DSGVO: Facebook muss 200 € Schadensersatz nach Datenscraping zahlen

Der Grundsatz der Datenminimierung verpflichtet u.a. Plattformbetreiber dazu, Voreinstellungen so vorzunehmen, dass Daten nicht ohne Weiteres der Öffentlichkeit oder sonst einem unbestimmten Adressatenkreis zugänglich gemacht werden. Hiergegen wird verstoßen, wenn dieser Schutz erst durch eine individuelle Änderung der Voreinstellungen erreicht wird.

Der Sachverhalt:
Die Klägerin unterhält ein Nutzerkonto bei Facebook. Die für die Registrierung des Kontos erforderlichen Pflichtangaben sind stets öffentlich einsehbar. Hinsichtlich weiterer angebbarer Daten können die Nutzer über Privatsphäre-Einstellungen entscheiden, welchen Nutzergruppen diese zugänglich sein sollen. Die Klägerin hatte bei der Sichtbarkeit ihr Konto so eingestellt, dass ihre Telefonnummer nur für sie sichtbar war. Bei den Suchbarkeitseinstellungen ihres Profils, bei denen es u.a. darum ging, wer sie anhand ihrer Telefonnummer finden kann, hatte sie es bei der Standardeinstellung „alle“ belassen. Hier wären ebenfalls Einschränkungen möglich gewesen.

Im Fall der gewählten Standardeinstellung „alle“ ermöglichte es das von der Beklagten bereitgestellte sog. Kontaktimporttool bis September 2019 jedem Facebook-Nutzer, das Profil eines anderen Nutzers mit Hilfe der von diesem hinterlegten Telefonnummer zu finden. Nutzer konnten ihre Kontakte von den Mobilgeräten auf Facebook hochladen, um mit Hilfe der Telefonnummer die jeweiligen Nutzer zu finden. Dies war auch möglich, wenn - wie hier - die Telefonnummer selbst nur für den Nutzer sichtbar war.

Zwischen Anfang 2018 und September 2019 hatten unbekannte Dritte umfangreiche Listen mit möglichen Telefonnummern erstellt. Mithilfe von automatisierten Verfahren suchten sie dann Facebook-Nutzer mit den entsprechenden Telefonnummern. Sofern ein Facebook-Konto zur Nummer gefunden wurde, waren die sog. Scraper in der Lage, die mit der Telefonnummer verknüpften öffentlich zugänglichen Nutzerdaten abzurufen und abzuspeichern. Anfang April 2021 wurden Daten von ca. 533 Mio. Facebook-Nutzern sowie die den jeweiligen Profilen der Nutzer zugeordneten Telefonnummern im Darknet. durch unbekannte Dritte zum Download bereitgestellt. Hierzu gehörten auch die Daten der Klägerin.

Die Klägerin begehrte daraufhin u.a. 1.000 € immateriellen Schadensersatz zum Ausgleich des Datenschutzverstoßes und die Unterlassung zukünftiger vergleichbarer Datenschutzverstöße. Das LG hat die Klage abgewiesen. Auf die Berufung der Klägerin hat das OLG die Entscheidung abgeändert und der Klage teilweise stattgegeben.

Die Gründe:
Die Klägerin kann verlangen, dass die Beklagte es unterlässt, aufgrund einer von der Beklagten gesetzten Voreinstellung personenbezogene Daten der Klägerin unberechtigten Dritten - namentlich Hackern und/oder Scrapern - über eine Importsoftware von Kontakten zugänglich zu machen. Die Nutzer als Inhaber personenbezogener Daten verfügen über ein vertraglich geschütztes Interesse an einer gesetzeskonformen Verarbeitung ihrer Daten. Die Beklagte hat sich insofern aber nicht datenschutzkonform verhalten. Sie hat gegen den Grundsatz der Datenminimierung verstoßen.

Die Beklagte ist nach der Datenschutzgrundverordnung (DSGVO) dazu verpflichtet, Voreinstellungen so setzen, dass die Zugänglichmachung von Daten ohne Weiteres verhindert werden kann. Die Voreinstellung muss so gesetzt werden, dass nicht erst eine bewusste persönliche Änderung der Voreinstellung diesen Schutz gewährleistet. Die hier zu beurteilende Voreinstellung, wonach „allen“ anderen Facebook-Nutzern die Suche eines Nutzerprofils über die Telefonnummer - sowie die Verknüpfung mit den dazugehörigen „öffentlichen“ personenbezogenen Daten möglich gewesen war - entsprach nicht den gesetzlichen Vorgaben.

Wegen des hier vorliegenden Datenschutzverstoßes hat die Klägerin zudem einen Anspruch auf Schadensersatz i.H.v. 200 €. Sie habt über den mit dem Datenschutzverstoß verbundenen allgemeinen Kontrollverlust hinaus befürchtet, dass Dritte ihre im Darknet veröffentlichten Daten missbräuchlich verwenden könnten. Es war auch überwiegend wahrscheinlich, dass die Klägerin aufgrund dieser Befürchtungen korrespondierende psychische Beeinträchtigungen erlitten hat. Dies rechtfertigte durchaus einen Gesamtschaden i.H.v. 200 €.

Mehr zum Thema:

Aufsatz
Martin Schmidt-Kessel
Verantwortung digitaler Plattformen
VersR 2024, 1241
VERSR0071004

Kurzbeitrag
OLG Frankfurt: Konkrete Meldung als Voraussetzung der Hostprovider-Haftung
Jan Pfeiffer, CR 2024, R78
CR0068892

Rechtsprechung
Keine Auslistungspflicht des Hostproviders aufgrund unkonkreter Beanstandung
OLG Nürnberg vom 23.07.2024 - 3 U 2469/23
Maria-Urania Dovas, ITRB 2024, 283
ITRB0071420

Beratermodul IT-Recht
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!