Aus Linux-Magazin 09/2025

Urteil zu DSGVO-Verstoß

© Thanakorn Lappattaranan / 123RF.com

Das Landgericht Leipzig sieht erhebliche Datenschutzverstöße durch die Business-Tools von Meta. Das könnte weitere Nutzer zu Klagen ermuntern.

In der gegen Meta Platforms Ireland betriebenen Klage hat die für Datenschutzrecht zuständige 5. Zivilkammer des Landgerichts Leipzig (Abbildung 1) einem Facebook-Nutzer eine Entschädigung wegen Datenschutzverstößen von 5000 Euro zugesprochen [1]. Das Landgericht rechtfertigte die Entschädigung in dieser Höhe mit der Feststellung, “dass Meta mit seinen Business-Tools massiv gegen europarechtlichen Datenschutz verstößt, die personenbezogenen Daten zu einem Profiling der Nutzer von Facebook verarbeitet und Meta mit dem Geschäftsmodell der personalisierten Werbung Milliardengewinne einfährt”.

Abbildung 1: Am Landgericht Leipzig fiel das Urteil gegen Meta. Quelle: Landgericht Leipzig

Abbildung 1: Am Landgericht Leipzig fiel das Urteil gegen Meta. Quelle: Landgericht Leipzig

Dem Gericht zufolge ist durch die Business-Tools (Abbildung 2) jeder Nutzer für Meta “zu jeder Zeit individuell erkennbar, sobald er sich auf den Dritt-Webseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Account von Instagram und Facebook angemeldet hat”. Die Daten sendet Meta Ireland “ausnahmslos weltweit in Drittstaaten, insbesondere in die USA”, wo Meta die Daten “in für den Nutzer unbekanntem Maß” auswertet.

Kein Datenleck nötig

Anders als in früheren Verfahren ging es diesem Fall nicht um einen Schadenersatz durch ein Datenleck, sondern um eine Entschädigung für die normale Nutzung. Das Gericht stützt seine Entscheidung daher ausschließlich auf den Artikel 82 [2] der EU-Datenschutz-Grundverordnung (DSGVO). Damit setzt das LG Leipzig auf Europarecht und nicht, wie andere Gerichte in vergleichbaren Fällen, auf das nationale Recht bei Persönlichkeitsrechtsverletzungen.

Abbildung 2: Die Meta Business Suite zählt zu den Tools, die Daten liefern. Quelle: Meta

Abbildung 2: Die Meta Business Suite zählt zu den Tools, die Daten liefern. Quelle: Meta

Nach Einschätzung des Gerichts muss die Höhe des Schmerzensgelds über die in der nationalen Rechtsprechungspraxis etablierten Schmerzensgeldbeträge hinausgehen. Laut Bundeskartellamt verfügt Meta im Bereich der sozialen Medien über eines der führenden Werbeangebote. Im Jahr 2021 erzielte der Konzern demnach bereits 115 Milliarden Dollar Werbeeinnahmen, bei einem Gesamtumsatz von 118 Milliarden Dollar, sodass die Werbeeinnahmen 97 Prozent vom Umsatz ausmachten. Der finanzielle Wert eines einzigen Nutzerprofils, in dem sämtliche Daten über die Person gespeichert sind, ist auf datenverarbeitenden Märkten enorm, befand das Gericht. Dass der hohe Wert von Daten auch der Wahrnehmung in der Gesellschaft entspricht, sieht das Gericht durch diverse Studien bestätigt.

Den Verzicht auf eine Anhörung des Facebook-Nutzers in der Verhandlung begründete das Gericht damit, dass keine weiteren Erkenntnisse zu erwarten gewesen wären, die über die Mitteilung des im Allgemeinen eher diffusen Gefühls des Datenverlusts und der Verunsicherung hinausgingen. “Es ist ja gerade das Problem der Klagepartei und auch des Gerichts, festzustellen, was konkret Meta mit den Daten macht und noch vorhat”, verlautbarten die Leipziger.

Zur Begründung verweist das Gericht vor allem auf ein Urteil [3] des Europäischen Gerichtshofs (EuGH) zur Kompetenz des Bundeskartellamts bei der Kontrolle von Meta. Darin schrieben die Luxemburger Richter: “Im Übrigen ist die im Ausgangsverfahren in Rede stehende Verarbeitung besonders umfassend, da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von Meta Platforms Ireland aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird.”

Auch die Frage, ob die Verarbeitung solcher sensiblen Daten ausnahmsweise zulässig ist, weil die betroffene Person diese Daten offensichtlich öffentlich gemacht hat, beantwortete der Europäische Gerichtshof. Er stellte klar, “dass die bloße Tatsache, dass ein Nutzer Websites oder Apps aufruft, die solche Informationen offenbaren können, keineswegs bedeutet, dass er seine Daten im Sinne der DSGVO offensichtlich öffentlich macht. Ebenso verhält es sich, wenn ein Nutzer Daten auf solchen Websites oder in solchen Apps eingibt oder darin eingebundene Schaltflächen betätigt, es sei denn, er hat zuvor explizit seine Entscheidung zum Ausdruck gebracht, die ihn betreffenden Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich zu machen”.

Allgemeine Betroffenheit

Das Gericht stellte daher “für eine Mindestentschädigung von 5000 Euro auf die allgemeine Betroffenheit des aufmerksamen und verständigen ‘Durchschnitts’-Betroffenen im Sinne der DSGVO ab”. Die Entscheidung könnte dazu führen, “dass viele Facebook-Nutzer Klage erheben, ohne einen individuellen Schaden explizit darzulegen”. Das widerspricht jedoch laut Gericht keineswegs dem Ziel der DSGVO, “gerade auch mittels Private Enforcement den Datenschutz vor Zivilgerichten und damit jenseits rein behördlicher Maßnahmen effektiv durchzusetzen”.

Es ist allerdings kaum zu erwarten, dass das Urteil vor höheren Instanzen Bestand haben wird. So entschied der Europäische Gerichtshof im Mai 2023, dass nicht jeder DSGVO-Verstoß einen Schadenersatz rechtfertigt [4]. Zu den Voraussetzungen dafür gehören laut EuGH “eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden”.

Zudem geht der Schadenersatz deutlich über jenen für Nutzer hinaus, die von Datenlecks betroffen waren. Der Bundesgerichtshof deutete in einem Verfahren eine Entschädigung in Höhe von 100 Euro pro Person an [5]. Er hob aber gleichzeitig auf die maßgebliche Rechtsprechung des EuGH ab, laut der auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten durch einen Verstoß gegen die Datenschutz-Grundverordnung ein immaterieller Schaden im Sinne der Norm sein kann: “Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein, noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen”, hieß es im Verfahren. (uba)

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 2 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben