Das Facebook-Scraping-Urteil: Was Sie über Datenschutz und Schadensersatz wissen müssen

Das Oberlandesgericht Hamm hat gesprochen, und die Welt des Datenschutzes hält den Atem an. Das viel diskutierte Facebook-Scraping-Urteil vom 15. August 2023 (Az. 7 U 19/23) wirft ein grelles Licht auf die rechtlichen Aspekte von Datenschutzverletzungen und Schadensersatzansprüchen. Wenn Sie dachten, Datenschutz sei nur ein Schlagwort in unserer digitalen Ära, dann sollten Sie diesen Artikel auf keinen Fall verpassen.

Der Fall im Überblick

Es begann alles im April 2021, als Unbekannte die sensiblen Daten von rund 500 Millionen Facebook-Nutzern im Darknet veröffentlichten. Namen, Telefonnummern – alles war dabei. Aber wie kamen sie an diese Informationen? Das Zauberwort: Scraping. Sie nutzten die Suchfunktion von Facebook, um Nutzerprofile auszulesen, selbst wenn die Telefonnummer nicht sichtbar war.

Ein Datenraubzug, der über Jahre hinweg unentdeckt blieb. Facebook reagierte, deaktivierte die Suchfunktionen, aber die Schäden waren bereits angerichtet.

Die Klage und die Hoffnung auf Schadensersatz

Eine betroffene Klägerin, deren Daten im Darknet landeten, forderte von Meta, dem Betreiber von Facebook, Schadensersatz in Höhe von mindestens 1.000 Euro. Sie war überzeugt, dass Meta gegen Datenschutzbestimmungen der DSGVO verstoßen hatte. Der Fall landete vor dem Landgericht Bielefeld, wo die Klage abgewiesen wurde. Doch die Klägerin gab nicht auf und legte Berufung ein, die schließlich vor dem Oberlandesgericht Hamm verhandelt wurde.

Verstöße gegen die DSGVO und die Rolle von Meta

Das Oberlandesgericht stellte fest, dass Verstöße gegen die DSGVO zweifelsfrei vorlagen. Meta konnte nicht nachweisen, dass die Weitergabe der Mobiltelefonnummer der Klägerin gerechtfertigt war. Die Verarbeitung dieser Daten für die Vernetzung der Facebook-Nutzer erforderte eine Einwilligung, die jedoch nicht in rechtmäßiger Weise eingeholt wurde. Eine Pflichtverletzung von Meta wurde ebenfalls bestätigt, da das Unternehmen trotz Kenntnis von Datenabgriffen keine angemessenen Maßnahmen zur Verhinderung weiterer Verstöße ergriffen hatte.

Der Knackpunkt: Der immaterielle Schaden

Trotz der nachgewiesenen Datenschutzverletzungen lehnte das Oberlandesgericht die Forderung nach Schadensersatz ab. Der Grund? Die Klägerin konnte keinen konkreten immateriellen Schaden nachweisen, der über den DSGVO-Verstoß hinausging. Das Gericht betonte, dass solche Schäden persönlicher oder psychologischer Natur sein müssten. Die bloße Verletzung der DSGVO reicht nicht aus. Die Klägerin konnte nicht individuell darlegen, wie sie durch den Datenmissbrauch gelitten hatte.

Für die Entscheidung relevante Vorschriften der Datenschutz-Grundverordnung (DSGVO)

Art. 4 – Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck: […]

1. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]

Art. 5 – Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“); […]

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Art. 6 – Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; […]

Art. 7 – Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. […]

Art. 32 – Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]

Art. 82 – Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. […]

Fazit: Ein harter Schlag für Datenschutz

Das Urteil des Oberlandesgerichts Hamm sendet ein deutliches Signal an Facebook-Nutzer und alle, die um ihre Privatsphäre besorgt sind. Während Facebook wegen Datenschutzverstößen abgemahnt wurde, wurde die Klage einer Nutzerin abgewiesen. Dies bedeutet jedoch nicht, dass der Kampf um Datenschutz und Schadenersatz beendet ist. Der Datendiebstahl und seine Folgen sind weitreichend und die juristische Auseinandersetzung wird weitergehen.

Bleiben Sie informiert und geschützt
Die Welt des Datenschutzes ist komplex und sich ständig verändernd. Um auf dem neuesten Stand zu bleiben und sich vor Datenschutzverletzungen zu schützen, abonnieren Sie den Mimikama-Newsletter. Entdecken Sie auch unser umfassendes Medienbildungsangebot, um Ihre digitalen Fähigkeiten zu stärken und sich vor Online-Betrug und Datenmissbrauch zu schützen. Ihre Daten sind es wert, geschützt zu werden!

Wenn Sie mehr über Datenschutz, Faktenchecks und Online-Sicherheit erfahren möchten, ist Mimikama Ihr vertrauenswürdiger Begleiter. Bleiben Sie sicher und gut informiert!

Quelle:

Oberlandesgericht Hamm 7U 19/23, Oberlandesgericht Hamm: Leitentscheidung zu Facebook-Scraping

Das könnte auch interessieren:
Vorsicht vor der Online-Kreditfalle: So schützt du dich vor Abzockern!
EU knöpft sich Facebook, Amazon und Co vor!
Blindes Teilen: Zwischen Selbstbestätigung und Verantwortung