Haftung für Kontrollverlust über personenbezogene Daten

In zwei weitgehend inhaltsgleichen Urteilen vom 13. und 14. März 2025 (Az. 16 U 135/23 und 16 U 94/24) befasst sich das Oberlandesgericht Düsseldorf mit datenschutzrechtlichen Pflichten eines weltweit agierenden Plattformbetreibers im Kontext sogenannter „“-Vorfälle. Die Entscheidungen werfen ein prägnantes Licht auf die Spannungsfelder von individueller Datensouveränität, automatisierter Datenverarbeitung und der Verantwortlichkeit für unscharfe Standardvorgaben in digitalen Infrastrukturen.

Im Zentrum steht die Frage, ob die standardmäßige Freigabe von Telefonnummern – auch bei nicht-öffentlicher Profilsichtbarkeit – eine unzulässige Verarbeitung personenbezogener Daten darstellt, wenn Dritte über Schnittstellen automatisiert auf diese Daten zugreifen konnten. Beide Kläger machten geltend, durch den Verlust der Kontrolle über ihre Daten einen immateriellen Schaden im Sinne von Art. 82 erlitten zu haben. Zudem begehrte einer der Kläger die Unterlassung künftiger Verwendungen seiner Telefonnummer zu Zwecken jenseits der Zwei-Faktor-Authentifizierung. Die Beklagte – ein Betreiber eines globalen sozialen Netzwerks – berief sich auf die vermeintliche vertragliche Erforderlichkeit der Datenverarbeitung. Diese Argumentation überzeugte das Gericht nicht.

Die dogmatische Einordnung der berufsbezogenen Pflichtverletzung

Beide Entscheidungen behandeln die Frage der Verantwortlichkeit im Sinne von Art. 4 Nr. 7 DSGVO und stützen sich zentral auf die unionsrechtlich geprägte Auslegung der Begrifflichkeiten. Die automatisierte Erfassung und Verknüpfung von Telefonnummern mit öffentlich sichtbaren Profilinformationen stellt eine Datenverarbeitung dar. Entscheidend war, dass die Plattformnutzung die Telefonnummer zwar nicht obligatorisch verlangte, aber durch Voreinstellungen faktisch einer allgemeinen Suchbarkeit aussetzte.

Das Gericht stellt klar, dass die Beklagte weder über eine wirksame Einwilligung der Kläger im Sinne von Art. 6 Abs. 1 lit. a DSGVO verfügte noch auf eine vertragliche Erforderlichkeit im Sinne von lit. b abstellen konnte. Der Argumentation der Beklagten, dass die Such- und Importfunktionen wesentlicher Bestandteil des Netzwerks seien, hielt das OLG mit Nachdruck entgegen: Derartige Bequemlichkeitsfunktionen – so das Gericht – seien weder objektiv unerlässlich für die Vertragserfüllung noch durch technische Alternativen ausgeschlossen. Es bestehe kein berechtigtes Interesse, das eine faktische „Standard-Entöffentlichung“ rechtfertigen könne.

Bemerkenswert ist die deutliche Ablehnung des Versuchs, durch strukturelle Intransparenz Verantwortlichkeit zu vermeiden. Das Gericht betont die Verpflichtung zu datenschutzfreundlichen Voreinstellungen nach Art. 25 Abs. 2 DSGVO und sieht in der gewählten Plattformarchitektur eine bewusste Gestaltung, die dem Betroffenen keine echte Entscheidungsfreiheit ließ. Diese architektonisch angelegte Aushöhlung des Grundsatzes der Datenminimierung stellt eine strukturelle Berufspflichtverletzung im Sinne der DSGVO dar – nicht in Form klassischer individueller Zurechnung, sondern als organisationsbedingtes -Versagen.

Kontrollverlust als haftungsbegründende Rechtsfolge

Ein zentrales Element beider Entscheidungen ist die konsequente Anwendung des unionsrechtlichen Verständnisses des „immateriellen Schadens“. In Anlehnung an die Rechtsprechung des EuGH und des BGH genügt für einen Ersatzanspruch nach Art. 82 DSGVO bereits der Verlust der Kontrolle über . Das OLG Düsseldorf grenzt diesen Verlust klar von bloßen Unannehmlichkeiten ab: Entscheidend ist, ob Daten ohne wirksame Begrenzung oder transparente Einwilligung Dritten verfügbar gemacht wurden.

Dass beide Kläger ihre Telefonnummern zwar im Rahmen verschiedener digitaler Dienste – etwa zur Zwei-Faktor-Authentifizierung – genutzt hatten, steht der Annahme eines Kontrollverlusts nicht entgegen. Der Schaden liegt nicht in der Bekanntheit der Nummer an sich, sondern in ihrer spezifischen Verknüpfung mit identifizierenden Profildaten und deren Verfügbarkeit über automatisierte Abfragefunktionen. Die Plattformarchitektur habe den Klägern diese faktische Entblößung weder ausreichend kenntlich gemacht noch technisch eingeschränkt. Damit sah das Gericht in der Summe eine Verletzung des Schutzgedankens der DSGVO, der gerade in der Transparenz und Begrenzung digitaler Datenverwendung seine tragende Funktion hat.

Interessant ist, dass das Gericht keine strafrechtliche Bewertung vornimmt, obwohl der Verstoß systematisch angelegt war. Die rechtliche Bewertung verbleibt auf der zivilrechtlichen Ebene, entfaltet aber dennoch disziplinierende Wirkung, indem die Beklagte nicht nur zu Schadensersatz, sondern in einem der Verfahren auch zur Unterlassung künftiger rechtswidriger Datenverwendung verurteilt wurde.

Ergebnis

In der Quintessenz stehen beide Urteile des OLG Düsseldorf exemplarisch für ein modernes Verständnis von Verantwortung im digitalen Datenverkehr. Berufsbezogene Pflichten in der digitalen Dienstleistungspraxis verlangen mehr als formalistische Einwilligungserklärungen: Sie fordern durchdachte Voreinstellungen, klare Informationspflichten und ein technisches , das den Grundrechten der Nutzer Rechnung trägt.

Der Kontrollverlust über personenbezogene Daten ist nicht bloß eine abstrakte Gefahr, sondern eine konkrete Folge organisatorischer Pflichtversäumnisse – und als solche haftungsbegründend. Das OLG Düsseldorf bringt mit beiden Urteilen ein datenschutzrechtlich geschärftes Haftungsbewusstsein zur Geltung, das vor allem eines deutlich macht: In der digitalen Sphäre darf der Schutz der Persönlichkeit nicht an der Technik scheitern.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.