© Imilian auf canva.com

Schadensersatz bei Kontrollverlust über personenbezogene Daten (BGH: Facebook Datenleck)

Hinweis: Dieser Artikel wurde maschinell übersetzt und kann daher Übersetzungsfehler enthalten.

Ein Beitrag von

Porträt von Alexander Brittner
Alexander Brittner, LL.M.

Salary Partner, Rechtsanwalt

Themen und Schlagwörter

Unternehmen werden sich bei Datenschutzverstößen in Zukunft häufiger Schadensersatzansprüchen wegen Datenschutzverletzungen ausgesetzt sehen. Der Bundesgerichtshof (BGH) hat in seiner Leitentscheidung zum Datenleck bei Facebook die Rechte betroffener Nutzer gestärkt: Allein der Kontrollverlust über persönliche Daten rechtfertigt einen Anspruch auf immateriellen Schadensersatz. Ohne Weiteres sei ein Betrag von 100 € gerechtfertigt – allerdings pro Betroffenem, was für Unternehmen neben drohenden Bußgeldern neue Haftungskonstellationen eröffnet.

Wir erläutern Ihnen die Hintergründe und die unternehmerischen Risiken:

Schadensersatz im Datenschutz: Das gilt laut DSGVO

Die DSGVO verpflichtet Unternehmen dazu, personenbezogene Daten ihrer Kunden zu schützen. Andernfalls sieht das Gesetz für „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“ einen Anspruch auf Schadensersatz vor (Art. 82 DSGVO). Erleiden Betroffene also aufgrund einer Datenpanne einen Schaden, können sie für ihren materiellen Schaden Ersatz verlangen und eine immaterielle Kompensation wie z. B. Schmerzensgeld geltend machen.

Nach Art. 82 und Erwägungsgrund 146 der DSGVO sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Nach deutschen Verfahrensgrundsätzen muss ein solcher Schaden allerdings dem Grunde und der Höhe nach zumindest so dargelegt werden, dass dem entscheidenden Gericht die Schätzung der Höhe des Anspruchs ermöglicht wird. Bislang genügte gemäß der Rechtsprechung der Oberlandesgerichte die Befürchtung eines Schadens ohne Nachweis des tatsächlichen Schadenseintritts nicht.

Aktuelle Urteile des Europäischen Gerichtshofs (EuGH) aus 2023 und 2024 hatten allerdings bereits klargestellt, dass zwar nicht jeder DSGVO-Verstoß automatisch zu einem Schadensersatzanspruch führt und ein nachweisbarer Schaden vorliegen muss. Der Verlust der Kontrolle über Daten und die begründete Befürchtung eines Missbrauchs seien jedoch bereits persönliche Schäden, die einen entsprechenden immateriellen Ersatzanspruch auslösen.

BGH: Kontrollverlust über Daten rechtfertigt Schadensersatz

Nun hat sich auch der BGH der Sichtweise des EuGHs angeschlossen und Abstand von den strengen Maßgaben einiger Oberlandesgerichte bzgl. der Darlegung eines Schadens genommen. Das Urteil vom 18. November 2024 (Az. VI ZR 10/24) markiert einen wichtigen Meilenstein im Umgang mit Datenschutzverletzungen und ist als erstes „Leitentscheidungsverfahren“ maßgeblich für viele ähnlich gelagerte Fälle anderer Gerichte.

Im Streitfall ging es um einen massiven Datenabgriff bei Facebook im April 2021. Unbekannte hatten Daten von rund 533 Millionen Facebook-Nutzern im Darknet veröffentlicht, nachdem sie die Funktion zur Freunde-Suche ausnutzten, um über zufällige Telefonnummerneingaben Zugriff auf die Profile der Betroffenen zu erhalten. So wurden massenweise persönliche Informationen kombiniert und entsprechend veröffentlicht. Die Herangehensweise wurde als „Scraping“ bekannt und betraf Facebook-Nutzer aus 106 Ländern – darunter auch aus Deutschland.

In seinem Urteil entschied der BGH nun, dass allein der Verlust der Kontrolle über jene persönlichen Daten durch zweckentfremdete aber zulässige Nutzungsweisen eine Organisationspflichtverletzung darstellt, die einen Anspruch auf immateriellen Schadensersatz begründet. Nach der Auslegung des Art. 82 Abs. 1 der DSGVO sei ein solcher Kontrollverlust bereits ein immaterieller Schaden, auch ohne dass Gewissheit bestünde, dass die Daten missbräuchlich verwendet worden sind oder dass es zu spürbaren Beeinträchtigungen gekommen ist.

Das Gericht führte weiter aus, dass betroffenen Nutzern hierfür ohne Weiteres ein Schadensersatzanspruch in einer Größenordnung von 100 € zustehen dürfte.

DSGVO-Schadensersatz: Was Unternehmen beachten müssen

Aus der geänderten Rechtsprechung ergeben sich durchaus beachtliche Gefahren für Unternehmen: Betroffene Nutzer müssen lediglich nachweisen, dass ihre Daten Gegenstand von Datenschutzverletzungen waren.

Jeder Datenschutzverstoß kann daher einen finanziellen Ersatzanspruch auslösen, der für Unternehmen jedenfalls dann auch der Höhe nach relevant wird, wenn mehrere Personen hiervon betroffen sind. Zu denken wäre an den generell unzureichenden Schutz von Daten, einen Hackerangriff oder nicht autorisierte Datenweitergaben.

Die sorgfältige Einhaltung der DSGVO ist daher unerlässlich, nicht nur um amtliche Bußgelder, sondern auch Schadensersatzansprüche vermeiden zu können. Neben einem sorgsam eingerichteten und aktualisierten Datenschutzmanagement bedarf es stets auch der Überwachung und Beseitigung von Fehlerquellen, um Haftungskonstellationen vermeiden zu können, beispielweise durch Schulung Ihrer Mitarbeiter.

Downloads

Diese Seite teilen

Ähnliche Beiträge

Kontakt
Mandanten-Login