Datendiebstahl bei Facebook: Nutzer können nach BGH-Urteil auf Schadenersatz hoffen
Dreieinhalb Jahre nach einem großen Datenschutzvorfall bei Facebook können zahlreiche Betroffene nun auf Schadenersatz hoffen. Der Bundesgerichtshof (BGH) in Karlsruhe stärkte am Montag in einem Grundsatzurteil ihre Position. Demnach kann schon der kurze Kontrollverlust über eigene Daten ein immaterieller Schaden sein. Weitere negative Folgen müssen nicht nachgewiesen werden. (Az. VI ZR 10/24)
Das Urteil ist maßgeblich für Tausende anderer Fälle, die noch vor deutschen Gerichten liegen und auf die höchstrichterliche Klärung warteten. Denn der BGH erklärte das Verfahren zu einer sogenannten Leitentscheidung und entschied grundsätzlich über die Frage.
Die Stiftung Warentest schätzt nun, dass ein Großteil der etwa sechs Millionen deutschen Opfer des Datendiebstahls Anspruch auf Schadenersatz hat. Dieser könnte allerdings niedriger ausfallen als viele hofften: Der BGH hält etwa 100 Euro für angemessen, wenn kein weiterer Schaden entstanden ist.
Keine Voraussetzung ist es, dass die erbeuteten Daten beispielsweise von Betrügern missbraucht wurden. Opfer des Vorfalls müssen auch nicht nachweisen, dass sie deswegen besonders besorgt sind.
Es ging vor dem BGH um sogenanntes Scraping. 2018 und 2019 griffen Unbekannte bei Facebook Daten von Hunderten von Millionen von Nutzerinnen und Nutzern ab. Damals konnten Nutzer über die Eingabe von Telefonnummern in die Suchfunktion identifiziert werden. Inzwischen ist das nicht mehr möglich. Die Unbekannten generierten millionenfach zufällige Telefonnummern und riefen über automatisierte Anfragen die Daten von Nutzern ab. Im April 2021 wurden die Daten von 533 Millionen Nutzern im Internet verbreitet.
Darunter waren auch Daten des Klägers in dem konkreten Fall, der vom BGH verhandelt wurde. Bekannt wurde so seine Telefonnummer in Verknüpfung mit seiner Nutzer-Identität. Auch sein Name, Geschlecht und Arbeitgeber waren unter den Daten, diese hatte er allerdings zuvor selbst auf Facebook veröffentlicht.
Vom Facebook-Mutterkonzern Meta forderte er Schadenersatz von mindestens 1000 Euro. Nach dem Scraping-Vorfall würde er deutlich häufiger in betrügerischer Absicht per E-Mail, SMS und Telefon kontaktiert. Das mache ihm Sorgen, argumentierte er.
Vor dem Oberlandesgericht Köln hatte er damit keinen Erfolg. Dieses muss nun neu über den Fall entscheiden und dabei die Einschätzung des BGH berücksichtigen. In Karlsruhe konnte der konkrete Fall nicht entschieden werden, da noch Feststellungen fehlten. Das Oberlandesgericht muss anhand der damaligen Nutzungsbedingungen abschließend prüfen, ob wirklich ein Verstoß gegen die Datenschutzgrundverordnung vorlag.
Das ist allerdings sehr wahrscheinlich. Der Vorsitzende Richter Stephan Seiters führte bei der Urteilsverkündung aus, dass die Standard-Voreinstellung zu den Telefonnummern auf Facebook damals nicht dem Grundsatz der Datenminimierung entsprach. Demnach muss die Verarbeitung personenbezogener Daten sich auf das absolut Notwendige beschränken.
Dass der Kläger im konkreten Fall am Ende tatsächlich 1000 Euro bekommt, ist dennoch sehr fraglich. Der BGH wies darauf hin, dass er keine Bedenken habe, für einen bloßen Kontrollverlust ohne weitere Folgen nur etwa 100 Euro Ausgleich anzusetzen.
Berücksichtigt werden müsse unter anderem, wie sensibel die veröffentlichten Daten waren und auf welche Art die Kontrolle verlorenging. Wichtig sei außerdem, wie lange der Kontrollverlust dauerte und ob es möglich war, die Kontrolle über die Daten wiederzubekommen, beispielsweise durch eine neue Telefonnummer.
Stiftung Warentest riet betroffenen Nutzern nach dem Urteil, schnell zu handeln, denn ein möglicher Anspruch verjähre zum Ende des Jahres.
Meta gab sich weiter optimistisch. Martin Mekat von der Kanzlei Freshfields erklärte für das Unternehmen, es sei "zuversichtlich, dass die Sach- und Rechtsfragen erneut zugunsten von Meta entschieden werden". Die Systeme von Facebook seien nicht gehackt worden und es habe keinen Datenschutzverstoß gegeben.
C.P.Ajello--IM