Im Zusammenhang mit dem massiven Facebook-Scraping-Datenleck hat das Oberlandesgericht (OLG) Hamm mit seinem Urteil OLG Hamm Facebook-Datenleck Art. 82 DSGVO ein viel beachtetes Zeichen im Datenschutzrecht zur Frage des DSGVO-Schadensersatzes gesetzt: Eine Nutzerin, die von Facebook Schadensersatz in Höhe von 1.000 Euro wegen eines DSGVO-Verstoßes verlangte, scheiterte vor Gericht. Obwohl das OLG Hamm Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) durch Meta anerkannte, sah es keinen konkreten, individuellen immateriellen Schaden im Sinne von Art. 82 DSGVO und wies die Klage ab. Das Urteil des OLG Hamm (Az. 7 U 19/23 vom 15.08.2023) hat weitreichende Bedeutung für ähnliche Verfahren im Bereich des Datenschutzrechts und zeigt: Ohne nachvollziehbare Darlegung eines individuellen Schadens besteht kein Anspruch auf DSGVO-Schadensersatz trotz Datenschutzverstoß. Es ist besonders relevant für Betroffene von Datenlecks und Verfahren rund um Facebook-Datenleck, Scraping und DSGVO-Schäden.
Facebook-Datenleck und DSGVO-Verstoß – Hintergrund
Zwischen 2018 und 2019 machten sich sogenannte „Scraper“ Schwachstellen in der Facebook-Suche zunutze. Mithilfe automatisierter Programme sammelten sie über Kontaktimportfunktionen und Telefon-Suchoptionen personenbezogene Daten von etwa 500 Millionen Facebook-Nutzern. Diese Daten umfassten Telefonnummern, Namen, Geschlechter und Benutzer-IDs und wurden schließlich 2021 im Darknet veröffentlicht – ein klassischer Datenschutzverstoß im Sinne der DSGVO.
Obwohl betroffene Nutzer bestimmte Informationen wie ihre Telefonnummer nicht öffentlich sichtbar gemacht hatten, waren diese über voreingestellte Suchbarkeitsfunktionen dennoch auffindbar – ein klarer Verstoß gegen die Grundprinzipien der DSGVO, etwa hinsichtlich „Privacy by Design“ und „Privacy by Default“, welche in Art. 25 DSGVO verankert sind.
OLG Hamm Facebook-Datenleck Art. 82 DSGVO: DSGVO-Verstoß wird anerkannt
Das OLG Hamm stellte unmissverständlich klar, dass Facebook bzw. der Meta-Konzern gegen zentrale Grundsätze der DSGVO verstoßen hat – unter anderem gegen die Artikel 5, 6, 7, 25 und 32 DSGVO. Damit bestätigt das Gericht eindeutig einen DSGVO-Verstoß durch Facebook im Zusammenhang mit dem Facebook-Scraping-Datenleck. Insbesondere wurden die fehlende wirksame Einwilligung in die Suchbarkeit der Telefonnummer, intransparente Voreinstellungen („Opt-Out“ statt „Opt-In“) sowie unzureichende technische und organisatorische Maßnahmen zur Abwehr von Scraping-Vorfällen bei Facebook beanstandet.
Die Richter des OLG Hamm bezogen sich unter anderem auf die Entscheidung des EuGH vom 04.05.2023 – „Österreichische Post“ (Az. C-300/21) sowie auf die Entscheidung der irischen Datenschutzbehörde DPC vom 28.11.2022 (DPC Ireland).
Demnach ist Facebook nachweislich verantwortlich für die Offenlegung personenbezogener Daten durch das Facebook-Datenleck und hat damit einen DSGVO-Verstoß begangen, auch wenn der Zugriff technisch gesehen über registrierte Fake-Accounts der Scraper erfolgte.
Warum das OLG Hamm keinen Schadensersatz zusprach
Trotz des klaren DSGVO-Verstoßes erhielt die Klägerin keinen immateriellen Schadensersatz aufgrund des Facebook-Datenlecks. Entscheidender Punkt: Es fehlte ein konkreter und individueller immaterieller Schaden im Sinne von Art. 82 DSGVO.
Die bloße Feststellung eines Datenschutzverstoßes oder ein pauschaler Hinweis auf Kontrollverlust und „diffuse Ängste“ aufgrund des Facebook-Datenlecks genügten dem OLG Hamm nicht. Auch die allgemeine Sorge, Spam-Nachrichten oder betrügerischen Anrufen ausgesetzt zu sein, wurde nicht als ausreichend konkret bewertet.
Das OLG Hamm folgte damit der Auslegung des Europäischen Gerichtshofs, wonach der Nachweis eines immateriellen Schadens im Sinne der DSGVO nicht an eine „Erheblichkeitsschwelle“ gebunden sein muss, aber dennoch konkrete Anhaltspunkte verlangt. Das Urteil des OLG Hamm macht deutlich: Wer Schadensersatz nach Art. 82 DSGVO verlangt, muss darlegen, wie der Datenverstoß konkret in sein Leben eingegriffen und ihn beeinträchtigt hat. Kontrollverlust über Daten genügt nicht, wenn kein konkreter DSGVO-Schaden belegt wird.
Art. 82 DSGVO und der immaterielle Schaden
Das OLG Hamm-Urteil hat sowohl rechtliche als auch politische Dimensionen, insbesondere hinsichtlich der Bedeutung für weitere Verfahren rund um den DSGVO-Schadensersatz bei Datenlecks und Klagen gegen Meta/Facebook. Es zeigt, wie hoch die Anforderungen an Kläger sind, die sich gegen Datenmissbrauch wehren, einen immateriellen Schaden darlegen wollen und DSGVO-Schadensersatz fordern. Trotz klarer Datenschutzverletzungen – wie beispielsweise durch ein Datenleck – erhalten sie ohne präzise Schadensdarstellung keinen finanziellen Ausgleich. Das Urteil des OLG Hamm könnte damit auch dämpfend auf Sammelklagen gegen große Tech-Konzerne wie Meta wirken.
Gleichzeitig stellt das Gericht fest: Facebook hätte zahlreiche Möglichkeiten gehabt, das Datenleck zu verhindern oder zumindest zu entschärfen. Die spätere Umstellung auf die „People You May Know“-Funktion reichte laut dem OLG Hamm nicht aus, um sich von der Verantwortung im Sinne der DSGVO freizusprechen.
Der Fall illustriert eindrucksvoll, wie groß die Spannungen zwischen wirtschaftlichem Interesse (z. B. Nutzervernetzung) und Datenschutzpflichten gemäß der DSGVO in sozialen Netzwerken sind.
Bedeutung des Urteils für Betroffene und Unternehmen
- Ein Datenschutzverstoß im Sinne der DSGVO allein reicht nicht mehr aus.
- Die Kläger müssen gezielt dokumentieren, welche Auswirkungen der Vorfall hatte, sodass ein immaterieller Schadensersatzanspruch im Sinne von Art. 82 DSGVO geltend gemacht werden kann.
- Unternehmen müssen technische Vorkehrungen (z. B. „Privacy by Design“) aktiv gemäß der DSGVO umsetzen um Datenlecks zu vermeiden.
Fazit: Kein Schadensersatz nach Art. 82 DSGVO durch Facebook-Datenleck
Das Urteil des OLG Hamm ist ein Meilenstein im deutschen Datenschutzrecht. Es unterstreicht: Ein DSGVO-Verstoß allein reicht nicht aus – entscheidend ist der nachweisbare immaterielle Schaden nach Art. 82 DSGVO. Die Anforderungen an die Darlegung eines immateriellen Schadens im Sinne der DSGVO sind hoch. Gleichzeitig macht das Urteil des OLG Hamm klar, dass Unternehmen wie Facebook sehr wohl für Verstöße der DSGVO verantwortlich gemacht werden können – auch wenn dies nicht automatisch zu einem immateriellen Schadensersatzanspruch führt.
Folgen für weitere Facebook- und Scraping-Klagen
- Der Erfolg einer Klage und die Gewährung eines immateriellen Schadensersatzanspruchs im Sinne der DSGVO hängt künftig maßgeblich davon ab, wie differenziert die Auswirkungen des Datenverlusts belegt werden und ob der eigene Schaden konkret dokumentiert werden kann.
- Für Facebook und andere Online-Dienste bedeutet es: Die DSGVO gilt – und zwar umfassend, auch wenn sie nicht automatisch zu Zahlungsverpflichtungen führt.
Fragen zu Schadensersatz nach Art. 82 DSGVO, Datenlecks oder zum OLG-Hamm-Urteil?
Wenn Sie Fragen zu DSGVO-Verstößen, zum Facebook-Datenleck, zu Scraping-Vorfällen oder zu den Voraussetzungen eines immateriellen Schadens nach Art. 82 DSGVO haben, unterstützen wir Sie gerne. Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht beraten Sie umfassend – von der Prüfung möglicher Schadensersatzansprüche über die Bewertung individueller Beeinträchtigungen bis hin zur rechtssicheren Dokumentation eines DSGVO-Schadens.
Vereinbaren Sie gerne einen Beratungstermin – wir unterstützen Sie kompetent bei allen Fragen rund um Datenschutzverletzungen, Datenlecks und DSGVO-Schadensersatz.
❓ FAQ zum OLG-Hamm-Urteil: Kein Schadensersatz bei DSGVO-Verstoß durch das Facebook-Datenleck
Das OLG Hamm erkannte zwar einen DSGVO-Verstoß durch Facebook an, verneinte jedoch einen Anspruch nach Art. 82 DSGVO. Die Klägerin konnte keinen konkreten immateriellen Schaden nachweisen. Ein bloßer Kontrollverlust oder allgemeine Ängste reichen für einen DSGVO-Schadensersatz nicht aus.
Scraping bezeichnet das automatisierte Auslesen öffentlich zugänglicher Daten durch Bots oder Programme. Beim Facebook-Datenleck wurden über Funktionen wie Suche und Kontaktimport große Mengen an Nutzerdaten systematisch abgegriffen. Betroffen waren teils auch Profile, deren Inhaber von einer Weitergabe nicht ausgingen, weil sie ihre Einstellungen als „privat“ verstanden.
Ein Anspruch nach Art. 82 DSGVO setzt eine rechtswidrige Datenverarbeitung, einen konkreten Schaden und die Kausalität voraus. Im Verfahren OLG Hamm Facebook-Datenleck Art. 82 DSGVO erkannte das Gericht zwar DSGVO-Verstöße, sah aber keinen individuell nachgewiesenen immateriellen Schaden. Allgemeine Sorgen ohne konkrete Folgen wie Missbrauch oder Belastungen genügten nicht.
Der EuGH verlangt, dass ein immaterieller Schaden tatsächlich eingetreten und nachvollziehbar dargelegt ist; bloße Befürchtungen oder abstrakter Kontrollverlust reichen nicht automatisch. Eine „Schadensvermutung“ gibt es nicht. Zugleich betont der EuGH, dass keine Erheblichkeitsschwelle erforderlich ist – entscheidend ist ein substantiierter Vortrag zu konkreten Auswirkungen.
„Privacy by Default“ bedeutet, dass standardmäßig die datenschutzfreundlichsten Einstellungen aktiviert sein müssen (Art. 25 Abs. 2 DSGVO). Nutzer sollen ohne eigene Anpassungen möglichst wenig Daten preisgeben. Im Kontext des Facebook-Scrapings wird kritisiert, dass bestimmte Auffindbarkeits- und Kontaktfunktionen voreingestellt waren, wodurch Profil- und Kontaktdaten leichter ausgelesen werden konnten.
Nach OLG Hamm genügt ein bloßer Kontrollverlust über personenbezogene Daten nicht als ersatzfähiger immaterieller Schaden. Erforderlich sind konkrete, individuelle Nachteile, etwa belastbare Angstreaktionen mit Auswirkungen, Rufschädigung, psychische Beeinträchtigungen oder dokumentierte Missbrauchsfälle. Solche konkreten Folgen konnte die Klägerin im entschiedenen Fall nicht plausibel und nachprüfbar darstellen.
Erfolgversprechend wäre ein konkreter Vortrag zu messbaren Folgen gewesen, z. B. deutlich mehr Spam- oder Betrugsanrufe, nachweisbare Phishing-/Betrugsversuche, Identitätsmissbrauch, dokumentierte Verhaltensänderungen (Nummernwechsel, Profilanpassungen) oder ärztliche/psychologische Behandlung. Das OLG Hamm bewertete den Vortrag als zu pauschal und nicht ausreichend individualisiert.
Grundsätzlich hat das Urteil Signalwirkung für ähnliche Verfahren zum Facebook-Datenleck. Es bedeutet aber nicht, dass Ansprüche generell ausgeschlossen sind. Entscheidend bleibt der Einzelfall: Betroffene müssen einen eigenen immateriellen Schaden konkret darlegen und den Zusammenhang mit dem Datenabfluss plausibel machen. Ohne individualisierte Tatsachen wird Art. 82 DSGVO regelmäßig scheitern.
Nur eingeschränkt, da jeder Kläger seinen individuellen Schaden konkret nachweisen muss.
Nein. Nach OLG Hamm genügt ein Datenschutzverstoß allein nicht. Betroffene müssen individuelle Beeinträchtigungen darlegen.
Weiterführende Themen
DSGVO Google-Recherche Bewerber im Recruiting-Prozess
Dürfen Arbeitgeber Bewerber googeln? Der Beitrag zeigt, wann eine DSGVO-konforme Google-Recherche im Recruiting-Prozess zulässig ist, welche Informationspflichten bestehen und wann Schadensersatz droht. Mit aktueller Rechtsprechung von LAG und BAG.
OLG Hamm Facebook-Datenleck und Art. 82 DSGVO
Das OLG Hamm verneint einen DSGVO-Schadensersatz beim Facebook-Datenleck. Trotz Datenschutzverstoß fehlt ohne konkreten immateriellen Schaden ein Anspruch nach Art. 82 DSGVO. Das Urteil ist richtungsweisend für Scraping-Fälle und Klagen gegen Meta.
Art. 82 DSGVO: EuGH konkretisiert Anspruch auf immateriellen Schadensersatz
Schadensersatz bei Datenschutzverstößen bleibt möglich – aber nur unter klaren Voraussetzungen. Der EuGH konkretisiert die Anforderungen an Art. 82 DSGVO.