Schon der kurze Kontrollverlust über eigene Daten könne ein immaterieller Schaden sein, erklärte der BGH am Montag in Karlsruhe. Weitere negative Folgen wie etwa ein Missbrauch dieser Daten müssten nicht nachgewiesen werden. (Az. VI ZR 10/24),Opfer des Vorfalls müssen auch nicht nachweisen, dass sie deswegen besonders besorgt sind. Der BGH erklärte das Verfahren zu einer Leitentscheidung. Er entschied grundsätzlich über die Frage, sein Urteil ist maßgeblich für Tausende anderer Fälle vor deutschen Gerichten.
Es ging um einen sogenannten Scraping-Vorfall. 2018 und 2019 griffen Unbekannte bei Facebook Daten von Hunderten von Millionen von Nutzerinnen und Nutzern ab. Damals konnten Nutzer über die Eingabe von Telefonnummern in die Suchfunktion identifiziert werden. Inzwischen ist das nicht mehr möglich. Die Unbekannten generierten millionenfach zufällige Telefonnummern und riefen über automatisierte Anfragen die Daten von Nutzern ab. Im April 2021 wurden die Daten von 533 Millionen Nutzern im Internet verbreitet.
Darunter waren auch Daten des Klägers in dem konkreten Fall, der vom BGH verhandelt wurde. Bekannt wurde so seine Telefonnummer in Verknüpfung mit seiner Nutzer-Identität. Auch sein Name, Geschlecht und Arbeitgeber waren unter den Daten, diese hatte er allerdings zuvor selbst auf Facebook veröffentlicht. Vom Facebook-Mutterkonzern Meta forderte er Schadenersatz von mindestens 1000 Euro.
Vor dem Oberlandesgericht Köln hatte er damit keinen Erfolg. Dieses muss nun neu über den Fall entscheiden und dabei die Einschätzung des BGH berücksichtigen. In Karlsruhe konnte der konkrete Fall nicht entschieden werden, da noch Feststellungen fehlten. Das Oberlandesgericht muss abschließend prüfen, ob wirklich ein Verstoß gegen die Datenschutzgrundverordnung vorlag.
Das ist allerdings sehr wahrscheinlich. Der Vorsitzende Richter Stephan Seiters führte bei der Urteilsverkündung aus, dass die Standard-Voreinstellung zu den Telefonnummern auf Facebook damals nicht dem Grundsatz der Datenminimierung entsprach.
Dass der Kläger im konkreten Fall am Ende tatsächlich 1000 Euro bekommt, ist dennoch sehr fraglich. Der BGH wies nämlich auch darauf hin, dass er keine Bedenken dagegen habe, für einen bloßen Kontrollverlust nur etwa 100 Euro Ausgleich anzusetzen.
Meta gab sich nach dem BGH-Urteil optimistisch. Martin Mekat von der Kanzlei Freshfields erklärte für das Unternehmen, es sei „zuversichtlich, dass die Sach- und Rechtsfragen erneut zugunsten von Meta entschieden werden“. Die Systeme von Facebook seien nicht gehackt worden und es habe keinen Datenschutzverstoß gegeben.
© AFP
