Mit seinem Urteil vom 18. November 2024 hat der Bundesgerichtshof (BGH, Az: VI ZR 10/24) eine grundlegende Entscheidung für den Schadensersatz bei Datenschutzverletzungen im Rahmen des sogenannten „Scraping“ gefällt. Der Fall betraf einen massenhaften Datenzugriff auf Facebook-Nutzerprofile, bei dem personenbezogene Informationen wie Telefonnummern, Namen und weitere Daten durch Dritte automatisiert abgegriffen und später im Internet veröffentlicht wurden. Der von diesen Datenzugriffen betroffene Kläger rügte, dass durch das Scraping seine personenbezogenen Daten in die Hände Unbefugter geraten seien und machte unter anderem Ansprüche auf Schadensersatz, Feststellung und Unterlassung geltend, gestützt auf die Datenschutz-Grundverordnung (DSGVO).
Der BGH hat in diesem Urteil insbesondere klargestellt, dass ein immaterieller Schaden bereits dann vorliegen kann, wenn eine betroffene Person die Kontrolle über ihre personenbezogenen Daten verliert, auch wenn diese nicht missbräuchlich verwendet wurden oder ein konkreter materieller Nachteil eingetreten ist. Dies bedeutet, dass schon der „bloße und kurzzeitige“ Verlust der Kontrolle über die eigenen Daten, beispielsweise weil sie durch Scraping erfasst und publiziert werden, einen Schadensersatzanspruch nach Art. 82 DSGVO begründen kann. Der Schutz personenbezogener Daten stellt ein eigenständiges Rechtsgut dar, dessen Verletzung unabhängig von einer konkreten Folge als schützenswert angesehen wird. Der Schwerpunkt bei der Bewertung von Schadensersatzansprüchen liegt damit stärker auf dem Schutz der informationellen Selbstbestimmung als auf klassisch materiellen Folgen.
Zugleich hat der BGH die Bemessung des Schadensersatzes thematisiert und klargestellt, dass er im Einzelfall unter Beachtung der besonderen Funktion des Art. 82 DSGVO als Ausgleichs- und Entschädigungsnorm nach den Vorschriften über die Schätzung des Schadens (§ 287 ZPO) festzulegen ist. In ähnlich gelagerten Fällen haben Gerichte eine Kompensation in der Größenordnung von etwa 100 Euro als angemessen angesehen, wenn es bei einem reinen Kontrollverlust ohne weitere gravierende Folgen bleibt.
Für Plattformbetreiber, soziale Netzwerke und Anbieter digitaler Dienste hat dieses Urteil erhebliche Bedeutung. Betreiber müssen sich bewusst sein, dass sie bei Datenschutzverstößen nicht nur mit behördlichen Bußgeldern, sondern auch mit einer Vielzahl von zivilrechtlichen Schadensersatzansprüchen konfrontiert werden können, selbst wenn die betroffenen Daten nicht missbräuchlich verwertet wurden. Dies betrifft insbesondere Fälle, in denen Dritte durch Schwachstellen der Plattform oder durch nicht ausreichend gesicherte Schnittstellen Daten automatisiert auslesen können. Betreiber sollten daher ihre Sicherheits- und Datenschutzvorkehrungen überprüfen und gegebenenfalls verbessern, um Scraping-Angriffe oder ähnliche Datenzugriffe zu verhindern und so das Risiko von Schadensersatzforderungen zu reduzieren. Für betroffene Nutzer bedeutet die Entscheidung eine Stärkung ihrer Rechte: Der BGH anerkennt ausdrücklich, dass der bloße Verlust der Hoheit über persönliche Daten einen Schaden darstellen kann, der nach europäischem Recht auszugleichen ist.
Deutsch
English (UK)