Das Gefühl des Kontrollverlusts beim Datenschutzvorfall als Schaden?
Im Mai hatten wir darüber berichtet, dass der EuGH in der Rechtssache „Österreichische Post“ entschieden hat, dass die reine Verletzung der DS-GVO an sich noch kein Recht auf Kompensation eines immateriellen Schadens gibt. Außerdem stellte der EuGH fest, dass das Recht auf Schadensersatz auch für Schäden gilt, die keine bestimmte Schwelle der Schwere erreichen (EuGH, Urteil v. 04.05.2023, Az. C-300/21).
In seinem Urteil vom 15.08.2023 hatte sich nun das OLG Hamm (Az. 7 U 19/23) als eines der ersten deutschen Oberlandesgerichte mit einem Schadensersatz nach Art. 82 DS-GVO im Nachgang der EuGH-Entscheidung zu befassen.
Zum Hintergrund des Urteils
Die Klägerin war eine von Millionen Facebook-Nutzern, deren Namen, Telefonnummern und Geschlecht von Unbekannten gesammelt und im Darknet veröffentlicht wurden. Die Unbekannten hatten die Daten über einen längeren Zeitraum unter Ausnutzung der Suchfunktionen von Facebook abgegriffen (sog. Scraping), die später von Facebook deaktiviert wurden.
Die Klägerin verlangte von Meta als Betreiberin von Facebook eine Entschädigung für immaterielle Schäden. Sie machte geltend, dass Facebook sowohl im Zusammenhang mit dem Scraping als auch unabhängig davon gegen verschiedene Vorschriften des Datenschutzes verstoßen habe.
Die Entscheidung: Gefühl des Kontrollverlusts nicht ausreichend
Das OLG Hamm hat die Klage nun abgewiesen und die Berufung der Klägerin gegen das Urteil des LG Bielefeld zurückgewiesen. Das Gericht hat zwar Verstöße gegen die DS-GVO durch Facebook bejaht. Dies insbesondere gegen die Grundsätze der Rechtmäßigkeit, der Zweckbindung, der Datensparsamkeit und der Integrität und Vertraulichkeit der Datenverarbeitung. Das Gericht hat aber keinen immateriellen Schaden der Klägerin feststellen können, der über das bloße Gefühl des Kontrollverlustes hinausgeht. Dieses Gefühl alleine reicht dem Gericht jedoch nicht aus. Das Gericht hat insofern darauf abgestellt, dass die Klägerin keine konkreten Beeinträchtigungen ihrer Persönlichkeitsrechte oder ihrer Lebensführung durch das Scraping darlegen konnte. Das Gericht hat auch keine Anhaltspunkte dafür gesehen, dass die veröffentlichten Daten zu einem Missbrauch oder einem Identitätsdiebstahl geführt haben.
Besonderes Augenmerk hat das Gericht nach seiner Urteilsbegründung auch auf den Kontext gelegt: Diverse Verbraucherschutzkanzleien haben Fälle wie den von Facebook nämlich längst als Geschäftsmodell für sich entdeckt. Sie werben bei größeren Datenschutzvorfällen großflächig dafür, Schadensersatzansprüche basierend auf dem bloßen Gefühl des Kontrollverlusts gegen den jeweiligen Verantwortlichen geltend zu machen. Dem erteilt das OLG Hamm nun eine klare Absage, indem es solche pauschalen Behauptungen gerade nicht als Nachweis einer hinreichend konkreten Beeinträchtigung ausreichen lässt.
Einordnung und Ausblick
Die Entscheidung des Gerichts fügt sich nach unserer Einschätzung nahtlos in die vorausgegangene EuGH-Entscheidung ein. Gleichwohl wird man abwarten müssen, ob sich das vom OLG Hamm angenommene Verständnis der EuGH-Entscheidung auch flächendeckend durchsetzt. Schon vor dem Hintergrund der massenhaft anhängigen ähnlichen Verfahren ist davon auszugehen, dass sich früher oder später auch der BGH zur Thematik äußern wird. Gerade für Unternehmen ist das Verständnis des OLG Hamm jedoch ein Schritt in die richtige Richtung. In Zeiten steigender Internetkriminalität sehen sich Unternehmen insbesondere in Hinblick auf Hacking- und Phishing bereits mit hinreichenden Problemen konfrontiert, ohne dass es noch des Damoklesschwertes einer anschließenden Klagewelle bedarf, die nicht nur finanziell belastend sein kann, sondern auch personell erhebliche Ressourcen binden kann. Solche werden gerade im zeitlichen Zusammenhang mit Datenschutzvorfällen dringend anderweitig gebraucht.
Sie benötigen Unterstützung bei der Aufarbeitung eines Datenschutzvorfalls? Sprechen Sie uns gerne an!