BGH-Urteil zum Scraping erhöht die Risiken von Rechtsstreitigkeiten im Zusammenhang mit der DSGVO

Am 18. November 2024 hat der Bundesgerichtshof (BGH) entschieden, dass der bloße Verlust der Kontrolle über Nutzerdaten einen Schadensersatzanspruch nach Art. 82 der EU-Datenschutzgrundverordnung ("DSGVO") begründen kann. Der BGH betont, dass der Betroffene nicht nachweisen muss, dass der Kontrollverlust zu einem Missbrauch der Daten oder einem anderen Schaden geführt hat, und senkt damit die Anforderungen an die Geltendmachung solcher Schadensersatzansprüche erheblich. 

Die Entscheidung betrifft einen Scraping-Fall, bei dem Unbekannte öffentliche Daten von Nutzerkonten bei einem Online-Dienst gestohlen haben. Die Folgen der Entscheidung gehen jedoch weit über den Einzelfall hinaus: Der BGH griff auf das neue prozessuale Instrument der "Leitentscheidung" zurück, mit der grundlegende Rechtsfragen in Massenverfahren geklärt werden sollen. Zudem ist die Entscheidungsbegründung nicht auf Scraping-Fälle beschränkt, sondern lässt sich auch auf andere "Datenlecks" von Nutzer- oder Kundendaten anwenden. 

Dennoch sind weder der vorliegende Einzelfall noch die grundsätzliche Rechtsfrage, welcher Maßstab unter Art. 82 DS-GVO zur Anwendung kommt,  endgültig geklärt. Zum einen hat der BGH den Fall an das Oberlandesgericht zurückverwiesen, um zu klären, ob überhaupt ein Verstoß gegen die DSGVO vorliegt, und ggf. den Schadensersatz zu beziffern. Zum anderen hat der BGH die grundsätzliche Frage nach der Auslegung von Art. 82 DSGVO nicht dem Gerichtshof der Europäischen Union (EuGH) vorgelegt. Die stark einzelfallgetriebene Rechtsprechung des EuGH zu Art. 82 DSGVO könnte Beklagten einen kleinen Hoffnungsschimmer geben, dass die maßgebende Auslegung des EuGH schließlich - wenn auch nur geringfügig - strengere Maßstäbe für Kläger aufstellt, die immaterielle Schäden geltend machen. 

Die potenziellen wirtschaftlichen Auswirkungen der BGH-Entscheidung ergeben sich nicht aus den Schadenssummen für den einzelnen Kläger (hier laut BGH ca. 100 Euro), sondern aus der großen Zahl der potenziellen Kläger (hier: ca. 6 Mio.). 

Die potenzielle Schadenssumme ist für die betroffenen Personen vermutlich zu gering, um sich die Mühe zu machen, selbst Klage zu erheben. Damit bleiben den Klägern im Wesentlichen zwei zivilprozessuale Möglichkeiten: 

(1)    Klageplattformen könnten anbieten, individuelle Ansprüche gegen einen Abschlag zu erwerben und die gesammelten Ansprüche vor den zuständigen Gerichten gegen den für die Datenverarbeitung Verantwortlichen geltend zu machen. Dies würde dem Beispiel der Fluggastrechte folgen, wo sich im Laufe der Jahre eine Klageindustrie entwickelt hat, die sich in hohem Maße auf die Unterstützung durch Legal Tech stützt.

(2)    Verbraucherschutzverbände könnten eine Verbandsklage gegen den für die Datenverarbeitung Verantwortlichen erheben. Dieses Instrument ermöglicht es Verbraucherschutzverbänden, im Namen aller potenziell betroffenen Verbraucher, die der Verbandsklage beitreten, eine Schadensersatzklage zu erheben. Im Erfolgsfall würde der erstrittene Betrag unter den Verbrauchern aufgeteilt. 

Die Verteidigung gegen solche Klagen kann für die für die Datenverarbeitung Verantwortlichen eine herausfordernd sein. Sie erfordert eine sorgfältig ausgearbeitete Prozessstrategie, die ihrerseits in hohem Maße auf Legal Tech und künstliche Intelligenz angewiesen sein wird, um die potenziell enorme Anzahl von Einzelklagen zu bewältigen.