BGH bestätigt Schadensersatzansprüche für Verbraucher im Facebook-Datenleck

Datum der Veröffentlichung: 12. November 2024

Der Bundesgerichtshof (BGH) hat in einer Leitentscheidung zur DSGVO eine klare Linie gezogen: Der bloße Verlust der Kontrolle über persönliche Daten stellt bereits einen Schaden dar, der Schadensersatzansprüche begründet. Diese Entscheidung im Rahmen der mündlichen Verhandlung zur Klage gegen Facebooks Mutterkonzern Meta schafft Rechtssicherheit für Betroffene und gibt Gerichten in Deutschland eine dringend benötigte Orientierung. Sie betrifft nicht nur die Klage von Nutzern des sozialen Netzwerks, sondern könnte auch auf zukünftige Fälle ähnlicher Datenlecks anwendbar sein.


Was hat der BGH genau entschieden?


Der BGH stellte fest, dass bereits der Kontrollverlust über personenbezogene Daten, also der Umstand, dass die betroffene Person die Hoheit über ihre eigenen Daten verliert, einen Schaden im Sinne der DSGVO darstellt. Damit erübrigt sich die bislang geforderte Bedingung, dass Betroffene weitere psychische Belastungen oder eine konkrete Missbrauchsgefahr nachweisen müssen. Der BGH schließt sich damit den Urteilen des Europäischen Gerichtshofs (EuGH) an, die die Hürden für Betroffene erheblich gesenkt haben.



Diese Entscheidung ist insbesondere für Millionen Facebook-Nutzer relevant, deren Daten im Rahmen des „Facebook-Datenlecks“ kompromittiert wurden. Durch eine Sicherheitslücke, die Facebook 2021 eingeräumt hatte, gelangten Informationen wie Telefonnummern, E-Mail-Adressen und weitere sensible Daten von über 500 Millionen Nutzern weltweit – darunter etwa sechs Millionen deutsche Facebook-Nutzer – ins Darknet. In Deutschland betroffene Personen sehen sich seitdem einem erhöhten Risiko ausgesetzt, Opfer von Phishing und Identitätsdiebstahl zu werden.


Hintergrund: Das Facebook-Datenleck und seine Auswirkungen


Das Facebook-Datenleck aus dem Jahr 2021 ist ein besonders schwerwiegendes Beispiel für unzureichenden Datenschutz. Eine Schwachstelle ermöglichte es Kriminellen, über Facebooks Kontakt-Import-Funktion Daten wie Telefonnummern, E-Mail-Adressen und teilweise persönliche Angaben wie Beziehungsstatus und Arbeitsort zu extrahieren und zu veröffentlichen. Diese Daten gerieten in die Hände Unbefugter und wurden schließlich im Darknet veröffentlicht, wo sie kriminellen Aktivitäten Vorschub leisten könnten.

Für Betroffene ist das Facebook-Datenleck weitreichender als ein einmaliger Verstoß. Die Veröffentlichung im Darknet kann langfristige Konsequenzen haben, da die Daten wiederholt für betrügerische Aktivitäten genutzt werden können. Besonders problematisch ist hierbei, dass die Datenlecks durch internationale Netzwerke und durch die digitale Reichweite global Auswirkungen haben. In diesem Zusammenhang hat der BGH heute die Forderung erhoben, dass Betroffene des Datenlecks – wie auch künftige Opfer ähnlicher Vorfälle – keine unverhältnismäßigen Nachweise für ihre psychische Belastung erbringen müssen, um einen DSGVO-Schadensersatz zu erhalten.


Rechtssicherheit für Betroffene


Die Entscheidung des BGH hat eine klare Signalwirkung für Betroffene: Wer die Kontrolle über seine persönlichen Daten verliert, kann nun einen Schadensersatzanspruch geltend machen, ohne umfassende Begründungen zur individuellen Beeinträchtigung beizufügen. Diese Rechtssicherheit wird von Datenschutzexperten begrüßt, da sie für die Gerichte eine einheitliche Linie vorgibt und weiteren Abweichungen, wie sie zuvor auf der Ebene der Landesgerichte zu beobachten waren, entgegenwirkt.

Praktische Schritte für Betroffene


  1. Überprüfung der eigenen Daten: Verbraucher, die die Plattform Facebook nutzen, können prüfen, ob sie selbst von dem Datenleck betroffen sind. Dafür stehen verschiedene Online-Tools zur Verfügung, die anhand der Mobilnummer eine Prüfung durchführen können.
  2. Schadensersatz geltend machen: Betroffene sollten ihre Ansprüche auf Schadensersatz prüfen und sich gegebenenfalls rechtlich beraten lassen, um sicherzustellen, dass alle relevanten Informationen dokumentiert werden.
  3. Sicherheitsmaßnahmen im Alltag: Es ist ratsam, regelmäßig die eigenen Datenschutz- und Sicherheitseinstellungen auf Plattformen wie Facebook und anderen sozialen Netzwerken zu überprüfen und anzupassen.


Hier geht es zum Ratgeber "Datenlecks bei Facebook – So prüfst du, ob deine Daten betroffen sind"

Haftung auch für potenzielle Schäden


Neben der Anerkennung des Kontrollverlusts als schadenbegründend hat der BGH auch die Frage künftiger Schäden berücksichtigt. Durch die Veröffentlichung im Darknet könnte es in der Zukunft zu weiteren Angriffen, etwa durch Phishing, Identitätsdiebstahl oder andere kriminelle Aktivitäten, kommen. Der BGH entschied, dass auch diese möglichen, noch nicht eingetretenen Schäden durch das Datenleck schadensersatzpflichtig sind. Unternehmen wie Facebook bzw. Meta haften damit nicht nur für den konkreten Schaden, sondern auch für alle Folgen, die sich potenziell noch aus der Veröffentlichung der Daten im Darknet ergeben können. Auch besteht die Möglichkeit, dass Betroffene Unterlassungsansprüche geltend machen können, um Facebook und ähnliche Anbieter in Zukunft zu strikterem Datenschutz zu verpflichten.


Das Verfahren: Wichtige Schritte und mögliche Fortsetzung


Der BGH verwies den Fall nun an das Oberlandesgericht Köln zurück, welches die genaue Höhe des Schadensersatzes festlegen und die Verantwortlichkeiten weiter prüfen soll. Das Oberlandesgericht Köln hatte zuvor in der Berufungsinstanz die Klage abgewiesen, da es die Voraussetzung des Schadensersatzes enger auslegte und verlangte, dass ein konkreter Missbrauch oder eine psychische Belastung der Betroffenen nachgewiesen werden muss. Der BGH hat diese eng gefasste Auslegung nun korrigiert und klargestellt, dass die Verletzung des Selbstbestimmungsrechts über persönliche Daten ausreicht, um einen Anspruch auf Entschädigung zu begründen.


Das Verfahren könnte in den kommenden Jahren erneut vor dem BGH landen, falls das Oberlandesgericht Köln die konkrete Bemessung des Schadensersatzes trifft und dabei erneut Rechtsfragen aufwirft, die durch das oberste Gericht zu entscheiden wären. Bis dahin hat der BGH eine rechtliche Grundlage geschaffen, die es ermöglicht, dass auch künftige Fälle zügiger und verbraucherfreundlicher entschieden werden.


Die Bedeutung der Entscheidung im europäischen Kontext


Der BGH bezieht sich in seinem Urteil auf die Rechtsgrundlagen, die der Europäische Gerichtshof (EuGH) geschaffen hat. Der EuGH hatte bereits mehrfach betont, dass die DSGVO dem Schutz personenbezogener Daten höchsten Wert beimisst und dass dieser Schutz unabhängig davon gilt, ob konkrete Schäden im Einzelfall bereits eingetreten sind. In seiner Entscheidung betont der BGH, dass der bloße Kontrollverlust über die eigenen Daten nicht als geringfügiger Verstoß angesehen werden kann, da die DSGVO ausdrücklich eine „Ausgleichsfunktion“ für Betroffene vorsieht.


Mit der Entscheidung wird zudem die Rechtssicherheit auf europäischer Ebene erhöht, da auch Gerichte in anderen EU-Staaten die Entscheidung des BGH als Orientierungshilfe nutzen können. Die Entscheidung könnte somit dazu beitragen, eine europaweit einheitlichere Handhabung des Datenschutzes und der Schadensersatzansprüche bei Datenverlust zu schaffen.


Konsequenzen für Unternehmen


Die Entscheidung ist auch ein starkes Signal an Unternehmen, ihre Datenschutzrichtlinien zu überprüfen und bestehende Sicherheitsmaßnahmen gegebenenfalls anzupassen. Die Haftungsrisiken bei Datenschutzverletzungen sind durch die Entscheidung des BGH deutlich gestiegen, und die Aussicht auf Schadensersatzansprüche in Millionenhöhe wird Unternehmen dazu anregen, Maßnahmen zum Schutz personenbezogener Daten strenger umzusetzen. Die Kosten, die durch eine potenzielle Verletzung entstehen könnten, machen es für viele Unternehmen wirtschaftlich ratsam, präventiv in Datenschutzmaßnahmen zu investieren.

Aktuelle Themen

Warnung vor Colleon AG: Illegale Abrechnungen trotz BaFin-Entzug

13. Dezember 2025
Die Bundesanstalt für Finanzdienstleistungsaufsicht hat am 20.08.2025 eine unmissverständliche Entscheidung getroffen. Der Colleon AG mit Sitz in Mainz wurde per bestandskräftigem Bescheid aufgegeben, ihr ohne Erlaubnis betriebenes Finanztransfergeschäft unverzüglich einzustellen und vollständig abzuwickeln. Der Kern des Problems liegt nicht in einer formalen Grauzone, sondern in einem klaren Verstoß gegen das Zahlungsdiensteaufsichtsgesetz. Die Colleon AG verfügte über keine Erlaubnis nach § 10 Abs. 1 Satz 1 ZAG, nahm aber dennoch über eigene Bankkonten Gelder von Endkunden entgegen und leitete diese an ihre Auftraggeber weiter. Damit überschritt das Unternehmen bewusst die Grenze zwischen zulässiger Inkassotätigkeit und erlaubnispflichtigem Zahlungsdienst. Die BaFin stellt ausdrücklich klar, dass es sich bei den eingezogenen Rechnungsbeträgen nicht um zahlungsgestörte Forderungen handelte. Genau diese Voraussetzung wäre jedoch zwingend notwendig gewesen, um die Tätigkeit überhaupt dem registrierten Inkasso zuordnen zu können. Die Konstruktion war damit rechtswidrig, nicht auslegungsfähig und nicht heilbar. Besonders problematisch ist der konkrete Anwendungsbereich dieser Praxis. Gelder wurden unter anderem für angebliche Dienstleistungen über Internetseiten wie post-nachsenden.de, nachsendung-post.de, dein-rundfunkbeitrag.de, selbstauskunft.de oder deutsche-rentenauskunft.de eingezogen. Diese Domains arbeiten gezielt mit amtlich klingenden Bezeichnungen, erzeugen Nähe zu Behörden oder öffentlichen Stellen und setzen auf Erwartungshaltungen von Verbrauchern, die rechtmäßige und notwendige Leistungen vermuten. Genau hier entsteht der eigentliche Schaden. Verbraucher zahlen in dem Glauben, eine offizielle oder zumindest regulierte Dienstleistung in Anspruch zu nehmen, während im Hintergrund Zahlungsströme über ein Unternehmen laufen, das hierfür keine aufsichtsrechtliche Legitimation besitzt. Die Abwicklungsanordnung der BaFin verpflichtet die Colleon AG, alle noch auf ihren Konten befindlichen Gelder an die jeweiligen Einzahler zurückzuzahlen. Dass entsprechende Nachweise vorgelegt wurden, ändert nichts an der grundsätzlichen Bewertung. Der Bescheid ist bestandskräftig. Die Geschäftstätigkeit in dieser Form ist beendet. Jede weitere Abrechnung, Zahlungsaufforderung oder Forderungsdurchsetzung aus diesen Konstruktionen ist rechtlich hoch angreifbar. Aus Verbrauchersicht ist besondere Vorsicht geboten Wer Zahlungsaufforderungen erhält, die im Zusammenhang mit den genannten Plattformen stehen, sollte diese nicht ungeprüft begleichen. Inkassoschreiben, Mahnungen oder vermeintliche Gebührenforderungen verlieren ihre Grundlage, wenn das zugrunde liegende Geschäftsmodell bereits von der Finanzaufsicht untersagt und abgewickelt wurde. Hier besteht ein erhebliches Risiko, unberechtigte Zahlungen zu leisten oder sich durch Einschüchterung zu vorschnellen Überweisungen drängen zu lassen. Bitte reichen Sie Zahlungsaufforderungen zur Prüfung bei der Bundesverbraucherhilfe e.V. ein. Der Fall Colleon AG zeigt erneut, wie wichtig regulatorische Aufsicht und konsequentes Eingreifen sind, aber auch, wie geschickt einzelne Marktteilnehmer versuchen, formale Registrierungen als Inkassodienstleister zu nutzen, um faktisch erlaubnispflichtige Zahlungsdienste zu betreiben. Verbraucher dürfen nicht die Leidtragenden solcher Konstruktionen sein. Transparenz, klare Abgrenzung und rechtmäßige Abrechnung sind keine Optionalitäten, sondern zwingende Voraussetzungen für jedes Unternehmen, das mit fremdem Geld arbeitet. Unsere klare Empfehlung lautet daher: Zahlungen kritisch prüfen, Forderungen hinterfragen, keine Anerkenntnisse abgeben und im Zweifel fachkundigen Rat einholen. Die Entscheidung der BaFin ist ein starkes Signal. Sie zeigt, dass Abrechnungsmachenschaften auch dann nicht toleriert werden, wenn sie technisch sauber verpackt und rechtlich verkleidet auftreten. Verbraucher sollten dieses Signal ernst nehmen und entsprechend handeln.

Vorsicht vor Aktienempfehlungen in WhatsApp-Gruppen: Anleger geraten ins Visier von Betrügern

25. Oktober 2025
Immer häufiger kursieren in privaten WhatsApp-Gruppen vermeintlich exklusive Tipps zum schnellen Aktiengewinn. Derzeit werden insbesondere Papiere der Canaan Inc. (ISIN US1347481020) beworben. Nach Angaben der Finanzaufsicht BaFin stecken dahinter keine seriösen Finanzexperten, sondern organisierte Gruppen, die gezielt Anlegerinteresse erzeugen, um selbst von steigenden Kursen zu profitieren. In den Chats treten Personen auf, die angeblich bekannte Namen aus der Finanz- oder Börsenwelt tragen. In Wahrheit handelt es sich um gefälschte Profile. Fotos, Namen und Lebensläufe werden kopiert, um Vertrauen aufzubauen. Ziel ist es, Privatanleger mit unrealistischen Gewinnversprechen und künstlichem Zeitdruck zu Aktienkäufen zu bewegen. Wer darauf hereinfällt, wird Teil eines klassischen Pump-and-Dump-Schemas: Die Täter kaufen früh, treiben den Kurs hoch und stoßen ihre Anteile ab, sobald andere investieren. Betroffen sind nicht nur Aktien, die in Deutschland gehandelt werden. Neben Canaan Inc. tauchen in den Chats auch Namen auf wie Springview Holding (ISIN KYG837611097), Health in Tech Inc. (ISIN US42217D1028), Lichen China Ltd. (ISIN KYG5479G1082), Iczoom Group Inc. (ISIN KYG4760B1005), Chanson International Holding (KYG2104U1076) und Golden Heaven Group Holdings Ltd. (ISIN KYG3959D1253). Die Kürzel „US“ und „KY“ in den ISINs zeigen, dass diese Gesellschaften in den Vereinigten Staaten beziehungsweise auf den Cayman Islands registriert sind – Jurisdiktionen, in denen eine Rechtsverfolgung für Privatanleger deutlich schwieriger ist. Das Grundproblem liegt in der Dynamik sozialer Netzwerke. Informationen verbreiten sich rasant, während die Überprüfung oft zu spät erfolgt. Gefälschte Börsennachrichten, manipulierte Screenshots oder fingierte Kurscharts verstärken den Eindruck von Glaubwürdigkeit. Viele dieser Nachrichten verwenden Formulierungen wie „Insider-Tipp“ oder „nur für kurze Zeit“, um den psychologischen Druck zu erhöhen. Solche Taktiken sind kein Zufall, sondern Bestandteil gezielter Marktmanipulation. Anleger sollten in solchen Fällen Ruhe bewahren und Fakten prüfen. Jede Investmententscheidung gehört auf den Prüfstand: Gibt es geprüfte Unternehmenszahlen? Wird das Wertpapier an einem regulierten Markt gehandelt? Ist das Geschäftsmodell transparent? Liegen offizielle Mitteilungen vor? Fehlende Informationen sind ein Warnsignal. Ebenso gilt: Je lauter der Versprechens-Ton, desto höher das Risiko. Die Bundesverbraucherhilfe ruft Verbraucher dazu auf, keine Wertpapiere aufgrund von Chat-Empfehlungen zu kaufen und verdächtige Inhalte zu dokumentieren. Hinweise auf unseriöse Anlagewerbung können an die BaFin oder direkt an die Polizei weitergeleitet werden. Auf der Website der BaFin stehen weiterführende Informationen, wie sich Anleger effektiv schützen und seriöse Quellen erkennen. Kapitalmärkte leben von Vertrauen. Dieses Vertrauen wird nur dann bestehen, wenn Verbraucher lernen, zwischen Marktinformation und Manipulation zu unterscheiden. Jede kritische Nachfrage schützt vor Schaden – und sichert langfristig den fairen Zugang zu echten Chancen. 

Präsident Ricardo Dietl fordert regelbasiertes Miteinander in der Politik

15. Oktober 2025
Präsident Ricardo Dietl hat die Vorsitzende des Bundesausschusses gebeten, das Thema eines politischen Vertrauensprogramms auf die Tagesordnung der nächsten Sitzung zu setzen. Ziel ist es, dass sich der Bundesausschuss mit der Frage befasst, wie ein regelbasiertes Miteinander im politischen Raum wieder gestärkt werden kann. Dietl macht deutlich, dass die gesellschaftliche Polarisierung, die Zunahme politischer Aggression und das wachsende Misstrauen gegenüber Institutionen auf einen tiefgreifenden Vertrauensverlust hindeuten. Während die Politik derzeit Aufbruchstimmung zu vermitteln versucht, erleben viele Bürger steigende Preise, zunehmende Belastungen und eine Politik, die zu oft in Symboldebatten verharrt. „Wir müssen uns ehrlich machen“, erklärt Ricardo Dietl. „Die Menschen spüren, dass sich an vielen Stellen wenig verändert. Vertrauen wächst nicht durch Ankündigungen, sondern durch Taten, durch Berechenbarkeit und durch klare Regeln.“ Im Mittelpunkt der Befassung soll stehen, wie politischer Wettbewerb wieder konstruktiv gestaltet werden kann. Dietl verweist dabei auf die Prinzipien der Sozialen Marktwirtschaft. Wettbewerb sei notwendig und produktiv, wenn er von Respekt und Fairness getragen werde. „Wettbewerb ja, bessere Vorschläge machen, immer gerne. Aber gegenseitige Herabwürdigung, die Unterstellung von Unwählbarkeit und persönliche Angriffe führen zu einer Atmosphäre, in der Politik zur Bühne des Gegeneinanders wird. Das schadet der Demokratie und befeuert Hass aus allen Richtungen. Dem müssen wir mit einem regelbasierten, besonnenen und gestärkten Miteinander begegnen“, so Dietl. Die Bundesverbraucherhilfe wird das Thema in den kommenden Sitzungen als Impuls für eine breitere gesellschaftliche Debatte verstehen. Ricardo Dietl sieht darin eine grundlegende Aufgabe für die politische Kultur in Deutschland: Politik soll wieder zeigen, dass sie fähig ist, Verantwortung zu übernehmen, Konflikte respektvoll auszutragen und Vertrauen Schritt für Schritt zurückzugewinnen. „Ein Land bleibt nur stark, wenn seine politischen Akteure die Regeln des Anstands und der Verantwortung wahren“, fasst Dietl zusammen. „Darüber zu sprechen ist nicht Schwäche, sondern Stärke. Es ist Zeit, dass wir diese Stärke leben.“