BGH erleichtert Forderung von DSGVO-Schadensersatz: Kon­troll­ver­lust über Daten ist nur ein kleiner Schaden

"Gesagt, getan" – als am 31. Oktober 2024 das Gesetz zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof (BGH) in Kraft trat, bestimmte der u.a. für Ansprüche aus der DSGVO zuständige VI. Zivilsenat des BGH noch am selben Tag das erste solche Verfahren: Das gegen den Facebook-Mutterkonzern Meta im sog. Scraping-Komplex (Beschl. v. 31.10.2024 – VI ZR 10/24 und VI ZR 186/24). Das Urteil wurde am Montag verkündet.

Ursprung des Verfahrens ist ein Facebook-Tool, mit dem es Nutzern ermöglicht werden sollte, "Freunde" über ihre Telefonnummer auf dem sozialen Netzwerk zu finden. Cyberkriminelle nutzten dieses Tool aus, indem sie automatisiert zufällige Zahlenfolgen eingaben und so im April 2021 ungefähr 530 Millionen Telefonnummern mit bestimmten Nutzern und ihren öffentlichen Profilinformationen verknüpfen konnten (sog. "Scraping").

Von den ungefähr sechs Millionen betroffenen Nutzern in Deutschland klagten viele auf immateriellen Schadensersatz – mit unterschiedlichen Ergebnissen. Die Auffassungen der Instanzgerichte zu den Voraussetzungen für DSGVO-Schadensersatzansprüche gingen ebenso auseinander wie die Meinungen dazu, ob es durch die Konfiguration und das "Scraping" des Kontakt-Import-Tools von Facebook überhaupt zu einem Datenschutzverstoß im Rechtssinn gekommen ist.

Einige Kläger verfolgten ihre Angelegenheit daher bis zu einer Revision vor dem BGH, die bisher stets ohne (Grundsatz-)Entscheidung endete, weil die Revision zurückgenommen wurde (so bspw. in dem ursprünglich für den 11. November terminierten Verfahren VI ZR 7/24 und VI ZR 22/24, in denen sich die Kläger mit Meta auf einen Vergleich einigen konnten).

Mit Einführung des Leitentscheidungsverfahrens hatte der BGH nun die Gelegenheit, sein neues zivilprozessuales Instrument zu nutzen. Bestimmt der BGH ein Revisionsverfahren zum Leitentscheidungsverfahren gem. § 552b ZPO, trifft der BGH selbst dann eine (Leit-)Entscheidung, wenn die Revision ohne Urteil mit inhaltlicher Begründung endet (§ 565 Abs. 1 ZPO) – etwa durch Vergleich, um ein ggfs. nachteiliges Grundsatzurteil in die eine oder andere Richtung zu verhindern.

Ziel des Leitentscheidungsverfahrens ist es, insbesondere in Massenverfahren mit gleichen, entscheidungserheblichen Rechtsfragen diese vor die Klammer zu ziehen und höchstrichterlich zu klären, damit dann die Instanzgerichte die anhängigen Verfahren zügig entscheiden können. Ist ein Leitentscheidungsverfahren bestimmt, können die Instanzgerichte ein Verfahren gem. § 148 Abs. 4 ZPO aussetzen. 

Warum aber wählte der BGH ausgerechnet diesen Fall für seine erste Leitentscheidung?

Cyber-Angriff, Datenpanne, Datenschutzverstoß – same, same, but different

Im Scraping-Komplex richtet sich der Vorwurf der betroffenen Nutzer gegen die Voreinstellung des Kontakt-Import-Tools auf "alle" (Kontakte). Diese weite Grundeinstellung soll gegen die Datenschutzprinzipien verstoßen haben. Da die Datendiebe, die sich die Konfiguration des Tools zunutze gemacht haben, wie in solchen Fällen üblich, für eine Schadensersatzklage nicht erreichbar sind, soll Meta in die Verantwortung genommen werden – bei ca. 6 Millionen Betroffenen keine Kleinigkeit.

Besonders virulent wird hier die Frage nach den Voraussetzungen datenschutzrechtlicher Schadensersatzansprüche. Zu der Formulierung in Artikel 82 Abs. 1 DSGVO, wonach "jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist", Schadensersatz verlangen kann, sind inzwischen eine Reihe an EuGH-Urteilen ergangen, die jedoch noch immer kein klares Bild ergeben.

Nach Ansicht des EuGH kann bereits der bloße kurzzeitige Kontrollverlust über personenbezogene Daten einen immateriellen Schaden darstellen. Es sei zwar keine Erheblichkeit, aber der Nachweis eines kausalen Schadens erforderlich, wozu ein bloß hypothetisches Missbrauchsrisiko nicht ausreiche, die nachgewiesene Befürchtung "samt ihrer negativen Folgen" aber schon (siehe auch: EuGH konkretisiert Rahmen für DSGVO-Schadensersatzklagen).

Die übergreifende Bedeutung der sich stellenden Rechtsfragen für DSGVO-Schadensersatzansprüche und die Größe des "Facebook-Falls" für sich allein machten das vorliegende Verfahren daher zu einem geeigneten Kandidaten für das neue Leitentscheidungsverfahren. Dennoch kam es nicht ganz so wie erwartet.

Die Entscheidung – Vier Fliegen mit einer Klappe?

Da die verfahrensgegenständliche Revision nicht verglichen, d.h. die Revision nicht zurückgenommen wurde, kam es letztlich nicht zu einer Leitentscheidung im engeren Sinne. Stattdessen konnte bzw. musste der BGH eine "reguläre" Revisionsentscheidung treffen.

Der BGH hat nicht abschließend entschieden, ob Meta überhaupt einen Datenschutzverstoß begangen hat. Er geht zwar offenbar davon aus, dass die – zwischenzeitlich veränderte – Standardeinstellung, die grundsätzlich alle Nutzer über ihre Telefonnummer auffindbar machte, den DSGVO-Grundsatz der "Datenminimierung" verletzt hat. Dem Berufungsgericht hat er aber aufgegeben zu prüfen, ob der Kläger eine wirksame Einwilligung für diese Einstellung erteilt hatte.

Immaterieller Schaden

Unter Berufung auf den EuGH vertritt der BGH die Auffassung, dass auch der kurzzeitige Kontrollverlust über personenbezogene Daten schon einen immateriellen Schaden darstellen kann, und es zusätzlicher spürbarer negativer Folgen nicht bedarf. Damit stellt er sich gegen die Mehrheit der deutschen Instanzgerichte, die bisher zumindest eine gewisse "Tiefe" oder Erheblichkeit der Rechtsverletzung gefordert hatte. Für die Anspruchsteller bedeutet das eine erhebliche Erleichterung, da sie nicht in die Verlegenheit geraten, darlegen und ggf. beweisen zu müssen, dass der Gedanke an den Verlust der Kontrolle über ihre Daten Auswirkungen auf ihr Wohlbefinden gehabt oder sonstige spürbare Nachteile verursacht habe.

Die Freude auf Seiten der betroffenen Facebook-Nutzer – und bei interessierten Klägeranwälten und Prozessfinanzierern – dürfte der BGH allerdings durch seinen "Hinweis" an das OLG merklich getrübt haben, wonach sich der angemessene Ersatz des Schadens in Fällen der vorliegenden Art auf etwa 100 Euro belaufen dürfte. Das entspricht nur einem Bruchteil der vom Revisionskläger geforderten Schadenssumme und dürfte viele weitere Anspruchssteller enttäuschen, die von Anwälten mit der Aussicht auf Schadensersatzzahlungen in vierstelliger Höhe gelockt wurden.

Immerhin erkennt der BGH auch an, dass beim Abzug von Daten durch unbekannte Dritte zu Beginn oft noch nicht klar ist, was am Ende mit den Daten geschieht, bspw. ob es zu einem Identitätsdiebstahl kommt. Der Kontrollverlust ist unmittelbar, doch was ist, wenn die Angreifer die Daten später via einer Dark Web-Handelsplattform an Dritte verkaufen, die sie zu unlauteren Zwecken verwenden (bspw. Identitätsdiebstahl)? Der BGH bejaht ein Interesse des Klägers an der gerichtlichen Feststellung der Ersatzpflicht auch in solchen zukünftigen Fällen, die es dem Kläger ermöglicht, solche später eintretenden Schäden noch geltend zu machen.

Neuer Komplex schon in Sichtweite?

Auch wenn das volle Urteil wohl frühestens Ende dieser Woche verfügbar sein wird, lassen sich aus der heute verkündeten Entscheidung bereits einige Lehren ziehen:

Dass in diesem Fall die Revision nicht zurückgezogen wurde, heißt nicht, dass es nicht bald zu einer "echten" Leitentscheidung kommt. Der BGH nutzt sein neues Instrument aktiv, sodass eine Beendigung der Revision durch Vergleich künftig Entscheidungen zu grundsätzlich bedeutsamen Fragen nicht ohne Weiteres verhindern wird (in der Berufung bleibt das weiter möglich). Stattdessen dürfte es künftig immer öfter heißen: "Wo kein Kläger [mehr], da [k]ein Bundesrichter."

Die "Hürden" für die Geltendmachung von immateriellen Schadensersatzansprüchen nach Datenschutzverstößen, etwa wie im vorliegenden Verfahren bei falschen Voreinstellungen oder nach sog. Datenpannen, sind nur noch bodenebene Türschwellen. Aktivistischen Klägern ebnet dies den Weg zu symbolischen Siegen, wie auch die Presseberichterstattung zum hier gegenständlichen Urteil zeigt (etwa in der Tagesschau: "Urteil zu Datenleck: BGH stärkt Rechte von Internet-Nutzern").

Dass der für alle betroffenen Personen gleichermaßen eintretende Kontrollverlust als immaterieller Schaden anerkannt wird, könnte prozessual auch die Tür zur Geltendmachung entsprechender Ansprüche mit dem neuen Instrument der Verbraucherverbandsklage öffnen. Auch wenn unterschiedliche Personen von Datenschutzverstößen unterschiedlichen betroffen sind, könnte sich ihr Kontrollverlust hinreichend ähneln, um als "wesentlich gleichartig" im Sinne des § 15 VDuG anerkannt zu werden.

Die finanziellen Anreize für Massenklagen sind nach dem BGH-Urteil dagegen vergleichsweise gering. Prozessfinanzierer und spezialisierte Klägerkanzleien werden ihre Geschäftsmodelle daher auf Fälle mit zumindest hunderttausenden Betroffenen zuschneiden und zu erheblichen Teilen automatisieren müssen, um unter diesen Vorzeichen aktiv werden zu können.

Die durch den BGH entschiedenen Fragen werden nicht nur im Scraping-Komplex relevant, bei dem der Datenschutzverstoß selbst nicht völlig klar umrissen ist, sondern gerade auch bei den immer häufiger auftretenden Ransomware-Attacken und anderen Cyber-Angriffen. Erst letzte Woche veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Lagebericht für 2024, in dem es insbesondere vor solchen Angriffstypen warnte. Werden die Daten von Tausenden oder gar Millionen unbefugt verschlüsselt, abgezogen und eventuell sogar veröffentlicht, kann sich schnell ein neuer "Komplex" entwickeln, bei dem die am Montag verkündeten Maßstäbe zur Anwendung gelangen.

 

Moritz Stilz, LL.M. (Duke), berät als Rechtsanwalt im Bereich Cybersecurity, Digital Transformation und Compliance bei Gleiss Lutz in Stuttgart. Er ist sowohl in Deutschland als auch in New York als Rechtsanwalt zugelassen und hat für mehr als vier Jahre in New York als US-Litigation Associate gearbeitet.

Simon Wegmann berät als Rechtsanwalt im Bereich Datenregulatorik, insbesondere Datenschutz und Cybersecurity, bei Gleiss Lutz in Berlin. Er berät insbesondere Mandanten aus dem außereuropäischen Ausland.