Meta-Chef Mark Zuckerberg. © Andrej Sokolow
Datenklau bei Facebook: Der Bundesgerichtshof hat nun entschieden, dass Opfern ein Schadenersatz zusteht. Mutterkonzern Meta lehnt den Anspruch auch nach dem Urteil ab. © Windzio/dpa
Karlsruhe – Einen gravierenden Datenschutzvorfall beim sozialen Netzwerk Facebook hat sich der Bundesgerichtshof (BGH) vorgeknöpft – und Leitlinien für Tausende Verfahren an deutschen Gerichten vorgegeben. Facebook gehört zum Meta-Konzern von Mark Zuckerberg. Im Kern ging es in dem Gerichtsverfahren darum, wann Nutzer bei einem Datenleck Anspruch auf Schadenersatz haben und was sie beweisen müssen. Hintergrund ist ein Fall des sogenannten Scrapings: Diebe hatten vor Jahren Daten von mehr als einer halben Milliarde Facebook-Konten gestohlen. Das sorgte weltweit für Aufsehen. Nach Einschätzung von Fachleuten hat das Urteil Konsequenzen weit über den Fall hinaus.
Was ist Scraping?
Scraping heißt auf Deutsch so viel wie Schürfen und bedeutet, dass Daten etwa von Internetseiten systematisch gesammelt und gespeichert werden. Ein Beispiel für eine autorisierte und legitime Nutzung ist etwa die Arbeit von Suchmaschinen. Wenn allerdings automatisierte Prozesse genutzt werden, um Daten auf Facebook ohne Zustimmung des Konzerns auszulesen, stellt das einen Verstoß gegen die Nutzungsbedingungen dar.
Was war im konkreten Fall passiert?
Datendiebe hatten eine Funktion zur Freunde-Suche in dem sozialen Netzwerk ausgenutzt, Angaben von rund 533 Millionen Nutzern aus 106 Ländern abgegriffen und im April 2021 öffentlich im Darknet verbreitet. Sie hatten sich laut BGH den Umstand zunutze gemacht, dass Facebook es damals in Abhängigkeit von Einstellungen der User ermöglichte, dass die jeweiligen Profile mithilfe der eigentlich nicht offen sichtbaren Telefonnummern gefunden werden konnten. Die unbekannten Täter arbeiteten mit willkürlich generierten Telefonnummern und landeten so Treffer. Auf diese Weise wurden etwa Nutzer-ID, Vor- und Nachname, Land und Geschlecht mit der jeweiligen Telefonnummer verknüpft.
Was sind die juristischen Folgen?
Weil die Sicherheitsmaßnahmen aus ihrer Sicht zu lasch waren, klagten zig Betroffene. Sie fordern Schadenersatz wegen des erlittenen Ärgers und des Kontrollverlusts über ihre Daten. Solche Ansprüche lehnt der Facebook-Mutterkonzern Meta ab, weil weder ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) vorliege, noch den Klägern ein unmittelbarer Schaden entstanden sei. Die Sichtweise bekräftigt der Konzern auch nach dem Urteil. Nach Auskunft der Bundesrechtsanwaltskammer sind Tausende Klagen zu dem Thema vor den deutschen Land- und Oberlandesgerichten anhängig. Nach Angaben der Kanzlei Freshfields Bruckhaus Deringer, die Meta vertritt, hat sie mehr als 6000 Fälle in erster und zweiter Instanz gewonnen – was einer Erfolgsquote von über 85 Prozent entspreche. Anhand eines Falls aus Nordrhein-Westfalen hat der sechste Zivilsenat am BGH nun grundsätzliche Rechtsfragen geklärt. Er hat den Fall zu einem Leitentscheidungsverfahren bestimmt. Es ist das erste seiner Art, diese Möglichkeit gibt es erst seit Ende Oktober.
Was hat der BGH entschieden?
Schon der bloße und kurzzeitige Verlust der Kontrolle über eigene Daten kann dem Urteil zufolge ein Verstoß gegen die Datenschutz-Grundverordnung sein und Schadenersatzansprüche rechtfertigen. Betroffene müssen nachweisen, dass sie Opfer eines Datendiebstahls geworden sind, wie der Vorsitzende Richter Stephan Seiters sagte. Es sei aber kein Nachweis spürbarer negativer Folgen nötig. Und auch müssten die unfreiwillig veröffentlichten Daten nicht missbraucht worden sein (Az. VI ZR 10/24). Die Landes- und Oberlandesgerichte müssen die Detailfragen klären – zum Beispiel, ob überhaupt ein Datenschutzverstoß vorlag. Hier gab der BGH den Hinweis, dass das der Fall gewesen sein dürfte, weil Meta bei der Einstellung zur Suchbarkeit „alle“ voreingestellt hatte. Das widerspreche dem Grundsatz der Datenminimierung, sagte Seiters. Auch müssen die Gerichte prüfen, ob die Kläger wirksam in die Datenverarbeitung eingewilligt haben. Facebook könnte auch für mögliche Schäden, die erst später passieren, haften müssen.
Wie viel Geld bekommt man dann?
Seiters betonte, der Schadenersatz diene nur dem Ausgleich und habe keine abschreckende Funktion. Geht es nur um den bloßen Kontrollverlust über die Daten, hält der Senat 100 Euro für angemessen. Kommen psychische Probleme hinzu, könnte der Satz steigen. „Die Gerichte sollten bei der Bemessung des Schadensersatzes auch berücksichtigen, inwieweit eine Klage wirklich dem Schadensausgleich des Betroffenen dient oder vorrangig dem Gebühreninteresse der Klägeranwälte“, sagte Hauke Hansen von der Wirtschaftskanzlei FPS.
Betrifft das Urteil nur den einen Vorfall bei Facebook?
Nein, meinen Fachleute. Rechtsanwalt Christian Solmecke von der Kanzlei WBS.Legal spricht von einer enorm wichtigen Grundlage für alle betroffenen Verbraucher von Datenlecks. „Es herrscht – nicht nur für Betroffene des Facebook-Datenlecks, sondern für praktisch alle Betroffenen von DSGVO-Verletzungen – nun endlich Rechtssicherheit.“ Jetzt werde es für Millionen Betroffene leichter werden, immateriellen Schadenersatz zu erlangen. Stiftung Warentest veröffentlichte auch gleich eine Anleitung samt Mustertext, um im Facebook-Fall den Schadenersatz geltend zu machen. Wichtig hierbei: „Die Zeit ist knapp: Ende des Jahres verjähren die Rechte der meisten Facebook-Opfer.“