Datenleck bei Facebook: Betroffene Nutzer können auf Schadenersatz hoffen
Nach einer Verhandlung am Bundesgerichtshof (BGH) können zahlreiche Facebook-Nutzer auf Schadenersatz wegen eines Datenlecks im Jahr 2021 hoffen. Ein Urteil fiel am Montag in Karlsruhe noch nicht, doch ließ der zuständige sechste Zivilsenat in einer vorläufigen Einschätzung durchblicken, dass er den Verlust der Kontrolle über eigene Daten als Schaden werten könnte. Die spätere BGH-Entscheidung wird maßgeblich für andere Fälle, die noch an deutschen Gerichten liegen. (Az. VI ZR 10/24)
Es ging um einen sogenannten Scraping-Vorfall. Zwischen Januar 2018 und September 2019 nutzten Unbekannte die Suchfunktion von Facebook, um die Daten von Hunderten von Millionen von Facebook-Nutzerinnen und -Nutzern abzugreifen. Damals konnten Nutzer über die Eingabe von Telefonnummern in die Suchfunktion identifiziert werden. Inzwischen ist das nicht mehr möglich.
Die Unbekannten generierten millionenfach zufällige Telefonnummern und riefen über automatisierte Anfragen die Daten von Nutzern ab, deren Nummern darunter waren. Im April 2021 wurden die Daten von 533 Millionen Nutzern im Internet verbreitet. Auch Daten des Klägers in dem vom BGH verhandelten Fall waren darunter. Bekannt wurden so seine Telefonnummer in Verknüpfung mit seiner Nutzer-Identität. Auch sein Name, Geschlecht und Arbeitgeber waren unter den Daten, diese hatte er allerdings zuvor selbst auf Facebook veröffentlicht.
Der Mann verklagte den Facebook-Mutterkonzern Meta unter anderem auf Schadenersatz von mindestens 1000 Euro. Er macht geltend, dass Meta gegen die europäische Datenschutz-Grundverordnung verstoßen und seine Daten nicht ausreichend geschützt habe. Nach dem Scraping-Vorfall würde er deutlich häufiger in betrügerischer Absicht per E-Mail, SMS und Telefon kontaktiert, was ihm Sorgen mache.
Vor dem Landgericht Bonn hatte er teilweise Erfolg, das Oberlandesgericht Köln aber wies die Klage in der Berufung ab. Der BGH prüfte dieses Urteil nun. In der Verhandlung wurde darüber gestritten, ob der Europäische Gerichtshof (EuGH) einen solchen Kontrollverlust schon als immateriellen Schaden versteht. Ob darüber hinaus noch etwas passiert ist, wäre dann irrelevant.
So argumentierte der Anwalt des Klägers. Seiner Meinung nach äußerte sich der EuGH dazu eindeutig. Wichtig ist das, weil es hier um EU-Recht geht.
Der Anwalt von Meta argumentierte dagegen, dass der Kläger einen Schaden hätte nachweisen müssen, beispielsweise Indizien für seine Sorge. Der Mann habe nicht einmal seine Telefonnummer geändert, sagte er.
Wie der Vorsitzende Richter Stephan Seiters zu Beginn der Verhandlung erläuterte, war der Senat zuvor aber zu der vorläufigen Einschätzung gekommen, dass ein Schaden entstanden sei. Es kommt demnach nicht darauf an, ob es zusätzlich noch Datenmissbrauch gab.
Der BGH unterstellte dabei einen Verstoß gegen die Datenschutz-Grundverordnung, da das Oberlandesgericht dazu keine ausreichenden Feststellungen getroffen habe. Seine vorläufige Auffassung begründete er unter anderem mit der damaligen Standardeinstellung. Diese sah vor, dass Nutzer andere Profile über die Telefonnummer finden konnten.
Meta zeigte sich nach der Verhandlung dennoch optimistisch. Martin Mekat von der Kanzlei Freshfields erklärte für das Unternehmen, es handle sich um "haltlose Klagen". Bei dem Vorfall "wurden keine Facebook-Systeme gehackt und es gab keinen Datenschutzverstoß", sagte er weiter.
Wann die Entscheidung am BGH fällt, ist noch unklar. Das Urteil wird richtungsweisend für tausende andere Fälle, die derzeit vor deutschen Gerichten liegen. Die Karlsruher Richterinnen und Richter erklärten den Fall zum Leitentscheidungsverfahren. Andere Gerichte werden sich daran orientieren.
H.Klein--MP