Kein Schadensersatz für Scrapingvorfälle bei Facebook

Der 4. Zivilsenat des Oberlandesgerichts Stuttgart hat  in zwei Urteilen über Ansprüche im Zusammenhang mit einem Datenleck bei Facebook (Scraping) entschieden. Insgesamt sind bei dem Senat mittlerweile über 100 Fälle anhängig – bundesweit soll es mehr als 6.000 Verfahren geben. Bereits im Dezember stehen weitere Verkündungstermine an.

Die Kläger machen gegenüber Meta (vormals Facebook) jeweils mehrere Verstöße gegen die Datenschutzgrundverordnung (DSGVO) geltend, nachdem es ab 2018 zu einem Datenabgriff kam, bei dem persönliche Daten der Kläger ausgelesen und mit deren Handynummer verknüpft wurden. Insgesamt wurden 2021 weltweit 533 Millionen entsprechende Datensätze im Darknet veröffentlicht.

Die Kläger verlangen immateriellen Schadenersatz wegen Verstößen gegen die DSGVO, die Feststellung einer künftigen Ersatzpflicht, Unterlassung der Zugänglichmachung der Daten ohne Sicherheitsmaßnahmen, Unterlassung der Verarbeitung der Telefonnummer und (weitere) Auskunft über die abgegriffenen Daten. Zwischen den Parteien besteht dabei an vielen Positionen Streit.

Entscheidung des Senats

Der Senat hat die Klagen überwiegend abgewiesen, lediglich der Feststellungsantrag hatte Erfolg.

Für den Anspruch auf Schadenersatz wegen Art. 82 Abs. 1 DSGVO konnte der Senat eine spürbare immaterielle Beeinträchtigung der jeweiligen Kläger nicht feststellen. Art. 82 Abs. 1 DSGVO gewährt einen Anspruch auf Ersatz des materiellen oder immateriellen Schadens, wenn bezüglich des betroffenen Klägers ein Verstoß gegen die DSGVO vorliegt, der einen Schaden verursacht hat.

Der Begriff des konkret festzustellenden Schadens erfordert eine einheitliche europarechtliche Definition, wobei nach den Erwägungsgründen zur DSGVO der Verlust der Kontrolle über personenbezogene Daten, die Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person genügen sollen.

Der Europäische Gerichtshof hat insoweit vorgegeben, dass für das Vorliegen eines Schadens keine Erheblichkeits- oder Bagatellschwelle gilt. Nach der Anhörung der Kläger – die nicht ausreichend schriftsätzlich vorgetragen hatten – konnte der Senat eine tatsächliche immaterielle Beeinträchtigung nicht feststellen, weil bloße Lästigkeiten und Unannehmlichkeiten geschildert wurden und der bloße Kontrollverlust noch keine Beeinträchtigung begründet.

Der weiterhin geltend gemachte Anspruch auf Unterlassung hatte aus Rechtsgründen keinen Erfolg, weil die bisherige Rechtsprechung des Bundesgerichtshofs (z.B. BGH, Urteil vom 12.10.2021, VI ZR 488/19 Rn. 69) davon ausgeht, dass Ansprüche aus §§ 823, 1004 BGB nach deutschem Recht durch Art. 17 DSGVO gesperrt sind.

Art. 17 DSGVO normiert jedoch lediglich einen Anspruch auf Löschung und (erneute) Speicherung, räumt jedoch keine Rechte bezüglich der Datenverarbeitungsvorgänge ein, weil dem Verantwortlichen für die Datenverarbeitung keine Verarbeitungsmethoden vorgegeben werden können. Auch der Auskunftsantrag wurde abgewiesen: Die Beklagte hat Auskunft erteilt. Bezüglich der Frage der Empfänger der Daten wurde eine Unmöglichkeit der Auskunft angenommen, weil die Beklagte unwidersprochen geltend gemacht hat, dass sie diese nicht kennt und ermitteln konnte.

Die beantragte Feststellung einer weitergehenden Ersatzpflicht hatte in einem der zwei Verfahren Erfolg. Der Senat hat insbesondere Verstöße gegen Art. 5 Abs. 1 f) DSGVO (Wahrung von Integrität und Vertraulichkeit) und Art. 25 Abs. 2 DSGVO (fehlende datenschutzfreundliche Voreinstellungen) festgestellt. Durch die vorhandene Möglichkeit eines Zugriffs auf die persönlichen Daten im sogenannten Kontakt-Import-Tool wurde gegen Art. 5 Abs. 1 f) DSGVO verstoßen. Die Voreinstellung einer Zugriffsmöglichkeit, die aktiv abgewählt werden muss, verstößt gegen das Verbot eines Opt-Out-Modells.

Verfahrensfortgang

Im Hinblick auf Abweichungen von einem Urteil des OLG Hamm (Urteil vom 15.08.2023, 7 U 19/23) und den Vorlagebeschluss des Bundesgerichtshofs an den Europäischen Gerichtshof (vom 26.09.2023; VI ZR 97/22) hat der Senat in dem teilweise erfolgreichen Fall (4 U 20/23) die Revision zugelassen. Im zweiten Fall ist die Klage aus tatsächlichen Gründen vollständig abgewiesen worden.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.