Greifen Dritte umfangreich öffentlich zugängliche Daten von Facebook (sog. Scraping), so hat ein betroffener User gegen Facebook keinen Anspruch auf DSGVO-Schadensersatz, da weder eine Datenschutzverletzung noch eine ersatzfähige Beeinträchtigung vorliegt (LG Essen, Urt. v. 10.11.2022 - Az.: 6 O 111/22).
Der Kläger war User bei der Online-Plattform Facebook und verlangte wegen Datenschutzverstößen eine Geldentschädigung. Es ging dabei um die öffentlich zugänglich Daten des Klägers, die Dritte von den Facebook-Seiten abgreifen und konzentriert sammeln konnten (sog. Scraping).
Das LG Essen wies die Klage ab.
Zum einen fehle es bereits an einem Datenschutzverstoß:
"Ebenso wenig hat die Beklagte gegen ihre Pflicht, die personenbezogenen Daten der Nutzer, inklusive der des Klägers, ausreichend gemäß Art 32 DSGVO zu schützen, verstoßen.
(...)... hat die Beklagte gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, nicht verstoßen. Insbesondere war die Beklagte nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils des Klägers aufgrund seiner selbst gewählten Einstellung zu verhindern.
Diese lautete, dass ihn alle („everyone“) über seine Telefonnummer („by phone number“) finden können. Diese Einstellung beinhaltet dann aber auch das Finden des Klägers durch Dritte über seine Mobilfunknummer, die Dritte etwaig auch unter Zuhilfenahme elektronischer Möglichkeiten zufällig erzeugt haben und so einen Abgleich von in den Kontaktimporter der Plattform von F. hochgeladenen und etwaig generierten Telefonnummern mit der mit dem dort eingerichteten Konto des Klägers verknüpften Telefonnummer vornehmen. Denn auch Dritte fallen unter den Begriff "everyone".
Unstreitig sind die Daten des Klägers von Dritten gescrapt, mithin verarbeitet worden i.S.d. Art. 4 Nr. 2 DSGVO.
Allerdings war die Beklagte nicht verpflichtet, diese Daten vor der Verarbeitung durch die Scraper zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des Klägers, nämlich seinen Namen, sein Geschlecht und seinen Benutzernamen, um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnliches abrufbar sind, was dem Kläger bereits durch die Anmeldung bekannt war. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig. Diese Verarbeitung in Form des Scrapens erfolgt auch durch Dritte und nicht durch die Beklagte."
Ferner liege auch kein gar ersatzfähiger Schaden vor:
"Unabhängig davon fehlt es an einem ersatzfähigen Schaden des Klägers im Sinne des Art. 82 Abs. 1 DSGVO. (...)
Allein eine Verletzung des Datenschutzrechts als solche – die die Kammer nicht festzustellen vermochte – begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (vgl. LG Hamburg, Urteil vom 04.09.2020 – 324 S 9/19). Verletzung und Schaden sind nicht gleichzusetzen. Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich.
Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (vgl. LG Landshut, Urteil vom 06.11.2020 – 51 O 513/20)."
Und weiter:
"Gemessen an diesen Grundsätzen hat der Kläger schon keine spürbare Beeinträchtigung – hervorgerufen durch Datenverlust – von persönlichen Belangen dargelegt. Der Kläger trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 auf der eingangs benannten Seite sei es zu einem Anstieg von SMS und Mails gekommen. Zugleich hat er aber im Rahmen seiner Anhörung gemäß § 141 ZPO bekundet, seit Entdeckung des Scraping-Vorfalls im April 2021 nichts an seinen Profileinstellungen bei F. geändert zu haben. Schon dieser Umstand lässt die Angabe, Furcht vor einem Kontrollverlust über seine Daten zu haben, unplausibel erscheinen.
Unabhängig davon genügt aber selbst die Annahme nicht, dass der Kläger unter einer Furcht vor einem Kontrollverlust leidet, um einen Schaden im Sinne der DSGVO zu bejahen. Der Kläger spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-Mails und Nachrichten. Unerwünschte E-Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen F.-Account haben und dort ihre Telefonnummer hinterlegt haben."