In den sogenannten Scraping-Verfahren sind bundesweit tausende Klagen gegen den Facebook-Konzern anhängig, auch die Oberlandesgerichte haben unterschiedlich entschieden. Nachdem sich zudem im Oktober zwei Verfahren in letzter Sekunde erledigten und die Revisionen zurückgenommen wurden, hat der unter anderem für das Datenschutzrecht zuständige VI. Zivilsenat jetzt eine Revision gegen ein Urteil des OLG Köln (Urteil vom 07.12. 2023 - 15 U 67/23) zum ersten Leitentscheidungsverfahren gemacht. Das bedeutet, dass es nun eine Grundsatzentscheidung von Deutschlands höchsten Zivilrichterinnen und Richtern geben wird, die Meta nicht mehr verhindern kann.

Vieles deutet darauf hin, dass das Urteil aus Karlsruhe zugunsten der Verbraucherinnen und Verbraucher ausfallen wird, die immateriellen Schadensersatz dafür verlangen, dass ihre Daten, verknüpft mit ihren Mobilfunknummern, im Jahr 2021 im Internet landeten, nachdem Hacker sie bei Facebook abgegriffen hatten. Der VI. Zivilsenat will (Az. VI ZR 10/24) unter anderem klären, ob der bloße Verlust der Kontrolle über die gescrapten Daten einen immateriellen Schaden begründet, wie dieser Schaden zu bemessen wäre und wie eine Schadensersatzklage begründet sein müsste.

Senat sieht wohl DS-GVO-Verstoß bei Facebook

Diese Fragen nach einem möglichen Schaden muss der Senat denklogisch nur dann beantworten, wenn er zuvor die Frage bejaht, ob Facebook einen Verstoß gegen die DS-GVO begangen hat, in diesem Fall, weil die Standardvoreinstellung bei der sogenannten Kontakt-Import-Funktion auf "alle" eingestellt war.

Diese Funktion zur Freunde-Suche hatten Hacker wohl schon im Jahr 2018 ausgenutzt, Daten von rund 533 Millionen Nutzern und Nutzerinnen aus 106 Ländern abgegriffen und im April 2021 öffentlich im Internet verbreitet. Sie hatten sich laut BGH den Umstand zunutze gemacht, dass Facebook es damals in Abhängigkeit von Suchbarkeits-Einstellungen der User ermöglichte, dass die jeweiligen Profile mit Hilfe der eigentlich nicht offen sichtbaren Telefonnummern gefunden werden konnten. Die Diebe arbeiteten mit willkürlich generierten Telefonnummern und landeten so Treffer. Auf diese Weise wurden zum Beispiel Nutzer-ID, Vor- und Nachname, Land und Geschlecht mit der jeweiligen Telefonnummer verknüpft.

Die Kläger und Klägerinnen kritisieren, die Sicherheitsmaßnahmen des sozialen Netzwerks seien zu lasch gewesen; eine Auffassung, der der BGH sich wohl anschließen will. Wegen des erlittenen Ärgers und des Kontrollverlusts über die Daten wollen sie Ersatz auch für immaterielle Schäden. In dem Fall, über den der BGH zu entscheiden hat, hat der Kläger angegeben, seine Telefonnummer nur gezielt weiterzugeben. Nach dem Diebstahl habe der Mann nach eigenen Angaben unter anderem großes Unwohlsein empfunden und ein manifestiertes Misstrauen gegenüber E-Mails und SMS gehabt. Meta, das in den Verfahren von Freshfields Bruckhaus Deringer vertreten wird, sieht schon keinen Verstoß gegen die DS-GVO und bestreitet, dass den Klägern ein Schaden entstanden sei, der sich unmittelbar aus dem Vorfall ergebe.

Auch künftige Schäden wohl ersatzfähig

Wenn der Senat bei seiner vorläufigen Einschätzung bleibt, hat die Facebook-Mutter ihn nicht überzeugt. Der Vorsitzende Richter Stephan Seiters sagte am Montag in der mündlichen Verhandlung, dass schon der Verlust der Kontrolle über die eigenen Daten ausreichen könnte, um Ansprüche geltend machen zu können. Zwar müsse ein solcher Verlust nachgewiesen werden, nicht aber zum Beispiel etwaige besondere Befürchtungen oder Ängste. Der Senat neige daher dazu, die Sache anders zu bewerten als das OLG Köln, das die Klage abgewiesen hatte. Auch der EuGH hat sich schon mehrfach mit Datendiebstählen beschäftigt und bereits die Angst vor einem Miss­brauch die­ser In­for­ma­tio­nen als geeignet angesehen, einen im­ma­te­ri­el­len Scha­den dar­stel­len. Aus einem un­be­fug­ten Zu­griff könne nicht au­to­ma­tisch auf un­zu­rei­chen­den Schutz ge­schlos­sen wer­den, aber die Be­weis­last liege beim Ver­ant­wort­li­chen.

Der BGH erwägt auch mit Blick auf mögliche künftige Schäden nach vorläufiger Einschätzung eine nutzerfreundliche Auslegung. Immerhin seien die Rechte der informellen Selbstbestimmung und des Schutzes personenbezogener Daten verletzt, erläuterte Seiters.

Scraping heißt auf Deutsch so viel wie Schürfen und bedeutet, dass Daten etwa von Internetseiten systematisch gesammelt und gespeichert werden. Ein Beispiel für eine autorisierte und legitime Nutzung ist etwa die Arbeit von Suchmaschinen. Wenn allerdings automatisierte Prozesse genutzt werden, um Daten auf Facebook ohne Zustimmung des Konzerns auszulesen, stellt das einen Verstoß gegen die Nutzungsbedingungen dar. Facebook hatte schon 2021 mitgeteilt, Scraping nie völlig unterbinden zu können. "Da Scraper den normalen menschlichen Umgang mit unseren Produkten imitieren, werden wir nie in der Lage sein, jegliches Scraping vollständig zu unterbinden, ohne gleichzeitig die Möglichkeiten der Menschen zu beeinträchtigen, unsere Apps und Websites wie gewünscht zu nutzen". Ein Team unter anderem aus Daten- und Analyse-Fachleuten sowie Entwicklern soll das unerlaubte Auslesen erkennen und blockieren. Um den Vorgang technisch zu erschweren, arbeiten sie den Angaben nach unter anderem mit Übertragungslimits, die die Häufigkeit von Interaktionen regeln.

Das Urteil des BGH dürfte auch für andere Verstöße gegen die DS-GVO von Bedeutung sein, bei denen Daten verlorengehen. Einen Verkündungstermin will der BGH am Dienstag bekanntgeben. Die Verfahren in den Instanzen können die Gerichte bis dahin aussetzen, wenn die Parteien keine berechtigten Einwände erheben.