Der Bundesgerichtshof (BGH) hat entschieden, dass der bloße Verlust der Kontrolle über persönliche Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) einen immateriellen Schaden darstellt. Mit diesem Urteil zu einem großen Datenleck bei Facebook stärkt das Gericht die Rechte von Nutzern und setzt einen wichtigen Maßstab für künftige Verfahren.
Im Jahr 2021 wurden die Daten von etwa 533 Millionen Facebook-Nutzern aus 106 Ländern durch sogenanntes „Scraping“ öffentlich zugänglich gemacht. Unbekannte Täter nutzten die Funktion, Telefonnummern mit Nutzerprofilen zu verknüpfen, indem sie zufällige Zahlenfolgen systematisch ausprobierten. Zu den erfassten Informationen gehörten unter anderem Vor- und Nachname, Geschlecht und Arbeitsstätte. Aus Sicht des vom Datenleck betroffenen Klägers hatte Facebook seine Daten nicht ausreichend gegen solche Angriffe geschützt. Neben immateriellem Schadensersatz forderte er die Feststellung zukünftiger Ersatzpflichten, Unterlassung und weitere Maßnahmen.
Während das Landgericht dem Kläger zunächst 250 € Schadensersatz zugesprochen hatte, wies das Oberlandesgericht die Klage vollständig ab. Es argumentierte, dass der bloße Kontrollverlust über Daten nicht ausreiche, um einen immateriellen Schaden nach Art. 82 DSGVO zu begründen, und keine weiteren psychischen Beeinträchtigungen vorgelegen hätten.
Der BGH hob dieses Urteil jedoch teilweise auf und stellte klar, dass bereits der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen Schaden darstellt. Weder sei ein Missbrauch der Daten erforderlich noch müsse der Betroffene spürbare negative Folgen nachweisen. Auch hinsichtlich der Feststellung zukünftiger Ersatzpflichten und des Unterlassungsanspruchs gab der BGH dem Kläger recht. Die Möglichkeit weiterer Schäden sei angesichts des Umfangs des Datenlecks nicht von der Hand zu weisen, weshalb der Kläger ein berechtigtes Interesse an der Feststellung habe.
Das Berufungsgericht muss nun prüfen, ob die Voreinstellung „Suchbarkeit für alle“, die Facebook standardmäßig verwendete, gegen den Grundsatz der Datenminimierung verstößt. Auch die Frage, ob der Kläger wirksam in die Verarbeitung seiner Daten eingewilligt hat, wird neu bewertet. Für die Bemessung des immateriellen Schadens gab der BGH eine klare Orientierung: Für den Kontrollverlust sei ein Betrag von etwa 100 € rechtlich vertretbar.