Kein DSGVO-Schadensersatz bei Facebook-Datenscraping unter Fantasienamen

Das Internet ist kein rechtsfreier Raum – und der Datenschutz hat längst Einzug in den Alltag der sozialen Medien gehalten. Doch wie weit reicht der Schutz? Muss Facebook Schadensersatz zahlen, wenn persönliche Daten über eine Sicherheitslücke abgegriffen und im Darknet veröffentlicht werden? Und wie wirkt es sich aus, wenn die betroffene Person gar nicht unter ihrem echten Namen auftritt?

Mit diesen Fragen beschäftigte sich das Oberlandesgericht (OLG) Nürnberg in seinem Urteil vom 27. Juni 2025 (Az.: 15 U 2230/23). Im Mittelpunkt: Eine Klägerin, die sich mit einem Fantasienamen bei Facebook angemeldet hatte und sich durch die Veröffentlichung ihrer Telefonnummer und ihres Geschlechts geschädigt sah. Sie forderte immateriellen Schadensersatz nach Art. 82 DSGVO.

Das Gericht lehnte die Klage ab – mit bemerkenswerter Begründung. Es setzte klare Maßstäbe zur Frage, wann ein DSGVO-Schadensersatz gerechtfertigt ist – und wann nicht. Wer sich im Internet anonym bewegt, könne nicht ohne weiteres auf eine Entschädigung pochen, wenn technische Daten ohne Identitätsbezug veröffentlicht werden.

Der Sachverhalt im Detail

Die Klägerin hatte ein Facebook-Profil angelegt – jedoch nicht mit ihrem echten Namen, sondern unter einem frei erfundenen Fantasienamen. In ihrem Nutzerkonto war neben dem Fantasienamen auch ihre Mobilfunknummer hinterlegt, ebenso ihr Geschlecht.

Im Rahmen des sogenannten „Datenscrapings“ – also einer automatisierten massenhaften Auslesung öffentlich zugänglicher Profildaten – wurden unter anderem diese Informationen erfasst. Die so gesammelten Daten tauchten später im Darknet auf. Dort war ein rudimentärer Datensatz über die Klägerin veröffentlicht, bestehend aus:

• der Mobilfunknummer,
• dem angegebenen Geschlecht
• und dem Fantasienamen.

Die Klägerin behauptete, seit dem Vorfall ein verstärktes Aufkommen an Spam-Nachrichten auf ihrem Mobiltelefon zu erhalten. Sie machte geltend, dass dies auf das Datenscraping und die Veröffentlichung im Darknet zurückzuführen sei. Sie verlangte daher:

• immateriellen Schadensersatz nach Art. 82 DSGVO,
• die Feststellung, dass auch zukünftige Schäden zu ersetzen seien,
• sowie Ersatz der vorgerichtlichen Anwaltskosten.

Das Landgericht hatte die Klage abgewiesen. Die Klägerin legte Berufung zum OLG Nürnberg ein.

Die rechtliche Ausgangslage: Art. 82 DSGVO

Art. 82 Abs. 1 DSGVO regelt den Schadensersatzanspruch bei Datenschutzverstößen. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Ersatz.

Der Europäische Gerichtshof (EuGH) hat in mehreren Entscheidungen klargestellt, dass ein Verstoß gegen die DSGVO allein nicht genügt. Es muss zusätzlich ein konkreter Schaden dargelegt und nachgewiesen werden – und zwar nicht nur theoretisch, sondern mit praktischen Auswirkungen.

Die Begründung des OLG Nürnberg im Einzelnen

1. Kein ausreichender Personenbezug der veröffentlichten Daten

Zentraler Punkt der Entscheidung war die Feststellung, dass die betroffenen Daten (Mobilfunknummer, Geschlecht und Fantasiename) keine eindeutige Verbindung zur realen Identität der Klägerin zuließen.

Das Gericht betonte:

„Die vorliegend erfolgte Verknüpfung und die Herstellung eines vollkommen rudimentären Datensatzes ist unter dem Gesichtspunkt eines möglichen Missbrauchs als so gering einzustufen, dass sie keinen ausgleichspflichtigen Schaden darstellt.“

Die Klägerin sei für Dritte nicht ohne weiteres identifizierbar gewesen. Der Datensatz enthalte keinen Klarnamen, keine Adresse und keine sonstigen Hinweise auf ihre wahre Identität. Die theoretische Möglichkeit, aus einer Telefonnummer Rückschlüsse auf eine konkrete Person zu ziehen, reiche für sich genommen nicht aus.

Damit fehlte es an einer entscheidenden Voraussetzung für die Annahme eines Schadens im Sinne des Art. 82 DSGVO: der Identifizierbarkeit der betroffenen Person durch die veröffentlichten Daten.

2. Kein konkret nachweisbarer immaterieller Schaden

Zwar erkennt das Gericht an, dass ein Kontrollverlust über eigene Daten grundsätzlich ein immaterieller Schaden sein kann. Dies sei aber nur dann der Fall, wenn dieser Kontrollverlust mit konkreten nachteiligen Folgen verbunden sei. Bloße Unannehmlichkeiten oder ein Gefühl des Unwohlseins reichten nicht aus.

Im Fall der Klägerin sah das Gericht keine solchen nachteiligen Folgen. Die erhaltenen Spam-Nachrichten seien nicht ungewöhnlich, enthielten keine persönliche Anrede und ließen keine gezielte Ansprache erkennen. Das Spam-Aufkommen sei „weder nach Umfang noch nach Art“ außerhalb des Üblichen.

„Im Gegenteil, ist es für die Klagepartei sogar leichter, eine missbräuchliche Kontaktaufnahme zu erkennen, wenn sie darin mit dem bei der Registrierung verwendeten Fantasienamen angesprochen wird.“

Das Gericht deutete damit sogar an, dass der Fantasiename einen gewissen Schutzmechanismus darstelle, um missbräuchliche Nachrichten schneller zu erkennen und einzuordnen.

3. Kein Feststellungsanspruch für zukünftige Schäden

Auch die weitergehende Forderung, Facebook müsse für künftige mögliche Schäden aufkommen, lehnte das Gericht ab. Es sei nicht ersichtlich, dass durch den veröffentlichten Datensatz ernsthafte Gefahren für die Klägerin in der Zukunft entstehen könnten. Es fehle an einer realistischen Prognose oder einer konkreten Schadensgefahr.

Die Daten – so das Gericht – seien „so rudimentär“, dass sie kaum missbrauchsfähig seien. Eine abstrakte Möglichkeit eines künftigen Nachteils genüge nicht, um einen Feststellungsanspruch zu begründen.

4. Kein Ersatz der vorgerichtlichen Rechtsanwaltskosten

Da weder ein Hauptanspruch auf Schadensersatz noch ein Feststellungsanspruch bestand, verneinte das OLG Nürnberg auch einen Anspruch auf Ersatz der vorgerichtlichen Anwaltskosten.

Ein solcher Anspruch setzt nämlich voraus, dass sich der Gegner mit der Erfüllung einer berechtigten Forderung in Verzug befindet. Diese Voraussetzung war hier nicht gegeben.

Bewertung der Entscheidung

Das OLG Nürnberg schließt sich mit seiner Entscheidung einer strengen Linie an: DSGVO-Schadensersatz soll kein pauschales Schmerzensgeld für Datenschutzverstöße sein. Vielmehr muss der Betroffene im Einzelfall konkret darlegen:

• dass er identifizierbar betroffen ist,
• dass tatsächlich ein Kontrollverlust stattgefunden hat,
• und dass dieser zu nachweisbaren negativen Folgen geführt hat.

Im vorliegenden Fall war die Schwelle zur Ersatzpflicht nach Auffassung des Gerichts deutlich unterschritten. Das Urteil folgt damit der Linie des EuGH, wonach eine bloße DSGVO-Verletzung ohne erkennbare Folgen nicht ausreicht, um einen Ausgleichsanspruch zu begründen.

Praxisrelevanz

Das Urteil hat erhebliche Bedeutung für die Praxis. Viele Facebook-Nutzer verwenden aus Datenschutzgründen Fantasienamen. Kommt es in solchen Fällen zu Sicherheitslücken oder Datenlecks, ist ein Schadensersatzanspruch künftig nur schwer durchsetzbar, wenn die Daten keinen Bezug zur realen Person aufweisen.

Gleichzeitig zeigt die Entscheidung: Wer auf immateriellen Schadensersatz pocht, muss genau belegen, wie sich der Datenschutzverstoß konkret ausgewirkt hat – etwa durch gezielte Belästigung, Identitätsdiebstahl oder psychische Belastungen.

Fazit

Datenschutz ist ein hohes Gut – doch nicht jeder Verstoß führt automatisch zu einer Entschädigung. Das OLG Nürnberg setzt mit seiner Entscheidung klare Grenzen für den Schadensersatzanspruch nach Art. 82 DSGVO. Wer anonym oder mit Fantasienamen in sozialen Netzwerken unterwegs ist, kann sich bei einem Datenleck nicht einfach auf einen abstrakten Kontrollverlust berufen.