Datenkontrolle und digitale Verantwortung: OLG Köln erkennt immateriellen Schadenersatz nach Scraping-Vorfall zu

Mit Urteil vom 3. April 2025 (Az. 15 U 40/23) hat das seine Rechtsprechung zum immateriellen Schadenersatz nach Datenschutzverstößen weiter konkretisiert und zugleich ein wichtiges Signal für den Schutz der digitalen Selbstbestimmung gesetzt. Im Zentrum stand der unautorisierte Zugriff auf Nutzerdaten durch sogenanntes „“ bei einer großen Online-Plattform. Der Kläger hatte seine Mobilfunknummer auf der Plattform hinterlegt – und fand sie später gemeinsam mit seinem Pseudonym in einem öffentlich zugänglichen Datensatz im Netz wieder. Die Entscheidung beleuchtet nicht nur die Reichweite von Art. 82 , sondern auch die Voraussetzungen wirksamer Einwilligung und die Verantwortung von Plattformbetreibern für datenschutzfreundliche Voreinstellungen.

Der Fall

Der Kläger hatte geltend gemacht, dass seine personenbezogenen Daten – insbesondere seine Mobilfunknummer – im Jahr 2019 durch Dritte mittels Scraping von der Plattform der Beklagten abgegriffen und im April 2021 veröffentlicht worden seien. Diese Datennutzung erfolgte trotz der Tatsache, dass er seine Nummer lediglich zur Accountsicherung angegeben habe. Die Beklagte, ein soziales Netzwerk mit Millionen Nutzern, verteidigte sich mit dem Hinweis auf die allgemeine Verfügbarkeit der Informationen und das Bestehen datenschutzrechtlicher Einwilligungen. Das Landgericht hatte die zunächst überwiegend abgewiesen – das OLG Köln hingegen sah dies in weiten Teilen anders.

Juristische Analyse

Das Oberlandesgericht stellte zunächst klar, dass die -Grundverordnung zeitlich uneingeschränkt anwendbar sei, da der konkrete Vorfall nach dem Inkrafttreten der DSGVO im Mai 2018 stattgefunden habe. Der Einwand der Beklagten, dass der Datenabgriff womöglich früher stattgefunden habe, scheiterte an prozessualen Vorschriften – insbesondere an § 531 Abs. 2 ZPO.

Inhaltlich bejahte das Gericht einen Verstoß gegen zentrale Grundsätze der DSGVO. Die voreingestellte Sichtbarkeit von Nutzerprofilen anhand der Telefonnummer sei weder mit dem Grundsatz der Datenminimierung noch mit dem der „Privacy by Default“ (Art. ) vereinbar. Eine wirksame Einwilligung des Klägers in diese Form der Datenverarbeitung konnte nicht festgestellt werden – weder aus der bloßen Untätigkeit bei den Privatsphäre-Einstellungen noch aus der Zustimmung zu allgemeinen Nutzungsbedingungen, denen es an hinreichender Transparenz mangelte.

Der Kläger habe infolge des Scraping-Vorfalls einen echten Kontrollverlust über seine personenbezogenen Daten erlitten. Die ungewollte Kombination seiner Mobilfunknummer mit einem weithin bekannten Pseudonym sei geeignet, ihn identifizierbar zu machen und die Kontrolle über diese Daten zu verlieren. Dabei betonte das Gericht ausdrücklich, dass es nicht auf eine konkrete psychische Belastung oder weitere materielle Folgen ankomme – der Kontrollverlust selbst stelle bereits einen immateriellen Schaden im Sinne von Art. 82 DSGVO dar. Dass der Kläger seine Nummer später nicht wechselte, begründe kein Mitverschulden.

Die Entschädigung wurde mit 100 Euro beziffert – ein Betrag, der zwar symbolisch wirkt, aber unter Berücksichtigung der Verhältnismäßigkeit und des nicht besonders sensiblen Charakters der betroffenen Daten (anders als etwa Gesundheitsdaten) sachlich nachvollziehbar erscheint. Das Gericht betonte, dass dieser Betrag auch als hypothetischer Aufwand für eine Wiedererlangung der Kontrolle – etwa durch einen Nummernwechsel – anzusehen sei.

Darüber hinaus erkannte das OLG auch einen Anspruch auf Feststellung der Ersatzpflicht für zukünftige Schäden an. Angesichts der fortdauernden Veröffentlichung der Daten im Netz sei die Gefahr weiterer missbräuchlicher Verwendungen keineswegs ausgeschlossen. Ebenso wurde der Plattformbetreiber verurteilt, die Verarbeitung der Telefonnummer des Klägers auf Zwecke der Accountsicherung und Zwei-Faktor-Authentifizierung zu beschränken. Eine darüber hinausgehende Nutzung – etwa für Werbung oder Freundschaftsvorschläge – sei weder gerechtfertigt noch von einer wirksamen Einwilligung gedeckt.

Bilanz

Mit dieser Entscheidung manifestiert das OLG Köln einen praxisrelevanten und zugleich rechtlich konsequenten Schutzstandard für digitale Identitäten. Die Urteilsbegründung zeigt exemplarisch, wie hoch die Anforderungen an eine informierte Einwilligung im Sinne der DSGVO sind – und wie kritisch voreingestellte Datenverarbeitungsmechanismen in sozialen Netzwerken zu prüfen sind. Die Ausbeute dieser Entscheidung liegt nicht im materiellen Ersatz von 100 Euro, sondern in der Bestärkung des Grundrechts auf informationelle Selbstbestimmung in einer datengetriebenen Gesellschaft.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.