Facebook-Scraping: Kein DSGVO-Schadensersatz

Das Thema Datenschutz ist für viele Internetnutzer sensibel – insbesondere wenn es um soziale Netzwerke wie Facebook geht. Immer wieder gelangen personenbezogene Daten durch sogenanntes „Scraping“ in fremde Hände. Doch wann ist ein Schadensersatzanspruch nach der DSGVO tatsächlich gerechtfertigt?

Mit Urteil vom 29.04.2025 (Az.: 4 U 1385/24) hat das Oberlandesgericht Dresden eine wichtige Entscheidung getroffen: Wer seine personenbezogenen Daten – konkret seine Telefonnummer – bereits selbst im Internet veröffentlicht hat, kann im Falle eines späteren Datenscrapings über Facebook keinen Schadensersatz nach Art. 82 DSGVO verlangen. Das Gericht begründet dies damit, dass der Kläger die Kontrolle über seine Daten bereits vorher freiwillig aufgegeben hatte. Was genau hinter dieser Entscheidung steckt, beleuchten wir in diesem Beitrag.

Ausgangslage: Facebook-Scraping und die DSGVO

Unter dem Begriff „Scraping“ versteht man das automatisierte Auslesen öffentlich zugänglicher Daten aus dem Internet. Bei Facebook wurden in der Vergangenheit millionenfach Telefonnummern von Nutzern abgegriffen und anschließend auf Hackerplattformen veröffentlicht. Die betroffenen Nutzer berufen sich dabei regelmäßig auf Art. 82 DSGVO und verlangen immateriellen Schadensersatz für den Kontrollverlust über ihre Daten.

Die Rechtslage ist dabei jedoch keineswegs eindeutig. Zwar schützt die DSGVO personenbezogene Daten umfassend, aber nicht jeder Datenverlust führt automatisch zu einem Schaden im rechtlichen Sinne. Genau mit dieser Abgrenzung befasste sich nun das OLG Dresden.

Der Fall: Kläger fordert DSGVO-Schadensersatz

Der Kläger war aktiver Facebook-Nutzer. Im Zuge eines umfangreichen Datenlecks gelangte seine Handynummer durch Scraping in die Öffentlichkeit. Er machte geltend, dies habe ihn erheblich beeinträchtigt – insbesondere wegen des Kontrollverlusts über seine personenbezogenen Daten.

Doch: Dieselbe Telefonnummer hatte er bereits seit dem Jahr 2016 auf seiner eigenen privaten Webseite für jedermann sichtbar gemacht – mit voller Namensnennung.

Der Kläger argumentierte dennoch, das Datenleck bei Facebook sei ein eigenständiger Vorfall, der ihn in seinen Rechten verletzt habe. Der US-Konzern habe nicht genügend technische Maßnahmen zum Schutz seiner Daten getroffen. Dies begründe einen Schadensersatzanspruch nach Art. 82 DSGVO.

Die Entscheidung des OLG Dresden (Urt. v. 29.04.2025 – 4 U 1385/24)

Das OLG Dresden sah dies anders – und wies die Klage ab. Der zentrale Punkt: Es habe gar keinen „neuen“ Kontrollverlust durch das Scraping gegeben. Der Kläger habe seine Handynummer bereits vor dem Vorfall selbst in die digitale Öffentlichkeit entlassen.

Keine Verletzung des Rechts auf Datenschutz

Die Richter betonten, dass der Kläger mit der Veröffentlichung auf seiner privaten Webseite die Kontrolle über seine Daten bewusst aufgegeben habe.

„Der Kläger hat mit der Veröffentlichung einer Webseite nicht nur zielgerichtet bestimmten Personen seine Handynummer überlassen, sondern sie mit seinem Namen verbunden im Internet für jedermann weltweit zugänglich veröffentlicht.“

Somit habe sich der Kontrollverlust nicht erst durch das Scraping eingestellt – er sei bereits Jahre zuvor eingetreten. Das Gericht stellte zudem fest, dass der Kläger selbst in der Anhörung vor dem Landgericht angegeben hatte, der Datenmissbrauch habe sich bereits „2015/2016 bemerkbar gemacht“.

Kein Schaden ohne zusätzliche Beeinträchtigung

Darüber hinaus konnte der Kläger keine konkreten negativen Folgen darlegen, die über die bloße Veröffentlichung hinausgingen. Weder E-Mail-Spam noch unerlaubte Werbeanrufe konnten belegt werden. Das OLG betonte, dass ein bloß abstrakter Kontrollverlust ohne konkrete Beeinträchtigung nicht für einen immateriellen Schadensersatz ausreicht.

Es fehle an einem tatsächlichen Schaden im Sinne des Art. 82 DSGVO.

Einordnung der Entscheidung: Selbstveröffentlichung als Risiko

Das Urteil des OLG Dresden ist bemerkenswert, weil es einen sehr praxisrelevanten Fall behandelt – und zugleich eine wichtige Klarstellung vornimmt:

Wer freiwillig und öffentlich personenbezogene Daten ins Internet stellt, kann sich später nicht ohne Weiteres auf den Schutz der DSGVO berufen, wenn genau diese Daten von Dritten weiterverwendet werden.

Die DSGVO schützt nicht gegen jedes denkbare Risiko, sondern setzt einen tatsächlichen Schaden voraus. Wer seine Telefonnummer selbst auf einer frei zugänglichen Webseite postet, nimmt in Kauf, dass sie von Dritten aufgegriffen wird – ob von Menschen oder durch automatisierte Programme. Der nachträgliche Verweis auf mangelnde Sicherheitsmaßnahmen bei Plattformen wie Facebook greift dann nicht mehr.

Was bedeutet das für die Praxis?

Für Betroffene von Datenscraping-Fällen bedeutet das Urteil: Schadensersatzansprüche nach Art. 82 DSGVO haben nur dann Aussicht auf Erfolg, wenn

1. die betroffenen Daten nicht bereits vorher selbst veröffentlicht wurden, und
2. ein konkreter Schaden oder eine konkrete Beeinträchtigung nachgewiesen werden kann.

Andernfalls besteht kein Anspruch – auch wenn der Datenabgriff technisch betrachtet ein Datenschutzverstoß sein mag.

Gleichzeitig erinnert das Urteil daran, wie wichtig ein bewusster Umgang mit den eigenen Daten im Internet ist. Wer seine Handynummer, Adresse oder sonstige persönliche Angaben online stellt, verliert ein Stück weit die Kontrolle – und kann sich im Nachhinein nicht mehr ohne Weiteres auf Datenschutzrechte berufen.

Fazit

Das Urteil des OLG Dresden vom 29.04.2025 ist ein deutliches Signal an alle Internetnutzer: Datenschutz beginnt bei der Eigenverantwortung. Wer freiwillig Daten veröffentlicht, kann später keine Kompensation verlangen, wenn genau diese Informationen über automatisierte Verfahren wie Scraping weiterverbreitet werden – zumindest dann nicht, wenn kein zusätzlicher, konkreter Schaden nachgewiesen wird.

Für künftige Klagen auf DSGVO-Schadensersatz bedeutet das: Der bloße Kontrollverlust reicht nicht aus. Es braucht mehr – entweder eine neue, eigenständige Datenverarbeitung ohne Einwilligung oder eine belegbare persönliche Beeinträchtigung. Andernfalls bleibt der juristische Weg versperrt.