BGH-Urteil: Kontrollverlust über Daten ist ersatzpflichtig

Der Bundesgerichtshof hat entschieden – und damit jahrelange Rechtsunsicherheit beendet. Der Verlust der Kontrolle über persönliche Daten ist Schaden genug für DSGVO-Schadenersatz. Doch was bedeutet das konkret für Verbraucher und Unternehmen?

Die Karlsruher Richter haben am vergangenen Montag im sogenannten „Facebook-Scraping-Komplex” (Aktenzeichen VI ZR 10/24) eine Grundsatzentscheidung getroffen: Wer ohne rechtliche Grundlage Handynummern oder andere personenbezogene Daten abgreift, haftet bereits für den bloßen Kontrollverlust der Betroffenen. Ein konkreter Missbrauch der Daten oder gar ein psychischer Schaden müssen nicht nachgewiesen werden.

Für die Massenklage-Industrie allerdings kommt die Entscheidung mit einem Dämpfer: Die Schadenssummen fallen niedrig aus. Im verhandelten Fall hielten die Richter 100 Euro für angemessen. „Der BGH hat klargestellt: Die Haftungsschwelle liegt niedriger als von Beklagten erhofft, doch die Auszahlung wird kein Jackpot für Kläger”, analysierten Rechtsexperten der Kanzlei Taylor Wessing kurz nach dem Urteil.

Passend zum Thema Datenschutz und KI: Seit dem Inkrafttreten der EU‑KI‑Verordnung am 1. August 2024 müssen Unternehmen Kennzeichnungspflichten, Risikoklassifizierung und umfangreiche Dokumentationsanforderungen beachten. Unser kostenloser Umsetzungsleitfaden erklärt kompakt, welche Pflichten für Ihren Einsatz von Generative‑KI gelten, welche Fristen zu beachten sind und liefert praktische Checklisten für die Umsetzung – verständlich, ohne juristische Vorkenntnisse. Ideal für Rechtsabteilungen, Produktverantwortliche und Entwickler. Jetzt kostenlosen KI‑Umsetzungsleitfaden herunterladen

Parallel zur deutschen Rechtsprechung reagiert Meta auf den Druck europäischer Regulierer. Der Facebook- und Instagram-Konzern hat Mitte November sein umstrittenes „Bezahlen oder Zustimmen”-Modell für EU-Nutzer grundlegend überarbeitet.

Die werbefreie Abo-Version wurde um 40 Prozent günstiger: Statt 9,99 Euro zahlen Web-Nutzer künftig nur noch 5,99 Euro monatlich, iOS- und Android-Nutzer 7,99 Euro statt zuvor 12,99 Euro.

Entscheidender ist jedoch eine dritte Option: Nutzer können die Dienste künftig kostenfrei mit „weniger personalisierter Werbung” verwenden. Meta beschränkt sich dabei auf deutlich weniger Daten – primär Kontextinformationen wie aktuell betrachtete Inhalte sowie minimale demografische Angaben zu Alter, Geschlecht und Standort. Das tiefgreifende Verhaltensprofiling der Standard-Version entfällt.

„Wir setzen diese bedeutenden Änderungen als Reaktion auf Forderungen der EU-Regulierer um, auch wenn das Feedback über gesetzliche Anforderungen hinausgeht”, erklärte Meta in einer offiziellen Stellungnahme. Die Anpassung zielt darauf ab, vorläufige Bedenken der EU-Kommission unter dem Digital Markets Act (DMA) auszuräumen – die binäre „Bezahlen oder getrackt werden”-Wahl galt als nicht regelkonform.

DSK richtet KI-Taskforce ein

Die Konferenz der unabhängigen Datenschutzbehörden (DSK) hat auf ihrer 108. Sitzung Mitte November in Wiesbaden weitere Weichen gestellt. Im Fokus: Die Schnittstelle zwischen Künstlicher Intelligenz und DSGVO-Compliance.

Die Aufsichtsbehörden gründeten eine spezialisierte „KI-Taskforce”, die bundesweit einheitliche Standards für die Datenschutz-Durchsetzung bei KI-Systemen etablieren soll. Unternehmen, die Generative-KI-Tools einsetzen, sollen Rechtssicherheit erhalten – ohne dass Innovation auf Kosten von Datenschutzrechten geht.

Zudem nahm die DSK das jüngste Urteil des Bundesverfassungsgerichts zum BKA-Gesetz auf. Staatliche Überwachungsbefugnisse und Datenspeicherungspraktiken werden künftig besonders streng geprüft.

Was die Gemengelage für Unternehmen bedeutet

Die drei Entwicklungen fügen sich zu einem klaren Bild: Europas Datenschutzlandschaft reift. Das BGH-Urteil folgt der jüngeren Rechtsprechung des Europäischen Gerichtshofs – DSGVO-Verstöße haben Konsequenzen, öffnen aber nicht die Schleusen für exzessive Strafzahlungen.

„Das ist eine pragmatische Korrektur”, kommentieren Branchenbeobachter. „Die Rechte Betroffener werden bestätigt, doch der spekulative finanzielle Anreiz für tausende Copy-Paste-Klagen ist verschwunden.”

Metas Zugeständnis wiederum zeigt die wachsende Durchsetzungkraft des DMA neben der DSGVO. Die Option „weniger personalisierte Werbung” könnte zum neuen Standard der Digitalwirtschaft werden – Verhaltensprofilierung ist nicht länger der obligatorische Preis für „kostenlose” Dienste.

Ausblick: 2025 wird zum Bewährungsjahr

Der Fall kehrt nun ans Oberlandesgericht Köln zurück, das die tatsächlichen Umstände abschließend bewerten wird. Rechtsabteilungen deutschlandweit beobachten gespannt, ob sich die 100-Euro-Marke als De-facto-Standard für Datenschutzverletzungen etabliert.

Parallel werden Datenschützer und der Europäische Datenschutzausschuss Metas neue Option genau prüfen: Minimiert sie die Datenverarbeitung tatsächlich oder bleibt sie kosmetisch? Mit der vollständigen Umsetzung des KI-Gesetzes dürfte 2025 ein Jahr rigoroser Durchsetzung und klar definierter Grenzen für Datennutzung werden.

PS: Sind Sie für die KI‑Auflagen gerüstet? Viele Unternehmen unterschätzen die Dokumentationspflichten und Risiko‑Einstufungen – das kann teuer werden. Die kostenlose Checkliste im Leitfaden hilft Ihnen bei der schnellen Risikoklassifizierung Ihrer Systeme und nennt konkrete To‑dos für Compliance und Nachweisführung. Jetzt handeln, bevor Übergangsfristen ablaufen. Kostenlosen KI‑Checkliste & Leitfaden sichern