Kontrollverlust bei Scraping trotz vorheriger Bekanntgabe an ausgewählte Empfänger

Das Oberlandesgericht Koblenz hat in seiner Entscheidung vom 11. Februar 2025 (Az. 3 U 145/24) eine zentrale Frage des Datenschutzrechts beantwortet: Kann ein Nutzer die Kontrolle über seine personenbezogenen Daten verlieren, wenn diese durch einen -Vorfall aus einem sozialen Netzwerk extrahiert werden, selbst wenn er diese Daten bereits zuvor bewusst an ausgewählte Empfänger außerhalb des Netzwerks weitergegeben hat?

Diese Frage hat das Gericht bejaht und damit eine differenzierte Sicht auf die Bedeutung der Kontrolle über persönliche Daten entwickelt. Die Entscheidung wirft ein Schlaglicht auf die Anwendung von Art. 5, Art. 25 und Art. 82 der -Grundverordnung () und setzt neue Maßstäbe für die Beurteilung von Datenschutzverstößen in sozialen Netzwerken. Doch die Sache bleibt streitig.

Der Sachverhalt

Die Klägerin hatte ihre nicht öffentlich einsehbaren personenbezogenen Daten, darunter Telefonnummern und weitere Informationen, innerhalb eines sozialen Netzwerks gespeichert. Durch einen Scraping-Vorfall wurden diese Daten von Dritten ohne ihre Zustimmung extrahiert. Die Besonderheit des Falls: Die Klägerin hatte diese Informationen zuvor auch außerhalb des Netzwerks bewusst an bestimmte Empfänger weitergegeben. Die Beklagte, Betreiberin des sozialen Netzwerks, argumentierte, dass aufgrund dieser vorherigen Bekanntgabe kein Kontrollverlust vorliege. Das Landgericht Koblenz hatte der Klägerin teilweise Recht gegeben, woraufhin die Beklagte Berufung einlegte.

Die rechtliche Kernfrage: Was bedeutet „Kontrollverlust“?

Das OLG Koblenz stellte sich gegen die Auffassung der Beklagten und entschied, dass die Tatsache, dass der Nutzer seine Daten bereits zuvor bewusst an bestimmte Empfänger weitergegeben hatte, einem Kontrollverlust durch Scraping nicht entgegensteht. Dies ist insofern bemerkenswert, als dass die Entscheidung des OLG Hamm (Urteil vom 5. November 2024 – 7 U 83/24) eine gegenteilige Ansicht vertreten hatte, wonach eine frühere Bekanntgabe personenbezogener Daten deren Schutz vermindere.

Die Argumentation des OLG Koblenz:

  • Begrenzte vs. unkontrollierte Offenlegung: Die bewusste Weitergabe von Daten an ausgewählte Empfänger unterscheidet sich fundamental von einer unkontrollierten und potenziell massenhaften Offenlegung durch Scraping. Der Nutzer kann zwar die Kontrolle über die gezielte Weitergabe behalten, nicht jedoch über eine unautorisierte, systematische Erfassung durch Dritte.
  • Recht auf informationelle Selbstbestimmung: Der Kontrollverlust nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG wird bereits durch die unbefugte Erfassung begründet, unabhängig davon, ob die Daten zuvor in einem begrenzten Rahmen weitergegeben wurden. Das Gericht betonte, dass die Nutzer darauf vertrauen dürfen, dass nicht öffentlich einsehbare Daten auch tatsächlich nicht ohne Zustimmung extrahiert werden.

Datenschutzrechtliche Einordnung nach der DSGVO

Das Gericht führte aus, dass die DSGVO gerade darauf abzielt, die Kontrolle der Betroffenen über ihre personenbezogenen Daten zu sichern. Dies werde insbesondere durch Art. (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) gestützt. Die voreingestellte Offenlegung von Daten im sozialen Netzwerk widerspreche diesem Grundsatz und stelle eine Verletzung der DSGVO dar.

  • Verstoß gegen die Grundsätze der Datenminimierung und Zweckbindung (Art. 5 DSGVO): Die massenhafte Extraktion von Daten durch Scraping sei weder zweckgebunden noch auf das erforderliche Maß beschränkt.
  • Schadensersatzanspruch gemäß Art. 82 DSGVO: Das OLG sprach der Klägerin Schadensersatz zu und führte aus, dass bereits der Kontrollverlust als solcher einen immateriellen Schaden darstelle. Der zugesprochene Betrag von 100 Euro mag gering erscheinen, ist jedoch ein Signal dafür, dass auch scheinbar „geringfügige“ Datenschutzverstöße ernst zu nehmen sind.

Die Bedeutung der Entscheidung: Schutz nicht öffentlich einsehbarer Daten

Die Entscheidung des OLG Koblenz verdeutlicht, dass der Schutz nicht öffentlich einsehbarer Daten nicht dadurch abgeschwächt wird, dass die betroffene Person diese Daten in einem anderen Kontext bewusst weitergegeben hat. Gerade diese Differenzierung ist der zentrale Punkt der Entscheidung. Während das OLG Hamm die frühere Bekanntgabe als ein „selbstverschuldetes“ Risiko gewertet hatte, betont das OLG Koblenz, dass die Selbstbestimmung über auch dann bestehen bleibt, wenn diese nur an ausgewählte Personen weitergegeben wurden.

Diese Sichtweise stärkt die Rechte der Nutzer erheblich, da sie verhindert, dass Betreiber sozialer Netzwerke oder Dritte die frühere Bekanntgabe als Freibrief für die unkontrollierte Erfassung und Verarbeitung personenbezogener Daten verstehen.

Fazit

Die Entscheidung des OLG Koblenz setzt ein wichtiges Zeichen für die Anwendung der DSGVO im digitalen Zeitalter. Der „Trick“ der Entscheidung liegt darin, dass die frühere, bewusste Bekanntgabe von Daten an bestimmte Empfänger nicht als Argument gegen einen Kontrollverlust durch Scraping-Vorfälle herangezogen werden kann. Damit schafft das Urteil etwas mehr Klarheit für Betroffene und macht deutlich, dass die Kontrolle über personenbezogene Daten nicht durch voreingestellte Funktionen sozialer Netzwerke unterlaufen werden darf. Doch das OLG Hamm sah es zuletzt ausdrücklich anders!

Die Quintessenz dieser Entscheidung lässt sich wie folgt zusammenfassen: Die Rechte der Betroffenen dürfen nicht dadurch verwässert werden, dass sie ihre Daten in einem anderen Kontext bewusst weitergegeben haben. Dies ist nicht nur eine Bestätigung der DSGVO-Grundsätze, sondern auch ein starkes Signal an die Betreiber sozialer Netzwerke, ihre Datenschutzpraktiken grundlegend zu überdenken.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.