Der Bundesgerichtshof (BGH) hat mit Urteil vom 18.11.2024 entschieden, dass auch der bloße und kurzzeitige Verlust der Kontrolle über personenbezogene Daten infolge eines Verstoßes gegen die DSGVO (hier: massives Datenleck bei Facebook - "Facebook-Scraping") einen Schadensersatzanspruch nach Art. 82 DSGVO begründen kann - auch ohne nachweisbaren Missbrauch der Daten. Die Betroffenen können also Schadensersatz geltend machen. Reich werden sie dadurch allerdings nicht. Der BGH hat klargestellt, dass ein Schadensersatz in Höhe von 100 Euro angemessen sein kann.
Wie es zum Facebook-Datenleck kam
Die Beklagte (Meta Platforms) ist die Betreiberin von Facebook. Anfang April 2021 wurden Daten von rund 533 Millionen Facebook-Nutzern aus 106 Ländern öffentlich im Internet verbreitet. Unbekannte Dritte hatten sich zuvor den Umstand zunutze gemacht, dass Meta abhängig von den Auffindbarkeitseinstellungen des jeweiligen Nutzers das Auffinden seines Facebook-Profils anhand seiner Telefonnummer ermöglicht.
Durch die massenhafte Eingabe zufälliger Ziffernfolgen über die Kontakt-Import-Funktion ordneten die unbekannten Dritten Telefonnummern den entsprechenden Nutzerkonten zu und griffen die zu diesen Nutzerkonten vorhandenen öffentlichen Daten ab (sog. Scraping). Von diesem Scraping-Vorfall waren auch Daten des Klägers (Nutzerkennung, Vor- und Nachname, Arbeitsort und Geschlecht) betroffen, die auf diese Weise mit seiner Telefonnummer verknüpft wurden.
Forderungen des Klägers gegenüber Facebook (Meta)
Der Kläger macht geltend, Meta habe keine ausreichenden Sicherheitsvorkehrungen getroffen, um eine Ausnutzung des Kontakttools zu verhindern. Ihm stehe wegen der erlittenen Unannehmlichkeiten und des Verlustes der Kontrolle über seine Daten ein Anspruch auf Ersatz des immateriellen Schadens zu.
Darüber hinaus begehrt der Kläger die Feststellung, dass Meta verpflichtet ist, ihm auch alle künftigen materiellen und immateriellen Schäden in diesem Zusammenhang zu ersetzen, und nimmt Meta auf Unterlassung und Auskunft in Anspruch.
Wie die Gerichte bisher entschieden
Das Landgericht (LG) hat der Klage teilweise stattgegeben und dem Kläger einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO in Höhe von 250 EUR zugesprochen; im Übrigen hat es die Klage abgewiesen (LG Bonn, Urteil vom 29.03.2023, 13 O 125/22).
Auf die Berufung von Meta hat das Oberlandesgericht (OLG) die Klage insgesamt abgewiesen. Weder reiche der bloße Kontrollverlust für die Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO aus, noch habe der Kläger hinreichend substantiiert dargelegt, dass er über den Kontrollverlust als solchen hinaus psychische Beeinträchtigungen erlitten habe (OLG Köln, Urteil vom 7.12.2023, 15 U 67/23).
Der Kläger legte gegen das klageabweisende Urteil des OLG Revision ein. Der BGH hat am 11. November 2024 mündlich verhandelt und durch Urteil entschieden: Die Revision des Klägers hat teilweise Erfolg.
BGH: Revison hatte teilweise Erfolg
Art. 82 DSGVO: Kontrollverlust ohne tatsächlichen Datenmissbrauch ist immaterieller Schaden
Der BGH stellte klar, dass der Anspruch des Klägers auf Ersatz des immateriellen Schadens nicht mit der vom Berufungsgericht gegebenen Begründung verneint werden könne. Nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH könne auch der bloße und vorübergehende Verlust der Kontrolle über die eigenen personenbezogenen Daten infolge eines Verstoßes gegen die DSGVO einen immateriellen Schaden im Sinne der Norm darstellen. Weder müsse es insoweit zu einem konkreten Missbrauch dieser Daten zum Nachteil des Betroffenen gekommen sein, noch seien zusätzliche spürbare nachteilige Folgen erforderlich.
Feststellungsinteresse, Unterlassung, Kostenerstattung
Die Revision hat auch Erfolg, soweit das Berufungsgericht die Anträge des Klägers auf Feststellung der Ersatzpflicht für künftige Schäden, auf Unterlassung der Nutzung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt ist, und auf Erstattung seiner vorgerichtlichen Rechtsanwaltskosten abgewiesen hat. Entgegen der Auffassung des Berufungsgerichts fehle es nicht am erforderlichen Feststellungsinteresse des Klägers, da die Möglichkeit des Eintritts künftiger Schäden unter den Umständen des Streitfalls ohne weiteres gegeben sei.
Darüber hinaus sei auch der geltend gemachte Unterlassungsanspruch hinreichend bestimmt und es fehle dem Kläger insoweit auch nicht am Rechtsschutzbedürfnis.
Im Übrigen (weiterer Unterlassungsanspruch und Auskunftsanspruch) blieb die Revision hingegen ohne Erfolg.
Nächste Schritte: Zurückverweisung an Berufungsgericht mit Hinweisen
Soweit die Revision Erfolg hatte, hat der BGH die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen.
1. BGH-Hinweis: Verstoß von Meta gegen Grundsatz der Datensparsamkeit möglich
Für die weitere Prüfung hat der BGH das Berufungsgericht zum einen darauf hingewiesen, dass die von der Beklagten vorgenommene Voreinstellung der Suchbarkeitseinstellung auf "alle" nicht dem Grundsatz der Datensparsamkeit entsprochen haben dürfte, wobei das Berufungsgericht ergänzend die Frage einer wirksamen Einwilligung des Klägers in die Datenverarbeitung durch die Beklagte zu prüfen haben wird.
2. BGH-Hinweis: 100 EUR Schadensersatz für Kontrollverlust bei Facebook-Scraping aureichend
Zum anderen hat der BGH Hinweise zur Bemessung des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO gegeben und dargelegt, warum unter den Umständen des Streitfalls keine rechtlichen Bedenken bestehen, die Entschädigung für den bloßen Kontrollverlust in einer Größenordnung von 100 EUR zu bemessen.
BGH, Urteil vom 18. November 2024 - VI ZR 10/24
Quelle: Pressemitteilung des BGH vom 18.11.2024
Fazit: Signalwirkung für Datenschutzrechte – Schadensersatz bleibt begrenzt
📜 Die Entscheidung des BGH stärkt die Rechte der Betroffenen in Datenschutzfragen und stellt klar, dass auch der nur kurzfristige Kontrollverlust über personenbezogene Daten ohne tatsächlichen Datenmissbrauch ernst zu nehmen ist, da auch dieser zu Schadensersatzansprüchen führen kann.
💰 Allerdings zeigt das Urteil auch, dass sich der Schadensersatz für solche Datenschutzverstöße in Grenzen halten dürfte, wenn nur ein kurzfristiger Kontrollverlust ohne weitere Folgen vorliegt. Mehr als 100 Euro Schadenersatz scheinen für den einzelnen Nutzer nicht "drin" zu sein.
🛡️ Für Betroffene bedeutet dies, dass ihnen zwar grundsätzlich ein Anspruch zustehen kann, dieser aber finanziell nur symbolischen Charakter haben wird. Für Unternehmen, bei denen die Daten von Millionen von Nutzern betroffen sind, dürfte der Schadensersatz in der Summe jedoch schmerzhaft sein. Unternehmen wie Facebook werden daher künftig noch mehr darauf achten, ihre Nutzer vor Datenmissbrauch zu schützen.