"Datendiebe" erlangten vor einigen Jahren Namen und Telefonnummern von 500 Millionen Facebook-Nutzern. Viele Betroffene klagen. Das OLG Hamm entschied nun: Allein ein DSGVO-Verstoß reicht für einen Schadensersatzanspruch nicht aus.
Erstmals hat sich ein Oberlandesgericht mit den Folgen des "Datenlecks" bei Facebook beschäftigt. Das Oberlandesgericht (OLG) Hamm stellte fest, Facebook habe gegen die Datenschutzgrundverordnung (DSGVO) verstoßen, sodass der Mutterkonzern Meta grundsätzlich haften müsse (Urt. v. 15.08.2023, Az. 7 U 19/23). Trotzdem ging die klagende Nutzerin leer aus. Sie habe ihren erlittenen immateriellen Schaden nicht konkret genug darlegen können, teilte das Gericht am Mittwoch mit. Das Landgericht (LG) Bielefeld hatte die Klage in erster Instanz abgewiesen. Auch die Berufung vor dem OLG Hamm blieb nun ohne Erfolg. In ganz Deutschland gibt es viele fast gleichlautende Klagen.
Unbekannte hatten in dem sozialen Netzwerk vor Jahren eine Funktion zur Freunde-Suche missbraucht und so Daten von etwa 500 Millionen Nutzern erlangt – darunter Namen und Telefonnummern. Die bei Facebook gespeicherten Telefonnummern waren zwar eigentlich nicht offen sichtbar, konnten aber über automatisierte Anfragen – sogenanntes Scraping – in großem Stil abgegriffen werden. Auch dann, wenn die Anzeige der eigenen Telefonnummer bei Facebook nicht aktiviert war, war es über die Suchfunktion möglich, einen Nutzer über eine eingegebene Telefonnummer zu identifizieren. Dies nutzen die unbekannten "Scraper" aus, indem sie Telefonnummern mit dem Computer generierten und hierzu Daten abriefen. Facebook schaltete die Funktion deshalb ab. Daraufhin passten die "Scraper" ihr Verfahren so an, dass sie mithilfe der Kontaktimportfunktion weitere Daten abgreifen konnten, bis Facebook auch diese Funktion deaktivierte.
2019 und noch einmal 2021 tauchten die abgegriffenen Daten im Darknet auf. So auch die Daten der klagenden Nutzerin: In einem Datensatz befanden sich ihre Mobiltelefonnummer, ihr Vor- und Nachname sowie die Angabe ihres Geschlechts. Das kann viele Folgen haben: Wenn persönliche Informationen wie E-Mail-Adressen und Telefonnummern im Umlauf sind, steigt beispielsweise die Gefahr, dass Menschen auf gefälschte E-Mails hereinfallen, weil sie authentischer gestaltet werden können.
Betroffene des "Datenlecks" klagen nun vor Gerichten in ganz Deutschland massenhaft gegen Meta – mit fast gleichlautenden Klagen und der Forderung nach 1.000 Euro Schadenersatz. Begründet werde das pauschal damit, man habe "Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit", gab das Gericht in seiner Presseerklärung bekannt.
Kläger müssen konkreten immateriellen Schaden darlegen
Das war den Richtern in Hamm zu wenig. Die Klägerin habe lediglich immaterielle Schäden geltend gemacht, was nach der DSGVO gemäß Art. 82 grundsätzlich möglich sei und zu einer Entschädigung ähnlich einem Schmerzensgeld führen könne. Allerdings sei es der Klägerin nicht gelungen, einen konkreten immateriellen Schaden darzulegen.
Dabei geht das OLG davon aus, dass der Schaden nicht in dem bloßen Verstoß gegen die DSGVO selbst liegen könne, sondern darüberhinausgehende "persönliche bzw. psychologische Beeinträchtigungen eingetreten sein" müssen. Die Klägerin hätte jedoch in ihrer persönlichen Anhörung vor dem LG lediglich ausgeführt, sie habe ein "Gefühl der Erschrockenheit" erlitten. Dies sei nicht so schwerwiegend, dass ein Schaden ohne weiteres naheliege, so das OLG. In der Entscheidung, die das Gericht als "Leitentscheidung" bezeichnet, wurde die Klage der Nutzerin deshalb abgewiesen.
Dabei waren die Richter davon überzeugt, dass Facebook tatsächlich gegen Datenschutz-Vorschriften verstoßen hatte. Auch die Weitergabe von Daten an Dritte durch eine Suchfunktion oder eine Kontaktimportfunktion sei dabei Datenverarbeitung im Sinne der DSGVO, so das OLG. Meta hätte hier nicht nachweisen können, dass die Weitergabe der Telefonnummer der Klägerin nach der DSGVO gerechtfertigt war. Auf die Erfüllung des Vertragszwecks als Rechtfertigungsgrund nach der DSGVO könne sich Meta nicht berufen, da die Verarbeitung der Mobiltelefonnummer für die Vernetzung der Nutzerinnen und Nutzer von Facebook untereinander nicht zwingend erforderlich sei. Es gelte der Grundsatz der Datensparsamkeit.
Keine wirksame Einwilligung der Nutzer
Für die Verarbeitung der Telefonnummer bedürfe es daher einer Einwilligung der Nutzer. Eine solche sei hier schon deswegen nicht wirksam erteilt worden, weil bei der ursprünglichen Einwilligung der Klägerin in unzulässiger Weise mit abwählbaren Voreinstellungen gearbeitet wurde ("opt-out"). Außerdem seien die Informationen über die Such- und Kontaktimportfunktion unzureichend und intransparent gewesen. Mit anderen Worten: Facebook hat dem OLG zufolge damals ein datenschutzwidriges Verfahren genutzt, um von Nutzern die Zustimmung zur Verwendung ihrer Daten einzuholen.
Auch eine grundsätzlich zum Schadensersatz führende Pflichtverletzung hat das OLG bejaht. Denn als der "Datendiebstahl" bekannt geworden sei, habe Meta – trotz einer konkreten Kenntnis – "naheliegende Maßnahmen zur Verhinderung weiteren unbefugten Datenabgriffs nicht ergriffen", bemängelten die Richter.
OLG verweist auf neue Rechtsprechung des EuGH
Das Urteil ist noch nicht rechtskräftig. Allerdings hat das Gericht keine Revision zugelassen. Es habe keinen Anlass gesehen, das Verfahren dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vorzulegen oder die Revision zuzulassen, da die entscheidenden Rechtsfragen jüngst durch den EuGH geklärt wurden, so das OLG. Damit dürfte das OLG das Urteil des EuGH vom 4. Mai 2023 meinen. Darin erklärt der EuGH, dass nicht jeder Verstoß gegen eine Vorschrift der DSGVO automatisch einen Anspruch auf Schadensersatz gemäß Art. 82 DSGVO auslöst.
Sein Ergebnis begründet der EuGH unter anderem mit dem Wortlaut der Norm, welche einen kausalen "materiellen oder immateriellen Schaden" voraussetzt. Eine Erheblichkeitsschwelle müsse müsse beim Schadeb aber nicht überschritten werden, so der EuGH. Ziel der DSGVO sei es, ein gleichmäßiges und hohes Schutzniveau bei der Verarbeitung personenbezogener Daten in der EU zu gewährleisten. Eine Erheblichkeitsschwelle könne von den zuständigen Gerichten unterschiedlich hoch angesetzt werden, sodass ein solches Erfordernis dem Ziel der DSGVO zuwiderlaufen würde.
Facebooks Mutterkonzern Meta verstößt immer wieder gegen Datenschutzregeln und muss deshalb regelmäßig hohe Bußgelder wegen DSGVO-Verstößen zahlen. Dabei ging es in der Vergangenheit unter anderem um personalisierte Werbung und die Beteiligung an der Massenüberwachung durch amerikanische Geheimdienste.
Mit Materialien der dpa
OLG Hamm zum "Datendiebstahl" bei Facebook: . In: Legal Tribune Online, 06.09.2023 , https://www.lto.de/persistent/a_id/52641 (abgerufen am: 03.11.2024 )
Infos zum Zitiervorschlag