OLG Oldenburg verneint Schadensersatzansprüche im Zusammenhang mit dem Facebook-Datenleck
Das Oberlandesgericht (OLG) Oldenburg hat in mehreren parallel geführten Berufungsverfahren Schadensersatzansprüche von Nutzern gegen die Plattform Facebook, vertreten durch die Meta Platforms Ireland Limited, zurückgewiesen (Urteile vom 25.04.2024, Az. 13 U 59/23, 13 U 79/23 und 13 U 60/23). Damit stellte das Gericht klar, dass die im Raum stehenden Datenschutzverletzungen infolge des bekannt gewordenen „Facebook-Datenlecks“ nicht zwangsläufig einen Anspruch auf finanziellen Ausgleich nach Art. 82 DSGVO begründen.
Hintergrund: Umfang und Folgen des Datenlecks
Im April 2021 wurde öffentlich, dass eine große Menge personenbezogener Daten von Facebook-Nutzern – darunter Namen, Telefonnummern und andere Profildaten – ohne Einwilligung frei im Internet einsehbar gewesen sei. Laut Angaben der Betroffenen resultierte diese Offenlegung aus einer technischen Schnittstelle („Contact Importer“), über die Angreifer automatisiert Daten absammeln konnten.
Zentrale Rechtsfragen im Verfahren
Prüfmaßstab des Gerichts
Die Kläger stützten ihre Schadensersatzforderungen maßgeblich auf Art. 82 der Datenschutz-Grundverordnung (DSGVO), wonach von Datenverarbeitern ein Ausgleich bei durch Datenschutzverletzungen eingetretenen Schäden verlangt werden kann. Das OLG Oldenburg hat nun im Berufungsverfahren die Anforderungen an den Nachweis eines immateriellen Schadens, der über einen bloßen Ärger oder eine bloße Unannehmlichkeit hinausgeht, dezidiert klargestellt.
Erforderlichkeit eines messbaren immateriellen Schadens
Das Gericht hob hervor, dass die betroffenen Kläger nicht ausreichend dargelegt hätten, inwieweit ihnen konkret und individuell ein immaterieller Schaden entstanden sei. Es reiche nicht aus, pauschal auf das generelle Unwohlsein in Bezug auf die Preisgabe persönlicher Daten zu verweisen. Vielmehr müsse eine substanzielle, persönliche Beeinträchtigung plausibel und nachvollziehbar dargelegt werden. Die bloße abstrakte Möglichkeit eines Missbrauchs wie etwa durch „Telefonspam“ oder Phishing genüge nicht.
Keine „Automatik“ beim Ersatz immaterieller Schäden
Das OLG folgte nicht der Auffassung, dass jede Datenschutzverletzung zwingend einen immateriellen Schaden im Sinne des Art. 82 DSGVO auslöst. Es betonte den europarechtlichen Grundsatz, wonach der bloße Verstoß gegen datenschutzrechtliche Bestimmungen für sich genommen keinen Ersatzanspruch begründet – vielmehr bedarf es dem individuellen Nachweis eines tatsächlich eingetretenen Schadens.
Bedeutung der Entscheidung für künftige Verfahren
Die Entscheidungen des OLG Oldenburg verdeutlichen die hohen Anforderungen, die an die Begründung von Ansprüchen auf Ersatz immaterieller Schäden bei Datenschutzverstößen gestellt werden. Allein das Eindringen in persönliche Lebensbereiche oder die vage Möglichkeit etwaiger Belästigungen reichen nach Ansicht des Senats nicht aus, um Schadensersatzansprüche durchzusetzen.
Damit reiht sich das OLG Oldenburg in eine zunehmend gefestigte Rechtsprechung ein, die einzelfallbezogene und substantielle Darlegungen verlangt. Sowohl für Plattformbetreiber als auch für Betroffene schafft das Urteil mehr Rechtsklarheit in Fragen der Ersatzfähigkeit immaterieller Schäden durch Datenschutzverstöße.
Praktische Überlegungen und Ausblick
Die nun entschiedenen Fälle unterstreichen den zunehmenden Bedeutungsgewinn prozeduraler Aspekte bei massenhaft geltend gemachten DSGVO-Schadensersatzansprüchen. Insbesondere bleibt offen, wie der Europäische Gerichtshof in aktuellen Vorlageverfahren (z.B. C-340/21) die Schwelle für Schadensersatzansprüche weiter präzisieren wird. Bis zu einer abschließenden Klärung auf europäischer Ebene ist mit weiteren Divergenzen in der Rechtsprechung der Mitgliedstaaten zu rechnen.
Fazit
Das Urteil des OLG Oldenburg bekräftigt, dass Betroffene nach einer Datenschutzverletzung konkrete und individualisierte Darlegungen zu tatsächlich entstandenen immateriellen Schäden vorbringen müssen. Die bloße Sorge um die Offenlegung persönlicher Daten oder die allgemeine Möglichkeit eines Missbrauchs genügt hierfür nicht. Ob sich dies nach einer Entscheidung des EuGH grundlegend ändern könnte, bleibt abzuwarten.
Für Unternehmen, Privatpersonen und Investoren stellen sich regelmäßig vielschichtige Fragen rund um den Schutz personenbezogener Daten und die Verteidigung oder Geltendmachung entsprechender Ansprüche. Bei der Bewertung und Einordnung solcher datenschutzrechtlichen Vorgänge können weitergehende rechtliche Aspekte eine Rolle spielen. In diesen Angelegenheiten stehen die Rechtsanwälte bei MTR Legal gerne zur Verfügung.
