Haufe Online Redaktion
Haufe Online Redaktion
Daten-Scraping: BGH Urteil zu Facebook
Bild: stnazkul - stock.adobe.com Die aktuelle Entscheidung des BGH stellt klar, dass auch ein nur kurzfristiger Kontrollverlust über die eigenen persönlichen Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen kann.

In einem Grundsatzurteil hat der BGH die Anforderungen an die Geltendmachung von immateriellem Schadensersatz nach der DSGVO konkretisiert. Danach kann bereits der kurzzeitige Kontrollverlust über persönliche Daten ein Schaden sein.

Anlass der Entscheidung des BGH war die von einem Facebook-Nutzer eingelegte Revision gegen die gerichtliche Abweisung eines von ihm gegen den Mutterkonzern von Facebook, das in Irland ansässige Unternehmen Meta, geltend gemachten Anspruch auf Ersatz von immateriellem Schaden.

Millionenfaches Daten-Scraping bei Facebook

Im Rahmen der sogenannten Scraping-Vorfälle bei Facebook wurden Anfang April 2021 weltweit persönliche Daten von ca. 533 Mio. Facebook-Nutzern ohne deren Zustimmung im Internet veröffentlicht. Diese Daten hatten Unbekannte unbefugt aus Facebook-Konten abgegriffen. Wegen dieser Vorfälle sind gegen Meta nach Schätzungen allein in Deutschland noch ca. 6.000 Klagen bei diversen Gerichten anhängig.

Erstes Leitentscheidungsverfahren des BGH nach Neuregelung

Wegen der hohen Anzahl ähnlich gelagerter Schadenersatzprozesse gegen Meta hatte der BGH mit Beschluss vom 31.10.2024 das Revisionsverfahren zum ersten Leitentscheidungsverfahren gemäß dem neuen § 552b ZPO bestimmt. Da die Revision sich aber nicht durch Rücknahme oder anderweitig erledigt hatte, konnte der BGH nach mündlicher Verhandlung vom 11.11.2024 nach den allgemeinen Regeln durch Urteil über die Revision entscheiden

Persönliche Daten des Klägers von Unbefugten abgegriffen

Der Kläger verklagte Facebook u.a. auf Schadenersatz sowie auf Feststellung der Verpflichtung zum Ersatz aus den Datendiebstählen noch zukünftig entstehender Schäden. Die Datendiebe hatten Sichtbarkeitseinstellungen von Facebook dazu genutzt, das Facebook-Profil des Klägers, das dessen vollständigen Namen, Telefonnummer, Arbeitsstätte und seine Nutzer-ID enthielt, teilweise sichtbar zu machen.

DSGVO gewährt materiellen und immateriellen Schadensersatz

Der Kläger stützte den geltend gemachten Anspruch auf Ersatz seines immateriellen Schadens auf Art. 82 Abs. 1 DSGVO. Diese Vorschrift gewährt Personen, denen wegen eines Verstoßes gegen die Datenschutzvorschriften der DSGVO ein Schaden entstanden ist, einen Anspruch auf Ersatz des hierdurch entstandenen materiellen und immateriellen Schadens. Der Kläger warf der Beklagten vor, sein Nutzerkonto nicht ausreichend gegen den unbefugten Zugriff geschützt zu haben.

Restriktive Anwendung des immateriellen Schadensbegriffes durch deutsche Gerichte

Die Auslegung des datenschutzrechtlichen Schadenersatzanspruchs hat in der Vergangenheit zu einer Vielzahl unterschiedlicher Urteile geführt. Dabei haben deutsche Gerichte in der Mehrzahl der Fälle Klagen auf immateriellen Schadensersatz abgewiesen. Eine häufige Begründung hierbei war eine unzureichende Darlegung und Konkretisierung der mit einem Kontrollverlust über die persönlichen Daten eingetretenen weiteren Schadensfolgen. Die Gerichte verlangten häufig eine Darlegung persönlicher Einschränkungen und Nachteile der Betroffenen über den bloßen Kontrollverlust der Daten hinaus (OLG Oldenburg, Urteile v. 16.4.2024 u. 13 U 59/23, 13 U 79/23, OLG Stuttgart, Urteil v. 22.11.2023,4 U 17/23; OLG Hamm, Urteil v. 15.8.2023, 7 U 19/23 und v. 21.12.2023, 7 U 137/23).

BGH: Bloßer Kontrollverlust über eigene Daten kann Schaden sein

Exakt an dieser Stelle setzt die aktuelle BGH-Entscheidung an und stellt klar, dass der bloße, auch nur kurzzeitige Kontrollverlust über die eigenen persönlichen Daten ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO sein kann. Der Betroffene müsse weder eine konkrete missbräuchliche Verwendung seiner Daten noch sonstige Nachteile oder weitere spürbare negative Folgen darlegen, um den Anspruch auf Ersatz des immateriellen Schadens auszulösen.

BGH bejaht auch Feststellungsinteresse auf Ersatz künftiger Schäden

Der BGH ging noch weiter und bejahte einen Anspruch Betroffener auf Unterlassung und Feststellung der Ersatzpflicht für zukünftige Schäden. Allerdings hat der BGH nicht eindeutig entschieden, ob der Anspruch im konkreten Fall tatsächlich gegeben ist. Insbesondere sei bisher nicht geklärt, ob und inwieweit der Kläger bei Einrichtung des Nutzerkontos eine wirksame Einwilligung in die Art der Verwendung seiner Daten durch Facebook gegeben habe.

Deutlicher Dämpfer bei Schadensbemessung

Das Urteil des BGH enthält einen weiteren Dämpfer für die Erwartungen einiger User. Hinsichtlich der Höhe des Schadensersatzanspruches hält der BGH einen Schadensausgleich in einer Größenordnung von 100 EUR dann für ausreichend, wenn über den bloßen Kontrollverlust der Daten hinaus keine besonderen Umstände für außergewöhnliche Belastungen des Betroffenen, z.B. durch missbräuchliche Weiterverwendung seiner Daten durch Dritte, erkennbar sind.

Vorinstanz muss noch offene Fragen klären

Da die Vorinstanz nicht alle für die Entscheidung maßgeblichen tatsächlichen und rechtlichen Voraussetzungen geklärt hatte, hat der BGH den Rechtsstreit zur weiteren Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Hierbei hat der Senat zum Ausdruck gebracht, dass ein der Beklagten vorzuwerfender Datenschutzverstoß wahrscheinlich darin begründet sei, dass die von der Beklagten vorgenommene Voreinstellung der Sichtbarkeitseinstellung auf „alle“ (d.h. der Umfang der sichtbaren Daten ist für Befugte nicht eingeschränkt) den Grundsatz der Datenminimierung verletzt haben dürfte. In diesem Zusammenhang habe das Berufungsgericht allerdings die entscheidungserhebliche Frage zu prüfen, ob der Kläger bei Einrichtung des Nutzerkontos in die konkrete Art der Datenverarbeitung wirksam eingewilligt habe.

(BGH, Urteil v. 18.11.2024, VI ZR 10/24)

Hintergrund:

In der Vergangenheit hat der EuGH in mehreren Urteilen komplexe Vorgaben zur Auslegung des Begriffes des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO gemacht. Die Vorgaben des EuGH waren nicht immer so präzise, wie die Gerichte sich das gewünscht hätten. Die wichtigsten Grundsätze lassen sich wie folgt zusammenfassen:

  • Der Anspruchsteller trägt die Darlegungslast für eingetretene Schäden und muss immaterielle Schäden hinreichend deutlich konkretisieren (EuGH, Urteil v. 4.5.2023, C – 300/21).
  • Bereits die Befürchtung des Missbrauchs personenbezogener Daten kann ein ersatzfähiger immaterieller Schaden sein, jedoch muss die betroffene Person im Einzelfall nachweisen, dass diese Befürchtung im Hinblick auf die eigene Person begründet ist (EuGH Urteil v. 14.12.2023, C-340/21).
  • Der Schadensbegriff beinhaltet keine Erheblichkeitsschwelle oder Bagatellgrenze, d.h. auch geringe Schäden sind zu ersetzen.
  • Die Bemessung der Schadenshöhe ist den nationalen Gerichten unter Beachtung der unionsrechtlichen Äquivalenz- und Effektivitätsgrundsätze überlassen.
  • Dem Schadenersatz kommt keine Abschreckungs- oder Straffunktion zu.
  • Das rein hypothetische Risiko eines Datenmissbrauchs genügt nicht für die Verwirklichung eines Schadens, vielmehr muss der Anspruchsteller die individuelle Betroffenheit darlegen und beweisen (EuGH, Urteil v. 25.1.2024, C – 687/21). Die Bedeutung der aktuellen BGH-Entscheidung liegt in diesem Punkt darin, dass ein eingetretener Kontrollverlust für die individuelle Betroffenheit ausreichend sein kann.

Weitere Beiträge, die Sie interessieren könnten:

Gemeinsame Verantwortlichkeit nach DSGVO

KI: noyb geht gegen OpenAI, Meta und X vor

KI im Social Media Einsatz

Schlagworte zum Thema:  Social Media, Datenschutz, Bundesgerichtshof (BGH), Datenschutz-Grundverordnung, IT-Recht
Meistgelesene Beiträge
Neueste Beiträge
Zum Haufe Shop
Zum Thema Wirtschaftsrecht
Deutsches Anwalt Office Premium: Die umfassende digitale Fachbibliothek
Deutsches Anwalt Office Premium

Neben 150 Fachbüchern, Zeitschriften und einer Entscheidungs-datenbank bietet diese Fachbibliothek nützliche Umsetzungshilfen für die tägliche Fallbearbeitung sowie ein umfassendes Fortbildungsangebot.
Machen Sie Ihre Kanzlei digital fit: Mit Advolux.
Advolux

Mit der modernen Kanzleisoftware für Windows, Mac und Linux – auch in der Cloud – nutzen Sie die Vorteile der Digitalisierung für Ihre Kanzlei.
Urteil: Kein Schadenersatz nach Datendiebstahl bei Facebook
weibliche Hände am PC Datenschutz Zeichen

Das OLG Hamm verweigerte einer Nutzerin trotz eines Datenschutzverstoßes von Facebook nach dem Diebstahl ihrer Daten Schadensersatz. Begründung: Die Klägerin habe ihren Schaden nicht ausreichend konkretisiert.
Rechte und Pflichten: Praxishandbuch KI und Recht
Praxishandbuch KI und Recht

Das Buch führt in die rechtlichen Grundlagen im Zusammenhang mit dem Einsatz von KI ein. Insbesondere werden die neue europäische KI-Verordnung (AI Act) und die sich daraus ergebenden Rechte und Pflichten behandelt. Auch Haftungsfragen und für die datenschutzkonforme KI-Nutzung werden dargestellt. 
OLG Dresden 4 U 1168/23
OLG Dresden 4 U 1168/23

  Leitsatz (amtlich) 1. Voreinstellungen eines sozialen Netzwerks sind nach dem Grundsatz der "Datenschutzfreundlichkeit" so auszugestalten, dass nur die Verarbeitung standardmäßig ausgeführt wird, die unbedingt erforderlich ist, um den vorgesehenen ...

4 Wochen testen