Data Scraping: Schadensersatz nach wegweisendem Urteil

Der Bundesgerichtshof hat in einem Revisions-Urteil (BGH, Urteil vom 18.11.2024, VI ZR 10/24, siehe auch Pressemitteilung vom 18.11.2024) einer Privatperson erstmals Schadensersatz für das unzulässige Abschöpfen ihrer öffentlich zugänglichen Daten zugesprochen.

Im konkreten Fall hatte ein Unternehmen ohne Einwilligung personenbezogene Informationen aus öffentlich zugänglichen Facebook-Profilen massenhaft und automatisiert ausgelesen und für eigene Zwecke weiterverarbeitet.

Im Kern ging es bei den Verfahren um die Frage, ob Facebook ausreichende technische Sicherheitsvorkehrungen getroffen hatte, um ein massenhaftes Auslesen zu verhindern und ob durch den Verlust der Daten auch ein ersatzfähiger Schaden aufseiten des Nutzers entstanden ist.

Der BGH hat nun in seinem aktuellen Urteil dem klagenden Nutzer einen Schadensersatz zugesprochen. Der BGH verwies die Sache damit zur erneuten Entscheidung zurück an das OLG Köln. Er stellte dabei klar, dass schon ein kurzzeitiger Kontrollverlust über personenbezogene Daten nach Art. 82 Abs. 1 DSGVO einen immateriellen Schaden darstellen kann, ohne dass ein konkreter Missbrauch oder weitere Nachteile vorliegen müssen.

In Bezug auf den immateriellen Schaden gab der BGH den Hinweis, dass dieser für den bloßen Kontrollverlust in einer Größenordnung von 100 Euro bemessen werden könne.

Die aktuelle Entscheidung des Bundesgerichtshofs stellt zugleich das erste Verfahren dar, das im neu eingeführten Leitentscheidungsverfahren ergangen ist. Um die Justiz von einer Vielzahl gleichgelagerter Einzelklagen zu entlasten, hatte die Bundesregierung ein entsprechendes Gesetz verabschiedet, das am 31. Oktober 2024 in Kraft getreten ist.