Seit geraumer Zeit ziehen sich datenschutzrechtliche Schadensersatzansprüche infolge des sog. Scraping durch die Instanzgerichte und brachten regelrechte Massenverfahren ins Rollen. In der Entscheidungslandschaft zeichnete sich zwar eine gewisse Tendenz ab, dennoch urteilten die Gerichte uneinheitlich. Nachdem insgesamt vier Facebook-Scraping-Fälle zur Revision beim BGH anstanden und drei Revisionen jeweils kurzfristig zurückgenommen wurden, hat der BGH das letzte anhängige Verfahren zum Leitentscheidungsverfahren bestimmt (§ 552b ZPO). Mit dem nun gefällten Urteil des BGH vom 18.11.2024 (Az. VI ZR 10/24) hat sich das Entscheidungsdickicht gelichtet und ist eine klare Linie im Hinblick auf immaterielle Schadensersatzansprüche nach Scraping in künftigen Entscheidungen zu erwarten.
Die Hintergründe zum Scraping, das Meinungsbild der Instanzgerichte und die Entscheidung des BGH beleuchtet der folgende Beitrag.
Scraping (dt. „kratzen“) bezeichnet das Auslesen von Informationen aus verschiedenen Webseiten oder Web-Diensten durch dafür vorgesehene Anwendungen, Scripte oder Software – in der Regel durch Bots. Dabei werden Daten und Informationen aus verschiedenen Quellen „zusammengekratzt“, wodurch mit geringem Aufwand Unmengen an Daten gesammelt und zusammengestellt werden können. Die Scraping-Software extrahiert konkrete Informationen in automatisierter Art und Weise aus verschiedenen Quellen, regelmäßig aber aus dem Source-Code der Webseiten. Bekanntester Anwendungsfall des Web Scrapings ist z.B. die Nutzung von Online-Suchmaschinen oder Vergleichsportalen.
In dem nun vom BGH entschiedenen Fall des sog. Facebook-Scrapings lief das Scraping etwas anders ab, geht aber im Kern auf die eben vorgestellte Funktionsweise zurück.
Facebook bot verschiedenste Funktionen an, damit Nutzer ihren Bekanntenkreis auf dem sozialen Netzwerk vergrößern konnten. Eine dieser Optionen war die Hinterlegung der Telefonnummer im Facebook-Account. Über das sog. „Contact-Importer-Tool“ (CIT) war das Auffinden von Profilen möglich, die einer Telefonnummer aus dem Telefonbuch des mobilen Endgeräts eines Facebook-Nutzers zugeordnet werden konnte. Diese Funktion war bereits auf „alle“ Kontakte im Adressbuch der Smartphones voreingestellt. Dieses Feature machten sich Scraper zunutze, indem sie zufällige Zahlenfolgen in das CIT einpflegen mit dem Ziel, Profile zu ermitteln, die diese Zahlenfolgen als Telefonnummer hinterlegt hatten. Durch die Treffer der randomisierten Zahlenfolgen, welche sich als entsprechende Telefonnummern herausstellten, konnten die Scraper alle übrigen aus dem Facebook-Profil einsehbaren Informationen verknüpfen und veröffentlichten diverse Datensätze im Darknet.
Als die Facebook-Scraping-Vorfälle publik wurden, löste das bei vielen Facebook-Nutzern Bestürzen aus und mündete in zahlreichen Verfahren vor Gerichten wegen Unterlassungsansprüchen sowie datenschutzrechtlicher Schadensersatzbegehren in Form von Schmerzensgeld.
Ablehnende Entscheidungen
Bislang lehnten die Instanzgerichte einen immateriellen Schadensersatz überwiegend ab. Die Kläger tragen immer wieder vor, dass sie in großer Sorge vor einem möglichen Missbrauch ihrer Daten seien oder auch überwältigende Mengen an Spam erhalten würden. Regelmäßig wird in der Urteilsbegründung jedoch darauf verwiesen, dass die Kläger nicht ausführlich genug vorgetragen hätten, um einen Schaden zu begründen. Es lesen sich Schlagworte wie „Kontrollverlust“, „Sorgen“, „bloßer Ärger“ oder „emotionales Ungemach“ (vgl. so z.B. LG Köln, Urt. v. 31.05.2023, Az. 28 O 138/22, Rn. 61; LG Kiel, Urt. v. 12.01.2023, Az. 6 O 154/22), die jedoch keinen immateriellen Schaden begründen sollen. Das OLG Köln beispielsweise schreibt in seiner Entscheidung vom 07.12.2023 (Az. 15 U 108/23) zum Kontrollverlust, dass dieser eine vorher bestandene Kontrolle über die verloren geglaubten Daten voraussetze. Das müsse dann umfassend dargelegt werden, denn bei einer Telefonnummer handele es sich nicht um ein per se der Geheimhaltung unterliegendes personenbezogenes Datum. Vielmehr solle diese gerade den Kontakt mit anderen Personen ermöglichen und werde deshalb oft in großem Umfang zugänglich gemacht. Außerdem reiche eine negative Folge des Datenschutzverstoßes, wie störender Spam, jedenfalls nicht aus, um dadurch einen Schaden begründen zu können.
Diese Argumentationslinie ist vor allem im Lichte der EuGH-Entscheidung zum immateriellen Schadensersatz nach dem Verlust der Kontrolle über die eigenen Daten fragwürdig (EuGH, Urt. v. 04.10.2024, C-200/23). Unter den Schadensbegriff fasst der EuGH insbesondere auch den bloßen Verlust der Kontrolle über personenbezogene Daten, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil des Betroffenen erfolgt sein sollte. Das hohe Schutzniveau der DSGVO gebiete es, dass auch Befürchtungen einer künftigen missbräuchlichen Verwendung der Daten von Betroffenen einen Schaden darstellen können, wenn dies nachgewiesen wird.
Zusprechende Entscheidungen
Vereinzelt haben Gerichte einen immateriellen Schadensersatz in Folge des Facebook-Scrapings gewährt, wie etwa das LG Stuttgart (Urt. v. 26.01.2023, Az. 53 O 95/22). Das LG Osnabrück wies in der ersten Instanz die Klage noch ab (Urt. v. 28.07.2023, Az. 11 O 110/23), wohingegen die Berufungsinstanz, das OLG Oldenburg, dem Kläger Schadensersatz in Höhe von EUR 250 zusprach (Urt. v. 30.04.2024, Az. 13 U 89/23). Dabei räumte das OLG Oldenburg ein, dass der Erhalt von Spam-SMS oder -Anrufen noch nicht ausreichend sei, um einen Schaden zu begründen, denn dies gehöre „im Internetzeitalter“ zum allgemeinen Lebensrisiko. Das Gericht erkannte jedoch die Sorge des Klägers wegen eines möglichen Missbrauchs seiner Telefonnummer infolge des Scrapings als Schaden an. Dem Gericht reichte es aus, dass sich der Kläger verunsichert gefühlt habe und befürchtete, dass seine Nummer zu betrügerischen Zwecken weiterverwendet würde, denn er sei beruflich auf seine Telefonnummer angewiesen. Die Ängste seien dadurch ausreichend belegt, dass sich der Kläger eine zweite Telefonnummer zugelegt habe. Hier hatte die persönliche Anhörung des Klägers einen überzeugenden Eindruck beim Gericht für einen Schaden hinterlassen.
Nachdem drei Revisionen (Az. VI ZR 7/24, VI ZR 22/24, VI ZR 186/24), die beim BGH anhängig waren, zurückgenommen worden waren, hat der BGH die letzte noch anhängige Revision (Az. VI ZR 10/24) zum Leitentscheidungsverfahren bestimmt. Damit wurde sichergestellt, dass eine Entscheidung zu zentralen Rechtsfragen nicht wegen Rücknahmen, Vergleichen oder ähnlichem verhindert werden konnte. Damit bildet der Facebook-Scraping Komplex das erste Leitentscheidungsverfahren gemäß § 552b ZPO, so dass diese neue Vorschrift mit dem Tag ihres Inkrafttretens am 31.10.2024 unmittelbar zum Einsatz kam.
Der BGH nimmt bei seiner Entscheidung ausdrücklich Bezug auf die oben zitierte EuGH-Rechtsprechung und stellt nochmals heraus, dass der kurzzeitige Kontrollverlust über eigene personenbezogene Daten einen immateriellen Schaden darstellen kann. Insofern unterstreicht der BGH, dass weder die konkret missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen noch zusätzliche spürbare negative Folgen Voraussetzungen eines Schadens sind.
Die von Facebook voreingestellte Suchfunktion im CIT, dass „alle“ Kontakte im Adressbuch mit Facebook-Nutzer-Profilen abgeglichen werden, bewertet der BGH als unvereinbar mit dem Grundsatz der Datenminimierung. In diesem Zusammenhang sei ergänzend die Frage zu klären, ob überhaupt eine wirksame Einwilligung des Klägers in die Datenverarbeitung (hier in Form des Abgleichs der Kontakte mit Facebook-Profilen) vorlag.
Auch zur konkreten Höhe des immateriellen Schadensersatzes hat sich der BGH geäußert und sieht für den bloßen Kontrollverlust eine Größenordnung von EUR 100 als einen angemessenen Ausgleich an.
Hinsichtlich der vom BGH aufgegriffenen Punkte wird der Rechtsstreit zur neuen Verhandlung und Entscheidung an das OLG Köln unter dem Aktenzeichen 15 U 67/23 zurückverwiesen, das letztendlich über den konkreten Fall zu entscheiden hat.
Mit seinem richtungsweisenden Urteil hat der BGH Klarheit für die Entscheidungen der Instanzgerichte geschaffen und zudem das Verständnis des EuGH zum Kontrollverlust über personenbezogene Daten umgesetzt. Das Urteil ist von großer Bedeutung für alle noch zu entscheidenden Klagen betroffener Facebook-Nutzer, die voraussichtlich in der Summe zu erheblichen Schadensersatzzahlungen von Meta führen werden. Vor allem aber wurden die Rechte der von Datenschutz-Vorfällen betroffenen Personen mit diesem Urteil gestärkt. Die klare Aussage des BGH zur Bedeutung des Datenschutzes sowie zur potentiellen Gewährung von immateriellem Schadensersatz aufgrund eines Kontrollverlusts über die eigenen Daten wird voraussichtlich auch in zukünftigen Verfahren sehr relevant werden.
