Der Bundesgerichtshof (BGH) hat mit einem richtungsweisenden Urteil in Form einer Leitsatzentscheidung die Rechte von Betroffenen bei Datenschutzverstößen erheblich gestärkt. ECC-Clubmitglied Rechtsanwalt Rolf Becker erklärt, warum die Entscheidung zum Facebook-Datenleck aus dem Jahr 2021 einen Meilenstein im Datenschutzrecht darstellt. Durch das Urteil können Betroffene Schadensersatz für den Verlust der Kontrolle über ihre Daten verlangen – auch ohne den Nachweis eines konkreten Missbrauchs.
Sicherheitslücke mit weitreichenden Folgen
Im April 2021 wurden die Daten von über 533 Millionen Facebook-Nutzer:innen öffentlich zugänglich gemacht, darunter etwa sechs Millionen deutsche Nutzer:innen. Die über die Funktion „Freundesuche“ ausgelesenen Informationen, darunter Namen, Telefonnummern und Profilbilder, landeten schließlich in Online-Foren und waren dort frei zugänglich. Besonders problematisch war, dass die Sicherheitslücke sowohl aktive als auch inaktive Nutzer:innen betraf. Auch jahrelang nicht genutzte Accounts blieben von der Datenpanne nicht verschont. Die veröffentlichten Informationen können unter anderem für Betrugsversuche und Phishing verwendet werden – eine erhebliche Bedrohung für die Privatsphäre der Betroffenen.
Die Entscheidung des BGH
Das Urteil des BGH vom 18. November 2024 (Az. VI ZR 10/24) setzt neue Maßstäbe im Datenschutzrecht. Nach Ansicht der Richter stellt bereits der Verlust der Kontrolle über personenbezogene Daten eine relevante Beeinträchtigung dar, die Schadensersatzansprüche begründet. Die Richter:innen erklärten, dass bereits der Kontrollverlust über personenbezogene Daten eine Verletzung darstellt, die Schadensersatzansprüche nach Art. 82 DSGVO rechtfertigt. Ein Beweis für eine missbräuchliche Nutzung der Daten ist nicht erforderlich. Betroffene müssen lediglich nachweisen, welche Informationen betroffen waren und welche konkreten Auswirkungen der Verlust der Datenkontrolle hatte.
Das Urteil orientiert sich an der Rechtsprechung des Europäischen Gerichtshofs (EuGH, Urteil vom 4. Oktober 2024 – C-200/23), der festgelegt hatte, dass der Kontrollverlust über Daten einen erheblichen Eingriff in die Rechte der Betroffenen darstellt. Der BGH hob hervor, dass sogar standardisierte und schematische Angaben zum Datenverlust ausreichen können, um Ansprüche geltend zu machen, wenn eine Vielzahl von Nutzenden betroffen ist.
Ein Schadensersatzbetrag von 100 Euro wurde als Orientierung für Fälle ohne nachweisbaren Missbrauch genannt.
Abgrenzung zu anderen Entscheidungen
Die Entscheidung des BGH unterscheidet sich deutlich von einem kürzlich ergangenen Urteil des Bundessozialgerichts (BSG, Urt. v. 24.09.2024, Az. B 7 AS 15/23 R). Während der BGH bereits den Kontrollverlust über Daten als ausreichend für Schadensersatz ansieht, verlangt das BSG eine konkrete Darlegung eines immateriellen Schadens. Das BSG hatte den Schadensersatzanspruch eines Klägers abgelehnt, der lediglich eine verspätete Auskunft durch ein Jobcenter geltend machte. Dieser Unterschied zeigt, dass die Veröffentlichung sensibler Daten deutlich schwerwiegender bewertet wird als bloße Verzögerungen bei der Erfüllung von Auskunftspflichten. Eine nur verspätete Auskunft präjudiziert nicht den gleichen Grad von Kontrollverlust wie das Auftauchen personenbezogener Daten im Darknet.
Konsequenzen für Unternehmen
Das Urteil verdeutlicht, wie wichtig es für Unternehmen ist, ihre Datenschutzmaßnahmen zu überprüfen und zu verbessern. Sicherheitslücken wie bei Facebook könnte man durch stärkere technische Schutzmechanismen verhindern. Beispielsweise könnte eine Funktion wie die Freundessuche durch technische Schutzmaßnahmen wie CAPTCHA-Prüfungen gegen automatisierte Abfragen abgesichert werden. Auch eine restriktivere Handhabung sensibler Daten wie Telefonnummern wäre denkbar gewesen, um deren unkontrollierte Auslesbarkeit zu verhindern.
Der BGH stellt klar, dass derartige Versäumnisse für Unternehmen künftig teuer werden können. Die Entscheidung des BGH erhöht den Druck auf Unternehmen, proaktiv Datenschutzmaßnahmen umzusetzen, um Haftungsrisiken zu reduzieren.
Fazit
Das Urteil des BGH setzt ein starkes Signal für den Schutz personenbezogener Daten. Betroffene von Datenschutzverletzungen haben nun einen einfacheren Zugang zu Schadensersatz, während Unternehmen stärker in die Pflicht genommen werden, Datenschutzstandards konsequent einzuhalten. Für die Praxis bedeutet dies: Prävention ist der Schlüssel, um hohe finanzielle und rechtliche Risiken zu vermeiden.
Übrigens war das die erste Entscheidung nach § 552b ZPO, wonach das Revisionsgericht das Verfahren bei Rechtsfragen, die für eine Vielzahl anderer Verfahren von Bedeutung ist, durch Beschluss zum Leitentscheidungsverfahren bestimmen kann.
Untere Instanzen konnten Verfahren aussetzen und sich jetzt an der Leitentscheidung orientieren. Vor allem aber konnten die Parteien nach dem Beschluss die Äußerung des BGH durch Revisionsrücknahme oder Vergleich verhindern. Davon wurde häufig Gebrauch gemacht. Das geht jetzt in diesen Verfahren nicht mehr.
Ich bedanke mich bei allen Leser:innen für die Geduld und Aufmerksamkeit und wünsche Ihnen eine schöne Adventszeit, Frohe Weihnachten und einen Guten Rutsch nach 2025! Wir lesen uns wieder!
ÜBER DEN AUTOR
Rechtsanwalt Rolf Becker war bis Ende 2023 Partner und Mitbegründer der Rechtsanwaltssozietät Wienke & Becker – Köln, die mit Ablauf des Jahres 2023 beendet wurde. Er ist Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht, insbesondere im Fernabsatz. Als Mitglied im ECC-Club kommentiert Rechtsanwalt Becker für das ECC Köln regelmäßig aktuelle Urteile zum Onlinehandel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen.
RA Becker auf Twitter: http://twitter.com/rolfbecker
PRESSEHINWEISE
Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!