Auch nach den aktuellen Vorgaben des BGH erhält der Betroffene für einen Facebook-Scraping-Vorfall keinen DSGVO-Schadensersatz, wenn er keinen Kontrollverlust der Daten nachweisen kann. Den Anspruchsteller trifft hierfür die volle Beweislast (OLG Hamm, Urt. v. 29.11.2024 - Az.: I-25 U 25/24).
Der Kläger verlangte wegen der Scraping-Ereignisse in der Vergangenheit gegenüber Facebook u.a. einen DSGVO-Schadensersatz.
Das OLG Hamm wies die Klage jedoch vollumfänglich ab.
Der Kläger habe keinen immateriellen Schaden wie Kontrollverlust oder konkrete persönliche Beeinträchtigungen darlegen können. Allgemeine Befürchtungen reichten nicht aus.
Im Einklang mit der aktuellen BGH-Rechtsprechung bekräftigten die Hammer Juristen zunächst, dass auch der bloße und kurzfristige Kontrollverlust über die eigenen personenbezogenen Daten einen Schaden darstellen könne.
Einen solchen Kontrollverlust habe der Kläger jedoch nicht nachweisen können:
“Wie bereits dem Wortlaut des Begriffs „Kontrollverlust“ zu entnehmen ist, setzt dieser voraus, dass die betroffene Person zunächst die Kontrolle über das konkrete personenbezogene Datum hatte und sie diese Kontrolle später gegen ihren Willen durch den (streitgegenständlichen) Datenschutzverstoß verloren hat. Folglich muss die betroffene Person, weil sie die Darlegungslast für durch den Verstoß gegen die Datenschutz-Grundverordnung erlittene negative Folgen trifft (…), darlegen, dass sie die Hoheit über die Daten nicht schon zuvor verloren hatte.”
Und weiter:
"Diese Voraussetzung lässt sich auf der Grundlage der persönlichen Angaben des Klägers nicht erkennen und ist auch nicht nachgewiesen.
Im Rahmen seiner Anhörung sowohl vor dem Landgericht als auch vor dem Senat hat der Kläger ein bis zwei Anrufe sowie ein bis drei SMS pro Tag genannt, immer mit dem Inhalt, es sei ein Paket für ihn hinterlegt oder seine behauptete Tochter melde sich bei ihm.
Dieser Umfang betrügerischer Kontaktversuche lässt den tragfähigen Rückschluss auf einen Kontrollverlust nicht zu.
Denn in gewissem Umfang sind Spam-Anrufe und Spam-SMS, insbesondere mit dem vom Kläger geschilderten Inhalt, nicht ungewöhnlich. Das ist dem Senat aus eigener Erfahrung bekannt.
Die vom Kläger genannte Anzahl betrügerischer Kontaktversuche geht hierüber nicht erheblich hinaus.
Den betroffenen Zeitraum hat der Kläger zudem auf einige Monate ab dem Ende des Jahres 2019 bis etwa Mitte des Jahres 2020 begrenzt. Insbesondere im Dezember 2019 sei es verstärkt zu betrügerischen Anrufen und SMS gekommen.
Auf den Vorhalt, dass die abgegriffenen Datensätze erst im April 2021 öffentlich verbreitet wurden, ist der Kläger bei seiner zeitlichen Einordnung geblieben. Damit lässt sich indes ein auf den streitgegenständlichen Scraping-Vorfall, in dessen Zusammenhang Leak-Datensätze erst im April 2021 im Internet verbreitet wurden, zurückzuführender Kontrollverlust nicht mit der gebotenen Sicherheit annehmen. Das gilt auch im Hinblick darauf, dass bei den Spam-Anrufen und Spam-SMS, wie der Kläger angegeben hat, jeweils keine persönliche Ansprache erfolgte. Das wäre indes zu erwarten gewesen, da in Rahmen des Scraping-Vorfalls die Mobilfunknummer des Klägers unter anderem mit seinem bei F. verwendeten Profilnamen verknüpft wurde."