Betreiber von Online-Plattformen sind dazu verpflichtet, Voreinstellungen so vorzunehmen, dass persönliche Daten von Nutzern nicht ohne Weiteres der Öffentlichkeit oder sonst einem unbestimmten Adressatenkreis zugänglich gemacht werden. Das hat das Oberlandesgericht (OLG) Frankfurt am Main mit einem jetzt publik gemachten Urteil gegen den Facebook-Mutterkonzern Meta entschieden. Die Richter begründen das mit dem Grundsatz der Datenminimierung, der in der Datenschutz-Grundverordnung (DSGVO) verankert ist. Anzeige Meta habe gegen diese Vorgabe verstoßen, da Nutzer die ihnen zustehende Sicherung der Privatsphäre auf Facebook erst durch eine individuelle Änderung der Voreinstellungen erreichen konnten, heißt es auf dem hessischen Gerichtsportal zu dem Beschluss vom 8. April (Az. 6 U 79/23). Dieser soll in Kürze veröffentlicht werden. Meta muss daher an die Klägerin 200 Euro Schadensersatz zahlen. Diese verlangte – wie in ähnlichen Fällen – 1000 Euro. Das ursprünglich angerufene Landgericht Wiesbaden hatte dies im April 2023 noch komplett abgelehnt. Die Berufungsinstanz erkannte nun aber an, dass die Klägerin über den mit dem Datenschutzverstoß verbundenen allgemeinen Kontrollverlust hinaus befürchten musste, dass Dritte ihre im Darknet veröffentlichten Daten missbräuchlich verwenden. Für den 6. Zivilsenat des OLG ist es so auch überwiegend wahrscheinlich, dass die Klägerin aufgrund dieser Sorgen "korrespondierende psychische Beeinträchtigungen" erlitten habe. Dies rechtfertige die angesetzte Ausgleichssumme. Der Bundesgerichtshof bemaß den Schadenersatz zuvor in einer Leitentscheidung zu den Vorfällen bei Facebook "für den bloßen Kontrollverlust in einer Größenordnung von 100 Euro". Meta muss bei Gefahr von Datenscraping vorbauen Weltweit haben zehntausende Facebook-Nutzer Meta wegen Datenscraping verklagt. Mit der umstrittenen Technik werden öffentlich einsehbare Angaben automatisch massenhaft von Webseiten oder über offene Schnittstellen (APIs) eingelesen und weiterverarbeitet. Sobald es um persönliche Informationen geht, ist das nach der DSGVO ohne explizite Einwilligung der Betroffenen untersagt. In vielen der Klagen geht es – wie beim BGH und jetzt beim OLG Frankfurt – darum, dass 2021 insgesamt etwa 533 Millionen Datensätze mit persönlichen Informationen von Facebook-Mitgliedern aus 106 Ländern im Netz auftauchten. Unbekannte hatten sich zuvor den Umstand zunutze gemacht, dass Facebook es in Abhängigkeit von den Suchbarkeitseinstellungen des jeweiligen Nutzers ermöglichte, ein Profil mithilfe seiner Telefonnummer ausfindig zu machen. Sie luden unter Einsatz automatisierter Tools über die Kontakt-Importfunktion des Betreibers in großem Umfang Telefonnummern hoch, führten diese, sofern sie mit einem Nutzerkonto verknüpft waren, mit den dort verbundenen öffentlich zugänglichen Informationen zusammen und griffen diese Daten dann ab. Die irische Datenschutzbehörde DPC verhängte gegen Meta 2022 aufgrund des Vorfalls eine Strafe in Höhe von 265 Millionen Euro. Meta muss es laut dem OLG unterlassen, aufgrund einer von dem Betreiberkonzern gesetzten Voreinstellung personenbezogene Daten der Klägerin unberechtigten Dritten wie Scrapern über eine Importsoftware zugänglich zu machen. Die Nutzer verfügten über ein vertraglich geschütztes Interesse an einer gesetzeskonformen Verarbeitung ihrer Daten. Anzeige (nen)