Facebook-Datenleck: BGH-Urteil erklärt Schadensersatzanspruch für Betroffene

Facebook-Datenleck: BGH-Urteil öffnet Tür für Schadensersatz – Was Betroffene jetzt wissen müssen

Stellen Sie sich vor, Ihre private Handynummer, die Sie bewusst nur einem kleinen Kreis anvertraut haben, taucht plötzlich im Internet auf – verknüpft mit Ihrem Namen, Ihrem Arbeitgeber und anderen persönlichen Details von Ihrem Facebook-Profil. Genau das passierte Millionen von Menschen weltweit, als im April 2021 ein riesiger Datensatz von über 530 Millionen Facebook-Nutzern öffentlich wurde.

Dieser Vorfall, ausgelöst durch sogenanntes „Scraping“, löste nicht nur Besorgnis aus, sondern auch eine Welle von Klagen in Deutschland. Betroffene fühlten sich in ihrer Privatsphäre verletzt, ärgerten sich über den Kontrollverlust und fürchteten Missbrauch ihrer Daten. Doch lange war unklar: Reicht dieser Ärger, dieser Verlust der Kontrolle über die eigenen Daten, schon aus, um Schadensersatz zu fordern?

Ein wegweisendes Urteil des Bundesgerichtshofs (BGH) vom 18. November 2024 (Az. VI ZR 10/24) hat nun für mehr Klarheit gesorgt und die Rechte von Betroffenen gestärkt. Die obersten deutschen Zivilrichter entschieden: Ja, allein der Verlust der Kontrolle über personenbezogene Daten kann einen Anspruch auf immateriellen Schadensersatz nach der Datenschutz-Grundverordnung (DSGVO) begründen. Ein konkreter Missbrauch oder spürbare negative Folgen sind dafür nicht zwingend erforderlich. Dieses Urteil ist ein Paukenschlag mit weitreichenden Folgen – für Betroffene, aber auch für Unternehmen wie Meta (den Facebook-Mutterkonzern) und andere Datenverarbeiter.

Doch was bedeutet das konkret? Wie kam es zu dem Datenleck? Und was können Betroffene wie „Frau S.“, eine fiktive Nutzerin, deren Daten ebenfalls im Netz landeten, nun tun? Dieser Artikel beleuchtet das Urteil, erklärt die Hintergründe und gibt praktische Hinweise.

Was ist „Scraping“ und wie kam es zum Facebook-Datenleck?

Der Begriff „Scraping“ (englisch für „kratzen“ oder „schürfen“) bezeichnet im IT-Kontext das automatisierte Auslesen von Daten von Webseiten. Kriminelle oder Datensammler nutzen dabei oft spezielle Software (sogenannte Bots), um große Mengen an Informationen systematisch zu extrahieren.

Im Fall von Facebook nutzten unbekannte Täter zwischen 2018 und 2019 eine Kombination von Funktionen aus, um an die Daten zu gelangen. Sie machten sich insbesondere die Kontakt-Import-Funktion zunutze. Über diese Funktion können Nutzer eigentlich ihre Telefonbuchkontakte hochladen, um Freunde auf Facebook zu finden. Die Täter fütterten diese Funktion jedoch massenhaft mit zufällig generierten Telefonnummern. Wenn eine Nummer einem existierenden Facebook-Konto zugeordnet war, erhielten sie eine Rückmeldung.

Der zweite entscheidende Punkt war die Standardeinstellung für die Suchbarkeit von Profilen anhand der Telefonnummer. Viele Nutzer, so auch der Kläger im BGH-Fall, hatten ihre Handynummer zwar in den Profileinstellungen auf „nur ich“ gestellt, also als nicht öffentlich sichtbar markiert. Gleichzeitig war aber die Einstellung „Wer kann dich mithilfe der von dir angegebenen Telefonnummer finden?“ oft auf der von Facebook voreingestellten Option „Alle“ belassen worden. Das bedeutete: Obwohl die Nummer nicht im Profil stand, konnte jeder, der die Nummer kannte (oder erraten hatte, wie die Scraper), das zugehörige Profil finden.

Die Scraper kombinierten diese beiden Schwachstellen: Sie identifizierten über den Kontaktabgleich, welche Nummern zu welchen Konten gehören, und riefen dann die öffentlich sichtbaren Informationen dieser Konten ab (Name, Geschlecht, Nutzer-ID, Arbeitsort etc.). So entstand ein riesiger Datensatz, der private Telefonnummern mit öffentlich zugänglichen Profildaten verknüpfte – eine Kombination, die viele Nutzer so niemals gewollt oder erwartet hatten. Im April 2021 wurde dieser Datensatz dann frei im Internet veröffentlicht, zugänglich für jedermann.

Die juristische Odyssee: Vom Kontrollverlust zum Schadensersatzanspruch

Nach Bekanntwerden des Datenlecks fühlten sich viele Betroffene, wie unsere fiktive Frau S., verunsichert und verärgert. Ihre private Nummer war nun potenziell in den Händen von Spammern, Betrügern oder Schlimmerem. Sie hatte die Kontrolle darüber verloren, wer ihre Nummer kennt und nutzt. Gestützt auf die seit 2018 geltende Datenschutz-Grundverordnung (DSGVO), insbesondere deren Artikel 82, zogen viele vor Gericht und forderten von Meta Schadensersatz für diesen immateriellen Schaden.

Art. 82 DSGVO sieht vor, dass jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen hat. Doch was genau ist ein immaterieller Schaden im Sinne der DSGVO? Reicht der bloße Ärger, die Sorge oder eben der Kontrollverlust?

Hier gingen die Meinungen der deutschen Gerichte zunächst weit auseinander. Einige Landgerichte (wie das LG Bonn im konkreten Fall VI ZR 10/24) sprachen Klägern geringe Beträge (z. B. 250 Euro) zu und erkannten den Kontrollverlust als Schaden an. Viele andere Gerichte, darunter auch Oberlandesgerichte wie das OLG Köln im selben Fall, wiesen die Klagen jedoch ab. Ihre Begründung: Der bloße Kontrollverlust oder allgemeiner Ärger sei nicht ausreichend. Kläger müssten schon konkrete, spürbare Nachteile nachweisen, etwa erhebliche Angstzustände, nachweisbare Belästigungen durch Spam oder gar Identitätsdiebstahl. Pauschale Behauptungen oder die Verwendung von Textbausteinen in Klageschriften reichten dafür nicht aus.

Diese Unsicherheit wurde auch durch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) nicht vollständig beseitigt. Zwar stellte der EuGH (z. B. im Fall „Österreichische Post“, C-300/21) klar, dass nicht jeder DSGVO-Verstoß automatisch Schadensersatz auslöst und ein tatsächlicher Schaden vorliegen muss. Er betonte aber auch den weiten Schadensbegriff der DSGVO und ließ offen, ob negative Gefühle oder der Kontrollverlust allein schon ausreichen können.

Das BGH-Urteil VI ZR 10/24: Ein wegweisendes Signal

Angesichts tausender ähnlicher Klagen und der widersprüchlichen Urteile der Vorinstanzen wurde das Verfahren VI ZR 10/24 vor dem BGH mit Spannung erwartet. Der BGH hatte es sogar zum ersten sogenannten Leitentscheidungsverfahren nach § 552b ZPO bestimmt – ein Instrument, das eine höchstrichterliche Klärung auch dann ermöglichen soll, wenn Kläger aus taktischen Gründen ihre Revision zurückziehen. Obwohl im konkreten Fall die Revision nicht zurückgenommen wurde und der BGH „normal“ urteilte, hat die Entscheidung Signalwirkung für unzählige andere Fälle.

Die Kernbotschaft des BGH ist eindeutig und für Betroffene positiv: Der durch einen DSGVO-Verstoß verursachte Verlust der Kontrolle über personenbezogene Daten stellt für sich genommen einen ersatzfähigen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO dar.

Die Begründung der Karlsruher Richter stützt sich maßgeblich auf die Auslegung der DSGVO durch den EuGH. Sie argumentieren:

1. Weiter Schadensbegriff: Der Begriff des immateriellen Schadens in Art. 82 DSGVO ist weit zu verstehen und umfasst auch Nachteile, die keinen wirtschaftlichen Wert haben.
2. Schutz der Kontrolle: Die DSGVO soll gerade das Recht auf informationelle Selbstbestimmung und die Kontrolle über die eigenen Daten schützen. Ein unfreiwilliger Kontrollverlust durch einen Datenschutzverstoß beeinträchtigt dieses Recht direkt und stellt daher einen Nachteil dar.
3. Keine zusätzlichen Hürden: Es ist nicht erforderlich, dass Betroffene über den Kontrollverlust hinaus noch weitere negative Folgen wie psychische Beeinträchtigungen oder konkreten Missbrauch nachweisen. Der Kontrollverlust ist der Schaden.

Damit erteilte der BGH der strengen Sichtweise des OLG Köln und anderer Gerichte, die zusätzliche spürbare Nachteile forderten, eine klare Absage. Die Tür für Schadensersatzansprüche wegen Datenlecks steht nun deutlich weiter offen.

Die 100-Euro-Frage: Wie hoch ist der Schadensersatz?

Wenn der Kontrollverlust also einen Schaden darstellt, wie viel Geld können Betroffene wie Frau S. nun erwarten? Viele Kläger hatten in ihren Klagen Beträge von 1.000 Euro oder mehr gefordert. Der BGH dämpfte hier jedoch die Erwartungen.

Die Richter betonten, dass die Höhe des Schadensersatzes nach § 287 der Zivilprozessordnung (ZPO) vom Gericht im Einzelfall geschätzt werden muss. Dabei sind Kriterien wie die Art und Sensibilität der Daten, die Schwere und Dauer des Kontrollverlusts sowie die Folgen für den Betroffenen zu berücksichtigen. Wichtig ist auch: Art. 82 DSGVO dient dem Ausgleich des erlittenen Schadens, nicht der Bestrafung des Unternehmens (kein „Strafschadensersatz“).

Für den konkreten Fall des Facebook-Scrapings, bei dem es primär um die Verknüpfung der Telefonnummer mit ohnehin teilweise öffentlichen Profildaten ging, gab der BGH eine klare Orientierung: Ein Schadensersatz in der Größenordnung von 100 Euro sei für den reinen Kontrollverlust als angemessener Ausgleich rechtlich nicht zu beanstanden. Gleichzeitig deuteten die Richter an, dass Beträge im einstelligen Bereich wohl zu niedrig wären.

Diese 100-Euro-Marke ist ein wichtiger Richtwert. Sie signalisiert: Ja, der Kontrollverlust wird entschädigt, aber ohne weitere nachgewiesene Nachteile bewegt sich der Betrag eher im unteren Bereich. Das dürfte zwar die Hoffnungen mancher Kläger auf hohe Summen enttäuschen, schafft aber eine gewisse Kalkulierbarkeit für Massenverfahren und verhindert möglicherweise, dass die Gerichte mit überzogenen Forderungen überflutet werden. Es bleibt jedoch abzuwarten, wie die Gerichte in Zukunft Fälle bewerten, in denen z. B. sensiblere Daten betroffen sind oder nachweislich schwerwiegende Folgen eingetreten sind.

Was Kläger jetzt noch beweisen müssen

Auch wenn der BGH die Hürde für den Schaden an sich gesenkt hat, bedeutet das nicht, dass Betroffene automatisch Geld bekommen. Sie tragen weiterhin die Darlegungs- und Beweislast dafür, dass sie tatsächlich von dem konkreten Datenschutzverstoß betroffen sind und dadurch einen Kontrollverlust erlitten haben.

Konkret muss ein Kläger wie Frau S. dem Gericht glaubhaft machen und im Zweifel beweisen:

1. Persönliche Betroffenheit: Dass ihre Daten Teil des geleakten Datensatzes waren (z. B. durch Abfrage bei Diensten wie dem Hasso-Plattner-Institut oder durch Vorlage der Benachrichtigung von Facebook, falls erfolgt).
2. Ursprüngliche Kontrolle: Dass sie die Kontrolle über das betreffende Datum (hier die Telefonnummer in Verknüpfung mit dem Profil) ursprünglich hatte.
3. Unfreiwilliger Kontrollverlust: Dass dieser Kontrollverlust durch den DSGVO-Verstoß des Unternehmens (hier das Scraping aufgrund der Facebook-Einstellungen) verursacht wurde und gegen ihren Willen erfolgte.

Pauschale Behauptungen oder standardisierte Klageschriften reichen hier möglicherweise nicht aus, wenn das beklagte Unternehmen substantiiert bestreitet, dass ein relevanter Kontrollverlust eingetreten ist – etwa, weil die Telefonnummer ohnehin schon anderweitig öffentlich bekannt war.

Einige Gerichte, wie das OLG Hamm in jüngsten Entscheidungen nach dem BGH-Urteil, legen die Messlatte für diesen Nachweis weiterhin hoch und weisen Klagen ab, wenn Kläger nicht detailliert darlegen können, dass sie die Hoheit über ihre Daten nicht schon zuvor verloren hatten. Es bleibt also entscheidend, den individuellen Fall gut vorzubereiten und die eigene Betroffenheit konkret darzulegen.

Weitere Ansprüche: Zukunftsschäden und Unterlassung

Neben dem reinen Schadensersatz für den bereits eingetretenen Kontrollverlust können Betroffene unter Umständen weitere Ansprüche geltend machen.

Der BGH hat sich auch dazu geäußert:

• Feststellung künftiger Schäden: Der BGH entschied, dass Kläger auch feststellen lassen können, dass das Unternehmen für zukünftige Schäden haften muss, die aus dem Datenleck noch entstehen könnten (z. B. durch späteren Missbrauch der Daten für Betrugsversuche). Die Begründung: Da die Daten weiterhin öffentlich zugänglich sind, besteht eine reale Möglichkeit künftiger Nachteile. Die Hürden für einen solchen Feststellungsantrag sind bei Verletzung von Grundrechten wie dem Datenschutz eher niedrig anzusetzen.
• Unterlassungsansprüche: Kläger können auch verlangen, dass das Unternehmen bestimmte Datenverarbeitungen zukünftig unterlässt. Im BGH-Fall ging es darum, Facebook zu verbieten, die Telefonnummer weiter für die Profilsuche nutzbar zu machen, wenn der Nutzer dem nicht wirksam zugestimmt hat. Der BGH hielt diesen Antrag für zulässig und potenziell begründet. Er verwies darauf, dass die ursprüngliche Einwilligung der Nutzer möglicherweise unwirksam war, weil nicht transparent genug war, dass die Nummer trotz „privater“ Sichtbarkeitseinstellung über die Suchfunktion auffindbar blieb. Hier muss das OLG Köln nun erneut prüfen. Ein zu allgemein formulierter Antrag (z. B. „Daten vor unbefugtem Zugriff schützen“) ist laut BGH aber zu unbestimmt und damit unzulässig.
• Auskunftsanspruch: Den Anspruch auf Auskunft darüber, welche Daten genau betroffen waren, sah der BGH im konkreten Fall als erfüllt an, da Facebook den Kläger informiert hatte. Ein Anspruch auf Nennung der Identität der Scraper scheitert daran, dass dies Facebook nach eigener Aussage unmöglich ist.
• Vorgerichtliche Anwaltskosten: Der BGH bestätigte, dass Betroffene grundsätzlich auch die Kosten für einen Anwalt ersetzt verlangen können, den sie zur Geltendmachung ihrer Ansprüche beauftragt haben. Ob die Beauftragung im Einzelfall notwendig und zweckmäßig war, muss das Gericht aber prüfen.

Was lief bei Facebook schief? Der Blick auf die Unternehmensverantwortung

Das BGH-Urteil rückt auch die Verantwortung von Unternehmen wie Facebook in den Fokus. Zwar hat der BGH im konkreten Fall bisher nicht abschließend entschieden, ob Facebook tatsächlich gegen die DSGVO verstoßen hat – dies muss nun das OLG Köln klären. Der BGH gab aber deutliche Hinweise, wo mögliche Verstöße liegen könnten:

• Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO): War die Standardeinstellung „Alle“ für die Suchbarkeit per Telefonnummer ein Verstoß gegen den Grundsatz „Privacy by Default“? Hätte Facebook hier von vornherein eine restriktivere, datenschutzfreundlichere Einstellung wählen müssen? Vieles spricht dafür. Unternehmen sind verpflichtet, Systeme so zu gestalten, dass standardmäßig nur die für den Zweck unbedingt notwendigen Daten verarbeitet werden.
• Sicherheit der Verarbeitung (Art. 32 DSGVO): Hat Facebook ausreichende technische und organisatorische Maßnahmen (TOMs) ergriffen, um das massenhafte Abgreifen von Daten durch Scraping zu verhindern? Waren die Schutzmechanismen gegen automatisierte Abfragen robust genug und entsprachen sie dem „Stand der Technik“?
• Transparenz und Einwilligung (Art. 6 und  Art. 7 DSGVO): War die Einwilligung der Nutzer in die Verwendung ihrer Telefonnummer für die Suchfunktion wirksam? Haben die Nutzer verstanden, was die Einstellung „Alle“ bedeutet, auch wenn die Nummer selbst als „privat“ markiert war? Der BGH äußerte hier Zweifel an der Transparenz.

Für Unternehmen ist dies eine wichtige Mahnung: Die Einhaltung der DSGVO, insbesondere der Pflichten aus Art. 25 und Art. 32, ist kein bürokratisches Übel, sondern entscheidend zur Vermeidung von Haftungsrisiken.

Was bedeutet das Urteil für Betroffene wie Frau S.? Ein praktischer Leitfaden

Wenn Sie vermuten, vom Facebook-Datenleck oder einem ähnlichen Vorfall betroffen zu sein, stellen sich viele Fragen.

Hier einige praktische Hinweise:

1. Betroffenheit prüfen: Finden Sie heraus, ob Ihre Daten tatsächlich Teil des Leaks waren. Es gibt Online-Tools (z. B. den Identity Leak Checker des weiter oben erwähnten Hasso-Plattner-Instituts), bei denen Sie Ihre E-Mail-Adresse oder Telefonnummer eingeben können. Seien Sie bei solchen Tools aber vorsichtig und nutzen Sie nur vertrauenswürdige Anbieter. Prüfen Sie auch, ob Sie von Facebook selbst eine Benachrichtigung erhalten haben.
2. Ansprüche prüfen: Wenn Sie betroffen sind, haben Sie nach dem BGH-Urteil gute Chancen, zumindest einen Anspruch auf Schadensersatz für den Kontrollverlust (ca. 100 Euro) geltend zu machen. Haben Sie darüber hinaus konkrete Nachteile erlitten (z. B. nachweislich vermehrte Spam-Anrufe, Phishing-Versuche, emotionaler Stress), könnten auch höhere Beträge möglich sein. Überlegen Sie auch, ob Sie an einer Feststellung für Zukunftsschäden oder an Unterlassungsansprüchen interessiert sind.
3. Beweise sichern: Dokumentieren Sie Ihre Betroffenheit (Screenshot der Prüfungsergebnisse, Benachrichtigung von Facebook). Notieren Sie, welche Daten genau betroffen sind. Falls Sie konkrete negative Folgen erlebt haben, sammeln Sie auch dafür Belege (Anruflisten, Spam-SMS, E-Mails, ggf. ärztliche Atteste bei erheblichem Stress).
4. Fristen beachten: Schadensersatzansprüche unterliegen der Verjährung. Nach deutschem Recht beträgt die regelmäßige Verjährungsfrist drei Jahre (§ 195 BGB). Die Frist beginnt am Ende des Jahres, in dem der Anspruch entstanden ist und Sie von den anspruchsbegründenden Umständen (also dem Datenleck und Ihrer Betroffenheit) sowie der Person des Schuldners (Facebook/Meta) Kenntnis erlangt haben oder ohne grobe Fahrlässigkeit hätten erlangen müssen (§ 199 BGB). Für das Facebook-Leak, das im April 2021 breit bekannt wurde, dürften Ansprüche, die Ende 2021 bekannt wurden, somit Ende 2024 verjähren. Es ist ratsam, zeitnah zu handeln, um keine Fristen zu versäumen. Holen Sie im Zweifel anwaltlichen Rat zur konkreten Fristberechnung ein. Gerne geben wir Ihnen eine Ersteinschätzung zu Ihrem konkreten Fall.
5. Vorgehen wählen: Sie haben mehrere Möglichkeiten:
   • Selbst aktiv werden: Sie können versuchen, Ihre Ansprüche direkt bei Meta geltend zu machen. Die Erfolgsaussichten sind hier aber gering.
   • Anwalt beauftragen: Ein spezialisierter Anwalt kann Ihre Erfolgsaussichten prüfen, Sie beraten und Ihre Ansprüche außergerichtlich oder gerichtlich durchsetzen. Beachten Sie die Anwaltskosten, die bei geringen Schadenssummen den Nutzen übersteigen können, es sei denn, Sie haben eine Rechtsschutzversicherung, die DSGVO-Fälle abdeckt (prüfen!). Eventuell können Sie die Anwaltskosten aber als Teil des Schadensersatzes erstattet bekommen, wenn Ihr Anspruch Erfolg hat.
   • Legal Tech / Sammelklagen: Verschiedene Legal-Tech-Anbieter und Kanzleien bieten an, Ansprüche von Betroffenen gebündelt durchzusetzen, oft auf Erfolgsbasis (Provision vom erstrittenen Betrag). Dies kann das Kostenrisiko für den Einzelnen senken. Prüfen Sie die Seriosität und Konditionen solcher Angebote genau. Auch die neue Abhilfeklage nach dem Verbraucherrechtedurchsetzungsgesetz (VDuG) könnte hier künftig eine Rolle spielen, bei der Verbände für viele Betroffene klagen.
6. Risiken abwägen: Eine Klage ist immer mit Risiken verbunden. Auch wenn die Chancen nach dem BGH-Urteil gestiegen sind, gibt es keine Garantie auf Erfolg. Insbesondere wenn Sie den Kontrollverlust nicht ausreichend nachweisen können oder Gerichte wie das OLG Hamm eine restriktive Linie fahren, kann die Klage abgewiesen werden. Im Falle einer Niederlage tragen Sie die Gerichtskosten und die Anwaltskosten der Gegenseite (zusätzlich zu Ihren eigenen Anwaltskosten, falls nicht über Versicherung abgedeckt).

Was Unternehmen jetzt tun sollten: Lehren aus dem Urteil

Für Unternehmen, die personenbezogene Daten verarbeiten – und das sind heute fast alle – ist das BGH-Urteil ein Weckruf, den Datenschutz ernst zu nehmen:

• Datenschutz-Compliance prüfen und stärken: Überprüfen Sie Ihre Prozesse und technischen Systeme auf DSGVO-Konformität. Sind Ihre Standardeinstellungen wirklich datenschutzfreundlich (Art. 25)? Sind Ihre Sicherheitsmaßnahmen (TOMs nach Art. 32) auf dem neuesten Stand und dem Risiko angemessen?
• TOMs dokumentieren: Es reicht nicht, gute Maßnahmen zu haben – Sie müssen sie auch lückenlos dokumentieren. Nur so können Sie im Streitfall den Entlastungsbeweis nach Art. 82 Abs. 3 DSGVO führen.
• Einwilligungen auf den Prüfstand: Sind Ihre Einwilligungen transparent, freiwillig und für den konkreten Zweck eingeholt? Verstehen die Nutzer wirklich, wozu sie „Ja“ sagen? Unwirksame Einwilligungen sind tickende Zeitbomben.
• Incident Response vorbereiten: Haben Sie einen Plan für den Fall einer Datenschutzverletzung? Schnelle Reaktion, Meldung an Behörden und Betroffene sowie Beweissicherung sind entscheidend, um den Schaden zu begrenzen und sich rechtlich abzusichern.
• Strategie für Massenverfahren: Rechnen Sie damit, dass Schadensersatzforderungen nach Art. 82 DSGVO zunehmen werden, insbesondere bei größeren Datenpannen. Entwickeln Sie eine Strategie, wie Sie mit einer Vielzahl von (auch kleineren) Forderungen umgehen, ohne sich auf vorschnelle und potenziell kostspielige Vergleiche einzulassen.

Fazit und Ausblick: Datenschutz bleibt ein dynamisches Feld

Das BGH-Urteil VI ZR 10/24 ist ein Meilenstein für den Datenschutz in Deutschland. Es stärkt die Rechte der Betroffenen, indem es klargestellt hat, dass der bloße Verlust der Kontrolle über persönliche Daten ein ersatzfähiger Schaden ist. Die Hürden für die Geltendmachung von Ansprüchen nach Art. 82 DSGVO sind damit gesunken.

Gleichzeitig hat der BGH mit dem Orientierungswert von 100 Euro für den reinen Kontrollverlust versucht, eine Balance zu finden und ausufernde Forderungen zu verhindern. Die Notwendigkeit für Kläger, ihre individuelle Betroffenheit und den tatsächlichen Kontrollverlust nachzuweisen, bleibt bestehen und wird in der Praxis der Instanzgerichte wohl weiterhin für Diskussionen sorgen, wie erste unterschiedliche Urteile bereits zeigen.

Die Rechtslandschaft bleibt dynamisch. Weitere Entscheidungen des BGH und möglicherweise auch des EuGH werden die offenen Fragen vermutlich weiter präzisieren. Für Betroffene bedeutet das Urteil eine bessere Chance auf Kompensation, die aber aktiv und gut vorbereitet eingefordert werden muss. Für Unternehmen unterstreicht es die dringende Notwendigkeit, proaktiv in Datenschutz und Datensicherheit zu investieren – nicht nur, um Bußgelder zu vermeiden, sondern auch, um sich vor einer Welle von Schadensersatzklagen zu schützen. Der beste Schutz bleibt die präventive Compliance.