Im Zusammenhang mit dem massiven Facebook-Scraping-Datenleck hat das Oberlandesgericht (OLG) Hamm ein viel beachtetes Urteil gefällt: Eine Nutzerin, die vom Meta-Konzern Schadensersatz in Höhe von 1.000 Euro wegen eines Datenschutzverstoßes verlangte, scheiterte vor Gericht. Obwohl das Gericht Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) durch Meta anerkannte, sah es keinen konkreten immateriellen Schaden und wies die Klage ab. Das Urteil (Az. 7 U 19/23 vom 15.08.2023) hat weitreichende Bedeutung für ähnliche Verfahren im Bereich des Datenschutzrechts und zeigt: Ohne nachvollziehbare Darlegung eines individuellen Schadens besteht kein Anspruch auf Entschädigung.
Was ist beim Facebook-Scraping-Vorfall passiert? – Hintergrund des Datenlecks
Zwischen 2018 und 2019 machten sich sogenannte „Scraper“ Schwachstellen in der Facebook-Suche zunutze. Mithilfe automatisierter Programme sammelten sie über Kontaktimportfunktionen und Telefon-Suchoptionen personenbezogene Daten von etwa 500 Millionen Facebook-Nutzern. Diese Daten umfassten Telefonnummern, Namen, Geschlechter und Benutzer-IDs und wurden schließlich 2021 im Darknet veröffentlicht.
Obwohl betroffene Nutzer bestimmte Informationen wie ihre Telefonnummer nicht öffentlich sichtbar gemacht hatten, waren diese über voreingestellte Suchbarkeitsfunktionen dennoch auffindbar – ein klarer Verstoß gegen die Grundprinzipien der DSGVO, etwa hinsichtlich „Privacy by Design“ und „Privacy by Default“.
OLG Hamm erkennt Datenschutzverstöße durch Meta an
Das OLG Hamm stellte unmissverständlich klar, dass Meta gegen zentrale Grundsätze der DSGVO verstoßen hat – unter anderem gegen die Artikel 5, 6, 7, 25 und 32 DSGVO. Insbesondere wurden die fehlende wirksame Einwilligung in die Suchbarkeit der Telefonnummer, intransparente Voreinstellungen („Opt-Out“ statt „Opt-In“) sowie unzureichende technische und organisatorische Maßnahmen zur Abwehr von Scraping-Vorfällen beanstandet.
Die Richter bezogen sich unter anderem auf die Entscheidung des EuGH vom 04.05.2023 – „Österreichische Post“ (Az. C-300/21) sowie auf die Entscheidung der irischen Datenschutzbehörde DPC vom 28.11.2022 (DPC Ireland).
Demnach ist Meta nachweislich verantwortlich für die Offenlegung personenbezogener Daten, auch wenn der Zugriff technisch gesehen über registrierte Fake-Accounts der Scraper erfolgte.
Warum kein Schadensersatz zugesprochen wurde
Trotz des klaren Verstoßes gegen die Datenschutz-Grundverordnung erhielt die Klägerin keinen Schadensersatz. Entscheidender Punkt: Sie konnte keinen „tatsächlichen und sicheren“ Schaden im Sinne von Art. 82 DSGVO nachweisen.
Die bloße Feststellung eines Datenschutzverstoßes oder ein pauschaler Hinweis auf Kontrollverlust und „diffuse Ängste“ genügten dem Gericht nicht. Auch die allgemeine Sorge, Spam-Nachrichten oder betrügerischen Anrufen ausgesetzt zu sein, wurde nicht als ausreichend konkret bewertet.
Das OLG Hamm folgte damit der Auslegung des Europäischen Gerichtshofs, wonach der Nachweis eines immateriellen Schadens nicht an eine „Erheblichkeitsschwelle“ gebunden sein muss, aber dennoch konkrete Anhaltspunkte verlangt. Das Urteil macht deutlich: Wer Schadensersatz nach Art. 82 DSGVO verlangt, muss darlegen, wie der Datenverstoß konkret in sein Leben eingegriffen und ihn beeinträchtigt hat.
Datenschutzrechtliche Konsequenzen und rechtspolitische Diskussion
Das OLG Hamm-Urteil hat sowohl rechtliche als auch politische Dimensionen. Es zeigt, wie hoch die Anforderungen an Kläger sind, die sich gegen Datenmissbrauch wehren wollen. Trotz klarer Datenschutzverletzungen erhalten sie ohne präzise Schadensdarstellung keinen finanziellen Ausgleich. Das Urteil könnte damit auch dämpfend auf Sammelklagen gegen große Tech-Konzerne wie Meta wirken.
Gleichzeitig stellt das Gericht fest: Meta hätte zahlreiche Möglichkeiten gehabt, das Datenleck zu verhindern oder zumindest zu entschärfen. Die spätere Umstellung auf die „People You May Know“-Funktion reichte laut Gericht nicht aus, um von der datenschutzrechtlichen Verantwortung freizusprechen.
Der Fall illustriert eindrucksvoll, wie groß die Spannungen zwischen wirtschaftlichem Interesse (z. B. Nutzervernetzung) und Datenschutzpflichten in sozialen Netzwerken sind.
Was bedeutet das für potentielle Kläger und Unternehmen?
- Ein Datenschutzverstoß allein reicht nicht mehr aus.
- Die Kläger müssen gezielt dokumentieren, welche immateriellen Auswirkungen der Vorfall hatte.
- Unternehmen müssen technische Vorkehrungen (z. B. „Privacy by Design“) aktiv umsetzen.
Fazit: Kein Schadensersatz – aber ein Urteil mit Signalwirkung
Das Urteil des OLG Hamm ist ein Meilenstein im deutschen Datenschutzrecht. Es unterstreicht: Ein DSGVO-Verstoß allein reicht nicht aus – es braucht konkrete, individuelle Folgen für einen Entschädigungsanspruch. Die Anforderungen an die Darlegung eines immateriellen Schadens sind hoch. Gleichzeitig macht das Urteil klar, dass Unternehmen wie Meta sehr wohl für Verstöße verantwortlich gemacht werden können – auch wenn dies nicht automatisch zu einer finanziellen Entschädigung führt.
Für betroffene Facebook-Nutzer bedeutet das:
- Der Erfolg einer Klage hängt künftig maßgeblich davon ab, wie differenziert die Auswirkungen des Datenverlusts belegt werden.
- Für Meta und andere Online-Dienste bedeutet es: Die DSGVO gilt – und zwar umfassend, auch wenn sie nicht automatisch zu Zahlungsverpflichtungen führt.
❓ FAQ zu OLG Hamm: Kein Schadensersatz bei DSGVO-Verstoß im Facebook-Datenleck
Das OLG Hamm wies die Klage ab, obwohl es Datenschutzverstöße seitens Facebook bejahte. Die Klägerin konnte keinen konkreten immateriellen Schaden glaubhaft machen. Kontrollverlust allein genügt nicht für Schadensersatz nach Art. 82 DSGVO.
Scraping bezeichnet das automatisierte Sammeln öffentlich zugänglicher Informationen, etwa über Kontaktimportfunktionen oder Suchfunktionen von sozialen Netzwerken.
Ein Anspruch auf Schadensersatz nach Art. 82 DSGVO erfordert:
- Eine rechtswidrige Verarbeitung personenbezogener Daten,
- einen konkreten (immateriellen oder materiellen) Schaden,
- und einen Kausalzusammenhang zwischen beiden.
Der Kläger konnte keinen konkreten Schaden (z. B. psychische Belastung, Verhaltensänderung, Missbrauchsversuche) ausreichend darlegen oder beweisen.
Laut EuGH muss ein immaterieller Schaden „tatsächlich und sicher“ bestehen. Ein bloßer Kontrollverlust oder allgemeine Sorge reicht nicht aus. Eine Schadensvermutung besteht nicht.
„Privacy by default“ verlangt, dass datenschutzfreundliche Einstellungen voreingestellt sein müssen. Facebook hatte standardmäßig die Suchbarkeit über Telefonnummern auf „alle“ gesetzt – das widerspricht Art. 25 Abs. 2 DSGVO.
Ein reiner Kontrollverlust stellt laut EuGH keinen ersatzfähigen immateriellen Schaden dar. Es muss ein individueller, spürbarer Nachteil vorliegen, z. B. konkrete Ängste, Rufschädigung, psychische Belastung o. Ä., die ausreichend dargelegt und ggf. bewiesen werden.
Beispiele für geeignete Darlegungen:
- Häufung von Spam-Nachrichten oder betrügerischen Anrufen.
- Verhaltensänderungen (z. B. Wechsel der Telefonnummer, Löschung des Profils).
- Arztbesuche oder psychologische Betreuung infolge des Vorfalls.
- Dokumentierte Fälle von Identitätsmissbrauch.
Das OLG hielt den Vortrag im konkreten Fall für generisch, formelhaft und austauschbar.
Grundsätzlich ja – aber es kann dennoch individuell unterschiedlich ausfallen. Jede betroffene Person muss einen konkreten Schaden im eigenen Fall darlegen. Das Urteil begründet keinen kollektiven oder automatischen Anspruch auf Schadensersatz.