Facebook-Scraping: Kein Schadensersatz nach DSGVO

Zwar machte der Kläger mehr als einen bloßen Verstoß der Beklagten gegen die Vorschriften der DSGVO geltend. Sein Vortrag reichte jedoch nicht aus, um einen bei ihm entstandenen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO anzunehmen, der nach der EuGH-Rechtsprechung nicht nach dem Recht der Mitgliedstaaten, sondern als autonomer Begriff des Unionsrechts einheitlich unionsrechtlichen auszulegen ist.

Der Sachverhalt:
Die Parteien stritten um Schadensersatz, Unterlassungs-, Feststellungs- und Auskunftsansprüche aus einem Scraping-Vorfall auf der Plattform der Beklagten, der im April 2021 bekannt geworden war. Bei dem Vorfall wurden Mobiltelefonnummer, Name, Facebook-ID, Geschlecht und Wohnort des Klägers erlangt und in einem „Hacker-Forum“ veröffentlicht, wobei der „gescrapte“ Name des Klägers („T. F.“) nicht mit seinem tatsächlichen Namen („F. A.“) übereinstimmte und es zudem unstreitig war, dass die Telefonnummer nicht im eigentlichen Sinne „gescrapt“, sondern von den Scrapern als randomisierte Nummernfolge in das sog. Contact Import Tool (CIT) eingepflegt und dann bei Auffinden des Profils des Klägers seinem Namen und den sonstigen dort vorhandenen Daten nur zugeordnet worden war.

Das LG hat die Klage abgewiesen. Der Kläger machte im Berufungsverfahren weiterhin geltend, es liege ein Verstoß gegen Art. 5 Abs. 1 DSGVO vor, weil er nicht die Möglichkeit gehabt habe, in informierter Art und Weise über die Verarbeitung der ihn betreffenden Daten zu entscheiden. Angesichts der vielfach verschachtelten und mehrschichtigen Informationen auf der Plattform der Beklagten sei die erforderliche Transparenz nicht gewahrt worden. Weiter liege ein Verstoß gegen Art. 32 Abs. 1, 5 Abs. 1 lit. f) DSGVO vor, weil die Beklagte keine geeigneten technischen bzw. organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten vorgesehen hätte. Die Beweislast dafür trage nach Art. 5 Abs. 2 DSGVO die Beklagte, die selbst inzwischen anerkannt habe, dass das CIT mangelhaft ausgestaltet gewesen sei und daher weitere Sicherheitsvorkehrungen unternommen habe.

Zum immateriellen Schaden machte der Kläger geltend, er habe einen Kontrollverlust über seine Daten und außerdem Angst, Stress sowie eine Komfort- und Zeiteinbuße erlitten, weil er sich mit dem Datenleck und den Folgen habe auseinandersetzen müssen. Das OLG hat die Berufung zurückgewiesen. Allerdings wurde zur Sicherung einer einheitlichen Rechtsprechung die Revision zum BGH zugelassen.

Die Gründe:
Die zulässige Berufung des Klägers bleibt in der Sache ohne Erfolg.

Ob und welche Verstöße die Beklagten gegen die DSGVO möglicherweise begangen hatte, konnte letztlich offen bleiben. Denn es war aus prozessualen Gründen davon auszugehen, dass dem Kläger jedenfalls kein immaterieller Schaden durch diese – insofern zu seinen Gunsten als vorliegend unterstellten – Datenschutzverstöße der Beklagten entstanden war. In Bezug auf die sich aus Art. 82 DSGVO grundsätzlich ergebenden Vorgaben für die Zuerkennung von Schadensersatzansprüchen wegen immaterieller Schäden verweist der Senat auf die Ausführungen in den Urteilen der OLG Hamm v. 15.8.2023 – 7 U 19/23 – und Stuttgart v. 22.11.2023 – 4 U 20/23. Diesen Anforderungen genügte das Klägervorbringen allerdings nicht.

Der Kläger hatte geltend gemacht, dass er durch den Scraping-Vorfall einen Kontrollverlust erlitten habe, dass er Angst, Unwohlsein, Misstrauen und Sorge empfinde sowie durch Anrufe, SMS und E-Mails belästigt werde. Daneben habe er eine Komfort- und Zeiteinbuße erlitten, weil er sich mit den Folgen des Datenlecks habe auseinandersetzen müssen, und er habe Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen. Mit diesen Angaben rügte der Kläger zwar mehr als einen bloßen Verstoß der Beklagten gegen die Vorschriften der DSGVO. Sein Vortrag reichte jedoch nicht aus, um einen bei ihm entstandenen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO anzunehmen, der nach der EuGH-Rechtsprechung nicht nach dem Recht der Mitgliedstaaten, sondern als autonomer Begriff des Unionsrechts einheitlich unionsrechtlichen auszulegen ist.

Soweit der Kläger seinen immateriellen Schaden auf die Veröffentlichung derjenigen Daten gestützt hatte, die auf seinem Profil bei der Beklagten als „immer öffentlich“ eingestellt waren (Vorname, Wohnort, Geschlecht und Facebook-ID), schied die Annahme eines immateriellen Schadens schon deswegen aus, weil  sich der Kläger durch seine im Zuge der Registrierung auf der Plattform der Beklagten erklärte Zustimmung mit den dort geltenden Nutzungsbedingungen damit einverstanden erklärt hatte, dass diese Daten in die Öffentlichkeit gelangen durften. Im Hinblick darauf bestand schon keine Verpflichtung der Beklagten, diese Daten des Klägers durch datenschutzkonforme Voreinstellungen oder technische Sicherheitsmaßnahmen vor einer Kenntnisnahme durch Dritte weitergehend zu schützen.

Die Revision war zuzulassen, da die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des BGH erfordert (§ 543 Abs. 2 Nr. 2 ZPO). Der Senat weicht von der Entscheidung des OLG Stuttgart (s.o.) ab, was angesichts der Vielzahl an anhängigen Rechtsstreiten zu demselben Sachverhalt und mit identischem Vortrag der Kläger künftig weiterhin auftreten wird. Der Senat sieht dagegen keinen Anlass für die Einleitung eines Vorabentscheidungsverfahren nach Art. 267 AEUV oder für die Aussetzung des vorliegenden Verfahrens bis zur Entscheidung des EuGH in den Verfahren C-189/22, C-741/21, C-687/21, C-667/21, C-340/21 und C-307/22.

Mehr zum Thema:

Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Ihr Vorteil: Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!

Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht (DSGVO/BDSG). Jetzt mit Top-Inhalten zum Datenschutzrecht aus dem C.F. Müller Verlag. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!

Beratermodul Zeitschriften Wirtschaftsrecht:
Jetzt neu: Führende Zeitschriften zum Wirtschaftsrecht, Aktienrecht, Gesellschaftsrecht und Versicherungsrecht stehen hier zur Online-Recherche bereit. Inklusive Selbststudium nach § 15 FAO bei ausgewählten Zeitschriften (GmbHR, ZIP, VersR). Wann immer es zeitlich passt: Für Fachanwälte bietet das Beratermodul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!