Der Bundesgerichtshof (BGH) hat mit einem wegweisenden Urteil die Rechte von Nutzerinnen und Nutzern bei Datenlecks gestärkt. Laut dem Urteil reicht bereits der Verlust der Kontrolle über personenbezogene Daten aus, um einen immateriellen Schaden geltend zu machen.
Urteil stärkt Anspruch auf Schadensersatz
Das Urteil vom 18. November 2024 (Az.: VI ZR 10/24) senkt die Hürden für Schadensersatzforderungen im Falle von Datenschutzverletzungen. Nutzer von Online-Plattformen wie Facebook müssen nicht nachweisen, dass ihre Daten tatsächlich missbraucht wurden oder sie unter Angst und Sorge litten. Der Nachweis, von einem Datenleck betroffen zu sein, genügt, um einen immateriellen Schaden gemäß der DSGVO darzustellen.
Entschädigung begrenzt, Kontrollverlust anerkannt
Während der BGH feststellt, dass ein Kontrollverlust über persönliche Daten grundsätzlich einen Schadensersatzanspruch begründet, betonte der Vorsitzende Richter, dass Betroffene keinen hohen Schadensersatz erwarten können. Im verhandelten Fall hielt der BGH eine Entschädigungssumme von etwa 100 Euro für angemessen.
Hintergrund: Massiver Datendiebstahl bei Facebook
Der Fall geht auf ein Datenleck bei Facebook aus dem Jahr 2021 zurück. Damals wurden Daten von 533 Millionen Nutzenden aus 106 Ländern, darunter auch Telefonnummern, im Internet veröffentlicht. Unbekannte nutzten eine Funktion zur Freunde-Suche, um über sogenanntes „Scraping“ vertrauliche Informationen zu sammeln.
Neuprüfung durch Vorinstanz
Das Oberlandesgericht Köln wird den Fall nun auf Basis des BGH-Urteils erneut prüfen. Dabei wird es die genaue Höhe des Schadensersatzes und das Vorliegen eines Datenschutzverstoßes bewerten müssen.
Dieses Urteil könnte weitreichende Folgen haben und Nutzenden künftig erleichtern, Schadensersatzansprüche bei ähnlichen Vorfällen durchzusetzen.