1. Neue DSGVO-Rechtsprechung
Bereits Ende letzten Jahres hat sich der Bundesgerichtshof (BGH) erstmals zu einem Schadensersatz nach Art. 82 DSGVO positioniert. In den sogenannten Scraping-Verfahren hat er entschieden, dass der bloße Kontrollverlust unter bestimmten Umständen bereits als Schaden im Sinne des Art. 82 DSGVO ausreichen kann (Urteil vom 18. November, VI ZR 10/24). Dies war insofern überraschend, als dass der EuGH in der Rechtssache „Österreichische Post“ (Urteil vom 4. Mai 2023, C-300/21) – und in den folgenden Entscheidungen zu Art. 82 DSGVO – eine am Nachweis eines individuellen Schadens orientierte Auslegung des Schadensersatzes nach Art. 82 DSGVO befürwortete, wonach der reine Kontrollverlust ohne Nachweis weiterer konkreter Nachteile nicht ausreichen sollte. Dieser Linie hatten sich zahlreiche Oberlandesgerichte angeschlossen und in den Scraping Verfahren fast einhellig Schadensersatzansprüche abgelehnt. Der BGH interpretierte allerdings insbesondere die Ausführungen des EuGH, wonach ein „Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten (…) ausreichen kann, um einen ‚immateriellen Schaden‘ zu verursachen, sofern diese Person nachweist, dass sie tatsächlich einen solchen Schaden (…) erlitten hat“ (Urteil vom 4. Oktober 2024 Rechtssache C-200/23) entgegen der einhelligen Meinung der Oberlandesgerichte dahingehend, dass im zu entscheidenden Fall auch im bloßen Kontrollverlust bereits der Schaden selbst liegen sollte. Der BGH hielt in seiner Entscheidung vom 18. November 2024 für derartige Fälle allerdings nur einen vergleichsweise niedrigen Betrag von bis zu EUR 100 für angemessen, nachdem die Kläger in der Regel einen Schadensersatz im niedrigen bis mittleren vierstelligen Bereich verlangt haben.
In der Folge hat der BGH zwei weitere Entscheidungen zu Art. 82 DSGVO veröffentlicht:
- Mit Urteil vom 28. Januar 2025 (VI ZR 183/22) hat sich der BGH in einem Verfahren wegen eines SCHUFA-Eintrags aufgrund vermeintlich nicht beglichener Rechnungen insbesondere zur Funktion des immateriellen Schadens i.S.d. Art. 82 Abs. 1 DSGVO geäußert. Kernaussage im Anschluss an die dazu vorliegende EuGH-Rechtsprechung ist, dass dem Schadensersatz keine Abschreckungs- und Straffunktion, sondern nur eine Ausgleichsfunktion zukommen soll. Bei der Bemessung des Schadensersatzes soll entscheidend sein, ob die Entschädigung geeignet ist, den Verstoß vollumfänglich auszugleichen.
- Mit weiterem Urteil vom 28. Januar 2025 (VI ZR 109/23) hat der BGH im Zusammenhang mit der Zusendung einer unerwünschten Werbe-Email erneut betont, dass es grundsätzlich keine Bagatellgrenze für den Schadensersatz geben soll, der Betroffene einen konkreten immateriellen Schaden jedoch nachweisen müsse. Wenn ein Kontrollverlust nicht nachgewiesen werden könne, soll die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die DSGVO von Dritten missbräuchlich verwendet werden, für einen immateriellen Schaden i.S.d. Art. 82 DSGVO ausreichen können, so der BGH. Aber auch diese begründete Befürchtung konnte er in dem konkreten Fall nicht feststellen.
Auch auf EU-Ebene gab es in diesem Jahr bereits eine Entscheidung zu Datenschutzthemen: Das Gericht der Europäischen Union (EuG) hat sich in seinem Urteil vom 8. Januar 2025 (Rechtssache T-354/22) mit der Verarbeitung personenbezogener Daten durch EU-Einrichtungen in einem gegen die Kommission gerichteten Verfahren befasst und entschieden, dass unter gewissen Umständen für eine Schadensersatzhaftung der Kommission ein Kontrollverlust ausreichen können soll. Für die Übermittlung der IP-Adresse des Klägers Bindl sprach das EuG diesem (ohne nähere Erläuterung hinsichtlich der Höhe) einen Schadenersatz von EUR 400 zu. Die Entscheidung stützt sich zwar auf die Verordnung (EU) 2018/1725 vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und nicht auf die DSGVO. Dennoch hat die Entscheidung Beachtung gefunden und wird aufgrund der Höhe des ausgeurteilten Schadensersatzes von Klägerkanzleien auch im Zusammenhang mit einem Schadensersatzanspruch aus Art. 82 DSGVO ins Feld geführt. Dabei müsste jedoch berücksichtigt werden, dass das Urteil auf die Verfahren wegen angeblicher DSGVO-Verstöße nicht übertragbar ist, weil die Kommissionshaftung eine Billigkeitshaftung vorsieht, die der Art. 82 DSGVO-Schadensersatzanspruch nicht kennt. Es bleibt jedenfalls abzuwarten, wie der EuGH über die von beiden Parteien eingelegten Rechtsmittel entscheiden wird.
2. Prozessuale Neuerungen
Die soeben skizzierte BGH-Entscheidung im Scraping-Komplex erging zudem im ersten Leitentscheidungsverfahren und damit im Kontext einer prozessualen Neuerung: Kurz nachdem das Gesetz zur Einführung eines Leitentscheidungsverfahrens Ende Oktober 2024 in Kraft getreten war, machte der BGH in einem Scraping-Verfahren von der neu geschaffenen Möglichkeit Gebrauch, ein Revisionsverfahren zum Leitentscheidungsverfahren zu bestimmen.
Zielrichtung dieser prozessualen Neuregelung ist es unter anderem, zu verhindern, dass höchstrichterliche Entscheidungen aufgrund prozesstaktischer Revisionsbeendigungen ausbleiben. Ein Leitentscheidungsverfahren kann vom BGH bestimmt werden, wenn Rechtsfragen zu entscheiden sind, die für eine Vielzahl weiterer Verfahren von Bedeutung ist. Ob die weitere gesetzgeberische Intention, Massenverfahren insgesamt effizienter zu erledigen, vollumfänglich durch die Möglichkeit eines Leitentscheidungsverfahrens erreicht werden kann, darf bezweifelt werden: Ein Beschleunigungseffekt wird kaum eintreten können, da
die Revisionsverfahren zunächst den normalen Instanzenzug zum BGH durchlaufen müssen, um überhaupt als Leitentscheidungsverfahren ausgewählt werden zu können. Für die Scraping-Entscheidung des BGH kam es jedenfalls auf diese prozessuale Besonderheit nicht an, weil die Revision vorliegend weder zurückgenommen wurde noch sich anderweitig erledigte.
3. Einzelverfahren – ist ein Ende in Sicht ?
Während die BGH-Rechtsprechung zur DSGVO auf ersten Blick Klagen aufgrund behaupteter Datenschutzverstöße attraktiver zu machen scheint, sind die Auswirkungen differenzierter zu betrachten: Der BGH hat die klägerseits geltend gemachten, überhöhten Streitwerte überzeugend deutlich nach unten korrigiert. Diese Entwicklung setzt sich bei den Instanzgerichten fort und dürfte neue Einzelklagen für Klägerkanzleien wegen der streitwertabhängigen Rechtsanwaltsvergütung deutlich unattraktiver machen. Zudem hat die höchstrichterliche Rechtsprechung zu einer restriktiveren Linie bei Deckungszusagen durch Rechtsschutzversicherungen geführt. Schließlich ist auch die vom BGH für einen Kontrollverlust in den Raum gestellte, niedrige Größenordnung eines Schadensersatzes wohl weder aus Sicht der Kläger noch aus Sicht der Klägerkanzleien geeignet, einen Anreiz für neue Klagen zu setzen. In Anbetracht des vom BGH gesteckten Rahmens von EUR 10 bis 100 dürfte vielmehr das Gegenteil der Fall sein. Zusammenfassend lässt sich festhalten, dass der finanzielle Druck auf Klägerkanzleien, die sich auf Datenschutzlitigation spezialisiert haben, infolge dieser Entwicklungen erheblich gestiegen sein dürfte. Es bleibt abzuwarten, wie sich dieses Geschäftsfeld als Teil der typischen Massenklagen-Prozessführung weiter entwickeln wird.
4. Ausblick
Obwohl inzwischen mehrere Entscheidungen des EuGH (Rechtssache „Österreichische Post“, Urteil vom 4. Mai 2023, C300/21; und folgende Entscheidungen zu Art. 82 DSGVO), des EuG (Rechtssache T-354/22) und des BGH (Urteil vom 18. November 2024, VI ZR 10/24; Urteile vom 28. Januar 2025, VI ZR 183/22 und VI ZR 109/23) vorliegen, bedarf die Auslegung der Anforderungen an Schadensersatz nach Art. 82 DSGVO weiterer Konkretisierung. Der EuGH hat wiederholt klargestellt, dass der Schadensersatz nach Art. 82 DSGVO lediglich eine Ausgleichs- und gerade keine Straffunktion hat. Insoweit konsequent ergeben sich daraus hohe Anforderungen an den Nachweis eines individuellen Schadens. Dem steht nunmehr die Auslegung des BGH gegenüber, wonach in der dort entschiedenen Konstellation bereits der reine Kontrollverlust (ohne konkret individuelle Beeinträchtigung) als Schaden ausreichen können soll.
Es bleibt also weiter abzuwarten, ob der BGH selbst seine Entscheidung weiter ausdifferenzieren wird bzw. ob der EuGH die bisherige Haltung des BGH zu Schadensersatzansprüchen nach Art. 82 DSGVO revidieren wird. In diesem Zusammenhang ist davon auszugehen, dass deutsche Land- und/ oder Oberlandesgerichte im Lichte der BGH-Entscheidung vom 18. November 2024 dem EuGH Vorlagefragen zu den rechtlichen Implikationen eines Kontrollverlustes im Rahmen des Art. 82 DSGVO stellen werden, um den Widerspruch der BGH-Rechtsprechung zu ihrer bisherigen Judikatur sowie zu der seit Österreichische Post entwickelten EuGH-Rechtsprechung zu klären.
Unternehmen stehen daher weiterhin vor hohen Risiken im Bereich des Datenschutzes. Neben dem Risiko von unzähligen Einzelverfahren gewinnen (grenzüberschreitende) Kollektivklagen zunehmend an Bedeutung. Diese Entwicklung könnte dazu führen, dass Datenschutzverstöße nicht mehr nur vereinzelt, sondern systematisch in großen Sammelklagen verfolgt werden. Sei es im Rahmen des Abtretungsmodells oder durch Musterfeststellungs- bzw. Abhilfeklage. Hierbei stellt sich eine Vielzahl von prozessualen und strategischen Fragen, die die Gerichte auf absehbare Zeit beschäftigen werden.