mkm-legal-logo

BGH Urteil

BGH fällt Leiturteil zu den Facebook-Scraping-Fällen

Verlust der Kontrolle über die eigenen personenbezogenen Daten kann Ansprüche auf Unterlassen und Schadenersatz auslösen

 

1.            Datenschutzrechtlicher Schadenersatz

Aufmerksame Leser unseres Newsletters wissen, dass wir regelmäßig aktuelle gerichtliche Entscheidungen zum Schadenersatz nach Art. 82 DSGVO vorstellen und besprechen. Das ist auch dringend erforderlich, schließlich herrscht allenthalben auch im Jahre sechs nach der Einführung der DSGVO noch große Unsicherheit über die Voraussetzungen und die genauen Rechtsfolgen des datenschutzrechtlichen Schadenersatzanspruchs. Wenn es um die Risikobewertung bei einer Datenschutzverletzung oder um die Abwehr von zivilrechtlichen Ansprüchen von Betroffenen geht, würden es die verantwortlichen Unternehmen aber schon gern genauer wissen, ob und wenn ja, was den Betroffenen zusteht.

Der BGH hat am 18.11.2024 (Az. VI ZR 10/24) in diesem Kontext ein lang ersehntes Urteil zu den Scraping-Fällen bei Facebook gesprochen und damit wieder etwas Licht ins Dunkle gebracht. Wir erläutern im Folgenden, was das nicht nur für Meta bedeutet.

2.            Hintergründe

Ungefähr zur Zeit der Einführung der DSGVO kam es zu dem von Meta betriebenen Dienst Facebook zu Data Scraping, also einem „Datenauskratzen“: Im Internet frei zugängliche Informationen auf einer Webseite werden durch Bots extrahiert, mit anderen Daten zusammengeführt, verkauft und für Werbezwecke genutzt. Die Schätzungen gehen dahin, dass in diesem Zusammenhang die mit einer Telefonnummer verknüpften Daten von ca. 533 Millionen Nutzern im Internet verbreitet wurden. Eigentlich soll ein Verantwortlicher nach Art. 25 DSGVO durch Technik und datenschutzfreundliche Voreinstellungen („by Design and Default“) u.a. solche Vorkommnisse verhindern. Das fand die irische Datenschutzbehörde DPC auch und verhängte 2022 gegen Meta ein saftiges Bußgeld in Höhe von 265 Millionen Euro, gegen das sich Meta natürlich wehrt.

Im Nachgang dazu brach über deutsche Gerichte eine Flut an Zivilklagen herein, in denen es einerseits um Feststellung und Unterlassung, aber auch um Ersatz von Anwaltskosten und nicht zuletzt um Ersatz eines immateriellen Schadens geht. Streit gibt es in Bezug auf nahezu jedes Tatbestandsmerkmal, nämlich ob es überhaupt eine relevante und kausale Verletzungshandlung durch Meta gibt sowie ob letzterer Konzern überhaupt ein Verschulden trägt. Der wichtigste Aspekt dabei ist, ob allein der Verlust der Kontrolle über die personenbezogenen Daten einen Schaden beim Betroffenen auslöst – und was das am Ende pekuniär ausmacht.

3.            Die Leitentscheidung des BGH

Der BGH nutzt das gerade erst vom Gesetzgeber in § 552b ZPO eingeführte Leitentscheidungsverfahren, da die Entscheidung wahrlich für eine Vielzahl an Verfahren Bedeutung hat. Grundlage ist ein Fall vor dem Landgericht Bonn, in dem der Kläger in Ansehung des Kontrollverlusts zunächst 250 Euro zugesprochen bekam, ihm allerdings weitere Ansprüche auf Unterlassen und Feststellung verwehrt wurden. Nachdem das Oberlandesgericht Köln der Auffassung war, dass dem Kläger gar nichts gebührt, hat nun der BGH das Urteil aufgehoben und die Parteien zurück an das OLG geschickt – aber nicht ohne zu verwertende Hinweise zu geben.

Diese Vorgaben lassen sich wie folgt zusammenfassen:

  • Unter Berücksichtigung der EuGH-Rechtsprechung kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden sein; eine konkrete missbräuchliche Nutzung der Daten ist dafür ebenso wenig erforderlich wie der Nachweis einer spürbaren negativen Auswirkung.
  • Die Ansprüche auf Unterlassung sowie auf Feststellung der Ersatzpflicht für zukünftige Schäden lassen sich nicht ohne Weiteres verneinen.
  • Die von Meta vorgenommene Voreinstellung der Suchbarkeitseinstellung auf "alle" wird nicht dem Grundsatz der Datenminimierung (Art. 5 Absatz 1 Buchstabe c DSGVO) entsprochen haben. Unklar bleibt, ob eine wirksame Einwilligung in die Datenverarbeitung gemäß diesen Voreinstellungen vorliegt.
  • Der Schaden wegen des Kontrollverlusts kann durchaus 100 Euro betragen.

4.            Fazit

Das Urteil ist reichlich Wasser auf die Mühlen der Kanzleien, die sich der massenhaften Vertretung von Verbrauchern verschrieben haben. Es wird den Ausgang der vielen noch offenen Verfahren zum Facebook-Scraping natürlich maßgeblich beeinflussen, auch wenn die Instanzgerichte bei der Feststellung der einzelnen Tatbestandsmerkmale noch Spielräume haben – ein Selbstläufer sind die Klagen also deshalb nicht.

Über diese Fälle hinaus können sich Unternehmen hinter die Ohren schreiben, dass nicht nur die datenschutzfreundlichen Voreinstellungen und der Grundsatz der Datenminimierung bei jeder Verarbeitung im Blick gehalten werden sollten, sondern auch das Thema IT-Sicherheit einen hohen Stellenwert haben sollte. Für die Zukunft ist nämlich die Wahrscheinlichkeit erhöht, dass bei einem Datenleck Betroffene gegen den Verantwortlichen Ansprüche auf Unterlassung und Schadenersatz geltend machen – und dies unter Umständen mit schmerzhaftem Erfolg.

 

Autor: Andree Hönninger (Rechtsanwalt / Fachanwalt für IT-Recht)

 

Further insights on the topic

mkm-legal-logo
Newsletter-Anmeldung