Am 18. November 2024 wurde die Entscheidung (Aktenzeichen VI ZR 10/24) des Bundesgerichtshofs zu Ansprüchen Betroffener auf Schadensersatz im Zusammenhang mit dem Datenschutzvorfall bei Facebook entschieden. Der BGH billigt Betroffenen einen Schadensersatzanspruch zu.
Der Scraping-Vorfall aus 2021
Ein Hacker hatte Anfang April 2021 die Telefonnummern und Kontodaten von schätzungsweise 533 Millionen Facebook-Nutzern – etwa ein Fünftel des gesamten Nutzerpools des sozialen Netzwerks aus 106 Ländern – in einem öffentlich zugänglichen Cybercrime-Forum veröffentlicht.
Der Hacker konnte die Daten durch randomisierte Zahlenfolgen über die Rufnummernsuche der von Facebook von den Benutzern angeforderten Telefonnummer abfischen. Ich hatte im Blog-Beitrag Hacker publiziert 533 Millionen Telefonnummern von Facebook-Nutzern darüber berichtet. In Deutschland sind über 6 Millionen Nutzer betroffen.
Die juristische Vorgeschichte
Der VI. Zivilsenat des Bundesgerichtshofs (BGH) hatte am 8. Oktober 2024 über zwei Revisionen zu verhandeln, in denen sich die Frage stellt, welche Ansprüche Betroffenen zustehen, deren Daten im Rahmen eines sog. Scrapings von unbekannten Dritten erlangt und im Internet verbreitet wurden.
Laut dieser Pressemitteilung des BGH machten zwei Personen Schadensersatz gegen Facebook wegen der abgeflossenen Daten geltend. Ein Kläger machte beispielsweise geltend, die Beklagte (Facebook) habe keine ausreichenden Sicherheitsmaßnahmen ergriffen, um eine Ausnutzung der Kontakt-Tools zu verhindern. Ihm stehe wegen des erlittenen Ärgers und des Kontrollverlusts über seine Daten Ersatz für immaterielle Schäden zu. Er habe Ängste, Stress, Komfort- und Zeiteinbußen erlitten.
Darüber hinaus begehrt der Kläger die Feststellung, dass die Beklagte verpflichtet sei, ihm in diesem Zusammenhang auch alle künftigen materiellen und immateriellen Schäden zu ersetzen, und nimmt die Beklagte auf Unterlassung und Auskunft in Anspruch. Facebook hatte die geltend gemachten Ansprüche abgelehnt, weil weder ein Verstoß gegen die Datenschutz-Grundverordnung vorliege noch dem Kläger ein kausaler Schaden entstanden sei.
Das Landgericht hatte darauf hin die Klage des Geschädigten abgewiesen. Auf die Berufung des Klägers hat das zuständige Oberlandesgericht festgestellt, dass die Beklagte (also Facebook) verpflichtet sei, dem Kläger alle künftigen materiellen und immateriellen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Facebook-Datenarchiv entstanden sind und/oder noch entstehen werden. Der Kläger legte aber Berufung vor den BGH ein, weil seine weitergehenden Schadensersatzansprüche vom OLG abgewiesen wurden.
Die BGH-Entscheidung
Mit Aktenzeichen VI ZR 10/24 hat der Zivilsenat des BGH entschieden, dass der „bloße Kontrollverlust“ zur Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO ausreiche. Können Betroffene darlegen, über den Kontrollverlust hinaus psychisch beeinträchtigt worden zu sein oder andere Schäden erlitten zu haben, kann dies zu höheren Ansprüchen führen. Das gilt laut BGH wohl insbesondere bei konkreter missbräuchlicher Verwendung dieser Daten zum Nachteil des Betroffenen.
Die Voreinstellung der Suchbarkeitseinstellung auf „alle“ dürfte nicht dem Grundsatz der Datenminimierung entsprochen haben, meinen die Richter am BGH. Die Richter am BGH zweifelten auch an der Wirksamkeit der Einwilligung der Facebook-Benutzer, dass die Daten durchsuchbar sein durften.
Weiterhin heißt es, dass es zur Bemessung (§ 287 ZPO) des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO auf den Einzelfall ankomme. Das heißt, dass jetzt, auf Grund des BGH-Urteils, eine Reihe Verfahren wegen Schadensersatzansprüchen von den Landgerichten und Oberlandesgerichten wieder aufgenommen und zu Ende gebracht werden.
Legal Tribune Online (LTO) hat das Urteil hier zusammen gefasst und kommentiert. Rechtsanwalt Christian Solmecke hat den Sachverhalt in obigem Tweet und in diesem Artikel kommentiert und wirbt bereits für Mandanten. Auf seiner Webseite lässt sich über die Telefonnummer prüfen, ob man ggf. betroffen ist.
Ein gutes Urteil!
Evtl. wachen die Firmen jetzt endlich auf und fangen an, in IT-Sicherheit zu investieren.
Als wenn……
Das sind mehr oder weniger kalkulierte Begleitschäden. Ändern würde sich ev. erst was, wenn die Gesetzgeber eine Nachweispflicht von den Unternehmen bzgl. deren Sicherheit ZWINGEND voraussetzen, BEVOR das Kind in den Brunnen gefallen ist!