BGH zu Anforderungen an immateriellen Schadensersatz: Kon­troll­ver­lust über Daten könnte genügen

Nach einem Datendiebstahl bei Facebook können viele Betroffene auf Schadenersatz hoffen. Der Bundesgerichtshof (BGH) machte in einer vorläufigen Einschätzung deutlich, dass schon der Verlust der Kontrolle über die eigenen Daten dafür ausreichen könnte. Dieser müsse nachgewiesen werden, nicht aber etwaige immaterielle Schäden wie besondere Befürchtungen oder Ängste, sagte der Vorsitzende Richter des VI. Zivilsenats, Stephan Seiters, in Karlsruhe. Sein Urteil will der BGH aber erst später sprechen. Es ist entscheidend für zahlreiche andere Verfahren an deutschen Gerichten.

Hintergrund ist ein Datenschutzvorfall: Im April 2021 hatten Unbekannte Daten von rund 533 Millionen Nutzerinnen und Nutzern aus 106 Ländern öffentlich im Internet verbreitet, die sie abgegriffen hatten, indem sie eine Funktion zur Freunde-Suche in dem sozialen Netzwerk ausnutzten. Sie hatten sich laut BGH den Umstand zunutze gemacht, dass Facebook es damals in Abhängigkeit von Suchbarkeits-Einstellungen der User ermöglichte, dass die jeweiligen Profile mit Hilfe der eigentlich nicht offen sichtbaren Telefonnummern gefunden werden konnten. Die "Scraper" arbeiteten mit willkürlich generierten Telefonnummern und landeten so Treffer. Auf diese Weise wurden zum Beispiel Nutzer-ID, Vor- und Nachname, Land und Geschlecht mit der jeweiligen Telefonnummer verknüpft. 

Die Betroffenen kritisieren, die Sicherheitsmaßnahmen seien zu lasch gewesen. Wegen des erlittenen Ärgers und des Kontrollverlusts über die Daten wollen sie Ersatz auch für immaterielle Schäden. Es hagelte Klagen, die bisher an Landes- und Oberlandesgerichten zum Großteil keinen Erfolg hatten. Eine höchstrichterliche Klärung steht aber noch aus.

Erstes Leitentscheidungsverfahren des BGH

Um die Masse an Einzelklagen effizienter bearbeiten zu können, hatte der BGH das Revisionsverfahren im sogenannten Scraping-Komplex zum ersten Leitentscheidungsverfahren bestimmt – obwohl die Revision zurückgenommen worden war. Diese in § 552b der Zivilprozessordnung geregelte Möglichkeit war erst am selben Tag in Kraft getreten. 

Der VI. Zivilsenat will anhand des Falles aus Nordrhein-Westfalen grundlegende Rechtsfragen klären, etwa ob die Standardvoreinstellung auf "alle" bei der sogenannten Kontakt-Import-Funktion doch gegen die Datenschutz-Grundverordnung verstößt, ob der bloße Verlust der Kontrolle über die gescrapten Daten einen immateriellen Schaden begründet, wie dieser Schaden zu bemessen wäre und wie eine Schadensersatzklage begründet sein müsste (Az. VI ZR 10/24).

Richter Seiters erklärte, im konkreten Fall habe der Kläger angegeben, seine Telefonnummer nur gezielt weiterzugeben. Nach dem Diebstahl habe der Mann nach eigenen Angaben unter anderem großes Unwohlsein empfunden und ein manifestiertes Misstrauen gegenüber E-Mails und SMS gehabt. 

Auch mit Blick auf mögliche künftige Schäden erwägt der Senat nach vorläufiger Einschätzung eine nutzerfreundliche Auslegung. Immerhin seien die Rechte der informationellen Selbstbestimmung und des Schutzes personenbezogener Daten verletzt, erläuterte Seiters.

Das Landgericht Bonn hatte der Klage teilweise stattgegeben und dem Kläger 250 Euro zugesprochen, wie Seiters sagte. Das Oberlandesgericht Köln wies die Klage hingegen in zweiter Instanz ab. 

Meta: Klagen sind haltlos und unbegründet

Der BGH-Anwalt des Facebook-Mutterkonzerns Meta, Christian Rohnke, mahnte, die Darlegungsansprüche nicht zu sehr abzusenken. Auch reicht aus seiner Sicht der bloße Kontrollverlust nicht aus, um Schaden geltend zu machen. "Wenn überhaupt kann immaterieller Schaden in belästigenden Anrufen liegen." Hier müsse aufgezeigt werden, dass die Zahl gestiegen sei. 

Auch müssten Kläger laut Rohnke Indizien vorweisen, dass sie wegen des Vorfalls beispielsweise nun ängstlich seien – etwa indem sie ihre Rufnummer wechselten. Das habe der Kläger nicht getan. "Wenn er richtige Befürchtungen gehabt hätte, wäre es natürlich naheliegend gewesen, das zu tun."

Meta meint, die Klagen seien haltlos und unbegründet. "Bei diesem Vorfall wurden keine Facebook-Systeme gehackt und es gab keinen Datenschutzverstoß", betonte Rechtsanwalt Martin Mekat von der Kanzlei Freshfields nach der Verhandlung. Er verwies auf mehr als 6.000 ähnliche Fälle, die Meta schon an deutschen Gerichten gewonnen habe.

Die Karlsruher Richter beraten nun über die Erkenntnisse aus der mündlichen Verhandlung. Wann das Urteil verkündet wird, ist noch nicht klar.

dpa/lmb/LTO-Redaktion