Der Bundesgerichtshof (BGH) hat am 18. November 2024 eine Grundsatzentscheidung im Zusammenhang mit dem Facebook-Datenleck getroffen. Dem Urteil zufolge stellt der bloße Kontrollverlust über personenbezogene Daten einen immateriellen Schaden im Sinne der Datenschutz-Grundverordnung (DSGVO) dar. Damit wird es für Verbraucher einfacher, Ansprüche auf Schadensersatz geltend zu machen. Die Entscheidung stärkt nicht nur die Rechte von Betroffenen, sondern setzt auch neue Maßstäbe für die Haftung von Unternehmen.
Meta, der Mutterkonzern von Facebook, muss sich zukünftig nicht nur für bereits entstandene Schäden verantworten, sondern auch für mögliche künftige Folgen eines Datenmissbrauchs. Laut BGH reicht es aus, dass personenbezogene Daten unrechtmäßig offengelegt wurden – eine konkrete missbräuchliche Nutzung ist nicht erforderlich.
Verbraucherschützer und beteiligte Juristen bewerten das Urteil als wegweisend. Es gibt nicht nur Betroffenen des Facebook-Datenlecks bessere Möglichkeiten, Schadensersatzansprüche durchzusetzen, sondern erhöht auch den Druck auf Unternehmen, den Datenschutz zu verbessern. Nach Ansicht der Kanzlei könnten ähnliche Verfahren in ganz Europa von diesem Richterspruch beeinflusst werden.
Das Datenleck bei Facebook wurde im April 2021 bekannt. Angreifer nutzten damals eine Schwachstelle in der Freundschaftssuche, um Daten von über 533 Millionen Nutzern zu extrahieren, darunter auch sechs Millionen deutsche Accounts. Zu den gestohlenen Informationen zählten vollständige Namen, Telefonnummern und Wohnorte.
Im konkreten Fall hatte der Kläger, dessen Daten von dem Vorfall betroffen waren, Facebook vorgeworfen, unzureichende Sicherheitsmaßnahmen getroffen zu haben. Der BGH hob das Urteil des Oberlandesgerichts Köln auf, das die Klage abgewiesen hatte, und stellte fest, dass auch der kurzfristige Verlust der Kontrolle über personenbezogene Daten für einen Schadensersatzanspruch ausreichen kann. Eine konkrete missbräuchliche Nutzung der Daten sei dafür nicht notwendig.
Die Beklagte habe durch voreingestellte Suchbarkeitseinstellungen gegen den Grundsatz der Datenminimierung verstoßen. Das Berufungsgericht muss nun prüfen, ob der Kläger in die Datenverarbeitung wirksam eingewilligt hat und ob die Sicherheitsmaßnahmen ausreichend waren. Auch der Feststellungsantrag des Klägers auf künftige Ersatzansprüche wurde vom BGH als berechtigt eingestuft, da die Möglichkeit weiterer Schäden besteht.
Das jüngste BGH-Urteil unterstreicht die Bedeutung der DSGVO und zeigt, dass Datenschutzverstöße nicht ohne Konsequenzen bleiben. Für Unternehmen ist das Urteil ein Signal, Datenschutz ernst zu nehmen, während es Verbrauchern einen effektiven Schutz ihrer Rechte bietet.