Der Bundesgerichtshof (BGH) hat in einer Leitentscheidung zur DSGVO eine klare Linie gezogen: Der bloße Verlust der Kontrolle über persönliche Daten stellt bereits einen Schaden dar, der Schadensersatzansprüche begründet. Diese Entscheidung im Rahmen der mündlichen Verhandlung zur Klage gegen Facebooks Mutterkonzern Meta schafft Rechtssicherheit für Betroffene und gibt Gerichten in Deutschland eine dringend benötigte Orientierung. Sie betrifft nicht nur die Klage von Nutzern des sozialen Netzwerks, sondern könnte auch auf zukünftige Fälle ähnlicher Datenlecks anwendbar sein. Was hat der BGH genau entschieden? Der BGH stellte fest, dass bereits der Kontrollverlust über personenbezogene Daten, also der Umstand, dass die betroffene Person die Hoheit über ihre eigenen Daten verliert, einen Schaden im Sinne der DSGVO darstellt. Damit erübrigt sich die bislang geforderte Bedingung, dass Betroffene weitere psychische Belastungen oder eine konkrete Missbrauchsgefahr nachweisen müssen. Der BGH schließt sich damit den Urteilen des Europäischen Gerichtshofs (EuGH) an, die die Hürden für Betroffene erheblich gesenkt haben.  Diese Entscheidung ist insbesondere für Millionen Facebook-Nutzer relevant, deren Daten im Rahmen des „Facebook-Datenlecks“ kompromittiert wurden. Durch eine Sicherheitslücke, die Facebook 2021 eingeräumt hatte, gelangten Informationen wie Telefonnummern, E-Mail-Adressen und weitere sensible Daten von über 500 Millionen Nutzern weltweit – darunter etwa sechs Millionen deutsche Facebook-Nutzer – ins Darknet. In Deutschland betroffene Personen sehen sich seitdem einem erhöhten Risiko ausgesetzt, Opfer von Phishing und Identitätsdiebstahl zu werden. Hintergrund: Das Facebook-Datenleck und seine Auswirkungen Das Facebook-Datenleck aus dem Jahr 2021 ist ein besonders schwerwiegendes Beispiel für unzureichenden Datenschutz. Eine Schwachstelle ermöglichte es Kriminellen, über Facebooks Kontakt-Import-Funktion Daten wie Telefonnummern, E-Mail-Adressen und teilweise persönliche Angaben wie Beziehungsstatus und Arbeitsort zu extrahieren und zu veröffentlichen. Diese Daten gerieten in die Hände Unbefugter und wurden schließlich im Darknet veröffentlicht, wo sie kriminellen Aktivitäten Vorschub leisten könnten. Für Betroffene ist das Facebook-Datenleck weitreichender als ein einmaliger Verstoß. Die Veröffentlichung im Darknet kann langfristige Konsequenzen haben, da die Daten wiederholt für betrügerische Aktivitäten genutzt werden können. Besonders problematisch ist hierbei, dass die Datenlecks durch internationale Netzwerke und durch die digitale Reichweite global Auswirkungen haben. In diesem Zusammenhang hat der BGH heute die Forderung erhoben, dass Betroffene des Datenlecks – wie auch künftige Opfer ähnlicher Vorfälle – keine unverhältnismäßigen Nachweise für ihre psychische Belastung erbringen müssen, um einen DSGVO-Schadensersatz zu erhalten. Rechtssicherheit für Betroffene Die Entscheidung des BGH hat eine klare Signalwirkung für Betroffene: Wer die Kontrolle über seine persönlichen Daten verliert, kann nun einen Schadensersatzanspruch geltend machen, ohne umfassende Begründungen zur individuellen Beeinträchtigung beizufügen. Diese Rechtssicherheit wird von Datenschutzexperten begrüßt, da sie für die Gerichte eine einheitliche Linie vorgibt und weiteren Abweichungen, wie sie zuvor auf der Ebene der Landesgerichte zu beobachten waren, entgegenwirkt.