Kein DSGVO-Schadensersatz für Scraping-Vorfälle gegenüber Facebook

Im April 2021 kam es bei Facebook zu einem massiven Scraping-Vorfall. Hacker nutzten das sogenannte Contact Import Tool, um mithilfe umfangreicher Listen zufälliger Telefonnummern nach Übereinstimmungen mit existierenden Nutzerprofilen zu suchen. Stießen sie auf Treffer, wurden identifizierende Metadaten wie Vorname, Wohnort, Geschlecht, Facebook-ID und in vielen Fällen auch die zugehörige Mobiltelefonnummer automatisch zusammengeführt. Diese Daten wurden anschließend im Darknet, in zugangsbeschränkten Foren, öffentlich zugänglich gemacht – dies traf rund 533 Millionen Profile weltweit, darunter auch das Profil des Klägers, der unter dem Pseudonym T. F. beziehungsweise real als F. A. bekannt war.

Der Kläger verklagte Facebook auf Schadensersatz nach Artikel 82 DSGVO, weil er sich durch diese Veröffentlichung in seiner Privatsphäre verletzt fühlte. Gleichzeitig beanspruchte er Auskunft über die Verarbeitung, Unterlassung zukünftiger Veröffentlichungen und eine Feststellung der Rechtswidrigkeit. Das Landgericht Aachen gab dem Kläger zumindest teilweise recht und sprach ihm Schadensersatz in Höhe von rund 250 Euro zu. Facebook legte Berufung ein. Vor dem Oberlandesgericht Köln fiel die Entscheidung dann jedoch anders aus. Die Richter des OLG Köln (Az.: 15 U 33/23) entschieden, dass trotz eingetretener DSGVO-Verstöße kein ersatzfähiger immaterieller Schaden vorliege und wiesen sämtliche Ansprüche des Klägers ab. Wegen der grundsätzlichen Bedeutung der Entscheidungen wurde die Revision zugelassen.

Entscheidungsgründe im Detail

Das Gericht ging zwar davon aus, dass Facebook bei der Erhebung und Handhabung dieser Daten mehrere DSGVO-Vorgaben verletzt hatte, darunter die Pflicht zu angemessener Sicherheit (Art. 32) sowie die Pflicht zur Transparenz und datenschutzkonformen Voreinstellung (Art. 5, 24, 25). Dennoch hielten die Richter fest, dass die bloße Feststellung eines Datenschutzverstoßes nicht automatisch zu einem Schadensersatzanspruch führt. Entscheidend sei, ob neben dem Verstoß auch ein immaterieller Schaden entstanden sei und dieser kausal in Zusammenhang mit dem Verstoß stehe – das heißt, es bedürfe einer tatsächlichen psychischen oder strukturellen Beeinträchtigung.

Ein zentraler Aspekt war die Unterscheidung zwischen öffentlich zugänglichen und privaten Daten. Die im Darknet veröffentlichten Daten beinhalteten einen Teil, den der Kläger selbst auf „immer öffentlich“ gestellt hatte – dazu gehörten Vorname, Wohnort, Geschlecht und Facebook-ID. Das OLG stellte klar, dass dieser Datenbereich von seiner Natur her bereits öffentlich war und durch die Zustimmung zur Plattformnutzung bewusst freigegeben wurde. Gefühle wie Angst, Misstrauen oder Unbehagen könnten sich nicht auf Informationen stützen, die zuvor ohnehin schon für jeden sichtbar waren; daher bestehe kein ersatzfähiger Schaden, wenn deutlich wurde, dass andere nun im Darknet darauf zugreifen konnten.

Spannend wurde es bei der Mobiltelefonnummer, die nie öffentlich eingesehen werden konnte und dennoch im Scraping kompromittiert wurde. Theoretisch könnte hier ein Kontrollverlust und damit ein Schaden begründet sein. Doch das Gericht stellte fest, dass der Kläger in der Beweisführung letztlich nicht hinreichend dargelegt habe, dass diese Kontrolle tatsächlich bestanden hätte oder wie genau sie beeinträchtigt wurde. Sein Vortrag beschränkte sich auf formelhafte Behauptungen – etwa, dass es ihm wichtig sei, allein über die Weitergabe seiner Nummer zu entscheiden, dass diese privat sei und dass durch den Vorfall ein Kontrollverlust eingetreten sei. Doch konkrete Beispiele wie das Teilen der Nummer im beruflichen Umfeld, die Reaktion auf bestimmte Anrufe oder Nachrichten, waren nicht benannt. Auch gibt es keinen Beleg dafür, dass nach der Veröffentlichung tatsächlich unerwünschte Anrufe, SMS oder Belästigungen erfolgten. Ohne diese konkrete Verknüpfung zwischen Veröffentlichung und psychischer oder tatsächlich spürbarer Beeinträchtigung fehlt im rechtlichen Sinne ein immaterieller Schaden.

Darüber hinaus fordert Artikel 82 DSGVO eine nachvollziehbare Verbindung zwischen Verstoß und Schaden. Das OLG betonte, dass Zeitaufwand, Änderung der Nummer oder psychischer Stress zwar denkbare Folgen wären, aber bei unklaren oder pauschalen Darstellungen nicht genügen, um diese Verbindung zu begründen. Es reicht demnach nicht aus, nur pauschal auf „erhöhten Irritum“, Kontrollverlust oder Angst hinzuweisen, wenn ein konkretes Bild etwa von Spam-Anrufen oder emotionaler Belastung fehlt.

Ein weiteres Argument des Gerichts war, dass die DSGVO keinen Anspruch darauf enthält, dass schon die Furcht vor Missbrauch genüge. Selbst wenn man unterstellt, dass durch das Scraping ein Kontrollverlust über die Nummer tatsächlich eingetreten sei, so lasse allein dieser Verlust noch keine immaterielle Beeinträchtigung erkennen – es müßte eine spürbare Beeinträchtigung erkennbar sein, die über die abstrakte Angst hinausgeht.

Kontext und Perspektive

Das OLG Köln setzte damit das restriktive Vorgehen fort, welches zuvor schon OLG Hamm, OLG Stuttgart und OLG Dresden vertreten hatten. Gleichzeitig erkannte es aber die Tragweite des Falles an und eröffnete den Weg zur höchstrichterlichen Prüfung durch den BGH. Während der EuGH in 2024 bereits den Druck erhöhte, indem er erklärte, dass auch subjektive immaterielle Schäden aus bloßem Kontrollverlust eine relevante Dimension des Schadensbegriffs enthalten können, machte der BGH noch einmal deutlich, dass ein solcher Kontrollverlust zumindest genügen kann und er üblicherweise mit rund 100 Euro bewertet wird. Diese Entwicklung verleiht den Argumenten des Klägers neue Relevanz und zeigt, wie wichtig es sein kann, schon jetzt konkrete Ansätze für Beweisführung und Vortrag vorzubereiten, um bei einer möglichen Revision überzeugend darlegen zu können, dass ein zählbarer Kontrollverlust vorliegt, der über die bloße Existenz eines offensichtlichen Verstoßes hinausgeht.

Fazit

Das OLG Köln hat klargestellt, dass ein DSGVO-Verstoß allein keinen Schadensersatz begründet. Entscheidend ist, ob durch die Datenveröffentlichung tatsächlich ein individuell erfahrbarer Kontrollverlust stattfand und ob dieser mit konkreten immateriellen Folgen verbunden ist. Im vorliegenden Fall wurden diese Anforderungen nicht erfüllt. Die Differenzierung, dass öffentliche Daten anders bewertet werden als private Informationen wie Telefonnummern, ist juristisch klar und nachvollziehbar. Die Entscheidung wird künftig durch die höchstrichterlichen Urteile des EuGH und vor allem des BGH neu bewertet werden müssen, aber auch jetzt schon sollten Mandanten realistische Strategien zur Beweisführung und Vortrag entwickeln, um bei möglichen Revisionen oder ähnlichen Fällen erfolgreich bestehen zu können.