Der Bundesgerichtshof hat sich einen gravierenden Datenschutzvorfall bei Facebook vorgeknöpft und nun für viele vergleichbare Fälle geklärt, wann Nutzer bei einem Datenleck Anspruch auf Schadenersatz haben. Cyberkriminelle hatten Daten von Hunderten Millionen Facebook-Konten gestohlen.
Bei einer Scraping-Attacke haben Cyberkriminelle 2021 Daten von rund 533 Millionen Facebook-Nutzern gestohlen. Nun drohen Meta riesige Schadenersatzklagen.
(Bild: Dall-E / KI-generiert)
Im April 2021 hatten Unbekannte eine Funktion zur Freunde-Suche in dem sozialen Netzwerk Facebook ausgenutzt und Daten von rund 533 Millionen Nutzern und Nutzerinnen aus 106 Ländern abgegriffen und öffentlich im Internet verbreitet. Sie hatten sich laut Bundesgerichtshof (BGH) den Umstand zunutze gemacht, dass Facebook es damals in Abhängigkeit von Suchbarkeits-Einstellungen der User ermöglichte, dass die jeweiligen Profile mit Hilfe der eigentlich nicht offen sichtbaren Telefonnummern gefunden werden konnten. So wurden zum Beispiel Nutzer-ID, Vor- und Nachname, Land und Geschlecht mit der jeweiligen Telefonnummer verknüpft.
Diese Art von Datendiebstahl nennt man Scraping, was auf Deutsch so viel wie Schürfen bedeutet. Dabei werden Daten etwa von Internetseiten systematisch gesammelt und gespeichert. Ein Beispiel für eine autorisierte und legitime Nutzung ist etwa die Arbeit von Suchmaschinen. Wenn allerdings automatisierte Prozesse genutzt werden, um Daten auf Facebook ohne Zustimmung des Konzerns auszulesen, stellt das einen Verstoß gegen die Nutzungsbedingungen dar. Nun hat der BGH höchstrichterlich geklärt, wann ein Anspruch auf Schadenersatz besteht.
Betroffene müssen Schaden nachweisen
Die Betroffenen des Datendiebstahls haben nach dem Urteil des BGH vergleichsweise niedrige Hürden, um Schadenersatz zu bekommen. Sie müssen nur nachweisen, dass sie Opfer des Vorfalls waren, wie der sechste Zivilsenat in Karlsruhe entschied. Es sei weder nötig, dass die Daten nachweislich missbraucht wurden. Noch müssten die Betroffenen Belege dafür liefern, dass sie nun in besonderer Weise beeinträchtigt sind „ etwa in Angst und Sorge. Der BGH hat zum ersten Mal von der neuen Möglichkeit des Leitentscheidungsverfahrens Gebrauch gemacht. Die höchstrichterliche Klärung ist entscheidend für Tausende ähnlich gelagerte Fälle an Landes- und Oberlandesgerichten in Deutschland.
Schadenersatz wird gering ausfallen
Trotz der Bedeutung dieses Verfahrens hatten die Meta-Anwälte gewarnt: „Selbst wenn der Bundesgerichtshof in einigen Fällen immateriellen Schadenersatz für möglich halten sollte, dürften die Prozesskosten der Kläger den Betrag eines etwaigen Schadenersatzes immer noch weit übersteigen.“ Dies wird sich nun wohl bewahrheiten. Der Vorsitzende Richter des sechsten Zivilsenats, Stephan Seiters, machte deutlich, dass der Schadenersatz beim bloßen Kontrollverlust nicht allzu hoch ausfallen könne. Als Beispiel im konkreten Fall nannte Seiters 100 Euro. Konkret muss das Oberlandesgericht Köln den Fall nun in Teilen noch einmal verhandeln und dabei klären, ob tatsächlich ein Datenschutzverstoß vorlag und wie der Schaden zu bemessen sei.
Wie prüfe ich, ob ich betroffen bin?
Ob Sie von dem Datenklau betroffen waren oder nicht, können Sie direkt bei Facebook erfragen – und zwar auf der Hilfeseite von Facebook unter Eingabe Ihres vollständigen Namens, Ihrer Mail-Adresse und Ihres Wohnortes. Alternativ können Sie auch die Seite haveibeenpwned.com nutzen, um herauszufinden, ob Ihre Daten 2021 ausgespäht und veröffentlicht worden sind.
Über die Webseite der Stiftung Warentest können Betroffene nachlesen, wie sie Schadenersatz beantragen können. Dort stellt die gemeinnützige Verbraucherorganisation einen Musterbrief bereit, mit dessen Hilfe sie das Schmerzensgeld beim Facebook-Mutterkonzern Meta einfordern können. Der Musterbrief muss lediglich mit ein paar persönlichen Daten versehen und anschließend per Einschreiben mit Rückschein an den Firmensitz nach Irland geschickt werden. Kosten dafür laut Stiftung Warentest: höchstens 7,60 Euro. Der Aufwand: nur wenige Minuten.
Waren Ihre Daten seinerzeit im Netz öffentlich, sollten Sie keine Zeit verlieren und Ihre Forderung bei Meta umgehend anbringen, rät die Stiftung Warentest. Der Grund: „Die Zeit ist knapp: Ende des Jahres verjähren die Rechte der meisten Facebook-Opfer.“
Worum ging es in dem Verfahren am BGH?
Zig Kläger und Klägerinnen kritisierten, die Sicherheitsmaßnahmen seien zu lasch gewesen. Wegen des erlittenen Ärgers und des Kontrollverlusts über die Daten hatten sie Ersatz auch für sogenannte immaterielle Schäden gefordert. Der Facebook-Mutterkonzern Meta lehnte solche Ansprüche ab, weil weder ein Verstoß gegen die Datenschutz-Grundverordnung vorgelegen haben soll noch den Klägern ein Schaden entstanden sei, der sich unmittelbar aus dem Vorfall ergeben habe. „Wir sind der festen Überzeugung, dass die Scraping-Klagen unbegründet sind“, hatte Meta kommentiert.
Der sechste Zivilsenat hat anhand eines Falls aus Nordrhein-Westfalen unter anderem geklärt, ob die Standardvoreinstellung auf „alle“ bei der sogenannten Kontakt-Import-Funktion doch gegen die Datenschutz-Grundverordnung verstößt, ob der bloße Verlust der Kontrolle über die gescrapten Daten einen immateriellen Schaden begründet, wie dieser Schaden zu bemessen wäre und wie eine Schadensersatzklage begründet sein müsste.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Warum war der Fall juristisch von großer Bedeutung?
Nach Auskunft der Bundesrechtsanwaltskammer sind Tausende Klagen zu dem Thema vor den deutschen Land- und Oberlandesgerichten anhängig. Auch dem BGH liegen mehrere Revisionen zur Entscheidung vor. Die Instanzgerichte hätten die Rechtsfragen bislang sehr unterschiedlich beantwortet und die zugrundeliegende Rechtsprechung des Europäischen Gerichtshofs (EuGH) unterschiedlich interpretiert. Nach Angaben der Kanzlei Freshfields Bruckhaus Deringer, die Meta vertritt, hat sie mehr als 6.000 erst- und zweitinstanzliche klageabweisende Urteile erwirkt, was einer Erfolgsquote von über 85 Prozent entspreche.
Der BGH hat das jüngste Verfahren zu einem Leitentscheidungsverfahren bestimmt. Es ist das erste seiner Art, denn diese Möglichkeit gibt es erst seit Ende Oktober. Das Prozedere ermöglicht dem obersten deutschen Zivilgericht, in jedem Fall Leitentscheidungen zu den Rechtsfragen zu treffen – auch wenn Revisionen aus prozesstaktischen Gründen oder wegen eines Vergleichs zurückgenommen werden, wie im Scraping-Komplex schon geschehen.
Was unternimmt Facebook gegen Scraping?
„Da Scraper den normalen menschlichen Umgang mit unseren Produkten imitieren, werden wir nie in der Lage sein, jegliches Scraping vollständig zu unterbinden, ohne gleichzeitig die Möglichkeiten der Menschen zu beeinträchtigen, unsere Apps und Websites wie gewünscht zu nutzen“, hatte Meta schon 2021 mitgeteilt. Ein Team unter anderem aus Daten- und Analyse-Fachleuten sowie Entwicklern soll das unerlaubte Auslesen erkennen und blockieren. Um den Vorgang technisch zu erschweren, arbeiten sie den Angaben nach unter anderem mit Übertragungslimits, die die Häufigkeit von Interaktionen regeln. Datenlimits sollen verhindern, dass jemand mehr Daten bezieht, als zur normalen Nutzung der Produkte nötig. Und wenn sich bestimmte Muster herauskristallisieren, würden Anfragen blockiert.
Die Verbraucherzentrale rät zu Datensparsamkeit: „Wer sich bei Online-Diensten anmeldet, sollte wenn möglich nicht alle abgefragten Daten preisgeben.“ Mit dem Geburtsdatum etwa lasse sich leicht die Identität stehlen. „Überlegen Sie also bei jeder Veröffentlichung, ob Sie die Info auch laut durch einen Bus rufen würden.“ Ferner sollte man regelmäßig überprüfen, welche persönlichen Daten veröffentlicht sind. Wer sein Nutzerkonto nicht mehr gebraucht, sollte es löschen - das verringere das Risiko eines Datenmissbrauchs. Wichtig dabei: „Es reicht nicht, die App zu deinstallieren. Zunächst muss das Nutzerkonto gelöscht werden!“
Facebook konkret empfiehlt, die Einstellungen im „Privatsphäre-Check“ zu prüfen. Im Bereich „So kann man dich finden und kontaktieren“ in den Einstellungen könnten User und Userinnen festlegen, wer sie anhand von E-Mail-Adresse und Telefonnummer finden kann. Zudem könnten sie unter anderem bearbeiten, wer grundlegende Infos im Profil sehen kann.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1611700/1611746/original.jpg "Ein Sicherheitsforscher ist im Internet auf eine frei zugängliche Datenbank mit 420 Millionen Telefonnummern von Facebook-Nutzern gestoßen. (gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c8/77/c8777a9c7b67a3d4b7fc875598704159/0121013668v3.jpeg "Auf dem Prüfstand stehen die Fragen: Dürfen alle personenbezogenen Daten ohne zeitliche Einschränkung verarbeitet werden? Und: Wann hat jemand sensible Daten derart öffentlich gemacht, dass Facebook sie für Werbung nutzen darf? (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/e5/dde573927ce146ad48759d2fa1cb84be/0120873928v2.jpeg "Max Schrems erläutert auf der MCTTP das Wirrwarr rund um FISA, transatlantischer Datenaustausch und Datenschutz. (Bild: Paula Breukel)")
:quality(80)/p7i.vogel.de/wcms/8c/97/8c97b8d927dcdfbd62051c8393826d97/0115906805.jpeg "Ein bezahltes Facebook-Abo heißt lediglich, dass man keine Werbung eingespielt bekommt. Daten werden dennoch gesammelt. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e0/c1/e0c1affa494ade4503edc46b6f66586b/0122224968v2.jpeg "Nach dem Datenleck bei Facebook gibt es für Betroffene die Option zur Klage. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/d2/cbd273b3eca4edc573db6bcc0a64b161/0128417837v2.jpeg "Betroffen von einer weiteren Sammelklage könnten alle Facebook- und Instagram-Nutzenden sein, deren Daten über Meta-Business-Tools ohne Zustimmung gesammelt wurden. Sie können sich kostenlos über das Verbandsklageregister der Sammelklage anschließen, um möglichen Schadenersatz geltend zu machen.
( © Gina Sanders - Fotolia.com)")