Der Bundesgerichtshof (BGH) hat in einer Leitentscheidung zur DSGVO eine klare Linie gezogen: Der bloße Verlust der Kontrolle über persönliche Daten stellt bereits einen Schaden dar, der Schadensersatzansprüche begründet. Diese Entscheidung im Rahmen der mündlichen Verhandlung zur Klage gegen Facebooks Mutterkonzern Meta schafft Rechtssicherheit für Betroffene und gibt Gerichten in Deutschland eine dringend benötigte Orientierung. Sie betrifft nicht nur die Klage von Nutzern des sozialen Netzwerks, sondern könnte auch auf zukünftige Fälle ähnlicher Datenlecks anwendbar sein.

Was hat der BGH genau entschieden?

Der BGH stellte fest, dass bereits der Kontrollverlust über personenbezogene Daten, also der Umstand, dass die betroffene Person die Hoheit über ihre eigenen Daten verliert, einen Schaden im Sinne der DSGVO darstellt. Damit erübrigt sich die bislang geforderte Bedingung, dass Betroffene weitere psychische Belastungen oder eine konkrete Missbrauchsgefahr nachweisen müssen. Der BGH schließt sich damit den Urteilen des Europäischen Gerichtshofs (EuGH) an, die die Hürden für Betroffene erheblich gesenkt haben.



Diese Entscheidung ist insbesondere für Millionen Facebook-Nutzer relevant, deren Daten im Rahmen des „Facebook-Datenlecks“ kompromittiert wurden. Durch eine Sicherheitslücke, die Facebook 2021 eingeräumt hatte, gelangten Informationen wie Telefonnummern, E-Mail-Adressen und weitere sensible Daten von über 500 Millionen Nutzern weltweit – darunter etwa sechs Millionen deutsche Facebook-Nutzer – ins Darknet. In Deutschland betroffene Personen sehen sich seitdem einem erhöhten Risiko ausgesetzt, Opfer von Phishing und Identitätsdiebstahl zu werden.

Hintergrund: Das Facebook-Datenleck und seine Auswirkungen

Das Facebook-Datenleck aus dem Jahr 2021 ist ein besonders schwerwiegendes Beispiel für unzureichenden Datenschutz. Eine Schwachstelle ermöglichte es Kriminellen, über Facebooks Kontakt-Import-Funktion Daten wie Telefonnummern, E-Mail-Adressen und teilweise persönliche Angaben wie Beziehungsstatus und Arbeitsort zu extrahieren und zu veröffentlichen. Diese Daten gerieten in die Hände Unbefugter und wurden schließlich im Darknet veröffentlicht, wo sie kriminellen Aktivitäten Vorschub leisten könnten.

Für Betroffene ist das Facebook-Datenleck weitreichender als ein einmaliger Verstoß. Die Veröffentlichung im Darknet kann langfristige Konsequenzen haben, da die Daten wiederholt für betrügerische Aktivitäten genutzt werden können. Besonders problematisch ist hierbei, dass die Datenlecks durch internationale Netzwerke und durch die digitale Reichweite global Auswirkungen haben. In diesem Zusammenhang hat der BGH heute die Forderung erhoben, dass Betroffene des Datenlecks – wie auch künftige Opfer ähnlicher Vorfälle – keine unverhältnismäßigen Nachweise für ihre psychische Belastung erbringen müssen, um einen DSGVO-Schadensersatz zu erhalten.

Rechtssicherheit für Betroffene

Die Entscheidung des BGH hat eine klare Signalwirkung für Betroffene: Wer die Kontrolle über seine persönlichen Daten verliert, kann nun einen Schadensersatzanspruch geltend machen, ohne umfassende Begründungen zur individuellen Beeinträchtigung beizufügen. Diese Rechtssicherheit wird von Datenschutzexperten begrüßt, da sie für die Gerichte eine einheitliche Linie vorgibt und weiteren Abweichungen, wie sie zuvor auf der Ebene der Landesgerichte zu beobachten waren, entgegenwirkt.

Praktische Schritte für Betroffene

1. Überprüfung der eigenen Daten: Verbraucher, die die Plattform Facebook nutzen, können prüfen, ob sie selbst von dem Datenleck betroffen sind. Dafür stehen verschiedene Online-Tools zur Verfügung, die anhand der Mobilnummer eine Prüfung durchführen können.
2. Schadensersatz geltend machen: Betroffene sollten ihre Ansprüche auf Schadensersatz prüfen und sich gegebenenfalls rechtlich beraten lassen, um sicherzustellen, dass alle relevanten Informationen dokumentiert werden.
3. Sicherheitsmaßnahmen im Alltag: Es ist ratsam, regelmäßig die eigenen Datenschutz- und Sicherheitseinstellungen auf Plattformen wie Facebook und anderen sozialen Netzwerken zu überprüfen und anzupassen.

Hier geht es zum Ratgeber "Datenlecks bei Facebook – So prüfst du, ob deine Daten betroffen sind"

Haftung auch für potenzielle Schäden

Neben der Anerkennung des Kontrollverlusts als schadenbegründend hat der BGH auch die Frage künftiger Schäden berücksichtigt. Durch die Veröffentlichung im Darknet könnte es in der Zukunft zu weiteren Angriffen, etwa durch Phishing, Identitätsdiebstahl oder andere kriminelle Aktivitäten, kommen. Der BGH entschied, dass auch diese möglichen, noch nicht eingetretenen Schäden durch das Datenleck schadensersatzpflichtig sind. Unternehmen wie Facebook bzw. Meta haften damit nicht nur für den konkreten Schaden, sondern auch für alle Folgen, die sich potenziell noch aus der Veröffentlichung der Daten im Darknet ergeben können. Auch besteht die Möglichkeit, dass Betroffene Unterlassungsansprüche geltend machen können, um Facebook und ähnliche Anbieter in Zukunft zu strikterem Datenschutz zu verpflichten.

Das Verfahren: Wichtige Schritte und mögliche Fortsetzung

Der BGH verwies den Fall nun an das Oberlandesgericht Köln zurück, welches die genaue Höhe des Schadensersatzes festlegen und die Verantwortlichkeiten weiter prüfen soll. Das Oberlandesgericht Köln hatte zuvor in der Berufungsinstanz die Klage abgewiesen, da es die Voraussetzung des Schadensersatzes enger auslegte und verlangte, dass ein konkreter Missbrauch oder eine psychische Belastung der Betroffenen nachgewiesen werden muss. Der BGH hat diese eng gefasste Auslegung nun korrigiert und klargestellt, dass die Verletzung des Selbstbestimmungsrechts über persönliche Daten ausreicht, um einen Anspruch auf Entschädigung zu begründen.

Das Verfahren könnte in den kommenden Jahren erneut vor dem BGH landen, falls das Oberlandesgericht Köln die konkrete Bemessung des Schadensersatzes trifft und dabei erneut Rechtsfragen aufwirft, die durch das oberste Gericht zu entscheiden wären. Bis dahin hat der BGH eine rechtliche Grundlage geschaffen, die es ermöglicht, dass auch künftige Fälle zügiger und verbraucherfreundlicher entschieden werden.

Die Bedeutung der Entscheidung im europäischen Kontext

Der BGH bezieht sich in seinem Urteil auf die Rechtsgrundlagen, die der Europäische Gerichtshof (EuGH) geschaffen hat. Der EuGH hatte bereits mehrfach betont, dass die DSGVO dem Schutz personenbezogener Daten höchsten Wert beimisst und dass dieser Schutz unabhängig davon gilt, ob konkrete Schäden im Einzelfall bereits eingetreten sind. In seiner Entscheidung betont der BGH, dass der bloße Kontrollverlust über die eigenen Daten nicht als geringfügiger Verstoß angesehen werden kann, da die DSGVO ausdrücklich eine „Ausgleichsfunktion“ für Betroffene vorsieht.

Mit der Entscheidung wird zudem die Rechtssicherheit auf europäischer Ebene erhöht, da auch Gerichte in anderen EU-Staaten die Entscheidung des BGH als Orientierungshilfe nutzen können. Die Entscheidung könnte somit dazu beitragen, eine europaweit einheitlichere Handhabung des Datenschutzes und der Schadensersatzansprüche bei Datenverlust zu schaffen.

Konsequenzen für Unternehmen

Die Entscheidung ist auch ein starkes Signal an Unternehmen, ihre Datenschutzrichtlinien zu überprüfen und bestehende Sicherheitsmaßnahmen gegebenenfalls anzupassen. Die Haftungsrisiken bei Datenschutzverletzungen sind durch die Entscheidung des BGH deutlich gestiegen, und die Aussicht auf Schadensersatzansprüche in Millionenhöhe wird Unternehmen dazu anregen, Maßnahmen zum Schutz personenbezogener Daten strenger umzusetzen. Die Kosten, die durch eine potenzielle Verletzung entstehen könnten, machen es für viele Unternehmen wirtschaftlich ratsam, präventiv in Datenschutzmaßnahmen zu investieren.