BGH verpflichtet Facebook zu Schadensersatz bei Datendiebstahl

Mit einem heute ergangenen Urteil gegen Facebook setzt der Bundesgerichtshof die Hürden für Schadensersatzansprüche nach Art. 82 DSGVO sehr niedrig. Entgegen der Auffassung von Facebook könne "auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden im Sinne der Norm sein".

Der Betroffene müsse nicht nachweisen, dass seine Daten missbräuchlich verwendet worden seien. Auch Belege für Angst und Sorge vor einem Missbrauch sind demnach nicht erforderlich. Im April 2021 hatten Unbekannte eine Funktion zur Freunde-Suche in dem sozialen Netzwerk ausgenutzt und Profildaten automatisch abgegriffen ("Scraping"). Dabei konnten sie Daten von rund 533 Millionen Nutzern aus 106 Ländern erbeuten, die sie öffentlich im Internet verbreitet haben.

Deswegen gegen Facebook eingereichte Schadenersatzklagen von Nutzern waren vor Gericht bisher zum Großteil ohne Erfolg geblieben. In den Verfahren spielt eine Rolle, ob Facebooks Standardvoreinstellung für die Kontakt-Importfunktion gegen die DSGVO verstößt. Kläger hatten kritisiert, dass die Sicherheitsmaßnahmen zu lasch gewesen seien. Wegen des erlittenen Ärgers und des Kontrollverlusts über die Daten wollen sie Ersatz auch für sogenannte immaterielle Schäden.

Facebook-Mutterkonzern Meta lehnt solche Ansprüche ab, weil weder ein Verstoß gegen die DSGVO vorliege, noch den Klägern ein Schaden entstanden sei, der sich unmittelbar aus dem Vorfall ergebe. Eine Meta-Sprecherin hatte betont, dass mehr als 6000 Klagen von den deutschen Gerichten abgewiesen worden seien, weil die Kläger "keine berechtigten Ansprüche auf Haftung oder Schadenersatz haben".

Leitentscheidung

Im konkreten Fall waren Kunden-ID, Vor- und Nachname, Arbeitsstätte und Geschlecht eines Facebook-Nutzers "gescraped" worden. Er machte in seiner Klage am Amtsgericht Bonn geltend, dass Facebook keine ausreichenden Sicherheitsmaßnahmen ergriffen habe, um eine Ausnutzung des Kontakt-Tools zu verhindern. Ihm stehe wegen des erlittenen Ärgers und des Kontrollverlusts über seine Daten Schadensersatz zu. Während seine Klage in erster Instanz teilweise erfolgreich war, scheiterte er in zweiter Instanz am Oberlandesgericht (OLG) Köln.

Der BGH hatte die daraufhin eingereichte Revision zu einem sogenannten "Leitentscheidungsverfahren" bestimmt. Diese Möglichkeit hat das Gericht, seit am 31. Oktober das Leitentscheidungsgesetz in Kraft getreten ist: In Fällen, die grundlegende Rechtsfragen betreffen, soll eine Leitentscheidung des BGH als Richtschnur für niedere Instanzen in ähnlichen Fällen dienen. Der BGH urteilt in einem Leitentscheidungsverfahren selbst dann, wenn Prozessparteien ihre Revisionsanträge aus taktischen Gründen zurückziehen. Die heutige Entscheidung dürfte also großen Einfluss auf tausende offene Verfahren zum selben Sachverhalt haben.

100 Euro für Kontrollverlust

Den konkreten Fall hat der BGH nun zur neuen Verhandlung und Entscheidung an das OLG Köln zurückverwiesen und dem Gericht klare Ansagen mitgegeben: Die Voreinstellung der Suchbarkeitseinstellung auf "alle" von Facebook hat nach Ansicht des BGH nicht nicht dem DSGVO-Grundsatz der Datenminimierung entsprochen. Außerdem habe "das Berufungsgericht ergänzend die Frage einer wirksamen Einwilligung des Klägers in die Datenverarbeitung durch die Beklagte zu prüfen".

Der BGH hat dem OLG Köln und wohl allen anderen deutschen Zivilgerichten zudem deutliche Hinweise zur Bemessung des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO gegeben: "Unter den Umständen des Streitfalles bestehen von Rechts wegen keine Bedenken dagegen, den Ausgleich für den bloßen Kontrollverlust in einer Größenordnung von 100 Euro zu bemessen." Diese Aussage dürfte viele Nutzer enttäuschen, die von Facebook Schadensersatz von 1000 Euro und mehr gefordert haben.

(hob)