Autoren
Datum

26. November 2024

Diesen Beitrag teilen

Am 31. Oktober 2024 hat der Bundesgerichtshof (BGH) das Revisionsverfahren VI ZR 10/24 im sogenannten „Scraping“-Komplex zum Leitentscheidungsverfahren bestimmt. Diese Entscheidung zielt darauf ab, zentrale Rechtsfragen im Zusammenhang mit Datenschutzverletzungen durch das sog. Scraping bei Facebook zu klären, die für eine Vielzahl von anhängigen Verfahren in Deutschland von Bedeutung sind.

Mit Urteil vom 18.11.2024 hat der BGH seine Entscheidungsgründe veröffentlicht. Der BGH hält einen Schadenersatzanspruch in den sog. Scraping-Fällen durch „Kontrollverlust“ grundsätzlich für möglich und gibt Maßstäbe für die Schadenshöhe vor. Der nachfolgende Blogbeitrag stellt diese Rechtsauffassung dar und gibt Hinweise für die Praxis.

A. Hintergrund der Scraping-Sachverhalte

Beim sog. Scraping werden automatisiert Daten von Webseiten extrahiert, oft ohne Einwilligung der betroffenen Personen. Im vorliegenden Fall betrifft dies das soziale Netzwerk Facebook, bei dem durch die Kontakt-Import-Funktion Daten von Nutzern ohne deren ausdrückliche Einwilligung gesammelt wurden. Im April 2021 wurden dabei die Daten von 533 Millionen Nutzern aus 106 Ländern, darunter Namen, Handynummern, Wohnorte, Geschlecht und Arbeitgeber, im Internet veröffentlicht. Betroffene versuchen nun, datenschutzrechtliche Schadenersatzansprüche nach Art. 82 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) gegen den Internetkonzern gerichtlich durchzusetzen. Deutschlandweit sind bereits mehrere tausend Klagen anhängig.

B. Bisherige Einordnung der Scraping-Sachverhalte durch die deutsche Rechtsprechung

Die deutsche Rechtsprechung hatte bislang uneinheitlich auf die Scraping-Vorfälle reagiert. Einige Gerichte haben Schadenersatzansprüche abgelehnt, da sie den bloßen Kontrollverlust über persönliche Daten nicht als ausreichenden immateriellen Schaden gemäß Art. 82 DSGVO ansahen. Zudem sei der Kontrollverlust alleine nicht ausreichend. Vielmehr müssten die betroffenen Personen nachweisen, dass sie auch Ängste und Sorgen erlitten haben. So entschied beispielsweise das Oberlandesgericht Hamm in mehreren Urteilen, dass ein konkreter, hinreichend dargelegter Schaden erforderlich sei und der abstrakte Kontrollverlust allein keinen Schadenersatzanspruch begründe (OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23; Urteil vom 22. September 2023 – 7 U 77/23; Urteil vom 17. November 2023 – 7 U 71/23).

Im Gegensatz dazu haben andere Gerichte in Einzelfällen immateriellen Schadenersatz zugesprochen, da sie den Kontrollverlust und die damit verbundenen negativen Folgen als ausreichend für einen Schaden im Sinne der DSGVO erachteten (LG Freiburg, Urteil vom 15. Dezember 2023 – 8 O 121/23). Die zugesprochenen Schadenersatzansprüche variieren von 50 Euro bis zu 1.000 Euro.

Eine Übersicht über die Rechtsprechungslandschaft der Schadenersatzansprüche beim Scraping findet sich bei unserem Kollegen Leibold in der ZD-Aktuell 2024, 01769 (hier frei abrufbar).

C. Zentrale Rechtsfragen des Leitentscheidungsverfahrens

Das Leitentscheidungsverfahren am BGH klärt folgende Fragen in Bezug auf die Schadenersatznorm des Art. 82 DSGVO:

  • Verstoß gegen die DSGVO durch Voreinstellungen: Stellt die standardmäßige Voreinstellung der Kontakt-Import-Funktion auf „alle“ einen Verstoß gegen die DSGVO dar?
  • Immaterieller Schaden durch Kontrollverlust: Kann der bloße Verlust der Kontrolle über die gescrapten und mit der Mobiltelefonnummer verknüpften Daten einen immateriellen Schaden gemäß Art. 82 Abs. 1 DSGVO begründen?
  • Bemessung des Schadens: Wie ist der Schaden in solchen Fällen zu bemessen?
  • Anforderungen an die Substantiierung: Welche Anforderungen sind an die Substantiierung einer Schadenersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen?

D. Entscheidung des BGH

Mit Urteil vom 18.11.2024 hat sich der BGH zu diesen zentralen Rechtsfragen rund um die Schadenersatznorm des Art. 82 DSGVO positioniert. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

I. Voraussetzungen eines Schadenersatzanspruchs

Der BGH führt aus, dass ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO voraussetzt, dass die drei folgenden Voraussetzungen kumulativ vorliegen:

  1. Ein Verstoß gegen die DSGVO,
  2. das Vorliegen eines materiellen oder immateriellen Schadens, und
  3. einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden.

Der BGH verweist in diesem Zusammenhang auf die einschlägige Rechtsprechung des Europäischen Gerichtshofs (EuGH), der dies wiederholt klargestellt hat (vgl. EuGH, Urteile vom 4. Oktober 2024 – C-507/23, Rn. 24; vom 11. April 2024 – C-741/21, Rn. 34; vom 25. Januar 2024 – C-687/21, Rn. 58). Die Darlegungs- und Beweislast für das Vorliegen dieser drei Voraussetzungen trifft nach Auffassung des BGH die betroffene Person, die den Ersatz des Schadens geltend macht.

Dabei betont der BGH, dass die betroffene Person im Rahmen eines Schadenersatzanspruchs nach Art. 82 DSGVO nicht verpflichtet ist, ein Verschulden des Verantwortlichen nachzuweisen. Vielmehr sieht die Vorschrift eine Haftung für vermutetes Verschulden vor, wobei die Exkulpation gemäß Art. 82 Abs. 3 DSGVO dem Verantwortlichen obliegt. Der BGH stützt sich hierbei auf die Rechtsprechung des EuGH, der dies in mehreren Urteilen hervorgehoben hat (vgl. EuGH, Urteile vom 11. April 2024 – C-741/21, Rn. 44 ff.; vom 21. Dezember 2023 – C-667/21, Rn. 94).

II. Zum erforderlichen Verstoß gegen die DSGVO

Der BGH führt aus, dass ein Verstoß gegen die DSGVO revisionsrechtlich zu unterstellen ist, da das Berufungsgericht es offengelassen hat, ob insbesondere eine Verletzung von Art. 5 Abs. 1 Buchst. b, Art. 25 Abs. 2 oder Art. 32 Abs. 1 DSGVO vorliegt. Diese Frage konnte daher nicht abschließend geprüft werden.

In der rechtlichen Würdigung stellt der BGH klar, dass es im Streitfall keiner abschließenden Entscheidung bedarf, ob der Begriff des Verstoßes im Sinne von Art. 82 Abs. 1 DSGVO ausschließlich die unrechtmäßige Verarbeitung personenbezogener Daten umfasst oder auch Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb eines konkreten Verarbeitungsvorgangs haftungsbegründend sein können. Der BGH verweist darauf, dass der EuGH hierzu noch keine abschließende Klärung herbeigeführt hat (vgl. hierzu EuGH, Urteil vom 4. Mai 2023 – C-300/21, Rn. 36; ferner OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, Rn. 381 ff.).

Gleichwohl betont der BGH, dass angesichts des umfassenden Verarbeitungsbegriffs des Art. 4 Nr. 2 DSGVO (der jede Form der Nutzung personenbezogener Daten erfasst, von der Speicherung bis zur Offenlegung) im vorliegenden Fall ohne weiteres von einer Datenverarbeitung durch die Beklagte auszugehen ist. Dies gelte insbesondere im Zusammenhang mit dem Scraping-Vorfall, der die Speicherung, das Abfragen, die Offenlegung und die Verknüpfung von personenbezogenen Daten umfasst.

Der BGH weist zudem darauf hin, dass der EuGH Verstöße gegen Art. 5 bis 11 DSGVO als unrechtmäßige Verarbeitung ansieht und diese damit grundsätzlich Schadenersatzansprüche nach Art. 82 DSGVO begründen können (vgl. EuGH, Urteil vom 4. Mai 2023 – C-60/22, Rn. 54-57). Diese Ansicht gilt nach Auffassung des BGH auch für Verstöße gegen Vorschriften des 4. Kapitels der DSGVO (z. B. Art. 32 DSGVO), wie der EuGH in mehreren Urteilen ausgeführt hat (vgl. EuGH, Urteil vom 25. Januar 2024 – C-687/21, Rn. 42 f.).

III. Immaterieller Schaden und Kontrollverlust

Der Begriff des immateriellen Schadens

Der BGH stellt klar, dass der Begriff des immateriellen Schadens in Art. 82 DSGVO unionsrechtlich autonom auszulegen ist. In Ermangelung eines Verweises auf nationales Recht ist der Begriff weit auszulegen, um den Zielen der Verordnung gerecht zu werden (vgl. Erwägungsgrund 146 Satz 3 DSGVO). Ein bloßer Verstoß gegen die DSGVO genügt jedoch nicht; es muss ein tatsächlicher Schaden – materiell oder immateriell – nachgewiesen werden. Der BGH verweist auf die ständige Rechtsprechung des EuGH, wonach eine nationale Regelung, die eine Erheblichkeitsschwelle für immaterielle Schäden vorsieht, mit Art. 82 DSGVO nicht vereinbar ist (vgl. EuGH, Urteile vom 20. Juni 2024 – C-590/22, Rn. 26; vom 11. April 2024 – C-741/21, Rn. 36).

Kontrollverlust als Schaden

Der BGH folgt der EuGH-Rechtsprechung, wonach bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann. Der Kontrollverlust als solcher bedarf keiner weiteren spürbaren negativen Folgen, um einen Schaden zu begründen. Es bedarf auch keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären nach Ansicht des BGH lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Dennoch ist die betroffene Person verpflichtet, nachzuweisen, dass ein solcher Kontrollverlust tatsächlich eingetreten ist (vgl. EuGH, Urteil vom 4. Oktober 2024 – C-200/23, Rn. 145). Diese Rechtsansicht ist für den BGH so eindeutig, dass das Gericht eine Vorlage an den EuGH nicht für erforderlich erachtet (sog. acte eclaire).

Der BGH hebt zudem hervor, dass auch eine begründete Befürchtung der missbräuchlichen Verwendung personenbezogener Daten als immaterieller Schaden anerkannt werden kann, sofern diese ordnungsgemäß nachgewiesen ist. Bloße Behauptungen oder rein hypothetische Risiken genügen jedoch nicht (vgl. EuGH, Urteile vom 20. Juni 2024 – C-590/22, Rn. 36; vom 25. Januar 2024 – C-687/21, Rn. 67). Die betroffene Person müsse folglich geltend machen (und ggf. nachweisen), dass der Verstoß gegen die DSGVO negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen.

IV. Anforderungen an die Darlegung eines immateriellen Schadens

Der BGH betont, dass die betroffene Person darlegen muss, wie sie konkret durch den Verstoß betroffen ist und welche individuellen Folgen daraus resultieren. Für eine ordnungsgemäße Darlegung reicht es aus, wenn die betroffene Person „Tatsachen“ vorträgt, die in Verbindung mit einem Rechtssatz geeignet sind, das geltend gemachte Recht plausibel erscheinen zu lassen. Es genügt, dass das Gericht anhand des Vorbringens prüfen kann, ob die gesetzlichen Voraussetzungen vorliegen.

Im Fall des Scraping-Vorfalls sieht der BGH die Anforderungen an die Darlegung erfüllt. Der Kläger hat substantiiert vorgetragen, welche personenbezogenen Daten betroffen waren (z. B. Telefonnummer, Name, Nutzer-ID) und welche Folgen (z. B. Kontrollverlust, Unwohlsein, Sorge vor Missbrauch, Zeitaufwand) sich daraus ergeben haben.

Nach Ansicht des BGH schaden „standardisierte“, offenbar aus Textbausteinen zusammengesetzte Schriftsätze nicht, da der vorliegende Scraping-Vorfall für alle betroffenen Personen jedenfalls im Ausgangspunkt notwendig vergleichbare Züge trägt. Zudem reiche der Vortrag im Hinblick auf einen Kontrollverlust aus, die Daten nicht allgemein veröffentlicht zu haben. Sofern besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO von dem Kontrollverlust betroffen sind, kann sich dies nach Ansicht des BGH auf die Höhe eines etwaigen Schadenersatzanspruches auswirken.

V. Höhe des Schadenersatzes

Der BGH hat in seiner Entscheidung zudem umfassend dargelegt, wie die Höhe des Schadenersatzes nach Art. 82 DSGVO zu bemessen ist, und dabei zentrale Leitlinien im Einklang mit der Rechtsprechung des EuGH formuliert. Die rechtliche Beurteilung des BGH stützt sich dabei maßgeblich auf die Auslegung des Unionsrechts und den Grundsatz der Verfahrensautonomie, ergänzt durch spezifische Einschränkungen und Vorgaben.

Keine Regelung der Schadenshöhe in der DSGVO

Nach Auffassung des BGH enthält die DSGVO keine Bestimmung über die Bemessung des Schadenersatzes gemäß Art. 82 Abs. 1 DSGVO. Die in Art. 83 DSGVO genannten Kriterien, die auf die Verhängung von Geldbußen abzielen, können wegen ihres unterschiedlichen Zwecks nicht auf die Schadenersatzbemessung übertragen werden. Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung. In Deutschland ist dabei insbesondere die Verfahrensregel des § 287 ZPO anzuwenden.

Die nationale Verfahrensautonomie bei der Schadensbemessung unterliegt laut BGH mehreren unionsrechtlichen Einschränkungen:

Berücksichtigung des Äquivalenz- und Effektivitätsgrundsatzes

Die Modalitäten der Schadensbemessung dürfen bei unionsrechtlich geregelten Sachverhalten nicht ungünstiger sein als bei vergleichbaren innerstaatlichen Fällen (Äquivalenzgrundsatz). Zudem dürfen sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz).

Der BGH betont, dass der Schadenersatzanspruch nach Art. 82 DSGVO, wie in Erwägungsgrund 146 Satz 6 DSGVO niedergelegt, eine Ausgleichsfunktion hat. Eine Entschädigung gilt als „vollständig und wirksam“, wenn sie den aufgrund des Verstoßes konkret erlittenen Schaden vollständig ausgleicht. Eine Abschreckungs- oder Straffunktion ist dagegen ausdrücklich ausgeschlossen. Weder die Schwere des Datenschutzverstoßes noch mehrfaches oder vorsätzliches Handeln des Verantwortlichen sind für die Bemessung des Schadenersatzes relevant. Ist der Schaden gering, ist daher auch ein Schadenersatz in nur geringer Höhe zuzusprechen.

Kriterien der Bemessung

Der BGH legt klare Vorgaben für die Bemessung der Schadenersatzhöhe fest. Diese betreffen sowohl die Unter- als auch die Obergrenze des Ausgleichs, der gemäß Art. 82 Abs. 1 DSGVO zu leisten ist:

Ist der Schaden in Form eines Kontrollverlusts über personenbezogene Daten eingetreten, ohne dass weitere Schäden nachgewiesen sind, hat das Gericht bei der Schätzung des Schadens unter anderem folgende Kriterien zu berücksichtigen:

  • Sensibilität der Daten und typischerweise zweckgemäße Verwendung: Die Art der betroffenen personenbezogenen Daten (z. B. besondere Kategorien nach Art. 9 Abs. 1 DSGVO) und deren typischerweise zweckgemäße Verwendung.
  • Art des Kontrollverlusts: Ob der Datenzugriff auf einen begrenzten oder unbegrenzten Empfängerkreis beschränkt ist.
  • Dauer des Kontrollverlusts: Eine längere unkontrollierte Nutzung kann die Schadenshöhe erhöhen.
  • Möglichkeit der Wiedererlangung der Kontrolle: Hier können Faktoren wie das Löschen von Daten im Internet oder die Änderung personenbezogener Daten (z. B. Telefonnummer, Kreditkartennummer) berücksichtigt werden. Der hypothetische Aufwand für die Wiedererlangung der Kontrolle kann als Maßstab dienen (z. B. Kosten eines Rufnummernwechsels).

Der BGH hebt hervor, dass ein Schadenersatz in „einstelliger Höhe“ möglicherweise nicht mit dem Effektivitätsgrundsatz vereinbar ist. Ein Betrag von etwa 100 EUR könnte in den vorliegenden Scraping-Sachverhalten nach Ansicht des BGH hingegen als angemessen gelten.

Sollte die betroffene Person über den Kontrollverlust hinausgehende psychische Beeinträchtigungen geltend machen, die über die für jedermann typischen Unannehmlichkeiten hinausgehen, ist das Gericht gehalten, die notwendigen Feststellungen zu treffen. Pauschaler und standardisierter Sachvortrag wird hierfür nicht ausreichend sein. Vielmehr kann eine Anhörung der betroffenen Person hierfür erforderlich sein. In solchen Fällen wäre eine Entschädigung über die Summe hinauszugehen, die für den Kontrollverlust allein angemessen wäre.

Die Höhe des Ersatzes ist somit differenziert und einzelfallbezogen zu bemessen. Eine pauschale oder über den Ausgleichszweck hinausgehende Festsetzung widerspreche dem unionsrechtlichen Grundsatz der Effektivität und der spezifischen Zielsetzung von Art. 82 DSGVO.

E. Ausblick und Praxishinweise

Der BGH legt die Schadenersatznorm des Art. 82 DSGVO auf der Tatbestandsseite weit aus. Auf der Rechtsfolgenseite, insbesondere bei der Höhe des Schadenersatzes, bleibt der BGH jedoch weit hinter den Beträgen zurück, die bereits in der Vergangenheit in Scraping-Fällen von den Gerichten zugesprochen wurden. In der Praxis sind – gegenüber dem vorliegenden Fall – weniger eingriffsintensive Fälle denkbar, sodass sich künftige Schadenersatzsummen sogar unter 100 EUR einpendeln könnten.

Dennoch wird die Entscheidung des BGH in diesem Leitentscheidungsverfahren weitreichende Auswirkungen auf den Umgang mit Datenschutzverletzungen durch Scraping haben. Mit der Bestimmung zum Leitentscheidungsverfahren gemäß § 552b ZPO soll eine zügige höchstrichterliche Klärung von Rechtsfragen erreicht werden. Dies ist besonders relevant, da in der Vergangenheit Revisionen aus prozesstaktischen Gründen oder aufgrund von Vergleichen zurückgenommen wurden, was eine inhaltliche Entscheidung verhinderte. Durch das Leitentscheidungsverfahren kann der BGH nun auch dann eine Entscheidung treffen, wenn eine inhaltliche Entscheidung über die Revision aus prozessualen Gründen nicht mehr ergehen kann. Dies kann zur Rechtsvereinheitlichung beitragen. Ob das Berufungsgericht einen Anspruch aus Art. 82 Abs. 1 DSGVO dem Grunde nach bejahen wird, bleibt abzuwarten, ist aber mit an Sicherheit grenzender Wahrscheinlichkeit zu bejahen.

Das Verfahren und die Entscheidung werden daher nicht nur für die betroffenen Verfahren richtungsweisend sein, sondern auch für zukünftige Fälle eine wichtige Orientierung bieten. Das Urteil schafft für deutsche Gerichte einen neuen Maßstab für die Bemessung immaterieller Schadenersatzansprüche bei Datenschutzverstößen. Gleichzeitig bleiben den beklagten Unternehmen verschiedene Verteidigungsmöglichkeiten gegen solche Klagen erhalten. Insbesondere die noch ausstehende Klärung des Begriffs des „Kontrollverlustes“, die Verteilung der Darlegungs- und Beweislast sowie die Höhe eines möglichen Schadenersatzanspruches bieten hier wichtige Ansatzpunkte.

Zudem führt nicht jede Datenschutzverletzung zwangsläufig auch zu einem Kontrollverlust. Für die Fälle der Geltendmachung von immateriellen Schadenersatzansprüchen wegen verspäteter oder nicht erteilter Auskunft nach Art. 15 DSGVO dürfte die Entscheidung den Klägern zum Beispiel nicht weiterhelfen, da es ohne Hinzutreten weiterer Umstände bereits an einem sog. „Kontrollverlust“ über die personenbezogenen Daten fehlt, solange diese die IT-Infrastruktur des Verantwortlichen (in der Regel des Arbeitgebers) nicht verlassen haben und/oder nur einem begrenzen Empfängerkreis zugänglich war.

Durch den Hinweis des BGH auf die Höhe des Schadenersatzes wird die künftige Rechtsprechung zu beobachten sein, insbesondere wie viele betroffene Personen diesen Anspruch zukünftig gerichtlich durchsetzen werden. Die Bemessung von Schadenersatzansprüchen, wie etwa bei einem Kontrollverlust, muss vom Gericht im Detail detailliert geprüft werden. Es ist zu erwarten, dass die zugesprochenen Beträge insgesamt geringer ausfallen dürften. Zudem stellt sich für Kläger die praktische Frage, welche Anforderungen für (pauschale) Vorträge im Rahmen von Masseverfahren gelten.

Verantwortliche sind gut beraten, ihre Datenschutz-Compliance im Unternehmen so umzusetzen, dass es erst gar nicht zu möglichen Datenschutzverstößen kommt – sich aber zumindest auf ein solches Szenario vorbereiten. Auf diese Weise lassen sich Schadenersatzansprüche und kostspielige Gerichtsverfahren weitgehend vermeiden. Dazu können unter anderem folgende präventive Maßnahmen zählen:

  • Etablierung (zusätzlicher) technischer und organisatorischer Maßnahmen zur Vermeidung von „Kontrollverlusten“ bei Datenschutzvorfällen, insbesondere für besonders „anfällige“ Daten, wie z.B. Kontaktdaten oder sensitive Daten (Art. 9 Abs. 1 DSGVO);
  • Implementierung effektiver Betroffenenrechtsprozesse (insbesondere zur Erfüllung von Lösch- und Auskunftsansprüchen) sowie Vermeidung widersprüchlicher oder unvollständiger Informationen im Rahmen von Auskunftsansprüchen;
  • Prozess zum schnellen Umgang mit behördlichen Meldungen und ggf. ggü. Betroffenen (bei potenziellen Datenschutzvorfällen nach Art. 33, 34 DSGVO);
  • Aktualisierung von Datenschutzerklärungen, insbesondere zur Vorbeugung und Verteidigung gegenüber rechtsmissbräuchlichen Klagen;
  • Klare und widerspruchsfreie Kommunikationsregelungen gegenüber betroffenen Personen und Presse.

BGH: DSGVO-Schadenersatz durch Kontrollverlust bei Scraping-Vorfällen?

Am 31. Oktober 2024 hat der Bundesgerichtshof (BGH) das Revisionsverfahren VI ZR 10/24 im sogenannten „Scraping“-Komplex zum Leitentscheidungsverfahren bestimmt. Diese Entscheidung zielt darauf ab, zentrale Rechtsfragen im Zusammenhang mit Datenschutzverletzungen durch das sog. Scraping bei Facebook zu klären, die für eine Vielzahl von anhängigen Verfahren in Deutschland von Bedeutung sind.

Mit Urteil vom 18.11.2024 hat der BGH seine Entscheidungsgründe veröffentlicht. Der BGH hält einen Schadenersatzanspruch in den sog. Scraping-Fällen durch „Kontrollverlust“ grundsätzlich für möglich und gibt Maßstäbe für die Schadenshöhe vor. Der nachfolgende Blogbeitrag stellt diese Rechtsauffassung dar und gibt Hinweise für die Praxis.

A. Hintergrund der Scraping-Sachverhalte

Beim sog. Scraping werden automatisiert Daten von Webseiten extrahiert, oft ohne Einwilligung der betroffenen Personen. Im vorliegenden Fall betrifft dies das soziale Netzwerk Facebook, bei dem durch die Kontakt-Import-Funktion Daten von Nutzern ohne deren ausdrückliche Einwilligung gesammelt wurden. Im April 2021 wurden dabei die Daten von 533 Millionen Nutzern aus 106 Ländern, darunter Namen, Handynummern, Wohnorte, Geschlecht und Arbeitgeber, im Internet veröffentlicht. Betroffene versuchen nun, datenschutzrechtliche Schadenersatzansprüche nach Art. 82 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) gegen den Internetkonzern gerichtlich durchzusetzen. Deutschlandweit sind bereits mehrere tausend Klagen anhängig.

B. Bisherige Einordnung der Scraping-Sachverhalte durch die deutsche Rechtsprechung

Die deutsche Rechtsprechung hatte bislang uneinheitlich auf die Scraping-Vorfälle reagiert. Einige Gerichte haben Schadenersatzansprüche abgelehnt, da sie den bloßen Kontrollverlust über persönliche Daten nicht als ausreichenden immateriellen Schaden gemäß Art. 82 DSGVO ansahen. Zudem sei der Kontrollverlust alleine nicht ausreichend. Vielmehr müssten die betroffenen Personen nachweisen, dass sie auch Ängste und Sorgen erlitten haben. So entschied beispielsweise das Oberlandesgericht Hamm in mehreren Urteilen, dass ein konkreter, hinreichend dargelegter Schaden erforderlich sei und der abstrakte Kontrollverlust allein keinen Schadenersatzanspruch begründe (OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23; Urteil vom 22. September 2023 – 7 U 77/23; Urteil vom 17. November 2023 – 7 U 71/23).

Im Gegensatz dazu haben andere Gerichte in Einzelfällen immateriellen Schadenersatz zugesprochen, da sie den Kontrollverlust und die damit verbundenen negativen Folgen als ausreichend für einen Schaden im Sinne der DSGVO erachteten (LG Freiburg, Urteil vom 15. Dezember 2023 – 8 O 121/23). Die zugesprochenen Schadenersatzansprüche variieren von 50 Euro bis zu 1.000 Euro.

Eine Übersicht über die Rechtsprechungslandschaft der Schadenersatzansprüche beim Scraping findet sich bei unserem Kollegen Leibold in der ZD-Aktuell 2024, 01769 (hier frei abrufbar).

C. Zentrale Rechtsfragen des Leitentscheidungsverfahrens

Das Leitentscheidungsverfahren am BGH klärt folgende Fragen in Bezug auf die Schadenersatznorm des Art. 82 DSGVO:

  • Verstoß gegen die DSGVO durch Voreinstellungen: Stellt die standardmäßige Voreinstellung der Kontakt-Import-Funktion auf „alle“ einen Verstoß gegen die DSGVO dar?
  • Immaterieller Schaden durch Kontrollverlust: Kann der bloße Verlust der Kontrolle über die gescrapten und mit der Mobiltelefonnummer verknüpften Daten einen immateriellen Schaden gemäß Art. 82 Abs. 1 DSGVO begründen?
  • Bemessung des Schadens: Wie ist der Schaden in solchen Fällen zu bemessen?
  • Anforderungen an die Substantiierung: Welche Anforderungen sind an die Substantiierung einer Schadenersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen?

D. Entscheidung des BGH

Mit Urteil vom 18.11.2024 hat sich der BGH zu diesen zentralen Rechtsfragen rund um die Schadenersatznorm des Art. 82 DSGVO positioniert. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

I. Voraussetzungen eines Schadenersatzanspruchs

Der BGH führt aus, dass ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO voraussetzt, dass die drei folgenden Voraussetzungen kumulativ vorliegen:

  1. Ein Verstoß gegen die DSGVO,
  2. das Vorliegen eines materiellen oder immateriellen Schadens, und
  3. einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden.

Der BGH verweist in diesem Zusammenhang auf die einschlägige Rechtsprechung des Europäischen Gerichtshofs (EuGH), der dies wiederholt klargestellt hat (vgl. EuGH, Urteile vom 4. Oktober 2024 – C-507/23, Rn. 24; vom 11. April 2024 – C-741/21, Rn. 34; vom 25. Januar 2024 – C-687/21, Rn. 58). Die Darlegungs- und Beweislast für das Vorliegen dieser drei Voraussetzungen trifft nach Auffassung des BGH die betroffene Person, die den Ersatz des Schadens geltend macht.

Dabei betont der BGH, dass die betroffene Person im Rahmen eines Schadenersatzanspruchs nach Art. 82 DSGVO nicht verpflichtet ist, ein Verschulden des Verantwortlichen nachzuweisen. Vielmehr sieht die Vorschrift eine Haftung für vermutetes Verschulden vor, wobei die Exkulpation gemäß Art. 82 Abs. 3 DSGVO dem Verantwortlichen obliegt. Der BGH stützt sich hierbei auf die Rechtsprechung des EuGH, der dies in mehreren Urteilen hervorgehoben hat (vgl. EuGH, Urteile vom 11. April 2024 – C-741/21, Rn. 44 ff.; vom 21. Dezember 2023 – C-667/21, Rn. 94).

II. Zum erforderlichen Verstoß gegen die DSGVO

Der BGH führt aus, dass ein Verstoß gegen die DSGVO revisionsrechtlich zu unterstellen ist, da das Berufungsgericht es offengelassen hat, ob insbesondere eine Verletzung von Art. 5 Abs. 1 Buchst. b, Art. 25 Abs. 2 oder Art. 32 Abs. 1 DSGVO vorliegt. Diese Frage konnte daher nicht abschließend geprüft werden.

In der rechtlichen Würdigung stellt der BGH klar, dass es im Streitfall keiner abschließenden Entscheidung bedarf, ob der Begriff des Verstoßes im Sinne von Art. 82 Abs. 1 DSGVO ausschließlich die unrechtmäßige Verarbeitung personenbezogener Daten umfasst oder auch Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb eines konkreten Verarbeitungsvorgangs haftungsbegründend sein können. Der BGH verweist darauf, dass der EuGH hierzu noch keine abschließende Klärung herbeigeführt hat (vgl. hierzu EuGH, Urteil vom 4. Mai 2023 – C-300/21, Rn. 36; ferner OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, Rn. 381 ff.).

Gleichwohl betont der BGH, dass angesichts des umfassenden Verarbeitungsbegriffs des Art. 4 Nr. 2 DSGVO (der jede Form der Nutzung personenbezogener Daten erfasst, von der Speicherung bis zur Offenlegung) im vorliegenden Fall ohne weiteres von einer Datenverarbeitung durch die Beklagte auszugehen ist. Dies gelte insbesondere im Zusammenhang mit dem Scraping-Vorfall, der die Speicherung, das Abfragen, die Offenlegung und die Verknüpfung von personenbezogenen Daten umfasst.

Der BGH weist zudem darauf hin, dass der EuGH Verstöße gegen Art. 5 bis 11 DSGVO als unrechtmäßige Verarbeitung ansieht und diese damit grundsätzlich Schadenersatzansprüche nach Art. 82 DSGVO begründen können (vgl. EuGH, Urteil vom 4. Mai 2023 – C-60/22, Rn. 54-57). Diese Ansicht gilt nach Auffassung des BGH auch für Verstöße gegen Vorschriften des 4. Kapitels der DSGVO (z. B. Art. 32 DSGVO), wie der EuGH in mehreren Urteilen ausgeführt hat (vgl. EuGH, Urteil vom 25. Januar 2024 – C-687/21, Rn. 42 f.).

III. Immaterieller Schaden und Kontrollverlust

Der Begriff des immateriellen Schadens

Der BGH stellt klar, dass der Begriff des immateriellen Schadens in Art. 82 DSGVO unionsrechtlich autonom auszulegen ist. In Ermangelung eines Verweises auf nationales Recht ist der Begriff weit auszulegen, um den Zielen der Verordnung gerecht zu werden (vgl. Erwägungsgrund 146 Satz 3 DSGVO). Ein bloßer Verstoß gegen die DSGVO genügt jedoch nicht; es muss ein tatsächlicher Schaden – materiell oder immateriell – nachgewiesen werden. Der BGH verweist auf die ständige Rechtsprechung des EuGH, wonach eine nationale Regelung, die eine Erheblichkeitsschwelle für immaterielle Schäden vorsieht, mit Art. 82 DSGVO nicht vereinbar ist (vgl. EuGH, Urteile vom 20. Juni 2024 – C-590/22, Rn. 26; vom 11. April 2024 – C-741/21, Rn. 36).

Kontrollverlust als Schaden

Der BGH folgt der EuGH-Rechtsprechung, wonach bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann. Der Kontrollverlust als solcher bedarf keiner weiteren spürbaren negativen Folgen, um einen Schaden zu begründen. Es bedarf auch keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären nach Ansicht des BGH lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Dennoch ist die betroffene Person verpflichtet, nachzuweisen, dass ein solcher Kontrollverlust tatsächlich eingetreten ist (vgl. EuGH, Urteil vom 4. Oktober 2024 – C-200/23, Rn. 145). Diese Rechtsansicht ist für den BGH so eindeutig, dass das Gericht eine Vorlage an den EuGH nicht für erforderlich erachtet (sog. acte eclaire).

Der BGH hebt zudem hervor, dass auch eine begründete Befürchtung der missbräuchlichen Verwendung personenbezogener Daten als immaterieller Schaden anerkannt werden kann, sofern diese ordnungsgemäß nachgewiesen ist. Bloße Behauptungen oder rein hypothetische Risiken genügen jedoch nicht (vgl. EuGH, Urteile vom 20. Juni 2024 – C-590/22, Rn. 36; vom 25. Januar 2024 – C-687/21, Rn. 67). Die betroffene Person müsse folglich geltend machen (und ggf. nachweisen), dass der Verstoß gegen die DSGVO negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen.

IV. Anforderungen an die Darlegung eines immateriellen Schadens

Der BGH betont, dass die betroffene Person darlegen muss, wie sie konkret durch den Verstoß betroffen ist und welche individuellen Folgen daraus resultieren. Für eine ordnungsgemäße Darlegung reicht es aus, wenn die betroffene Person „Tatsachen“ vorträgt, die in Verbindung mit einem Rechtssatz geeignet sind, das geltend gemachte Recht plausibel erscheinen zu lassen. Es genügt, dass das Gericht anhand des Vorbringens prüfen kann, ob die gesetzlichen Voraussetzungen vorliegen.

Im Fall des Scraping-Vorfalls sieht der BGH die Anforderungen an die Darlegung erfüllt. Der Kläger hat substantiiert vorgetragen, welche personenbezogenen Daten betroffen waren (z. B. Telefonnummer, Name, Nutzer-ID) und welche Folgen (z. B. Kontrollverlust, Unwohlsein, Sorge vor Missbrauch, Zeitaufwand) sich daraus ergeben haben.

Nach Ansicht des BGH schaden „standardisierte“, offenbar aus Textbausteinen zusammengesetzte Schriftsätze nicht, da der vorliegende Scraping-Vorfall für alle betroffenen Personen jedenfalls im Ausgangspunkt notwendig vergleichbare Züge trägt. Zudem reiche der Vortrag im Hinblick auf einen Kontrollverlust aus, die Daten nicht allgemein veröffentlicht zu haben. Sofern besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO von dem Kontrollverlust betroffen sind, kann sich dies nach Ansicht des BGH auf die Höhe eines etwaigen Schadenersatzanspruches auswirken.

V. Höhe des Schadenersatzes

Der BGH hat in seiner Entscheidung zudem umfassend dargelegt, wie die Höhe des Schadenersatzes nach Art. 82 DSGVO zu bemessen ist, und dabei zentrale Leitlinien im Einklang mit der Rechtsprechung des EuGH formuliert. Die rechtliche Beurteilung des BGH stützt sich dabei maßgeblich auf die Auslegung des Unionsrechts und den Grundsatz der Verfahrensautonomie, ergänzt durch spezifische Einschränkungen und Vorgaben.

Keine Regelung der Schadenshöhe in der DSGVO

Nach Auffassung des BGH enthält die DSGVO keine Bestimmung über die Bemessung des Schadenersatzes gemäß Art. 82 Abs. 1 DSGVO. Die in Art. 83 DSGVO genannten Kriterien, die auf die Verhängung von Geldbußen abzielen, können wegen ihres unterschiedlichen Zwecks nicht auf die Schadenersatzbemessung übertragen werden. Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung. In Deutschland ist dabei insbesondere die Verfahrensregel des § 287 ZPO anzuwenden.

Die nationale Verfahrensautonomie bei der Schadensbemessung unterliegt laut BGH mehreren unionsrechtlichen Einschränkungen:

Berücksichtigung des Äquivalenz- und Effektivitätsgrundsatzes

Die Modalitäten der Schadensbemessung dürfen bei unionsrechtlich geregelten Sachverhalten nicht ungünstiger sein als bei vergleichbaren innerstaatlichen Fällen (Äquivalenzgrundsatz). Zudem dürfen sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz).

Der BGH betont, dass der Schadenersatzanspruch nach Art. 82 DSGVO, wie in Erwägungsgrund 146 Satz 6 DSGVO niedergelegt, eine Ausgleichsfunktion hat. Eine Entschädigung gilt als „vollständig und wirksam“, wenn sie den aufgrund des Verstoßes konkret erlittenen Schaden vollständig ausgleicht. Eine Abschreckungs- oder Straffunktion ist dagegen ausdrücklich ausgeschlossen. Weder die Schwere des Datenschutzverstoßes noch mehrfaches oder vorsätzliches Handeln des Verantwortlichen sind für die Bemessung des Schadenersatzes relevant. Ist der Schaden gering, ist daher auch ein Schadenersatz in nur geringer Höhe zuzusprechen.

Kriterien der Bemessung

Der BGH legt klare Vorgaben für die Bemessung der Schadenersatzhöhe fest. Diese betreffen sowohl die Unter- als auch die Obergrenze des Ausgleichs, der gemäß Art. 82 Abs. 1 DSGVO zu leisten ist:

Ist der Schaden in Form eines Kontrollverlusts über personenbezogene Daten eingetreten, ohne dass weitere Schäden nachgewiesen sind, hat das Gericht bei der Schätzung des Schadens unter anderem folgende Kriterien zu berücksichtigen:

  • Sensibilität der Daten und typischerweise zweckgemäße Verwendung: Die Art der betroffenen personenbezogenen Daten (z. B. besondere Kategorien nach Art. 9 Abs. 1 DSGVO) und deren typischerweise zweckgemäße Verwendung.
  • Art des Kontrollverlusts: Ob der Datenzugriff auf einen begrenzten oder unbegrenzten Empfängerkreis beschränkt ist.
  • Dauer des Kontrollverlusts: Eine längere unkontrollierte Nutzung kann die Schadenshöhe erhöhen.
  • Möglichkeit der Wiedererlangung der Kontrolle: Hier können Faktoren wie das Löschen von Daten im Internet oder die Änderung personenbezogener Daten (z. B. Telefonnummer, Kreditkartennummer) berücksichtigt werden. Der hypothetische Aufwand für die Wiedererlangung der Kontrolle kann als Maßstab dienen (z. B. Kosten eines Rufnummernwechsels).

Der BGH hebt hervor, dass ein Schadenersatz in „einstelliger Höhe“ möglicherweise nicht mit dem Effektivitätsgrundsatz vereinbar ist. Ein Betrag von etwa 100 EUR könnte in den vorliegenden Scraping-Sachverhalten nach Ansicht des BGH hingegen als angemessen gelten.

Sollte die betroffene Person über den Kontrollverlust hinausgehende psychische Beeinträchtigungen geltend machen, die über die für jedermann typischen Unannehmlichkeiten hinausgehen, ist das Gericht gehalten, die notwendigen Feststellungen zu treffen. Pauschaler und standardisierter Sachvortrag wird hierfür nicht ausreichend sein. Vielmehr kann eine Anhörung der betroffenen Person hierfür erforderlich sein. In solchen Fällen wäre eine Entschädigung über die Summe hinauszugehen, die für den Kontrollverlust allein angemessen wäre.

Die Höhe des Ersatzes ist somit differenziert und einzelfallbezogen zu bemessen. Eine pauschale oder über den Ausgleichszweck hinausgehende Festsetzung widerspreche dem unionsrechtlichen Grundsatz der Effektivität und der spezifischen Zielsetzung von Art. 82 DSGVO.

E. Ausblick und Praxishinweise

Der BGH legt die Schadenersatznorm des Art. 82 DSGVO auf der Tatbestandsseite weit aus. Auf der Rechtsfolgenseite, insbesondere bei der Höhe des Schadenersatzes, bleibt der BGH jedoch weit hinter den Beträgen zurück, die bereits in der Vergangenheit in Scraping-Fällen von den Gerichten zugesprochen wurden. In der Praxis sind – gegenüber dem vorliegenden Fall – weniger eingriffsintensive Fälle denkbar, sodass sich künftige Schadenersatzsummen sogar unter 100 EUR einpendeln könnten.

Dennoch wird die Entscheidung des BGH in diesem Leitentscheidungsverfahren weitreichende Auswirkungen auf den Umgang mit Datenschutzverletzungen durch Scraping haben. Mit der Bestimmung zum Leitentscheidungsverfahren gemäß § 552b ZPO soll eine zügige höchstrichterliche Klärung von Rechtsfragen erreicht werden. Dies ist besonders relevant, da in der Vergangenheit Revisionen aus prozesstaktischen Gründen oder aufgrund von Vergleichen zurückgenommen wurden, was eine inhaltliche Entscheidung verhinderte. Durch das Leitentscheidungsverfahren kann der BGH nun auch dann eine Entscheidung treffen, wenn eine inhaltliche Entscheidung über die Revision aus prozessualen Gründen nicht mehr ergehen kann. Dies kann zur Rechtsvereinheitlichung beitragen. Ob das Berufungsgericht einen Anspruch aus Art. 82 Abs. 1 DSGVO dem Grunde nach bejahen wird, bleibt abzuwarten, ist aber mit an Sicherheit grenzender Wahrscheinlichkeit zu bejahen.

Das Verfahren und die Entscheidung werden daher nicht nur für die betroffenen Verfahren richtungsweisend sein, sondern auch für zukünftige Fälle eine wichtige Orientierung bieten. Das Urteil schafft für deutsche Gerichte einen neuen Maßstab für die Bemessung immaterieller Schadenersatzansprüche bei Datenschutzverstößen. Gleichzeitig bleiben den beklagten Unternehmen verschiedene Verteidigungsmöglichkeiten gegen solche Klagen erhalten. Insbesondere die noch ausstehende Klärung des Begriffs des „Kontrollverlustes“, die Verteilung der Darlegungs- und Beweislast sowie die Höhe eines möglichen Schadenersatzanspruches bieten hier wichtige Ansatzpunkte.

Zudem führt nicht jede Datenschutzverletzung zwangsläufig auch zu einem Kontrollverlust. Für die Fälle der Geltendmachung von immateriellen Schadenersatzansprüchen wegen verspäteter oder nicht erteilter Auskunft nach Art. 15 DSGVO dürfte die Entscheidung den Klägern zum Beispiel nicht weiterhelfen, da es ohne Hinzutreten weiterer Umstände bereits an einem sog. „Kontrollverlust“ über die personenbezogenen Daten fehlt, solange diese die IT-Infrastruktur des Verantwortlichen (in der Regel des Arbeitgebers) nicht verlassen haben und/oder nur einem begrenzen Empfängerkreis zugänglich war.

Durch den Hinweis des BGH auf die Höhe des Schadenersatzes wird die künftige Rechtsprechung zu beobachten sein, insbesondere wie viele betroffene Personen diesen Anspruch zukünftig gerichtlich durchsetzen werden. Die Bemessung von Schadenersatzansprüchen, wie etwa bei einem Kontrollverlust, muss vom Gericht im Detail detailliert geprüft werden. Es ist zu erwarten, dass die zugesprochenen Beträge insgesamt geringer ausfallen dürften. Zudem stellt sich für Kläger die praktische Frage, welche Anforderungen für (pauschale) Vorträge im Rahmen von Masseverfahren gelten.

Verantwortliche sind gut beraten, ihre Datenschutz-Compliance im Unternehmen so umzusetzen, dass es erst gar nicht zu möglichen Datenschutzverstößen kommt – sich aber zumindest auf ein solches Szenario vorbereiten. Auf diese Weise lassen sich Schadenersatzansprüche und kostspielige Gerichtsverfahren weitgehend vermeiden. Dazu können unter anderem folgende präventive Maßnahmen zählen:

  • Etablierung (zusätzlicher) technischer und organisatorischer Maßnahmen zur Vermeidung von „Kontrollverlusten“ bei Datenschutzvorfällen, insbesondere für besonders „anfällige“ Daten, wie z.B. Kontaktdaten oder sensitive Daten (Art. 9 Abs. 1 DSGVO);
  • Implementierung effektiver Betroffenenrechtsprozesse (insbesondere zur Erfüllung von Lösch- und Auskunftsansprüchen) sowie Vermeidung widersprüchlicher oder unvollständiger Informationen im Rahmen von Auskunftsansprüchen;
  • Prozess zum schnellen Umgang mit behördlichen Meldungen und ggf. ggü. Betroffenen (bei potenziellen Datenschutzvorfällen nach Art. 33, 34 DSGVO);
  • Aktualisierung von Datenschutzerklärungen, insbesondere zur Vorbeugung und Verteidigung gegenüber rechtsmissbräuchlichen Klagen;
  • Klare und widerspruchsfreie Kommunikationsregelungen gegenüber betroffenen Personen und Presse.
Footer Mood

Bitte warten...