Betroffene eines umfangreichen Datendiebstahls bei Facebook vor einigen Jahren müssen nach einem Urteil des BGH nur vergleichsweise niedrige Hürden überwinden, um Schadenersatz zu bekommen. Sie müssen nur nachweisen, dass sie Opfer des Vorfalls waren, wie der sechste Zivilsenat in Karlsruhe entschied. Es sei weder nötig, dass die Daten nachweislich missbraucht wurden. Noch müssten die Betroffenen Belege dafür liefern, dass sie nun in besonderer Weise beeinträchtigt sind - etwa in Angst und Sorge.

Damit hat sich der BGH im ersten Leitentscheidungsverfahren auf die Seite der Verbraucher gestellt (Urteil vom 18.10.2024 – VI ZR 10/24). Die höchstrichterliche Klärung ist entscheidend für Tausende ähnlich gelagerte Fälle an Landes- und Oberlandesgerichten in Deutschland.

Hintergrund ist ein Vorfall aus dem April 2021: Unbekannte hatten damals Daten von rund 533 Millionen Facebook-Nutzerinnen und -Nutzern aus 106 Ländern im Internet veröffentlicht. Diese hatten die Täter abgegriffen, indem sie eine Funktion zur Freunde-Suche in dem sozialen Netzwerk ausnutzten. Nach Einschätzung des Senats dürfte eine vom Facebook-Mutterkonzern Meta vorgenommene Voreinstellung der Suchbarkeitseinstellung auf "alle" nicht dem Grundsatz der Datenminimierung entsprochen haben. "Die Datenverarbeitung muss sich auf das absolut Notwendige beschränken", sagte der Vorsitzende Richter des sechsten Zivilsenats, Stephan Seiters. Ferner müsse es am OLG um die Fragen gehen, ob der Kläger wirksam in die Datenverarbeitung eingewilligt habe und wie mit künftigen Schäden umgegangen wird. Diese könnten ohne weiteres eintreten, sagte Seiters.

BGH: Bloßer Kontrollverlust reicht

Im Anschluss hagelte es Klagen, die bisher an Landes- und Oberlandesgerichten zum Großteil keinen Erfolg hatten – so auch in dem Fall, der jetzt zur Leitentscheidung wurde. Der von dem sogenannten Web-Scraping betroffene Mann hatte geltend gemacht, Meta habe keine ausreichenden Sicherheitsmaßnahmen ergriffen, um eine Ausnutzung des Kontakt-Tools zu verhindern. Ihm stehe wegen des erlittenen Ärgers und des Kontrollverlusts über seine Daten Ersatz für immaterielle Schäden zu. Der Betroffene wollte zudem festgestellt wissen, dass Meta ihm auch alle künftigen materiellen und immateriellen Schäden aus dem Datenschutz-Vorfall zu ersetzen habe.

250 Euro Schadensersatz aus Art. 82 Abs. 1 DS-GVO sprach ihm das LG Bonn in erster Instanz zu, wies die Klage ansonsten aber ab. In der Berufungsinstanz kam der Facebook-Nutzer noch schlechter weg: Das OLG Köln versagte der Klage insgesamt den Erfolg. Dabei ging es davon aus, dass der bloße Kontrollverlust keinen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DS-GVO begründe. Der Mann habe zudem nicht hinreichend substantiiert dargelegt, über den Kontrollverlust als solchen hinaus psychisch beeinträchtigt worden zu sein.

Der BGH hat nun grundlegend anders entschieden: Auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO könne ein immaterieller Schaden im Sinne der Norm sein. Das ergebe sich aus der für die Auslegung des Art. 82 Abs. 1 DS-GVO maßgeblichen Rechtsprechung des EuGH. Weder müssten die Daten zum Nachteil des Betroffenen missbräuchlich verwendet worden sein noch bedürfe es sonstiger zusätzlicher spürbarer negativer Folgen. Der BGH bejahte auch einen Anspruch auf Feststellung einer Ersatzpflicht für zukünftige Schäden.

Allerdings machte Seiters deutlich, dass der Schadensersatz beim bloßen Kontrollverlust nicht allzu hoch ausfallen könne. Als Beispiel im konkreten Fall nannte er 100 Euro. Konkret muss das OLG Köln den Fall nun in Teilen noch einmal verhandeln und dabei klären, ob tatsächlich ein Datenschutzverstoß vorlag und wie der Schaden zu bemessen ist.

Wichtiges Urteil für Folgen aus DS-GVO-Verletzungen

Der eher niedrige Betrag nehme den von einigen Kanzleien angekündigten Massenklagen ein wenig den Wind aus den Segeln, ordnete Hauke Hansen von der Wirtschaftskanzlei FPS ein. "Die Gerichte sollten bei der Bemessung des Schadensersatzes auch berücksichtigen, inwieweit eine Klage wirklich dem Schadensausgleich des Betroffenen dient oder vorrangig dem Gebühreninteresse der Klägeranwälte."

Rechtsanwalt Christian Solmecke von der Kanzlei WBS.Legal spricht von einer enorm wichtigen Grundlage für alle betroffenen Verbraucher von Datenlecks oder anderweitiger Verletzungen des Schutzes personenbezogener Daten. "Es herrscht - nicht nur für Betroffene des Facebook-Datenlecks, sondern für praktisch alle Betroffenen von DS-GVO-Verletzungen - nun endlich Rechtssicherheit." Jetzt werde es für Millionen Betroffene leichter werden, immateriellen Schadenersatz zu erlangen.

Auch Stiftung Warentest verwies auf ähnliche Fälle etwa bei einem Streaminganbieter und einem Fahrdienst - und veröffentlichte gleich eine Anleitung samt Mustertext, um im Facebook-Fall Schadenersatz geltend zu machen. "Die Zeit ist knapp: Ende des Jahres verjähren die Rechte der meisten Facebook-Opfer."

Meta dagegen gab sich stets überzeugt, die Klagen seien haltlos und unbegründet. Rechtsanwalt Martin Mekat von der Kanzlei Freshfields Bruckhaus Deringer sagte auch nach der Urteilsverkündung: "Wir sind der Meinung, dass die Einschätzung des Bundesgerichtshofs in Bezug auf Haftung und Schadenersatz nicht mit der jüngsten Rechtsprechung des Europäischen Gerichtshofs, dem höchsten Gericht in Europa, vereinbar ist." Mekat verwies wie schon bei der Verhandlung vergangene Woche auf mehr als 6.000 gewonnene Verfahren an deutschen Gerichten. Das entspricht nach früheren Angaben der Kanzlei einer Erfolgsquote von über 85%. "Die Systeme von Facebook wurden bei diesem Vorfall nicht gehackt und es gab keinen Datenschutzverstoß", sagte der Jurist.