Der Kläger ist Opfer des großen Facebook-Datenlecks geworden, das zu Ostern 2021 bekannt wurde.

Die personenbezogenen Daten des Klägers wurden durch eine Methode namens "Scraping" erfasst, wobei Personen unberechtigterweise die Suchfunktionen von Facebook ausnutzten. Auch wenn Benutzer ihre Telefonnummern nicht öffentlich zugänglich machten, konnten sie dennoch über die Suche gefunden werden. Die Cyberkriminellen griffen so Millionen von Telefonnummern ab und sammelten die dazugehörigen Informationen mittels der Kontakt-Importfunktion von Facebook und Facebook Messenger. Durch diesen Vorfall wurden die persönlichen Daten des Klägers für unerwünschte Anrufe und SMS missbraucht.

Aufgrund des Datenlecks soll der Verbraucher rund zwei unerwünschte Anrufe pro Woche erhalten. Durch die Betroffenheit habe der Kläger einen Kontrollverlust erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über den möglichen Missbrauch seiner Daten verblieben. Außerdem wird das beruflich-selbstständige Import-Geschäft erheblich erschwert, da er ständig überprüfen müsse, ob es sich um echte bzw. Fake-Nachrichten handle. Dies habe sich zusätzlich unter anderem in einem verstärkten Misstrauen bezüglich Anrufe von unbekannten Nummern manifestiert. Diese Entwicklung habe unter anderem zu schlaflosen Nächten geführt. Darüber hinaus erhalte die Klagepartei seit dem Vorfall regelmäßig unbekannte Kontaktversuche via SMS. Diese hätten sich verstärkt und enthielten Nachrichten mit offensichtlichen Betrugsversuchen.

Der Verbraucher meint, ihm stünde ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu. Der immaterielle Schadensersatz solle mindestens 1500 Euro betragen.

Das Gericht folgte in Teilen der Argumentation der Klage. Der Kläger hat einen Anspruch auf immateriellen Schadensersatz gegen die Beklagte aus Art. 82 Abs. 1 DSGVO in Höhe von 3.000 Euro. Dem Kläger ist durch einen Verstoß der Beklagten gegen Art. 25 Abs. 1 u. 2 DSGVO ein immaterieller Schaden in dieser Höhe entstanden. Damit ging das Landgericht München mit der ausgesprochenen Schadensersatzsumme über den Antrag der Kläger hinaus. Das Gericht unterstrich vor allem die Bedeutung der Anrufe auf der bei Facebook hinterlegten mobilen Telefonnummer. Dadurch sei dem Kläger ein immaterieller Schadensersatz entstanden.

Das Urteil ist noch nicht rechtskräftig.

Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind.

Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.

82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.

Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.

