Nach Rechtsprechung des EuGH kann auch bereits der bloße und kurzzeitige Verlust der Kontrolle über die eigenen personenbezogenen Daten infolge eines DSGVO-Verstoßes einen Anspruch auf Ersatz des hierdurch verursachten immateriellen Schadens begründen. Daraus folgt, dass weder eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein muss noch es sonstiger zusätzlicher spürbarer negativer Folgen bedarf.
Hieran anschließend stellt der Bundesgerichtshof mit Urteil vom 18.11.2024 (VI ZR 10/24) fest, dass ein solcher Schadensersatzanspruch auch bei sog. Scraping* eröffnet sein kann, bei dem – im konkreten Fall bei einem sozialen Netzwerk – in großem Umfang öffentliche Daten mit Personenbezug abgegriffen werden konnten.
Der Kläger beansprucht nun Schadensersatz wegen Verstoßes gegen die Vorschriften der DSGVO zur angemessener und effizienter Sicherheitsmaßnahmen zum Schutze der personenbezogenen Daten der Nutzer des Social Media-Netzwerks.
In seinen Urteilsgründen schließt sich der BGH der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH an. Bei dieser Gelegenheit hat der BGH zudem Hinweise zur Bemessung (§ 287 ZPO) des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO erteilt und ausgeführt, warum unter den Umständen des Streitfalles von Rechts wegen keine Bedenken dagegen bestünden, den Ausgleich für den bloßen Kontrollverlust in einer Größenordnung von 100 € zu bemessen.
Erfolg hatte der Kläger vor dem BGH auch, soweit das Berufungsgericht (OLG Köln) zuvor seine Anträge auf Feststellung einer Ersatzpflicht für zukünftige Schäden, auf Unterlassung der Verwendung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt ist, und auf Ersatz seiner vorgerichtlichen Rechtsanwaltskosten abgewiesen hatte.
*Scraping (auch Web-Scraping genannt) ist eine Methode, mit der Informationen automatisiert von Webseiten gesammelt werden. Dabei nutzen Programme, sogenannte „Scraper“, spezielle Software, um Inhalte wie Texte, Bilder oder Daten von Webseiten auszulesen und zu speichern. Beim Scraping werden häufig öffentlich zugängliche Daten, wie z. B. Profilinformationen oder Beiträge in sozialen Netzwerken, systematisch gesammelt. Das kann legal sein, wenn es im Rahmen der Nutzungsbedingungen der Webseite geschieht. Allerdings kann Scraping auch problematisch sein, z. B. wenn personenbezogene Daten ohne Zustimmung der Betroffenen erfasst oder gegen Datenschutzbestimmungen wie die DSGVO verstoßen wird. Ein Beispiel wäre das massenhafte Sammeln von Profilinformationen aus sozialen Netzwerken, um diese für Werbung, Datenanalysen oder andere Zwecke zu nutzen.