Erstmals nutzt der BGH eine neu geschaffene Möglichkeit, um für Tausende Verfahren eine höchstrichterliche Klärung herbeizuführen. Es geht um Facebook – und einen massiven Datendiebstahl.
Nutzerfreundliches BGH-Urteil nach Datenraub bei Facebook?
Eine Vielzahl von Facebook-Nutzerinnen und -Nutzern, sowie zahlreiche Gerichte und Anwälte werden heute gespannt nach Karlsruhe schauen: Der Bundesgerichtshof (BGH) wird am Nachmittag (14.00 Uhr) höchstrichterlich klären, wann ein Anspruch auf Schadenersatz besteht, nachdem es zu einem schwerwiegenden Datenschutzvorfall beim sozialen Netzwerk Facebook gekommen ist.
Die obersten Zivilrichter und -richterinnen könnten die Hürden vergleichsweise niedrig ansetzen, wie sich in der Verhandlung andeutete. Nach zahlreichen Siegen in den Vorinstanzen würde dies zu einer Niederlage für Facebook führen – mit Auswirkungen nicht nur für das eine Verfahren, um das es in Karlsruhe geht.
Der Hintergrund ist ein Fall von sogenanntem Scraping: Vor Jahren hatten Diebe Daten von mehr als einer halben Milliarde Facebook-Konten gestohlen. Dies sorgte weltweit für Aufsehen.
Was ist Scraping?
„Scraping“ bedeutet, dass Daten systematisch von Internetseiten gesammelt und gespeichert werden. Suchmaschinen sind ein Beispiel für eine autorisierte und legitime Nutzung. Wenn jedoch automatisierte Prozesse genutzt werden, um Daten auf Facebook ohne Zustimmung des Unternehmens abzurufen, verstößt dies gegen die Nutzungsbedingungen.
Was war im konkreten Fall passiert?
Datendiebe haben die Funktion zur Freunde-Suche in dem sozialen Netzwerk ausgenutzt, um Angaben von rund 533 Millionen Nutzern und Nutzerinnen aus 106 Ländern abzufangen und im April 2021 öffentlich im Internet zu verbreiten. Laut BGH haben sie den Umstand ausgenutzt, dass Facebook es damals erlaubte, dass die Profile mithilfe der eigentlich nicht sichtbaren Telefonnummern gefunden werden konnten, je nach den Einstellungen der Nutzer. Die unbekannten Täter haben willkürlich generierte Telefonnummern verwendet und so Treffer erzielt. Auf diese Weise wurden Nutzer-ID, Vor- und Nachname, Land und Geschlecht mit der jeweiligen Telefonnummer verknüpft.
Was sind die juristischen Folgen?
Weil die Sicherheitsmaßnahmen aus ihrer Sicht zu lasch waren, klagten zig Betroffene. Sie fordern Schadenersatz wegen des erlittenen Ärgers und des Kontrollverlusts über ihre Daten – sogenannte immaterielle Schäden. Solche Ansprüche lehnt der Facebook-Mutterkonzern Meta ab, weil weder ein Verstoß gegen die Datenschutz-Grundverordnung vorliege, noch den Klägern ein Schaden entstanden sei, der sich unmittelbar aus dem Vorfall ergebe. «Wir sind der festen Überzeugung, dass die Scraping-Klagen unbegründet sind», hieß es.
Anhand eines Falls aus Nordrhein-Westfalen will der sechste Zivilsenat am BGH nun unter anderem klären, ob die Standardvoreinstellung auf «alle» bei der sogenannten Kontakt-Import-Funktion doch gegen die Datenschutz-Grundverordnung verstieß, ob der bloße Verlust der Kontrolle über gescrapte Daten einen immateriellen Schaden begründet, wie dieser zu bemessen wäre und wie eine Schadensersatzklage begründet sein müsste.
Warum sind die Aussichten für Betroffene gut?
In der mündlichen Verhandlung vor einer Woche hatte der Vorsitzende Richter Stephan Seiters in einer vorläufigen Einschätzung des Senats festgestellt, dass der Verlust der Kontrolle über die eigenen Daten ausreichen könnte, um Ansprüche geltend zu machen. Ein solcher Verlust müsse zwar nachgewiesen werden, nicht jedoch etwaige besondere Befürchtungen oder Ängste – und schon gar nicht konkrete Folgen wie Missbrauch der Informationen. Der Senat tendiere daher dazu, die Angelegenheit anders zu beurteilen als das Oberlandesgericht Köln, das die Klage abgewiesen hatte. (Az. VI ZR 10/24)
Warum ist der Fall juristisch von großer Bedeutung?
Laut der Bundesrechtsanwaltskammer sind viele Klagen zu diesem Thema vor deutschen Land- und Oberlandesgerichten anhängig. Auch der BGH hat mehrere Revisionen zur Entscheidung vorliegen. Die Instanzgerichte haben die Rechtsfragen bisher sehr unterschiedlich beantwortet und die Rechtsprechung des Europäischen Gerichtshofs (EuGH) unterschiedlich interpretiert. Laut Freshfields Bruckhaus Deringer, die Meta vertritt, wurden mehr als 6.000 erst- und zweitinstanzliche klageabweisende Urteile erzielt, was einer Erfolgsquote von über 85 Prozent entspricht.
Der BGH hat das gegenwärtige Verfahren als Leitentscheidungsverfahren festgelegt. Dies ist das erste seiner Art, da diese Option erst seit Ende Oktober besteht. Bis zur Klärung durch das oberste Gericht können die anderen ähnlichen Verfahren ausgesetzt werden. Nachdem dies geschehen ist, können die unteren Gerichte ihre Fälle schnell entscheiden.
Was unternimmt Facebook gegen Scraping?
«Da Scraper den normalen menschlichen Umgang mit unseren Produkten imitieren, werden wir nie in der Lage sein, jegliches Scraping vollständig zu unterbinden, ohne gleichzeitig die Möglichkeiten der Menschen zu beeinträchtigen, unsere Apps und Websites wie gewünscht zu nutzen», hatte Meta schon 2021 mitgeteilt. Ein Team unter anderem aus Daten- und Analyse-Fachleuten sowie Entwicklern soll das unerlaubte Auslesen erkennen und blockieren. Um den Vorgang technisch zu erschweren, arbeiten sie den Angaben nach unter anderem mit Übertragungslimits, die die Häufigkeit von Interaktionen regeln. Datenlimits sollen verhindern, dass jemand mehr Daten bezieht, als zur normalen Nutzung der Produkte nötig. Und wenn sich bestimmte Muster herauskristallisieren, würden Anfragen blockiert.
Wie kann ich meine Daten schützen?
Die Verbraucherzentrale rät zu Datensparsamkeit. «Wer sich bei Online-Diensten anmeldet, sollte wenn möglich nicht alle abgefragten Daten preisgeben.» Mit dem Geburtsdatum etwa lasse sich leicht die Identität stehlen. «Überlegen Sie also bei jeder Veröffentlichung, ob Sie die Info auch laut durch einen Bus rufen würden.» Ferner sollte man regelmäßig überprüfen, welche persönlichen Daten veröffentlicht sind. Wer sein Nutzerkonto nicht mehr gebraucht, sollte es löschen – das verringere das Risiko eines Datenmissbrauchs. Wichtig dabei: «Es reicht nicht, die App zu deinstallieren. Zunächst muss das Nutzerkonto gelöscht werden!»
Facebook empfiehlt, die Einstellungen im «Privatsphäre-Check» zu prüfen. Im Bereich «So kann man dich finden und kontaktieren» in den Einstellungen könnten User und Userinnen festlegen, wer sie anhand von E-Mail-Adresse und Telefonnummer finden kann. Zudem könnten sie unter anderem bearbeiten, wer grundlegende Infos im Profil sehen kann.
