Der Bundesgerichtshof (BGH) hat am 18. November 2024 (VI ZR 10/24) über Ansprüche von betroffenen Personen im Zusammenhang mit sogenanntem „scraping“ (deutsch: „abschürfen“) entschieden. Nachdem im Rahmen von unterinstanzlichen Urteilen die Schadensersatzansprüche in der Regel verneint wurden, hat der BGH im Wege eines Leitentscheidungsverfahrens hiervon abweichend geurteilt. Die höchstrichterliche Entscheidung hat nun Einfluss auf unzählig ähnlich gelagerte Klagen, die derzeit an Landes- und Oberlandesgerichten in Deutschland anhängig sind. Auch wenn im konkreten Fall lediglich ein Schadensersatz in Höhe von 100 Euro als angemessen angesehen wurde, sollten die Auswirkungen dieser Entscheidung für die Praxis nicht unterschätzt werden.

Zum Sachverhalt

Hintergrund der unzähligen Klagen sind Vorfälle aus den Jahren 2018 und 2019, im Rahmen derer Unbekannte eine beträchtliche Anzahl nicht-veröffentlichter personenbezogener Daten – darunter zum Beispiel Telefonnummern – von rund 533 Millionen Facebook-Nutzenden aus 106 Ländern abgriffen und anschließend verknüpft mit abrufbaren Profilinformationen im April 2021 im sogenannten Darknet weltweit veröffentlichten. Hiervon betroffene Personen machten infolgedessen gegenüber dem Facebook-Betreiber Meta verschiedenste Ansprüche geltend. Meta habe in mehrfacher Hinsicht gegen die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) verstoßen, insbesondere aufgrund einer unzureichenden Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten unter Berücksichtigung des aktuellen Stands der Technik und unzureichender Voreinstellungen. Dies habe dazu geführt, dass den Unbekannten das Scraping der personenbezogenen Daten erheblich erleichtert wurde.

Im konkreten Fall hatte zwar zunächst das Landgericht Bonn (LG Bonn, Urt. v. 29.3.2023, Az. 13 O 125/22) dem Kläger 250 Euro Schadensersatz zugesprochen, die Klage im Übrigen jedoch abgewiesen, woraufhin im Rahmen des Berufungsverfahrens das Oberlandesgericht Köln (OLG Köln, Urt. v. 7.12.2023, Az. 15 U 67/23) die Klage insgesamt abwies. Nach Ansicht des OLG Köln reiche weder der bloße Kontrollverlust zur Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DS-GVO aus, noch habe der Kläger im Rahmen des Verfahrens substantiiert darlegen können, aufgrund des Kontrollverlustes über seine personenbezogenen Daten psychisch beeinträchtigt worden zu sein. Mit Beschluss vom 31. Oktober 2024 bestimmte der BGH das zugrundeliegende Verfahren zum Leitentscheidungsverfahren gemäß § 552b ZPO (Zivilprozessordnung).

Zur Entscheidung

Nach Ansicht des BGH lässt sich der Anspruch des Klägers auf Ersatz eines immateriellen Schadens mit der Begründung des OLG Köln nicht verneinen. Nach der maßgeblichen Rechtsprechung des Europäischen Gerichtshofes (EuGH) zu Art. 82 Abs. 1 DS-GVO, kann bereits ein kurzzeitiger Verlust der Kontrolle über die eigenen personenbezogenen Daten infolge eines Verstoßes gegen die Anforderungen der DS-GVO einen immateriellen Schadensersatz begründen (vgl. zuletzt EuGH, Urt. v. 4.10.2024, Rs. C-200/23). Es bedarf demnach weder einer konkreten missbräuchlichen Verwendung der personenbezogenen Daten zum Nachteil der betroffenen Person noch sonstiger zusätzlicher spürbar negativer Folgen. Begründete Befürchtungen oder Ängste vor einem Missbrauch der personenbezogenen Daten können ebenfalls Gründe für die Annahme eines immateriellen Schadens sein, sind jedoch keine zwingenden Voraussetzungen dafür.

Auch den Anträgen des Klägers auf Feststellung einer Ersatzpflicht für etwaige zukünftige Schäden, die aus dem ursprünglichen Verstoß resultieren können und Unterlassung der Verwendung der Telefonnummer ohne entsprechende Einwilligung wurden stattgegeben. Für den konkreten Fall könnte somit eine Haftung Metas für Schäden, die aufgrund der Veröffentlichung personenbezogener Daten im Darknet gegebenenfalls erst in Zukunft eintreten, bestehen. Derartige Schäden könnten beispielsweise aus der Übermittlung von Phishing-E-Mails oder weiteren kriminellen Aktivitäten wie Identitätsdiebstahl resultieren.

Der BGH hat nun zur neuen Verhandlung und Entscheidung an das OLG Köln zurückverwiesen. Das Berufungsgericht muss nun also noch einmal im Detail prüfen, inwiefern Datenschutzverstöße vorliegen und hierin tatsächlich ein Schadensersatzanspruch sowie eine mögliche Haftung begründet sein kann. In diesem Zusammenhang erteilte der BGH Hinweise zur Bemessung des immateriellen Schadens und führte aus, dass keine Bedenken dagegen bestünden, die Höhe des Schadensersatzes in einer Größenordnung von 100 Euro zu bemessen. Die hierbei angesetzte Höhe des Schadensersatzes scheint zwar zunächst gering, ausgehend von mehreren zehntausenden oder gar hunderttausenden Betroffenen allein in Deutschland, können jedoch insgesamt Schadensersatzforderungen in mehrstelliger Millionenhöhe auflaufen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Seit einigen Jahren und mit zunehmender Tendenz werden öffentlich zugängliche Grabsteine auf kommunalen oder kirchlichen Friedhöfen fotografiert zwecks Veröffentlichung der Fotografien im Internet. Hintergrund sind häufig Initiativen zur Ahnenforschung / Genealogie. Die Aufschriften der Grabsteine, meist mit Vor- und Nachnamen sowie den Lebensdaten der Verstorbenen, teilweise mit darüberhinausgehenden Informationen zu Geburts- und / oder Sterbeort, Beruf etc., werden so weltweit der Allgemeinheit zugänglich. Des einen Freud‘, des anderen Leid: Die Arbeitserleichterung für Ahnenforscher verärgert und stört teilweise die Hinterbliebenen. Typischerweise liegt weder eine Zustimmung der Nachkommen bzw. Familie der Verstorbenen, noch der Nutzungsberechtigten der Grabstelle, noch der Friedhofsverwaltung bzw. des Rechtsträgers vor. Sind Grabstein-Fotografien datenschutzrechtlich zulässig? Und gibt es vielleicht beim „Blick über den Tellerrand“ außerhalb des Datenschutzrechtes Grenzen für den „Friedhof im Internet“?

Anwendbarkeit des Datenschutzrechts

Das für die Friedhöfe und deren Tätigkeit geltende Datenschutzrecht differiert in Abhängigkeit vom jeweiligen Rechtsträger. So sind kommunale Träger den Vorgaben der Datenschutz-Grundverordnung, teils in Verbindung mit Ausführungsgesetzen des jeweiligen Bundeslandes unterworfen. Kirchliche Stellen können teilweise gemäß Art. 91 DS-GVO eigenes Datenschutzrecht anwenden.

Sämtlichen Rechtsvorgaben zum Datenschutz ist jedoch gemeinsam, dass nur personenbezogene (oder personenbeziehbare) Daten lebender Menschen (natürlicher Personen) betrachtet und geschützt werden. Ausnahmen sind nach Erwägungsgrund 27 Satz 2 der DS-GVO im nationalen Recht möglich. Es gibt sie auch – vor allem im Sozial- und Gesundheitsbereich, z.B. in § 35 Abs. 5 SGB I und § 7 Abs. 1 Satz 3 HmbKHG, aber nicht für das hier behandelte Thema.

Da bei den Grabsteinfotografien personenbezogene Daten Verstorbener betroffen sind, findet sowohl kirchliches, als auch staatliches Datenschutzrecht keine Anwendung. Folglich bestehen aus datenschutzrechtlichen Gründen keinerlei Einschränkungen oder Verbote für die Ahnenforscher. Seltenere Ausnahme: Teils werden Grabsteine schon zu Lebzeiten „auf Vorrat“ gesetzt oder beim Tod des Ehegatten lässt der andere Ehepartner seinen Namen und sein Geburtsdatum bereits aufbringen. Dann gilt Datenschutzrecht und bei solchen Steinen muss die Genealogie warten – oder um Einwilligung bitten. Für eine Fotoaufnahme und die Veröffentlichung im Internet fehlt sonst die Rechtsgrundlage. Vor allem besteht kein überwiegendes berechtigtes Interesse: Wer seine Daten zu Lebzeiten auf einen privaten Grabstein graviert, rechnet nicht mit einer Internetveröffentlichung und wünscht sie üblicher Weise auch nicht.

Was gilt darüber hinaus?

Werfen wir ein Blick über den Tellerrand hinaus:

• Das postmortale Persönlichkeitsrecht wurde in der Rechtsprechung als absolut geschütztes Rechtsgut aus der über den Tod hinausreichenden, gleichzeitig in die eigene Lebzeit vorauswirkenden Menschenwürde abgeleitet. Wahrzunehmen ist es durch nahestehende Angehörige (meist Erben oder Bestattungssorgepflichtige), soweit der Verstorbene nicht zu Lebzeiten spezielle Anordnungen getroffen hat. Durch eine Veröffentlichung der Grabstein-Fotografie wäre das postmortale Persönlichkeitsrecht jedoch nur beeinträchtigt, wenn eine Missachtung / Verunglimpfung des Verstorbenen oder eine vom Verstorbenen offensichtlich nicht gewünschte Einordnung / Zuordnung seiner Person zu befürchten wäre. Dies ist bei der Veröffentlichung für sich genommen und isoliert betrachtet nicht anzunehmen. Nur in besonderem Kontext könnte eine Missachtung und Gefährdung des Persönlichkeitsrechts Verstorbener anzunehmen sein, zum Beispiel: die missverständliche oder fehlerhafte Zuordnung eines Grabstein-Fotos dergestalt, dass sich der Eindruck einer Zugehörigkeit des Verstorbenen zur Waffen-SS ergibt.

• Das in § 12 BGB einfachgesetzlich geregelte und von der Rechtsprechung weiterentwickelte Namensrecht ist ebenfalls nicht betroffen. Es schützt in erster Linie Namensträger davor, dass andere Personen unbefugt den gleichen Namen verwenden oder andere Personen dem Namensträger das Recht zur Namensführung bestreiten. Solche Rechtsverletzungen sind mit der Veröffentlichung von Grabsteinfotos nicht verbunden.

• Das ebenfalls aus dem Persönlichkeitsrecht abgeleitete Recht am eigenen Bild ist einschlägig, wenn der fotografierte Grabstein tatsächlich mindestens ein Bildnis trägt. Gemäß § 22 Satz 3 und 4 Kunsturheberrechtsgesetz wird für die Veröffentlichung und Verbreitung im Internet von Bildnissen nach dem Tod der abgebildeten Person bis zum Ablauf von zehn Jahren die Einwilligung der Angehörigen benötigt. Angehörige in diesem Sinne „sind der überlebende Ehegatte oder Lebenspartner und die Kinder des Abgebildeten und, wenn weder ein Ehegatte oder Lebenspartner noch Kinder vorhanden sind, die Eltern des Abgebildeten“ (§ 22 Satz 4 KunstUrhG).

• Bei urheberrechtlich relevanten Grabsteinen (bildhauerische Gestaltung, die künstlerisches Niveau erreicht) gilt der Grundsatz der sogenannten Panoramafreiheit. Danach dürfen Kunstwerke und urheberrechtlich geschützte Werke dann fotografiert und veröffentlicht werden, wenn sie von den berechtigten Personen dauerhaft in den öffentlichen Raum verbracht wurden. Für den Umfang des öffentlichen Raums ist in diesem Zusammenhang die Straßenperspektive maßgeblich: Alles von öffentlichen Straßen aus Wahrnehmbare darf wahrgenommen, fotografiert und veröffentlicht werden soweit nicht sonstige rechtliche Regeln entgegenstehen.

• Für den mit öffentlich zugänglichen Friedhöfen in gewisser Hinsicht vergleichbaren Schlosspark Potsdam Sanssouci hat der Bundesgerichtshof (Urteile v. 17.12.2010, V ZR 45/10 u. 01.03.2013, V ZR 14/12) entschieden, dass die kommerzielle Verwertung im Grundstück angefertigter Fotografien von Bauwerken und Gartenanlagen auch dann der Entscheidung des Grundstückseigentümers unterliegt, wenn der Eigentümer der Allgemeinheit Zugang in das Grundstück gewährt hat. Diese Rechtsprechung ist in der Fachliteratur umstritten, stellt jedoch den aktuellen Meinungsstand des höchsten deutschen Zivilgerichts dar. Der Bundesgerichtshof hat in den genannten Entscheidungen nicht nur Fotografien mit kommerziellem Hintergrund behandelt (dieser Aspekt wird in der wissenschaftlichen Diskussion meist priorisiert oder sogar ausschließlich diskutiert), sondern ganz allgemein die Befugnis des Grundstückseigentümers betont, den Zugang zum Grundstück unter beliebige (rechtskonforme) Bedingungen zu stellen und auszugestalten (vgl. insbesondere BGH, Urteil v. 01.03.2013, V ZR 14/12 unter II. c] aa] [1] lit. a] der Gründe).
  
  Also besteht für den Grundstückseigentümer des Friedhofs die Befugnis und Möglichkeit, das Fotografieren auf dem Friedhof (nicht jedoch vom öffentlichen Straßenraum aus) gänzlich zu untersagen oder nur mit bestimmten Vorgaben (z.B. für bestimmte Zwecke, ohne Veröffentlichung im Internet) zuzulassen. Sofern Fotografien unter Verstoß gegen diese Vorgaben gefertigt werden, besteht ein Unterlassungsanspruch des Grundstückseigentümers gegen die vorgabenwidrige Verwendung der Fotografien. Solche Verbote muss der Eigentümer entsprechend bekanntmachen (z.B. als Teil der Friedhofsordnung am „Schwarzen Brett“ aushängen). So gilt beispielsweise nach der Friedhofssatzung von Frankfurt am Main seit Jahresbeginn: „Insbesondere ist es verboten […], ohne Erlaubnis Film-, Ton-, Video- oder Fotoaufnahmen, außer zu privaten Zwecken, zu erstellen oder zu verwerten […].“

Fazit

Datenschutzrecht gilt nicht immer, so beispielsweise nicht für verstorbene Menschen. Aber jenseits des Tellerrands ist auch kein rechtsfreier Raum.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS BEDEUTET DAS DATENSCHUTZRECHTLICH?

Fraglich ist, ob die DS-GVO und das Bundesdatenschutzgesetz hier helfen können, die Persönlichkeitsrechte der Pflegenden zu schützen. Diese Verarbeitung personenbezogener Daten im ausschließlich privaten Bereich unterfällt dem sog. Haushaltsprivileg Art. 2 Abs. 2 lit. c DS-GVO und daher nicht in den Anwendungsbereich der DS-GVO. Daraus folgt nun aber nicht, dass diese Art der Überwachung Dritter in einem rechtsfreien Raum ohne Einschränkung zulässig wäre.

Dreh- und Angelpunkt der rechtlichen Beurteilung einer privaten (Video-) Überwachung ist das allgemeine Persönlichkeitsrecht genauer gesagt eine Verletzung desselben. Der Bundesgerichtshof definierte 2010 in seinem Urteil (Az. VI ZR 176/09), was bei der privaten Videoüberwachung laut Datenschutz zu beachten ist und sich auf eine Sprachüberwachung übertragen lässt. Im Urteil heißt es:

„(…) Eine Videoüberwachung greift in das allgemeine Persönlichkeitsrecht der Betroffenen in seiner Ausprägung als Recht der informationellen Selbstbestimmung ein; dieses Recht umfasst die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden, und daher grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu bestimmen.“

Eine Videokamera im privaten Umfeld (Grundstück, Wohnung) ist regelmäßig zulässig. Kommen fremde Personen in den Überwachungsbereich, ist die Aufnahme nur erlaubt, wenn die betroffenen Personen dem ausdrücklich zugestimmt haben. Wenn keine Einwilligung der gefilmten Personen vorliegt, muss immer abgewogen werden, ob das allgemeine Persönlichkeitsrecht von Personen, die sich im überwachten Bereich aufhalten, ausreichend berücksichtigt wird. Aus einem Verstoß gegen diese Prinzipien ergibt sich regelmäßig ein zivilrechtlicher Unterlassungsanspruch. Dieser kann bereits dann bestehen werden, wenn Betroffene eine Videoüberwachung nur ernsthaft befürchten müssen.

Videokameras im privaten Bereich übertragen häufig nur Livebilder oder die Speicherung von Daten findet auf internen SD-Karten statt. Zudem lässt sich das Problem mit der Videokamera in vielen Fällen noch mit einem Standortwechsel oder einem Handtuch über der Kamera lösen. Die Datenverarbeitung bei Sprachassistenten ist meist tiefgehender und undurchschaubarer. Sprachassistenten funktionieren wie Abhörwanzen und bei deren Anbietern gehört das Abhören und weitere Verarbeitung der Daten i. d. R. zum Geschäftsmodell.

BESONDERE PROBLEMATIK BEI SPRACHASSISTENTEN

Die Geräte müssen ständig an sein, um das jeweilige Aktivierungswort hören zu können. Sobald das Gerät den Befehl hört, findet eine Datenübertragung an den Anbieterserver statt. Die Analyse der Sprachbefehle findet in der Infrastruktur und damit im Einflussbereich der Anbieter statt. Diese verfolgen dann auch eigene Zwecke wie die Datenanalyse zur Verbesserung der Spracherkennungs- und Sprachverständnissysteme, der Erstellung von Stimmprofilen bis hin zur Auswertung von Spracheingaben für (werbliche) Empfehlungen. Wenn die Daten auf den Servern des Anbieters gespeichert sind, bleiben sie dort in der Regel auch, bis sie aktiv gelöscht werden. Nicht nur die Hersteller verarbeiten Daten, sondern auch Drittanbieter, die mit den Sprachassistenten verbunden sind. Hier ist das Löschen weitaus komplizierter. Insbesondere können Dritte, in diesen Fall die Pflegenden, ihre Rechte beim Anbieter schwerlich durchsetzen.

FAZIT

Wie oben erwähnt, steht den Pflegenden zwar ein Rückgriff auf die Bestimmungen der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes nicht zur Verfügung, um ihre Betroffenrechte durchzusetzen, da die Verarbeitung personenbezogener Daten im privaten Bereich stattfindet. Es können aber andere Rechtsgrundlagen die personenbezogene Daten schützen, wie das allgemeine Persönlichkeitsrecht, das Recht auf informationelle Selbstbestimmung,  das Recht am eigenen Bild  und die Vertraulichkeit des Wortes.

Bevor es soweit kommt ist es sicherlich angeraten, die Nutzer dieser Systeme, in diesem Fall zu Pflegende und Angehörige, auf die Problematik hinzuweisen und eine Abschaltung während der Pflegezeit zu besprechen oder dies im Pflegevertrag festzuschreiben.

Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.