BGH-Urteil: Anspruch auf Schadensersatz bei Datenverlust bestätigt
Der Bundesgerichtshof (BGH) hat klargestellt, dass Betroffene eines Datenlecks bereits aufgrund des Kontrollverlusts über ihre personenbezogenen Daten einen immateriellen Schadensersatz beanspruchen können. Dieses Grundsatzurteil stärkt die Rechte von Nutzern und setzt neue Maßstäbe für den Umgang mit Datenschutzverletzungen. Demnach genügt es, wenn Personen nachweisen können, dass ihre Daten durch einen Vorfall kompromittiert wurden, ohne dass zusätzliche negative Folgen wie Missbrauch oder emotionale Belastungen nachgewiesen werden müssen.
Datenleck bei Facebook: Ein weitreichender Vorfall
Im April 2021 wurden persönliche Informationen von rund 533 Millionen Facebook-Nutzern aus über 100 Ländern öffentlich zugänglich gemacht. Die Angreifer nutzten eine Sicherheitslücke aus, bei der Telefonnummern mit Nutzerprofilen verknüpft und anschließend veröffentlicht wurden. Dieses sogenannte „Scraping“ ermöglichte es, Daten in großem Umfang abzugreifen und online zu verbreiten. Die Konsequenzen aus diesem Vorfall beschäftigten die Gerichte und führten letztlich zur aktuellen Entscheidung des BGH (Az. VI ZR 10/24 vom 18.10.2024).
Entscheidung mit Signalwirkung
Der BGH urteilte, dass der Kontrollverlust über personenbezogene Daten für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO ausreichend ist. Das Gericht stellte zudem fest, dass die Einstellungen des sozialen Netzwerks, die eine solche Abfrage ermöglichten, möglicherweise gegen den Grundsatz der Datenminimierung verstoßen. Für die Betroffenen bedeute dies, dass sie nicht den konkreten Missbrauch ihrer Daten nachweisen müssen. Als angemessener Schadensersatz bei reinem Kontrollverlust wurde ein Betrag von etwa 100 Euro pro Person als gerechtfertigt angesehen. Höhere Beträge seien nur bei nachweislich größeren Schäden zu erwarten.
Technische und organisatorische Maßnahmen als Schlüssel
Unternehmen sind aufgefordert, geeignete technische und organisatorische Maßnahmen (TOMs) umzusetzen, um derartige Vorfälle zu verhindern. Art. 32 Abs. 1 lit. d) DSGVO verlangt unter anderem regelmäßige Überprüfungen und Bewertungen der Wirksamkeit der Schutzmaßnahmen. Ein hohes Schutzniveau, basierend auf dem aktuellen Stand der Technik, ist essenziell, um Datenschutzrisiken wie unbefugten Zugriff oder Datenverluste zu minimieren. Transparente und nachvollziehbare Dokumentationen der Sicherheitsmaßnahmen können zudem helfen, die Haftung im Schadensfall zu reduzieren.
Vorsorge als Schutz vor Klagewellen
Das Urteil verdeutlicht, dass Unternehmen mit großen Nutzergruppen in Zukunft häufiger mit Massenklagen konfrontiert werden könnten. Selbst Schadensersatzsummen von „nur“ 100 Euro pro Person können bei Tausenden Betroffenen erhebliche finanzielle Folgen haben. Eine robuste Datenschutz-Compliance ist daher unerlässlich, um Risiken frühzeitig zu erkennen und zu bewältigen. Datenschutzbeauftragte und Informationssicherheitsbeauftragte spielen hierbei eine entscheidende Rolle und unterstützen Unternehmen dabei, Datenschutzverletzungen zu vermeiden und die Haftung zu minimieren.
Dieses Urteil des BGH markiert einen Meilenstein im europäischen Datenschutzrecht und setzt klare Anforderungen an den Umgang mit personenbezogenen Daten – für Unternehmen und Nutzer gleichermaßen.
Bildrechte: kostenloses Bild von Pixabay: Facebook Soziales Netzwerk - Kostenloses Bild auf Pixabay
Inhaltslizenz: Zusammenfassung der Inhaltslizenz