Im Jahr 2021 wurden Daten von rund 533 Millionen Facebook-Nutzern öffentlich zugänglich gemacht. Die Daten stammten aus einem „Scraping“-Vorfall, bei dem unbekannte Dritte durch automatisierte Eingaben Telefonnummern mit Facebook-Profilen verknüpften und öffentlich einsehbare Daten extrahierten. Zu den betroffenen Daten des Klägers zählten Name, Geschlecht, Arbeitsstelle und seine Telefonnummer. Er warf Facebook vor, keine ausreichenden Sicherheitsmaßnahmen getroffen zu haben, und klagte auf Schadensersatz sowie Feststellung zukünftiger Schadensersatzpflichten.
Entscheidung der Vorinstanzen
Das Landgericht sprach dem Kläger 250 Euro Schadenersatz nach Art. 82 Abs. 1 DSGVO zu. Das Oberlandesgericht wies die Klage jedoch vollständig ab. Es argumentierte, der bloße Kontrollverlust über die Daten genüge nicht, um einen immateriellen Schaden anzunehmen. Auch konkrete psychische Beeinträchtigungen seien nicht substanziiert vorgetragen worden.
Die Entscheidung des Bundesgerichtshofs
Der BGH hob das Urteil des Oberlandesgerichts mit seinem Urteil vom 18.11.2024 (VI ZR 10/24) teilweise auf und bejahte das Feststellungsinteresse des Klägers hinsichtlich künftiger Schäden und hielt auch den Unterlassungsanspruch gegen die unzulässige Nutzung der Telefonnummer für zulässig. Ebenso wurde die Erstattung vorgerichtlicher Anwaltskosten anerkannt.
Der EuGH hat klargestellt, dass auch ein kurzzeitiger Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann. Dafür bedarf es weder eines Nachweises der missbräuchlichen Datenverwendung noch anderer spürbarer negativer Folgen. Für den bloßen Kontrollverlust sah der BGH in diesem Fall eine Entschädigung von 100 Euro als rechtlich vertretbar an. Er wies das Berufungsgericht an, dies im weiteren Verfahren zu berücksichtigen.
Auswirkungen und Ausblick
Mit dem Urteil stärkt der BGH die Rechte von Betroffenen in Datenschutzfällen. Es zeigt, dass der Verlust der Kontrolle über personenbezogene Daten auch ohne konkrete Schäden Ersatzansprüche begründen kann. Für Unternehmen bedeutet dies eine höhere Haftungsgefahr bei Datenschutzverstößen und die Notwendigkeit, präventive Maßnahmen zu ergreifen. Das Verfahren war ein Leitentscheidungsverfahren (wir berichteten).
