Nach Ansicht des OLG Dresden ist - basierend auf den aktuellen Vorgaben des BGH - bei Facebook-Scraping-Vorfällen von einem DSGVO-Schadensersatz i.H.v. 100,- EUR auszugehen (OLG Dresden, Urt. v. 10.12.2024 - Az.: 4 U 808/24).
Der BGH hatte vor wenigen Wochen seine grundlegende Entscheidung (Urt. v. 18.11.2024 - Az.: VI ZR 10/24) zu Ansprüchen bei datenschutzwidrigem Scraping auf Facebook getroffen.
Nunmehr hat das OLG Dresden - soweit ersichtlich - als erstes Oberlandesgericht die dort aufgestellten Vorgaben umgesetzt und ein entsprechendes Urteil gefällt:
1. DSGVO-Schadensersatz iHv. 100,- EUR:
Das Gericht stellte fest, dass der Kontrollverlust über die Telefonnummer ausreichend für einen Schadensersatzanspruch nach Art. 82 sei. Eine konkrete Missbrauchsgefahr müsse nicht nachgewiesen werden.
Den Betrag legte das OLG Dresden mit 100,- EUR fest:
"Allerdings hat im vorliegenden Fall der Kontrollverlust der Daten zu einem immateriellen Schaden im Sinne von Art. 82 DSGVO bei der Klagepartei geführt.
Soweit der Senat bislang in ständiger Rechtsprechung die Auffassung vertreten hat, es liefe dem Erfordernis eines konkreten Schadens zuwider, würde man hierfür bereits einen abstrakten "Kontrollverlust" des Plattformnutzers ausreichen lassen, ohne dass dieser zusätzlich glaubhaft mache, wegen dieses Zustands in Angst oder Sorge geraten zu sein, hält er hieran nach der neuesten Rechtsprechung des BGH nicht mehr fest. (…)
Zu berücksichtigen ist darüber hinaus, dass auch bei der Klagepartei ein Rufnummernwechsel, der dem eingetretenen Kontrollverlust entgegenwirken würde, ohne weiteres möglich und nicht erkennbar wäre, dass die Daten an einen unbegrenzten Empfängerkreis abgeflossen sind. In der Gesamtwürdigung dieser Umstände hält auch der Senat den bloßen Kontrollverlust mit Zahlung einer immateriellen Entschädigung in Höhe von 100,- € für abgegolten."
Ausdrücklich betonen die Robenträger, dass aufgrund pauschal vorgetragener psychischer Beeinträchtigung der Schadensersatz nicht höher ausfalle:
"Eine höhere immaterielle Entschädigung war auch nicht aufgrund von individuellen psychischen Beeinträchtigungen der Klagepartei durch den Scraping-Vorfall geboten. Unabhängig vom Nachweis eines Kontrollverlusts reicht für einen Anspruch auf einen immateriellen Schadensersatz zwar auch die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 67 - MediaMarktSaturn; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 85 - Natsionalna agentsia za prihodite).
Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteile vom 20. Juni 2024 - C-590/22, DB 2024,1676 Rn. 36 - PS GbR; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 75-86 - Natsionalna agentsia za prihodite). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urteile vom 20. Juni 2024 - C- 590/22, DB 2024, 1676 Rn. 35 - PS GbR; vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 68 - MediaMarktSaturn). (…)
Eine solche konkrete emotionale Beeinträchtigung der Klagepartei ist zur Überzeugung des Senates hier indes nicht eingetreten.
Die schriftsätzlich allgemeine gehaltene Behauptung der Klagepartei, sie sei in einen Zustand großen Unwohlseins und Sorge über einen möglichen Missbrauch geraten, geht über alltägliche Empfindungen, die keine begründete Befürchtung rechtfertigen, nicht hinaus. Den Schluss auf einen realen und sicheren emotionalen Schaden (…) erlaubt sie nicht.
(…) Im vorliegenden Fall hat die Klägerin keinen emotionalen Schaden, der auf den Scraping-Vorfall zurückzuführen ist, glaubhaft gemacht. Besondere Sorgen und Ängste wegen eines Datenmissbrauches hat sie nicht geschildert, sondern hat vielmehr maßgeblich auf den mit der Bereinigung der Spam-Eingänge verbundenen Aufwand abgestellt, den sie gegenüber dem Senat als "störend" qualifiziert hat. Es tritt hinzu, dass sie dieses Störgefühl vorrangig mit den Spam-Eingängen unter ihrer GMX- Adressse verbunden hat, die indes nicht bei der Registrierung angegeben wurde und daher nicht Gegenstand des Scraping-Vorfalls war."
2. Feststellungsanspruch für potenziell weitere Schadensersatzansprüche bejaht:
Ebenso bejaht hat das OLG Dresden den Feststellungsanspruich hinsichtlich möglicher weiterer Schäden:
"Im Anschluss an das Urteil des Bundesgerichtshofs vom 18.11.2024 steht der Klagepartei auch ein Anspruch auf Feststellung der Verpflichtung der Beklagten, alle künftigen (materiellen) Schäden zu erstatten, zu.
Seine abweichende Einschätzung gibt der Senat auf. Der Bundesgerichtshof hat hierzu ausgeführt, die Möglichkeit des Eintritts künftiger Schäden sei ohne Weiteres zu bejahen, wenn die Klagepartei - wie hier - durch einen Verstoß gegen die Datenschutz-Grundverordnung in ihrem Recht auf informationelle Selbstbestimmung (…) verletzt worden ist."
3. Kein Unterlassungsanspruch:
Der ebenfalls klägerisch geltend gemachte Unterlassungsanspruch sei zu verneinen, da die Facebook-Sicherheitslücken inzwischen geschlossen worden seien und somit keine Wiederholungsgefahr bestünde:
"Dabei begründet zwar ein einmal erfolgter Vertragsverstoß die tatsächliche Vermutung für seine Wiederholung. (…)
An die Entkräftung dieser Vermutung sind strenge Anforderungen zu stellen. Sie ist ausnahmsweise dann als widerlegt anzusehen, wenn der Eingriff durch eine einmalige Sondersituation veranlasst war (…).
Vorliegend ist von einer solchen einmaligen Sondersituation auszugehen, nachdem die Beklagte unstreitig die Kontaktimportfunktion auf der Plattform am 10.10.2018 und die des Facebook-Messengers am 6.9.2019 deaktiviert und durch eine „People-You-May-Know“-Funktion („Personen, die du kennen könntest“-Funktion) ersetzt hat. (…) Weitere Scraping-Vorfälle unter Ausnutzung der Sichtbarkeits- und Suchbarkeitseinstellungen bezüglich der Telefonnummer bei der Beklagten gibt es seither unstreitig nicht mehr.
Nach Ablauf eines Zeitraums von mehr als fünf Jahren seit dem Scraping-Vorfall ist angesichts dessen nicht davon auszugehen, dass es über die „People-you-may-know“-Funktion zu einem dem streitgegenständlichen Vorfall im Kern gleichartigen Datenzugriff durch Dritte kommt.
Der Senat hält es angesichts des mit einem erheblichen Programmieraufwand verbundenen Abschaltens der Kontaktimportfunktion und der Sanktionierung der Beklagten durch die irische Datenschutzbehörde auch für ausgeschlossen, dass die Beklagte gleichwohl diese Funktion in der Zukunft wieder implementieren und überdies mit einer datenschutzrechtlich unzulässigen Systemvoreinstellung versehen könnte. Ohnehin darf auch bei der Frage der Wiederholungs- oder Erstbegehungsgefahr nicht aus dem Blick geraten, dass vorliegend der Unterlassungsanspruch nicht an ein aktives Tun, sondern lediglich an ein Unterlassen der Beklagten anknüpft, gegen ein Scraping durch Dritte hinreichende Vorkehrungen zu treffen."
4. Kosten: Klägerin trägt 93 % der Kosten, Beklagte 7 %
Da das OLG Dresden den Großteil der Ansprüche der Höhe nach abwies, muss die Klägerin 93 % der Kosten tragen, Facebook nur 7 %.