Kein Schadensersatz wegen Scraping bei vorheriger Veröffentlichung der Telefonnummer

Datenschutzrechtliche Streitigkeiten um Scraping-Vorfälle beschäftigen zunehmend die Zivilgerichte. Mit Urteil vom 14. März 2025 (Az. 16 U 184/23) hat das Oberlandesgericht Düsseldorf einen Anspruch auf Schadensersatz nach Art. 82 DSGVO abgelehnt, obwohl der betroffene Kläger Opfer eines Datenlecks durch Scraping wurde. Maßgeblich war nach Auffassung des Gerichts, dass die betreffende Mobilfunknummer bereits zuvor im Internet veröffentlicht worden war – ein Umstand, der einen Kontrollverlust im datenschutzrechtlichen Sinne ausschließt. Die Entscheidung überzeugt durch eine differenzierte Anwendung datenschutz- und zivilrechtlicher Maßstäbe, gibt aber auch Anlass zur kritischen Diskussion.

Inhalte Anzeigen

Ausgangslage und Hintergrund

Der Kläger, Nutzer eines bekannten sozialen Netzwerks, hatte freiwillig seine Mobilfunknummer in seinem Profil hinterlegt, allerdings ohne sie öffentlich sichtbar zu machen. Gleichwohl erlaubte eine standardmäßig voreingestellte Suchfunktion die Auffindbarkeit über diese Nummer. Überdies ermöglichte die Plattform mittels eines Kontakt-Import-Tools das Hochladen von Telefonnummern Dritter, wodurch unter bestimmten Konstellationen Profile auch nicht öffentlich sichtbarer Nutzer identifizierbar wurden.

Diese technischen Gegebenheiten führten im Jahr 2018 zu einem umfassenden Scraping-Vorfall, bei dem millionenfach Nutzerdaten automatisiert abgegriffen wurden. Der Kläger machte geltend, dass auch seine personenbezogenen Daten, darunter seine Telefonnummer, von dem Vorfall betroffen und später im Internet veröffentlicht worden seien. Er verlangte unter anderem immateriellen Schadensersatz sowie die Unterlassung bestimmter Datenverarbeitungen.

Rechtliche Bewertung durch das OLG Düsseldorf

Internationale Zuständigkeit und Anwendbarkeit der DSGVO

Das Gericht stellte eingangs klar, dass die internationale Zuständigkeit deutscher Gerichte gemäß Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 Satz 1 DSGVO gegeben ist. Auch sachlich, zeitlich und räumlich sei die DSGVO anwendbar. Die Plattform wurde von einer irischen Gesellschaft betrieben, die in der EU niedergelassen ist; zudem hatte sich der Scraping-Vorfall im Jahr 2019 – also nach Geltungsbeginn der DSGVO – ereignet.

Kein Ersatz immateriellen Schadens nach Art. 82 DSGVO

Zwar erkannte der Senat an, dass die von der Plattform ermöglichte Suchbarkeit über die Telefonnummer eine rechtswidrige Datenverarbeitung im Sinne von Art. 6 DSGVO darstellte. Eine wirksame Einwilligung des Klägers lag nicht vor; die Beklagte hatte ihn über die weitreichenden Implikationen der Suchfunktion und des Kontakt-Imports nicht hinreichend informiert.

Gleichwohl verneinte das Gericht das Vorliegen eines ersatzfähigen immateriellen Schadens. Maßgeblich war dabei die Annahme, dass der Kläger die Kontrolle über seine Telefonnummer bereits vor dem Scraping verloren hatte, da er sie zuvor auf zwei öffentlich zugänglichen Internetseiten selbst veröffentlicht hatte. Nach dem unionsrechtlichen Schadensbegriff, wie ihn der EuGH entwickelt hat, setzt ein Anspruch auf immateriellen Schadensersatz einen eigenständigen Kontrollverlust voraus. Dies sei hier nicht gegeben – das Scraping habe also keinen neuen, schadensbegründenden Kontrollverlust ausgelöst.

Kein Feststellungsinteresse für künftige materielle Schäden

Auch das Begehren des Klägers auf Feststellung einer Ersatzpflicht für künftige materielle Schäden blieb ohne Erfolg. Das Gericht sah mangels zurechenbaren Kontrollverlusts keine hinreichende Wahrscheinlichkeit dafür, dass etwaige spätere Schäden kausal auf den Scraping-Vorfall zurückzuführen sein würden.

Auskunftsanspruch als erfüllt angesehen

Hinsichtlich des geltend gemachten Auskunftsanspruchs nach Art. 15 DSGVO stellte das Gericht fest, dass die Beklagte mit ihrem Schreiben vom 18. Juli 2022 eine hinreichende Auskunft erteilt habe. Ein bloß abstrakter Zweifel an der Vollständigkeit genüge nicht, um einen weitergehenden Anspruch zu begründen.

Teilweise erfolgreicher Unterlassungsanspruch

Erfolg hatte der Kläger hingegen mit einem Unterlassungsantrag, soweit sich dieser gegen eine Datenverarbeitung seiner Telefonnummer über den Zweck der Zwei-Faktor-Authentifizierung hinaus richtete. Das Gericht betonte, dass die Beklagte keine tragfähige Rechtsgrundlage für eine weitergehende Nutzung vorgetragen habe. Es sah daher eine Verletzung vertraglicher Rücksichtnahmepflichten nach § 241 Abs. 2 BGB und bejahte die Wiederholungsgefahr, da nicht auszuschließen sei, dass weiterhin Datenverarbeitungen erfolgten, deren rechtliche Zulässigkeit unklar sei.

Nicht durchgedrungen ist der Kläger hingegen mit einem weiter gefassten Unterlassungsbegehren, das unter anderem auf technische Voreinstellungen Bezug nahm. Das Gericht monierte die mangelnde Bestimmtheit des Antrags und verwies darauf, dass der Kläger etwa durch Änderung seiner Privatsphäre-Einstellungen eine einfache Möglichkeit gehabt hätte, die Sichtbarkeit seiner Nummer zu steuern.

Ersatz vorgerichtlicher Anwaltskosten

Letztlich sprach das OLG dem Kläger einen Teilersatz der durch die anwaltliche Geltendmachung entstandenen Kosten zu. Dies begründete es damit, dass jedenfalls hinsichtlich des erfolgreichen Unterlassungsbegehrens ein berechtigtes Interesse an der anwaltlichen Vertretung bestanden habe.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Die Entscheidung des OLG Düsseldorf unterstreicht, dass Datenschutzverstöße allein noch keinen Anspruch auf immateriellen Schadensersatz begründen – vielmehr kommt es entscheidend auf den Nachweis eines tatsächlichen Kontrollverlusts an. Dieser kann entfallen, wenn die betroffenen Daten zuvor bereits selbst öffentlich gemacht wurden. Gleichzeitig verdeutlicht das Urteil, dass Nutzer sozialer Netzwerke sich auf transparente und datenschutzfreundliche Standardeinstellungen verlassen dürfen. Die Beklagte konnte sich nicht auf eine konkludente Einwilligung des Klägers stützen, da es an der notwendigen Transparenz fehlte.

Konklusion

Die Entscheidung fügt sich in die mittlerweile konsolidierte Linie der Rechtsprechung zur Reichweite von Art. 82 DSGVO ein. Besonders hervorzuheben ist die präzise Differenzierung zwischen technischer Zugriffsmöglichkeit und rechtlicher Kontrollsphäre über personenbezogene Daten. Indem das Gericht auf die vorangegangene Veröffentlichung der Telefonnummer abstellt, grenzt es klar zwischen einem neuen datenschutzrechtlich relevanten Schaden und einem bereits vollzogenen Kontrollverlust ab.

Zugleich betont das OLG die weitreichenden Transparenzpflichten von Plattformbetreibern – eine mahnende Erinnerung daran, dass standardisierte Einwilligungsprozesse einer strengen rechtlichen Prüfung unterliegen. Für Nutzer sozialer Netzwerke bedeutet dies: Die Risiken der freiwilligen Preisgabe personenbezogener Daten sind hoch – und ein nachträglicher Schutzanspruch steht auf wackligem Fundament, wenn man den Kontrollverlust zuvor selbst herbeigeführt hat.

Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht und widmet sich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht und widmet sich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!