Der Grundsatz der Datenminimierung verpflichtet Plattformbetreiber dazu, Voreinstellungen so vorzunehmen, dass Daten nicht ohne Weiteres der Öffentlichkeit oder sonst einem unbestimmten Adressatenkreis zugänglich gemacht werden. Hiergegen wird verstoßen, wenn dieser Schutz erst durch eine individuelle Änderung der Voreinstellungen erreicht wird. Das Oberlandesgericht (OLG) Frankfurt am Main hat Facebook wegen eines solchen Datenschutzverstoßes zur Zahlung von 200 Euro Schadensersatz verpflichtet.

Die Klägerin ist Facebook-Nutzerin. Die für die Registrierung des Kontos erforderlichen Pflichtangaben sind stets öffentlich einsehbar. Hinsichtlich weiterer angebbarer Daten können die Nutzer über Privatsphäre-Einstellungen entscheiden, welchen Nutzergruppen diese zugänglich sein sollen. Die Klägerin hatte bei der Sichtbarkeit ihr Konto so eingestellt, dass ihre Telefonnummer nur für sie sichtbar war.

Bei den Suchbarkeitseinstellungen ihres Profils, bei denen es unter anderem darum ging, wer sie anhand ihrer Telefonnummer finden kann, hatte sie es bei der Standardeinstellung "alle" belassen. Hier wären ebenfalls Einschränkungen möglich gewesen. Im Fall der hier gewählten Standardeinstellung ermöglichte es das von Facebook bereitgestellte "Kontaktimporttool" bis September 2019 jedem Facebook-Nutzer, das Profil eines anderen Nutzers mit Hilfe der von diesem hinterlegten Telefonnummer zu finden. Nutzer konnten ihre Kontakte von den Mobilgeräten auf Facebook hochladen, um mit Hilfe der Telefonnummer die jeweiligen Nutzer zu finden. Dies war auch möglich, wenn – wie hier – die Telefonnummer selbst nur für den Nutzer sichtbar war.

Zwischen Anfang 2018 und September 2019 erstellten unbekannte Dritte umfangreiche Listen mit möglichen Telefonnummern. Mithilfe automatisierter Verfahren suchten sie dann Facebook-Nutzer mit den entsprechenden Telefonnummern. Sofern ein Facebook-Konto zur Nummer gefunden wurde, konnten die so genannten Scraper die mit der Telefonnummer verknüpften öffentlich zugänglichen Nutzerdaten abrufen und abspeichern. Anfang April 2021 wurden Daten von circa 533 Millionen Facebook-Nutzern sowie die den jeweiligen Profilen der Nutzer zugeordneten Telefonnummern im Darknet durch unbekannte Dritte zum Download bereitgestellt. Hierzu gehörten auch die Daten der Klägerin.

Die Klägerin begehrt 1.000 Euro immateriellen Schadensersatz zum Ausgleich des Datenschutzverstoßes und die Unterlassung zukünftiger vergleichbarer Datenschutzverstöße. Das Landgericht hat die Klage abgewiesen. Die Berufung der Klägerin hatte teilweise Erfolg.

Sie könne verlangen, dass Facebook es unterlasse, aufgrund einer von ihr gesetzten Voreinstellung personenbezogene Daten der Klägerin unberechtigten Dritten – namentlich Hackern und/oder Scrapern – über eine Importsoftware von Kontakten zugänglich zu machen, entschied das OLG. Die Nutzer als Inhaber personenbezogener Daten verfügten über ein vertraglich geschütztes Interesse an einer gesetzeskonformen Verarbeitung ihrer Daten. Facebook habe sich nicht datenschutzkonform verhalten. Die Plattformbetreiberin habe gegen den Grundsatz der Datenminimierung verstoßen. Sie müsse nach der Datenschutzgrundverordnung Voreinstellungen so setzen, dass die Zugänglichmachung von Daten ohne Weiteres verhindert werde. Die Voreinstellung müsse so gesetzt werden, dass nicht erste eine bewusste persönliche Änderung der Voreinstellung diesen Schutz gewährleiste. Die hier zu beurteilende Voreinstellung, wonach "allen" anderen Facebook-Nutzern die Suche eines Nutzerprofils über die Telefonnummer – sowie die Verknüpfung mit den dazugehörigen "öffentlichen" personenbezogenen Daten möglich gewesen sei – entspreche nicht diesen gesetzlichen Vorgaben.

Wegen dieses Datenschutzverstoßes könne die Klägerin auch Schadensersatz verlangen. Sie habe über den mit dem Datenschutzverstoß verbundenen allgemeinen Kontrollverlust hinaus befürchtet, dass Dritte ihre im Darknet veröffentlichten Daten missbräuchlich verwenden. Es sei überwiegend wahrscheinlich, dass die Klägerin aufgrund dieser Befürchtungen korrespondierende psychische Beeinträchtigungen erlitten habe. Dies rechtfertige einen Gesamtschaden in Höhe von 200 Euro, meint das OLG.

Oberlandesgericht Frankfurt am Main, Urteil vom 08.04.2025, 6 U 79/23