Login mit Folgen: Wie ein Facebook‑Button zur Datenpanne führte
Ein aktuelles Urteil des Gerichts der Europäischen Union (EuG) zeigt exemplarisch, wie ein scheinbar harmloser „Sign in with Facebook“-Button zu einer DSGVO‑Haftung führen kann – und wie teuer das endet. Die EU‑Kommission wurde zur Zahlung von 400 € Schadensersatz verurteilt, weil beim Login eines deutschen Nutzers dessen IP‑Adresse ohne geeignete Schutzmechanismen an Facebook (USA) übermittelt wurde.
EuG: EU‑Kommission haftet für Datenübermittlung ohne Schutzmechanismen
2021 meldete sich ein deutscher Nutzer über „EU Login“ für eine Veranstaltung der EU‑Kommission an und nutzte dabei die Option „Sign in with Facebook“. Seine IP-Adresse wanderte direkt zu Meta in die USA – ohne Angemessenheitsbeschluss oder andere Sicherungen. Das EuG entschied: Die EU‑Kommission trug die Verantwortung und verstieß gegen die DSGVO.
Objektiver Kontrollverlust als immaterieller Schaden
Über den DSGVO‑Verstoß hinaus machte der Kläger einen immateriellen Schaden geltend. Laut OLG Celle reicht bereits der bloße Kontrollverlust über personenbezogene Daten aus, um Art. 82 DSGVO zu erfüllen – konkrete finanzielle Folgen oder Ängste müssen nicht nachgewiesen werden. Dieser Ansatz folgt der BGH‑Rechtsprechung vom 18. 11. 2024, die für einen „Standardfall“ 100 € Schadensersatz als angemessen ansieht.
Höherer Ersatz bei besonderen Umständen
Besondere Umstände – etwa psychische Belastungen, ärztliche Behandlung oder konkrete Alltagsbeeinträchtigungen – können laut BGH deutlich höhere Beträge rechtfertigen (z. B. 500 € oder mehr).
Bedeutung für Website‑Betreiber und Drittanbieterdienste
Obwohl sich das EuG‑Urteil gegen eine EU‑Institution richtet, betrifft es jeden Website‑Betreiber, der Social‑Login‑ oder Tracking‑Dienste einsetzt. Insbesondere laufende Verfahren zum Facebook‑Scraping stützen sich auf diese Rechtsprechung.
Was ist Facebook‑Scraping?
Beim Scraping werden öffentlich einsehbare Profildaten – u. a. Namen, Telefonnummern, E‑Mail‑Adressen – automatisiert ausgelesen. Der Facebook‑Scraping‑Vorfall 2021 legte Daten von über 500 Mio. Nutzern offen; viele Betroffene verlangen nun DSGVO‑Schadensersatz.
OLG Hamm: 200 € Ersatz für Kontrollverlust über Handynummer
Am 20. 12. 2024 (Az. 11 U 44/24) sprach das OLG Hamm einem Nutzer 200 € Schadensersatz zu, weil seine zuvor nicht öffentliche Telefonnummer im Zuge des Scraping‑Leaks veröffentlicht wurde. Folgen waren eine Spam‑Flut, Alltagsbeeinträchtigungen und psychische Belastungen – ausreichend für immateriellen Schadenersatz.
DSGVO‑Schadensersatz: Wann liegt ein immaterieller Schaden vor?
- Kontrollverlust über personenbezogene Daten genügt bereits.
- Psychische Belastungen wie Verunsicherung, Angst vor Missbrauch oder wiederholte Störungen erhöhen den Anspruch.
- 200 € sind angemessen, wenn Beeinträchtigungen nachvollziehbar dargelegt werden.
SBS LEGAL – Kanzlei für Datenschutzrecht
Wenn ihre personenbezogenen Daten – wie Telefonnummer, E-Mail oder IP-Adresse – ohne ausreichende Sicherung veröffentlicht oder weitergegeben wurden, stehen Ihnen mehrere Rechte zu:
- DSGVO-Schadensersatz nach Art. 82 DSGVO
- Auskunft über gespeicherte Daten nach Art. 15 DSGVO
- Löschung oder Einschränkung der Verarbeitung nach Art. 17, 18 DSGVO
Wünschen Sie die Rechtsberatung von dem erfahrenem Team aus Fachanwälten und Spezialisten der SBS LEGAL?
Als spezialisierte Kanzlei unterstützt unser kompetentes Team Sie gerne bei der Durchsetzung von DSGVO-Schadensersatzansprüchen, bei Klagen wegen Datenlecks (z.B. Facebook, Linkedin, XING) sowie bei der Beweissicherung und Anhörung bei immateriellen Schäden.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.
Der Erstkontakt zu SBS LEGAL ist immer kostenlos.
SBS Direktkontakt
telefonisch unter 04073440860 oder
per E-Mail unter mail@sbs-legal.de oder
per SBS Direktkontakt.