Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

AG Strausberg: Kein DSGVO-Schadensersatz gegen Facebook wegen Daten-Scraping durch Dritte

Speichern Dritte umfangreich öffentlich zugängliche Daten von Facebook (sog. Scraping), so hat ein User gegen Facebook keinen DSGVO-Schadensersatz, da es sich um eine erlaubte Datenverarbeitung handelt (AG Straussberg, Urt. v. 13.10.2022 - Az.: 25 C 95/21).

Der Kläger war User bei Facebook und verlangte wegen mehrerer Datenschutzverstöße eine Geldentschädigung von der Social-Media-Plattform Facebook. Er trug folgende Rechtsverletzungen vor:

- zu späte Datenschutzauskunft nach Art. 15 DSGVO
- fehlende Benachrichtigung nach Art. 34 DSGVO
- Datenschutzverstoß durch Ermöglichen des Scrapings durch Dritte
 

Das Gericht wies sämtliche Ansprüche zurück und wies die Klage ab.

1. Zu späte Datenschutzauskunft nach Art. 15 DSGVO / fehlende Benachrichtigung nach Art. 34 DSGVO:
In beiden Fällen sieht das Gericht den Anspruch bereits auf der Tatbestandsebene nicht gegeben.

Ein Schadensersatzanspruch nach Art. 82 DSGVO setze eine unerlaubte Datenverarbeitung voraus. Eine zu späte Datenschutzauskunft oder eine unterlassene Benachrichtigung falle hier nicht darunter:

"Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung (...).

Die verspätete Erteilung einer Datenauskunft ist aber keine Verarbeitung personenbezogener Daten i.S.d. Art. 4 Nr. 2 DS-GVO. Datenverarbeitung bezeichnet gemäß Art. 4 Nr. 2 DS-GVO nur jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung."

Und : 

"Die Verletzung von Benachrichtigungspflichten ist hingegen nicht erfasst.

 Der Kläger hat aus (...) aufgeführten Gründen auch keinen Anspruch auf Schmerzensgeld aus Art. 82 DS-GVO wegen eines etwaigen Verstoßes der Beklagten gegen die in Art. 34 DS-GVO geregelte Benachrichtigungspflicht."

2. Datenschutzverstoß durch Ermöglichen des Scrapings durch Dritte:

Auch hier verneinte das Gericht eine Rechtsverletzung:

"Die immer öffentlich zugänglichen Informationen des Facebook-Profils des Klägers sind zwar von Dritten erhoben (gescrapt) und also verarbeitet worden (...). Allerdings war die Beklagte nicht verpflichtet, diese Daten vor der Verarbeitung durch die Scraper zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des Klägers, nämlich seinem Namen, seinem Geschlecht und seinem Benutzernamen, um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnlichem abrufbar sind. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig.

Auch das Vorbringen des Klägers, ihm seien zum Zeitpunkt seiner Registrierung als Nutzer die Standardeinstellungen auf der Facebook-Plattform nicht bekannt gewesen, rechtfertigt nicht die Annahme, die Beklagte habe gegen ihr obliegende Schutzpflichten verstoßen. Denn die Beklagte durfte und musste davon ausgehen, dass dem Kläger bekannt ist, dass sein Name, sein Geschlecht und sein Benutzername für jedermann abrufbar ist und hatte daher keine Veranlassung, diese Daten vor der Erhebung durch Dritte zu schützen. Die Beklagte hat nämlich den Kläger, bevor dieser sich auf der Facebook-Plattform registrieren konnte, auf ihre Datenverwendungsrichtlinien hingewiesen und der Kläger hat vor seiner Registrierung bestätigt, diese gelesen zu haben. Die seinerzeit maßgeblichen Datenverwendungsrichtlinien der Beklagten enthielten die Information, dass u.a. der Name, das Geschlecht und der Nutzername des Nutzers immer öffentlich zugänglich sind und also von jeder Person gesehen werden kann."

Es liege auch kein Verstoß gegen die Datensicherheit vor:

"Art. 32 Abs. 1 i.V.m. Abs. 2 DS-GVO formt den allgemeinen Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DS-GVO) näher aus. Er verlangt Verarbeitungsprozessen ab, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u.a. davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten.

Die Beklagte hat gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, nicht verstoßen. Insbesondere war die Beklagte aus den unter Ziff. 3) dargelegten Gründen nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des F.-Profils des Klägers durch Dritte und einen von Dritten veranlassten Abgleich von von ihnen in den Kontakt-Importer der Facebook-Plattform hochgeladenen Telefonnummern mit der mit dem Facebook-Konto des Klägers verknüpften Telefonnummer zu verhindern."

Rechts-News durch­suchen

10. September 2024
Die außerordentliche Kündigung eines Vorstands, der sensible E-Mails an seine private Adresse weiterleitet, ist wegen schwerwiegender…
ganzen Text lesen
09. September 2024
Das AG Arnsberg fragt den EuGH, ob eine DSGVO-Auskunftsanfrage rechtsmissbräuchlich ist, wenn sie nur Schadensersatzansprüche provozieren soll.
ganzen Text lesen
06. September 2024
Dashcam-Videos auf YouTube müssen verpixelt werden, wenn personenbezogene Daten erkennbar sind, aber es reicht aus, Informationen dazu auf dem…
ganzen Text lesen
02. September 2024
Das "MonoCam"-System zur Verkehrsüberwachung ist zwar rechtswidrig, aber die damit gewonnenen Beweise dürfen trotzdem vor Gericht verwendet werden…
ganzen Text lesen

Rechts-News durchsuchen