„Scraping“ leitet sich vom englischen Wort to scrape,das heißt „zusammenkratzen“, ab. Im April 2021 hatten Unbekannte die Daten von rund 500 Millionen Facebook-Nutzern im Darknet veröffentlicht, darunter Vor- und Nachname, Mobilfunknummer und das Geschlecht. An die Daten waren sie zunächst über die damals noch existente Suchfunktion von Facebook gelangt. Selbst dann, wenn die Mobilfunknummer dort nicht aktiv geschaltet war, war es möglich, Nutzer der Plattform über die Nummer zu identifizieren. Die „Scraper“ nutzten das aus, indem sie per Computer millionenfach Telefonnummern generierten und diese Personen zuzuordnen. Nach der Deaktivierung der Suchfunktion passten sie ihr Verfahren an und sammelten über die Kontaktimportfunktion weitere Daten. Wegen des Datenlecks sind in Deutschland viele Verfahren gegen den Facebook-Konzern anhängig.
Schadensersatz begründende Pflichtverletzung liegt vor
Die im vor dem Oberlandesgericht Hamm verhandelten Verfahren verlangte von Meta Schadensersatz wegen eines erlittenen immateriellen Schadens in Höhe von 1.000 Euro. Sie gab an, ein „Gefühl der Erschrockenheit“ erlebt zu haben, als sie von der Veröffentlichung ihrer Datensätze im Darknet erfuhr. Das OLG Hamm stellt zunächst fest, dass es auch im Zivilprozess dem Datenverarbeiter obliegt, die zulässige Verarbeitung der Daten im Sinne der Datenschutzgrundverordnung (DSGVO) nachzuweisen. Das sei Meta hier nicht gelungen, eine Rechtfertigung sei nicht erkennbar, auch der Verweis auf die Erfüllung des Vertragszwecks schlug hier fehl. Eine grundsätzlich zum Schadensersatz führende Pflichtverletzung sah das OLG ebenfalls. Meta habe trotz Kenntnis vom Datenabgriff im vorliegenden Fall nicht die naheliegenden Maßnahmen zur Verhinderung weiteren unbefugten Datenabgriffs ergriffen.
Pauschaler Hinweise auf Schädigungen reichen nicht aus
Nach der DSGVO ist die Geltendmachung eines immateriellen Schadens, ähnlich einem Schmerzensgeld, möglich. Dafür muss allerdings ein konkreter immaterieller Schaden nachgewiesen werden, das hat auch der Europäische Gerichtshof jüngst so entschieden. Nicht näher bestimmte Gefühle des Kontrollverlusts, der Beobachtung durch Fremde und der Hilflosigkeit oder einer insgesamt einer nicht näher bestimmten Angst reichen nicht aus, ebenso wenig der pauschale Hinweis auf Aufwand und Mühe, um den unerwünschten Zustand zu beseitigen. Es müssen darüberhinausgehende persönliche oder psychologische Beeinträchtigungen eingetreten und belegt werden. Im Übrigen, so das OLG Hamm, sei der Datenmissbrauch nicht derart schwerwiegend, dass der Eintritt eines immateriellen Schadens ohne Weiteres naheliegt.
Copyright Bild: IMAGO / Silas Stein
