Das Oberlandesgericht Frankfurt (OLG) am Main hat die Betreiberin von Facebook zur Zahlung von 200 Euro Schadenersatz an eine Nutzerin wegen Verstoßes gegen datenschutzrechtliche Vorgaben verurteilt. Zudem wurde der Beklagten untersagt, personenbezogene Daten durch voreingestellte Funktionen Dritten zugänglich zu machen.
Die Klägerin unterhält ein Facebook-Konto und hatte ihre Telefonnummer in den Privatsphäre-Einstellungen so hinterlegt, dass sie nur für sie selbst sichtbar war. In den separaten Einstellungen zur Auffindbarkeit über die Telefonnummer beließ sie jedoch die werksseitige Standardeinstellung „alle“. Diese ermöglichte es Facebook-Nutzern bis September 2019, über ein Kontaktimporttool nach Nutzern anhand von Telefonnummern zu suchen – selbst dann, wenn die Nummer im Profil nicht öffentlich angezeigt wurde.
Unbekannte Dritte nutzten diese Lücke zwischen Anfang 2018 und September 2019 aus, indem sie massenhaft Telefonnummern generierten und diese automatisiert mit Facebook-Konten abglichen. Bei Übereinstimmungen konnten sie öffentlich zugängliche Profildaten den Nummern zuordnen und speichern – so genanntes Scraping. Anfang April 2021 wurden diese Daten – darunter die der Klägerin – im Darknet veröffentlicht. Insgesamt waren rund 533 Millionen Facebook-Nutzer betroffen.
Anspruch auf Schadenersatz im unteren dreistelligen Bereich
Die Klägerin verlangte 1.000 Euro immateriellen Schadenersatz und Unterlassung weiterer Datenschutzverstöße. Das Landgericht wies die Klage zunächst ab. In der Berufung hatte sie jedoch teilweise Erfolg. Das OLG stellte fest, dass Facebook gegen den in Art. 5 Abs. 1 lit. c DSGVO verankerten Grundsatz der Datenminimierung verstoßen habe. Dieser verpflichtet Unternehmen, datenschutzfreundliche Voreinstellungen zu treffen, sodass personenbezogene Daten nicht ohne aktive Zustimmung für eine breite Öffentlichkeit zugänglich sind.
Facebook hätte die Auffindbarkeit über die Telefonnummer standardmäßig deaktivieren müssen. Der Schutz dürfe nicht erst durch bewusste Änderungen durch die Nutzer erreicht werden. Dass Dritte – insbesondere Scraper – mit Hilfe dieser Voreinstellung Zugriff auf personenbezogene Daten erhielten, sei datenschutzrechtlich unzulässig.
Der Senat erkannte der Klägerin einen Schadenersatz in Höhe von 200 Euro zu. Dieser umfasse den Verlust der Kontrolle über ihre Daten sowie psychische Belastungen durch die Sorge vor Missbrauch der im Darknet veröffentlichten Informationen.
OLG Frankfurt am Main, Urteil vom 08.04.2025 – Az. 6 U 79/23
- Anmelden, um Kommentare verfassen zu können
