BGH senkt Hürden für immateriellen SchadensersatzKontrollverlust alleine kann Anspruch für die Nutzer begründen

Die Beklagte betreibt das soziale Netzwerk Facebook. Anfang April 2021 wurden Daten von ca. 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet öffentlich verbreitet. Unbekannte Dritte hatten sich zuvor den Umstand zu Nutze gemacht, dass die Beklagte es in Abhängigkeit von den Suchbarkeits-Einstellungen des jeweiligen Nutzers ermöglicht, dass dessen Facebook-Profil mithilfe seiner Telefonnummer gefunden werden kann. Die unbekannten Dritten ordneten durch die in großem Umfang erfolgte Eingabe randomisierter Ziffernfolgen über die Kontakt-Import-Funktion Telefonnummern den zugehörigen Nutzerkonten zu und griffen die zu diesen Nutzerkonten vorhandenen öffentlichen Daten ab (sog. Scraping).

Von diesem Scraping-Vorfall waren auch Daten des Klägers (Nutzer-ID, Vor- und Nachname, Arbeitsstätte und Geschlecht) betroffen, die auf diese Weise mit dessen Telefonnummer verknüpft wurden. Der Kläger macht geltend, die Beklagte habe keine ausreichenden Sicher­heits­maß­nahmen ergriffen, um eine Ausnutzung des Kontakt-Tools zu verhindern. Ihm stehe wegen des erlittenen Ärgers und des Kontroll­verlusts über seine Daten Ersatz für immaterielle Schäden zu. Darüber hinaus begehrt der Kläger die Feststellung, dass die Beklagte verpflichtet sei, ihm in diesem Zusammenhang auch alle künftigen materiellen und immateriellen Schäden zu ersetzen, und nimmt die Beklagte auf Unterlassung und Auskunft in Anspruch. Das LG hat der Klage teilweise stattgegeben und dem Kläger aus Art. 82 Abs. 1 DSGVO Schadensersatz in Höhe von 250 € zugesprochen; im Übrigen hat es die Klage abgewiesen. Auf die Berufung der Beklagten hat das OLG die Klage unter Zurückweisung der Anschluss­be­rufung des Klägers insgesamt abgewiesen. Weder reiche der bloße Kontrollverlust zur Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO aus noch habe der Kläger hinreichend substantiiert dargelegt, über den Kontrollverlust als solchen hinaus psychisch beeinträchtigt worden zu sein.

Bloßer Verlust der Kontrolle reicht

Der BGH hat das Revisi­ons­ver­fahren zum Leitent­schei­dungs­ver­fahren gemäß § 552 b ZPO n.F. bestimmt. Die Revision des Klägers war teilweise erfolgreich. Der Anspruch des Klägers auf Ersatz immateriellen Schadens lässt sich mit der Begründung des Berufungs­ge­richts nicht verneinen. Nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene perso­nen­be­zogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden im Sinne der Norm sein. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

Erfolg hatte die Revision auch, soweit das Berufungs­gericht die Anträge des Klägers auf Feststellung einer Ersatzpflicht für zukünftige Schäden, auf Unterlassung der Verwendung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt ist, und auf Ersatz seiner vorge­richt­lichen Rechts­an­walts­kosten abgewiesen hat. Entgegen der Auffassung des Berufungs­ge­richts fehlt es nicht an dem notwendigen Feststel­lungs­in­teresse des Klägers, da die Möglichkeit des Eintritts künftiger Schäden unter den Umständen des Streitfalles ohne Weiteres besteht. Der genannte Unter­las­sungs­an­spruch ist hinreichend bestimmt und dem Kläger fehlt insoweit auch nicht das Rechts­schutz­be­dürfnis. Im Übrigen (weiterer Unter­las­sungs­antrag und Auskunftsantrag) blieb die Revision hingegen ohne Erfolg.

Genaue Höhe des Schaden­s­er­satzes ist von den Insta­nz­ge­richten zu bestimmen

Im Umfang des Erfolges der Revision hat der BGH die Sache zur neuen Verhandlung und Entscheidung an das Berufungs­gericht zurückverwiesen. Für die weitere Prüfung hat der BGH das Berufungs­gericht zum einen darauf hingewiesen, dass die von der Beklagten vorgenommene Voreinstellung der Suchba­r­keitsein­stellung auf "alle" nicht dem Grundsatz der Daten­mi­ni­mierung entsprochen haben dürfte, wobei das Berufungs­gericht ergänzend die Frage einer wirksamen Einwilligung des Klägers in die Daten­ver­a­r­beitung durch die Beklagte zu prüfen haben wird. Zum anderen hat der BGH Hinweise zur Bemessung (§ 287 ZPO) des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO erteilt und ausgeführt, warum unter den Umständen des Streitfalles von Rechts wegen keine Bedenken dagegen bestünden, den Ausgleich für den bloßen Kontrollverlust in einer Größenordnung von 100 € zu bemessen.