Ein Urteil des Bundesgerichtshofs (BGH) vom letzten November hat erstmals höchstrichterlich bestätigt, dass bereits der Verlust der Kontrolle über personenbezogene Daten unabhängig von einem konkret nachweisbaren Schaden einen Anspruch auf immateriellen Schadensersatz im Sinne der Datenschutzgrundverordnung (DSGVO) begründen kann. Nun hat der Verbraucherzentrale Bundesverband (vzbv) am 05.05.2025 bekannt gegeben, dass Betroffene wegen dem Facebook-Scraping sich ab sofort einer Sammelklage gegen Meta Platforms Ltd. anschließen können.
Facebook-Scraping-Skandal
Die nun geplanten Sammelklage wegen dem Facebook-Scraping liegt ein Datenschutzvorfall bei dem Social-Media-Unternehmen zugrunde. Damals hatten Dritte eine Vielzahl an personenbezogenen Daten, darunter etwa Telefonnummern und E-Mail-Adressen, abgegriffen. Im Anschluss konnten sie diese Facebook-Profilen zuordnen und deren öffentlich verfügbare Daten sammeln. Dieses sogenannte Scraping betraf ungefähr 533 Millionen Datensätze. Infolgedessen stellte die für den Mutterkonzern Meta zuständige irische Datenschutzbehörde (DPC) unzureichende Sicherheitsmaßnahmen fest und verhängte eine Geldbuße in Höhe von 265 Millionen Euro gegen Meta.
Bisherige gerichtliche Bewertung
Zunächst hatten eine Vielzahl an Schadensersatzansprüche keinen Erfolg. Die bloße abstrakte Möglichkeit eines Missbrauchs reiche nicht aus. Im November 2025 hat dann der BGH aber erstmals das neue Leitentscheidungsverfahren genutzt, das es erlaubt, eine richtungsweisende Entscheidung auch bei Erledigung des Falls zu treffen. Tausende noch anhängige Klagen können nun auf Grundlage des BGH-Urteils bewertet werden.
Inhaltlich stellte der BGH fest, dass es einen immateriellen Schadensersatz auch bereits bei bloßem Kontrollverlust geben kann. Betroffene müssen nur nachweisen, dass sie Opfer des Datendiebstahls waren. Ein Nachweis über den Missbrauch der gestohlenen Daten oder eine besondere Beeinträchtigung sei nicht erforderlich. Allerdings müsse die Höhe des Schadensersatzes beim reinen Kontrollverlust überschaubar bleiben. Im konkreten Fall nannte der vorsitzende Richter 100 Euro als Richtwert.
Sammelklage des vzbv
Der vzbv hat nun laut einer Mitteilung am Hanseatischen Oberlandesgericht Hamburg eine Musterfeststellungsklage gegen Meta eingereicht. Ziel sei es, Betroffenen bei einer Durchsetzung ihrer Ansprüche zu helfen und eine angemessene Höhe des Schadenersatzes zu erzielen. Die Option richtet sich an alle Nutzer in Deutschland, deren Daten im Rahmen des Facebook-Datenlecks öffentlich geworden sind.
Über das Klageregister beim Bundesamt für Justiz können sich Betroffene kostenlos eintragen, nachdem ein kurzer Online-Check zeigt, ob der Einzelfall zur Klage passt. Hierfür sind einige wenige Fragen auszufüllen. Anschließend soll ein Hinweis über den Eintrag ins Klageregister erfolgen. Die Registrierung soll vor Verjährung schützen, auch wenn sich das Verfahren über Jahre erstrecken sollte. Außerdem sei das Eintragen kostenfrei.
Anspruch auf höhere Entschädigung
Während der BGH noch auf eine überschaubare Höhe des Schadensersatzanspruchs hinwies, will sich der vzbv in bestimmten Fällen für eine höhere Entschädigung einsetzten. Konkret fordert einer Staffelung der Entschädigungssummen. Anders als bei bloßen Kontrollverlust sei bei umfangreicheren Datenabflüssen, etwa wenn auch das Geburtsdatum oder der Beziehungsstatus betroffen waren, ein deutlich höherer Betrag gerechtfertigt. Konkret sollen in solchen Fällen bis zu 600 Euro geltend gemacht werden können.
Konsequenzen für Unternehmen
Zwar mag der mediale Fokus auf große Plattformbetreiber gerichtet sein. Doch die Grundsätze des BGH-Urteils sind auch auf Datenpannen bei kleineren Dienstleistern, Online-Shops oder CRM-Systemen übertragbar. Das Instrument der Musterfeststellungsklage, das bislang vor allem im Verbrauchervertragsrecht genutzt wurde, entfaltet zudem durch die jüngste Rechtsprechung und das zunehmende Engagement von Verbänden wie dem vzbv nun auch im Bereich des Datenschutzes seine Wirkung. Unternehmen sollten darauf vorbereitet sein, dass vergleichbare Verfahren künftig häufiger geführt werden könnten.
Fazit
Unternehmen sollten das Urteil und die vzbv-Sammelklage zum Anlass nehmen, ihre eigenen Datenschutzmaßnahmen zu überprüfen. Die Entscheidung des BGH zeigt deutlich, dass schon der Kontrollverlust über personenbezogene Daten zu haftungsrelevanten Ansprüchen führen kann. Ein proaktives Datenschutzmanagement wird damit nicht nur zur Compliance-Pflicht, sondern auch zum wirtschaftlichen Schutzschild.
