Der Bundesgerichtshof (BGH) befasst sich mit einem schwerwiegenden Datenschutzvorfall bei Facebook und möchte für viele ähnliche Fälle klären, ob Nutzern bei einem Datenleck Schadenersatz zusteht. Wie die Zeit berichtet, wurden vor Jahren Daten von Hunderten Millionen Facebook-Konten gestohlen. Der Fall des sogenannten „Scrapings“ erregte weltweit Aufsehen.
Scraping bedeutet so viel wie „Schürfen“ und beschreibt das systematische Sammeln und Speichern von Daten, beispielsweise von Webseiten. Suchmaschinen nutzen Scraping auf autorisierte und legitime Weise. Werden jedoch automatisierte Prozesse eingesetzt, um Daten ohne Zustimmung von Facebook auszulesen, verstößt dies gegen die Nutzungsbedingungen.
Im April 2021 nutzten Unbekannte eine Funktion zur Freundessuche bei Facebook aus und griffen Daten von rund 533 Millionen Nutzern aus 106 Ländern ab, die anschließend öffentlich im Internet verbreitet wurden. Laut BGH machten sie sich zunutze, dass Facebook damals abhängig von den Suchbarkeitseinstellungen der Nutzer erlaubte, Profile mithilfe der eigentlich nicht öffentlich sichtbaren Telefonnummern zu finden. So wurden beispielsweise Nutzer-ID, Vor- und Nachname, Land und Geschlecht mit der jeweiligen Telefonnummer verknüpft.
Zahlreiche Kläger kritisieren die Sicherheitsmaßnahmen von Facebook als zu lasch. Wegen des erlittenen Ärgers und des Kontrollverlusts über ihre Daten fordern sie Schadenersatz, auch für immaterielle Schäden. Der Facebook-Mutterkonzern Meta lehnt diese Ansprüche ab, da weder ein Verstoß gegen die Datenschutz-Grundverordnung vorliege noch den Klägern ein unmittelbar aus dem Vorfall resultierender Schaden entstanden sei. „Wir sind der festen Überzeugung, dass die Scraping-Klagen unbegründet sind“, so Meta.
Der sechste Zivilsenat des BGH möchte anhand eines Falls aus Nordrhein-Westfalen unter anderem klären, ob die Standardvoreinstellung „alle“ bei der Kontakt-Import-Funktion gegen die Datenschutz-Grundverordnung verstößt, ob der bloße Verlust der Kontrolle über die gescrapten Daten einen immateriellen Schaden begründet, wie dieser Schaden zu bemessen wäre und wie eine Schadensersatzklage begründet sein müsste (Az. VI ZR 10/24).
Laut Bundesrechtsanwaltskammer sind Tausende Klagen zu diesem Thema bei den deutschen Land- und Oberlandesgerichten anhängig. Auch dem BGH liegen mehrere Revisionen vor. Die Instanzgerichte haben die Rechtsfragen bisher unterschiedlich beantwortet und die Rechtsprechung des Europäischen Gerichtshofs (EuGH) unterschiedlich interpretiert. Die Kanzlei Freshfields Bruckhaus Deringer, die Meta vertritt, gab an, mehr als 6.000 erst- und zweitinstanzliche klageabweisende Urteile erwirkt zu haben, was einer Erfolgsquote von über 85 Prozent entspricht.
Der BGH hat das aktuelle Verfahren zu einem Leitentscheidungsverfahren erklärt. Es ist das erste seiner Art, da diese Möglichkeit erst seit Ende Oktober besteht. Das Verfahren ermöglicht es dem BGH, in jedem Fall Leitentscheidungen zu den Rechtsfragen zu treffen – auch wenn Revisionen aus prozesstaktischen Gründen oder wegen eines Vergleichs zurückgenommen werden, wie im Scraping-Komplex bereits geschehen. Bis zu einer höchstrichterlichen Klärung können die anderen ähnlichen Verfahren ausgesetzt werden. Liegt diese vor, können die Instanzgerichte ihre Fälle zügig entscheiden. Der Tagesspiegel berichtete ebenfalls über den Fall und die Bedeutung für weitere Verfahren.
Meta teilte bereits 2021 mit, dass es Scraping nie vollständig unterbinden könne, ohne die Möglichkeiten der Nutzer, die Apps und Websites wie gewünscht zu verwenden, einzuschränken. Ein Team aus Daten- und Analyse-Fachleuten sowie Entwicklern soll das unerlaubte Auslesen erkennen und blockieren. Um den Vorgang technisch zu erschweren, arbeitet Meta unter anderem mit Übertragungslimits, die die Häufigkeit von Interaktionen regeln, und Datenlimits, die verhindern sollen, dass jemand mehr Daten bezieht, als zur normalen Nutzung der Produkte nötig. Werden bestimmte Muster erkannt, werden Anfragen blockiert.
Die Verbraucherzentrale rät zu Datensparsamkeit. Nutzer sollten bei der Anmeldung bei Online-Diensten möglichst nicht alle abgefragten Daten preisgeben. Facebook empfiehlt, die Einstellungen im „Privatsphäre-Check“ zu überprüfen. Im Bereich „So kann man dich finden und kontaktieren“ können Nutzer festlegen, wer sie anhand von E-Mail-Adresse und Telefonnummer finden kann. Zudem können sie bearbeiten, wer grundlegende Informationen im Profil sehen kann.
Quellen: