Scraping: Kein Schadensersatz für Datenleck bei Facebook
OLG Stuttgart v. 22.11.2023 - 4 U 17/23 u.a.
Der Sachverhalt:
Die Kläger in den beiden vorliegenden Fällen haben gegenüber Meta (vormals Facebook) jeweils mehrere Verstöße gegen die Datenschutzgrundverordnung (DSGVO) geltend gemacht, nachdem es ab 2018 zu einem Datenabgriff gekommen war, bei dem persönliche Daten der Kläger ausgelesen und mit deren Handynummer verknüpft wurden. Insgesamt wurden 2021 weltweit 533 Mio. entsprechende Datensätze im Darknet veröffentlicht.
Die Kläger verlangten immateriellen Schadenersatz wegen Verstößen gegen die DSGVO, die Feststellung einer künftigen Ersatzpflicht, Unterlassung der Zugänglichmachung der Daten ohne Sicherheitsmaßnahmen, Unterlassung der Verarbeitung der Telefonnummer und (weitere) Auskunft über die abgegriffenen Daten.
Das LG Stuttgart hat der Klage in der Sache Az.: 53 O 95/22 überwiegend stattgegeben. Das LG Heilbronn hat die Klage in der Sache Az.: 8 O 131/22 abgewiesen. Auf die Berufungen der Beklagten hat das OLG die Entscheidungen abgeändert und die Klagen überwiegend abgewiesen, lediglich der Feststellungsantrag war erfolgreich. Allerdings hat das Gericht in dem Fall Az.: 4 U 20/23 die Revision zum BGH zugelassen.
Die Gründe:
Für den Anspruch auf Schadenersatz wegen Art. 82 Abs. 1 DSGVO fehlte es an einer spürbaren immateriellen Beeinträchtigung der jeweiligen Kläger. Art. 82 Abs. 1 DSGVO gewährt nämlich nur einen Anspruch auf Ersatz des materiellen oder immateriellen Schadens, wenn bezüglich des betroffenen Klägers ein Verstoß gegen die DSGVO vorliegt, der einen Schaden verursacht hat.
Der Begriff des konkret festzustellenden Schadens erfordert eine einheitliche europarechtliche Definition, wobei nach den Erwägungsgründen zur DSGVO der Verlust der Kontrolle über personenbezogene Daten, die Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person genügen sollen. Der EuGH hat insoweit vorgegeben, dass für das Vorliegen eines Schadens keine Erheblichkeits- oder Bagatellschwelle gilt. In den vorliegenden Fällen konnte allerdings keine tatsächliche immaterielle Beeinträchtigung festgestellt werden, weil lediglich Lästigkeiten und Unannehmlichkeiten geschildert worden waren und der bloße Kontrollverlust noch keine Beeinträchtigung begründet.
Die zudem geltend gemachten Ansprüche auf Unterlassung hatten aus Rechtsgründen keinen Erfolg, weil die bisherige BGH-Rechtsprechung (z.B. BGH, Urt. v. 12.10.2021 - VI ZR 488/19) davon ausgeht, dass Ansprüche aus §§ 823, 1004 BGB nach deutschem Recht durch Art. 17 DSGVO gesperrt sind. Art. 17 DSGVO normiert lediglich einen Anspruch auf Löschung und (erneute) Speicherung und räumt keine Rechte bezüglich der Datenverarbeitungsvorgänge ein, weil dem Verantwortlichen für die Datenverarbeitung keine Verarbeitungsmethoden vorgegeben werden können. Auch der Auskunftsantrag wurde abgewiesen, denn die Beklagte hatte Auskunft erteilt. Bezüglich der Frage der Empfänger der Daten wurde eine Unmöglichkeit der Auskunft angenommen, weil die Beklagte unwidersprochen geltend gemacht hatte, dass sie diese nicht kennt und ermitteln konnte.
Die beantragte Feststellung einer weitergehenden Ersatzpflicht war in einem der zwei Verfahren erfolgreich. Der Senat hat insbesondere Verstöße gegen Art. 5 Abs. 1 f) DSGVO (Wahrung von Integrität und Vertraulichkeit) und Art. 25 Abs. 2 DSGVO (fehlende datenschutzfreundliche Voreinstellungen) feststellen können. Durch die vorhandene Möglichkeit eines Zugriffs auf die persönlichen Daten im sog. Kontakt-Import-Tool wurde gegen Art. 5 Abs. 1 f) DSGVO verstoßen. Die Voreinstellung einer Zugriffsmöglichkeit, die aktiv abgewählt werden muss, verstößt gegen das Verbot eines Opt-Out-Modells.
Im Hinblick auf Abweichungen von einem Urteil des OLG Hamm vom 15.8.2023 (7 U 19/23) und dem Vorlagebeschluss des BGH an den EuGH (vom 2609.2023; VI ZR 97/22) hat der Senat in dem teilweise erfolgreichen Fall Az.: 4 U 20/23 die Revision zugelassen. Im zweiten Fall ist die Klage aus tatsächlichen Gründen vollständig abgewiesen worden.
Mehr zum Thema:
Kurzbeitrag
Jan Pfeiffer
OLG Hamm: Kein Schadensersatz nach Facebook-Scraping
CR 2023, R112
Aufsatz:
Auslegungsansatz zur Bestimmung des immateriellen Schadens i.S.d. Art. 82 Abs. 1 DSGVO
Niklas Wolf, CR 2023, 510
Alles auch nachzulesen im Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Ihr Vorteil: Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
OLG Stuttgart PM v. 22.11.2023
Die Kläger in den beiden vorliegenden Fällen haben gegenüber Meta (vormals Facebook) jeweils mehrere Verstöße gegen die Datenschutzgrundverordnung (DSGVO) geltend gemacht, nachdem es ab 2018 zu einem Datenabgriff gekommen war, bei dem persönliche Daten der Kläger ausgelesen und mit deren Handynummer verknüpft wurden. Insgesamt wurden 2021 weltweit 533 Mio. entsprechende Datensätze im Darknet veröffentlicht.
Die Kläger verlangten immateriellen Schadenersatz wegen Verstößen gegen die DSGVO, die Feststellung einer künftigen Ersatzpflicht, Unterlassung der Zugänglichmachung der Daten ohne Sicherheitsmaßnahmen, Unterlassung der Verarbeitung der Telefonnummer und (weitere) Auskunft über die abgegriffenen Daten.
Das LG Stuttgart hat der Klage in der Sache Az.: 53 O 95/22 überwiegend stattgegeben. Das LG Heilbronn hat die Klage in der Sache Az.: 8 O 131/22 abgewiesen. Auf die Berufungen der Beklagten hat das OLG die Entscheidungen abgeändert und die Klagen überwiegend abgewiesen, lediglich der Feststellungsantrag war erfolgreich. Allerdings hat das Gericht in dem Fall Az.: 4 U 20/23 die Revision zum BGH zugelassen.
Die Gründe:
Für den Anspruch auf Schadenersatz wegen Art. 82 Abs. 1 DSGVO fehlte es an einer spürbaren immateriellen Beeinträchtigung der jeweiligen Kläger. Art. 82 Abs. 1 DSGVO gewährt nämlich nur einen Anspruch auf Ersatz des materiellen oder immateriellen Schadens, wenn bezüglich des betroffenen Klägers ein Verstoß gegen die DSGVO vorliegt, der einen Schaden verursacht hat.
Der Begriff des konkret festzustellenden Schadens erfordert eine einheitliche europarechtliche Definition, wobei nach den Erwägungsgründen zur DSGVO der Verlust der Kontrolle über personenbezogene Daten, die Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person genügen sollen. Der EuGH hat insoweit vorgegeben, dass für das Vorliegen eines Schadens keine Erheblichkeits- oder Bagatellschwelle gilt. In den vorliegenden Fällen konnte allerdings keine tatsächliche immaterielle Beeinträchtigung festgestellt werden, weil lediglich Lästigkeiten und Unannehmlichkeiten geschildert worden waren und der bloße Kontrollverlust noch keine Beeinträchtigung begründet.
Die zudem geltend gemachten Ansprüche auf Unterlassung hatten aus Rechtsgründen keinen Erfolg, weil die bisherige BGH-Rechtsprechung (z.B. BGH, Urt. v. 12.10.2021 - VI ZR 488/19) davon ausgeht, dass Ansprüche aus §§ 823, 1004 BGB nach deutschem Recht durch Art. 17 DSGVO gesperrt sind. Art. 17 DSGVO normiert lediglich einen Anspruch auf Löschung und (erneute) Speicherung und räumt keine Rechte bezüglich der Datenverarbeitungsvorgänge ein, weil dem Verantwortlichen für die Datenverarbeitung keine Verarbeitungsmethoden vorgegeben werden können. Auch der Auskunftsantrag wurde abgewiesen, denn die Beklagte hatte Auskunft erteilt. Bezüglich der Frage der Empfänger der Daten wurde eine Unmöglichkeit der Auskunft angenommen, weil die Beklagte unwidersprochen geltend gemacht hatte, dass sie diese nicht kennt und ermitteln konnte.
Die beantragte Feststellung einer weitergehenden Ersatzpflicht war in einem der zwei Verfahren erfolgreich. Der Senat hat insbesondere Verstöße gegen Art. 5 Abs. 1 f) DSGVO (Wahrung von Integrität und Vertraulichkeit) und Art. 25 Abs. 2 DSGVO (fehlende datenschutzfreundliche Voreinstellungen) feststellen können. Durch die vorhandene Möglichkeit eines Zugriffs auf die persönlichen Daten im sog. Kontakt-Import-Tool wurde gegen Art. 5 Abs. 1 f) DSGVO verstoßen. Die Voreinstellung einer Zugriffsmöglichkeit, die aktiv abgewählt werden muss, verstößt gegen das Verbot eines Opt-Out-Modells.
Im Hinblick auf Abweichungen von einem Urteil des OLG Hamm vom 15.8.2023 (7 U 19/23) und dem Vorlagebeschluss des BGH an den EuGH (vom 2609.2023; VI ZR 97/22) hat der Senat in dem teilweise erfolgreichen Fall Az.: 4 U 20/23 die Revision zugelassen. Im zweiten Fall ist die Klage aus tatsächlichen Gründen vollständig abgewiesen worden.
Kurzbeitrag
Jan Pfeiffer
OLG Hamm: Kein Schadensersatz nach Facebook-Scraping
CR 2023, R112
Aufsatz:
Auslegungsansatz zur Bestimmung des immateriellen Schadens i.S.d. Art. 82 Abs. 1 DSGVO
Niklas Wolf, CR 2023, 510
Alles auch nachzulesen im Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Ihr Vorteil: Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!