Die Haftung bei Datenlecks am Beispiel des Facebook-Scrapings
Datenlecks – wer fürchtet sie nicht? Bereits die Ungewissheit, ob nicht doch auch eigene Daten betroffen sein könnten, beunruhigt viele schon beim Gedanken daran. Das Gefühl, das sich langsam breitmacht: Kontrollverlust. Nicht umsonst ist der Kontrollverlust ein wichtiger Faktor bei der Bewertung von Datenpannen und der Durchführung von Datenschutz-Folgenabschätzungen.
Gelangen Kontaktdaten erst einmal in Umlauf, können sie schnell zur Belastung werden, seien es unerwünschte Anrufe oder Phishing-Mails. Als letzte Abhilfe muss oft eine neue Telefonnummer oder E-Mail-Adresse her. In den meisten Fällen lässt sich das Datenleck durch die Betroffenen nicht ausfindig machen. Doch wer haftet für einen solchen Kontrollverlust? Welche Maßnahmen müssen Verantwortliche ergreifen, um die Daten angemessen zu sichern?
In seinen Entscheidungen C-340/21 und C‑456/22 vom 14.12.2023 stellte der Europäische Gerichtshof (EuGH) fest, dass einerseits allein die Befürchtung einer Person, dass personenbezogene Daten missbräuchlich verwendet werden könnten, einen immateriellen Schaden darstellen kann, und es andererseits hierbei nicht auf eine sog. Bagatellgrenze ankommt (wir berichteten). Die Bewertung, ob eine solche Befürchtung im Einzelfall begründet ist, obliegt den nationalen Gerichten. Die Urteile des EuGH kamen rechtzeitig zur Bewertung einiger der Facebook-Scraping-Fälle durch die deutschen Gerichte.
Was ist passiert?
Zwischen Januar 2018 und September 2019 wurden personenbezogene Daten von Facebook-Nutzenden zum Gegenstand von Scraping (zu Deutsch: Abschöpfen). Beim Scraping werden Informationen, oft automatisiert mittels Software und technischen Verfahren, von Webseiten ausgelesen. Anschließend werden diese Informationen missbräuchlich verwendet oder verbreitet. 2021 wurden die betroffenen Facebook-Daten veröffentlicht und weitere Scraping-Fälle, bspw. bei LinkedIn und Clubhouse, wurden bekannt. Die zunächst nicht sensibel wirkenden Daten entsprangen dabei meist öffentlichen Profilen: Namen, Geburtsdaten, Telefonnummer.
Dennoch geht auch und gerade mit solchen Daten ein nicht unerhebliches Risikopotential einher, da sie verwendet werden können, um beispielsweise durch Phishing an Finanzdaten und Passwörter zu gelangen.
Wie urteilen die nationalen Gerichte?
Eins macht die Rechtsprechung der letzten Monate zu den Facebook-Scraping-Fällen deutlich: Nicht jede Person, die von einer Datenschutzverletzung betroffen ist, hat automatisch Anspruch auf Schadensersatz. Einige der Facebook-Scraping-Fälle wurden zugunsten der Betroffenen entschieden, viele andere wurden als unbegründet abgewiesen. In jedem dieser Fälle muss der konkret erlittene (immaterielle) Schaden durch die Betroffenen glaubhaft dargelegt werden.
Dabei stellt der Kontrollverlust selbst noch keinen Schaden dar (vgl. OLG München, Beschluss vom 2.2.2024 - 27 U 2408/23 e), er kann jedoch aus dem Kontrollverlust resultieren. In vielen Fällen ist es den Betroffenen nicht gelungen, einen individuellen Schaden nachzuweisen. Insbesondere pauschale Befürchtungen einer missbräuchlichen Datenverarbeitung reichten nicht aus, um Schadensersatzansprüche geltend zu machen. Die Gerichte urteilten daher vielfach zugunsten der beklagten Verantwortlichen und verneinten einen Anspruch auf Schadensersatz.
Wo endet die Verantwortung der Unternehmen?
Oft konnte durch die Gerichte nicht zweifelsfrei festgestellt werden, ob vermehrte Spam-Anrufe und Nachrichten tatsächlich auf das Scraping zurückzuführen waren. Das Vorliegen eines Kontrollverlustes wurde zumindest für die öffentlich verfügbaren und für die Nutzung erforderlichen Daten (Name, Vorname) regelmäßig verneint (vgl. OLG Dresden, Urteil vom 30.1.2024 – 4 U 1481/23).
In anderen Fällen führte der nachgewiesene Schaden infolge des Kontrollverlustes über die Telefonnummer durchaus zu einem Schadensersatzanspruch der Betroffenen. Das Argument: Die Betroffenen hätten auf datenschutzrechtliche Voreinstellungen der Verantwortlichen vertraut (OLG Oldenburg, Urteil vom 30.4.2024 – 13 U 89/23).
Fazit
Die EuGH-Entscheidungen zum immateriellen Schadensersatz nach Datenschutzverletzungen haben auch auf nationaler Ebene neue Türen für Gerichte und Betroffene geöffnet. Ob letztlich Schadensersatzansprüche geltend gemacht werden können, hängt von den individuellen Umständen jedes Einzelfalls ab.
Die Entscheidungen auf nationaler Ebene haben dabei in Einklang mit der Rechtsprechung des EuGH auch gezeigt, dass Verantwortliche durchaus für mangelnden Datenschutz im Falle von Cyberangriffen haften können. Verantwortliche sollten dabei bereits vor der eigentlichen Verarbeitung mit dem Datenschutz beginnen: Sowohl durch die Einhaltung von Datenminimierung und Zweckbindung, als auch durch datenschutzfreundliche Technikgestaltung und datenschutzfreundliche Voreinstellungen kann die Position des Verantwortlichen frühzeitig gestärkt werden. Im Streitfall obliegt dem Verantwortlichen schließlich die in Art. 5 Abs. 2 DSGVO normierte Rechenschaftspflicht.
Autorin: Rebecca Schimkat