Nach einem Cyber-Angriff oder einer „Datenpanne“ drohen betroffenen Unternehmen oft auch noch Schadensersatzansprüche wegen des unzureichenden Schutzes personenbezogener Daten. In einem aufsehenerregenden Verfahren hat jetzt erstmals der Bundesgerichtshof (BGH) dazu Stellung genommen, wann in solchen Fällen von einem Schaden für die Personen auszugehen ist, deren Daten in die Hände von Cyberkriminellen gelangen, und wie dieser Schaden monetär zu bemessen ist.
Immer öfter sehen sich Unternehmen, deren Kundendaten von Cyber-Kriminellen entwendet und im Internet (oder „Darknet“) veröffentlicht worden sind, im Anschluss einer zweiten Angriffswelle aus einer ganz anderen Richtung ausgesetzt. Unterstützt von spezialisierten Anwälten und Prozessfinanzierern verlangen betroffene Kunden Schadensersatz wegen der (angeblich) unzureichenden Sicherung ihrer personenbezogenen Daten. Praktisch nie geht es dabei um Ersatz für „echte“ finanzielle Schäden durch einen nachweisbaren Missbrauch der entwendeten Daten. Gestützt auf die Datenschutz-Grundverordnung (DS-GVO) richten sich die Ansprüche auf den Ausgleich „immaterieller Schäden“, erlitten etwa durch die „Beunruhigung“ über den Verlust der Kontrolle über die abgeflossenen Daten. Unter welchen Voraussetzungen solche Forderungen begründet sind und wie der Ersatz für den eingetretenen immateriellen Schaden ggf. beziffert werden kann, ist in der Rechtsprechung der Instanzgerichte hochumstritten. Nach mehreren Entscheidungen des europäischen Gerichtshofs (EuGH) hatte jetzt auch der BGH erstmals Gelegenheit, sich mit den Anforderungen an die Begründung und Substantiierung von Schadensersatzansprüchen nach Datenschutzverletzungen zu befassen. Gegenstand der – auch unter prozessualen Gesichtspunkten interessanten – Entscheidung vom 18. November 2024 ist ein „Scraping-Vorfall“ auf der Social-Media Plattform Facebook, von der weltweit mehrere hundert Millionen Menschen betroffen waren.
Der Fall
Durch das Ausnutzen eines von Facebook zur Verfügung gestellten „Contact-Import-Tools“ war es unbekannten Cyberkriminellen zwischen Januar 2018 und September 2019 möglich, automatisiert die registrierte Mobiltelefonnummer von Facebook-Nutzern herauszufinden, indem zufällige Zahlenfolgen in das Tool zum Importieren von Kontakten eingegeben wurden. Die so generierten „Treffer“ wurden dann automatisch mit den auf den öffentlichen Profilen einsehbaren Informationen verknüpft. Es handelt sich also nicht um „Daten-Scraping“ im eigentlichen Sinne, da die Telefonnummern nicht von der Facebook-Webseite „abgeschöpft“, sondern quasi automatisiert „erraten“ wurden. Im April 2021 wurden etwa 530 Millionen auf diese Weise generierte Datensätze von Facebook-Nutzern, bestehend aus der Mobiltelefonnummer und öffentlich einsehbaren Informationen wie etwa Name, Vorname, Geschlecht und Arbeitsplatz, frei zugänglich im Internet veröffentlicht. Allein in Deutschland waren circa sechs Millionen Nutzer betroffen.
Der Kläger des vom BGH entschiedenen Verfahrens war seit vielen Jahren bei Facebook angemeldet und hatte seine Mobiltelefonnummer hinterlegt. In den Datenschutzeinstellungen seines Facebook-Kontos hatte der Kläger die Sichtbarkeit seiner Handynummer auf „privat“ gestellt. Allerdings war die Auffindbarkeit seiner Profilseite – entsprechend der von Facebook vorgenommenen Voreinstellung – so gesetzt, dass „alle“ ihn über seine Mobiltelefonnummer auffinden konnten. In der Folge der Veröffentlichung seiner Profildaten im Internet kam es nach Angaben des Klägers zu einem massiven Anstieg von betrügerischen Kontaktversuchen per E-Mail, SMS und Telefon. Der Kläger argumentierte, Facebook habe mit seinen Datenschutzvoreinstellungen und dem Einsatz eines missbrauchsanfälligen Contact-Import-Tools gegen Datenschutzrecht verstoßen. Er verlangte Ersatz der von ihm erlittenen immateriellen Schäden in Höhe von 1.000 Euro. Außerdem wollte er gerichtlich festgestellt wissen, dass Facebook für alle weiteren (materiellen und immateriellen) Schäden haftet, die ihm zukünftig durch den „Scraping-Vorfall“ entstehen.
Leitentscheidungsverfahren
Anders als das LG Bonn in der ersten Instanz, wies das OLG Köln die Schadensersatzklage ab. Die daraufhin von dem Kläger eingelegte Revision war nicht die erste, die den BGH in dem Facebook-Scraping-Komplex erreichte. Allerdings hatten andere von dem Vorfall Betroffene ihre Klagen jeweils nach außergerichtlichen Vergleichen mit Facebook zurückgenommen, bevor der BGH über die Revisionen verhandeln konnte. Beobachter gehen davon aus, dass Facebook durch ein „freiwilliges“ Eingehen auf die Forderungen der Betroffenen ein ungünstiges Urteil des BGH verhindern wollte. In dem Fall des Klägers machte der BGH deshalb erstmals von der vom Gesetzgeber neu geschaffenen Möglichkeit Gebrauch, ein Revisionsverfahren zum Leitentscheidungsverfahren nach § 552b ZPO zu bestimmen. Dieses neue prozessuale Instrument erlaubt es dem BGH, die durch eine Revision aufgeworfenen Rechtsfragen auch dann zu beantworten, wenn die Klage zurückgenommen wird (§ 565 ZPO). Mit der „Aufwertung“ des Falls zum Leitentscheidungsverfahren war für die Parteien der Anreiz für eine außergerichtliche Einigung in letzter Minute aber offenbar entfallen. Jedenfalls hielt der Kläger seine Revision aufrecht und der BGH konnte (bzw. musste) keine Leitentscheidung treffen, sondern ein „normales“ Revisionsurteil erlassen.
Inhalt der Entscheidung
Der BGH hat das Urteil des Oberlandesgerichts Köln teilweise aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen.
Anders als die Mehrzahl der Gerichte in den unteren Instanzen ist der BGH der Auffassung, dass bereits der bloße und ggf. nur kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann. Es sei nicht erforderlich, dass die Daten missbräuchlich verwendet wurden oder dass der Betroffene konkrete Beeinträchtigungen darlege. Anspruchsteller müssen laut BGH lediglich nachweisen, dass ihre Daten von einem Datenschutzvorfall betroffen waren.
Nicht abschließend entschieden hat der BGH, ob Facebook überhaupt einen Datenschutzverstoß begangen hat. Zwar geht der BGH davon aus, dass Facebook mit der – zwischenzeitlich veränderten - Standardeinstellung, die grundsätzlich alle Nutzer über ihre Telefonnummer auffindbar machte, den DS-GVO-Grundsatz der „Datenminimierung“ verletzt hat. Dem Berufungsgericht hat er aber aufgegeben zu prüfen, ob der Kläger eine wirksame Einwilligung für diese Einstellung erteilt hatte.
Auch bei der Frage der Höhe des ersatzfähigen Schadens hat es der BGH formal bei einem „Hinweis“ an die Vorinstanz belassen. Dessen Inhalt dürfte allerdings weder beim Kläger noch bei anderen betroffenen Facebook-Nutzern für große Freude sorgen. Der BGH beziffert den angemessenen Ausgleich für Schäden durch bloßen Kontrollverlust über personenbezogene Daten auf etwa 100 Euro. Das ist nur ein Bruchteil der Klageforderung und dürfte nicht nur den Kläger zu der Frage veranlassen, ob sich der Aufwand eines mehrjährigen Rechtsstreits für ein solches „Taschengeld“ gelohnt hat. Dass der BGH zugleich eine Ersatzpflicht von Facebook für zukünftig noch eintretende weitere materielle oder immaterielle Schäden infolge des Datenschutzvorfalls ausdrücklich für möglich hält, dürfte für den Kläger ein eher schwacher Trost sein.
Einordnung
Die Entscheidung des BGH hat erhebliche Bedeutung weit über die Welt der sozialen Netzwerke hinaus. Jedes Unternehmen, das in größerem Umfang mit personenbezogenen Daten von Kunden oder Beschäftigten umgeht, lebt mit einer ständig wachsenden Bedrohung durch Cyberangriffe. Eine technische Fehlkonfiguration oder die Unachtsamkeit eines Mitarbeiters oder Dienstleisters genügen, um den teilweise hochprofessionell arbeitenden Cyberkriminellen Zugriff auf die Unternehmensdatenbestände zu eröffnen. Obwohl sie selbst Opfer einer Straftat sind, haften Unternehmen nach der DS-GVO für die durch solche Datendiebstähle bei den betroffenen Kunden und Mitarbeitern entstandenen materiellen und immateriellen Schäden, wenn sie nicht beweisen können, dass sie alle DS-GVO Vorgaben erfüllt haben und in keiner Weise für die Datenschutzverletzung verantwortlich sind. Dieser Nachweis wird in der Praxis oft nicht gelingen.
Vor diesem Hintergrund ist es keine gute Nachricht, dass der BGH die Anforderungen an die Darlegung des Eintritts eines immateriellen Schadens so niedrig ansetzt, dass de facto jeder Datenabfluss bei einer „Datenpanne“ oder einem erfolgreichen Cyberangriff zu einem ersatzfähigen Schaden in Form eines „Kontrollverlusts“ führt. Möglicherweise sah der BGH sich durch die jüngste Rechtsprechung des Europäischen Gerichtshofs zu diesem Schritt gezwungen. Der gleichzeitige „Hinweis“ an die Instanzgerichte zur (geringen) Schadensbemessung kann durchaus als Versuch verstanden werden, die zu befürchtenden Folgen der großzügigen Auslegung des Schadensbegriffs der DS-GVO einzudämmen. Zumindest für spezialisierte Klägerkanzleien und andere kommerzielle Rechtsdienstleister dürfte es sich angesichts sehr niedriger Schadenssummen im Einzelfall nur bei „Data Breaches“ mit einer außergewöhnlich hohen Zahl von Betroffenen lohnen, aufwändige Kampagnen für die Mandantengewinnung zu starten. Abzuwarten bleibt, ob und in welchem Umfang Verbraucherschutzorganisationen von dem neu geschaffenen Instrument der Abhilfeklage nach dem „Gesetz zur gebündelten Durchsetzung von Verbraucherrechten“ (VDuG) Gebrauch machen werden, um Schadensersatzansprüche nach Datenschutzverletzungen mit einer größeren Zahl von Betroffenen kollektiv durchzusetzen. Die von Cyberangriffen und Datenpannen ausgehenden Risiken für Unternehmen sind mit der Entscheidung des BGH jedenfalls nicht kleiner geworden.
Weiterleiten