533 Millionen Datensätze im Netz – Facebook haftet, BGH stärkt Nutzerrechte

Betroffene können nun Schadensersatz für den Verlust der Kontrolle über ihre Daten verlangen. Ein Nachweis missbräuchlicher Nutzung ist dafür nicht erforderlich.

Hintergrund

Im April 2021 wurden die persönlichen Daten von 533 Millionen Facebook-Nutzern, darunter sechs Millionen aus Deutschland, öffentlich zugänglich gemacht. Die Ursache war eine Sicherheitslücke in der Plattform. Über die Funktion „Freundesuche“ konnten Angreifer Daten wie Namen, Telefonnummern und Profilinformationen auslesen. Dabei wurden wahllos generierte Telefonnummern verwendet, um die entsprechenden Profile automatisiert abzufragen. Die Daten wurden später in Internetforen veröffentlicht und standen dort frei zur Verfügung.

Betroffen waren sowohl regelmäßig aktive Nutzer als auch solche, die sich jahrelang nicht eingeloggt hatten oder Facebook nur sporadisch nutzten. Die öffentliche Verfügbarkeit der Daten löste Besorgnis aus, da Telefonnummern und andere persönliche Informationen häufig für betrügerische Aktivitäten, Phishing oder Identitätsdiebstahl genutzt werden können.

Im vorliegenden Fall klagte ein Nutzer, dessen Daten in den veröffentlichten Datensätzen enthalten waren, auf immateriellen Schadensersatz nach Art. 82 DSGVO. Der BGH urteilte, dass bereits der Verlust der Kontrolle über die Daten einen Anspruch begründet, auch wenn kein konkreter Missbrauch wie Betrug oder Identitätsdiebstahl nachweisbar ist.

Die Entscheidung des BGH

Das Urteil des BGH (Urt. v. 18. November 2024, Az. VI ZR 10/24) markiert eine neue Richtung im Umgang mit Datenschutzverletzungen. Die Richter stellten klar, dass der Kontrollverlust über personenbezogene Daten eine erhebliche Beeinträchtigung darstellt. Nach der DSGVO ist kein Nachweis erforderlich, dass die veröffentlichten Daten für betrügerische oder andere schädliche Zwecke verwendet wurden. Eine Befürchtung missbräuchlicher Verwendung reicht aus, wenn Gründe hierfür nachgewiesen sind, also ein Kontrollverlust tatsächlich eingetreten ist (siehe dazu EuGH, Urteil vom 4. Oktober 2024 – C-200/23, Rn. 145). Dazu reichen dann Darlegungen, welche Daten betroffen waren und welche Folgen es gab. Zum Kontrollverlust ist die Angabe, dass man die Daten nicht anderweitig veröffentlich hat, ausreichend. Dabei schaden formelhafte textbausteinartige Darlegungen nicht, da bei massenhafter Betroffenheit die Beeinträchtigungen ähnlich sind. In der Verhandlung vor dem BGH wurde ein Schadensersatzbetrag von 100 Euro für Fälle ohne Missbrauch als Orientierung genannt.

Die Entscheidung betont die Bedeutung des Datenschutzes und legt klare Haftungsmaßstäbe für Unternehmen fest. Sie wird als wegweisend für ähnliche Fälle betrachtet, da sie Betroffenen von Datenpannen eine einfachere Möglichkeit bietet, Ansprüche geltend zu machen.

Wie passt die „Entschuldigung“ nach der EuGH-Rechtsprechung?

Diese Entscheidung des BGH steht im Kontext der Rechtsprechung des Europäischen Gerichtshofs (EuGH). In seinem Urteil vom 4. Oktober 2024 (Az. C-507/23) entschied der EuGH, dass im Einzelfall eine Entschuldigung als angemessener Ersatz für einen immateriellen Schaden nach Art. 82 DSGVO ausreichen kann, insbesondere wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen.

Der BGH setzt mit seinem Urteil zum aktuellen Fall jedoch einen anderen Schwerpunkt: Bei massiven Datenschutzverletzungen, die Millionen Nutzer betreffen und zu einem erheblichen Kontrollverlust über sensible Daten führen, reicht eine bloße Entschuldigung nicht aus. Das Gericht sieht in der Veröffentlichung der Daten einen so gravierenden Eingriff in die Privatsphäre der Betroffenen, dass ein Schadensersatzanspruch unabhängig von einem nachgewiesenen Missbrauch gerechtfertigt ist.

Spannender Kontrast zum Bundessozialgericht

Die BGH-Entscheidung steht in einem spannenden Kontrast zur jüngsten Rechtsprechung des Bundessozialgerichts (BSG, Urt. v. 24.09.2024, Az. B 7 AS 15/23 R). Das BSG verneinte in einem Fall den Schadensersatzanspruch nach Art. 82 DSGVO, da der Kläger keinen immateriellen Schaden schlüssig darlegen konnte. Der Fall betraf ein Jobcenter, das auf ein Auskunftsersuchen des Klägers mit erheblicher Verzögerung und in Papierform reagierte, obwohl dieser die Auskunft elektronisch beantragt hatte.

Das BSG stellte fest, dass die verspätete und fehlerhafte Erfüllung des Auskunftsanspruchs zwar einen Verstoß gegen die DSGVO darstelle, jedoch nicht ausreichend sei, um Schadensersatz zu begründen. Ein bloßer „Kontrollverlust“ oder die Unsicherheit über die Verarbeitung personenbezogener Daten genüge hierfür nicht. Damit betonte das BSG die Notwendigkeit einer konkreten Darlegung immaterieller Schäden. Der BGH hingegen sieht in der Veröffentlichung sensibler Daten einen wesentlichen Eingriff in die Privatsphäre, der eine Entschädigung bereits wegen des eingetretenen Kontrollverlusts rechtfertigt. Dies ist kein Widerspruch. Eine bloß verspätete Auskunft präjudiziert nicht den gleichen Grad von Kontrollverlust wie das Auftauchen personenbezogener Daten im Darknet.

Fazit

Das Urteil zeigt klar, dass Unternehmen ihrer Verantwortung für den Schutz personenbezogener Daten gerecht werden müssen. Im Fall Facebook hätte der Datenabfluss vermutlich vermieden werden können, wenn Sicherheitsvorkehrungen konsequenter umgesetzt worden wären. Beispielsweise könnte eine Funktion wie die Freundessuche durch technische Schutzmaßnahmen wie CAPTCHA-Prüfungen gegen automatisierte Abfragen abgesichert werden. Auch eine restriktivere Handhabung sensibler Daten wie Telefonnummern wäre denkbar gewesen, um deren unkontrollierte Auslesbarkeit zu verhindern.

Darüber hinaus zeigt der Fall, wie wichtig regelmäßige Sicherheitsprüfungen sind. Sicherheitslücken können durch Penetrationstests frühzeitig entdeckt und geschlossen werden, bevor sie von Dritten ausgenutzt werden. Nicht zuletzt hätte eine frühzeitige und klare Kommunikation mit den betroffenen Nutzern nach Bekanntwerden des Vorfalls dazu beigetragen, den Schaden einzugrenzen.

Die Entscheidung des BGH setzt Unternehmen unter Druck, Datenschutzmaßnahmen nicht nur gesetzeskonform, sondern auch vorausschauend umzusetzen. Die Risiken sind durch die Lockerung der Anforderungen an den Schadensersatz zumindest in vergleichbaren Fällen gestiegen. Das Urteil stärkt gleichzeitig die Rechte der Betroffenen, denen nun einfachere Wege zur Entschädigung offen stehen.

Übrigens war das die erste Entscheidung nach § 552b ZPO, wonach das Revisionsgericht das Verfahren bei Rechtsfragen, die für eine Vielzahl anderer Verfahren von Bedeutung ist, durch Beschluss zum Leitentscheidungsverfahren bestimmen kann. Untere Instanzen konnten Verfahren aussetzen und sich jetzt an der Leitentscheidung orientieren. Vor allem aber konnten die Parteien nach dem Beschluss die Äußerung des BGH durch Revisionsrücknahme oder Vergleich verhindern. Davon wurde häufig Gebrauch gemacht. Das geht jetzt in diesen Verfahren nicht mehr.