DSGVO: Der objektive Kontrollverlust als immaterieller Schaden

Grundrechtsschutz bei -Vorfällen: Mit seinem Urteil vom 20. März 2025 (Az. 5 U 129/24) hat das Oberlandesgericht Celle eine wegweisende Entscheidung zur datenschutzrechtlichen Bewertung sogenannter Scraping-Vorfälle getroffen. Im Zentrum steht die Frage, ob der bloße Verlust der Kontrolle über – ohne den Nachweis konkreter Ängste oder Schäden – bereits einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 darstellen kann.

Das Gericht bejaht dies ausdrücklich und grenzt sich damit in wesentlichen Punkten von einer restriktiveren Linie, etwa der des OLG Hamm, ab. Die Entscheidung positioniert sich deutlich zugunsten eines effektiven Grundrechtsschutzes im digitalen Raum und bringt zugleich mehr Kontur in die dogmatische Auslegung des Schadensbegriffs der DSGVO.

Ausgangspunkt: Scraping und Datenzugang durch Voreinstellungen

Dem Urteil liegt ein Sachverhalt zugrunde, der im Kontext moderner Kommunikationsplattformen keineswegs exotisch ist. Ein Nutzer hatte sich auf einer Plattform registriert, seine Telefonnummer im Rahmen des Standardverfahrens eingegeben und die Sichtbarkeitseinstellungen auf „Privat“ gesetzt. Dennoch war es Dritten – konkret automatisierten Import-Werkzeugen, sog. Scraping-Tools – möglich, über die bloße Eingabe der Telefonnummer eine Zuordnung zum Nutzerprofil herzustellen. Die Plattform hatte hierfür eine Importfunktion zur Verfügung gestellt, die zwar auf Nutzerkomfort zielte, aber die Datensicherheit vernachlässigte. Die persönlichen Daten des Klägers wurden dadurch ohne sein Wissen und ohne seine rechtlich wirksame Einwilligung Dritten zugänglich gemacht.

Der Kläger begehrte unter anderem immateriellen Schadensersatz sowie Unterlassung der weiteren Nutzung seiner Telefonnummer auf Grundlage der unklaren Voreinstellungen. Das Landgericht Hannover hatte dem Kläger teilweise recht gegeben, ihm aber nur 500 € zugesprochen. In der Berufung reduzierte das OLG Celle diesen Betrag auf 100 €, bejahte aber im Grundsatz das Bestehen eines Schadens – und das ist entscheidend.

Der objektive Kontrollverlust als eigenständige Schadensqualität

Zentraler dogmatischer Beitrag der Entscheidung ist die Anerkennung des objektiven Kontrollverlusts über personenbezogene Daten als hinreichender Anknüpfungspunkt für einen immateriellen Schaden. Das OLG Celle folgt dabei der Linie des Bundesgerichtshofs (VI ZR 10/24) und des Europäischen Gerichtshofs, die beide klargestellt haben, dass bereits die Entziehung der tatsächlichen Verfügungsgewalt über sensible Daten eine Rechtsverletzung darstellt, die nicht durch konkrete Furcht oder weitere Auswirkungen verstärkt werden muss.

Diese Abkehr von einem rein subjektiven Schadensbegriff, der zusätzlich belastbare seelische Beeinträchtigungen oder existenzielle Folgen voraussetzt, stärkt den präventiven und grundrechtlichen Charakter des Datenschutzrechts. Entscheidend ist das strukturelle Machtgefälle zwischen Plattformbetreibern und Nutzern: Wer Daten preisgibt, muss sich darauf verlassen können, dass sie nicht – aufgrund technischer Nachlässigkeit oder unklarer Voreinstellungen – in fremde Hände geraten. Wenn dies doch geschieht, ist der Kontrollverlust ein Eingriff in die informationelle Selbstbestimmung – und damit ein Schaden eigener Art.

Keine Schutzwirkung der bloßen Möglichkeit früherer Offenbarung

Ein weiterer wichtiger Aspekt betrifft die Frage, ob der Schaden entfällt, wenn dieselben Daten womöglich an anderer Stelle freiwillig offengelegt wurden. Das OLG Celle verneint dies mit klarer Argumentation: Maßgeblich ist allein das konkrete Rechtsverhältnis zwischen Kläger und Plattformbetreiber. Selbst wenn der Kläger dieselben Daten bei einem anderen Anbieter veröffentlicht haben sollte, bleibt der spezifische Kontrollverlust gegenüber der beklagten Plattform bestehen – zumal die Nutzung der Scraping-Funktion gerade gegen die Intention des Klägers und entgegen der erklärten Datenschutzeinstellungen erfolgte.

Die Argumentation des OLG Hamm, wonach der Kläger darlegen müsse, dass seine Daten nicht ohnehin öffentlich zugänglich waren, wird damit zurückgewiesen. Das OLG Celle betont, dass ein solches Verständnis die Durchsetzung des Datenschutzrechts faktisch leerlaufen ließe. Denn eine umfassende Beweislastumkehr zu Lasten der Nutzer wäre in der digitalen Praxis kaum zu erfüllen – sie widerspräche dem Effektivitätsgebot der DSGVO.

Zum Verhältnis von Einwilligung und technischer Gestaltung

Das Gericht setzt sich zudem ausführlich mit der Frage auseinander, ob eine wirksame Einwilligung des Klägers in die Datenverarbeitung vorlag. Die Antwort lautet: nein. Eine Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO muss spezifisch, informiert, freiwillig und unmissverständlich erfolgen. Gerade an dieser Informiertheit fehlt es hier – denn die Plattform hatte nicht ausreichend deutlich gemacht, dass die Telefonnummer auch bei auf „Privat“ gestelltem Profil über das Import Tool zugänglich war.

Diese Bewertung verweist auf ein zentrales Strukturproblem moderner Plattformarchitekturen: Die technischen Voreinstellungen sind häufig nicht auf Datensparsamkeit und Transparenz ausgerichtet, sondern auf Komfort und maximale Nutzungsintensität. Die DSGVO verlangt jedoch gerade das Gegenteil – eine datenschutzfreundliche Grundeinstellung („privacy by default“) nach Art. 25 Abs. 2 DSGVO. Die Entscheidung des OLG Celle macht klar, dass jede Abweichung hiervon nicht nur eine Ordnungswidrigkeit darstellen kann, sondern auch zivilrechtliche Haftung auslöst.

Ergebnis

In der Kernaussage hebt sich das Urteil des OLG Celle durch seine prägnante und gut begründete Anerkennung des objektiven Kontrollverlusts als immateriellen Schaden im Sinne der DSGVO hervor. Es gibt den Betroffenen ein effektives Instrument in die Hand, um datenrechtliche Verletzungen auch dann zu ahnden, wenn sie sich nicht in nachweisbaren Ängsten oder materiellen Nachteilen manifestieren.

Die Entscheidung fügt sich nahtlos in die jüngere Rechtsprechung des BGH und des EuGH ein und trägt dazu bei, die DSGVO als modernes Grundrechtsschutzinstrument zu etablieren – nicht nur im Verhältnis zu staatlichen Stellen, sondern auch im Alltag der digitalen Privatwirtschaft. Damit setzt sie ein Zeichen für die verfassungsrechtliche Ernsthaftigkeit des Datenschutzes und die Notwendigkeit, technische Gestaltung und rechtliche Verantwortung miteinander zu versöhnen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.