Meta-Scraping-Urteil: OLG München stärkt Nutzerrechte bei „Kontrollverlust“

Der automatisierte Abgriff öffentlich zugänglicher Informationen (Scraping) beschäftigt die Justiz seit Jahren. Das Oberlandesgericht (OLG) München hat mit einem jetzt veröffentlichten Endurteil von Ende September (Az. 36 U 1368/24 e) ein deutliches Signal an Betreiber sozialer Netzwerke gesendet. Im Kern geht es um den Schutz von Daten, die zwar theoretisch einsehbar sind, aber durch mangelhafte Voreinstellungen zum Ziel massenhafter Sammelei werden. Das OLG sprach einem Betroffenen nicht nur Schadensersatz zu, sondern korrigierte auch eine wesentliche verfahrensrechtliche Hürde zugunsten der Nutzer.

Der Fall führt zurück ins Jahr 2019. Damals wurde bekannt, dass über eine Kontakt-Import-Funktion bei Facebook weltweit rund 533 Millionen Datensätze abgegriffen und später im Darknet veröffentlicht worden waren.

Auch der Kläger war betroffen: Seine Telefonnummer, die er eigentlich nicht öffentlich teilen wollte, wurde mit seinem Profil verknüpft. Grund: Die standardmäßige Suchbarkeitsoption war auf „alle“ voreingestellt. Dritte konnten so über automatisierte Anfragen Listen von Telefonnummern abgleichen und die zugehörigen Profile identifizieren.

Das Landgericht München hatte die Klage ursprünglich abgewiesen. Das höher gestellte OLG sieht die Verantwortlichkeit aber klar beim Plattformbetreiber. Facebook habe gegen den Grundsatz der Datenminimierung und die Pflicht zu datenschutzfreundlichen Voreinstellungen verstoßen. Dass die Nutzer theoretisch die Möglichkeit hätten, ihre Privatsphäre-Einstellungen manuell anzupassen, entlasse den „Herrn der Technik“ nicht aus der Verantwortung.

Eine Standardeinstellung, die eine weltweite Suchbarkeit der Telefonnummer ermögliche, sei für den eigentlichen Vertragszweck – die Vernetzung von Menschen – schlicht nicht erforderlich. Das Gericht monierte zudem das Fehlen technischer Hürden wie Captchas oder effektiver IP-Überprüfungen, die den massenhaften Abgriff hätten erschweren können.

Greifen der DSGVO: „Sekundäre Darlegungslast“

Besondere juristische Relevanz entfaltet das Urteil bei der Frage, wann ein Vorfall zeitlich einzuordnen ist. Da die Datenschutz-Grundverordnung (DSGVO) erst seit Mai 2018 gilt, argumentieren Konzerne häufig, die kritischen Datenabflüsse hätten bereits vor diesem Stichtag begonnen und fielen so in eine rechtliche Grauzone.

Dieser Taktik schiebt das OLG einen Riegel vor: Facebook treffe eine sogenannte sekundäre Darlegungslast, entschied es. Da nur der Betreiber Einblick in die internen technischen Abläufe und Logfiles habe, müsse er detailliert nachweisen, wann genau das Scraping stattfand. Gelingt dieser Nachweis nicht, wird zugunsten des Nutzers die Anwendbarkeit der strengen DSGVO-Regeln unterstellt.

Bei der Bemessung des Schadens folgte das OLG der aktuellen Linie des Europäischen Gerichtshofs und im Kern auch der des Bundesgerichtshofs. Demnach begründet bereits der bloße Kontrollverlust über personenbezogene Daten einen immateriellen Schaden. Dass die Informationen im Darknet auftauchten, manifestiere diesen Verlust dauerhaft. Dem Kläger sprach die Berufungsinstanz dafür 200 Euro zu. Diese an sich überschaubare Summe kann angesichts der Millionen Betroffenen für Meta bei einer Klagewelle schnell bedrohliche Ausmaße annehmen.

Das Urteil unterstreicht dem IT-Rechtler Jens Ferner zufolge einen sich in der Rechtsprechung vollziehenden Paradigmenwechsel: Plattformen hafteten nicht nur für aktive Fehler, sondern auch für strukturelle Designschwächen ihrer Systeme. Der Beschluss mache deutlich, dass die DSGVO kein zahnloser Tiger sei, sondern ein wirksames Instrument des individuellen Rechtsschutzes. Für Firmen bedeute dies, dass datenschutzfreundliche Voreinstellungen („Privacy by Default“) keine bloße Empfehlung seien, sondern eine rechtliche Notwendigkeit.

(wpl)