×

Rückruf vereinbaren

Ihre Nachricht an uns

Startseite
/
Nachrichten
/
Datenschutzrecht
/
BGH in erstem Leitentscheidungsverfahren: Kontrollverlust von personenbezogenen Daten begründet Schadensersatzpflicht - Ein Kommentar

Autor

Portraitbild
Rechtsanwalt Michael Terhaag, LL. M.

Fachanwalt für IT-Recht
Fachanwalt für gewerblichen Rechtsschutz

Entscheidung zu Datenklau bei Facebook im ersten Leitentscheidungsverfahren des BGH

von Rechtsanwalt Michael Terhaag, LL.M.

Der Bundesgerichtshof (BGH) hat am 18. November 2024 im Fall des Facebook-Datenlecks eine wichtige Entscheidung getroffen. Diese Entscheidung stellt die erste Anwendung des neuen Leitentscheidungsverfahrens dar und hat sowohl rechtliche als auch praktische Implikationen für betroffene Nutzer, langfristiog wohlmöglich weit über Fascebook hinaus.

Zum Sachverhalt des Datenlecks

Im April 2021 wurden Daten von etwa 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet öffentlich zugänglich. Unbekannte Dritte hatten eine Schwachstelle in der Kontakt-Import-Funktion von Facebook ausgenutzt, um durch die massenhafte Eingabe zufälliger Telefonnummern Nutzerprofile zu identifizieren und deren öffentlich sichtbare Daten abzugreifen. Dieser als "Scraping" bekannte Vorgang betraf auch die Daten des Klägers, dessen Nutzer-ID, Name, Arbeitsstätte und Geschlecht mit seiner Telefonnummer verknüpft wurden

Kernpunkt des Urteils mit "Wehrmutstropfen" im Etappenziel

In seiner Entscheidung stellte der BGH zwar erstmalig fest, dass bereits der bloße Kontrollverlust über personenbezogene Daten einen Schadensersatzanspruch begründet, ohne dass ein weiterer Nachweis eines konkreten Schadens erforderlich ist. Das ist aus Sicht des Verfassers nachvollziehbar und der bemerkenswerte Kernpunkt der Entscheidung und stärkt die Position der Nutzer immens. Die Entscheidung erleichtert ihnen, Schadensersatzansprüche geltend zu machen, ohne konkrete Schäden wie zum Beispiel körperliche Beschwerden oder monitäre Schäden nachweisen zu müssen. Ausgeschlossen sind aber auch solche und darüber hinausgehende Schäden möglich.
Dennoch gibt es aus Klägersicht einen erheblichen Wehrmutstropfen: Der BGH erkennt den Kontrollverlust über personenbezogene Daten als Schadensersatzgrund an, weist aber sogleich darauf hin, dass dann dieser Anspruch der Höhe nach in einer Größenordnung von 100 € zu bemessen sein könnte.
Aus unserer Sicht, macht genau das, bei allem Erreichten die Entscheidung zu einem Phyrrussieg.  Der relativ geringe Schadensersatz könnte sogar zudem die abschreckende Wirkung auf Unternehmen mindern, auch wenn es ghier bei den Zahlreichen Betroffenen dennoch teuer für Facebook werden könnte. Dennoch wird ein solcher Betrag Betroffene in der Zukunft kaum motivieren, Ihre Rechte wahrzunehmen...

Bedeutung für laufende Verfahren

Die Entscheidung wird voraussichtlich weitreichende Auswirkungen auf zahlreiche anhängige Klagen vor deutschen Gerichten haben. Sie dient als Richtschnur für die Beurteilung ähnlicher Fälle und könnte zu einer einheitlicheren Rechtsprechung im Bereich Datenschutzverletzungen führen.

Besonderheiten des Leitentscheidungsverfahrens

Das am 31. Oktober 2024 in Kraft getretene Leitentscheidungsverfahren ermöglicht es dem BGH, grundlegende Rechtsfragen auch dann zu klären, wenn die Prozessparteien die Hauptsache erledigen, beispielsweise durch Klagerücknahme oder Anerkenntnis. Diese Regelung verhindert, dass Parteien durch taktische Maßnahmen die Klärung wichtiger rechtlicher Fragen blockieren können. Der BGH kann aus mehreren bei ihm anhängigen Revisionen ein geeignetes Verfahren auswählen, um ein möglichst breites Spektrum an offenen Rechtsfragen zu klären. Die Leitentscheidung ergeht durch Beschluss ohne mündliche Verhandlung und wird unter Beschränkung auf die Erwägungen zur Entscheidung der maßgeblichen Rechtsfragen begründet

Fazit

Die Entscheidung des BGH markiert einen wichtigen Meilenstein im Datenschutzrecht: Erstmals wird anerkannt, dass allein der Kontrollverlust über personenbezogene Daten einen Schadensersatzanspruch rechtfertigt – ein bedeutender Fortschritt, der die Rechte der Betroffenen stärkt und die Hürden für die Geltendmachung von Ansprüchen senkt. Dennoch bleibt ein bitterer Beigeschmack, da der avisierte Schadensersatzbetrag mit etwa 100 Euro pro Betroffenem ausgesprochen gering ausfällt. Dies könnte die abschreckende Wirkung auf Unternehmen mindern und Betroffene wenig motivieren, ihre Rechte einzufordern.

Gleichzeitig ist die Botschaft an Unternehmen klar: Auch kleinere Beträge summieren sich bei einer Vielzahl an Fällen schnell zu erheblichen Kosten. Diese Entscheidung sollte daher als Weckruf verstanden werden, Datenschutz und Datensicherheit ernst zu nehmen und proaktiv Maßnahmen zur Vermeidung von Datenpannen zu ergreifen. Die Signalwirkung des Urteils reicht über Facebook hinaus und setzt einen richtungsweisenden Standard für den Umgang mit Datenschutzverletzungen in Deutschland.
Die Anwendung des Leitentscheidungsverfahrens unterstreicht die Relevanz dieses Falls für die Rechtsprechung in Deutschland auch aus Sicht des höchsten Zivilsenats.


Das könnte Sie auch interessieren:

Auskunftsanspruch gegen Social-Media-Plattform bei Persönlichkeitsrechtsverletzung

Coronavirus im rechtlichen Fokus: Worauf müssen wir nun achten?

Der Corona Pranger - Radiointerview Bremen2

Bundesliga, Corona & Recht - Radiointerview bei Antenne Düsseldorf

Michael Terhaag | Christian Schwarz

Influencer-Marketing - Rechtshandbuch

2. Auflage – vollständig überarbeitet und aktualisiert

Praxisnaher Überblick zu rechtlichen Fragestellungen im Influencer-Marketing,  u.a. im Werbe-, Wettbewerbs-, Urheber-, Marken- und Persönlichkeitsrecht; inklusive Muster zur Vertragsgestaltung.