Zum immateriellen Schadensersatz bei DSGVO-Verstößen

Immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung sein. Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

Dem Urteil des BGH liegt folgender Sachverhalt zugrunde:

Die Beklagte, die ihren Sitz in Irland hat, betreibt das soziale Netzwerk Facebook, bei welchem der Kläger ein Nutzerkonto unterhält. Der Kläger macht unter anderem Schadensersatzansprüche wegen einer Verletzung der DSGVO durch die Beklagte geltend. Er stellt auf Facebook persönliche Daten ein. Hierzu gehören unter anderen die für die Registrierung erforderliche und für alle Nutzer:innen stets öffentlich einsehbare Angabe seines Namens, Geschlechts sowie der ihm zugewiesenen Nutzer-ID. Daneben gibt der Kläger auch seine Telefonnummer an, stellt die Sichtbarkeit dieser jedoch unter den Privatsphäre-Einstellungen auf „nur ich“ ein. Bei den Suchbarkeitseinstellungen seines Profils, bei denen unter anderem festgelegt werden kann, wer ihn anhand seiner Telefonnummer finden kann, lässt der Kläger jedoch die Standardvoreinstellung „alle“. Unbekannte Dritte machen sich diesen Umstand zu Nutze. Sie ordnen durch die in großem Umfang erfolgte Eingabe randomisierter Ziffernfolgen über die Kontakt-Import-Funktion Telefonnummern den zugehörigen Nutzerkonten zu und greifen die zu diesen Nutzerkonten vorhandenen öffentlichen Daten ab (sogenanntes Scraping). Von diesem Scraping-Vorfall sind auch Daten des Klägers betroffen, die auf diese Weise mit dessen Telefonnummer verknüpft wurden. Der Kläger macht geltend, die Beklagte habe keine ausreichenden Sicherheitsmaßnahmen ergriffen, um eine Ausnutzung des Kontakt-Tools zu verhindern. Er macht aufgrund des erlittenen Ärgers und des Kontrollverlusts über seine Daten Ersatz für immaterielle Schäden geltend. Das Landgericht gibt der Klage in erster Instanz statt und spricht dem Kläger Schadensersatz nach aus Art. 82 Abs. 1 DSGVO in Höhe von 250 Euro zu. Das Oberlandesgericht weist die Klage dagegen auf die Berufung der Beklagten hin ab. Mit der Revision begehrt der Kläger weiterhin Schadensersatz.

Die Revision des Klägers ist erfolgreich. Dem Kläger stehe ein Anspruch auf Ersatz immateriellen Schadens zu. Nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH könne auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden im Sinne der Norm sein. Weder müsse insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen. Die Sache wurde unter diesen Gesichtspunkten zur neuen Verhandlung und Entscheidung an das Oberlandesgericht zurückverwiesen, wobei der Senat darauf hinweist, dass sich der Ausgleich für den bloßen Kontrollverlust in einer Größenordnung von etwa 100 Euro zu bemessen habe.

Hinweis: An diesem Verfahren war der Verbraucherzentrale Bundesverband (vzbv) nicht beteiligt. Gerne informiert Sie der vzbv alle vier bis sechs Wochen mit einem kostenlosen Newsletter über neue Urteile zum Verbraucherrecht.