Mit Urteil vom 18.11.2024 - VI ZR 10/24 - hat der Bundesgerichtshof (BGH) in einem sog. Leitentscheidungsverfahren erstmals grundlegende Fragen zum Schadensersatz für Datenschutzverstöße im Rahmen der Datenschutz-Grundverordnung (DSGVO) beantwortet. Das Verfahren bezog sich auf einen sog, „Scraping-Vorfall“ bei Facebook, bei dem Daten von ca. 533 Millionen Nutzern illegal abgegriffen und veröffentlicht wurden.
Der Kläger, ein Facebook-Nutzer, hatte in seinem Profil personenbezogene Daten wie Name, Geschlecht und Telefonnummer gespeichert. Während die Telefonnummer in seinen Datenschutzeinstellungen auf „nur ich“ gesetzt war, ermöglichte die Plattform durch ihre standardmäßigen Suchbarkeitseinstellungen („alle“), dass andere Nutzer sein Profil über diese Telefonnummer finden konnten.
Im Zeitraum von Januar 2018 bis September 2019 wurde diese Funktion durch sogenannte „Scraper“ missbraucht. Durch diese „Scraper“ wurden die Telefonnummern der Nutzer mit weiteren öffentlich einsehbaren Profildaten (Name, Nutzer-ID, Geschlecht und Arbeitsstätte) verknüpft und in einem umfassenden Datensatz veröffentlicht. Der Kläger behauptete, durch den Vorfall einen Kontrollverlust über seine Daten erlitten zu haben. Dieser Kontrollverlust führte laut eigener Aussage zu Ängsten und betrügerischen Kontaktversuchen wie Phishing-Angriffen.
Der Kläger begehrte mithin:
- Schadenersatz für den immateriellen Schaden in Höhe von 1.000,00 EUR,
- Feststellung der Haftung für künftige Schäden,
- Unterlassung, seine Telefonnummer weiterhin ohne ausreichende Sicherheitsmaßnahmen zu verwenden,
- Auskunft über die Empfänger seiner Daten,
- Ersatz der vorgerichtlichen Rechtsanwaltskosten.
Der BGH hob die vorinstanzliche Entscheidung des Oberlandesgerichts (OLG) Köln teilweise auf und verwies den Fall zur erneuten Verhandlung zurück. Dabei ging er auf die wesentlichen Streitfragen ein.
Unter Anderem stellte der BGH fest, dass der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellt. Es ist nicht erforderlich, dass der Kläger weitere negative Folgen wie wirtschaftliche Schäden oder erhebliche psychische Belastungen nachweist. Dieser Ansatz steht im Einklang mit der Rechtsprechung des Europäischen Gerichtshofs (EuGH), der den Kontrollverlust als eigenständigen Schaden anerkannt hat.
Ebenfalls soll der Schadenersatz den erlittenen Kontrollverlust vollständig ausgleichen, aber nicht darüber hinausgehen. Für einen Fall wie diesen, in dem es um einen Verlust der Kontrolle über weniger sensible Daten wie Telefonnummern geht, wurde ein Betrag von etwa 100 Euro als angemessen erachtet. Weitere Belastungen wie betrügerische Kontaktversuche könnten die Entschädigung erhöhen, wenn sie substantiiert nachgewiesen werden.
Ebenfalls erkannte der BGH an, dass eine Ersatzpflicht für künftige Schäden besteht, solange die veröffentlichten Daten weiterhin im Internet zugänglich sind und eine missbräuchliche Nutzung droht. Die Möglichkeit zukünftiger Schäden sei ausreichend, um ein Feststellungsinteresse zu begründen.
Der BGH sah die Einstellung „alle“ als nicht datenschutzkonform an. Die Beklagte habe durch ihre standardmäßigen Einstellungen gegen die Grundsätze der Datenminimierung (Art. 5 DSGVO) und der datenschutzfreundlichen Voreinstellungen (Art. 25 DSGVO) verstoßen. Facebook hätte von vornherein restriktivere Suchbarkeitseinstellungen vorsehen müssen, die nur eine bewusste und gezielte Nutzung durch den Nutzer ermöglichen.
Der BGH stellte klar, dass der Kläger trotz der Möglichkeit, seine Telefonnummer selbst zu löschen, ein berechtigtes Interesse an einem Unterlassungstitel hat, da die Löschung nicht das gesamte Problem löst (z. B. verbleibende Datenkopien im Internet).
Insgesamt hat das Urteil weitreichende Konsequenzen für Datenschutzverfahren und die Praxis von Plattformanbietern:
- Plattformbetreiber müssen ihre Voreinstellungen dringend an die Vorgaben der DSGVO anpassen. Die Verpflichtung zu datenschutzfreundlichen Einstellungen wird durch das Urteil nochmals deutlich unterstrichen.
- Die Entscheidung stärkt die Rechte der Betroffenen erheblich. Sie können bereits für den Verlust der Kontrolle über ihre Daten Schadensersatz verlangen, ohne umfangreiche Nachweise über negative Folgen erbringen zu müssen.
- Das Urteil bietet eine klare Orientierungshilfe für künftige Fälle von Datenschutzverletzungen und setzt Maßstäbe für die Bemessung immaterieller Schäden. Es wird erwartet, dass Gerichte dieses Urteil bei ähnlichen Fällen als Leitlinie heranziehen.
Das Urteil des BGH im Verfahren VI ZR 10/24 setzt einen wichtigen Meilenstein in der Entwicklung des Datenschutzrechts. Es stärkt die Rechte der Betroffenen und betont die Verantwortung von Unternehmen, datenschutzkonforme Prozesse sicherzustellen. Zugleich konkretisiert es die Anforderungen an die Bemessung von Schadensersatz und die Durchsetzung von Betroffenenrechten.
Foto: DALL·E 3