Betroffene eines umfangreichen Datendiebstahls bei Facebook vor einigen Jahren haben nach einem Urteil des Bundesgerichtshofs (BGH) vergleichsweise niedrige Hürden, um Schadenersatz zu bekommen. Sie müssen nur nachweisen, dass sie Opfer des Vorfalls waren, wie der sechste Zivilsenat in Karlsruhe entschied. Es sei weder nötig, dass die Daten nachweislich missbraucht wurden. Noch müssten die Betroffenen Belege dafür liefern, dass sie nun in besonderer Weise beeinträchtigt sind - etwa in Angst und Sorge.
Der BGH hat zum ersten Mal von der neuen Möglichkeit des Leitentscheidungsverfahrens Gebrauch gemacht. Die höchstrichterliche Klärung ist entscheidend für Tausende ähnlich gelagerte Fälle an Landes- und Oberlandesgerichten in Deutschland. (Az. VI ZR 10/24)
Allerdings machte der Vorsitzende Richter des sechsten Zivilsenats, Stephan Seiters, deutlich, dass der Schadenersatz beim bloßen Kontrollverlust nicht allzu hoch ausfallen könne. Als Beispiel im konkreten Fall nannte Seiters 100 Euro. Sei ein Betroffener beispielsweise auch psychisch beeinträchtigt, müsse das mitberücksichtigt werden.
Detailfragen müssen die Vorinstanzen klären
Konkret muss das Oberlandesgericht (OLG) Köln den Fall nun in Teilen noch einmal verhandeln, das die Klage zuvor abgewiesen hatte. Es müsse unter anderem klären, ob tatsächlich ein Datenschutzverstoß vorlag und wie der Schaden zu bemessen ist.
Nach Einschätzung des Senats dürfte eine vom Facebook-Mutterkonzern Meta vorgenommene Voreinstellung der Suchbarkeitseinstellung auf „alle” nicht dem Grundsatz der Datenminimierung entsprochen haben. „Die Datenverarbeitung muss sich auf das absolut Notwendige beschränken”, sagte der Richter. Ferner müsse es am OLG um die Fragen gehen, ob der Kläger wirksam in die Datenverarbeitung eingewilligt habe und wie mit künftigen Schäden umgegangen wird. Diese könnten ohne weiteres eintreten, sagte Seiters.
Weltweit mehr als eine halbe Milliarde Betroffene
Hintergrund ist ein Vorfall aus dem April 2021: Unbekannte hatten damals Daten von rund 533 Millionen Facebook-Nutzerinnen und -Nutzern aus 106 Ländern im Internet veröffentlicht. Diese hatten die Täter abgegriffen, indem sie eine Funktion zur Freunde-Suche in dem sozialen Netzwerk ausnutzten. Im Anschluss hagelte es Klagen, die bisher an Landes- und Oberlandesgerichten zum Großteil keinen Erfolg hatten.
Meta gab sich stets überzeugt, die Klagen seien haltlos und unbegründet. Rechtsanwalt Martin Mekat von der Kanzlei Freshfields Bruckhaus Deringer sagte auch nach der Urteilsverkündung: „Wir sind der Meinung, dass die Einschätzung des Bundesgerichtshofs in Bezug auf Haftung und Schadenersatz nicht mit der jüngsten Rechtsprechung des Europäischen Gerichtshofs, dem höchsten Gericht in Europa, vereinbar ist.”
Mekat verwies wie schon bei der Verhandlung vergangene Woche auf mehr als 6.000 gewonnene Verfahren an deutschen Gerichten. Das entspricht nach früheren Angaben der Kanzlei einer Erfolgsquote von über 85 Prozent. „Die Systeme von Facebook wurden bei diesem Vorfall nicht gehackt und es gab keinen Datenschutzverstoß”, sagte der Jurist.