Der BGH hat dem EuGH die Frage vorgelegt, ob ein DSGVO-Schadensersatz auch bei massenhaft provoziertem Datenschutzverstoß (Google Fonts-Abmahnungen) besteht (BGH, Beschl. v. 28.08.2025 - Az.: VI ZR 258/24).
Ein Webseitenbetreiber nutzte Google Fonts so, dass beim Seitenaufruf IP-Adressen von Besuchern automatisch an Google in die USA übermittelt wurden.
Der Beklagte installierte bewusst Software, um solche Seiten systematisch zu finden und absichtlich aufzurufen. Dabei ließ er über 100.000 automatisierte Webseitenbesuche mit eigener IP-Adresse ausführen, um Verstöße gegen die DSGVO zu dokumentieren und Geldforderungen zu stellen.
Der Betreiber der Website zahlte 170,- EUR auf eine Abmahnung hin, forderte diesen Betrag aber später zurück.
Der BGH legt dem EuGH im Rahmen dieses Verfahrens nun vor, ob ein DSGVO-Schadensersatz auch dann besteht, wenn massenhaft ein Datenschutzverstoß proviziert wird.
Die konkreten Vorlagen-Fragen an de EuGH lauten:
"a) Ist Art. 4 Nr. 1 DSGVO dahingehend auszulegen, dass im Falle der automatisierten Übermittlung einer dynamischen Internetprotokoll-Adresse (IP- Adresse) diese bereits dann ein personenbezogenes Datum darstellt, wenn ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?
Oder ist Voraussetzung für die Annahme eines personenbezogenen Datums, dass der für die Übermittlung Verantwortliche oder der Empfänger über Mittel verfügen, die vernünftigerweise eingesetzt werden können, die betreffende Person - gegebenenfalls mit Hilfe eines Dritten - bestimmen zu lassen?
Falls letzteres zutrifft: Genügt es insoweit, dass unter bestimmten Voraussetzun- gen rechtliche Möglichkeiten zur Identifizierung der betroffenen Person bestehen können oder müssen diese Voraussetzungen in tatsächlicher und rechtlicher
Sicht im konkreten Fall vorgelegen haben?b) Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass ein immaterieller Schaden auch dann vorliegen kann, wenn die betroffene Person einen Ver- stoß des Verantwortlichen gegen die Datenschutz-Grundverordnung bewusst und allein zu dem Zweck herbeiführt, den Verstoß dokumentieren und gegen- über dem Verantwortlichen geltend machen zu können?
Falls ja: Kann das Vorliegen eines immateriellen Schadens auch dann bejaht werden, wenn gleichartige Verstöße in großer Zahl in automatisierter Weise pro- voziert werden?
c) Falls beide unter Ziffer 2 aufgeworfenen Fragen bejaht werden: Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass in einem Fall der in Frage 2 beschriebenen Art ein Anspruch auf Ersatz immateriellen Schadens wegen missbräuchlichen Verhaltens der betroffenen Person verneint werden kann, weil trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde und die Absicht bestand, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden? Kommt es insoweit darauf an, ob die Erlangung eines finanziellen Vorteils die alleinige Motivation für die Provokation des Verstoßes gegen die Verordnung war?"