Der Bundesgerichtshof hat in der mündlichen Verhandlung vom 11.11.2024 die Rechte von Betroffenen einer Datenpanne konkretisiert. Damit haben Betroffene von Datenlecks zukünftig mehr Rechtsklarheit, wann sie Anspruch auf eine Entschädigung haben – und wann nicht.
Was bisher geschah: Der Facebook Scraping Vorfall vor dem BGH
Die Datenpanne
Ausgangsfall war ein s.g. Scraping-Vorfall im Jahr 2018/2019, bei dem über 500 Millionen Datensätze von Facebook-Nutzern heruntergeladen werden konnten.
Bis April 2018 erfolgten diese Attacken über die Suchfunktion, bei der über Anfragen fiktiver Nutzer und Telefonnummern öffentlich zugängliche Nutzerinformationen gescraped wurden, sobald eine Telefonnummer einem Nutzer zugeordnet werden konnte.
Nach Deaktivierung dieser Suchmöglichkeit erfolgte das Scraping über das sog. Contact-import-Tool (im folgenden CIT), das sich sowohl auf der Plattform direkt als auch auf dem an diese angebundenen Messenger befand. Dabei wurden künstlich generierte Telefonnummern als vermeintliche Kontakte fiktiver Nutzer hochgeladen, wodurch es in vielen Fällen gelang, die zu diesen Telefonnummern passenden konkret-individuell angezeigten Nutzer zu identifizieren („one-to-one“) und ihnen ihre öffentlichen Nutzerinformationen zuzuordnen.
Möglich war dies aufgrund mangelhafter, technischer Sicherheitsmaßnahmen seitens Facebook sowie datenschutzunfreundlicher Standard-Voreinstellungen. So war die hinterlegte Telefonnummer von Facebook-Nutzern mit einem
In Deutschland sollen rund 6 Millionen Facebook-Nutzer von dem Scraping-Vorfall betroffen sein.
Die Klagewelle
In der Folge sind zehntausende Verbraucher durch Onlinekanzleien mit Versprechungen von 1.000,00 € oder sogar 5.000,00 € Entschädigung angeworben worden.
Denn in Art. 82 DSGVO ist geregelt:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Doch die Klagen waren – bisher – keinesfalls sonderlich erfolgreich. Einen Überblick zu der Lage bis zur BGH-Verhandlung vom 11.11.2024 finden Sie in diesem Video:
Laut BGH Beschluss vom 31.10.2024 seien – auch unter Verweis auf OLG-Entscheidungen –
- Beim Senat des BGH bisher 25 Revisionen anhängig und
- mehr als 6.000 laufende Klageverfahren in den Vorinstanzen
Hieraus ergaben sich folgende Probleme:
- die Klagen wurden neben der eigentlichen Entschädigung mit Unterlassungs-, Feststellungs- und Auskunftsanträgen „aufgepumpt„. Hierdurch konnten höheren Rechtsanwaltskosten abgerechnet werden. Die Anträge waren jedoch ganz überwiegend unzulässig oder unbegründet. Hierdurch blieben Kläger, selbst wenn ein gewisses Schmerzensgeld zuerkannt worden ist, auf den überwiegenden Prozesskosten sitzen.
- Bei der Entschädigung bleibt bis zuletzt streitig, wann ein „Schaden“ vorlag. Denn der eigentliche Datenschutzverstoß führt nicht automatisch zu einem Schadenersatz. Für einen Ersatz braucht es einen Schaden. Die Massenverfahren wurden jedoch meist nur textbausteinartig und damit nicht ausreichend begründet.
- Die Rechtsprechung ist bisher uneinheitlich. Der Bundesgerichtshof entscheidet am 11.11.2024 erstmals in einem Leitentscheidungsverfahren umfassend hinsichtlich derartiger Entschädigungsansprüche
Hierdurch sind die bisherigen Facebook-Scraping-Verfahren für Kläger in wirtschaftlicher Hinsicht häufig wenig erfolgreich gewesen.
Aufgrund der vielen, ungeklärten Rechtsfragen sind diese Klageverfahren deshalb vor dem Bundesgerichtshof als Revisionsinstanz gelandet.
Zurückgezogene BGH-Revisionen
Der BGH hätte bereits über einen Monat früher, nämlich am 08.10.2024 (Verfahren VI ZR 7/24 und VI ZR 22/24) über diese Scraping-Verfahren verhandeln wollen.
Diese Revisionen sind jedoch vorzeitig zurückgenommen worden, sodass der BGH sich hierzu nicht mehr äußern konnte. Ob hier Facebook bzw. Meta den Klägern diese Verfahren vorzeitig „abgekauft“ hat, damit der BGH hierüber nicht mehr entscheiden konnte, ist nicht sicher bekannt.
Doch der BGH reagierte hierauf – höchst vorsorglich -mit einem Leitentscheidungsverfahren:
Was der BGH entschieden hat
Der BGH die Verfahren für den 11.11.2024 als erste Leitentscheidungsverfahren bestimmt. Hierdurch kann der BGH sich auch noch dann zu den Rechtsfragen äußern, wenn die Kläger die Revision doch noch vorzeitig zurücknehmen sollten.
Die Verfahren sind in der ersten und zweiten Instanz durch die Kanzlei „WBS LEGAL“ betrieben worden. Vor dem BGH kann die Kanzlei jedoch nicht auftreten, da in Zivilverfahren vor dem BGH nur besonders zugelassene BGH-Anwälte auftreten dürfen.
Über welche Fragen hat der BGH verhandelt?
Der BGH hat im Scraping-Komplex folgende Rechtsfragen für besonders relevant erachtet:
a) Liegt in der Implementierung der sog. Kontakt-Import-Funktion in Verbindung mit der Standardvoreinstellung „alle“ ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO?
b) Ist der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des Betroffenen verknüpften Daten geeignet, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen? Falls ja, wie wäre der Ersatz für einen solchen Schaden zu bemessen?
c) Welche Anforderungen sind an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen?
d) Reicht die bloße Möglichkeit des Eintritts künftiger Schäden in einem
Fall wie dem vorliegenden aus, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen?
e) Genügen die vom Kläger gestellten Anträge, dass die Beklagte es unterlasse,
– personenbezogene Daten der Klägerseite unbefugten Dritten über eine
Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach
dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die
Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, und
– die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen
durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf ‚privat‘ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit
hierfür die Berechtigung verweigert und, im Falle der Nutzung der FacebookMessenger App, hier ebenfalls explizit die Berechtigung verweigert wird,
dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO?
Was hat der BGH in der mündlichen Verhandlung entschieden?
Die mündliche Verhandlung vom 11.11.2024 hat zwar noch keine unmittelbare Entscheidung im Sinne eines Urteils zur Folge. Dennoch hat das Gericht hier bereits wichtige Leitplanken gesetzt:
- Ausreichend als Schaden kann der Kontrollverlust über die eigenen Daten sein.
- Weitere Schäden (z.B. Spam-Anrufe etc.) erhöhen die Entschädigung, sind aber nicht mehr erforderlich, um diese erst zu begründen.
- Facebook haftet voraussichtlich auch für zukünftige Ansprüche aus dem Datenleck. Auch Unterlassungsansprüche seien partiell möglich.
Verjährung bei Facebook droht
Die Ansprüche gegen Meta / Facebook verjähren aller Voraussicht nach mit Ende des Jahres 2024. Betroffene müssen bis dahin entweder Klage erheben oder den Anspruch verkaufen.
Die Verjährung droht aber erst einmal nur für die seit 2020 bekannt gewordenen Scraping-Verfahren. Andere Datenlecks nach 2020 verjähren noch nicht.
Kann ich auch eine Entschädigung von Facebook erhalten?
Facebook-Nutzer, die nach der BGH-Verhandlung gegen den Mutterkonzern von Facebook, Meta, ebenfalls eine Entschädigung durchsetzen wollen, müssen von dem Scraping-Datenleck betroffen sein. Andernfalls scheidet ein Anspruch von Beginn aus.
Ob die eigenen Daten vom Facebook-Datenleck betroffen sind, kann bequem mit einem Sofort-Ergebnis über s.g. Datenleck-Checker überprüft werden.
Eine kostenfreie Möglichkeit zur Prüfung bietet beispielsweise die in Düsseldorf ansässige Jusperta GmbH (Ext. Link / Werbung):
Dabei können Betroffene eine Entschädigung auch ohne Rechtsschutzversicherung erhalten, indem sie die Ansprüche gegen Facebook abtreten und verkaufen. Über den Link zum Datenleck-Checker finden Sie hierzu weitere Details.
