BGH-Urteil 2024: Schadensersatz bei Datenleck ohne Schaden

16.3.2026Zivilrecht

Schadensersatz nach Datenlecks: Der BGH stärkt die Rechte von Verbrauchern

In einer immer digitaler werdenden Welt sind unsere persönlichen Daten das wertvollste Gut. Umso erschreckender ist es für viele Nutzer, wenn sie erfahren, dass ihre Daten durch ein Datenleck bei großen Plattformen wie Facebook, Deezer oder LinkedIn im Darknet oder in öffentlichen Datenbanken gelandet sind. Bisher war jedoch oft unklar: Erhält man als Betroffener auch dann Schadensersatz, wenn man keinen konkreten materiellen Schaden (wie etwa einen finanziellen Verlust durch Identitätsdiebstahl) nachweisen kann?

Der Bundesgerichtshof (BGH) hat hierzu eine wegweisende Grundsatzentscheidung getroffen, die weitreichende Folgen für die zivilrechtliche Haftung von Unternehmen bei Datenschutzverstößen hat.

Die Entscheidung des Bundesgerichtshofs

Der BGH hat sich in einem aktuellen Verfahren mit der Frage befasst, unter welchen Voraussetzungen Verbraucher einen Anspruch auf immateriellen Schadensersatz (Schmerzensgeld) gemäß Art. 82 DSGVO haben.

BGH, Urteil vom 18.11.2024 – VI ZR 10/24

In diesem Urteil stellte das Gericht klar, dass der bloße Kontrollverlust über personenbezogene Daten bereits einen ersatzfähigen Schaden darstellen kann. Betroffene müssen nicht mehr abwarten, bis ihre Daten missbräuchlich verwendet werden, um Ansprüche geltend zu machen.

Der Sachverhalt: Was war passiert?

Im konkreten Fall ging es um das sogenannte „Facebook-Scraping“. Unbekannte hatten im Jahr 2021 eine Funktion des sozialen Netzwerks ausgenutzt, um die Telefonnummern und Profilbeschreibungen von Millionen Nutzern abzugreifen. Diese Daten wurden später in einem Hacker-Forum veröffentlicht.

Der betroffene Kläger verlangte von der Konzernmutter Meta Schadensersatz. Er rügte, dass Facebook nicht genügend Sicherheitsvorkehrungen getroffen habe, um dieses massenhafte Abgreifen („Scraping“) der Daten zu verhindern. Er fühlte sich durch den Verlust der Kontrolle über seine Daten unwohl und war besorgt über möglichen zukünftigen Missbrauch. Das Oberlandesgericht (OLG) hatte die Klage in der Vorinstanz noch abgewiesen, da es keinen „erheblichen“ Schaden sah. Der BGH hob diese Entscheidung nun auf.

Die Entscheidung im Detail: Kein „erheblicher“ Schaden nötig

Die wichtigste Erkenntnis aus dem Urteil des BGH ist die Auslegung des Schadensbegriffs in der Datenschutz-Grundverordnung (DSGVO). Die Karlsruher Richter folgten hierbei der Rechtsprechung des Europäischen Gerichtshofs (EuGH).

  1. Keine Erheblichkeitsschwelle: Ein Schaden muss nicht besonders schwerwiegend oder „erheblich“ sein. Auch geringfügige Beeinträchtigungen können einen Schadensersatz rechtfertigen.
  2. Kontrollverlust als Schaden: Wenn Daten durch unzureichende Sicherheitsmaßnahmen Dritten zugänglich gemacht werden, verliert der Nutzer die Kontrolle über seine Informationen. Dieser Kontrollverlust allein kann bereits einen immateriellen Schaden darstellen.
  3. Beweislast: Der Nutzer muss lediglich nachweisen, dass ein Verstoß gegen die DSGVO vorliegt und er dadurch einen Kontrollverlust erlitten hat. Ein Nachweis, dass die Daten bereits für Betrugsversuche genutzt wurden, ist für den Grund des Anspruchs nicht zwingend erforderlich.

Was bedeutet das für die Praxis?

Dieses Urteil ist ein Meilenstein für den Verbraucherschutz im Zivilrecht. Es ebnet den Weg für tausende Klagen gegen Unternehmen, die nachlässig mit den Daten ihrer Kunden umgegangen sind.

Für Privatpersonen bedeutet dies:

  • Geringere Hürden: Wenn Sie von einem bekannten Datenleck (z. B. Facebook, Mastercard Priceless, Deezer) betroffen sind, stehen Ihre Chancen auf eine Entschädigung nun deutlich besser.
  • Schadenshöhe: Der BGH deutete an, dass bei einfachem Kontrollverlust ohne weitere Folgen Beträge im Bereich von ca. 100 Euro angemessen sein könnten. Sollten die Daten jedoch bereits missbraucht worden sein (z. B. durch Phishing-Anrufe oder SMS), kann die Summe deutlich höher ausfallen.
  • Prävention für Unternehmen: Firmen müssen ihre IT-Sicherheitsarchitektur drastisch verbessern, da die finanzielle Belastung durch Massenverfahren bei Datenpannen nun ein reales Risiko darstellt.

So prüfen Sie Ihren Anspruch

Wenn Sie vermuten, von einem Datenleck betroffen zu sein, sollten Sie folgende Schritte unternehmen:

  1. Betroffenheit prüfen: Es gibt Online-Tools (wie „Have I Been Pwned“), die zeigen, ob Ihre E-Mail-Adresse oder Telefonnummer in bekannten Datenlecks auftaucht.
  2. Nachweise sichern: Heben Sie E-Mails oder Benachrichtigungen des betroffenen Dienstleisters auf, in denen über das Datenleck informiert wird.
  3. Rechtliche Beratung einholen: Da die Unternehmen solche Ansprüche oft pauschal ablehnen, ist eine fundierte rechtliche Argumentation notwendig, um dem Druck der Großkonzerne standzuhalten.

Fazit

Der BGH hat mit seiner Entscheidung vom 18.11.2024 ein klares Signal gesendet: Datenschutz ist kein zahnloser Tiger. Der Schutz der Privatsphäre im Internet wird ernst genommen, und Unternehmen haften für die Sicherheit der ihnen anvertrauten Daten. Auch wenn die einzelnen Entschädigungssummen moderat erscheinen mögen, ist die Signalwirkung gewaltig.

Besonders für Nutzer, die sich durch den ständigen Erhalt von Spam-Nachrichten oder die Sorge um ihre Datenidentität beeinträchtigt fühlen, bietet dieses Urteil eine solide Grundlage für rechtliche Schritte.

Unterstützung durch Hanke.Legal

Sind Sie von einem Datenleck betroffen oder haben Sie eine Benachrichtigung über einen unbefugten Zugriff auf Ihre Daten erhalten? Die Rechtslage nach dem aktuellen BGH-Urteil ist komplex, bietet aber hervorragende Möglichkeiten, Ihre Rechte durchzusetzen.

Die Kanzlei Hanke.Legal in Singen unterstützt Sie bei der Prüfung Ihrer Ansprüche und der Durchsetzung von Schadensersatzforderungen gegen große Plattformen und Dienstleister. Wir analysieren Ihren individuellen Fall und helfen Ihnen dabei, den Ihnen zustehenden Ersatz für den Kontrollverlust über Ihre Daten zu streiten. Kontaktieren Sie uns für eine unverbindliche Erstberatung.

Datenleck SchadensersatzDSGVO SchmerzensgeldBGH Urteil DatenleckDatenschutzverletzung EntschädigungFacebook Datenleck Urteil
Hinweis: Dieser Beitrag dient ausschließlich der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für eine auf Ihren konkreten Fall zugeschnittene Einschätzung wenden Sie sich bitte an einen Rechtsanwalt.
Zurück zu Aktuelle Entscheidungen