Das Oberlandesgericht Frankfurt am Main hat die Betreiberin des Facebook-Netzwerks, Meta Inc., zur Zahlung von 200,00 € Schadensersatz nach einem Datenscraping-Vorfall wegen Kontrollverlust und Missbrauchsbefürchtungen verurteilt.
Der Grundsatz der Datenminimierung verpflichtet u.a. Plattformbetreiber dazu, Voreinstellungen so vorzunehmen, dass Daten nicht ohne Weiteres der Öffentlichkeit oder sonst einem unbestimmten Adressatenkreis zugänglich gemacht werden. Hiergegen wird verstoßen, wenn dieser Schutz erst durch eine individuelle Änderung der Voreinstellungen erreicht wird. Die klagende Facebook-Nutzerin nimmt die beklagte Betreiberin von Facebook u.a. auf Unterlassung und Schadensersatz in Anspruch. Sie unterhält ein Nutzerkonto bei der Beklagten. Die für die Registrierung des Kontos erforderlichen Pflichtangaben sind stets öffentlich einsehbar. Hinsichtlich weiterer angebbarer Daten können die Nutzer über Privatsphäre-Einstellungen entscheiden, welchen Nutzergruppen diese zugänglich sein sollen. Die Facebook-Nutzerin hatte bei der Sichtbarkeit ihr Konto so eingestellt, dass ihre Telefonnummer nur für sie sichtbar war. Bei den Suchbarkeitseinstellungen ihres Profils, bei denen es u.a. darum ging, wer sie anhand ihrer Telefonnummer finden kann, hatte sie es bei der Standardeinstellung „alle“ belassen. Hier wären ebenfalls Einschränkungen möglich gewesen. Im Fall der hier gewählten Standardeinstellung „alle“ ermöglichte es das von der Beklagten bereitgestellte sog. Kontaktimporttool bis September 2019 jedem Facebook-Nutzer, das Profil eines anderen Nutzers mithilfe der von diesem hinterlegten Telefonnummer zu finden. Nutzer konnten ihre Kontakte von den Mobilgeräten auf Facebook hochladen, um mithilfe der Telefonnummer die jeweiligen Nutzer zu finden. Dies war auch möglich, wenn – wie hier – die Telefonnummer selbst nur für den Nutzer sichtbar war.
Zwischen Anfang 2018 und September 2019 erstellten unbekannte Dritte umfangreiche Listen mit möglichen Telefonnummern. Mithilfe von automatisierten Verfahren suchten sie dann Facebook-Nutzer mit den entsprechenden Telefonnummern. Sofern ein Facebook-Konto zur Nummer gefunden wurde, waren die sog. Scraper in der Lage, die mit der Telefonnummer verknüpften öffentlich zugänglichen Nutzerdaten abzurufen und abzuspeichern. Anfang April 2021 wurden Daten von ca. 533 Mio. Facebook-Nutzern sowie die den jeweiligen Profilen der Nutzer zugeordneten Telefonnummern im Darknet. durch unbekannte Dritte zum Download bereitgestellt. Hierzu gehörten auch die Daten der Facebook-Nutzerin.
Die Facebook-Nutzerin begehrt u.a. 1.000 € immateriellen Schadensersatz zum Ausgleich des Datenschutzverstoßes und die Unterlassung zukünftiger vergleichbarer Datenschutzverstöße. Das erstinstanzlich hiermit befasste Landgericht Frankfurt am Main hat die Klage abgewiesen1. Die hiergegen gerichtete Berufung der Facebook-Nutzerin hatte vor dem Oberlandesgericht Frankfurt teilweise Erfolg:
Die Facebook-Nutzerin könne verlangen, dass die Beklagte es unterlasse, aufgrund einer von der Beklagten gesetzten Voreinstellung personenbezogene Daten der Facebook-Nutzerin unberechtigten Dritten – namentlich Hackern und/oder Scrapern – über eine Importsoftware von Kontakten zugänglich zu machen, entschied das Oberlandesgericht. Die Nutzer als Inhaber personenbezogener Daten verfügten über ein vertraglich geschütztes Interesse an einer gesetzeskonformen Verarbeitung ihrer Daten. Die Beklagte habe sich nicht datenschutzkonform verhalten. Sie habe gegen den Grundsatz der Datenminimierung verstoßen. Die Beklagte müsse nach der Datenschutzgrundverordnung (DSGVO) Voreinstellungen so setzen, dass die Zugänglichmachung von Daten ohne Weiteres verhindert werde. Die Voreinstellung müsse so gesetzt werden, dass nicht erste eine bewusste persönliche Änderung der Voreinstellung diesen Schutz gewährleiste. Die hier zu beurteilende Voreinstellung, wonach „allen“ anderen Facebook-Nutzern die Suche eines Nutzerprofils über die Telefonnummer – sowie die Verknüpfung mit den dazugehörigen „öffentlichen“ personenbezogenen Daten möglich gewesen sei – entspreche nicht diesen gesetzlichen Vorgaben.
Wegen dieses Datenschutzverstoßes könne die Facebook-Nutzerin auch Schadensersatz in Höhe von 200,00 € verlangen. Sie habe über den mit dem Datenschutzverstoß verbundenen allgemeinen Kontrollverlust hinaus befürchtet, dass Dritte ihre im Darknet veröffentlichten Daten missbräuchlich verwenden. Es sei überwiegend wahrscheinlich, dass die Facebook-Nutzerin aufgrund dieser Befürchtungen korrespondierende psychische Beeinträchtigungen erlitten habe. Dies rechtfertige einen Gesamtschaden in Höhe von 200,00 €.
Oberlandesgericht Frankfurt am Main, Urteil vom 8. April 2025 – 6 U 79/23
- LG Frankfurt a.M., Urteil vom 13.04.2023 – 10 O 52/22[↩]
Bildnachweis:
- Facebook: Denys Vitali | CC0 1.0 Universal
