25.November 2024 | Tanja | Thema: Datenschutz

Facebook-Datenleck: Leitentscheidung des BGH zu Schadensersatz

Schlagwörter: DSGVO | Rechtsprechung | Schadensersatz | Social Media

Der Schutz persönlicher Daten und somit der Betroffenen sollte in einer zunehmend digitalen Welt höchste Priorität haben – doch was passiert, wenn diese Daten in die falschen Hände geraten? Ein Vorfall aus dem Jahr 2021 hat gezeigt, wie weitreichend die Folgen sein können: Im April 2021 wurden Daten von etwa 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet veröffentlicht.

Wie kam es zu dem Facebook-Datenleck?

Unbekannte Dritte nutzten eine Schwachstelle im sozialen Netzwerk Facebook aus. Facebook erlaubt es, abhängig von den Suchbarkeits-Einstellungen eines Nutzers, dessen Profil über die zugehörige Telefonnummer zu finden. Die Angreifer verwendeten die Kontakt-Import-Funktion, um massenhaft zufällige Telefonnummern einzugeben. So konnten sie die Profile finden, die  mit diesen Nummern verknüpft waren, und griffen die öffentlich einsehbaren Informationen dieser Profile ab.

Diese Methode, bekannt als „Scraping“, ermöglichte es den Angreifern, große Mengen an Nutzerdaten zu sammeln. Darunter waren Namen, Telefonnummern und weitere Profilinformationen. Diese Daten wurden später im Internet veröffentlicht – ein Skandal, der als einer der größten Datenschutzvorfälle in der Geschichte von Facebook gilt.

BGH: Kontrollverlust reicht für Schadensersatz

Der Bundesgerichtshof (BGH) hat nun ein wegweisendes Urteil in diesem Fall gefällt. Er entschied, dass allein der Verlust der Kontrolle über persönliche Daten ausreicht, um immateriellen Schadensersatz zu fordern (Urt. v. 18.11.2024, Az. VI ZR 10/24). Für die Betroffenen bedeutet das: Es genügt nachzuweisen, dass sie Opfer des Datenlecks sind. Ein Missbrauch der Daten oder konkrete Beeinträchtigungen, müssen nicht belegt werden.

Schadensersatz bleibt überschaubar

Damit erleichtert der BGH die Durchsetzung von Schadensersatzansprüchen erheblich. Der Vorsitzende Richter Stephan Seiters machte jedoch klar, dass der Schadensersatz beim bloßen Kontrollverlust moderat bleibt.  Im vorliegenden Fall wurde ein Betrag von etwa 100 Euro genannt, der jeder der betroffenen Personen zusteht. Das Oberlandesgericht Köln muss nun klären, ob ein Datenschutzverstoß vorliegt und wie der Schaden konkret zu bemessen ist.

Präzedenzfall mit Signalwirkung

Besonders an diesem Fall ist die erstmalige Nutzung des neuen Leitentscheidungsverfahrens durch den BGH. Das Urteil hat Signalwirkung für Tausende ähnlich gelagerte Klagen, die in Deutschland anhängig sind, und setzt einen wichtigen Präzedenzfall für den Schutz persönlicher Daten.


Links/Hinweise

Zum Urteil des BGH

Leitentscheidungsverfahren

procado zu Facebook im Unternehmenskontext