Werden öffentlich zugängliche Daten bei Facebook durch Dritte abgegriffen (sog. Scraping), so hat der Betroffene keinen DSGVO-Schadensersatzanspruch, da es an einem Schaden fehlt (LG Memmingen, Urt. v. 09.03.2023 - Az: 35 O 1036/22).
Der Betroffene machte einen DSGVO-Schadensersatzanspruch nach Art. 82 DSGVO wegen der Scraping-Vorfälle gegen Facebook geltend.
Das LG Memmingen lehnte das Begehren ab, da es an einem ersatzfähigen Schaden fehle:
"Der geltend gemachte Schadensersatzanspruch scheitert darüber hinaus auch daran, dass ein ersatzfähiger Schaden im Sinne von Art. 82 Abs. 1 DSGVO nicht vorliegt. (...)
Der Eintritt des Schadens muss dabei im Sinne des § 287 ZPO als überwiegend wahrscheinlich dargetan werden (...). Das Gericht verkennt dabei nicht, dass der Schadensbegriff im Lichte des Erwägungsgrundes Nr. 146 der DSGVO weit zu verstehen ist, sodass ein genereller Ausschluss von Bagatellschäden im Lichte dieser Erwägungsgründe nicht vertretbar ist (...). Dennoch muss jedenfalls ein Schaden tatsächlich „erlitten“ worden sein (Erwägungsgrund Nr. 146 S. 6), das heißt jedenfalls ersichtlich, spürbar, objektiv nachvollziehbar und von einem gewissen Gewicht sein (...).
Dem Kläger ist es letztlich nicht gelungen, eine solche spürbare Beeinträchtigung unter Berücksichtigung der vorgenannten Umstände konkret darzulegen."
Und weiter:
"Dem Kläger ist es letztlich nicht gelungen, eine solche spürbare Beeinträchtigung unter Berücksichtigung der vorgenannten Umstände konkret darzulegen.
Die Klageseite führt als immaterielle Schadenspositionen Ängste, unter denen der leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potentiellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen.
Selbst bei Unterstellung der geschilderten Umstände als wahr, genügt dies den obigen Anforderungen jedoch nicht. Selbst Personen, die keinen Facebook- Account nutzen und dort nicht ihre Mobilfunknummer hinterlegt haben, erhalten gerichtsbekannt unerwünschte E-Mails und Nachrichten.
Soweit die Klageseite vorbringt, dass nur den Wenigsten eine konkrete Schadendarstellung aufgrund der Reichweite und der Größe des Datenlecks gelingen dürfte und daher schon aufgrund einer bloßen Gefährdung einen Schaden annehmen will, kann sich die Kammer diesen Erwägungen nicht anschließen.
Insgesamt erscheint ein Identitätsmissbrauch allein aufgrund einer Telefonnummer eher unwahrscheinlich (so auch LG Karlsruhe, Urteil vom 09.02.2021 – 4 O 67/20). Insbesondere würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund Nr. 75 (vgl. LG Essen, Urteil vom 10.11.2022 – 6 O 111/22, so auch LG Ellwangen, Urteil vom 25.01.2023 – 2 O 198/22)."