Der Bundesgerichtshof (BGH) hat im Zusammenhang mit einem weitreichenden Datenschutzvorfall bei Facebook eine Leitentscheidung getroffen: Auch der bloße Kontrollverlust über personenbezogene Daten kann einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen. Welche Folgen das Urteil hat.
Darum geht es beim Facebook-Scraping
Diese Entscheidung des BGH (VI ZR 10/24) betrifft nicht nur Schadensersatzansprüche, sondern auch Feststellungs- und Unterlassungsansprüche, die sich aus einem Datenschutzvorfall ergeben. Der Fall, in dem Anfang April 2021 Daten von rund 533 Millionen Facebook-Nutzern durch sogenanntes „Scraping“ entwendet wurden, ist aufgrund der zunehmenden Verbreitung personenbezogener Daten im digitalen Raum von erheblicher Bedeutung.
Die Beklagte, Betreiberin des sozialen Netzwerks Facebook, ermöglichte es den Nutzern, ihr Profil anhand ihrer Telefonnummer auffindbar zu machen. Diese Freunde-Suchfunktion wurde von unbekannten Dritten über die Kontakt-Import-Funktion missbraucht. Dabei verwendeten die Unbekannten zufällige Rufnummernfolgen, um öffentlich zugängliche Nutzerdaten (wie Name, Geschlecht und Arbeitgeber) den Telefonnummern zuzuordnen. Auf diese Weise verschafften sie sich Zugang zu einer Vielzahl personenbezogener Daten.
Auch die Daten des Klägers, darunter seine User-ID, sein Name, sein Arbeitsplatz und sein Geschlecht, wurden mit seiner Telefonnummer verknüpft und damit einem unkontrollierten Personenkreis zugänglich gemacht.
Der Kläger erhob daraufhin Klage und verlangte immateriellen Schadensersatz wegen Kontrollverlustes und Unannehmlichkeiten. Außerdem machte er Feststellungsansprüche geltend, wonach Facebook für zukünftige materielle und immaterielle Schäden haften soll, sowie Ansprüche auf Unterlassung der Datenverarbeitung und Erstattung vorgerichtlicher Rechtsanwaltskosten.
Daten-Kontrollverlust: Vorinstanzen uneins
Das Landgericht Bonn sprach dem Kläger zunächst einen Schadensersatzanspruch in Höhe von 250 Euro zu, da Facebook seiner Ansicht nach unzureichende Sicherheitsmaßnahmen getroffen hatte. In der Berufung wies das Oberlandesgericht (OLG) Köln die Klage jedoch insgesamt ab. Es argumentierte, dass der bloße Kontrollverlust nicht ausreiche, um einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO zu begründen. Zudem habe der Kläger über den Kontrollverlust hinaus keine psychische Beeinträchtigung erlitten.
Mit Beschluss vom 31. Oktober 2024 hat der BGH das Verfahren zum Hinweisbeschluss bestimmt. In der mündlichen Verhandlung am 11. November 2024 kam der BGH zu einem differenzierten Ergebnis und entschied teilweise zugunsten des Klägers.
Bundesgerichtshof entscheidet gegen Facebook
- Anspruch auf immateriellen Schadensersatz Nach der Entscheidung des BGH hat das OLG Köln die Schadensersatzfrage fehlerhaft beurteilt. Nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) kann bereits der bloße und kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen. Es bedarf weder eines konkreten Missbrauchs der Daten noch weiterer nachweisbarer negativer Folgen. Der Kontrollverlust allein kann damit bereits ausreichen, um einen Schadensersatzanspruch zu begründen.Diese Auslegung ist bemerkenswert, da sie den Schutzanspruch des Betroffenen im Rahmen der DSGVO betont und klarstellt, dass immaterieller Schaden nicht zwingend eine tiefergehende oder langanhaltende Belastung des Betroffenen voraussetzt. Vielmehr wird bereits der Verlust der Datenhoheit als beeinträchtigender Umstand anerkannt, der einen Anspruch auf Ausgleich begründen kann.
- Bemessung des Schadens Der BGH verwies das Verfahren in Bezug auf die Schadenshöhe zurück an das Berufungsgericht, gab jedoch Hinweise zur Schadensbemessung. Es wird klargestellt, dass ein Ausgleich für den Kontrollverlust in einer Größenordnung von etwa 100 Euro angemessen sein könnte. Hierbei wird auf § 287 ZPO verwiesen, nach dem das Gericht den Schadensumfang nach freier Überzeugung bemessen kann, sofern es keine konkreten Anhaltspunkte für eine exakte Bezifferung gibt.
- Feststellung der Ersatzpflicht für künftige Schäden Der Kläger begehrte auch die Feststellung der Ersatzpflicht für künftige Schäden. Das OLG hatte dies verneint, weil es am Feststellungsinteresse fehle. Der BGH widersprach und betonte, dass die Möglichkeit zukünftiger Schäden durch den Datenverlust und die fortbestehende Missbrauchsgefahr durchaus gegeben sei. Das Feststellungsinteresse des Klägers sei daher zu bejahen.
- Unterlassungs- und Auskunftsanspruch Der Kläger begehrte ferner, Facebook zu verurteilen, es zu unterlassen, seine Telefonnummer ohne seine Einwilligung weiter zu verwenden. Der BGH hielt diesen Unterlassungsanspruch für hinreichend bestimmt und bejahte ein Rechtsschutzbedürfnis des Klägers. Die Revision hatte insoweit Erfolg. Hinsichtlich des weitergehenden Unterlassungs- und Auskunftsanspruchs blieb die Revision hingegen erfolglos. Der BGH bestätigte die Auffassung des OLG, dass die Ansprüche des Klägers insoweit unbegründet sind.
Grundsatz der Datensparsamkeit und Einwilligung
Für die Neuverhandlung gibt der BGH dem Berufungsgericht Hinweise zur Prüfung der Voreinstellungen bei Facebook. Er weist darauf hin, dass die Voreinstellung, nach der die Telefonnummer standardmäßig öffentlich sichtbar ist, möglicherweise nicht dem Grundsatz der Datensparsamkeit entspricht. Zudem wird das Berufungsgericht zu prüfen haben, ob der Kläger wirksam in die Verarbeitung seiner Daten eingewilligt hat.
Diese Hinweise verdeutlichen die Anforderungen, die der BGH an soziale Netzwerke hinsichtlich der Gestaltung von Voreinstellungen stellt. Die DSGVO verlangt in Art. 25 „Datenschutz durch Voreinstellungen“, dass nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden. Anbieter wie Facebook sind daher verpflichtet, die Voreinstellungen ihrer Plattformen datenschutzfreundlich zu gestalten und eine informierte Einwilligung der Nutzerinnen und Nutzer sicherzustellen.
Lese-Tipp: EuGH legt „berechtigtes Interesse“ nach Art. 6 Abs. 1 lit. f DSGVO aus
Diese Folgen hat das BGH-Urteil zum Facebook-Scraping
Die Entscheidung des BGH stärkt die immateriellen Schadensersatzansprüche der Betroffenen bei Datenschutzverstößen erheblich. Durch die Anerkennung des bloßen Kontrollverlusts als Schaden entfällt die Notwendigkeit des Nachweises konkreter psychischer oder materieller Folgen. Dieser Ansatz steht im Einklang mit der Rechtsprechung des EuGH, die den Schutz der Datenhoheit betont. Es ist zu erwarten, dass dieses Urteil erhebliche Auswirkungen auf die Praxis von Unternehmen haben wird, die große Mengen personenbezogener Daten verarbeiten.
Das Urteil stellt zudem klar, dass auch zukünftige Schäden aus Datenschutzverstößen unter den Schadensersatzanspruch fallen können, was insbesondere vor dem Hintergrund der fortschreitenden Digitalisierung und Vernetzung personenbezogener Daten relevant wird. Unternehmen müssen ihre Datenschutzstrategien anpassen und die Verarbeitung und Speicherung personenbezogener Daten besonders restriktiv handhaben, um Schadensersatzansprüchen in der Zukunft vorzubeugen.
Quelle: Urteil des VI. Zivilsenats vom 18.11.2024 – VI ZR 10/24 –