Das LG Limburg (4 O 278/22) hatte sich mit einem Scraping-Fall auf einer Social Media Plattform zu beschäftigen. Dabei konnte das LG eine interessante Erwägung am Ende aufstellen, nachdem es hervorgehoben hat, dass der Eintritt eines (eigenen) Schadens nicht als überwiegend wahrscheinlich nachgewiesen wurde:
Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (…). Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DSGVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens (…). Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig.
Interessant wird es etwas später im Urteil, hier schließt das Gericht auf die Unzulässigkeit eines einzelnen Schadensersatzes, weil die Gesamtsumme aller Schadensersatzzahlungen zu hoch wäre. Dazu muss man wissen, dass dieser Klage ein im November 2022 ein ca. 533 Mio. Datensätze betreffendes Scraping auf einem großen Social-Media-Portal vorausgegangen war:
Wollte man … jedem einzelnen betroffenen Nutzer beispielsweise einen Schadensersatzanspruch i.H.v. von 100 EUR zuerkennen, würde dies in Summe einen Betrag i.H.v. 53.300.000.000 (in Worten: dreiundfünfzig Milliarden dreihundert Millionen Euro) bedeuten. Dies stünde außer Verhältnis zur Schwere eines möglichen Datenschutzverstoßes der Beklagten. Im Ergebnis liefe dies auf einen Strafschadensersatz (punitive damages) hinaus, der jedenfalls dem deutschen Zivilrecht fremd ist.
Das Argument lässt sich sicherlich für viele auf Anhieb hören – ist aber in rechtlicher Hinsicht durchaus verwunderlich: Diese Betrachtung führt dazu, dass gerade bei umfangreichen DSGVO-Verstößen von Datenverarbeitern, die massenhaft Daten verarbeiten, eine Privilegierung eintreten würde. Auch der juristische Rückschluss auf „punitive damages“ ist eher verwunderlich, denn wenn im Einzelfall ein Anspruch besteht, mag sich im Gesamtbild das Ganze wie eine Strafe anfühlen, ist letztlich aber kein „Strafschadensersatz“ nach US-Vorbild. Alles in allem wird dies sicherlich kein Vorbild für andere Entscheidungen sein.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
