Schadensersatz Scraping Facebook: OLG lehnt ab | IT-Medienrecht

Erfahren Sie, warum das OLG Stuttgart Schadensersatz für Facebook Scraping-Vorfälle ablehnt. Aktuelle Urteile zu DSGVO, Datenlecks & Haftung von Meta.…

Das Wichtigste in Kürze

  • Das OLG Stuttgart hat die meisten Klagen auf immateriellen Schadensersatz nach dem Facebook-Datenleck abgewiesen.
  • Für Schadensersatz nach Art. 82 Abs. 1 DSGVO ist eine "spürbare immaterielle Beeinträchtigung" erforderlich; bloßer Kontrollverlust über Daten genügt nicht.
  • Unterlassungs- und Auskunftsansprüche wurden ebenfalls weitgehend zurückgewiesen.
  • In einem Fall wurde eine künftige Ersatzpflicht aufgrund von Verstößen gegen Art. 5 Abs. 1 f) und Art. 25 Abs. 2 DSGVO (Kontakt-Import-Tool, Opt-Out-Modell) festgestellt.
  • Die Zulassung der Revision in einem Fall deutet auf eine weitere Klärung durch höhere Gerichte, einschließlich des EuGH, hin.

OLG Stuttgart: Keine pauschalen Schadensersatzansprüche nach Facebook-Datenleck (Scraping)

Der 4. Zivilsenat des Oberlandesgerichts (OLG) Stuttgart hat in zwei Urteilen über Ansprüche im Zusammenhang mit einem Datenleck bei Facebook (Scraping) entschieden. Insgesamt sind bei diesem Senat mittlerweile über 100 solcher Fälle anhängig.

Bundesweit soll es sogar mehr als 6.000 Verfahren geben. Bereits im Dezember stehen weitere Verkündungstermine an, die für viele Betroffene von großer Bedeutung sein werden.

Die Kläger machen gegenüber Meta (vormals Facebook) mehrere Verstöße gegen die Datenschutzgrundverordnung (DSGVO) geltend. Nach einem Datenabgriff ab 2018 wurden persönliche Daten der Kläger ausgelesen und mit deren Handynummer verknüpft.

Im Jahr 2021 wurden weltweit 533 Millionen entsprechende Datensätze im Darknet veröffentlicht. Die Kläger verlangen immateriellen Schadensersatz wegen dieser DSGVO-Verstöße sowie die Feststellung einer künftigen Ersatzpflicht.

Weitere Forderungen umfassen die Unterlassung der Zugänglichmachung von Daten ohne Sicherheitsmaßnahmen, die Unterlassung der Verarbeitung der Telefonnummer und Auskunft über die abgegriffenen Daten. Zwischen den Parteien besteht in vielen Punkten Streit über diese Ansprüche.

Die OLG-Entscheidung zu DSGVO-Ansprüchen nach dem Datenleck

Der Senat hat die Klagen überwiegend abgewiesen. Lediglich der Feststellungsantrag hatte in einem der Verfahren Erfolg. Dies unterstreicht die hohen Hürden bei der Durchsetzung von Schadensersatzansprüchen.

Immaterieller Schadensersatzanspruch abgelehnt

Für den Anspruch auf Schadensersatz nach DSGVO gemäß Art. 82 Abs. 1 DSGVO konnte der Senat keine spürbare immaterielle Beeinträchtigung der jeweiligen Kläger feststellen. Art. 82 Abs. 1 DSGVO gewährt einen Anspruch auf Ersatz des materiellen oder immateriellen Schadens, wenn ein DSGVO-Verstoß vorliegt und dieser einen Schaden verursacht hat.

Der Europäische Gerichtshof (EuGH) hat klargestellt, dass für das Vorliegen eines Schadens keine Erheblichkeits- oder Bagatellschwelle gilt. Trotzdem konnte der Senat nach Anhörung der Kläger keine tatsächliche immaterielle Beeinträchtigung feststellen. Die Kläger hatten dies schriftsätzlich nicht ausreichend vorgetragen.

Es wurden lediglich bloße Lästigkeiten und Unannehmlichkeiten geschildert. Der bloße Kontrollverlust über personenbezogene Daten allein begründet demnach noch keine spürbare Beeinträchtigung im Sinne des Art. 82 Abs. 1 DSGVO.

Unterlassungsanspruch ohne Erfolg

Der geltend gemachte Anspruch auf Unterlassung hatte aus Rechtsgründen keinen Erfolg. Dies liegt an der bisherigen Rechtsprechung des Bundesgerichtshofs (BGH, z.B. Urteil vom 12.10.2021, VI ZR 488/19 Rn. 69).

Diese geht davon aus, dass Ansprüche aus §§ 823, 1004 BGB nach deutschem Recht durch Art. 17 DSGVO gesperrt sind. Art. 17 DSGVO normiert jedoch lediglich einen Anspruch auf Löschung und (erneute) Speicherung.

Er räumt keine Rechte bezüglich der Datenverarbeitungsvorgänge ein, da dem Verantwortlichen für die Datenverarbeitung keine Verarbeitungsmethoden vorgeschrieben werden können.

Auskunftsanspruch abgewiesen

Auch der Auskunftsantrag wurde abgewiesen. Die Beklagte hat bereits Auskunft erteilt. Bezüglich der Frage der Empfänger der Daten wurde eine Unmöglichkeit der Auskunft angenommen.

Meta (vormals Facebook) hat unwidersprochen geltend gemacht, dass sie diese nicht kennt und nicht ermitteln konnte.

Feststellung einer künftigen Ersatzpflicht teilweise bestätigt

Die beantragte Feststellung einer weitergehenden Ersatzpflicht hatte in einem der zwei Verfahren Erfolg. Der Senat hat insbesondere Verstöße gegen Art. 5 Abs. 1 f) DSGVO (Wahrung von Integrität und Vertraulichkeit) und Art. 25 Abs. 2 DSGVO (fehlende datenschutzfreundliche Voreinstellungen) festgestellt.

Durch die Möglichkeit eines Zugriffs auf persönliche Daten im sogenannten Kontakt-Import-Tool wurde gegen Art. 5 Abs. 1 f) DSGVO verstoßen. Die Voreinstellung einer Zugriffsmöglichkeit, die aktiv abgewählt werden muss, verstößt gegen das Verbot eines Opt-Out-Modells. Dies stellt einen wichtigen Aspekt für den Datenschutz dar.

Verfahrensfortgang und Ausblick

Im Hinblick auf Abweichungen von einem Urteil des OLG Hamm (Urteil vom 15.08.2023, 7 U 19/23) und den Vorlagebeschluss des Bundesgerichtshofs an den Europäischen Gerichtshof (vom 26.09.2023; VI ZR 97/22) hat der Senat in dem teilweise erfolgreichen Fall (4 U 20/23) die Revision zugelassen.

Dies deutet darauf hin, dass die rechtliche Klärung auf höherer Ebene fortgesetzt wird. Im zweiten Fall ist die Klage aus tatsächlichen Gründen vollständig abgewiesen worden, was die Komplexität solcher Verfahren unterstreicht.

Fazit

Die Urteile des OLG Stuttgart verdeutlichen die hohen Anforderungen an Kläger, um nach einem Datenleck Schadensersatzansprüche erfolgreich durchzusetzen. Obwohl der Verlust der Kontrolle über Daten nicht bagatellisiert werden darf, bedarf es einer spürbaren immateriellen Beeinträchtigung.

Die zukünftigen Entscheidungen, insbesondere durch den EuGH, werden weitere Klarheit in diesem wichtigen Bereich des IT-Rechts schaffen und die Rechtsprechung maßgeblich beeinflussen.

Häufig gestellte Fragen

Was war die Kernaussage des Urteils des OLG Stuttgart zum Facebook-Datenleck?
Das OLG Stuttgart hat in den meisten Fällen die Klagen auf immateriellen Schadensersatz nach dem Facebook-Datenleck abgewiesen. Es betonte die hohen Hürden für die Durchsetzung solcher Ansprüche.
Warum wurden die meisten Schadensersatzansprüche abgewiesen?
Der Senat konnte keine "spürbare immaterielle Beeinträchtigung" der Kläger feststellen, die über bloße Lästigkeiten hinausgeht. Ein bloßer Kontrollverlust über Daten reicht demnach nicht aus.
Welche Voraussetzungen müssen für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO erfüllt sein?
Nach Art. 82 Abs. 1 DSGVO muss ein DSGVO-Verstoß vorliegen, der einen materiellen oder immateriellen Schaden verursacht hat. Es bedarf eines konkret festzustellenden Schadens.
Wurden im Rahmen der Klagen auch andere Anträge gestellt und wie wurde darüber entschieden?
Neben Schadensersatz wurden auch Unterlassungs- und Auskunftsansprüche geltend gemacht, die überwiegend abgewiesen wurden. Lediglich ein Feststellungsantrag einer künftigen Ersatzpflicht hatte in einem Fall Erfolg.
Welche Bedeutung hat die Zulassung der Revision in einem der Verfahren?
Die Zulassung der Revision deutet darauf hin, dass die rechtliche Klärung auf höherer Ebene, möglicherweise bis zum Bundesgerichtshof und Europäischen Gerichtshof, fortgesetzt wird, um weitere Klarheit zu schaffen.