Deezer, Ticketmaster, Facebook – die Liste von Unternehmen, bei denen in den vergangenen Jahren plötzlich Kundendaten publik wurden oder in die falschen Hände gelangen, ist lang. Manchmal steckte wie bei Deezer oder Ticketmaster ein Hackerangriff dahinter. Manchmal gab es aber auch einfach Schwachstellen im Datenschutz.

Viele Kanzleien und Legal-Tech-Anbieter haben Schadensersatz-Klagen bei solchen Datenlecks als Geschäftsmodell für sich entdeckt. Im Internet versprechen sie Geschädigten bis zu 1.000 Euro, wenn Betroffene mit ihnen klagen. Bislang waren diese Klagen aber eine Art rechtliche Wundertüte: Obwohl die Datenschutz-Grundverordnung (DSGVO) ein Recht auf Entschädigung vorsieht, waren die Gerichte sich bislang ziemlich uneins, ob und wie viel Geld Betroffene in so einem Fall wirklich zusteht.

Am Montag (18. November 2024) hat der Bundesgerichtshof (BGH) jetzt als höchstes deutsches Zivilgericht eine Grundsatzfrage geklärt: Schon der Verlust über die Kontrolle der eigenen Daten muss demnach entschädigt werden.

In dem Fall, der jetzt vor dem BGH gelandet ist, wirft der Kläger aus dem Rheinland dem Facebook-Mutterkonzern Meta vor, seine Daten nicht ausreichend geschützt zu haben. Nach einem Datenleck sei er regelmäßig von Betrügern per Mail, SMS und Anrufen kontaktiert worden (Az. VI ZR 10/24). In Deutschland klagen zehntausende Facebook-Nutzer in ähnlichen Fällen gegen Meta.

Hintergrund ist ein Datenschutzvorfall, der im Jahr 2021 bekannt wurde. Unbekannte hatten eine Funktion zur Freundesuche in dem sozialen Netzwerk ausgenutzt, um an sensible Informationen von 533 Millionen Nutzern weltweit zu gelangen. Die Daten wurden per “Scraping” ausgelesen und anschließend in Internetforen veröffentlicht. In Deutschland waren rund sechs Millionen Menschen vom Facebook-Scraping betroffen.

Obwohl Meta wegen des Datenlecks schon ein empfindliches Bußgeld zahlen musste, redet der Facebook-Konzern den Vorfall bis heute klein, schließlich seien keine Facebook-Systeme gehackt worden, ein Datendiebstahl habe nicht stattgefunden.

Der BGH spricht den Betroffenen des Scraping-Vorfalls nun grundsätzlich Anspruch auf Entschädigung zu. Der Schadensersatz ergibt sich laut den Richtern schon allein aus der Tatsache, dass der Kläger die Kontrolle über die eigenen Daten verloren hat. Wer also von dem Datenleck betroffen ist, muss auch entschädigt werden.

Viele Gerichte hatten das bislang anders gesehen. Betroffene mussten dann nachweisen, dass Daten tatsächlich von Betrüger:innen missbraucht wurden oder Belege dafür liefern, dass sie in besonderer Weise beeinträchtigt waren, etwa durch Spam-Mails. Doch das ist laut dem BGH nicht nötig, um den sogenannten “immateriellen Schaden” zu begründen.

Das Besondere an der BGH-Entscheidung: Es handelt sich um ein sogenanntes Leitverfahren – sogar das erste seiner Art. Die rechtliche Regelung wurde erst im Oktober geschaffen, um die Gerichte in Massenverfahren zu entlasten. Der BGH darf sich auf dieser Grundlage mit Rechtsfragen beschäftigen, die für viele weitere Klagen entscheidend sind – und zwar auch dann, wenn Revisionen aus prozesstaktischen Gründen oder wegen eines Vergleichs zurückgenommen werden. Genau das war im Facebook-Scraping-Komplex geschehen. Anfang Oktober musste ein Entscheidungstermin beim BGH abgesagt werden, weil sich Meta offenbar kurz zuvor mit den Klägern geeinigt hatte.

Auch zur Höhe des Schadensersatzes hat sich der BGH geäußert: Die Richter halten eine Summe von rund 100 Euro für den bloßen Kontrollverlust für angemessen.

Das wirft jetzt die Frage auf, ob sich eine Datenschutzklage überhaupt lohnt – schließlich fallen für die Betroffenen in solchen Prozessen auch hohe Gerichtskosten von mehreren tausend Euro an. „In etlichen unserer Fälle haben die Betroffenen zahlreiche Spam-SMS erhalten und zudem die Sorge, dass mit den abhandengekommenen Daten Schindluder getrieben wird”, sagt Rechtsanwalt Christian Solmecke, der den Kläger aus Köln vertritt.

In solchen Fällen könnten also doch höhere Schadensersatzsummen möglich sein. In seiner Urteilsbegründung betont der BGH, dass zusätzliche Aspekte den Schadenersatzanspruch erhöhen können, etwa wenn Geschädigte “psychische Beeinträchtigungen” vorweisen können oder durch den Datenverlust Kosten entstanden sind. „Wo wir im Einzelfall beim Schadenersatzanspruch landen, ist letztlich Sache der Instanzgerichte”, sagt Solmecke. Seine Einschätzung: Die Summen könnten im Schnitt eher bei 300 bis 500 Euro liegen.

Wer im Facebook-Fall noch Schadensersatz bekommen will, muss jetzt schnell sein: Ende des Jahres läuft für die meisten Betroffenen die Verjährungsfrist ab.

Der günstigste Weg, um dein Recht einzufordern: Du kannst es auf eigene Faust versuchen, die Stiftung Warentest stellt dazu einen Mustertext bereit. Um beweisen zu können, dass die Forderung auch wirklich bei Meta angekommen ist, solltest du allerdings lieber keine Mail schicken, sondern die 7,60 Euro für einen Brief per Einschreiben mit Rückschein investieren. Das Schreiben schickst du an Meta Platforms Ireland Limited.

Wer einen Anwalt einschalten will, hat nach dem BGH-Urteil auch bessere Argumente, seine Rechtsschutzversicherung von der Übernahme der Kosten zu überzeugen. Auch eine selbstfinanzierte Klage erscheint jetzt weniger risikoreich, denn die Chancen, nicht auf den rund 4-stelligen Kosten für so einen Prozess sitzenzubleiben, sind gestiegen.

Eine weitere Möglichkeit: Die Einschaltung eines Legal-Tech-Anbieters, der das Risiko des Prozesses übernimmt, sodass den Nutzer:innen keine Kosten entstehen. Von der Schadensersatzsumme musst du im Erfolgsfall dann aber einen prozentualen Anteil an den Anbieter abgeben, meistens sind das 25 Prozent. Eine andere Variante ist, die Forderungen an einen Rechtsdienstleister zu verkaufen und sofort Geld zu bekommen – allerdings gibt es dann meistens nur 10 bis 40 Euro.

Du weißt gar nicht, ob du zu den 6 Millionen Menschen gehörst, die vom Facebook-Datenleck betroffen sind? Über die Webseite haveibeenpwned.com kannst du das leicht herausfinden: Hier kannst du deine E-Mail oder deine Telefonnummer eingeben und bekommst eine direkte Rückmeldung, ob und in welchen Datenlecks sie auftauchen. Auch beim Hasso-Plattner-Institut gibt es so einen Datenleck-Check.