BGH steht beim Facebook-Datenleck auf Seiten der Verbraucher / Kläger haben Ansprüche auf Schadensersatz gegen Facebook-Mutterkonzern Meta / BGH wertet Kontrollverlust über Daten als Schaden im Sinne der DSGVO

Der Bundesgerichtshof (BGH) hat sich im Facebook-Datenleck auf die Seite der Verbraucher gestellt und gegen den Facebook-Mutterkonzern Meta entschieden: Der reine Kontrollverlust über die eigenen persönlichen Daten wertet der BGH als Schaden im Sinne der Datenschutz-Grundverordnung (DSGVO). „Der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung kann ein immaterieller Schaden im Sinne der Norm sein“, so der BGH in seiner Pressemitteilung vom 18. November 2024. Es muss keine konkrete missbräuchliche Verwendung der Daten erfolgt sein (Az.: VI ZR 10/24). Damit ist mit der Entscheidung vom 18. November 2024 klar: Noch nie war es für Verbraucher so einfach im Fall des Facebook-Datenlecks, Ansprüche auf Schadensersatz durchzusetzen. Ein fulminanter Sieg, bewertet die Kanzlei Dr. Stoll & Sauer die Grundsatzentscheidung. Der BGH hat für untere Gerichte eine klare Leitlinie geschaffen und das europäische Datenschutzrecht gestärkt. Der Facebook-Richterspruch könnte auch Auswirkungen auf andere Datenleck-Fälle haben und Klagen auf Schadensersatz erleichtern.

Dr. Stoll & Sauer empfiehlt Verbrauchern, die vom Facebook-Datenleck betroffen sind, eine kostenlose Erstberatung im Datenleck-Online-Check. Hier prüft die Kanzlei die mögliche Betroffenheit und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen. Die Kanzlei hat mehrfach vor Landgerichten Schadensersatzansprüche aufgrund des Facebook-Datenlecks durchgesetzt – zuletzt 3000 Euro am Landgericht München (Az.: 47 O 461/24). Mehr Informationen zum Thema Datenleck gibt es auf unserer Website.

Facebook-Datenleck: Auch für künftige Schäden haftet Meta

Welche Rechtsfragen hat der BGH zum Facebook-Datenleck abschließend geklärt? Die Kanzlei Dr. Stoll & Sauer fasst die wichtigsten Punkte des Verfahrens zusammen.

• Der Bundesgerichtshof (BGH) betont in seiner Entscheidung im Verfahren (Az. VI ZR 10/24), dass der faktische Kontrollverlust über personenbezogene Daten ausreicht, um einen immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO zu begründen.
• Nach der maßgeblichen Rechtsprechung des BGH zur Auslegung von Art. 82 Abs. 1 DSGVO kann bereits der bloße, kurzzeitige Verlust der Kontrolle über personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung einen immateriellen Schaden im Sinne dieser Vorschrift darstellen. Weder ist hierfür eine konkrete missbräuchliche Nutzung der Daten zu Lasten der betroffenen Person erforderlich, noch bedarf es weiterer spürbarer negativer Auswirkungen.
• Zwar hat der Europäische Gerichtshof (EuGH) ähnlich entschieden, doch einige deutsche Gerichte verlangten bisher, dass Betroffene ihre Ängste vor Datenmissbrauch objektiv nachweisen – was natürlich aufwändiger und im Einzelfall schwieriger sein kann.
• Ferner hat der BGH festgestellt, dass die Haftung nicht nur für bereits entstandene Schäden gelte, sondern auch für potenzielle zukünftige Schäden, wie den Missbrauch von Daten aus dem Darknet für kriminelle Aktivitäten.
• Der BGH erkennt auch Unterlassungsansprüche an, was Betroffenen zusätzliche rechtliche Handlungsoptionen bietet. Die Telefonnummer darf nicht weiterverwendet werden, insofern keine Einwilligung vorliegt.
• Die Vorinstanz, das Oberlandesgericht (OLG) Köln, hatte den Schadenersatzanspruch verneint. Dieses Urteil hob der BGH auf und verwies den Fall zurück. Das OLG Köln muss nun den Sachverhalt aufklären, was es bisher wegen der pauschalen Ablehnung von Ansprüchen nicht gemacht hatte.
• Der BGH gab auch den Hinweis, dass die von Facebook vorgenommene Voreinstellung der Suchbarkeitseinstellung auf "alle" nicht dem Grundsatz der Datenminimierung entsprochen haben dürfte.
• Ein bloßer Kontrollverlust über personenbezogene Daten kann aus Sicht des Gerichts mit einem immateriellen Schadensersatz in Höhe von etwa 100 Euro ausgeglichen werden.

Fazit der Kanzlei Dr. Stoll & Sauer zu Facebook am BGH

• Die Entscheidung des BGH erhöht die Chancen für Betroffene erheblich, Schadensersatzansprüche geltend zu machen. Die klare Positionierung des BGH bestätigt, dass die grundlegenden Voraussetzungen für solche Ansprüche im Falle von Facebook gegeben sind.
• Diese Rechtssicherheit bietet eine solide Grundlage für alle von Datenlecks betroffenen Personen. Zukünftig müssen sie keine unverhältnismäßig hohen Hürden überwinden, um immateriellen Schadensersatz zu begründen. Dies erhöht den Druck auf Unternehmen, den Datenschutz ernster zu nehmen und könnte als Präzedenzfall für zukünftige Entscheidungen in anderen europäischen Ländern dienen.
• Wenn aber zusätzliche Schäden tatsächlich entstanden sind, so sind diese darüber hinaus auszugleichen. Das gibt Betroffenen die Handhabe, ihren eingetreten Schaden auch tatsächlich ersetzt zu verlangen.
• Dr. Stoll & Sauer empfiehlt Verbrauchern, die vom Facebook-Datenleck betroffen sind, eine kostenlose Erstberatung im Datenleck-Online-Check. Hier prüft die Kanzlei die mögliche Betroffenheit und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen. Mehr Informationen zum Thema Datenleck gibt es auf unserer Website.

Scraping? Das Wichtigste zum Facebook-Datenleck

Seit April 2021 ist das Datenleck bei Facebook bekannt. Es gehört zu den größten Datenlecks, die jemals bekannt wurden. Die Verbraucherkanzlei Dr. Soll & Sauer fasst die wichtigsten Erkenntnisse zum Facebook-Datenleck zusammen:

• Wie kam es zum Datenleck bei Facebook? Bei einem Sicherheitsvorfall im April 2021 wurden Facebook-Funktionen zur Freundschaftssuche von unbekannten Akteuren ausgenutzt, um Zugang zu Daten von 533 Millionen Facebook-Accounts zu erlangen, davon sechs Millionen aus Deutschland. Durch gezielte Manipulation dieser Funktion erlangten die Angreifer Zugriff auf Informationen wie Nutzer-IDs, vollständige Namen, Geschlecht, Wohnländer und Telefonnummern. Diese Daten wurden dann systematisch kombiniert und gespeichert. Das Datenleck offenbarte, dass Profileinstellungen der Nutzer, die eigentlich dem Schutz der Privatsphäre dienen sollten, unter bestimmten Umständen es ermöglichten, dass sensible Informationen wie Telefonnummern durch Scraping-Methoden zugänglich wurden.
• Scraping bezeichnet den Prozess des automatisierten Sammelns von Daten aus dem Internet. Hierbei verwenden Programme, sogenannte Scraper, die Inhalte von Webseiten extrahieren, um sie zu speichern und analysieren. Dies kann für verschiedene Zwecke genutzt werden, von der Preisüberwachung bis hin zur Datengewinnung für Forschung und Entwicklung. Scraping („Schürfen“) ist jedoch rechtlich umstritten, wenn es ohne Einwilligung der Dateninhaber oder in Verletzung von Nutzungsbedingungen der Webseiten geschieht. Bei Facebook ist es verboten.
• Die juristische Aufarbeitung des Facebook-Datenlecks von 2021 in Deutschland ist in vollem Gange und hat bereits zu einer Vielzahl von Gerichtsentscheidungen geführt. Das Datenleck, bei dem persönliche Daten von Millionen Nutzern durch Scraping-Vorfälle erbeutet wurden, hat zahlreiche Klagen nach sich gezogen, bei denen Betroffene immateriellen Schadenersatz nach Art. 82 DSGVO fordern. Durch die aktuelle Entscheidung des BGH haben Facebook-Kunden beste Chancen auf Schadensersatz.
• Mehrere Landgerichte haben bereits zugunsten der Verbraucher entschieden, dass Facebook für die durch das Datenleck entstandenen immateriellen Schäden haftet. Diese Urteile betonen, dass Facebook eine Pflichtverletzung gegenüber den Verbrauchern begangen hat, indem es die Daten nicht ausreichend schützte. Es wurde teilweise auch festgestellt, dass Facebook auch für zukünftige Schäden haftbar ist, die aus dem unbefugten Zugriff auf das Datenarchiv resultieren können​
• Schadensersatzansprüche für immaterielle Schäden beziehen sich auf den Ausgleich für Schäden, die nicht direkt finanzieller Natur sind. Dazu gehören beispielsweise Schmerzen und Leiden, emotionale Belastungen und andere psychische Auswirkungen. Im Kontext von Datenschutzverletzungen können solche Ansprüche geltend gemacht werden, wenn personenbezogene Daten unrechtmäßig verarbeitet oder verbreitet werden und dadurch bei den Betroffenen immaterielle Schäden wie Angst oder Stress verursacht werden.
• Die einheitliche Rechtsprechung zum Thema Facebook-Datenleck hat jetzt der Bundesgerichtshof für die unteren Instanzen vorgelegt. Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken. Art. 82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.

Dr. Stoll & Sauer empfiehlt Verbrauchern, die vom Facebook-Datenleck betroffen sind, eine kostenlose Erstberatung im Datenleck-Online-Check. Hier prüft die Kanzlei die mögliche Betroffenheit und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen. Die Kanzlei hat mehrfach vor Landgerichten Schadensersatzansprüche aufgrund des Facebook-Datenlecks durchgesetzt – zuletzt 3000 Euro am Landgericht München (Az.: 47 O 461/24). Mehr Informationen zum Thema Datenleck gibt es auf unserer Website.