Im Schnelldurchlauf hat der VI. Zivilsenat des Bundesgerichtshofs (BGH) das erste Revisionsverfahren zum Leitentscheidungsverfahren bestimmt. Im gleichen Tempo durchlief er das Verfahren und erließ am 18. November 2024 – und damit nicht einmal einen Monat nach Inkrafttreten des Gesetzes zur Einführung eines Leitentscheidungsverfahrens beim BGH – seine erste Leitentscheidung.

Im Data Scraping-Komplex, der dem Verfahren zugrunde liegt, sieht der VI. Zivilsenat den Verlust der Kontrolle über eigene Daten als ausreichend an, um einen Schadenersatzanspruch im Sinne der Datenschutzgrundverordnung (DSGVO) zu begründen. Der VI. Zivilsenat fällt damit eine Entscheidung, die auch außerhalb des Data Scraping-Komplexes zu einem Anstieg möglicher Verbraucherklagen führen könnte.

Dem Leitentscheidungsverfahren liegt das beim BGH anhängige Revisionsverfahren Az. VI ZR 10/24 (Vorinstanzen LG Bonn, Urteil vom 29. März 2023, Az. 13 O 125/22 und OLG Köln, Urteil vom 7. Dezember 2023, Az. 15 U 67/23) zu Grunde.

Der Kläger ist einer von vielen Nutzern einer Social Media-Plattform, bei der es im April 2021 zu einem Scraping-Vorfall kam. Über eine sog. Kontakt-Import-Funktion luden unbekannte Dritte eine Vielzahl von Telefonnummern hoch und verknüpften sie mit öffentlich zugänglichen Daten der jeweiligen Nutzerkonten.

Der Kläger macht gegenüber der Social Media-Plattform unter anderem einen Anspruch auf Schadenersatz nach der DSGVO geltend.

Das Landgericht Bonn sprach dem Kläger Schadenersatz in Höhe von 250 Euro zu und wies die Klage im Übrigen ab. Das Oberlandesgericht Köln bejahte zwar einen Verstoß gegen die DSGVO mit der Begründung, dass die Social Media-Plattform unzureichende technische und organisatorische Maßnahmen ergriffen und den Verstoß nicht oder zu spät dem Kläger und der zuständigen Datenschutzbehörde gemeldet habe.

Einen Schaden im Sinne der DSGVO lehnte es jedoch ab, da der Kläger einen Kontrollverlust und eine etwaige negative psychische Beeinträchtigung lediglich textbausteinartig dargelegt habe. Der Kläger hatte vorgetragen, seine Telefonnummer nur gezielt weiterzugeben. Nach dem Scraping-Vorfall habe er „großes Unwohlsein empfunden“ und „ein manifestiertes Misstrauen gegenüber E-Mails und SMS gehabt“. Im Ergebnis, so das Oberlandesgericht Köln, habe der Kläger nicht nachgewiesen, dass er seit dem Scraping-Vorfall zusätzliche Spam-Anrufe oder -SMS erhalten habe.

Das nun beim BGH unter dem Az. VI ZR 10/24 anhängige Revisionsverfahren bestimmte der VI. Zivilsenat zum Leitentscheidungsverfahren und machte so erstmals von seinen neuen Kompetenzen Gebrauch. Bereits in der mündlichen Verhandlung vom 11. November 2024 gab er eine Entscheidungstendenz zu erkennen. Der Vorsitzende Richter Stephan Seiters erklärte, dass nach vorläufiger Einschätzung für den Anspruch eines Verbrauchers gegen eine Social Media-Plattform schon ein Kontrollverlust über die eigenen Daten ausreichen könne.

In seiner heute verkündeten Leitentscheidung bestätigte der VI. Zivilsenat seine vor einer Woche geäußerte Entscheidungstendenz.

Danach reicht der Nachweis eines Kontrollverlusts über eigene Daten grundsätzlich zur Begründung eines Schadens im Sinne der DSGVO aus. In Anlehnung an die Rechtsprechung des Europäischen Gerichtshofs (EuGH) lässt der VI. Zivilsenat auch den bloßen und kurzzeitigen Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO als Schaden ausreichen. Inwieweit diese Daten tatsächlich missbräuchlich zum Nachteil eines Betroffenen verwendet wurden oder spürbar negative Folgen vorliegen, muss ein Kläger danach nicht nachweisen. Es bleiben nun die Ausführungen des VI. Zivilsenat im Detail abzuwarten, insbesondere wie er seine Rechtsansicht begründet und unter welchen möglichen Einschränkungen dies gilt.

Hinsichtlich der Schadenshöhe führte der VI. Senat im Rahmen eines Hinweises aus, dass der Schaden in einer Größenordnung von 100 Euro zu bemessen sei. Er hat die Sache zur neuen Verhandlung und Entscheidung an das Oberlandesgericht Köln zurückverwiesen.

Die Instanzgerichte, die mit Sachverhalten des Data Scraping-Komplexes oder vergleichbaren Sachverhalten befasst sind, sind nun bzw. nach einer Veröffentlichung der Entscheidungsgründe gehalten zu prüfen, ob die Leitentscheidung auf den konkreten Einzelfall angewendet werden kann. Jedenfalls macht die Leitentscheidung transparent, wie der VI. Zivilsenat in Zukunft gleichgelagerte Fälle entscheiden wird – sollten diese nun überhaupt noch zum BGH gelangen. Denn es steht zu erwarten, dass die Instanzgerichte sich der Linie des BGHs anschließen werden.

Die Leitentscheidung wird sich indes nicht nur im Data Scraping-Komplex auswirken. Im Jahr 2023 vermeldete der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit insgesamt 9.234 Meldungen von Datenschutzverstößen nach der DSGVO. Seit dem die DSGVO 2018 Geltung im Europäischen Wirtschaftsraum erlangte, wurden im Geltungsbereich insgesamt über vier Milliarden Euro an Bußgeldern verhängt. Medienberichte zeigen, dass diese Zahlen stetig steigen.

Vor diesem Hintergrund kann die Leitentscheidung auch Türöffner für neue Verbraucherklagen auf der Grundlage von vermeintlichen DSGVO-Verletzungen sein. Unternehmen sollten – unabhängig von der Leitentscheidung – ihre Datenschutzmaßnahmen überprüfen und sicherstellen, dass sie ein Datenleck durch geeignete Sicherheitsvorkehrungen vermeiden, um möglichen Klagen entgegenzuwirken.