Bereits seit langer Zeit ist in den Medien immer wieder vom Facebook-Datenleck zu lesen, bei dem 2021 Datensätze mit personenbezogenen Daten von rund 533 Millionen Personen abhandengekommen sind. Durch missbräuchliche Ausnutzung der von Facebook bereitgestellten Kontakt-Import-Funktion konnten durch sog. Scraping Mobilfunknummern zu Facebook-Profilen zugeordnet und die dort hinterlegten öffentlichen Daten entsprechend mit der Telefonnummer in Verbindung gebracht werden.
Dass Facebook keine ausreichenden Sicherheitsmaßnahmen getroffen hat, um eine Ausnutzung der Kontakt-Import-Funktion zu vermeiden, haben bereits diverse Gerichte klargestellt und einen Schadensersatzanspruch auf Grundlage von Art. 82 I DSGVO bejaht. Fraglich war jedoch, ob alleine die Tatsache, dass eine Person vom Datenleck betroffen war und somit einen Kontrollverlust über ihre Daten erlebte, auch ohne weitere nachgewiesene Konsequenzen, Anspruch auf Schadensersatz hat.
Am gestrigen Tage erging eine wegweisende Entscheidung des BGH. (Urt. v. 18.11.2024 – VI ZR 10/24) In einem Leitentscheidungsverfahren hat der BGH festgestellt, dass auch bei einem immateriellen Schaden, der alleine auf einen Kontrollverlust gestützt wird, Schadensersatz bejaht werden kann. Für viele Verbraucherinnen und Verbraucher ist mit diesem Urteil Klarheit geschaffen worden. Doch wer noch Schadensersatz geltend machen will, muss sich beeilen – denn mit Ende des Jahres 2024 können etwaige Ansprüche verjähren.
Um zu prüfen, ob man selbst vom Datenleck betroffen ist, kann gegenüber Facebook vom Recht auf Auskunft gem. Art. 15 DSGVO Gebrauch gemacht werden. Facebook stellt sogar selbst ein Online-Tool bereit, um entsprechende Anfragen zum Datenleck zu erleichtern. Wer vom Datenleck betroffen ist, muss sich zwar beeilen, hat aber aktuell immer noch die Möglichkeit, gegenüber Facebook Schadensersatz zu verlangen. In diesem Beitrag wird ein Musteranschreiben zur Verfügung gestellt, mit dem dieser geltend gemacht werden kann.
Muster: Schadensersatzforderung wegen Kontrollverlust über personenbezogene Daten
Bernd Beispiel
Beispielstraße 1
12345 Beispieldorf
Einschreiben International
Meta Platforms Ireland Ltd.
Merrion Road
Dublin 4
D04 X2K5
Irland
Vorab per E-Mail
Beispieldorf, 19.11.2024
Schadensersatzforderung aufgrund Weitergabe personenbezogener Daten an unberechtigte Dritte
Sehr geehrte Damen und Herren,
ich nehme hiermit Bezug auf Ihre Antwort vom xx.xx.202x auf meine Anfrage gem. Art. 15 DSGVO.
Meine bei Ihnen verarbeiteten personenbezogenen Daten wurden unberechtigt an Dritte, die im großen Stil Daten bei Ihnen abgegriffen haben („Datenleck“), weitergegeben. Konkret ist u. a. meine private Handynummer vom Datenleck betroffen gewesen und steht seit 2021 Kriminellen zur Verfügung. Sie haben meine personenbezogenen Daten nicht sicher verarbeitet und den Missbrauch meiner Daten nicht verhindert.
Gemäß Art. 24, 25, 82 I DSGVO sind Sie mir zum Schadensersatz für immateriellen Schaden verpflichtet. Ein Betrag i. H. v. € 100,– scheint mir in diesem Fall mehr als angemessen zu sein. Ich verweise an dieser Stelle auch auf das Leitentscheidungsverfahren des BGH, in welchem klargestellt wurde, dass selbst bei einem bloßen Kontrollverlust über die personenbezogenen Daten einer Schadensersatzhöhe von € 100,– keine Bedenken entgegenstehen. (BGH, Urt. v. 18.11.2024 – VI ZR 10/24)
Zur Zahlung des Schadensersatzes bitte ich um Überweisung auf mein Konto bei der Beispielbank (BIC: BESPDE1BE1), IBAN: DE12 3456 7890 1234 5678 90. Den Eingang der Zahlung erwarte ich bis zum 03. November 2024.
Sollten Sie diese Frist fruchtlos verstreichen lassen, behalte ich mir die Mandatierung eines Rechtsanwalts zur gerichtlichen Durchsetzung meiner Ansprüche explizit vor.
Mit freundlichen Grüßen
B. Beispiel
Bernd Beispiel
Hinweise zum Muster:
- Die Höhe des Schadensersatzes in diesem Muster geht von einem reinen Kontrollverlust über die eigenen Daten aus, ohne dass ein Missbrauch der Daten durch Kriminelle stattgefunden hat. Sofern letzteres der Fall ist, kann auch eine höhere Schadensersatzforderung von bspw. € 500,– angemessen sein. (LG Paderborn, Urt. v. 13.12.2022 – 2 O 212/22)
- Dieses Muster kann zur außergerichtlichen Geltendmachung von Schadensersatz genutzt werden, jedoch ist stets eine Anpassung der persönlichen Daten und Umstände an den konkreten Einzelfall erforderlich. Bitte wenden Sie sich im Zweifel, auch wenn weder eine Zahlung noch sonstige Reaktion der Gegenseite eintritt, im Zweifel an einen auf Datenschutzrecht spezialisierten Rechtsanwalt oder eine Rechtsberatungsstelle.
- Sofern Sie sich per E-Mail an Meta wenden wollen, ist hierfür die Adresse impressum-support@support.facebook.com zu verwenden. Außerdem sollten Sie zwecks Nachweisbarkeit in Ihrem E-Mail-Client die Sendungsbestätigung aktivieren und den Bericht über die erfolgreiche Zustellung der Nachricht aufbewahren.