Die Fälle
Die Klägerinnen waren Nutzerinnen einer von der Beklagten betriebenen Online-Plattform. Die Nutzung der Plattform ist grundsätzlich kostenfrei, den Nutzern werden jedoch personalisierte Werbeanzeigen angezeigt. Zu diesem Zweck verarbeitet die Beklagte verschiedene Daten, darunter auch Informationen über Aktivitäten der Nutzer außerhalb der eigenen Plattform. Diese sogenannten Offsite-Daten werden über Tools erhoben, die von Betreibern von Drittwebseiten und Apps in deren Angebote integriert werden können. Wenn Nutzer eine solche Drittwebseite oder App besuchen, werden technische Informationen über das Endgerät sowie Informationen über die Aktivitäten des Nutzers erfasst und an die Beklagte übermittelt. Zu den dabei verarbeiteten personenbezogenen Daten können insbesondere Kontaktinformationen wie Name, E-Mail-Adresse oder Telefonnummer gehören, aber auch technische Daten wie IP-Adresse oder Browserinformationen. Darüber hinaus können sogenannte „Event-Daten“ verarbeitet werden, etwa Informationen über Besuche von Webseiten, Installationen von Apps oder Interaktionen auf Webseiten und in Apps.
Die Klägerinnen machten geltend, dass diese Datenverarbeitung gegen datenschutzrechtliche Vorschriften verstoße. Sie verlangten daher Auskunft über die Verarbeitung ihrer personenbezogenen Daten sowie deren Löschung. Außerdem verlangten sie immateriellen Schadensersatz nach Art. 82 DS-GVO. Das Landgericht Augsburg hatte der jeweiligen Klage teilweise stattgegeben und den Klägerinnen unter anderem einen Schadenersatz in Höhe von 250 bis 750 Euro zugesprochen. Gegen das erstinstanzliche Urteil legten sowohl die Klägerinnen als auch die Beklagte Berufung ein.
Die Entscheidungen
Das OLG München bestätigte in den Berufungsverfahren, dass den Klägerinnen ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO zusteht, und sprach ihnen eine Entschädigung in Höhe von 250 bis 750 Euro zu. Nach Auffassung des OLG verarbeite die Beklagte mithilfe der eingesetzten Tools eine potenziell sehr große Menge personenbezogener Daten, indem sie Aktivitäten von Nutzern auf Drittwebseiten und in Apps erfasse und auswerte. Diese Datenverarbeitung verstößt nach Ansicht des OLG gegen den in Art. 5 Abs. 1 DS-GVO verankerten Grundsatz der Datenminimierung, da personenbezogene Daten allgemein und unterschiedslos erhoben und verarbeitet werden. Außerdem stellte das OLG fest, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 DS-GVO darstellen könne. In den vorliegenden Fällen werde der Kontrollverlust dadurch begründet, dass eine erhebliche Menge personenbezogener Daten, die der jeweiligen Klägerin zugeordnet seien, sich auf Servern der Beklagten in der ganzen Welt befänden und Dritten wie Werbepartnern, Forschern etc. überlassen würden.
Neben dem Schadenersatzanspruch bejahte das Gericht auch einen Anspruch der Klägerinnen auf Auskunft nach Art. 15 DS-GVO sowie einen Anspruch auf Löschung personenbezogener Daten nach Art. 17 DS-GVO.
Praxis-Hinweis
Die Entscheidungen des OLG München zeigen, dass die Verarbeitung personenbezogener Daten über Tools auf Drittwebseiten und in Apps datenschutzrechtlich sorgfältig ausgestaltet sein muss. Werden dabei umfangreiche personenbezogene Daten erhoben und verarbeitet, kann ein Verstoß gegen den Grundsatz der Datenminimierung vorliegen. In solchen Fällen kommen neben Auskunfts- und Löschungsansprüchen auch Schadenersatzansprüche nach Art. 82 DS-GVO in Betracht.
