Scraping-Vorfall bei Facebook

31. Mai 2024

In den vergangenen Jahren hat der Wert von personenbezogenen Daten zunehmend an Bedeutung gewonnen. Das führt auch immer häufiger zu illegalen Versuchen, diese Daten zu erlangen. Der Scraping-Vorfall bei dem sozialen Netzwerk Facebook verdeutlichen die Herausforderungen, die sich aus Datenschutzverletzungen ergeben. Am 16.04.2024 hat sich das OLG Dresden mit diesem Thema auseinandergesetzt und laut Pressemitteilung vom 22.05.2024 wird am 08.10.2024 der BGH über zwei vergleichbare Sachverhalte verhandeln.

Was ist Scraping?

Scraping bezeichnet das automatisierte Extrahieren von Daten von Webseiten durch spezielle Software oder Skripte, die diese Informationen sammeln. Dabei können verschiedene Arten von Daten betroffen sein, wie Texte oder Bilder, die auch personenbezogen sein können.

Scraping-Vorfall bei Facebook

Den Sachverhalten liegt ein Datenschutzvorfall bei Facebook zugrunde. Damals hatten Dritte mit Hilfe des „Contact Import Tools (CIT) eine Fülle an Telefonnummern, Namen und E-Mail-Adressen heruntergeladen. Im Anschluss konnten sie diese Facebook-Profilen zuordnen und deren öffentlich verfügbare Daten sammeln. Das Scraping bei Facebook betraf ungefähr 533 Millionen Datensätze. Infolgedessen stellte die irische Datenschutzbehörde unzureichende Sicherheitsmaßnahmen fest und verhängte eine Geldbuße in Höhe von 265 Millionen Euro an Meta.

OLG Dresden: Schadensersatz gegen Facebook wegen Scraping

Der Sachverhalt

Im Fall vor dem OLG Dresden (4 U 213/24) verlangte die Klägerin immateriellen Schadensersatz von Facebook. Sie warf der Social-Media-Plattform vor, ungenügende Sicherheitsvorkehrungen gegen Scraping getroffen zu haben. Im Übrigen seien die Datenschutzeinstellungen- und -aufklärungen nutzerfeindlich und unübersichtig gewesen. Infolge des Scrapings sei es bei ihr zu psychischen Belastungen und Kontrollverlust über ihre Daten gekommen. Sie habe außerdem von Fremden E-Mails und SMS-Nachrichten erhalten. Facebook hielt dem entgegen, dass die Sicherheitsvorkehrungen ausreichend gewesen seien. Die Daten seien außerdem ohnehin öffentlich einsehbar gewesen. Ein immaterieller Schaden sei im Übrigen nicht entstanden.

Entscheidung des OLG Dresen

Bislang hatten Schadensersatzansprüche in diesem Zusammenhang wenig Erfolg. Das OLG Dresden stellte zwar grundsätzlich sowohl datenschutzwidrige Voreinstellungen als auch eine fehlende Rechtfertigungsgrundlage und damit einen Datenschutzverstoß fest. Allerdings wies es die Klage trotzdem ab, da die Klägerin keinen konkreten immateriellen oder materiellen Schaden nachweisen könne. Wie der EuGH, betonte das OLG, dass ein Schadensersatzanspruch ohne Vorliegen eines konkreten Schadens ausscheidet. Die bloße abstrakte Möglichkeit eines Missbrauchs reiche nicht aus. Die entsprechenden Beweis- und Darlegungspflichten habe die Klägerin hier nicht erfüllt. Die Spam-Kontaktierungen hätten nicht zweifelsfrei alleinig auf den Facebook-Datenschutzvorfall zurückgeführt werden können. Auch einen zukünftigen mit hinreichender Wahrscheinlichkeit eintretenden Schaden habe die Klägerin nicht genügend dargelegt.

BGH: Verhandlung zu Scraping im Oktober 2024

Laut Pressemitteilung vom 22.05.2024 wird sich der BGH noch diesen Oktober in zwei Revisionen mit der gleichen Thematik befassen. Konkret geht es um die Frage, „welche Ansprüche Betroffenen zustehen, deren Daten im Rahmen [von] […] Scraping[ ] von unbekannten Dritten erlangt und im Internet verbreitet wurden“.

Fall VI ZR 22/24

In der Rechtssache VI ZR 22/24 verlangt der Kläger Ersatz für bereits eingetretene und zukünftige immaterielle und materielle Schäden. Durch den Datenschutzvorfall habe er „Ängste, Stress, Komfort- und Zeiteinbußen erlittenen“. Das Landgericht wies die Klage ab, während das Oberlandesgericht der Berufung teilweise stattgab und die Verpflichtung zur Erstattung zukünftiger Schäden bestätigte. Der Kläger verfolgt nun die weiteren Ansprüche vor dem BGH.

Fall VI ZR 7/24

Auch im Fall zur Rechtssache VI ZR 7/24 verlangt der Kläger Schadensersatz. Seine Daten seien durch den Scraping-Vorfall bei Facebook missbraucht und im Darknet veröffentlicht worden. Der immaterielle Schaden liege in einem erheblichen Kontrollverlust und dem damit verbundenen andauerndem großem Unwohlsein. Das Landgericht und das Oberlandesgericht wiesen die Klage ab. Der Kläger verfolgt seine Ansprüche nun ebenfalls vor dem BGH weiter.

Fazit

Die Urteile zeigen erneut, dass Betroffene konkrete Nachweise erbringen müssen, um Schadensersatzansprüche erfolgreich durchzusetzen. Es bleibt nun spannend, ob der BGH der Linie des EuGH bezüglich immaterieller Schadensersatzansprüche auch im Bereich des Scrapings folgen wird.