Schadensersatz auch bei kleinem Datenschutzverstoß
BGH-Grundsatzentscheidung im Facebook-Fall
Das große Datenleck bei Facebook sorgte für die zahlreiche gerichtliche Geltendmachung von Schadensersatzansprüchen aus der DSGVO. Nach vielen zurückgenommenen Revisionen, äußert sich der BGH nun und urteilt, dass auch ein kurzer Kontrollverlust über personenbezogene Daten einen Anspruch begründet. Die Schadensersatzhöhe muss allerdings angemessen sein.
Der Schock bei den Betroffenen nach der Bekanntmachung des Facebook-Datenlecks war groß. Cyberkriminelle nutzten eine neue Facebook-Funktion aus, um Telefonnummern mit den Plattforminformationen bestimmter Nutzer zu verknüpfen. Allein in Deutschland waren sechs Millionen Nutzer betroffen. Viele von ihnen klagten gegen diesen Datenschutzverstoß auf Schadensersatzansprüche aus der Datenschutzgrundverordnung (DSGVO). Eine dieser Klagen musste kürzlich der Bundesgerichtshof entscheiden (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24).
Datendiebstahl bisher noch ohne BGH-Entscheidung
Immer wieder kommt durch neue Urteile Bewegung in die Auslegung der datenschutzrechtlichen Vorschriften. Ähnliches spiegelte sich auch in den hier in Frage stehenden Scraping-Fällen wider. Verschiedene Richter entschieden die ihnen zugewiesenen Fälle unterschiedlich. Obwohl einige der Kläger sogar bis zum BGH zogen, kam es bisher zu keinem BGH-Urteil. Die Betroffenen einigten sich in aller Regel mit dem Konzern – bis jetzt.
Der betroffene Nutzer wandte sich, ebenso wie andere Kläger, gegen eine zu weite und damit datenschutzwidrige Grundeinstellung. Zwar habe nicht Facebook selbst rechtswidrig mit den Daten seiner Nutzer gehandelt, allerdings seien die Datendiebe nicht zu erreichen. An ihrer Stelle solle Meta haften. Geltend gemacht wurde ein Schadensersatzanspruch aus Artikel 82 Absatz 1 DSGVO.
Diesen Anspruch sah Meta allerdings nicht als einschlägig an. Es fehle sowohl am materiellen als auch am immateriellen Schaden. Außerdem hätten sie selbst nicht gegen das Datenschutzrecht verstoßen.
Es reicht schon der Kontrollverlust
Der BGH stellt allerdings klar, dass schon der kurzzeitige Kontrollverlust über personenbezogene Daten einen immateriellen Schaden im Sinne des Schadensersatzanspruchs darstellt. Damit folgt er der Ansicht des EuGH. Anders als von Meta gefordert und von einigen Instanzgerichten geurteilt, bedarf es zur Annahme dieses Schadens eben keiner spürbaren negativen Folge, die der Betroffene erst darlegen müsste.
Freude und Geld bleiben klein
Obwohl nun die allermeisten Betroffenen den Schadensersatzanspruch aus der DSGVO gegen Meta erfolgreich geltend machen können, sollte nicht mit Zahlungen in extremer Höhe gerechnet werden. Beläuft sich der Schaden nämlich ausschließlich auf den kurzzeitigen Kontrollverlust über Daten und liegen sonst keine negativen Folgen vor, muss sich die Schadensersatzhöhe auf eine angemessene Summe beschränken. Laut den BGH-Richtern beläuft sich diese in solchen Fällen auf etwa 100 Euro.
Nichtsdestotrotz ist die Entscheidung ein Grund zur Freude. Nicht nur können alle Betroffenen noch bis Ende des Jahres gegen Meta klagen, der BGH stärkt mit dieser Grundsatzentscheidung auch deutlich die Rechte von Internetnutzern. Denn Fakt ist, dass Angriffe dieser Art keine Einzelfälle sind. Die Entscheidung des BGH kann nun als Leitlinie für weitere, voraussichtlich folgende Fälle dienen.