Am 18. November 2024 wurde die Entscheidung (Aktenzeichen VI ZR 10/24) des Bundesgerichtshofs zu Ansprüchen Betroffener auf Schadensersatz im Zusammenhang mit dem Datenschutzvorfall bei Facebook entschieden. Der BGH billigt Betroffenen einen Schadensersatzanspruch zu.
Anzeige
Der Scraping-Vorfall aus 2021
Ein Hacker hatte Anfang April 2021 die Telefonnummern und Kontodaten von schätzungsweise 533 Millionen Facebook-Nutzern – etwa ein Fünftel des gesamten Nutzerpools des sozialen Netzwerks aus 106 Ländern – in einem öffentlich zugänglichen Cybercrime-Forum veröffentlicht.
Der Hacker konnte die Daten durch randomisierte Zahlenfolgen über die Rufnummernsuche der von Facebook von den Benutzern angeforderten Telefonnummer abfischen. Ich hatte im Blog-Beitrag Hacker publiziert 533 Millionen Telefonnummern von Facebook-Nutzern darüber berichtet. In Deutschland sind über 6 Millionen Nutzer betroffen.
Die juristische Vorgeschichte
Der VI. Zivilsenat des Bundesgerichtshofs (BGH) hatte am 8. Oktober 2024 über zwei Revisionen zu verhandeln, in denen sich die Frage stellt, welche Ansprüche Betroffenen zustehen, deren Daten im Rahmen eines sog. Scrapings von unbekannten Dritten erlangt und im Internet verbreitet wurden.
Laut dieser Pressemitteilung des BGH machten zwei Personen Schadensersatz gegen Facebook wegen der abgeflossenen Daten geltend. Ein Kläger machte beispielsweise geltend, die Beklagte (Facebook) habe keine ausreichenden Sicherheitsmaßnahmen ergriffen, um eine Ausnutzung der Kontakt-Tools zu verhindern. Ihm stehe wegen des erlittenen Ärgers und des Kontrollverlusts über seine Daten Ersatz für immaterielle Schäden zu. Er habe Ängste, Stress, Komfort- und Zeiteinbußen erlitten.
Anzeige
Darüber hinaus begehrt der Kläger die Feststellung, dass die Beklagte verpflichtet sei, ihm in diesem Zusammenhang auch alle künftigen materiellen und immateriellen Schäden zu ersetzen, und nimmt die Beklagte auf Unterlassung und Auskunft in Anspruch. Facebook hatte die geltend gemachten Ansprüche abgelehnt, weil weder ein Verstoß gegen die Datenschutz-Grundverordnung vorliege noch dem Kläger ein kausaler Schaden entstanden sei.
Das Landgericht hatte darauf hin die Klage des Geschädigten abgewiesen. Auf die Berufung des Klägers hat das zuständige Oberlandesgericht festgestellt, dass die Beklagte (also Facebook) verpflichtet sei, dem Kläger alle künftigen materiellen und immateriellen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Facebook-Datenarchiv entstanden sind und/oder noch entstehen werden. Der Kläger legte aber Berufung vor den BGH ein, weil seine weitergehenden Schadensersatzansprüche vom OLG abgewiesen wurden.
Die BGH-Entscheidung
Mit Aktenzeichen VI ZR 10/24 hat der Zivilsenat des BGH entschieden, dass der "bloße Kontrollverlust" zur Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO ausreiche. Können Betroffene darlegen, über den Kontrollverlust hinaus psychisch beeinträchtigt worden zu sein oder andere Schäden erlitten zu haben, kann dies zu höheren Ansprüchen führen. Das gilt laut BGH wohl insbesondere bei konkreter missbräuchlicher Verwendung dieser Daten zum Nachteil des Betroffenen.
Die Voreinstellung der Suchbarkeitseinstellung auf "alle" dürfte nicht dem Grundsatz der Datenminimierung entsprochen haben, meinen die Richter am BGH. Die Richter am BGH zweifelten auch an der Wirksamkeit der Einwilligung der Facebook-Benutzer, dass die Daten durchsuchbar sein durften.
Weiterhin heißt es, dass es zur Bemessung (§ 287 ZPO) des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO auf den Einzelfall ankomme. Das heißt, dass jetzt, auf Grund des BGH-Urteils, eine Reihe Verfahren wegen Schadensersatzansprüchen von den Landgerichten und Oberlandesgerichten wieder aufgenommen und zu Ende gebracht werden.
Legal Tribune Online (LTO) hat das Urteil hier zusammen gefasst und kommentiert. Rechtsanwalt Christian Solmecke hat den Sachverhalt in obigem Tweet und in diesem Artikel kommentiert und wirbt bereits für Mandanten. Auf seiner Webseite lässt sich über die Telefonnummer prüfen, ob man ggf. betroffen ist.
Facebook hat übrigens zeitnah reagiert und zeigte mir obige Abfrage zur Datenverarbeitungseinwilligung.
Anzeige
Ein gutes Urteil!
Evtl. wachen die Firmen jetzt endlich auf und fangen an, in IT-Sicherheit zu investieren.
Als wenn……
Das sind mehr oder weniger kalkulierte Begleitschäden. Ändern würde sich ev. erst was, wenn die Gesetzgeber eine Nachweispflicht von den Unternehmen bzgl. deren Sicherheit ZWINGEND voraussetzen, BEVOR das Kind in den Brunnen gefallen ist!
Wie wird eigentlich geprüft, ob man betroffen ist? Da muss logischerweise Jemand eine Datenbank mit den/meinen Daten haben? ..
"Wir verwenden deine Mobilfunknummer zur Überprüfung, ob du von dem Facebook-Datenleak betroffen bist. Der Abgleich deiner Mobilfunknummer erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine Mobilfunknummer bei uns gelöscht. "
Wie wär's mit der Datei, in der einfach alle aus dem Datenleck abgeflossenen Daten erfasst sind?
Oder man macht's via der bei der VERBRAUCHERZENTRALE veröffentlichten Anleitung > https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/datenlecks-bei-facebook-so-pruefen-sie-ob-sie-betroffen-sind-25013
Klar, die Daten kann man bei Facebook prüfen.
Aber wenn ein "Anbieter" eine separate Datenbank/Datei hat um die Daten zu prüfen, dann hat dieser Anbiete ja auch Daten der Personen gespeichert….
Mal davon abgehen, dass jeder "Anbieter" wieder selber ein potentielles Datenleck wäre um die Daten weiter zu verbreiten. Das ist doch rechtlich auch…
Für einmal geleakte Daten sind weitere "Datenlecks" UNERHEBLICH – die jeweiligen Datenspeicher sind ja schon korrumpiert und die Daten verbreitet, so dass jegliche "Kontrolle" darüber verloren ist!
Es heißt nicht umsonst "Wehret den Anfängen!". 🤷♂️
Es wäre evtl. auch mal überlegenswert ob man soviel bei Facebook hochladen muss. Was nicht da drin ist kann auch nicht ge"cloud" werden.
Da wäre ich mir nicht so sicher – gibt ja die Shadow-Profiles, wo Facebook mitbekommt, welche Seiten jemand, der diese Plattform nutzt, besucht. Aber im gegenständlichen Fall waren nur solche Nutzer betroffen, die ihre Mobilfunknummer angegeben hatten (dem habe ich mich verweigert).
Es sind viel mehr Leute bei Facebook in der Datenbank als man denkt.
Auch Leute, die keinen Facebook-Account haben und dort auch noch einen hatten und auch noch nie auf Facebook waren, sind u.U. in Facebook-Datenbanken zu finden.
Nämlich, wenn ein Facebooknutzer die irgendwo angegeben hat, wie z.B. Daten von "Freunden".
Das Vergnügen hatte ich schon.
Ein Bekannter hat mich damals drauf hingewiesen.
Es hat ewig gedauert, bis Facebook meine Daten dort entfernt hatte.
Ähm…natürlich grundsätzlich richtig, aber würde dem Absolutismus à la "Ohne Internet kein Datenaustausch auf diesem Weg und somit keine Korrumpierungsmöglichkeit!" folgen – es sind dann aber auch schlichtweg "Dienste" nicht nutzbar. 🤷♂️
Bei mir bspw. ist eine meiner Mobilrufnummern, die ich zur Nutzung des fb-Messengers zwingend unabdingbar angeben mußte, über das Datenleck abgeflossen, obwohl ich jedoch vom ersten Moment an ausschließlich die Sichtbarkeit dieser Angabe in meinem Profil auf "Nur ich" eingestellt hatte.
Ergebnis nun "Oh no – pwned!" mit explizitem Verweis auf den fb-Breach.
Wenn man sich als Nutzer nicht drauf verlassen kann, dass eben die angezeigten Informationen auch der tatsächlichen Handhabung entsprechen muß man wohl tatsächlich gemäß Orwell's Hinweis alle "Verbindungen" in die Welt kappen, um wenigstens ein wenig Bestimmungshoheit über die eigenen Daten zu behalten.
Das "nur ich" ist nur ein Flag in der Datenbank, das dann von der App ausgewertet wird.
Wenn jemand aber die Datenbank abzieht, hat so ein Flag natürlich keine Wirkung.
Das mag stimmen, aber weder kennt ein Anwender/Nutzer die technischen Abhängigkeiten und Zusammenhänge noch müßte er das und so "verlässt" er sich nach Treu und Glauben auf die gemäß den Geschäfts-/Nutzungsbedingungen für einen Dienst zugesicherten Schutzmechanismen – wenn die nun nicht richtig oder gar fehlerhaft funktionieren ist auch das weder seinem Verschulden zuzurechnen noch mußte er davon ausgehen.
Und mal ehrlich:
DAS ALLES kann auch nur passieren, weil der "Handel mit Daten" zum Zwecke der narrativen Beförderung der Wirtschaftsmonstranz erlaubt bzw. eben UNGENÜGEND reglementiert ist. 🤷♂️