Ein Schadensersatz-Anspruch nach Art. 82 DSGVO bei den sogenannten Facebook-Scraping-Vorfällen setzt einen ersatzfähige, materielle Benachteiligung, also einen Schaden, voraus. Allein der objektive Kontrollverlust reicht nicht aus, um einen solchen zu bejahen (LG Mannheim, Urt. v. 15.03.2024 - Az.: 1 O 93/23).
Die Klägerin begehrte Schadensersatz wegen der Scraping-Ereignisse auf Facebook.
Das LG Mannheim entschied, dass zwar eine Datenschutzverletzung vorliege, jedoch kein ersatzfähiger Schaden vorliege.
"Allein der (objektive) Verlust der Kontrolle über ihre personenbezogenen Daten reichte allerdings von vornherein nicht aus, mag dieser auch im 85. Erwägungsgrund als Beispiel für einen immateriellen Schaden genannt werden.
Denn mit der Offenlegung von personenbezogenen Daten gegenüber Dritten geht stets der Verlust der Hoheit über diese Daten einher, so dass der Verstoß mit dem Schaden gleichgesetzt werden müsste, was jedoch – wie ausgeführt – unzulässig wäre.
Stattdessen ist mit den Ausführungen des Europäischen Gerichtshofs auf die konkreten Umstände bei der jeweils betroffenen Person abzustellen. Entsprechend formuliert der Gerichtshof, dass die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten den betroffenen Personen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO zufügen können."
Und weiter:
"Wenn aber der Verlust der Hoheit über die Daten einen Schaden „zufügen“ kann, dann entspricht er nicht dem Schaden selbst, sondern dieser ist durch das Gericht gesondert festzustellen.
Über den (unschlüssigen) Vortrag hinaus, wonach der Kontrollverlust ein immaterieller Schaden sei, hat die Klägerin jedoch vorgetragen, dass sie befürchte, dass ihre personenbezogenen Daten in vielfacher Art und Weise gegen ihren Willen und mit einem hohen Risiko für ihre persönliche wie auch finanzielle Lage missbraucht würden. Dabei sorge sie sich insbesondere darüber, Opfer von Spamanrufen und Betrugsversuchen zu werden. Diese Sorgen hätten erhebliche Auswirkungen auf die Lebensgestaltung der Klägerin.
Träfe dies zu, so könnte dies nach der zitierten Rechtsprechung des Europäischen Gerichtshofes einen immateriellen Schaden darstellen. Denn im vorliegenden Fall wäre die Sorge vor einem Missbrauch der Daten nicht „aus der Luft gegriffen“, sondern durchaus begründet. So wurde eine Liste mit der Mobiltelefonnummer der Klägerin offensichtlich im Internet veröffentlicht, so dass die Webseite www.haveibeenpwnd.com den Zusammenhang zwischen dem Scraping-Vorfall bei der Beklagten und der Mobiltelefonnummer der Klägerin herstellen konnte. Wenn es aber jener Webseite möglich ist, so ist es auch Dritten möglich an diese Daten zu gelangen und sie für missbräuchliche Zwecke – welcher Art auch immer – zu verwenden."
Und weiter:
"Allerdings vermochte das Gericht sich nicht die volle Überzeugung zu bilden, dass die Klägerin tatsächlich eine solche Befürchtung oder Sorge hat.
Im Rahmen der informatorischen Anhörung hat die Klägerin auf die bewusst offen gestellten Fragen des Gerichtes weder von Sorgen noch von Befürchtungen oder anderen Emotionen berichtet.
Die Klägerin merkte lediglich an, dass sie seit dem Datenleck vorsichtiger geworden sei; zuvor sei sie unbeschwerter damit umgegangen. Allerdings machte die Klägerin nicht den Eindruck auf das Gericht, dass sie sich noch wegen des Scrapings sorgte oder Befürchtungen verspürte. Vielmehr hat die Klägerin die Sache schon in zeitlicher Nähe zum Vorfall selbst in die Hand genommen, die Verbraucherzentrale kontaktiert und die erforderlichen Änderungen hinsichtlich ihres Nutzerkontos vorgenommen. Wenn der Vorfall sie dazu motiviert haben mag, sich aufgrund der allgemein bestehenden Gefahren bei der Nutzung von Social Media usw. vorsichtiger zu verhalten, ist dies zunächst einmal zu begrüßen. Denn die Nutzung des Internets und der darüber vermittelten Dienste bergen eigene Gefahren, denen sich mündige Nutzer bewusst sein sollten. Der Wegfall der „Unbeschwertheit“ ist dann aber gerade kein immaterieller Schaden. Von weiterhin bestehenden Befürchtungen oder Sorgen hat die Klägerin nicht berichtet.
Schließlich konnte sich das Gericht nicht die Überzeugung bilden, dass das von der Klägerin berichtete – schriftsätzlich behauptete: „massenhafte“ – SPAM-Aufkommen in Nachrichten per SMS oder per WhatsApp sowie Anrufen im Zusammenhang mit der Offenlegung ihrer Daten durch das gegenständliche „Scraping“ zusammenhängt.
Die Klägerin hat zunächst auf Frage ausgeführt, dass sie aufgrund dieses Datenlecks nichts erhalten habe. Erst auf konkretere Nachfrage des Gerichtes erklärte die Klägerin, dass sie diverse SPAM-Nachrichten und Anrufe von unbekannten Nummern erhalte. Allerdings bleibt damit ungewiss, ob die Klägerin diese Nachrichten gerade wegen des gegenständlichen Scrapings erhält. Sie selbst hat ausgeführt, dass sie solche Nachrichten „nach dem Leck vermehrt“ bekomme. Damit ist klar, dass es auch schon zuvor solche Nachrichten gegeben hat.
Wenn aber ihre Kontaktdaten schon unabhängig von dem Scraping hierfür von Unbefugten genutzt wurden, dann ist gerade nicht ausgeschlossen, dass auch der Anstieg mit einer vom Scraping unabhängigen Verbreitung ihrer Daten zusammenhängt. Vielleicht mag gerade im Fall der Klägerin, die schon in zeitlichem Zusammenhang mit dem Scraping feststellte, dass sie keinen Zugriff mehr auf ihr […]-Konto hatte, es in gewissem Maß – wenngleich nicht überwiegend – wahrscheinlich sein, dass sie den Anstieg an SPAM-Nachrichten und Anrufen richtig diesem Ereignis zuordnet. Da sich aber noch nicht einmal eine überwiegende Wahrscheinlichkeit für die Behauptung der Klägerin in Bezug auf die SPAM-Nachrichten feststellen lässt, genügt dies weder dem geminderten Beweismaß nach § 287 ZPO, geschweige denn dem Beweismaß des § 286 ZPO."