Nach dem BGH-Urteil zum DSGVO-Schadenersatz – Pauschal 100 EUR bei (angeblichem) Kontrollverlust?

Posted on by

Nach dem Urteil des BGH vom 18.11.2024 (Az. VI ZR 10/24) warten wir gespannt darauf, wie die Auslegung des BGH von Instanzgerichten aufgenommen wird. Denn diese müssen nun die Vorgaben durch den BGH bei ihren Entscheidungen berücksichtigen.

Der BGH hatte einerseits (jeweils unter Verweis auf EuGH-Rechtsprechung) begründet, dass der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (Rz. 30).

Anderseits geht der BGH aber auch davon aus, dass die betroffene Person den Nachweis erbringen muss, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (Rz. 31).

Ist, nach den Feststellungen des Gerichts, allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, gibt der BGH den Tatrichtern gewisse Anhaltspunkte, die bei der Schätzung des Schadens zu berücksichtigen sind (Rz. 99).

Deutlich wird: der BGH erkennt an, dass ein Kontrollverlust ein Schaden sein kann – gleichzeitig verweist der BGH aber mehrmals darauf, dass dieser Kontrollverlust durch den Betroffenen auch nachgewiesen sein muss.

LG Münster

In einem Urteil des LG Münster vom 25.11.2024 (Az. 014 O 78/24) ging es um mögliche Schadenersatzansprüche wegen (unzulässiger) Weitergabe von Positivdaten an eine Auskunftei.

Das LG geht im konkreten Fall davon aus, dass kein Verstoß gegen die DSGVO vorliegt. Eigentlich wäre also eine Prüfung von Art. 82 DSGVO entbehrlich gewesen. Dennoch nutzt das LG die Gelegenheit und setzt sich mit der BGH-Entscheidung auseinander.

Das LG geht zunächst davon aus, dass „nicht schon allein ein Verstoß gegen die Datenschutzgrundverordnung für die Klägerin einen immateriellen Schaden darstellt“ (hier verweist das LG etwa auf EuGH C-300/21 und C-667/21).

Danach verweist das LG auf die obige Ansicht des BGH, „dass schon allein der Kontrollverlust über die eigenen Daten für einen Anspruch auf immateriellen Schadensersatz grundsätzlich ausreichen könne (Urt. v. 18.11.2024, VI ZR 10/24)“.

Jedoch scheint des LG die Entscheidung des BGH sehr konkret nur auf solche Fälle anwenden zu wollen, in denen ein Kontrollverlust durch Betroffene tatsächlich festgestellt ist.

Vorliegend konnte indes noch nicht einmal ein solcher Kontrollverlust festgestellt werden. Anders als in den sog. Scraping Fällen, in denen unbekannte Dritte personenbezogene Daten unrechtmäßig erlangten und deren Verbleib teils ungeklärt ist, sind in hiesigem Fall die konkret betroffenen Daten sowie deren Verbleib weitgehend geklärt„.

Zumindest aus der Ansicht des LG kann man mitnehmen:

  • Die Ansichten des BGH gelten nur in Fällen, in denen es auch um einen Kontrollverlust geht.
  • Dieser Kontrollverlust muss auch nachgewiesen bzw. festgestellt sein.

Das LG versteht den BGH offenbar auch nicht im Sinne einer zwingenden Annahme eines Schadens bei jeglichem Kontrollverlust (quasi „Jeder Kontrollverlust ist immer ein Schaden“). Denn das LG verweist darauf, dass der BGH davon ausgehe, dass ein Kontrollverlust für einen Schaden „grundsätzlich ausreichen könne“ – aber eben nicht „immer einen Schaden darstellt“, „stets ausreicht“ oä.

OLG Hamm

Jüngst hat sich nun auch ein Oberlandesgericht mit dem BGH-Urteil in zwei Entscheidungen befasst – konkret das OLG Hamm (Urteil vom 29.11.2024, Az. 25 U 25/24 und Urteil vom 26.11.2024, Az. 25 U 12/24). In beiden Verfahren ging es auch um sog. Scraping-Fälle. Und das OLG lehnt Schadenersatzansprüche in beiden Fällen als unbegründet ab.

Wie auch der BGH stellt das OLG zunächst noch einmal klar, dass nach der Rechtsprechung des EuGH der bloße Verstoß gegen die Bestimmungen der DSGVO gerade nicht ausreicht, um einen Schadenersatzanspruch der betroffenen Person zu begründen.

Vielmehr sind darüber hinaus der Eintritt eines Schadens und auch das Vorliegen eines Kausalzusammenhangs zwischen dem Schaden und dem Datenschutzverstoß erforderlich“.

Und dieser Eintritt des Schadens, also sein tatsächliches Vorliegen, muss der Betroffene nachweisen.

Die Darlegungs- und Beweislast liegt insofern bei der betroffenen Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines Schadens verlangt“.

In den beiden Verfahren lehnt das OLG einen Schadenersatzanspruch wegen eines Kontrollverlustes ab.

Zwar geht das OLG davon aus, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten nach der Rechtsprechung des EuGH einen immateriellen Schaden darstellen kann, ohne dass es zusätzlicher spürbarer negativer Folgen bedarf.

Danach stützt das OLG seine Begründung zur Ablehnung des Anspruchs ganz konkret auf das BGH-Urteil vom 18.11.2025.

  • Das entbindet die betroffene Person jedoch nicht davon, den Nachweis zu erbringen, dass sie einen solchen, in einem bloßen Kontrollverlust zu sehenden Schaden erlitten hat“.
  • Erst wenn dieser Nachweis erbracht ist, der Kontrollverlust also feststeht, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person“.

Zusätzlich gibt das OLG weitere praxisrelevante Hinweise zu der Frage, wann von einem solchen Kontrollverlust ausgegangen werden kann.

Wie bereits dem Wortlaut des Begriffs „Kontrollverlust“ zu entnehmen ist, setzt dieser voraus, dass die betroffene Person zunächst die Kontrolle über das konkrete personenbezogene Datum hatte und sie diese Kontrolle später gegen ihren Willen durch den (streitgegenständlichen) Datenschutzverstoß verloren hat“.

Da die betroffene Person die Darlegungslast für durch den Verstoß gegen die DSGVO erlittene negative Folgen trifft, muss sie darlegen,

dass sie die Hoheit über die Daten nicht schon zuvor verloren hatte“.

Gerade dieser Aspekt dürfte in der Praxis durchaus ein Ansatzpunkt für die Verteidigung gegen Schadenersatzklagen bieten.

Und im konkreten Fall waren diese Voraussetzungen nicht erfüllt: „Diese Voraussetzungen lassen sich auf der Grundlage der persönlichen Angaben des Klägers nicht erkennen und sind auch nicht nachgewiesen“.

Es werden sicher noch weitere Urteile der Instanzgerichte zu diesem Thema folgen. Aus den Entscheidungen des OLG kann man ableiten:

  • Bloße Verstöße gegen die DSGVO genügen (weiterhin) nicht, um einen Schadenersatz zu begründen.
  • Geht es um einen Kontrollverlust, der einen Schaden darstellen kann, muss dieser Kontrollverlust durch Betroffene nachgewiesen sein.
  • Hierzu muss dargelegt werden, dass 1) die betroffene Person zunächst die Kontrolle über das konkrete personenbezogene Datum hatte und sie 2) diese Kontrolle später gegen ihren Willen durch den (streitgegenständlichen) Datenschutzverstoß verloren hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert