Das Oberlandesgericht Frankfurt am Main (Urteil vom 08.04.2025 – 6 U 79/23) hat die Betreiberin von Facebook zur Zahlung von 200 € Schadensersatz verurteilt. Hintergrund war ein Datenschutzverstoß durch eine fehlerhafte Voreinstellung, die das massenhafte Scraping von Nutzerprofilen ermöglichte.
Kontaktimport ermöglichte Abgriff sensibler Daten
Die Klägerin hatte ein Facebook-Konto, bei dem sie ihre Telefonnummer so eingestellt hatte, dass sie nur für sie selbst sichtbar war. Die Suchfunktion nach Telefonnummern war jedoch auf die Standardeinstellung „alle“ gesetzt. Dadurch konnte das Kontaktimport-Tool, das Facebook bis September 2019 bereitstellte, von jedem Nutzer verwendet werden, um anhand hochgeladener Telefonnummern die zugehörigen Profile zu finden – auch wenn diese Nummern selbst nicht öffentlich angezeigt wurden.
Zwischen Anfang 2018 und September 2019 nutzten Dritte diese Funktion in automatisierter Weise aus, indem sie systematisch Nummernlisten erstellten und abglichen. Die so identifizierten öffentlichen Profildaten wurden gesammelt. Im April 2021 tauchten rund 533 Millionen Datensätze, darunter auch die der Klägerin, samt Telefonnummern im Darknet auf.
Sie forderte daraufhin 1.000 € immateriellen Schadensersatz und künftige Unterlassung derartiger Verstöße. Das Landgericht wies die Klage zunächst ab.
Pflicht zur datensparsamen Voreinstellung verletzt
Der 6. Zivilsenat des Oberlandesgerichts gab der Berufung teilweise statt.
Die Beklagte habe gegen den datenschutzrechtlichen Grundsatz der Datenminimierung gemäß DSGVO verstoßen. Plattformen wie Facebook seien verpflichtet, Voreinstellungen so zu wählen, dass Nutzerinformationen nicht ohne aktives Zutun einem unbegrenzten Adressatenkreis zugänglich sind. Die hier verwendete Standardfreigabe der Suchfunktion widerspreche dieser Vorgabe, da sie ohne aktives Zutun der Nutzer zu einer weitreichenden Zugänglichkeit führe. Der Zugriff über das Kontaktimport-Tool sei auch dann möglich gewesen, wenn die Telefonnummer als solche nicht sichtbar war. Diese Praxis sei datenschutzwidrig.
Die Klägerin habe zudem einen Anspruch auf immateriellen Schadensersatz in Höhe von 200 €, da der Kontrollverlust über ihre personenbezogenen Daten zu nachvollziehbaren Ängsten und psychischen Belastungen geführt habe. Die teilweise erfolgreiche Klage führe daher zur Verurteilung zur Zahlung und zur künftigen Unterlassung.
Tipp: Bei der Gestaltung von Benutzeroberflächen und Voreinstellungen muss besonders darauf geachtet werden, dass Datenschutzprinzipien wie der Grundsatz der Datenminimierung konsequent umgesetzt werden. Sensible Informationen dürfen nicht durch technische Standards ohne bewusste Zustimmung der Nutzer offengelegt werden. Unternehmen sollten regelmäßig überprüfen, ob ihre Standardeinstellungen datenschutzkonform sind – andernfalls drohen Schadenersatzforderungen.
Symbolgrafik:© nanomanpro - stock.adobe.com
Sofortantwort 24/7
Rechtsanwalt gesucht?
Sie haben Fragen?