To the English Version of the website.

Einfach anrufen!

03322 5078053

Schadensersatz wegen Scraping gegen Facebook – LG Paderborn lässt die Bombe platzen

Das Landgericht Paderborn hat in den Fällen des “Datenklaus” bei Facebook faktisch eine Bombe platzen lassen und einem “Geschädigten” nicht nur den Unterlassungsanspruch gewährt, sondern auch noch 500,00 Euro Schadensersatz zugesprochen. Das könnte nicht nur Folgen für Facebook haben, sondern auch Handlungspflichten für alle sonstigen Anbieter von Foren, Community etc. nach sich ziehen.

Worum geht es?

Der in diesem Verfahrende betroffene Kläger, machte aufgrund des Aufbau der Privatsphäre-Einstellungen und der sonstigen Umstände, nun nicht nur einen Unterlassungsanspruch geltend, sondern verlange auch einen auf der DSGVO beruhenden Schadensersatzanspruch.

Die Entscheidung des Landgericht Paderborn

Das Landgericht entschied, dass dem Kläger gegen Facebook ein Anspruch auf Schadensersatz i.H.v. 500,00 € aus Art. 82 Abs. 1 DSGVO zustehen würde. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Spannend ist, dass das Gericht zunächst ausführt:

Eine Verletzung der Informations- und Aufklärungspflichten des Art. 13 Abs. 1 lit. c) DSGVO kann nicht schon darin gesehen werden, dass seitens der Beklagten kein Hinweis bei Erhebung der Daten der Mobilfunknummer des Klägers erfolgt ist, dass bei der voreingestellt für „Alle“ freigegebenen Mobilfunknummer die Möglichkeit einer missbräuchlichen Datenabgreifung besteht. Es besteht schon nicht eine dahingehende Informations- und Aufklärungspflicht auf Seiten der Beklagten. Diese Möglichkeit ist der Risikosphäre der betroffenen Person zuzuordnen, da dem Risiko einer missbräuchlichen Verwendung von persönlichen Daten zwangsläufig jede Person ausgesetzt ist, die ihre persönlichen Daten im Internet preisgibt bzw. diese in sozialen Netzwerken teilt.

 

Allerdings erfolgte durch Facebook keine hinreichende Aufklärung darüber, dass die Telefonnummer nicht nur für eine Zwei-Faktor-Anmeldung verwendet werden kann, sondern auch dazu dient, dass andere Mitglieder nach dieser Nummer suchen können und diese mit den eigenen gespeicherten Telefonnummer abgleichen können, um “neue Freund” hinzuzufügen.

Das Gericht kam daher zu dem Schluss, dass Facebook als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO aufgrund unzureichender Sicherheitsmaßnahmen bezüglich der Nutzung des Kontakt-Import-Toolsauch gegen Art. 32, 24, 5 Abs. 1 f) DSGVO verstieß. Gemäß Art. 32 Abs. 1 Hs. 1 DSGVO haben der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diesen Anforderungen genügten die beklagtenseits behaupteten Schutzmaßnahmen nicht.

Exkurs des Landgericht zu TOM

Artikel 32 DSGVO ist immer noch eine vielen Anbietern kaum bekannte Norm. Er regelt die Pflicht des Verantwortlichen und des Auftragsverarbeiters, bestimmte technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau im Hinblick auf die verarbeiteten personenbezogenen Daten zu gewährleisten. Er konkretisiert die als Generalauftrag gestalteten Datensicherheitsmaßnahmen des Art. 24 DSGVO und dient damit u.a. der Gewährleistung der Absicherung der Datenschutzgrundsätze der Vertraulichkeit und Integrität nach Art. 5 Abs. 1 f) DSGVO. Zielrichtung ist ein umfassender Schutz der für die Verarbeitung von personenbezogenen Daten genutzten Systeme, also im Kern die Datensicherheit. Das Gebot soll insbesondere personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten oder es unbeabsichtigt zu einem Verlust, einer Zerstörung oder Schädigung der Daten kommt. Bei der Implementierung von geeigneten technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO sind dabei der Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen als Faktoren zu berücksichtigen. Dies bedeutet allerdings nur, dass sie in die Verhältnismäßigkeitsprüfung einzustellen, jedoch nicht notwendigerweise absolut zu befolgen sind

PR-Fehler von Facebook?

Interessant ist ebenfalls die Ausführung des Gerichts, die man durchaus einen PR-Fehler von Facebook nennen könnte. Das Gericht folgert nämlich:

 

Auch die Ausführungen im Verfahren waren wohl nicht besser, denn das Landgericht weist darauf hin:

Auch die Beschäftigung eines Teams von Datenwissenschaftlern, -analysten und Softwareingenieuren zur Bekämpfung von Scraping, Übertragungsbeschränkungen sowie CAPTCHA-Abfragen genügen den Anforderungen des Art. 32 DSGVO im vorliegenden Fall allein nicht. Die Beklagte legt diesbezüglich bereits nicht dar, wie es bei den – aus ihrer Sicht im hiesigen Verfahren ausreichenden – Sicherheitsmaßnahmen dennoch zum streitgegenständlichen Datenscraping kommen konnte.

 

Aufgrund all dieser Punkte erkennt das Gericht ein Verstoß gegen Art. 32, 24, 5 Abs. 1 f) DSGVO, der bei Vorliegen der übrigen Anspruchsvoraussetzungen einen Anspruch nach Art. 82 DSGVO zur Folge habe.

Weitere Ansprüche auf Schadensersatz

Erschwerend kommt hinzu:

Den gemäß Art. 33 Abs. 1 DSGVO hat der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der gem. Art. 55 DSGVO zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Der Mindestinhalt der Meldung ist in Art 33 Abs. 3 DSGVO festgelegt. Das ist brisant, denn wie schon das Landgericht Essen letztes Jahr entschied, kann auch ein Verstoß gegen die Meldepflicht geeignet sein, für den Verantwortlichen eine Haftung und eine Schadensersatzpflicht gem. Art. 82 DSGVO zu begründen. Die Vorschrift dient sowohl dem Schutz des Betroffenen, als auch der Ermöglichung von Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung durch die Aufsichtsbehörde. Insofern genüge laut dem Gericht bereits ein solch formeller Verstoß gegen die DSGVO zur Begründung eines Schadensersatzanspruchs dem Grunde nach.

Auch ein Verstoß gegen Art. 34 Abs. 1 DSGVO liegt vor und ist geeignet, einen Schadensersatzanspruch zu begründen. Nach dieser Vorschrift benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten, wenn diese voraussichtlich ein hohes Risiko für seine persönlichen Rechte und Freiheiten zur Folge hat. Die Benachrichtigung muss grundsätzlich gegenüber der betroffenen Person i.S.v. Art. 4 Nr. 1 DSGVO erfolgen. Der in Art. 34 Abs. 1 Hs. 2 DSGVO gewählte Singular „Person“ verdeutliche laut dem LG Paderborn, dass in den Fällen des Art. 34 regelmäßig eine individuelle Information bezüglich des Datenschutzvorfalls erfolgen müsse. Eine solche individualisierte Information des Klägers ohne schuldhaftes Verzögern nach Offenbarung der Verletzung des Schutzes personenbezogener Daten im Jahr 2019 habe Facebook aber nicht vorgenommen.

Die hier vorliegende Verletzung des Schutzes personenbezogener Daten hat voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen zur Folge. Ein solches Risiko besteht dann, wenn zu erwarten ist, dass bei ungehindertem Geschehensablauf mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten des Betroffenen eintritt. In einem solchen Fall ist es nicht maßgeblich, ob die Datenschutzverletzung auch zu einen besonders hohen Schadensumfang führt. Ein solcher Schaden ist durch den dadurch begründeten Kontrollverslust des Klägers über seines Daten bereits eingetreten.

Exkurs des Landgericht zu “Privacy by Design”

Das hochinteressante Urteil vom Dezember 2022 liest sich fast wie ein Leitpfaden für Datenschutzbeauftragte. So beinhaltet es auch sehr spannende Ausführungen zum Thema “Privacy by Design”.

Allerdings können Anbieter kurz aufatmen, denn

Dies verhilft der Klägerin indes jedoch nicht zu einem Anspruch gem. Art. 82 Abs. 1 DSGVO.

Schadensersatz also gegeben?

 

Auch die sonstigen Anforderungen an einen Schadensersatzanspruch, beispielsweise die Kausalität, waren für das Gericht unproblematisch, weswegen dieses ein Schmerzensgeld von 500,00 Euro als angemessen ansah. Grund dafür war vor allem, dass sich Facebook mehrere Verstöße gegen die DSGVO vorwerfen lassen musste, die einen sehr weitgehenden Kontrollverlust der personenbezogenen Daten des Klägers ermöglicht und begünstigt haben. Allerdings reduzierte das Gericht den Schadensersatz von den mindestens geforderten 1000,00 Euro auf 500,00 Euro. Die Kammer konnten nämlich keine besondere persönliche Betroffenheit feststellen. Weder hat der Kläger sein Facebook-Profil gelöscht und seine Handynummer geändert, noch sonstige Maßnahmen ergriffen, um seine Daten zu schützen. Zudem ist das Vorbringen der Beklagten, die „Suchbarkeits-Einstellung“ sei bei dem Kläger seit dem 07.10.2016 auf „Alle“ eingestellt (Anlage B17), auf Klägerseite unwidersprochen geblieben, sodass die Kammer davon ausgehen musste, dass eine Änderung der „Suchbarkeits-Einstellung“ nicht stattgefunden hat. Diese Umstände verdeutlichen, dass der objektive Kontrollverlust der personenbezogenen Daten den Kläger jedenfalls subjektiv nicht so stark getroffen hat, da der streitgegenständliche „Scraping-Vorfall“ den Kläger offenbar nicht dazu angehalten habe, selbst Konsequenzen zu ziehen und einem möglichen Missbrauch der Daten in Zukunft aktiv entgegenzutreten.

 

Marian Härtel

Marian Härtel

Marian Härtel ist Rechtsanwalt und Unternehmer mit den Schwerpunkten Urheberrecht, Wettbewerbsrecht und IT/IP Recht und einen Fokus auf Games, Esport, Medien und Blockchain.

0 0 votes
Artikelbewertung
Abonnieren
Benachrichtige mich bei
guest
0 Kommentare
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
DSGVO Cookie-Einwilligung mit Real Cookie Banner