Der Bundesgerichtshof (BGH) hat im Zusammenhang mit einem Datenschutzvorfall bei Facebook aus dem Jahr 2021 ein Urteil gefällt, das hohe Bedeutung für soziale Netzwerke und deren Nutzer hat (BGH, Urteil vom 18.11.2024, Az.: VI ZR 10/24). Das Gericht entschied, dass bereits der Kontrollverlust über eigene personenbezogene Daten einen Schaden für Betroffene darstellt. Betroffene können daher Ersatzansprüche gegenüber Facebook haben, wenn das soziale Netzwerk gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hat. Dadurch stärkt der BGH die Rechte von Social-Media-Nutzern und konkretisiert die Schutzpflichten sozialer Netzwerke.
Sachverhalt
Im April 2021 kam es zu einem umfangreichen
Datenschutzvorfall bei Facebook: Daten von knapp 533 Millionen Nutzern des sozialen Netzwerks aus verschiedensten Ländern wurden von Unbekannten im Internet veröffentlicht. Dies gelang den Tätern, weil sich Nutzerprofile bei Facebook durch Eingabe der zugehörigen Telefonnummer finden ließen. Die dabei ausgenutzte Kontakt-Import-Funktion diente eigentlich dazu, Facebook-Profile von Bekannten zu finden, deren Telefonnummer bereits auf dem eigenen Mobilgerät gespeichert war. Die Täter generierten automatisch Zahlenfolgen und importierten diese bei Facebook. Wenn die hochgeladene Zahlenkombination mit der Telefonnummer eines Facebook-Profils übereinstimmte, erhielten die Täter
Zugriff auf die öffentlichen Informationen des jeweiligen Profils.
Bei diesem „Scraping“ wurden insbesondere die Vor- und Nachnamen, die Nutzer-ID, das Geschlecht, das Geburtsdatum und zum Teil die Angaben zur Arbeitsstätte abgegriffen. Die Täter konnten diese Daten mit der zuvor eingegebenen Telefonnummer verknüpfen und dem jeweiligen Nutzer zuordnen.
Da auch die Daten des Klägers betroffen waren, wendete er sich gegen Meta, den Betreiber von Facebook. Der Kläger forderte den Ersatz
immaterieller Schäden wegen des Scraping-Vorfalls und begehrte zudem die
Feststellung der Ersatzpflicht für zukünftige Schäden sowie Unterlassung der
Nutzung seiner Telefonnummer von der Beklagten. Dies begründete er damit, dass er infolge des Vorfalls die Kontrolle über seine Daten verloren habe und es zu betrügerischen Kontaktversuchen gekommen war.
Der Kläger hatte in den Privatsphäre-Einstellungen seines Profils ausgewählt, dass die eigene Telefonnummer nicht für andere sichtbar ist,
seine Arbeitsstätte war dagegen öffentlich einsehbar. Gleichzeitig war sein
Profil so eingestellt, dass er von anderen über seine Telefonnummer auffindbar ist, wodurch sein Profil über die Kontakt-Import-Funktion gefunden werden konnte. Die Auffindbarkeit des Profils hätte in den Einstellungen auch eingeschränkt werden können.
Prozessverlauf
Der Kläger wendete sich in erster Instanz an das Landgericht Bonn. Dieses sprach dem Facebook-Nutzer einen Schadensersatzanspruch in Höhe von 250 € aus Art. 82 Abs. 1 DSGVO zu (LG Bonn, Urteil vom 29.3.2023, Az.: 13 O 125/22). Meta wendete sich im Wege der Berufung erfolgreich an das Oberlandesgericht Köln. Das OLG lehnte eine Entschädigung ab, da der bloße Kontrollverlust über personenbezogene Daten noch keinen Schadensersatz begründen könne und der Kläger nicht dargelegt habe, dass es auf Grund des Kontrollverlusts zu einem Schaden gekommen ist (OLG Köln, Urteil vom 7.12.2023, Az.: 15 U 67/23). Da die Daten nicht missbräuchlich verwendet wurden, sei eine tatsächliche Beeinträchtigung zulasten des Klägers nicht eingetreten. Zudem könne der Kläger nicht die Unterlassung der Verarbeitung der Telefonnummer für die Kontakt-Import-Funktion verlangen, da er die Auffindbarkeit seines Profils in den Einstellungen hätte einschränken können.
Entscheidung des Bundesgerichtshofs
Im Gegensatz zum OLG Köln stellte der BGH klar, dass ein Anspruch auf Schadensersatz nach Art. 82 DSGVO nicht schon deshalb ausgeschlossen werden kann, weil es infolge des Verlusts der Kontrolle über eigene Daten nicht zu einer konkreten Beeinträchtigung gekommen ist.
Immaterieller Schaden durch Kontrollverlust
Gemäß Art. 82 Abs. 1 DSGVO besteht ein Anspruch auf
Schadensersatz, wenn einer Person wegen eines Verstoßes gegen die
Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden
entstanden ist. Zwar entstand dem Kläger im vorliegenden Fall kein materieller Schaden. Der Europäische Gerichtshof (u.a. EuGH,
Urteil vom 4.10.2024, C-200/23) entschied aber, dass bereits der
kurzzeitige Verlust der Kontrolle über eigene Daten zu einem immateriellen
Schaden im Sinne des Art. 82 Abs. 1 DSGVO führt. Schon wegen des
Kontrollverlusts besteht das Risiko des Missbrauchs der Daten. Es ist nicht
erforderlich, dass die betroffenen Daten tatsächlich missbräuchlich verwendet werden oder ein konkreter Nachteil entsteht. Der Betroffene muss aber nachweisen können, dass es zu einem Kontrollverlust kam (EuGH,
Urteil vom 20.06.2024, C-590/22) oder zumindest die begründete Befürchtung besteht, dass seine personenbezogenen Daten missbräuchlich verwendet werden und es zu negativen Folgen für ihn kommt (EuGH,
Urteil vom 25.01.2024, C-687/21).
Im konkreten Fall bedeutete das, dass der Kläger darlegen musste, dass er vom Scraping-Vorfall betroffen war und welche Folgen dies für ihn hatte. Dies gelang ihm, da er einerseits darstellte, dass seine personenbezogenen Daten im Internet veröffentlicht wurden und er andererseits besorgt war, dass seine Daten missbraucht werden, da er infolge des Vorfalls betrügerische Kontaktversuche erhalten hatte. Zudem gab er an, seine
Telefonnummer ansonsten nicht veröffentlicht zu haben. Nach Ansicht des BGH hatte das OLG Köln die Ausführungen des Klägers nicht ausreichend
berücksichtigt und daher rechtsfehlerhaft entschieden.
Verstoß gegen die DSGVO?
Den nach Art. 82 Abs. 1 DSGVO nötige Verstoß gegen die DSGVO unterstellte der BGH als Revisionsgericht bei seiner Prüfung, da das OLG Köln diese Frage nicht abschließend beantwortet hatte. Da das Verfahren zur neuen Verhandlung und Entscheidung an das OLG zurückverwiesen wurde, muss dieses jetzt abschließend prüfen, ob der Scraping-Vorfall die Folge eines Verstoßes gegen die DSGVO war.
Der BGH stellte aber bereits fest, dass sich der Datenschutzverstoß im vorliegenden Fall aus einem Verstoß gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. b und lit. c und Art. Art. 25 Abs. 2 und 3 DSGVO ergeben dürfte. Die Voreinstellungen bei Facebook, nach denen ein Profil grundsätzlich von allen anderen Nutzern über die Telefonnummer auffindbar ist, werden dem Grundsatz der Datenminimierung nicht gerecht, da diese Voreinstellungen nicht erforderlich für die Nutzbarkeit von Facebook seien. Nach Art. 5 Abs. 1 lit. c DSGVO sollen Datenverarbeitungen auf das für die Verarbeitung notwendige Maß beschränkt sein. Die Voreinstellungen bei sozialen Netzwerken müssen diesem Grundsatz entsprechen, also so gewählt sein, dass zunächst nur solche Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Die Einstellungen bei Facebook waren bei der Auffindbarkeit über die Telefonnummer im Ausgangspunkt aber so weitgehend wie möglich und hätten vom Nutzer aktiv eingeschränkt werden müssen, um nicht über die Kontakt-Import-Funktion auffindbar zu sein.
Im konkreten Fall muss das OLG Köln aber noch entscheiden, ob die Voreinstellungen auch im Verhältnis zum Kläger unrechtmäßig waren oder ob dieser wirksam in die Auffindbarkeit seines Profils über seine Telefonnummer eingewilligt hat. Kommt das OLG zu dem Ergebnis, dass eine solche Einwilligung nicht vorlag, besteht ein Schadensersatzanspruch des Klägers nach Art. 82 Abs. 1 DSGVO.
Hinsichtlich der Höhe des Anspruchs ist zu berücksichtigen, dass es nur zu einem Kontrollverlust kam und weitere Schäden nicht nachgewiesen wurden. Des Weiteren ist die Art der betroffenen Daten und deren typische Verwendung relevant. Im vorliegenden Fall waren beispielsweise keine sensiblen Daten (Art. 9 DSGVO) betroffen. Auch die Möglichkeiten des Betroffenen, die Kontrolle über seine Daten wiederzuerlangen. Der BGH hält in Fällen wie dem vorliegenden einen Ausgleich in Höhe von um die 100 € für angemessen. Auch bezüglich der Entschädigungshöhe wird das OLG Köln anhand dieser Kriterien abschließend über den vorliegenden Fall entscheiden müssen.
Darüber hinaus bejahte der BGH den Antrag des Klägers auf Ersatz für zukünftig wegen des Datenschutzvorfalls eintretende Schäden. Auf Grund der Umstände des Vorfalls bestehe die Möglichkeit solcher Schäden, zum Beispiel durch eine missbräuchliche Verwendung der abgegriffenen Daten. Das setzt aber einen künftig eintretenden Schaden voraus, den der Kläger nachweisen müsste.
Fazit
Der BGH stärkt durch sein Urteil die Rechte von Nutzern gegenüber Betreibern von Social-Media-Plattformen. Schützt ein Betreiber die personenbezogenen Daten seiner Nutzer nicht in ausreichendem Maße oder verarbeitet er Daten auf Grundlage einer unwirksamen Einwilligung, verstößt er gegen die DSGVO. Den betroffenen Nutzern stehen dann bereits wegen eines Kontrollverlusts über die eigenen Daten Ersatzansprüche zu, wenn sie den Kontrollverlust oder die Befürchtung einer missbräuchlichen Verwendung der Daten nachweisen können. Das Urteil gilt unmittelbar nur für den Facebook-Vorfall. Es hat jedoch grundlegende Bedeutung für alle sozialen Netzwerke.
Das Urteil des BGH beeinflusst außerdem alle weiteren Verfahren, die im Zusammenhang mit dem Scraping-Vorfall derzeit vor deutschen Gerichten geführt werden. Im konkreten Fall wird das OLG Köln entscheiden müssen, ob Facebook gegen die Vorgaben der DSGVO verstoßen hat und dem Kläger somit ein Schadensersatzanspruch zusteht. Das OLG entscheidet dann auch über die Höhe der Entschädigung im Einzelfall, wobei die vom BGH genannten 100 € zurr Orientierung herangezogen werden.
