Nach dem BGH-Urteil (VI ZR 10/24), wonach ein Datenverlust einen immateriellen Schaden nach der DSGVO begründet, wurde versucht, die Frage zugunsten der Rechtssicherheit schnell ad acta zu legen. Die Urteile höherer Instanzen nach diesem BGH-Urteil lassen jedoch eher vermuten, dass sich der Streit von der Frage, ob ein Kontrollverlust einen Schaden darstellt, hin zur Frage verlagert hat, ob ein Kontrollverlust plausibel nachweisbar ist. Der Beitrag stellt einige Urteile der Oberlandesgerichte in diesem Kontext summarisch dar.
Der Inhalt im Überblick
Kurze Rückschau: Ist ein Kontrollverlust ein Schaden?
Im Kern geht der Streit um die Auslegung der DSGVO, die in Erwägungsgrund 85 explizit anspricht, dass auch ein Kontrollverlust einen immateriellen Schaden darstellen kann. Dort heißt es lapidar:
„Eine Verletzung des Schutzes personenbezogener Daten kann (…) einen (…) immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle (…).“
Um zu verhindern, dass ein Kontrollverlust ohne weitere Beeinträchtigungen als ersatzfähiger Schaden anerkannt wird, wurde in der Regel verlangt, dass der Kläger vortrug, welche Nachteile ihm über den Kontrollverlust hinaus aus dem Vorfall entstanden sind. Trug der Kläger, wie so oft, nur emotionale Nachteile vor, hing der Anspruch davon ab, ob das Gericht diese als plausibel und ausreichend ansah. So entstand in der Rechtsprechung ein Flickenteppich aus Urteilen, in denen ein Schaden mal bejaht und mal verneint wurde. Hier wollte der BGH für Einheit sorgen und entschied:
„(…) steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und
es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den (…) Schaden noch (…) zu vergrößern.“
Status quo: Kontrollverlust = Schaden?
Aber wie es die danach veröffentlichten Urteile vermuten lassen, wurde der Streit so nicht geklärt, sondern eher auf die Darlegungsebene verlagert. So wiesen gemäß dem BGH-Urteil das OLG Hamm und OLG Dresden Klagen auf Schadensersatz ab, weil sie von keinem nachgewiesenen Kontrollverlust ausgingen. Das OLG Dresden verneinte den Verlust im Speziellen, da der Kläger seine Daten öffentlich gemacht habe. Dagegen wies das OLG Celle darauf hin, dass es die bei ihm rechtshängigen Fällen von einen Kontrollverlust ausgehe und sich daher an das Urteil des BGH gebunden fühle. Dem folgte im Ergebnis auch das OLG München, indem es meinte, dass ein nach den tatsächlich Feststellungen gegebener Kontrollverlust einen immateriellen Schaden darstelle. In eine ähnliche Richtung, dass es in Zukunft mehr auf die Tatsachenfeststellung ankäme, geht auch ein Urteil des BGH (VI ZR 109/23) vom Januar 2025, in dem dieser meinte:
„Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die VO von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen.“
Und weiter geht das Perpetuum Mobile zum Kontrollverlust
Unabhängig davon, wie man zum Urteil des BGH (VI ZR 10/24) steht, ob ein Kontrollverlust zu Schadensersatz nach Art. 83 DSGVO verpflichtet, wird dieser wohl nicht allzu bald sein Ende finden. Das gilt umso mehr, als das LG Erfurt mit Beschluss vom 3.4.2025 (AZ 8 O 895/23) dem EuGH die Frage vorgelegt hat;
„(…) ob Art. 82 Abs. 1 DSGVO es einem nationalen Gericht ermöglicht, einer betroffenen Person Schadensersatz zuzusprechen, obwohl diese keinen konkreten und individuellen materiellen oder immateriellen Schaden nachgewiesen hat, wie begründete Befürchtungen eines Missbrauchs oder andere psychische Beeinträchtigungen, sondern sich lediglich darauf beruft, dass ihre Daten im Internet veröffentlicht wurden und sie somit die Kontrolle hierüber verloren habe.“
Die Vorlage zeigt, dass innerhalb der Instanzen nicht immer klar ist, wie mit dem Urteil des BGH umgegangen werden sollte. Grundlegend bleibt die Frage, ob es einen Automatismus zwischen der Tatsachenfeststellung eines Kontrollverlusts und der Verpflichtung zu Schadensersatz gemäß Art. 82 DSGVO gibt. Nach dem Urteil des BGH richtet sich die Aufmerksamkeit nun auf die Tatsachenfeststellung im konkreten Einzelfall. Eine generelle Klärung durch den Europäischen Gerichtshof wäre in dieser Hinsicht wünschenswert, auch wenn nicht unbedingt zu erwarten. Aus Luxemburg heißt es stets, dass die Tatsachenfeststellung Aufgabe der nationalen Gerichte sei, da sie nicht durch den EuGH zu leisten sei. Das heißt im Zweifel auch in diesem Fall: Es bleibt bei einer durch die jeweils festgestellten Tatsachen zersplitterten Rechtsprechung.
