Schadensersatz und Kontrollverlust über Daten: Entscheidung des OLG Oldenburg

In einer aktuellen Entscheidung des Oberlandesgerichts (OLG) Oldenburg (Az. 13 U 100/23) vom 21. Mai 2024 wurde die Problematik des Schadensersatzes im Kontext des Verlustes der Kontrolle über thematisiert. Im Fokus stand die Frage, ob der bloße Kontrollverlust bereits einen ersatzfähigen immateriellen Schaden gemäß Art. 82 darstellt.

Sachverhalt

Der Kläger machte Ansprüche gegen eine Social-Media-Plattform geltend, nachdem personenbezogene Daten durch einen sogenannten -Vorfall öffentlich zugänglich gemacht wurden. Der Kläger argumentierte, dass der Verlust der Kontrolle über seine Daten an sich bereits einen immateriellen Schaden darstelle und berief sich hierbei auf die Erwägungsgründe 75 und 85 der DSGVO.

Rechtliche Analyse

Das OLG Oldenburg stellte klar, dass der bloße Kontrollverlust über personenbezogene Daten keinen immateriellen Schaden im Sinne des Art. 82 DSGVO begründet. Ein immaterieller Schaden könne nur dann geltend gemacht werden, wenn der Anspruchsteller nachweisen könne, dass dieser Kontrollverlust zu negativen Folgen wie begründeten Ängsten und Befürchtungen eines Missbrauchs der Daten durch Dritte geführt habe:

Entgegen der Auffassung des Klägers stellt der Verlust der Kontrolle über personenbezogene Daten als solcher noch keinen ersatzfähigen Schaden dar. Soweit der Kläger als Beleg für seine Auffassung die Erwägungsgründe 75 und 85 DSVGO anführt (S. 40 der Klageschrift, GA I 41; S. 49 f der Berufungsbegründung vom 16. Oktober 2023, GA IV 859), ist zu berücksichtigen, dass die Erwägungsgründe keinen normativen Charakter haben, sondern lediglich als Auslegungshilfe in Betracht kommen (vgl. etwa Ehmann/Selmayr, DSGVO, 2. Aufl., Einführung Rn. 97 mwN). Dabei haben die Erwägungsgründe 75 und 85 DSVGO für die Auslegung des Schadensbegriffs in Art. 82 Abs. 1 DSGVO nur eine begrenzte Aussagekraft, da sie sich nicht auf Art. 82 DSGVO, sondern auf Art. 24 DSGVO bzw. Art. 33 DSGVO beziehen (Paal, ZfDR 2023, 325, 349; vgl. auch OLG Köln aaO Rn. 42).

Davon abgesehen folgt aus der Rechtsprechung des Europäischen Gerichtshofs, dass der bloße Kontrollverlust keinen immateriellen Schaden im Sinne des Art. 82 DSGVO begründet. Die entsprechende Vorlagefrage (vgl. EuGH, Urteil vom 14. Dezember 2023 – C-456/22, Rn. 11) hat der Europäische Gerichtshof dahingehend beschieden, dass der Kontrollverlust zwar grundsätzlich einen Schaden darstellen könne, der Anspruchsteller jedoch nachweisen müsse, dass die negativen Folgen eines Verstoßes einen immateriellen Schaden darstellen (EuGH aaO Rn. 21 f). Das nationale Gericht müsse, wenn sich eine Person auf die Befürchtung berufe, ihre personenbezogenen Daten könnten in Zukunft missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne (EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 85).

Danach ist der Verlust der Kontrolle über die eigenen Daten eine negative Folge, die zwar grundsätzlich einen Ersatzanspruch begründen kann, der Anspruchsteller bleibt jedoch in der Pflicht, darzulegen und ggf. zu beweisen, dass der Kontrollverlust zu einem immateriellen Schaden wie begründeten Ängsten und Befürchtungen eines Missbrauchs der Daten durch Dritte geführt hat (vgl. auch Mörsdorf/Momtazi, NJW 2024, 1074 Rn. 17). Ein folgenloser Kontrollverlust stellt hingegen keinen (immateriellen) Schaden dar (ebenso OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23, juris Rn. 151, 159 f; OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, GRUR-RS 2023, 32883 Rn. 123; OLG Dresden, Urteil vom 5. Dezember 2023 – 4 U 1094/23, juris Rn. 45 f; OLG Köln aaO Rn. 41).

Erwägungsgründe der DSGVO

Die Erwägungsgründe 75 und 85 der DSGVO, auf die sich der Kläger berief, haben keinen normativen Charakter und dienen lediglich als Auslegungshilfe. Sie beziehen sich zudem auf die Verpflichtungen aus Art. 24 und 33 DSGVO und nicht direkt auf Art. 82 DSGVO, der die Schadensersatzansprüche regelt.

EuGH-Rechtsprechung

Der Europäische Gerichtshof (EuGH) hat in einem Urteil vom 14. Dezember 2023 (C-456/22) klargestellt, dass der Verlust der Kontrolle über personenbezogene Daten grundsätzlich einen Schaden darstellen könne. Der Anspruchsteller müsse jedoch nachweisen, dass dieser Kontrollverlust zu einem immateriellen Schaden geführt habe, der über eine bloße abstrakte Befürchtung hinausgeht.


Fazit

Die Entscheidung des OLG Oldenburg verdeutlicht die strengen Anforderungen an den Nachweis eines immateriellen Schadens nach einem Kontrollverlust über personenbezogene Daten. Es reicht nicht aus, lediglich den Verlust der Kontrolle geltend zu machen; vielmehr müssen konkrete negative Auswirkungen, wie Ängste und Befürchtungen eines Missbrauchs, nachgewiesen werden. Diese Entscheidung ist richtungsweisend für zukünftige Fälle im Bereich des Datenschutzrechts und der Geltendmachung von Schadensersatzansprüchen.

Auswirkungen für Betroffene

Für Betroffene bedeutet dies, dass sie bei einem Datenverlust nicht nur den Verstoß gegen die DSGVO, sondern auch die konkreten immateriellen Schäden, die daraus resultieren, detailliert darlegen und beweisen müssen. Dies stellt hohe Anforderungen an die Beweisführung und macht es erforderlich, umfassende Dokumentationen und Nachweise für die erlittenen Beeinträchtigungen vorzulegen.

Die Entscheidung des OLG Oldenburg stärkt somit die Position der datenverarbeitenden Unternehmen, da sie nicht für jeden Kontrollverlust automatisch haftbar gemacht werden können. Betroffene sollten jedoch darauf achten, jegliche negativen Folgen eines solchen Verlusts genau zu dokumentieren, um ihre Ansprüche erfolgreich durchsetzen zu können..

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.