Haufe Online Redaktion
Haufe Online Redaktion
OLG Oldenburg: Hürden für Schadenersatz nach der DSGVO
Bild: Pixabay / Pixelkult

Erneut wurde Facebook-Usern der Anspruch auf Schadenersatz nach dem Diebstahl ihrer persönlichen Daten bei der Social-Media-Plattform verweigert. Der behauptete immaterielle Schaden war für das Gericht nicht hinreichend konkret.

Gegen Meta, den Mutterkonzern von Facebook, sind nach Schätzungen deutschlandweit noch ca. 6.000 Klagen bei diversen Gerichten anhängig. Beim OLG Oldenburg sind es noch über 100. Die Kläger fordern Schadenersatz wegen des bei Facebook aufgetretenen und medial viel beachteten Datenlecks, das Diebe zum sogenannten „Scraping“, also dem Diebstahl von persönlichen Daten genutzt hatten.

Entscheidungen des OLG in 3 Fällen

Das OLG Oldenburg hat nun in 3 anhängigen Verfahren eine Entscheidung getroffen. Die Kläger stützen ihre Klage auf den gemäß Art. 82 Abs. 1 DSGVO bestehenden Anspruch auf den Ersatz entstandener Schäden aus Datenschutzverstößen. In einem technisch komplexen Verfahren hatten Unbekannte persönliche Daten, wie Namen und Telefonnummern, von Usern gesammelt und veröffentlicht. Die Kläger gaben an, infolge des Datendiebstahls unter anderem unerwünschte Werbeanrufe und gefakte Paketbenachrichtigungen erhalten zu haben. Sie werfen Facebook eine Verletzung der Pflicht zur Sicherung ihrer persönlichen Daten vor.

DSGVO gewährt materiellen und immateriellen Schadensersatz

Art. 82 Abs. 1 DSGVO gewährt Personen, denen durch ein soziales Netzwerk wegen eines Verstoßes gegen die Datenschutzvorschriften der DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Ersatz des entstandenen materiellen und immateriellen Schadens. Allerdings trägt nach einer Entscheidung des EuGH der Anspruchsteller die Darlegungslast für eingetretene Schäden und muss vor allem immaterielle Schäden hinreichend deutlich konkretisieren, da diese nicht ohne Weiteres greifbar sind (EuGH, Urteil v. 4.5.2023, C – 300/21).

Schadensersatzanspruch durch diverse EuGH-Entscheidungen konkretisiert

Nach der Rechtsprechung des EuGH ist der Schadensbegriff in Art. 82 Abs. 1 DSGVO weit auszulegen.

  • Der Schadensbegriff beinhaltet keine Erheblichkeitsschwelle oder Bagatellgrenze.
  • Bereits die Befürchtung des Missbrauchs personenbezogener Daten kann ein ersatzfähiger immaterieller Schaden sein, jedoch muss die betroffene Person im Einzelfall nachweisen, dass diese Befürchtung im Hinblick auf die eigene Person begründet ist (EuGH, Urteil v. 14.12.2023, C-340/21).
  • Die Bemessung der Schadenshöhe ist den nationalen Gerichten unter Beachtung der unionsrechtlichen Äquivalenz- und Effektivitätsgrundsätze überlassen.
  • Dem Schadenersatz kommt keine Abschreckungs- oder Straffunktion zu.

Aus dieser Rechtsprechung folgt, dass nicht jeder datenrechtliche Verstoß automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO auslöst. Das rein hypothetische Risiko des Datenmissbrauchs genügt nicht, vielmehr muss der Anspruchsteller die individuelle Betroffenheit im Sinne eines konkreten Schadens darlegen und beweisen (EuGH, Urteil v. 25.1.2024, C – 687/21).

Individuelle Betroffenheit nicht hinreichend belegt

Das OLG Oldenburg hat in den 3 nun entschiedenen Verfahren die klageabweisenden Entscheidungen der erstinstanzlich zuständigen Landgerichte bestätigt. Der Senat hatte in sämtlichen Verfahren das persönliche Erscheinen der Klägerinnen und Kläger angeordnet und diese in der mündlichen Verhandlung ausführlich nach den jeweils individuell aufgetretenen Folgen des Datenlecks befragt. In keinem der Fälle konnten die Betroffenen den konkreten Eintritt eines immateriellen Schadens hinreichend plausibel machen. Offen blieb auch, ob und inwieweit die vereinzelt aufgetretenen Belästigungen durch Werbeanrufe möglicherweise auf andere Ursachen – wie die unbedachte Preisgabe persönlicher Daten im Netz durch die User selbst – zurückzuführen waren.

Klageabweisung mangels Schadenskonkretisierung

Im Ergebnis ging das OLG davon aus, dass Meta – als dem für die Datenverarbeitung gemäß Art. 5 DSGVO verantwortlichem Unternehmen – zwar möglicherweise Verstöße gegen die erforderliche Sicherung der User-Daten zur Last fielen, die User aber weder den Eintritt eines konkreten individuellen Schadens noch einen Kausalzusammenhang zwischen dem Facebook-Datenleck und anschließenden Belästigungen durch Werbeanrufe und Fake-Benachrichtigungen hätten nachweisen können. Mangels hinreichender Konkretisierung eines individuellen immateriellen Schadens hat das OLG daher die Berufungen gegen die klageabweisenden Entscheidungen der Vorinstanzen zurückgewiesen.

(OLG Oldenburg, Urteil v. 16.4.2024, 13 U 59/23, 13 U 79/23 und 13 O 60/23)

Hintergrund:

Die klageabweisenden Entscheidungen der Oberlandesgerichte in den Facebook-Datenleck-Verfahren häufen sich. Die Begründungen der Gerichte für die Klageabweisung folgen dabei ähnlichen Mustern und stellen im Kern auf das Fehlen einer ausreichenden Darlegung eines erkennbaren individuellen Schadens ab (OLG Stuttgart, Urteil v. 22.11.2023,4 U 17/23; OLG Hamm, Urteil v. 15.8.2023, 7 U 19/23 und v. 21.12.2023, 7 U 137/23).

Schlagworte zum Thema:  Schadensersatz, Urteil, Datenschutz, Datenschutz-Grundverordnung, Social Media
Meistgelesene Beiträge
Neueste Beiträge
Zum Haufe Shop
Zum Thema allg. Zivilrecht
Deutsches Anwalt Office Premium: Die umfassende digitale Fachbibliothek
Deutsches Anwalt Office Premium

Neben 150 Fachbüchern, Zeitschriften und einer Entscheidungs-datenbank bietet diese Fachbibliothek nützliche Umsetzungshilfen für die tägliche Fallbearbeitung sowie ein umfassendes Fortbildungsangebot.
Orientierung gewinnen - Haftungsfallen vermeiden: Die Datenschutzgrundverordnung (EU-DSGVO)
Aka_Compliance_Empfehlung_6085

Mangelnder Datenschutz ist kein Kavaliersdelikt mehr – im Gegenteil, bei Verstößen drohen hohe Bußgelder. In diesem Seminar erfahren Sie alle relevanten Grundlagen und bekommen die nötige Orientierung für konkrete Umsetzungsmaßnahmen in Ihrem Unternehmen. Auch als Live-Online Termin buchbar!
BGH: Das Scraping-Urteil des BGH zum Facebook-Datenleck
Hand of man using Iphone7 Plus with icons of social media

In einem Grundsatzurteil hat der BGH die Anforderungen an die Geltendmachung von immateriellem Schadensersatz nach der DSGVO konkretisiert. Danach kann bereits der kurzzeitige Kontrollverlust über persönliche Daten ein Schaden sein.
Haufe Shop: Mergers & Acquisitions
Mergers & Acquisitions

M&A-Aktivitäten umfassen ein breites Themenspektrum, zu dem Unternehmenskäufe und -verkäufe, Beteiligungen, Fusionen und Joint Ventures genauso gehören wie strategische Allianzen. Die Motive für M&A-Aktivitäten können vielfältig sein, sie reichen von Wachstum über Restrukturierungen bis zu Nachfolgeregelungen. Über 80 renommierte Autorinnen und Autoren aus Unternehmens- und Rechtsberatung und aus der Wissenschaft analysieren in diesem Praxisbuch den M&A-Markt aus der Markt-, Transaktions- und Rechtsperspektive. Neu ist die Berücksichtigung von Entwicklungen im Kontext Nachhaltigkeit.
Sanktionen bei Datenschutzv... / 3 Schadenersatz für immaterielle Schäden (Art. 82 Abs. 1 DSGVO)
Sanktionen bei Datenschutzv... / 3 Schadenersatz für immaterielle Schäden (Art. 82 Abs. 1 DSGVO)

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Ein Schadenersatzanspruch besteht nicht, wenn der ...

4 Wochen testen