Das OLG Hamm verweigerte einer Nutzerin trotz eines Datenschutzverstoßes von Facebook nach dem Diebstahl ihrer Daten Schadensersatz. Begründung: Die Klägerin habe ihren Schaden nicht ausreichend konkretisiert.
Das vom OLG Hamm entschiedenen Verfahren betrifft das vor einigen Jahren bei Facebook aufgetretene und medial viel beachtete Datenleck, das Diebe zum sogenannten „Scraping“ von persönlichen Daten von ca. 500 Mio. Nutzern genutzt hatten. Im April 2021 tauchten diese Daten, darunter Namen und Telefonnummern, im Darknet auf. Wegen dieses Sachverhalts sind vor deutschen Gerichten noch massenhaft Klagen auf Schadenersatz gegen den Facebook-Mutterkonzern „Meta“ anhängig.
„Scraper“ konnten User identifizieren
Die persönlichen Daten der User hatten Unbekannte über einen längeren Zeitraum unter Ausnutzung der seinerzeitigen Suchfunktion „Freunde suchen“ gesammelt. Über diese Funktion war es möglich, einen Nutzer über die eingegebene Telefonnummer zu identifizieren, selbst dann, wenn die Anzeige der eigenen Telefonnummer bei Facebook nicht aktiviert war. Über die Suchfunktion generierten die „Scraper“ millionenfach Telefonnummern und identifizierten die Inhaber. Erst im April 2018 nahm Facebook Anpassungen vor. Den „Scrapern“ gelang es dennoch, weiterhin Daten abzuziehen. Im Oktober 2018 deaktivierte Facebook daraufhin die Funktion.
Persönliche Daten im Darknet veröffentlicht
Die jetzt vom OLG entschiedene Klage betrifft eine von diesem „Scraping“ betroffene Userin. Im Darkknet hatten die „Scraper“ u. a. ihren Vor- und Nachnamen sowie ihre Mobilfunknummer veröffentlicht. Die Userin warf der Betreiberin der Facebook-Plattform „Meta“ einen Verstoß gegen Datenschutzvorschriften vor und forderte für immaterielle Schäden eine Entschädigung in Höhe von mindestens 1.000 Euro.
Diverse Datenschutzverstöße durch Meta
Die Klage auf Entschädigung blieb sowohl erstinstanzlich als auch zweitinstanzlich beim OLG ohne Erfolg. Dabei ging das OLG durchaus davon aus, dass Meta als dem für die Datenverarbeitung gemäß Art. 5 DSGVO verantwortlichem Unternehmen diverse Verstöße gegen die DSGVO zur Last fielen. Unter anderem habe die Beklagte in dem Verfahren nicht nachweisen können, dass die Weitergabe der Mobilfunktelefonnummer der Klägerin im Rahmen der Such- oder Kontaktimportfunktion datenschutzrechtlich gerechtfertigt gewesen wäre (EuGH, Urteil v. 4.7.2023, C – 252/21). Die Verarbeitung der Mobilfunknummer sei für die Vernetzung der User von Facebook nicht zwingend erforderlich gewesen. Auch hier gelte der Grundsatz der Datensparsamkeit.
Einwilligung wäre zwingend erforderlich gewesen
Darüber hinaus bedarf es nach Auffassung des OLG für die Verarbeitung der Mobilfunknummer gemäß Art. 6 Abs.1, Art.7 DSGVO einer Einwilligung der User. Eine solche Einwilligung habe die Klägerin zwar formal erteilt, die Einwilligung sei aber nicht wirksam. Zur Erteilung der Einwilligung habe Facebook ein unzulässiges „Opt-Out-Verfahren“ genutzt, d.h. die Klägerin hätte die Einwilligung durch Anklicken einer abwählbaren Voreinstellung aktiv verweigern müssen. Dies sei nicht zulässig, zumal die von Facebook gegebenen Informationen über die Such- und Kontaktimportfunktion unzureichend und entgegen Art. 5 Abs. 1a DSGVO intransparent gewesen seien.
OLG bejaht Pflichtverletzung durch Meta
Darüber hinaus war nach der Bewertung des OLG eine zum Schadenersatz führende Pflichtverletzung der Beklagten gegeben. Meta habe konkrete Kenntnis von dem „Scraping“ gehabt und dennoch naheliegende Maßnahmen zur Verhinderung eines weiteren unbefugten Datenabgriffs nicht ergriffen. Die gemäß Art. 32 DSGVO erforderliche Sicherheit der Datenverarbeitung entsprechend dem Stand der Technik sei nicht gewährleistet worden.
Anspruchsteller trägt Darlegungslast für immaterielle Schäden
Im Ergebnis hat die Beklagte nach den Feststellungen des OLG also in mehrfacher Hinsicht gegen die DSGVO verstoßen. Gemäß Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Die Vorschrift umfasst also ausdrücklich auch Ansprüche auf Ersatz immaterieller Schäden. Allerdings trägt nach der Entscheidung des OLG der Anspruchsteller die Darlegungslast für eingetretene Schäden und muss danach auch immaterielle Schäden hinreichend deutlich konkretisieren (EuGH, Urteil v. 4.5.2023, C – 300/21).
Individuelle Betroffenheit muss substantiiert begründet werden
Nach Auffassung des OLG war es der Klägerin nicht gelungen, die durch das „Scraping“ in ihrem individuellen Fall eingetretenen persönlichen oder psychologischen Beeinträchtigungen hinreichend konkret darzulegen. Das allgemeine Gefühl eines Kontrollverlusts, einer Hilflosigkeit oder eines Beobachtetwerdens nach Veröffentlichung ihrer Daten im Darknet reichten zur Darlegung einer konkret individuellen Betroffenheit nicht aus (BGH, Urteil v. 3.3.2023, IX ZR 53/19). Auch ein allgemeines Angstgefühl und Erschrockenheit begründeten noch keine eine Entschädigungspflicht auslösende persönliche Einschränkung, zumal der hier zu beurteilende Datenmissbrauch nicht so schwerwiegend sei, dass der Eintritt eines immateriellen Schadens ohne weiteres auf der Hand liege.
Klageabweisung mangels Schadens
Mangels konkreter Darlegung eines konkreten individuellen immateriellen Schadens hat das OLG daher die Klage auch in 2. Instanz abgewiesen.
(OLG Hamm, Urteil v. 15.8.2023, 7 U 19/23)