Aktuelles zu DSGVO-Schadensersatzansprüchen: „Kontrollverlust“ ist noch kein Schaden

In letzter Zeit werden vermehrt Ansprüche auf Schadensersatz wegen der Verletzung von Regelungen der DSGVO geltend gemacht. Schon seit Inkrafttreten der DSGVO gab es Befürchtungen, dass es zu „Klagewellen“ bzw. der massenhaften Geltendmachung von Schadensersatzansprüchen schon aufgrund geringfügiger DSGVO-Verstöße kommen würde.

Dazu gab es in letzter Zeit einige interessante Gerichtsentscheidungen:

1. Der EuGH hat in seinem Urteil „Österreichische Post“ vom 4.5.2023 (Az. C-300/21) zwar einerseits ausgeführt, dass es für immaterielle Schadensersatzansprüche Betroffener nach der DSGVO keine Erheblichkeitsschwelle gibt. Andererseits ist ein solcher immaterieller Schaden erforderlich. Der bloße Verstoß gegen die DSGVO begründet noch keinen Schadensersatzanspruch. In dem der Entscheidung zugrundeliegenden Sachverhalt hatte die Österreichische Post Daten von Kunden und deren politische Einstellung analysiert. Auf der Grundlage der Analyse hat sie den Betroffenen Mailings, d.h eine einmalige Werbesendung, entsprechend ihren politischen Präferenzen zugesandt – ohne jedoch ihre Daten an Dritte weiterzugeben. Darin liegt zwar eine Verletzung der DSGVO – es konnte jedoch nicht festgestellt werden, dass den Empfängern des Mailings dadurch in irgendeiner Weise ein Schaden erstanden ist.
2. In einer Entscheidung des OLG Hamm vom 15.08.2023 (AZ: 7 U 19/23), ging es um das Ausleiten von Facebook–Daten im Wege des „Scraping“. Dritte konnten u.a. Namen und Telefonnummern über Suchfunktionen bei Facebook auslesen. Das Facebook dies nicht mit geeigneten Maßnahmen verhindert hat, begründet nach Auffassung des Gerichts einen Verstoß gegen Art. 32, 24 DSGVO. Schadensersatz hat das Gericht der Klägerin jedoch nicht zugesprochen. Ein immaterieller Schaden entsteht nicht durch einen bloßen Verstoß gegen Vorschriften des DSVGO, sondern nur dann, wenn eine persönliche oder psychische Beeinträchtigung vorliegt. Ein pauschal behaupteter „völliger Kontrollverlust“ stellt zwar ein generelles Risiko dar, aber noch keinen konkreten Schaden.
3. In diese Linie der Rechtsprechung fügt sich auch eine Entscheidung des Landgerichts Berlin (07.06.2023 – 26 O 240/22) ein. Auch hier ging es um ein Daten-Scraping bei Facebook. Zum behaupteten „Kontrollverlust“ führt das LG Berlin aus, dass ein Verstoß gegen die DSGVO immer einen Kontrollverlust desjenigen bedeutet, der seine Daten dem Datenverarbeiter anvertraut hat. Deshalb könne nicht gleichzeitig der Kontrollverlust für sich genommen ein Schaden sein. Bloßer Ärger und Zorn stellt noch keinen Schaden dar. Nicht jede im Grunde nicht spürbare Beeinträchtigung oder individuell empfundene Unannehmlichkeit reicht mithin aus, sondern es sind ein messbarer Nachteil und eine objektiv nachvollziehbare tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen notwendig.

Die klare Linie der Rechtsprechung scheint also bislang „Klagewellen“ und Massenverfahren erfolgreich einzudämmen. Der bloße „Kontrollverlust“ aufgrund eines DSGVO-Verstoßes begründet noch keine Schadensersatzansprüche. Hinzukommen muss ein konkreter, belegbarer materieller oder immaterieller Schaden.