Im Zusammenhang mit dem massiven Facebook-Scraping-Datenleck hat das Oberlandesgericht (OLG) Hamm ein viel beachtetes Urteil im Datenschutzrecht gefällt: Eine Nutzerin, die von Facebook Schadensersatz in Höhe von 1.000 Euro wegen eines DSGVO-Verstoßes verlangte, scheiterte vor Gericht. Obwohl das OLG Hamm Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) durch Meta anerkannte, sah es keinen konkreten immateriellen Schaden und wies die Klage ab. Das Urteil des OLG Hamm (Az. 7 U 19/23 vom 15.08.2023) hat weitreichende Bedeutung für ähnliche Verfahren im Bereich des Datenschutzrechts und zeigt: Ohne nachvollziehbare Darlegung eines individuellen Schadens besteht kein Anspruch auf DSGVO-Schadensersatz trotz Datenschutzverstoß.
Was ist beim Facebook-Datenleck-Vorfall passiert? – Hintergrund OLG-Hamm-Urteils
Zwischen 2018 und 2019 machten sich sogenannte „Scraper“ Schwachstellen in der Facebook-Suche zunutze. Mithilfe automatisierter Programme sammelten sie über Kontaktimportfunktionen und Telefon-Suchoptionen personenbezogene Daten von etwa 500 Millionen Facebook-Nutzern. Diese Daten umfassten Telefonnummern, Namen, Geschlechter und Benutzer-IDs und wurden schließlich 2021 im Darknet veröffentlicht – ein klassischer Datenschutzverstoß im Sinne der DSGVO.
Obwohl betroffene Nutzer bestimmte Informationen wie ihre Telefonnummer nicht öffentlich sichtbar gemacht hatten, waren diese über voreingestellte Suchbarkeitsfunktionen dennoch auffindbar – ein klarer Verstoß gegen die Grundprinzipien der DSGVO, etwa hinsichtlich „Privacy by Design“ und „Privacy by Default“, welche in Art. 25 DSGVO verankert sind.
OLG Hamm erkennt DSGVO-Verstoß durch Facebook an
Das OLG Hamm stellte unmissverständlich klar, dass Facebook bzw. der Meta-Konzern gegen zentrale Grundsätze der DSGVO verstoßen hat – unter anderem gegen die Artikel 5, 6, 7, 25 und 32 DSGVO. Insbesondere wurden die fehlende wirksame Einwilligung in die Suchbarkeit der Telefonnummer, intransparente Voreinstellungen („Opt-Out“ statt „Opt-In“) sowie unzureichende technische und organisatorische Maßnahmen zur Abwehr von Scraping-Vorfällen bei Facebook beanstandet.
Die Richter des OLG Hamm bezogen sich unter anderem auf die Entscheidung des EuGH vom 04.05.2023 – „Österreichische Post“ (Az. C-300/21) sowie auf die Entscheidung der irischen Datenschutzbehörde DPC vom 28.11.2022 (DPC Ireland).
Demnach ist Facebook nachweislich verantwortlich für die Offenlegung personenbezogener Daten und hat damit einen DSGVO-Verstoß begangen, auch wenn der Zugriff technisch gesehen über registrierte Fake-Accounts der Scraper erfolgte.
Warum kein DSGVO-Schadensersatz beim Urteil des OLG Hamm zugesprochen wurde
Trotz des klaren DSGVO-Verstoßes erhielt die Klägerin keinen immateriellen Schadensersatz aufgrund des Facebook-Datenlecks. Entscheidender Punkt: Sie konnte keinen „tatsächlichen und sicheren“ Schaden im Sinne von Art. 82 DSGVO nachweisen.
Die bloße Feststellung eines Datenschutzverstoßes oder ein pauschaler Hinweis auf Kontrollverlust und „diffuse Ängste“ aufgrund des Facebook-Datenlecks genügten dem OLG Hamm nicht. Auch die allgemeine Sorge, Spam-Nachrichten oder betrügerischen Anrufen ausgesetzt zu sein, wurde nicht als ausreichend konkret bewertet.
Das OLG Hamm folgte damit der Auslegung des Europäischen Gerichtshofs, wonach der Nachweis eines immateriellen Schadens im Sinne der DSGVO nicht an eine „Erheblichkeitsschwelle“ gebunden sein muss, aber dennoch konkrete Anhaltspunkte verlangt. Das Urteil des OLG Hamm macht deutlich: Wer Schadensersatz nach Art. 82 DSGVO verlangt, muss darlegen, wie der Datenverstoß konkret in sein Leben eingegriffen und ihn beeinträchtigt hat.
Konsequenzen des Facebook-Datenlecks und rechtspolitische Diskussion
Das OLG Hamm-Urteil hat sowohl rechtliche als auch politische Dimensionen. Es zeigt, wie hoch die Anforderungen an Kläger sind, die sich gegen Datenmissbrauch wehren wollen und DSGVO-Schadensersatz fordern. Trotz klarer Datenschutzverletzungen – wie beispielsweise durch ein Datenleck – erhalten sie ohne präzise Schadensdarstellung keinen finanziellen Ausgleich. Das Urteil des OLG Hamm könnte damit auch dämpfend auf Sammelklagen gegen große Tech-Konzerne wie Meta wirken.
Gleichzeitig stellt das Gericht fest: Facebook hätte zahlreiche Möglichkeiten gehabt, das Datenleck zu verhindern oder zumindest zu entschärfen. Die spätere Umstellung auf die „People You May Know“-Funktion reichte laut dem OLG Hamm nicht aus, um sich von der Verantwortung im Sinne der DSGVO freizusprechen.
Der Fall illustriert eindrucksvoll, wie groß die Spannungen zwischen wirtschaftlichem Interesse (z. B. Nutzervernetzung) und Datenschutzpflichten gemäß der DSGVO in sozialen Netzwerken sind.
Bedeutung des OLG-Hamm-Urteils für Betroffene und Unternehmen
- Ein Datenschutzverstoß im Sinne der DSGVO allein reicht nicht mehr aus.
- Die Kläger müssen gezielt dokumentieren, welche Auswirkungen der Vorfall hatte, sodass ein immaterieller Schadensersatzanspruch im Sinne von Art. 82 DSGVO geltend gemacht werden kann.
- Unternehmen müssen technische Vorkehrungen (z. B. „Privacy by Design“) aktiv gemäß der DSGVO umsetzen um Datenlecks zu vermeiden.
Fazit: Kein DSGVO-Schadensersatz durch Facebook-Datenleck
Das Urteil des OLG Hamm ist ein Meilenstein im deutschen Datenschutzrecht. Es unterstreicht: Ein DSGVO-Verstoß allein reicht nicht aus – es braucht konkrete, individuelle Folgen für einen immateriellen Schadensersatzanspruch im Sinne der DSGVO. Die Anforderungen an die Darlegung eines immateriellen Schadens im Sinne der DSGVO sind hoch. Gleichzeitig macht das Urteil des OLG Hamm klar, dass Unternehmen wie Facebook sehr wohl für Verstöße der DSGVO verantwortlich gemacht werden können – auch wenn dies nicht automatisch zu einem immateriellen Schadensersatzanspruch führt.
Für betroffene Facebook-Nutzer und Opfer von Datenlecks bedeutet das:
- Der Erfolg einer Klage und die Gewährung eines immateriellen Schadensersatzanspruchs im Sinne der DSGVO hängt künftig maßgeblich davon ab, wie differenziert die Auswirkungen des Datenverlusts belegt werden.
- Für Facebook und andere Online-Dienste bedeutet es: Die DSGVO gilt – und zwar umfassend, auch wenn sie nicht automatisch zu Zahlungsverpflichtungen führt.
Unsere erfahrenen Anwälte für IT- und Datenschutzrecht beraten Sie zu DSGVO-Schadensersatz, Datenschutzverletzungen und Urteilen wie dem des OLG Hamm. Jetzt rechtliche Beratung im Datenschutzrecht sichern.
❓ FAQ zum OLG-Hamm-Urteil: Kein Schadensersatz bei DSGVO-Verstoß durch Facebook-Datenleck
Das OLG Hamm wies die Klage ab, obwohl es Datenschutzverstöße gemäß der DSGVO seitens Facebook bejahte. Die Klägerin konnte keinen konkreten immateriellen Schaden durch das Facebook-Datenleck glaubhaft machen. Kontrollverlust allein genügt nicht für Schadensersatz nach Art. 82 DSGVO.
Scraping bezeichnet das automatisierte Sammeln öffentlich zugänglicher Informationen, etwa über Kontaktimportfunktionen oder Suchfunktionen von sozialen Netzwerken. Durch diese Technik kam das Facebook-Datenleck zu Stande.
Ein Anspruch auf Schadensersatz nach Art. 82 DSGVO erfordert:
- Eine rechtswidrige Verarbeitung personenbezogener Daten,
- einen konkreten (immateriellen oder materiellen) Schaden,
- und einen Kausalzusammenhang zwischen beiden.
Der Kläger konnte keinen konkreten Schaden (z. B. psychische Belastung, Verhaltensänderung, Missbrauchsversuche) im Sinne der DSGVO durch das Facebook-Datenleck ausreichend darlegen oder beweisen.
Laut EuGH muss ein immaterieller Schaden im Sinne der DSGVO „tatsächlich und sicher“ bestehen. Ein bloßer Kontrollverlust oder allgemeine Sorge reicht nicht aus. Eine Schadensvermutung besteht nicht.
„Privacy by default“ verlangt, dass datenschutzfreundliche Einstellungen voreingestellt sein müssen. Facebook hatte standardmäßig die Suchbarkeit über Telefonnummern auf „alle“ gesetzt – das widerspricht Art. 25 Abs. 2 DSGVO.
Ein reiner Kontrollverlust stellt keinen ersatzfähigen immateriellen Schaden im Sinne der DSGVO dar. Es muss ein individueller, spürbarer Nachteil vorliegen, z. B. konkrete Ängste, Rufschädigung, psychische Belastung o. Ä., die ausreichend dargelegt und ggf. bewiesen werden. Dies konnte im Fall zum Facebook-Datenleck nicht nachgewiesen werden.
Beispiele für geeignete Darlegungen:
- Häufung von Spam-Nachrichten oder betrügerischen Anrufen.
- Verhaltensänderungen (z. B. Wechsel der Telefonnummer, Löschung des Profils).
- Arztbesuche oder psychologische Betreuung infolge des Vorfalls.
- Dokumentierte Fälle von Identitätsmissbrauch.
Das OLG Hamm hielt den Vortrag im konkreten Fall für generisch, formelhaft und austauschbar, sodass ein DSGVO-Schadensersatz aufgrund des Facebook-Datenlecks verneint wurde.
Grundsätzlich ja – aber es kann dennoch individuell unterschiedlich ausfallen. Jede betroffene Person muss einen konkreten Schaden im eigenen Fall darlegen. Das Urteil des OLG Hamm begründet keinen kollektiven oder automatischen Anspruch auf DSGVO-Schadensersatz aufgrund des Facebook-Datenlecks.
Weiterführende Themen
DSGVO-Schadensersatz: LAG Düsseldorf stärkt Betroffenenrechte
Das LAG Düsseldorf stärkt Betroffenenrechte im Datenschutz: Erfahren Sie, unter welchen Voraussetzungen immaterieller DSGVO-Schadensersatz bei Verstößen gegen die Auskunftspflicht zugesprochen wird – und welche Folgen das Urteil für Unternehmen und Bewerber hat.
Urteil des LG Mannheim: 500 € DSGVO-Schadensersatz für Cold Call
Ein wegweisendes Urteil des LG Mannheim setzt ein klares Zeichen gegen unerlaubte Telefonwerbung. Wer ohne Einwilligung kontaktiert wird, kann Anspruch auf DSGVO-Schadensersatz geltend machen – in diesem Fall wurden 500 Euro zugesprochen. Ein wichtiges Signal für Verbraucher und Unternehmen, die auf Leadgenerierung und Telefonmarketing setzen.
Art. 82 DSGVO: EuGH konkretisiert Anspruch auf immateriellen Schadensersatz
Schadensersatz bei Datenschutzverstößen bleibt möglich – aber nur unter klaren Voraussetzungen. Der EuGH konkretisiert die Anforderungen an Art. 82 DSGVO.