Das Oberlandesgericht Hamm hat ein erstes Urteil zu den sogenannten Facebook-Scraping-Fällen gesprochen und eine Klage auf Zahlung von Schadensersatz nach der Datenschutz-Grundverordnung (DSGVO) abgewiesen. Nach dem Urteil liegen zwar Verstöße gegen datenschutzrechtliche Vorschriften vor, einen immateriellen Schaden konnte die Klägerin jedoch nicht ausreichend darlegen.
Hinweis: Dazu die Entscheidung des OLG Stuttgart beachten!
Leitsätze der Entscheidung
- Der Verantwortliche für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO muss generell – und damit auch im Zivilprozess – nach dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können, dass er die in Art. 5 Abs. 1 DSGVO festgelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat (im Anschluss an EuGH Urt. v. 4.7.2023 – C-252/21, GRUR 2023, 1131 Rn. 95, 152, 154).
- Die automatisierte Ausführung eines Datenabrufs über eine Such- oder Kontaktimportfunktion durch einen Dritten in einem sozialen Netzwerk ist eine Datenverarbeitung des Netzwerkbetreibers als Verantwortlichem in Form der Offenlegung durch Übermittlung im Sinne des Art. 4 Nr. 2 DSGVO (in Anwendung von EuGH Urt. v. 22.6.2023 – C-579/21, BeckRS 2023, 14515 Rn. 46 ff.; EuGH Urt. v. 4.5.2023 – C-487/21, NJW 2023, 2253 Rn. 27)
- Die Verarbeitung auch der Mobilfunktelefonnummer eines Nutzers im Rahmen einer Such- und Kontaktimportfunktion durch das soziale Netzwerk Facebook kann nicht auf den Rechtfertigungsgrund der Vertragszweckerfüllung im Sinne von Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO gestützt werden (in Anwendung von EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 98 ff.).
- Für die Verarbeitung der Mobilfunktelefonnummer eines Nutzers durch das soziale Netzwerk Facebook im Rahmen einer Such- und Kontaktimportfunktion ist eine Einwilligung im Sinne von Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7 DSGVO erforderlich, die – wie hier – bei unzulässiger Voreinstellung („opt-out“) und unzureichender sowie intransparenter Information über die konkrete Funktionsweise der Such- und Kontaktimportfunktion nicht vorliegen kann (in Anwendung von EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 91 f. und EuGH Urt. v. 11.11.2020 – C-61/19, NJW 2021, 841 Rn. 35 f.).
- Der für die Datenverarbeitung Verantwortliche verletzt seine Pflichten aus Art. 32 und Art. 25 Abs. 1 DSGVO, wenn er – wie hier – bereits konkrete Kenntnis von einem Datenabgriff durch unbefugte Dritte hat und trotzdem – im Einzelfall – bei ex-ante-Betrachtung naheliegende Maßnahmen zur Verhinderung des weiteren unbefugten Datenabgriffs nicht ergreift (im Ergebnis wie Irish Data Protection Commission Entsch. v. 25.11.2022 – IN-21-4-2; siehe auch GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 20, 29 ff., 38 ff.).
- Ein Schadensersatzanspruch wegen einer solchen der DSGVO nicht entsprechenden Datenverarbeitung scheidet gleichwohl aus, wenn – wie hier – bei der betroffenen Person ein konkreter (tatsächlicher), über den durch die unrechtmäßige Datenverarbeitung ohnehin eintretenden Kontrollverlust hinausgehender (immaterieller) Schaden nicht eingetreten ist (in Anwendung von EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 29 ff.; EuGH Urt. v. 16.3.2023 – C-522/21, GRUR 2023, 713 Rn. 38; EuGH Urt. v. 25.3.2021 – C-501/18, BeckRS 2021, 5310 Rn. 112; EuGH Urt. v. 13.12.2018 – C-150/17 P, BeckRS 2018, 31923 Rn. 86; im Nachgang zu BVerfG Beschl. v. 14.1.2021 – 1 BvR 2853/19, NJW 2021, 1005 Rn. 19 ff.).
- Die Darlegungslast für den Eintritt des konkreten immateriellen Schadens liegt beim Betroffenen und kann bei behaupteten persönlichen / psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller – und nicht wie hier in einer Vielzahl von Fällen gleichartiger –, dem Beweis zugänglicher Indizien erfüllt werden (im Anschluss an BGH Urt. v. 3.3.2022 – IX ZR 53/19, NJW 2022, 1457 Rn. 9; BGH Urt. v. 12.5.1995 – V ZR 34/94, NJW 1995, 2361 = juris Rn. 17; EuG Urt. v. 1.2.2017 – T-479/14, BeckRS 2017, 102499 Rn. 118, EuGH Urt. v. 13.12.2018 – C-150/17 P, IWRZ 2019, 82 Rn. 111, 121).
- Die Beweislast für den Eintritt des konkreten immateriellen Schadens liegt beim Betroffenen. Der Beweis ist nach dem Maßstab des § 286 ZPO (in Anwendung von EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 53; EuGH Urt. v. 16.3.2023 – C-522/21, GRUR 2023, 713 Rn. 38, 46, 49, EuGH Urt. v. 25.3.2021 – C-501/18, BeckRS 2021, 5310 Rn. 112, 122, 127; im Anschluss an BGH Urt. v. 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 14, 17, 19), gegebenenfalls allein durch eine Parteianhörung nach § 141 ZPO zu führen (im Anschluss an BGH Urt. v. 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 19).
- Für die Zulässigkeit einer Klage auf Feststellung der Ersatzpflicht hinsichtlich materieller oder immaterieller Schäden im Sinne des Art. 82 DSGVO genügt – solange nicht reine Vermögensschäden geltend gemacht werden – die Möglichkeit eines Schadenseintritts, die nur zu verneinen ist, wenn bei verständiger Würdigung – wie im vorliegenden Einzelfall – kein Grund besteht, mit dem Eintritt eines derartigen Schadens wenigstens zu rechnen (in Anwendung von EuGH Urt. v. 4.5.2023 – C-300/21, NZA 2023, 621 Rn. 53, 54; EuGH Urt. v. 25.3.2021 – C-501/18, BeckRS 2021, 5310 Rn. 126; im Anschluss an BGH Urt. v. 5.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28; BGH Urt. v. 29.6.2021 – VI ZR 52/18, NJW 2021, 3130 Rn. 30).
- Liegt der Schwerpunkt eines Unterlassungsantrages auf einem aktiven Tun und kann dem Unterlassungsbegehren nicht ausschließlich durch das aktive Tun nachgekommen werden, ist ein Antrag auf Androhung nach § 890 Abs. 2 ZPO unzulässig (im Anschluss an BGH Beschl. v. 9.7.2020 – I ZB 79/19, WM 2020, 1826 Rn. 20; BGH Beschl. v. 17.6.2021 – I ZB 68/20, NJW-RR 2021, 1146 Rn. 11 f.).
- Eine verdeckte, auf aktives Tun gerichtete Leistungsklage ist anders als eine Unterlassungsklage an § 259 ZPO zu messen, dessen Voraussetzung der Besorgnis nicht rechtzeitiger Leistung sich nicht aus einem zurückliegenden Verstoß gegen Art. 25 Abs. 1, Art. 32 DSGVO ergibt, wenn ein solcher im Hinblick auf den konkreten Verarbeitungsvorgang wegen der Deaktivierung der zugrundliegenden Funktionalität zukünftig nicht mehr eintreten wird.
- Ein Auskunftsanspruch nach Art. 15 Abs. 1 Hs. 2 DSGVO ist im Sinne von § 362 Abs. 1 BGB grundsätzlich erfüllt, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen (im Anschluss an BGH Urt. v. 15.6.2021 – VI ZR 576/19, r+s 2021, 525 Rn. 19 f.).
- a) Der Streitwert für eine nichtvermögensrechtliche Streitigkeit richtet sich gemäß § 3 ZPO, § 48 Abs. 2 GKG u. a. nach dem Interesse des Klägers und damit seiner aufgrund des zu beanstandenden Verhaltens zu besorgenden persönlichen / wirtschaftlichen Beeinträchtigung, nach der Stellung der Beteiligten sowie nach Art, Umfang und Gefährlichkeit der zu unterlassenden / begehrten Handlung (im Anschluss an BGH Beschl. v. 25.4.2023 – VI ZR 111/22, GRUR 2023, 1143 Rn. 13; OLG Hamm Beschl. v. 8.11.2013 – 9 W 66/13, NJW-RR 2014, 894 = juris Rn. 5).
b) Das Gericht ist bei der Streitwertbemessung nicht an die subjektiven Wertangaben in der Klageschrift gebunden (im Anschluss an BGH Beschl. v. 8.10.2012 – X ZR 110/11, GRUR 2012, 1288 Rn. 4; BGH Beschl. v. 12.6.2012 – X ZR 104/09, MDR 2012, 875 Rn. 5). Insbesondere kommt ihnen keine indizielle Bedeutung zu, wenn sie – wie hier – das tatsächliche Interesse offensichtlich unzutreffend widerspiegelt (im Anschluss an OLG München Beschl. v. 5.2.2018 – 29 W 1855/17, NJW-RR 2018, 575 = juris Rn. 16).
c) Außer Betracht zu lassen ist insbesondere die über die konkret-individuellen Interessen hinausgehende gesamtgesellschaftliche oder general-präventive sowie die abstrakt-generelle Bedeutung für andere potentiell betroffene Personen (im Anschluss an BGH Beschl. v. 30.11.2004 – VI ZR 65/04, BeckRS 2004, 12785 = juris Rn. 2; BGH Urt. v. 12.5.2016 – I ZR 1/15, MDR 2016, 1344 Rn. 42).d) Bei einer auf eine Wiederholungsgefahr gestützten Klage kann – so auch hier – die bereits erlittene Beeinträchtigung eine Obergrenze für die Bemessung des Interesses des Klägers darstellen.
Erläuterung der Entscheidung
Im April 2021 veröffentlichten Unbekannte die Daten von etwa 500 Millionen Facebook-Nutzern im Darknet, darunter Namen und Telefonnummern. Die Daten hatten die Unbekannten zuvor über einen längeren Zeitraum zunächst unter Ausnutzung der seinerzeitigen Suchfunktionen von Facebook gesammelt, weshalb von „Scraping“ gesprochen wird (von engl. to scrape für zusammenkratzen). Auch dann, wenn die Anzeige der eigenen Telefonnummer bei Facebook nicht aktiviert war, war es über die Suchfunktion möglich, einen Nutzer über eine eingegebene Telefonnummer zu identifizieren. Dies nutzen die unbekannten „Scraper“ aus, indem sie millionenfach Telefonnummern mit dem Computer generierten und hierzu Daten abriefen. Facebook deaktivierte die Suchfunktion für Telefonnummern im April 2018. Auf ein daraufhin angepasstes Scraping-Verfahren, das die Kontaktimportfunktion von Facebook ausnutzte, wurden weitere Daten abgegriffen, bis Facebook auch diese Funktion auf der Plattform im Oktober 2018 und im Facebook-Messenger im September 2019 deaktivierte.
Im Hinblick auf dieses „Datenleck“ sind bundesweit zahlreiche Klagen gegen Meta als Betreiberin der Plattform anhängig, so auch im Bezirk des Oberlandesgerichts Hamm, für den nunmehr die erste Entscheidung vorliegt. Der für das Recht der unerlaubten Handlungen zuständige 7. Zivilsenat klärt darin zahlreiche Rechtsfragen im Zusammenhang mit den Scraping-Klagen.
Auch die Klägerin im nun entschiedenen Verfahren war von dem Scraping betroffen. In dem im Darknet veröffentlichten Datensatz fanden sich ihre Mobiltelefonnummer, ihr Vor- und Nachname sowie die Angabe ihres Geschlechts. Die Klägerin hat von Meta als Betreiberin der Plattform unter anderem eine Entschädigung für immaterielle Schäden ähnlich einem Schmerzensgeld in Höhe von mindestens 1.000 Euro verlangt. Sie hat die Auffassung vertreten, die Betreiberin der Plattform habe sowohl im Zusammenhang mit dem Scraping als auch unabhängig davon gegen verschiedene Vorschriften des Datenschutzes aus der DSGVO verstoßen. Dem ist Meta entgegengetreten.
Das Landgericht Bielefeld hatte die Klage zurückgewiesen. Die von der Klägerin eingelegte Berufung ist nun vor dem Oberlandesgericht Hamm ohne Erfolg geblieben. Zwar hat das Oberlandesgericht Verstöße gegen die DSGVO festgestellt. Von einem immateriellen Schaden der Klägerin konnte es sich jedoch nicht überzeugen.
Zu den festgestellten Verstößen gegen die DSGVO geht das Oberlandesgericht im Ausgangspunkt davon aus, dass es auch im Zivilprozess Aufgabe des für die Datenverarbeitung Verantwortlichen – hier Meta – ist, die zulässige Verarbeitung dieser Daten nach der DSGVO nachzuweisen. Auch die Weitergabe von Daten an Dritte auf eine Suchfunktion oder eine Kontaktimportfunktion ist dabei Datenverarbeitung im Sinne der DSGVO. Meta konnte hier nicht nachweisen, dass die Weitergabe der Mobiltelefonnummer der Klägerin im Rahmen der Such- oder Kontaktimportfunktion nach der DSGVO gerechtfertigt war. Auf die Erfüllung des Vertragszwecks als Rechtfertigungsgrund nach der DSGVO kann sich Meta dabei nicht berufen, da die Verarbeitung der Mobiltelefonnummer für die Vernetzung der Nutzerinnen und Nutzer von Facebook untereinander unter Berücksichtigung des Grundsatzes der Datensparsamkeit nicht zwingend erforderlich ist. Für die Verarbeitung der Mobiltelefonnummer bedarf es daher einer Einwilligung der Nutzerin oder des Nutzers. Eine solche wurde hier schon deswegen nicht wirksam erteilt, weil bei der seinerzeit erteilten Einwilligung der Klägerin in unzulässiger Weise mit von der Nutzerin auf Wunsch abwählbaren Voreinstellungen gearbeitet wurde („opt-out“) und die Informationen über die Such- und Kontaktimportfunktion unzureichend und intransparent waren.
Auch eine grundsätzlich zum Schadensersatz führende Pflichtverletzung hat das Oberlandesgericht bejaht, da Meta trotz der konkreten Kenntnis von dem Datenabgriff im vorliegenden Fall naheliegende Maßnahmen zur Verhinderung weiteren unbefugten Datenabgriffs nicht ergriffen hatte.
Das Oberlandesgericht hat der Klägerin im Ergebnis aber dennoch keinen Schadensersatz zuerkannt. Die Klägerin hat hier lediglich immaterielle Schäden geltend gemacht, was nach der DSGVO grundsätzlich möglich ist und zu einer Entschädigung ähnlich einem Schmerzensgeld führen kann. Allerdings ist es der Klägerin nicht gelungen, einen konkreten immateriellen Schaden darzulegen. Dabei geht das Oberlandesgericht davon aus, dass der immaterielle Schaden nicht in dem bloßen Verstoß gegen die DSGVO selbst liegen kann, sondern darüberhinausgehende persönliche bzw. psychologische Beeinträchtigungen eingetreten sein müssen. Solche hat die Klägerin jedoch nicht individuell dargelegt. Der zu einer Vielzahl an ähnlich gelagerten Verfahren identische, pauschale Vortrag, die „Klägerpartei“ habe Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt und Aufwand an Zeit und Mühe gehabt, reicht zur Darlegung einer konkret-individuellen Betroffenheit der Klägerin nicht aus. Auch ist der hier in Rede stehende Datenmissbrauch, der zur ungewollten Veröffentlichung von Name und Mobiltelefonnummer geführt hat, nicht so schwerwiegend, dass der Eintritt eines immateriellen Schadens ohne weiteres naheliegt. Hinzu kommt, dass die Klägerin in ihrer persönlichen Anhörung vor dem Landgericht lediglich ausgeführt hatte, sie habe ein „Gefühl der Erschrockenheit“ erlitten.
Das Oberlandesgericht hat den Streitwert für das gesamte Verfahren – in dem auch erfolglos weitere Anträge auf Feststellung, Unterlassung und Auskunft geltend gemacht worden waren – mit lediglich 3.000 Euro bewertet. Es hat keinen Anlass gesehen, das Verfahren dem Europäischen Gerichtshof zur Vorabentscheidung vorzulegen oder die Revision zuzulassen, da die entscheidenden Rechtsfragen jüngst durch den Europäischen Gerichtshof geklärt wurden.
Oberlandesgericht Hamm, Urteil vom 15. August 2023, Az. 7 U 19/23; Vorinstanz: Landgericht Bielefeld, Urteil vom 19. Dezember 2022, Az. 8 O 157/22; Quelle: Pressemitteilung des Gerichts
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024