Brandi mbB - Logo

Beitrag

Blog
Datenschutzvorfall Scahdensersatz

BGH-Urteil zum Schadenersatz bei Datenschutzvorfällen – Auswirkungen für Unternehmen

Der Bundesgerichtshof (BGH) hat über Schadenersatzansprüche im Zusammenhang mit einem Datenschutzvorfall bei dem sozialen Netzwerk Facebook entschieden (vgl. die Pressemitteilung des BGH zum Urt. v. 18.11.2024 – VI ZR 10/24). In dem der Entscheidung zugrunde liegenden Fall wurden Anfang April 2021 Daten von ca. 553 Millionen Facebook-Nutzerinnen und -Nutzern aus 106 Ländern im Internet veröffentlicht. Unbekannte hatten eine Funktion von Facebook, bei der Nutzerprofile mithilfe von Telefonnummern gefunden werden können, verwendet, um zufällig generierte Telefonnummern den jeweiligen Nutzerkonten zuzuordnen und die vorhandenen öffentlichen Nutzerdaten abzugreifen. Der Kläger des vorliegenden Verfahrens war von dem Vorfall betroffen und machte unter anderem Schadenersatz wegen des erlittenen Ärgers und des Kontrollverlusts über seine Daten geltend.

 

Inhalt des Urteils

Die Revision des Klägers war vor dem BGH nun teilweise erfolgreich. Der BGH verweist auf die für die Auslegung des Art. 82 Abs. 1 DSGVO maßgebliche Rechtsprechung des Europäischen Gerichtshofs (EuGH), nach der auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) ein immaterieller Schaden im Sinne der Norm sein kann. Insoweit müsse weder eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedürfe es sonstiger zusätzlicher spürbarer negativer Folgen. Mit der Begründung des Berufungsgerichts lasse sich der Anspruch des Klägers auf Ersatz immateriellen Schadens daher nicht verneinen.

Erfolg hatte die Revision auch hinsichtlich der Anträge des Klägers auf Feststellung einer Ersatzpflicht für zukünftige Schäden, da nach Ansicht des BGH die Möglichkeit des Eintritts zukünftiger Schäden bestehe, auf Unterlassung der Verwendung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt ist, und auf Ersatz seiner vorgerichtlichen Rechtsanwaltskosten. Hinsichtlich eines weiteren Unterlassungsantrags und eines Auskunftsantrags blieb die Revision ohne Erfolg. Im Umfang des Erfolges der Revision hat der BGH die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen.

 

Auswirkungen des Urteils

Die Entscheidung ist bedeutsam für viele ähnlich gelagerte Klagen, die gerade in Deutschland anhängig sind. Maßgeblich hierfür ist auch, dass der BGH das Verfahren zum Leitentscheidungsverfahren bestimmt hat. Dies ist nach dem erst am 31.10.2024 in Kraft getretenen § 552b Abs. 1 ZPO möglich, wenn die Revision Rechtsfragen aufwirft, deren Entscheidung für eine Vielzahl von Verfahren von Bedeutung ist. Die Leitentscheidung entfaltet jedoch keine formale Bindungswirkung, sondern dient Instanzgerichten, die mit ähnlichen Fällen befasst sind, als Orientierung, wie nach Ansicht des BGH die Beantwortung der Rechtsfragen zu erfolgen hat. Die Instanzgerichte entscheiden nun in ähnlich gelagerten Verfahren, die teilweise bis zu der Entscheidung des BGH ausgesetzt wurden, möglicherweise zügig. Durch sie ist dann jedoch immer noch jeweils eine Entscheidung im Einzelfall zu treffen. Dabei ist insbesondere zu prüfen, ob im konkreten Fall tatsächlich ein Verstoß gegen die DSGVO vorlag, ob der Anspruchsteller Betroffener des Vorfalls ist, ob ihm infolgedessen ein Schaden entstanden ist und wie ein etwaiger Schadenersatzanspruch konkret zu bemessen ist.

Es bleibt abzuwarten, ob spezialisierte Kanzleien das Urteil zum Anlass nehmen werden, um verstärkt zu der Geltendmachung von Schadenersatz bei Datenschutzverstößen aufzurufen und ob es in der Folge zu einem Anstieg derartiger Klagen kommen wird. Dafür spricht zwar, dass der BGH in dem Urteil die Rechte von Betroffenen eines Datenschutzvorfalls dahingehend gestärkt hat, dass der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden sein und somit einen Schadenersatzanspruch begründen kann. Die Formulierung des BGH zeigt jedoch, dass ein Schadenersatzanspruch im Falle des Kontrollverlusts nicht per se besteht. Vielmehr „kann“ ein solcher vorliegen; hierfür müssen Anspruchsteller jedoch weiterhin nachweisen, dass sie Betroffene des Vorfalls sind und dass ihnen wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist. Das Urteil ist damit kein „Freifahrtschein“ für die Geltendmachung von Schadenersatzansprüchen bei Datenschutzvorfällen. Zudem dürfte der Schadenersatz bei einem Kontrollverlust in der Regel nicht allzu hoch ausfallen– der BGH nennt in dem konkreten Fall eine Größenordnung von 100 Euro als Ausgleich für den bloßen Kontrollverlust.

 

Empfehlungen für Unternehmen

Unternehmen sollten das Urteil zum Anlass nehmen, um die eigene Einhaltung des Datenschutzrechts zu überprüfen. Besonders für kleine und mittelständische Unternehmen kann eine Klagewelle im Falle eines Datenschutzvorfalls ansonsten ein – möglicherweise existenzbedrohendes – Risiko bedeuten. Nach der DSGVO haben Unternehmen technische und orga-nisatorische Maßnahmen zu treffen, die ein angemessenes Schutzniveau für die Verarbeitung

von personenbezogenen Daten gewährleisten. Durch derartige Maßnahmen kann ein Datenschutzvorfall – und damit auch ein Schaden infolge eines Kontrollverlusts – idealerweise von Vornherein vermieden werden.

Kommt es dennoch zu einem Datenschutzvorfall, helfen ebenfalls technische und organisatorische Maßnahmen bei der Abwehr von Schadenersatzansprüchen. Denn ein Schadenersatzanspruch setzt nach Art. 82 Abs. 1 DSGVO einen Schaden aufgrund eines Verstoßes gegen die DSGVO voraus. Hat ein Unternehmen bereits im Vorfeld angemessene technische und organisatorische Maßnahmen getroffen und trifft es zusätzliche Gegenmaßnahmen im Falle eines Datenschutzvorfalls, können das Risiko für Betroffene und auch ein etwaiger DSGVO-Verstoß möglichst geringgehalten, im besten Fall ausgeschlossen werden. Gegenmaßnahmen sind beispielsweise die Verschlüsselung und die unmittelbare Sperrung eines verlorengegangenen Geräts, die dazu führen können, dass gar nicht erst ein Kontrollverlust eintritt.

Um die Umsetzung technischer und organisatorischer Maßnahmen nachweisen zu können, sollten diese im Unternehmen dokumentiert werden. Bei der Implementierung von angemessenen technischen und organisatorischen Maßnahmen, deren Dokumentation und bei der Abwehr etwaiger Ansprüche unterstützt und berät der Datenschutzbeauftragte; im Zweifel ist auch eine anwaltliche Beratung zu empfehlen.

 

Fazit

Insgesamt lässt sich damit festhalten, dass das Urteil aufgrund der Stärkung der Betroffenenrechte zwar ernstgenommen werden sollte, dass es aber gleichzeitig keinen „Freifahrtschein“ für die Geltendmachung von Schadenersatzansprüchen bei Datenschutzvorfällen darstellt. Idealerweise wird einem Datenschutzvorfall und damit auch etwaigen Klagen durch zu dokumentierende angemessene technische und organisatorische Maßnahmen bereits im Vorfeld entgegengewirkt.

Autoren