Co-Autor: Paul Friedl
Erst im November 2024 stärkte der BGH in seinem vielbeachteten Scraping-Urteil (BGH, Urt. v. 18.11.2024 – VI ZR 10/24, Taylor Wessing berichtete) die Rechte von Anspruchstellern bei der Geltendmachung von Schadensersatz nach Art. 82 DSGVO. Das OLG Hamm (Urt. v. 29.11.2024 – I-25 U 25/24) nimmt den Anspruchstellern nun aber – unter Berücksichtigung der BGH-Entscheidung – schon wieder den Wind aus den Segeln.
Hintergrund der Urteile ist das sog. Facebook-Scraping. Unbekannte hatten hier zwischen Januar 2018 bis September 2019 über die Kontakt-Import-Funktion von Facebook personenbezogene Daten von ca. 533 Millionen Facebook-Nutzern abgegriffen und im April 2021 veröffentlicht. In der Folge wurde Facebook tausendfach von Betroffenen auf Schadensersatz verklagt, wobei in der Regel Forderungen von 1.000 bis 2.000 EUR geltend gemacht werden.
Nachdem Gerichte einen Großteil der Klagen mangels Schadens abgewiesen hatten, stärkte der BGH im November 2024 die Position der Kläger. Insbesondere stellte der BGH fest, ein ersatzfähiger Schaden bestehe schon im reinen Verlust der Kontrolle über die personenbezogenen Daten, auch wenn keine weiteren negativen Folgen hinzutreten. Die Darlegung des Schadens wird damit vermeintlich einfacher, weil nur noch gezeigt werden muss, dass die betroffenen Daten abgeflossen sind.
Hier zieht das OLG Hamm – durchaus im Einklang mit dem BGH – nun aber wieder eine neue Grenze ein. Obwohl unstreitig feststand, dass Telefonnummer und Accountname des Klägers aufgrund des Vorfalls im Internet verbreitet werden konnten, nahm das OLG an, dass der Kläger den Eintritt eines Kontrollverlustes nicht hinreichend dargelegt hatte. Ein Kontrollverlust setze voraus, dass „die betroffene Person zunächst die Kontrolle über das konkrete personenbezogene Datum hatte und sie diese Kontrolle später gegen ihren Willen durch den (streitgegenständlichen) Datenschutzverstoß verloren hat“ (OLG Hamm, juris Rn. 63). Folglich müsse die betroffene Person, darlegen, „dass sie die Hoheit über die Daten nicht schon zuvor verloren hatte“ (OLG Hamm, juris Rn. 63). Diesen Beweis hatte der Kläger aus Sicht des Gerichts nicht erbracht. Der Betroffene hatte nämlich selbst gesagt, dass er bereits vor der Verbreitung der abgegriffenen Daten (verstärkt) Spam-Anrufen und -SMS ausgesetzt war. Auch wenn diese Kontaktaufnahmen unter Verwendung des Facebook-Alias des Betroffenen erfolgten, lasse sich nicht ‚mit der gebotenen Sicherheit‘ daraus schließen, dass es sich dabei gerade um Folgen des streitgegenständlichen Scrapings-Vorfalls handelte.
Das Urteil des OLG steht dabei mit dem BGH-Urteil vom November 2024 in Einklang. Auch der BGH hatte nämlich in seinem Urteil festgehalten, dass der Betroffene nachweisen müsse, vor dem Datenschutzvorfall die Kontrolle über die Daten gehabt zu haben. Ein Kontrollverlust liege daher nicht vor, wenn der Kläger die Daten zuvor allgemein im Internet veröffentlicht habe. Weiter stünde das Risiko einer missbräuchlichen Verwendung der kompromittierten Daten durch Dritte der Darlegung eines Kontrollverlustes nur dann nicht entgegen, „solange sich dieses [Risiko] nicht unstreitig vor dem Eintritt des Scraping-Vorfalls verwirklicht [hat]“ (BGH, Rn. 49). Wo sich – wie im Fall des OLG – das „Risiko“ aber schon zuvor materialisiert hat, gibt es keinen Kontrollverlust. Das OLG-Urteil zeigt, dass es bei der Definition des Kontrollverlusts noch erhebliche Unsicherheiten gibt und die juristischen Diskussionen noch längst nicht abgeschlossen sind.
Der Kontrollverlust über die eigenen Daten ist allerdings nicht der einzige Schaden, der nach Art. 82 DSGVO zu ersetzen ist. Auch die begründete Befürchtung eines Betroffenen, die eigenen Daten könnten missbräuchlich verwendet werden, reicht für die Begründung eines ersatzfähigen immateriellen Schadens laut EuGH und BGH grundsätzlich aus. Auch diese Schadensbegründung lehnte das OLG Hamm im vorliegenden Urteil allerdings ab. So habe der Kläger nicht hinreichend klar dargestellt, weshalb er „großes Unwohlsein“ und „große Sorge“ über einen möglichen Missbrauch verspürt hätte. Diese Einschätzung stützte das OLG insbesondere darauf, dass der Kläger im Umgang mit dem Internet versiert sei und daher betrügerische Kontaktversuche hinreichend sicher abwehren könne.
Was sollen Unternehmen jetzt tun?
- Ansprüchen nicht vorschnell nachgeben.
- Rechtsverteidigung in Massenverfahren ist teuer, daher besser Vorsorge als Nachsorge:
o Technische und organisatorische Maßnahmen (TOMs) regelmäßig prüfen.
o Datenschutz-Compliance weiter stärken.
Wie das Urteil des OLG zeigt, reicht es auch nach dem Grundsatzurteil des BGH weiterhin nicht aus, dass Anspruchsteller nur nachweisen, von einem Datenschutzvorfall betroffen zu sein. Die Maxime, dass Datenschutzverstoß und Schaden nicht gleichbedeutend sein dürfen, bleibt insofern gültig. Zukünftige Urteile werden hoffentlich klären, wie Betroffene einen Kontrollverlust nachzuweisen haben, damit auch hier Rechtssicherheit besteht. Die Erfahrung zeigt allerdings, dass Rechtsverteidigung – insbesondere in Massenverfahren – kostspielig ist. Auch hier ist deswegen Vorsicht besser als Nachsicht: Unternehmen sollten ihre technischen und organisatorischen Maßnahmen (TOMs) regelmäßig auf den Prüfstand stellen und ihre Datenschutz-Compliance insgesamt stärken. Dies minimiert das Risiko künftiger Schadensersatzansprüche letztlich am effektivsten.
