Scraping bei Facebook – Betroffenheit des Inhabers eines gelöschten Nutzerkontos
Urteil des OLG Frankfurt: Schadensersatz und Unterlassung nach Facebook-Datenleck
Das Oberlandesgericht (OLG) Frankfurt am Main hat in seinem Urteil vom 2. Mai 2025 (Az. 6 U 11/24) über die Klage eines ehemaligen Facebook-Nutzers gegen das Unternehmen entschieden, das das soziale Netzwerk betreibt. Es ging um Ansprüche wegen Datenschutzverstößen im Zusammenhang mit einem großen Datenleck (bekannt als „Scraping-Vorfall“), bei dem Daten von Millionen von Nutzern illegal gesammelt und veröffentlicht wurden.
Was ist passiert?
Zwischen Januar 2018 und September 2019 nutzten Unbekannte eine Schwachstelle in der Kontakt-Import-Funktion von Facebook aus. Diese Funktion erlaubte es, Nutzerprofile anhand ihrer Telefonnummer zu suchen und zu finden.
Das Problem:
Die Standardeinstellung von Facebook erlaubte es, dass alle Nutzer über die Telefonnummer gesucht werden konnten, selbst wenn die Telefonnummer im Profil als „privat“ eingestellt war. Die Angreifer, sogenannte Scraper, generierten automatisierte Ziffernfolgen (Telefonnummern) und nutzten die Import-Funktion, um öffentlich sichtbare Profildaten (wie Name, Geschlecht, Wohnort, Beziehungsstatus und Arbeitgeber) abzugreifen und mit der jeweiligen Telefonnummer zu verknüpfen.
Diese gesammelten Datensätze von etwa 533 Millionen Nutzern, darunter auch die des Klägers, wurden im April 2021 frei im Internet (Darknet) zum Download bereitgestellt.
Die Entscheidung des Gerichts
Das OLG Frankfurt gab dem Kläger in weiten Teilen Recht und änderte damit ein vorheriges Urteil des Landgerichts ab.
Schadensersatz (Geldentschädigung)
Das Gericht sprach dem Kläger 200 Euro immateriellen Schadensersatz zu. Dies basiert auf Artikel 82 der Datenschutz-Grundverordnung (DSGVO).
Datenschutzverstoß:
Das OLG sah einen Verstoß gegen die DSGVO. Insbesondere wurde gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und die Pflicht zu datenschutzfreundlichen Voreinstellungen (Art. 25 Abs. 2 DSGVO) verstoßen. Die Standardeinstellung, die das Suchen über die Telefonnummer erlaubte, ohne dass der Nutzer dies bewusst ändern musste, war datenschutzwidrig. Es gab auch keine wirksame Einwilligung des Klägers für diese Art der Datenverarbeitung.
Scraping bei Facebook – Betroffenheit des Inhabers eines gelöschten Nutzerkontos
Schaden:
Das Gericht sah bereits im Kontrollverlust über die eigenen Daten einen Schaden im Sinne der DSGVO. Da die Daten des Klägers, verknüpft mit seiner Telefonnummer, dauerhaft im Darknet veröffentlicht wurden, entstand ein begründeter Befürchtungsschaden, also die Sorge vor einem möglichen Missbrauch seiner Daten durch Dritte (z.B. Spam oder Betrugsversuche).
Höhe:
Das OLG schätzte 100 Euro für den reinen Kontrollverlust und erhöhte den Betrag wegen der begründeten Befürchtung eines Missbrauchs auf insgesamt 200 Euro.
Feststellung zukünftiger Schäden
Das Gericht stellte fest, dass das Unternehmen verpflichtet ist, dem Kläger auch alle künftigen materiellen und immateriellen Schäden zu ersetzen, die durch den Datenabfluss entstehen können. Solange die Daten im Internet verfügbar sind, ist das Risiko zukünftiger Schäden nicht nur theoretisch.
Unterlassung (Verbot für Facebook)
Das Unternehmen wurde zur Unterlassung von zwei Handlungen verurteilt:
Voreinstellungen:
Es muss unterlassen werden, Voreinstellungen zu wählen, durch die ohne bewusste Änderung des Nutzers personenbezogene Daten (wie Name, Geschlecht, Ort, Beziehungsstatus) öffentlich zugänglich gemacht werden und gleichzeitig eine Suchbarkeit des Profils über die Telefonnummer für alle Nutzer ermöglicht wird.
Telefonnummer-Verarbeitung:
Es muss unterlassen werden, die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die durch unvollständige Informationen erlangt wurde – insbesondere, weil nicht klar informiert wurde, dass die Telefonnummer auch bei Einstellung auf „privat“ durch das Kontaktimporttool verwendet werden kann.
Verantwortung liegt beim Unternehmen:
Das Urteil bekräftigt, dass Betreiber großer sozialer Netzwerke eine hohe Verantwortung für die Sicherheit der Daten ihrer Nutzer tragen. Sie müssen sicherstellen, dass die Standardeinstellungen (Privacy by Default – Art. 25 DSGVO) maximal datenschutzfreundlich sind.
Schaden durch Kontrollverlust:
Es wird bestätigt, dass bereits der Verlust der Kontrolle über die eigenen Daten – selbst wenn es „nur“ um öffentlich sichtbare Daten geht, die mit der privaten Telefonnummer verknüpft werden – ein entschädigungspflichtiger Schaden ist. Nutzer müssen keine konkreten Betrugsfälle nachweisen, um einen Anspruch zu haben.
Betroffenheit trotz Kontolöschung:
Auch wenn der Kläger sein Konto zwischenzeitlich gelöscht hatte, war er von dem Vorfall betroffen, und das Unternehmen musste haften.
Kurzinformationen zum Urteil
Gericht: OLG Frankfurt am Main, 6. Zivilsenat
Datum: 02.05.2025
Aktenzeichen: 6 U 11/24
Fazit:
Facebook haftet für den Scraping-Vorfall wegen datenschutzwidriger Voreinstellungen und muss dem Kläger 200 Euro Schadensersatz zahlen und zukünftige Schäden feststellen lassen.
