Speichern Dritte umfangreich öffentlich zugängliche Daten von Facebook (sog. Scraping), so hat ein User gegen Facebook einen DSGVO-Schadensersatz iHv. 500,- EUR (LG Paderborn, Urt. v. 19.12.2022 - Az.: 3 O 99/22).
Der Kläger war User bei der Online-Plattform Facebook und verlangte wegen Datenschutzverstößen eine Geldentschädigung. Es ging dabei um die öffentlich zugänglich Daten des Klägers, die Dritte von den Facebook-Seiten abgreifen und konzentriert sammeln konnten (sog. Scraping).
Das Gericht sah eine Verletzung der Informations- und Aufklärungspflichten durch Facebook, da die erfolgten Datenverarbeitungen nicht ausreichend transparent gewesen seien:
"Die Beklagte hat den Kläger allerdings bei Erhebung der Daten seiner Mobilfunknummer unzureichend über den Zweck der Verwendung seiner Mobilfunknummer für das seitens der Beklagten verwendete Contact-Import-Tool (kurz: CIT) aufgeklärt. Hierdurch hat sie ihre Informations- und Aufklärungspflichten nach Art. 13 Abs. 1 lit. c) DSGVO verletzt.
Die Kammer vermochte nicht festzustellen, dass die Beklagte den Kläger bei Datenerhebung über den Zweck, seine Mobilfunknummer über die „Zwei-Faktor-Authentifizierung“ hinaus auch für das durch sie verwendete CIT zu verwenden, aufgeklärt hat. Eine solche Aufklärung kann weder bei Hinzufügen der Mobilfunknummer im Rahmen der Registrierung unter Bezugnahme der Datenrichtlinie noch bei späterem Hinzufügen der Mobilfunknummer in der Rubrik „Handy-Einstellungen“ festgestellt werden."
Zudem sah das Gericht einen Verstoß gegen die Datensicherheit (Art. 32 DSGVO):
"Dieser umfassenden Risikobestimmung anhand der genannten Kriterien ist die Beklagte (...) nicht ausreichend nachgekommen.
Denn die von ihr behaupteten „Anti-Scraping-Maßnahmen“ sind (...) für sich allein nicht geeignet, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Das CIT [Contact-Import-Tool] ermöglicht einen unbefugten Zugang i.S.d. Art. 32 Abs. 2 DSGVO.
Beim Zugang zu Daten geht die entscheidende Aktivität vom Empfänger der Daten aus. Der Verantwortliche muss lediglich durch die Ausgestaltung der technischen Bedingungen die Daten grundsätzlich zum Abruf durch Dritte ermöglichen. Dieses Bereithalten der Daten zum Abruf kann z.B. durch das Einräumen von Zugriffsrechten im Rahmen von Netzwerken oder durch Einstellung in eine Datenbank, auf die auch Dritte zugreifen können, erfolgen (...).
So liegt der Fall hier, da das CIT zweckwidrig nicht zum Auffinden von persönlichen Kontakten auf G sondern entgegen der Nutzungsbedingungen der Beklagten zu Missbrauchszwecken genutzt werden konnte und wurde. Es wird Dritten eine Zuordnung von Telefonnummer zum Facebook-Profil, bei dem diese angegeben wurde, ermöglicht. Dementsprechend wird in Erfahrung gebracht, welche Person hinter der Telefonnummer steht. Hierbei können durch den Rückgriff auf das G-Profil gleichzeitig weitere Informationen über die Person eingeholt werden. Dies birgt für die Nutzer das Risiko von gezielten Phishing-Attacken, Identitätsdiebstahl und weiteren Missbrauch der Daten und damit dem Eintritt von materiellen oder immateriellen Schäden."
Und weiter:
"Dieses zwingend zu berücksichtigende Risiko bedingt bereits, dass der Maßstab für die Bestimmung der Angemessenheit des Schutzniveaus entsprechend hoch anzusetzen ist. Dies begründet sich unter anderem daraus, dass das CIT-Verfahren nicht eine reine Erhebung oder Speicherung von Daten durch die Beklagten darstellt. Auch handelt es sich bei den Daten nicht um ohnehin öffentlich einsehbare Daten. Vielmehr wird Dritten ein Zugang zu diesen, insbesondere der Telefonnummer des Nutzers, gewährt. Es erfolgt eine Verknüpfung der zuvor nicht öffentlich einsehbaren Telefonnummer zu den weiteren Daten des Nutzers auf der G-Plattform der Beklagten.
Die Gefahr einer Veröffentlichung aller zusammengetragenen Daten, darunter insbesondere die Verknüpfung von Telefonnummer und Name, ist, wie der vorliegende Datenscraping-Fall aufzeigt, besonders hoch. „Scraping“ ist weit verbreitet und entsprechende Versuche bei dem weltweit genutzten sozialen Netzwerk der Beklagten auch aus einer ex-ante-Sicht zu erwarten gewesen."
Das Gericht bewertete diese Verletzungen mit einem Schadensersatz iHv. 500,- EUR. Der Kläger hatte einen Betrag von mindestens 1.000,- EUR gefordert:
"Vorliegend hat das Gericht seiner Entscheidung zugrunde gelegt, dass sich die Beklagte mehrere Verstöße gegen die DSGVO vorwerfen lassen muss, die einen sehr weitgehenden Kontrollverlust der personenbezogenen Daten des Klägers ermöglicht und begünstigt haben.
Eine Reduzierung des klägerseits angegebenen Mindestbetrages war indes gerechtfertigt, da die Kammer keine besondere persönliche Betroffenheit feststellen konnte. Weder hat der Kläger sein Facebook-Pprofil gelöscht und seine Handynummer geändert, noch sonstige Maßnahmen ergriffen, um seine Daten zu schützen. Zudem ist das Vorbringen der Beklagten, die „Suchbarkeits-Einstellung“ sei bei dem Kläger seit dem 07.10.2016 auf „Alle“ eingestellt (Anlage B17), auf Klägerseite unwidersprochen geblieben, sodass die Kammer davon ausgehen muss, dass eine Änderung der „Suchbarkeits-Einstellung“ nicht stattgefunden hat. Diese Umstände verdeutlichen, dass der objektive Kontrollverlust der personenbezogenen Daten den Kläger jedenfalls subjektiv nicht so stark getroffen hat, da der streitgegenständliche „Scraping-Vorfall“ den Kläger offenbar nicht dazu angehalten hat selbst Konsequenzen zu ziehen und einem möglichen Missbrauch der Daten in Zukunft aktiv entgegenzutreten.
Zudem ist zu berücksichtigen, dass die streitgegenständlichen Daten bislang nicht missbraucht wurden und daher von einer weniger hohen Gefährdung auszugehen ist (...)."
Anmerkung von RA Dr. Bahr:
Das LG Paderborn ist - soweit ersichtlich - eines der ersten Gerichte in Deutschland, das wegen der Scraping-Ereignisse einen DSGVO-Schadensersatzanspruch bejaht haben.
Die Gerichte AG Strausberg (Urt. v. 13.10.2022 - Az.: 25 C 95/21), LG Essen (Urt. v. 10.11.2022 - Az.: 6 O 111/22) und LG GIeßen (Urt. v. 05.11.2022 - Az.: 5 O 195/22) hingegen sind anderer Ansicht und haben entsprechende Klagen abgewiesen.