Zeitliche Anwendbarkeit der DSGVO bei Scraping-Fällen

Ein zentrales datenschutzrechtliches Problem stellt längst das sogenannte Scraping dar: der automatisierte Abgriff öffentlich zugänglicher Nutzerdaten durch Dritte. Das Oberlandesgericht München hat in einem aktuellen Urteil (36 U 1368/24) klargestellt, dass Plattformbetreiber wie Facebook eine sekundäre Darlegungslast trifft, wenn es um die zeitliche Einordnung von Datenschutzvorfällen geht. Die Entscheidung betont, dass Betreiber als „Herr der Technik“ detailliert vortragen müssen, wann genau ein Datenleak stattfand, um die Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) zu klären. Dies ist besonders relevant, da die DSGVO erst seit dem 25. Mai 2018 gilt und viele Verstöße in einer rechtlichen Grauzone zwischen alter und neuer Rechtslage liegen.

Der Fall wirft grundsätzliche Fragen auf: Wann haftet ein soziales Netzwerk für unzureichende Sicherheitsvorkehrungen? Welche Pflichten ergeben sich aus dem Grundsatz der datenschutzfreundlichen Voreinstellungen? Und wie ist der immaterielle Schaden zu bemessen, wenn Nutzerdaten durch Scraping in Umlauf geraten? Das Urteil zeigt, dass Gerichte zunehmend strenge Maßstäbe an die Transparenz und technische Absicherung von Plattformen anlegen – selbst wenn die Daten theoretisch öffentlich einsehbar waren.

Beachten Sie auch, dass die Entscheidung – unter Bezug auf meine Besprechung – bei „heise online“ aufgegriffen wurde.

Massendatenabgriff durch die Kontakt-Import-Funktion

Der Kläger, ein Nutzer des sozialen Netzwerks Facebook, sah sich mit den Folgen eines Datenschutzvorfalls konfrontiert: Im Jahr 2019 wurden durch den massenhaften Einsatz der Kontakt-Import-Funktion (CIT) Telefonnummern mit Nutzerprofilen verknüpft und anschließend im Darknet veröffentlicht. Betroffen waren rund 533 Millionen Datensätze, darunter auch die des Klägers. Dieser hatte seine Telefonnummer zwar nicht öffentlich geteilt, aber die voreingestellte Suchbarkeitsoption „Alle“ belassen, was es Dritten ermöglichte, sein Profil über die Nummer zu identifizieren.

Facebook argumentierte, die betroffenen Daten seien ohnehin öffentlich zugänglich gewesen und bestritt eine Pflichtverletzung. Der Kläger hingegen machte geltend, die Plattform habe durch unzureichende Sicherheitsmaßnahmen – etwa fehlende CAPTCHAs oder IP-Überprüfungen – den Missbrauch ermöglicht. Zudem kritisierte er, dass Facebook ihn nicht über den Vorfall informiert und keine ausreichende Datenschutz-Folgenabschätzung vorgenommen habe. Er verlangte Schadensersatz, Unterlassung und Auskunft über die abgegriffenen Daten.

Das Landgericht München wies die Klage zunächst ab. Das Oberlandesgericht korrigierte diese Entscheidung teilweise und sprach dem Kläger einen immateriellen Schadensersatz in Höhe von 200 Euro zu. Zudem verurteilte es Facebook zur Unterlassung der weiteren Nutzung der Telefonnummer ohne angemessene Sicherheitsvorkehrungen.

Voreinstellungen, Kontrollverlust und Schadensersatz

Das Gericht stellte klar, dass Facebook gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und die Pflicht zu datenschutzfreundlichen Voreinstellungen (Art. 25 Abs. 2 DSGVO) verstoßen habe. Die Standardoption „Alle“ für die Suchbarkeit der Telefonnummer sei nicht erforderlich gewesen, um den Vertragszweck – die Vernetzung von Nutzern – zu erfüllen. Vielmehr hätte Facebook eine restriktivere Voreinstellung wählen oder zumindest deutlichere Hinweise auf die Risiken geben müssen.

Ein zentraler Streitpunkt war die zeitliche Anwendbarkeit der DSGVO. Facebook behauptete, der Scraping-Vorfall habe bereits vor dem 25. Mai 2018 begonnen. Das Gericht wies dies zurück: Als Betreiber der Plattform treffe Facebook eine sekundäre Darlegungslast. Da der Kläger als Nutzer keinen Einblick in die technischen Abläufe habe, müsse Facebook konkret darlegen, wann der Vorfall stattfand. Da dies nicht gelungen sei, gelte die DSGVO.

Hinsichtlich des immateriellen Schadens folgte das Gericht der Rechtsprechung des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH): Schon der Kontrollverlust über personenbezogene Daten stelle einen ersatzfähigen Schaden dar – unabhängig davon, ob es zu einem konkreten Missbrauch gekommen sei. Die Veröffentlichung der Daten im Darknet habe diesen Kontrollverlust manifestiert, weshalb ein Schadensersatzanspruch bestehe. Die Höhe von 200 Euro begründete das Gericht mit der Art der betroffenen Daten (Telefonnummer, Name, Geschlecht) und der dauerhaften Unmöglichkeit, die Kontrolle zurückzuerlangen. Interessant ist dabei die Ablehnung eines weiteren Schadensersatzanspruchs wegen angeblich unzureichender Auskunft: Das Gericht sah hierin keine Vertiefung des Schadens, da die Daten ohnehin bereits öffentlich zugänglich waren.

Unterlassungsanspruch und technische Sicherheitsmaßnahmen

Das OLG München bestätigte den Unterlassungsanspruch des Klägers, soweit es um die Verknüpfung der Telefonnummer mit weiteren Profildaten ohne ausreichende Sicherheitsvorkehrungen ging. Facebook habe seine vertragliche Nebenpflicht verletzt, massenhafte unberechtigte Zugriffe zu verhindern. Die bloße Möglichkeit für Nutzer, ihre Einstellungen anzupassen, entlaste den Plattformbetreiber nicht von der Pflicht, präventive Maßnahmen zu ergreifen. Allerdings wies das Gericht den Antrag auf Unterlassung der Telefonnummernverarbeitung für andere Zwecke als die Zwei-Faktor-Authentifizierung zurück. Hier fehle es an einem schlüssigen Vortrag, dass Facebook die Nummer entgegen den Nutzerpräferenzen verwende.

Plattformen in der Bringschuld für Datensicherheit?

Die Entscheidung unterstreicht, dass soziale Netzwerke nicht nur für aktive Datenschutzverstöße haften, sondern auch für strukturelle Schwächen ihrer Systeme. Die sekundäre Darlegungslast bei der zeitlichen Einordnung von Vorfällen verschärft die Position der Betreiber in Rechtsstreitigkeiten. Zudem zeigt das Urteil, dass selbst öffentlich einsehbare Daten nicht schutzlos sind: Wenn Plattformen durch unzureichende Voreinstellungen oder fehlende Sicherheitsmechanismen den Missbrauch ermöglichen, kann dies zu Schadensersatzverpflichtungen führen.

Nutzer wiederum sehen hier, dass sie bei Datenschutzvorfällen nicht allein auf die Kulanz der Plattformen angewiesen sind. Für Unternehmen wiederum wird deutlich, dass datenschutzfreundliche Voreinstellungen und transparente Informationen über Risiken keine Option, sondern eine rechtliche Notwendigkeit sind. Die DSGVO entfaltet hier ihre volle Wirkung – nicht nur als viel gescholtener regulatorischer Rahmen, sondern als Instrument des individuellen Rechtsschutzes.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist ein renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug, Untreue bis zu Cybercrime – aber auch im Jugendstrafrecht und Sexualstrafrecht) sowie Spezialist im IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance). Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren und berät in komplexen Softwareprojekten. Er ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen) und publiziert fortlaufend.

Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• BGH zur Rolle von Geheimhaltungsanordnungen und Beweisvereitelung durch Prozessverhalten - 19. Januar 2026
• Individuelle Vereinbarungen vs. AGB: BGH zur Vorrangigkeit ausgehandelter Vertragsbestimmungen im Verhältnis zu begünstigten Dritten - 19. Januar 2026
• Amtsträgerbegriff: BGH zu Bestechung bei öffentlicher Abfallentsorgung - 19. Januar 2026