Betreiber von sozialen Netzwerken müssen sich an diverse Regelungen zum Datenschutz halten. Das OLG Frankfurt a.M. hat Aufschluss über die Frage gegeben, wie sich der einzuhaltende Datenschutz auf die Voreinstellungen seitens des Betreibers auswirkt.
Generell gilt für Plattformbetreiber von sozialen Diensten der Grundsatz der Datenminimierung. Dieser Grundsatz geht aus Art. 5 Abs. 1 c) DSGVO hervor. Dadurch soll gewährleistet werden, dass Daten der Nutzer nicht an die Öffentlichkeit gelangen oder in sonstiger Weise Dritten zugänglich gemacht werden.
Üblicherweise geben Personen, die sich einen Account in einem sozialen Netz erstellen, beim Anmeldevorgang neben Daten wie Vorname, Nachname, Hobbies oder Ähnlichem auch ihre Mobilfunknummern an.
Das OLG Frankfurt hatte sich nun mit dem Fall einer Facebook-Nutzerin zu befassen, die Schadensersatz wegen einer Datenschutz-Verletzung seitens Facebook erhalten wollte.
Sie hatte sich mit Telefonnummer auf Facebook angemeldet. Zwar deaktivierte die Klägerin die Sichtbarkeit ihrer Telefonnummer auf dem Profil, ließ jedoch die separate Voreinstellung zur Auffindbarkeit über die Telefonnummer auf der Standardoption 'alle'.
Nutzer mussten demnach eigenständig die Funktion deaktivieren, dass ihr Profil durch die Eingabe ihrer Telefonnummer gefunden werden konnte.
Diese Standardeinstellung führte in vielen Fällen dazu, dass sog. Scraper dazu in der Lage waren, Telefonnummern mit sonstigen Informationen zusammenzufügen, die von den Nutzern selbst preisgegeben wurden.
Das „Scraping“ funktionierte durch ein automatisiertes Verfahren, bei dem zufällig nach Nummern gesucht wurde. War es eine Nummer, die zu einem Account gehörte, wurde dieser sodann angezeigt. Die von den sogenannten Scrapern erstellten „Profile“ wurden sodann zuhauf im Darknet veröffentlicht. Die „Profile“ enthielten nicht selten sensible Daten zu den jeweiligen Nutzern; Privatadressen, Telefonnummern, Arbeitgeber, Geburtstage, Beziehungsstati und Ähnliches.
Die Folgen des Datenscrapings sind erheblich. Bis Anfang April 2021 wurden auf diese Weise immerhin die Daten und dazugehörigen Telefonnummern von etwa 530 Mio. Facebook-Nutzern veröffentlicht. Das sind die Daten von mehr als jedem sechsten Nutzer des sozialen Netzwerks. Dazu kommt, dass es nahezu unmöglich ist, nachzuvollziehen, wohin sich die Daten aus dem Darknet hin verbreitet haben.
Während das Landgericht Wiesbaden der Klägerin noch einen Anspruch auf Schadensersatz versagt hatte, machte das OLG Frankfurt Zugeständnisse an die Klägerin.
Das Oberlandesgericht führte in seinem Urteil (Az. 6 U 79/23) aus, dass der Klägerin ein Unterlassungsanspruch gegenüber der Betreiberin zusteht. Das meint, dass die Betreiberin eine Zugänglichmachung für Scraper verhindern muss. Der Grundsatz der Datenminimierung wirkt sich also ebenso auf die Voreinstellungen aus. Vor allem durch diese muss bereits verhindert werden, dass etwaiges Datenscraping möglich ist.
Zwar sprach das Gericht der Klägerin nicht die von ihr geforderten 1000 Euro Schadensersatz zu, aber immerhin 200. Durch das Urteil wurde deutlich, worin bereits der erlittene Schaden liegen soll. Im „allgemeinen Kontrollverlust“, den die Geschädigten dadurch erfahren haben, dass die Daten, die im Darknet veröffentlicht wurden. Dadurch sei eine missbräuchliche Verwendung und auch das Erleiden eines ideellen Schadens naheliegend.
Schon 2021 hatte der BGH in gleichem Tenor wie zuvor der EuGH geurteilt, dass eine Betroffenheit von dem Datenleck stets einen Anspruch auf Schadensersatz nach sich zieht. Bis Ende 2024 konnte dieser unkompliziert eingefordert werden, verjährte jedoch zum Jahreswechsel. (Artikel aus 2024)
Ein ähnlicher Fall wie jetzt in Frankfurt war noch im März dieses Jahres am OLG Hamm zugunsten eines Geschädigten entschieden worden. Auch hier legte der Betroffene dar, durch das Datenscraping psychische Beeinträchtigungen erfahren zu haben.
Die vermehrten Urteile gegen die Facebook-Mutter Meta zeigen den immer härteren Kurs, den Gerichte international gegen den Konzern einschlagen. Man bedenke, dass es eine Summe von über 100 Mio. Euro gewesen wäre, die Facebook hätte zahlen müssen, wenn alle betroffenen Nutzer 200 Euro Schadensersatz gefordert hätten.
