Datendiebstahl bei Facebook: Schadensersatz für Nutzer?

    Verhandlung in Karlsruhe:Facebook-Datenleck: Schadensersatz für Nutzer?

    von Daniel Heymann
    |

    Durch Scraping haben Unbekannte im April 2021 massenhaft Nutzerdaten bei Facebook abgegriffen. Der Bundesgerichtshof muss nun klären, ob der Mutterkonzern Meta dafür haftet.

    Facebook-Logo
    Der BGH knöpft sich einen gravierenden Datenschutzvorfall bei Facebook vor und will für viele vergleichbare Fälle klären, ob Nutzer und Nutzerinnen bei einem Datenleck Anspruch auf Schadenersatz haben.
    Quelle: AFP

    533 Millionen Betroffene aus 106 Ländern - das ist die Bilanz des Scraping-Vorfalls beim sozialen Netzwerk Facebook. Anfang April 2021 wurden ihre Daten, also etwa Namen, Handynummern, Wohnorte und Arbeitgeber im Internet veröffentlicht.
    Der zentrale Angriffspunkt für den Datendiebstahl: Facebooks "Kontakt-Import"-Funktion. Eine Möglichkeit, um seine Handykontakte in das soziale Netzwerk hochzuladen. Diese Funktion machten sich Hacker zunutze, indem sie mithilfe automatisierter Tools massenhaft zufällige Telefonnummern bei Facebook eingaben, diese mit den entsprechenden Profilen zusammenführten und die Daten der jeweiligen Nutzer abgriffen.
    Porträtfoto von Mark Zuckerberg
    Mark Zuckerberg wird mit Facebook zu einem der reichsten Männer der Welt. Doch die Kritik an dem sozialen Netzwerk und dem von ihm angerichteten gesellschaftlichen Schaden wächst.15.11.2023 | 44:43 min
    Allein in Deutschland sind wegen des Lecks dutzende Klagen anhängig. Über eine von ihnen hat am Montag der Bundesgerichtshof (BGH) verhandelt. Das oberste deutsche Zivilgericht hat den Fall zum "Leitentscheidungsverfahren" bestimmt - und will auf diesem Wege grundsätzlich darüber entscheiden, ob die Nutzer vom Facebook-Mutterkonzern Meta Schadensersatz verlangen können.

    Bekommen Kunden Geld für den Datenverlust?

    Im Mittelpunkt steht dabei folgende Frage: Stellt allein der Verlust der Kontrolle über die abgegriffenen Daten einen Schaden im Sinne der Datenschutzgrundverordnung (DSGVO) dar oder braucht es dafür weitere spürbare Beeinträchtigungen? Dass Facebook durch die Ausgestaltung seiner Kontakt-Import-Funktion gegen DSGVO-Regelungen zur Datensicherheit verstoßen hat, hatte das Oberlandesgericht Köln zwar schon in der Vorinstanz bejaht.
    Facebook's 20th anniversary
    2,1 Milliarden Nutzer hat das weltgrößte soziale Netzwerk täglich. Doch Facebook steht immer wieder heftig in der Kritik. Nach 20 Jahren: Ein Blick zurück und nach vorn.04.02.2024 | 2:51 min
    Es hatte aber im "bloß abstrakten Kontrollverlust" über die Daten keinen ersatzfähigen Schaden erkannt. In diesem Zusammenhang ließ das Kölner Gericht auch nicht die Argumentation des Klägers gelten, dass er aufgrund des Scraping-Vorfalls zum einen Angst und Misstrauen verspüre und zum anderen deutlich mehr Spam-Anrufe und -Nachrichten erhalte.
    Ob diese Begründung der Überprüfung in Karlsruhe standhält, erscheint jedoch zweifelhaft. Erst im Oktober hat nämlich der Europäische Gerichtshof (EuGH) in einem ähnlichen Fall klargestellt, dass auch die Befürchtung, gestohlene Daten könnten missbräuchlich verwendet werden, einen ersatzfähigen Schaden darstellen kann. Zweck der DSGVO sei laut EuGH gerade die "Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten" - im Zweifel sind die Regeln also nutzerfreundlich auszulegen.
    Hand touching brain of AI, Symbolic, Machine learning, artificial intelligence of futuristic technology.
    Maschinen und Algorithmen übernehmen immer mehr Aufgaben in unserem Arbeitsalltag. Welche Regelungen es dafür gibt und wie die Arbeit der Zukunft aussieht, erklärt dieser Beitrag.12.10.2024 | 1:31 min

    BGH tendiert zum Schadensersatz für Nutzer

    Zu dieser Auffassung neigt auch der zuständige sechste Zivilsenat beim BGH, wie er in der mündlichen Verhandlung erkennen ließ. Das Gericht führte aus, dass die Anforderungen für einen Anspruch der User nicht überstrapaziert werden dürften. Dies gelte insbesondere im Hinblick auf den Schaden - oder wie es der Vorsitzende Richter Stephan Seiters ausdrückte:

    Wieso soll die Veröffentlichung personenbezogener Daten im Internet kein Schaden sein?

    Stephan Seiters, Vorsitzender Richter am BGH

    Generell machte der Senat im Laufe der Verhandlung deutlich: Die DSGVO will den Nutzern keine Steine in den Weg legen, wenn sie ihr Recht auf Datenschutz durchsetzen wollen.
    Spione auf dem Smartphone
    Apps sind nicht nur praktisch für die Nutzer - denn sie verraten alles. Unentwegt sammeln sie Daten, werten sie aus und geben sie weiter. Meist vollkommen unbemerkt.28.01.2020 | 4:11 min

    Leitentscheidung: Eine für alle

    Der Fall erfährt auch deshalb viel Aufmerksamkeit, weil der BGH erstmals vom neuen Leitentscheidungsverfahren Gebrauch gemacht. Das entsprechende Gesetz ist erst Ende Oktober in Kraft getreten und ermöglicht es den Richterinnen und Richtern in Karlsruhe, in Massenverfahren einen Fall herauszugreifen und die streitigen Rechtsfragen grundsätzlich zu klären. Mit dem neuen Gesetz soll die Justiz vor einer Flut an Einzelklagen, wie etwa beim Dieselskandal, bewahrt werden.
    Die Besonderheit: Selbst wenn die Parteien sich zwischenzeitlich einigen, kann der BGH die Grundsatzentscheidung fällen. Im Scraping-Komplex hat Meta schon mit vielen Betroffenen Vergleiche geschlossen - eine in Massenverfahren übliche Vorgehensweise von Unternehmen, um die Schaffung eines Präzedenzfalls zu verhindern. Mit dieser Praxis könnte es jetzt aber vorbei sein: Schon am Tag des Inkrafttretens des neuen Gesetzes hat der BGH den Scraping-Fall zur Leitentscheidung bestimmt - und wird vermutlich den Nutzern recht geben.
    Daniel Heymann ist Redakteur in der Redaktion Recht und Justiz.

    Mehr zu den Themen