OLG Hamm bestätigt Verantwortlichkeit von Facebook bei Scraping-Vorfällen unter der DSGVO
Mit Urteil vom 2. April 2024 (Az.: 7 U 19/23) hat das Oberlandesgericht (OLG) Hamm eine wegweisende Entscheidung im Zusammenhang mit der unbefugten Erhebung und Veröffentlichung personenbezogener Daten von Facebook-Nutzern getroffen. Das Gericht erkannte im sogenannten Facebook-Scraping, bei dem automatisiert öffentlich einsehbare Informationen aus Facebook-Profilen massenhaft ausgelesen und anschließend im Internet verbreitet wurden, einen erheblichen Verstoß gegen zentrale Vorschriften der Datenschutzgrundverordnung (DSGVO). Die Entscheidung hat weitreichende Bedeutung sowohl für Unternehmen der Digitalwirtschaft als auch für Privatpersonen, deren Daten auf Social-Media-Plattformen verarbeitet werden.
Hintergrund des Rechtsstreits
Beim Facebook-Scraping handelt es sich um den automatisierten Zugriff auf öffentlich zugängliche Profildaten, etwa mittels sogenannter Bots. In dem vorliegenden Fall wurden zahlreiche personenbezogene Informationen – insbesondere Namen, Telefonnummern und Nutzerkennungen – aus den Facebook-Profilen von Millionen europäischen Nutzern extrahiert und ohne Zustimmung der Betroffenen auf einer externen Website veröffentlicht. Ein Betroffener klagte schließlich auf Unterlassung und immateriellen Schadensersatz gemäß Art. 82 DSGVO mit der Begründung, Facebook als Verantwortlicher habe es unterlassen, hinreichende technische und organisatorische Maßnahmen zu ergreifen, um derartige Zugriffe zu verhindern.
Kernaussagen des OLG Hamm
Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO
Das OLG Hamm stellte klar, dass Meta Platforms Ireland als Betreiberin von Facebook für die Verarbeitung der betreffenden Daten „Verantwortlicher” im Sinne der DSGVO bleibt. Die Auslesbarkeit von Telefonnummern habe maßgeblich auf der Konfiguration der Plattform und den von Facebook zur Verfügung gestellten Einstellungsmöglichkeiten beruht. Selbst in Fällen, in denen betroffene Nutzer eigene Angaben – insbesondere ihre Rufnummer – im Rahmen ihres Profils freiwillig veröffentlicht haben, verbleibt eine maßgebliche Verantwortlichkeit bei der Plattform.
Verletzung technischer und organisatorischer Schutzpflichten
Das Gericht hob hervor, dass Facebook besondere Pflichten aus Art. 25 und Art. 32 DSGVO treffen. Demnach sind Vorabmaßnahmen durch geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten unerlässlich. Facebook habe jedoch nicht ausreichend dafür Sorge getragen, dass automatisierte Datenerhebungen durch Bots und Scraping-Tools effektiv unterbunden werden. Insbesondere seien datenschutzfreundliche Voreinstellungen und effektive Mechanismen zur Erkennung und Verhinderung solcher Zugriffe nicht in angemessenem Umfang implementiert worden.
Schadensersatz nach Art. 82 DSGVO
Im konkreten Fall entschied das OLG Hamm jedoch, dass die Klage auf Zahlung eines immateriellen Schadensersatzes keinen Erfolg hatte. Es sei zwar ein Datenschutzverstoß erwiesen, jedoch habe der Kläger nach Auffassung des Senats keinen individuell zurechenbaren Schaden dargelegt, der über die abstrakte Beeinträchtigung des Datenschutzes hinausgehe. Das Urteil betont an dieser Stelle die prozessual notwendige substantiierte Darlegung eines konkreten, immateriellen Schadens.
Bedeutung für Datenschutz in der Plattformökonomie
Die grundlegende rechtliche Einschätzung des Gerichts verdeutlicht, dass Plattformbetreiber wie Facebook auch dann in der Pflicht stehen, die automatisierte Auslesung öffentlicher Nutzerdaten zu verhindern, wenn Nutzer selbst Angaben öffentlich machen. Die Entscheidung bekräftigt die Reichweite der datenschutzrechtlichen Verantwortlichkeit großer Digitalkonzerne. Insbesondere wurde der Anspruch auf Umsetzung effektiver Schutzmechanismen gegen das massenhafte Auslesen und Veröffentlichen personenbezogener Daten durch Dritte gestärkt.
Auswirkungen auf Compliance-Strategien von Unternehmen
Mit Blick auf die nunmehr bestätigten Pflichten nach DSGVO sind Unternehmen gefordert, Sicherheitskonzepte und Datenschutzmaßnahmen fortlaufend an sich wandelnde Bedrohungslagen sowie an gestiegene Anforderungen europäischer Gerichte anzupassen. Insbesondere bei Plattformen mit öffentlich einsehbaren Nutzerprofilen wird der Umfang technisch-organisatorischer Maßnahmen noch stärker in den Fokus rücken, als es bislang der Fall war. Insbesondere in Bezug auf Bot- und Scraping-Prävention müssen technische Schutzvorrichtungen regelmäßig überprüft und nach Stand der Technik angepasst werden, um mögliche Haftungs- und Reputationsrisiken zu minimieren.
Rechtliche Einordnung und Ausblick
Das Urteil des OLG Hamm unterstreicht zudem, dass der Schutz personenbezogener Daten im digitalen Umfeld einen dynamischen und fortlaufenden Anpassungsprozess seitens der Verantwortlichen verlangt. Zugleich ist festzuhalten, dass die gegen Facebook gerichteten Ansprüche im Hinblick auf Schadensersatz einzelfallbezogen beurteilt werden. Das Verfahren kann als exemplarisch für die Auslegung und Anwendung der DSGVO im Kontext sozialer Netzwerke betrachtet werden; weitere höchstrichterliche Entscheidungen, etwa durch den Bundesgerichtshof oder den Europäischen Gerichtshof, könnten noch stärker prägende Wirkung auf den künftigen Rechtsrahmen haben. Hinsichtlich der noch nicht bestandskräftigen Rechtslage und laufenden ähnlicher Verfahren gilt die Unschuldsvermutung für Unternehmen und deren Vertreter weiterhin (Quelle: OLG Hamm, Urteil vom 02.04.2024, Az. 7 U 19/23).
Für Unternehmen, Investoren und Privatpersonen, die sich im Zuge der fortschreitenden Digitalisierung mit komplexen Fragestellungen im Datenschutz- und IT-Recht konfrontiert sehen, kann es sinnvoll sein, sich zu aktuellen Entwicklungen und neuen Anforderungen an die Compliance fundiert beraten zu lassen. Die Rechtsanwälte von MTR Legal stehen für eine individuelle Prüfung und rechtssichere Begleitung im Lichte aktueller Rechtsprechung zur Verfügung.
