Kein Schadensersatz trotz Datenschutzverstoß

 

Wegen dem im April 2021 öffentlich bekannt gewordenen Data-Scraping-Vorfall bei Facebook, bei dem Hacker von einer halben Milliarde Nutzern weltweit persönliche Informationen von Facebook im Darknet veröffentlichten, hat nun erstmalig das Oberlandesgericht Hamm im Fall einer klagenden Nutzerin entschieden: Kein Schadensersatz ohne Darlegung eines konkreten Schadens. 

Nutzerdaten im Darknet veröffentlicht

In dem sozialen Netzwerk hatten „Scraper“ in rund einer halben Milliarde Fälle hinterlegte Informationen wie das Geschlecht, den vollständigen Namen oder auch die Handynummer über einen längeren Zeitraum abgegriffen. Das Abgreifen geschah über die Funktion „Suchen“, die Facebook den registrierten Nutzern damals zur Verfügung stellte. Auch wenn die Nutzer ihre Handynummern in ihren Profilen so eingestellt hatten, dass sie nicht öffentlich sichtbar waren, waren sie dennoch für alle anderen Nutzer suchbar. Diesen Fehler machten sich die Hacker zunutze, indem sie unter Verwendung der gängigen Rufnummernformate fiktive Telefonnummern generierten, über die Suchfunktion nach passenden Nutzern suchten, und die passenden Daten hierzu abriefen. Facebook deaktivierte die Funktion. Daraufhin änderten die Hacker aber ihr Vorgehen und konnten durch die Kontaktimportfunktion weitere Informationen abgreifen. Facebook deaktivierte sodann auch diese Funktion.

Im Darknet wurden die Daten schließlich hochgeladen. Von der klagenden Nutzerin waren ihre Handynummer, Vor- und Nachname sowie das Geschlecht im Darknet veröffentlicht worden. Die Nutzerin machte Schadensersatz in Höhe von 1.000 € geltend. Dies begründete sie damit, dass der Vorfall u.a. zu einem Gefühl des Kontrollverlustes geführt habe.

Das Landgericht Bielefeld hatte die Klage bereits abgewiesen. Nun blieb auch die Berufung des Oberlandesgericht Hamm ohne Erfolg. Das Urteil ist zwar noch nicht rechtskräftig, die Revision hat das Gericht aber nicht zugelassen.

Gefühl des Kontrollverlusts reicht nicht

Zwar liegen Verstöße gegen die Datenschutzgrundverordnung durch Facebook u.a. in Form von Verstößen gegen die Grundsätze der Rechtmäßigkeit, Transparenz, Zweckbindung, Integrität und Vertraulichkeit, vor. Denn insoweit sei die automatisierte Ausführung eines Datenabrufs über eine Such- oder Kontaktimportfunktion durch einen Dritten bei Facebook eine Datenverarbeitung. Mangels Rechtfertigungsgrunds sei daher für die Verarbeitung der Handynummer eines Nutzers eine Einwilligung erforderlich gewesen. Eine solche könne hier aber schon deshalb nicht vorliegen, da die Voreinstellung unzulässig und die Information über die konkrete Funktionsweise intransparent waren. Zudem liege eine Pflichtverletzung vor, denn trotz Kenntnis von einem Datenabgriff habe das soziale Netzwerk hier keine nahliegenden Maßnahmen zur Verhinderung des weiteren, unbefugten Datenabgriffs ergriffen. Ein konkreter Schaden sei jedoch nicht entstanden. Der von der Nutzerin erwähnte Kontrollverlust in Form des unkontrollierten Abrufs der Daten und die anschließende Veröffentlichung im Darknet seien lediglich die Folge der unrechtmäßigen Datenverarbeitung. Es oblag der Nutzerin vielmehr, die persönlichen / psychologischen Beeinträchtigungen aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen und zu beweisen. Dem kam sie aber nicht nach. Als Beweiszeichen für die Darlegung einer Beeinträchtigung führte das Gericht beispielhaft an, dass der Facebook-Account gelöscht werden oder zumindest die Such- und Sichtbarkeit auf die „immer öffentlichen“ Daten beschränkt werden könne, um jeglichen weiteren Kontrollverlust zu vermeiden. 

Bedeutung für die Praxis

Dieses Urteil verdeutlicht die Bedeutung eines klaren Nachweises konkreter immaterieller Schäden bei Verstößen gegen die Datenschutzgrundverordnung. Es wird erstmalig zweitinstanzlich festgelegt, dass nicht jeder Verstoß automatisch einen Anspruch auf Schadensersatz auslöst. 

Oberlandesgericht Hamm, Urteil vom 15.08.2023 – 7 U 19/23

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink