Rückblick: Ostern 2021 wird bekannt, dass es ein riesiges Datenleck bei Facebook gegeben hat und die persönlichen Daten von rund 533 Millionen Nutzern aus 106 Ländern öffentlich im Internet gelandet sind. Cyber-Kriminelle waren durch sog. Scraping an die Daten gekommen. Dabei nutzen sie aus, dass Facebook es den Nutzern über die Suchbarkeits-Einstellungen ermöglichte, dass ihr Facebook-Profil mit Hilfe ihrer Telefonnummer gefunden werden konnte.
Eine praktische, aber riskante Methode, die von Hackern ausgenutzt wurde. Sie luden über die Kontakt-Import-Funktion bei Facebook Telefonnummern im großen Umfang hoch. Wenn diese mit einem Nutzerkonto verknüpft waren, führten sie sie mit den dort öffentlich zugänglichen Daten zusammen und griffen diese dann ab. Zumindest ein Teil der sensiblen persönlichen Daten soll auch in Hacker-Foren angeboten worden sein.
„Die Folgen solcher Datenlecks können enorm sein. Neben lästigen Spam-Benachrichtigungen können auch Hackerangriffe per SMS oder Phishing die Folge sein. Selbst, wenn den Betroffenen kein materieller Schaden entstanden ist, so doch zumindest ein immaterieller Schaden. Nach Art. 82 der DSGVO besteht auch bei einem immateriellen Schaden Anspruch auf Schadenersatz“, sagt Rechtsanwalt István Cocron.
Um die Schadenersatzansprüche zweier vom Datenleck betroffener Facebook-Nutzer geht es am 8. Oktober 2024 auch vor dem BGH. Durch das Datenleck waren ihre persönlichen Daten wie Telefonnummer, Facebook-ID, Name, Wohnort oder auch Arbeitgeber im Internet gelandet. Die Kläger gaben an, dass sie durch den Kontrollverlust über ihre persönlichen Daten Ängste, Sorgen, Unwohlsein oder Stress erlitten haben. Sie machten Ansprüche auf immateriellen Schadenersatz geltend, da Facebook an mehreren Stellen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen und die Daten nicht ausreichend geschützt habe.
In den Vorinstanzen hatte nur eine der Klagen teilweise Erfolg. In den Revisionsverfahren vor dem BGH verfolgen die Kläger ihre Schadenersatz-, Auskunfts- und Unterlassungsansprüche weiter.
Verschiedene Gerichte haben inzwischen bestätigt, dass im Fall eines Datenlecks Anspruch auf immateriellen Schadenersatz besteht. Rückenwind gibt es auch vom EuGH, der mit Urteil vom 14. Dezember 2023 entschieden hat, dass schon die Befürchtung eines Missbrauchs der personenbezogenen Daten nach einem Datenleck den Anspruch auf immateriellen Schadenersatz begründen kann. Zuvor hatte der EuGH mit Urteil vom 4. Mai 2023 entschieden, dass Schadenersatzansprüche bestehen, wenn durch den Datenschutzverstoß ein materieller oder immaterieller Schaden entstanden ist. Dabei sei es nicht notwendig, dass der Schaden eine gewisse Erheblichkeit erreicht, legte der EuGH die Latte für Schadenersatzansprüche nicht allzu hoch.
„Schließt sich der BGH der Rechtsprechung des EuGH an, steigen die Chancen auf Schadenersatz nach einem Datenleck weiter an“, so Rechtsanwalt Cocron.