Greifen Dritte umfangreich öffentlich zugängliche Daten von Facebook (sog. Scraping), so hat ein betroffener User gegen Facebook keinen Anspruch auf DSGVO-Schadensersatz, da weder eine Datenschutzverletzung noch eine ersatzfähige Beeinträchtigung vorliegt (LG Kiel, Urt. v. 12.01.2023 - Az.: 6 O 154/22)
Der Kläger war User bei der Online-Plattform Facebook und verlangte wegen Datenschutzverstößen eine Geldentschädigung. Es ging dabei um die öffentlich zugänglich Daten des Klägers, die Dritte von den Facebook-Seiten abgreifen und konzentriert sammeln konnten (sog. Scraping).
Es fehle bereits an einer DSGVO-Verletzung, so das Gericht:
"Nach Art. 25 Abs. 2 DSGVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. (...)
Die initiale Einstellung der Such- beziehungsweise Auffindbarkeit für alle Nutzer dient aber gerade dem Sozialaspekt und damit dem Verarbeitungszweck der Plattform. Auch wenn die Beklagte mit ihrer Plattform Marketingzwecke verfolgen mag, so ist für den Nutzer aber in der Regel nicht etwa der kommerzielle Aspekt, wie es der Kläger in seiner Replik ausführt, sondern gerade die soziale Komponente des Netzwerks von Bedeutung. Diese besteht darin, den jeweiligen Nutzern die Möglichkeit zu eröffnen, mit anderen in Kontakt zu treten oder zu bleiben, sich an öffentlichen Diskussionen zu beteiligen oder Inhalte aller Art mit der Öffentlichkeit zu teilen. Wünscht es sich der Nutzer nicht, Mitglied des soeben dargestellten Publikums zu sein, steht es ihm offen, sich mit Vornahme der entsprechenden Einstellungen „in ein privateres Profil zurückzuziehen“.
Sowohl der kommunikative Zweck des Netzwerks als auch die Möglichkeit der Anpassung der Privatsphäre-Einstellungen war dem Kläger bekannt. Überdies war es ihm ohne Weiteres möglich, bei entsprechendem Interesse den Hilfebereich aufzusuchen, wo er über den Reiter „Privatsphäre-Check“ sodann unmittelbar zu den einschlägigen Einstellungen gelangen konnte.
Soweit der Kläger hierzu behauptet, dass der kommunikative Zweck ebenso erreicht werden könne, wenn die entsprechenden Voreinstellungen für die Telefonnummern der Nutzer von Anfang an auf „nicht-öffentlich“ beziehungsweise „nicht sichtbar“ gestellt seien, weil die Nutzer der Plattform sich lediglich über ihre Namen und nicht über ihre Telefonnummer suchen, trifft dies nicht zu. Auch wenn es in der Tat unwahrscheinlich erscheint, dass sich Freunde oder Familienmitglieder über ihre Nummern suchen, so ist dies in Bezug auf Externe nicht unbedingt der Fall. Gerade in Anbetracht der Vielzahl an aktiven Nutzern der Plattform können sich die Namen wiederholen, sodass ein einfaches Auffinden des angesteuerten Kontakts nicht immer möglich ist. Vor diesem Hintergrund kann aber gerade die Auffindbarkeit durch die Telefonnummer oder E-Mail-Adresse Abhilfe schaffen, um so eine schnellere und bequemere Kontaktaufnahme zu ermöglichen."
Ferner fehle es an einem ersatzfähigen Schaden:
"Im Übrigen mangelt es an einem ersatzfähigen Schaden des Klägers im Sinne des Art. 82 Abs. 1 DSGVO. (...)
Auch wenn der Schadensbegriff im Lichte des Erwägungsgrundes 146 S. 3 der DSGVO weit zu verstehen ist, so ist es dem Kläger nicht gelungen, diesen unter Zugrundelegung des vorbezeichneten Maßstabs hinreichend konkret darzulegen. Der Kläger benennt zwar als immaterielle Schadenspositionen Ängste, unter denen er leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potentiellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen.
Das Gericht kann nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kläger unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet."
Und weiter:
"Gegen das Vorliegen der von dem Kläger behaupteten Ängste spricht entscheidend, dass es sich bei den gescrapten Daten des Klägers um solche handelt, die immer öffentlich sichtbar sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Hierauf wird der Kläger auch durch die Beklagte hingewiesen, sodass nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten bei dem Kläger zu einem unguten Gefühl geführt haben sollte. (...)
Dass der Kläger tatsächlich nicht an den beschriebenen Ängsten und Sorgen leidet, ergibt sich nach Auffassung des Gerichts schließlich daraus, dass bei einer – durch den Kläger selbst dargestellten – Offenkundigkeit der Betrugsversuche ein Risiko, tatsächlich das Opfer eines derartigen Betruges zu werden, nicht vorhanden ist. Es ist ein Leichtes für den Kläger, zu erkennen, dass Dritte mit derartigen Maßnahmen kriminelle Zwecke verfolgen. Darüber hinaus stehen die fragwürdigen E-Mails schon gar nicht im Zusammenhang mit dem Scraping-Vorfall, da die E-Mail-Adresse des Klägers nicht veröffentlicht wurde."