Bundesgerichtshof, Urteil vom 18.11.2024 – VI ZR 10/24, Pressemitteilung Nr. 218/2024 und Nr. 206/2024
Hintergrund
Bei dem vorliegenden Verfahren handelt es sich um die erste Entscheidung des Bundesgerichtshofs im Rahmen eines seit dem 31.10.2024 möglichen Leitentscheidungsverfahrens gemäß des neu geregelten § 552b Zivilprozessordnung (ZPO).
Diese neu eingeführte Regelung ermöglicht es dem Bundesgerichtshof, ein Revisionsverfahren, das Rechtsfragen aufwirft, deren Entscheidung für eine Vielzahl anderer Verfahren von Bedeutung ist, zum sogenannten Leitentscheidungsverfahren zu bestimmen. Dies ist insbesondere auch in den Fällen möglich, in denen die Revision zurückgenommen wurde oder sich anderweitig erledigt hat, eine Entscheidung aus prozessualen Gründen also nicht mehr möglich ist. Nachdem diese neue Vorschrift am 31.10.2024 in Kraft trat, machte der Bundesgerichtshof in diesem Verfahren mit einem Beschluss am gleichen Tag erstmalig von dieser Möglichkeit Gebrauch.
Bei der Beklagten handelt es sich um die Betreiberin des sozialen Netzwerks Facebook. Im Frühjahr 2021 wurden im Zuge eines Datenlecks die persönlichen Daten von etwa 553 Mio. Facebook-Nutzern aus 106 Ländern im Internet durch unbekannte Dritte öffentlich verbreitet. Dies war möglich, da je nach Suchbarkeitseinstellung auf Facebook die Möglichkeit bestand, ein Facebook-Profil eines Nutzers mittels seiner Telefonnummer zu finden. Durch die Eingabe randomisierter Zahlenfolgen erlangten die unbekannten Dritten die Telefonnummern der Nutzer, konnten diese dann den Nutzerkonten zuordnen und daraufhin die zu den Konten verfügbaren öffentlichen Daten abfragen.
Von diesem Datenleck betroffen war auch der Kläger, dessen persönliche Angaben hinsichtlich seiner Nutzer-ID, seines Vollnamens, seines Geschlechts und seines Arbeitsplatzes durch die Verknüpfung mit seiner Telefonnummer für die unbekannten Dritten zugänglich wurden. Nach Ansicht des Klägers hat die Beklagte keine hinreichenden Sicherheitsvorkehrungen getroffen, um einen derartigen Missbrauch der Suchfunktionen auf Facebook zu vermeiden. Daher begehrt der Kläger Schadensersatz von der Beklagten sowie die Feststellung, dass die Beklagte auch sämtliche zukünftige in diesem Zusammenhang entstehende Schäden zu ersetzen habe. Außerdem begehrt er die Unterlassung der Verwendung seiner Telefonnummer.
Das erstinstanzlich befasste Landgericht Bonn gab dem Kläger teilweise Recht und sprach ihm einen Schadensersatz in Höhe von 250 € zu, wies die Klage jedoch ansonsten ab. Daraufhin strengte die Beklagte eine Berufung vor dem Oberlandesgericht Köln an, welches die Klage insgesamt abwies, da der bloße Kontrollverlust über die Daten noch keinen immateriellen Schaden begründen würde und der Kläger auch nicht über den Kontrollverlust hinaus psychisch durch die Vorfälle beeinträchtigt worden sei.
Gründe
Der Bundesgerichtshof gestand dem Kläger teilweise einen Anspruch auf Schadensersatz basierend auf Art. 82 Abs. 1 der Datenschutzgrundverordnung (DSGVO) zu. Rekurrierend auf die Rechtsprechung des Europäischen Gerichtshofs zu der Auslegung dieser Norm genügt bereits der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten, der kausal durch einen Verstoß gegen die DSGVO herbeigeführt wurde, um einen immateriellen Schaden zu bejahen.
Ebenfalls erfolgreich war die Revision hinsichtlich des Feststellungsbegehrens des Klägers, dass die Beklagte auch für zukünftige Schaden ersatzpflichtig sei, sowie das Unterlassungsbegehren hinsichtlich der Verwendung seiner Telefonnummer, soweit diese Verwendung nicht von seiner Einwilligung gedeckt ist. Der Bundesgerichtshof bejahte diesbezüglich ein notwendiges Feststellungsinteresse des Klägers, da es ohne Zweifel möglich erscheint, dass weitere Schäden aufgrund der öffentlichen Verfügbarkeit der persönlichen Daten entstehen könnten.
Bewertung
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen, vorliegend also die Betreiberin von Facebook. Der Bundesgerichtshof entschied nun, dass auch der Verlust der Kontrolle über die eigenen personenbezogenen Daten und das Wissen, wer auf diese zugreifen kann, einen solchen immateriellen Schaden darstellt und legte somit eine vergleichsweise niedrige Schwelle an.
Betroffene Facebook-Nutzer müssen nun lediglich darlegen, dass die von dem Scraping-Vorfall betroffen waren. Die Entscheidung des Bundesgerichtshofs ist richtungsgebend für unzählige gleich gelagerte Fälle, in denen die Facebook-Nutzer nun Schadensersatz verlangen können. Dieser dürfte jedoch der Höhe nach nicht allzu hoch umfangreich bemessen sein. Wie hoch der Schadensersatzanspruch des Klägers im konkreten Fall ist, hat nun das Oberlandesgericht Köln, an welches das Verfahren zurückverwiesen wurde, zu entscheiden.
Dr. iur. Christoph Roos
Anwalt für Datenschutzrecht
Lesen Sie mehr zu den Schwerpunkten unserer Kanzlei unter www.rnsp.de.