BGH-Einschätzung: Auch für künftige Schäden könnte Facebook haften
Welche Rechtsfragen will der BGH zum Facebook-Datenleck abschließend klären? Die Kanzlei Dr. Stoll & Sauer fasst die wichtigsten Punkte des Verfahrens und der mündlichen Verhandlung zusammen. Unterschiedliche Medien haben darüber berichtet:
- Der Bundesgerichtshof (BGH) hat im Verfahren (Az. VI ZR 10/24) ausführlich 90 Minuten über das Facebook-Datenleck debattiert.
- Der BGH betont, dass der faktische Kontrollverlust über personenbezogene Daten ausreicht, um einen immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO zu begründen.
- Zwar hat der Europäische Gerichtshof (EuGH) ähnlich entschieden, doch einige deutsche Gerichte verlangten bisher, dass Betroffene ihre Ängste vor Datenmissbrauch objektiv nachweisen – was natürlich schwierig sein kann.
- Der BGH will offensichtlich klarstellen, dass das Vorliegen von Befürchtungen den Schadensersatz erhöhen könne, jedoch nicht zwingend erforderlich sei. Dies vereinfacht die Geltendmachung von Schadensersatzansprüchen unter der DSGVO.
- Es wird erwartet, dass durch diese Klärung bald umfassende Rechtssicherheit für alle Betroffenen von DSGVO-Verletzungen herrscht und es leichter wird, Schadensersatzansprüche zu stellen.
- Ferner hat der BGH festgestellt, dass die Haftung nicht nur für bereits entstandene Schäden gelte, sondern auch für potenzielle zukünftige Schäden, wie den Missbrauch von Daten aus dem Darknet für kriminelle Aktivitäten.
- Der BGH erkennt auch Unterlassungsansprüche teilweise an, was Betroffenen zusätzliche rechtliche Handlungsoptionen bietet.
Kostenlose Erstberatung direkt online abrufen
Informieren Sie sich schnell, sicher und kostenlos. Geben Sie zur Erstellung Ihres persönlichen Zugangs Name, E-Mail-Adresse und Telefonnummer ein. Nach der Registrierung werden alle weiteren Schritte auf unserem abgesicherten Mandanten-Portal durchgeführt.
Fazit der Kanzlei Dr. Stoll & Sauer zu Facebook-Datenleck am BGH
- Die Entscheidung des BGH erhöht die Chancen für Betroffene erheblich, Schadensersatzansprüche geltend zu machen. Die klare Positionierung des BGH bestätigt, dass die grundlegenden Voraussetzungen für solche Ansprüche im Falle von Facebook gegeben sind.
- Diese Rechtssicherheit bietet eine solide Grundlage für alle von Datenlecks betroffenen Personen. Zukünftig müssen sie keine unverhältnismäßig hohen Hürden überwinden, um immateriellen Schadensersatz zu begründen. Dies erhöht den Druck auf Unternehmen, den Datenschutz ernster zu nehmen und könnte als Präzedenzfall für zukünftige Entscheidungen in anderen europäischen Ländern dienen.
- Die Kanzlei Dr. Stoll & Sauer empfiehlt daher Verbrauchern, im kostenlosen Datenleck-Online-Check die Betroffenheit überprüfen zu lassen. Mehr Infos zum Thema Datenleck gibt es auf unserer Website.
BGH wendet bei Facebook erstmals Leitentscheidungsverfahren an
Das Facebook-Datenleck wurde erstmals im April 2021 bekannt. Dreieinhalb Jahre später hat der Fall den Bundesgerichtshof (BGH) erreicht. Der für Rechtsstreitigkeiten über Ansprüche aus der Datenschutz-Grundverordnung zuständige VI. Zivilsenat hatte mit Beschluss vom 31. Oktober 2024 ein Revisionsverfahren zum Scraping-Komplex bei Facebook (Az.: VI ZR 10/24) zum sogenannten Leitentscheidungsverfahren bestimmt. Mit dem Gesetz zur Einführung eines Leitentscheidungsverfahrens (BGBl. I Nr. 328) kann der Bundesgerichtshof ein bei ihm anhängiges Revisionsverfahren zum Leitentscheidungsverfahren bestimmen. Voraussetzung: Die Revision wirft Rechtsfragen auf, deren Entscheidung für eine Vielzahl von Verfahren von Bedeutung ist. Das Leitentscheidungsverfahren soll dazu führen, dass zügige höchstrichterliche Klärung trotz der Rücknahme von Revisionen aus prozesstaktischen Gründen oder aufgrund eines Vergleichs ermöglicht werden, hieß es in einer Pressemitteilung zum Leitentscheidungsverfahren des BGH.
Scraping? Das Wichtigste zum Facebook-Datenleck
Seit April 2021 ist das Datenleck bei Facebook bekannt. Es gehört zu den größten Datenlecks, die jemals bekannt wurden. Die Verbraucherkanzlei Dr. Soll & Sauer fasst die wichtigsten Erkenntnisse zum Facebook-Datenleck zusammen:
- Wie kam es zum Datenleck bei Facebook? Bei einem Sicherheitsvorfall im April 2021 wurden Facebooks Funktionen zur Freundschaftssuche von unbekannten Akteuren ausgenutzt, um Zugang zu Daten von 533 Millionen Facebook-Accounts zu erlangen, davon sechs Millionen aus Deutschland. Durch gezielte Manipulation dieser Funktion erlangten die Angreifer Zugriff auf Informationen wie Nutzer-IDs, vollständige Namen, Geschlecht, Wohnländer und Telefonnummern. Diese Daten wurden dann systematisch kombiniert und gespeichert. Das Datenleck offenbarte, dass Profileinstellungen der Nutzer, die eigentlich dem Schutz der Privatsphäre dienen sollten, unter bestimmten Umständen es ermöglichten, dass sensible Informationen wie Telefonnummern durch Scraping-Methoden zugänglich wurden.
- Scraping bezeichnet den Prozess des automatisierten Sammelns von Daten aus dem Internet. Hierbei verwenden Programme, sogenannte Scraper, die Inhalte von Webseiten extrahieren, um sie zu speichern und analysieren. Dies kann für verschiedene Zwecke genutzt werden, von der Preisüberwachung bis hin zur Datengewinnung für Forschung und Entwicklung. Scraping („Schürfen“) ist jedoch rechtlich umstritten, wenn es ohne Einwilligung der Dateninhaber oder in Verletzung von Nutzungsbedingungen der Webseiten geschieht. Bei Facebook ist es verboten.
- Die juristische Aufarbeitung des Facebook-Datenlecks von 2021 in Deutschland ist in vollem Gange und hat bereits zu einer Vielzahl von Gerichtsentscheidungen geführt. Das Datenleck, bei dem persönliche Daten von Millionen Nutzern durch Scraping-Vorfälle erbeutet wurden, hat zahlreiche Klagen nach sich gezogen, bei denen Betroffene immateriellen Schadenersatz nach Art. 82 DSGVO fordern. Hält sich der BGH in seiner endgültigen Entscheidung an seine erste Einschätzung, haben Facebook-Kunden beste Chancen auf Schadensersatz.
- Mehrere Landgerichte haben bereits zugunsten der Verbraucher entschieden, dass Facebook für die durch das Datenleck entstandenen immateriellen Schäden haftet. Diese Urteile betonen, dass Facebook eine Pflichtverletzung gegenüber den Verbrauchern begangen hat, indem es die Daten nicht ausreichend schützte. Es wurde teilweise auch festgestellt, dass Facebook auch für zukünftige Schäden haftbar ist, die aus dem unbefugten Zugriff auf das Datenarchiv resultieren können
- Schadensersatzansprüche für immaterielle Schäden beziehen sich auf den Ausgleich für Schäden, die nicht direkt finanzieller Natur sind. Dazu gehören beispielsweise Schmerzen und Leiden, emotionale Belastungen und andere psychische Auswirkungen. Im Kontext von Datenschutzverletzungen können solche Ansprüche geltend gemacht werden, wenn personenbezogene Daten unrechtmäßig verarbeitet oder verbreitet werden und dadurch bei den Betroffenen immaterielle Schäden wie Angst oder Stress verursacht werden.
- Juristisch gesehen kann ein Datenleck wie das bei Facebook erhebliche rechtliche Folgen nach sich ziehen. Dies kann Bußgelder nach Datenschutzgesetzen wie der DSGVO umfassen, zivilrechtliche Schadensersatzklagen der betroffenen Nutzer und möglicherweise auch strafrechtliche Konsequenzen für das Unternehmen. Datenschutzverletzungen können auch das Vertrauen der Nutzer und der Öffentlichkeit schädigen, was langfristig negative Auswirkungen auf das Geschäft haben kann.
- Facebook ergreift verschiedene Maßnahmen gegen unerwünschtes Scraping, um die Sicherheit und Privatsphäre seiner Nutzer zu schützen. Dazu gehören technische Schutzmechanismen wie das Erkennen und Blockieren verdächtiger Aktivitäten oder IP-Adressen, die Implementierung robuster Authentifizierungsverfahren und regelmäßige Überprüfungen der Sicherheitsinfrastruktur. Zudem setzt Facebook rechtliche Mittel ein, indem es gegen die Verantwortlichen vorgeht und die Einhaltung seiner Nutzungsbedingungen durchsetzt.
EuGH erleichtert bei Datenleck Klagen auf Schadensersatz
- Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind.
- Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.
- Art. 82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
- Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.
Die Verbraucherkanzlei Dr. Stoll & Sauer empfiehlt daher Verbrauchern, die eventuell von einem Datenleck betroffen sind, eine kostenlose Erstberatung im Datenleck-Online-Check. Hier prüft die Kanzlei die mögliche Betroffenheit und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen. Die Kanzlei hat bereits in mehreren Fällen eines Datenlecks bei Facebook Schadensersatzansprüche vor Landgerichten durchgesetzt.
Immer auf dem Laufenden
Abonnieren Sie unseren Newsletter
Schnelle Informationen und Hintergründe helfen Ihnen bei den richtigen Entscheidungen. Profitieren Sie von wichtigen juristischen Informationen aus erster Hand. Wir informieren Sie mit unseren Newslettern über aktuelle Themen wie Abgasskandal, Datenschutzrecht oder Bankenskandale.