EuGH-Vorlage zum Anspruch auf Schadensersatz nach Art. 82 DSGVO wegen angeblichen Kontrollverlustes (Daten-Scraping)

Zwar hat der BGH kürzlich in einem Verfahren wegen des unzulässigen Daten-Scrapings judiziert, dass ein bloßer und selbst kurzzeitiger Verlust der Kontrolle über eigene personenbezogene Daten schon an sich als immaterieller Schaden i.S.v. Art. 82 DSGVO einzuordnen ist und zu einem, wenn auch überschaubaren, Geldanspruch führt. Zu dem jedenfalls erforderlichen „Kontrollverlust“ fehlt es allerdings an einer Definition oder näheren Maßgaben.

Der Sachverhalt:
Die Beklagte, deren Sitz in Irland ist, betreibt die Social-Media-Plattform Facebook in Europa. Die Klägerin unterhält dort ein Nutzerkonto. Im Rahmen der Registrierung müssen Nutzer bestimmte Informationen wie Name und Geschlecht angeben. Zusammen mit der von der Beklagten generierten Nutzer-ID ist dies alles im Rahmen des Nutzerprofils stets öffentlich einsehbar, worüber Nutzer in Kenntnis gesetzt werden. Die öffentlichen Nutzerinformationen erleichtern die Kontaktaufnahme mit anderen Menschen, was dem Unternehmenszweck der Plattform der Beklagten entspricht.

Über einen bestimmten Zeitraum hinweg haben unbekannte Dritte (sog. „Scraper“), die in keiner Verbindung zur Beklagten standen, über die Kontakt-Importer-Funktion Mobiltelefonnummern hochgeladen. Diese hatten die Scraper bereits vorher anderweitig (d.h. nicht auf der Plattform der Beklagten) erlangt oder generiert. Wurden beim Hochladen der Telefonnummern Nutzerprofile gefunden, sammelten die unbekannten Dritten die Daten, die in den Profilen der Nutzer öffentlich einsehbar waren, und machten sich diese nutzbar.

Bei der Kontakt-Importer-Funktion handelte es sich um eine regulär vorgesehene Funktion der Plattform der Beklagten. Die Scraper wandten automatisierte Tools an, um diese Funktion auszunutzen und um auf Daten zuzugreifen, die in diesem Fall öffentlich einsehbar waren. Diese ohne Erlaubnis erfolgte Datenerhebung mit automatisierten Tools und Methoden war (und ist immer noch) durch die Nutzungsbedingungen der Beklagten untersagt.

Dieses Vorgehen umfasste auch personenbezogene Daten der Klägerin. Diese forderte u.a. immateriellen Schadensersatz auf der Grundlage von Art. 82 DSGVO. Allein aufgrund der Tatsache, dass ihre Daten abgegriffen und in einer Datenbank veröffentlicht wurden, habe sie die Kontrolle über diese Daten verloren. Dieser Kontrollverlust stelle als solcher schon einen immateriellen Schaden dar. Die Beklagte war der Ansicht, dass Art. 82 DSGVO nicht dazu diene, vom Scraping betroffenen Personen Schadensersatz zu gewähren, die keinen konkreten, über den bloßen Kontrollverlust hinausgehenden Schaden erlitten haben. Außerdem stelle der Scraping-Sachverhalt bereits keinen „Datenschutzverstoß“ dar.

Das LG hat das Ausgangsverfahren ausgesetzt und dem EuGH gem. Art. 267 AEUV Fragen zur Auslegung von Art. 56 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) und der Datenschutz-Grundverordnung (DSGVO) vorgelegt.

Die Gründe:
Die deutsche Rechtsprechung divergiert zu der Frage, ob der bloße Kontrollverlust einen immateriellen Schaden darstellt. Die bereits vorliegenden Entscheidungen des EuGH werden unterschiedlich interpretiert. Zwar hat der BGH kürzlich in einem Verfahren wegen des unzulässigen Daten-Scrapings judiziert, dass ein bloßer und selbst kurzzeitiger Verlust der Kontrolle über eigene personenbezogene Daten schon an sich als immaterieller Schaden i.S.v. Art. 82 DSGVO einzuordnen ist und zu einem, wenn auch überschaubaren, Geldanspruch führt (BGH, Urt. v. 18.11.2024 - VI ZR 10/24). Dies soll somit unabhängig davon gelten, ob die Klagepartei individuelle immaterielle Beeinträchtigungen und Nachteile aufgrund des Kontrollverlusts darlegt und nachweist. Weder muss eine konkrete missbräuchliche Verwendung der Daten zum Nachteil des Betroffenen erfolgt sein, wie ein Identitätsdiebstahl, noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen. Zu dem jedenfalls erforderlichen „Kontrollverlust“ fehlt es allerdings an einer Definition oder näheren Maßgaben.

Das vorlegende Gericht geht von einem Datenschutzverstoß der Beklagten mit negativen Folgen aus. Es ist jedoch zweifelhaft, ob ein immaterieller Schaden zu bejahen ist. Abhängig davon, ob die bloße - erneute oder erstmalige - Veröffentlichung von personenbezogenen Daten im Internet als immaterieller Schaden eingestuft wird oder nicht, kann das Gericht dem Klageantrag auf immateriellen Schadenersatz entweder (zumindest teilweise) stattgeben oder ihn abweisen.

Insbesondere hält das Gericht eine Klarstellung des EuGH erforderlich, ob Art. 82 Abs. 1 DSGVO es einem nationalen Gericht ermöglicht, einer betroffenen Person Schadensersatz zuzusprechen, obwohl diese keinen konkreten und individuellen materiellen oder immateriellen Schaden nachgewiesen hat, wie begründete Befürchtungen eines Missbrauchs oder andere psychische Beeinträchtigungen, sondern sich lediglich darauf beruft, dass ihre Daten im Internet veröffentlicht wurden und sie somit die Kontrolle hierüber verloren habe. Dieser Klarstellung dient die Vorlagefrage zu 1.

Für den Fall, dass die Vorlagefrage zu 1 bejaht wird, ersucht das Gericht mit der Vorlagefrage zu 2. den EuGH um Klärung, ob dieser zu einer anderen Einschätzung gelangt, wenn die (erneut) veröffentlichten Daten lediglich aus solchen personenbezogenen Daten bestehen, deren Veröffentlichung im Internet die betroffene Person vorher selbst veranlasst hatte (einschließlich allenfalls numerische Nutzer-ID, Name und Geschlecht), sowie der Telefonnummer der betroffenen Person.

Mehr zum Thema:

Aufsatz
Martin Schmidt-Kessel
Verantwortung digitaler Plattformen
VersR 2024, 1241
VERSR0071004

Kurzbeitrag
OLG Frankfurt: Konkrete Meldung als Voraussetzung der Hostprovider-Haftung
Jan Pfeiffer, CR 2024, R78
CR0068892

Rechtsprechung
Keine Auslistungspflicht des Hostproviders aufgrund unkonkreter Beanstandung
OLG Nürnberg vom 23.07.2024 - 3 U 2469/23
Maria-Urania Dovas, ITRB 2024, 283
ITRB0071420

Beratermodul IT-Recht
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!