Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

Data-Scraping Immaterieller Schadensersatz bei Datendiebstahl

In einer aktuellen Entscheidung senkt der BGH die Hürden für DSGVO-Schadenersatzforderungen von Social-Media-Nutzern, die vom sog. Scraping betroffen sind.

Sachverhalt

Im April 2021 hatten Unbekannte Daten von 533 Millionen Facebook-Nutzern im Internet veröffentlicht. Die Täter hatten eine Funktion im sozialen Netzwerk (Freunde-Suche oder „Kontakt-Tool“) genutzt und sich so die Daten verschafft (sog. Scraping). Nach Ansicht des Bundesgerichtshofs hatte eine Voreinstellung des Facebook-Konzerns Meta nicht dem Grundsatz der Datenminimierung entsprochen, nach dem sich Datenverarbeitung auf das „absolut Notwendige beschränken“ muss. Dagegen bestreitet Meta jeden Verstoß gegen den Datenschutz.

Vorgehen gegen Datendiebstahl

Gemäß § 82 DSGVO hat jede betroffene Person das Recht auf Ersatz sowohl materieller als auch immaterieller Schäden, die durch einen Verstoß gegen die DSGVO verursacht wurden. Ziel dieser Regelung ist es, den Datenschutz als Grundrecht durchzusetzen und Betroffenen eine wirksame Rechtsdurchsetzung zu ermöglichen.

Die Schadenersatzklagen betroffener Nutzer sind zunächst jedoch überwiegend abgewiesen worden. Das hatte vor allem folgende Gründe:

  1. Immaterieller Schaden: Die Anerkennung und Bewertung von immateriellen Schäden, wie emotionalem Stress oder Kontrollverlust über Daten, ist in der Rechtsprechung umstritten. Deutsche Gerichte legen oft strenge Maßstäbe an und verlangen eine gewisse Erheblichkeit des Schadens.
  2. Beweislast: Die betroffene Person muss den Schaden, den Verstoß und die Kausalität nachweisen. Dies ist häufig mit erheblichen Hürden verbunden.

Zudem existieren keine festen Standards für die Bemessung der Höhe des Schadensersatzes. Gerichtsurteile zeigen eine große Bandbreite, was zu Rechtsunsicherheit führt.

Grundsatzentscheidung des EuGH

Dies wurde jedoch etwas erleichtert durch eine Grundsatzentscheidung des Der Europäischen Gerichtshofs (EuGH) vom 4. Mai 2023 ((C-300/21 ).

Zunächst stellte der EuGH fest, dass für die Geltendmachung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO kein Mindestschaden nachgewiesen werden muss. Selbst geringfügige Beeinträchtigungen können als Schaden anerkannt werden, sofern sie im Zusammenhang mit einem Verstoß stehen. Zudem umfasse der Begriff des Schadens sowohl materielle als auch immaterielle Schäden. Immaterielle Schäden, wie z. B. Ärger, emotionaler Stress oder Kontrollverlust über personenbezogene Daten, können Schadensersatzansprüche begründen.

Jedoch betonte der EuGH auch, dass ein Verstoß gegen die DSGVO allein nicht automatisch einen Anspruch auf Schadensersatz auslöst. Es muss ein tatsächlicher Schaden vorliegen, der durch den Verstoß verursacht wurde. Dies schützt vor übermäßigen oder pauschalen Klagen. Zudem muss zwischen dem Verstoß gegen die DSGVO und dem geltend gemachten Schaden ein ursächlicher Zusammenhang bestehen. Dieser Kausalitätsnachweis liegt weiterhin beim Kläger.

Entscheidung des BGH

Im Anschluss an die Rechtsprechung des EuGH hat der BGH die Hürden für den Anspruch auf Schadenersatz noch ein wenig weiter gesenkt. Facebook-Nutzer müssten nur nachweisen, dass sie überhaupt vom so genannten Web-Scraping betroffen waren, entschieden die Bundesrichter.

Demnach kann bereits ein bloß vorübergehender Kontrollverlust über eigene personenbezogene Daten einen immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

Allerdings geht es beim Schadenersatz um eher kleine Beträge, ca. 100 Euro pro Nutzer lautet der Vorschlag des Bundesgerichtshofs. Mehr wird wohl nur in Einzelfällen herausspringen, in denen eine „erhebliche Beeinträchtigung“ der Facebook-Nutzer bejaht wird. 

Quelle: BGH Beschluss vom 31. Oktober 2024 - VI ZR 10/24

Beitrag veröffentlicht am
2. Dezember 2024

Marius Pflaum
DIRO AG

Stichworte in diesem Beitrag

Diesen Beitrag teilen

Alle Fachbeiträge zeigen

Finanzrecht
03.11.2025

Ausbildung an privater Fernuniversität: Kindergeldanspruch für studierenden Sprössling

Auch für ein bereits erwachsenes Kind können Sie noch Kindergeld erhalten - unter bestimmten Voraussetzungen. Etwa wenn das Kind noch studiert. Aber sind an ein solches Studium ebenfalls bestimmte Voraussetzungen geknüpft? Im Streitfall bemängelte die Familienkasse, das Studium werde nicht ernsthaft betrieben. Daher stellte sich die Frage, ob an ein Studium an einer privaten (Fern-)Universität strengere Anforderungen zu stellen sind als an ein Studium an einer staatlichen Hochschule. Das Finanzgericht Münster (FG) musste hierzu entscheiden.

Beitrag lesen
computer online kauf shopping
Internetrecht
31.10.2025

Ab Juni 2026: Die gesetzliche Pflicht zum Widerrufsbutton im Online-Handel – Was Unternehmen beachten müssen

Ab Juni 2026 müssen Online-Händler eine wesentliche Neuerung beachten: Für alle, die online Verträge mit Verbrauchern abschließen, gilt künftig die Pflicht, einen sogenannten Widerrufsbutton bereitzustellen. Damit setzt der deutsche Gesetzgeber die europäische Richtlinie 2023/2673 um. Noch liegt das konkrete Umsetzungsgesetz nicht vor, dennoch ist klar: Die Pflicht wird nahezu alle betreffen, die nicht unter klar definierte Ausnahmen fallen. Jetzt gilt es zu prüfen, ob Ihr Unternehmen betroffen ist und rechtzeitig die Weichen für eine gesetzeskonforme Umsetzung zu stellen. Im Folgenden geben wir einen praxisorientierten Überblick zu Anwendungsbereich, Ausnahmen, technischen und rechtlichen Umsetzungspflichten sowie wichtigen Schritten zur Vorbereitung.

Beitrag lesen
Gesellschaft Meeting Büro
Gesellschaftsrecht, Insolvenzrecht
30.10.2025

Sicherung von Verbindlichkeiten der GmbH durch den Gesellschafter

Die Sicherung von Verbindlichkeiten der GmbH durch den Gesellschafter ist insbesondere im Kontext einer etwaigen Insolvenz von erheblicher Bedeutung. Gesellschafter sehen sich hierbei mit besonderen rechtlichen und finanziellen Risiken konfrontiert, wenn sie für Schulden der Gesellschaft persönliche Sicherheiten stellen.

Beitrag lesen
Alle Fachbeiträge

Einwilligung in Cookies und zur Erhebung und Weitergabe Ihrer Nutzerdaten an Dritte

Wir platzieren auf unserer Webseite technisch notwendige Cookies, die die grundlegenden Funktionen der Website gewährleisten und unentbehrlich sind. Für diese Cookies benötigen wir keine Einwilligung, so dass diese Cookies auch dann gesetzt werden, wenn Sie unten „alle ablehnen“ auswählen. Technisch notwendige Cookies verwenden wir, um unsere Dienste anbieten zu können und um vom Nutzer vorgenommene Einstellungen (wie z. B. die präferierte Sprache) zu speichern. Im Falle Ihrer Einwilligung verwenden wir darüber hinaus weitere performancesteigernde Cookies (Statistik und Nutzungsmessung sowie externe Dienste). Die Cookies verwenden wir ausschließlich dazu, unsere Website Ihren Wünschen entsprechend anpassen und weiterentwickeln zu können. Dabei werden Ihre personenbezogenen Daten (IP-Adresse, Nutzerverhalten etc.) verarbeitet und gespeichert, um die obigen Zwecke zu erreichen. Eine Identifizierung Ihrer Person ist durch die Pseudonymisierung der Daten nicht zu befürchten. Die Erläuterung zu den verschiedenen Cookies und datenschutzrechtlichen Vorgängen finden Sie unter „individuelle Einstellungen vornehmen“ oder in unseren Datenschutzhinweisen. Durch die Betätigung eines der untenstehenden Buttons willigen Sie in die Verwendung der jeweils ausgewählten Cookies und gleichzeitig in die Verarbeitung Ihrer personenbezogenen Daten zu oben beschriebenen Zwecken ein. Die Erteilung der Einwilligungen ist freiwillig.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum

Einstellungen
Technisch notwendige Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

Mit dem DIRO Multisite Cookie werden die von Ihnen selbst vorgenommenen Einstellungen auf dieser Website (z. B. die bevorzugte Sprache) sowie die von Ihnen zugelassenen Inhalte externer Anbieter gespeichert. Dabei werden unter dem Verarbeitungsvorgang DIRO_C_FINGERPRINT die IDs der beim letzten Seitenaufruf vorhandenen zustimmungspflichtigen Dienste, sowie deren Konfigurationseinstellungen und die Zuordnung zu Kategorien im Datenschutz Popup (als verschlüsselte Zeichenfolge) erhoben und gespeichert. Alleiniger Zweck dieser Datenverarbeitung ist die Speicherung der vorgenommenen Einstellungen. Die Speicherung erfolgt für ein Jahr.

Statistik und Nutzungsmessung

Wir möchten unser Angebot für Sie dauerhaft attraktiv gestalten. Dafür sind wir auf Informationen darüber angewiesen, wie unsere Seiten genutzt werden. Dafür erheben wir automatisiert Daten.

Nutzungsmessung mit Matomo

Wir verwenden zur Analyse des Nutzerverhaltens und der Reichweite unserer Website das Website-Analyse-Tool Matomo. Dadurch wird das Cookie „_pk_id“ gesetzt. Durch die Verwendung von Matomo werden 2 Bytes Ihrer IP-Adresse, die aufgerufene Website, die Referrer-Website (Website, von der Sie auf die hier aufgerufene Website gelangt sind), die von der aufgerufenen Website aus aufgerufenen Unterseiten, die Verweildauer und die Häufigkeit des Aufrufs der Website ermittelt und gespeichert. Dies dient allein dem Zweck, anonymisierte statistische Daten darüber zu erlangen, wie Sie die Website nutzen. Die Speicherdauer beträgt im Falle des Cookies pk_ref 6 Monate, im Falle des Cookies _pk_ses 30 Minuten.

Externe Dienste

An einigen Stellen unseres Angebote nutzen wir externe Dienste, um Ihnen bestimmte Inhalte oder Funktionen zuverlässig und komfortabel bereitstellen zu können (z.B. Karten, interaktive Formulare oder Kalender zur Terminvereinbarung).

Videowiedergabe mit Vimeo

Wir verwenden auf unserer Website den externen Dienst Vimeo. Dabei handelt es sich um ein Video-Portal des US-amerikanischen Unternehmens Vimeo.com, Inc., 330 West 34th Street, 5th Floor, New York, New York 10001, USA. Durch das Einbinden von Vimeo-Videos werden Cookies gesetzt, die bei Abrufen des Videos unter anderem Ihre IP-Adresse, den Browser-Typ, Ihr Betriebssystem, Ihr Klickverhalten und Ihre Verweildauer erheben und sodann speichern. Die Speicherung erfolgt auf Servern in den USA, die über keinerlei Datenschutzrecht verfügen. Näheres entnehmen Sie bitte den unter https://vimeo.com/privacy abrufbaren Informationen.

Geographische Karten von OpenStreetMaps

Durch die Einbindung von OpenStreetMaps auf unserer Website setzen wir das Cookie „_osm_location“. Dabei wird Ihre IP-Adresse an den fremden Server von OpenStreetMaps übermittelt, wodurch dieser erfährt, dass Sie unsere Seite besucht haben. Zweck dieser Einbindung ist die Darstellung von Adressen auf einer Karte, die in die Website eingebunden wird. Die Speicherdauer beträgt 1 Jahr.

Terminvereinbarung mit Calendly

Wir verwenden auf unserer Website den externen Dienst Calendly. In diesem Zuge werden Ihre E-Mail-Adresse, weitere Kontaktinformationen, Termininhalte und -daten, sowie alle von Ihnen in diesem Zusammenhang zusätzlich angegebenen Daten erhoben und gespeichert. Dies dient dem alleinigen Zweck, Termine und Gruppentermine online buchbar zu machen. Hierzu wird seitens Calendly eine Webanwendung zur Buchung von Terminvereinbarungen zur Verfügung gestellt. Die Daten werden auf Servern in der USA verarbeitet. Sie stellen Ihre Daten für die Laufzeit des Vertrages mit Calendly zur Verfügung. Näheres zu der Verarbeitung der Daten durch Calendly entnehmen Sie bitte den unter https://calendly.com/legal abrufbaren Informationen.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum