Im April 2021 veröffentlichten Unbekannte die Daten von etwa 500 Millionen Facebook-Nutzern im Darknet, darunter Namen und Telefonnummern. Die Daten hatten die Unbekannten zuvor über einen längeren Zeitraum zunächst unter Ausnutzung der seinerzeitigen Suchfunktionen von Facebook gesammelt, weshalb von „Scraping“ gesprochen wird (von engl. to scrape für zusammenkratzen). Auch dann, wenn die Anzeige der eigenen Telefonnummer bei Facebook nicht aktiviert war, war es über die Suchfunktion möglich, einen Nutzer über eine eingegebene Telefonnummer zu identifizieren. Dies nutzen die unbekannten „Scraper“ aus, indem sie millionenfach Telefonnummern mit dem Computer generierten und hierzu Daten abriefen. Facebook deaktivierte die Suchfunktion für Telefonnummern im April 2018. Auf ein daraufhin angepasstes Scraping-Verfahren, das die Kontaktimportfunktion von Facebook ausnutzte, wurden weitere Daten abgegriffen, bis Facebook auch diese Funktion auf der Plattform im Oktober 2018 und im Facebook-Messenger im September 2019 deaktivierte.
Im Hinblick auf dieses „Datenleck“ sind bundesweit zahlreiche Klagen gegen Meta als Betreiberin der Plattform anhängig, so auch im Bezirk des Oberlandesgerichts Hamm, für den nunmehr die erste Entscheidung vorliegt. Der für das Recht der unerlaubten Handlungen zuständige 7. Zivilsenat klärt darin zahlreiche Rechtsfragen im Zusammenhang mit den Scraping-Klagen.
Auch die Klägerin im nun entschiedenen Verfahren war von dem Scraping betroffen. In dem im Darknet veröffentlichten Datensatz fanden sich ihre Mobiltelefonnummer, ihr Vor- und Nachname sowie die Angabe ihres Geschlechts. Die Klägerin hat von Meta als Betreiberin der Plattform unter anderem eine Entschädigung für immaterielle Schäden ähnlich einem Schmerzensgeld in Höhe von mindestens 1.000 Euro verlangt. Sie hat die Auffassung vertreten, die Betreiberin der Plattform habe sowohl im Zusammenhang mit dem Scraping als auch unabhängig davon gegen verschiedene Vorschriften des Datenschutzes aus der DSGVO verstoßen. Dem ist Meta entgegengetreten.
Das Landgericht Bielefeld hatte die Klage zurückgewiesen. Die von der Klägerin eingelegte Berufung ist nun vor dem Oberlandesgericht Hamm ohne Erfolg geblieben. Zwar hat das Oberlandesgericht Verstöße gegen die DSGVO festgestellt. Von einem immateriellen Schaden der Klägerin konnte es sich jedoch nicht überzeugen.
Zu den festgestellten Verstößen gegen die DSGVO geht das Oberlandesgericht im Ausgangspunkt davon aus, dass es auch im Zivilprozess Aufgabe des für die Datenverarbeitung Verantwortlichen – hier Meta – ist, die zulässige Verarbeitung dieser Daten nach der DSGVO nachzuweisen. Auch die Weitergabe von Daten an Dritte auf eine Suchfunktion oder eine Kontaktimportfunktion ist dabei Datenverarbeitung im Sinne der DSGVO. Meta konnte hier nicht nachweisen, dass die Weitergabe der Mobiltelefonnummer der Klägerin im Rahmen der Such- oder Kontaktimportfunktion nach der DSGVO gerechtfertigt war. Auf die Erfüllung des Vertragszwecks als Rechtfertigungsgrund nach der DSGVO kann sich Meta dabei nicht berufen, da die Verarbeitung der Mobiltelefonnummer für die Vernetzung der Nutzerinnen und Nutzer von Facebook untereinander unter Berücksichtigung des Grundsatzes der Datensparsamkeit nicht zwingend erforderlich ist. Für die Verarbeitung der Mobiltelefonnummer bedarf es daher einer Einwilligung der Nutzerin oder des Nutzers. Eine solche wurde hier schon deswegen nicht wirksam erteilt, weil bei der seinerzeit erteilten Einwilligung der Klägerin in unzulässiger Weise mit von der Nutzerin auf Wunsch abwählbaren Voreinstellungen gearbeitet wurde („opt-out“) und die Informationen über die Such- und Kontaktimportfunktion unzureichend und intransparent waren.
Auch eine grundsätzlich zum Schadensersatz führende Pflichtverletzung hat das Oberlandesgericht bejaht, da Meta trotz der konkreten Kenntnis von dem Datenabgriff im vorliegenden Fall naheliegende Maßnahmen zur Verhinderung weiteren unbefugten Datenabgriffs nicht ergriffen hatte.
Das Oberlandesgericht hat der Klägerin im Ergebnis aber dennoch keinen Schadensersatz zuerkannt. Die Klägerin hat hier lediglich immaterielle Schäden geltend gemacht, was nach der DSGVO grundsätzlich möglich ist und zu einer Entschädigung ähnlich einem Schmerzensgeld führen kann. Allerdings ist es der Klägerin nicht gelungen, einen konkreten immateriellen Schaden darzulegen. Dabei geht das Oberlandesgericht davon aus, dass der immaterielle Schaden nicht in dem bloßen Verstoß gegen die DSGVO selbst liegen kann, sondern darüberhinausgehende persönliche bzw. psychologische Beeinträchtigungen eingetreten sein müssen. Solche hat die Klägerin jedoch nicht individuell dargelegt. Der zu einer Vielzahl an ähnlich gelagerten Verfahren identische, pauschale Vortrag, die „Klägerpartei“ habe Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt und Aufwand an Zeit und Mühe gehabt, reicht zur Darlegung einer konkret-individuellen Betroffenheit der Klägerin nicht aus. Auch ist der hier in Rede stehende Datenmissbrauch, der zur ungewollten Veröffentlichung von Name und Mobiltelefonnummer geführt hat, nicht so schwerwiegend, dass der Eintritt eines immateriellen Schadens ohne weiteres naheliegt. Hinzu kommt, dass die Klägerin in ihrer persönlichen Anhörung vor dem Landgericht lediglich ausgeführt hatte, sie habe ein „Gefühl der Erschrockenheit“ erlitten.
Das Oberlandesgericht hat den Streitwert für das gesamte Verfahren – in dem auch erfolglos weitere Anträge auf Feststellung, Unterlassung und Auskunft geltend gemacht worden waren – mit lediglich 3.000 Euro bewertet. Es hat keinen Anlass gesehen, das Verfahren dem Europäischen Gerichtshof zur Vorabentscheidung vorzulegen oder die Revision zuzulassen, da die entscheidenden Rechtsfragen jüngst durch den Europäischen Gerichtshof geklärt wurden.
Oberlandesgericht Hamm, Urteil vom 15. August 2023, Az. 7 U 19/23; OLG Hamm PM vom 06. Sept 2023
Vorinstanz: Landgericht Bielefeld, Urteil vom 19. Dezember 2022, Az. 8 O 157/22.
__________________
Art. 4 DSGVO, Art. 5 DSGVO, Art. 6 DSGVO, Art. 7 DSGVO, Art. 32 DSGVO, Art. 82 DSGVO
E-Learning Datenschutz
- Datenschutz praktische Lektion
-
