Sogenannte Scraping-Vorfälle bei Facebook stellen noch keinen Schaden im Sinne von Art. 82 DSGVO dar. Insbesondere stellt der bloße Verlust der Kontrolle über die Daten noch keinen ersatzfähigen Schaden dar. Auch ein vermehrtes Auftreten von Cold Calls lässt noch keinen hinreichenden Rückschluss auf eine Datenschutzverletzung bei Facebook zu. (OLG München, Urt. v. 24.04.2024 - Az.: 34 U 2306/23 e).
Die Münchener Richter lassen offen, ob überhaupt eine Datenschutzverletzung vorliegt. Denn der Anspruch scheitere bereits an der fehlenden Beeinträchtigung gem. Art. 82 DSGVO.
1. Bloßer Kontrollverlust noch kein Schaden:
Zunächst stellen die Richter klar, dass alleine aus der Tatsache, dass der Betroffene die Herrschaft über seine Daten verloren habe, auf eine ausreichende Beeinträchtigung geschlossen werden könne:
"Der Kläger hat aber auch einen immateriellen Schaden hinsichtlich der Veröffentlichung seines Namens in Verbindung mit seiner Mobilfunknummer nicht nachweisen können.
(aa) Ein immaterieller Schaden ist – anders als die Klagepartei meint – nicht bereits in dem Kontrollverlust zu sehen, der durch das Scraping entstanden ist, sondern kann allenfalls Folge dieses Kontrollverlustes sein (so zutreffend OLG München 27 U 2408/23 e, Beschluss vom 2.2.2024).
Die hieraus folgende Dreistufigkeit der Prüfung (Verstoß gegen DSGVO -> negative Folge, z.B. Kontrollverlust -> Schaden) stellt auch der Europäische Gerichtshof in seinem Urteil vom 14.12.2023, C-340/21, GRUR-RS 2023, 35786, Rn. 84 heraus: „Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (…).“
Soweit die Klagepartei aus den Erwägungsgründen zur DSGVO schließen möchte, dass bereits der Kontrollverlust als solcher einen immateriellen Schaden darstellt, greift auch diese Betrachtung zu kurz: Zwar scheint Erwägungsgrund 85 einen eingetretenen Kontrollverlust bereits als Schaden anzusehen. Dem steht aber Erwägungsgrund 83 entgegen, der die Risiken einer Verarbeitung persönlicher Daten anspricht und dabei deutlich unterscheidet zwischen den Folgen eines Verstoßes gegen die DSGVO (u.a. Verlust von personenbezogenen Daten) auf der einen Seite und hieraus möglicherweise entstehenden physischen, materiellen oder immateriellen Schäden auf der anderen Seite.
Nichts anderes ergibt sich aus dem Erwägungsgrund 75. Der Begriff des „Kontrollverlusts“ wird dort zwar in einer längeren Aufzählung von Beispielen erwähnt, die zu einem Schaden führen können. Daraus ist aber gerade nicht zu folgern, dass jeder Kontrollverlust alleine bereits einen Schaden darstellt (so zutreffend auch OLG München, Beschluss vom 14.11.2023, 14 U 3443/23).
Auch der Europäische Gerichtshof hat zuletzt ausdrücklich entschieden, dass nicht schon deshalb ein „immaterieller Schaden“ im Sinne des Art. 82 Abs. 1 DSGVO vorliegt, weil die betroffene Person befürchtet, dass in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet (EuGH vom 25.01.2024, C-687/21, GRUR-RS 2024, 530)."
2. An öffentlich zugänglichen Daten ohnehin kein Schaden:
Zudem betonen die Robenträger klar, dass an den Informationen, die öffentlich zugänglich waren, ohnehin kein Kontrollverlust eintreten könne:
“Ein immaterieller Schaden des Klägers ist nicht festzustellen hinsichtlich derjenigen Daten, deren Angabe für die Registrierung auf der Plattform der Beklagten zwingend erforderlich und auf seinem Profil als „immer öffentlich“ eingestellt waren wie Vor- und Nachname, das Geschlecht und die ID. Insofern liegt bereits kein „Kontrollverlust“ vor (OLG Köln GRUR-RS 2023, 37347, Rn. 27; OLG Dresden GRUR-RS 2024, 2999, Rn. 28).”
3. Spam-Telefonanrufe kein ausreichendes Indiz:
Der Anspruch scheiterte auch daran, dass der Kläger den Kausalzusammenhang zwischen dem Abfluss der Facebook-Daten und den späteren unzulässigen Telefonwerbeanrufen nicht nachgewiesen habe.
Denn die Cold Calls für sich genommen ließen noch keinen hinreichend sicheren Rückschluss auf die behauptete Datenschutzverletzung zu:
"Schließlich lässt sich aufgrund des Sachvortrags der Klagepartei auch der erforderliche Kausalzusammenhang zwischen dem Scraping-Vorfall und den von ihr behaupteten Unannehmlichkeiten nicht sicher feststellen.
Zwar steht nach dem Vortrag des Klägers das vermehrte Auftreten von belästigenden Anrufen in einem zeitlichen Zusammenhang mit dem streitgegenständlichen Scraping-Vorfall. A
bgesehen davon, dass die Beklagte den Vortrag des Klägers hierzu bestritten hat, kann dies allein aber einen Kausalzusammenhang nicht belegen, denn derartige unerbetene, belästigende oder betrügerische Anrufe können grundsätzlich schon deshalb nicht gerade auf den Scraping-Vorfall bei (…) zurückgeführt werden, weil davon regelmäßig auch Personen, deren Daten nicht gescrapet wurden, in vergleichbarer Weise betroffen sind.
Es ist allgemein und auch den Senatsmitgliedern aus eigener Erfahrung – bekannt, dass Personen, die keine sozialen Netzwerke nutzen, ebenfalls derartige Anrufe erhalten.
Selbst wenn zu seinen Gunsten unterstellt wird, dass seine Telefonnummer auf weiteren Websites nicht öffentlich sichtbar oder sonst öffentlich bekannt war, kann doch nicht ausgeschlossen werden, dass Dritte die Telefonnummer des Klägers unbefugt, unabsichtlich oder im Rahmen technischer Vorfälle anderen Personen zugänglich gemacht haben.
Ein Zusammenhang zwischen den gehäuften Anrufen ab dem Jahr 2019 mit dem Scraping-Ereignis ist daher nicht belegt oder offensichtlich. Die Befürchtung eines Missbrauchs gründet sich vielmehr auf der allgemeinen Gefahr, die mit der Nutzung eines Telefons einhergeht und die alle Nutzer in ähnlicher Weise trifft und nicht auf den Kontrollverlust durch das Scraping-Ereignis."