Greifen Dritte umfangreich öffentlich zugängliche Daten von Facebook (sog. Scraping), so hat ein betroffener User gegen Facebook keinen Anspruch auf DSGVO-Schadensersatz, da ihn ein überwiegendes Mitverschulden trifft (LG Ellwangen, Urt. v. 25.01.2023 - Az.: 2 O 198/22).
Der Kläger war User bei der Online-Plattform Facebook und verlangte wegen Datenschutzverstößen eine Geldentschädigung. Es ging dabei um die öffentlich zugänglich Daten des Klägers, die Dritte von den Facebook-Seiten abgreifen und konzentriert sammeln konnten (sog. Scraping).
Das LG Heidelberg wies die Klage ab.
Ein Anspruch auf Schadensersatz aus Art. 82 DSGVO bestünde nicht.
Ein Großteil der vom Kläger behaupteten DSGVO-Verstöße würden selbst für den Fall, dass sie vorlägen, nicht die begehrte Rechtsfolge auslösen:
"Es fehlt an einer schadenersatzauslösenden Pflichtverletzung der Beklagten im Sinne der DSGVO. Soweit der Kläger der Beklagten mehrere Verstöße vorwirft, nämlich
- ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 a DSGVO),
- einen unmittelbaren Verstoß gegen Art. 13, 14 DSGVO, die konkrete Informationspflichten enthielten, die seitens der Beklagten nicht eingehalten worden seien,
- einen ungenügenden Schutz der personenbezogenen Daten der Nutzer von F. (Art. 24, 32 DSGVO),
- eine unvollständige Auskunftserteilung nach Art. 15 DSGVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Klägers durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 33, 34 DSGVO),sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DSGVO umfasst."
Es liege auch kein Verstoß gegen die Sicherheit der Datenverarbeitung (Art. 32 DSGVO) vor:
"Unter Berücksichtigung der vorstehenden Ausführungen hat die Beklagte gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, nicht verstoßen.
Insbesondere war die Beklagte nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils des Klägers aufgrund seiner selbst gewählten Einstellung zu verhindern. Unstreitig sind die Daten des Klägers von Dritten gescrapt, mithin verarbeitet worden i.S.d. Art. 4 Nr. 2 DSGVO.
Allerdings war die Beklagte nicht verpflichtet, diese Daten vor der Verarbeitung durch die Scraper zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des Klägers, nämlich seinen Namen, sein Geschlecht und seinen Benutzernamen, um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnliches abrufbar sind, was dem Kläger bereits durch die Anmeldung bekannt war. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig. Diese Verarbeitung in Form des Scrapens erfolgt auch durch Dritte und nicht durch die Beklagte.
Dass nicht öffentlich zugängliche Informationen von Dritten erhoben worden sind, kann nicht festgestellt werden. "
Unabhängig davon, dass keine DSGVO-Normen verletzt seien, fehle es auch an einem ersatzfähigen Schaden:
"Unter Anwendung dieser Maßstäbe hat der Kläger schon keine spürbare Beeinträchtigung von persönlichen Belangen, die durch Datenverlust hervorgerufen worden ist, dargelegt.
Der Kläger trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 auf der eingangs benannten Seite sei es zu einem Anstieg von SMS und Mails gekommen. Zugleich hat er aber im Rahmen seiner Anhörung gemäß § 141 ZPO bekundet, seit Entdeckung des Scraping-Vorfalls im April 2021 nichts an seinen Profileinstellungen bei Facebook geändert zu haben.
Schon dieser Umstand lässt die Angabe, Furcht vor einem Kontrollverlust über seine Daten zu haben, unplausibel erscheinen.
Unabhängig davon genügt aber selbst die Annahme nicht, dass der Kläger unter einer Furcht vor einem Kontrollverlust leidet, um einen Schaden im Sinne der DSGVO zu bejahen. Der Kläger spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-Mails und Nachrichten. Unerwünschte E-Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen Facebook-Account haben und dort ihre Telefonnummer hinterlegt haben."