Beitrag teilen

Link in die Zwischenablage kopieren

Link kopieren
Suchfunktion schließen
Recht und Steuern > Urteil der Woche

Urteil des BGH gegen Facebook: Scraping-Opfer können Schadensersatz verlangen

Wer von einem Datenleck bei Facebook betroffen ist, kann wegen des Kontrollverlusts über seine Daten Schadensersatz verlangen. Das Urteil des BGH kann auch Folgen für andere Unternehmen haben, die Opfer von Hackerangriffen werden.

Daten von etwa 533 Millionen Facebook-Nutzern aus 106 Ländern wurden Anfang April 2021 im Internet veröffentlicht. (Foto: shutterstock)

Der Fall

Daten von etwa 533 Millionen Facebook-Nutzern aus 106 Ländern wurden Anfang April 2021 im Internet veröffentlicht. Dabei hatten unbekannte Täter ausgenutzt, dass das Facebook-Profil eines Nutzers, sofern der Nutzer dies nicht aktiv abgestellt hat, mithilfe der Telefonnummer gefunden werden konnte. Durch Eingabe zufälliger Ziffernfolgen über die Funktion „Freunde finden“ ordneten die Unbekannten die Telefonnummern den entsprechenden Nutzerkonten zu und griffen die zugehörigen Daten ab (sogenanntes Scraping).
 
Betroffen von diesem Scraping-Vorfall war auch der Kläger, dessen Nutzer-ID, Vor- und Nachname, Arbeitsstätte und Geschlecht mit seiner Telefonnummer verknüpft waren. Er verklagte Facebook, weil es keine ausreichenden Sicherheitsmaßnahmen ergriffen habe, um eine Ausnutzung des Kontakt-Tools zu verhindern. Wegen des erlittenen Ärgers und des Kontrollverlusts über seine Daten verlangte der Mann Ersatz für den erlittenen immateriellen Schaden.
 
Das Landgericht Bonn gab der Klage zum Teil statt und sprach dem Mann 250 Euro zu. Das Oberlandesgericht (OLG) Köln wies die Klage hingegen insgesamt ab. Der bloße Kontrollverlust über die Daten reiche nicht aus, um einen immateriellen Schaden zu begründen. Auch habe der Kläger nicht hinreichend begründet dargelegt, dass er allein schon über den Kontrollverlust psychisch beeinträchtigt worden sei.
 
Weil das Verfahren nur eines von zahlreichen gegen Facebook angestrengten ähnlichen Verfahren ist, bestimmte der Bundesgerichtshof (BGH) das Verfahren zum sogenannten Leitentscheidungsverfahren. Diese vom Gesetzgeber neu geschaffene neue Möglichkeit nach der Zivilprozessordnung soll die Gerichte dadurch entlasten, dass der BGH in sogenannten Massenverfahren eine Entscheidung trifft, an denen sich die Instanzgerichte orientieren können. Viele verschiedene Einzelverfahren sollen dadurch vermieden und die Gerichte somit entlastet werden.
 

Die Entscheidung

Das erste Leitentscheidungsverfahren beim BGH ging zugunsten des Klägers aus: Facebook muss Schadensersatz leisten, wenn Nutzerdaten unbefugt öffentlich werden.
 
Mit Hinweis auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH) entschied der BGH, dass auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten durch einen Datenschutzvorfall ein immaterieller Schaden sein kann. Dazu müssen weder die Daten des betroffenen Nutzers missbräuchlich verwendet worden sein, noch braucht es sonstige spürbare negative Folgen.
 
Wie die Einstellungen zur Suchbarkeit und die Einwilligung des Klägers in die Verarbeitung seiner Daten konkret zu bewerten sind, muss nun das OLG Köln prüfen, an das der BGH die Sache zurückverwiesen hat. Allzu hoch stufen die Bundesrichter den erlittenen Schaden allerdings nicht ein. Für den bloßen Kontrollverlust gaben sie den Instanzgerichten eine Größenordnung von 100 Euro an die Hand.
 

Das sagt die Expertin

„Die Entscheidung des BGH betrifft direkt erst einmal nur Facebook. Mittelbar kann sie jedoch alle Unternehmen betreffen, bei denen es zu einem Datenschutzvorfall kommt“, sagt Franziska Ladiges, Partnerin bei SKW Schwarz.

Dass der Kontrollverlust über personenbezogene Daten ein Schaden sein kann, habe der EuGH bereits entschieden, bestätigt die Rechtsanwältin. „Die deutschen Zivilgerichte sind aber bislang zurückhaltend damit, Schadensersatzansprüche zu bejahen, wenn sich ein konkreter Schaden nicht unmittelbar nachweisen lässt.“ Dies wohl auch vor dem Hintergrund, dass der EuGH ebenfalls entschieden habe, dass der Datenschutzverstoß allen keinen ersatzfähigen Schaden der betroffenen Person darstellt, sondern dass weitere Umstände hinzutreten müssen.
 
Die Leitentscheidung des BGH könne hier nun einen Dammbruch bedeuten, warnt Rechtsanwältin Ladiges. „Setzt sich durch, dass Nutzer nur darlegen müssen, dass ihre Daten bei einem Hackerangriff dabei waren, und bündeln Verbraucheranwälte – wie es sich schon abzeichnet – diese Ansprüche in Massenklagen, können auf Unternehmen hohe Schadenersatzforderungen zukommen, selbst wenn jedem einzelnen Nutzer nicht mehr als 100 Euro zustehen.“

Es bleibe allerdings die Veröffentlichung der Urteilsgründe abzuwarten, so die Anwältin. „Erst dann wissen wir, wie der BGH den Kontrollverlust definiert hat und welche Anforderungen daran zu stellen sind.“
 
Schützen könnten sich Unternehmen vor allem durch ausreichende IT-Sicherheit und Schulung ihrer Mitarbeiter, um Phishing-Attacken von vornherein abwehren zu können. Aussichtslos sei die Verteidigung gegen eine Massenklage aber auch nicht, betont Franziska Ladiges.

„Gerade bei Massenklagen kommt häufig die Darlegung des angeblichen Schadens zu kurz. Wichtig ist zudem zu wissen, dass die Instanzgerichte sich der Leitentscheidung anschließen können, sie müssen dies aber nicht zwingend tun. Daher kann eine gute und frühzeitige Verteidigungsstrategie durchaus helfen.“
 
Bundesgerichtshof, Urteil vom 18. November 2024 – Az. VI ZR 10/24
 

Ähnliche Artikel