Facebook-Urteil: So machen sich Unternehmen immun gegen Datenlecks

Bereits der Kontrollverlust über eigene Daten kann zu Schadenersatzansprüchen führen, hat der BGH entschieden. Deswegen müssen Unternehmen ihre IT schützen.

Artikel verschenken

(Bild: iX)

26.12.2024, 14:00 Uhr

Lesezeit: 9 Min.

iX Magazin

Von

Dr. Hauke Hansen
Marek Stiefenhofer

Facebook-Urteil: So machen sich Unternehmen immun gegen Datenlecks
- Geschäftsmodell massenhafte Datenschutzklagen
Prävention ist die beste Verteidigung
Frühzeitige Angriffserkennung mit Technik und Expertise
Hilfe von außen

Artikel in iX 2/2025 lesen

Die Entscheidung des Bundesgerichtshofs (BGH) vom 18. November 2024 zu einer schweren Datenschutzlücke bei Facebook sollte Unternehmen landauf landab zu signifikanten Nachbesserungen an ihrer Datensicherheitsarchitektur veranlassen. Vor einem Laissez-Faire-Führungsstil sei gewarnt, denn genau darauf hat es die Klageindustrie abgesehen. Worauf es jetzt beim Datenschutzmanagement und der IT-Compliance ankommt.

Im Mittelpunkt der Grundsatzentscheidung aus Karlsruhe (Az. VI ZR 10/24) steht ein Vorfall, bei dem personenbezogene Daten von Facebook-Nutzern durch eine Sicherheitslücke offengelegt wurden. Bereits der bloße Kontrollverlust über personenbezogene Daten rechtfertigt einen Schadensersatzanspruch gegen das Unternehmen – und zwar unabhängig von dem Nachweis einer darüber hinausgehenden konkreten Beeinträchtigung, so der BGH. Unternehmen haften in Zukunft nur dann nicht, wenn sie angemessene Maßnahmen zur Gewährleistung der IT-Sicherheit getroffen haben. Hinzu kommt: Durch neue Gesetze wird die Messlatte nochmals höher gelegt.

Für Unternehmen bedeutet das wegweisende Urteil des BGH gegen Facebook, dass Datenleaks künftig sehr teuer werden können. Schon der bloße Verlust der Kontrolle über die eigenen Daten kann für Nutzer einen Schadensersatzanspruch gegenüber dem Unternehmen auslösen.
Von Kanzleien, die sich auf die Durchsetzung von Schadensersatzansprüchen spezialisiert haben, sind bei Datenschutzverletzungen Massenverfahren zu erwarten.
Unternehmen können sich dadurch absichern, dass sie die Daten ihrer Kunden und Nutzer bestmöglich schützen, ihre Mitarbeiter sensibilisieren und alle ergriffenen Maßnahmen sorgfältig dokumentieren.

Bei Cyberangriffen ziehen Täter häufig Daten ab, um sie im Darknet zu veröffentlichen oder zu verkaufen. Neben möglichen Bußgeldern von Datenschutzbehörden entwickeln sich auch orchestrierte Schadensersatzansprüche von betroffenen Kunden zu einer ernst zu nehmenden Bedrohung. Veröffentlichen Hacker Kundendaten oder Daten von Mitarbeitern, dient den Betroffenen Artikel 82 der EU-Datenschutz-Grundverordnung (DSGVO) als Grundlage einer Klage (siehe dazu ein Urteil des EuGH). Hauptvorwurf ist dann regelmäßig, das Unternehmen habe sich nicht ausreichend um die IT-Sicherheit gekümmert. Erstattet werden können nicht nur finanzielle Schäden durch den konkreten Missbrauch der erbeuteten Daten, sondern auch immaterielle Schäden, vergleichbar dem Schmerzensgeld.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Wie Sie Ihre Smartphone-Sucht in den Griff kriegen

Smartphones machen abhängig. Es gibt aber auch analoge Tricks, Betriebssystem-Einstellungen und Apps, die dabei helfen, die Kontrolle zurückzugewinnen.

Radonbelastung senken: DIY-Lüfter für den Keller im Eigenbau

Messungen mit der Ionenkammer oder das Ballonexperiment haben Radon nachgewiesen? Wir erklären, wie Sie die Menge quantifizieren und aus dem Keller entfernen.

IR-Leseköpfe in Home Assistant: Digitalen Stromzähler einfach auslesen

Wer seinen Stromverbrauch digital überwachen möchte, kann mit einem IR-Lesekopf und Home Assistant bequem alle Daten erfassen – so gehts.

iPad Air M4 im Test: Das kann Apples neues Tablet

Das iPad Air ist für Pro-Leistung ohne Pro-Preise bekannt. Apple hat es mit neueren Chips aufgewertet. Wir klären in diesem Test, was M4 und Wi-Fi 7 bringen.