07.09.2023
Facebook-Scraping: Trotz Datenschutzverstoßes kein Schadenersatz
Das Oberlandesgericht (OLG) Hamm hat eine erste Leitentscheidung zu den so genannten Facebook-Scraping-Fällen gesprochen und eine Klage auf Zahlung von Schadenersatz nach der Datenschutz-Grundverordnung (DSGVO) abgewiesen. Nach dem Urteil liegen zwar Verstöße gegen datenschutzrechtliche Vorschriften vor; einen immateriellen Schaden konnte die Klägerin jedoch nicht ausreichend darlegen.
Im April 2021 veröffentlichten Unbekannte die Daten von etwa 500 Millionen Facebook-Nutzern im Darknet, darunter Namen und Telefonnummern. Die Daten hatten die Unbekannten zuvor über einen längeren Zeitraum zunächst unter Ausnutzung der Suchfunktionen von Facebook gesammelt, weshalb von "Scraping" gesprochen wird (von engl. to scrape für zusammenkratzen). Auch dann, wenn die Anzeige der eigenen Telefonnummer bei Facebook nicht aktiviert war, war es über die Suchfunktion möglich, einen Nutzer über eine eingegebene Telefonnummer zu identifizieren. Dies nutzen die unbekannten "Scraper" aus, indem sie millionenfach Telefonnummern mit dem Computer generierten und hierzu Daten abriefen.
Facebook deaktivierte die Suchfunktion für Telefonnummern im April 2018. Auf ein daraufhin angepasstes Scraping-Verfahren, das die Kontaktimportfunktion von Facebook ausnutzte, wurden weitere Daten abgegriffen, bis Facebook auch diese Funktion auf der Plattform im Oktober 2018 und im Facebook-Messenger im September 2019 deaktivierte.
Im Hinblick auf dieses "Datenleck" sind bundesweit zahlreiche Klagen gegen Meta als Betreiberin der Plattform anhängig, so auch im Bezirk des OLG Hamm, für den nunmehr die erste Entscheidung vorliegt.
Auch die Klägerin im nun entschiedenen Verfahren war von dem Scraping betroffen. In dem im Darknet veröffentlichten Datensatz fanden sich ihre Mobiltelefonnummer, ihr Vor- und Nachname sowie die Angabe ihres Geschlechts. Sie hat von Meta als Betreiberin der Plattform eine Entschädigung für immaterielle Schäden in Höhe von mindestens 1.000 Euro verlangt.
Die Klage war weder in erster noch in zweiter Instanz erfolgreich. Zwar hat das OLG Verstöße gegen die DSGVO festgestellt. Von einem immateriellen Schaden der Klägerin konnte es sich jedoch nicht überzeugen.
Das OLG ging davon aus, dass es auch im Zivilprozess Aufgabe des für die Datenverarbeitung Verantwortlichen – hier Meta – ist, die zulässige Verarbeitung dieser Daten nach der DSGVO nachzuweisen. Auch die Weitergabe von Daten an Dritte auf eine Suchfunktion oder eine Kontaktimportfunktion sei dabei Datenverarbeitung im Sinne der DSGVO. Meta habe hier nicht nachweisen können, dass die Weitergabe der Mobiltelefonnummer der Klägerin im Rahmen der Such- oder Kontaktimportfunktion nach der DSGVO gerechtfertigt war.
Auf die Erfüllung des Vertragszwecks als Rechtfertigungsgrund nach der DSGVO könne sich Meta dabei nicht berufen, da die Verarbeitung der Mobiltelefonnummer für die Vernetzung der Facebook-Nutzer untereinander unter Berücksichtigung des Grundsatzes der Datensparsamkeit nicht zwingend erforderlich sei. Für die Verarbeitung der Mobiltelefonnummer bedürfe es daher einer Einwilligung des Nutzers. Eine solche sei hier schon deswegen nicht wirksam erteilt worden, weil bei der seinerzeit erteilten Einwilligung der Klägerin in unzulässiger Weise mit von der Nutzerin auf Wunsch abwählbaren Voreinstellungen gearbeitet wurde ("opt-out") und die Informationen über die Such- und Kontaktimportfunktion unzureichend und intransparent waren.
Auch eine grundsätzlich zum Schadenersatz führende Pflichtverletzung hat das OLG bejaht, da Meta trotz der konkreten Kenntnis von dem Datenabgriff naheliegende Maßnahmen zur Verhinderung weiteren unbefugten Datenabgriffs unterlassen habe.
Es hat der Klägerin im Ergebnis aber dennoch keinen Schadenersatz zuerkannt. Die Klägerin habe hier lediglich immaterielle Schäden geltend gemacht, was nach der DSGVO grundsätzlich möglich sei und zu einer Entschädigung ähnlich einem Schmerzensgeld führen könne. Allerdings sei es der Klägerin nicht gelungen, einen konkreten immateriellen Schaden darzulegen. Dabei geht das OLG davon aus, dass der immaterielle Schaden nicht in dem bloßen Verstoß gegen die DSGVO selbst liegen kann, sondern darüberhinausgehende persönliche beziehungsweise psychologische Beeinträchtigungen eingetreten sein müssen.
Solche habe die Klägerin jedoch nicht individuell dargelegt. Der zu einer Vielzahl an ähnlich gelagerten Verfahren identische, pauschale Vortrag, die "Klägerpartei" habe Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt und Aufwand an Zeit und Mühe gehabt, reiche zur Darlegung einer konkret-individuellen Betroffenheit nicht aus. Auch sei der hier in Rede stehende Datenmissbrauch, der zur ungewollten Veröffentlichung von Name und Mobiltelefonnummer geführt hat, nicht so schwerwiegend, dass der Eintritt eines immateriellen Schadens ohne Weiteres naheliegt. Auch habe die Klägerin in ihrer persönlichen Anhörung lediglich ausgeführt, sie habe ein "Gefühl der Erschrockenheit" erlitten.
Das OLG hat den Streitwert für das Verfahren mit lediglich 3.000 Euro bewertet. Der Europäische Gerichtshof (EuGH) habe die entscheidenden Rechtsfragen jüngst geklärt. Deswegen sah das OLG weder eine Vorlage an den EuGH veranlasst noch die Zulassung der Revision.
Oberlandesgericht Hamm, Urteil vom 15.08.2023, 7 U 19/23