dieser Kausalitätsnachweis liegt weiterhin beim Kläger.

Entscheidung des BGH

Im Anschluss an die Rechtsprechung des EuGH hat der BGH die Hürden für den Anspruch auf Schadenersatz noch ein wenig weiter gesenkt. Facebook-Nutzer müssten nur nachweisen, dass sie überhaupt vom so genannten Web-Scraping betroffen waren, entschieden die Bundesrichter.

Demnach kann bereits ein bloß vorübergehender Kontrollverlust über eigene personenbezogene Daten einen immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

Allerdings geht es beim Schadenersatz um eher kleine Beträge, ca. 100 Euro pro Nutzer lautet der Vorschlag des Bundesgerichtshofs. Mehr wird wohl nur in Einzelfällen herausspringen, in denen eine „erhebliche Beeinträchtigung“ der Facebook-Nutzer bejaht wird. 

Quelle: BGH Beschluss vom 31. Oktober 2024 - VI ZR 10/24


Ein Fachbeitrag aus dem DIRO-Netzwerk

Beitrag veröffentlicht am
2. Dezember 2024

Diesen Beitrag teilen