BGH macht Facebook-Scraping-Klage zur ersten Leitentscheidung
Noch am Tag des Inkrafttretens beschließt der BGH, das neue Leitentscheidungsgesetz in einem Massenverfahren zum DSGVO-Schadensersatz anzuwenden.
Am 31. Oktober ist das neue Leitentscheidungsgesetz in Kraft getreten – und noch am selben Tag hat der BGH eine DSGVO-Schadensersatzklage in den Massenverfahren zum Facebook-Scraping-Vorfall zur Leitentscheidung erklärt. Damit steht fest:
Am 11. November wird eine Grundsatzentscheidung in diesem Komplex ergehen, an der sich alle Instanzgerichte orientieren werden
(Beschl. v. 31.10.24, Az. VI ZR 10/24).
Die Bedeutung der Entscheidung geht über die konkreten Verfahren hinaus. Denn zukünftig werden sich alle Klagen auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO an den Voraussetzungen orientieren müssen, die der BGH im Einklang mit der EuGH-Rechtsprechung hierzu aufstellt.
Facebook-Scraping-Vorfall und DSGVO-Schadensersatz-Klagen
Hintergrund der Klagen ist ein Vorfall, in dem Unbekannte in den Jahren 2018 und 2019 durch sog. Scraping über die Kontakt-lmport-Funktion von Facebook in der Lage waren, personenbezogene, nicht-öffentliche Daten der Nutzer abzugreifen, darunter u.a. die Telefonnummer. Im April 2021 wurden dann die Daten von 533 Millionen Nutzern weltweit öffentlich im sog. Darknet verbreitet,
Infolge dieses Vorfalls haben einige Kanzleien dafür geworben, betroffene Nutzer vor den Gerichten zu vertreten und u.a. immateriellen Schadensersatz für sie zu erstreiten. Im konkreten Fall macht ein Facebook-Nutzer deswegen Schadensersatz-, Feststellungs-, Unterlassungs- und Auskunftsansprüche wegen einer Verletzung von Art. 82 Abs. 1 DSGVO durch Meta geltend. Der Vorwurf lautet, dass Meta in mehrfacher Hinsicht gegen die DSGVO verstoßen und die Daten nicht ausreichend geschützt habe.
Derzeit sind tausende solcher Klagen vor den deutschen Land- und Oberlandesgerichten anhängig. Auch dem BGH liegen mehrere Revisionen zur Entscheidung vor. Ein früherer anberaumter Verhandlungstermin Anfang Oktober ist jedoch bereits aufgehoben worden, weil sich die Parteien in letzter Minute verglichen haben. Nun ist in einem weiteren anhängigen Verfahren ein neuer Verhandlungstermin für den 11. November 2024 anberaumt. Dieser wird nun auch stattfinden – unabhängig davon, ob die Parteien in der Sache eine Einigung finden oder nicht.
Das Leitentscheidungsgesetz wird direkt angewandt
Denn genau für eben solche Fälle - in denen durch Einigungen jeweils eine Grundsatzentscheidung verhindert werden kann - hat der Gesetzgeber das neue Leitentscheidungsgesetz beschlossen.
Anlass für das Gesetz waren die zunehmenden massenhaften Einzelklagen in Verbrauchersachen wie beispielsweise betreffend das Facebook-Datenleck oder auch zum Dieselskandal oder wegen unzulässiger Klauseln in Fitnessstudio-, Versicherungs- oder Bankverträgen. Meist stellen sich in diesen Verfahren identische entscheidungserhebliche Rechtsfragen. Ohne eine höchstrichterliche Klärung bleiben die Instanzgerichte jedoch immer wieder mit neuen Verfahren zu gleichgelagerten Sachverhalten belastet. Es dauert in der Regel dann lange, bis es zu einer BGH-Entscheidung kommt. Gerade in Verfahren, in denen es um nicht unerhebliche Summen geht, versuchen die Beklagten (meist große Unternehmen, im Dieselskandal z.B. der Autobauer VW) häufig, das Ergehen einer solchen Leitentscheidung zu ihren Lasten verhindern. Daher kommt es häufig zu Vergleichen und Rücknahmen bereits anhängiger Revisionen in diesen Streitfragen.
Wenn diese entscheidungserheblichen Rechtsfragen aber erst einmal durch den BGH höchstrichterlich geklärt sind, können die Instanzgerichte ihre Verfahren zügig entscheiden.
Damit es hier künftig schneller zu einer solchen Entscheidung kommen kann, kann der BGH seit Ende Oktober aus den bei ihm anhängigen Revisionen ein geeignetes Verfahren als Leitentscheidung auswählen. In diesem Verfahren wird eine Entscheidung getroffen (§§ 565, 552b ZPO) - selbst wenn sich das Verfahren aus anderen Gründen (etwa durch Rücknahme der Revision oder Vergleich) erledigen sollte. Im Fall der Erledigung oder Rücknahme ist die Entscheidung dann zwar nicht bindend für die Parteien, dient aber den Instanzgerichten als Richtschnur und Orientierung dafür, wie die Entscheidung der Rechtsfragen gelautet hätte. Wird hingegen das Revisionsverfahren nicht von den Parteien beendet, ergeben sich keine Besonderheiten: Es ergeht ein herkömmliches Revisionsurteil mit inhaltlicher Begründung.
Nach dem neuen Leitentscheidungsgesetz werden die Instanzgerichte zusätzlich entlastet, weil sie ihre Verfahren mit Zustimmung der Parteien aussetzen können, bis eine Leitentscheidung vorliegt (§ 148 Abs. 4 ZPO).
Entscheidungserhebliche Rechtsfragen in Sachen Facebook
Die Leitentscheidung soll ein möglichst breites Spektrum an offenen Rechtsfragen klären, deren Beantwortung für eine Vielzahl anderer Verfahren erheblich ist. In dem aktuellen Verfahren sah der BGH direkt mehrere entscheidungserhebliche Rechtsfragen, die nicht nur für die Facebook-Verfahren, sondern grundlegend für die Frage, wann immaterieller Schadensersatz nach Art. 82 Abs. 1 DSGVO gewährt werden kann, von zentraler Bedeutung sind:
- Liegt in der lmplementierung der sog. Kontakt-lmport-Funktion in Verbindung mit der Standardvoreinstellung "alle" ein Verstoß Facebooks gegen die DSGVO im Sinne des Art. 82 Abs. 1 DGSVO vor?
- Ist der bloße Verlust der Kontrolle über personenbezogene Daten (hier: gescrapte und mit der Mobiltelefonnummer des Betroffenen verknüpfte Daten) geeignet, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DGSVO zu begründen?
- Falls ja, wie wäre der Ersatz für einen solchen Schaden zu bemessen?
- Welche Anforderungen sind an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DGSVO zu stellen?
- Reicht die bloße Möglichkeit des Eintritts künftiger Schäden in einem Fall wie dem vorliegenden aus, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen?
- Welche Anforderungen sind bei einem Antrag auf Unterlassung im konkreten Fall an das Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO zu stellen?
Die Instanzgerichte haben diese Fragen bislang sehr unterschiedlich beantwortet und die zugrundeliegende EuGH-Rechtsprechung unterschiedlich interpretiert. Die zentrale Frage ist, ob bereits der Kontrollverlust über personenbezogene Daten für sich genommen ausreicht, um einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Einerseits steht dies so in Erwägungsgrund 85 DSGVO, worauf der EuGH auch in mehreren Entscheidungen Bezug genommen hat. Andererseits verstehen manche Instanzgerichte die bisherige EuGH-Rechtsprechung so, dass Betroffene zusätzlich vortragen müssen, an psychischen Beeinträchtigungen wie Befürchtungen oder Ängste vor einem tatsächlichen Missbrauch zu leiden. Es ist nicht ausgeschlossen, dass der BGH hierzu erneut den EuGH befragt.
Jedenfalls im Hinblick auf die Kriterien, an denen ein solcher Schadensersatz zu bemessen wäre, ist eine solche Vorlage nicht notwendig: Der EuGH hat dies explizit den nationalen Gerichten überlassen.
Die Grundsatzentscheidung wird mit Spannung erwartet, wird sie doch den Grundstein für weitere DSGVO-Schadensersatzklagen legen. Abhängig davon, wie streng der BGH die Voraussetzungen für immateriellen Schadensersatz sieht, könnte dies den darauf basierenden Massenverfahren bei Datenlecks entweder Einhalt gebieten oder dieses Geschäftsmodell weiter fördern.