BGH-Urteil im Facebook-Datenskandal

19. November 2024

Der Bundesgerichtshof (BGH) hat in einem wegweisenden Urteil vom 18.11.2024 die Hürden für die Geltendmachung von Schadensersatzansprüchen nach Datenschutzverletzungen deutlich gesenkt. Das BGH-Urteil behandelt den Facebook-Datenskandal aus dem Jahr 2021. Das Urteil setzt erstmals das neue Leitentscheidungsverfahren ein, das eine einheitliche Rechtsprechung für tausende Klagen ermöglicht.

Facebook-Scraping-Skandal

Dem Urteil liegt ein Datenschutzvorfall bei Facebook zugrunde. Damals hatten Dritte eine Vielzahl an personenbezogenen Daten, darunter etwa Telefonnummern und E-Mail-Adressen, abgegriffen. Im Anschluss konnten sie diese Facebook-Profilen zuordnen und deren öffentlich verfügbare Daten sammeln. Dieses sogenannte Scraping betraf ungefähr 533 Millionen Datensätze. Infolgedessen stellte die für den Mutterkonzern Meta zuständige irische Datenschutzbehörde (DPC) unzureichende Sicherheitsmaßnahmen fest und verhängte eine Geldbuße in Höhe von 265 Millionen Euro gegen Meta.

Bewertung vorheriger Instanzen

Eine Vielzahl an Schadensersatzansprüche hatte bislang wenig Erfolg. Beispielsweise wies das Oberlandesgericht (OLG) Dresden eine Klage ab, da die Klägerin keinen konkreten Schaden nachweisen könne. Wie auch der EuGH jüngst, betonte das Gericht, dass ein Schadensersatzanspruch ohne Vorliegen eines konkreten Schadens ausscheidet. Die bloße abstrakte Möglichkeit eines Missbrauchs reiche nicht aus. Auch die Vorinstanz des vorliegenden Falls, das OLG Köln, hatte Schadensersatzansprüche pauschal abgelehnt.

Leitentscheidungsverfahren für immateriellen Schadensersatz

Nun hat der BGH erstmals das neue Leitentscheidungsverfahren genutzt, das es erlaubt, eine richtungsweisende Entscheidung auch bei Erledigung des Falls zu treffen. Tausende Klagen, die bisher an Landes- und Oberlandesgerichten noch anhängig sind, können nun auf Grundlage des BGH-Urteils bewertet werden.

BGH-Urteil: Niedrige Hürden für Schadensersatz

Der BGH wandte sich nun gegen die Einschätzung des OLG Köln und wies den Fall zur Neubewertung zurück. Bereits in der mündlichen Verhandlung letzte Woche hatte der Vorsitzende Karlsruher Richter angedeutet, dass es einen Immaterieller Schadensersatz auch bereits bei bloßem Kontrollverlust geben könnte. Nun stellt das Urteil (VI ZR 10/24) klar, dass Betroffene nur nachweisen müssen, dass sie Opfer des Datendiebstahls waren. Ein Nachweis über den Missbrauch der gestohlenen Daten oder eine besondere Beeinträchtigung ist laut der Pressemitteilung des BGH nicht erforderlich. Allerdings müsse die Höhe des Schadensersatzes beim reinen Kontrollverlust überschaubar bleiben. Im konkreten Fall nannte der Vorsitzende Richter 100 Euro als Richtwert.

Fazit

Der BGH stärkt mit seinem Urteil die Rechte der Geschädigten und erkennt an, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann. Da das OLG Köln den Schadensersatz pauschal abgelehnt hatte, muss es nun den Sachverhalt umfassend aufklären. Nun bleibt insbesondere spannend, welches Schadensmaß die Landes- und Oberlandesgerichte in den noch anhängigen Fällen bemessen werden.