OLG Hamm, Urt. 15.8.2023 - 7 U 19/23
Kein immaterieller Schadensersatz trotz Daten-Scrapings
Autor: RA, FA IT-Recht Dr. Aegidius Vogt, Herberger Vogt von Schoeler, München – www.hvs-rechtsanwaelte.de
Aus: IT-Rechtsberater, Heft 11/2023
Aus: IT-Rechtsberater, Heft 11/2023
Verantwortliche trifft auch im Zivilprozess die Beweislast für die Einhaltung der Datenschutzgrundsätze nach Art. 5 Abs. 1 DSGVO. Betroffene müssen einen erlittenen Schaden individuell und konkret darlegen und beweisen.
DSGVO Art. 5, Art. 6 Abs. 1, Art. 25, Art. 32, Art. 82 Abs. 1
Beweislast für Datenschutzverstoß: Obwohl es sich bei dem für die Haftung nach Art. 82 DSGVO erforderlichen Verstoß gegen die DSGVO um eine anspruchsbegründende Voraussetzung handle, sei nicht die Betroffene für einen solchen Verstoß darlegungs- und beweisbelastet, sondern die Anbieterin. Dies folge aus dem Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, der eine spezifische Beweislastregelung enthalte. Der für die Datenverarbeitung Verantwortliche müsse damit also generell – auch im Zivilprozess – nachweisen können, dass er die in Art. 5 Abs. 2 DSGVO festgelegten Datenschutzgrundsätze einhalte (vgl. EuGH, Urt. v. 4.7.2023 – C-252/21, CR 2023, 516 = ITRB 2023, 199 [Rössel]).
Zahlreiche Datenschutzverstöße: Die Anbieterin habe aber insb. nicht schlüssig dargelegt, dass die personenbezogenen Daten der Betroffenen rechtmäßig i.S.d. Art. 6 Abs. 1 DSGVO verarbeitet worden seien. Zudem habe die Anbieterin – entsprechend den nicht bindenden Feststellungen der nicht rechtskräftigen Entscheidung der Irischen Datenschutzbehörde (DPC) v. 28.11.2022 – insb. gegen ihre Pflichten aus Art. 32 DSGVO und Art. 25 Abs. 2 DSGVO („privacy by default“) verstoßen.
Voraussetzung eines Schadens: Ein immaterieller Schaden sei nicht schon bei einem bloßen Verstoß gegen die DSGVO gegeben (EuGH v. 4.5.2023 – C-300/21, ITRB 2023, 170 [Rössel] = CR 2023, 436). Im Rahmen des haftungsbegründenden Tatbestands des Art. 82 DSGVO sei zunächst zwischen einem haftungsrelevanten Datenschutzverstoß einerseits und einem – materiellen oder immateriellen – Schaden andererseits zu differenzieren. Beide seien nicht deckungsgleich, sondern selbständige Voraussetzungen im Rahmen des Art. 82 DSGVO, die kumulativ vorliegen müssten. Ein bestimmte Erheblichkeitsschwelle müsse aber nicht erreicht werden.
Allgemeiner Kontrollverlust: Die Annahme eines solchen konkreten Schadens setze in unionsautonomer Auslegung nach st. Rspr. des EuGH voraus, dass dieser „tatsächlich und sicher“ bestehe (vgl. EuGH v. 13.12.2018 – C-150/17 P, BeckRS 2018, 31923). Aus einem allgemeinen Kontrollverlust bzgl. personenbezogener Daten allein könne noch kein tatsächlicher Schaden im konkreten Einzelfall resultieren. Der Kontrollverlust in Form des unkontrollierten Abrufs der Daten durch die Scraper und der anschließenden Veröffentlichung im Darknet sei lediglich die zwangsläufige und generelle Folge der unrechtmäßigen bzw. unzureichend geschützten Datenverarbeitung durch die Anbieterin. Daraus folge, dass es über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall bedürfe. Dies habe die Betroffene nicht dargetan.
Mögliche Beeinträchtigungen: Denkbar sei auch ein immaterieller Schaden aufgrund persönlicher psychologischer Beeinträchtigungen. Soweit – wie hier – keine krankhaften Störungen vorlägen, handle es sich dabei um innere Vorgänge. Solche dem Beweis nur eingeschränkt zugängliche Tatsachen könnten nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall sei es deshalb ausreichend, aber auch erforderlich, dass die Betroffene Umstände darlege, in denen sich ihre erlebten Empfindungen widerspiegelten, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden habe (vgl. hierzu BGH v. 12.5.1995 – V ZR 34/94, NJW 1995, 2361).
Nachweis der Beeinträchtigung: Rein formelhaft und zudem in einer Vielzahl von Verfahren gleichlautend vorgetragene Ängste und Sorgen reichten hierfür nicht aus. Es fehle jeglicher konkret-individuelle Vortrag dazu, wann, wie häufig und auf welchem Weg die Betroffene konkret von Missbrauchsversuchen betroffen gewesen sei, wie sie darauf jeweils reagiert habe oder wie sie unabhängig von diesen Versuchen allein durch die Veröffentlichung des Leak-Datensatzes beeinträchtigt gewesen sei. Mit dem EuGH müsse die Betroffene zumindest nachweisen, dass das gerügte Verhalten so schwerwiegend gewesen sei, dass ihr dadurch ein derartiger Schaden habe entstehen können (vgl. EuGH v. 13.12.2018 – C-150/17 P, BeckRS 2018, 31923). Es entspreche indes schon nicht der allgemeinen Lebenserfahrung, dass das öffentliche Bekanntwerden der eigenen Mobilfunktelefonnummer, auch wenn dies ungewollt erfolgt sei, regelmäßig oder erfahrungsgemäß zu persönlichen psychologischen Beeinträchtigungen führe.
DSGVO Art. 5, Art. 6 Abs. 1, Art. 25, Art. 32, Art. 82 Abs. 1
Das Problem
In den Jahren 2018 und 2019 hatten Kriminelle personenbezogene Daten von weit über 500 Mio. Facebook-Nutzern, die über die Plattform öffentlich zugänglich waren, automatisiert ausgelesen (sog. Scraping) und die Datensätze 2021 im Darknet veröffentlicht. In der Folge erhoben zahlreiche Nutzer Klagen gegen Facebook und machten insb. immateriellen Schadensersatz geltend. Die Mehrzahl der veröffentlichten Entscheidungen verneint immaterielle Schadensersatzansprüche (s. die Übersicht bei Leibold, ZD-Aktuell 2023, 01377). Soweit ersichtlich, liegt mit dem OLG Hamm nun die erste obergerichtliche Entscheidung zu diesem Thema vor.Die Entscheidung des Gerichts
Das OLG Hamm bestätigt im Einklang mit vielen Entscheidungen der Instanzgerichte zwar zahlreiche Datenschutzverstöße seitens Facebooks, verneint in Ermangelung eines erlittenen Schadens aber einen Anspruch auf immateriellen Schadensersatz.Beweislast für Datenschutzverstoß: Obwohl es sich bei dem für die Haftung nach Art. 82 DSGVO erforderlichen Verstoß gegen die DSGVO um eine anspruchsbegründende Voraussetzung handle, sei nicht die Betroffene für einen solchen Verstoß darlegungs- und beweisbelastet, sondern die Anbieterin. Dies folge aus dem Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, der eine spezifische Beweislastregelung enthalte. Der für die Datenverarbeitung Verantwortliche müsse damit also generell – auch im Zivilprozess – nachweisen können, dass er die in Art. 5 Abs. 2 DSGVO festgelegten Datenschutzgrundsätze einhalte (vgl. EuGH, Urt. v. 4.7.2023 – C-252/21, CR 2023, 516 = ITRB 2023, 199 [Rössel]).
Zahlreiche Datenschutzverstöße: Die Anbieterin habe aber insb. nicht schlüssig dargelegt, dass die personenbezogenen Daten der Betroffenen rechtmäßig i.S.d. Art. 6 Abs. 1 DSGVO verarbeitet worden seien. Zudem habe die Anbieterin – entsprechend den nicht bindenden Feststellungen der nicht rechtskräftigen Entscheidung der Irischen Datenschutzbehörde (DPC) v. 28.11.2022 – insb. gegen ihre Pflichten aus Art. 32 DSGVO und Art. 25 Abs. 2 DSGVO („privacy by default“) verstoßen.
Voraussetzung eines Schadens: Ein immaterieller Schaden sei nicht schon bei einem bloßen Verstoß gegen die DSGVO gegeben (EuGH v. 4.5.2023 – C-300/21, ITRB 2023, 170 [Rössel] = CR 2023, 436). Im Rahmen des haftungsbegründenden Tatbestands des Art. 82 DSGVO sei zunächst zwischen einem haftungsrelevanten Datenschutzverstoß einerseits und einem – materiellen oder immateriellen – Schaden andererseits zu differenzieren. Beide seien nicht deckungsgleich, sondern selbständige Voraussetzungen im Rahmen des Art. 82 DSGVO, die kumulativ vorliegen müssten. Ein bestimmte Erheblichkeitsschwelle müsse aber nicht erreicht werden.
Allgemeiner Kontrollverlust: Die Annahme eines solchen konkreten Schadens setze in unionsautonomer Auslegung nach st. Rspr. des EuGH voraus, dass dieser „tatsächlich und sicher“ bestehe (vgl. EuGH v. 13.12.2018 – C-150/17 P, BeckRS 2018, 31923). Aus einem allgemeinen Kontrollverlust bzgl. personenbezogener Daten allein könne noch kein tatsächlicher Schaden im konkreten Einzelfall resultieren. Der Kontrollverlust in Form des unkontrollierten Abrufs der Daten durch die Scraper und der anschließenden Veröffentlichung im Darknet sei lediglich die zwangsläufige und generelle Folge der unrechtmäßigen bzw. unzureichend geschützten Datenverarbeitung durch die Anbieterin. Daraus folge, dass es über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall bedürfe. Dies habe die Betroffene nicht dargetan.
Mögliche Beeinträchtigungen: Denkbar sei auch ein immaterieller Schaden aufgrund persönlicher psychologischer Beeinträchtigungen. Soweit – wie hier – keine krankhaften Störungen vorlägen, handle es sich dabei um innere Vorgänge. Solche dem Beweis nur eingeschränkt zugängliche Tatsachen könnten nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall sei es deshalb ausreichend, aber auch erforderlich, dass die Betroffene Umstände darlege, in denen sich ihre erlebten Empfindungen widerspiegelten, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden habe (vgl. hierzu BGH v. 12.5.1995 – V ZR 34/94, NJW 1995, 2361).
Nachweis der Beeinträchtigung: Rein formelhaft und zudem in einer Vielzahl von Verfahren gleichlautend vorgetragene Ängste und Sorgen reichten hierfür nicht aus. Es fehle jeglicher konkret-individuelle Vortrag dazu, wann, wie häufig und auf welchem Weg die Betroffene konkret von Missbrauchsversuchen betroffen gewesen sei, wie sie darauf jeweils reagiert habe oder wie sie unabhängig von diesen Versuchen allein durch die Veröffentlichung des Leak-Datensatzes beeinträchtigt gewesen sei. Mit dem EuGH müsse die Betroffene zumindest nachweisen, dass das gerügte Verhalten so schwerwiegend gewesen sei, dass ihr dadurch ein derartiger Schaden habe entstehen können (vgl. EuGH v. 13.12.2018 – C-150/17 P, BeckRS 2018, 31923). Es entspreche indes schon nicht der allgemeinen Lebenserfahrung, dass das öffentliche Bekanntwerden der eigenen Mobilfunktelefonnummer, auch wenn dies ungewollt erfolgt sei, regelmäßig oder erfahrungsgemäß zu persönlichen psychologischen Beeinträchtigungen führe.