BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen

Was hat der BGH entschieden?

In seinem Urteil zum sogenannten Facebook-Scraping hat der BGH die Anforderungen an immateriellen Schadensersatz nach einer Datenschutzverletzung deutlich gesenkt und die Rechte der betroffenen Nutzer gestärkt. Hintergrund war, dass Unbekannte eine Sicherheitslücke bei Facebook ausgenutzt und millionenfach personenbezogene Daten abgegriffen hatten.

Ein wesentlicher Knackpunkt des Falles war die Frage, ob der Verlust der Kontrolle über die eigenen personenbezogenen Daten bereits einen immateriellen Schaden darstellt. Dies hat der BGH nunmehr bejaht. Weder muss insoweit eine missbräuchliche Verwendung der Daten zum Nachteil des Betroffenen erfolgt sein, noch sind sonstige zusätzliche spürbare nachteilige Folgen erforderlich.

Nach Auffassung des BGH muss der Betroffene in solchen Fällen lediglich nachweisen, dass er Opfer des Vorfalls geworden ist. Es ist weder erforderlich, dass die Daten nachweislich missbraucht wurden, noch dass sie nachweisen müssen, dass ihr Leben nun in besonderer Weise beeinträchtigt ist, etwa durch Angst und Sorge. Der Komplex des Scraping ist damit höchstrichterlich entschieden.

Die konkrete Prüfung des Schadensersatzes und die Berechnung der Höhe des Schadensersatzes obliegt nun dem OLG Köln. Der sechste Zivilsenat des BGH hält jedoch einen Betrag von 100 Euro für angemessen und gibt folgende Anhaltspunkte für die Berechnung bei Vorliegen eines Kontrollverlustes:

• Sensibilität der betreffenden Daten und deren typische Zweckbestimmung,
• Art des Kontrollverlusts (begrenzt oder unbegrenzt),
• Dauer und typischer Aufwand zur Wiedererlangung der Kontrolle (bspw. Rufnummerwechsel).

Der BGH bejahte auch das Feststellungsinteresse im Hinblick auf weitere mögliche Schäden und sprach dem Kläger den Ersatz seiner vorgerichtlichen Anwaltskosten zu.

Hinsichtlich der vom BGH aufgegriffenen Punkte wird der Rechtsstreit zur erneuten Verhandlung an das OLG Köln zurückverwiesen, das über den konkreten Fall abschließend zu entscheiden hat. Die Leitentscheidung des BGH ist nicht bindend; das weitere Verfahren ist offen.

Was heißt das für Unternehmen

Das Urteil hat bedeutende Folgen:

• Weitreichende Bedeutung des Urteils: Die höchstrichterliche Klärung beeinflusst Tausende anhängige Klagen an Landes- und Oberlandesgerichten in Deutschland.
• Erhöhtes Risiko von Klagewellen: Professionelle Klägervertreter werden das Urteil nutzen, um Betroffene zu mobilisieren. Mit Werbekampagnen und teils überzogenen Versprechungen können sie große Gruppen zur Klage bewegen.
• Finanzielle Belastung: Auch kleine Schadensersatzansprüche summieren sich bei vielen Klägern schnell zu erheblichen Beträgen. Hinzu kommen hohe Kosten für die Rechtsverteidigung.
• Rufschädigung: Datenschutzvorfälle und damit verbundene Klagen können das Image eines Unternehmens nachhaltig beeinträchtigen.

Besonders kritisch ist, dass selbst bei guter Datenschutz-Compliance Vorfälle nicht immer ausgeschlossen werden können. Schon der Verdacht eines Verstoßes kann Kläger auf den Plan rufen.

Wie können sich Unternehmen schützen?

Datenschutz-Compliance überprüfen

Regelmäßige Audits und Schulungen sind unerlässlich, um sicherzustellen, dass die technischen und organisatorischen Maßnahmen (TOM) dem aktuellen Stand der Technik entsprechen. Denn nicht jeder Datenschutzvorfall ist automatisch ein Verstoß gegen die DSGVO. Vielmehr verlangen Art. 24 und 32 DSGVO "nur" angemessene Sicherheitsmaßnahmen. Ist dies der Fall - sind also die TOM angemessen - und kann dies nachgewiesen werden, besteht keine Haftung.

Dokumentation stärken

Unternehmen müssen im Falle von Vorwürfen nachweisen können, dass ihre Datenschutzmaßnahmen angemessen waren. Eine lückenlose Dokumentation ist hierfür unerlässlich. Beispielsweise müssen Unternehmen dokumentieren, dass ihre TOM dem Stand der Technik entsprechen (siehe Punkt a). Diese Dokumentation sollte so aufbewahrt werden, dass sie im Falle einer Klage schnell verfügbar ist.

Vorfälle durch Prävention vermeiden

Implementieren Sie strenge Sicherheitsmaßnahmen, z. B.:

• Verschlüsselung sensibler Daten.
• Zugangskontrollen.
• Sicherheitsupdates und Penetrationstests.

Schnelle Reaktion bei Vorfällen

Sollte es dennoch zu einem Datenschutzvorfall kommen:

• Sofort eine interne Taskforce bilden.
• Anwaltliche Unterstützung hinzuziehen, um Klagen strategisch zu begegnen.
• Datenschutzbehörden und Betroffene rechtzeitig informieren (Art. 33 DSGVO).

Wie kann ISiCO Unternehmen unterstützen?

Als erfahrene Datenschutzberatung bietet ISiCO maßgeschneiderte Unterstützung, um Unternehmen vor Klagewellen zu schützen:

• Compliance-Audits: Wir prüfen Ihre Datenschutzmaßnahmen und identifizieren Schwachstellen.
• Technische und organisatorische Maßnahmen (TOM): Unsere Experten helfen Ihnen, Sicherheitslücken zu schließen und Standards zu erfüllen.
• Krisenmanagement: Im Fall eines Datenschutzvorfalls begleiten wir Sie durch die Krise – von der ersten Analyse bis zur Kommunikation mit Betroffenen und Behörden.
• Schulungen: Wir schulen Ihre Mitarbeitenden, um Datenschutzbewusstsein zu stärken und menschliche Fehler zu minimieren.
• Rechtsberatung: Unsere Partnerkanzleien stehen Ihnen bei der Abwehr von Schadensersatzforderungen zur Seite.

Fazit

Das BGH-Urteil setzt neue Maßstäbe und erhöht die Anforderungen an Unternehmen, Datenschutz ernst zu nehmen. Gleichzeitig bietet es spezialisierten Klägervertretern Munition für Klagewellen, die für Unternehmen teuer und rufschädigend werden können. Eine starke Datenschutz-Compliance und ein strukturiertes Krisenmanagement sind der Schlüssel, um diese Risiken zu minimieren.