Der BGH positioniert sich in der mündlichen Verhandlung zum Facebook-Datenleck eindeutig und sagt: Der reine Kontrollverlust über personenbezogene Daten ist für sich genommen ein Schaden nach der DSGVO! Damit beendet er die bisherige Rechtsunsicherheit und gibt den unteren Gerichten eine klare Leitlinie. Ein großartiger Tag nicht nur für Betroffene des Facebook-Datenlecks, sondern für Verbraucher und den Datenschutz generell! Warum das so ist und alles zu den Hintergründen erläutert Rechtsanwalt Christian Solmecke von WBS.LEGAL:
RA Solmecke:„ Der Bundesgerichtshof (BGH) hat heute 90 Minuten lang über eine Klage im sog. Facebook-Datenleck verhandelt (Az. VI ZR 10/24). Am Montag, den 18.11.2024 um 14:00 Uhr verkündet der BGH sein Urteil. Die Tendenz des BGH bedeutet bereits einen großen Sieg für die Verbraucher: Er sagt ganz klar, dass bereits der faktische Kontrollverlust über personenbezogene Daten ausreicht, um einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) zu begründen.
Diese Rechtsfrage hatte zwar der Europäische Gerichtshof (EuGH) zuvor schon so entschieden. Dennoch haben einige deutsche Gerichte hiervon abweichende Entscheidungen getroffen und darüber hinaus gefordert, die Betroffenen müssten objektiv nachweisen, unter Ängsten wegen eines möglichen Datenmissbrauchs zu leiden.
Der BGH stellt nun klar: Wenn die Person über den reinen Kontrollverlust hinaus entsprechende Befürchtungen nachweisen kann, so erhöht das nur den Schadensersatz. Es ist jedoch keine Voraussetzung für diesen. Damit baut der BGH die hohen Hürden, die andere Gerichte teilweise für den DSGVO-Schadensersatz aufgestellt hatten, wieder ab. Es herrscht – nicht nur für Betroffene des Facebook-Datenlecks, sondern für praktisch alle Betroffenen von DSGVO-Verletzungen – nun bald endlich Rechtssicherheit. Jetzt wird es für Millionen Betroffene leichter werden, immateriellen Schadensersatz zu erlangen!
Außerdem stellte der BGH fest: Die mögliche Haftung Facebooks würde nicht nur für bereits eingetretene Schäden gelten, sondern auch für potenzielle Schäden, die erst in der Zukunft auftreten könnten: etwa der tatsächliche Missbrauch von im Darknet gelandeten Daten für Phishing oder andere kriminelle Aktivitäten. Auch Unterlassungsansprüche erkennt der BGH teilweise an.“
Verliere nicht deine Chance auf 1.000€ Schadensersatz – Facebook / Meta hat deine Daten auf dem Gewissen!
Jetzt Handynummer eingeben und sofort zeigt der Checker Dir an, ob du betroffen bist:
Hinweis: Wir verwenden deine Mobilfunknummer zur Überprüfung, ob du von dem Facebook-Datenleak betroffen bist. Der Abgleich deiner Mobilfunknummer erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine Mobilfunknummer bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.
Wie geht es weiter?
RA Solmecke: „Einen Entscheidungstermin wird der BGH noch heute verkünden. Klar ist: Eine Vorlage an den Europäischen Gerichtshof (EuGH) erachtet der BGH nicht als notwendig. Der BGH wird das Verfahren dann an das OLG Köln zurückverweisen, damit es Feststellungen zum Fehlverhalten Facebooks und der Höhe des Schadensersatzes treffen kann. Denn diese Fragen hatte die Vorinstanz offengelassen.
Dass Facebook grundsätzlich haftet, steht aber nicht ernsthaft in Frage: Nicht nur haben das bislang alle deutschen Gerichte gesagt. Auch das OLG Köln selbst schrieb in seinem Urteil: ‚Der Beklagten [Meta] dürften darüber hinaus auch Verstöße gegen Art. 5 Abs. 1 lit. b), 25 Abs. 2, 32 Abs. 1 DSGVO vorzuwerfen sein.‘ Die Haltung des BGH-Vorsitzenden wurde heute auch deutlich, als er sagte: ‚Ich hätte ein Problem damit, wenn mein Name und meine Telefonnummer im Internet zu finden wären.‘
Der EuGH hat bislang zwar gesagt, es sei Sache der nationalen Gerichte, Kriterien für die Höhe des DSGVO-Schadensersatzes festzulegen. Allerdings sagt er auch: Die Höhe soll so bemessen werden, dass sie den erlittenen Schaden vollständig und wirksam kompensieren kann, schließlich habe die DSGVO hier eine ‚Ausgleichsfunktion‘. Diese Vorgaben muss das OLG Köln nun mit Leben füllen.
Sehr wahrscheinlich ist allerdings, dass der Fall nach einem erneuten OLG-Urteil wieder beim BGH landet. Dann kann dieser rechtssichere Kriterien für die Bemessung von DSGVO-Schadensersatz aufstellen, an denen sich künftig alle Gerichte orientieren können.“
Welche Konsequenzen folgen daraus …
…für Betroffene des Facebook-Datenlecks?
RA Solmecke: „Die Chancen für Betroffene des Facebook-Datenlecks, bis zu 1000 Euro immateriellen Schadensersatz zu erstreiten, sind mit den Aussagen des BGH im heutigen Verhandlungstermin enorm gestiegen! Der BGH hat sich bei der umstrittensten Frage ganz eindeutig positioniert. Damit ist klar: Die grundlegenden Voraussetzungen für immateriellen Schadensersatz liegen im Fall des Facebook-Datenlecks vor!“
… für zukünftige Klagen wegen DSGVO-Schadensersatz?
RA Solmecke: „Diese Rechtssicherheit schafft eine enorm wichtige Grundlage für alle Betroffenen von Datenlecks oder anderweitiger Verletzung des Schutzes personenbezogener Daten. Nun ist klar, dass sie keine unverhältnismäßig hohen Ansprüche erfüllen müssen, um zu begründen, dass ihnen immaterieller Schadensersatz zusteht. Dies wird einen enormen Druck auf alle Unternehmen ausüben, den Datenschutz zukünftig noch ernster zu nehmen. Zumal die Gerichte aus anderen europäischen Ländern sicherlich ebenfalls Kenntnis von dieser BGH-Entscheidung nehmen und entsprechend entscheiden werden. Daher ist dieser Tag ein sehr guter Tag für den Datenschutz in der EU!“
Hintergründe: Das Facebook-Datenleck
Hintergrund ist das Datenleck von Facebook aus dem Jahr 2021. Im heute verhandelten Fall hatte der Kläger seine Telefonnummer zwar so eingestellt, dass sie nur für ihn sichtbar sein sollte. Die Suchbarkeits-Einstellungen hatte er jedoch auf „alle“ belassen und nicht explizit begrenzt, sodass jeder, der seine Telefonnummer bereits gespeichert hatte, sein Profil hätte finden können. Die sog. Kontakt-Import-Funktion Facebooks erlaubte es nun Hackern, seine Telefonnummer und darüber hinaus auch seinen Namen und seine Arbeitsstätte abzugreifen, um dies im April 2021 im Darknet zu veröffentlichen.
So wie ihm erging es 533 Millionen Nutzern weltweit, allein 6 Millionen in Deutschland – teilweise wurden auch ihre Geburtsdaten, E-Mail-Adressen sowie persönliche Angaben wie der Beziehungsstatus veröffentlicht. Ein Einfallstor für Kriminelle!
Debatte um den Kontrollverlust als Schaden
Die Frage, ob der reine Kontrollverlust über personenbezogene Daten bereits für sich genommen einen Schaden darstellt, hat die deutschen Gerichte in den letzten Jahren besonders beschäftigt. Hier sind einige Fehlurteile ergangen. Auch in diesem konkreten Fall hatte sich das OLG Köln – entgegen der Vorinstanz, dem LG Bonn – auf die Seite der Skeptiker geschlagen (Az. 15 U 67/23). Daher stellte es unverhältnismäßig hohe Anforderungen an den Schaden, den ein Verbraucher darlegen muss.
So argumentiert das Gericht, dass allein der Kontrollverlust über die eigenen Daten nicht ausreiche, um einen Schadensersatzanspruch zu begründen. Es brauche „darüber hinausgehende Auswirkungen auf die Person oder die Lebensumstände des Betroffenen“ – etwa begründete Befürchtungen oder Ängste vor Missbrauch. Und selbst die müssten objektiv feststellbar sein – einfach nur zu behaupten, man habe entsprechende Befürchtungen, solle nicht ausreichen. Damit konterkarierte das OLG Köln aber direkt die verbraucherfreundliche EuGH-Rechtsprechung sowie die Vorgaben der DSGVO selbst.
Diesen Widerspruch sah nun auch der BGH in der mündlichen Verhandlung. So hatte der EuGH in mehreren Entscheidungen – insbesondere am 4. Oktober (Rs. C-200/23) – bereits dargelegt, dass sowohl Ängste und Befürchtungen vor einem tatsächlichen Missbrauch als auch der reine Kontrollverlust über personenbezogene Daten für sich genommen ausreichen, um einen Schaden zu begründen. Kein Wunder – schließlich steht dies exakt so in Erwägungsgrund 85 zur DSGVO. Für den BGH ist die Rechtslage nun also ebenso klar.
Bisherige Urteile im konkreten Fall
Im konkreten Fall hatte das Landgericht (LG) Bonn unserem Mandanten zumindest 250 Euro Schadensersatz zugesprochen, da ihm durch den Kontrollverlust über seine Daten ein ersatzfähiger Schaden entstanden ist (Az. 13 O 125/22).
Das Oberlandesgericht (OLG) Köln hatte dann im Berufungsverfahren die Klage insgesamt abgewiesen (Az. 15 U 67/23) – wie wir nun gesehen haben, mit einer nicht mehr haltbaren Begründung.
Unsere Verfahren
WBS.LEGAL vertritt bereits ca. 70.000 Facebook-Nutzer, um für sie Schadensersatz-, Feststellungs-, Unterlassungs- und Auskunftsansprüche wegen einer Verletzung von Art. 82 Abs. 1 DSGVO durch Meta geltend zu machen.
WBS.LEGAL hat für seine Mandanten mittlerweile ca. 4300 Klagen an praktisch allen deutschen Gerichten eingereicht. Bislang haben bereits viele Gerichte unserer Rechtsauffassung zugestimmt und Betroffenen deshalb Schadensersatz von bis zu 1000 Euro zugesprochen. Eine (auszugsweise) Liste erfolgreicher Verfahren finden Sie auf unserer Seite.
Hier können Betroffene kostenfrei prüfen, ob sie selbst vom Facebook-Datenleck betroffen sind.
Ursprünglich sollte der BGH schon am 8. Oktober über zwei unserer Facebook-Datenleck-Fälle verhandeln. Nachdem dieser Verhandlungstermin jedoch aufgehoben wurde, herrscht nun bald endlich Rechtssicherheit für alle betroffenen Verbraucher.
Hintergrund zum Leitentscheidungsverfahren
Bei dem zu erwartenden Urteil handelt es sich um die erste Leitentscheidung in der Geschichte der Bundesrepublik Deutschland. Am 31.10.2024 erst war das Leitentscheidungsgesetz in Kraft getreten und noch am selben Tag hatte der BGH eines unserer Verfahren als erste Leitentscheidung ausgewählt. Das bedeutet, dass er die Möglichkeit hat, in den zentralen Rechtsfragen zu entscheiden, selbst wenn sich das Verfahren vor einem Urteil – etwa durch einen Vergleich – anderweitig erledigt. Das oberste Zivilgericht kann mit dieser Entscheidung sicherstellen, dass alle mit der Sache befassten Land- und Oberlandesgerichte nun wissen, wie sie diese zentralen Rechtsfragen entscheiden sollen. Dies dient der Entlastung der Gerichte und der Rechtssicherheit für alle Betroffenen. Mehr Hintergründe zu dem Leitentscheidungsgesetz erfahren Sie hier.