Opfer des umfangreichen Datendiebstahls bei Facebook können nun mit vergleichsweise geringen Anforderungen Schadensersatzansprüche geltend machen. Es genügt der Nachweis, dass sie von dem Vorfall betroffen waren. Es ist weder erforderlich, den Missbrauch der Daten nachzuweisen, noch müssen die Betroffenen nachweisen, dass sie durch den Vorfall in besonderem Maße beeinträchtigt wurden.

Der Bundesgerichtshof (BGH) hat erstmals von der neuen Möglichkeit des Leitentscheidungsverfahrens Gebrauch gemacht. Die höchstrichterliche Entscheidung ist nun von großer Bedeutung für Tausende ähnlich gelagerte Fälle an Landes- und Oberlandesgerichten in Deutschland. Der Vorsitzende Richter des sechsten Zivilsenats, Stephan Seiters, betonte jedoch, dass der Schadensersatz bei einem bloßen Kontrollverlust nicht zu hoch ausfallen könne. Als Beispiel nannte Seiters einen Betrag von 100 Euro. Die Vorinstanz, das Oberlandesgericht (OLG) Köln, hatte den Schadensersatzanspruch abgelehnt. Diese Entscheidung wurde vom BGH aufgehoben, und der Fall wurde zur weiteren Klärung an das OLG Köln zurückverwiesen. Das OLG muss nun den Sachverhalt weiter untersuchen, was bisher aufgrund der pauschalen Ablehnung von Ansprüchen unterblieben war.

Persönliche Daten von 533 Millionen Nutzern im Internet aufgetaucht

Im April 2021 wurden Daten von rund 533 Millionen Facebook-Nutzerinnen und -Nutzern aus 106 Ländern im Internet veröffentlicht. Die Täter hatten die Daten über die Funktion „Freunde suchen“ abgegriffen, indem sie beliebige Telefonnummern eingaben und bei Treffern auf die persönlichen Informationen der Nutzer zugreifen konnten. Die veröffentlichten Verbindungsdaten umfassen neben Vor- und Nachnamen auch das Land, das Geschlecht, die Telefonnummer und in einigen Fällen den Arbeitgeber.

Nach dem Vorfall wurden zahlreiche Klagen eingereicht, die jedoch bisher größtenteils vor Landes- und Oberlandesgerichten erfolglos blieben. Der Facebook-Mutterkonzern Meta verteidigte sich stets damit, dass die Klagen unbegründet seien. Die Anwälte des Unternehmens betonten nach der Verhandlung in der vergangenen Woche, dass es bei dem Vorfall keinen Datenschutzverstoß gegeben habe und Facebooks Systeme nicht gehackt worden seien.

Der Beitrag BGH stärkt Schadensersatzansprüche nach Facebook-Datendiebstahl erschien zuerst auf R&U.

Betroffene eines Datendiebstahls bei Facebook könnten auf Schadenersatz hoffen. In einer ersten Einschätzung ließ der BGH erkennen, dass allein der Verlust der Kontrolle über die eigenen Daten für einen Anspruch ausreichen könnte. Es müsse jedoch nachgewiesen werden, dass dieser Verlust tatsächlich eingetreten sei, nicht jedoch etwaige immaterielle Schäden wie Ängste oder Sorgen, erklärte der Vorsitzende Richter des VI. Zivilsenats, Stephan Seiters, in Karlsruhe. Das endgültige Urteil des BGH steht jedoch noch aus und wird für viele weitere Verfahren vor deutschen Gerichten von Bedeutung sein.

Hintergrund dieses Verfahrens ist ein Datenschutzvorfall aus dem Jahr 2021, bei dem Unbekannte die Daten von rund 533 Millionen Facebook-Nutzern aus 106 Ländern öffentlich im Internet veröffentlichten. Diese Daten waren durch das Ausnutzen einer Funktion zur Freunde-Suche auf der Plattform abgegriffen worden. Der BGH erklärte, dass die Täter von der Möglichkeit profitierten, dass Facebook es Nutzern damals ermöglichte, ihre Profile anhand von Telefonnummern zu finden – auch wenn diese nicht öffentlich sichtbar waren. Die „Scraper“ generierten zufällige Telefonnummern und stießen auf Treffer. So wurden unter anderem Nutzer-ID, Name, Geschlecht, Land und Telefonnummer miteinander verknüpft.

Die Betroffenen werfen Facebook vor, unzureichende Sicherheitsmaßnahmen getroffen zu haben. Aufgrund des Verlusts der Kontrolle über ihre Daten und des verursachten Ärgers fordern sie Schadenersatz, auch für immaterielle Schäden. Bisher waren die Klagen vor den Landes- und Oberlandesgerichten überwiegend erfolglos, doch eine höchstrichterliche Entscheidung steht noch aus.

Erstes Leitentscheidungsverfahren des BGH

Um die Vielzahl an Einzelklagen effizienter bearbeiten zu können, hatte der Bundesgerichtshof (BGH) das Revisionsverfahren im sogenannten Scraping-Komplex als erstes Leitentscheidungsverfahren bestimmt – obwohl die Revision zwischenzeitlich zurückgenommen worden war. Diese Möglichkeit wurde erst am selben Tag durch eine Neuregelung in § 552b der Zivilprozessordnung eingeführt.

Der VI. Zivilsenat möchte mit diesem Fall aus Nordrhein-Westfalen grundlegende Rechtsfragen klären, darunter, ob die Standardvoreinstellung auf „alle“ bei der sogenannten Kontakt-Import-Funktion gegen die Datenschutz-Grundverordnung verstößt. Weitere Themen sind, ob der bloße Verlust der Kontrolle über gescrapte Daten einen immateriellen Schaden begründet, wie dieser Schaden zu bemessen ist und wie eine Schadensersatzklage entsprechend begründet werden müsste (Az. VI ZR 10/24).

Richter Stephan Seiters erklärte, dass der Kläger in diesem konkreten Fall angegeben habe, seine Telefonnummer nur gezielt weitergegeben zu haben. Nach dem Diebstahl habe der Mann unter anderem starkes Unwohlsein empfunden und ein wachsendes Misstrauen gegenüber E-Mails und SMS entwickelt.

Auch in Bezug auf mögliche künftige Schäden erwägt der Senat nach einer vorläufigen Einschätzung eine nutzerfreundliche Auslegung. Schließlich seien durch den Vorfall die Rechte auf informationelle Selbstbestimmung und der Schutz personenbezogener Daten verletzt worden, so Seiters.

Das Landgericht Bonn hatte der Klage in erster Instanz teilweise stattgegeben und dem Kläger 250 Euro zugesprochen. In zweiter Instanz wies das Oberlandesgericht Köln die Klage jedoch ab.

Meta: Klagen sind haltlos und unbegründet

Der Anwalt des Facebook-Mutterkonzerns Meta, Christian Rohnke, warnte davor, die Darlegungsanforderungen für Kläger zu stark zu senken. Seiner Ansicht nach reicht der bloße Verlust der Kontrolle über die eigenen Daten nicht aus, um einen Schaden geltend zu machen. „Wenn überhaupt, könnte ein immaterieller Schaden in belästigenden Anrufen bestehen“, erklärte er. In diesem Fall müsse jedoch nachgewiesen werden, dass die Zahl der Anrufe gestiegen sei.

Laut Rohnke müssten die Kläger zudem Indizien vorlegen, dass sie aufgrund des Vorfalls ängstlich oder besorgt seien – etwa durch einen Wechsel ihrer Telefonnummer. Dies habe der Kläger jedoch nicht getan. „Hätte er echte Befürchtungen gehabt, wäre es naheliegend gewesen, die Nummer zu wechseln“, so Rohnke.

Meta hält die Klagen für unbegründet. Rechtsanwalt Martin Mekat von der Kanzlei Freshfields, die Meta vertritt, betonte nach der Verhandlung, dass bei diesem Vorfall keine Facebook-Systeme gehackt wurden und somit kein Datenschutzverstoß vorliege. Er verwies darauf, dass Meta bereits über 6.000 ähnliche Klagen an deutschen Gerichten gewonnen habe.

Die Karlsruher Richter beraten nun auf Grundlage der mündlichen Verhandlung und werden das Urteil zu einem späteren Zeitpunkt verkünden. Der genaue Termin für die Urteilsverkündung steht noch nicht fest.

Der Beitrag Facebook-Datendiebstahl: BGH über mögliche Schadenersatzansprüche durch Kontrollverlust erschien zuerst auf R&U.