Leitent­scheidung zu Facebook-Scraping: OLG Hamm stellt Verstöße gegen die Daten­schutz­grund­ver­ordnung (DSGVO) festDie Schaden­er­satzklage ist im Ergebnis aber erfolglos, da die Klägerin keinen immateriellen Schaden darlegen kann

Im April 2021 veröf­fent­lichten Unbekannte die Daten von etwa 500 Millionen Facebook-Nutzern im Darknet, darunter Namen und Telefonnummern. Die Daten hatten die Unbekannten zuvor über einen längeren Zeitraum zunächst unter Ausnutzung der seinerzeitigen Suchfunktionen von Facebook gesammelt, weshalb von „Scraping“ gesprochen wird (von engl. to scrape für zusammenkratzen). Auch dann, wenn die Anzeige der eigenen Telefonnummer bei Facebook nicht aktiviert war, war es über die Suchfunktion möglich, einen Nutzer über eine eingegebene Telefonnummer zu identifizieren. Dies nutzen die unbekannten „Scraper“ aus, indem sie millionenfach Telefonnummern mit dem Computer generierten und hierzu Daten abriefen. Facebook deaktivierte die Suchfunktion für Telefonnummern im April 2018. Auf ein daraufhin angepasstes Scraping-Verfahren, das die Kontak­tim­port­funktion von Facebook ausnutzte, wurden weitere Daten abgegriffen, bis Facebook auch diese Funktion auf der Plattform im Oktober 2018 und im Facebook-Messenger im September 2019 deaktivierte.

Im Hinblick auf dieses „Datenleck“ sind bundesweit zahlreiche Klagen gegen Meta als Betreiberin der Plattform anhängig, so auch im Bezirk des Oberlan­des­ge­richts Hamm, für den nunmehr die erste Entscheidung vorliegt. Der für das Recht der unerlaubten Handlungen zuständige 7. Zivilsenat klärt darin zahlreiche Rechtsfragen im Zusammenhang mit den Scraping-Klagen.

Auch die Klägerin im nun entschiedenen Verfahren war von dem Scraping betroffen. In dem im Darknet veröf­fent­lichten Datensatz fanden sich ihre Mobil­te­le­fon­nummer, ihr Vor- und Nachname sowie die Angabe ihres Geschlechts. Die Klägerin hat von Meta als Betreiberin der Plattform unter anderem eine Entschädigung für immaterielle Schäden ähnlich einem Schmerzensgeld in Höhe von mindestens 1.000 Euro verlangt. Sie hat die Auffassung vertreten, die Betreiberin der Plattform habe sowohl im Zusammenhang mit dem Scraping als auch unabhängig davon gegen verschiedene Vorschriften des Datenschutzes aus der DSGVO verstoßen. Dem ist Meta entge­gen­ge­treten.

Das Landgericht Bielefeld hatte die Klage zurückgewiesen. Die von der Klägerin eingelegte Berufung ist nun vor dem Oberlan­des­gericht Hamm ohne Erfolg geblieben. Zwar hat das Oberlan­des­gericht Verstöße gegen die DSGVO festgestellt. Von einem immateriellen Schaden der Klägerin konnte es sich jedoch nicht überzeugen.

Zu den festgestellten Verstößen gegen die DSGVO geht das Oberlan­des­gericht im Ausgangspunkt davon aus, dass es auch im Zivilprozess Aufgabe des für die Daten­ver­a­r­beitung Verant­wort­lichen – hier Meta – ist, die zulässige Verarbeitung dieser Daten nach der DSGVO nachzuweisen. Auch die Weitergabe von Daten an Dritte auf eine Suchfunktion oder eine Kontak­tim­port­funktion ist dabei Daten­ver­a­r­beitung im Sinne der DSGVO. Meta konnte hier nicht nachweisen, dass die Weitergabe der Mobil­te­le­fon­nummer der Klägerin im Rahmen der Such- oder Kontak­tim­port­funktion nach der DSGVO gerechtfertigt war. Auf die Erfüllung des Vertragszwecks als Recht­fer­ti­gungsgrund nach der DSGVO kann sich Meta dabei nicht berufen, da die Verarbeitung der Mobil­te­le­fon­nummer für die Vernetzung der Nutzerinnen und Nutzer von Facebook untereinander unter Berück­sich­tigung des Grundsatzes der Daten­spar­samkeit nicht zwingend erforderlich ist. Für die Verarbeitung der Mobil­te­le­fon­nummer bedarf es daher einer Einwilligung der Nutzerin oder des Nutzers. Eine solche wurde hier schon deswegen nicht wirksam erteilt, weil bei der seinerzeit erteilten Einwilligung der Klägerin in unzulässiger Weise mit von der Nutzerin auf Wunsch abwählbaren Vorein­stel­lungen gearbeitet wurde („opt-out“) und die Informationen über die Such- und Kontak­tim­port­funktion unzureichend und intransparent waren.

Auch eine grundsätzlich zum Schadensersatz führende Pflicht­ver­letzung hat das Oberlan­des­gericht bejaht, da Meta trotz der konkreten Kenntnis von dem Datenabgriff im vorliegenden Fall naheliegende Maßnahmen zur Verhinderung weiteren unbefugten Datenabgriffs nicht ergriffen hatte.

Das Oberlan­des­gericht hat der Klägerin im Ergebnis aber dennoch keinen Schadensersatz zuerkannt. Die Klägerin hat hier lediglich immaterielle Schäden geltend gemacht, was nach der DSGVO grundsätzlich möglich ist und zu einer Entschädigung ähnlich einem Schmerzensgeld führen kann. Allerdings ist es der Klägerin nicht gelungen, einen konkreten immateriellen Schaden darzulegen. Dabei geht das Oberlan­des­gericht davon aus, dass der immaterielle Schaden nicht in dem bloßen Verstoß gegen die DSGVO selbst liegen kann, sondern darüber­hin­aus­gehende persönliche bzw. psychologische Beein­träch­ti­gungen eingetreten sein müssen. Solche hat die Klägerin jedoch nicht individuell dargelegt. Der zu einer Vielzahl an ähnlich gelagerten Verfahren identische, pauschale Vortrag, die „Klägerpartei“ habe Gefühle eines Kontroll­verlusts, eines Beobach­tet­werdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt und Aufwand an Zeit und Mühe gehabt, reicht zur Darlegung einer konkret-individuellen Betroffenheit der Klägerin nicht aus. Auch ist der hier in Rede stehende Datenmissbrauch, der zur ungewollten Veröf­fent­lichung von Name und Mobil­te­le­fon­nummer geführt hat, nicht so schwerwiegend, dass der Eintritt eines immateriellen Schadens ohne weiteres naheliegt. Hinzu kommt, dass die Klägerin in ihrer persönlichen Anhörung vor dem Landgericht lediglich ausgeführt hatte, sie habe ein „Gefühl der Erschrockenheit“ erlitten. Das Oberlan­des­gericht hat den Streitwert für das gesamte Verfahren – in dem auch erfolglos weitere Anträge auf Feststellung, Unterlassung und Auskunft geltend gemacht worden waren – mit lediglich 3.000 Euro bewertet. Es hat keinen Anlass gesehen, das Verfahren dem Europäischen Gerichtshof zur Vorab­ent­scheidung vorzulegen oder die Revision zuzulassen, da die entscheidenden Rechtsfragen jüngst durch den Europäischen Gerichtshof geklärt wurden.