Facebook-Urteil: So machen sich Unternehmen immun gegen Datenlecks
Bereits der Kontrollverlust über eigene Daten kann zu Schadenersatzansprüchen führen, hat der BGH entschieden. Deswegen müssen Unternehmen ihre IT schützen.
(Bild: iX)
- Dr. Hauke Hansen
- Marek Stiefenhofer
Die Entscheidung des Bundesgerichtshofs (BGH) vom 18. November 2024 zu einer schweren Datenschutzlücke bei Facebook sollte Unternehmen landauf landab zu signifikanten Nachbesserungen an ihrer Datensicherheitsarchitektur veranlassen. Vor einem Laissez-Faire-Führungsstil sei gewarnt, denn genau darauf hat es die Klageindustrie abgesehen. Worauf es jetzt beim Datenschutzmanagement und der IT-Compliance ankommt.
Im Mittelpunkt der Grundsatzentscheidung aus Karlsruhe (Az. VI ZR 10/24) steht ein Vorfall, bei dem personenbezogene Daten von Facebook-Nutzern durch eine Sicherheitslücke offengelegt wurden. Bereits der bloße Kontrollverlust über personenbezogene Daten rechtfertigt einen Schadensersatzanspruch gegen das Unternehmen – und zwar unabhängig von dem Nachweis einer darüber hinausgehenden konkreten Beeinträchtigung, so der BGH. Unternehmen haften in Zukunft nur dann nicht, wenn sie angemessene Maßnahmen zur Gewährleistung der IT-Sicherheit getroffen haben. Hinzu kommt: Durch neue Gesetze wird die Messlatte nochmals höher gelegt.
- Für Unternehmen bedeutet das wegweisende Urteil des BGH gegen Facebook, dass Datenleaks künftig sehr teuer werden können. Schon der bloße Verlust der Kontrolle über die eigenen Daten kann für Nutzer einen Schadensersatzanspruch gegenüber dem Unternehmen auslösen.
- Von Kanzleien, die sich auf die Durchsetzung von Schadensersatzansprüchen spezialisiert haben, sind bei Datenschutzverletzungen Massenverfahren zu erwarten.
- Unternehmen können sich dadurch absichern, dass sie die Daten ihrer Kunden und Nutzer bestmöglich schützen, ihre Mitarbeiter sensibilisieren und alle ergriffenen Maßnahmen sorgfältig dokumentieren.
Bei Cyberangriffen ziehen Täter häufig Daten ab, um sie im Darknet zu veröffentlichen oder zu verkaufen. Neben möglichen Bußgeldern von Datenschutzbehörden entwickeln sich auch orchestrierte Schadensersatzansprüche von betroffenen Kunden zu einer ernst zu nehmenden Bedrohung. Veröffentlichen Hacker Kundendaten oder Daten von Mitarbeitern, dient den Betroffenen Artikel 82 der EU-Datenschutz-Grundverordnung (DSGVO) als Grundlage einer Klage (siehe dazu ein Urteil des EuGH). Hauptvorwurf ist dann regelmäßig, das Unternehmen habe sich nicht ausreichend um die IT-Sicherheit gekümmert. Erstattet werden können nicht nur finanzielle Schäden durch den konkreten Missbrauch der erbeuteten Daten, sondern auch immaterielle Schäden, vergleichbar dem Schmerzensgeld.
Das war die Leseprobe unseres heise-Plus-Artikels "Facebook-Urteil: So machen sich Unternehmen immun gegen Datenlecks". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
