Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein richtungsweisendes Urteil zu einem Datenschutzvorfall bei Facebook gefällt. Das Urteil bezieht sich auf den sogenannten „Scraping“-Vorfall, bei dem 2021 die Daten von rund 533 Millionen Nutzern aus 106 Ländern durch unbekannte Dritte abgegriffen und öffentlich zugänglich gemacht wurden. Der Kläger, dessen Daten ebenfalls betroffen waren, hatte auf Ersatz immaterieller Schäden sowie auf Unterlassung und Feststellung künftiger Ansprüche geklagt.
Hintergrund: Datenmissbrauch durch Scraping
Im Jahr 2021 hatten Dritte eine Schwachstelle in der Facebook-Kontakt-Import-Funktion ausgenutzt. Diese ermöglichte es, durch randomisierte Eingabe von Telefonnummern Facebook-Profile zu identifizieren und öffentlich zugängliche Informationen wie Namen, Arbeitsplätze und Geschlecht mit Telefonnummern zu verknüpfen. Obwohl die Daten nicht durch Hacking, sondern durch massenhaftes Auslesen öffentlich verfügbarer Informationen gesammelt wurden, wirft der Fall grundlegende Fragen zum Datenschutz und zur Verantwortung des Plattformbetreibers auf.
Der Kläger argumentierte, Facebook habe nicht ausreichend Maßnahmen ergriffen, um die Ausnutzung dieser Funktion zu verhindern, und verlangte Ersatz für den „Ärger“ und den Kontrollverlust über seine persönlichen Daten.
Entscheidung des Bundesgerichtshofs
Der BGH entschied zugunsten des Klägers in Teilen seines Revisionsantrags:
Schadenersatz für immaterielle Schäden: Der BGH stellte klar, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann. Es sei keine konkrete missbräuchliche Verwendung der Daten erforderlich, um einen Anspruch auf Schadenersatz geltend zu machen. Die Richter wiesen darauf hin, dass ein Schaden in einer Größenordnung von etwa 100 € angemessen sein könnte.
Feststellung künftiger Ansprüche: Der Kläger hat laut Urteil ein berechtigtes Interesse an der Feststellung, dass ihm auch für künftige materielle und immaterielle Schäden Ersatz zusteht. Dies betrifft insbesondere potenzielle Risiken, die durch die Veröffentlichung der Daten in der Zukunft entstehen könnten.
Unterlassungsanspruch: Facebook darf die Telefonnummer des Klägers nicht ohne dessen ausdrückliche Einwilligung verwenden. Der BGH kritisierte, dass die voreingestellte Suchbarkeitseinstellung auf „alle“ nicht den Grundsätzen der Datenminimierung entsprach.
Rückverweisung und weitere Prüfungen
Der BGH verwies den Fall zur weiteren Verhandlung an das Berufungsgericht zurück. Das Gericht muss nun prüfen, ob die voreingestellten Suchoptionen von Facebook eine wirksame Einwilligung des Klägers in die Datenverarbeitung darstellten. Zudem sollen die genauen Modalitäten der Schadensbemessung weiter untersucht werden.
Bedeutung des Urteils
Das Urteil des BGH setzt Maßstäbe für den Datenschutz in Deutschland und der EU:
Stärkung der Nutzerrechte: Der BGH unterstreicht, dass selbst ein kurzer Verlust der Kontrolle über persönliche Daten ausreichend sein kann, um Schadensersatzansprüche zu begründen.
Höhere Verantwortung für Plattformbetreiber: Unternehmen wie Facebook müssen sicherstellen, dass ihre Systeme den Grundsätzen der Datenminimierung und Einwilligung entsprechen.
Signalwirkung für zukünftige Datenschutzfälle: Das Urteil könnte zu einer höheren Anzahl von Klagen führen, bei denen Nutzer immaterielle Schäden geltend machen.
Fazit: Mit diesem Urteil stärkt der BGH den Schutz personenbezogener Daten und erhöht den Druck auf Unternehmen, ihre Datenschutzpraktiken zu verbessern. Für Nutzer bedeutet dies einen wichtigen Schritt hin zu einer stärkeren Kontrolle über ihre persönlichen Informationen.
