OLG Schleswig: Kein Schadensersatz ohne nachgewiesene Betroffenheit

Das Oberlandesgericht (OLG) Schleswig hat mit seinem Beschluss (Az. 5 U 56/24) ein klares Signal in Sachen Datenschutzgrundverordnung (DSGVO) und Schadensersatz gesetzt. In einem Fall, der sich um einen vermeintlichen Scraping-Vorfall drehte, entschied das Gericht, dass ein immaterieller Schaden nur dann geltend gemacht werden kann, wenn die tatsächliche Betroffenheit des Klägers zweifelsfrei nachgewiesen ist.
Die Entscheidung ist wegweisend für Unternehmen und Verbraucher gleichermaßen, da sie den Maßstab für Schadensersatzansprüche bei Datenschutzverstößen weiter konkretisiert.

Hintergrund des Falls

Im Zentrum des Rechtsstreits stand die Behauptung eines Nutzers, dass seine personenbezogenen Daten durch einen API-Bug eines großen Social-Media-Konzerns offengelegt worden seien. Der Kläger führte an, dass er infolge dieses Vorfalls mit einer Flut von Spam-Mails konfrontiert wurde und sich um den Missbrauch seiner Daten sorgte.

Das Landgericht Lübeck hatte die Klage bereits in erster Instanz abgewiesen, da der Kläger keine konkreten Beweise für seine Betroffenheit erbringen konnte. Die Berufung vor dem OLG Schleswig blieb ohne Erfolg.

Kernaussagen des Urteils

1. Kein Schadensersatz ohne nachgewiesene Betroffenheit

Das OLG Schleswig stellte klar, dass ein Kläger nachweisen muss, tatsächlich von einem Datenschutzverstoß betroffen zu sein. Eine rein theoretische Möglichkeit reicht nicht aus.

  • Der Verweis auf die Plattform Have I Been Pwned, die Datenlecks dokumentiert, genügte dem Gericht nicht als Beweismittel.
  • Auch eine erhöhte Anzahl von Spam-Mails sei kein Beweis für eine spezifische Datenschutzverletzung durch den Social-Media-Konzern.

2. Kein Unterlassungsanspruch ohne konkrete Gefahr

Der Kläger forderte zudem, dass die Beklagte seine Daten nicht mehr ohne hinreichende Sicherheitsmaßnahmen über eine API zugänglich machen darf. Auch dieser Antrag wurde zurückgewiesen.

  • Da der Kläger nicht nachweisen konnte, dass seine Daten überhaupt betroffen waren, bestand keine Grundlage für eine Wiederholungsgefahr.
  • Ein Unterlassungsanspruch hätte eine belegbare Datenschutzverletzung vorausgesetzt.

3. Kein Anspruch auf zusätzliche Auskünfte

Der Kläger verlangte zudem eine umfassendere Auskunft über die Verarbeitung seiner personenbezogenen Daten.

  • Das Gericht stellte fest, dass die Beklagte ihrer Auskunftspflicht bereits nachgekommen war.
  • Eine sogenannte Negativauskunft, die bestätigt, dass ein Nutzer nicht betroffen ist, gilt als rechtlich ausreichende Auskunft.

Bedeutung für Unternehmen und Verbraucher

Das Urteil verdeutlicht, dass DSGVO-Schadensersatzansprüche nicht leichtfertig geltend gemacht werden können. Verbraucher müssen konkret nachweisen, dass sie tatsächlich von einer Datenschutzverletzung betroffen sind, bevor sie Ansprüche auf immateriellen Schadensersatz stellen können.

Für Unternehmen bedeutet dies mehr Rechtssicherheit: Die bloße Behauptung einer möglichen Datenschutzverletzung reicht nicht aus, um haftbar gemacht zu werden. Gleichzeitig sollten Firmen darauf achten, dass sie betroffenen Nutzern klare und nachvollziehbare Auskünfte über ihre Datenverarbeitung erteilen.

Wer sich gegen Datenschutzverstöße oder unzureichende Auskünfte wehren möchte, sollte sich professionell beraten lassen. Wir stehen Ihnen gern zur Seite, um Ihre rechtlichen Möglichkeiten zu prüfen und durchzusetzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert