Der Bundesgerichtshof (BGH) knöpft sich einen gravierenden Datenschutzvorfall beim sozialen Netzwerk Facebook vor und will für viele vergleichbare Fälle klären, ob Nutzer und Nutzerinnen bei einem Datenleck Anspruch auf Schadenersatz haben. Diebe hatten vor Jahren Daten von Hunderten Millionen Facebook-Konten gestohlen. Der Fall des sogenannten Scrapings sorgte weltweit für Aufsehen. Nach der mündlichen Verhandlung können viele Betroffene in Deutschland auf ein Urteil zu ihren Gunsten hoffen.
Was ist Scraping?
Scraping heißt auf Deutsch so viel wie Schürfen und bedeutet, dass Daten etwa von Internetseiten systematisch gesammelt und gespeichert werden. Ein Beispiel für eine autorisierte und legitime Nutzung ist etwa die Arbeit von Suchmaschinen. Wenn allerdings automatisierte Prozesse genutzt werden, um Daten auf Facebook ohne Zustimmung des Konzerns auszulesen, stellt das einen Verstoß gegen die Nutzungsbedingungen dar.
Was war passiert?
Unbekannte hatten eine Funktion zur Freunde-Suche in dem sozialen Netzwerk ausgenutzt, Daten von rund 533 Millionen Nutzern und Nutzerinnen aus 106 Ländern abgegriffen und im April 2021 öffentlich im Internet verbreitet. Sie hatten sich laut BGH den Umstand zunutze gemacht, dass Facebook es damals in Abhängigkeit von Suchbarkeits-Einstellungen der User ermöglichte, dass die jeweiligen Profile mit Hilfe der eigentlich nicht offen sichtbaren Telefonnummern gefunden werden konnten. Die Diebe arbeiteten mit willkürlich generierten Telefonnummern und landeten so Treffen. Auf diese Weise wurden zum Beispiel Nutzer-ID, Vor- und Nachname, Land und Geschlecht mit der jeweiligen Telefonnummer verknüpft.
Worum geht es in dem Verfahren am BGH?
Zig Kläger und Klägerinnen kritisieren, die Sicherheitsmaßnahmen seien zu lasch gewesen. Wegen des erlittenen Ärgers und des Kontrollverlusts über die Daten wollen sie Ersatz auch für sogenannte immaterielle Schäden. Der Facebook-Mutterkonzern Meta lehnt solche Ansprüche ab, weil weder ein Verstoß gegen die Datenschutz-Grundverordnung vorliege, noch den Klägern ein Schaden entstanden sei, der sich unmittelbar aus dem Vorfall ergebe. «Wir sind der festen Überzeugung, dass die Scraping-Klagen unbegründet sind.»
Der sechste Zivilsenat will anhand eines Falls aus Nordrhein-Westfalen unter anderem klären, ob die Standardvoreinstellung auf «alle» bei der sogenannten Kontakt-Import-Funktion doch gegen die Datenschutz-Grundverordnung verstößt, ob der bloße Verlust der Kontrolle über die gescrapten Daten einen immateriellen Schaden begründet, wie dieser Schaden zu bemessen wäre und wie eine Schadensersatzklage begründet sein müsste. (Az. VI ZR 10/24)
Wie bewertet der Senat den Fall?
In einer vorläufigen Einschätzung sagte der Vorsitzende Richter Stephan Seiters, dass schon der Verlust der Kontrolle über die eigenen Daten ausreichen könnte, um Ansprüche geltend machen zu können. Zwar müsse ein solcher Verlust nachgewiesen werden, nicht aber zum Beispiel etwaige besondere Befürchtungen oder Ängste. Der Senat neige daher dazu, die Sache anders zu bewerten als das Oberlandesgericht Köln, das die Klage abgewiesen hatte.
Ist das schon das Urteil?
Nein. Dieses will der Senat erst später verkünden. Vorher beraten die Richter und Richterinnen noch über die Argumente, die beide Seiten in der Verhandlung vorgetragen haben.
Insbesondere der BGH-Anwalt von Meta versuchte, seine Sicht darzulegen. Er bezweifelte, dass schon der reine Kontrollverlust über Daten für Schadenersatzansprüche reiche. Der Kläger habe nicht mal seine Telefonnummer geändert, betonte er. «Wenn er richtige Befürchtungen gehabt hätte, wäre es natürlich naheliegend gewesen, das zu tun.»
Warum ist der Fall juristisch von großer Bedeutung?
Nach Auskunft der Bundesrechtsanwaltskammer sind Tausende Klagen zu dem Thema vor den deutschen Land- und Oberlandesgerichten anhängig. Auch dem BGH liegen mehrere Revisionen zur Entscheidung vor. Die Instanzgerichte hätten die Rechtsfragen bislang sehr unterschiedlich beantwortet und die zugrundeliegende Rechtsprechung des Europäischen Gerichtshofs (EuGH) unterschiedlich interpretiert. Nach Angaben der Kanzlei Freshfields Bruckhaus Deringer, die Meta vertritt, hat sie mehr als 6.000 erst- und zweitinstanzliche klageabweisende Urteile erwirkt, was einer Erfolgsquote von über 85 Prozent entspreche.
Der BGH hat das aktuelle Verfahren zu einem Leitentscheidungsverfahren bestimmt. Es ist das erste seiner Art, denn diese Möglichkeit gibt es erst seit Ende Oktober. Das Prozedere ermöglicht dem obersten deutschen Zivilgericht, in jedem Fall Leitentscheidungen zu den Rechtsfragen zu treffen - auch wenn Revisionen aus prozesstaktischen Gründen oder wegen eines Vergleichs zurückgenommen werden, wie im Scraping-Komplex schon geschehen.
Bis zu einer höchstrichterlichen Klärung können die anderen ähnlichen Verfahren ausgesetzt werden. Liegt diese vor, können die Instanzgerichte ihre Fälle zügig entscheiden.
Was unternimmt Facebook gegen Scraping?
«Da Scraper den normalen menschlichen Umgang mit unseren Produkten imitieren, werden wir nie in der Lage sein, jegliches Scraping vollständig zu unterbinden, ohne gleichzeitig die Möglichkeiten der Menschen zu beeinträchtigen, unsere Apps und Websites wie gewünscht zu nutzen», hatte Meta schon 2021 mitgeteilt. Ein Team unter anderem aus Daten- und Analyse-Fachleuten sowie Entwicklern soll das unerlaubte Auslesen erkennen und blockieren. Um den Vorgang technisch zu erschweren, arbeiten sie den Angaben nach unter anderem mit Übertragungslimits, die die Häufigkeit von Interaktionen regeln. Datenlimits sollen verhindern, dass jemand mehr Daten bezieht, als zur normalen Nutzung der Produkte nötig. Und wenn sich bestimmte Muster herauskristallisieren, würden Anfragen blockiert.
Wie kann ich meine Daten schützen?
Die Verbraucherzentrale rät zu Datensparsamkeit. «Wer sich bei Online-Diensten anmeldet, sollte wenn möglich nicht alle abgefragten Daten preisgeben.» Mit dem Geburtsdatum etwa lasse sich leicht die Identität stehlen. «Überlegen Sie also bei jeder Veröffentlichung, ob Sie die Info auch laut durch einen Bus rufen würden.» Ferner sollte man regelmäßig überprüfen, welche persönlichen Daten veröffentlicht sind. Wer sein Nutzerkonto nicht mehr gebraucht, sollte es löschen - das verringere das Risiko eines Datenmissbrauchs. Wichtig dabei: «Es reicht nicht, die App zu deinstallieren. Zunächst muss das Nutzerkonto gelöscht werden!»
Facebook konkret empfiehlt, die Einstellungen im «Privatsphäre-Check» zu prüfen. Im Bereich «So kann man dich finden und kontaktieren» in den Einstellungen könnten User und Userinnen festlegen, wer sie anhand von E-Mail-Adresse und Telefonnummer finden kann. Zudem könnten sie unter anderem bearbeiten, wer grundlegende Infos im Profil sehen kann.
Um kommentieren zu können, müssen Sie angemeldet sein.
Registrieren sie sichSie haben ein Konto? Hier anmelden