Immaterieller Schadenersatz wegen Kontrollverlust an eigenen personenbezogenen Daten (Scraping-Urteil des BGH)

Ausgangslage

Der Kläger hatte bei der Beklagten, die das soziale Netzwerk Facebook betreibt, ein Nutzerkonto mit Angaben zu seiner Person wie Name, Geschlecht, sowie der ihm zugewiesene Nutzer-ID errichtet. Diese Angaben waren für die Registrierung notwendig und für alle Nutzer stets öffentlich einsehbar. Neben diesen Pflichtangaben können die Nutzer des Netzwerks über die Privatsphäre-Einstellung festlegen, inwieweit sie weitere Informationen öffentlich einsehbar machen möchten. Über Funktion und Bedeutung der Privatsphäre-Einstellungen informierte die Beklagte ihre Nutzer im sog. Hilfebereich des Nutzerkontos. Der Kläger hatte in diesem Zusammenhang die Datenschutzeinstellungen betreffend die Sichtbarkeit seiner Mobiltelefonnummer so gesetzt, dass diese nur für ihn sichtbar war. Im Gegensatz dazu behielt der Kläger bei den Suchbarkeitseinstellungen seines Profils, bei denen unter anderem festgelegt werden konnte, wer ihn anhand seiner Telefonnummer finden kann, die Standardvoreinstellung „alle“ bei, sodass jeder Facebook-Nutzer das Profil des Klägers unter der hinterlegten Telefonnummer finden konnten. Dies war auch dann möglich, wenn die Zielgruppenauswahl des jeweiligen Nutzers im Hinblick auf die Telefonnummer nicht auf „öffentlich“, sondern etwas – wie hier – auf „nur ich“ gestellt war.

Im Zeitraum von Januar 2018 bis September 2019 konnten unbekannte Dritte durch die Eingabe randomisierter Ziffernfolgen über die Kontakt-Import-Funktion Telefonnummern den einzelnen Nutzerkonten zuordnen und griffen die zu diesen Nutzern vorhandenen Daten ab (sog. Scraping). Im April 2021 waren die auf diese Weise erlangten und nunmehr mit einer Telefonnummer verknüpften Daten von etwa 533 Millionen Nutzern im Internet öffentlich einsehbar. Hiervon waren auch persönliche Daten des Klägers betroffen. Dieser machte daraufhin Schadensersatz sowie Feststellungs-, Unterlassungs- und Auskunftsansprüche gegen die Beklagte geltend.

Zentrale Streitfrage

Begründet bereits der bloße, kurzzeitige Kontrollverlust über personenbezogenen Daten – ohne konkrete missbräuchliche Verwendung – einen ersatzfähigen immateriellen Schaden im Sinne des Art. 82 Abs.1 DSGVO?

Streitentscheidende Norm: Art. 82 Abs. 1 DSGVO

Leitsätze der Gerichtsentscheidung

Nach der Rechtsprechung des Gerichtshofes erfordert ein Schadensersatzanspruch im Sinne des Art 82 Abs. 1 DSGVO  (1) einen Verstoß gegen die Datenschutz-Grundverordnung, (2) das Vorliegen eines materiellen oder immateriellen Schadens sowie (3) einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Beim bloßen und kurzzeitigen Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Verordnung muss grundsätzlich keine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgen oder zusätzlich spürbar negative Auswirkungen vorliegen. Es bedarf lediglich des Nachweises der betroffenen Person, dass sie einen immateriellen Schaden im Sinne von Art. 82 DSGVO erlitten hat, wobei der Nachweis des Verlustes der Kontrolle über ihre personenbezogenen Daten dafür genügen soll und es nicht Voraussetzung ist, dass sich aus dem Kontrollverlust besondere Ängste oder Befürchtungen des Betroffen vor zu erwartenden Folgen dessen wie z.B. einem massiven Anstieg von betrügerischen Kontaktversuchen entwickeln. Auch gibt es keine Erheblichkeitsschwelle für den Schaden. Dieser muss nicht „erheblich“ oder mit konkreten negativen Folgen verbunden sein. Auch hat der BGH die Möglichkeit des Eintritts künftiger Schäden ohne Weiteres bejaht, da bei der fortdauernden Veröffentlichung der personenbezogenen Daten des Klägers das Risiko einer missbräuchlichen Nutzung dieser Daten mit der Folge eines materiellen oder immateriellen Schadens fortbesteht.

Bei der Prüfung eines Verstoßes gegen die DSGVO muss aus Sicht des Gerichts stärker auf die Einhaltung des Grundsatzes der Datenminimierung gem. Art. 5 Abs 1. Buchstabe c DSGVO durch die Betreiber von Netzwerkplattformen geachtet werden. Danach muss die Datenverarbeitung dem Zweck angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen grundsätzlich nur personenbezogenen Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Die Erkenntnis, dass werkseitig vorgegebene Voreinstellungen durch die Nutzer nur selten verändert werden, führt zur besonderen Verantwortung des Anbieters. Diesen Anforderungen wurde das Vorgehen der Beklagten zum maßgeblichen Zeitpunkt des Scraping-Vorfalls nicht gerecht.

Folgen für die Praxis

Betroffene haben einen Anspruch auf immateriellen Schadensersatz, selbst wenn „nur“ ein kurzzeitiger Kontrollverlust über personenbezogene Daten vorliegt. Ein Nachweis des konkreten Missbrauchs ist dabei nicht erforderlich. Dass im konkreten Fall der BGH nicht eindeutig entschied, ob dem Kläger ein Anspruch auf Unterlassung und Feststellung der Ersatzpflicht für zukünftige Schäden zusteht, darf die Tendenz des Urteils, solche Ansprüche grundsätzlich anzuerkennen, sofern die Beweislage es erlaube, nicht außer Acht lassen.

Bezüglich der Schadensbemessung durfte das Urteil einen Dämpfer für die Erwartungen etlicher Betroffener gewesen sein. Der BGH hält einen Schadensausgleich in einer Größenordnung von 100 EUR dann für ausreichend, wenn über den bloßen Kontrollverlust der Daten hinaus keine besonderen Umstände für außergewöhnliche Belastungen der Betroffenen erkennbar sind.

Für Plattformbetreiber folgt aus dem BGH-Urteil die Erkenntnis, dass transparente und verständliche Informationen zur Datenverarbeitung zwingend notwendig sind, sonst droht eine Unwirksamkeit der Einwilligung. Die Beweispflicht für das Nicht-Verschulden liegt beim Unternehmen, das seine technischen und organisatorischen Schutzmaßnahmen dokumentieren muss.