Kein Schadensersatz trotz Datenschutzverstoß
Wegen dem im April 2021 öffentlich bekannt gewordenen Data-Scraping-Vorfall bei Facebook, bei dem Hacker von einer halben Milliarde Nutzern weltweit persönliche Informationen von Facebook im Darknet veröffentlichten, hat nun erstmalig das Oberlandesgericht Hamm im Fall einer klagenden Nutzerin entschieden: Kein Schadensersatz ohne Darlegung eines konkreten Schadens.
Nutzerdaten im Darknet veröffentlicht
In dem sozialen Netzwerk hatten „Scraper“ in rund einer halben Milliarde Fälle hinterlegte Informationen wie das Geschlecht, den vollständigen Namen oder auch die Handynummer über einen längeren Zeitraum abgegriffen. Das Abgreifen geschah über die Funktion „Suchen“, die Facebook den registrierten Nutzern damals zur Verfügung stellte. Auch wenn die Nutzer ihre Handynummern in ihren Profilen so eingestellt hatten, dass sie nicht öffentlich sichtbar waren, waren sie dennoch für alle anderen Nutzer suchbar. Diesen Fehler machten sich die Hacker zunutze, indem sie unter Verwendung der gängigen Rufnummernformate fiktive Telefonnummern generierten, über die Suchfunktion nach passenden Nutzern suchten, und die passenden Daten hierzu abriefen. Facebook deaktivierte die Funktion. Daraufhin änderten die Hacker aber ihr Vorgehen und konnten durch die Kontaktimportfunktion weitere Informationen abgreifen. Facebook deaktivierte sodann auch diese Funktion.
Im Darknet wurden die Daten schließlich hochgeladen. Von der klagenden Nutzerin waren ihre Handynummer, Vor- und Nachname sowie das Geschlecht im Darknet veröffentlicht worden. Die Nutzerin machte Schadensersatz in Höhe von 1.000 € geltend. Dies begründete sie damit, dass der Vorfall u.a. zu einem Gefühl des Kontrollverlustes geführt habe.
Das Landgericht Bielefeld hatte die Klage bereits abgewiesen. Nun blieb auch die Berufung des Oberlandesgericht Hamm ohne Erfolg. Das Urteil ist zwar noch nicht rechtskräftig, die Revision hat das Gericht aber nicht zugelassen.
Gefühl des Kontrollverlusts reicht nicht
Zwar liegen Verstöße gegen die Datenschutzgrundverordnung durch Facebook u.a. in Form von Verstößen gegen die Grundsätze der Rechtmäßigkeit, Transparenz, Zweckbindung, Integrität und Vertraulichkeit, vor. Denn insoweit sei die automatisierte Ausführung eines Datenabrufs über eine Such- oder Kontaktimportfunktion durch einen Dritten bei Facebook eine Datenverarbeitung. Mangels Rechtfertigungsgrunds sei daher für die Verarbeitung der Handynummer eines Nutzers eine Einwilligung erforderlich gewesen. Eine solche könne hier aber schon deshalb nicht vorliegen, da die Voreinstellung unzulässig und die Information über die konkrete Funktionsweise intransparent waren. Zudem liege eine Pflichtverletzung vor, denn trotz Kenntnis von einem Datenabgriff habe das soziale Netzwerk hier keine nahliegenden Maßnahmen zur Verhinderung des weiteren, unbefugten Datenabgriffs ergriffen. Ein konkreter Schaden sei jedoch nicht entstanden. Der von der Nutzerin erwähnte Kontrollverlust in Form des unkontrollierten Abrufs der Daten und die anschließende Veröffentlichung im Darknet seien lediglich die Folge der unrechtmäßigen Datenverarbeitung. Es oblag der Nutzerin vielmehr, die persönlichen / psychologischen Beeinträchtigungen aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen und zu beweisen. Dem kam sie aber nicht nach. Als Beweiszeichen für die Darlegung einer Beeinträchtigung führte das Gericht beispielhaft an, dass der Facebook-Account gelöscht werden oder zumindest die Such- und Sichtbarkeit auf die „immer öffentlichen“ Daten beschränkt werden könne, um jeglichen weiteren Kontrollverlust zu vermeiden.
Bedeutung für die Praxis
Dieses Urteil verdeutlicht die Bedeutung eines klaren Nachweises konkreter immaterieller Schäden bei Verstößen gegen die Datenschutzgrundverordnung. Es wird erstmalig zweitinstanzlich festgelegt, dass nicht jeder Verstoß automatisch einen Anspruch auf Schadensersatz auslöst.
Oberlandesgericht Hamm, Urteil vom 15.08.2023 – 7 U 19/23