Aktuelle Entwicklungen und Urteile zum datenschutzrechtlichen Schadenersatzanspruch
Neben Geldbußen von den Datenschutzaufsichtsbehörden drohen Unternehmen auch datenschutzrechtliche Schadenersatzklagen von geschädigten Betroffenen. Nach Art. 82 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz. Der Europäische Gerichtshof hat durch seine mittlerweile zehn Urteile viele offene Rechtsfragen bereits geklärt.
Was ist unter einem immateriellen Schaden zu verstehen?
Die Frage, wann ein immaterieller Schaden vorliegt, ist nach wie vor sehr umstritten. Zwar steht fest, dass es keine Erheblichkeitsschwelle für immaterielle Schäden gibt, dennoch muss der Schaden nachgewiesen werden (EuGH, Urt. v. 04.05.2023 – C‑300/21).
Unstrittig ist mittlerweile, dass der Umstand, dass eine betroffene Person infolge eines DS-GVO-Verstoßes befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden, für die Annahme eines immateriellen Schadens ausreichend ist (EuGH, Urt. v. 14.12.2023 – C-340/21). Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen reicht hierbei aber nicht aus (EuGH, Urt. v. 20.06.2024 – C‑590/22), zudem liegt auch kein Schaden bei einer erwiesenermaßen Nichtkenntnisnahme oder einem rein hypothetischen Risiko der missbräuchlichen Verwendung vor (EuGH, Urt. v. 25.01.2024 – C 687/21).
Ist der bloße Kontrollverlust ein immaterieller Schaden?
Zwar hatte der EuGH bereits im Dezember 2023 entschieden, dass auch ein kurzzeitiger Verlust der Hoheit über Daten durch Veröffentlichung im Internet zu einen immateriellen Schaden führen kann (EuGH, Urt. v. 14.12.2023 – C-456/22) und dass auch keine konkrete missbräuchliche Verwendung der Daten durch den Kontrollverlust erforderlich ist (EuGH, Urt. v. 14.12.2023 – C-340/21), dennoch ist nach wie vor umstritten, ob bereits der bloße Kontrollverlust einen immateriellen Schaden darstellt oder ob durch den Kontrollverlust lediglich ein weiter Schaden verursacht wird, wie z.B. die Sorge vor einem Datenmissbrauch. Im Oktober 2024 stellte der EuGH aber fest, dass bei einem Kontrollverlust der Nachweis zusätzlicher spürbarer negativer Folgen nicht erfordert ist (EuGH, Urt. v. 04.10.2024 – C‑200/23).
Leitentscheidung des BGH
Der VI. Zivilsenat des BGH hat sich im ersten Leitentscheidungsverfahren zu dieser Thematik geäußert. In einer Konstellation eines Facebook-Scraping-Verfahrens (eine technische Einstellung bei Meta erlaubte mittels randomisierter Handynummern den Abgleich und das Extrahieren von Millionen von Nutzerdaten, die im Internet veröffentlicht wurden) sah der BGH mit Verweis auf die obige EuGH-Rechtsprechung einen Schadenersatzanspruch aufgrund eines bloßen Kontrollverlustes als erfüllt an. Weitere Ängste bezüglich des Datenschutzverstoßes würden den eingetretenen immateriellen Schaden nur vertiefen oder vergrößern (BGH, Urt. v. 18.11.2024 – VI ZR 10/24).
BAG-Urteil zum Kontrollverlust
Das BAG hatte nach dem Leitentscheidungsurteil zu dieser Konstellation Stellung bezogen. Arbeitsgerichte sind oft mit Schadenersatzklagen befasst, bei denen Kläger bei Verstößen gegen den Auskunftsanspruch nach Art. 15 DS-GVO einen Kontrollverlust behaupten.
Nach dem Urteil des BAG vom 20.02.2025 – 8 AZR 61/24 verstehe der EuGH unter einem Kontrollverlust nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hat. Dies sei bei Verstößen gegen das Auskunftsrecht gerade nicht der Fall.
Vorabentscheidungsverfahren LG Erfurt
Das LG Erfurt folgt der Ansicht des BGH, dass kein Klärungsbedarf mehr besteht („acte éclairé), ausdrücklich nicht und möchte mit dem Vorlagebeschluss vom 03.04.2025 – 8 O 895/23 wissen, ob in der Konstellation des Facebook-Scraping ein Schaden durch einen Kontrollverlust vorliegt.
Fazit
Die BGH-Leitentscheidung hat auch in der Literatur immense Kritik hervorgerufen. So wird u.a. ausgeführt, dass der EuGH mit dem Urteil v. 04.10.2024 – C‑200/23 lediglich klarstellen wollte, dass keine Bagatellgrenze besteht und ein Kontrollverlust zu einer begründeten Befürchtung des Datenmissbrauchs führen kann. Der Kontrollverlust als immaterieller Schaden würde zudem die klare Trennung zwischen Schaden und Datenschutzverstoß aushöhlen.
Dennoch sprechen die besseren Argumente dafür, den bloßen Kontrollverlust als immateriellen Schaden im Sinne des Art. 82 DS-GVO einzustufen. Der Kontrollverlust wird im Erwägungsgrund 85 der DS-GVO ausdrücklich als Schaden aufgeführt. Der EuGH stellt zudem klar, dass selbst der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden „darstellen“ kann und zusätzlich spürbare negativer Folgen nicht nachgewiesen werden müssen. Es ist somit nicht erforderlich, dass ein Schaden erst durch den Kontrollverlust „verursacht“, „erlitten“ oder „zugefügt“ wird. Zudem muss dieser Schaden auch nachgewiesen werden, so dass es auch nicht zu einer Vermischung von Verstoß und Schaden kommt. Zu klären ist aber, wie ein Kontrollverlust zu definieren ist und wie der Verlust der Kontrolle über personenbezogene Daten nachzuweisen ist.
