Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Nahezu jeder Mensch benutzt heutzutage soziale Netzwerke. Facebook gilt dabei als die Mutter aller Social Media Plattformen und hat noch immer mehr als 3 Milliarden Nutzer, die für die Nutzung ihre personenbezogene Daten wie den eigenen Namen, die Telefonnummer und die e-Mail-Adresse hinterlegt haben. Doch genau diese im Vertrauen übermittelten Daten vieler Nutzer gelangten infolge eines sogenannten Scraping-Vorfalls an die Öffentlichkeit. Die Folge waren unzählige Spam-Anrufe und -SMS bei den Betroffenen.
Das sogenannte "Scraping" beschreibt das automatisierte Extrahieren von Daten von einer Webseite durch spezielle Software, die dazu dient, diese Informationen zu sammeln. Durch den Scraping-Vorfall bei Facebook erlangten Dritte die personenbezogenen Daten vieler Nutzer mithilfe einer Software und ordneten diese Daten anschließend bestimmten Facebook-Profilen zu. Dadurch konnten neben den Namen, Telefonnummern und e-Mail-Adressen zusätzliche Informationen über einzelne Nutzer gesammelt werden. Insgesamt waren mehr als 530 Millionen Datensätze betroffen.
Ein betroffener Nutzer konnte vor dem Oberlandesgericht Hamm für den durchzusetzenden Anspruch auf Schadensersatz plausibel darlegen, dass er psychische Belastungen wegen des Kontrollverlusts bezüglich seiner Daten und der folgenden Spam-Nachrichten und -Anrufe erlitt. Durch den Scraping-Vorfall fühlte er sich in seiner Privatsphäre verletzt und wurde seit dem Vorfall in 2021 mit Spam-Anrufen und -SMS überhäuft. Zuvor sei er nach eigenen Angaben zurückhaltend mit seiner Telefonnummer umgegangen und die Spam-Nachrichten erreichten ihn erst seit dem Vorfall in dieser Häufigkeit. Der Betroffene musste die Anrufe und SMS seitdem erst überhaupt als Fälschungen erkennen, um sie zu ignorieren, und gelangte zudem in Situationen, in denen allein der Eingang all der Kontaktversuche belastend war. So legte er plausibel dar, dass er während Autofahrten wiederholt angerufen wurde und allein das "Wegklicken" der Spam-Anrufe nicht ungefährlich war.
Gemäß Artikel 82 Absatz 1 DSGVO hat jede Person, die wegen eines Verstoßes gegen die Datenschutzvorgaben einen materiellen oder immateriellen Schaden erlitten hat, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter.
Das OLG Hamm wertete die psychischen Belastungen des Betroffenen wegen des Kontrollverlustes über seine Daten als immateriellen Schaden, der einen Schadensersatzanspruch in Höhe von 200 € begründet. Das Gericht betonte dabei, dass der Anspruch in dem konkreten Fall darauf beruht, dass psychische Belastungen nachgewiesen werden konnten. In sonstigen Fällen, in denen der immaterielle Schaden lediglich in dem Kontrollverlust liegt, sieht das OLG Hamm keine Schadensersatzansprüche begründet.
In einem ähnlichen Verfahren wegen des Scraping-Vorfalls sprach das OLG Celle einem Betroffenen Schadensersatz in Höhe von 100 € zu. In den Facebook-Fällen seien allein aufgrund des objektiven Kontrollverlustes Ansprüche auf Schadensersatz nach der DSGVO in dieser Höhe gerechtfertigt. Demnach müssen keine weiteren Anforderungen wie besondere Ängste oder Sorgen vorliegen, um Ansprüche gelten machen zu können. Stattdessen können sie lediglich dazu geeignet sein, den bereits entstandenen immateriellen Schaden zu vertiefen.
Das OLG Celle stützt seine Entscheidung auf ein vorangegangenes Urteil des Bundesgerichtshofs, nach der der bloße Kontrollverlust über personenbezogene Daten einen Schadensersatz in Höhe von 100 € begründet. Folgeerscheinungen, die "für jedermann unmittelbar zusammenhängende Unannehmlichkeiten" darstellen, seien bereits mit dem Anspruch wegen des Kontrollverlustes abgegolten. Darüber hinausgehende Ansprüche müssen im Einzelfall begründete erschwerende Umstände darlegen.
Ein solcher Ausnahmefall lag dem Landesgericht Hannover vor. Dort wurde einem Betroffenen ein Schadensersatzanspruch in Höhe von 500 € zugesprochen, weil sich dieser wegen Angstzuständen aufgrund des Datenlecks in ärztliche Behandlung begeben musste und somit die Schwelle der Unannehmlichkeiten, die für jedermann entstanden sind, überschritt.
Auch nach dem Scraping-Vorfall und den dabei aufgezeigten datenschutzrechtlichen Problemen blieben die Datenschutzmaßnahmen bei Facebook unzureichend. In einem kürzlich vom Gericht der Europäischen Union entschiedenen Fall muss die EU-Kommission einem Besucher einer von ihr betriebenen Webseite Schadensersatz in Höhe von 400 € zahlen, weil dessen IP-Adresse über den Hyperlink "Sign in with Facebook" in ein Umfeld ohne angemessenen Schutz vermittelt wurde. Die IP-Adresse von Nutzern zählt zu ihren personenbezogenen Daten, deren Schutz durch die DSGVO sichergestellt werden soll. Durch die Anmeldung über den von der Kommission bereitgestellten Hyperlink wurden die IP-Adresse und Browser- und Geräteinformationen eines Besuchers der Webseite in die USA übermittelt. Dabei wurde jedoch nicht von der Kommission sichergestellt, dass dort ein angemessenes Schutzniveau geboten wird, wodurch sie die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland missachtete. Der Betroffene kann sich durch diesen Verstoß nicht sicher sein, dass seine personenbezogene Daten bei der Verarbeitung in den USA hinreichend geschützt werden. Diese Unsicherheit stellt laut dem Gericht ebenfalls einen immateriellen Schaden dar.
Das Beispiel Facebook zeigt deutlich, wie schnell unzureichende Datenschutzmaßnahmen die personenbezogenen Daten von Betroffenen in Gefahr bringen. Um im Ernstfall schnell zu handeln und gegebenenfalls Schadensersatzansprüche geltend machen zu können, ist eine bestmögliche rechtliche Beratung unerlässlich. Unsere Anwälte für Datenschutzrecht helfen Ihnen mit ihrer fachlichen Expertise, Ihre Rechte geltend zu machen.
Zögern Sie nicht, sich bei uns zu melden! Das Team von SBS LEGAL steht Ihnen bei sämtlichen Anliegen rund um das Datenschutzrecht zur Seite.