Immer wieder entscheiden Gerichte über die Frage, ob Betroffene nach einem „Datenleck“ Anspruch auf Schadensersatz nach Art. 82 DSGVO haben (siehe unsere Berichte hier und hier).
Im vorliegenden Fall hatte zunächst das Landgericht München dem Kläger 600 EUR Schadensersatz sowie einen Unterlassungsanspruch zuerkannt (Urteil vom 20.04.2023, Az. 15 O 4507/22). Das OLG München hat diese Entscheidung nun vollständig aufgehoben und die Klage abgewiesen (Urteil vom 24.04.2024, Az. 34 U 2306/23 e). Die Revision wurde zugelassen, so dass eine Klärung durch den Bundesgerichtshof möglich und wünschenswert ist.
Der Kläger hatte vorgetragen, in Folge des Datenlecks einen „erheblichen Kontrollverlust über seine Daten erlitten“ zu haben. Er sei in einem „Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch seiner ihn betreffenden Daten verblieben“. In einer persönlichen Anhörung ergänzte er, nach dem Datenleck „Anrufe von unbekannten Nummern aus dem Ausland (Italien und Großbritannien) auf seinem Handy erhalten zu haben“. Hiervon ausgehend hat das LG München einen immateriellen Schaden bejaht und diesen auf 600 EUR geschätzt.
Das OLG München hielt den Vortrag für nicht ausreichend. Der Kläger habe einen immateriellen Schaden hinsichtlich der Veröffentlichung seines Namens in Verbindung mit seiner Mobilfunknummer nicht nachweisen können. Die Gerichte müssten in derartigen Fällen eine dreistufige Prüfung nach folgendem Schema vornehmen: „Verstoß gegen DSGVO -> negative Folge, z.B. Kontrollverlust -> Schaden“. Der bloße Kontrollverlust als solcher genüge nie für einen Schadensersatzanspruch. So habe der EuGH kürzlich klargestellt, dass die Befürchtung des zukünftigen Missbrauchs der Daten einer Person keinen immateriellen Schaden im Sinne des Art. 82 DSGVO darstellt (Aktenzeichen C-687/21).
-
Es fehle aber auch am erforderlichen Kausalzusammenhang zwischen dem Scraping-Vorfall und den behaupteten Unannehmlichkeiten. Das Gericht führt hierzu aus:
„Zwar steht nach dem Vortrag des Klägers das vermehrte Auftreten von belästigenden Anrufen in einem zeitlichen Zusammenhang mit dem streitgegenständlichen Scraping-Vorfall. Abgesehen davon, dass die Beklagte den Vortrag des Klägers hierzu bestritten hat, kann dies allein aber einen Kausalzusammenhang nicht belegen, denn derartige unerbetene, belästigende oder betrügerische Anrufe können grundsätzlich schon deshalb nicht gerade auf den Scraping-Vorfall bei ... zurückgeführt werden, weil davon regelmäßig auch Personen, deren Daten nicht gescrapet wurden, in vergleichbarer Weise betroffen sind. (…)
Selbst wenn zu seinen Gunsten unterstellt wird, dass seine Telefonnummer auf weiteren Websites nicht öffentlich sichtbar oder sonst öffentlich bekannt war, kann doch nicht ausgeschlossen werden, dass Dritte die Telefonnummer des Klägers unbefugt, unabsichtlich oder im Rahmen technischer Vorfälle anderen Personen zugänglich gemacht haben.“Da nach den allgemeinen Grundsätzen der Klägerseite die Beweislast für den Eintritt des Schadens und damit auch für die Kausalität zwischen Rechtsverletzung und behaupteten Schaden obliegt, verneinte das OLG München hier den beantragten Schadensersatz. Auch ein Feststellungsinteresse hinsichtlich zukünftiger Schäden verneinte der Senat, da der Kläger keine Anhaltspunkte dafür vorgetragen habe, dass im Hinblick auf die konkret betroffenen Daten und das Verhalten des Klägers noch ein materieller Schaden drohen könnte.
Autor: Rechtsanwalt Marc Hügel