BGH-Urteil zu Facebook-Datenschutzverstoß

Der Bundesgerichtshof (BGH) hat am 18. November 2024 ein richtungsweisendes Urteil im Zusammenhang mit einem Datenschutzvorfall beim sozialen Netzwerk Facebook gefällt (Az. VI ZR 10/24). Im Zentrum stand die Frage, welche Ansprüche betroffene Nutzer geltend machen können, wenn ihre personenbezogenen Daten durch unzureichende Sicherheitsvorkehrungen öffentlich zugänglich werden. Das Urteil stärkt die Rechte der Nutzer und konkretisiert die Anforderungen an den Schutz personenbezogener Daten.

Hintergrund: Scraping und öffentlich zugängliche Daten

Im April 2021 wurde bekannt, dass Daten von etwa 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet kursierten. Die Daten stammten aus einem Scraping-Vorfall, bei dem unbekannte Dritte Facebooks Kontakt-Import-Funktion missbrauchten.
Auch die Daten des Klägers – darunter sein Name, Geschlecht, Arbeitgeber und seine Nutzer-ID – waren betroffen. Der Kläger warf Facebook vor, unzureichende Schutzmaßnahmen getroffen zu haben, um einen solchen Vorfall zu verhindern, und klagte auf Schadensersatz, Unterlassung, Auskunft und die Feststellung zukünftiger Ersatzpflichten.

Entscheidung des BGH

Der BGH stellte klar, dass der reine Kontrollverlust über persönliche Daten infolge eines Datenschutzverstoßes bereits einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann. Eine konkrete missbräuchliche Verwendung der Daten oder weitere spürbare Nachteile seien hierfür nicht erforderlich. Damit setzte der BGH die europäische Rechtsprechung um, die den Schutz der Privatsphäre konsequent stärkt.
In diesem konkreten Fall hielt der BGH jedoch nur einen Schadensersatzbetrag von etwa 100 Euro für angemessen.

Darüber hinaus erkannte der BGH aber auch das Interesse des Klägers an der Feststellung an, dass Facebook für zukünftige materielle und immaterielle Schäden einzustehen hat.
Auch bei den Unterlassungsansprüchen sprach der BGH dem Kläger teilweise Recht zu. So dürfe Facebook die Telefonnummer des Klägers nicht ohne dessen Einwilligung weiterverwenden. Weitergehende Unterlassungs- und Auskunftsanträge blieben jedoch erfolglos.

Der BGH verwies den Fall zur weiteren Prüfung an das Berufungsgericht. Dieses soll insbesondere folgende Punkte klären:
• Datenminimierung: Waren die Voreinstellungen zur Suchbarkeit von Nutzern auf „alle“ rechtswidrig?
• Einwilligung: Hat der Kläger wirksam in die Verarbeitung seiner Daten eingewilligt?

Was bedeutet das Urteil für Betroffene?

Das Urteil stärkt die Rechte von Nutzern deutlich. Es zeigt, dass Datenschutzverstöße auch ohne nachweisbaren Missbrauch der Daten oder psychische Belastung immateriellen Schadensersatz begründen können.

Fazit

Das Urteil des BGH setzt ein starkes Signal: Datenschutz ist ein Grundrecht, und dessen Verletzung hat Folgen – auch ohne konkrete wirtschaftliche Schäden. Nutzer können sich auf eine zunehmend schärfere Durchsetzung ihrer Rechte verlassen, während Unternehmen ihre Verantwortung zur Sicherung von Daten ernst nehmen müssen.
Dieses Urteil könnte eine Welle neuer Klagen nach Datenschutzverstößen auslösen – und zeigt einmal mehr die immense Bedeutung der DSGVO für den Schutz persönlicher Daten.