Steht der Kontrollverlust einer betroffenen Person fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person. Diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.
Germany. Bundesgerichtshof. Geklagt ist die Betreiberin eines sozialen Netzwerks. Der Kläger machte verschiedene Ansprüche geltend, darunter Schadenersatz für immaterielle Schäden und Unterlassung. Auslöser war eine (behauptete) gravierende Verletzung des Schutzes personenbezogener Daten. Denn eine Funktion des sozialen Netzwerks erlaubte es bis 2019 mit Hilfe einer Telefonnummer die dazugehörigen Nutzerkonten beim sozialen Netzwerk zu finden. Unbekannte Dritte nutzten diese Schwachstelle und führten ein sogenanntes „Scraping“ durch. Dadurch wurden offenbar mehr als 500 Millionen Datensätze von Nutzern des sozialen Netzwerks abgegriffen, die später auch im Darknet veröffentlicht wurden. Davon war die Telefonnummer des Klägers, zusammen mit anderen personenbezogenen Informationen betroffen. Hinzu trat nach Ansicht des Klägers, dass dieser nie über den Vorfall informiert wurde. Als Folge alledem sei er regelmäßig Betrugsversuche in Form von Phishing-SMS und betrügerischen E-Mails ausgesetzt, was bei ihm zu erheblichen Belastungen und einem Verlust der Kontrolle über seine Daten geführt habe.
Die Betreiberin des sozialen Netzwerks argumentierte hingegen zusammengefasst, dass nicht sie (alleine) das Scraping zu verantworten habe, weil Nutzer die Voreinstellungen zur Privatsphäre selbst hätten anpassen können, was das Abgreifen der personenbezogenen Daten unterbunden hätte. Dem hielt wiederum der Kläger entgegen, dass die Betreiberin gegen ihre Pflicht zu Privacy by Design and Default gerade dadurch verstoßen habe, dass die standardmäßigen Einstellungen gerade keine Nichtverfügbarkeit vorsahen.
In erster Instanz erhielt der Kläger hierfür einen Schadenersatz von EUR 250 zugesprochen. Das danach angerufene Oberlandesgericht drehte diese Entscheidung und wies die Klage zur Gänz ab.
Der Bundesgerichtshof urteilte nun zur Haftung und dem Recht auf Schadenersatz, dem sachlichen Anwendungsbereich der EU-DSGVO, der Zulässigkeit von Unterlassungsbegehren und zum Auskunftsrecht.
Zum Auskunftsrecht:
- Das Auskunftsrecht aus Art 15 Abs 1 lit c EU-DSGVO erstreckt sich grundsätzlich auch auf Informationen darüber, ob und wenn ja welchen konkreten Empfängern der Verantwortliche personenbezogene Daten der betroffenen Person weitergegeben hat.
- Das Ausüben des Auskunftsrechts muss der betroffenen Person nicht nur ermöglichen, zu überprüfen, ob sie betreffende Daten richtig sind, sondern auch, ob diese Daten in zulässiger Weise verarbeitet werden, insbesondere ob sie gegenüber Empfängern offengelegt wurden, die zu ihrer Verarbeitung befugt sind.
- Ist der Verantwortlichen die Auskunft über die Identität der konkreten Empfänger nicht möglich, ist diese nicht zu einer weitergehenden Auskunft verpflichtet.
Zur Zulässigkeit von Unterlassungsbegehren:
- Unterlassungsbegehren, die lediglich den Wortlaut eines Gesetzes wiederholen, sind grundsätzlich als zu unbestimmt und damit unzulässig anzusehen.
- Das Begehren, die Verantwortliche möge es unterlassen, personenbezogene Daten der betroffenen Person unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, ist nicht hinreichend bestimmt.
- Das Rechtsschutzbedürfnis der betroffenen Person, die Verantwortliche möge eine Datenverarbeitung unterlassen, entfällt nicht dadurch, dass die betroffene Person diese personenbezogene Daten aus den Nutzerkonto selbst löschen kann.
Zur Haftung und dem Recht auf Schadenersatz:
- Die künstliche Aufspaltung von Ansprüchen auf Ersatz immateriellen Schadens bei mehreren Verstößen gegen die EU-DSGVO aus demselben Lebenssachverhalt in mehrere Streitgegenstände würde die Wertung des EuGH unterlaufen, wonach der Schadenersatz keine Abschreckungs- oder gar Straffunktion verfolgt, weshalb auch das Vorliegen mehrerer auf denselben Verarbeitungsvorgang bezogener Verstöße nicht zu einer Erhöhung des Schadenersatzes führt.
- Für eine ordnungsgemäße Darlegung, dass der Verstoß gegen die EU-DSGVO negative Folgen für die betroffene Person gehabt hat, muss das Gericht nach allgemeinen Grundsätzen anhand des Parteivortrags beurteilen können, ob die gesetzlichen Voraussetzungen der an eine Behauptung geknüpften Rechtsfolgen erfüllt sind.
- Die Angabe näherer Einzelheiten über den Kontrollverlust ist nicht erforderlich, soweit diese für die Rechtsfolgen nicht von Bedeutung sind.
- Steht der Kontrollverlust einer betroffenen Person fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person. Diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.
- Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadenersatzanspruch zu begründen.
- Die (besondere) Geheimhaltungsbedürftigkeit von personenbezogenen Daten mag sich auf die Höhe eines etwaigen Schadenersatzanspruches auswirken.
- Keine Bedenken, den notwendigen Ausgleich für den eingetretenen Kontrollverlust (hier) in einer Größenordnung von EUR 100 zu bemessen.
Zum Feststellungsinteresse der Haftung für zukünftige Schäden:
- Die bloße Möglichkeit des künftigen Eintritts der geltend gemachten Schäden ist Maßstab für die Annahme eines Feststellungsinteresses.
- Eine über die bloße Möglichkeit eines künftigen Eintritts der geltend gemachten Schäden darüberhinausgehende hinreichende Schadenswahrscheinlichkeit ist für ein Feststellungsinteresse nicht erforderlich.
- Durch die fortdauernde Veröffentlichung personenbezogener Daten besteht das Risiko einer missbräuchlichen, insbesondere betrügerischen Nutzung dieser Daten mit der Folge eines materiellen oder immateriellen Schadens fort.