Schadensersatz wegen Facebook-Datenleck: Millionen von Nut­ze­r*in­nen haben Anspruch

Karlsruhe taz | Die Geschädigten des Facebook-Datenlecks haben Anspruch auf mindestens hundert Euro Schadenersatz. Das entschied der Bundesgerichtshof (BGH) an diesem Dienstag in einem Grundsatzurteil. In Deutschland soll es potenziell sechs Millionen Nutz­nie­ße­r:in­nen dieses Urteils geben.

Die Daten von weltweit rund 533 Millionen Facebook-Nutzer:innen wurden von unbekannten Personen zwischen Mai 2018 und September 2019 zusammengetragen, weil die Datenschutzvorkehrungen von Facebooks „Freundefinder“-Funktion nicht ausreichend waren. Datenschützer sprechen von „Scraping“ (zusammenkratzen). Die Datensätze wurden 2021 in einem Hackerforum im Darknet veröffentlicht. Die irische Datenschutzbehörde, die für Facebook in Europa zuständig ist, verhängte daraufhin ein Bußgeld in Höhe von 265 Millionen Euro gegen die Facebook-Mutter Meta.

Findige An­wäl­t:in­nen sahen aber sofort ein neues Geschäftsmodell. Auch die Betroffenen könnten von Facebook-Schadenersatz verlangen. „Bis zu 1.000 Euro“ hielt der Kölner Anwalt Christian Solmecke für realistisch. Er vertritt nach eigenen Angaben bereits 70.000 Facebook-Nutzer:innen.

Im konkreten Fall, über den jetzt der BGH entschieden hat, erhielt der Kläger beim Landgericht Bonn zunächst 250 Euro. Doch das Oberlandesgericht (OLG) Köln lehnte die Klage völlig ab. Der Mann habe überhaupt keinen persönlichen Schaden geltend gemacht. Seine Berufung auf „Angst, Unwohlsein, Misstrauen und Sorge“ ließ das OLG nicht gelten, weil es sich nur um tausendfach verwendete Textbausteine handelte.

Da sich der Schadenersatz-Anspruch aus der EU-Datenschutz-Grundverordnung ergibt, wurde zwischenzeitlich auch der Europäische Gerichtshof (EuGH) in Luxemburg eingeschaltet. Er klärte 2023, dass der bloße Rechtsverstoß noch keinen Anspruch auf Schadenersatz gebe, es müsse schon ein konkreter Schaden vorliegen, den der Kläger auch beweisen müsse. Es gebe allerdings keine Erheblichkeits-Schwelle. Was das konkret bedeutet, war bisher umstritten.

Der BGH hat jetzt entschieden, was in Deutschland zählt. „Als immaterieller Schaden gilt bereits der bloße Kontrollverlust über die Daten“, sagte der Vorsitzende Richter Stephan Seiters. Der konkrete Kläger wollte zumindest verhindern, dass seine Telefonnummer zusammen mit seinem Namen im Internet veröffentlicht wird.

Die Kläger müssen also nicht nachweisen, dass die veröffentlichten Daten für Betrug oder belästigende Anrufe missbraucht wurden. Sie müssen auch nicht belegen, dass sie wegen der Veröffentlichung Kosten hatten, etwa um die Telefonnnummer zu ändern. Schließlich müssen die Nutzer auch keine belastenden Gefühle wie Angst oder Ärger unter Beweis stellen. Allerdings ist die Höhe des zu erwartenden Schadenersatzes geringer als von den Anwälten erwartet. „Gegen einen Schadenersatz in Höhe von 100 Euro hätten wir keine Bedenken“, sagte Richter Seiters, um den unterinstanzlichen Gerichten einen Hinweis zu geben.

„Der Schadenersatz dient nur dem Ausgleich des Schadens“, sagte Seiters zur Begründung. „Der Schadenersatz ist keine Strafe und dient auch nicht der Abschreckung.“ Wenn Betroffene höhere Schäden, etwa infolge massenhafter Spam-Anrufe, belegen können, werden ihnen die Gerichte auch mehr als 100 Euro zusprechen.

Der BGH verwies den konkreten Fall wieder an das Oberlandesgericht Köln zurück. Dort muss nun insbesondere noch der Datenschutzverstoß festgestellt werden. Richter Seiters deutete aber an, dass Facebook mit seinen Datenschutzgrundeinstellungen wohl gegen den Grundsatz der „Datenminimierung“ verstoßen hatte. Die Voreinstellung für die Suchbarkeit der Telefonnummer hätte nicht routinemäßig auf „alle“ gestellt sein dürfen.

Betroffene müssen sich allerdings beeilen. Ende des Jahres 2024 verjähren die Ansprüche. Die Stiftung Warentest stellt ein Musterschreiben zur Verfügung.