Lässt sich Schaden nach Datenraub bei Facebook bemessen?

Der Bundesgerichtshof (BGH) untersucht einen schwerwiegenden Datenschutzvorfall bei Facebook und beabsichtigt, für viele ähnliche Fälle zu klären, ob Nutzer bei einem Datenleck Anspruch auf Schadenersatz haben. Vor Jahren hatten Diebe Daten von Hunderten Millionen Facebook-Konten gestohlen. Der Fall des sogenannten Scrapings sorgte weltweit für Aufsehen.

Was ist Scraping?

Scraping bedeutet, dass Daten von Internetseiten systematisch gesammelt und gespeichert werden. Ein Beispiel für eine autorisierte und legitime Nutzung ist die Arbeit von Suchmaschinen. Wenn jedoch automatisierte Prozesse genutzt werden, um Daten auf Facebook ohne Zustimmung des Unternehmens abzurufen, verstößt dies gegen die Nutzungsbedingungen.

Was war passiert?

Im April 2021 haben Unbekannte eine Funktion zur Freunde-Suche in dem sozialen Netzwerk ausgenutzt und Daten von rund 533 Millionen Nutzern und Nutzerinnen aus 106 Ländern abgegriffen und öffentlich im Internet verbreitet. Laut BGH haben sie sich den Umstand zunutze gemacht, dass Facebook es damals ermöglichte, dass die jeweiligen Profile mit Hilfe der eigentlich nicht offen sichtbaren Telefonnummern gefunden werden konnten, abhängig von den Suchbarkeits-Einstellungen der User. Dadurch wurden beispielsweise Nutzer-ID, Vor- und Nachname, Land und Geschlecht mit der jeweiligen Telefonnummer verknüpft.

Worum geht es in dem Verfahren am BGH?

Zig Kläger und Klägerinnen kritisieren, die Sicherheitsmaßnahmen seien zu lasch gewesen. Wegen des erlittenen Ärgers und des Kontrollverlusts über die Daten wollen sie Ersatz auch für sogenannte immaterielle Schäden. Der Facebook-Mutterkonzern Meta lehnt solche Ansprüche ab, weil weder ein Verstoß gegen die Datenschutz-Grundverordnung vorliege noch den Kläger ein Schaden entstanden sei, der sich unmittelbar aus dem Vorfall ergebe. «Wir sind der festen Überzeugung, dass die Scraping-Klagen unbegründet sind.» 

Der sechste Zivilsenat will anhand eines Falls aus Nordrhein-Westfalen unter anderem klären, ob die Standardvoreinstellung auf «alle» bei der sogenannten Kontakt-Import-Funktion doch gegen die Datenschutz-Grundverordnung verstößt, ob der bloße Verlust der Kontrolle über die gescrapten Daten einen immateriellen Schaden begründet, wie dieser Schaden zu bemessen wäre und wie eine Schadensersatzklage begründet sein müsste. (Az. VI ZR 10/24)

Warum ist der Fall juristisch von großer Bedeutung?

Laut Bundesrechtsanwaltskammer sind viele Klagen zu diesem Thema vor deutschen Land- und Oberlandesgerichten anhängig. Auch der BGH hat mehrere Revisionen zur Entscheidung vorliegen. Die Instanzgerichte haben die Rechtsfragen bisher unterschiedlich beantwortet und die Rechtsprechung des Europäischen Gerichtshofs (EuGH) unterschiedlich interpretiert. Freshfields Bruckhaus Deringer, die Meta vertritt, gibt an, dass sie mehr als 6.000 erst- und zweitinstanzliche klageabweisende Urteile erwirkt hat, was einer Erfolgsquote von über 85 Prozent entspricht.

Der BGH hat das laufende Verfahren als Leitentscheidungsverfahren festgelegt. Dies ist das erste seiner Art, da diese Option erst seit Ende Oktober besteht. Diese Vorgehensweise ermöglicht es dem höchsten deutschen Zivilgericht, in jedem Fall Leitentscheidungen zu rechtlichen Fragen zu treffen – auch wenn Revisionen aus prozesstaktischen Gründen oder aufgrund eines Vergleichs zurückgezogen werden, wie bereits im Scraping-Komplex geschehen.

Die anderen ähnlichen Verfahren können bis zu einer höchstrichterlichen Klärung ausgesetzt werden. Sobald diese erfolgt ist, können die Instanzgerichte schnell über ihre Fälle entscheiden.

Wann ist mit einem Urteil zu rechnen?

Es wäre theoretisch möglich, dass der Senat am Montag noch ein Urteil fällt. Aufgrund der Komplexität ist dies jedoch eher unwahrscheinlich. Die Bundesrechtsanwaltskammer schließt auch nicht aus, dass der BGH den EuGH um Rat fragt.

Die Meta-Anwälte warnen: «Selbst wenn der Bundesgerichtshof in einigen Fällen immateriellen Schadenersatz für möglich halten sollte, dürften die Prozesskosten der Kläger den Betrag eines etwaigen Schadenersatzes immer noch weit übersteigen.» 

Was unternimmt Facebook gegen Scraping?

«Da Scraper den normalen menschlichen Umgang mit unseren Produkten imitieren, werden wir nie in der Lage sein, jegliches Scraping vollständig zu unterbinden, ohne gleichzeitig die Möglichkeiten der Menschen zu beeinträchtigen, unsere Apps und Websites wie gewünscht zu nutzen», hatte Meta schon 2021 mitgeteilt. Ein Team unter anderem aus Daten- und Analyse-Fachleuten sowie Entwicklern soll das unerlaubte Auslesen erkennen und blockieren. Um den Vorgang technisch zu erschweren, arbeiten sie den Angaben nach unter anderem mit Übertragungslimits, die die Häufigkeit von Interaktionen regeln. Datenlimits sollen verhindern, dass jemand mehr Daten bezieht, als zur normalen Nutzung der Produkte nötig. Und wenn sich bestimmte Muster herauskristallisieren, würden Anfragen blockiert.

Wie kann ich meine Daten schützen?

Die Verbraucherzentrale rät zu Datensparsamkeit. «Wer sich bei Online-Diensten anmeldet, sollte wenn möglich nicht alle abgefragten Daten preisgeben.» Mit dem Geburtsdatum etwa lasse sich leicht die Identität stehlen. «Überlegen Sie also bei jeder Veröffentlichung, ob Sie die Info auch laut durch einen Bus rufen würden.» Ferner sollte man regelmäßig überprüfen, welche persönlichen Daten veröffentlicht sind. Wer sein Nutzerkonto nicht mehr gebraucht, sollte es löschen – das verringere das Risiko eines Datenmissbrauchs. Wichtig dabei: «Es reicht nicht, die App zu deinstallieren. Zunächst muss das Nutzerkonto gelöscht werden!»

Facebook konkret empfiehlt, die Einstellungen im «Privatsphäre-Check» zu prüfen. Im Bereich «So kann man dich finden und kontaktieren» in den Einstellungen könnten User und Userinnen festlegen, wer sie anhand von E-Mail-Adresse und Telefonnummer finden kann. Zudem könnten sie unter anderem bearbeiten, wer grundlegende Infos im Profil sehen kann.