Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
Rechtsanwalt für den Gewerblichen Rechtsschutz, Lebensmittel- und Kosmetikrecht
T (+49) 040 / 7344 086-0
| Internetrecht, Sonstige Rechtsgebiete
Blog News
Ein neues wegweisendes Urteil vom Gericht der Europäischen Union (EuG) zeigt, wie ein vermeintlich harmloser Button zu einer Haftung von EU-Institutionen für Datenschutzverletzungen führen kann – und wie teuer das werden kann. Die EU-Komission wurde durch Urteil des EuG zur Zahlung von 400 Euro DSGVO-Schadensersatz verurteilt. Lesen Sie hier die Details.
Dem Urteil liegt ein Fall zugrunde, in dem sich 2021 ein deutscher Nutzer über die offizielle Website der EU-Kommission zu einer Veranstaltung anmeldete und dabei den Authentifizierungsdienst „EU Login“ nutzte. Dabei verwendete er die ihm von der Website angebotene Möglichkeit, sich mit seinem Facebook Konto – über den bekannten Button „Sign in with Facebook“ anzumelden. Bei diesem Vorgang wurde seine IP Adresse automatisch an die Meta-Plattform Facebook in die USA übermittelt. Ein gültiger Angemessenheitsbeschluss oder andere datenschutzrechtliche Sicherungen lagen nicht vor. Das Gericht urteilte klar: Die EU-Komission war für diese Datenübermittlung verantwortlich und hat folglich gegen die DSGVO verstoßen.
Über den DSGVO-Verstoß hinaus, machte der Kläger jedoch auch einen immateriellen Schaden geltend: Er habe durch diese Datenübermittlung die Kontrolle über seine personenbezogenen Daten verloren, weil nicht nachvollziehbar sei, wie seine Daten verarbeitet wurden. Laut dem OLG Celle sei ein solcher bloß objektiver Kontrollverlust über die eigenen Daten ausreichend, um einen immateriellen Schaden im Sinne von Art. 82 DSGVO anzunehmen. Dies gelte unabhängig davon, ob konkrete Ängste oder finanzielle Folgen tatsächlich nachgewiesen wurden.
Dieses Signal folgt der Rechtsprechung des BGH zum immateriellen Datenschutzschaden (Urteil vom 18.11.2024) und bringt Klarheit in einer Vielzahl von Verfahren zu Datenlecks im Zusammenhang mit öffentlich gewordenen Facebook-Nutzerprofilen. Ein Schadensersatzanspruch von 100 € sei in diesen Fällen regelmäßig angemessen, so der Senat. Leichte Unannehmlichkeiten, etwa ein Gefühl der Unsicherheit, seien mit diesem Betrag pauschal abgegolten. Für deutlich höhere Beträge müssen laut Gericht besondere Umstände – etwa psychische Beeinträchtigungen – hinzukommen, z.B. psychische Belastungen, ärztliche Behandlung oder konkrete Beeinträchtigungen im Alltag. Das Gericht nennt als Beispiel eine Klägerin, die aufgrund des Facebook-Datenlecks in ärztlicher Behandlung wegen Angstzuständen war. Solche Umstände könnten durchaus einen Ersatzanspruch von 500 € oder mehr rechtfertigen, wenn sie nachgewiesen und glaubwürdig sind.
Auch wenn sich dieses Urteil gegen die EU-Kommission richtet, betrifft es jeden, der eine Website betreibt oder Drittanbieterdienste einsetzt. Das Urteil des OLG Celle ist besonders relevant für die zahlreichen Verfahren rund um das sogenannte Facebook-Scraping, bei dem öffentlich einsehbare Profildaten automatisiert ausgelesen und verbreitet wurden. Viele Betroffene klagen auf DSGVO-Schadensersatz – teils mit sehr unterschiedlichen Forderungen.
Beim sogenannten Scraping werden öffentlich einsehbare Daten automatisiert von Plattformen wie Facebook ausgelesen – darunter z. B. Namen, Telefonnummern, E-Mail-Adressen oder Wohnorte. Diese Informationen gelangen oft ungefiltert in den Umlauf, etwa durch Veröffentlichungen im Darknet. Der Scraping-Vorfall bei Facebook im Jahr 2021 betraf über 500 Millionen Nutzer weltweit – darunter auch Nutzer aus Deutschland.
In einem anderen Fall, den das Oberlandesgericht Hamm mit Urteil vom 20. Dezember 2024 (Az. 11 U 44/24) entschied, wurde einem Facebook-Nutzer 200 Euro DSGVO-Schadensersatz zugeprochen. Der Kläger hatte seine Telefonnummer in seinem Facebook Profil hinterlegt, allerdings ohne diese öffentlich zugänglich zu machen. Nach dem Scraping Vorfall 2021 wurde diese jedoch veröffentlicht, woraufhin kurze Zeit später bei diesem Nutzer ein auffälliger Anstieg an unerwünschten Spam-Nachrichten und Anrufen folgte. Nach den Urteilsgründen des Gerichts habe die Veröffentlichung der Mobilfunknummer des Nutzers zu einem massiven Kontrollverlust, Einschränkungen im Alltag und psychischer Belastung geführt. Durch diesen Vorfall fühlte sich der Kläger in seiner Privatsphäre verletzt und fühlte sich fortan unsicher im Umgang mit seiner Telefonnummer. Insbesondere durch die Spam-Anrufe wurde der Kläger emotional belastet. Das Urteil stärkt damit Betroffene, die durch Datenschutzverstöße immaterielle Schäden wie Verunsicherung, Kontrollverlust oder emotionale Beeinträchtigungen erleiden. Weiterhin zeigt die Entscheidung des Gerichts, dass auch „unsichtbare“ Datenschutzverstöße zu Schadensersatz führen können – sofern diese im Rahmen nachvollziehbarer und glaubwürdiger Argumentation geltend gemacht werden.
Nach Art. 82 DSGVO besteht ein Anspruch auf Schadensersatz nicht nur bei finanziellen Nachteilen, sondern auch bei immateriellen, psychischen oder emotionalen Schäden. Das OLG Hamm hat klargestellt:
• Ein reiner Kontrollverlust über personenbezogene Daten kann bereits ein Schaden sein
• Psychische Belastungen, wie Verunsicherung, Angst vor Datenmissbrauch oder wiederholte Störungen im Alltag, erhöhen die Anspruchshöhe
• 200 € Schadensersatz gelten als angemessen, wenn diese Beeinträchtigungen nachvollziehbar dargelegt werden können
Wenn ihre personenbezogenen Daten - wie Telefonnummer, E-Mail oder IP-Adresse - ohne ausreichende Sicherung veröffentlicht oder weitergegeben wurden, stehen Ihnen mehrere Rechte zu:
Als spezialisierte Kanzlei unterstützt unser kompetentes Team Sie gerne bei der Durchsetzung von DSGVO-Schadensersatzansprüchen, bei Klagen wegen Datenlecks (z.B. Facebook, Linkedin, XING) sowie bei der Beweissicherung und Anhörung bei immateriellen Schäden.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.