Der Bundesgerichtshof hat im Rahmen eines Leitentscheidungsverfahren zu den Voraussetzungen des immateriellen Schadensersatzes nach der DSGVO entschieden.

Der Bundesgerichtshof (BGH) hat bereits am 11.11.2024 über eine Klage im sog. Facebook-Datenleck verhandelt (Az. VI ZR 10/24) und nunmehr, heute am 18.11.2024 seine Entscheidung verkündet.

Am Montag, den 18.11.2024 um 14:00 Uhr verkündete der Bundesgerichtshof (BGH) nunmehr sein Urteil.

Die BGH hat für die Verbraucher geurteilt, das bedeutet einen großen Sieg für die Verbraucher und den Datenschutz:

Er sagt ganz klar, dass bereits der faktische Kontrollverlust über personenbezogene Daten ausreicht, um einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) zu begründen.

Nunmehr besteht nicht nur für die Verbraucher Klarheit, sondern auch für die Deutschen Gerichte. Zwar hatten deutsche Gerichte die Feststellungen der Rechtsprechung des EuGH, dennoch taten sich die Gerichte schwer, Schadensersatzansprüche wegen des Kontrollverlustes der Daten und auch in angemessener Höhe zuzusprechen.

In mehreren Urteilen, bspw. vom 20. Juni 2024 – Az. Rs C-590/22 und Rs C-182/22 und Rs C-189/22 hat der EuGH die Verbraucherrechte gestärkt und seine bisherige Rechtsprechung aus den Urteilen vom 04.05.2023 (Az.C-300/21), 14.12.2023 (Az. C-456/22) und vom 11.04.2024 (Az. C‑741/21) fortgesetzt.

Lesen Sie hierzu unsere Beiträge – EuGH vom 04.05.2023 undEuGH vom 11.04.2024.

Kurz und knapp – Feststellungen des BGH

  • der faktische Kontrollverlust über personenbezogene Daten ausreicht, um einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) zu begründen,
  • über den Kontrollverlust hinaus gehende Befürchtungen müssen nicht nachgewiesen werden – bei Nachweis erhöht das den Schadensersatz,
  • Haftung nicht nur für eingetretene Schäden, sondern auch für potenzielle Schäden, die erst in der Zukunft auftreten können,
  • Befürchtung, Datenmissbrauch könnte erfolgen, reicht aus.

Was ist ein Leitentscheidungsverfahren

Das neue Instrument ermöglicht dem BGH, Leitentscheidungen per Beschluss zu fällen, die den Instanzgerichten als Orientierungshilfe dienen können. Das Leitentscheidungsverfahren kommt dann in Betracht, wenn es sich um eine Masse an Zivilklagen mit deckungsgleichen Inhalten handelt.

Das Leitentscheidungsverfahren führt zu einer einheitlichen bundesweiten Rechtsprechung, sodass mehr Rechtssicherheit herrscht.

Anlass der Vorabentscheidungsverfahren

Anlass war ein sog. Leitentscheidungsverfahren vor dem BGH – Az. VI ZR 10/24 – und wirft nachfolgende Rechtsfragen auf,

ob in der von der Beklagten bei Implementierung der sog. Kontakt-Import-Funktion vorgenommenen Standardvoreinstellung auf „alle“ ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO liegt,

ob der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des jeweiligen Betroffenen verknüpften Daten geeignet ist, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen,

  • wie in einem solchen Fall der Schaden zu bemessen wäre,
  • welche Anforderungen an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen sind,
  • ob die bloße Möglichkeit des Eintritts künftiger Schäden ausreicht, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen,
  • ob die vom Kläger gestellten Unterlassungsanträge dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO genügen.

Diese Rechtsfragen sind für eine Vielzahl beim Bundesgerichtshof und in den Tatsacheninstanzen anhängiger, in wesentlichen Teilen gleichgearteter Verfahren von Bedeutung.

Diese Verfahren können nunmehr grundsätzlich bis zur Erledigung des Leitentscheidungsverfahrens ausgesetzt werden.

Problem – Kontrollverlust der Daten als Schaden

Zentrale Frage in Verbindung der Schadensersatzansprüche nach Art. 82 DSGVO ist, ob der reine Kontrollverlust über personenbezogene Daten bereits für sich genommen einen Schaden darstellt und wie der Nachweis zu erbringen ist. Reicht ein Unwohlsein aus?

Trotz der zahlreichen Urteile des Europäischen Gerichtshofes (EuGH) tun sich deutsche Gericht schwer den Betroffenen Schadensersatz nach der DSGVO, bspw. in Fällen der unrechtmäßigen Datenübermittlung von Mobilfunkanbietern an die SCHUFA oder Datenlecks wie bei Facebook (nunmehr Meta) und anderen vergleichbaren Fällen, zuzusprechen.

Deutsche Gerichte haben bisher zahlreiche Fehlurteile gefällt. Zentrales Problem war immer, dass die Gerichte von den Betroffenen der Verstöße gegen die DSGVO verlangten einen konkreten Nachweis über die Folgen, den Schaden beizubringen.

Es werden immer unverhältnismäßig hohe Anforderungen an den Schaden, den ein Verbraucher darlegen muss, gestellt – so auch das OLG Köln, Vorinstanz das LG Bonn – OLG Köln v. 7.12.2023 – Az. 15 U 67/23.

So argumentieren die Gerichte, dass allein der Kontrollverlust über die eigenen Daten nicht ausreiche, um einen Schadensersatzanspruch zu begründen.

Die Verbraucher als Betroffene müssen darüberhinausgehende Auswirkungen auf die Person oder die eigenen, wie etwa begründete Befürchtungen oder Ängste vor Missbrauch, beibringen und nachweisen.

Selbst diese Auswirkungen müssten objektiv feststellbar sein – pauschale Behauptungen reichen nicht aus.

Die deutschen Gerichte konterkarieren damit direkt die verbraucherfreundliche EuGH-Rechtsprechung sowie die Vorgaben der DSGVO selbst.

Der Bundesgerichtshof setzt nun mit seiner Entscheidung die Vorgaben und Feststellung des EuGH aus den nunmehr zahlreichen Entscheidungen um.

Das bedeutet, dass nun das höchste deutsche Zivilgericht anerkennt, dass der bloße Kontrollverlust über die personenbezogenen Daten einen Schadensersatzanspruch nach Art. 82 DSGVO begründet und sowohl Ängste und Befürchtungen ausreichen. Dies steht so im Erwägungsgrund 85 zur DSGVO.

Verfahren vor dem Bundesgerichtshof

Ausgangsfall des Verfahrens vor dem Bundesgerichtshof war das Datenleck von Facebook aus dem Jahr 2021.

Der Kläger, ein Facebook-Nutzer, war damit konfrontiert, dass seine Daten im April 2021 im sog. Darknet veröffentlich wurden.

Hintergrund war, dass er auf seinem Facebook-Profil die Einstellung so belassen hatte, dass seine Telefonnummer nur für ihn sichtbar war. Bei den Such-Einstellungen war allgemein eingestellt und nicht begrenzt war. Dies hatte zur Folge, dass jeder der seine Telefonnummer, egal aus welchen Gründen, hatte, auch sein Profil auf Facebook hätte finden können.

Hacker nutzten die sog. Kontakt-Import-Funktion Facebooks und gelangten so an die Daten des Klägers, wie dessen Telefonnummer, E-Mail-Adresse, den vollständigen Namen und evtl. die Bezeichnung der Arbeitsstätte.

Das Facebook-Datenleck hatte zur Folge, dass die Daten von 533 Millionen Nutzern weltweit, davon 6 Millionen in Deutschland, darunter E-Mail-Adresse, Geburtsdaten, Anschriften oder auch der Beziehungsstatus veröffentlicht wurden.

Die Urteilsbegründung des Bundesgerichtshofes liegt zum jetzigen Zeitpunkt leider noch nicht vor. In der Presseerklärung heißt es jedoch wie folgt:

Nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden im Sinne der Norm sein. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

Zudem stellte der BGH klar, dass die Umstände und die Höhe des Schadensersatzanspruches im freien Ermessen des Gerichts bzw. des Tatrichters nach § 287 ZPO (Zivilprozessordnung) steht. Auch hat das erstinstanzliche Gericht die Frage einer wirksamen Einwilligung des Klägers in die Datenverarbeitung durch die Beklagte, durch Facebook, zu prüfen.

Dies ist sehr entscheidend, weil bspw. Facebook Voreinstellung der Suchbarkeitseinstellung auf „alle“ vorgenommen hat und hierfür der Kläger nicht eingewilligt hatte.

Auch in den Fällen der unrechtmäßigen Datenübermittlung der Mobilfunkanbieter an die SCHUFA argumentieren die Mobilfunkanbieter stets, dass eine Einwilligung des Betroffen durch de Vertragsschluss vorlag und die Datenübermittlung dahingehend gerechtfertigt sei, weil die Interessen der Mobilfunkanbieter zur Betrugsbekämpfung den Interessen der Betroffenen auf Schutz Ihrer Daten überwiege.

Nach der nunmehr höchstrichterlichen Rechtsprechung sind die vorgenannten Argumente von Facebook und der Mobilfunkanbieter haltlos.

Auswirkungen des Urteils des Bundesgerichthofes

Der Vorsitzende Richter am Bundesgerichtshof betonte:

„Ich hätte ein Problem damit, wenn mein Name und meine Telefonnummer im Internet zu finden wären.“

Durch das Urteil des Bundesgerichtshofes haben sowohl Verbraucher als auch die deutschen Instanzgerichte Klarheit. Der Bundesgerichtshof setzt die Vorgaben des EuGH um und gibt eine Grundlage für Betroffene von Datenlecks oder Datenverstößen und die damit einhergehende Verletzung der personenbezogenen Daten.

Die Begründung immateriellen Schadensersatzes bedarf nunmehr keine unverhältnismäßig hohen Hürden, die Verbraucher in der Vergangenheit nehmen mussten.

Verbraucher können Ihre Rechte nun einfacher und konkreter durchsetzen.

LOIBL LAW – die Rechtskanzlei, Ihre Experten im Datenschutzrecht!

WIR beraten Sie, ob als betroffene Verbraucher/Betroffener eines Datenschutzverstoßes, Unternehmen oder Behörden und insbesondere Verantwortliche der Datenverarbeitung in allen Fragen und Angelegenheiten des Datenschutzrecht und der DSGVO.

Wir beraten Sie bundesweit. Sie erhalten bei uns eine kostenlose Ersteinschätzung zu Ihrem Anliegen.

WIR handeln schnell, unkompliziert und lösungsorientiert. Unser Ziel, Ihre Rechte Sichern und schützen!

Sie können sich jederzeit unverbindlich unter 0991/38306131, per E-Mail mail@loibl-law.de oder WhatsApp-Business unter 099138306131 oder über die weiteren Kontaktmöglichkeiten auf unserer Website www.loibl-law.de mit der Online-Chat-Funktion melden.

Weitere Infos und Antworten finden Sie auf unserer Website.

Zudem sind wir auf verschiedenen Social-Media-Accounts und auf anwalt.de vertreten.

Ihr Team von LOIBL LAW!

Über uns

Herr Loibl hat die Kanzlei im August 2019 gegründet. Er hat sein Rechtswissenschaftliches Studium an der Universität Passau absolviert. Während des Referendariats am OLG München folgten Stationen bei der Staatsanwaltschaft Deggendorf, dem Landgericht Deggendorf.
Vor seinem Studium der Rechtswissenschaften war Herr Loibl bereits mehrere Jahre im Öffentlichen Dienst bei verschiedenen Behörden tätig.

Sie haben Fragen?

Reden Sie mit uns, wir helfen Ihnen und freuen uns auf Ihre Nachricht.

    5 × 4 =