27.09.2023 | IT-Recht und Datenschutz
Anfang April 2021 tauchten Daten von ca. 533 Millionen Facebook-Nutzern aus 106 Ländern öffentlich im Internet auf – darunter etwa 6 Millionen deutsche Nutzer. Die Daten wurden bereits 2019 bei dem sozialen Netzwerk mittels des Facebook-Tools „Kontakt-Importer“ abgeschöpft, also zum Teil aus öffentlich zugänglichen Daten ausgelesen (sog. „Scraping“). Unbekannte veröffentlichten die Daten später im Darknet.
In Deutschland folgte eine Klagewelle gegen den Facebook-Konzern Meta. Tausende Betroffene fordern immateriellen Schadensersatz („Schmerzensgeld“) nach Art. 82 DSGVO aufgrund einer Verletzung des Datenschutzes. Es ist die erste echte Klagewelle, die sich primär auf den datenschutzrechtlichen Schadensersatzanspruch stützt.
Entscheidungen der Landgerichte bislang stark abweichend
Bis dato gab es bereits eine Vielzahl erstinstanzlicher Entscheidungen von Landgerichten quer durch die Republik. Obwohl alle Gerichte mit nahezu dem identischen Sachverhalt konfrontiert wurden, ist eine einheitliche Linie in den Entscheidungen aktuell nicht erkennbar. Während viele Gerichte einen Schadensersatzanspruch zusprechen, gibt es wiederum nicht wenige, die ihn ablehnen. Offizielle Statistiken zu dem Verfahrenskomplex gibt es nicht. Die Kanzleien auf Klägerseite veröffentlichen (nachvollziehbarer Weise) nur zusprechende Entscheidungen. Für die Verfasser dieses Beitrags scheint es in der Außenbetrachtung so, dass das Verhältnis zusprechender zu ablehnenden erstinstanzlichen Entscheidungen knapp 60 zu 40 ist. Besonders die Fragen, wann ein immaterieller Schaden vorliegt und welche Nachweise für den Schadenseintritt erforderlich sind, spalten die Gerichte.
Erste Berufungsentscheidung des OLG Hamm
Nun hat das OLG Hamm als erstes Berufungsgericht in einem Fall entschieden (Urteil vom 15.08.2023, Az. 7 U 19/23). Es hat die Berufung zurückgewiesen und damit den Anspruch des Klägers verneint.
Dabei hat das Gericht zunächst angenommen, dass Meta tatsächlich gegen die DSGVO verstoßen hat: So bedarf es laut dem OLG für die Verarbeitung der Mobiltelefonnummer einer Einwilligung des Nutzers, welche vorliegend nicht wirksam eingeholt wurde. Zum einen sei in unzulässiger Weise mit einer „Opt-out“-Möglichkeit gearbeitet worden, zum anderen seien die Informationen über das „Kontakt-Importer“-Tool unzureichend und intransparent gewesen. Im Ergebnis erkannte das OLG der betroffenen Person trotz dieser Verstöße keinen Schadensersatzanspruch zu. Ihr sei es nicht gelungen, das Gericht von einer „persönlichen bzw. psychologischen Beeinträchtigung“ zu überzeugen, welche über die bloße Tatsache des Kontrollverlusts aufgrund des Datenklaus hinausgeht. Das in der mündlichen Verhandlung vorgetragene „Gefühl der Erschrockenheit“ war für das Gericht nicht ausreichend.
Diese Überlegung des Gerichts ist besonders vor dem Hintergrund interessant, dass die DSGVO in ihrem Erwägungsgrund 75 den „Kontrollverlust“ als Schadenskategorie selbst nennt. Die Entscheidung des OLG deutet nun an, dass diese Schadenskategorie zu abstrakt ist und durch weitere immaterielle Einbußen konkretisiert werden muss.
Anforderungen an die Darlegung des Schadens bislang unklar
Viele Gerichte sahen dies zuvor anders als das OLG und sprachen den Betroffenen einen Anspruch in Höhe von EUR 100 bis EUR 1.000 aufgrund ihres „Kontrollverlusts“ zu. Auch die nun vorliegende Entscheidung des OLG Hamm scheint andere Gerichte nicht davon abzuhalten, ihre Ansicht weiter zu vertreten: So hat das Landgericht Paderborn mehrere Wochen nach der Entscheidung des OLG Hamm einem Betroffenen Schadensersatz in Höhe von EUR 400 zuerkannt – und das obwohl das Landgericht Paderborn im Gerichtsbezirk des OLG Hamm liegt.
Mehr Klarheit über die Kriterien für den DSGVO-Schadensersatz könnten zwei anstehende EuGH-Entscheidungen bringen (Bundesarbeitsgericht, Az. C-667/21 und oberstes bulgarisches Verwaltungsgericht, Az. C-340/21). Vor allem die Entscheidung über die Vorlage aus Bulgarien könnte schon bald Einfluss auf die Entscheidungen der deutschen Gerichte im Facebook-Verfahrenskomplex haben. Am 27. April 2023 äußerte sich der EuGH-Generalanwalt in seinen Schlussanträgen in jenem Verfahren betroffenenfreundlich. Bei einem Datenleck oder Hackerangriff könne ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO wegen der Befürchtung eines künftigen Missbrauchs der Daten bestehen, so der Generalanwalt. Mit einer Entscheidung des EuGH in dieser Sache dürfte bald zu rechnen sein.
Hinweis in eigener Sache: Anfang 2024 werden die Autoren dieses Beitrags einen ausführlichen Fachaufsatz zur Thematik veröffentlichen.