Das Wichtigste in Kürze
- Das OLG Stuttgart hat die meisten Klagen auf immateriellen Schadensersatz nach dem Facebook-Datenleck abgewiesen.
- Für Schadensersatz nach Art. 82 Abs. 1 DSGVO ist eine "spürbare immaterielle Beeinträchtigung" erforderlich; bloßer Kontrollverlust über Daten genügt nicht.
- Unterlassungs- und Auskunftsansprüche wurden ebenfalls weitgehend zurückgewiesen.
- In einem Fall wurde eine künftige Ersatzpflicht aufgrund von Verstößen gegen Art. 5 Abs. 1 f) und Art. 25 Abs. 2 DSGVO (Kontakt-Import-Tool, Opt-Out-Modell) festgestellt.
- Die Zulassung der Revision in einem Fall deutet auf eine weitere Klärung durch höhere Gerichte, einschließlich des EuGH, hin.
OLG Stuttgart: Keine pauschalen Schadensersatzansprüche nach Facebook-Datenleck (Scraping)
Der 4. Zivilsenat des Oberlandesgerichts (OLG) Stuttgart hat in zwei Urteilen über Ansprüche im Zusammenhang mit einem Datenleck bei Facebook (Scraping) entschieden. Insgesamt sind bei diesem Senat mittlerweile über 100 solcher Fälle anhängig.
Bundesweit soll es sogar mehr als 6.000 Verfahren geben. Bereits im Dezember stehen weitere Verkündungstermine an, die für viele Betroffene von großer Bedeutung sein werden.
Die Kläger machen gegenüber Meta (vormals Facebook) mehrere Verstöße gegen die Datenschutzgrundverordnung (DSGVO) geltend. Nach einem Datenabgriff ab 2018 wurden persönliche Daten der Kläger ausgelesen und mit deren Handynummer verknüpft.
Im Jahr 2021 wurden weltweit 533 Millionen entsprechende Datensätze im Darknet veröffentlicht. Die Kläger verlangen immateriellen Schadensersatz wegen dieser DSGVO-Verstöße sowie die Feststellung einer künftigen Ersatzpflicht.
Weitere Forderungen umfassen die Unterlassung der Zugänglichmachung von Daten ohne Sicherheitsmaßnahmen, die Unterlassung der Verarbeitung der Telefonnummer und Auskunft über die abgegriffenen Daten. Zwischen den Parteien besteht in vielen Punkten Streit über diese Ansprüche.
Die OLG-Entscheidung zu DSGVO-Ansprüchen nach dem Datenleck
Der Senat hat die Klagen überwiegend abgewiesen. Lediglich der Feststellungsantrag hatte in einem der Verfahren Erfolg. Dies unterstreicht die hohen Hürden bei der Durchsetzung von Schadensersatzansprüchen.
Immaterieller Schadensersatzanspruch abgelehnt
Für den Anspruch auf Schadensersatz nach DSGVO gemäß Art. 82 Abs. 1 DSGVO konnte der Senat keine spürbare immaterielle Beeinträchtigung der jeweiligen Kläger feststellen. Art. 82 Abs. 1 DSGVO gewährt einen Anspruch auf Ersatz des materiellen oder immateriellen Schadens, wenn ein DSGVO-Verstoß vorliegt und dieser einen Schaden verursacht hat.
- Verlust der Kontrolle über personenbezogene Daten
- Einschränkung von Rechten
- Diskriminierung
- Identitätsdiebstahl oder -betrug
- Finanzielle Verluste
- Unbefugte Aufhebung der Pseudonymisierung
- Rufschädigung
- Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten
- Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile
- Verlust der Kontrolle über personenbezogene Daten
- Einschränkung von Rechten
- Diskriminierung
- Identitätsdiebstahl oder -betrug
- Finanzielle Verluste
- Unbefugte Aufhebung der Pseudonymisierung
- Rufschädigung
- Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten
- Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile
Der Europäische Gerichtshof (EuGH) hat klargestellt, dass für das Vorliegen eines Schadens keine Erheblichkeits- oder Bagatellschwelle gilt. Trotzdem konnte der Senat nach Anhörung der Kläger keine tatsächliche immaterielle Beeinträchtigung feststellen. Die Kläger hatten dies schriftsätzlich nicht ausreichend vorgetragen.
Es wurden lediglich bloße Lästigkeiten und Unannehmlichkeiten geschildert. Der bloße Kontrollverlust über personenbezogene Daten allein begründet demnach noch keine spürbare Beeinträchtigung im Sinne des Art. 82 Abs. 1 DSGVO.
Unterlassungsanspruch ohne Erfolg
Der geltend gemachte Anspruch auf Unterlassung hatte aus Rechtsgründen keinen Erfolg. Dies liegt an der bisherigen Rechtsprechung des Bundesgerichtshofs (BGH, z.B. Urteil vom 12.10.2021, VI ZR 488/19 Rn. 69).
Diese geht davon aus, dass Ansprüche aus §§ 823, 1004 BGB nach deutschem Recht durch Art. 17 DSGVO gesperrt sind. Art. 17 DSGVO normiert jedoch lediglich einen Anspruch auf Löschung und (erneute) Speicherung.
Er räumt keine Rechte bezüglich der Datenverarbeitungsvorgänge ein, da dem Verantwortlichen für die Datenverarbeitung keine Verarbeitungsmethoden vorgeschrieben werden können.
Auskunftsanspruch abgewiesen
Auch der Auskunftsantrag wurde abgewiesen. Die Beklagte hat bereits Auskunft erteilt. Bezüglich der Frage der Empfänger der Daten wurde eine Unmöglichkeit der Auskunft angenommen.
Meta (vormals Facebook) hat unwidersprochen geltend gemacht, dass sie diese nicht kennt und nicht ermitteln konnte.
Feststellung einer künftigen Ersatzpflicht teilweise bestätigt
Die beantragte Feststellung einer weitergehenden Ersatzpflicht hatte in einem der zwei Verfahren Erfolg. Der Senat hat insbesondere Verstöße gegen Art. 5 Abs. 1 f) DSGVO (Wahrung von Integrität und Vertraulichkeit) und Art. 25 Abs. 2 DSGVO (fehlende datenschutzfreundliche Voreinstellungen) festgestellt.
Durch die Möglichkeit eines Zugriffs auf persönliche Daten im sogenannten Kontakt-Import-Tool wurde gegen Art. 5 Abs. 1 f) DSGVO verstoßen. Die Voreinstellung einer Zugriffsmöglichkeit, die aktiv abgewählt werden muss, verstößt gegen das Verbot eines Opt-Out-Modells. Dies stellt einen wichtigen Aspekt für den Datenschutz dar.
Verfahrensfortgang und Ausblick
Im Hinblick auf Abweichungen von einem Urteil des OLG Hamm (Urteil vom 15.08.2023, 7 U 19/23) und den Vorlagebeschluss des Bundesgerichtshofs an den Europäischen Gerichtshof (vom 26.09.2023; VI ZR 97/22) hat der Senat in dem teilweise erfolgreichen Fall (4 U 20/23) die Revision zugelassen.
Dies deutet darauf hin, dass die rechtliche Klärung auf höherer Ebene fortgesetzt wird. Im zweiten Fall ist die Klage aus tatsächlichen Gründen vollständig abgewiesen worden, was die Komplexität solcher Verfahren unterstreicht.
Fazit
Die Urteile des OLG Stuttgart verdeutlichen die hohen Anforderungen an Kläger, um nach einem Datenleck Schadensersatzansprüche erfolgreich durchzusetzen. Obwohl der Verlust der Kontrolle über Daten nicht bagatellisiert werden darf, bedarf es einer spürbaren immateriellen Beeinträchtigung.
Die zukünftigen Entscheidungen, insbesondere durch den EuGH, werden weitere Klarheit in diesem wichtigen Bereich des IT-Rechts schaffen und die Rechtsprechung maßgeblich beeinflussen.