Der u.a. für Rechtsstreitigkeiten über Ansprüche aus der Datenschutz-Grundverordnung zuständige VI. Zivilsenat verhandelt am 8. Oktober 2024 über zwei Revisionen, in denen sich die Frage stellt, welche Ansprüche Betroffenen zustehen, deren Daten im Rahmen eines sog. Scrapings von unbekannten Dritten erlangt und im Internet verbreitet wurden.
VI ZR 22/24
Die Beklagte betreibt das soziale Netzwerk Facebook. Anfang April 2021 wurden Daten von ca. 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet öffentlich verbreitet. Unbekannte Dritte hatten sich zuvor den Umstand zu Nutze gemacht, dass die Beklagte es in Abhängigkeit von den Suchbarkeits-Einstellungen des jeweiligen Nutzers ermöglicht, dass dessen Facebook-Profil mithilfe seiner Telefonnummer gefunden werden kann. Die unbekannten Dritten luden mit Hilfe automatisierter Tools über die Kontakt-Import-Funktion der Beklagten in großem Umfang Telefonnummern hoch, führten diese, sofern sie mit einem Nutzerkonto verknüpft waren, mit den dort verbundenen öffentlich zugänglichen Daten zusammen und griffen diese Daten sodann ab (sog. Scraping).
Von diesem Scraping-Vorfall waren auch Daten des Klägers (Nutzer-ID, Vor- und Nachname, Land und Geschlecht) betroffen, die auf diese Weise auch mit dessen Telefonnummer verknüpft wurden. Der Kläger macht geltend, die Beklagte habe keine ausreichenden Sicherheitsmaßnahmen ergriffen, um eine Ausnutzung der Kontakt-Tools zu verhindern. Ihm stehe wegen des erlittenen Ärgers und des Kontrollverlusts über seine Daten Ersatz für immaterielle Schäden zu. Er habe Ängste, Stress, Komfort- und Zeiteinbußen erlitten. Darüber hinaus begehrt der Kläger die Feststellung, dass die Beklagte verpflichtet sei, ihm in diesem Zusammenhang auch alle künftigen materiellen und immateriellen Schäden zu ersetzen, und nimmt die Beklagte auf Unterlassung und Auskunft in Anspruch. Die Beklagte hat die geltend gemachten Ansprüche abgelehnt, weil weder ein Verstoß gegen die Datenschutz-Grundverordnung vorliege noch dem Kläger ein kausaler Schaden entstanden sei.
Das Landgericht hat die Klage abgewiesen. Auf die Berufung des Klägers hat das Oberlandesgericht festgestellt, dass die Beklagte verpflichtet ist, dem Kläger alle künftigen materiellen und immateriellen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten entstanden sind und/oder noch entstehen werden. Im Übrigen hat es die Berufung des Klägers zurückgewiesen. Im Umfang der Berufungszurückweisung verfolgt der Kläger mit der vom Berufungsgericht zugelassenen Revision seine ursprünglich geltend gemachten Ansprüche weiter.
VI ZR 7/24
In dem diesem Verfahren zu Grunde liegenden Fall macht ein weiterer Kläger geltend, im Rahmen seiner Nutzung des sozialen Netzwerks Facebook seien durch unbekannte Dritte im Wege des Scrapings persönliche Daten (Telefonnummer, Facebook-ID, Name, Wohnort, Land und Arbeitgeber) abgeschöpft und im Darknet veröffentlicht worden. Er begehrt den Ersatz immateriellen Schadens, weil die Beklagte in mehrfacher Hinsicht gegen die Datenschutz-Grundverordnung verstoßen und seine Daten nicht ausreichend geschützt habe. Er habe einen erheblichen Kontrollverlust über seine Daten erlitten und verbleibe in einem Zustand großen Unwohlseins und großer Sorge über den Missbrauch seiner Daten. Darüber hinaus begehrt er die Feststellung, dass die Beklagte verpflichtet sei, ihm in diesem Zusammenhang alle künftigen Schäden zu ersetzen, und macht weitere Unterlassungs- und Auskunftsansprüche geltend.
Das Landgericht hat die Klage abgewiesen. Das Oberlandesgericht hat die hiergegen gerichtete Berufung des Klägers zurückgewiesen. Mit der vom Berufungsgericht zugelassenen Revision verfolgt der Kläger sein Klagebegehren weiter.