Kontrollverlust über Daten ist nur ein kleiner Schaden
BGH: Kontrollverlust über Daten ist nur ein kleiner Schaden
Konkret Stellung über die Ausmaße eines Kontrollverlusts über Daten bezog der BGH iRd. Leitentscheidungsverfahren gem. § 552b ZPO bzgl. der sog. Scraping-Fälle.
Zusammengefasst geht es um ein Facebook-Tool, mit dem es Nutzern ermöglicht werden sollte, „Freunde“ über ihre Telefonnummer auf dem sozialen Netzwerk zu finden. Cyberkriminelle nutzten dieses Tool aus, indem sie automatisiert zufällige Zahlenfolgen eingaben und so über 530 Millionen Telefonnummern mit bestimmten Nutzern und ihren öffentlichen Profilinformationen verknüpfen konnten (sog. „Scraping“).
Unter Berufung auf den EuGH vertritt der BGH die Auffassung, dass auch der kurzzeitige Kontrollverlust über personenbezogene Daten schon einen immateriellen Schaden darstellen kann, und es zusätzlicher spürbarer negativer Folgen nicht bedarf. Somit steht den Betroffenen Personen grundsätzlich ein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO gegen bspw. Meta zu. Jedoch stellte der BGH klar, dass sich der angemessene Ersatz des Schadens in Fällen der vorliegenden Art auf etwa 100 Euro belaufen dürfte.
Weitere Konkretisierung
Eine Geldentschädigung gemäß Art. 82 Abs. 1 DSGVO ist allerdings nicht direkt einschlägig, wenn Verstöße gegen Regelungen der DSGVO erfolgt sind.
Beispielsweise begründet ein Verstoß gegen eine Auskunftspflicht gem. Art. 15 DSGVO schon keinen Schadenersatzanspruch, weil dieser nicht in den Anwendungsbereich von Art. 82 DSGVO falle. Denn die Vorschrift setze haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO – sei es, dass diese verzögert oder anfangs unvollständig erfüllt werde.
Dem gleichgestellt wird ein Kontrollverlust über die Daten durch den ehemaligen Arbeitnehmer, da dieser als Schadensnachweis nicht genüge.
Festgestellt hat dies das LAG in einem Urteil , bei dem es thematisch um eine nicht fristgerechte und anfangs unvollständige Auskunftserteilung durch einen Arbeitgeber ging, welcher somit gegen Art. 12 Abs. 3 DSGVO und Art. 15 DSGVO verstoßen hatte, es dem ehemaligen Mitarbeiter jedoch dennoch einen Anspruch auf Geldentschädigung gemäß Art. 82 Abs. 1 DSGVO verwehrte.