Der Bundesgerichtshof hat im Fall eines Datenlecks aus dem Jahr 2021 zu Ungunsten des amerikanischen Konzerns Meta entschieden: Jedem von dem Datenleck Betroffenen gegenüber ist der Mutterkonzern von Facebook zu Schadensersatz verpflichtet.
Kläger müssen der Leitentscheidung des Bundesgerichtshofs (BGH) nach künftig nicht mehr geltend machen, selbst einen Schaden durch das Datenleck erlitten zu haben. Stattdessen soll es reichen, geltend zu machen, dass man selbst von dem Datenleak betroffen war.
Ob man selbst von etwaigen Datenlecks betroffen ist, kann man im Internet selbst überprüfen, z.B. hier.
Der BGH konkretisiert damit die Rechtsprechung des Europäischen Gerichtshofs (EuGH). Dieser hatte bereits entschieden, dass der Begriff des Schadens im Sinne des Art. 82 DSGVO breit auszulegen sei. Zum Vorliegen eines "Schadens" soll es demnach ausreichen, dass die betroffen Person wegen eines Verstoßes gegen die DSGVO befürchtet, dass seine Daten durch Dritte missbraucht werden. (C 300/21)
Gleichzeitig entschied der EuGH 2023, dass nicht jeder Verstoß gegen die DSGVO automatisch zu einem Schaden führe. Die Anforderungen an eine etwaige Schadensersatzforderung wurden jedoch tief angesetzt.
Der BGH setzt die Anforderungen, unter denen einer betroffenen Person Schadensersatz wegen der Datenveröffentlichung zusteht, demnach nun noch tiefer. Künftig erhöht dies generell die Anzahl an “Betroffenen”, denen Schadensersatz in Fällen dieser Art zusteht signifikant.
Die Stiftung Warentest veröffentlichte zur Hilfe potentieller Kläger ein Musterblatt für Schadensersatzforderungen. Die meisten Ansprüche dürften am Ende dieses Jahres verjähren - eine etwaige Schadensersatzforderung empfiehlt sich folglich bis spätestens Mitte Dezember zu stellen. Gerne können wir dies auch für Sie übernehmen.
Laden Sie hier das Musterblatt von Stiftung Warentest herunter:
Der Vorsitzende Richter des Sechsten Zivilsenats, Stephan Seiters, stellte jedoch in er Entscheidung klar, dass der Schadensersatz bei bloßem Kontrollverlust über die eigenen Daten "nicht gerade hoch" ausfallen dürfte. Für Betroffene jedoch, die nachweisen können, in Verbindung mit dem Datenleck sogar Unannehmlichkeiten wie Spam-Anrufen durch Dritte ausgeliefert gewesen zu sein, seien höhere Schadensersatzzahlungen vorstellbar.
Zugrunde liegt der Entscheidung ein Vorfall im Frühjahr 2021. Damals waren die Daten von rund 533 Millionen Facebook-Nutzern veröffentlicht worden. Verantwortlich waren Unbekannte, die durch eine Sicherheitslücke, die Facebook schon 2019 geschlossen haben wollte, die persönlichen Daten der Nutzer herunterladen konnten.
Daraufhin wurden Verbindungsdaten im Netz verbreitet: Vornamen, Nachnamen, Herkunftsland, Geschlecht und in manchen Fällen sogar die Arbeitgeber. Viele Nutzer klagten infolgedessen wegen eines Datenschutzverstoßes. Die Anwälte von Facebook beharrten bis zuletzt darauf, dass es bei dem Vorfall keinen Datenschutzverstoß gegeben habe.
Eine Leitentscheidung entfaltet Wirkung für ähnliche Fälle. Untere Instanzen müssen sich am Tenor der Entscheidung orientieren. Somit werden unzählige Verfahren zu Gunsten der Kläger beendet. Zuvor waren die Verfahren an den Landes- und Oberlandesgerichten zum Großteil gescheitert.
Klar ist nun immer mehr: Verstöße gegen die DSGVO und insbesondere Datenlecks führen, auch bei kleinen Vorfällen, zu Schadensersatzansprüchen der Betroffenen.