Der Bundesgerichtshof (BGH) hat entschieden, dass Facebook-Nutzer nach einem Datenleck allein aufgrund des Kontrollverlusts über ihre Daten einen Anspruch auf immateriellen Schadensersatz geltend machen können. Im Rahmen der Schadensersatzansprüche nach einem umfangreichen Datendiebstahl bei Facebook hat der BGH die Rechte der betroffenen Nutzer gestärkt. Die Karlsruher Richter entschieden, dass der bloße Verlust der Kontrolle über die eigenen Daten für einen Anspruch auf immateriellen Schadensersatz ausreichend sein kann.
Der Inhalt im Überblick
Facebook-Datenleck 2021: Millionen Nutzer betroffen
Anfang April 2021 wurden Daten von etwa 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet öffentlich zugänglich gemacht. Unbekannte Dritte nutzten dabei aus, dass Facebook-Nutzern, abhängig von deren Suchbarkeits-Einstellungen ermöglicht, ihre Profile anhand ihrer Telefonnummern auffindbar zu machen. Durch die großflächige Eingabe von Nummern ordneten die unbekannten Täter Telefonnummern den entsprechenden Nutzerkonten zu, verknüpften und veröffentlichten die Nutzerprofile (sog. Scraping).
Mit diesem Urteil (Az. VI ZR 10/24 vom 18.10.2024) hat der BGH im ersten Leitentscheidungsverfahren nun eine maßgebliche Entscheidung für Tausende ähnlich gelagerte Fälle getroffen.
Der sechste Zivilsenat stellte fest, dass die Einstellungen der Konzernmutter Meta innerhalb der Sucheinstellung des Netzwerks potenziell alle Nutzer finden zu können, wohl dem Grundsatz der Datenminimierung widersprechen dürfte. Der BGH entschied außerdem, dass auch der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellt. Es sei nicht notwendig, dass die Daten missbräuchlich verwendet wurden oder dass es zusätzliche spürbare negative Folgen, wie etwa Angst oder Sorge vor Kontrollverlust für die Betroffenen gebe. Für die Kläger reiche es aus, nachzuweisen, dass sie Opfer des Vorfalls waren, um Schadensersatz zu verlangen. Gleichzeitig betonte der Senat aber auch, dass der Schadensersatz beim bloßen Kontrollverlust nicht allzu hoch ausfallen könne. Als Größenordnung sei ein Betrag von 100 Euro jedenfalls als angemessener Ausgleich nicht zu beanstanden.
Angemessene TOMs – eine Beruhigungspille für Unternehmen
Die Umsetzung von geeigneten technischen und organisatorischen Maßnahmen ist unerlässlich, um Risiken wie Verlust, unbefugten Zugriff oder Missbrauch der Daten zu minimieren. Eine gute Umsetzung der TOMs bildet das Fundament für den Schutz der Daten und der Aufrechterhaltung der Datenschutz-Compliance. Es sind nach Art. 32 Abs. 1 lit. d) DSGVO gegebenenfalls Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen Maßnahmen zu implementieren. Auch der aktuelle Stand der Technik sollte wiederkehrend überprüft werden. Wer dann noch seine Sicherheitsmaßnahmen nachvollziehbar dokumentiert vorweisen kann, wird auch künftig bestenfalls Datenschutzvorfälle verhindern, bevor sie entstehen. Jedenfalls aber gute Chancen haben, sich einer Haftung entziehen zu können.
Gute Datenschutz-Compliance verhindert Schadensersatz
Unternehmen sollten stets geeignete Maßnahmen ergreifen, um Datenschutzverstöße zu vermeiden. Es ist zu befürchten, dass es künftig zu Massenverfahren kommen kann. Insbesondere datengetrieben Unternehmen mit vielen Nutzern könne sich solchen Verfahren künftig ausgesetzt sehen. Und wenn die Zahl der betroffenen Kläger in die tausende geht, dann können auch 100 € pro Kopf schmerzhaft werden.
Eine solide Datenschutz-Compliance ist dabei essenziell, um solche Vorfälle im besten Fall gänzlich zu verhindern. Dabei können der Datenschutzbeauftragte und der Informationssicherheitsbeauftragte wertvolle Unterstützung leisten.