Das Urteil des Oberlandesgerichts Hamm vom 5. November 2024 (Az.: 7 U 83/24) beleuchtet zentrale Fragen zum Schadensersatz bei Datenschutzverstößen, insbesondere im Hinblick auf den immateriellen Schaden durch Kontrollverlust über personenbezogene Daten. Die Entscheidung präzisiert die Voraussetzungen und Grenzen eines solchen Anspruchs und verdeutlicht die Herausforderungen für Betroffene, ihren Schaden darzulegen und zu beweisen.
Der Hintergrund: Scraping-Vorfall und Kontrollverlust
Die Klägerin war Nutzerin der Plattform Facebook, betrieben von der Beklagten. Zwischen 2018 und 2019 kam es zu einem Scraping-Vorfall, bei dem Daten wie Telefonnummern, Namen und Geschlechterangaben von Millionen Nutzern, darunter die Klägerin, durch unbefugte Dritte abgegriffen wurden. Die Klägerin machte geltend, durch diesen Vorfall die Kontrolle über ihre personenbezogenen Daten verloren zu haben, und verlangte immateriellen Schadensersatz sowie weitere Feststellungen und Unterlassungen.
Zentrale Aspekte des Urteils
1. Immaterieller Schaden bei Kontrollverlust
Das OLG Hamm folgte der aktuellen Rechtsprechung des Bundesgerichtshofs (BGH, Urteil vom 18.11.2024 – VI ZR 10/24), wonach bereits der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann. Weder konkrete negative Folgen noch eine missbräuchliche Nutzung der Daten sind erforderlich.
Allerdings betonte das Gericht, dass der Betroffene darlegen und beweisen muss, dass der Kontrollverlust tatsächlich eingetreten ist. Dabei genügt es nicht, pauschal zu behaupten, die Daten seien unbefugt verarbeitet worden. Es muss konkret gezeigt werden, dass und in welchem Umfang der Betroffene zuvor Kontrolle über die Daten hatte und diese durch den Vorfall verloren ging.
2. Prüfung durch persönliche Anhörung
Die Klägerin wurde persönlich angehört. Dabei stellte sich heraus, dass sie ihre Telefonnummer regelmäßig und ohne größere Einschränkungen weitergab, etwa auf Visitenkarten oder in sozialen Netzwerken. Das Gericht sah daher keinen Kontrollverlust, da die Klägerin die Verbreitung ihrer Telefonnummer bereits vor dem Scraping-Vorfall nicht gezielt eingeschränkt hatte. Ein Schaden durch den Vorfall war somit nicht feststellbar.
3. Keine Feststellung zukünftiger Schäden
Das Gericht wies auch den Antrag auf Feststellung zukünftiger Schäden zurück. Es fehlte an der hinreichenden Wahrscheinlichkeit, dass der Scraping-Vorfall zu weiteren materiellen oder immateriellen Schäden führen würde. Bloße theoretische Möglichkeiten reichen nicht aus.
Konsequenzen für die Praxis
Das Urteil verdeutlicht die Bedeutung einer sorgfältigen Darlegung im Rahmen von DSGVO-Schadensersatzklagen. Betroffene müssen detailliert nachweisen, dass sie vor dem Datenschutzverstoß tatsächlich Kontrolle über ihre Daten hatten und diese durch den Vorfall verloren haben. Insbesondere bei Daten, die regelmäßig öffentlich zugänglich gemacht werden (z. B. Telefonnummern), ist ein solcher Nachweis oft schwierig.
Für Unternehmen wie Facebook zeigt das Urteil, dass Datenschutzverstöße nicht automatisch zu Schadensersatzansprüchen führen. Dennoch bleibt die Verpflichtung, präventive Maßnahmen zur Datensicherheit zu ergreifen, zentral, um Rechtsstreitigkeiten und Imageschäden zu vermeiden.
Fazit
Das OLG Hamm hat mit seinem Urteil die Anforderungen an die Darlegung eines immateriellen Schadens konkretisiert und die Bedeutung der individuellen Sachverhaltsaufklärung unterstrichen. Das Urteil stärkt die Position von Unternehmen bei pauschalen Schadensersatzklagen, betont aber zugleich die Notwendigkeit eines umfassenden Datenschutzmanagements.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530