Das Oberlandesgericht (OLG) Dresden hat sich zu der Frage geäußert, ob ein Anspruch auf Schadensersatz nach Art. 82 DSGVO auch dann besteht, wenn die betroffene E-Mail-Adresse bereits Teil eines früheren Datenlecks war.
Worum ging es?
Die Klägerin forderte Schadensersatz aufgrund eines Datenlecks im Juni 2020, bei dem ihre E-Mail-Adresse offengelegt wurde. Sie argumentierte, dass ihr ein immaterieller Schaden in Form eines Kontrollverlustes und der Sorge vor Datenmissbrauch entstanden sei. Die Klägerin berief sich dabei auf Art. 82 DSGVO, der Betroffenen das Recht auf Schadensersatz bei Verstößen gegen datenschutzrechtliche Vorschriften gewährt.
Wie entschied das Gericht?
Das OLG Dresden (Beschl. v. 08.01.2025 – Az.: 4 U 812/24) wies die Klage ab und begründete dies damit, dass die E-Mail-Adresse der Klägerin bereits mehrfach zwischen 2008 und 2019 durch andere Datenschutzverstöße offengelegt worden war. Die Klägerin hatte selbst Beweise vorgelegt, darunter einen Ausdruck der Website haveibeenpwnd.com, der zeigte, dass ihre E-Mail-Adresse bereits von sieben früheren Datenlecks betroffen war, darunter MySpace (2008), Last.fm (2012), MangaTraders (2014), Nihonomaru (2015), Stracks (2017) und LiveJournal (2019).
Das Gericht argumentierte, dass die Klägerin die Kontrolle über ihre E-Mail-Adresse bereits durch diese früheren Vorfälle verloren hatte. Der Datenschutzverstoß im Juni 2020 habe keinen neuen Kontrollverlust bzw. keine neue Sorge vor Missbrauch verursacht. Das Gericht betonte, dass die Befürchtung der Klägerin, ihre Daten könnten missbräuchlich verwendet werden, nicht konkret auf den Vorfall im Jahr 2020 zurückzuführen sei, da die E-Mail-Adresse bereits Jahre zuvor öffentlich zugänglich war.
Konsequenzen für die Praxis
Betroffene, deren Daten bereits durch frühere Datenlecks öffentlich geworden sind, haben keinen Anspruch auf Schadensersatz für einen erneuten Datenvorfall, der dieselben Daten betrifft. Für einen erfolgreichen Schadensersatzanspruch muss ein klarer Zusammenhang zwischen dem Datenschutzverstoß und dem geltend gemachten Schaden bestehen. Wenn der Schaden (z.B. Kontrollverlust oder Sorge vor Missbrauch) bereits durch frühere Vorfälle eingetreten ist, kann ein neuer Vorfall nicht als Ursache geltend gemacht werden.
Betroffene sollten sich bewusst sein, dass bereits offengelegte Daten ihre Ansprüche auf Schadensersatz bei zukünftigen Verstößen einschränken können. Es ist wichtig, frühzeitig Maßnahmen zu ergreifen, um die Kontrolle über persönliche Daten zu behalten, z.B. durch regelmäßige Passwortänderungen und die Nutzung von Zwei-Faktor-Authentifizierung.
Zusammenfassung
Das OLG Dresden hat entschieden, dass kein DSGVO-Schadensersatzanspruch besteht, wenn die betroffene E-Mail-Adresse bereits Teil eines früheren Datenlecks war. Die Entscheidung verdeutlicht, dass der erste Kontrollverlust über die Daten entscheidend ist und dass ein klarer Kausalzusammenhang zwischen dem Datenschutzverstoß und dem geltend gemachten Schaden nachgewiesen werden muss.
