Im Urteil des Oberlandesgerichts (OLG) Köln vom 07. Dezember 2023 (15 U 108/23) wurden wesentliche Fragen zur Datenschutz-Grundverordnung (DSGVO) im Kontext eines Scraping-Vorfalles auf der Plattform der Beklagten behandelt. Das Urteil klärt wichtige Punkte zur Verantwortlichkeit von Plattformbetreibern und den Voraussetzungen für Schadensersatzansprüche bei Datenschutzverletzungen.
Sachverhalt
Der Kläger machte Schadensersatz, Unterlassungs-, Feststellungs- und Auskunftsansprüche geltend. Hintergrund war ein Scraping-Vorfall im April 2021, bei dem personenbezogene Daten wie Mobiltelefonnummer, Name, Facebook-ID, Wohnort, Land und Arbeitsstätte des Klägers erlangt und in einem „Hacker-Forum“ veröffentlicht wurden. Der Kläger argumentierte, dass die Plattformbetreiberin gegen verschiedene Bestimmungen der DSGVO verstoßen habe, insbesondere gegen Art. 5 Abs. 1, Art. 24, Art. 25, Art. 32 und Art. 33.
Rechtliche Analyse
Das OLG Köln setzte sich intensiv mit den vorgebrachten Argumenten und den rechtlichen Rahmenbedingungen der DSGVO auseinander:
- Keine hinreichende Bestimmtheit
Das Gericht stellte fest, dass der Antrag des Klägers auf immateriellen Schadensersatz nicht hinreichend bestimmt war. Der Kläger müsse konkret darlegen, welche Datenschutzverstöße zu welchem Schaden geführt haben. Eine pauschale Angabe reiche nicht aus. - Kein immaterieller Schaden
Das Gericht betonte, dass der bloße Kontrollverlust über personenbezogene Daten allein nicht ausreiche, um einen immateriellen Schaden gemäß Art. 82 DSGVO zu begründen. Der Kläger müsse nachweisen, dass dieser Kontrollverlust zu nachweisbaren negativen Folgen geführt habe, wie z.B. Angst, Stress oder Unwohlsein. Dieser Nachweis sei im vorliegenden Fall nicht erbracht worden. - Kein Feststellungsinteresse
Auch der Antrag auf Feststellung der Ersatzpflicht für künftige Schäden wurde abgewiesen. Das Gericht argumentierte, dass ein solches Interesse nur bestehe, wenn ein konkretes Risiko für zukünftige Schäden dargelegt werde. Die vom Kläger vorgebrachten möglichen zukünftigen Schäden seien rein hypothetisch und nicht hinreichend konkret. - Unzulässigkeit des Unterlassungsantrags
Der Unterlassungsantrag des Klägers wurde ebenfalls als unzulässig abgewiesen. Das Gericht führte aus, dass der Antrag zu unbestimmt sei, da nicht klar erkennbar sei, welche konkreten Maßnahmen die Beklagte zu unterlassen habe. Zudem könne der Kläger selbst durch entsprechende Einstellungen in seinem Profil verhindern, dass seine Telefonnummer zugänglich ist.
Fazit
Das Urteil des OLG Köln verdeutlicht, dass bei der Geltendmachung von Schadensersatzansprüchen nach der DSGVO ein klarer und spezifischer Nachweis der immateriellen Schäden erforderlich ist. Ein bloßer Kontrollverlust über Daten reicht nicht aus. Zudem müssen Unterlassungsanträge klar und spezifisch gefasst sein, um zulässig zu sein. Das Urteil hat weitreichende Implikationen für zukünftige Datenschutzklagen, insbesondere hinsichtlich der Anforderungen an die Beweisführung und die Bestimmtheit von Anträgen.
Auswirkungen für Betroffene
Für Betroffene bedeutet dieses Urteil, dass sie bei der Geltendmachung von Datenschutzverletzungen konkrete und nachweisbare Schäden darlegen müssen. Hypothetische oder pauschale Angaben genügen nicht. Dies erhöht die Anforderungen an die Beweisführung in Datenschutzprozessen erheblich und könnte die Anzahl erfolgreicher Klagen begrenzen.
- Rückzug aus der Cloud: Kosten, Herausforderungen und rechtliche Aspekte der Re-Migration - 2. November 2024
- Schlag gegen die Plattformen „Flight RCS“ und „Dstat.CC“. - 2. November 2024
- Sophos‘ „Pacific Rim“-Bericht zu chinesischen Cyberangriffsstrategien - 2. November 2024