Schadensersatz nach Datenleck: BGH präzisiert Voraussetzungen

Wenn Unternehmen nicht sorgsam mit den personenbezogenen Daten ihrer Kunden umgehen und solche Daten aufgrund eines Datenlecks an unbefugte Dritte geraten, dann stellt sich die Frage, ob den betroffenen Kunden ein Schadensersatzanspruch gegen das Unternehmen zustehen kann. Dies folgt aus Art. 28 der Datenschutzgrundverordnung (DSGVO). Fraglich ist dabei insbesondere, inwiefern tatsächlich ein konkreter Schaden entstanden sein muss und wie dieser im Zweifel nachzuweisen ist.

Der Bundesgerichtshof (BGH) hat in einer Entscheidung (Urteil vom 18.11.2024, Az. VI ZR 10/24) nunmehr festgestellt, dass ein Schaden im Rechtssinne bereits dann gegeben sein kann, wenn ein Kontrollverlust über die eigenen Daten gegeben ist. Ein solcher Kontrollverlust kann bereits dann zu einem Schadensersatzanspruch führen, wenn der Betroffene nicht weiß, was mit seinen durch unbefugte Dritte abgeschöpften Daten nun passiert. Bereits dieser Umstand genügt für die Begründung eines Schadensersatzanspruchs, daneben benötigt es nicht weitere Schadensumstände, beispielsweise eine besondere psychische Betroffenheit desjenigen, dessen Daten abgeschöpft worden. Allerdings können solche Umstände dennoch für die Höhe des gegebenen Schadensersatzanspruchs eine Rolle spielen.

Gegenstand des durch den BGH entschiedenen Falles war sogenanntes Scraping in einem sozialen Netzwerk. Hierbei hatten Unbekannte personenbezogene Daten, wie etwa Telefonnummern durch ein bestimmtes technisches Verfahren von dem sozialen Netzwerk abgeschöpft, wobei diese Daten dann öffentlich im Internet verbreitet worden sind.

Die Entscheidung des Bundesgerichtshofs zeigt, dass bereits ein Datenleck ausreichen kann, um Schadensersatzansprüche nach der DSGVO geltend zu machen.

Autor: Markus Reichel, Rechtsanwalt, Fachanwalt für Miet- und Wohnungseigentumsrecht, Kanzlei77 – Kanzlei Dr. Braun GmbH, Hauptstr. 83a, 77652 Offenburg