NOVALEX
Redaktion
Facebook‑Scraping und Schadensersatz: Neue Klarheit – oder neue Hürden?
Millionen Facebook‑Nutzer waren vom großen Scraping‑Vorfall 2018/2019 betroffen. Telefonnummern, E‑Mail‑Adressen, Wohnorte und weitere Profildaten wurden automatisiert ausgelesen und später in kriminellen Foren veröffentlicht.
Lange war umstritten, ob bereits dieser „Kontrollverlust“ über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellt – oder ob Betroffene zusätzlich konkrete negative Folgen (z.B. Betrug, Identitätsdiebstahl) nachweisen müssen.
Der Bundesgerichtshof (BGH) hat mit Urteil VI ZR 10/24 im November 2024 eine verbraucherfreundliche Linie eingeschlagen: Schon der Verlust der Kontrolle über die eigenen Daten kann einen Schadensersatzanspruch begründen.[3]
Doch im März 2026 folgte das nächste Kapitel: Der Europäische Gerichtshof (EuGH) präzisierte in C‑526/24, dass ein bloßer DSGVO‑Verstoß nicht automatisch zu Geld führt – es müsse ein tatsächlicher individueller Schaden vorliegen.[1]
Was bedeutet das Zusammenspiel dieser Entscheidungen für Betroffene? Und wie sollten Ansprüche gegen Meta jetzt begründet werden?
1. Was genau ist beim Facebook‑Scraping passiert?
Zwischen Mai 2018 und September 2019 konnten Dritte über eine Funktion zur Kontaktsuche massenhaft Daten von Facebook‑Profilen automatisiert abrufen („Scraping“).
Betroffen waren weltweit über 530 Millionen Nutzer, darunter mehrere Millionen aus Deutschland.[1][3]
Abgegriffen wurden unter anderem:
- Telefonnummern
- Facebook‑ID
- Name
- Geschlecht
- Wohnort
- teilweise E‑Mail‑Adressen
Diese Datensätze tauchten später in Hackerforen auf und wurden frei zugänglich verbreitet.[3]
Für viele Betroffene folgten:
- vermehrte Spam‑Anrufe
- Phishing‑SMS („Smishing“)
- Betrugsversuche über Messenger
- Unsicherheit über die weitere Nutzung der eigenen Daten
Die zentrale juristische Frage: Reicht dieser Kontrollverlust allein für Schadensersatz aus?
2. BGH VI ZR 10/24: Kontrollverlust genügt grundsätzlich
Der Bundesgerichtshof entschied im November 2024 (Az. VI ZR 10/24), dass bereits der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann.[3]
Wesentliche Aussagen des BGH:
- Ein DSGVO‑Schaden setzt keine konkrete missbräuchliche Verwendung der Daten voraus.
- Es genügt, dass unbefugte Dritte Zugriff auf personenbezogene Daten erlangen konnten.
- Der „Kontrollverlust“ als solcher kann eine spürbare Beeinträchtigung des Persönlichkeitsrechts darstellen.
Damit widersprach der BGH einer restriktiven Linie einiger Instanzgerichte, die konkrete Folgeschäden wie Identitätsdiebstahl verlangt hatten.
Warum ist das so bedeutsam?
Weil Scraping‑Fälle typischerweise so funktionieren:
- Die Daten werden massenhaft abgegriffen.
- Eine konkrete spätere Nutzung lässt sich im Einzelfall kaum nachweisen.
- Die Betroffenen leben jedoch dauerhaft mit dem Risiko weiterer Verbreitung.
Der BGH erkannte an, dass bereits dieser Zustand einen eigenständigen immateriellen Schaden darstellen kann.[3]
3. EuGH C‑526/24: Kein Automatismus bei DSGVO‑Verstößen
Am 19.03.2026 präzisierte der EuGH in der Rechtssache C‑526/24, dass Art. 82 DSGVO einen tatsächlichen individuellen Schaden voraussetzt.[1]
Kernaussagen:
- Ein bloßer Verstoß gegen die DSGVO genügt nicht.
- Bloße Befürchtungen („Es könnte etwas passieren“) reichen nicht aus.[1]
- Der Schaden muss individuell dargelegt werden.
Gleichzeitig stellte der EuGH klar:
- Es gibt keinen generellen Bagatellfilter.
- Auch immaterielle Schäden sind ersatzfähig.
- Die Beweislast für missbräuchliche Auskunftsanträge trägt der Verantwortliche (z.B. Meta).[1]
Steht das im Widerspruch zum BGH?
Nicht zwingend.
Der BGH sagt: Kontrollverlust kann Schaden sein.
Der EuGH sagt: Es braucht einen echten, individuellen Schaden.
Entscheidend ist daher die konkrete Darlegung, warum der Kontrollverlust im Einzelfall eine spürbare Beeinträchtigung darstellt.
4. Wie Gerichte den „Kontrollverlust“ jetzt prüfen dürften
Nach der aktuellen Rechtsprechung zeichnet sich folgende Linie ab:
4.1 Nicht ausreichend
- Rein abstrakte Sorge
- Pauschale Behauptung eines „unguten Gefühls"
- Kein Bezug zur eigenen Lebensrealität
4.2 Potenziell ausreichend
- Konkrete Spam‑ oder Phishing‑Wellen nach Bekanntwerden des Leaks
- Erhöhte Sicherheitsmaßnahmen (z.B. neue Telefonnummer, zusätzliche Authentifizierung)
- Dauerhafte psychische Belastung durch Missbrauchsrisiko
- Gefühl des vollständigen Kontrollverlusts über private Kontaktdaten
Der BGH‑Ansatz bleibt damit relevant – aber er muss substantiiert begründet werden.
5. Kontrollverlust als eigenständige Persönlichkeitsverletzung
Warum kann der bloße Datenabfluss ein Schaden sein?
Personenbezogene Daten sind Ausdruck der Persönlichkeit. Wer die Kontrolle darüber verliert, verliert ein Stück informationelle Selbstbestimmung.
Gerade bei:
- Telefonnummern
- Wohnorten
- E‑Mail‑Adressen
besteht ein dauerhaftes Risiko gezielter Kontaktaufnahme.
Der BGH hat anerkannt, dass dieser Zustand über eine rein formale Rechtsverletzung hinausgeht.[3]
Der EuGH verlangt nun, dass diese Beeinträchtigung konkret beschrieben wird – nicht nur abstrakt behauptet.[1]
6. Verhältnis zu anderen Meta‑Urteilen
Die Rechtsprechung zu Meta entwickelt sich dynamisch.
So wurden in Tracking‑Fällen (Meta Pixel, Business Tools) Schadensersatzbeträge zwischen 1.200 € und 3.000 € zugesprochen, wenn Gerichte eine spürbare Persönlichkeitsverletzung annahmen.
Einen Überblick über aktuelle Entscheidungen finden Sie hier:
- Alle Urteile gegen Meta 2025/2026 – Übersicht (laufend aktualisiert)
- OLG Dresden rechtskräftig: 1.500 € pro Meta-Nutzer
Diese Entscheidungen zeigen: Deutsche Gerichte sprechen durchaus relevante Beträge zu, wenn der Eingriff nachvollziehbar dargelegt wird.
7. Praktische Handlungsempfehlungen für Betroffene
7.1 Betroffenheit prüfen
Beim Facebook‑Datenleck sollten Sie klären, ob Ihre Telefonnummer oder andere Daten Teil des Scraping‑Datensatzes waren.[3]
Wichtig ist die Dokumentation:
- Screenshots
- gespeicherte Benachrichtigungen
- ggf. auffällige Spam‑Nachrichten
7.2 Konkrete Auswirkungen festhalten
Notieren Sie:
- Seit wann erhalten Sie ungewöhnliche Anrufe oder SMS?
- Haben Sie Passwörter geändert?
- Mussten Sie Sicherheitsmaßnahmen ergreifen?
- Empfinden Sie anhaltende Unsicherheit?
Je konkreter die Auswirkungen beschrieben werden, desto besser lässt sich der immaterielle Schaden darlegen.
7.3 Juristische Bewertung
Im Rahmen einer individuellen Prüfung wird bewertet:
- Liegt ein Datenschutzverstoß vor?
- Ist der Kontrollverlust nachweisbar?
- Welche konkreten Beeinträchtigungen bestehen?
- Welche Schadenshöhe erscheint realistisch?
8. Wie hoch kann der Schadensersatz sein?
Die Rechtsprechung ist weiterhin uneinheitlich.
Orientierung bieten:
- 1.200 € (OLG Naumburg bei Tracking‑Verstößen)
- 1.500 € (OLG Dresden)
- 3.000 € (OLG Jena bei intensiverem Eingriff)
Beim Facebook‑Scraping hängt die Höhe maßgeblich davon ab:
- Welche Daten betroffen waren
- Ob eine Telefonnummer veröffentlicht wurde
- Ob konkrete Folgeprobleme auftraten
- Wie intensiv die persönliche Belastung ist
Der BGH hat keine feste Summe vorgegeben, aber die Tür für spürbare Beträge geöffnet.[3]
9. Strategische Bedeutung für Klagen gegen Meta
Die Kombination aus:
- BGH VI ZR 10/24 (Kontrollverlust als Schaden)[3]
- EuGH C‑526/24 (konkrete Darlegung erforderlich)[1]
führt nicht zu einem Ausschluss von Ansprüchen – sondern zu höheren Anforderungen an die Begründung.
Für Meta bedeutet das:
- Pauschale Abwehr mit dem Argument „Kein konkreter Schaden“ greift nicht automatisch.
- Gleichzeitig reicht eine formelhafte Behauptung auf Klägerseite nicht mehr aus.
Die Verfahren werden dadurch juristisch anspruchsvoller – aber keineswegs aussichtslos.
10. Fazit: Kontrollverlust bleibt ein starkes Argument
Der Bundesgerichtshof hat klar gemacht:
Der Verlust der Kontrolle über persönliche Daten ist mehr als ein bloßer Formalverstoß.[3]
Der Europäische Gerichtshof verlangt jedoch eine nachvollziehbare individuelle Begründung.[1]
Für Betroffene des Facebook‑Scraping bedeutet das:
- Ansprüche bestehen weiterhin.
- Entscheidend ist die sorgfältige Darstellung des konkreten Schadens.
- Die Rechtsprechung entwickelt sich dynamisch zugunsten einer differenzierten Betrachtung.
Wenn Ihre Facebook‑Daten abgegriffen wurden, sollten Sie Ihre Ansprüche prüfen lassen.
→ Jetzt kostenlos Anspruch prüfen
Quellen
[1] https://www.boerse-express.com/news/articles/dsgvo-klage-eugh-verschaerft-anforderungen-fuer-schadensersatz-922894
[3] https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/datenlecks-bei-facebook-so-pruefen-sie-ob-sie-betroffen-sind-25013
