Scraping und Datenschutz: OLG Düsseldorf stärkt Recht auf immateriellen Schadensersatz

In einer bemerkenswert klaren Entscheidung hat das Oberlandesgericht Düsseldorf (Urteil vom 14.03.2025 – 16 U 157/24) die Voraussetzungen für einen immateriellen Schadensersatz nach einem sogenannten „“-Vorfall konkretisiert. Es ging um die ungewollte Offenlegung personenbezogener Daten durch ein soziales Netzwerk infolge mangelhafter Sicherheitseinstellungen. Die Klägerin erhielt 100 Euro Schadensersatz für den Verlust der Kontrolle über ihre Mobilfunknummer – ein Betrag, der auf den ersten Blick gering erscheinen mag, dessen rechtliche Bedeutung aber nicht unterschätzt werden darf.

Sachverhalt

Die Klägerin hatte im Rahmen ihrer Nutzung eines sozialen Netzwerks freiwillig ihre Mobilfunknummer hinterlegt. Diese war standardmäßig über Suchfunktionen für andere Nutzer auffindbar – auch dann, wenn die Privatsphäre-Einstellungen das nicht explizit vorsahen. Über eine sogenannte Kontakt-Import-Funktion konnten Telefonnummern von Smartphones hochgeladen und mit registrierten Nutzerprofilen abgeglichen werden. Infolge dieses Mechanismus gelangten unbekannte Dritte an – darunter Name, Geschlecht, Nutzer-ID und Mobilnummer – der Klägerin. Im Jahr 2021 tauchten diese Daten im Internet auf. Obwohl sie ihre Nummer erst 2023 wechselte, verlangte die Klägerin Schadensersatz wegen Kontrollverlusts über ihre Daten sowie Unterlassung und Feststellung künftiger Ersatzpflichten.

Rechtliche Bewertung

Das OLG Düsseldorf stellte zunächst klar, dass die uneingeschränkt anwendbar ist. Sowohl die internationale als auch die sachliche, räumliche und zeitliche Zuständigkeit deutscher Gerichte war gegeben. Das Gericht erkannte in der systemseitigen Ermöglichung des Scraping-Vorgangs durch das soziale Netzwerk eine unrechtmäßige Datenverarbeitung gemäß Art. 6 Abs. 1 DSGVO. Die Beklagte konnte keine tragfähige Rechtsgrundlage für die Verarbeitung der Telefonnummer nennen – insbesondere nicht für die Auffindbarkeit der Nutzer über die Mobilfunknummer. Der Versuch, sich auf eine Erforderlichkeit zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) zu stützen, scheiterte daran, dass diese Funktion weder zwingend war noch zu den Kernelementen des Nutzungsvertrags gehörte. Vielmehr hätten sich Nutzer auch über ihren Namen vernetzen können.

Das Gericht sah in der unfreiwilligen Preisgabe der Telefonnummer in Kombination mit anderen persönlichen Informationen einen relevanten Kontrollverlust im Sinne von Art. 82 Abs. 1 DSGVO. Es folgte der inzwischen etablierten Linie des Bundesgerichtshofs, wonach ein solcher Kontrollverlust auch ohne zusätzliche psychische Belastung oder konkrete Folgeschäden einen immateriellen Schaden darstellen kann. Der Anspruch sei jedoch betragsmäßig zu begrenzen: Da es sich nicht um hochsensible Daten handelte, wurde der Schaden mit 100 Euro als angemessen bewertet.

Gleichzeitig stellte das Gericht klar, dass weitergehende Unannehmlichkeiten – wie etwa Spam-Anrufe – zwar grundsätzlich geeignet sein können, einen höheren Schadensbetrag zu rechtfertigen. Doch mangels konkreter, glaubhaft gemachter psychischer Belastung und wegen des nur vagen Zusammenhangs zwischen den Anrufen und dem Scraping sah das Gericht keine Grundlage für eine weitergehende Entschädigung.

Die weiter geltend gemachten Ansprüche auf Feststellung zukünftiger Ersatzpflicht und Unterlassung wies das Gericht mangels Feststellungsinteresse bzw. wegen fehlender ab. Die Klägerin hatte ihre Rufnummer gewechselt, und es war nicht ersichtlich, dass sie erneut von der beanstandeten Funktion betroffen sein könnte.

Schlussfolgerung

Das Urteil des OLG Düsseldorf liefert eine differenzierte und doch konsequente Auslegung des Art. 82 DSGVO. Es unterstreicht, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden begründen kann, ohne dass es eines erheblichen Folgeleids bedarf. Gleichzeitig wahrt es Augenmaß bei der Bemessung der Entschädigung und weist überzogene oder spekulative Anspruchserweiterungen zurück. Die Kernaussage der Entscheidung ist eindeutig: Wer personenbezogene Daten ohne rechtliche Grundlage verarbeitet und dadurch einen Kontrollverlust ermöglicht, haftet – selbst wenn der Schaden finanziell gering ist.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.