In einem aktuellen Verfahren vor dem OLG Dresden verlangte die Klägerin von Facebook, immateriellen Schadensersatz wegen eines Datenschutzvorfalls in den Jahren 2018 bis 2019. Sie argumentierte, dass die unzureichenden Sicherheitsmaßnahmen von Facebook zu einem Missbrauch ihrer personenbezogenen Daten führten, wodurch sie einer psychischen Belastung ausgesetzt war und die Kontrolle über ihre Daten verloren hatte.
Der Inhalt im Überblick
Worum ging es in dem Verfahren gegen Facebook?
In einem Verfahren vor dem OLG Dresden (Urteil vom 16. April 2024 – 4 U 213/24) nahm die Klägerin die Beklagte Facebook wegen behaupteter Verstöße gegen die DSGVO in den Jahren 2018 bis 2019 auf immateriellen Schadensersatz, Feststellung, Unterlassung und Auskunft in Anspruch. Hintergrund war ein Scraping-Vorfall, bei dem Dritte mittels des Contact Import Tools (CIT) massenhaft Telefonnummern heruntergeladen hatten, um Facebook-Profile zu identifizieren und deren öffentlich einsehbare Daten zu sammeln.
Die Klägerin argumentierte, dass Facebook unzureichende Sicherheitsvorkehrungen (wie Captchas oder eine Plausibilitätsüberprüfung) getroffen habe und die Datenschutzeinstellungen und -informationen nicht datenschutzfreundlich und undurchsichtig seien. Durch den Vorfall habe sie die Kontrolle über ihre Daten verloren und einen immateriellen Schaden erlitten. Sie sei vermehrt von Unbekannten via E-Mail und SMS kontaktiert worden. Sie verlangte Schadensersatz in Höhe von mindestens 1.000 Euro, die Feststellung künftiger Schadensersatzpflichten und die Unterlassung bestimmter Datenverarbeitungen.
Facebook bestritt die Vorwürfe, betonte, dass ausreichende technische und organisatorische Maßnahmen getroffen worden seien und argumentierte, dass die gesammelten Daten ohnehin öffentlich zugänglich gewesen seien. Außerdem sei kein immaterieller Schaden entstanden und die Anträge der Klägerin seien teilweise unzulässig und unbestimmt.
Bußgeld für Facebook
Von diesem Datenleak durch “Scraping” waren etwa 533 Millionen Datensätze mit persönlichen Informationen von Facebook-Nutzern betroffen. Die Daten enthielten Namen, Telefonnummern und E-Mail-Adressen. Die irische Datenschutzbehörde DPC führte eine Untersuchung durch und stellte fest, dass der unbefugte Zugriff auf unzureichende Sicherheitsmaßnahmen in mehreren von Facebook verwendeten APIs zurückzuführen war. Dadurch konnten die Angreifer die Daten abgreifen, ohne in die Systeme von Facebook eindringen zu müssen. Neben einer Geldbuße in Höhe von 265 Millionen Euro wurde Meta, der Mutterkonzern von Facebook, dazu verpflichtet, seine technischen und organisatorischen Maßnahmen an die Anforderungen der DSGVO anzupassen.
Immaterieller Schadensersatz im Datenschutzrecht
Nach Art. 82 DSGVO haben Betroffene einen Anspruch auf Schadensersatz, wenn sie durch eine Datenschutzverletzung einen immateriellen oder materiellen Schaden erlitten haben. Der EuGH betont in seiner regelmäßigen Rechtsprechung, dass der Begriff des Schadens weit auszulegen ist und auch immaterielle Schäden wie seelisches Leid oder den Verlust der Kontrolle über personenbezogene Daten umfassen kann. Entscheidend ist jedoch, dass der Schaden konkret dargelegt und nachgewiesen werden muss. Die bloße Möglichkeit eines zukünftigen Schadens oder abstrakte Befürchtungen reichen nicht aus, um einen Anspruch auf immateriellen Schadensersatz zu begründen.
Wie wurde das Verfahren gegen Facebook wegen Scraping entschieden?
Das Gericht stellte fest, dass die Klägerin nicht nachweisen konnte, dass ihr durch den Scraping-Vorfall ein immaterieller oder materieller Schaden entstanden ist. Das Gericht betonte, dass die bloße Möglichkeit des Missbrauchs öffentlich zugänglicher Daten keinen ersatzfähigen immateriellen Schaden darstelle. Die behauptete Häufung von Spam-Anrufen und -SMS konnte nicht zweifelsfrei allein auf den Scraping-Vorfall zurückgeführt werden. Die Klägerin habe auch nicht darlegen können, dass ein zukünftiger Schaden mit hinreichender Wahrscheinlichkeit eintreten werde, um eine Schadensersatzpflicht zu begründen.
Das OLG Dresden argumentierte, dass eine mehrere Jahre zurückliegende Datenschutzverletzung nicht ausreiche, um ein Feststellungsinteresse zu begründen, wenn nur die rein theoretische Möglichkeit eines zukünftigen Schadens bestehe. Auch ein Rechtsschutzinteresse für weitergehende Unterlassungsansprüche sei unter diesen Umständen nicht gegeben. Das Gericht stellte fest, dass es im vorliegenden Fall an einer hinreichenden Wahrscheinlichkeit für den Eintritt eines Schadens fehle.
Das Gericht stellte außerdem fest, dass Facebook gegen das Gebot der datenschutzfreundlichen Voreinstellungen nach Art. 25 Abs. 2 DSGVO (Data Protection by Default) verstoßen hat, da die Daten standardmäßig für jedermann und nicht nur für den jeweiligen Nutzer sichtbar sind. Zudem wurden die Daten ohne ausreichende Rechtfertigung gemäß Art. 6 DSGVO verarbeitet.
Das OLG Dresden bestätigte damit die Entscheidung des Landgerichts Dresden, die Klage in vollem Umfang abzuweisen. Die Revision wurde zugelassen.
Schadensersatz und Bußgeld vermeiden
Das Urteil des OLG Dresden unterstreicht die Anforderungen an die Beweislast bei der Darlegung eines immateriellen Schadens durch Kontrollverlust und die Notwendigkeit datenschutzfreundlicher Voreinstellungen. Das damit verbundene Bußgeld verdeutlicht zudem die Bedeutung wirksamer technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten.
Blöd nur, dass die Geschädigten von dem Bußgeld nichts abbekommen. Was passiert eigentlich mit dem Bußgeld? An wen fließt es? Werden damit gemeinnützige Projekte unterstützt? Falls ja, in welchen Ländern?
In Deutschland fließen die Bußgelder in den jeweiligen Landes- oder Bundeshaushalt der verhängenden Behörde. In einigen EU-Ländern landet ein Teil der Bußgelder auch direkt im Haushalt der Datenschutzbehörde.