Datendiebstahl bei Facebook: Schadensersatz für Nutzer?

533 Millionen Betroffene aus 106 Ländern - das ist die Bilanz des Scraping-Vorfalls beim sozialen Netzwerk Facebook. Anfang April 2021 wurden ihre Daten, also etwa Namen, Handynummern, Wohnorte und Arbeitgeber im Internet veröffentlicht.

Der zentrale Angriffspunkt für den Datendiebstahl: Facebooks "Kontakt-Import"-Funktion. Eine Möglichkeit, um seine Handykontakte in das soziale Netzwerk hochzuladen. Diese Funktion machten sich Hacker zunutze, indem sie mithilfe automatisierter Tools massenhaft zufällige Telefonnummern bei Facebook eingaben, diese mit den entsprechenden Profilen zusammenführten und die Daten der jeweiligen Nutzer abgriffen.

Allein in Deutschland sind wegen des Lecks dutzende Klagen anhängig. Über eine von ihnen hat am Montag der Bundesgerichtshof (BGH) verhandelt. Das oberste deutsche Zivilgericht hat den Fall zum "Leitentscheidungsverfahren" bestimmt - und will auf diesem Wege grundsätzlich darüber entscheiden, ob die Nutzer vom Facebook-Mutterkonzern Meta Schadensersatz verlangen können.

Im Mittelpunkt steht dabei folgende Frage: Stellt allein der Verlust der Kontrolle über die abgegriffenen Daten einen Schaden im Sinne der Datenschutzgrundverordnung (DSGVO) dar oder braucht es dafür weitere spürbare Beeinträchtigungen? Dass Facebook durch die Ausgestaltung seiner Kontakt-Import-Funktion gegen DSGVO-Regelungen zur Datensicherheit verstoßen hat, hatte das Oberlandesgericht Köln zwar schon in der Vorinstanz bejaht.

Es hatte aber im "bloß abstrakten Kontrollverlust" über die Daten keinen ersatzfähigen Schaden erkannt. In diesem Zusammenhang ließ das Kölner Gericht auch nicht die Argumentation des Klägers gelten, dass er aufgrund des Scraping-Vorfalls zum einen Angst und Misstrauen verspüre und zum anderen deutlich mehr Spam-Anrufe und -Nachrichten erhalte.

Ob diese Begründung der Überprüfung in Karlsruhe standhält, erscheint jedoch zweifelhaft. Erst im Oktober hat nämlich der Europäische Gerichtshof (EuGH) in einem ähnlichen Fall klargestellt, dass auch die Befürchtung, gestohlene Daten könnten missbräuchlich verwendet werden, einen ersatzfähigen Schaden darstellen kann. Zweck der DSGVO sei laut EuGH gerade die "Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten" - im Zweifel sind die Regeln also nutzerfreundlich auszulegen.

Zu dieser Auffassung neigt auch der zuständige sechste Zivilsenat beim BGH, wie er in der mündlichen Verhandlung erkennen ließ. Das Gericht führte aus, dass die Anforderungen für einen Anspruch der User nicht überstrapaziert werden dürften. Dies gelte insbesondere im Hinblick auf den Schaden - oder wie es der Vorsitzende Richter Stephan Seiters ausdrückte:

Generell machte der Senat im Laufe der Verhandlung deutlich: Die DSGVO will den Nutzern keine Steine in den Weg legen, wenn sie ihr Recht auf Datenschutz durchsetzen wollen.

Der Fall erfährt auch deshalb viel Aufmerksamkeit, weil der BGH erstmals vom neuen Leitentscheidungsverfahren Gebrauch gemacht. Das entsprechende Gesetz ist erst Ende Oktober in Kraft getreten und ermöglicht es den Richterinnen und Richtern in Karlsruhe, in Massenverfahren einen Fall herauszugreifen und die streitigen Rechtsfragen grundsätzlich zu klären. Mit dem neuen Gesetz soll die Justiz vor einer Flut an Einzelklagen, wie etwa beim Dieselskandal, bewahrt werden.

Die Besonderheit: Selbst wenn die Parteien sich zwischenzeitlich einigen, kann der BGH die Grundsatzentscheidung fällen. Im Scraping-Komplex hat Meta schon mit vielen Betroffenen Vergleiche geschlossen - eine in Massenverfahren übliche Vorgehensweise von Unternehmen, um die Schaffung eines Präzedenzfalls zu verhindern. Mit dieser Praxis könnte es jetzt aber vorbei sein: Schon am Tag des Inkrafttretens des neuen Gesetzes hat der BGH den Scraping-Fall zur Leitentscheidung bestimmt - und wird vermutlich den Nutzern recht geben.