Urteil : Schadenersatzanspruch allein aufgrund des Kontrollverlustes über die eigenen Daten : aus der RDV 1/2025, Seite 50 bis 54

Entsprechend hat der Gerichtshof bereits entschieden, dass bei Verstößen gegen die Vorschriften der Art.  5 bis 11 DS-GVO, mithin des zweiten Kapitels der Datenschutz-Grundverordnung, die Grundsätze für die Verarbeitung von Daten aufstellen, zugleich eine unrechtmäßige Datenverarbeitung vorliegt (vgl. EuGH, Urt. v. 04.05.2023 – C-60/22, ZD 2023, 606 Rn. 54-57 – Bundesrepublik Deutschland [Elektronisches Gerichtsfach]). Bedenken gegen die Anwendbarkeit des Art. 82 Abs. 1 DS-GVO auf Verstöße gegen Art. 5 DS-GVO bestehen daher nicht (vgl. auch bereits EuGH, Urt. v. 25.01.2024 – C-687/21, CR 2024,160 Rn.  42 f. – MediaMarktSaturn; v. 14.12.2023 – C-340/21, NJW 2024, 1091 Rn. 52 f. – Natsionalna agentsia za prihodite). Aber auch für Verstöße gegen Vorschriften aus dem vierten Kapitel der Datenschutz-Grundverordnung (Art.  24 bis 43 DS-GVO) hat der Gerichtshof zu einzelnen Vorschriften bereits angenommen, dass ein Schadenersatzanspruch aus Art. 82 DS-GVO möglich ist (vgl. zu einem Verstoß gegen Art. 32 DS-GVO EuGH, Urt. v. 25.01.2024 – C-687/21, CR 2024, 160 Rn.  42 f. – MediaMarktSaturn; v. 14.12.2023 – C-340/21, NJW 2024, 1091 Rn. 52 f. – Natsionalnaagentsia za prihodite; für Verstöße gegen Art. 26 und 30 DS-GVO, Urt. v. 04.05.2023 – C-60/22, ZD 2023, 606 Rn. 66 f. – Bundesrepublik Deutschland [Elektronisches Gerichtsfach]).

bb) Es kommt in diesem Zusammenhang auch nicht darauf an, ob einer oder mehrere Verstöße gegen die Datenschutz-Grundverordnung festgestellt werden können, da der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungsoder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadenersatzes führt (vgl. EuGH, Urt. v. 11.04.2024 – C-741/21, NJW 2024, 1561 Rn. 59 f., 64 f. – juris; OLG Oldenburg, Urt. v. 21.05.2024 -13 U 100/23, juris Rn. 24). […]

b) Das Vorliegen eines immateriellen Schadens kann mit der Begründung des Berufungsgerichts nicht verneint werden.

aa) Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., EuGH, Urt. v. 20.06.2024 – C-590/22, DB 2024, 1676 Rn. 31 – PS GbR; v. 25.01.2024 – C-687/21, CR 2024,160 Rn. 64 – MediaMarkt-Saturn; v. 04.05.2023 – C-300/21, VersR 2023, 920 Rn. 30 und 44 – Österreichische Post). Dabei soll nach ErwG 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadenersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urt. v. 20.06.2024 – C-590/22, DB 2024, 1676 Rn. 25 – PS GbR; v. 11.04.2024 – C-741/21, NJW 2024, 1561 Rn. 34 – juris; v. 04.05.2023 – C-300/21, VersR 2023, 920 Rn. 42 – Österreichische Post).

Weiter hat der Gerichtshof ausgeführt, dass Art.  82 Abs.  1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat (EuGH, Urt. v. 20.06.2024 -C-590/22, DB 2024, 1676 Rn. 26 – PS GbR; v. 11.04.2024 – C-741/21, NJW 2024, 1561 Rn.  36 – juris; v. 04.05.2023 – C-300/21, VersR 2023, 920 Rn. 51 – Österreichische Post). Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DS-GVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art.  82 dieser Verordnung darstellen (EuGH, Urt. v. 20.06.2024 – C-590/22, DB 2024, 1676 Rn. 27 – PS GbR; v. 11.04.2024 – C-741/21, NJW 2024, 1561 Rn. 36 – juris).

Schließlich hat der Gerichtshof in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DS-GVO (vgl. ferner ErwG 75 DS-GVO) klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urt. v. 04.10.2024 – C-200/23, juris Rn. 145, 156 i.V.m. 137-Agentsia po vpisvaniyata; v. 20.06.2024 – C-590/22, DB 2024, 1676 Rn.  33 – PS GbR; vom 11.04.2024 – C-741/21, NJW 2024, 1561 Rn. 42 – juris; vgl. zuvor bereits EuGH, Urt. v. 25.01.2024 – C-687/21, CR 2024, 160 Rn.  66 – MediaMarktSaturn; v. 14.12.2023 – C-456/22, NZA 2024, 56 Rn.  17-23 – Gemeinde Ummendorf sowie – C-340/21, NJW 2024, 1091 Rn. 82 – Natsionalna agentsia za prihodite). Im ersten Satz des 85. ErwG der DS-GVO heißt es, dass ”[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“. Aus dieser beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen Verlust der Kontrolle („the mere loss of control“, „la simple perte de contrôle“) über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (EuGH, Urt. v. 04.10.2024 – C-200/23, juris Rn. 145 – Agentsia po vpisvaniyata; v. 14.12.2023 – C-340/21, NJW 2024,1091 Rn. 82 – Natsionalna agentsia za prihodite).

Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (vgl. EuGH, Urt. v. 20.06.2024 – C-590/22, DB 2024, 1676 Rn. 33 – PS GbR; v. 11.04.2024 – C-741/21, NJW 2024, 1561 Rn. 36 und 42 – juris). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.

Aber auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadenersatzanspruch zu begründen (vgl. EuGH, Urt. v. 25.01.2024 – C-687/21, CR 2024, 160 Rn.  67 – MediaMarktSaturn; v. 14.12.2023 – C-340/21, NJW 2024, 1091 Rn.  85 – Natsionalna agentsia za prihodite). Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urt. v. 20.06.2024 – C-590/22, DB 2024,1676 Rn. 36 – PS GbR; v. 14.12.2023 – C-340/21, NJW 2024, 1091 Rn. 75-86 – Natsionalna agentsia za prihodite). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urt. v. 20.06.2024 – C-590/22, DB 2024, 1676 Rn. 35 – PS GbR; v. 25.01.2024 – C-687/21, CR 2024, 160 Rn. 68 – MediaMarktSaturn).

bb) Der Betroffene, der Ersatz des immateriellen Schadens verlangt, muss folglich geltend machen (und ggf. nachweisen), dass der Verstoß gegen die Datenschutz-Grundverordnung negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen.

Für eine ordnungsgemäße Darlegung muss das Gericht nach allgemeinen Grundsätzen anhand des Parteivortrags beurteilen können, ob die gesetzlichen Voraussetzungen der an eine Behauptung geknüpften Rechtsfolgen erfüllt sind. Ein Sachvortrag zur Begründung eines Anspruchs ist demnach bereits dann schlüssig und erheblich, wenn die Partei Tatsachen vorträgt, die in Verbindung mit einem Rechtssatz geeignet und erforderlich sind, das geltend gemachte Recht als in der Person der Partei entstanden erscheinen zu lassen. Die Angabe näherer Einzelheiten ist nicht erforderlich, soweit diese für die Rechtsfolgen nicht von Bedeutung sind. Das Gericht muss nur in die Lage versetzt werden, aufgrund des tatsächlichen Vorbringens der Partei zu entscheiden, ob die gesetzlichen Voraussetzungen für das Bestehen des geltend gemachten Rechts vorliegen. Sind diese Anforderungen erfüllt, ist es Sache des Tatrichters, in die Beweisaufnahme einzutreten und dabei gegebenenfalls die benannten Zeugen oder die zu vernehmende Partei nach weiteren Einzelheiten zu befragen oder einem Sachverständigen die beweiserheblichen Streitfragen zu unterbreiten (vgl. zur st. Rspr. – auch zur Geltung bei Massenverfahren wie etwa den Dieselfällen – nur Senat, Urt. v. 06.02.2024 – VI ZR 526/20, WM 2024, 761 Rn. 11; v. 13.07.2021 -VI ZR 128/20, VersR 2021, 1252 Rn. 20; v. 18.05.2021 -VI ZR 401/19, VersR 2021, 1046 Rn. 19; jeweils m.w.N.).

cc) Nach diesen Grundsätzen durfte das Berufungsgericht den Vortrag des Klägers zu einem Schaden in Gestalt von Kontrollverlust nicht schon als per se unzureichend für die Annahme eines immateriellen Schadens im Sinne von Art.  82 Abs.  1 DS-GVO ansehen. Soweit das Berufungsgericht darüber hinaus den Vortrag des Klägers zu einem weitergehenden Schaden in Gestalt von Angst, Sorge und Unwohlsein wegen Spam-SMS und -Anrufen, sowie in Gestalt von aufgewandter Zeit und Mühe in der Auseinandersetzung mit dem Scraping-Vorfall und dem Schutz vor künftigem Missbrauch für zu unsubstantiiert gehalten hat, hat es die Darlegungsanforderungen überspannt.

(1) Zwar ist dem Berufungsgericht zuzugestehen, dass es in Prozessen wie denen wegen des Scraping-Vorfalls bei der Beklagten nicht selten zu beobachten ist, dass „standardisierte“, offenbar aus Textbausteinen zusammengesetzte Schriftsätze eingereicht werden, denen es teilweise am Bezug zum konkreten Fall und dem ihm zu Grunde liegenden spezifischen Sachverhalt fehlen mag. Für die Schlüssigkeit seiner Schadenersatzklage muss der Betroffene jedoch nur darlegen, dass und in welcher Weise gerade er von dem Scraping-Vorfall betroffen war und welche Folgen dies für ihn hatte (vgl. zu einer vergleichbaren Situation in Anlegerschutzprozessen BGH, Urt. v. 06.12.2012 – Ill ZR 66/12, VersR 2013, 359 Rn. 15, bei denen es jedoch zumindest individuelle Anlageberatungsgespräche gab, die zu schildern waren; vgl. ferner BGH, Beschl. v. 21.03.2022 – Via ZB 4/21, NJW-RR 2022, 642 Rn. 13 zum Einzelfallbezug einer Berufungsbegründung). Hierbei ist mit der Revision zu berücksichtigen, dass bei einem einheitlichen Vorgang wie dem hier vorliegenden Scraping-Vorfall, bei dem vergleichbare Daten von Millionen Nutzern abgegriffen und ins Internet gestellt wurden, auch der Vortrag der Betroffenen zu den ihnen hieraus erwachsenden individuellen Folgen jedenfalls im Ausgangspunkt notwendig vergleichbare Züge trägt.

Das Risiko der Nichterweislichkeit – auch in Bezug auf das konkrete Ausmaß eines etwaigen Schadens – verbleibt freilich beim Anspruchsteller (vgl. EuGH, Urt. v. 11.04.2024 – C-741/21, NJW 2024, 1561 Rn. 35 – juris).

(2) Diesen Darlegungserfordernissen hat das Vorbringen des Klägers genüge getan.

(a) Der Scraping-Vorfall bei der Beklagten als solcher steht ebenso fest wie die anschließende Veröffentlichung der abgegriffenen Daten im Internet. Wie die Revision zu Recht rügt, hatte der Kläger bereits erstinstanzlich den Inhalt des von den Scrapern geleakten, auf ihn bezogenen Datensatzes in Form eines wörtlichen Zitats wiedergegeben und geltend gemacht, es handele sich um seine Telefonnummer, seine Nutzer-ID bei Facebook, seinen Vor-und Nachnamen, sein Geschlecht sowie seine Arbeitsstätte. Zum Kontrollverlust hat der Kläger angegeben, seine Telefonnummer stets bewusst und zielgerichtet weiterzugeben und diese nicht wähl- und grundlos der Öffentlichkeit, wie etwa im Internet, zugänglich zu machen.

Zu den weitergehenden Folgen hat der Kläger vorgetragen, wegen des Scraping-Vorfalls in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch der ihn betreffenden Daten verblieben zu sein. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Seit dem Vorfall erhalte er unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und Phishing-Attacken. Das habe dazu geführt, dass er nur noch mit äußerster Vorsicht auf jegliche E-Mails und Nachrichten reagieren könne und jedes Mal einen Betrug fürchte und Unsicherheit verspüre. Zur aufgewendeten Zeit und Mühe trug der Kläger vor, er habe sich mit dem „Datenleak“ auseinandersetzen, den Sachverhalt ermitteln, sich um eine Auskunft der Beklagten kümmern und selbst weitere Maßnahmen ergreifen müssen.

(b) Dieses Vorbringen genügt sowohl hinsichtlich des eingetretenen Kontrollverlustes bezüglich seiner oben genannten Daten als auch hinsichtlich der sich hieraus entwickelnden besonderen Befürchtungen und Bemühungen den Anforderungen an einen hinreichend substantiierten Klagevortrag. Insbesondere war der Kläger nicht gehalten, im Einzelnen auszuführen, welchen anderen Personen er seine Daten – insbesondere seine Telefonnummer – offengelegt hat. Es genügt jedenfalls, wenn er wie hier angibt, dies zuvor bewusst und ausgewählt getan zu haben, d.h. die Daten nicht allgemein veröffentlicht zu haben.

Die Darlegungslast wird auch nicht dadurch erhöht, dass die Telefonnummer im Vergleich zu den in Art.  9 DS-GVO genannten besonders sensiblen Daten weniger geheimhaltungsbedürftig ist. Dieser Umstand mag sich zwar auf die Höhe eines etwaigen Schadenersatzanspruches auswirken, beeinflusst die prozessuale Darlegungslast zum Anspruch dem Grunde nach hingegen nicht. Das Risiko, auch Dritte könnten seine Telefonnummer nicht datenschutzkonform verarbeiten, steht – solange sich dieses nicht unstreitig vor dem Eintritt des Scraping-Vorfalls verwirklicht hatte – der Darlegung eines Kontrollverlusts nicht entgegen. Insoweit unterscheidet sich der durch das Scraping und die dauerhafte Preisgabe der mit dem Namen des Klägers verknüpften Telefonnummer im Internet behauptete Kontrollverlust wesentlich von den Risiken, die mit einer bewussten und zielgerichteten Weitergabe der Telefonnummer an bestimmte Empfänger verbunden sind.

dd) Soweit das Berufungsgericht darüber hinaus in Bezug auf die „immer öffentlichen“ personenbezogenen Daten des Klägers (Name, Geschlecht und Nutzer-ID) einen Schaden abgelehnt hat, weil sich der Kläger durch seine im Zuge der Registrierung auf der Plattform der Beklagten erklärte Zustimmung mit den dort geltenden Nutzungsbedingungen damit einverstanden erklärt habe, dass diese Daten in die Öffentlichkeit gelangen, hält auch diese Begründung einer revisionsrechtlichen Überprüfung nicht stand. Hinreichende Feststellungen zu den zum Registrierungszeitpunkt des Klägers geltenden Nutzungsbedingungen und deren konkreter Einbindung in das Registrierungsverfahren hat das Berufungsgericht nicht getroffen (vgl. dagegen etwa die Darlegungen in OLG Hamm, Urt. v. 15.08.2023 – 7 U 19/23, juris Rn. 112,117 ff.; OLG Oldenburg, Urt. v. 21.05.2024 – 13 U 100/23, juris Rn. 30 ff.). Dies wäre jedoch erforderlich gewesen, um die Wirksamkeit einer etwaigen Einwilligung des Klägers nach Art. 6 Abs. 1 UAbs. 1 lit. a) DS-GVO zu prüfen.

Dabei wäre insbesondere zu erörtern gewesen, ob sich die nach der Annahme des Berufungsgerichts im Rahmen der Registrierung erteilte Einwilligung des Klägers auf die konkrete Datenverarbeitung – hier: die Öffentlichkeit der Daten in Verbindung mit der Suchbarkeitsfunktion – bezieht (Art. 4 Nr. 11 DS-GVO; vgl. EuGH, Urt. v. 01.10.2019 – C-673/17, NJW 2019, 3433 Rn. 58, 60 – planet49), ob das dem Kläger im Zuge des Registrierungsverfahrens unterbreitete Ersuchen um Einwilligung transparent, d.h. in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgte (Art. 7 Abs. 2, ErwG 42 DS-GVO), ob der Kläger seine Einwilligungserklärung auf dieser Grundlage in informierter Weise und unmissverständlich abgegeben hat (Art.  4 Nr.  11 DS-GVO) und ob die Einwilligungserklärung letztlich freiwillig erfolgt ist (Art.  7 Abs.  4, ErwG 42, 43 DS-GVO), wobei auch die beherrschende Stellung der Beklagten auf dem Markt für soziale Netzwerke zu berücksichtigen ist (vgl. EuGH, Urt. v. 04.07.2023 – C-252/21, NJW 2023, 2997 Rn. 140 ff. – Meta Platforms).

ee) Die Rechtsfehler sind auch entscheidungserheblich. Es kann nicht ausgeschlossen werden, dass das Berufungsgericht, hätte es den Schadensbegriff im Sinne der jüngeren Rechtsprechung des Gerichtshofes ausgelegt und die Anforderungen an die Substanziierung des klagebegründenden Vortrags nicht in unzulässigerweise überspannt, zu dem Ergebnis gelangt wäre, dass der Kläger durch den ScrapingVorfall einen immateriellen Schaden – ob nun allein in Gestalt des Kontrollverlustes als solchem oder darüber hinaus auch in Gestalt der geltend gemachten psychischen Beeinträchtigungen – erlitten hat.