Der 4. Zivilsenat des Oberlandesgerichts Stuttgart hat heute in zwei Urteilen über Ansprüche im Zusammenhang mit einem Datenleck bei Facebook (Scraping) entschieden. Insgesamt sind bei dem Senat mittlerweile über 100 Fälle anhängig – bundesweit soll es mehr als 6.000 Verfahren geben. Bereits im Dezember stehen weitere Verkündungstermine an.
Die Kläger machen gegenüber Meta (vormals Facebook) jeweils mehrere Verstöße gegen die Datenschutzgrundverordnung (DSGVO) geltend, nachdem es ab 2018 zu einem Datenabgriff kam, bei dem persönliche Daten der Kläger ausgelesen und mit deren Handynummer verknüpft wurden. Insgesamt wurden 2021 weltweit 533 Millionen entsprechende Datensätze im Darknet veröffentlicht. Die Kläger verlangen immateriellen Schadenersatz wegen Verstößen gegen die DSGVO, die Feststellung einer künftigen Ersatzpflicht, Unterlassung der Zugänglichmachung der Daten ohne Sicherheitsmaßnahmen, Unterlassung der Verarbeitung der Telefonnummer und (weitere) Auskunft über die abgegriffenen Daten. Zwischen den Parteien besteht dabei an vielen Positionen Streit.
Entscheidung des Senats
Der Senat hat die Klagen überwiegend abgewiesen, lediglich der Feststellungsantrag hatte Erfolg.
Für den Anspruch auf Schadenersatz wegen Art. 82 Abs. 1 DSGVO konnte der Senat eine spürbare immaterielle Beeinträchtigung der jeweiligen Kläger nicht feststellen. Art. 82 Abs. 1 DSGVO gewährt einen Anspruch auf Ersatz des materiellen oder immateriellen Schadens, wenn bezüglich des betroffenen Klägers ein Verstoß gegen die DSGVO vorliegt, der einen Schaden verursacht hat. Der Begriff des konkret festzustellenden Schadens erfordert eine einheitliche europarechtliche Definition, wobei nach den Erwägungsgründen zur DSGVO der Verlust der Kontrolle über personenbezogene Daten, die Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person genügen sollen. Der Europäische Gerichtshof hat insoweit vorgegeben, dass für das Vorliegen eines Schadens keine Erheblichkeits- oder Bagatellschwelle gilt. Nach der Anhörung der Kläger – die nicht ausreichend schriftsätzlich vorgetragen hatten – konnte der Senat eine tatsächliche immaterielle Beeinträchtigung nicht feststellen, weil bloße Lästigkeiten und Unannehmlichkeiten geschildert wurden und der bloße Kontrollverlust noch keine Beeinträchtigung begründet.
Der weiterhin geltend gemachte Anspruch auf Unterlassung hatte aus Rechtsgründen keinen Erfolg, weil die bisherige Rechtsprechung des Bundesgerichtshofs (z.B. BGH, Urteil vom 12.10.2021, VI ZR 488/19 Rn. 69) davon ausgeht, dass Ansprüche aus §§ 823, 1004 BGB nach deutschem Recht durch Art. 17 DSGVO gesperrt sind. Art. 17 DSGVO normiert jedoch lediglich einen Anspruch auf Löschung und (erneute) Speicherung, räumt jedoch keine Rechte bezüglich der Datenverarbeitungsvorgänge ein, weil dem Verantwortlichen für die Datenverarbeitung keine Verarbeitungsmethoden vorgegeben werden können. Auch der Auskunftsantrag wurde abgewiesen: Die Beklagte hat Auskunft erteilt. Bezüglich der Frage der Empfänger der Daten wurde eine Unmöglichkeit der Auskunft angenommen, weil die Beklagte unwidersprochen geltend gemacht hat, dass sie diese nicht kennt und ermitteln konnte.
Die beantragte Feststellung einer weitergehenden Ersatzpflicht hatte in einem der zwei Verfahren Erfolg. Der Senat hat insbesondere Verstöße gegen Art. 5 Abs. 1 f) DSGVO (Wahrung von Integrität und Vertraulichkeit) und Art. 25 Abs. 2 DSGVO (fehlende datenschutzfreundliche Voreinstellungen) festgestellt. Durch die vorhandene Möglichkeit eines Zugriffs auf die persönlichen Daten im sogenannten Kontakt-Import-Tool wurde gegen Art. 5 Abs. 1 f) DSGVO verstoßen. Die Voreinstellung einer Zugriffsmöglichkeit, die aktiv abgewählt werden muss, verstößt gegen das Verbot eines Opt-Out-Modells.
Verfahrensfortgang
Im Hinblick auf Abweichungen von einem Urteil des OLG Hamm (Urteil vom 15.08.2023, 7 U 19/23) und den Vorlagebeschluss des Bundesgerichtshofs an den Europäischen Gerichtshof (vom 26.09.2023; VI ZR 97/22) hat der Senat in dem teilweise erfolgreichen Fall (4 U 20/23) die Revision zugelassen. Im zweiten Fall ist die Klage aus tatsächlichen Gründen vollständig abgewiesen worden.
Aktenzeichen
OLG Stuttgart - 4 U 17/23 (Vorinstanz: LG Stuttgart - 53 O 95/22)
OLG Stuttgart - 4 U 20/23 (Vorinstanz: LG Heilbronn - 8 O 131/22)
Relevante Vorschriften der DSGVO:
Artikel 82 - Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat
Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Artikel 17 - Recht auf Löschung („Recht auf Vergessenwerden“)
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten
unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, per-sonenbezogene Daten unverzüglich zu
löschen, sofern einer der folgenden Gründe zutrifft: …
Artikel 5 - Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvoll-ziehbaren Weise verarbeitet
werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Trans-parenz“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich
Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor un-beabsichtigtem Verlust, unbeabsichtigter Zerstörung oder
unbeabsichtigter Schädigung durch ge-eignete technische und organisatorische Maßnahmen („Integrität und
Vertraulichkeit“);
Artikel 25 - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Um-fangs, der Umstände und der
Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahr-scheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken
für die Rechte und Freihei-ten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel
für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und or-ganisatorische Maßnahmen
– wie z.B. Pseudonymisierung –, die dafür ausgelegt sind, die Daten-schutzgrundsätze wie etwa Datenminimierung
wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen
und die Rechte der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur
personenbezogene Daten, deren Verarbeitung für den jeweiligen be-stimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und
ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbe-zogene Daten durch Voreinstellungen
nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.