Ein Facebook-Nutzer erhält einen DSGVO-Schadensersatz iHv. 100,- EUR wegen des Scraping-Vorfalls. Meta kann sich nicht auf Unwissenheit berufen (OLG Braunschweig, Urt. v. 05.06.2025 - Az.: 2 U 71/24).
Ein Facebook-Nutzer verklagte Meta wegen des bekannten Scraping-Vorfalls. Er verlangte u. a. Schadensersatz auf Basis der DSGVO.
Meta verteidigte sich damit, dass es keine vertieften Kenntnisse von den Scraping-Ereignissen habe und bestritt die Ereignisse.
Das OLG Braunschweig erachtete ein solches Bestreiten durch den Social Media-Anbieter als unbeachtlich.
Ein solches Bestreiten mit Nichtwissen sei unbeachtlich.
Meta hätte als Verantwortliche für die Datenverarbeitung über ausreichende Informationen verfügen müssen. Ein Rückzug auf fehlende eigene Kenntnis sei nicht zulässig, wenn Vorgänge im eigenen Geschäftsbereich lägen:
"Das prozessuale Bestreiten der Beklagten mit Nichtwissen ist unbeachtlich. Es steht ncht nur im Widerspruch zu ihren außerprozessual gemachten Angaben, sondern ist darüber hinaus gemäß § 138 Abs. 4 ZPO unzulässig, wonach eine Erklärung mit Nichtwissen nur über solche Tatsachen zulässig ist, die weder eigene Handlungen der Partei noch Gegenstand ihrer eigenen Wahrnehmung gewesen sind. Fehlt es an einer eigenen Wahrnehmung, kommt eine Informationspflicht der Partei in Betracht und können Vorgänge im eigenen Geschäfts- oder Verantwortungsbereich der Partei ihren eigenen Handlungen oder Wahrnehmungen gleich zu achten sein (…).
So liegen die Dinge hier.
Das Scraping stellt einen Vorgang im Verantwortungsbereich der Beklagten dar, über den sie sich die nötigen Informationen zu beschaffen und sich im Prozess zu erklären hat. Erfolgte das Scraping nicht unter dem Normenregime der DSGVO, also vor ihrem Inkrafttreten, hat eine Negativerklärung dahingehend zu erfolgen, dass es jedenfalls seit dem 25.05.2018 nicht zu dem streitgegenständlichen Scrapingvorfall gekommen ist."
Und weiter:
"Soweit sich die Beklagte darauf zurückzuziehen sucht, hierzu nicht in der Lage zu sein, unter anderem weil sie sich nicht im Besitz der Rohdaten befinde, welche die durch Scraping abgerufenen Daten enthielten, kann sie damit nicht gehört werden.
Die Berufung auf eine fehlende Informationsmöglichkeit entlastet nicht stets und unter anderem dann nicht, wenn sie von der Partei vereitelt wird (…). Ähnliches gilt hier, was aus der Wertung des Art. 5 Abs. 2 DSGVO folgt, der dem Verantwortlichen eine Rechenschaftspflicht auferlegt.
Den Verantwortlichen trifft nicht nur die Verantwortung für die Einhaltung der Grundsätze von Art. 5 Abs. 1 DSGVO; er muss ihre Einhaltung auch nachweisen können. Diese Nachweispflicht kann er nur durch eine entsprechende Dokumentation oder ein Daten-Managementsystem erfüllen (…).
Generell trägt der Verantwortliche nach Art. 5 Abs. 2 DSGVO die Darlegungs- und Beweislast dafür, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (…).
Insofern bedeutet das Fehlen von Nachweismöglichkeiten eine Verletzung der Nachweispflicht (…)."
Durch das Scraping se ein Verlust der Kontrolle über die persönlichen Daten des Klägers eingetreten. Die Standardeinstellung, wonach alle Nutzer über die Telefonnummer gefunden werden konnten, sei nicht datenschutzfreundlich gewesen.
Die Höhe von 100 EUR sei eine angemessene Entschädigung für die konkrete Datenpreisgabe, da Name, Geschlecht, Nutzer-ID und Telefonnummer im Internet veröffentlicht worden seien. Höhere Beträge seien abzulehnen, da keine ernsthaften psychischen Folgen nachgewiesen worden seien und die Veröffentlichung bereits vor mehreren Jahren stattgefunden habe.