Kein DSGVO-Schadensersatz nach Scraping (LG Limburg)

Das LG Limburg (4 O 278/22) hatte sich mit einem -Fall auf einer Social Media Plattform zu beschäftigen. Dabei konnte das LG eine interessante Erwägung am Ende aufstellen, nachdem es hervorgehoben hat, dass der Eintritt eines (eigenen) Schadens nicht als überwiegend wahrscheinlich nachgewiesen wurde:

Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (…). Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens (…). Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig.

Interessant wird es etwas später im Urteil, hier schließt das Gericht auf die Unzulässigkeit eines einzelnen Schadensersatzes, weil die Gesamtsumme aller Schadensersatzzahlungen zu hoch wäre. Dazu muss man wissen, dass dieser ein im November 2022 ein ca. 533 Mio. Datensätze betreffendes Scraping auf einem großen Social-Media-Portal vorausgegangen war:

Wollte man … jedem einzelnen betroffenen Nutzer beispielsweise einen Schadensersatzanspruch i.H.v. von 100 EUR zuerkennen, würde dies in Summe einen Betrag i.H.v. 53.300.000.000 (in Worten: dreiundfünfzig Milliarden dreihundert Millionen Euro) bedeuten. Dies stünde außer Verhältnis zur Schwere eines möglichen Datenschutzverstoßes der Beklagten. Im Ergebnis liefe dies auf einen Strafschadensersatz (punitive damages) hinaus, der jedenfalls dem deutschen Zivilrecht fremd ist.

Das Argument lässt sich sicherlich für viele auf Anhieb hören – ist aber in rechtlicher Hinsicht durchaus verwunderlich: Diese Betrachtung führt dazu, dass gerade bei umfangreichen DSGVO-Verstößen von Datenverarbeitern, die massenhaft Daten verarbeiten, eine Privilegierung eintreten würde. Auch der juristische Rückschluss auf „punitive damages“ ist eher verwunderlich, denn wenn im Einzelfall ein Anspruch besteht, mag sich im Gesamtbild das Ganze wie eine Strafe anfühlen, ist letztlich aber kein „Strafschadensersatz“ nach US-Vorbild. Alles in allem wird dies sicherlich kein Vorbild für andere Entscheidungen sein.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.