Facebook unterliegt am BGH nach Datendiebstahl

Von dpa/cgo

Betroffene eines umfangreichen Datendiebstahls bei Facebook vor einigen Jahren haben es nach einem Urteil des Bundesgerichtshofs (BGH) vergleichsweise leicht, Schadenersatz zu bekommen. Sie müssen nur nachweisen, dass sie Opfer des Vorfalls waren, wie der sechste Zivilsenat in Karlsruhe entschied.

Der BGH hat zum ersten Mal von der neuen Möglichkeit des Leitentscheidungsverfahrens Gebrauch gemacht. Die höchstrichterliche Klärung ist entscheidend für tausende ähnlich gelagerte Fälle in Deutschland. Allerdings machte der Vorsitzende Richter des sechsten Zivilsenats, Stephan Seiters, deutlich, dass der Schadenersatz beim bloßen Kontrollverlust nicht allzu hoch ausfallen könne. Als Beispiel im konkreten Fall nannte Seiters 100 Euro. Sei ein Betroffener etwa auch psychisch beeinträchtigt, müsse das berücksichtigt werden. Detailfragen müssen die Vorinstanzen klären.

OLG Köln muss noch einmal verhandeln

Konkret muss das Oberlandesgericht (OLG) Köln, das die Klage zuvor abgewiesen hatte, den Fall nun in Teilen noch einmal verhandeln. Es müsse unter anderem klären, ob tatsächlich ein Datenschutzverstoß vorlag und wie der Schaden zu bemessen ist. Nach Einschätzung des Senats dürfte eine vom Facebook-Mutterkonzern Meta vorgenommene Voreinstellung der Suchbarkeitseinstellung auf „alle“ nicht dem Grundsatz der Datenminimierung entsprochen haben.

„Die Datenverarbeitung muss sich auf das absolut Notwendige beschränken“, sagte der Richter. Ferner müsse es am OLG um die Fragen gehen, ob der Kläger wirksam in die Datenverarbeitung eingewilligt habe und wie mit künftigen Schäden umgegangen wird. Diese könnten ohne Weiteres eintreten, sagte Seiters.

Hintergrund ist ein Vorfall aus dem April 2021: Unbekannte hatten damals Daten von rund 533 Millionen Facebook-Nutzerinnen und -Nutzern aus 106 Ländern im Internet veröffentlicht. Diese hatten die Täter abgegriffen, indem sie eine Funktion zur Freunde-Suche in dem sozialen Netzwerk ausnutzten. 2021 wurden dann die Verbindungsdaten im Netz verbreitet – neben Vor- und Nachnamen auch das Land, das Geschlecht, die Telefonnummer und in manchen Fällen auch der Arbeitgeber. Im Anschluss hagelte es Klagen, die bisher an Landes- und Oberlandesgerichten zum Großteil keinen Erfolg hatten.

Meta: Kein Datenschutzverstoß

Meta gab sich stets überzeugt, die Klagen seien haltlos und unbegründet. Rechtsanwalt Martin Mekat sagte auch nach der Urteilsverkündung: „Wir sind der Meinung, dass die Einschätzung des Bundesgerichtshofs in Bezug auf Haftung und Schadenersatz nicht mit der jüngsten Rechtsprechung des Europäischen Gerichtshofs, dem höchsten Gericht in Europa, vereinbar ist.“ Mekat verwies wie schon bei der Verhandlung vergangene Woche auf mehr als 6000 gewonnene Verfahren. Das entspricht nach früheren Angaben einer Erfolgsquote von über 85 Prozent. „Die Systeme von Facebook wurden bei diesem Vorfall nicht gehackt und es gab keinen Datenschutzverstoß“, sagte der Jurist.

Wer feststellen möchte, ob er von dem Datendiebstahl betroffen ist, der kann dies im Internet vergleichsweise einfach auf der Seite haveibeenpwned.com. Die Stiftung Warentest hat auf ihrer Internetseite einen Musterbrief, der an die Meta-Tochtergesellschaft nach Irland geschickt werden kann. Meta ist der Mutterkonzern von Facebook, der europäische Sitz des Unternehmens ist in Irland. Inzwischen bieten auch mehrere Legal-Tech-Anbieter im Internet ihre Hilfe an, meist gegen eine Provision in Höhe von 25 bis 30 Prozent. Und natürlich kann jeder einen Anwalt nehmen. Die meisten Ansprüche verjähren Ende Dezember.