Der BGH hat ein Verfahren aus dem Scraping-Komplex zum ersten Leitentscheidungsverfahren bestimmt und zum Schadensersatz nach Art. 82 DSGVO entschieden.
Der BGH hat mit Beschluss vom 31. Oktober 2024 ein Verfahren aus dem sogenannten Scraping-Komplex als Leitentscheidungsverfahren bestimmt und am 18. November 2024 ein Urteil zu zentralen Fragen des Schadenersatzanspruchs nach Art. 82 DSGVO gefällt. Auch wenn bisher nur die Pressemitteilung vorliegt, lässt schon diese den Schluss zu, dass die Entscheidung erhebliche Auswirkungen auf Schadensersatzklagen nach Art. 82 DSGVO haben wird.
DSGVO-Schadensersatz im Kontext von Masseverfahren
Der „Scraping-Komplex“ betrifft Verfahren, bei denen immaterieller Schadensersatz gemäß Art. 82 DSGVO aufgrund von Scraping, also dem Abgreifen und Weitervermitteln von Nutzerdaten von Social-Media-Plattformen, geltend gemacht wird. In Deutschland sind tausende solcher Fälle anhängig. Während einige Gerichte den Klägern Schadenersatz zugesprochen haben (eine Rechtsprechungsübersicht finden Sie in unserem Blog: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert)), lehnen andere einen solchen Anspruch ab, meist mit der Begründung, dass eine spürbare Beeinträchtigung als Voraussetzung für einen Schadenersatzanspruch nicht hinreichend nachgewiesen wurde. In einem Fall aus dem Scraping-Komplex wies das OLG Köln im Dezember 2023 die Klage ab, woraufhin der Kläger Revision zum BGH einlegte.
Erstes Leitentscheidungsverfahren des BGH
Mit Beschluss vom 31. Oktober 2024 wählte der BGH dieses Verfahren als Leitentscheidungsverfahren (VI ZR 10/24). Dies geschah genau an dem Tag, an dem das neue Gesetz zur Einführung solcher Leitentscheidungsverfahren in Kraft getreten ist. Ziel dieses Gesetzes ist es, Massenverfahren – in denen häufig ähnliche Rechtsfragen auftreten – schneller und effizienter zu bearbeiten, sowie die Justizressourcen zu schonen.
Das Verfahren dient dazu, die wesentlichen Rechtsfragen eines Massenverfahrens frühzeitig zu klären, sodass die Instanzgerichte in ähnlichen Fällen darauf basierend Entscheidungen treffen können. Zwar hat die Leitentscheidung keine formale Bindungswirkung, doch können parallele Verfahren ausgesetzt werden, solange die Entscheidung des BGH noch aussteht.
BGH-Entscheidung zu praxisrelevanten Fragen der DSGVO
Die jüngste Entscheidung des BGH ist aus datenschutzrechtlicher Perspektive besonders spannend, da sie zentrale Rechtsfragen behandelt, die nicht nur für Scraping-Verfahren, sondern auch für andere Schadenersatzklagen nach der DSGVO von hoher Praxisrelevanz sind. Besonders im Fokus stand die Frage, unter welchen Voraussetzungen der Verlust der Kontrolle über personenbezogene Daten als immaterieller Schaden anerkannt werden kann, sowie die Bemessung des Schadenersatzes in solchen Fällen.
Update: Das Urteil des BGH vom 18. November 2024
Mit Urteil vom 18. November 2024 hat der sechste Zivilsenat des BGH unter Verweis auf die Rechtsprechung des EuGH entschieden, dass schon
der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden
sein könne. Und weiter:
Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.
Das OLG Köln (15 U 67/23) hatte in der Berufungsinstanz noch höhere Anforderungen gestellt und neben dem Kontrollverlust eine konkrete missbräuchliche Verwendung der Daten oder spürbare negative Folgen, wie eine psychische Beeinträchtigung, verlangt. Mit seiner Entscheidung stellt der BGH nun klar, dass die Anforderungen an immateriellen Schadenersatz niedriger sind als von einigen Gerichten bisher angenommen.
Schadenersatz im konkreten Fall im Bereich EUR 100
Hinsichtlich der Höhe des Schadensersatzes hat der BGH keine Bedenken, einen Betrag in der Größenordnung von EUR 100 anzusetzen, um den erlittenen Kontrollverlust unter den spezifischen Umständen des Streitfalles auszugleichen. Der BGH schließt damit nicht aus, dass auch niedrigere oder höhere Beträge möglich sind. Insbesondere gilt zu beachten, dass die Gerichte bei der Bemessung der Schadenersatzhöhe einen Ermessensspielraum haben (§ 287 ZPO). Es bleibt daher abzuwarten, unter welchen Voraussetzungen zukünftig die Gerichte höhere oder niedrigere Schadenersatzsummen zusprechen werden.
Das Verfahren wird nun zurück an das OLG Köln verwiesen, das auch klären muss, ob im konkreten Fall ein DSGVO-Verstoß vorlag.
Feststellungsinteresse und Unterlassungsanspruch bestätigt
Die Revision des Klägers war auch in weiteren Punkten erfolgreich. Der BGH stellt klar, dass der Kläger die Feststellung zukünftiger Schäden verlangen kann, da die Möglichkeit des Eintritts solcher Schäden unter den Umständen des Streitfalls ohne Weiteres gegeben ist. Zudem wurde der Unterlassungsanspruch hinsichtlich der unbefugten Nutzung der Telefonnummer des Klägers als hinreichend bestimmt und rechtlich zulässig anerkannt.
Weitere Massenverfahren im Bereich Datenschutz zu erwarten
Die klargestellten Rechtsfragen zu Art. 82 DSGVO wirken sich auch auf zahlreiche weitere Verfahren aus, insbesondere im Zusammenhang mit Scraping und anderen Datenschutzverstößen. Es ist zu erwarten, dass sich die unteren Instanzen künftig am Maßstab des BGH orientieren und immaterielle Schadenersatzansprüche selbst dann anerkennen, wenn lediglich ein Kontrollverlust nachgewiesen wird.
Trotz der vergleichsweise niedrigen Schadenersatzhöhe von EUR 100 dürfte die Entscheidung Unternehmen vor neue Herausforderungen stellen. Die geringen Anforderungen an die Geltendmachung eines Schadenersatzanspruchs senken das Klagerisiko, was insbesondere Massenverfahren fördern dürfte. Neben klassischen Klägerkanzleien werden vermutlich auch Legal-Tech-Dienstleister und Verbraucherschutzorganisationen dieses Feld weiter erschließen. Besonders das seit letztem Jahr verfügbare Instrument der Abhilfeklage könnte sich als effektives „Klagetool″ für solche Verfahren erweisen.
Unternehmen müssen sich vorbereiten
Unternehmen im B2C-Bereich, die Verbraucherdaten erheben und verarbeiten, sollten sich daher auf eine Zunahme von Klagen einstellen und bereits jetzt Maßnahmen ergreifen, um ihre Haftungsrisiken zu minimeren. Dazu gehört neben der Prävention (angemessenes Datenschutzmanagement, Überprüfung und Verbesserung von Sicherheitsvorkehrungen) die Entwicklung von Notfallplänen, einschließlich einer klaren Kommunikationsstrategie, um im Falle eines behaupteten Datenschutzverstoßes schnell und effektiv reagieren zu können.
CMS wird Sie auch künftig über dieses Thema und seine Entwicklungen auf dem Laufenden halten. Sollten Sie Fragen haben oder Unterstützung benötigen, sprechen Sie uns jederzeit gerne an! Ihre Ansprechpartner: Reemt Matthiesen (Partner Datenschutz), Ole Jani (Partner Dispute Resolution – Smart Litigation), Claus Thiery (Partner Dispute Resolution – Smart Litigation), Sandra Renschke (Counsel Dispute Resolution – Smart Litigation)
Zu den Entscheidungen der nationalen Gerichte in diesen und weiteren Fällen halten wir Sie mit unserer Rechtsprechungsübersicht zu Art. 82 DSGVO auf dem Laufenden: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen. Einen Überblick über die Rechtsprechung des EuGH zu Art. 82 DSGVO finden Sie außerdem hier: Neues vom EuGH zum DSGVO-Schadensersatz.