Die Privatsphäre-Voreinstellungen einer Plattform müssen datenschutzkonform sein, hat das OLG Frankfurt am Main entschieden (Urteil vom 8.4.2025 - 6 U 79/23). Der Grundsatz der Datenminimierung verpflichte Plattformbetreiber dazu, Voreinstellungen so vorzunehmen, dass Daten nicht ohne Weiteres der Öffentlichkeit zugänglich gemacht werden, so das Gericht. Hiergegen werde verstoßen, wenn dieser Schutz erst durch eine individuelle Änderung der Voreinstellungen erreicht werden könne.

In dem zugrundeliegenden Fall hatte eine Frau ein Nutzerkonto bei Facebook erstellt. Die zur Registrierung notwendigen Pflichtangaben, darunter die Mailadresse, sind dabei nach den Standardeinstellungen immer öffentlich einsehbar. Über die Privatsphäre-Einstellungen können die Nutzer im Nachhinein bestimmen, welche ihrer Daten für welche Nutzergruppe sichtbar sein sollen.

Die Frau hatte in ihrem Profil zwar eingestellt, dass ihre Telefonnummer nur für sie selbst sichtbar sein sollte, das reichte jedoch nicht, um wirksam zu verhindern, dass Dritte sie anhand ihrer Nummer finden konnten. Bei den Einstellungen zur Auffindbarkeit ihres Profils beließ sie es nämlich bei Facebooks Standardeinstellung, die eine Suche über die Telefonnummer erlaubte. Somit bekam jeder, der ihre Telefonnummer kannte, auch ihr Profil angezeigt.

Unbekannte veröffentlichten Millionen Nutzerdaten

Zwischen Anfang 2018 und September 2019 wurde die Frau dann Opfer von Datenscraping. Unbekannte hatten umfangreiche Listen mit Telefonnummern angelegt und suchten damit automatisiert nach zugehörigen Facebook-Nutzern. Insgesamt konnten so die Daten von rund 533 Millionen Facebook-Nutzern sowie ihre Telefonnummern "gescrapet" werden. Die Datensätze fanden sich im April 2021 im Darknet zum Download wieder. Darunter waren auch die Daten der Klägerin.

Daraufhin fordert die Frau 1.000 Euro immateriellen Schadensersatz zum Ausgleich des Datenschutzverstoßes sowie Unterlassung zukünftiger Datenschutzverstöße. Das LG hatte ihre Klage zwar abgewiesen, mit ihrer Berufung hatte die Frau nun aber zumindest teilweise Erfolg.

Voreinstellungen müssen datenschutzkonform sein

Die Frau könne verlangen, dass Meta es unterlasse, durch die gesetzten Voreinstellungen personenbezogene Daten Dritten über eine Importsoftware von Kontakten zugänglich zu machen, so das OLG. Für die Nutzer bestehe ein vertraglich geschütztes Interesse an einer gesetzeskonformen Verarbeitung ihrer Daten.

Meta habe zudem gegen den Grundsatz der Datenminimierung verstoßen. Nach der DS-GVO seien die Voreinstellungen so zu setzen, dass nicht erst durch eine persönliche Änderung der Einstellungen den gesetzlichen Vorgaben des Datenschutzes entsprochen werde. Die Zugänglichkeit von Daten müsse ohne Weiteres verhindert werden.

Daher könne die Frau nun Schadensersatz verlangen – allerdings nur in Höhe von 200 Euro. Sie habe neben dem allgemeinen Kontrollverlust über ihre Daten befürchten müssen, dass ihre im Darknet veröffentlichten Daten missbräuchlich verwendet würden. Laut dem OLG Frankfurt sei es überwiegend wahrscheinlich, dass die Frau dadurch psychische Beeinträchtigungen erlitten habe.