Das Schleswig-Holsteinische Oberlandesgericht hat in einem aktuellen Urteil entschieden, dass ein Anspruch auf Schadensersatz nach Artikel 82 DSGVO nur dann besteht, wenn eine betroffene Person nachweisen kann, dass ihre Daten tatsächlich kompromittiert wurden.
In dem Fall klagte eine Person wegen eines angeblichen Datenlecks bei Twitter, konnte aber nicht nachweisen, dass ihr Account tatsächlich betroffen war. Das Gericht bestätigte, dass ein reines Spam-Aufkommen oder die Nutzung von Online-Diensten wie „Have I Been Pwned“ nicht als Beweis ausreichen.
Was bedeutet dieses Urteil für zukünftige Datenschutzklagen und welche Anforderungen müssen erfüllt sein, um Schadensersatz nach DSGVO zu erhalten?
Hintergrund des Falls: Klage nach mutmaßlichem Datenleck
Die klagende Partei machte Ansprüche auf Schadensersatz wegen einer mutmaßlichen Datenpanne bei Twitter geltend.
- Sie argumentierte, dass ihre personenbezogenen Daten durch einen API-Bug offengelegt worden seien.
- Die Betroffenheit ihres Accounts wurde durch eine Abfrage auf „Have I Been Pwned“ vermutet.
- Sie forderte 1.500 Euro Schadensersatz sowie eine Unterlassung der unzureichenden Sicherheitsmaßnahmen seitens Twitter.
Das Landgericht Lübeck hatte die Klage in erster Instanz abgewiesen, woraufhin die Klägerseite Berufung einlegte.
Gerichtliche Entscheidung: Kein Schadensersatz ohne konkreten Nachweis
Das Schleswig-Holsteinische OLG folgte der erstinstanzlichen Entscheidung und wies die Berufung zurück. Die Begründung:
- Keine nachgewiesene Betroffenheit:
- Die Klägerin konnte nicht beweisen, dass ihr Twitter-Account tatsächlich durch den API-Bug betroffen war.
- Die Nutzung von „Have I Been Pwned“ als Nachweis wurde abgelehnt, da die Quelle nicht verifiziert werden konnte.
- Erhöhtes Spam-Aufkommen kein ausreichender Beweis:
- Ein Anstieg an Spam-E-Mails allein belegt nicht, dass ein spezifisches Datenleck dafür verantwortlich ist.
- Es könnte auch aus anderen Quellen stammen.
- Kein Anspruch auf Unterlassung oder weitere Datenauskünfte:
- Da keine Betroffenheit nachgewiesen wurde, bestand auch kein Anspruch auf zukünftige Unterlassung oder zusätzliche Sicherheitsmaßnahmen.
- Eine erteilte Negativauskunft durch Twitter wurde als ausreichend gewertet.
Auswirkungen des Urteils auf Datenschutzklagen
Das Urteil hat weitreichende Folgen für Betroffene, die nach einer möglichen Datenpanne Schadensersatz geltend machen wollen.
- DSGVO-Ansprüche brauchen klare Beweise:
- Kläger müssen konkret nachweisen, dass ihre Daten tatsächlich betroffen sind.
- Eine unspezifische Sorge um Datenschutzverletzungen reicht nicht aus.
- Online-Tools wie „Have I Been Pwned“ sind keine gerichtsfesten Beweise:
- Diese Dienste können Anhaltspunkte liefern, sind aber keine verifizierten gerichtsfesten Belege.
- Erhöhtes Spam-Aufkommen allein ist kein Schadensnachweis:
- Auch wenn Spam-Mails lästig sind, müssen Kläger nachweisen, dass sie direkt mit einem bestimmten Datenleck in Verbindung stehen.
- Unternehmen können sich auf Negativauskünfte berufen:
- Wenn eine interne Untersuchung ergibt, dass ein Nutzer nicht betroffen ist, kann das Unternehmen diese Auskunft als ausreichend erklären.
Fazit: DSGVO-Klagen erfordern detaillierte Beweise
Das Urteil des OLG Schleswig zeigt, dass pauschale Schadensersatzforderungen nach DSGVO nicht ausreichen, wenn die Betroffenheit nicht zweifelsfrei belegt werden kann.
Unternehmen sollten sicherstellen, dass ihre internen Prüfverfahren transparent sind, um Negativauskünfte gerichtsfest dokumentieren zu können. Gleichzeitig sollten Betroffene sich bewusst sein, dass allgemeine Datenschutzängste oder Spam-Zunahmen keine ausreichenden Schadensnachweise sind.
Falls Unsicherheiten darüber bestehen, wie Unternehmen DSGVO-Anfragen rechtskonform bearbeiten können oder wie Betroffene ihre Rechte geltend machen können, stehen wir gern beratend zur Seite.