Zu BGH, Urt. v. 18.11.2024 – VI ZR 10/24 Kontrollverlust als Schaden
Der Bundesgerichtshof hat im Zusammenhang mit einem weitreichenden Datenschutzvorfall bei Facebook eine Leitentscheidung getroffen, wonach auch der bloße Kontrollverlust über personenbezogene Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen kann.
Facebook, ermöglichte es den Nutzern, ihr Profil anhand ihrer Telefonnummer auffindbar zu machen. Diese Freunde-Suchfunktion wurde von unbekannten Dritten über die Kontakt-Import-Funktion missbraucht. Dabei wurden die Daten des Klägers, darunter seine User-ID, sein Name, sein Arbeitsplatz und sein Geschlecht, mit seiner Telefonnummer verknüpft und damit einem unkontrollierten Personenkreis zugänglich gemacht.
Der Kläger erhob daraufhin Klage und verlangte immateriellen Schadensersatz wegen Kontrollverlustes und Unannehmlichkeiten. Außerdem machte er Feststellungsansprüche geltend, wonach Facebook für zukünftige materielle und immaterielle Schäden haften soll, sowie Ansprüche auf Unterlassung der Datenverarbeitung und Erstattung vorgerichtlicher Rechtsanwaltskosten.
Bevor der BGH sich damit befassen musste, sprach das LG Bonn dem Kläger zunächst einen Schadensersatzanspruch in Höhe von 250,- Euro zu, da Facebook seiner Ansicht nach unzureichende Sicherheitsmaßnahmen getroffen hatte. In der Berufungsinstanz wurde die Klage jedoch insgesamt abgewiesen. Das OLG Köln meinte, dass der bloße Kontrollverlust nicht ausreiche, um einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO zu begründen. Zudem habe der Kläger über den Kontrollverlust hinaus keine psychische Beeinträchtigung erlitten.
Der BGH gab dem Kläger in Teilen recht. Der BGH kam zu der Überzeugung, dass in Einklang mit der Rechtsprechung des Europäischen Gerichtshofs (EuGH) bereits der bloße und kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen könne. Es bedürfe weder eines konkreten Missbrauchs der Daten noch weiterer nachweisbarer negativer Folgen. Der Kontrollverlust allein kann damit bereits ausreichen, um einen Schadensersatzanspruch zu begründen. Für einen immateriellen Schaden muss also nicht zwingend eine tiefergehende oder langanhaltende Belastung des Betroffenen voraussetzt werden. Vielmehr wird bereits der Verlust der Datenhoheit als beeinträchtigender Umstand anerkannt, der einen Anspruch auf Ausgleich begründen kann.
Bezüglich der Schadenshöhe verwies der der BGH zurück an das Berufungsgericht, äußerte sich aber auch insofern, dass ein Ausgleich für den Kontrollverlust in einer Größenordnung von etwa 100 Euro angemessen sein könnte. Hierbei wurde auf § 287 ZPO verwiesen, nach dem das Gericht den Schadensumfang nach freier Überzeugung bemessen kann, sofern es keine konkreten Anhaltspunkte für eine exakte Bezifferung gibt.
Ein Feststellugnsintereses des Klägers hinsichtlich künftiger Schäden wurde bejaht. Auch Unterlassungsansprüche wurden zum Teil bejaht.
Warum ist das Urteil nun so interessant?
100,- € x 6.000.000 = 600.000.000 €
Oder anders ausgedrückt: Durch die Anerkennung des bloßen Kontrollverlusts als Schaden entfällt die Notwendigkeit des Nachweises konkreter psychischer oder materieller Folgen. Es ist zu erwarten, dass dieses Urteil erhebliche Auswirkungen auf die Praxis von Unternehmen haben wird, die große Mengen personenbezogener Daten verarbeiten und im Falle von Datenpannen auf Kanzlei treffen werden, die auf Massenverfahren spezialisiert sind.
