Handelt es sich bei einem Benutzernamen, der im Onlinekontext verwendet wird, um ein personenbezogenes Datum? Mit dieser Frage hat sich das Oberlandesgericht (OLG) Frankfurt im Zusammenhang mit einer Schadensersatzforderung gegen den Betreiber des sozialen Netzwerks Facebook befasst (OLG Frankfurt, Urteil vom 09.05.2025, Az.: 6 U 53/24). Konkret ging es um die Veröffentlichung von Informationen aus einem Facebook-Profil: Unbekannte Dritte hatten das Profil der Klägerin mithilfe einer sog. Kontakt-Import-Funktion bei Facebook gefunden, die es zuließ, Profile über die Eingabe von zugehörigen Telefonnummern ausfindig zu machen. Die Unbekannten nutzten die Funktion und gaben automatisiert erstellte Ziffernfolgen als Telefonnummer ein. Sofern diese tatsächlich zu einem Facebook-Profil führte, wurden die öffentlich abrufbaren Profilinformationen durch die Unbekannten abgegriffen (Scraping) und gemeinsam mit der jeweiligen Telefonnummer im Darknet bereitgestellt. Im Fall der Klägerin war dabei nicht ihr richtiger Vor- und Nachname (sog. Klarname) betroffen, sondern ein selbstgewählter Benutzername, der sich aus Teilen ihres Vor- und Nachnamens zusammensetzte und den sie stattdessen bei ihrem Facebook-Profil angegeben hatte.
Schadensersatzanspruch bei Data-Scraping trotz Verwendung eines selbstgewählten Benutzernamens
Das OLG Frankfurt erkannte u. a. einen Schadensersatzanspruch der Klägerin in Höhe von 200 Euro (nebst Prozesszinsen) an. Der Betreiber des sozialen Netzwerks habe mit seinen (Vor-)Einstellungen, die das Scraping ermöglicht hatten, gegen die Vorgaben aus der Datenschutz-Grundverordnung (DSGVO) verstoßen. Aus diesem Verstoß resultiere ein immaterieller Schaden der Klägerin, der in einem Kontrollverlust in Bezug auf die eigenen Daten und damit verbundenen psychischen Beeinträchtigungen liege. Auch wenn im Darknet nicht der vollständige Vor- und Nachname der Klägerin veröffentlicht wurde, sondern der daraus zusammengesetzte Benutzername, sei dieser
„[…] aber jedenfalls in Kombination mit den übrigen Angaben […] im Leak-Datensatz, insbesondere ihrer Mobilfunknummer, ein zur Identifikation geeignetes personenbezogenes Datum […].“
Weiterhin führte das Gericht aus:
„Die Telefonnummer der Klagepartei wurde verknüpft (u.a.) mit ihrem Benutzernamen, Wohnort, Beziehungsstatus und Selbständigenstatus […] im Darknet veröffentlicht. Insofern liegt das Risiko einer missbräuchlichen, insbesondere betrügerischen, Nutzung dieser Daten besonders nahe, zumal für die Klagepartei keine Möglichkeit besteht, ihre Daten aus dem Darknet und etwaigen weiteren „dunklen Kanälen“ zu entfernen und zu verhindern, dass diese „in die falschen Hände“ geraten. Zwar mag die Klagepartei anhand des Benutzernamens als solchem für Dritte nicht unmittelbar identifizierbar sein. Nicht zuletzt weil ihr Vorname – wenn auch aufgeteilt in jeweils zwei, durch Leerzeichen getrennte Buchstaben – neben den Anfangsbuchstaben ihrer beiden Nachnahmen (wenn auch das „a“ nicht groß geschrieben ist) vollständig enthalten ist, lässt sich nicht sagen, insoweit erscheine wegen der Verwendung eines Pseudonyms bei vernünftiger Betrachtung kein Datenmissbrauch zu Lasten der Klagepartei möglich.“
Entsprechend führte die Verwendung eines Benutzernamens – in diesem konkreten Fall – nicht zum Ausschluss eines Schadensersatzanspruchs.
Abfrage eines Benutzernamens zur Umsetzung der Datensparsamkeit
Die Verwendung von Benutzernamen war auch in Dänemark Gegenstand datenschutzrechtlicher Betrachtung (siehe hier). Die dänische Datenschutzaufsichtsbehörde erhielt mehrere Benachrichtigungen und Beschwerden bezüglich des Streaming-Dienstes DR TV. Der Anbieter hatte eine Log-in-Pflicht eingeführt, bei dem vor dem Streaming von Inhalten eine Registrierung/Anmeldung mit dem Namen der jeweiligen Nutzer bzw. Nutzerinnen vorgesehen war. Während die Log-in-Pflicht selbst nicht beanstandet wurde, kritisierte die Datenschutzaufsichtsbehörde jedoch die Ausgestaltung. Die Angabe des Namens sei gemäß dem Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) nicht notwendig, was auch der Anbieter selbst einräumte. Er informiert daher nunmehr darüber, dass ein Profilname zu wählen ist und der richtige Name nicht verwendet werden muss.
Fazit
Die Nutzung pseudonymer Benutzernamen unterliegt den Bestimmungen der DSGVO. Im Falle eines Data-Leaks kann auch deren unbefugter Abfluss zu einem Schadensersatzanspruch führen, sofern weitere identifizierende Daten betroffen sind – insbesondere, wenn auch der Benutzername Rückschlüsse auf den Namen der betroffenen Person gibt. Verantwortliche sollten dennoch, sofern keine Erforderlichkeit zur Angabe echter Namen bei einer Registrierung besteht, (selbstgewählte) Benutzernamen als datensparsamere Alternative (Art. 5 Abs. 1 lit. c DSGVO) und als technische und organisatorische Maßnahme zum Datenschutz (Art. 32 Abs. 1 lit. a DSGVO) umsetzen.
14. Januar 2026 @ 12:50
Wirklich interessant zu lesen! Mir war nicht bewusst, dass selbst ein selbst gewählter Benutzername in Verbindung mit anderen Informationen als personenbezogene Daten im Sinne der DSGVO gelten kann. Das ist eine gute Erinnerung für Online-Plattformen, sorgfältig über Datenminimierung und datenschutzfreundliche Anmeldeoptionen nachzudenken.