Datenlecks: BGH stärkt Ihre Rechte

Datenpannen und -lecks bei Online-Diensten haben in den vergangenen Jahren weltweit stark zugenommen. In Deutschland sind Unternehmen wie Facebook, Deezer, Motel One und die Schufa von derartigen Vorfällen betroffen. Dabei tragen die Konzerne oft eine Mitschuld. Sie haben die Daten ihrer User:innen nicht ausreichend geschützt. Dass das rechtliche Konsequenzen nach sich ziehen kann, sollte klar sein – und wurde nun auch vom obersten Gericht, dem Bundesgerichtshof (BGH), bestätigt: Im November 2024 fiel ein entsprechendes Urteil. Demnach steht von einem Datenleck betroffenen Usern unter vereinfachten Bedingungen Schadensersatz zu.

Das Urteil erging in Zusammenhang mit dem sogenannten Scraping-Komplex, für den sich Facebook bzw. der Mutterkonzern Meta verantworten muss. 2021 wurden bei Facebook Daten von weltweit mehr als 500 Milliarden Nutzern geleakt, rund 6 Millionen davon sind deutsche Nutzer.  Die Angaben der Betroffenen wurden teils für Betrügereien und weitere Straftaten wie Spam-Mails und SMS genutzt. Dass das für Meta nicht folgenlos bleiben darf, erscheint klar. Mit dem BGH-Urteil steht nun fest:

  1. Datenschutzverstöße ziehen Schadensersatzzahlungen nach sich.
  2. Bereits der Kontrollverlust begründet einen Anspruch.
  3. Betroffene müssen lediglich nachweisen, dass die Opfer eines Datenlecks geworden sind.
  4. Sie müssen weder mögliche Beeinträchtigungen belegen noch nachweisen, dass ihre Daten missbraucht wurden.

Bislang herrschte Uneinigkeit darüber, welches Ausmaß entstandene Schäden, insbesondere immaterieller Natur, haben mussten, um Schadensersatzansprüche zu rechtfertigen. Während die einen Gerichte hohe Ansprüche an mögliche Nachweise stellten, setzen andere geringe Maßstäbe an. Eine Entscheidung des BGH war dementsprechend lange überfällig. Es sorgt allerdings auch Ernüchterung – zumindest bei denjenigen, denen kein wirklicher Schaden entstanden ist. Die Höhe ihrer Ansprüche dürfte 100 EUR kaum überschreiten, der BGH setzte diesen Betrag als Minimum fest.

Wer jedoch mit Konsequenzen zu kämpfen hat, kann mit höherem Schadensersatz rechnen. Ein genauer Betrag lässt sich jedoch nicht beziffern. Der ist individuell von den Gerichten festzusetzen und richtet sich nach dem Ausmaß der Folgen.

Das Urteil ist als Leitentscheidung für ähnlich gelagerte Fälle anzusehen und lässt sich damit nicht nur auf Klagen in Zusammenhang mit dem Scraping-Komplex anwenden. Auch andere Online-Dienstanbieter, die keinen sorgsamen Umgang mit den Daten ihrer User pflegen, müssen mit Konsequenzen rechnen.

Im Weiteren nehmen wir ähnlich gelagerte Datenschutzvorfälle nebst der Risiken für die Betroffenen in den Blick:

Deezer: Musik-Streaming-Dienst verliert Nutzerdaten


Im Jahr 2019 wurde ein Partnerunternehmen des Musik-Streaming-Dienstes Deezer gehackt. Damit sind die Daten von rund 230 Millionen Nutzern veröffentlicht worden. Neben Namen, Geschlecht und E-Mail-Adresse betraf das auch Standortdaten, Nutzernamen und IP-Adresse.  Die betroffenen Nutzer gerieten damit ins Visier von Betrügern, die versuchten, per Phishing-Mails weitere Daten wie z.B. Zahlungsinformationen abzugreifen.

Risiken für Verbraucher:

  • Gefahr von Kontoübernahmen und Identitätsdiebstahl
  • Erhöhte Gefahr, Betrügereien zum Opfer zu fallen

Motel One: Hotelkette wird Ziel eines Hackerangriffs

Die Hotelkette Motel One erlebte 2019 einen Hackerangriff, bei dem persönliche Daten von Gästen gestohlen wurden: neben Namen, Adressen, Telefonnummern kamen auch Zahlungsinformationen abhanden. Betroffene müssen deshalb insbesondere finanzielle Missbräuche wie unrechtmäßige Abbuchungen fürchten. Ebenso wenig sind Phishing-Angriffe auszuschließen, für die sich die gestohlenen Daten zunutze gemacht werden.

Risiken für Verbraucher:

  • Finanzieller Missbrauch durch unrechtmäßige Abbuchungen
  • Möglichkeit von Phishing-Angriffen unter Verwendung gestohlener Informationen

Schufa: Sensible Kreditdaten geraten in Gefahr


Die Schufa, Deutschlands führende Kreditagentur, sah sich 2014 mit einer Sicherheitslücke konfrontiert, bei der es die Hacker auf sensible Kreditdaten abgesehen hatten. Die betroffenen Informationen umfassten Bonitätsdaten und persönliche Identifikationsmerkmale. Ein Datenleck bei der Schufa bedeutet erhebliche Risiken für Verbraucher, beginnend bei Identitätsdiebstahl und Finanzbetrug bis hin zu Beeinträchtigungen bei der Kreditwürdigkeit.

Risiken für Verbraucher:

  • Identitätsdiebstahl
  • Finanzbetrug
  • Beeinträchtigung der Kreditwürdigkeit