Erneut wurde Facebook-Usern der Anspruch auf Schadenersatz nach dem Diebstahl ihrer persönlichen Daten bei der Social-Media-Plattform verweigert. Der behauptete immaterielle Schaden war für das Gericht nicht hinreichend konkret.
Gegen Meta, den Mutterkonzern von Facebook, sind nach Schätzungen deutschlandweit noch ca. 6.000 Klagen bei diversen Gerichten anhängig. Beim OLG Oldenburg sind es noch über 100. Die Kläger fordern Schadenersatz wegen des bei Facebook aufgetretenen und medial viel beachteten Datenlecks, das Diebe zum sogenannten „Scraping“, also dem Diebstahl von persönlichen Daten genutzt hatten.
Entscheidungen des OLG in 3 Fällen
Das OLG Oldenburg hat nun in 3 anhängigen Verfahren eine Entscheidung getroffen. Die Kläger stützen ihre Klage auf den gemäß Art. 82 Abs. 1 DSGVO bestehenden Anspruch auf den Ersatz entstandener Schäden aus Datenschutzverstößen. In einem technisch komplexen Verfahren hatten Unbekannte persönliche Daten, wie Namen und Telefonnummern, von Usern gesammelt und veröffentlicht. Die Kläger gaben an, infolge des Datendiebstahls unter anderem unerwünschte Werbeanrufe und gefakte Paketbenachrichtigungen erhalten zu haben. Sie werfen Facebook eine Verletzung der Pflicht zur Sicherung ihrer persönlichen Daten vor.
DSGVO gewährt materiellen und immateriellen Schadensersatz
Art. 82 Abs. 1 DSGVO gewährt Personen, denen durch ein soziales Netzwerk wegen eines Verstoßes gegen die Datenschutzvorschriften der DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Ersatz des entstandenen materiellen und immateriellen Schadens. Allerdings trägt nach einer Entscheidung des EuGH der Anspruchsteller die Darlegungslast für eingetretene Schäden und muss vor allem immaterielle Schäden hinreichend deutlich konkretisieren, da diese nicht ohne Weiteres greifbar sind (EuGH, Urteil v. 4.5.2023, C – 300/21).
Schadensersatzanspruch durch diverse EuGH-Entscheidungen konkretisiert
Nach der Rechtsprechung des EuGH ist der Schadensbegriff in Art. 82 Abs. 1 DSGVO weit auszulegen.
- Der Schadensbegriff beinhaltet keine Erheblichkeitsschwelle oder Bagatellgrenze.
- Bereits die Befürchtung des Missbrauchs personenbezogener Daten kann ein ersatzfähiger immaterieller Schaden sein, jedoch muss die betroffene Person im Einzelfall nachweisen, dass diese Befürchtung im Hinblick auf die eigene Person begründet ist (EuGH, Urteil v. 14.12.2023, C-340/21).
- Die Bemessung der Schadenshöhe ist den nationalen Gerichten unter Beachtung der unionsrechtlichen Äquivalenz- und Effektivitätsgrundsätze überlassen.
- Dem Schadenersatz kommt keine Abschreckungs- oder Straffunktion zu.
Aus dieser Rechtsprechung folgt, dass nicht jeder datenrechtliche Verstoß automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO auslöst. Das rein hypothetische Risiko des Datenmissbrauchs genügt nicht, vielmehr muss der Anspruchsteller die individuelle Betroffenheit im Sinne eines konkreten Schadens darlegen und beweisen (EuGH, Urteil v. 25.1.2024, C – 687/21).
Individuelle Betroffenheit nicht hinreichend belegt
Das OLG Oldenburg hat in den 3 nun entschiedenen Verfahren die klageabweisenden Entscheidungen der erstinstanzlich zuständigen Landgerichte bestätigt. Der Senat hatte in sämtlichen Verfahren das persönliche Erscheinen der Klägerinnen und Kläger angeordnet und diese in der mündlichen Verhandlung ausführlich nach den jeweils individuell aufgetretenen Folgen des Datenlecks befragt. In keinem der Fälle konnten die Betroffenen den konkreten Eintritt eines immateriellen Schadens hinreichend plausibel machen. Offen blieb auch, ob und inwieweit die vereinzelt aufgetretenen Belästigungen durch Werbeanrufe möglicherweise auf andere Ursachen – wie die unbedachte Preisgabe persönlicher Daten im Netz durch die User selbst – zurückzuführen waren.
Klageabweisung mangels Schadenskonkretisierung
Im Ergebnis ging das OLG davon aus, dass Meta – als dem für die Datenverarbeitung gemäß Art. 5 DSGVO verantwortlichem Unternehmen – zwar möglicherweise Verstöße gegen die erforderliche Sicherung der User-Daten zur Last fielen, die User aber weder den Eintritt eines konkreten individuellen Schadens noch einen Kausalzusammenhang zwischen dem Facebook-Datenleck und anschließenden Belästigungen durch Werbeanrufe und Fake-Benachrichtigungen hätten nachweisen können. Mangels hinreichender Konkretisierung eines individuellen immateriellen Schadens hat das OLG daher die Berufungen gegen die klageabweisenden Entscheidungen der Vorinstanzen zurückgewiesen.
(OLG Oldenburg, Urteil v. 16.4.2024, 13 U 59/23, 13 U 79/23 und 13 O 60/23)
Hintergrund:
Die klageabweisenden Entscheidungen der Oberlandesgerichte in den Facebook-Datenleck-Verfahren häufen sich. Die Begründungen der Gerichte für die Klageabweisung folgen dabei ähnlichen Mustern und stellen im Kern auf das Fehlen einer ausreichenden Darlegung eines erkennbaren individuellen Schadens ab (OLG Stuttgart, Urteil v. 22.11.2023,4 U 17/23; OLG Hamm, Urteil v. 15.8.2023, 7 U 19/23 und v. 21.12.2023, 7 U 137/23).