Image

BGH: Erstes Leitentscheidungsverfahren zum Facebook-Datenleck

Der BGH hat im Leitentscheidungsverfahren zum Facebook-Datenleck entschieden, dass bereits der Kontrollverlust über personenbezogene Daten einen immateriellen Schaden nach Art. 82 DS-GVO begründen kann, ohne dass ein Missbrauch oder eine konkrete Beeinträchtigung nachgewiesen werden muss.

  • advomare
  • 04.12.2024
  • Zuletzt aktualisiert am: 04.12.2024

Der BGH legt im ersten Leitentscheidungsverfahren wichtige Entscheidungen zu Fragen zum Schadensersatz nach dem Facebook-Datenleck fest.


Was ist ein Leitentscheidungsverfahren?

Mit der Entscheidung, dieses Revisionsverfahren zum Schadensersatz nach dem Facebook-Datenleck zum Leitentscheidungsverfahren zu benennen, nutzte der BGH eine neue rechtliche Möglichkeit, die erst kurz vorher in Kraft getreten war. Laut Vorschrift § 552b ZPO kann der BGH ein bei ihm anhängiges Verfahren zum Leitentscheidungsverfahren bestimmen und somit Entscheidungen über Rechtsfragen treffen, die für eine Vielzahl von Verfahren wichtig sind.

So soll die Justiz nicht von vielen Individualverfahren überlastet werden, wie z. B. beim Dieselskandal oder wie in diesem Fall vom Facebook-Datenleck. Ein solches Leitentscheidungsverfahren kann auch dann angewendet werden, wenn die Revision zurückgezogen wurde oder sich auf andere Weise geklärt hat. Konkret ging es in diesem Verfahren um die Klärung von Schadensersatz- und DS-GVO-Verstoß-Fragen.


Worum geht es im Facebook-Datenleck?

Im April 2021 wurden personenbezogene Daten von über 500 Millionen Facebook-User:innen in über 100 Ländern öffentlich verbreitet. Die Täter:innen konnten durch die Verknüpfung der Nutzerkonten mit den eigentlich nicht öffentlichen Telefonnummern die Daten abgreifen. Genutzt wurden willkürlich generierte Telefonnummern, um an die Informationen zu gelangen. Dieses Verfahren nennt man Scraping.

Auch im Falle des Klägers wurden über Scraping die Daten gestohlen, u. a. Nutzer-ID, Vor- und Nachname, Arbeitsstätte und Geschlecht. Laut Kläger hatte Meta keine ausreichenden Schutzmaßnahmen ergriffen, um die Ausnutzung des Kontakttools zu verhindern und forderte immateriellen Schadensersatz sowie, dass Meta verpflichtet werden würde, künftige Schäden zu ersetzen.


Wie entschied das Gericht?

Das Landgericht gab der Klage in Teilen statt und sprach dem Kläger 250 € Schadensersatz zu, wies die Klage aber im Übrigen ab. Die Folgeinstanz wies die Klage in Gesamtheit ab: Der bloße Kontrollverlust reiche nicht aus, um einen Schaden zu begründen. Außerdem habe der Kläger in der Klage nicht substantiiert darlegen können, dass der Kontrollverlust eine psychische Beeinträchtigung verursachte.

Am 31. Oktober beschloss der BGH dann, das Verfahren als Leitentscheidungsverfahren zu bestimmen und entschied in dem Fall: Ein Anspruch auf Schadensersatz besteht. Schon der kurzzeitige Kontrollverlust über die eigenen Daten könne immateriellen Schaden nach Art. 82 DS-GVO begründen. Betroffene Personen müssten nur nachweisen, Opfer eines Datenschutz-Vorfalls gewesen zu sein. Es bestehe weder eine Notwendigkeit, dass die Daten tatsächlich missbraucht wurden, noch müssen dafür Beweise vorgelegt werden, dass das Leben beeinträchtigt wurde.

Allerdings machte der Richter deutlich, dass der Schadensersatz nicht besonders hoch ausfallen wird. Dem Kläger wurden 100 € zugesprochen.

Das Oberlandesgericht muss über die Sache in Teilen noch einmal verhandeln und klären, ob wirklich ein Datenschutz-Verstoß vorlag.

(Bild: everythingpossible – stock.adobe.com)

Ähnliche Beiträge