OLG Hamm zum Facebook-Datenleck: WBS.LEGAL ordnet das Urteil richtig ein

RA Solmecke: „Das Oberlandesgericht (OLG) Hamm hat zwar als erstes OLG ein Urteil in Sachen Facebook-Datenleck gefällt (Urt. v. 15.08.2023, Az. 7 U 19/23). Damit ist jedoch nichts endgültig entschieden für die vielen Verfahren, die wir an allen 23 weiteren Oberlandesgerichten und nahezu allen 115 Landgerichten anhängig haben. Eine höchstrichterliche Entscheidung des Bundesgerichtshofs (BGH) gibt es noch nicht. Zudem sind aktuell zwei spannende Verfahren am Europäischen Gerichtshof (EuGH) anhängig, in denen die Argumentation des OLG Hamm gekippt werden könnte. Dessen Argumente halten wir nämlich für absolut nicht vertretbar. Sie würden den Datenschutz nach der Datenschutzgrundverordnung (DSGVO) ad absurdum führen! Auch viele andere Landgerichte sehen das so wie wir, das belegen hunderte von erfolgreichen Urteilen, die wir bereits für unsere Mandantinnen und Mandanten erstritten haben. Wir werden weiterhin vor den Gerichten für sie kämpfen und sind zuversichtlich, in den nächsten OLG-Verfahren und auch in höheren Instanzen zu gewinnen!“

Im Jahr 2021 hatten Hacker zahlreiche sensible Nutzerdaten von u.a. 6 Millionen deutschen Nutzern abgegriffen und ins Darknet gestellt. Dass Meta die Daten nicht ordentlich gesichert und deswegen gegen die DSGVO verstoßen hat, ist mittlerweile behördlich festgestellt. Die Kanzlei WBS.LEGAL vertritt inzwischen zehntausende Betroffene gegen Meta und klagt vor Gerichten überall in Deutschland auf immateriellen Schadensersatz von bis zu 1000 Euro nach Artikel 82 DSGVO – großteilig mit Erfolg, wie diese Liste gewonnener Verfahren belegt.

Welche Bedeutung hat das OLG-Hamm-Urteil wirklich?

RA Solmecke: „Die Entscheidung des OLG Hamm ist nur die erste eines Oberlandesgerichts zu dem bekannten Facebook-Datenleck. Dass die entsprechende Pressemitteilung des Gerichts so viel mediale Aufmerksamkeit bekommen hat, ist angesichts ihrer nicht allzu großen Bedeutung ungewöhnlich. Sie hat uns inhaltlich aber wenig überrascht, gilt das OLG Hamm doch unter Kollegen und anderen Richtern als wenig verbraucherfreundlich. Sie ist aber keineswegs richtungsweisend. Wir prüfen gerade, inwieweit wir noch gegen dieses Urteil vorgehen können. Die nächste Entscheidung steht außerdem schon im Oktober beim OLG Stuttgart an. Wir streben letztlich außerdem an, sobald wie möglich eine BGH-Entscheidung zu erstreiten, um Sicherheit für unsere Mandantinnen und Mandanten zu bekommen.

Zudem muss die Entscheidung des OLG Hamm auch inhaltlich richtig eingeordnet werden: Das Gericht hat zunächst – im Sinne der Verbraucher und im Einklang mit unserer Argumentation – festgestellt, dass Facebook in Sachen Datenleck gegen die DSGVO verstoßen hat und Betroffene deshalb grundsätzlich einen Anspruch auf Schadensersatz haben. Allerdings stellt es sehr hohe Hürden dafür auf, was Betroffene vortragen müssen, um einen immateriellen Schadensersatz zugesprochen zu bekommen. Dabei beruft es sich auf eine EuGH-Entscheidung von Mai 2023. Dieses Urteil interpretierte das OLG Hamm unserer Ansicht nach nun aber grundlegend falsch.

Der EuGH hatte nämlich explizit entschieden, dass es gerade keine Erheblichkeitsschwelle geben dürfe, um Schadensersatz zuzuerkennen. Der Begriff „Schaden“ sei weit zu verstehen. Kriterien müssten zwar die nationalen Gerichte aufstellen, doch sie sollten dabei bedenken, dass die DSGVO einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll“. Zudem steht in den „Erwägungsgründen“ zur DSGVO, dass bereits „der Verlust der Kontrolle über personenbezogene Daten“ ein Schaden nach der DSGVO ist. Betroffene müssen daher gerade nicht nachweisen, dass sie infolge von Datenlecks konkret Spam-Mails oder Phishing-Angriffen ausgesetzt waren, um Schadensersatz zu erhalten – das kann nur für die Höhe des Schadensersatzes relevant sein. Wenn das OLG Hamm jetzt „persönliche bzw. psychologische Beeinträchtigungen“ fordert, die über „das Gefühl des Kontrollverlusts“ und weitere negative Gefühle hinausgehen, so überspannt es die Vorgaben der DSGVO und fordert indirekt doch eine nicht zulässige Erheblichkeitsschwelle. Damit führt es den Datenschutz ad absurdum. Betroffene können schließlich praktisch kaum nachweisen, dass z.B. eine tatsächliche Phishing-Attacke – die sicherlich noch heftigere Gefühle auslöst als ein vages Gefühl des Kontrollverlustes – genau auf diesen Hackerangriff zurückzuführen ist.

Daher glauben wir mit guten Gründen, dass andere Gerichte anders entscheiden werden und das OLG-Hamm-Urteil ein Einzelfall bleiben wird.“

Was sagen andere Gerichte?

Zahlreiche Landgerichte sind bislang unserer Argumentation gefolgt und vertreten ebenfalls den vom EuGH geforderten „weiten Schadensbegriff“. Hier einige ganz aktuelle (nicht abschließende) Beispiele:

• LG Verden, Urt. v. 01.09.23, Az 2 O 115/22: Hier wurden dem Betroffenen 1000 Euro Schadensersatz zugesprochen. Das Gericht ließ den „Kontrollverlust“ über die Daten als Schaden ausreichen und bezog sich dabei explizit auf den EuGH, wonach der Schaden nicht erheblich sein müsse.
• LG Frankfurt am Main, Urt. v. 04.08.2023, Az 2-27 O 194/22: Auch hier erhielt unser Mandant 1000 Euro Schadensersatz. Das Gericht führte aus, wegen des Datenlecks habe der Kläger keine Kontrolle über seine Daten gehabt. Meta verletzt daher sein Recht auf informationelle Selbstbestimmung. Ob diese Verletzung „erheblich“ ist, sei laut EuGH nicht von Relevanz.
• LG Erfurt, Urt. v. 14.08.23, Az 3 O 580/22: Unser Mandant erhielt 500 Euro Schadensersatz. Das Gericht sagte: „Wie sich die Klägerseite dabei fühlt, ist … für das Vorliegen eines Schadens unerheblich, da ein solcher bereits in der tatsächlich stattfindenden (und nicht nur befürchteten) Persönlichkeitsrechtsverletzung durch Dritte liegt.“
• LG Hannover, Urt. v. 17.08.2023, Az 13 O 177/22: Der Betroffene erhielt 500 Euro Schadensersatz. Eine Erheblichkeit werde aufgrund des EuGH-Urteils nicht gefordert, laut Erwägungsgründen zur DSGVO könne allein der Kontrollverlust über die eigenen Daten als Schaden qualifiziert werden.

(Weitere positive Verbraucher-Urteile in Facebook-Verfahren können Sie unserer gesonderten Seite entnehmen: Erfolgreiche Urteile der Kanzlei WBS.LEGAL)

EuGH könnte Klarheit bringen

Klarheit über die Kriterien für den DSGVO-Schadensersatz könnten außerdem zwei anstehende EuGH-Entscheidungen zum DSGVO-Schadensersatz bringen (Vorlage des deutschen Bundesarbeitsgerichts (C-667/21) und Vorlage eines bulgarischen Gerichts (C-340/21)): In dem bislang vom EuGH entschiedenen Verfahren musste der EuGH nämlich nicht beantworten, ob allein der Kontrollverlust durch einen Hackerangriff und damit verbundene Ängste zu einem immateriellen Schadensersatzanspruch führen. Dazu wird er jedoch bald die Gelegenheit haben. Im bulgarischen Fall geht es um einen Hackerangriff und die Offenlegung sensibler Daten von Millionen Bürgern. Auch das deutsche Bundesarbeitsgericht will relevante Detailfragen zum DSGVO-Schadensersatz beantwortet wissen.

RA Solmecke: „Mit der Einzelentscheidung des OLG Hamm ist mithin noch nichts Grundsätzliches entschieden. Wir sind nach alledem sehr zuversichtlich, am Ende Erfolg zu haben!“