Das sogenannte „Daten-Scraping“ bei einer Social-Media-Plattform war in jüngster Vergangenheit bundesweit Gegenstand diverser Gerichtsverfahren. Nutzer der Plattform forderten Schadensersatz für durch unbefugtes Abschöpfen von personenbezogenen Daten durch Dritte behauptete Schäden im Zusammenhang mit dem zwischen 2018 und 2019 stattgefundenen Datenleck.
Das OLG Oldenburg bestätigte mit dem diesem Beitrag zugrundeliegenden Urteil (OLG Oldenburg – 21.05.2024 – AZ: 13 U 100/23) das klageabweisende Urteil der Vorinstanz (LG Oldenburg – 15.08.2023 – AZ: 5 O 1972/22). In dem Verfahren machte der von dem Scraping-Vorfall betroffene Kläger Schadenersatz-, Feststellungs-, Unterlassungs- und Auskunftsansprüche wegen der Verletzung der Datenschutzgrundverordnung (DSGVO) seitens einer Social-Media-Plattform als Beklagten geltend.
Das erstinstanzlich zuständige Landgericht hatte die Klage als unbegründet abgewiesen. Es sah bereits keinen Verstoß der Beklagten gegen die DSGVO. Auch die Berufung des Klägers vor dem OLG Oldenburg hatte keinen Erfolg. Zwar nahm es – anders als die Vorinstanz – einen Verstoß gegen die DSGVO an. Allerdings habe der Kläger keinen Nachweis erbracht, dass dieser Verstoß in einem immateriellen Schaden eingemündet sei.
Der Kläger stützte seine Klage auf Art. 82 Abs. 1 DSGVO, welcher Personen, denen aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gewährt. Ein solcher Schadensersatzanspruch setzt nach Rechtsprechung des Europäischen Gerichtshofes (EuGH) einen Verstoß gegen die DSGVO, den Eintritt eines Schadens und einen Kausalzusammenhang zwischen Verstoß und Schaden voraus (EuGH, Urt. v. 04.05.2023, C-300/21; Urt. v. 14.12.2023 – C-340/21). Die Darlegungs- und Beweislast für das Vorliegen des Schadens trifft dabei den Kläger.
Das OLG Oldenburg sah in der Verarbeitung der personenbezogenen Daten des Klägers einen Verstoß gegen die DSGVO, da die Beklagte eine Rechtmäßigkeit der Verarbeitung im Sinne des Art. 6 Abs. 1 DSGVO nicht darlegen konnte. Das Nutzerprofil des Klägers sei anhand dessen Mobilfunknummer mittels Such- und Kontaktimportfunktion suchbar gewesen. Dadurch hätten einerseits andere Nutzer durch Eingabe der Mobilfunknummer des Klägers dessen Nutzerprofil finden können. Gleichzeitig habe die Beklagte Scrapern durch diese Funktion die Auffindung des Nutzerprofils des Klägers ermöglicht. Anhand der Eingabe automatisch generierter Mobilfunknummern – ohne vorherige Kenntnis von dessen Inhabern – sei Scrapern die Verknüpfung einer dieser Mobilfunknummern mit dem Nutzerprofil des Klägers gelungen. Die primär zum Zwecke der gegenseitigen Auffindbarkeit zwecks Vernetzung angegebene Mobilfunknummer wurde folglich von Dritten in unbefugter Weise missbraucht und dem Nutzerprofil des Klägers zugeordnet.
Den Schadensersatzanspruch ließ das OLG Oldenburg jedoch an einem konkreten Schadensnachweis durch den Kläger scheitern. Bereits aus der Rechtsprechung des EuGH folge, dass der bloße Kontrollverlust über die eigenen Daten noch keinen immateriellen Schaden im Sinne des Art. 82 DSGVO begründe. Ein solcher Schaden könne durchaus vorliegen, der sich auf dessen Vorliegen berufende Antragsteller müsse aber einen Nachweis über die Begründung eines immateriellen Schadens aufgrund der negativen Folgen des Verstoßes erbringen (vgl. EuGH, Urt. v. 14.12.2023 – C-456/22, Rn. 11, Rn. 21).
Das Gericht ließ zwar die Behauptung des Klägers, großes Unwohlsein und große Sorgen wegen eines möglichen Missbrauchs seiner personenbezogenen Daten verspürt zu haben, der Darlegungslast genügen. Allerdings vermochte der Kläger den Senat des OLG Oldenburg nicht von dem tatsächlichen Vorliegen dieser Umstände zu überzeugen. Die Prüfung der Begründetheit im konkreten Einzelfall unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person obliegt dem zuständigen Gericht (EuGH, Urteil vom 14. Dezember 2023 aaO Rn. 86). Der Vorfall habe den Kläger nicht zu einem Wechsel der Mobilfunknummer veranlasst und der persönlich angehörte Kläger habe auch nicht ausdrücklich eine Beunruhigung bekundet. Das Erhalten von Spam-Anrufen und -SMS begründe keinen Schadensersatzanspruch, da dieses im Internetzeitalter in die Sphäre des allgemeinen Lebensrisikos zähle. Zudem sei der Kläger nach eigenen Angaben auch bei weiteren Social-Media Plattformen angemeldet, sodass mangels Vorliegens eines ursächlichen Zusammenhanges auch andere Ursachen für den Erhalt der Spam-Anrufe und -SMS als der streitgegenständliche Scraping-Vorfall möglich seien.
Fazit
Auch dieses Urteil schließt sich dem Trend klagabweisender Urteile an, welche die Hürden für einen konkreten Schadensnachweis hoch setzen. Dem Urteil des OLG Oldenburg lässt sich der Kerninhalt entnehmen, dass es in den Verfahren nach Art. 82 DSGVO maßgeblich auf hinreichend konkrete Darlegung und Beweisbarkeit des individuell entstandenen Schadens ankommt. Ein bloßer Kontrollverlust über die eigenen Daten ohne nachweisbare Folgen und eindeutige Zuordnung der Verletzung zu dem Schadensverursacher gehört in der Ära der Preisgabe von Daten auf verschiedenen Social-Media-Plattformen gewissermaßen zum allgemeinen Lebensrisiko.