Die Diskussion um Schadensersatz bei Datenschutzverstößen bleibt in Bewegung. Bereits im Juni 2024 hatten wir das Thema in unserem Podcast Kaffeerecht behandelt, doch seither sind einige bedeutende Urteile ergangen, die neue Maßstäbe setzen. Besonders brisant ist die Frage, ob allein der Kontrollverlust über personenbezogene Daten ausreicht, um einen Schadensersatzanspruch nach der DSGVO zu begründen.
Neben diesem Schwerpunktthema gibt es auch ein kurzes Update zur Dubai-Schokolade – ein kurioser Rechtsstreit, der verdeutlicht, wie Gerichte mit der Frage der Herkunftsbezeichnung umgehen.
Dubai-Schokolade: Herkunft oder Gattungsbegriff?
Bevor wir uns mit den neuen Entwicklungen im Datenschutzrecht befassen, lohnt sich ein Blick auf eine Entscheidung des Landgerichts Frankfurt zur sogenannten Dubai-Schokolade. Die Frage, die sich hier stellte, war, ob die Bezeichnung „Dubai“ eine Irreführung darstellt oder ob sie inzwischen als allgemeiner Begriff für eine bestimmte Art von Süßwaren verstanden wird.
Während das Landgericht Köln zuvor entschieden hatte, dass die Bezeichnung in der konkreten Form irreführend sei, kam das Landgericht Frankfurt zu einer anderen Einschätzung. Die entscheidende Rolle spielte dabei die Aufmachung des Produkts. Auf der Verpackung war klar angegeben, dass die Schokolade, Pistazien und das Kadayif nicht ausschließlich aus Dubai stammen, sondern aus EU- und Nicht-EU-Ländern.
Besonders interessant ist die Begründung des Gerichts, dass sich „Dubai“ mittlerweile zu einem Gattungsbegriff entwickelt habe. Das bedeutet, dass Verbraucher den Namen nicht mehr zwingend mit der geografischen Herkunft verbinden, sondern eher mit einer bestimmten Art von Süßwaren oder Rezepturen. Diese Sichtweise zeigt, dass Gerichte die Verbrauchererwartungen sehr genau prüfen und die Gestaltung der Verpackung eine maßgebliche Rolle bei der Bewertung von Markennamen und Herkunftsangaben spielt.
Wie dieser Fall weitergeht, bleibt abzuwarten. Sollten sich weitere Gerichte mit dem Thema befassen oder das Verfahren in die nächste Instanz gehen, werden wir in einer zukünftigen Folge von Kaffeerecht sicherlich erneut darauf eingehen.
Schadensersatz nach der DSGVO: Die drei entscheidenden Voraussetzungen
Kommen wir nun zum eigentlichen Schwerpunkt dieser Episode: Schadensersatz bei Datenschutzverstößen. Grundlage für entsprechende Ansprüche ist Artikel 82 DSGVO, der Betroffenen einen Ersatz für Schäden zuspricht, die ihnen durch Verstöße gegen die Datenschutz-Grundverordnung entstehen.
Drei Voraussetzungen sind dabei entscheidend. Erstens muss ein eindeutiger Verstoß gegen die DSGVO vorliegen – beispielsweise eine unzulässige Datenweitergabe oder eine mangelhafte Absicherung personenbezogener Daten, die zu einem Datenleck führt.
Zweitens muss ein immaterieller Schaden nachweisbar sein. Dieser Schaden kann sich in Form von psychischer Belastung, Kontrollverlust über eigene Daten oder gar einer Rufschädigung äußern. Gerade der Kontrollverlust ist in der jüngsten Rechtsprechung ein zentrales Thema.
Drittens ist eine Kausalität zwischen Verstoß und Schaden erforderlich. Es reicht nicht aus, dass eine Datenschutzverletzung stattgefunden hat – es muss auch nachweisbar sein, dass die betroffene Person tatsächlich einen Nachteil daraus erlitten hat.
Leitentscheidungsverfahren des BGH: Kontrollverlust reicht aus
Eine der wichtigsten Neuerungen der letzten Monate ist das erste Leitentscheidungsverfahren des Bundesgerichtshofs (BGH) im Datenschutzrecht. Dieses neue Instrument ermöglicht es dem BGH, grundlegende Rechtsfragen in Massenverfahren frühzeitig zu klären und dadurch für mehr Rechtssicherheit zu sorgen.
In seinem Urteil vom 18. November 2024 stellte der BGH klar, dass bereits der bloße Kontrollverlust über personenbezogene Daten einen Anspruch auf Schadensersatz auslösen kann. Das bedeutet, dass Betroffene nicht erst nachweisen müssen, dass sie konkrete negative Folgen wie Spam-Mails oder Betrugsversuche erlitten haben. Allein die Tatsache, dass ihre Daten ohne ihre Kontrolle weitergegeben oder offengelegt wurden, reicht für einen Anspruch aus.
Allerdings setzte der BGH die Höhe des Schadensersatzes auf 100 Euro fest. Diese Summe signalisiert, dass Datenschutzverstöße ernst genommen werden, bleibt jedoch verhältnismäßig gering. Besonders für Unternehmen, die massenhaft personenbezogene Daten verarbeiten, kann sich dieser Betrag jedoch schnell summieren, wenn viele Betroffene ihre Ansprüche geltend machen.
Neue Urteile zum Datenschutz-Schadensersatz
Auch abseits der BGH-Entscheidung gab es in den letzten Monaten mehrere interessante Urteile.
So sprach das Europäische Gericht (EuG) in einem Fall einem Kläger 400 Euro Schadensersatz zu, nachdem die EU-Kommission seine IP-Adresse ohne angemessene Schutzmaßnahmen an ein US-Unternehmen übermittelt hatte. Da es zu diesem Zeitpunkt noch keinen Angemessenheitsbeschluss für Datentransfers in die USA gab, stellte das Gericht einen klaren DSGVO-Verstoß fest und erkannte einen Kontrollverlust des Klägers an.
Das Oberlandesgericht Dresden hat sich hingegen in einer Entscheidung aus dem Dezember 2024 der neuen BGH-Linie angeschlossen. In einem Scraping-Fall – also der massenhaften Erfassung von Nutzerdaten durch automatisierte Programme – sprach es dem Kläger 100 Euro zu. Interessanterweise hatte der Kläger ursprünglich 3.000 Euro gefordert, was zeigt, dass die Gerichte weiterhin sehr zurückhaltend mit hohen Summen sind.
Nicht immer haben Betroffene Erfolg mit ihren Klagen. Mehrere Entscheidungen des Oberlandesgerichts Hamm aus dem November 2024 machten deutlich, dass eine pauschale Berufung auf einen Kontrollverlust nicht genügt. Kläger müssen darlegen, wie genau sich der Kontrollverlust auf sie ausgewirkt hat. Wenn jemand bereits vor einem Datenleck Spam-Mails erhielt und sich sein E-Mail-Aufkommen nicht signifikant verändert hat, wird es schwer, einen Schaden glaubhaft zu machen.
Ähnlich entschied das Oberlandesgericht Schleswig, das einer betroffenen Person keinen Schadensersatz zusprach, weil sie nicht belegen konnte, dass eine unrechtmäßige Meldung an eine Auskunftei tatsächlich negative wirtschaftliche Folgen hatte.
Diese Urteile zeigen, dass die Rechtsprechung zwar offener für Schadensersatzansprüche geworden ist, Betroffene aber dennoch konkrete Auswirkungen darlegen müssen.
Was bedeutet das für Unternehmen und Betroffene?
Für Unternehmen wird es immer wichtiger, Datenschutzverstöße zu vermeiden, denn Schadensersatzansprüche können auch ohne direkte wirtschaftliche Schäden geltend gemacht werden. Besonders problematisch sind Datenlecks und Scraping-Fälle, bei denen Kundendaten unkontrolliert weiterverbreitet werden.
Betroffene haben durch die aktuelle Rechtsprechung bessere Chancen auf Schadensersatz, sollten jedoch genau dokumentieren, welche Auswirkungen der Kontrollverlust für sie hatte. Wer sich durch Spam-Nachrichten, Identitätsdiebstahl oder wirtschaftliche Nachteile betroffen fühlt, muss dies im Zweifel nachweisen.
Insgesamt zeigt sich, dass der Datenschutzrechtsschutz in Europa weiterentwickelt wird. Die Frage, wie hoch angemessene Schadensersatzbeträge sein sollten und ob sich in Zukunft Sammelklagen gegen Unternehmen häufen, bleibt spannend.
Shownotes
- BGH, Urteil vom 18.11.2024 – VI ZR 10/24 (Leitentscheidungsverfahren) – openJur
- LG Frankfurt a.M., Beschluss vom 21.01.2025, Az. 2-06 O 18/25 (Dubai Schokoloade)
- EuGH, Urteil vom 11.04.2024, Az.: C-741/21 (Voraussetzungen des (immmateriellen) Schadensersatz-Anspruch)
- EuG, Urteil vom 8. Januar 2025 – T-354/22 (Schadensersatz : 400€)
- OLG Dresden, Urteil vom 10.12.2024 – 4 U 808/24 (Schadensersatz : 100 €) – openJur
- OLG Hamm, Urteil vom 29. November 2024 – 25 U 25/24 (kein Schadensersatz)
- OLG Hamm, Urteil vom 26. November 2024 – 25 U 12/24 (kein Schadensersatz)
- OLG Hamm, Urteil vom 22. November 2024 – 25 U 33/24 (kein Schadensersatz)
- OLG Schleswig, Urteil vom 22. November 2024 – 17 U 2/24 (kein Schadensersatz)