Bundesgerichtshof: Facebook muss für Datendiebstahl geradestehen
Facebook kann für einen Datendiebstahl aufgrund zu laxer Sicherheitsmaßnahmen zu Schadenersatz verpflichtet werden. Liegt ein Verstoß nach der Datenschutz-Grundverordnung (DSGVO) vor, reiche es für den Anspruch auf Schadenersatz aus, dass betroffene Facebook-Nutzer wegen des Datendiebstahls einen kurzzeitigen Kontrollverlust über ihre Daten erlitten haben, entschied am Montag der Bundesgerichtshof in Karlsruhe in einem Grundsatzurteil. (AZ: VI ZR 10/24)
Hintergrund des Rechtsstreits war ein Datendiebstahl bei Facebook. Unbekannte hatten persönliche Daten von rund 533 Millionen Facebook-Nutzern aus 106 Ländern abgegriffen. Hierbei nutzten sie Facebooks Kontakt-Import, bei dem die eigenen Handykontakte auf die individuelle Facebook-Seite hochgeladen werden konnten. Offen sichtbar waren die Telefonnummern für andere nicht.
Die Datendiebe verwendeten aber einen Zufallsgenerator, mit dem automatisiert zufällige Telefonnummern bei Facebook eingegeben wurden. Gab es einen Treffer über eine tatsächlich vorhandene Telefonnummer, konnte diese mit dem entsprechenden Facebook-Profil verknüpft werden. Bei diesem sogenannten Scraping erbeuteten die Datendiebe Namen, Wohnort, Handynummern und Arbeitgeber der Nutzer und veröffentlichten die Daten im April 2021 im Internet.
Zahlreiche Facebook-Nutzer verlangten von Facebook Schadensersatz für den Kontrollverlust über ihre Daten, darunter auch der aus Nordrhein-Westfalen stammende Kläger. Wegen seiner gestohlenen Facebook-Daten erhalte er nun mehr Spam-Anrufe und -Nachrichten. Der Facebook-Mutterkonzern Meta vertrat die Auffassung, dass allein der abstrakte Kontrollverlust über die gestohlenen Daten noch kein Schadenersatz begründen könne. Es müsse schon ein tatsächlicher Schaden entstanden sein.
Der Bundesgerichtshof stellte in seinem Grundsatzurteil fest, dass auch ein kurzzeitiger Kontrollverlust über persönliche Daten infolge zu lascher Sicherheitsmaßnahmen durchaus einen Schadenersatz begründen könne. Es sei nicht erforderlich, dass Betroffene einen Schaden wie etwa psychische Beeinträchtigungen nachweisen.
Den Streitfall müsse aber das Oberlandesgericht Köln erneut prüfen und etwa feststellen, inwieweit der Kläger eine wirksame Einwilligung in die Datenverarbeitung bei Facebook gegeben hat und ob tatsächlich ein Datenschutzverstoß nach der DSGVO vorgelegen hat. Sei dies der Fall, bestünden keine Bedenken, dem Kläger für den erlittenen Datenkontrollverlust einen Schadenersatz in Höhe von 100 Euro zuzusprechen.