Nach dem der Bundesgerichtshof (BGH) erst vor zwei Wochen erstmalig ein Leitsatzentscheidungsverfahren im Datenschutz eingeleitet hat, hat am 11.11.2024 nun die mündliche Verhandlung hierzu stattgefunden. In dem Fall geht es um den Kontrollverlust personenbezogener Daten aufgrund dessen ein Anspruch auf immateriellen Schadensersatz bestehen soll. Dem zugrunde liegt ein Datenschutzvorfall bei Facebook, bei dem Daten von Millionen Facebook-Nutzern ohne ihr Wissen abgegriffen und veröffentlicht wurden.
Datenschutzskandal bei Facebook
Dem Beschluss des BGH liegt ein Datenschutzvorfall bei Facebook zugrunde. Damals hatten Dritte mit Hilfe des Contact Import Tools (CIT) eine Vielzahl an personenbezogenen Daten, darunter etwa Telefonnummern und E-Mail-Adressen, abgegriffen. Im Anschluss konnten sie diese Facebook-Profilen zuordnen und deren öffentlich verfügbare Daten sammeln. Dieses sogenannte Scraping betraf ungefähr 533 Millionen Datensätze. Infolgedessen stellte die für den Mutterkonzern Meta zuständige irische Datenschutzbehörde (DPC) unzureichende Sicherheitsmaßnahmen fest und verhängte eine Geldbuße in Höhe von 265 Millionen Euro gegen Meta.
Schadensersatzforderungen Betroffener
Dies führte zu einer Fülle an Klagen von Betroffenen. Im Mittelpunkt steht insbesondere die Frage, ob Meta wegen unzureichender Sicherheitsmaßnahmen immateriellen Schadensersatz leisten muss. Insbesondere hätten sie Ängste, Stress und Zeiteinbußen sowie einen Kontrollverlust ihrer personenbezogenen Daten erlitten.
Eine Vielzahl an Schadensersatzansprüche hatte bislang wenig Erfolg. Beispielsweise stellte das Oberlandesgericht Dresden im Mai 2024 zwar Datenschutzverstöße fest. Allerdings wies es die Klage trotzdem mangels Nachweises eines konkreten immateriellen oder materiellen Schadens ab. Wie auch der EuGH jüngst, betonte das OLG, dass ein Schadensersatzanspruch ohne Vorliegen eines konkreten Schadens ausscheidet. Die bloße abstrakte Möglichkeit eines Missbrauchs reiche nicht aus.
Kontrollverlust für immateriellen Schadensersatz ausreichend?
Die rechtliche Kernfrage, die der BGH in diesem Verfahren zu klären hat, ist, ob der bloße Verlust der Kontrolle über personenbezogene Daten für einen immateriellen Schadensersatzanspruch ausreichen kann. Zwar sind die Voraussetzungen eines solchen Anspruchs noch nicht abschließend geklärt, allerdings hat der EuGH zumindest in letzter Zeit einige Entscheidungen erlassen, die verdeutlichen, dass nicht jede Datenschutzverletzung auch einen immateriellen Schaden begründet.
Anfang des Jahres entschied der EuGH etwa, dass lediglich ein ungutes Gefühl wegen einer kurzen Datenweitergabe noch keinen immateriellen Schaden darstellt. Im April bestätigte der EuGH erneut, dass ein immaterieller Schaden einen konkreten, nachweisbaren Schaden erfordert. Auch in einem aktuellen Urteil von Juli 2024 stellte der EuGH fest, dass allein ein Datendiebstahl noch keinen Schadensersatzanspruch rechtfertige. Soll daraus ein Identitätsdiebstahl gefolgt sein, müsse tatsächlich auch ein Missbrauch der personenbezogenen Daten zur Begründung eines Anspruchs auf Schadensersatz dargelegt werden.
Mündliche Verhandlung des BGH
Der BGH deutete nun laut LTO in seiner vorläufigen Einschätzung an, dass der Kontrollverlust selbst bereits als immaterieller Schaden gewertet werden könnte. Sollte dies bestätigt werden, müssten Betroffene in vergleichbaren Fällen zukünftig nicht mehr weitere konkrete psychische oder körperliche Folgen belegen. Da es sich hierbei um ein Leitsatzentscheidungsverfahren handelt, könnte das Urteil eine enorme Wirkung auf die weiteren anhängigen Fälle haben. Richter Stephan Seiters betone jedoch, dass diese Sichtweise erst im endgültigen Urteil entschieden werde.
Fazit
Das Verfahren vor dem BGH im Facebook-Scraping-Fall könnte einen wichtigen Präzedenzfall im Datenschutzrecht schaffen. Sollte der Kontrollverlust über personenbezogene Daten als immaterieller Schaden anerkannt werden, wäre dies eine deutliche Stärkung der Rechte betroffener Personen. Unternehmen sollten verstärkt in präventive Datenschutzmaßnahmen investieren, um ähnliche Verfahren zu vermeiden. Die endgültige Entscheidung bleibt abzuwarten.
