Datenleck bei Facebook: Kein Schadensersatz

Vor dem Oberlandesgericht (OLG) Stuttgart waren Klagen im Zusammenhang mit einem Datenleck bei Facebook (Scraping) überwiegend erfolglos. Wie das Gericht mitteilt, sind bei ihm insgesamt über 100 Fälle anhängig – bundesweit soll es mehr als 6.000 Verfahren geben. Bereits im Dezember stünden weitere Verkündungstermine an.

Die Kläger machen gegenüber Meta (vormals Facebook) jeweils mehrere Verstöße gegen die Datenschutzgrundverordnung (DS-GVO) geltend, nachdem es ab 2018 zu einem Datenabgriff gekommen war, bei dem persönliche Daten der Kläger ausgelesen und mit deren Handynummer verknüpft wurden. Insgesamt wurden 2021 weltweit 533 Millionen entsprechende Datensätze im Darknet veröffentlicht. Die Kläger verlangen immateriellen Schadensersatz wegen Verstößen gegen die DS-GVO, die Feststellung einer künftigen Ersatzpflicht, Unterlassung der Zugänglichmachung der Daten ohne Sicherheitsmaßnahmen, Unterlassung der Verarbeitung der Telefonnummer und (weitere) Auskunft über die abgegriffenen Daten. Zwischen den Parteien besteht dabei an vielen Positionen Streit.

DAs OLG hat die Klagen überwiegend abgewiesen. Lediglich der Feststellungsantrag hatte Erfolg.

Für den Anspruch auf Schadensersatz wegen Artikel 82 Absatz 1 DS-GVO konnte das OLG keine spürbare immaterielle Beeinträchtigung der jeweiligen Kläger feststellen. Artikel 82 Absatz 1 DS-GVO gewähre einen Anspruch auf Ersatz des materiellen oder immateriellen Schadens, wenn bezüglich des betroffenen Klägers ein Verstoß gegen die DS-GVO vorliegt, der einen Schaden verursacht hat.

Der Begriff des konkret festzustellenden Schadens erfordert laut OLG eine einheitliche europarechtliche Definition. Dabei sollen nach den Erwägungsgründen zur DS-GVO der Verlust der Kontrolle über personenbezogene Daten, die Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person genügen.

Der Europäische Gerichtshof (EuGH) habe insoweit vorgegeben, dass für das Vorliegen eines Schadens keine Erheblichkeits- oder Bagatellschwelle gilt. Nach der Anhörung der Kläger konnte das OLG keine tatsächliche immaterielle Beeinträchtigung feststellen. Die Kläger hätten bloße Lästigkeiten und Unannehmlichkeiten geschildert. Auch begründe der bloße Kontrollverlust noch keine Beeinträchtigung.

Der weiterhin geltend gemachte Anspruch auf Unterlassung hatte laut OLG aus Rechtsgründen keinen Erfolg, weil die bisherige Rechtsprechung des Bundesgerichtshofs (BGH. Urteil vom 12.10.2021, VI ZR 488/19) davon ausgehe, dass Ansprüche aus §§ 823, 1004 Bürgerliches Gesetzbuch nach deutschem Recht durch Artikel 17 DS-GVO gesperrt sind. Artikel 17 DS-GVO normiere jedoch lediglich einen Anspruch auf Löschung und (erneute) Speicherung. Er räume keine Rechte bezüglich der Datenverarbeitungsvorgänge ein, weil dem Verantwortlichen für die Datenverarbeitung keine Verarbeitungsmethoden vorgegeben werden können. Auch den Auskunftsantrag wie das OLG ab: Die Beklagte habe Auskunft erteilt. Bezüglich der Frage der Empfänger der Daten sei eine Unmöglichkeit der Auskunft angenommen worden, weil die Beklagte unwidersprochen geltend gemacht habe, dass sie diese nicht kennt und ermitteln konnte.

Die beantragte Feststellung einer weitergehenden Ersatzpflicht hatte in einem der zwei Verfahren Erfolg. Das OLG hat insbesondere Verstöße gegen Artikel 5 Absatz 1 f) DS-GVO (Wahrung von Integrität und Vertraulichkeit) und Artikel 25 Absatz 2 DS-GVO (fehlende datenschutzfreundliche Voreinstellungen) festgestellt. Durch die vorhandene Möglichkeit eines Zugriffs auf die persönlichen Daten im so genannten Kontakt-Import-Tool sei gegen Artikel Absatz 1 f) DS-GVO verstoßen worden. Die Voreinstellung einer Zugriffsmöglichkeit, die aktiv abgewählt werden muss, verstoße gegen das Verbot eines Opt-Out-Modells.

Im Hinblick auf Abweichungen von einem Urteil des OLG Hamm (Urteil vom 15.08.2023, 7 U 19/23) und den Vorlagebeschluss des BGH an den EuGH (vom 26.09.2023, VI ZR 97/22) hat das OLG Stuttgart in dem teilweise erfolgreichen Fall (4 U 20/23) die Revision zugelassen. Im zweiten Fall ist die Klage aus tatsächlichen Gründen vollständig abgewiesen worden.

Oberlandesgericht Stuttgart, Urteile vom 22.11.2023, 4 U 17/23 und 4 U 20/23