Das Oberlandesgericht Köln (15 U 67/23) hat sich am 7. Dezember 2023 in einem Urteil mit der Frage der Haftung eines sozialen Netzwerks im Zusammenhang mit einem Scraping-Vorfall auseinandergesetzt. Das Urteil, das die Entscheidung des Landgerichts Bonn teilweise aufhob, behandelt wesentliche Aspekte der Datenschutz-Grundverordnung (DSGVO), insbesondere die Reichweite der Verantwortlichkeit von Plattformbetreibern bei Datenmissbrauch durch Dritte.
Sachverhalt
Im Zentrum des Rechtsstreits stand ein Scraping-Vorfall, bei dem sensible Daten des Klägers – darunter Mobiltelefonnummern, Namen und weitere persönliche Informationen – von Dritten unbefugt gesammelt und in einem Hackerforum veröffentlicht wurden. Der Kläger machte geltend, dass die Beklagte, ein Betreiber eines sozialen Netzwerks, durch unzureichende technische Maßnahmen gegen diesen Vorfall verstoßen habe. Er verlangte Schadensersatz, Unterlassung und Auskunft über die Täter.
Das Landgericht Bonn hatte dem Kläger teils immateriellen Schadensersatz in Höhe von 250 Euro zugesprochen und weitere Ansprüche abgewiesen. Beide Parteien legten Berufung ein.
Rechtliche Analyse
1. Verantwortung des Plattformbetreibers nach der DSGVO
Die Beklagte verteidigte sich damit, dass die Daten durch die Nutzer selbst in unzureichend gesicherten Profilen zugänglich gemacht worden seien. Das Gericht prüfte, ob die Beklagte ihrer Pflicht aus Art. 25 Abs. 2 DSGVO („Datenschutz durch Voreinstellungen“) sowie Art. 32 DSGVO („Sicherheit der Verarbeitung“) nachgekommen war. Hierbei stand die Frage im Mittelpunkt, ob die Beklagte ausreichende technische und organisatorische Maßnahmen implementiert hatte.
Das OLG stellte fest, dass die Möglichkeit für Nutzer, ihre Telefonnummer-Einstellungen zu ändern, nicht ausreiche, um die Anforderungen an den Schutz der Daten vor Scraping zu erfüllen. Die Beklagte hätte das Risiko des Missbrauchs durch das Contact Import Tool (CIT) erkennen und verhindern müssen.
2. Schadensersatzanspruch nach Art. 82 DSGVO
Ein zentraler Streitpunkt war die Frage, ob der Kläger einen immateriellen Schaden nachweisen konnte. Die Beklagte argumentierte, dass die bloße Sorge um den Kontrollverlust über die eigenen Daten keinen objektivierbaren Schaden darstelle. Das OLG schloss sich dieser Auffassung an und hob das Urteil des Landgerichts insoweit auf. Es fehle an einer konkreten Darlegung von Beeinträchtigungen wie Spam-Anrufen oder anderen negativen Folgen.
3. Auskunftsanspruch nach Art. 15 DSGVO
Der Kläger verlangte zudem detaillierte Informationen über die Täter (Scraper). Hier argumentierte die Beklagte erfolgreich, dass sie keine Kenntnis von den Identitäten der Scraper habe und rechtlich nicht verpflichtet sei, Ermittlungen hierzu anzustellen. Das OLG bestätigte, dass keine weitergehende Auskunftspflicht bestehe, wenn die Beklagte nicht selbst als „Verantwortlicher“ im Sinne der DSGVO für die Datenweitergabe durch Dritte agiere.
4. Implementierung von Schutzmaßnahmen
Das Urteil befasst sich auch mit der Frage, ob die Beklagte verpflichtet war, stärkere Sicherheitsmaßnahmen einzuführen. Das OLG Köln vertrat die Ansicht, dass das Risiko von Scraping-Angriffen zwar bekannt sei, die Beklagte jedoch angemessene Maßnahmen ergriffen habe. Daher liege kein Verstoß gegen die Pflicht zur Einführung angemessener Schutzvorkehrungen vor.
Fazit
Das Urteil des OLG Köln bringt Klarheit in die rechtlichen Pflichten von Plattformbetreibern bei der Verhinderung von Scraping-Angriffen. Es betont die Notwendigkeit technischer Schutzmaßnahmen, um die Sicherheit personenbezogener Daten zu gewährleisten. Gleichzeitig setzt es klare Grenzen für Schadensersatz- und Auskunftsansprüche von Betroffenen, wenn konkrete Schäden nicht nachweisbar sind.
Diese Entscheidung ist eine wichtige Leitlinie für Unternehmen, die in einem zunehmend digitalisierten Umfeld tätig sind, und ein Signal an Nutzer, ihre eigenen Sicherheitsmaßnahmen zu überdenken. Die Zulassung der Revision zeigt, dass die rechtlichen Rahmenbedingungen für Datenschutzverstöße weiter geschärft werden müssen, um der Dynamik technologischer Entwicklungen gerecht zu werden.