Am 2. April 2024 entschied das Oberlandgericht Hamburg über die Klage eines Facebook-Nutzers gegen Facebook wegen eines Scraping-Vorfalls. Dabei wurden große Mengen öffentlich zugänglicher Daten von Facebook-Profilen automatisiert gesammelt und in Datenbanken veröffentlicht. Darunter auch die Mobilfunknummer des Klägers. Der Kläger verlangte daraufhin immateriellen Schadensersatz in Höhe von 1.000,00 EUR für den entstandenen Kontrollverlust und die negativen Folgen, die Feststellung einer Ersatzpflicht für künftige Schäden sowie Unterlassung bestimmter Verarbeitungspraktiken.
Zum Sachverhalt:
Der Kläger macht geltend, seine im Facebook-Konto hinterlegte Mobilfunknummer sei durch den Scraping-Vorfall veröffentlicht worden.
Doch was genau versteht man unter Scraping? Beim Scraping werden Informationen aus Internetseiten oder Nutzer*innenprofilen herausgelesen und analysiert. Die Daten können dann zum Beispiel für Marktanalysen oder Preisvergleiche genutzt werden.
Im vorliegenden Fall behauptet der Kläger, seine Nummer wäre nach dem Scraping-Vorfall im Darknet verfügbar gewesen und er wäre daraufhin Ziel von Spam-Nachrichten und Phishing-Anrufen geworden. Dies und das Wissen, dass seine Nummer im Darknet verfügbar sei, hätten sie erheblich belastet.
Bei der in Rede stehenden Mobilfunknummer handelt es sich um eine seit 20 Jahren genutzte Firmennummer, die neben den 300 bis 400 privaten Kontakten des Klägers auch den rund 100.000 Mitarbeitenden seiner Firma bekannt war.
Datenschutzrechtlicher Kontext:
Art. 82 DSGVO ermöglicht Schadensersatz für materielle und immaterielle Schäden bei Datenschutzverstößen. Nach der aktuellen Rechtsprechung des EuGH kann auch ein reiner Kontrollverlust über die eigenen personenbezogenen Daten schon einen ersatzfähigen Schaden darstellen. Dazu muss der Kläger oder die Klägerin jedoch nachweisen, dass sie durch den Vorfall die Kontrolle über ihre Daten verloren hat.
Im vorliegenden Fall entschied das OLG Hamburg, dass die Mobilfunknummer des Klägers schon vor dem Scraping-Vorfall einer sehr großen Personengruppe zugänglich war. Der Kläger hätte daher schon vorher keine absolute Kontrolle mehr über seine Daten gehabt. Zu einem kausalen Kontrollverlust im Sinne der DSGVO durch das Datenscraping sei es daher nicht gekommen. Auch psychische Beeinträchtigungen oder ein tatsächlicher Zusammenhang zwischen dem Vorfall und den behaupteten Spam-Anrufen konnten nicht belegt werden.
Auch die Unterlassungsanträge wurden mangels Wiederholungsgefahr der Beklagten abgelehnt. Facebook habe die problematische Suchfunktion über das Contact Import Tool inzwischen entfernt und es hätte keine vergleichbaren Fälle mehr gegeben. Auch eine Verarbeitung auf Grundlage einer unwirksamen Einwilligung sei nicht zu besorgen, da die Beklagte sich auf Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO) stütze.
Fazit:
Die Klage wurde in allen Punkten zurückgewiesen. Das Urteil zeigt, dass bloße Befürchtungen oder Unbehagen für einen immateriellen Schadensersatz nicht ausreichen.
Der Kontrollverlust und die dadurch entstandenen Beeinträchtigungen und Schäden müssen nachgewiesen und belegt werden.
