BGH: DSGVO-Schadenersatz für Kontrollverlust

Data Subject Rights
 /  Tue, 19.11.2024 - 12:09

noyb begrüßt die gestrige Leitentscheidung des deutschen Bundesgerichtshofs über Ansprüche im Zusammenhang mit einem Datenschutzvorfall bei Facebook

Bundesgerichtshof Deutschland

Copyright für obiges Headerbild: Steffen Prößdorf, CC BY-SA 4.0 , via Wikimedia Commons

Statemement von Max Schrems.

Max Schrems: "Trotz klarer Regelungen in der DSGVO und mehrerer EuGH-Urteile haben die deutschen Gerichte Schadenersatz im Datenschutz bisher regelmäßig abgelehnt. Wir freuen uns, dass der BGH nun ein Machtwort gesprochen und die deutsche Rechtsprechung auf Kurs gebracht hat. Die juristische Debatte in der Bundesrepublik war bisher von Konzernanwälten dominiert und so manches Gericht hat sich von deren kruden Theorien dazu verleiten lassen, knifflige DSGVO-Fälle schnell abzuweisen. Das hat dazu geführt, dass Deutschland zu einem europaweiten Problem für Datenschutzfälle geworden ist."

Deutsche Gerichte und Literatur bisher extrem DSGVO-feindlich. In Deutschland hat die juristische Literatur einen großen Einfluss auf Gerichte. Im Bereich Datenschutz gibt es jedoch fast nur Fachanwälte auf Unternehmensseite. Auch Forschung im Bereich der digitalen Rechte wird in zunehmend bedenklichem Ausmaß von Unternehemen beauftragt und bezahlt - oft ohne dass dies entsprechen offengelegt wird. Vor diesem Hintergund hat sich eine Industrie entwickelt, die immer weiter krude Theorien hervorbringt, warum DSGVO-Ansprüche abzuweisen seien oder Schadenersatz für Datenschutzverletzungen so gut wie gar nicht exisiteren könne.

Beispielsweise hat man in Deutschland eine "Erheblichkeitsschwelle" erfunden, woraufhin die Gerichte viele DSGVO-Schadenersatzfälle als "unerheblich" abwiesen. Auch Österreichische Gerichte haben sich dieser Theorie angeschlossen, obwohl die DSGVO dafür keinerlei Grundlage bietet. Erst der EuGH hat diesem Treiben Einhalt geboten (C-300/21 Österreichische Post). Trotzdem haben einige deutsche Gerichte solche Fälle entgegen der EuGH-Rechtsprechung wiederholt abgewiesen.

Eingriff in die Privatsphäre ist der "Primärschaden". Bei nicht direkt "messbaren" Rechten ist die Schadensberechnung oft schwierig. Dies ist aber auch in anderen Bereichen als dem Datenschutz kein Grund, keinen Schadenersatz zuzusprechen. Im Medienrecht kann eine Kränkung genauso einen "Schaden" darstellen wie der Schmerz eines gebrochenen Beins. Gerichte haben in anderen Bereichen Schritt für Schritt erarbeitet, welcher Ausgleich angemessen ist. In einigen EU-Ländern sind daraus auch informelle "Knochenbruchtabellen" für Schmerzensgeldansprüche entstanden. 

"Sekundärschaden" unabhängig ersatzfähig. Der Schaden am Grundrecht auf Datenschutz ist auch von "Sekundärschäden" zu trennen. So kann man bereits an der unrechtmäßigen Veröffentlichung einer Krankheit leiden. Verliert man im Anschluss wegen der Veröffentlichung seinen Arbeitsplatz, ist das ein zweiter, unabhängiger Sekundärschaden - der getrennt davon schadenersatzfähig ist. Unternehmensanwälte negieren bisher konsistent, dass das Grundrecht auf Datenschutz selbst der Schaden ist und fokussieren sich auf (seltene und schwer beweisbare) Sekundärschäden.

Zum Inhalt der Entscheidung: Der BGH hat in seiner gestrigen Leitentscheidung festgehalten, dass der bloße Verlust der Kontrolle über die eigenen personenbezogenen Daten einen nach der DSGVO ersatzfähigen Schaden darstellen kann, sofern dieser Schaden auf einen Verstoß gegen die DSGVO zurückzuführen ist. Damit folgt das deutsche Höchstgericht der Rechtsprechung des EuGH (siehe (C‑200/23). Weitere Nachteile, wie den konkreten Missbrauch der Daten oder sonstige negative Folgen sind demgegenüber nicht erforderlich, um Betroffenen einen DSGVO-Schadensersatz zuzusprechen. Auch wenn der BGH sich konkret mit einem Datenleck auf Facebook befasste, sind die Aussagen des Urteils wohl auf andere Szenarien übertragbar, in denen betroffenen Personen rechtswidrig die Kontrolle über ihre Privatsphäre entzogen wird.