„Kontrolle“ ist im traditionellen deutschen Schadensrecht kein ersatzfähiges Gut: Selbst im Rahmen der Gefährdungshaftung – etwa bei „außer Kontrolle“ geratenen Produkten – muss ein darüber hinausgehender Schaden eingetreten sein. Im Datenschutzrecht gilt, strenggenommen bereits seit dem Volkszählungsurteil, etwas anderes: Der Bürger müsse wissen, wer was wann über ihn weiß. Das informationelle Selbstbestimmungsrecht umfasst (in gewissem Maße) Datenherrschaft, vielmehr jedoch Wissen über die Umstände der Verarbeitung, und kann eine Einschränkung – einen „Kontrollverlust“ – etwa im Wege unrechtmäßiger Datenzugriffe oder der Errichtung widerrechtlicher Informationsgefälle erfahren. Kontrolle heißt: Disponieren, soweit man disponieren kann; wissen, soviel man wissen darf.

Der BGH fällt ein salomonisches Urteil, indem er sich bei der zentralen Frage, ob der Kontrollverlust beim „Scraping“ als Schaden ersatzfähig ist, auf ein „Kommt darauf an“ zurückzieht. Dies ist keine Schwäche – vielmehr nutzt er das Sprungbrett des Datenschutzrechts, sich von althergebrachten Dogmen zu lösen. Auch ist dies kein Novum: Im Bereich sogenannter Schockschäden fordert der BGH (inzwischen) lediglich eine Beeinträchtigung mit Krankheitswert, nicht aber Beeinträchtigungen über den „normalen Trauerschmerz“ hinaus. Mit dem Vorschlag einer monetären Kompensation des „normalen Kontrollverlusts“ in Höhe von 100 EUR schafft der Senat einen Spagat, der einerseits wenig begründeten Klägervorträgen vorbeugt, andererseits dem europäischen Effektivitätsgebot Rechnung trägt und damit „chilling effects“ vermeidet.

Kontrollverlust und andere negative Folgen (zB Befürchtungen eines Datenmissbrauchs) stellen voneinander unabhängige Schadenspositionen dar. Der Nachweis (irgend-)eines Schadens bleibt erforderlich – selbst wenn dieser „nur“ im Kontrollverlust besteht. Offen bleiben die konkreten Anforderungen an den Nachweis. Auch wird das Problem, dass Kontrollverluste qua natura Elemente des Ungewissen beinhalten und Schadensereignisse somit ggf. bei Betroffenen fortwirken, nicht aufgegriffen. Gerichte haben nun zu beurteilen, ob der individuelle Vortrag den Anforderungen an einen ersatzfähigen Kontrollverlust (oder anderer Schäden) genügt und wie jener Schaden zu beziffern ist. Angesichts dessen bleibt abzuwarten, ob die massenhafte Geltendmachung von Schadensersatz, insbesondere nach Data Breaches, ein tragfähiges Geschäftsmodell ist.

Die Leitentscheidung: Für manche eine bekömmliche Entscheidung – für andere womöglich mehr Leid als Entscheidung. 

Dieser Inhalt ist zuerst in der NJW erschienen. Sie möchten die NJW kostenlos testen? Jetzt vier Wochen gratis testen inkl. Online-Modul NJWDirekt.