Urteil zu Massenverfahren
BGH zu Facebook-Fall: 100 Euro Schadenersatz nach Datenleck?
18.11.2024, 05:03 Uhr
Einen gravierenden Datenschutzvorfall beim sozialen Netzwerk Facebook hat sich der Bundesgerichtshof (BGH) vorgeknöpft - und Leitlinien für Tausende Verfahren an deutschen Gerichten vorgegeben. Im Kern geht es darum, wann Nutzer bei einem Datenleck Anspruch auf Schadenersatz haben und was sie beweisen müssen.
Hintergrund ist ein Fall des sogenannten Scrapings: Diebe hatten vor Jahren Daten von mehr als einer halben Milliarde Facebook-Konten gestohlen. Das sorgte weltweit für Aufsehen. Nach Einschätzung von Fachleuten hat das Urteil Konsequenzen weit über den Fall hinaus.
Was ist Scraping?
Scraping heißt auf Deutsch so viel wie Schürfen und bedeutet, dass Daten etwa von Internetseiten systematisch gesammelt und gespeichert werden. Ein Beispiel für eine autorisierte und legitime Nutzung ist etwa die Arbeit von Suchmaschinen. Wenn allerdings automatisierte Prozesse genutzt werden, um Daten auf Facebook ohne Zustimmung des Konzerns auszulesen, stellt das einen Verstoß gegen die Nutzungsbedingungen dar.
Was war im konkreten Fall passiert?
Datendiebe hatten eine Funktion zur Freunde-Suche in dem sozialen Netzwerk ausgenutzt, Angaben von rund 533 Millionen Nutzern und Nutzerinnen aus 106 Ländern abgegriffen und im April 2021 öffentlich im Darknet verbreitet. Sie hatten sich laut BGH den Umstand zunutze gemacht, dass Facebook es damals in Abhängigkeit von Einstellungen der User ermöglichte, dass die jeweiligen Profile mit Hilfe der eigentlich nicht offen sichtbaren Telefonnummern gefunden werden konnten. Die unbekannten Täter arbeiteten mit willkürlich generierten Telefonnummern und landeten so Treffer. Auf diese Weise wurden etwa Nutzer-ID, Vor- und Nachname, Land und Geschlecht mit der jeweiligen Telefonnummer verknüpft.
Was sind die juristischen Folgen?
Weil die Sicherheitsmaßnahmen aus ihrer Sicht zu lasch waren, klagten zig Betroffene. Sie fordern Schadenersatz wegen des erlittenen Ärgers und des Kontrollverlusts über ihre Daten - sogenannte immaterielle Schäden. Solche Ansprüche lehnt der Facebook-Mutterkonzern Meta ab, weil weder ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) vorliege, noch den Klägern ein Schaden entstanden sei, der sich unmittelbar aus dem Vorfall ergebe. Die Sichtweise bekräftigten der Konzern und seine Anwälte auch nach dem Urteil.
Nach Auskunft der Bundesrechtsanwaltskammer sind Tausende Klagen zu dem Thema vor den deutschen Land- und Oberlandesgerichten anhängig. Nach Angaben der Kanzlei Freshfields Bruckhaus Deringer, die Meta vertritt, hat sie mehr als 6.000 Fälle in erster und zweiter Instanz gewonnen - was einer Erfolgsquote von über 85 Prozent entspreche.
Anhand eines Falls aus Nordrhein-Westfalen hat der sechste Zivilsenat am BGH nun grundsätzliche Rechtsfragen geklärt. Er hat den Fall zu einem Leitentscheidungsverfahren bestimmt. Es ist das erste seiner Art, denn diese Möglichkeit gibt es erst seit Ende Oktober. Bis zur höchstrichterlichen Klärung konnten die anderen ähnlichen Verfahren ausgesetzt werden. Nun können die Instanzgerichte ihre Fälle anhand der Leitlinien zügig entscheiden.
Was hat der BGH entschieden?
Schon der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten kann dem Urteil zufolge ein Verstoß gegen die Datenschutz-Grundverordnung sein und Schadenersatzansprüche rechtfertigen. Betroffene müssen nachweisen, dass sie Opfer eines Datendiebstahls geworden sind, wie der Vorsitzende Richter Stephan Seiters sagte. Es sei aber kein Nachweis spürbarer negativer Folgen nötig. Und auch müssten die unfreiwillig veröffentlichten Daten nicht missbraucht worden sein. (Az. VI ZR 10/24)
Die Landes- und Oberlandesgerichte müssen die Detailfragen klären - zum Beispiel, ob überhaupt ein Datenschutzverstoß vorlag. Hier gab der BGH den Hinweis, dass das der Fall gewesen sein dürfte, weil Meta bei der Einstellung zur Suchbarkeit "alle" voreingestellt hatte. Das widerspreche dem Grundsatz der Datenminimierung, sagte Seiters.
Auch müssen die Gerichte prüfen, ob die Klägerinnen und Kläger wirksam in die Datenverarbeitung eingewilligt haben. Weitere Kriterien seien, welche Daten betroffen und wie sensibel diese sind, ob das Ausmaß und die Dauer des Kontrollverlusts begrenzt sind und man etwa durch eine Änderung der Rufnummer die Kontrolle zurückerlangen könne. Und Facebook könnte auch für mögliche Schäden, die erst später passieren, haften müssen.
Wie viel Geld kriegt man dann?
Seiters betonte, der Schadenersatz diene nur dem Ausgleich und habe keine abschreckende Funktion. Geht es nur um den bloßen Kontrollverlust über die Daten, hält der Senat 100 Euro für angemessen. Kommen psychische Probleme hinzu, könnte der Satz steigen.
Der eher niedrige Betrag nehme den von einigen Kanzleien angekündigten Massenklagen ein wenig den Wind aus den Segeln, ordnete Hauke Hansen von der Wirtschaftskanzlei FPS ein. "Die Gerichte sollten bei der Bemessung des Schadensersatzes auch berücksichtigen, inwieweit eine Klage wirklich dem Schadensausgleich des Betroffenen dient oder vorrangig dem Gebühreninteresse der Klägeranwälte."
Die beklagten Unternehmen müssten wiederum beweisen, dass ihre Schutzmaßnahmen angemessen waren. "Gelingt ein solcher Beweis, liegt kein Datenschutzverstoß vor, und die Klage wäre abzuweisen", erklärte Hansen. Dann bekäme der Kläger keinen Schadenersatz.
Betrifft das Urteil nur den einen Vorfall bei Facebook?
Nein, meinen Fachleute. Rechtsanwalt Christian Solmecke von der Kanzlei WBS.Legal spricht von einer enorm wichtigen Grundlage für alle betroffenen Verbraucher von Datenlecks oder anderweitiger Verletzungen des Schutzes personenbezogener Daten. "Es herrscht – nicht nur für Betroffene des Facebook-Datenlecks, sondern für praktisch alle Betroffenen von DSGVO-Verletzungen – nun endlich Rechtssicherheit." Jetzt werde es für Millionen Betroffene leichter werden, immateriellen Schadenersatz zu erlangen.
Auch Stiftung Warentest verwies auf ähnliche Fälle etwa bei einem Streaminganbieter und einem Fahrdienst - und veröffentlichte gleich eine Anleitung samt Mustertext, um im Facebook-Fall Schadenersatz geltend zu machen. "Die Zeit ist knapp: Ende des Jahres verjähren die Rechte der meisten Facebook-Opfer."
Was unternimmt Facebook gegen Scraping?
Meta hat vor fünf Jahren Änderungen vorgenommen, die unter anderem das Auslesen von Daten über Telefonnummern verhindern sollen. Allerdings teilt der Konzern auch mit, dass jegliches Scraping nie vollständig unterbunden werden könne, ohne gleichzeitig die Möglichkeiten der Menschen zu beeinträchtigen, Apps und Websites wie gewünscht zu nutzen. Ein Team unter anderem aus Daten- und Analyse-Fachleuten sowie Entwicklern soll das unerlaubte Auslesen erkennen und blockieren.
Wie kann ich meine Daten schützen?
Die Verbraucherzentrale rät zu Datensparsamkeit. "Wer sich bei Online-Diensten anmeldet, sollte, wenn möglich, nicht alle abgefragten Daten preisgeben." Mit dem Geburtsdatum etwa lasse sich leicht die Identität stehlen. "Überlegen Sie also bei jeder Veröffentlichung, ob Sie die Info auch laut durch einen Bus rufen würden." Wer sein Nutzerkonto nicht mehr gebraucht, sollte es löschen - das verringere das Risiko eines Datenmissbrauchs.
Hintergrund ist ein Fall des sogenannten Scrapings: Diebe hatten vor Jahren Daten von mehr als einer halben Milliarde Facebook-Konten gestohlen. Das sorgte weltweit für Aufsehen.
Was ist Scraping?
Scraping heißt auf Deutsch so viel wie Schürfen und bedeutet, dass Daten etwa von Internetseiten systematisch gesammelt und gespeichert werden. Ein Beispiel für eine autorisierte und legitime Nutzung ist etwa die Arbeit von Suchmaschinen. Wenn allerdings automatisierte Prozesse genutzt werden, um Daten auf Facebook ohne Zustimmung des Konzerns auszulesen, stellt das einen Verstoß gegen die Nutzungsbedingungen dar.
Was war im konkreten Fall passiert?
Datendiebe hatten eine Funktion zur Freunde-Suche in dem sozialen Netzwerk ausgenutzt, Angaben von rund 533 Millionen Nutzern und Nutzerinnen aus 106 Ländern abgegriffen und im April 2021 öffentlich im Internet verbreitet. Sie hatten sich laut BGH den Umstand zunutze gemacht, dass Facebook es damals in Abhängigkeit von Einstellungen der User ermöglichte, dass die jeweiligen Profile mit Hilfe der eigentlich nicht offen sichtbaren Telefonnummern gefunden werden konnten. Die unbekannten Täter arbeiteten mit willkürlich generierten Telefonnummern und landeten so Treffer. Auf diese Weise wurden etwa Nutzer-ID, Vor- und Nachname, Land und Geschlecht mit der jeweiligen Telefonnummer verknüpft.
Was sind die juristischen Folgen?
Weil die Sicherheitsmaßnahmen aus ihrer Sicht zu lasch waren, klagten zig Betroffene. Sie fordern Schadenersatz wegen des erlittenen Ärgers und des Kontrollverlusts über ihre Daten - sogenannte immaterielle Schäden. Solche Ansprüche lehnt der Facebook-Mutterkonzern Meta ab, weil weder ein Verstoß gegen die Datenschutz-Grundverordnung vorliege, noch den Klägern ein Schaden entstanden sei, der sich unmittelbar aus dem Vorfall ergebe. "Wir sind der festen Überzeugung, dass die Scraping-Klagen unbegründet sind", hieß es.
Anhand eines Falls aus Nordrhein-Westfalen will der sechste Zivilsenat am BGH nun unter anderem klären, ob die Standardvoreinstellung auf "alle" bei der sogenannten Kontakt-Import-Funktion doch gegen die Datenschutz-Grundverordnung verstieß, ob der bloße Verlust der Kontrolle über gescrapte Daten einen immateriellen Schaden begründet, wie dieser zu bemessen wäre und wie eine Schadensersatzklage begründet sein müsste.
Warum sind die Aussichten für Betroffene gut?
Bei der mündlichen Verhandlung vor einer Woche hatte der Vorsitzende Richter Stephan Seiters in einer vorläufigen Einschätzung des Senats gesagt, dass schon der Verlust der Kontrolle über die eigenen Daten ausreichen könnte, um Ansprüche geltend machen zu können. Zwar müsse ein solcher Verlust nachgewiesen werden, nicht aber zum Beispiel etwaige besondere Befürchtungen oder Ängste - und schon gar nicht irgendwelche konkreten Folgen, die sich aus dem Datendiebstahl ergeben wie Missbrauch der Informationen. Der Senat neige daher dazu, die Sache anders zu bewerten als das Oberlandesgericht Köln, das die Klage abgewiesen hatte. (Az. VI ZR 10/24)
Warum ist der Fall juristisch von großer Bedeutung?
Nach Auskunft der Bundesrechtsanwaltskammer sind Tausende Klagen zu dem Thema vor den deutschen Land- und Oberlandesgerichten anhängig. Auch dem BGH liegen mehrere Revisionen zur Entscheidung vor. Die Instanzgerichte hätten die Rechtsfragen bislang sehr unterschiedlich beantwortet und die zugrundeliegende Rechtsprechung des Europäischen Gerichtshofs (EuGH) unterschiedlich interpretiert. Nach Angaben der Kanzlei Freshfields Bruckhaus Deringer, die Meta vertritt, hat sie mehr als 6.000 erst- und zweitinstanzliche klageabweisende Urteile erwirkt, was einer Erfolgsquote von über 85 Prozent entspreche.
Der BGH hat das aktuelle Verfahren zu einem Leitentscheidungsverfahren bestimmt. Es ist das erste seiner Art, denn diese Möglichkeit gibt es erst seit Ende Oktober. Bis zu einer höchstrichterlichen Klärung können die anderen ähnlichen Verfahren ausgesetzt werden. Liegt diese vor, können die Instanzgerichte ihre Fälle zügig entscheiden.
Was unternimmt Facebook gegen Scraping?
"Da Scraper den normalen menschlichen Umgang mit unseren Produkten imitieren, werden wir nie in der Lage sein, jegliches Scraping vollständig zu unterbinden, ohne gleichzeitig die Möglichkeiten der Menschen zu beeinträchtigen, unsere Apps und Websites wie gewünscht zu nutzen", hatte Meta schon 2021 mitgeteilt. Ein Team unter anderem aus Daten- und Analyse-Fachleuten sowie Entwicklern soll das unerlaubte Auslesen erkennen und blockieren. Um den Vorgang technisch zu erschweren, arbeiten sie den Angaben nach unter anderem mit Übertragungslimits, die die Häufigkeit von Interaktionen regeln. Datenlimits sollen verhindern, dass jemand mehr Daten bezieht, als zur normalen Nutzung der Produkte nötig. Und wenn sich bestimmte Muster herauskristallisieren, würden Anfragen blockiert.
Wie kann ich meine Daten schützen?
Die Verbraucherzentrale rät zu Datensparsamkeit. "Wer sich bei Online-Diensten anmeldet, sollte wenn möglich nicht alle abgefragten Daten preisgeben." Mit dem Geburtsdatum etwa lasse sich leicht die Identität stehlen. "Überlegen Sie also bei jeder Veröffentlichung, ob Sie die Info auch laut durch einen Bus rufen würden." Ferner sollte man regelmäßig überprüfen, welche persönlichen Daten veröffentlicht sind. Wer sein Nutzerkonto nicht mehr gebraucht, sollte es löschen - das verringere das Risiko eines Datenmissbrauchs. Wichtig dabei: "Es reicht nicht, die App zu deinstallieren. Zunächst muss das Nutzerkonto gelöscht werden!"
Facebook empfiehlt, die Einstellungen im "Privatsphäre-Check" zu prüfen. Im Bereich "So kann man dich finden und kontaktieren" in den Einstellungen könnten User und Userinnen festlegen, wer sie anhand von E-Mail-Adresse und Telefonnummer finden kann. Zudem könnten sie unter anderem bearbeiten, wer grundlegende Infos im Profil sehen kann.
