Erstes Leitentscheidungsverfahren zum Datenschutz

ERSTES LEITENTSCHEIDUNGSVERFAHREN ZUM DATENSCHUTZ

in

Hintergrund – Der Bundesgerichtshof (BGH) hat – unmittelbar nach Inkrafttreten des entsprechenden Gesetzes am 31. Oktober 2024 – erstmals ein Revisionsverfahren zum Leitentscheidungsverfahren erklärt.

Grundlage hierfür ist § 552b der Zivilprozessordnung (ZPO), der es ermöglicht, ein Verfahren zum Leitentscheidungsverfahren zu erklären, wenn die Revision Rechtsfragen aufwirft, deren Klärung für eine Vielzahl von Verfahren von grundlegender Bedeutung ist.

Das neu eingeführte Leitentscheidungsverfahren zielt darauf ab, die Justiz in Deutschland durch eine effizientere Bearbeitung sogenannter Massenverfahren zu entlasten. Diese Verfahren, in denen häufig gleichartige Rechtsfragen zu klären sind, etwa im Zusammenhang mit dem Dieselskandal oder Verbraucherverträgen, belasten die Zivilgerichte erheblich. Mit dem neuen Verfahren wird der Bundesgerichtshof (BGH) künftig über grundsätzliche Rechtsfragen entscheiden, die in zahlreichen anhängigen Verfahren gleich gelagert sind. Diese Entscheidungen ergehen auch dann, wenn die Parteien ihre Revision zurücknehmen oder sich das Revisionsverfahren anderweitig erledigt. Damit wird verhindert, dass wichtige Rechtsfragen aus prozesstaktischen Gründen ungeklärt bleiben.

Die Leitentscheidung des BGH hat keine formelle Bindungswirkung, gibt aber den Instanzgerichten und der Öffentlichkeit eine wichtige Richtschnur und Orientierung. Durch die höchstrichterliche Klärung können die Instanzgerichte gleichgelagerte Verfahren schneller entscheiden, da die relevanten Rechtsfragen bereits grundlegend geklärt sind. Dies erhöht die Rechtssicherheit und verringert den Aufwand, für jedes einzelne Verfahren eine umfangreiche Begründung zu erarbeiten. Gleichzeitig wird einer zunehmenden Überlastung der Gerichte durch massenhafte Einzelklagen entgegengewirkt.

Bislang konnten höchstrichterliche Entscheidungen zu zentralen Rechtsfragen häufig durch Vergleiche oder die Rücknahme von Revisionen verhindert werden. Diese Lücke wird durch das Leitentscheidungsverfahren geschlossen. Ziel ist es, eine einheitliche und zügige Rechtsanwendung zu gewährleisten und die Gerichte von Doppelverfahren zu entlasten. Davon profitieren Verbraucher und Unternehmen gleichermaßen, da sie bei Massenstreitigkeiten schneller Klarheit über ihre Rechtsposition erhalten. Das am 31. Oktober 2024 in Kraft getretene Leitentscheidungsverfahren ist damit ein wichtiger Schritt zu mehr Effizienz und Transparenz in der deutschen Justiz.

Scraping-Komplex

Das erste Leitentscheidungsverfahren behandelte nun Rechtsstreitigkeiten über Ansprüche aus der Datenschutz-Grundverordnung. Der konkrete Gegenstand des Leitentscheidungsverfahren ist der sog. Scraping-Komplex im Revisionsverfahren VI ZR 10/24. Die mündliche Verhandlung startete am 11. November 2024.

Der Ursprung des Verfahrens VI ZR 10/24 ist ein Facebook-Tool, das den Nutzern ermöglichen sollte, Kontakte mittels der Telefonnummer im sozialen Netzwerk zu finden. Cyberkriminelle waren mit Hilfe dieses Tools jedoch in der Lage Telefonnummern Nutzern zuzuordnen, indem zufällige Zahlenfolgen automatisiert in diesem Tool nach Nutzern suchten. So wurden mehr als eine halbe Milliarde Telefonnummern mit Nutzern verknüpft (sog. Scraping).

Viele der circa sechs Millionen Nutzern allein in Deutschland, klagten auf Grundlage der DSGVO auf immateriellen Schadensersatz. Die vielen Instanzgerichte entschieden dabei sehr unterschiedlich im Hinblick auf einen möglichen Datenschutzverstoß und mögliche Schadensersatzansprüche.

Im so genannten Scraping-Komplex richtet sich der Vorwurf betroffener Nutzer gegen die als zu weitgehend und möglicherweise datenschutzwidrig empfundene Voreinstellung des Kontakt-Import-Tools auf „alle“ Kontakte (Privacy-by-Default). Da die eigentlichen datenmissbrauchenden Personen, die diese Konfiguration ausgenutzt haben, nicht greifbar sind, wird Meta als Betreiber der Plattform in die Verantwortung genommen.

Im Mittelpunkt steht dabei die Frage nach den Voraussetzungen datenschutzrechtlicher Schadensersatzansprüche nach Art. 82 Abs. 1 DSGVO. Danach hat jede Person, der durch einen Verstoß gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz. Obwohl es hierzu bereits mehrere Urteile des Europäischen Gerichtshofs (EuGH) gibt, ist die Rechtslage teilweise noch unklar. Der EuGH hat festgestellt, dass bereits ein vorübergehender Kontrollverlust über personenbezogene Daten einen immateriellen Schaden darstellen kann. Dies setzt jedoch den Nachweis eines konkreten Schadens voraus, während eine rein hypothetische Missbrauchsgefahr nicht ausreicht. Die nachgewiesene Befürchtung und deren negative Folgen können jedoch ausreichen, um einen Schadensersatzanspruch zu begründen.

Entscheidung des BGH

Da die verfahrensgegenständliche Revision weder durch einen Vergleich beendet noch zurückgenommen wurde, lag in diesem Fall kein Hinweisbeschluss im Sinne des neuen Verfahrens nach § 552b ZPO vor. Vielmehr hatte der Bundesgerichtshof (BGH) eine ordentliche Revisionsentscheidung zu treffen. Das bedeutet, dass der BGH in diesem Verfahren keine abstrakte Leitentscheidung getroffen hat, die über den konkreten Fall hinaus Orientierung geben könnte, sondern die Rechtsfragen im Rahmen des konkreten Rechtsstreits geprüft hat.

Dabei hat der BGH nicht abschließend entschieden, ob Meta tatsächlich gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hat. Er hat aber angedeutet, dass die – inzwischen geänderte – Voreinstellung, nach der grundsätzlich alle Nutzerinnen und Nutzer über ihre Telefonnummer auffindbar waren, wohl gegen den Grundsatz der Datensparsamkeit nach Art. 5 Abs. 1 lit. c DSGVO verstößt. Dieser Grundsatz verlangt, dass die Verarbeitung personenbezogener Daten auf das erforderliche Maß beschränkt wird. Allerdings hat der BGH das Berufungsgericht verpflichtet, eine entscheidende Vorfrage zu klären, nämlich ob der Kläger wirksam in diese Standardeinstellung eingewilligt hat. Eine solche Einwilligung könnte den Datenschutzverstoß nachträglich legitimieren.

Die Entscheidung verdeutlicht die Komplexität datenschutzrechtlicher Schadensersatzfragen und die hohe Bedeutung des Einwilligungserfordernisses in der DSGVO. Der BGH hat zwar Hinweise zur Beurteilung der streitgegenständlichen Einstellung gegeben, die abschließende Klärung einer zentralen Frage jedoch an die Vorinstanz zurückverwiesen. Damit bleibt die Rechtslage in diesem konkreten Fall vorerst offen und die gewünschte prägende Wirkung einer Leitentscheidung konnte nicht erzielt werden. Dies zeigt auch die praktischen Grenzen des neuen Leitentscheidungsverfahrens, wenn eine rechtliche Prüfung noch nicht vollständig abgeschlossen ist.

Der Bundesgerichtshof (BGH) hat klargestellt, dass bereits ein kurzfristiger Kontrollverlust über personenbezogene Daten einen immateriellen Schaden nach Art. 82 DSGVO darstellen kann, ohne dass spürbare negative Folgen nachgewiesen werden müssen. Diese Auslegung erleichtert Betroffenen die Durchsetzung von Schadensersatzansprüchen erheblich, steht aber im Gegensatz zur bisherigen strengeren Praxis vieler Instanzgerichte.

Gleichzeitig hat der BGH die Höhe des angemessenen Schmerzensgeldes in solchen Fällen auf ca. 100 Euro begrenzt. Dieser Betrag liegt deutlich unter den Erwartungen vieler Kläger, die teilweise vierstellige Beträge gefordert hatten, und dürfte für Enttäuschung sorgen.

Wichtig ist auch, dass der BGH das Interesse der Kläger an der Feststellung der Ersatzpflicht auch für künftige Schäden – etwa durch späteren Missbrauch der Daten bei Identitätsdiebstahl – anerkennt. Damit bleibt die Möglichkeit der nachträglichen Geltendmachung von Folgeschäden offen. Die Entscheidung schafft damit mehr Klarheit und stärkt die Betroffenen, bleibt aber hinsichtlich der Schadenshöhe restriktiv.

Fazit

Die vom BGH entschiedenen Fragen sind nicht nur im Zusammenhang mit dem Scraping-Komplex von Bedeutung, bei dem der Datenschutzverstoß selbst nicht eindeutig feststeht, sondern auch im Hinblick auf die zunehmende Zahl von Ransomware-Angriffen und anderen Cyberattacken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem kürzlich veröffentlichten Lagebericht 2024 insbesondere vor diesen Angriffsarten gewarnt. Wenn die Daten von Tausenden oder gar Millionen von Menschen verschlüsselt, entwendet oder unbefugt veröffentlicht werden, können sich schnell neue Fälle entwickeln, in denen die jetzt festgelegten rechtlichen Maßstäbe zur Anwendung kommen.

 

Niels Feldberg, Datenschutz Consultant, Wirtschaftsjurist LL.B.Niels Feldberg ist Consultant für Datenschutz bei Biehn & Professionals. Mit seiner Expertise unterstützt er Unternehmen dabei, ihren Datenschutz zu optimieren und die gesetzlichen Anforderungen zu erfüllen. Sein Wissen erstreckt sich über alle relevanten Datenschutzvorgaben, von der DSGVO bis zu den neuesten Entwicklungen in der Rechtsprechung. Niels Feldberg ist stets auf dem neuesten Stand und bietet praxisorientierte Lösungen für komplexe datenschutzrechtliche Herausforderungen.

Das könnte Sie auch interessieren:
Steht das Data Privacy Framework vor dem Aus?DATA PRIVACY FRAMEWORK VOR DEM AUS?
Hackerangriff von Ransom Cartel am KundenbeispielANGRIFFSSZENARIO von Ransom Cartel
NIS 2 im Fokus beim Business FrühstückNIS-2 IM FOKUS: INSIGHTS VOM BUSINESS FRÜHSTÜCK
DSGVO-konformer Einsatz Consent-Tools , Cookie-BannernDSGVO-KONFORMER EINSATZ VON CONSENT-TOOLS
EU-US Data Privacy Framework
Risiko Cloud Computing beispielhaft Diagnosedaten Microsoft Office 365RISIKEN DES CLOUD COMPUTING
Business Frühstück zum Datenschutz mit Vorträgen zum Cloud Computing, Whistleblower-Richtlinie und Consent Tools.DATENSCHUTZ KANN AUCH LECKER SEIN
Ein Datenschutzsverstoß bringt der Linden Apotheke eine Wettbewerbsklage ein.WETTBEWERBSKLAGE DANK DATENSCHUTZVERSTOSS