Facebook-Scraping

BGH trifft Grundsatzentscheidung zum DSGVO-Schadensersatz

Allein der Kontrollverlust über personenbezogene Daten ist laut der DSGVO ein immaterieller Schaden. 100 Euro Ersatz dafür seien aber angemessen.

21.11.2024Rechtsprechung

Der BGH hat am 11. November im sog. Facebook-Scraping-Komplex eine Grundsatzentscheidung zum immateriellen Schadensersatz nach
Art. 82 Abs. 1 DSGVO gefällt:

Auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO könne ein immaterieller Schaden im Sinne der Norm sein.

Weder müsse insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedürfe es sonstiger zusätzlicher spürbarer negativer Folgen. Die Instanzgerichte hatten diese Frage zuvor mehrheitlich anders entschieden
(Urt. v. 18.11.24, Az. VI ZR 10/24).

Facebook-Scraping-Vorfall und DSGVO-Schadensersatz-Klagen

Hintergrund der Klagen ist ein Vorfall, in dem Unbekannte in den Jahren 2018 und 2019 durch sog. Scraping über die Kontakt-lmport-­Funktion von Facebook in der Lage waren, personenbezogene, nicht-öffentliche Daten der Nutzer abzugreifen, darunter u. a. die Telefonnummer. Im April 2021 wurden dann die Daten von 533 Millionen Nutzern weltweit öffentlich im sog. Darknet verbreitet.

Infolge dieses Vorfalls haben einige Kanzleien dafür geworben, betroffene Nutzer vor den Gerichten zu vertreten und u. a. immateriellen Schadensersatz für sie zu erstreiten. Im konkreten Fall macht ein Facebook-Nutzer deswegen Schadensersatz-, Feststellungs-, Unterlassungs- und Auskunftsansprüche wegen einer Verletzung von Art. 82 Abs. 1 DSGVO durch Meta geltend. Der Vorwurf lautet, dass Meta in mehrfacher Hinsicht gegen die DSGVO verstoßen und die Daten nicht ausreichend geschützt habe, weil die Voreinstellung des Kontakt-Import-Tools auf "alle" (Kontakte) bestand, was es den Kriminellen erleichtert hatte, die Daten zu „scrapen“.

Im konkreten Fall hatte das LG Bonn dem Kläger 250 Euro Schadensersatz zugesprochen, die Klage aber im Übrigen abgewiesen (Az. 13 O 125/22). Das OLG Köln hatte dann im Berufungsverfahren die Klage insgesamt abgewiesen (Az. 15 U 67/23): Weder reiche der bloße Kontrollverlust zur Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO aus noch habe der Kläger hinreichend substantiiert dargelegt, über den Kontrollverlust als solchen hinaus psychisch beeinträchtigt worden zu sein.

Derzeit sind tausende solcher Klagen vor den deutschen Land- und Oberlandesgerichten anhängig. Beim BGH lagen bzw. liegen noch mehrere Revisionen. Ein früherer anberaumter Verhandlungstermin Anfang Oktober war zuvor aufgehoben worden, weil sich die Parteien in letzter Minute verglichen haben. Auch ein weiteres Verfahren, das parallel am 11. November anberaumt war, wurde auf diese Weise erledigt. Daher hatte der BGH seine neue Befugnis angewandt, und das aktuelle Verfahren zum Leitentscheidungsverfahren gem. § 552b ZPO n.F. bestimmt. Eine Leitentscheidung im engeren Sinne wurde nun aber nicht getroffen, weil es zu keiner vorherigen Erledigung des Verfahrens kam. Daher handelt es sich bei diesem Urteil um ein normales Revisionsurteil. Dennoch hatte der BGH die Gelegenheit, darin über die meisten entscheidungserheblichen Rechtsfragen, die sich in einer Vielzahl von Fällen des Facebook-Scrapings stellen, zu entscheiden.

Kontrollverlust als immaterieller Schaden

Die Frage, ob der alleinige Kontrollverlust über personenbezogene Daten bereits ein ersatzfähiger immaterieller Schaden im Sinne der DSGVO darstellen könne, haben die Instanzgerichte bislang sehr unterschiedlich beantwortet. Viele verstanden die bisherige EuGH-Rechtsprechung so, dass Betroffene zusätzlich vortragen müssen, an psychischen Beeinträchtigungen wie Befürchtungen oder Ängste vor einem tatsächlichen Missbrauch zu leiden.

Diese Rechtsunsicherheit hat der BGH in seinem jetzigen Urteil nun beendet: Nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH könne auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden im Sinne der Norm sein. Weitere psychische Beeinträchtigungen seien keine Voraussetzung für immateriellen Schadensersatz.

Der EuGH hatte – unter Bezugnahme auf den Erwägungsgrund des Art. 85 DSGVO – bereits mehrmals (eher indirekt) geurteilt, dass der reine Kontrollverlust bereits ein Schaden nach der DSGVO sei, zuletzt am 4. Oktober 2024 (Rs. C-200/23). Begründete Befürchtungen oder Ängste vor Missbrauch sind nach dieser Rechtsprechung ebenfalls Gründe für die Annahme eines Schadens, jedoch keine Voraussetzung dafür.

Höhe des Schadensersatzes

Die Kriterien für die Höhe des Schadensersatzes aufzustellen, überließ der EuGH jedoch den nationalen Gerichten. Nun hat der BGH den Fall an das OLG zurückverwiesen, um den Schadensersatz zu bemessen. Allerdings mit der Maßgabe, dass allein für den Kontrollverlust ein Ersatzanspruch in einer Größenordnung von 100 Euro angemessen sei. Könne der Kläger aber vortragen, zusätzlich unter Ängsten zu leiden, so erhöhe dies den Anspruch auf Schadensersatz, so der BGH in der mündlichen Verhandlung.

Zudem gab der BGH dem OLG Köln weitere Hinweise zur Bemessung (§ 287 ZPO) des immateriellen Schadens mit auf dem Weg. Details werden sich hier erst aus dem bislang noch nicht veröffentlichten Entscheidungstext ergeben.

Allerdings werden die deutschen Gerichte die bisherigen Entscheidungen des EuGH zur Bemessung des Schadensersatzes zu berücksichtigen haben, der in verschiedenen Urteilen entschieden hatte: Die Höhe soll so bemessen werden, dass sie den erlittenen Schaden vollständig und wirksam kompensieren kann, schließlich habe die DSGVO hier eine „Ausgleichsfunktion“. Zudem sei ein Datenverlust seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung.

Feststellungs- und Unterlassungsanträge

Zudem hat der BGH entgegen beiden Vorinstanzen dem Antrag des Klägers auf Feststellung einer Ersatzpflicht für zukünftige Schäden entsprochen. Damit ist klar: Die mögliche Haftung Facebooks gilt nicht nur für bereits eingetretene Schäden, sondern auch für potenzielle Schäden, die erst in der Zukunft auftreten könnten: etwa der tatsächliche Missbrauch von im Darknet gelandeten Daten für Phishing oder andere kriminelle Aktivitäten. Entgegen der Auffassung des Berufungsgerichts fehle es nicht an dem notwendigen Feststellungsinteresse des Klägers, da die Möglichkeit des Eintritts künftiger Schäden unter den Umständen des Streitfalles ohne Weiteres bestehe.

Auch dem Antrag auf Unterlassung der Verwendung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt sei, erkennt der BGH an. Einen Großteil der Unterlassungsansprüche sieht der BGH jedoch als nicht gegeben an, ebensowenig einen Auskunftsanspruch.

Schließlich sieht der BGH auch den Antrag auf Ersatz der vorgerichtlichen Rechtsanwaltskosten als gegeben an, deckelt den Streitwert aber auf 4.000 Euro.

Haftung durch Facebook?

Das OLG muss außerdem abschließende Feststellungen dazu treffen, ob Facebook überhaupt haftet. Diese Frage hatte das Gericht in seiner früheren Entscheidung offen gelassen. Hierzu findet der BGH allerdings deutliche Worte: Die von Facebook vorgenommene Voreinstellung der Suchbarkeitseinstellung auf "alle" dürfte nicht dem Grundsatz der Datenminimierung entsprochen haben. Auch das OLG Köln selbst schrieb in seinem Berufungsurteil: ‚Der Beklagten [Meta] dürften darüber hinaus auch Verstöße gegen Art. 5 Abs. 1 lit. b), 25 Abs. 2, 32 Abs. 1 DSGVO vorzuwerfen sein.‘ Auch andere deutsche Gerichte hatten bislang entschieden, dass Meta grundsätzlich ein haftungsrelevantes Fehlverhalten vorzuwerfen sei. 

Laut BGH müsse das OLG allerdings noch prüfen, ob der Betroffene nicht möglicherweise wirksam in diese Datenschutzeinstellung durch Facebook eingewilligt habe.