Darlegungs- und Beweislast im Rahmen der Datenschutz-Grundverordnung (DSGVO)

Am 14. Mai 2024 erging eine bedeutende Entscheidung des 7. Zivilsenats des Oberlandesgerichts (OLG) Hamm im Fall 7 U 14/24. Der Fall betraf Datenschutzverletzungen durch eine bekannte Social-Media-Plattform und die daraus resultierenden Schadensersatzansprüche des Klägers.

Diese Entscheidung beleuchtet die Anforderungen an die Darlegungs- und im Rahmen der -Grundverordnung () und hat weitreichende Auswirkungen auf zukünftige datenschutzrechtliche Klagen.

Sachverhalt

Der Kläger nutzte die Plattform der Beklagten und behauptete, dass ein API-Bug auf der Plattform im Jahr 2021 zu einem geführt habe, bei dem seine persönlichen Daten kompromittiert wurden. Der Kläger forderte Schadensersatz und Auskunft über das Datenleck gemäß Artikel 15 und Artikel 82 DSGVO. Die Beklagte bestritt, dass die Daten des Klägers betroffen waren, und verwies darauf, dass eine interne Überprüfung keine Anhaltspunkte für eine Betroffenheit des Klägers ergab.

Rechtliche Analyse

Darlegungs- und Beweislast

Der 7. Zivilsenat des OLG Hamm stellte klar, dass der Kläger die Darlegungs- und Beweislast dafür trägt, dass seine Daten von dem Datenleck betroffen waren. Der Kläger kann sich nicht mit Nichtwissen gemäß § 138 Abs. 4 ZPO erklären. Diese Entscheidung stützt sich auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH), wonach die betroffene Person nachweisen muss, dass ihre Daten kompromittiert wurden (EuGH, Urteil vom 14.12.2023 – C-340/21 und EuGH, Urteil vom 21.12.2023 – C-667/21).

Immaterieller Schadensersatz

Der Kläger machte geltend, dass die Beklagte seine Daten ohne Rechtsgrundlage Dritten zugänglich gemacht habe und forderte immateriellen Schadensersatz. Das Landgericht und das OLG Hamm wiesen diesen Anspruch ab, da der Kläger keinen konkreten Nachweis erbringen konnte, dass seine Daten betroffen waren. Zudem konnte der Kläger keinen messbaren Schaden nachweisen. Das bloße Gefühl des Unwohlseins und die Sorge vor einem möglichen Missbrauch der Daten reichten nicht aus, um einen immateriellen Schaden gemäß Artikel 82 DSGVO zu begründen.

Auskunftsanspruch

Der Kläger forderte weiterhin Auskunft über seine von der Beklagten verarbeiteten Daten gemäß Artikel 15 DSGVO. Das Landgericht und das OLG Hamm wiesen auch diesen Anspruch ab, da die Beklagte nach umfassenden Untersuchungen keinen Hinweis auf eine Betroffenheit des Klägers gefunden hatte und den Kläger entsprechend informierte.

Streitwertbemessung

Das OLG Hamm stellte fest, dass das Gericht bei der Bemessung des Streitwerts nicht an die subjektiven Wertangaben in der Klageschrift gebunden ist. Der Streitwert wurde für das Verfahren erster Instanz auf 2.500 EUR und für das Berufungsverfahren auf 2.000 EUR festgesetzt.

Fazit

Das OLG Hamm bestätigte die Abweisung der und stellte klar, dass der Kläger die Darlegungs- und Beweislast für die Betroffenheit von einem Datenleck trägt. Diese Entscheidung unterstreicht die Bedeutung der konkreten Nachweisführung bei datenschutzrechtlichen Schadensersatzansprüchen und setzt hohe Anforderungen an die Darlegung eines immateriellen Schadens.

Kritische Betrachtung

Während die Entscheidung des OLG Hamm die Anforderungen an die Nachweisführung und die Darlegungs- und Beweislast im Datenschutzrecht verdeutlicht, wirft sie auch Fragen hinsichtlich des Schutzes der Betroffenenrechte auf. Die strengen Anforderungen an den Nachweis eines immateriellen Schadens könnten es Betroffenen erschweren, gerechtfertigte Ansprüche durchzusetzen, insbesondere in Fällen, in denen der Schaden schwer messbar ist. Es bleibt abzuwarten, wie zukünftige Gerichte diese Anforderungen interpretieren und ob eine Anpassung der Rechtsprechung notwendig wird, um einen effektiveren Schutz der Datenschutzrechte zu gewährleisten.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft. Ich bin Softwareentwickler, in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.