Der Bundesgerichtshof (BGH) hat mit seinem Urteil vom 18. November 2024 (Az. VI ZR 10/24) eine bahnbrechende Entscheidung im Datenschutzrecht getroffen. Sie betrifft die Haftung bei Datenschutzverstößen im Zusammenhang mit dem groß angelegten Scraping-Vorfall auf Facebook. Dabei ging es vor allem um die Frage, unter welchen Bedingungen Nutzer*innen Schadensersatz nach DSGVO fordern können. Dieses Urteil hat das Potenzial, die Weichen für zukünftige Massenklagen in Deutschland zu stellen.

Wichtige Punkte im Überblick

  • Kontrollverlust als Schaden: Nach Art. 82 Abs. 1 DSGVO reicht bereits der Verlust der Kontrolle über personenbezogene Daten aus, um einen Schadensersatzanspruch zu begründen.
  • Erleichterter Schadensnachweis: Betroffene müssen keine konkreten Folgen nachweisen; die bloße Betroffenheit genügt.
  • Hohe Risiken für Unternehmen: Facebook steht angesichts der Vielzahl Betroffener vor massiven Schadensersatzforderungen.
  • Signalwirkung: Das Urteil unterstreicht die Bedeutung von Datenschutz-Compliance und den Grundsatz der Datenminimierung.

Der Hintergrund des Falls

Zwischen Januar 2018 und September 2019 nutzten Unbekannte die Kontakt-Import-Funktion von Facebook, um durch randomisierte Telefonnummern personenbezogene Daten von rund 533 Millionen Nutzern abzugreifen. Die so erlangten Informationen – darunter Namen, Telefonnummern und weitere Details – wurden im April 2021 öffentlich zugänglich gemacht.

Ein betroffener Nutzer reichte Klage ein, da er sich durch den Vorfall einem erhöhten Risiko für Betrugsversuche ausgesetzt sah. Er warf Facebook Verstöße gegen die DSGVO vor und forderte immateriellen Schadensersatz, Unterlassung, Auskunft sowie die Feststellung einer Haftung für mögliche künftige Schäden. Nachdem das Oberlandesgericht die Klage abgewiesen hatte, ging der Fall in Revision. Der BGH stufte ihn schließlich als Leitentscheidungsverfahren ein.

Neuer Maßstab für Schadensersatz: Kontrollverlust genügt

Das Urteil des BGH definiert den Begriff des immateriellen Schadens im Sinne der DSGVO neu. Es entschied, dass ein Schaden nicht zwingend mit einem konkreten Missbrauch der Daten verbunden sein muss. Bereits der Kontrollverlust über personenbezogene Daten reicht für einen Anspruch auf Schadensersatz aus.

Die Anforderungen an den Nachweis wurden deutlich gesenkt: Ein Zusammenhang zwischen dem Vorfall und nachweisbaren Schäden wie finanziellen Verlusten ist nicht erforderlich. Es genügt, dass die betroffene Person vom Datenleck betroffen ist.

Weitere Entscheidungen und Schadenshöhe

Der BGH gab dem Kläger auch in anderen Punkten recht. Unter anderem wurde ein berechtigtes Interesse an der Feststellung zukünftiger Ersatzpflichten anerkannt. Zudem erklärte das Gericht die Verwendung der Telefonnummer des Klägers ohne Einwilligung für unzulässig. Hinsichtlich der Höhe des Schadensersatzes hielt der BGH 100 Euro für den reinen Kontrollverlust für angemessen.

Das Berufungsgericht muss den Fall nun erneut prüfen, insbesondere im Hinblick auf die Einwilligungspraxis und die Suchbarkeitseinstellungen von Facebook.
Bedeutung für Unternehmen und Betroffene

Das Urteil könnte weitreichende Folgen für Unternehmen haben, die personenbezogene Daten verarbeiten. Die niedrige Schwelle für den Schadensnachweis erhöht das Risiko von Massenklagen bei Datenschutzverletzungen erheblich. Allein im Facebook-Fall wären in Deutschland rund sechs Millionen Betroffene anspruchsberechtigt. Bei einer Entschädigung von 100 Euro pro Person würde dies zu einer Gesamtsumme von 600 Millionen Euro führen – ein ernstzunehmendes Risiko für Unternehmen.

Für Betroffene besteht allerdings Handlungsbedarf, da die Ansprüche aus dem Vorfall Ende 2024 verjähren. Wer seine Rechte geltend machen möchte, sollte schnell aktiv werden.

Prävention: Was Unternehmen jetzt tun sollten

Unternehmen, die Verbraucherdaten verarbeiten, müssen ihre Datenschutzmaßnahmen dringend überprüfen. Folgende Schritte sind entscheidend:

  • Sicherheitsvorkehrungen stärken: Regelmäßige Updates und Tests der IT-Infrastruktur reduzieren das Risiko von Datenlecks.
  • Datenschutzmanagement optimieren: Klare Richtlinien und Schulungen für Mitarbeitende verbessern die Compliance.
  • Notfallpläne entwickeln: Unternehmen sollten Kommunikationsstrategien für den Krisenfall vorbereiten, um schnell und transparent reagieren zu können.
  • Datenminimierung beachten: Unnötige Datenspeicherung vermeiden und Einwilligungsprozesse überarbeiten.

Fazit: Ein Wendepunkt im Datenschutzrecht

Das Urteil des BGH setzt neue Maßstäbe für den Umgang mit Datenschutzverstößen. Es stärkt die Rechte der Betroffenen und zwingt Unternehmen, Datenschutz nicht länger als Nebensache zu behandeln. Gleichzeitig zeigt es auf, wie wichtig eine ausgewogene Balance zwischen Verbraucherschutz und unternehmerischer Verantwortung ist.

Unternehmen sollten die Signalwirkung dieses Urteils ernst nehmen und präventiv handeln. Denn eines ist klar: Datenschutz ist keine Option – sondern Pflicht.

 

Rechtsanwalt Robert Harzewski