Kontrollverlust mit Folgen: Mit Urteil vom 24. April 2025 (Az. 5 U 59/23) hat das Oberlandesgericht (OLG) Schleswig ein bedeutsames Urteil zum Schadensersatzanspruch nach Art. 82 Datenschutz-Grundverordnung (DSGVO) gefällt. Im Fokus steht der sogenannte „Scraping“-Vorfall auf der Plattform Facebook, bei dem massenhaft öffentlich zugängliche Profildaten durch automatisierte Abrufe zusammengetragen und weiterverbreitet wurden. Das Urteil stellt dabei eine wichtige Präzisierung zur Bemessung immaterieller Schadensersatzansprüche sowie zu den Anforderungen an Sicherheitsvorkehrungen und Einwilligungen dar.
Sachverhalt
Die Klägerin machte gegen den Plattformbetreiber Ansprüche auf immateriellen Schadensersatz, Unterlassung, Feststellung und Erstattung vorgerichtlicher Rechtsanwaltskosten geltend. Hintergrund war der Zugriff unbekannter Dritter auf öffentlich zugängliche Profildaten – unter anderem Name, Telefonnummer und Geschlecht –, die über das sogenannte „Contact Import Tool“ der Plattform abgegriffen und im Internet veröffentlicht wurden.
Die Klägerin argumentierte, der Plattformbetreiber habe nicht ausreichend auf datenschutzfreundliche Voreinstellungen geachtet und Sicherheitsmaßnahmen versäumt, die eine solche Datenerhebung hätten verhindern können. Nachdem das Landgericht Itzehoe ihre Klage abgewiesen hatte, hatte die Berufung vor dem OLG Schleswig teilweise Erfolg.
Rechtliche Analyse
1. Voraussetzungen und Beweislast im Schadensersatz nach Art. 82 DSGVO
Das OLG Schleswig bestätigt zunächst den grundsätzlichen Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO. Dabei stellt es klar, dass es keines schwerwiegenden Schadens bedarf, wohl aber eines nachweisbaren Kontrollverlusts über personenbezogene Daten. Die Darlegungslast für den Schaden liegt beim Betroffenen – das Verschulden des Verantwortlichen hingegen wird vermutet und muss von diesem widerlegt werden (Art. 82 Abs. 3 DSGVO).
Im konkreten Fall erkannte das Gericht einen Schaden in Höhe von 300 Euro an. Entscheidendes Kriterium war, dass die Klägerin ihren Account infolge des Scraping-Vorfalls gelöscht hatte – ein deutliches Indiz für einen erlittenen Kontrollverlust. Damit hebt das Gericht auf eine faktisch nachvollziehbare, subjektive Belastung ab, ohne pathologische oder tiefgreifende psychische Folgen zu fordern.
2. Fehlende datenschutzfreundliche Voreinstellungen
Ein Schwerpunkt des Urteils liegt auf der Kritik an der voreingestellten öffentlichen Suchbarkeit der Telefonnummer. Diese Einstellung widerspricht nach Auffassung des Gerichts den Anforderungen an „Privacy by Default“ (Art. 25 Abs. 2 DSGVO) sowie dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).
Die Beklagte hatte keine wirksame, informierte und ausdrückliche Einwilligung der Nutzer eingeholt, wie sie die DSGVO fordert (Art. 4 Nr. 11, Art. 7 DSGVO). Vor allem die Opt-Out-Lösungen reichten nicht aus – eine Einwilligung muss aktiv erfolgen, insbesondere seit Inkrafttreten der DSGVO im Mai 2018.
3. Keine Unterlassung mangels Wiederholungsgefahr
Die Klägerin verlangte auch die Unterlassung künftiger Datenschutzverstöße. Das Gericht lehnte diesen Antrag ab – nicht wegen fehlender Rechtsverletzung, sondern weil die Klägerin ihren Account gelöscht hatte. Eine Wiederholungsgefahr bestand somit nicht mehr. Dies zeigt, wie bedeutsam die aktuelle und fortdauernde Beziehung zur Plattform für solche Ansprüche ist.
4. Feststellungsinteresse für zukünftige Schäden
Bemerkenswert ist die Entscheidung des Gerichts, einen Feststellungsanspruch für etwaige zukünftige Schäden anzuerkennen. Die bloße Möglichkeit, dass die veröffentlichten Daten missbräuchlich verwendet werden, reicht hierfür aus. Diese Auslegung stärkt die Position Betroffener, auch wenn konkrete Schäden (noch) nicht eingetreten sind.
Das OLG Schleswig liefert mit dieser Entscheidung eine differenzierte und rechtlich fundierte Auseinandersetzung mit dem Schadensersatzanspruch nach Art. 82 DSGVO. Es betont die Schutzfunktion des immateriellen Schadensersatzes bei Kontrollverlust über persönliche Daten und formuliert zugleich klare Anforderungen an datenschutzfreundliche Voreinstellungen und wirksame Einwilligungen.
Fazit
Die Entscheidung schafft mehr Rechtssicherheit für Betroffene von Datenschutzverstößen und setzt für Anbieter digitaler Plattformen ein klares Signal: Standardmäßige Offenheit personenbezogener Daten und intransparente Einwilligungsmechanismen genügen den Anforderungen der DSGVO nicht. Für Betroffene bedeutet dies: Schon der Verlust der Kontrolle über persönliche Informationen kann einen relevanten Schaden darstellen – unabhängig von messbaren psychischen oder finanziellen Folgen. Die Entscheidung ist ein wichtiger Baustein auf dem Weg zu einer effektiven Durchsetzung des europäischen Datenschutzrechts.
Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!
- Opensource-Software-Compliance - 17. Juni 2025
- Systematik der Konkurrenzen bei mitgliedschaftlicher Beteiligung - 17. Juni 2025
- Teilnahme an Telemedizinplattform durch Apotheker - 17. Juni 2025