Ein Datenleck beim sozialen Netzwerk Facebook führte im April 2021 zur öffentlichen Verbreitung von Nutzer-Daten im Internet. Rund 533 Millionen Personen aus 106 Ländern waren betroffen. Viele verlangten Schadensersatz, scheiterten damit vor deutschen Gerichten aber meistens. Jetzt hat der Bundesgerichtshof (BGH) die Hürden herabgesetzt.

Danach kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung (DS-GVO) ein immaterieller Schaden im Sinne des Artikels 82 Absatz 1 DS-GVO sein. Das ergebe sich aus der für die Auslegung der Norm maßgeblichen Rechtsprechung des Europäischen Gerichtshofs. Die Daten müssten weder konkret missbraucht worden sein noch bedürfe es sonstiger zusätzlicher spürbarer negativer Folgen für den Betroffenen.

Bei dem Facebook-Vorfall hatten Unbekannte sich den Umstand zunutze gemacht, dass es in Abhängigkeit von den Suchbarkeits-Einstellungen des jeweiligen Nutzers möglich war, dessen Facebook-Profil mithilfe seiner Telefonnummer zu finden. Ein von dem Scraping-Vorfall Betroffener klagte, unter anderem auf Ersatz seines immateriellen Schadens wegen des erlittenen Ärgers und des Kontrollverlusts über seine Daten.

Doch das Berufungsgericht wies die Klage vollumfänglich ab. Weder reiche der bloße Kontrollverlust zur Annahme eines immateriellen Schadens im Sinne des Artikels 82 Absatz 1 DS-GVO aus noch habe der Kläger hinreichend substantiiert dargelegt, über den Kontrollverlust als solchen hinaus psychisch beeinträchtigt worden zu sein.

Der BGH hat das jetzt anders gesehen und die Sache zurückverwiesen. Dabei hat er unter anderem Hinweise zur Schadensbemessung gegeben. Seiner Ansicht nach bestehen unter den Umständen des Streitfalles von Rechts wegen keine Bedenken dagegen, den Ausgleich für den bloßen Kontrollverlust in einer Größenordnung von 100 Euro zu bemessen.

Bundesgerichtshof, Urteil vom 18.11.2024, VI ZR 10/24