Dieser Artikel stammt von Netzpolitik.org.Der Autor ist…
Das Oberlandesgericht Hamm hat die Klage einer Frau abgewiesen, die von Facebook eine Entschädigung für Datenschutzverstöße wollte. Das sei zwar grundsätzlich möglich, doch sie habe den Schaden nicht konkret genug nachgewiesen. Als Grund führt das Gericht unter anderem zahlreiche gleichlautende Klagen an.
Das Oberlandesgericht sieht keinen Anlass eine Revision zuzulassen – Gemeinfrei-ähnlich freigegeben durch unsplash.com Tingey Injury Law FirmMeta ist vielen Facebook-Nutzer:innen, deren Telefonnummern bei einem Datenleck erbeutet wurden, keinen Schadenersatz schuldig. Diese Entscheidung im Rechtsstreit einer Betroffenen mit dem Plattformkonzern verkündete das Oberlandesgericht (OLG) Hamm am Mittwoch. In seinem Urteil kommt das Gericht zwar zu dem Schluss, dass Facebook gegen die Datenschutzgrundordnung verstoßen hat. Daraus ergebe sich jedoch nicht automatisch ein Anspruch auf Schadensersatz.
Geklagt hatte eine Frau, deren bei Facebook eingetragene Telefonnummer von Unbekannten im Jahr 2018 erbeutet wurde. 2019 und 2021 tauchten die Daten im Darknet auf. Die Klägerin machte laut dem Gericht geltend, sie habe deshalb „Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt und Aufwand an Zeit und Mühe gehabt. Für diesen immateriellen Schaden wollte sie von Facebook eine Entschädigung in Höhe von 1.000 Euro.
Tatsächlich stellte das Gericht diverse Datenschutzverstöße durch Meta fest. So habe der Konzern die Telefonnummer der Betroffenen ohne gültige Rechtsgrundlage verarbeitet und auch „eine grundsätzlich zum Schadensersatz führende Pflichtverletzung“ begangen, „da Meta trotz der konkreten Kenntnis von dem Datenabgriff im vorliegenden Fall naheliegende Maßnahmen zur Verhinderung weiteren unbefugten Datenabgriffs nicht ergriffen hatte.“
Schadensersatz grundsätzlich möglich
Grundsätzlich könne nach der Datenschutzgrundverordnung auch ein immaterieller Schaden zu einem Anspruch auf Schadenersatz führen. Das hatte erst im Frühjahr 2023 der Europäische Gerichtshof im Fall massiver Datenschutzverstöße durch die österreichische Post festgestellt. Allerdings, so das Gericht, könne ein Anspruch nicht durch den bloßen Verstoß der DSGVO begründet werden. In einer persönlichen Anhörung vor dem Landgericht hatte die Klägerin offenbar lediglich ausgeführt, sie habe ein „Gefühl der Erschrockenheit“ erlitten.
Von dem Datenleck im Jahr 2021 waren etwa 530 Millionen Facebook-Nutzer:innen betroffen. Unbekannte hatten zuvor Schwachstellen in Facebooks Sicherheitsarchitektur ausgenutzt, um mithilfe von Scraping-Programmen die Telefonnummern und weitere Daten der Nutzer:innen abzuziehen. Wie wir damals in einer Recherche aufzeigten, enthielt das Leak auch zahlreiche private Handy-Nummern von Abgeordneten des Bundestages und des Europäischen Parlaments.
Offenbar hat dies dazu geführt, dass viele Betroffene in Deutschland unter Verwendung gleichlautender oder ähnlicher Formulierungen Schadenersatzklagen gegen Meta eingereicht hatten. Die Verwendung pauschaler Formulierungen steht laut OLG Hamm dem Nachweis eines individuellen Schadens entgegen. Ähnlich hatte in erster Instanz bereits das Landgericht Bielefeld entschieden. Das OLG wies nun die Berufung und bezeichnet das Urteil als Leitentscheidung für ähnliche Klagen im Fall des Facebook-Leaks.
Max Schrems: Auch Kontrollverlust ist immaterieller Schaden
Die grundsätzliche Auseinandersetzung darum, unter welchen Bedingungen Betroffene Schadenersatzansprüche wegen DSGVO-Verstößen geltend machen können, geht nach der Entscheidung des OLG Hamm jedoch weiter. Der österreichische Datenschutzaktivist Max Schrems, der mit der Organisation noyb selbst zahlreiche Datenschutzverfahren führt, sieht in dem Urteil jedenfalls keine Signalwirkung. Auf Anfrage von netzpolitik.org sagt er, dass er das Urteil noch nicht im Detail gelesen habe, verweist aber darauf, dass auf die Entscheidung des EuGH, „dass auch immaterielle Schäden zur Gänze und ohne Mindestgrenze nach Artikel 82 DSGVO zustehen“. Es müsse zwar einen konkreten Schaden geben, das könne aber auch „der reine ‚Kontrollverlust‘ sein laut DSGVO“, so Schrems
Insgesamt seien „die deutschen Gerichte und die deutsche juristische Literatur traditionell gegen Schadenersatz im Datenschutz“. Leider handele es sich bei vielen Urteilen in Deutschland primär um eine Weigerung, EU-Recht umzusetzen, so Schrems weiter. „Wir sehen aber auch mehr und mehr korrekt Entscheidungen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Hasset Tefera-Alemu
