Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

Data-Scraping Immaterieller Schadensersatz bei Datendiebstahl

In einer aktuellen Entscheidung senkt der BGH die Hürden für DSGVO-Schadenersatzforderungen von Social-Media-Nutzern, die vom sog. Scraping betroffen sind.

Sachverhalt

Im April 2021 hatten Unbekannte Daten von 533 Millionen Facebook-Nutzern im Internet veröffentlicht. Die Täter hatten eine Funktion im sozialen Netzwerk (Freunde-Suche oder „Kontakt-Tool“) genutzt und sich so die Daten verschafft (sog. Scraping). Nach Ansicht des Bundesgerichtshofs hatte eine Voreinstellung des Facebook-Konzerns Meta nicht dem Grundsatz der Datenminimierung entsprochen, nach dem sich Datenverarbeitung auf das „absolut Notwendige beschränken“ muss. Dagegen bestreitet Meta jeden Verstoß gegen den Datenschutz.

Vorgehen gegen Datendiebstahl

Gemäß § 82 DSGVO hat jede betroffene Person das Recht auf Ersatz sowohl materieller als auch immaterieller Schäden, die durch einen Verstoß gegen die DSGVO verursacht wurden. Ziel dieser Regelung ist es, den Datenschutz als Grundrecht durchzusetzen und Betroffenen eine wirksame Rechtsdurchsetzung zu ermöglichen.

Die Schadenersatzklagen betroffener Nutzer sind zunächst jedoch überwiegend abgewiesen worden. Das hatte vor allem folgende Gründe:

  1. Immaterieller Schaden: Die Anerkennung und Bewertung von immateriellen Schäden, wie emotionalem Stress oder Kontrollverlust über Daten, ist in der Rechtsprechung umstritten. Deutsche Gerichte legen oft strenge Maßstäbe an und verlangen eine gewisse Erheblichkeit des Schadens.
  2. Beweislast: Die betroffene Person muss den Schaden, den Verstoß und die Kausalität nachweisen. Dies ist häufig mit erheblichen Hürden verbunden.

Zudem existieren keine festen Standards für die Bemessung der Höhe des Schadensersatzes. Gerichtsurteile zeigen eine große Bandbreite, was zu Rechtsunsicherheit führt.

Grundsatzentscheidung des EuGH

Dies wurde jedoch etwas erleichtert durch eine Grundsatzentscheidung des Der Europäischen Gerichtshofs (EuGH) vom 4. Mai 2023 ((C-300/21 ).

Zunächst stellte der EuGH fest, dass für die Geltendmachung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO kein Mindestschaden nachgewiesen werden muss. Selbst geringfügige Beeinträchtigungen können als Schaden anerkannt werden, sofern sie im Zusammenhang mit einem Verstoß stehen. Zudem umfasse der Begriff des Schadens sowohl materielle als auch immaterielle Schäden. Immaterielle Schäden, wie z. B. Ärger, emotionaler Stress oder Kontrollverlust über personenbezogene Daten, können Schadensersatzansprüche begründen.

Jedoch betonte der EuGH auch, dass ein Verstoß gegen die DSGVO allein nicht automatisch einen Anspruch auf Schadensersatz auslöst. Es muss ein tatsächlicher Schaden vorliegen, der durch den Verstoß verursacht wurde. Dies schützt vor übermäßigen oder pauschalen Klagen. Zudem muss zwischen dem Verstoß gegen die DSGVO und dem geltend gemachten Schaden ein ursächlicher Zusammenhang bestehen. Dieser Kausalitätsnachweis liegt weiterhin beim Kläger.

Entscheidung des BGH

Im Anschluss an die Rechtsprechung des EuGH hat der BGH die Hürden für den Anspruch auf Schadenersatz noch ein wenig weiter gesenkt. Facebook-Nutzer müssten nur nachweisen, dass sie überhaupt vom so genannten Web-Scraping betroffen waren, entschieden die Bundesrichter.

Demnach kann bereits ein bloß vorübergehender Kontrollverlust über eigene personenbezogene Daten einen immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

Allerdings geht es beim Schadenersatz um eher kleine Beträge, ca. 100 Euro pro Nutzer lautet der Vorschlag des Bundesgerichtshofs. Mehr wird wohl nur in Einzelfällen herausspringen, in denen eine „erhebliche Beeinträchtigung“ der Facebook-Nutzer bejaht wird. 

Quelle: BGH Beschluss vom 31. Oktober 2024 - VI ZR 10/24

Alle Fachbeiträge zeigen

KI-AI-Urheber-IT-Internet
Erbrecht, Internetrecht
22.07.2025

Digitaler Nachlass: Was passiert mit dem Instagram-Konto nach dem Tod?

Die Frage, was mit einem Social-Media-Account nach dem Tod des Inhabers geschieht, betrifft immer mehr Menschen. Instagram, aber auch andere Plattformen wie Facebook oder X, sind inzwischen fester Bestandteil des Nachlasses geworden. Gerade bei Accounts mit hoher Reichweite oder besonderem ideellen Wert stellen sich viele Erben und Erblasser die Frage: Wer darf nach dem Tod eines Nutzers auf dessen Konto zugreifen und es weiterführen?

Beitrag lesen
Datenschutzrecht, Verbraucherrecht, Wettbewerbsrecht
22.07.2025

BGH-Urteil ermöglicht Klagen bei Datenschutzverstößen durch Verbraucherschutzverbände und Mitbewerber

Mit Urteil des Bundesgerichtshofs vom 27. März 2025 (Az.: I ZR 186/17) wurde entschieden, dass Verbraucherschutzverbände und Mitbewerber bei Verstößen gegen datenschutzrechtliche Informationspflichten wettbewerbsrechtliche Unterlassungsansprüche geltend machen können. Der Entscheidung des BGH liegt ein Sachverhalt zugrunde, bei dem ein Betreiber eines sozialen Netzwerks, in diesem Fall Facebook, seine Nutzer nicht ausreichend über Umfang und Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten informierte.

Beitrag lesen
Internationales Arbeitsrecht
17.07.2025

Die Rügepflicht im Arbeitsrecht (NLD)

Das Gesetz verlangt von einem Gläubiger eine rechtzeitige Rüge, wenn ein Schuldner eine mangelhafte Leistung erbracht hat. Diese so genannte „Rügepflicht“ gilt für alle Schuldverhältnisse. Denken Sie an die Verpflichtung zur Lieferung eines Autos, die Verpflichtung zur Zahlung von Schadensersatz, aber auch an Verpflichtungen aus einem Arbeitsvertrag. Die Anwendbarkeit der Rügepflicht im Arbeitsrecht war lange Zeit unklar. Der Hoge Raad hat 2024 über die Rügepflicht in diesem Rechtsbereich entschieden. In diesem Beitrag wird die Auffassung des Hoge Raad erörtert.

Beitrag lesen