200 Euro Schadensersatz nach Datenscraping bei FacebookOLG verpflichtet Facebook-Betreiberin zu Schadensersatz nach Datenscraping wegen Kontrollverlust und Missbrauchs­be­fürch­tungen

Die Klägerin nimmt die beklagte Betreiberin von Facebook u.a. auf Unterlassung und Schadensersatz in Anspruch. Sie unterhält ein Nutzerkonto bei der Beklagten. Die für die Registrierung des Kontos erforderlichen Pflichtangaben sind stets öffentlich einsehbar. Hinsichtlich weiterer angebbarer Daten können die Nutzer über Privatsphäre-Einstellungen entscheiden, welchen Nutzergruppen diese zugänglich sein sollen. Die Klägerin hatte bei der Sichtbarkeit ihr Konto so eingestellt, dass ihre Telefonnummer nur für sie sichtbar war. Bei den Suchba­r­keitsein­stel­lungen ihres Profils, bei denen es u.a. darum ging, wer sie anhand ihrer Telefonnummer finden kann, hatte sie es bei der Standa­r­d­e­in­stellung „alle“ belassen. Hier wären ebenfalls Einschränkungen möglich gewesen. Im Fall der hier gewählten Standa­r­d­e­in­stellung „alle“ ermöglichte es das von der Beklagten bereitgestellte sog. Kontak­tim­porttool bis September 2019 jedem Facebook-Nutzer, das Profil eines anderen Nutzers mit Hilfe der von diesem hinterlegten Telefonnummer zu finden. Nutzer konnten ihre Kontakte von den Mobilgeräten auf Facebook hochladen, um mit Hilfe der Telefonnummer die jeweiligen Nutzer zu finden. Dies war auch möglich, wenn - wie hier - die Telefonnummer selbst nur für den Nutzer sichtbar war.

Zwischen Anfang 2018 und September 2019 erstellten unbekannte Dritte umfangreiche Listen mit möglichen Telefonnummern. Mithilfe von automatisierten Verfahren suchten sie dann Facebook-Nutzer mit den entsprechenden Telefonnummern. Sofern ein Facebook-Konto zur Nummer gefunden wurde, waren die sog. Scraper in der Lage, die mit der Telefonnummer verknüpften öffentlich zugänglichen Nutzerdaten abzurufen und abzuspeichern. Anfang April 2021 wurden Daten von ca. 533 Mio. Facebook-Nutzern sowie die den jeweiligen Profilen der Nutzer zugeordneten Telefonnummern im Darknet. durch unbekannte Dritte zum Download bereitgestellt. Hierzu gehörten auch die Daten der Klägerin.

Die Klägerin begehrt u.a. 1.000 € immateriellen Schadensersatz zum Ausgleich des Daten­schutz­ver­stoßes und die Unterlassung zukünftiger vergleichbarer Daten­schutz­verstöße. Das Landgericht hat die Klage abgewiesen. Die Berufung der Klägerin hatte teilweise Erfolg.

Die Klägerin könne verlangen, dass die Beklagte es unterlasse, aufgrund einer von der Beklagten gesetzten Voreinstellung perso­nen­be­zogene Daten der Klägerin unberechtigten Dritten - namentlich Hackern und/oder Scrapern - über eine Importsoftware von Kontakten zugänglich zu machen, entschied der für Datenschutz zuständige 6. Zivilsenat des OLG. Die Nutzer als Inhaber perso­nen­be­zogener Daten verfügten über ein vertraglich geschütztes Interesse an einer geset­zes­kon­formen Verarbeitung ihrer Daten. Die Beklagte habe sich nicht daten­schutz­konform verhalten. Sie habe gegen den Grundsatz der Daten­mi­ni­mierung verstoßen. Die Beklagte müsse nach der Daten­schutz­grund­ver­ordnung (i.F.: DSGVO) Vorein­stel­lungen so setzen, dass die Zugäng­lich­machung von Daten ohne Weiteres verhindert werde. Die Voreinstellung müsse so gesetzt werden, dass nicht erste eine bewusste persönliche Änderung der Voreinstellung diesen Schutz gewährleiste. Die hier zu beurteilende Voreinstellung, wonach „allen“ anderen Facebook-Nutzern die Suche eines Nutzerprofils über die Telefonnummer - sowie die Verknüpfung mit den dazugehörigen „öffentlichen“ perso­nen­be­zogenen Daten möglich gewesen sei - entspreche nicht diesen gesetzlichen Vorgaben.

Wegen dieses Daten­schutz­ver­stoßes könne die Klägerin auch Schadensersatz in Höhe von 200,00 € verlangen. Sie habe über den mit dem Daten­schutz­verstoß verbundenen allgemeinen Kontrollverlust hinaus befürchtet, dass Dritte ihre im Darknet veröf­fent­lichten Daten missbräuchlich verwenden. Es sei überwiegend wahrscheinlich, dass die Klägerin aufgrund dieser Befürchtungen korre­spon­dierende psychische Beein­träch­ti­gungen erlitten habe. Dies rechtfertige einen Gesamtschaden in Höhe von 200,00 €.

(vorausgehend Landgericht Wiesbaden, Urteil vom 13.4.2023, Az. 10 O 52/22)