Die sogenannten Scraping-Fälle, in denen Facebook-Nutzer:innen die Betreiberin des sozialen Netzwerks auf Schadensersatz verklagen, haben den Hintergrund, dass im Jahr 2021 Daten von rund 533 Millionen Facebook-Nutzer:innen im Darknet veröffentlicht wurden. Je nach Einstellung des Nutzerprofils war es Unbekannten möglich, ein Profil über die Angabe der dazugehörigen Telefonnummer zu finden. Indem die Unbekannten automatisiert und im großen Umfang Telefonnummern über die Kontakt-Import-Funktion hochluden gelang es ihnen, die hiermit verknüpften Profile zu finden. Die jeweiligen öffentlichen Informationen des Profils und die Telefonnummer führten sie dann zusammen und veröffentlichten sie. Der konkrete Vorwurf, mit dem sich Meta konfrontiert sah war, dass die Daten nicht ausreichend geschützt waren, weil die Voreinstellung des Kontakt-Import-Tools es den Tätern erleichtert hatte, die Daten abzugreifen.
Über diese Fälle hatten in der Vergangenheit verschiedene deutsche Gerichte zu entscheiden – mit teils unterschiedlichem Ausgang. Für derartige gleich gelagerten Fälle, in denen sich in einer Vielzahl von Verfahren vergleichbare Rechtsfragen stellen und eine schnelle höchstrichterliche Entscheidung herbeigeführt werden soll, wurde kürzlich (seit dem 1.11.2024 anwendbar) das sogenannte Leitentscheidungsverfahren in die Zivilprozessordnung aufgenommen. Mit der Entscheidung über die Scraping-Fälle (Urt. v. 18.11.24, Az. VI ZR 10/24) bestimmte der Bundesgerichtshof (BGH) nun erstmals ein Verfahren zum Leitentscheidungsverfahren.
Auf diesem Wege hat der BGH nun Aussagen zu den im Zusammenhang mit den Fällen aufgeworfenen rechtlichen Fragestellungen getroffen. So entschied er, dass bereits der bloße Verlust der Kontrolle über die eigenen Daten einen immateriellen Schaden darstellen kann. Hiermit positionierte sich der BGH zu der oftmals umstrittenen Frage im Zusammenhang mit Formulierungen des Europäischen Gerichtshofs, ob der Kontrollverlust selbst bereits einen Schaden darstellt oder lediglich die daraus für den Betroffenen entstehenden negativen Folgen. Hierzu führte der BGH aus, dass eine konkrete (missbräuchliche) Verwendung der Daten noch nicht erfolgt sein muss, um einen Schaden belegen zu können. Der – selbst kurzzeitige – Verlust der Kontrolle über die personenbezogenen Daten könne bereits einen immateriellen Schaden darstellen, und zwar „ohne dass dieser Begriff des ‚immateriellen Schadens‘ den Nachweis zusätzlich spürbarer negativer Folgen erfordert“. Im konkreten Fall, in dem der tatsächliche Zugriff auf die Nutzerdaten erfolgte, sah der BGH einen schadenskonstituierenden Kontrollverlust. Ab wann der Kontrollverlust jedoch genau vorliegt, konkretisierte er nicht, sodass dies in abweichenden Fällen durch die befassten Gerichte zu entscheiden sein wird.
Der Europäische Gerichtshof (EuGH) überließ es in seiner Rechtsprechung zur Schadenshöhe den nationalen Gerichten, Kriterien aufzustellen. Der BGH sah im konkreten Fall einen Ausgleich in einer Höhe von EUR 100 für den bloßen Kontrollverlust als angemessen. Könne der Kläger aber zudem vortragen, unter Ängsten zu leiden, so erhöhe sich der Anspruch auf Schadensersatz laut dem BGH in der mündlichen Verhandlung. Zudem habe das Gericht bei der Bemessung des Schadens die folgenden Gesichtspunkte zu berücksichtigen: die Sensibilität der Daten, ihre typischerweise zweckgemäße Verwendung, die Art und die Dauer des Kontrollverlusts sowie etwaige Möglichkeiten der Wiedererlangung der Kontrolle (etwa ein Rufnummerwechsel).
Zudem entsprach der BGH – entgegen den beiden Vorinstanzen – dem Antrag des Klägers auf Feststellung einer Ersatzpflicht für zukünftige Schäden. Die mögliche Haftung Metas gilt mithin nicht nur für bereits eingetretene Schäden, sondern auch für potenzielle weitere in der Zukunft. Der BGH sah das Feststellungsinteresse des Klägers erfüllt, da die Möglichkeit künftiger Schadenseintritte unter den Umständen des Streitfalls ohne Weiteres bestehe.
Fazit:
Trotz der Klarstellungen in Bezug auf die Schadensbegründung durch einen Kontrollverlust, dürften sich befasste Gerichte weiterhin insbesondere mit der Frage konfrontiert sehen, wie die Kontrolle und daraus folgend der Kontrollverlust definiert wird. Dennoch fördert die Entscheidung die einheitliche Rechtsprechung und trägt dazu bei, dass Unternehmen eine realistische Einschätzung des finanziellen Risikos von Schadenersatzansprüchen möglich ist. Gleichzeitig schränkt die Entscheidung die Verteidigungsmöglichkeiten von Unternehmen ein. Diese sind daher weiterhin gut damit beraten, eine belastbare Datenschutzmanagementstruktur einzurichten sowie für die Erfüllung von Betroffenenrechte und vor allem Datenschutzvorfällen gut gerüstet zu sein.
Während zu vermuten ist, dass die Gerichte Klagen aufgrund eines nachgewiesenen Kontrollverlustes vermehrt stattgeben werden, wird der durchschnittlich zugesprochene Betrag voraussichtlich sinken, sieht der BGH vorliegend doch für einen Kontrollverlust nur einen geringen Betrag als angemessen an.