Der Bundesgerichtshof (BGH) hat eine wegweisende Entscheidung zu Datenschutzverletzungen getroffen. Anlass war der Facebook-Scraping-Skandal von 2021, bei dem Unbekannte die Daten von 533 Millionen Nutzern aus 106 Ländern abgegriffen und im Internet veröffentlicht hatten. Der BGH nutzte das neue Leitentscheidungsverfahren, um eine grundlegende Weichenstellung zum Thema immaterieller Schadensersatz bei Kontrollverlust über personenbezogene Daten vorzunehmen. Diese Entscheidung könnte den Ausgang zahlreicher laufender Klagen beeinflussen und zu einer Neuausrichtung der Instanzgerichte führen.
Hintergrund des Falls: Facebook-Scraping 2021
Im April 2021 wurde bekannt, dass Unbekannte durch eine Schwachstelle in der Freunde-Suchfunktion von Facebookmillionenfach persönliche Daten abgegriffen hatten. Dabei nutzten die Täter eine Technik namens Scraping, bei der durch systematische Eingabe zufällig generierter Telefonnummern Benutzerprofile gefunden und ausgelesen wurden. Besonders brisant war, dass hierbei auch nicht-öffentliche Telefonnummern und weitere personenbezogene Daten wie Namen, Geburtsdaten, Standorte und Beziehungsstatus offengelegt wurden.
Obwohl Facebook die Sicherheitslücke nach Bekanntwerden geschlossen hatte, war der Schaden für die betroffenen Nutzer bereits entstanden: Ihre Daten waren frei im Internet verfügbar, ohne dass sie dies verhindern konnten. In der Folge kam es zu zahlreichen Klagen auf Schadensersatz, die sich über verschiedene Instanzen zogen und nun durch die BGH-Entscheidung maßgeblich beeinflusst werden.
Leitentscheidungsverfahren: Neuer Weg zur Klärung von Massenklagen
Der BGH machte erstmals von der neuen Möglichkeit des Leitentscheidungsverfahrens Gebrauch, das Instanzgerichte entlasten und in Fällen mit einer Vielzahl gleichgelagerter Rechtsfragen eine einheitliche Linie vorgeben soll. Anders als eine klassische Grundsatzentscheidung bindet eine Leitentscheidung formal keine unteren Gerichte, bietet ihnen aber eine Orientierung, um ähnliche Fälle konsistent zu bewerten.
Wesentliche Punkte der BGH-Entscheidung
Die zentrale Frage, die der BGH klären musste, lautete: Reicht der bloße Kontrollverlust über personenbezogene Daten bereits aus, um einen immateriellen Schadenersatzanspruch nach DSGVO zu begründen?
1. Kontrollverlust als Schaden anerkannt
Der BGH stellte klar, dass ein konkreter Missbrauch der Daten durch Dritte nicht zwingend nachgewiesen werden muss, um einen Schadenersatzanspruch geltend zu machen. Der reine Verlust der Kontrolle über personenbezogene Daten kann bereits einen Schaden im Sinne der DSGVO darstellen. Dies bedeutet, dass Betroffene auch dann entschädigt werden können, wenn sie (noch) nicht konkret durch Identitätsdiebstahl, Betrug oder andere Missbrauchshandlungen geschädigt wurden.
2. Anforderungen an die Darlegung des Schadens
Betroffene müssen laut BGH nicht exakt nachweisen, welchen Personen sie ihre Daten selbst offengelegt haben. Es genügt, wenn sie glaubhaft darlegen, dass ihre Daten nicht allgemein zugänglich waren und sie durch das Datenleck ein Gefühl des Kontrollverlusts sowie konkrete Sorgen um den möglichen Missbrauch erlitten haben.
Ein Beispiel hierfür ist die Aussage des Klägers, er habe ein verstärktes Misstrauen gegenüber unbekannten Anrufen und E-Mails entwickelt und sehe sich gezwungen, zusätzliche Sicherheitsmaßnahmen zu ergreifen. Auch die psychische Belastung durch den Vorfall, etwa anhaltende Sorgen oder Ängste, kann als Schaden gewertet werden.
3. Schadensbemessung: 100 € als Orientierung
Der BGH stellte fest, dass Gerichte bei der Schätzung eines Schadensersatzbetrags unter anderem folgende Faktoren berücksichtigen müssen:
• Sensibilität der betroffenen Daten (z. B. besonders schutzwürdige Daten gemäß Art. 9 DSGVO)
• Art und Dauer des Kontrollverlusts
• Möglichkeit der Wiedererlangung der Kontrolle über die Daten
• Hypothetischer Aufwand zur Wiedererlangung der Kontrolle (z. B. durch Rufnummernwechsel oder erhöhte Sicherheitsvorkehrungen)
Der BGH sah eine pauschale Entschädigungssumme von 100 € für den reinen Kontrollverlust als angemessen an. Höhere Summen können jedoch fällig werden, wenn Betroffene nachweislich psychische oder emotionale Beeinträchtigungen erlitten haben, die über bloße Unannehmlichkeiten hinausgehen.
Auswirkungen der Entscheidung auf zukünftige Verfahren
Die Entscheidung des BGH könnte die bislang sehr niedrige Erfolgsquote von Klagen in Scraping-Fällen drastisch verändern. Bisher wurden rund 85 % der erst- und zweitinstanzlichen Klagen abgewiesen, weil Gerichte einen konkreten Schaden für erforderlich hielten. Da der BGH nun die Hürde für den Schadensnachweis gesenkt hat, dürften sich in Zukunft viele Verfahren zugunsten der Kläger entscheiden.
Unternehmen müssen sich darauf einstellen, dass sie schneller und umfassender für Datenschutzverletzungen haftbar gemacht werden. Gerade im Bereich Social Media, E-Commerce und Telekommunikation könnte die Entscheidung zu einem Anstieg von Schadensersatzklagen führen.
Fazit: Ein Meilenstein für Datenschutzrechte
Die Entscheidung des BGH stellt einen bedeutenden Fortschritt für den Schutz personenbezogener Daten dar. Sie stärkt die Rechte der Betroffenen, indem sie den Nachweis eines immateriellen Schadens erleichtert und Unternehmen zur verantwortungsvollen Datenverarbeitung anhält.
Mit der Klarstellung, dass bereits der Kontrollverlust über persönliche Daten einen Schaden begründen kann, könnte die Zahl erfolgreicher Klagen in der Zukunft steigen. Betroffene von Datenschutzverstößen haben nun eine bessere Ausgangsposition, um ihre Rechte durchzusetzen – während Unternehmen sich stärker mit der Frage auseinandersetzen müssen, wie sie den Schutz sensibler Daten effektiver gewährleisten können.
Die kommenden Monate werden zeigen, wie Instanzgerichte die BGH-Entscheidung umsetzen und ob sich eine neue Rechtsprechungslinie zu Datenschutz-Schadensersatz herausbildet. Eins ist jedoch sicher: Der Schutz personenbezogener Daten hat durch dieses Urteil eine neue Dimension erreicht.
