Facebook-Leitentscheidung: Schadenersatz für Kontrollverlust

Neue Grundsätze für immateriellen Schadenersatz nach Datenleck: Einfacher und teurer als man denkt.

WBS.Legal gehören zu den wenigen Kanzleien, die in Deutschland große Massenverfahren im Datenschutz betreiben und hat das erste „Leitentscheidungsverfahren“ vor dem BGH nach § 552b ZPO geführt. Wenn Sie durch einen Trojaner oder Hackerangriff Kundendaten verlieren, hat sich Ihr Prozessrisiko aufgrund des Datenlecks nun deutlich erhöht.

Das Urteil BGH, 18.11.2024 - VI ZR 10/24 ist leider noch nicht veröffentlicht, deshalb lesen viele aus der Pressemeldung raus, für Datenlecks ohne direkten Schaden, also für den reinen Kontrollverlust allein nach Art. 82 DSGVO gäbe es künftig „nur“ 100 Euro Schadenersatz je Nutzer. Das ist leider zu kurz gedacht. Rund 2000 Euro je Betroffenen einschließlich Verfahrenskosten nur für die erste Instanz sind leider nur sehr wahrscheinlich, wenn man verklagt wird.

Zum einen ist das laut BGH nur ungefähr die Mindestsumme, zum anderen kann es (und wird es sehr wahrscheinlich) Zusatzfaktoren geben, die den Schadenersatz weiter erhöhen. Viel wichtiger aber ist, dass der BGH die teilweise hohen Anforderungen einzelner Oberlandesgerichte an eine Schadenersatzklage sehr vereinfacht hat. Dadurch ist zu erwarten, dass künftig schneller und mehr geklagt wird.

Der BGH und EuGH haben zuvor klar gemacht, dass diese Mindestsumme durch Zusatzkriterien deutlich erhöht werden kann: Der Schadenersatz soll analog einer Körperverletzung ausgeglichen werden, das heißt, seelische Zusatzfaktoren, wie etwa Ängste und Befürchtungen vor einem tatsächlichen Missbrauch, können die Forderung erhöhen. Wer aufgrund des Datenlecks seine Nummer wechseln muss, könnte dafür Folgekosten in drei- oder vierstelliger Höhe verlangen.

Zusätzlich ergibt sich aus solch einem Datenleck ein Anspruch auf zukünftige Unterlassung der Nutzung des verlorenen Datums sowie auf Feststellung, dass Folgeschäden ebenfalls ausgeglichen werden müssen. Diese Zusatzansprüche sind deshalb teuer, weil sie die Prozesskosten in die Höhe treiben. Selbst, wenn am Ende nur 100 Euro Schadenersatz gezahlt werden müssen, können leicht zusätzlich schon 1000 € Prozesskosten entstehen, bei höherem Schadenersatz schnell mehr.

Fazit

1. Bringen Sie Ihre Informationssicherheit und Ihren Datenschutz auf einen guten Stand, um Datenlecks zu vermeiden.
2. Bringen Sie insbesondere Ihre Notfallpläne auf den aktuellen Stand damit Sie schnell reagieren können und den Betroffenen vielleicht ein Angebot machen können, das Großkanzleien von Massenklagen abhält und so den Schaden verringert.

Wir beraten Sie gerne.

Zum Thema Facebook und Schadenersatz

• bbg: Hochs und Tiefs bei Facebook & Co.

• bbg: Haftung im Datenschutz

• bbg: Speichern Ihre Mitarbeiter Passwörter sicher?

• WBS.Legal: BGH-Urteil zum Facebook-Datenleck: Facebook-Nutzer erhalten Schadensersatz!

• BGH: Presse : Pressemitteilungen aus dem Jahr 2024 - Bundesgerichtshof entscheidet über Ansprüche im Zusammenhang mit einem Datenschutzvorfall beim sozialen Netzwerk Facebook (sog. Scraping)

Autor: Thomas Hofmann, Data Privacy Consultant, 26.11.2024