Der BGH hat mit Urteil vom 18.11.2024 (Az. VI ZR 10/24) über datenschutzrechtliche Ansprüche anlässlich eines sog. Scraping-Vorfalls bei Facebook entschieden. Die Entscheidung ist Wasser auf die Mühlen der Betroffenen und könnte für Facebook eine teure Angelegenheit werden.
Sachverhalt
Der Kläger macht Schadensersatz-, Feststellungs-, Unterlassungs- und Auskunftsansprüche wegen einer Verletzung der Datenschutz-Grundverordnung (DSGVO) durch Facebook geltend.
Der Kläger unterhält bei Facebook ein Nutzerkonto der Kläger ein Nutzerkonto und hatte auf dem Netzwerk persönliche Daten eingestellt. Hierzu gehörte die für die Registrierung erforderliche und für alle Nutzer stets öffentlich einsehbare Angabe seines Namens, Geschlechts sowie der ihm zugewiesenen Nutzer-ID. Neben den immer einsehbaren Pflichtangaben können die Nutzer in ihrem Profil weitere Daten zu ihrer Person angeben und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern (z.B. Freunde, öffentlich, etc.) auf diese Daten zugreifen können.
Im Zeitraum von Januar 2018 bis September 2019 ordneten unbekannte Dritte durch die Eingabe randomisierter Nummernfolgen über die Kontakt-Import-Funktion des Netzwerks Telefonnummern zu Nutzerkonten zu und griffen die zu diesen Nutzern vorhandenen Daten ab (sog. Scraping). Die auf diese Weise erlangten und nunmehr mit einer Telefonnummer verknüpften Daten von ca. 533 Millionen Nutzern wurden im April 2021 im Internet öffentlich verbreitet.
Hiervon waren auch persönliche Daten des Klägers (Telefonnummer in Verknüpfung mit den Daten seines Nutzerkontos, z.B. Vorname, Nachname, Geschlecht und Arbeitsstätte) betroffen. Der Kläger begehrt die Leistung von immateriellen Schadensersatz, weil Facebook in mehrfacher Hinsicht gegen die DS-GVO verstoßen und seine Daten nicht ausreichend geschützt habe. Er habe einen spürbaren Kontrollverlust über seine Daten erlitten, der zu einem massiven Anstieg von betrügerischen Kontaktversuchen geführt habe.
Das Landgericht hat der Klage teilweise stattgegeben. Auf die vom Landgericht zugelassene Berufung der Beklagten hat das OLG die Entscheidung des Landgerichts unter Zurückweisung der Anschlussberufung des Klägers abgeändert und die Klage insgesamt abgewiesen. Mit seiner vom OLG zugelassenen Revision verfolgt der Kläger seine Ansprüche weiter.
Mit Beschluss vom 31.10.2024 hat der Bundesgerichtshof das Revisionsverfahren zum Leitentscheidungsverfahren gemäß § 552b ZPO n.F. bestimmt (vgl. hierzu CBH-News). Nachdem die Revision nicht zurückgenommen wurde oder sich anderweitig erledigt hat, hat der BGH jedoch am 11.11.2024 mündlich zur Sache verhandelt und nach allgemeinen Regeln durch Urteil über die Revision des Klägers entschieden.
Entscheidung
Die Revision des Klägers war teilweise erfolgreich.
So hat der BGH – und das ist der wohl zentrale Aspekt der Entscheidung – entschieden, dass ein Anspruch des Klägers auf Ersatz immateriellen Schadens sich mit der Begründung des Berufungsgerichts nicht verneinen lasse. Nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH könne auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden im Sinne der Norm sein. Die Anforderungen für den Nachweis eines vermeintlichen Schadens setzte der BGH vergleichsweise niedrig an. Weder müsse insoweit eine konkrete missbräuchliche Verwendung der Daten zum Nachteil des Betroffenen erfolgt sein noch bedürfte es sonstiger zusätzlicher spürbarer negativer Folgen. In der Konsequenz dürfte dies bedeuten, dass allein der Nachweis, dass ein Anspruchsteller vom Scraping-Vorfall betroffen war, ausreichen sollte, um einen Schadensersatzanspruch dem Grunde nach herzuleiten.
Erfolg hatte die Revision auch, soweit das Berufungsgericht die Anträge des Klägers auf Feststellung einer Ersatzpflicht für zukünftige Schäden, auf Unterlassung der Verwendung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt ist, und auf Ersatz seiner vorgerichtlichen Rechtsanwaltskosten abgewiesen hatte. Entgegen der Auffassung des Berufungsgerichts fehle es nach Ansicht des BGH nicht an dem notwendigen Feststellungsinteresse des Klägers, da die Möglichkeit des Eintritts künftiger Schäden unter den Umständen des Streitfalles „ohne Weiteres“ bestehe. Im Übrigen (weiterer Unterlassungsantrag und Auskunftsantrag) blieb die Revision hingegen ohne Erfolg.
Im Umfang des Erfolges der Revision hat der BGH die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Der BGH sah sich insoweit veranlasst, dem Berufungsgericht eine „Segelanweisung“ mit auf den Weg zu geben. Für das weitere Verfahren habe das Berufungsgericht zu beachten, dass die von der Beklagten vorgenommene Voreinstellung der Suchbarkeitseinstellung auf „alle“ nicht dem Grundsatz der Datenminimierung entsprochen haben dürfte, wobei das Berufungsgericht ergänzend die Frage einer wirksamen Einwilligung des Klägers in die Datenverarbeitung durch die Beklagte zu prüfen haben werde. Zum anderen hat der BGH Hinweise zur Bemessung des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO erteilt und ausgeführt, warum unter den Umständen des Streitfalles von Rechts wegen keine Bedenken dagegen bestünden, den Ausgleich für den bloßen Kontrollverlust in einer Größenordnung von EUR 100,00 zu bemessen.
Anmerkung
Die Entscheidung des BGH ist mit Spannung erwartet worden. Mit Blick auf die mangelnde Rücknahme der Revision und eine ebenfalls ausgebliebene anderweitige Erledigung erfolgte zwar keine Leitentscheidung gemäß § 565 ZPO. Die Wirkung des nunmehr ergangenen „normalen“ Urteils dürfte gleichwohl nicht weniger folgenreich sein.
Der Umstand, dass der BGH die Anforderungen an den Nachweis eines vermeintlichen Schadens in Fällen eines „Kontrollverlusts“ über Daten niedrig ansetzt, dürfte Massenverfahren bei Datenschutzvorfällen mit Datenabfluss gehörig befeuern. Da der BGH nicht den Nachweis einer konkreten missbräuchlichen Verwendung der Daten zum Nachteil des Betroffenen oder sonstige – neben dem reinen Kontrollverlust – zusätzliche spürbare negative Folgen verlangt, ist Schadensersatzansprüchen bei Datenschutzvorfällen mit Datenabfluss Tür und Tor geöffnet. Dass ein Unternehmen – mit Blick auf die hohen Anforderungen an Datenschutz und Datensicherheit – nicht für einen Datenschutzvorfall verantwortlich zu machen ist, dürfte eher die Ausnahme als die Regel sein.
Auch wenn der BGH in Fällen eines reinen Kontrollverlustes – betroffen waren vorliegend allerdings keine besonders sensiblen Daten – die Höhe eines Schadensersatzanspruchs wohl zurückhaltend bewertet, dürfte dies betroffenen Unternehmen bei der in solchen Konstellationen nicht selten erheblichen Anzahl Betroffener nur bedingt helfen. So waren von dem Facebook-Vorfall allein in Deutschland rund sechs Millionen Personen betroffen. Auch wenn nur ein Teil der Betroffenen Ersatzansprüche in Höhe von EUR 100,00 verfolgen würde, käme eine beträchtliche Gesamtforderung zustande. Auch der unternehmensinterne Aufwand, der mit der Verfolgung von Ansprüchen durch eine Vielzahl Betroffener einhergeht, ist nicht zu unterschätzen und einzupreisen. Im vorliegenden Fall könnte Facebook allerdings die Zeit in die Hände spielen. Ende des Jahres dürften Ersatzansprüche wohl verjähren, so dass für eine verjährungshemmende Geltendmachung – sofern diese bislang nicht erfolgt ist – nicht mehr allzu viel Zeit bleibt.
Quelle: Pressemitteilung des BGH Nr. 218/2024 vom 18.11.2024