Die Kanzlei WBS.LEGAL vertritt bereits zehntausende Mandanten, um für sie einen Schadensersatz wegen des Facebook-Datenlecks aus 2021 zu erstreiten. Am 11. November nun wird der Bundesgerichtshof (BGH) in einem Fall unserer Kanzlei verhandeln und sich erstmalig im vor wenigen Tagen in Kraft getretenen Leitentscheidungsverfahren äußern. Die Tragweite dieser Entscheidung erläutert Rechtsanwalt Christian Solmecke:

Facebook-Datenleck: Neue Urteile stärken deine Rechte!

„Beim Facebook-Datenleck aus dem Jahr 2021 wurden Nutzernamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern sowie persönliche Angaben wie der Beziehungsstatus von 6 Millionen Deutschen ins Darknet geleakt – ein Einfallstor für Kriminelle! Deshalb vertreten wir von WBS.LEGAL zehntausende Facebook-Nutzer, um für sie  immateriellen Schadensersatz nach Art. 82 DSGVO zu erstreiten.

Erste BGH-Leitentscheidung

Ursprünglich sollte der BGH am 8. Oktober über zwei unserer Facebook-Datenleck-Fälle verhandeln. Nachdem dieser Verhandlungstermin aufgehoben wurde, begrüßen wir die Anberaumung des zeitnahen neuen Verhandlungstermins am 11. November, damit endlich Rechtssicherheit für alle betroffenen Verbraucher besteht (BGH, VI ZR 10/24 ). 

Zusätzlich wird unser Verfahren damit das bundesweit erste Leitentscheidungsverfahren des BGH sein. Das Gesetz wurde erst gestern im Bundesgesetzblatt veröffentlicht und ist heute am 31. Oktober in Kraft getreten. Das Leitentscheidungsverfahren gibt dem BGH die neue Möglichkeit, für eine Vielzahl anhängiger gleichgelagerter Einzelklagen die maßgeblichen Rechtsfragen in einer Leitentscheidung zu klären. Bei der Entscheidung wird es sich somit um absolutes Neuland handeln.

Verliere nicht deine Chance auf 1.000€ Schadensersatz – Facebook / Meta hat deine Daten auf dem Gewissen!

Jetzt Handynummer eingeben und sofort zeigt der Checker Dir an, ob du betroffen bist:

Bitte geben Sie Ihre Mobilnummer im Internationalen Format an, beginnend mit +49, ohne Bindestriche und ohne Leerzeichen.

Hinweis: Wir verwenden deine Mobilfunknummer zur Überprüfung, ob du von dem Facebook-Datenleak betroffen bist. Der Abgleich deiner Mobilfunknummer erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine Mobilfunknummer bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.

Der konkrete Fall

Im konkreten Verfahren hat unser vom Datenleck betroffener Mandant Facebook u.a. auf Schadensersatz verklagt. Das Landgericht Bonn hatte in erster Instanz dem Betroffenen 250 Euro Schadensersatz zugesprochen, da ihm durch den Kontrollverlust über seine Daten ein ersatzfähiger Schaden entstanden ist (Az. 13 O 125/22). Das Oberlandesgericht (OLG) Köln hatte sodann im Berufungsverfahren das erstinstanzliche Urteil teilweise abgeändert und die Klage insgesamt abgewiesen (Az. 15 U 67/23). Der BGH wird nun im Leitentscheidungsverfahren ganz grundsätzlich entscheiden, ob Meta durch das Datenleck gegen die DSGVO verstoßen hat. Sodann muss er bewerten, ob der Kontrollverlust über die beim Datenleck abgegriffenen Daten einen ersatzfähigen Schaden auslöst. Darüber hinaus wird der BGH entscheiden, ob Meta auch für zukünftige Schäden, die aus dem Datenleck resultieren, haften muss.

Die bisherige Rechtsprechung und unsere Argumentation

Bislang haben bereits viele deutsche Gerichte unserer Rechtsauffassung zugestimmt, dass Facebook die Daten nicht genug vor Hackern geschützt hat und Betroffenen deshalb Schadensersatz schuldet. Eine (auszugsweise) Liste erfolgreicher Verfahren finden Sie auf unserer Seite.

Aktuell hat etwa das OLG Dresden ein positives Urteil gefällt und unserem Mandanten Schadensersatz zugesprochen (Az. 4 U 480/24). Auch das OLG Oldenburg hatte bereits drei positive Urteile gefällt (Az. 13 U 108/2313 U 89/2313 U 109/23). So sieht es z. B. auch das Landgericht Frankfurt – das unseren Mandanten im Übrigen deswegen auch 1000 Euro zugesprochen hat und Facebook außerdem dazu verpflichtete, alle potenziellen zukünftigen Schäden zu ersetzen, die noch auftreten können (Az. 2-27 O 194/22). Zahlreiche weitere Gerichte wie u.a. das LG München, das LG Darmstadt sowie das LG Verden haben unseren Mandanten 1000 Euro Schadensersatz zugesprochen (Az. 6 O 11754/23, Az. 30 O 2/22, Az. 2 O 115/22).

BGH wird im Einklang mit dem EuGH verbraucherfreundlich entscheiden

Teilweise sehen manche OLGs (u.a. OLG Köln und OLG Stuttgart als Vorinstanzen zu den aufgehobenen BGH-Entscheidungen) dies derzeit anders. Diese Gerichte erkennen zwar alle ein Fehlverhalten von Facebook an. Das OLG Stuttgart leitet daraus auch eine grundsätzliche Ersatzpflicht ab. Sie stellen letztlich aber unverhältnismäßig hohe Anforderungen an den Schaden, den ein Verbraucher darlegen muss. Hierzu argumentieren sie, dass allein der Kontrollverlust über die eigenen Daten nicht ausreiche, um einen Schadensersatzanspruch zu begründen.

Dies ist mit der verbraucherfreundlichen Rechtsprechung des Europäischen Gerichtshofs (EuGH) unserer Ansicht nach unvereinbar. Dieser hat in verschiedenen Urteilen (insbes. C-300/21C-340/21C-741/21;  C-590/22C-182/22C-189/22) Folgendes entschieden:

  • Für einen Anspruch auf Schadensersatz nach der Datenschutzgrundverordnung (DSGVO) müssen Betroffene nicht nachweisen, dass ihre Daten tatsächlich illegal weitergegeben wurden bzw. dass ein Datendiebstahl auch tatsächlich zu Identitätsdiebstahl bzw. -betrug geführt hat.
  • Befürchtungen, Ängste und Sorgen sowie der faktische Kontrollverlust über die eigenen Daten reichen aus, um einen Schaden annehmen zu können.
  • Es gibt beim Schadensersatz keine „Erheblichkeitsschwelle“, der Schaden muss also keine bestimmte Schwere erreichen, um ersatzfähig zu sein.
  • Der Begriff des Schadens ist weit zu betrachten, denn die DSGVO soll die Rechte der Betroffenen ausreichend schützen.
  • Die Höhe des Schadensersatzes soll so hoch bemessen werden, dass sie den erlittenen Schaden vollständig und wirksam kompensieren kann, schließlich hat die DSGVO hier eine „Ausgleichsfunktion“.  

Und in einem ganz aktuellen Urteil vom 4.Oktober 2024 entschied der EUGH nochmals ausdrücklich, dass allein der Kontrollverlust über datenschutzwidrig veröffentlichte Daten bereits einen ersatzfähigen Schaden darstellt. Einen Nachweis zusätzlicher konkreter nachteiliger Folgen müssten Betroffene hingegen nicht führen (Rs. C-200/23).

Ein weiterer interessanter Aspekt, den der EuGH zuletzt betonte: Der Schaden durch Verletzungen des Schutzes personenbezogener Daten ist seiner Natur nach nicht weniger schwerwiegend als eine Körperverletzung. Das ist eigentlich eine Selbstverständlichkeit, doch der EuGH musste dies noch einmal betonen, weil das vorlegende deutsche Gericht auf diese Weise versucht hatte, mögliche Schadensersatzansprüche von Betroffenen kleinzuhalten.

Eine Tendenz unter deutschen Gerichten, welcher der EuGH mit dieser erneuten Klarstellung weiter entgegenwirkte. Die Rechtsprechung ist dennoch aktuell extrem uneinheitlich. Die Gerichte wissen derzeit (noch) nicht, wie sie das europäische Recht auslegen und die erwähnten aktuellen Urteile des EuGH interpretieren sollen. Hier besteht daher dringender Klärungsbedarf sowohl vor dem BGH als auch vor dem EuGH. Wichtige Fragen wie die Klärung, ob die Betroffenen einen Unterlassungsanspruch für die Zukunft gegen Meta haben, liegen aktuell noch beim EuGH und sind dort bislang nicht abschließend entschieden worden. Ebenfalls besteht Uneinheitlichkeit bei den Gerichten bezogen auf die Höhe des korrekten Schadenersatzes. Hier schwanken die Urteile zwischen 50 Euro und 1000 Euro.

Das ist in unseren Augen völlig unverständlich, da die Sachverhalte in den meisten Fällen absolut identisch sind. Umso mehr sind wir nun auf die Bewertung des BGH gespannt. Die konkret zu klärenden Rechtsfragen hat der Bundesgerichtshof heute im Rahmen einer Pressemitteilung veröffentlicht.“