Urteil zu Facebook-Datenleck BGH stärkt Rechte von Internet-Nutzern
Ein wichtiges Urteil für alle Betroffenen von Datenpannen im Internet: Schon der bloße Verlust der Kontrolle über die eigenen Daten ist ein Schaden. Das entschied heute der Bundesgerichtshof.
Der Bundesgerichtshof (BGH) hat heute in einem Grundsatzurteil die Rechte von Nutzern nach Datenpannen bei großen Internet-Plattformen gestärkt. Im konkreten Fall hatte ein vom Datenleck betroffener Facebook-Nutzer geklagt. Er verlangte unter anderem Schadensersatz von Meta, der Betreiberin von Facebook, weil Meta seine Daten nicht ausreichend geschützt habe.
Anlass dafür war ein riesiges Datenleck, das 2021 bekannt wurde. Dabei war es Unbekannten gelungen, persönliche Daten von 533 Millionen Nutzerinnen und Nutzern aus 106 Ländern abzugreifen. Allein in Deutschland waren sechs Millionen Menschen betroffen.
Besondere Facebook-Funktion als Einfallstor
Die Täter hatten sich eine besondere Funktion von Facebook zu Nutze gemacht, um an die Daten zu kommen: Mithilfe eines Computers generierten sie millionenfach Handynummern und luden diese mithilfe automatisierter Tools in die sogenannte "Kontakt-Import-Funktion" von Facebook hoch. Diese war eigentlich dazu gedacht, Freunde oder Verwandte leichter auf Facebook zu finden, deren Telefonnummer man auf dem Handy eingespeichert hat. Das funktionierte auch dann, wenn die Telefonnummer in den Privatsphäre-Einstellungen vom Facebook-Nutzer auf "nicht-öffentlich" gestellt wurde.
Gehörte zur hochgeladenen Handynummer ein Facebook-Profil, wurde dieses den Tätern angezeigt. Und mit ihm auch alle auf dem Profil öffentlich einsehbaren Informationen, wie etwa Vor- und Nachname, Geburtsdatum, Wohnort und teilweise sogar der Arbeitgeber. Diese Daten führten die Unbekannten dann mit der dazugehörigen Telefonnummer zu einem Datensatz zusammen. 2021 veröffentlichten sie die gesammelten Datensätze im Internet.
Das Vorgehen der Täter wird als "Scraping" bezeichnet, Englisch für "Zusammenkratzen". Anders als beim Hacking, bei dem von außen in ein IT-System eingedrungen wird, werden beim Scraping öffentlich zugängliche Daten gesammelt und gebündelt. Die Daten werden dann meist an Dritte verkauft.
Zu wenig Schutz durch Facebook?
Im Verfahren vor dem Bundesgerichtshof (BGH) ging es unter anderem um die Frage, ob Facebook die Daten der Betroffenen besser hätte schützen müssen. Und darum, ob schon der bloße Verlust der Kontrolle über die Daten einen Schaden darstellt - oder ob ein Schaden erst dann vorliegt, wenn Betroffene spürbare Einschränkungen nachweisen können, wie etwa Angst davor, dass ihre Daten missbraucht werden.
Meta argumentierte vor Gericht damit, dass die Daten, die abgegriffen wurden, ja ohnehin öffentlich abrufbar gewesen seien und gerade nicht von außen in Facebooks System eingegriffen worden sei. Außerdem habe der Kläger nicht nachgewiesen, dass er eine erhebliche Beeinträchtigung erlitten habe. Er hatte zwar behauptet, er habe nach dem Datenleck vermehrt Spam-Anrufe erhalten, aber er habe nicht einmal seine Telefonnummer geändert, was aber in einem solchen Fall zu erwarten gewesen wäre.
Der Bundesgerichtshof (BGH) in Karlsruhe hat heute anders entschieden. In seinem Urteil stärkte er die Rechte der Facebook-Nutzer. Schon der bloße Verlust über die Kontrolle der Daten stelle einen Schaden dar, für den es dann Schadensersatz gebe. Erst einmal geht der Fall aber nun zurück zur unteren Instanz. Die muss prüfen, ob ein Schadensersatz ausgeschlossen sein könnte, weil der Nutzer den Nutzungsbedingungen von Facebook zugestimmt hatte.
Betroffene können bis Ende des Jahres klagen
Der Rechtsanwalt von Meta, Martin Mekat, zeigte sich zuversichtlich, dass der Streit doch noch zu Gunsten von Meta ausgeht. Er sagte nach der Urteilsverkündung: "Meta ist der Meinung, dass die Entscheidung nicht mit der Rechtsprechung des Europäischen Gerichtshofs vereinbar ist." Das sieht der BGH allerdings eindeutig anders. Nach EU-Recht reiche es für Schadensersatz aus, dass die Nutzer kurzfristig die Kontrolle über ihre Daten verlieren. Ob es dann im Einzelfall Schadensersatz gibt und wie hoch er ist, muss jetzt die untere Instanz entscheiden.
Wer betroffen ist, kann noch bis Ende des Jahres gegen Meta klagen und Schadensersatz verlangen. Als Richtwert nannte der BGH heute etwa 100 Euro. Es handelt sich um eine Grundsatzentscheidung, die auch für andere Social-Media-Plattformen Bedeutung hat.