Schadensersatz nach Datenscraping auf Social-Media-Plattform

Eine Entscheidung des Landgerichts Mannheim (LG Mannheim, Urteil vom 14. April 2023, Az. 1 O 99/23) bietet eine detaillierte Analyse zu den Anforderungen an technische und organisatorische Maßnahmen nach Art. 32 Abs. 1 , die Erfassung immaterieller Schäden im Sinne von Art. 82 Abs. 1 DSGVO und die Bemessung der Höhe des Ausgleichs für solche Schäden. Die Entscheidung fasst die aktuelle Rechtslage ganz gut zusammen und wird daher, mit Hinweisen auf die verschiedenen OLG-Entscheidungen, hier aufgenommen.

Hinweis: In unserer Kanzlei werden solche Fälle von Verbrauchern nicht übernommen!

Sachverhalt der Entscheidung

In dem Fall vor dem LG Mannheim (Az. 1 O 99/23) ging es um die unbefugte Offenlegung persönlicher Daten auf einer Social-Media-Plattform. Ein Unternehmen hatte die personenbezogenen Daten der Klägerin, die sich auf einer Social-Media-Plattform registriert hatte, nicht ausreichend geschützt. Diese Daten, die sensible Informationen wie Namen, Adressen und Kommunikationsinhalte umfassten, wurden aufgrund unzureichender technischer und organisatorischer Maßnahmen offengelegt. Die Klägerin erlitt dadurch nach eigenem Vortrag erhebliche emotionale Belastungen und verlangte Schadensersatz für den immateriellen Schaden, der ihr durch diese Datenschutzverletzung entstanden war.

Hinweis: Es geht um ein Daten- in erheblichem Ausmaß, was zu einer Masse an Klagen geführt hat. Daher gibt es umfangreiche Rechtsprechung dazu, ich konzentriere mich hier darauf, einzelne Entscheidungen – speziell von OLG – zu sammeln und einen Überblick zu geben.

Anforderungen an technische und organisatorische Maßnahmen nach Art. 32 Abs. 1 DSGVO

Art. 32 Abs. 1 DSGVO fordert von Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen gewählt werden. Zu den Maßnahmen gehören unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten sowie die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf Dauer sicherzustellen.

Im vorliegenden Fall befasste sich das Gericht mit der Frage, ob die von dem beklagten Unternehmen implementierten Maßnahmen diesen Anforderungen genügten. Das Gericht stellte fest, dass die bloße Verwendung eines Passwortschutzes und die Beschränkung des Zugriffs auf bestimmte Mitarbeiter nicht ausreichten, um den gesetzlichen Anforderungen zu entsprechen. Es wurde betont, dass insbesondere in Branchen mit hohem Risiko für Datenschutzverletzungen weitergehende Maßnahmen, wie eine umfassende Verschlüsselung und regelmäßige Sicherheitsüberprüfungen, erforderlich sind.

Immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO

Nach Art. 82 Abs. 1 DSGVO hat jede Person, die wegen eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Schadensersatz vom Verantwortlichen. Das LG Mannheim stellte klar, dass der bloße Verlust von Daten oder die unbefugte Offenlegung personenbezogener Daten einen immateriellen Schaden darstellen kann, der zu kompensieren ist. Dabei kommt es nicht auf einen konkreten Nachweis eines finanziellen Schadens an, sondern darauf, dass der Betroffene durch die Datenschutzverletzung einen Nachteil in Form von Stress, Angst oder anderen negativen emotionalen Auswirkungen erlitten hat.

Im vorliegenden Fall argumentierte die Klägerin, dass die unbefugte Offenlegung ihrer persönlichen Daten zu erheblichen emotionalen Belastungen geführt habe. Das Gericht erkannte diese Argumentation an und stellte fest, dass auch immaterielle Schäden, die aus der Besorgnis über den Missbrauch offengelegter Daten resultieren, unter Art. 82 Abs. 1 DSGVO fallen können.

Bemessung der Höhe des Ausgleichs für immaterielle Schäden gem. Art. 82 Abs. 1 DSGVO

Die Bemessung der Höhe des immateriellen Schadensersatzes stellt eine besondere Herausforderung dar. Das LG Mannheim orientierte sich bei der Festlegung der Schadenshöhe an der Schwere der Datenschutzverletzung und den spezifischen Umständen des Einzelfalls. Dabei berücksichtigte das Gericht Faktoren wie die Sensibilität der offengelegten Daten, die Dauer und das Ausmaß der Verletzung sowie die subjektive Betroffenheit der Klägerin.

In der Entscheidung wurde hervorgehoben, dass es keine festen Beträge für immaterielle Schäden gibt und dass jeder Fall individuell bewertet werden muss. Das Gericht sprach der Klägerin einen Schadensersatz zu, der als angemessene Kompensation für die erlittenen emotionalen Belastungen und die Sorge um den möglichen Missbrauch ihrer Daten betrachtet wurde.

Ausblick

Die Entscheidung des LG Mannheim setzt wichtige Akzente in der Auslegung und Anwendung der DSGVO, insbesondere im Hinblick auf die Anforderungen an technische und organisatorische Maßnahmen, die Anerkennung immaterieller Schäden und die Bemessung von Schadensersatz. Da hier die Linien der Oberlandesgerichte übernommen werden, kann die Entscheidung zur Orientierung dienen.

Unternehmen müssen sicherstellen, dass ihre Datenschutzmaßnahmen nicht nur technisch auf dem neuesten Stand sind, sondern auch organisatorisch umfassend umgesetzt werden. Zudem zeigt die Entscheidung, dass immaterielle Schäden ernst genommen werden und angemessen kompensiert werden müssen. Diese Entwicklungen unterstreichen die Notwendigkeit eines hohen Schutzniveaus für und die ernsthafte Auseinandersetzung mit den Rechten der Betroffenen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.