Der BGH hat im Rahmen eines Leitentscheidungsverfahrens zentrale Fragen zum immateriellen Schadensersatz bei Datenschutzverletzungen durch Facebook aufgeworfen. Es musste geklärt werden, ob der Verlust der Kontrolle über personenbezogene Daten, insbesondere Telefonnummern, durch „Scraping“ einen Schaden im Sinne der Datenschutzgrundverordnung (DSGVO) begründet. Zudem wurde geprüft, ob Facebook durch die voreingestellte Kontakt-Import-Funktion gegen geltendes Datenschutzrecht verstoßen hat und wie Schadensersatzansprüche in solchen Fällen zu bemessen sind.

Sachverhalt

Im zugrunde liegenden Fall hatte der Kläger, ein Nutzer des sozialen Netzwerks Facebook, seine persönlichen Daten wie Name, Geschlecht, Nutzer-ID und Telefonnummer auf seinem Profil gespeichert. Diese Daten waren teilweise veröffentlicht und insbesondere die Telefonnummer war durch die voreingestellte Funktion „Kontakt-Import“ für alle anderen Nutzer und Nutzerinnen* auffindbar. Die Kontakt-Import-Funktion ermöglichte es, Kontakte von Mobilgeräten auf Facebook hochzuladen und dadurch Nutzerprofile über Telefonnummern zu finden, auch wenn die Einstellungen der Telefonnummer beim betroffenen Nutzer auf „nur ich“ gesetzt waren.

Zwischen Januar 2018 und September 2019 kam es zu einem massenhaften Datenabfragen, sog. „Scraping“, von Nutzerprofilen auf Facebook. Dabei verwendeten unbekannte Dritte automatisierte Abfragen, um Telefonnummern zu generieren und diesen dann Profilen zuzuordnen. Auf diese Weise wurden die Daten von rund 533 Millionen Nutzern, darunter auch die des Klägers, erfasst und öffentlich zugänglich gemacht. Der Kläger behauptete, dies habe zu einer massiven Zunahme betrügerischer Kontaktversuche geführt und ihm einen spürbaren Kontrollverlust über seine Daten verursacht.

Facebook informierte die betroffenen Nutzer nicht unmittelbar über das Datenleck und meldete den Vorfall auch nicht umgehend an die zuständige Datenschutzbehörde. Der Kläger forderte daher immateriellen Schadensersatz sowie Unterlassungs- und Feststellungsansprüche, da er durch den Datenverlust eine Beeinträchtigung seiner Privatsphäre und eine Verletzung der DSGV sah.

Bisheriger Prozessverlauf

Der Fall wurde zunächst in erster Instanz vom Landgericht (LG) Bonn entschieden. Das LG Bonn sprach dem Kläger einen Schadensersatzanspruch in Höhe von 250 Euro zu und erkannte teilweise die Übernahme der Rechtsverfolgungskosten des Klägers an. Die anderen Ansprüche, wie umfassende Unterlassungs- und Feststellungsanträge, wies das Gericht jedoch ab. Die Begründung des Gerichts stützte sich darauf, dass die bloße Möglichkeit zukünftiger Risiken durch den Datenverlust nicht ausreiche, um weitergehende Ansprüche zu rechtfertigen.

Der Kläger legte daraufhin Berufung beim Oberlandesgericht (OLG) Köln ein. Das OLG entschied jedoch zugunsten der Beklagten und wies die Berufung ab. Der Kläger argumentierte, er habe durch den Scraping-Vorfall einen immateriellen Schaden erlitten, der sich durch Gefühle wie Angst, Unwohlsein und Misstrauen ausdrücke, die durch unerwünschte Anrufe, SMS und E-Mails verstärkt worden seien. Zudem sei Facebooks Umgang mit dem Vorfall nicht DSGVO-konform gewesen, da nicht ausreichende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ergriffen worden seien und die Meldung an die zuständigen Stellen verspätet erfolgt sei, was Art. 33 und Art. 34 DSGVO verletze.

Das OLG führte jedoch aus, dass die geltend gemachten negativen Gefühle des Klägers zu allgemein und subjektiv seien, um einen immateriellen Schaden im Sinne von Art. 82 DSGVO zu begründen. Das Gericht betonte, dass ein Schaden konkret dargelegt werden müsse und dass subjektive Empfindungen allein nicht genügten. Es bedürfe einer objektivierbaren, spezifischen psychischen Belastung. Darüber hinaus sei keine Kausalität zwischen einem etwaigen DSGVO-Verstoß und dem geltend gemachten immateriellen Schaden gegeben, da selbst eine unverzügliche Meldung an die Aufsichtsbehörde die beschriebenen Spam-Anrufe und die negativen Gefühle nicht hätte verhindern können.

Das OLG prüfte weiterhin, ob Facebook angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten im Sinne des Art. 32 DSGVO getroffen hatte. Das Gericht bewertete die Telefonnummer in diesem Kontext als eine weniger sensible Information, da sie allgemein zur alltäglichen Kommunikation dient und keine besonders schwerwiegenden Folgen für den Betroffenen habe, wie dies etwa bei Gesundheits- oder Bankdaten der Fall wäre. Dennoch erkannte das Gericht grundsätzlich an, dass Telefonnummern unter den Schutz personenbezogener Daten nach der DSGVO fallen. Facebooks implementierte Maßnahmen seien jedoch dem geringen Risikopotenzial der Telefonnummern angepasst und daher als angemessen einzustufen.

Die Entscheidung des BGH

Nach dieser für den Kläger ungünstigen Entscheidung des OLG Köln legte dieser Revision beim Bundesgerichtshof (BGH) ein. Der BGH bestimmte das Verfahren zum Leitentscheidungsverfahren. Der neue § 552b Zivilprozessordnung (ZPO) ermöglicht dem BGH, ein Revisionsverfahren zum Leitentscheidungsverfahren zu erklären, wenn in der Revision Fragen aufgeworfen werden, die für eine Vielzahl weiterer Verfahren von Bedeutung sind.

In diesem Leitentscheidungsverfahren sollen unter anderem die Fragen geklärt werden, ob ein DSGVO-Verstoß durch Facebook vorliegt, wenn bei der Kontakt-Import-Funktion standardmäßig die Option „alle“ voreingestellt ist und ob der Verlust der Kontrolle über die veröffentlichten Daten – hier die Telefonnummern in Verbindung mit anderen Informationen – für sich genommen einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellt. Falls ein solcher Schaden bejaht werde, solle auch geklärt werden, wie dieser bemessen werden kann. Zudem wird der BGH entscheiden, welche Anforderungen grundsätzlich an die Begründung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO gelten und ob allein die Möglichkeit zukünftiger Schäden ein ausreichendes Feststellungsinteresse begründet. Schließlich wird der BGH auch die Frage klären, ob die gestellten Unterlassungsanträge dem Bestimmtheitsgebot aus § 253 Abs. 2 Nr. 2 ZPO genügen, wonach Facebook verpflichtet wäre, bestimmte Maßnahmen zukünftig zu unterlassen. Insbesondere geht es hierbei um die automatische Verarbeitung von Daten durch die Standard-Einstellung der Kontakt-Import-Funktion, die ohne ausdrückliche Zustimmung verarbeitet werden. Damit eine gerichtliche Entscheidung eindeutig und vollstreckbar ist, müssen die dem Gericht zur Entscheidung gestellten Anträge entsprechend konkret formuliert sein.

Mit dieser Entscheidung wird der BGH eine richtungsweisende Klärung zu den Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO, zum Begriff des Kontrollverlustes und zu den Anforderungen an Unterlassungsanträge vornehmen.

*Verwenden wir in Zukunft wegen der besseren Lesbarkeit ausschließlich das generische Femininum oder das generische Maskulinum, sind hiervon ausdrücklich sämtliche Geschlechter umfasst.