Volkswagen Datenleck – Wie hoch sind die Schadenersatzansprüche nach der DSGVO?

Für Betroffene kommen jetzt Schadenersatzansprüche nach Art. 82 Abs. 1 DSGVO in Betracht. Danach hat jeder, dem durch eine gegen die DSGVO verstoßende Verarbeitung ein Schaden entstanden ist, Anspruch auf Ersatz dieses Schadens. Das ist im Kontext des VW-Datenlecks gleich unter zwei Gesichtspunkten relevant:

1. Der Verantwortliche muss nach Art. 5 Abs. 1 lit. f, Art. 32 Abs. 1 DSGVO für eine angemessene Sicherheit der Verarbeitung sorgen. Deswegen liegt voraussichtlich ein solcher DSGVO-Verstoß vor. Dass ein Verwaltungsinterface einer Software ohne Passwort und über das Internet abrufbar ist, ist dabei aus Sicht der IT-Sicherheit ein echter Anfängerfehler, der bei einem Unternehmen mit etwa 6.000 Mitarbeitenden nicht vorkommen dürfte. Zudem sollten Prozesse bestehen, die solche Fehler erkennen.
2. Dass sich die Bewegungsdaten der Fahrzeuge bei Nutzern der VW-App diesen zuordnen lassen, handelt es sich bei den Bewegungsdaten um personenbezogene Daten im Sinne der DSGVO. Damit die Verarbeitung dieser Daten zulässig ist, bedarf es – die Sicherheit der Verarbeitung unterstellt – einer der in Art. 6 Abs. 1 S. 1 DSGVO aufgeführten Rechtsgrundlagen. Ausweislich der Datenschutzerklärung für die Dienste „We Connect, VW Connect“ in Fahrzeugen der „ID. Familie“ stützt Volkswagen sich dabei auf sein berechtigtes Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO, das darin liegen soll, seinen Kunden neu entwickelte und verbesserte Produkte und Dienste anzubieten. Zwar ist grundsätzlich die Produktverbesserung ein berechtigtes Interesse, das eine Datenverarbeitung rechtfertigen kann.
   Allerdings muss die Datenverarbeitung auch erforderlich sein. Das ist angesichts des Umfangs der Daten schon ernstlich zweifelhaft – VW wertet nach der eigenen Datenschutzerklärung immerhin Lade-, Fahr- und Parkdaten, Lade- und Timer-Einstellungen, Fahrzeugausstattung wie die Batteriegröße, IT-Nutzungsdaten wie User ID und Nutzung von „VW Connect“-Diensten, gekürzte GPS-Daten und Daten zum Fahrzeug-Gesundheitszustand wie Service-Intervalle, aufgetretene Warnungen, aktivierte Warnleuchten aus.
   Zuletzt dürften aber auch die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dem berechtigten Interesse des Verantwortlichen gegenüber nicht überwiegen. Dabei kommt es insbesondere auf den Umfang der Verarbeitung sowie die vernünftigen Erwartungen der betroffenen Person an (in diese Richtung EuGH, Urt. v. 04.07.2023, Meta Platforms u. a. (Allgemeine Nutzungsbedingungen eines sozialen Netzwerks), C‑252/21, Rn. 123). Dass angesichts des großen Umfangs der gesammelten Daten die berechtigten Interessen von VW überwiegen, wird man schon generell bezweifeln dürfen. Soweit VW jedoch ungekürzte GPS-Daten verarbeitet hat – übrigens auch in Abweichung von der eigenen Datenschutzerklärung, die versichert, es würden nur gekürzte GPS-Daten verarbeitet – mit denen sich detaillierte Bewegungsprofile erstellen lassen, wird man davon sehr eindeutig nicht mehr ausgehen können.

Neben einer Verletzung von Vorschriften der DSGVO müsste auch ein Schaden vorliegen. Hier hat der EuGH inzwischen bereits in einer ganzen Reihe von Entscheidungen (Urt. v. 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, Rn. 82; Urt. v. 14.12.2023, Gemeinde Ummendorf, C‑456/22, Rn. 22; Urt. v. 25.01.2024, MediaMarktSaturn, C‑687/21, Rn. 66) entschieden, dass auch der bloße Kontrollverlust über personenbezogene Daten bereits zu einem solchen Schaden führen kann. Dieser kann im konkreten Fall in dem Unwohlsein ob der Tatsache liegen, dass Unbekannte anhand der Bewegungsdaten möglicherweise die eigenen Tagesabläufe kennen. Neben einem damit einhergehenden Gefühl des Gläsernseins mag hinzukommen, dass man nun Sorge darum haben muss, dass Dritte mit dieser Informationen gezielte Beobachtung, Stalking o. Ä. gegen die eigene Person betreiben. Zumal die Informationen, wenn sich der Tagesablauf nicht regelmäßig ändert, im Einzelfall auch noch über viele Jahre hinweg relevant sein können.

Wie hoch der Schadenersatzanspruch aufgrund des Kontrollverlusts der Höhe nach ist, muss jeweils im Einzelfall durch das Gericht nach § 287 ZPO geschätzt werden (BGH, Urt. v. 18.11.2024, Az. VI ZR 10/24, Rn. 98). Bei dieser Schätzung sind die Sensibilität der betroffenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen (BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 99).

Einen Orientierungspunkt kann hier die jüngste Entscheidung des Bundesgerichtshofs aus November 2024 zum Facebook-Datenleck geben: Dort konnten Nutzer-ID, Vor- und Nachname, Land, Geschlecht und Telefonnummer der Betroffenen abgerufen werden, was nach einer Pressemitteilung Facebooks auch tatsächlich passiert ist. In diesem Fall hatte der BGH grundsätzlich keine Bedenken, den Schaden in einer Größenordnung von 100 € anzusetzen (BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 100).

Trotz der Klarstellung des BGH enden nach wie vor viele Gerichtsverfahren Betroffener gegen Meta (dem Konzern hinter Facebook) mit einer Abweisung der Klage. Häufig deswegen, weil nicht genügend dargelegt sei, dass tatsächlich ein Kontrollverlust eingetreten sei. Denn weil Nutzer-ID, Vor- und Nachname, sowie Geschlecht ohnehin auf der Plattform öffentlich sind, könne es bezüglich des Kontrollverlusts nur um die Telefonnummer gehen. In Bezug auf diese hat dann etwa das OLG Hamm angenommen, dass man bei üblicher Nutzung von Telefonnummern die Kontrolle über diese bereits aufgegeben hat. Denn man könne unter anderem nicht kontrollieren, ob Dritte diese ungefragt weitergäben (OLG Hamm, Urt. v. 05.11.2024, 7 U 52/24, Rn. 60). Nicht überzeugt davon ist hingegen das OLG Dresden, welches in einem ähnlich gelagerten Fall 100 € Schadenersatz zusprach (OLG Dresden, Urt. v. 10.12.2024, 4 U 808/24, Rn. 36). Prinzipiell wird es wohl umso eher gegen einen Kontrollverlust sprechen, je weiter der Personenkreis ist, dem der Betroffenen die jeweiligen Daten selbst zugänglich gemacht hat.

Der Sachverhalt rund um das VW-Datenleck unterscheidet sich hiervon nun in drei Punkten:

1. Anders als beim Facebook-Datenleck ist nicht sicher, ob tatsächlich ein Datenabfluss stattgefunden hat.
2. Es sind sensiblere Informationen betroffen, denn den Standort des eigenen Autos wird man regelmäßig wohl weniger Menschen mitteilen als die eigene Telefonnummer, zumal dieser deutlich tiefgreifendere Schlüsse über das Leben des Betroffenen zulässt (zum Beispiel durch das regelmäßige Parken bei Ärzten, Kindergärten etc.). Hinzu kommt, dass sich aus den Standortdaten unter Umständen besonders sensible Daten (Art. 9 DSGVO) ableiten lassen.
3. Im Fall des VW-Datenlecks könnte bereits die Tatsache, dass VW überhaupt über die Daten verfügt, einen Verstoß gegen die DSGVO darstellen.

Dabei wird der erste Punkt wohl kaum geeignet sein, einen Kontrollverlust und das damit verbundene Unbehagen effektiv einzudämmen: Denn daraus, dass bisher nicht festgestellt ist, dass ein Datenabfluss stattgefunden hat, ergibt sich nicht, dass auch tatsächlich kein Datenabfluss stattgefunden hat. Letztlich werden Betroffene hier angesichts des „Dieselskandals“ wohl weniger auf Aussagen seitens VW vertrauen müssen. Dass die Daten sensibler waren, lässt es dagegen wahrscheinlicher erscheinen, dass der Schadenersatz zumindest etwas höher liegen wird. Vermutlich keine oder nur geringe Auswirkungen wird dagegen der dritte Punkt haben. Denn erfolgreiche Schadenersatzklagen wegen unbefugter Verarbeitung sind hier bisher nur aus dem arbeitsrechtlichen Kontext, wegen unrechtmäßiger Videoüberwachung oder fehlerhaften Einträgen in Auskunfteien bekannt.

Dementsprechend ist es zwar nicht unwahrscheinlich, dass Schadenersatzansprüche bestehen, diese werden allerdings schätzungsweise 250 Euro nicht übersteigen.

Anderes gilt selbstverständlich für den Fall, dass zu dem Kontrollverlust weitere Schäden hinzukommen. Beispielweise, wenn die betreffenden Daten von Dritten zukünftig für Doxing oder Stalking genutzt werden. In so einem Fall dürfte der Schadenersatzanspruch deutlich höher ausfallen.

Wenn Sie herausfinden möchten, ob VW auch Ihre Positionsdaten gespeichert hat, können Sie das herausfinden, indem Sie bei VW eine Auskunft nach Art. 15 DSGVO anfordern. Auf diese Auskunftsanfrage muss VW innerhalb eines Monats antworten (Art. 12 Abs. 3 DSGVO). Ein kostenloses Muster für ein Auskunftsersuchen finden Sie etwas weiter unten im Beitrag.

Sofern Sie von dem Datenleck betroffen sind, können Sie voraussichtlich von VW Schadenersatz in geringem Umfang verlangen. Ferner können Sie verlangen, dass VW anerkennt, dass es auch solche zukünftigen Schäden zu ersetzen hat, die sich noch aus dieser Datenschutzverletzung ergeben. Sofern in Ihrem konkreten Fall keine Besonderheiten vorliegen, die ausnahmsweise für das Vorliegen eines größeren Schadens sprechen, wird die Geltendmachung von Schadenersatzansprüchen wegen des Aufwands auf Ihrer Seite und des Prozessrisikos in den wenigsten Fällen wirtschaftlich sinnvoll sein. Unabhängig davon können Sie sich jedoch aus prinzipiellen Erwägungen dafür entscheiden Schadenersatzansprüche geltend machen zu wollen.

Muster-Auskunftsschreiben

Dieses Schreiben können Sie als Nutzer der Betroffenen VW-Autos direkt per E-Mail an info-datenschutz@volkswagen.de senden. Achten Sie dabei darauf, dass Sie von dem E-Mail-Postfach aus schreiben, mit dem Sie bei der VW-App registriert sind. Nutzen Sie, wenn möglich, die Funktion „Empfangsbestätigung“ und „Lesebestätigung“ anfordern Ihres E-Mail-Anbieters.

Auskunft nach Art. 15 Datenschutz-Grundverordnung

Sehr geehrte Damen und Herren,

ich bitte gemäß Art. 15 DSGVO um Auskunft, ob Sie mich betreffende personenbezogene Daten verarbeiten.

Falls ja, schließe ich folgende Fragen an:

1. Welche mich betreffenden personenbezogenen Daten verarbeiten Sie?
2. Zu welchem Zweck verarbeiten Sie diese Daten?
3. Woher stammen diese mich betreffenden Daten?
4. Haben Sie diese Daten an Dritte übermittelt oder planen Sie, diese an Dritte zu übermitteln? Wenn ja, an wen, wann und zu welchem Zweck?
5. Wie lange werden Sie meine Daten verarbeiten?
6. Aufgrund der aktuellen Berichterstattung über die Speicherung von Positionsdaten von Elektrofahrzeugen durch Ihr Unternehmen bitte ich insbesondere um Mitteilung, ob Sie solche Daten auch in Bezug auf mit meinem Konto verknüpfte Fahrzeuge verarbeitet haben.
7. Falls Frage 6 mit ja beantwortet wurde: Waren diese Positionsdaten von dem in der Berichterstattung beschriebenen ‚Datenleck‘ betroffen?

Hinsichtlich dieser Daten bitte ich gemäß Art. 15 Abs. 1, 3 DSGVO um Übersendung einer unentgeltlichen Kopie.

Ihre schriftliche Stellungnahme erwarte ich unverzüglich, spätestens aber innerhalb eines Monats (Art. 12 Abs. 3 DSGVO) nach Eingang meiner Anfrage.

Mit freundlichen Grüßen

[Name, Unterschrift]

Auch wenn eine große Klagewelle vor den Zivilgerichten wegen der nur geringen Schadenersatzansprüche wohl ausbleiben wird: VW hat aller Voraussicht nach durch die mangelnde Gewährleistung der Datensicherheit gegen Art. 5 Abs. 1 lit. f, Art. 32 Abs. 1 DSGVO verstoßen. Für diesen Verstoß kann die zuständige Aufsichtsbehörde, der Landesbeauftragte für Datenschutz Niedersachsen, ein Bußgeld von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen. Im Fall der VW AG (Jahresumsatz 2023: 322 Mrd. Euro) wären das rund dreizehn Mrd. Euro. Dass dieser Bußgeldrahmen ausgeschöpft wird, ist zwar überaus unwahrscheinlich. Ebenso unwahrscheinlich ist allerdings auch, dass VW angesichts der hohen Zahl von Betroffenen, der sensiblen Daten und der vermutlich besonders fahrlässigen Verursachung der Datenschutzverletzung, ohne ein Bußgeld davonkommen wird.

Bei der Bußgeldbemessung wird die Behörde allerdings auch zu berücksichtigen haben, dass VW mit der Meldung der Datenschutzverletzung gut umgegangen ist, insbesondere nach Kontaktaufnahme durch den Chaos Computer Club die Sicherheitslücke unverzüglich geschlossen hat. VW bietet auch generell einen Kontaktpunkt an, über den Informationen zu Sicherheitslücken eingereicht werden können.

Sollten Sie Unterstützung bei der Geltendmachung von Ihren Rechten aus der DSGVO benötigen, steht Ihnen unsere Kanzlei gerne zur Verfügung. Mit unserer langjährigen Expertise im Datenschutzrecht können wir Sie bestmöglich unterstützen und beraten.

Jenseits des Datenschutzrechts unterstützen wir Sie natürlich auch dann, wenn Sie selbst Unternehmer sind und es besser machen wollen. Gerade bei sensiblen Softwareprodukten können Bedingungen, mit denen sich Unternehmen mit einer sogenannten Responsible Disclosure einverstanden erklären, erheblich die IT-Sicherheit erhöhen. Denn angesichts der in Deutschland schwierigen Rechtslage (§ 202a–202c StGB) werden ansonsten entdeckte Sicherheitslücken von Sicherheitsforschern nicht an Unternehmen gemeldet – sie bleiben also offen und können von böswilligen Akteuren genutzt werden.