BGH-Richter: Kontrollverlust über Facebook-Daten kann Schadenersatz begründen

Nach einem Datendiebstahl bei Facebook können Betroffene auf Schadenersatz hoffen. Der Bundesgerichtshof (BGH) machte in einer vorläufigen Einschätzung deutlich, dass schon der Verlust der Kontrolle über die eigenen Daten einen Anspruch auf Schadenersatz begründen könnte. Das Urteil will der BGH aber erst später sprechen. Es ist entscheidend für zahlreiche andere Verfahren an deutschen Gerichten (Az. VI ZR 10/24).

Bei der Verhandlung am Montagnachmittag sagte der Vorsitzende Richter Stephan Seiters, dass schon der Verlust der Kontrolle über die eigenen Daten ausreichen könnte, um Ansprüche geltend machen zu können. Zwar müsse ein solcher Verlust nachgewiesen werden, nicht aber zum Beispiel damit verbundene Befürchtungen oder Ängste. Der Senat neige daher dazu, die Sache anders zu bewerten als das Oberlandesgericht Köln, das die Klage abgewiesen hatte. Immerhin seien die Rechte der informellen Selbstbestimmung und des Schutzes personenbezogener Daten verletzt, erläuterte Seiters.

Scraping von Profildaten

Im April 2021 hatten Unbekannte eine Funktion zur Freunde-Suche in dem sozialen Netzwerk ausgenutzt und Profildaten automatisch abgegriffen ("Scraping"). Dabei konnten sie Daten von rund 533 Millionen Nutzern aus 106 Ländern erbeuten, die sie öffentlich im Internet verbreitet haben. Deswegen gegen Facebook eingereichte Schadenersatzklagen von Nutzern waren vor Gericht bisher zum Großteil ohne Erfolg geblieben.

Im Verfahren spielt auch eine Rolle, ob Facebooks Standardvoreinstellung für die Kontakt-Importfunktion gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Kläger hatten kritisiert, dass die Sicherheitsmaßnahmen zu lasch gewesen seien. Wegen des erlittenen Ärgers und des Kontrollverlusts über die Daten wollen sie Ersatz auch für sogenannte immaterielle Schäden.

Facebook-Mutterkonzern Meta lehnt solche Ansprüche ab, weil weder ein Verstoß gegen die Datenschutz-Grundverordnung vorliege, noch den Klägern ein Schaden entstanden sei, der sich unmittelbar aus dem Vorfall ergebe. Facebook-Anwalt Christian Rohnke mahnte in der Verhandlung, die Hürden für einen Schadensersatzanspruch nicht zu sehr abzusenken. Der bloße Kontrollverlust reiche nicht aus, um Schaden geltend zu machen. Immaterieller Schaden könne etwa mit einer Zunahme belästigender Anrufe begründet werden.

Eine Meta-Sprecherin hatte die Klagen vor dem Verfahren als unbegründet bezeichnet: "Mehr als 6000 Klagen wurden inzwischen von den deutschen Gerichten mit der Begründung abgewiesen, dass die Kläger keine berechtigten Ansprüche auf Haftung oder Schadenersatz haben." Das Unternehmen verweist zudem auf technische Maßnahmen, die das sogenannte "Scraping" von Nutzerdaten verhindern sollen.

Leitentscheidung mit Auswirkungen

Der BGH hat den Fall zu einem Leitentscheidungsverfahren bestimmt. Diese Möglichkeit hat das Gericht, seit am 31. Oktober das Leitentscheidungsgesetz in Kraft getreten ist. In Fällen, die grundlegende Rechtsfragen betreffen, soll eine Leitentscheidung des BGH als Richtschnur für niedere Instanzen in ähnlichen Fällen dienen. Der BGH urteilt in einem Leitentscheidungsverfahren auch dann, wenn Prozessparteien ihre Revisionsanträge aus taktischen Gründen zurückziehen.

Laut Bundesrechtsanwaltskammer sind Tausende Klagen zu dem Thema vor den deutschen Land- und Oberlandesgerichten anhängig. Auch dem BGH liegen mehrere Revisionen zur Entscheidung vor. Die Instanzgerichte hätten die Rechtsfragen bislang sehr unterschiedlich beantwortet und die zugrundeliegende Rechtsprechung des Europäischen Gerichtshofs (EuGH) unterschiedlich interpretiert.

Facebook empfiehlt, die Einstellungen im "Privatsphäre-Check" zu prüfen. Im Bereich "So kann man dich finden und kontaktieren" in den Einstellungen könnten User und Userinnen festlegen, wer sie anhand von E-Mail-Adresse und Telefonnummer finden kann. Zudem könnten sie unter anderem bearbeiten, wer grundlegende Infos im Profil sehen kann. Darüber hinaus verweist Facebook auf Maßnahmen, die gegen Scraping helfen sollen. Ein Team unter anderem aus Daten- und Analyse-Fachleuten sowie Entwicklern soll das unerlaubte Auslesen erkennen und blockieren. Datenlimits sollen verhindern, dass jemand mehr Daten bezieht, als zur normalen Nutzung der Produkte nötig.

(vbr)