Der BGH hat in Sachen Facebook-Datenleck höchst verbraucherfreundlich geurteilt: Der reine Kontrollverlust über personenbezogene Daten ist für sich genommen ein Schaden nach der DSGVO. Damit beendet der BGH die bisherige Rechtsunsicherheit und gibt den unteren Gerichten eine klare Leitlinie. Ein großartiges Urteil nicht nur für Betroffene des Facebook-Datenlecks, sondern für alle Verbraucher und den Datenschutz generell. Warum das so ist, was die am 22. November veröffentlichten Urteilsgründe verraten und welche Konsequenzen aus dem Urteil folgen, erläutert Rechtsanwalt Christian Solmecke von WBS.LEGAL.
RA Solmecke: „Der Bundesgerichtshof (BGH) hat am 18. November sein Urteil in einer unserer Klagen wegen des Facebook-Datenlecks gefällt (Urt. v. 18.11.2024, Az. VI ZR 10/24). Es ist ein großer Sieg für alle Verbraucher. Denn der BGH hat eine höchst umstrittene Rechtsfrage beendet und urteilt: Bereits der reine Kontrollverlust über personenbezogene Daten reicht aus, um einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) zu begründen. Allein hierfür sieht der BGH schon eine Summe von 100 Euro als gerechtfertigt an.
Diese Rechtsfrage hatte zwar der Europäische Gerichtshof (EuGH, zuletzt Urt. v. 4.10.2024, Rs. C-200/23) zuvor schon so entschieden. Dennoch haben einige deutsche Gerichte hiervon abweichende Entscheidungen getroffen und darüber hinaus gefordert, die betroffenen Verbraucher müssten objektiv nachweisen, unter Ängsten wegen eines möglichen Datenmissbrauchs zu leiden.
Der BGH stellt mit seinem Urteil heute jedoch klar: Wenn die Person über den reinen Kontrollverlust hinaus entsprechende Befürchtungen nachweisen kann, so erhöht das den Schadensersatz. Es ist jedoch keine Voraussetzung für diesen. Begründete Ängste und Sorgen sind für sich genommen ebenso ein immaterieller Schaden wie der reine Kontrollverlust über die eigenen Daten – beides kann zusammenfallen, muss es aber nicht.
Verliere nicht deine Chance auf Schadensersatz – Facebook / Meta hat deine Daten auf dem Gewissen!
Jetzt Handynummer eingeben und sofort zeigt der Checker Dir an, ob du betroffen bist:
Hinweis: Wir verwenden deine Mobilfunknummer zur Überprüfung, ob du von dem Facebook-Datenleak betroffen bist. Der Abgleich deiner Mobilfunknummer erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine Mobilfunknummer bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.
Damit baut der BGH die hohen Hürden, die andere Gerichte teilweise für den DSGVO-Schadensersatz aufgestellt hatten, wieder ab. Es herrscht – nicht nur für Betroffene des Facebook-Datenlecks, sondern für praktisch alle Betroffenen von DSGVO-Verletzungen – nun endlich Rechtssicherheit. Jetzt wird es für Millionen Betroffene leichter werden, immateriellen Schadensersatz zu erlangen.
Außerdem stellt der BGH fest: Die mögliche Haftung Facebooks gilt nicht nur für bereits eingetretene Schäden, sondern auch für potenzielle Schäden, die erst in der Zukunft auftreten könnten: etwa der tatsächliche Missbrauch von im Darknet gelandeten Daten für Phishing oder andere kriminelle Aktivitäten. Immerhin seien die Rechte der informellen Selbstbestimmung und des Schutzes personenbezogener Daten verletzt.
Anwaltskosten für ein außergerichtliches Tätigwerden hielten etliche deutsche Gerichte schon nicht für erforderlich. Dazu stellte der BGH nun fest, dass die Verfahren eine Vielzahl von ungeklärten Rechtsfragen beinhalten und die Einschaltung eines Rechtsbeistandes durchaus vonnöten sein könne. Die vorgerichtlichen Anwaltskosten sieht der BGH daher klar als Schaden im Sinne von Art. 82 DSGVO.
Auch bejaht der BGH einen Unterlassungsanspruch dahingehend, dass Facebook die Mobiltelefonnummer des Klägers nicht mehr verarbeiten darf, soweit diese über die Nutzung der Zwei-Faktor-Authentifizierung hinausgeht.
In einer Zeit, in der Unternehmen immer mehr Daten von uns allen sammeln, aber weiterhin viel zu wenig für den Schutz dieser Daten tun, darf das durch unsere Kanzlei WBS.LEGAL erstrittene Urteil als enormer Erfolg bezeichnet werden.
Wie geht es weiter?
RA Solmecke: „Der BGH hat das Verfahren erwartungsgemäß an das Oberlandesgericht (OLG) Köln zurückverwiesen, damit es Feststellungen zum Fehlverhalten Facebooks und der Höhe des Schadensersatzes treffen kann. Denn diese Fragen hatte die Vorinstanz offengelassen.
Dass Facebook grundsätzlich haftet, steht aber nicht ernsthaft in Frage: Nicht nur haben das bislang alle deutschen Gerichte gesagt. Auch das OLG Köln selbst schrieb in seinem Urteil: ‚Der Beklagten [Meta] dürften darüber hinaus auch Verstöße gegen Art. 5 Abs. 1 lit. b), 25 Abs. 2, 32 Abs. 1 DSGVO vorzuwerfen sein.‘ Der BGH selbst schreibt in den Urteilsgründen, dass die Voreinstellung in der Facebook-Suchbarkeit auf „für alle“ alle gegen den Grundsatz der Datenminimierung widersprechen dürfte, Art. 5 Abs. 1c DSGVO. Und auch die sonstigen Voreinstellungen für den Nutzer sah er im Sinne von Art. 25 Abs. 2 DSGVO nicht als sonderlich datenschutzfreundlich an. Art. 25 DSGVO verpflichtet soziale Netzwerke zu datenschutzfreundlichen Voreinstellungen, da der Nutzer werkseitige Voreinstellungen nur selten verändert.
Allerdings muss die Vorinstanz nun prüfen, ob die Nutzer nicht durch die Zustimmung zu den Nutzungsbedingungen des Netzwerks in die unbedingte Veröffentlichung ihrer Daten wirksam eingewilligt haben. Der BGH gibt dem OLG in den Urteilsgründen jedoch entsprechende Hinweise, aufgrund welcher Vorgaben der DSGVO eine entsprechende Einwilligung unwirksam gewesen sein könnte (u.a. Transparenz, Freiwilligkeit und marktbeherrschende Stellung Metas).“
Urteilsgründe: Kriterien für immateriellen Schadensersatz
RA Solmecke: „Ebenfalls mit Spannung erwartet wurden die Ausführungen des BGH zur Berechnung des Schadenersatzes. Die Urteilsgründe, die am 22. November veröffentlicht wurden, geben hierzu nun mehr Aufschluss.
Einleitend stellt der BGH klar, dass die Gerichte bei ihrer Schätzung einige unionsrechtliche Vorgaben beachten müssen:
- Die Ausübung der Rechte dürfe den Nutzern nicht unmöglich gemacht werden.
- Die Entschädigung müsse vollständig und wirksam sein, um den Schaden in vollem Umfang auszugleichen.
- Schadensersatz habe keine Abschreckungs- oder Straffunktion – wie oft der Betroffene von dem Verstoß getroffen wird, müsse unberücksichtigt bleiben.
- Wenn der Schaden gering sei, solle auch nur ein Schadenersatz in geringer Höhe zuzusprechen sein.
- Zudem – das hatte der EuGH am 4. Oktober 2024 klar herausgestellt – sei der durch die Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger schwerwiegend als eine Körperverletzung.
Dann stellt der BGH fest, wie der Tatrichter bei der Schadensschätzung vorgehen kann. Er stellt dabei auf einen Fall ab, bei dem der Schaden allein im Kontrollverlust liegt und sonstige schadenerhöhende Kriterien wie Ängste, Sorgen oder psychische Beeinträchtigungen nicht hinzukommen:
- Zunächst müsse die Sensibilität der konkret betroffenen Daten betrachtet werden. Es liegt auf der Hand, dass Gesundheitsdaten sensibler sind als der Vorname einer Person.
- Darüber hinaus falle auch ins Gewicht, wie die betroffenen Daten typischerweise verwendet werden.
- Der Schaden erhöhe sich, wenn der Kontrollverlust dauerhaft sei und die Möglichkeit der Wiedererlangung der Kontrolle nicht bestehe.
- Ebenfalls schadenerhöhend sieht es der BGH an, wenn der unbegrenzt viele Empfänger die gestohlenen Daten abrufen könnten.
Im konkreten Fall sieht der BGH den Kontrollverlust zwar als dauerhaft an. In seinen Augen könne die Kontrolle über die verlorengegangene Handynummer aber dadurch wiedererlangt werden, indem man die Handynummer wechselt. Und genau diesen Wechsel der Handynummer bepreist er – ohne nähere Ausführungen – mit mindestens 100 Euro und liegt damit auf einer zuvor schon geäußerten Linie des OLG Hamm. Eine klare Absage wird allerdings der Meinung des OLG Celle erteilt, das hier nur einen Schadenersatz im einstelligen Euro-Bereich gesehen hat.“
Welche Konsequenzen folgen aus den Vorgaben des BGH zur Schadensermittlung?
RA Solmecke: „Es wird jetzt Aufgabe der nationalen Gerichte sein, im Einzelfall zu bemessen, ob die 100 Euro wirklich für die Schadenkompensation ausreichen werden. Sollten Betroffene bereits in der Vergangenheit durch hunderte SMS, die auf das Datenleck zurückzuführen sind, belästigt worden seien oder Telefonanrufe von unbekannten Dritten bekommen haben, dürfte der Anspruch auch deutlich höher ausfallen. Gleiches gilt auch für Handynummern von Prominenten, die ebenfalls haufenweise im Datenleck vorhanden waren. Schließlich ist es eindeutig als schadenserhöhend zu werten, wenn Betroffene glaubhaft vortragen können, aufgrund des Vorfalls unter begründeten Befürchtungen vor Missbrauch ihrer Daten zu leiden.
Jeder kann sich nun selbst fragen, ob es angemessen ist, den Wechsel einer liebgewonnenen Handynummer mit 100 Euro zu bepreisen oder nicht. Vermutlich wären viele Menschen in Deutschland bereit, deutlich mehr Geld dafür auszugeben, dass sie ihre Handynummer, die vielleicht schon seit Jahrzehnten genutzt wird, behalten dürfen. Auch der Vorsitzende Richter des 6. Zivilsenats äußerte in der mündlichen Verhandlung, dass er es gar nicht gerne sehen würde, wenn seine Handynummer im Internet veröffentlicht worden wäre. Sonderlich dramatisch scheint der Senat die Veröffentlichung dann aber doch nicht zu sehen, wenn am Ende 100 Euro für die Kompensation des Schadens regelmäßig ausreichen sollen. Nachdem der BGH nach den klaren Vorgaben des EuGH jetzt gar nicht mehr anders konnte, als den Kontrollverlust als Schaden anzuerkennen, dämmt er denkbare neue Klagewellen über eine deutliche Reduktion der Schadenshöhe ein. Hier bleibt abzuwarten, wie die unteren Instanzen diese Vorgaben des höchsten deutschen Zivilgerichts künftig mit Leben füllen werden.
Im Zweifel müssen nun aber andere Lösungen für die Betroffenen geschaffen werden, die unabhängig von der Frage sind, ob die Opfer eines Datenlecks über eine Rechtsschutzversicherung oder nicht verfügen. Solche Lösungen werden schon jetzt angeboten: Prozessfinanzierer kaufen die Schadensersatzansprüche im Fall des Twitter- oder Facebook-Datenlecks ab und setzen diese dann gebündelt und im eigenen Namen durch. Darüber hinaus gibt es Alternativen, bei denen Prozessfinanzierer die gesamten Prozesskosten für den Betroffenen übernehmen und nach dem Flightright-Modell nur bei Erfolg eine Provision erhalten. Diese Lösung wird die Gerichte entlasten und trotzdem dafür sorgen, dass die Betroffenen eine angemessene Entschädigung erhalten. Die Prozessfinanzierer hatten sich hier bislang noch bedeckt gehalten, da die Frage, ob der Kontrollverlust über die Daten einen Schadenersatzanspruch begründet, bislang in Deutschland nicht geklärt war. Das ist nun anders. Insofern stellt dieses Urteil nicht das Ende der Klagen in Sachen Datenlecks dar, sondern den Anfang.“
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Weitere Hintergründe
Facebook-Datenleck
Hintergrund ist das Datenleck von Facebook aus dem Jahr 2021. Im nun entschiedenen Fall hatte der Kläger seine Telefonnummer zwar so eingestellt, dass sie nur für ihn sichtbar sein sollte. Die Suchbarkeits-Einstellungen hatte er jedoch auf „alle“ belassen und nicht explizit begrenzt, sodass jeder, der seine Telefonnummer bereits gespeichert hatte, sein Profil hätte finden können. Die sog. Kontakt-Import-Funktion Facebooks erlaubte es nun Hackern, seine Telefonnummer und darüber hinaus auch seinen Namen und seine Arbeitsstätte abzugreifen, um dies im April 2021 im Darknet zu veröffentlichen.
So wie ihm erging es 533 Millionen Nutzern weltweit, allein 6 Millionen in Deutschland – teilweise wurden auch ihre Geburtsdaten, E-Mail-Adressen sowie persönliche Angaben wie der Beziehungsstatus veröffentlicht. Ein Einfallstor für Kriminelle.
Debatte um den Kontrollverlust als Schaden
Die Frage, ob der reine Kontrollverlust über personenbezogene Daten bereits für sich genommen einen Schaden darstellt, hat die deutschen Gerichte in den letzten Jahren besonders beschäftigt. Hier sind einige Fehlurteile ergangen. Auch in diesem konkreten Fall hatte sich das OLG Köln – entgegen der Vorinstanz, dem Landgericht (LG) Bonn – auf die Seite der Skeptiker geschlagen (Az. 15 U 67/23). Daher stellte es unverhältnismäßig hohe Anforderungen an den Schaden, den ein Verbraucher darlegen muss.
So argumentiert das Gericht, dass allein der Kontrollverlust über die eigenen Daten nicht ausreiche, um einen Schadensersatzanspruch zu begründen. Es brauche „darüber hinausgehende Auswirkungen auf die Person oder die Lebensumstände des Betroffenen“ – etwa begründete Befürchtungen oder Ängste vor Missbrauch. Und selbst die müssten objektiv feststellbar sein – einfach nur zu behaupten, man habe entsprechende Befürchtungen, solle nicht ausreichen. Damit konterkarierte das OLG Köln aber direkt die verbraucherfreundliche EuGH-Rechtsprechung sowie die Vorgaben der DSGVO selbst.
Diesen Widerspruch sah nun auch der BGH. So hatte der EuGH in mehreren Entscheidungen – insbesondere am 4. Oktober (Rs. C-200/23) – bereits dargelegt, dass sowohl Ängste und Befürchtungen vor einem tatsächlichen Missbrauch als auch der reine Kontrollverlust über personenbezogene Daten für sich genommen ausreichen, um einen Schaden zu begründen. Kein Wunder – schließlich steht dies exakt so in Erwägungsgrund 85 zur DSGVO. Für den BGH ist die Rechtslage nun also ebenso klar.
Bisherige Urteile im konkreten Fall
Im konkreten Fall hatte das Landgericht (LG) Bonn unserem Mandanten zumindest 250 Euro Schadensersatz zugesprochen, da ihm durch den Kontrollverlust über seine Daten ein ersatzfähiger Schaden entstanden ist (Az. 13 O 125/22).
Das OLG Köln hatte dann im Berufungsverfahren die Klage insgesamt abgewiesen (Az. 15 U 67/23) – wie wir nun gesehen haben, mit einer nicht mehr haltbaren Begründung.
Unsere Verfahren
WBS.LEGAL vertritt bereits ca. 70.000 Facebook-Nutzer, um für sie Schadensersatz-, Feststellungs-, Unterlassungs- und Auskunftsansprüche wegen einer Verletzung von Art. 82 Abs. 1 DSGVO durch Meta geltend zu machen. WBS.LEGAL hat für seine Mandanten mittlerweile ca. 4300 Klagen an praktisch allen deutschen Gerichten eingereicht. Bislang haben bereits viele Gerichte unserer Rechtsauffassung zugestimmt und Betroffenen deshalb Schadensersatz von bis zu 1000 Euro zugesprochen.
Eine (auszugsweise) Liste erfolgreicher Verfahren finden Sie auf unserer Seite.
Hier können Betroffene kostenfrei prüfen, ob sie selbst vom Facebook-Datenleck betroffen sind.
Ursprünglich sollte der BGH schon am 8. Oktober über zwei unserer Facebook-Datenleck-Fälle verhandeln. Nachdem dieser Verhandlungstermin jedoch aufgehoben wurde, herrscht nun endlich Rechtssicherheit für alle betroffenen Verbraucher.
Hintergrund zum Leitentscheidungsverfahren
Am 31.10.2024 erst war das Leitentscheidungsgesetz in Kraft getreten und noch am selben Tag hatte der BGH eines unserer Verfahren als erste Leitentscheidung ausgewählt. Mehr Hintergründe zu dem Leitentscheidungsgesetz erfahren Sie hier. Wenn der BGH eine Entscheidung zur Leitentscheidung macht, bedeutet das, dass er die Möglichkeit hat, in den zentralen Rechtsfragen zu entscheiden, selbst wenn sich das Verfahren vor einem Urteil – etwa durch einen Vergleich – anderweitig erledigt. Das oberste Zivilgericht kann mit dieser Entscheidung sicherstellen, dass alle mit der Sache befassten Land- und Oberlandesgerichte nun wissen, wie sie diese zentralen Rechtsfragen entscheiden sollen. Dies dient der Entlastung der Gerichte und der Rechtssicherheit für alle Betroffenen. Im konkreten Fall ist am Ende aber ein normales Urteil und keine Leitentscheidung ergangen ist, weil die Sache sich nicht zuvor anderweitig erledigt hatte.