Nachdem sich in der Vergangenheit bereits mehrere Instanzgerichte mit einen möglichen Schadensersatzanspruch von Facebook-Nutzern im Zusammenhang mit Data Scraping auseinandergesetzt hatten, war dies nun auch Gegenstand eines Leitentscheidungsverfahrens vor dem Bundesgerichtshof (BGH, Urteil vom 18.11.2024, VI ZR 10/24, siehe auch Pressemitteilung vom 18.11.2024).
Hintergrund
Zwischen 2018 und 2019 wurden Datensätze von Facebook-Nutzern, die auch die E-Mail-Adressen und Handynummern der Nutzer enthielten, mithilfe eines automatisierten Verfahrens durch Dritte von Facebook „extrahiert“ (ausgelesen) und im Internet veröffentlicht. Die Daten stammten aus den öffentlich verfügbaren Informationen der Facebook-Profile.
Im Kern ging es bei den Verfahren um die Frage, ob Facebook technische Sicherheitsvorkehrungen hätte treffen müssen, um ein massenhaftes Auslesen zu verhindern und ob durch den Verlust der Daten auch ein ersatzfähiger Schaden aufseiten der Nutzer entstanden ist. In der Mehrzahl hatten die Gerichte bisher Schadensersatzansprüche gegenüber Facebook verneint (siehe unseren Beitrag zu einem Urteil des LG Gießen).
Auch die irische Datenschutzaufsichtsbehörde befasst sich mit dem Sachverhalt und verhängte im November 2022 ein Bußgeld gegen die irische Niederlassung des Facebook-Mutterkonzerns Meta (wir berichteten). Die Aufsichtsbehörde teilte die Ansicht, dass Facebook nicht ausreichende technische und organisatorische Maßnahmen getroffen habe, um das Abgreifen und Veröffentlichen von persönlichen Informationen von Facebook-Nutzern durch Dritte zu verhindern.
Entscheidung des BGH
Der BGH hat nun in seinem aktuellen Urteil einem klagenden Nutzer einen Schadensersatz zugesprochen.
In dem diesem Urteil vorausgehenden Prozessverlauf hat das Landgericht Bonn (LG Bonn, Urteil vom 07.06.2023, Az. 13 O 126/22, siehe auch unseren Beitrag) der Klage teilweise stattgegeben und dem Kläger aus Art. 82 Abs. 1 DSGVO Schadensersatz in Höhe von 250 Euro zugesprochen.
Auf die Berufung der Beklagten hat das Oberlandesgericht Köln (OLG Köln, Urteil vom 07.12.2023, Az. 15 U 67/23) die Klage insgesamt abgewiesen. Weder reiche der bloße Kontrollverlust zur Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO aus noch habe der Kläger hinreichend substantiiert dargelegt, über den Kontrollverlust als solchen hinaus psychisch beeinträchtigt worden zu sein.
Die Revision vor dem BGH war nun teilweise erfolgreich. Insoweit verwies der BGH die Sache zur erneuten Entscheidung zurück. Hierbei entschied der BGH, dass nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden im Sinne der Norm sein könne. Weder müsse insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedürfe es sonstiger zusätzlicher spürbarer negativer Folgen, so der BGH.
In Bezug auf den immateriellen Schaden gab der BGH den Hinweis, dass dieser für den bloßen Kontrollverlust in einer Größenordnung von 100 Euro bemessen werden könne.
Da der BGH die Sache teilweise zurückverwiesen hat, bleibt abzuwarten, wie das Berufungsgericht – z. B. hinsichtlich der Schadenshöhe – weiter entscheiden wird. Insgesamt kann man aber festhalten, dass der BGH die Rechte der von einem Datendiebstahl betroffenen Personen gestärkt hat.
Die vorliegende Entscheidung des BGH ist zudem das erste Verfahren, das im neuen Leitentscheidungsverfahren ergangen ist. Um die Justiz von massenhaften Einzelklagen zu entlasten, hat die Bundesregierung ein Gesetz zur Einführung eines Leitentscheidungsverfahrens beschlossen, das am 31.10.2024 in Kraft getreten ist.
Im Rahmen des Leitentscheidungsverfahrens entscheidet der BGH über grundsätzliche Rechtsfragen.