Die betroffene Person darf darauf vertrauen, dass die Verantwortliche die jeweils datenschutzfreundlichsten Voreinstellungen wählt.

Germany. OLG Düsseldorf. Ein Nutzer eines sozialen Netzwerks klagte dessen Betreiberin, nach einem sogenannten Scraping-Vorfall auf der Plattform, bei dem zahlreiche Nutzerdaten unrechtmäßig von Dritten gesammelt wurden. Der Nutzer verlangte Schadenersatz und begründete dies mit dem Verlust der Kontrolle über seine Daten und des damit einhergehenden subjektiven Kontrollverlusts. Zusätzlich stellte er Unterlassungsanträge und forderte Auskunft über die weiteren Hintergründe und Akteure des Vorfalls.

Bei der Anmeldung beim sozialen Netzwerk hinterlegte der Nutzer vor Jahren freiwillig seine Mobilfunknummer. Dabei setzte die Betreiberin des sozialen Netzwerks die Standardeinstellung „suchbar“, wodurch andere Nutzer die Mobilfunknummer einerseits in einer Suchfunktion eingeben und darüber das Profil des Nutzers finden konnten. Andererseits stellte die Betreiberin eine Kontaktimport-Funktion bereit. Diese Funktion erlaubte es, die eigenen Kontakte hochzuladen und damit Personen zu finden, die auf der Plattform mit einer Mobilfunknummer registriert waren. Mangels ausreichender Schutzvorkehrungen bestand jedoch auch die Möglichkeit, durch systematisches Ausprobieren von Telefonnummern und deren Abgleich mit den auf der Plattform hinterlegten Nummern, Profile und weitere Nutzerdaten abzurufen und zu sammeln („Scraping“). Ab 2018 kam es zu einem solchen massenhaften Scraping, sodass Mobilfunknummer, Nutzername und die öffentlichen Profildaten der betroffenen Nutzer abgerufen wurden. Ferner tauchten die abgerufenen und gesammelten Daten 2021 im Internet zum Verkauf auf.

Die Betreiberin des sozialen Netzwerks wies die Ansprüche zurück und argumentierte, dass die Standardeinstellungen zur Suchbarkeit von Telefonnummern transparent und den Nutzern bekannt gewesen seien. Alle Nutzer hätten die Möglichkeit gehabt, die eigene Telefonummer gar nicht erst bereitzustellen und die Standardeinstellungen zur Suchbarkeit eigenständig zu ändern. Es bestehe jedenfalls keine Grundlage für einen Schadenersatzanspruch. Dies insbesondere, weil durch das Scraping keine konkreten Schäden erlitten wurden. Der bloße Kontrollverlust über die Daten reiche nicht aus, um einen immateriellen Schaden zu begründen. Weiterhin legte sie dar, dass Spamanrufe und unerwünschte Nachrichten nicht kausal mit dem Scraping-Vorfall in Verbindung gebracht werden könnten.

Hierzu das Gericht in dieser Entscheidung:

• Aus der Verlinkung der Privatsphäre-Einstellungen in den Nutzungsbedingungen sowie den Privatsphäre-Tools und Hilfebereichsseiten ergibt sich keine transparente Information über Datenverarbeitung.
• Die betroffene Person darf wegen Art 25 Abs 2 EU-DSGVO darauf vertrauen, dass die Verantwortliche die jeweils datenschutzfreundlichsten Voreinstellungen wählt.
• Die technisch mögliche Suche des Nutzerprofils einer betroffenen Person durch Dritte anhand ihrer Mobilfunknummer stellte eine von der Verantwortlichen ermöglichte Form der Bereitstellung von personenbezogenen Daten dar.
• Die Verarbeitung ohne Rechtsgrundlage ist nicht nur einen Verstoß gegen die EU-DSGVO sondern auch eine verordnungswidrige Datenverarbeitung.
• In dem Verlust der Kontrolle über personenbezogene Daten liegt zwar als solches noch kein ersatzfähiger Schaden.
• Großen Unwohlsein, große Sorge über einen etwaigen Datenmissbrauch, ein Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit können aber grundsätzlich einen immateriellen Schaden darstellen.