Der immaterielle Schadensersatzanspruch bei Datenschutzverstößen nach Art. 82 DS-GVO ist äußerst relevant. Tausende Klagen auf immateriellen Schadensersatz wurden bereits erhoben, unter anderem weil spezialisierte Klägerkanzleien unter Einschaltung von Rechtsschutzversicherungen und Prozessfinanzierern eine für die Betroffenen risikolose Rechtsdurchsetzung anbieten und offensiv bewerben. Zugleich waren die Voraussetzungen dieses Anspruchs von Anfang an hoch umstritten.
Die daher zunächst sehr zersplitterte Rechtsprechung der deutschen Gerichte wird nun zunehmend durch höchstrichterliche Rechtsprechung vereinheitlicht. So hat der EuGH seit Mai 2023 in insgesamt zehn Urteilen entschieden, wie der immaterielle Schadensersatzanspruch auszulegen ist. Der BGH griff diese Vorgaben in seinem jüngsten Urteil zum "Facebook-Scraping" auf und klärte umstrittene Rechtsfragen, die durch ungenaue Formulierungen des EuGH entstanden waren (Urteil vom 18.11.2024 – VI ZR 10/24).
EuGH: Schaden muss nicht erheblich sein
Die Voraussetzungen und die Bemessung des immateriellen Schadensersatzanspruchs nach Art. 82 DS-GVO waren von Anfang an umstritten. Inzwischen hat der EuGH konkretisiert, wie die Norm auszulegen ist. Drei zentrale Fragen beschäftigten ihn dabei bisher: Muss es neben dem DS-GVO-Verstoß einen Schaden geben? Wenn ja, worin kann dieser bestehen? Und wie ist der Schaden zu bemessen?
In seinem Urteil vom 4. Mai 2023 (C-300/21, Österreichische Post) hat der EuGH die erste Frage dahingehend beantwortet, dass der DS-GVO-Verstoß für sich genommen noch keinen Schadensersatzanspruch begründet. Es muss immer auch ein auf den Verstoß zurückzuführender Schaden nachgewiesen werden.
Seither ist vor allem die zweite Frage virulent, weil nicht abschließend geklärt ist, worin der immaterielle Schaden bestehen kann. Die Beantwortung wird dadurch erschwert, dass der EuGH ebenfalls frühzeitig feststellte, dass es für den Schadensersatz – anders als im deutschen Recht – keine Erheblichkeitsschwelle gibt. Damit fällt ein einfacher Grund für die Klageabweisung weg, weil grundsätzlich auch geringfügige Nachteile einen Schaden begründen können.
Der Gerichtshof entschied ferner, wie Gerichte den immateriellen Schaden zu bemessen haben. Er stellte dabei klar, dass der immaterielle Schaden nicht etwa auch der Abschreckung diente, sondern. ausschließlich dem Ausgleich des erlittenen Schadens. Daher könne bei der Bemessung des Schadensersatzes nur der tatsächlich erlittene Nachteil beim Geschädigten berücksichtigt werden, nicht aber etwa das Verhalten des Schädigers.
BGH: Schon Kontrollverlust begründet Schaden
In der EuGH-Rechtsprechung klingt immer wieder an, dass schon der "Kontrollverlust" über die Daten – um den es auch in der jüngsten BGH-Entscheidung ging – sowie "Befürchtungen" bezüglich Datenmissbrauchs ein Schaden sein können. Hinsichtlich der "Befürchtungen" hat der EuGH festgestellt, dass der Anspruchsteller diese samt ihren negativen Folgen nachweisen muss. Beim Kontrollverlust formuliert er hingegen immer wieder, dass der Kontrollverlust einen Schaden verursachen "kann", sofern ein solcher Schaden tatsächlich nachgewiesen wird. Dies interpretierten viele Instanzgerichte in Deutschland so, dass der Schaden nicht schon im Kontrollverlust liege, sondern allenfalls daraus folgen könne. Dieser Rechtsauffassung ist der BGH in seinem jüngsten Urteil nicht gefolgt.
Er entschied am 18. November 2024 in seinem ersten Leitentscheidungsverfahren zum immateriellen Schadensersatz bei Datenschutzverstößen, dass allein der "Kontrollverlust" über personenbezogene Daten selbst einen Schaden im Rahmen des Art. 82 DS-GVO begründen kann. Dabei hatte er keine Bedenken, die Entschädigung in Höhe von 100 Euro zu bemessen.
Hintergrund war das sog. Facebook-Scraping: 2021 hatten Unbekannte personenbezogene Daten – wie Name, Telefonnummer und E-Mail-Adresse – von ca. 533 Millionen Facebook-Nutzerinnen und -Nutzern von der Plattform heruntergeladen und veröffentlicht. In der Folge verklagten Tausende Betroffene Facebook auf Schadensersatz.
Rechtsprechung ausgewertet: 75% der Klagen abgewiesen
Der BGH liefert in der Urteilsbegründung allerdings keine Definition für den Kontrollverlust, was die Feststellung des Schadens für die Gerichte erschweren dürfte. Denn ihnen obliegt die Entscheidung, ob und in welcher Höhe immaterieller Schadenersatz zugesprochen wird. Um ein umfassendes Bild der Rechtsprechungspraxis zu erhalten, haben die Autoren 255 deutsche veröffentlichte Entscheidungen von 2018 bis August 2023 ausgewertet.
Überraschend zeigte sich dabei, dass in 75% der Entscheidungen der Schadensersatzanspruch vollständig abgewiesen wurde. Dort haben die Gerichte entweder keinen Schaden oder keinen Rechtsverstoß festgestellt. Interessanterweise spielte die Erheblichkeitsschwelle kaum eine Rolle: Nur in fünf Urteilen wurde die Klageabweisung mit der Geringfügigkeit begründet, wobei das Gericht jeweils auch so verstanden werden konnte, dass gar kein Schaden festgestellt werden konnte.
Der zugesprochene Schadensersatz variierte zudem sehr stark: Die Summen reichten von 25 Euro bis zu 30.000 Euro, wobei die besonders hohen Summen nicht auf Art. 82 DS-GVO, sondern auf § 823 BGB i.V.m. Art 1 Abs. 1, 2 Abs. 1 GG gestützt wurden. Der Durchschnitt der zugesprochenen Summen über alle Entscheidungen lag bei 3.300 Euro. Zum Vergleich: Die Kläger beantragten im Schnitt 5.160 Euro. In zwei Drittel der erfassten Entscheidungen, die überhaupt Schadensersatz zusprachen, sprachen die Gerichte weniger als 40% des geforderten Schadensersatzes zu.
In insgesamt 65 Entscheidungen wurde ein Schadensersatzanspruch bejaht – in 18 davon (ca. 28%) haben die Richterinnen und Richter jedoch weniger als 500 Euro zugesprochen. Offenbar sind die festgestellten Schäden häufig nicht besonders erheblich.
Erstaunlich häufig wird die Abschreckung als Begründung für die Schadenshöhe angeführt, nämlich in 24 Entscheidungen. Die Abschreckung korreliert dabei aber nicht mit hohen Summen, sondern findet sich auch bei niedrigen Beträgen wie 25 Euro. Anscheinend war die Abschreckung schon vor der EuGH-Rechtsprechung ein "Nullargument", das zwar genannt wurde, aber nicht ernsthaft in die Schadensberechnung einfloss.
Kläger überschätzen Schadenshöhe
Nicht nur die hohe Abweisungsquote von 75%, sondern auch die häufige Überschätzung der Schadenssumme zeigt, dass die Kläger ihre Ansprüche erheblich überschätzten. Abzuwarten bleibt, ob sich dies mit Konkretisierung der Rechtsprechung relativiert oder ob Klägervertreter die Forderungen bewusst hoch ansetzen, um die Streitwerte in die Höhe zu treiben.
Der Großteil der Entscheidungen war zudem in der ersten Instanz beim LG anhängig (erfasst wurden 131 erstinstanzliche LG- und 46 OLG-Entscheidungen, die in erster Instanz vom LG entschieden wurden, insgesamt 177 Entscheidungen). Der Streitwert muss also über 5.000 Euro liegen, da das Landgericht andernfalls nicht in erster Instanz zuständig wäre. Tatsächlich wurde aber bei 131 Entscheidungen 5.000 Euro oder weniger als Schadensersatz beantragt, bei 115 davon wurden nicht einmal 2.500 Euro Schadensersatz eingeklagt. Der Schadensersatzanspruch wird also i.d.R. nicht nur mit anderen Anträgen kombiniert, sondern ist häufig wertmäßig auch nicht der maßgebliche Antrag.
Das deutet darauf hin, dass die Kläger den Schadensersatz entweder als Annex geltend machen, weil sie ohnehin vor Gericht ziehen – etwa vor die Arbeitsgerichte. Oder die Streitwerte werden durch zusätzliche Auskunfts- und Unterlassungsansprüche – gerade vor den LG – von Klägervertretern bewusst in die Höhe getrieben, um höhere Gebühren zu realisieren.
Fälle werden steigen – Schadensersatzsummen fallen
Das BGH-Urteil zum "Facebook-Scraping" ist ein weiterer Baustein bei der Konturierung des immateriellen Schadensersatzes wegen DS-GVO-Verstößen. Doch die europäische und die nationale Rechtsprechung erlauben eine Prognose. So ist zu erwarten, dass die Klageeingänge hoch bleiben. Mit seiner Entscheidung, der "Kontrollverlust" könne selbst ein Schaden sein, hat der BGH professionellen Klägervertretern Aufwind verschafft. Diese Kanzleien dürften für einen erheblichen Anteil der anhängigen Klagen verantwortlich sein, jedenfalls widerlegen unsere Zahlen diese anekdotische Beobachtung nicht. Die BGH-Entscheidung dürfte hier als Anker genutzt werden, um weitere Kläger zu werben.
Gleichzeitig deutet die BGH-Entscheidung an, dass die zugesprochenen Summen sinken werden. Die vom BGH vorgeschlagenen 100 Euro bewegen sich weit am unteren Ende der bisher zugesprochenen Summen. Die Zahlen deuten zugleich darauf hin, dass die deutschen Gerichte auch bisher keine Scheu hatten, niedrige Beträge zuzusprechen. Die EuGH-Rechtsprechung, nach der es keine Erheblichkeitsschwelle gibt, legitimiert dies. Hohe Schadensersatz-Summen werden allenfalls besonderen Einzelfällen mit erheblichen Beeinträchtigungen vorbehalten bleiben.
Dr. Jakob Horn, LL.M. (Harvard), ist Associate bei Taylor Wessing in Berlin. Als Mitglied der Practice Area Technology, Media & Telecoms berät er Unternehmen zum Datenschutz, zum IT-Vertragsrecht und zur IT-Sicherheit sowie zu sonstigen technologierechtlichen Fragestellungen.
Dr. Lea Stegemann ist Senior Associate bei Noerr in Berlin. Als Mitglied der Praxisgruppen Data Protection Litigation und Class & Mass Action Defence vertritt sie Unternehmen in Gerichtsverfahren gegen Einzelklagen und Sammelklagen von Verbänden und privaten Rechtsdienstleistern.
