Der Grundsatz der Datenminimierung verpflichtet u.a. Plattformbetreiber dazu, Voreinstellungen so vorzunehmen, dass Daten nicht ohne Weiteres der Öffentlichkeit oder sonst einem unbestimmten Adressatenkreis zugänglich gemacht werden. Hiergegen wird verstoßen, wenn dieser Schutz erst durch eine individuelle Änderung der Voreinstellungen erreicht wird. Das Oberlandesgericht Frankfurt am Main (OLG) hat mit heute veröffentlichter Entscheidung die beklagte Betreiberin von Facebook u.a. zur Zahlung von 200,00 € Schadensersatz wegen eines Datenschutzverstoßes verpflichtet.
Die Klägerin nimmt die beklagte Betreiberin von Facebook u.a. auf Unterlassung und Schadensersatz in Anspruch. Sie unterhält ein Nutzerkonto bei der Beklagten. Die für die Registrierung des Kontos erforderlichen Pflichtangaben sind stets öffentlich einsehbar. Hinsichtlich weiterer angebbarer Daten können die Nutzer über Privatsphäre-Einstellungen entscheiden, welchen Nutzergruppen diese zugänglich sein sollen. Die Klägerin hatte bei der Sichtbarkeit ihr Konto so eingestellt, dass ihre Telefonnummer nur für sie sichtbar war. Bei den Suchbarkeitseinstellungen ihres Profils, bei denen es u.a. darum ging, wer sie anhand ihrer Telefonnummer finden kann, hatte sie es bei der Standardeinstellung „alle“ belassen. Hier wären ebenfalls Einschränkungen möglich gewesen. Im Fall der hier gewählten Standardeinstellung „alle“ ermöglichte es das von der Beklagten bereitgestellte sog. Kontaktimporttool bis September 2019 jedem Face-
book-Nutzer, das Profil eines anderen Nutzers mit Hilfe der von diesem hinterlegten Telefonnummer zu finden. Nutzer konnten ihre Kontakte von den Mobilgeräten auf Facebook hochladen, um mit Hilfe der Telefonnummer die jeweiligen Nutzer zu finden. Dies war auch möglich, wenn – wie hier – die Telefonnummer selbst nur für den Nutzer sichtbar war.
Zwischen Anfang 2018 und September 2019 erstellten unbekannte Dritte umfangreiche Listen mit möglichen Telefonnummern. Mithilfe von automatisierten Verfahren suchten sie dann Facebook-Nutzer mit den entsprechenden Telefonnummern. Sofern ein Facebook-Konto zur Nummer gefunden wurde, waren die sog. Scraper in der Lage, die mit der Telefonnummer verknüpften öffentlich zugänglichen Nutzerdaten abzurufen und abzuspeichern. Anfang April 2021 wurden Daten von ca. 533 Mio. Facebook-Nutzern sowie die den jeweiligen Profilen der Nutzer zugeordneten Telefonnummern im Darknet. durch unbekannte Dritte zum Download bereitgestellt. Hierzu gehörten auch die Daten der Klägerin.
Die Klägerin begehrt u.a. 1.000 € immateriellen Schadensersatz zum Ausgleich des Datenschutzverstoßes und die Unterlassung zukünftiger vergleichbarer Datenschutzverstöße. Das Landgericht hat die Klage abgewiesen. Die Berufung der Klägerin hatte teilweise Erfolg.
Die Klägerin könne verlangen, dass die Beklagte es unterlasse, aufgrund einer von der Beklagten gesetzten Voreinstellung personenbezogene Daten der Klägerin unberechtigten Dritten – namentlich Hackern und/oder Scrapern – über eine Importsoftware von Kontakten zugänglich zu machen, entschied der für Datenschutz zuständige 6. Zivilsenat des OLG. Die Nutzer als Inhaber personenbezogener Daten verfügten über ein vertraglich geschütztes Interesse an einer gesetzeskonformen Verarbeitung ihrer Daten. Die Beklagte habe sich nicht datenschutzkonform verhalten. Sie habe gegen den Grundsatz der Datenminimierung verstoßen. Die Beklagte müsse nach der Datenschutzgrundverordnung (i.F.: DSGVO) Voreinstellungen so setzen, dass die Zugänglichmachung von Daten ohne Weiteres verhindert werde. Die Voreinstellung müsse so gesetzt werden, dass nicht erste eine bewusste persönliche Änderung der Voreinstellung diesen Schutz gewährleiste. Die hier zu beurteilende Voreinstellung, wonach „allen“ anderen Facebook-Nutzern die Suche eines Nutzerprofils über die Telefonnummer – sowie die Verknüpfung mit den dazugehörigen „öffentlichen“ personenbezogenen Daten möglich gewesen sei – entspreche nicht diesen gesetzlichen Vorgaben.
Wegen dieses Datenschutzverstoßes könne die Klägerin auch Schadensersatz in Höhe von 200,00 € verlangen. Sie habe über den mit dem Datenschutzverstoß verbundenen allgemeinen Kontrollverlust hinaus befürchtet, dass Dritte ihre im Darknet veröffentlichten Daten missbräuchlich verwenden. Es sei überwiegend wahrscheinlich, dass die Klägerin aufgrund dieser Befürchtungen korrespondierende psychische Beeinträchtigungen erlitten habe. Dies rechtfertige einen Gesamtschaden in Höhe von 200,00 €.
Oberlandesgericht Frankfurt am Main, Urteil vom 8.4.2025, Az. 6 U 79/23
(vorausgehend Landgericht Wiesbaden, Urteil vom 13.4.2023, Az. 10 O 52/22)
OLG Frankfurt am Main, 24.04.2025