WISSENSWERTES | 30.06.2025
Schadensersatz nach DSGVO – Kontrollverlust und Schaden
Bereits mehrfach hatten wir über die Entwicklung der Rechtsprechung im Hinblick auf (zivilrechtliche) Schadensersatzansprüche von Datenschutzverletzungen Betroffener berichtet . Seitdem hat sich zwar an den bereits im Mai 2023 vom EuGH herausgearbeiteten Grundvoraussetzungen eines Schadensersatzanspruchs nach Art. 82 DSGVO nichts geändert. Allerdings steckt der Teufel im Detail, was eine valide Beratung sowohl Betroffener als auch tatsächlicher oder potentieller Rechtsverletzer schwierig macht.
Galt bislang zumindest grob die Richtschnur, dass zwar für die Geltendmachung immateriellen Schadensersatzes nach Art. 82 DSGVO keine Erheblichkeitsschwelle existiert, dafür aber ein entstandener Schaden dargelegt und notfalls nachgewiesen werden muss, so verschwimmen mittlerweile die Grenzen. Ein Beispiel dafür ist das Urteil des OLG Dresden vom 10. Dezember 2024 zum Aktenzeichen 4 U 808/24. Dort ging es um die nach Inkrafttreten der DSGVO nicht mehr gerechtfertigte Angabe der Handynummer bei Facebook. Der Betroffene hatte zwar einen entsprechenden Datenschutzverstoß sowie, mangels hinreichender Erfüllung der Informationspflichten des Anbieters, auch einen „Kontrollverlust“ über seine Daten behauptet, aber keinen konkreten Schaden dargelegt.
Unter Rückgriff auf die Entscheidung des BGH im Urteil vom 18. November 2024 zum Aktenzeichen VI ZR 10/24 referierte das OLG Dresden in seiner Urteilsbegründung die entscheidungsleitende EuGH-Rechtsprechung. Danach sei eine von einem Datenschutzverstoß betroffene Person zwar nicht vom Nachweis befreit, dass die Rechtsverletzung Folgen im Sinne eines immateriellen Schadens hatte. Gleichzeitig aber habe der EuGH unter Bezugnahme auf den 85. Erwägungsgrund zur DSGVO klargestellt, dass auch ein nur kurzzeitiger Kontrollverlust über personenbezogene Daten einen immateriellen Schaden darstellen kann (EuGH, Urteil vom 4. Oktober 2024, Az. C-200/23). Dort ist erwähnt, dass eine Verletzung des Schutzes personenbezogener Daten immaterielle Schäden für natürliche Personen nach sich ziehen kann, wobei der Verlust der Kontrolle über personenbezogene Daten als Beispiel aufgeführt wird. Mit anderen Worten: Der Schadensbegriff der DSGVO ist denkbar weit.
Darauf Bezug nehmend erkannte das OLG Dresden an, dass ein Kontrollverlust der Klagepartei im Hinblick auf die bei der Registrierung angegebene Telefonnummer und die Verknüpfung mit Namen und Facebook-ID durch den Scraping-Vorfall vorliegt, was auch nicht mit einer bewussten und zielgerichteten Weitergabe der Telefonnummer an bestimmte Empfänger gleichzusetzen sei. Das genügte dann als Grundlage für eine Schadensschätzung durch das Gericht, in deren Ergebnis dem Betroffenen eine immaterielle Entschädigung von immerhin 100,00 € zugesprochen wurde. Hätte der Betroffene weitergehende (psychische) Beeinträchtigungen nicht nur behauptet, sondern nachgewiesen, wäre der Entschädigungsbetrag vermutlich deutlich höher ausgefallen.
Fazit
Im Ergebnis kann auch ein bloßer „Kontrollverlust“ zu einem immateriellen Schadensersatz nach Art. 82 DSGVO führen. Wird allein dieser nachgewiesen, bleibt die Forderung zwar überschaubar. Vieles hängt aber vom Geschick des Betroffenenvertreters und dessen Sachvortrag im Prozess ab.
Diese Entwicklung sollte für alle Datenverarbeiter Anlass genug sein, die Notwendigkeit der vom Betroffenen erhobener personenbezogener Daten, die Rechtfertigung ihrer Verarbeitung sowie vor allem auch die Sicherheit der Daten vor Angriffen Dritter nochmals kritisch zu überprüfen.