Urteil zu Datenleak bei FacebookWer Schadenersatz will, muss konkret werden

Das Oberlandesgericht Hamm hat die Klage einer Frau abgewiesen, die von Facebook eine Entschädigung für Datenschutzverstöße wollte. Das sei zwar grundsätzlich möglich, doch sie habe den Schaden nicht konkret genug nachgewiesen. Als Grund führt das Gericht unter anderem zahlreiche gleichlautende Klagen an.

Ein Richter:innen-Hammer auf schwarzem Hintergrund
Das Oberlandesgericht sieht keinen Anlass eine Revision zuzulassen – Gemeinfrei-ähnlich freigegeben durch unsplash.com Tingey Injury Law Firm

Meta ist vielen Facebook-Nutzer:innen, deren Telefonnummern bei einem Datenleck erbeutet wurden, keinen Schadenersatz schuldig. Diese Entscheidung im Rechtsstreit einer Betroffenen mit dem Plattformkonzern verkündete das Oberlandesgericht (OLG) Hamm am Mittwoch. In seinem Urteil kommt das Gericht zwar zu dem Schluss, dass Facebook gegen die Datenschutzgrundordnung verstoßen hat. Daraus ergebe sich jedoch nicht automatisch ein Anspruch auf Schadensersatz.

Geklagt hatte eine Frau, deren bei Facebook eingetragene Telefonnummer von Unbekannten im Jahr 2018 erbeutet wurde. 2019 und 2021 tauchten die Daten im Darknet auf. Die Klägerin machte laut dem Gericht geltend, sie habe deshalb „Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt und Aufwand an Zeit und Mühe gehabt. Für diesen immateriellen Schaden wollte sie von Facebook eine Entschädigung in Höhe von 1.000 Euro.

Tatsächlich stellte das Gericht diverse Datenschutzverstöße durch Meta fest. So habe der Konzern die Telefonnummer der Betroffenen ohne gültige Rechtsgrundlage verarbeitet und auch „eine grundsätzlich zum Schadensersatz führende Pflichtverletzung“ begangen, „da Meta trotz der konkreten Kenntnis von dem Datenabgriff im vorliegenden Fall naheliegende Maßnahmen zur Verhinderung weiteren unbefugten Datenabgriffs nicht ergriffen hatte.“

Schadensersatz grundsätzlich möglich

Grundsätzlich könne nach der Datenschutzgrundverordnung auch ein immaterieller Schaden zu einem Anspruch auf Schadenersatz führen. Das hatte erst im Frühjahr 2023 der Europäische Gerichtshof im Fall massiver Datenschutzverstöße durch die österreichische Post festgestellt. Allerdings, so das Gericht, könne ein Anspruch nicht durch den bloßen Verstoß der DSGVO begründet werden. In einer persönlichen Anhörung vor dem Landgericht hatte die Klägerin offenbar lediglich ausgeführt, sie habe ein „Gefühl der Erschrockenheit“ erlitten.

Von dem Datenleck im Jahr 2021 waren etwa 530 Millionen Facebook-Nutzer:innen betroffen. Unbekannte hatten zuvor Schwachstellen in Facebooks Sicherheitsarchitektur ausgenutzt, um mithilfe von Scraping-Programmen die Telefonnummern und weitere Daten der Nutzer:innen abzuziehen. Wie wir damals in einer Recherche aufzeigten, enthielt das Leak auch zahlreiche private Handy-Nummern von Abgeordneten des Bundestages und des Europäischen Parlaments.

Offenbar hat dies dazu geführt, dass viele Betroffene in Deutschland unter Verwendung gleichlautender oder ähnlicher Formulierungen Schadenersatzklagen gegen Meta eingereicht hatten. Die Verwendung pauschaler Formulierungen steht laut OLG Hamm dem Nachweis eines individuellen Schadens entgegen. Ähnlich hatte in erster Instanz bereits das Landgericht Bielefeld entschieden. Das OLG wies nun die Berufung und bezeichnet das Urteil als Leitentscheidung für ähnliche Klagen im Fall des Facebook-Leaks.

Max Schrems: Auch Kontrollverlust ist immaterieller Schaden

Die grundsätzliche Auseinandersetzung darum, unter welchen Bedingungen Betroffene Schadenersatzansprüche wegen DSGVO-Verstößen geltend machen können, geht nach der Entscheidung des OLG Hamm jedoch weiter. Der österreichische Datenschutzaktivist Max Schrems, der mit der Organisation noyb selbst zahlreiche Datenschutzverfahren führt, sieht in dem Urteil jedenfalls keine Signalwirkung. Auf Anfrage von netzpolitik.org sagt er, dass er das Urteil noch nicht im Detail gelesen habe, verweist aber darauf, dass auf die Entscheidung des EuGH, „dass auch immaterielle Schäden zur Gänze und ohne Mindestgrenze nach Artikel 82 DSGVO zustehen“. Es müsse zwar einen konkreten Schaden geben, das könne aber auch „der reine ‚Kontrollverlust‘ sein laut DSGVO“, so Schrems

Insgesamt seien „die deutschen Gerichte und die deutsche juristische Literatur traditionell gegen Schadenersatz im Datenschutz“. Leider handele es sich bei vielen Urteilen in Deutschland primär um eine Weigerung, EU-Recht umzusetzen, so Schrems weiter. „Wir sehen aber auch mehr und mehr korrekt Entscheidungen.“

1 Ergänzungen

  1. So wie auch bei anderen Persönlichkeitsrechtsverletzungen, wie beispielsweise einer Beleidigung, ein Schmerzensgeld für den immateriellen Schaden zu zahlen ist, so ist dies gemäß DSGVO auch bei einer zu einem Kontrollverlust führenden Datenschutzverletzung der Fall.
    Nur bei lediglich formellen Verstößen, wie der unterlassenen Bestellung eines Datenschutzbeauftragten, besteht kein Schadenersatzanspruch.

    Und genauso wie es bei einer Beleidigung keine Voraussetzung ist, dass es zu weitergehenden Schäden wie Angst oder gar psychischen Krankheiten kommt, ist dies auch bei einer Datenschutzverletzung nicht vorauszusetzen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.