Facebook-Datendiebstahl: BGH über mögliche Schadenersatzansprüche durch Kontrollverlust

Der Bundesgerichtshof (BGH) hat sich mit den Klagen von Facebook-Nutzern im Zusammenhang mit dem sogenannten Scraping-Vorfall beschäftigt. Ein endgültiges Urteil der Karlsruher Richter steht noch aus, jedoch deuteten sie bereits eine mögliche Richtung an – die den Facebook-Nutzern wohl gefallen dürfte.

Betroffene eines Datendiebstahls bei Facebook könnten auf Schadenersatz hoffen. In einer ersten Einschätzung ließ der BGH erkennen, dass allein der Verlust der Kontrolle über die eigenen Daten für einen Anspruch ausreichen könnte. Es müsse jedoch nachgewiesen werden, dass dieser Verlust tatsächlich eingetreten sei, nicht jedoch etwaige immaterielle Schäden wie Ängste oder Sorgen, erklärte der Vorsitzende Richter des VI. Zivilsenats, Stephan Seiters, in Karlsruhe. Das endgültige Urteil des BGH steht jedoch noch aus und wird für viele weitere Verfahren vor deutschen Gerichten von Bedeutung sein.

Hintergrund dieses Verfahrens ist ein Datenschutzvorfall aus dem Jahr 2021, bei dem Unbekannte die Daten von rund 533 Millionen Facebook-Nutzern aus 106 Ländern öffentlich im Internet veröffentlichten. Diese Daten waren durch das Ausnutzen einer Funktion zur Freunde-Suche auf der Plattform abgegriffen worden. Der BGH erklärte, dass die Täter von der Möglichkeit profitierten, dass Facebook es Nutzern damals ermöglichte, ihre Profile anhand von Telefonnummern zu finden – auch wenn diese nicht öffentlich sichtbar waren. Die „Scraper“ generierten zufällige Telefonnummern und stießen auf Treffer. So wurden unter anderem Nutzer-ID, Name, Geschlecht, Land und Telefonnummer miteinander verknüpft.

Die Betroffenen werfen Facebook vor, unzureichende Sicherheitsmaßnahmen getroffen zu haben. Aufgrund des Verlusts der Kontrolle über ihre Daten und des verursachten Ärgers fordern sie Schadenersatz, auch für immaterielle Schäden. Bisher waren die Klagen vor den Landes- und Oberlandesgerichten überwiegend erfolglos, doch eine höchstrichterliche Entscheidung steht noch aus.

Erstes Leitentscheidungsverfahren des BGH

Um die Vielzahl an Einzelklagen effizienter bearbeiten zu können, hatte der Bundesgerichtshof (BGH) das Revisionsverfahren im sogenannten Scraping-Komplex als erstes Leitentscheidungsverfahren bestimmt – obwohl die Revision zwischenzeitlich zurückgenommen worden war. Diese Möglichkeit wurde erst am selben Tag durch eine Neuregelung in § 552b der Zivilprozessordnung eingeführt.

Der VI. Zivilsenat möchte mit diesem Fall aus Nordrhein-Westfalen grundlegende Rechtsfragen klären, darunter, ob die Standardvoreinstellung auf „alle“ bei der sogenannten Kontakt-Import-Funktion gegen die Datenschutz-Grundverordnung verstößt. Weitere Themen sind, ob der bloße Verlust der Kontrolle über gescrapte Daten einen immateriellen Schaden begründet, wie dieser Schaden zu bemessen ist und wie eine Schadensersatzklage entsprechend begründet werden müsste (Az. VI ZR 10/24).

Richter Stephan Seiters erklärte, dass der Kläger in diesem konkreten Fall angegeben habe, seine Telefonnummer nur gezielt weitergegeben zu haben. Nach dem Diebstahl habe der Mann unter anderem starkes Unwohlsein empfunden und ein wachsendes Misstrauen gegenüber E-Mails und SMS entwickelt.

Auch in Bezug auf mögliche künftige Schäden erwägt der Senat nach einer vorläufigen Einschätzung eine nutzerfreundliche Auslegung. Schließlich seien durch den Vorfall die Rechte auf informationelle Selbstbestimmung und der Schutz personenbezogener Daten verletzt worden, so Seiters.

Das Landgericht Bonn hatte der Klage in erster Instanz teilweise stattgegeben und dem Kläger 250 Euro zugesprochen. In zweiter Instanz wies das Oberlandesgericht Köln die Klage jedoch ab.

Meta: Klagen sind haltlos und unbegründet

Der Anwalt des Facebook-Mutterkonzerns Meta, Christian Rohnke, warnte davor, die Darlegungsanforderungen für Kläger zu stark zu senken. Seiner Ansicht nach reicht der bloße Verlust der Kontrolle über die eigenen Daten nicht aus, um einen Schaden geltend zu machen. „Wenn überhaupt, könnte ein immaterieller Schaden in belästigenden Anrufen bestehen“, erklärte er. In diesem Fall müsse jedoch nachgewiesen werden, dass die Zahl der Anrufe gestiegen sei.

Laut Rohnke müssten die Kläger zudem Indizien vorlegen, dass sie aufgrund des Vorfalls ängstlich oder besorgt seien – etwa durch einen Wechsel ihrer Telefonnummer. Dies habe der Kläger jedoch nicht getan. „Hätte er echte Befürchtungen gehabt, wäre es naheliegend gewesen, die Nummer zu wechseln“, so Rohnke.

Meta hält die Klagen für unbegründet. Rechtsanwalt Martin Mekat von der Kanzlei Freshfields, die Meta vertritt, betonte nach der Verhandlung, dass bei diesem Vorfall keine Facebook-Systeme gehackt wurden und somit kein Datenschutzverstoß vorliege. Er verwies darauf, dass Meta bereits über 6.000 ähnliche Klagen an deutschen Gerichten gewonnen habe.

Die Karlsruher Richter beraten nun auf Grundlage der mündlichen Verhandlung und werden das Urteil zu einem späteren Zeitpunkt verkünden. Der genaue Termin für die Urteilsverkündung steht noch nicht fest.