Das BGH-Urteil zur Facebook-Datenpanne
Der Bundesgerichtshof (BGH) urteilte am 18. November zu einem Fall von Scraping bei Facebook und stärkt damit die Rechte von Verbraucher*innen.
Anfang April 2021 wurden die Daten von rund 533 Millionen Facebooknutzenden aus 160 Ländern im Internet öffentlich verbreitet. Grund dafür war eine Sicherheitslücke bei Facebook. Durch eine Suchbarkeits-Einstellung konnte durch die Eingabe der Telefonnummer das Profil des jeweiligen Facebooknutzenden gefunden werden und mit Daten wie Nutzer-ID, Vor- und Nachname, Arbeitsstätte und Geschlecht in Verbindung gebracht werden. Unbekannte Dritte gaben im großen Stil randomisierte Ziffernfolgen über die Kontakt-Import-Funktion bei Facebook ein und ordneten die Telefonnummern so den öffentlich zugänglichen Daten der zugehörigen Konten zu (sog. Scraping). Die Daten wurden zudem im Internet veröffentlicht.
Der BGH hat nun in einem Leitentscheidungsverfahren klargestellt, dass der bloße Kontrollverlust über personenbezogene Daten ausreicht, um immateriellen Schadensersatz gemäß Art. 82 Abs. 1 DSGVO geltend zu machen. Dies markiert eine verbraucherfreundliche Absenkung der Nachweishürden und erhöht das Haftungsrisiko für Unternehmen erheblich.
Im vorliegenden Fall wurden dem Kläger Schadensersatz in einer Größenordnung von 100 EUR zugesprochen und seinen Anträgen auf Feststellung einer Ersatzpflicht für zukünftige Schäden, auf Unterlassung der Verwendung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt ist, und auf Ersatz seiner vorgerichtlichen Rechtsanwaltskosten, wurde stattgegeben.
Der BGH weist den Fall an das Berufungsgericht für eine neue Verhandlung zurück. Es weist das Berufungsgericht insbesondere darauf hin, dass die Voreinstellung der Suchbarkeitseinstellung auf “alle” nicht dem Grundsatz der Datenminimierung entspricht.
Die Entscheidung des BGH ist eine Leitentscheidung. Zwar hatte der Europäische Gerichtshof (EuGH) bereits ähnlich geurteilt, von dieser Entscheidung wichen deutsche Gerichte jedoch ab und lehnten Ansprüche auf immateriellen Schadensersatz ab, wenn der Kläger oder die Klägerin nicht nachweisen konnten, dass sich durch den Datenmissbrauch negative Folgen, wie psychische Probleme, erleiden.
Dieser Praxis bereitet das Urteil des BGH nun ein Ende. Immaterieller Schadensersatz muss bereits bei einem auch nur kurzzeitigen Kontrollverlust über personenbezogene Daten geleistet werden. Der BGH nennt eine Summe von 100 EUR für den reinen Kontrollverlust. Bei weiteren Schäden, wie nachweislichen emotionalen Belastungen oder anderen negativen Folgen durch den Datenmissbrauch, kann sich die Summe erhöhen. Die Hürden für Verbrauchende, Schadensersatz für Datenmissbrauch zu erhalten, werden deutlich gesenkt, gleichzeitig steigen die Anforderungen an Unternehmen.
Der BGH hat signalisiert, dass Unternehmen sich nicht hinter technischen Komplexitäten oder fehlenden direkten Schäden verstecken können.
Unternehmen müssen sicherstellen, dass alle Systeme DSGVO-konform sind und müssen proaktiv Sicherheitslücken oder unzureichende Voreinstellungen beseitigen. Zudem sollten Unternehmen ihre Maßnahmen zur Einhaltung der DSGVO umfassend dokumentieren.
Betroffene sollten ihre Ansprüche jedoch schnellstmöglich geltend machen, damit diese nicht verjähren. Die dreijährige Verjährungsfrist endet in diesem Fall am 31. Dezember 2024.
Das BGH-Urteil verdeutlicht, wie wichtig Datenschutz-Compliance für Unternehmen geworden ist. Neben den finanziellen Risiken durch Schadensersatzforderungen drohen auch Imageschäden, die langfristige Folgen haben können. Unternehmen sollten die Entscheidung als Weckruf verstehen, Datenschutzrichtlinien und technische Sicherheitsmaßnahmen konsequent zu überprüfen und zu verbessern. Verbraucher und Verbraucherinnen können sich über vereinfachte Bedingungen freuen, um Schadensersatz einzuklagen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.