• Mehr als 3 Millionen Wörter Inhalt
  • |
  • info@itmedialaw.com
  • |
  • Tel: 03322 5078053
  • |
  • LinkedIn
  • |
  • Discord
  • |
  • WhatsApp
Rechtsanwalt Marian Härtel - ITMediaLaw

Es befinden sich keine Produkte im Warenkorb.

  • en English
  • de Deutsch
  • Informationen
    • Leistungen
      • Betreuung und Beratung von Agenturen
      • Vertragsprüfung- und erstellung
      • Beratung zum Games-Recht
      • Beratung für Influencer und Streamer
      • Beratung im E-Commerce
      • Beratung zu DLT und Blockchain
      • Rechtsberatung im Gesellschaftsrecht
      • Legal Compliance und Gutachten
      • Outsourcing – für Unternehmen oder Kanzleien
      • Buchung als Speaker
    • Schwerpunkte
      • Focus auf Startups
      • Investmentberatung
      • Unternehmensrecht
      • Kryptowährungen, Blockchain und Games
      • KI und SaaS
      • Streamer und Influencer
      • Games- und Esportrecht
      • IT/IP-Recht
      • Kanzlei für GMBH,UG, GbR
      • Kanzlei für IT/IP und Medienrecht
    • Idealer Partner
    • Über Rechtsanwalt Marian Härtel
    • Schnell und flexibel erreichbar
    • Prinzipien als Rechtsanwalt
    • Warum Rechtsanwalt und Unternehmensberater?
    • Der Alltag eines IT-Rechtsanwalts
    • Wie kann ich Mandanten helfen?
    • Testimonials
    • Team: Saskia Härtel – WER BIN ICH?
    • Agile und leane Kanzlei
    • Preisübersicht
    • Sonstiges
      • AGB
      • Datenschutzerklärung
      • Widerrufserklärung
      • Impressum
  • News
    • Glosse / Meinung
    • Recht im Internet
    • Onlinehandel
    • Recht und Computerspiele
    • Recht und Esport
    • Blockchain und Web 3 Recht
    • Datenschutzrecht
    • Urheberrecht
    • Arbeitsrecht
    • Wettbewerbsrecht
    • Gesellschaftsrecht
    • EU-Recht
    • Jugendschutzrecht
    • Steuerrecht
    • Sonstiges
    • Intern
  • Podcast
    • ITMediaLaw Kurz-Podcast
    • ITMediaLaw Podcast
  • Wissen
    • Gesetze
    • Juristische Begriffe
    • Vertragstypen
    • Klauseltypen
    • Finanzierungsformen und Begriffe
    • Juristische Mittel
    • Behörden / Institutionen
    • Gesellschaftsformen
    • Steuerrecht
    • Konzepte
  • Videos
    • Informationsvideos – über Marian Härtel
    • Videos – über mich (Couch)
    • Blogpost – einzelne Videos
    • Videos zu Dienstleistungen
    • Shorts
    • Podcast Format
    • Drittanbietervideos
    • Sonstige Videos
  • Kontaktaufnahme
  • Shop / Downloads
    • Downloads und Dienstleistungen
      • Beratung
      • Seminare
      • E-Books
      • Freebies
      • Vertragsmuster
      • Bundle
    • Profil / Verwaltung
      • Bestellungen
      • Downloads
      • Rechnungsadresse
      • Zahlungsarten
    • Kasse
    • Warenkorb
    • Support
    • FAQ Shop
  • Community / Login
    • Profilverwaltung
    • Registrieren
    • Login
    • Foren
    • Passwort vergessen?
    • Passwort ändern
    • Passwort zurücksetzen
Kurzberatung
  • Informationen
    • Leistungen
      • Betreuung und Beratung von Agenturen
      • Vertragsprüfung- und erstellung
      • Beratung zum Games-Recht
      • Beratung für Influencer und Streamer
      • Beratung im E-Commerce
      • Beratung zu DLT und Blockchain
      • Rechtsberatung im Gesellschaftsrecht
      • Legal Compliance und Gutachten
      • Outsourcing – für Unternehmen oder Kanzleien
      • Buchung als Speaker
    • Schwerpunkte
      • Focus auf Startups
      • Investmentberatung
      • Unternehmensrecht
      • Kryptowährungen, Blockchain und Games
      • KI und SaaS
      • Streamer und Influencer
      • Games- und Esportrecht
      • IT/IP-Recht
      • Kanzlei für GMBH,UG, GbR
      • Kanzlei für IT/IP und Medienrecht
    • Idealer Partner
    • Über Rechtsanwalt Marian Härtel
    • Schnell und flexibel erreichbar
    • Prinzipien als Rechtsanwalt
    • Warum Rechtsanwalt und Unternehmensberater?
    • Der Alltag eines IT-Rechtsanwalts
    • Wie kann ich Mandanten helfen?
    • Testimonials
    • Team: Saskia Härtel – WER BIN ICH?
    • Agile und leane Kanzlei
    • Preisübersicht
    • Sonstiges
      • AGB
      • Datenschutzerklärung
      • Widerrufserklärung
      • Impressum
  • News
    • Glosse / Meinung
    • Recht im Internet
    • Onlinehandel
    • Recht und Computerspiele
    • Recht und Esport
    • Blockchain und Web 3 Recht
    • Datenschutzrecht
    • Urheberrecht
    • Arbeitsrecht
    • Wettbewerbsrecht
    • Gesellschaftsrecht
    • EU-Recht
    • Jugendschutzrecht
    • Steuerrecht
    • Sonstiges
    • Intern
  • Podcast
    • ITMediaLaw Kurz-Podcast
    • ITMediaLaw Podcast
  • Wissen
    • Gesetze
    • Juristische Begriffe
    • Vertragstypen
    • Klauseltypen
    • Finanzierungsformen und Begriffe
    • Juristische Mittel
    • Behörden / Institutionen
    • Gesellschaftsformen
    • Steuerrecht
    • Konzepte
  • Videos
    • Informationsvideos – über Marian Härtel
    • Videos – über mich (Couch)
    • Blogpost – einzelne Videos
    • Videos zu Dienstleistungen
    • Shorts
    • Podcast Format
    • Drittanbietervideos
    • Sonstige Videos
  • Kontaktaufnahme
  • Shop / Downloads
    • Downloads und Dienstleistungen
      • Beratung
      • Seminare
      • E-Books
      • Freebies
      • Vertragsmuster
      • Bundle
    • Profil / Verwaltung
      • Bestellungen
      • Downloads
      • Rechnungsadresse
      • Zahlungsarten
    • Kasse
    • Warenkorb
    • Support
    • FAQ Shop
  • Community / Login
    • Profilverwaltung
    • Registrieren
    • Login
    • Foren
    • Passwort vergessen?
    • Passwort ändern
    • Passwort zurücksetzen
Rechtsanwalt Marian Härtel - ITMediaLaw

Schadensersatz wegen Scraping gegen Facebook – LG Paderborn lässt die Bombe platzen

16. Januar 2023
in Datenschutzrecht
Lesezeit: 11 Minuten Lesezeit
0 0
A A
0
privacy policy 3583612 1920 1
Wichtigste Punkte
  • Landgericht Paderborn entschied, dass Facebook für Datenmissbrauch 500,00 Euro Schadensersatz zahlen muss.
  • Im Zeitraum 2018-2019 kam es zu massivem Datenscraping mit persönlichen Daten von 533 Millionen Nutzern.
  • Facebook informierte die zuständige Datenschutzbehörde nicht über den Vorfall, was als Verstoß gilt.
  • Gericht befand Facebook für verantwortlich aufgrund unzureichender Sicherheitsmaßnahmen im Umgang mit personenbezogenen Daten.
  • Verstoß gegen Art. 33 DSGVO aufgrund unterlassener Meldepflichten an die Aufsichtsbehörde festgestellt.
  • Entscheidung gilt als wegweisend für die Umsetzung von Privacy by Design in sozialen Netzwerken.
  • Gericht schloss anhand des Kontrollverlusts über Daten auf einen immateriellen Schaden des Klägers.

Das Landgericht Paderborn hat in den Fällen des „Datenklaus“ bei Facebook faktisch eine Bombe platzen lassen und einem „Geschädigten“ nicht nur den Unterlassungsanspruch gewährt, sondern auch noch 500,00 Euro Schadensersatz zugesprochen. Das könnte nicht nur Folgen für Facebook haben, sondern auch Handlungspflichten für alle sonstigen Anbieter von Foren, Community etc. nach sich ziehen.

Inhaltsverzeichnis Verbergen
1. Worum geht es?
2. Die Entscheidung des Landgericht Paderborn
2.1. Exkurs des Landgericht zu TOM
3. PR-Fehler von Facebook?
4. Weitere Ansprüche auf Schadensersatz
4.1. Exkurs des Landgericht zu „Privacy by Design“
5. Schadensersatz also gegeben?
5.1. Author: Marian Härtel

Worum geht es?

Im Zeitraum von Januar 2018 bis September 2019 kam es zu einem sogenannten „Datenscraping“, also dem massenhaften, automatisierten Sammeln der persönlichen Daten von Facebook-Nutzern. „Scraping“ ist eine weitverbreitete Methode, um Daten, die typischerweise öffentlich einsehbar sind, von Internetseiten durch automatisierte Softwareprogramme abzurufen. Dieses Sammeln von Daten mittels automatisierter Tools und Methoden war und ist nach den Nutzungsbedingungen von Facebook untersagt. Unbekannten gelang es durch die Nutzung von Telefonnummern der Facebook-Mitglieder, und dem Kontaktimporter aus 2019,  Daten zu sammeln und veröffentlichten Anfang April 2021nach Angaben eines Artikels des „Business Insider“ vom 03.04.2021 die Daten von ca. 533 Millionen Nutzern aus 106 Ländern im Internet.

Facebook veröffentlichte daraufhin, dass die Daten nicht durch einen Hack erlangt worden seien, sondern es sich um öffentlich einsehbare Informationen handele. Die zuständige Datenschutzbehörde wurde von Facebook nicht über den Vorfall informiert. Stattdessen ergriff die Beklagte als Reaktion auf die Medienberichterstattung Maßnahmen, um Nutzern Informationen über das „Scraping“ sowie die Möglichkeiten zur Änderung ihrer Privatsphäre-Einstellungen zur Verfügung zu stellen.

Der in diesem Verfahrende betroffene Kläger, machte aufgrund des Aufbau der Privatsphäre-Einstellungen und der sonstigen Umstände, nun nicht nur einen Unterlassungsanspruch geltend, sondern verlange auch einen auf der DSGVO beruhenden Schadensersatzanspruch.

Die Entscheidung des Landgericht Paderborn

Das Landgericht entschied, dass dem Kläger gegen Facebook ein Anspruch auf Schadensersatz i.H.v. 500,00 € aus Art. 82 Abs. 1 DSGVO zustehen würde. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Ein Schadensersatzanspruch nach Art. 82 DSGVO kann nur dann begründet werden, wenn nach dessen Absatz 2 Satz 1 ein Schaden durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Entsprechend der Legaldefinition des Art. 4 Ziffer 2 DSGVO entstehen die Informations- und Aufklärungspflichten des Art. 13 DSGVO bereits mit der Erhebung personenbezogener Daten. Bereits zu diesem Zeitpunkt hat der Verantwortliche gegenüber dem Betroffenen umfangreiche Informationspflichten zu erfüllen. Bildet die Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a) DSGVO die Grundlage des Datenerhebungs- und somit auch des Datenverarbeitungsvorganges, kann eine solche Einwilligung unter Berücksichtigung der in der DSGVO vorherrschenden Grundsätze einer fairen und transparenten Verarbeitung von personenbezogenen Daten keinen Bestand haben, wenn dem Betroffenen nicht bereits bei Datenerhebung sämtliche nach Art. 13 DSGVO erforderlichen Informationen mitgeteilt werden.

Spannend ist, dass das Gericht zunächst ausführt:

Eine Verletzung der Informations- und Aufklärungspflichten des Art. 13 Abs. 1 lit. c) DSGVO kann nicht schon darin gesehen werden, dass seitens der Beklagten kein Hinweis bei Erhebung der Daten der Mobilfunknummer des Klägers erfolgt ist, dass bei der voreingestellt für „Alle“ freigegebenen Mobilfunknummer die Möglichkeit einer missbräuchlichen Datenabgreifung besteht. Es besteht schon nicht eine dahingehende Informations- und Aufklärungspflicht auf Seiten der Beklagten. Diese Möglichkeit ist der Risikosphäre der betroffenen Person zuzuordnen, da dem Risiko einer missbräuchlichen Verwendung von persönlichen Daten zwangsläufig jede Person ausgesetzt ist, die ihre persönlichen Daten im Internet preisgibt bzw. diese in sozialen Netzwerken teilt.

 

Allerdings erfolgte durch Facebook keine hinreichende Aufklärung darüber, dass die Telefonnummer nicht nur für eine Zwei-Faktor-Anmeldung verwendet werden kann, sondern auch dazu dient, dass andere Mitglieder nach dieser Nummer suchen können und diese mit den eigenen gespeicherten Telefonnummer abgleichen können, um „neue Freund“ hinzuzufügen.

Das Gericht kam daher zu dem Schluss, dass Facebook als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO aufgrund unzureichender Sicherheitsmaßnahmen bezüglich der Nutzung des Kontakt-Import-Toolsauch gegen Art. 32, 24, 5 Abs. 1 f) DSGVO verstieß. Gemäß Art. 32 Abs. 1 Hs. 1 DSGVO haben der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diesen Anforderungen genügten die beklagtenseits behaupteten Schutzmaßnahmen nicht.

Exkurs des Landgericht zu TOM

Artikel 32 DSGVO ist immer noch eine vielen Anbietern kaum bekannte Norm. Er regelt die Pflicht des Verantwortlichen und des Auftragsverarbeiters, bestimmte technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau im Hinblick auf die verarbeiteten personenbezogenen Daten zu gewährleisten. Er konkretisiert die als Generalauftrag gestalteten Datensicherheitsmaßnahmen des Art. 24 DSGVO und dient damit u.a. der Gewährleistung der Absicherung der Datenschutzgrundsätze der Vertraulichkeit und Integrität nach Art. 5 Abs. 1 f) DSGVO. Zielrichtung ist ein umfassender Schutz der für die Verarbeitung von personenbezogenen Daten genutzten Systeme, also im Kern die Datensicherheit. Das Gebot soll insbesondere personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten oder es unbeabsichtigt zu einem Verlust, einer Zerstörung oder Schädigung der Daten kommt. Bei der Implementierung von geeigneten technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO sind dabei der Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen als Faktoren zu berücksichtigen. Dies bedeutet allerdings nur, dass sie in die Verhältnismäßigkeitsprüfung einzustellen, jedoch nicht notwendigerweise absolut zu befolgen sind

Die DSGVO legt zur Bemessung der Geeignetheit der Maßnahmen insbesondere weiter fest, dass diese ein dem Risiko der Verarbeitung angemessenes Schutzniveau bieten müssen. Dabei kommt es letztlich darauf an, wie groß die Risiken sind, die den Rechten und Freiheiten der betroffenen Person drohen und wie hoch die Wahrscheinlichkeit eines Schadenseintritts ist. Damit ergibt sich, dass die Maßnahmen umso wirksamer sein müssen, je höher die drohenden Schäden sind. Dies wird vor allem anhand der Sensibilität der Daten und der Wahrscheinlichkeit eines Schadeneintritts bestimmt.

Art. 32 Abs. 1 DSGVO verpflichtet den Verantwortlichen und Auftragsverarbeiter aber nicht zu einem absoluten Schutz(niveau) der Daten. Das Schutzniveau muss vielmehr, je nach Verarbeitungskontext, dem Risiko bezüglich der Rechte und Freiheiten der betroffenen Personen im Einzelfall angemessen sein. Dies bedeutet gleichzeitig, dass das Risiko nicht völlig ausgeschlossen werden kann und dies auch nicht Ziel der umzusetzenden Maßnahmen ist. Zur Bestimmung des angemessenen Schutzniveaus sind gem. Art. 32 Abs. 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. Diese sind laut dem Landgericht Paderborn zwingend in die Risikobetrachtung einzubeziehen.

Ausweislich des Erwägungsgrunds 76 zur DSGVO sollten die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten des betroffenen Person in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

PR-Fehler von Facebook?

Interessant ist ebenfalls die Ausführung des Gerichts, die man durchaus einen PR-Fehler von Facebook nennen könnte. Das Gericht folgert nämlich:

Dies war auch der Beklagten bekannt. Für sie ist ausweislich ihres Artikels „Die Fakten zu Medienberichten über G-Daten“ vom 06.04.2021 Scraping „eine gängige Taktik.“ Die Beklagte musste sich daher darüber bewusst sein, dass Maßnahmen für ein angemessenes Schutzniveau für die personenbezogenen Daten hinsichtlich des Risikos von Scraping zu treffen waren.

Soweit die Beklagte nun darauf abstellt, dass sie gegen Scraper mittels Unterlassungsaufforderungen, Kontosperrungen und Gerichtsverfahren vorgehe, kommt diese Maßnahme bereits erst dann zu tragen, wenn ein Datenscraping tatsächlich eingetreten ist. Die Daten sind in diesem Stadium bereits entwendet worden. Eine Veröffentlichung oder anderweitiger Missbrauch kann in diesem Stadium praktisch nicht mehr verhindert werden. Des Weiteren ist die behauptete teilweise Einschränkung des CIT auch nach dem Beklagtenvorbringen erst nach dem streitgegenständlichen Vorfall eingeführt worden.

 

Auch die Ausführungen im Verfahren waren wohl nicht besser, denn das Landgericht weist darauf hin:

Auch die Beschäftigung eines Teams von Datenwissenschaftlern, -analysten und Softwareingenieuren zur Bekämpfung von Scraping, Übertragungsbeschränkungen sowie CAPTCHA-Abfragen genügen den Anforderungen des Art. 32 DSGVO im vorliegenden Fall allein nicht. Die Beklagte legt diesbezüglich bereits nicht dar, wie es bei den – aus ihrer Sicht im hiesigen Verfahren ausreichenden – Sicherheitsmaßnahmen dennoch zum streitgegenständlichen Datenscraping kommen konnte.

 

Aufgrund all dieser Punkte erkennt das Gericht ein Verstoß gegen Art. 32, 24, 5 Abs. 1 f) DSGVO, der bei Vorliegen der übrigen Anspruchsvoraussetzungen einen Anspruch nach Art. 82 DSGVO zur Folge habe.

Weitere Ansprüche auf Schadensersatz

Erschwerend kommt hinzu:

Die Beklagte hat zudem ihre Meldepflicht aus Art. 33 DSGVO verletzt.

Den gemäß Art. 33 Abs. 1 DSGVO hat der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der gem. Art. 55 DSGVO zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Der Mindestinhalt der Meldung ist in Art 33 Abs. 3 DSGVO festgelegt. Das ist brisant, denn wie schon das Landgericht Essen letztes Jahr entschied, kann auch ein Verstoß gegen die Meldepflicht geeignet sein, für den Verantwortlichen eine Haftung und eine Schadensersatzpflicht gem. Art. 82 DSGVO zu begründen. Die Vorschrift dient sowohl dem Schutz des Betroffenen, als auch der Ermöglichung von Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung durch die Aufsichtsbehörde. Insofern genüge laut dem Gericht bereits ein solch formeller Verstoß gegen die DSGVO zur Begründung eines Schadensersatzanspruchs dem Grunde nach.

Auch ein Verstoß gegen Art. 34 Abs. 1 DSGVO liegt vor und ist geeignet, einen Schadensersatzanspruch zu begründen. Nach dieser Vorschrift benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten, wenn diese voraussichtlich ein hohes Risiko für seine persönlichen Rechte und Freiheiten zur Folge hat. Die Benachrichtigung muss grundsätzlich gegenüber der betroffenen Person i.S.v. Art. 4 Nr. 1 DSGVO erfolgen. Der in Art. 34 Abs. 1 Hs. 2 DSGVO gewählte Singular „Person“ verdeutliche laut dem LG Paderborn, dass in den Fällen des Art. 34 regelmäßig eine individuelle Information bezüglich des Datenschutzvorfalls erfolgen müsse. Eine solche individualisierte Information des Klägers ohne schuldhaftes Verzögern nach Offenbarung der Verletzung des Schutzes personenbezogener Daten im Jahr 2019 habe Facebook aber nicht vorgenommen.

Die hier vorliegende Verletzung des Schutzes personenbezogener Daten hat voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen zur Folge. Ein solches Risiko besteht dann, wenn zu erwarten ist, dass bei ungehindertem Geschehensablauf mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten des Betroffenen eintritt. In einem solchen Fall ist es nicht maßgeblich, ob die Datenschutzverletzung auch zu einen besonders hohen Schadensumfang führt. Ein solcher Schaden ist durch den dadurch begründeten Kontrollverslust des Klägers über seines Daten bereits eingetreten.

Exkurs des Landgericht zu „Privacy by Design“

Das hochinteressante Urteil vom Dezember 2022 liest sich fast wie ein Leitpfaden für Datenschutzbeauftragte. So beinhaltet es auch sehr spannende Ausführungen zum Thema „Privacy by Design“.

Facebook verstoße laut dem Gericht mit seinen Grundeinstellungen zur Sichtbarkeit zumindest hinsichtlich der E-Mail-Adresse und zur Suchbarkeit über die Telefonnummer der Benutzer der G-Plattform gegen Art. 25 DSGVO.

Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen bereits bei der Entwicklung von Produkten, Diensten und Anwendungen sicherzustellen, dass die Anforderungen der DSGVO erfüllt werden („Privacy by Design“). Abs. 2 konkretisiert diese allgemeine Verpflichtung und verlangt, vorhandene Einstellungsmöglichkeiten standardmäßig auf die „datenschutzfreundlichsten“ Voreinstellungen („Privacy by default“) zu setzen. „Datenschutz durch Voreinstellungen“ soll insbesondere diejenigen Nutzer schützen, welche die datenschutztechnischen Implikationen der Verarbeitungsvorgänge entweder nicht zu erfassen in der Lage sind oder sich darüber keine Gedanken machen und sich deshalb auch nicht dazu veranlasst sehen, aus eigenem Antrieb datenschutzfreundliche Einstellungen vorzunehmen, obwohl der Telemediendienst ihnen diese Möglichkeit prinzipiell eröffnet. Die Nutzer sollen keine Änderungen an den Einstellungen vornehmen müssen, um eine möglichst „datensparsame“ Verarbeitung zu erreichen. Vielmehr soll umgekehrt jede Abweichung von den datenminimierenden Voreinstellungen erst durch ein aktives „Eingreifen“ der Nutzer möglich werden. Die Regelung soll die Verfügungshoheit der Nutzer über ihre Daten sicherstellen und sie vor einer unbewussten Datenerhebung schützen. Abs. 2 verlangt aber nicht, dass der Verantwortliche stets die jeweils denkbar datenschutzfreundlichste Voreinstellung trifft. Der Verantwortliche entscheidet vielmehr durch die Festlegung eines bestimmten Verarbeitungszweckes auch über den Umfang der dafür erforderlichen Daten. Dem Wortlaut nach ist daher auch eine besonders datenintensive Voreinstellung mit Abs. 2 vereinbar, wenn der Zweck der Verarbeitung dies erfordert. Vor dem Hintergrund der Schutzrichtung des Abs. 2, den Nutzer vor einer Überrumpelung oder dem Ausnutzen seiner Unerfahrenheit zu schützen, muss der Verantwortliche aber stets sicherstellen, dass die geplante Datennutzung auch für einen nicht-technikaffinen Nutzer hinreichend transparent ist.

Allerdings können Anbieter kurz aufatmen, denn

Dies verhilft der Klägerin indes jedoch nicht zu einem Anspruch gem. Art. 82 Abs. 1 DSGVO.

Allein aus einem Verstoß gegen Art. 25 DSGVO könne wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DSGVO jedoch nicht begründet werden. Die Vorschrift entfalte bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt entfalte die DSGVO jedoch nach Art. 2 Abs. 1 DSGVO noch keine Wirkung. Die Anwendbarkeit der DSGVO setze vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus

Schadensersatz also gegeben?

Dem Kläger ist nach Auffassung des Gerichts dajer immaterieller Schaden im Sinne des Art. 82 DSGVO entstanden. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen des Schadensersatzanspruches jedoch nicht. Vielmehr folge bereits aus dem Wortlaut der Vorschrift, dass der Verordnungsgeber keine allein an den Rechtsverstoß anknüpfende Zahlungspflicht begründen wollte. Der Generalanwalt des EuGH stellte in seinen Schlussanträgen im Rahmen des Vorabentscheidungsersuchens des österreichischen Obersten Gerichtshofs vom 12.05.2021 auf das Erfordernis eines konkreten Schadens ab. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 S. 3 im Lichte der Rechtsprechung des Europäischen Gerichtshofs weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DS-GVO bestehen dabei u.a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können.. In den Erwägungsgründen 75 und 85 wird der Kontrollverlust über die personenbezogenen Daten gerade als ein Beispiel für das Vorliegen eines solchen Schadens aufgeführt.

Und jetzt kommt das wirkliche „Bäm“ dieser Entscheidung, denn

Im Übrigen tritt der Kontrollverlust– unabhängig von der Veröffentlichung im „Darknet“ – bereits durch den „Scraping“-Vorfall und das damit verbundene Abschöpfen der Daten ein. Unerheblich ist, dass der Name, das Geschlecht und die G-ID nach den Nutzereinstellungen des Klägers öffentlich waren. Denn jedenfalls die Verknüpfung mit seiner Telefonnummer war bis dahin nicht hergestellt. Darüber hinaus sieht Erwägungsgrund 75 vor, dass ein immaterieller Schaden auch dann anzunehmen ist, wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von Personen betrifft. Auch dies ist aufgrund der Tatsache, dass im Rahmen des „Scraping“-Vorfall die Daten von Millionen von G-Nutzern veröffentlicht wurden, anzunehmen.

Ob eine erhebliche Beeinträchtigung etwa in Form eines schwerwiegenden Persönlichkeitseingriffs vorliegen muss ist umstritten (pro: OLG Dresden NJW-RR 2020, 1370; LG München I GRUR-RS 2021, 33318; LG Karlsruhe BeckRS 2021, 20347; contra: OLG Frankfurt GRUR 2022, 1252 Rn. 63; LAG Hannover, ZD 2022, 61; LG München I GRUR-RS 2021, 41707; LG Lüneburg BeckRS 2020, 36932; Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DS-GVO Art. 82 Rn. 18), kann aber im Ergebnis dahinstehen. Zwar geht auch der Generalanwalt in seinen Schlussanträgen davon aus, dass es den nationalen Gerichten obliegt herauszuarbeiten, wann ein subjektives Unmutsgefühl die Grenze zwischen bloßem nicht ersatzfähigem Ärger und echtem ersatzfähigen immateriellen Schaden überschreitet (Generalanwalt beim EuGH Schlussantrag v. 6.10.2022 – C-300/21, BeckRS 2022, 26562). Vorliegend handelt es jedoch nicht um einen bloßen Bagatellschaden. Denn durch die Veröffentlichung der personenbezogenen Daten des Klägers im „Darknet“ ist die Weiterverarbeitung durch einen unbegrenzten und unbestimmten Personenkreis, insbesondere auch für den gezielten Missbrauch etwa in Form von Betrugsanrufen, ermöglicht.

 

Auch die sonstigen Anforderungen an einen Schadensersatzanspruch, beispielsweise die Kausalität, waren für das Gericht unproblematisch, weswegen dieses ein Schmerzensgeld von 500,00 Euro als angemessen ansah. Grund dafür war vor allem, dass sich Facebook mehrere Verstöße gegen die DSGVO vorwerfen lassen musste, die einen sehr weitgehenden Kontrollverlust der personenbezogenen Daten des Klägers ermöglicht und begünstigt haben. Allerdings reduzierte das Gericht den Schadensersatz von den mindestens geforderten 1000,00 Euro auf 500,00 Euro. Die Kammer konnten nämlich keine besondere persönliche Betroffenheit feststellen. Weder hat der Kläger sein Facebook-Profil gelöscht und seine Handynummer geändert, noch sonstige Maßnahmen ergriffen, um seine Daten zu schützen. Zudem ist das Vorbringen der Beklagten, die „Suchbarkeits-Einstellung“ sei bei dem Kläger seit dem 07.10.2016 auf „Alle“ eingestellt (Anlage B17), auf Klägerseite unwidersprochen geblieben, sodass die Kammer davon ausgehen musste, dass eine Änderung der „Suchbarkeits-Einstellung“ nicht stattgefunden hat. Diese Umstände verdeutlichen, dass der objektive Kontrollverlust der personenbezogenen Daten den Kläger jedenfalls subjektiv nicht so stark getroffen hat, da der streitgegenständliche „Scraping-Vorfall“ den Kläger offenbar nicht dazu angehalten habe, selbst Konsequenzen zu ziehen und einem möglichen Missbrauch der Daten in Zukunft aktiv entgegenzutreten.

 

Marian Härtel
Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.

Tags: BusinessDatenschutzDresdenE-MailEntwicklungFacebookFrankfurtHaftungInformationinternetKarlsruheMailPersonenbezogene DatenRechtsprechungSchadensersatzSicherheitSoftwareTelemedienUnterlassungsanspruchVerordnung

Weitere spannende Blogposts

Wie man eigene Brettspiele entwickelt, ohne gegen Urheberrechte zu verstoßen.

Wie man eigene Brettspiele entwickelt, ohne gegen Urheberrechte zu verstoßen.
29. Dezember 2022

Welche Gesetze sollte man beachten, um gegen keine Urheberrechte zu verstoßen? In Deutschland ist das Urheberrecht durch ein komplexes Thema....

Mehr lesenDetails

Countdown/Drohung über Instagram = Kosten der Polizei tragen

Countdown/Drohung über Instagram = Kosten der Polizei tragen
27. August 2020

Das Verwaltungsgericht Hannover hat entschieden, dass ein Schüler rechtmäßig zur Erstattung von Polizeikosten in Höhe von 864,- Euro herangezogen worden...

Mehr lesenDetails

Rechtsfragen-Bot auf ChatGPT-4 aktualisiert: Eine neue Ära der Rechtsberatung beginnt

ChatGPT und Rechtsanwälte: Mitschnitte der Auftaktveranstaltung von Weblaw
8. Mai 2023

Aktualisierung auf ChatGPT-4 und erweiterte Programmierung Als Rechtsanwalt Marian Härtel freue ich mich, Ihnen mitteilen zu dürfen, dass ich den...

Mehr lesenDetails

Publishingverträge und Wiederverwertung von Code

Urheberrecht
17. Oktober 2019

Das Erstellen und Korrigieren von Publishingverträgen für Computerspiele ist ebenso mein Alltagsbusiness, wie Verträge für Freelancer und sonstige Vereinbarungen. Immer...

Mehr lesenDetails

Onlineshops und Zahlungsdiensteaufsichtsgesetz

Onlineshops und Zahlungsdiensteaufsichtsgesetz
18. März 2019

Einige Onlinedienste bieten für Ihr Geschäftsmodell ein Treuhandverfahren an, wenn Kunden miteinander interagieren. Dies ist per se auch sinnvoll, da...

Mehr lesenDetails

BGH legt „Cheat-Software“ für Spielekonsolen dem EuGH vor

BGH hält Uber Black für wettbewerbswidrig
23. Februar 2023

Der unter anderem für das Urheberrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat, nach den Rechtsfragen rund um Bossland (bei dem...

Mehr lesenDetails

Betrieblicher Datenschutz: Ein oft unterschätztes Thema

Betrieblicher Datenschutz: Ein oft unterschätztes Thema
8. August 2023

In der heutigen digitalen Ära haben sich viele von uns an Datenschutzerklärungen und Cookiebanner gewöhnt. Diese sind fast überall präsent,...

Mehr lesenDetails

Kein Google-Löschungsanspruch aus DSGVO

LG München: Datenschutzeinwilligung auf Datingplattform
14. Februar 2019

Das Oberlandesgericht Dresden hat entschieden, dass sich aus der Datenschutzgrundverordnung kein Anspruch gegen Google auf Löschung eines Suchtreffers zu einem...

Mehr lesenDetails

Ändern einer fremden Amazon-Beschreibung kann wettbewerbswidrig sein

Gekaufte Bewertungen bei Amazon
7. März 2019

Das Ändern einer, durch einen Wettbewerber angelegten, Beschreibung für ein Amazon Produkt, kann wettbewerbswidrig sein.  Im Fall, den das Landgericht...

Mehr lesenDetails
Contractual regulations for no-code/low-code software development
Sonstiges

Contractual regulations for no-code/low-code software development

21. Mai 2025

No-code and low-code platforms enable rapid software development without extensive manual programming. Applications are increasingly being developed on the basis...

Mehr lesenDetails
Erotic content on OnlyFans: Copyright and personality rights protection for creators

Erotic content on OnlyFans: Copyright and personality rights protection for creators

20. Mai 2025
Goodbye hustle culture? Startup life between 24/7 grind and work-life balance

Goodbye hustle culture? Startup life between 24/7 grind and work-life balance

19. Mai 2025
Startup buzzwords 2025: Bullshit bingo in marketing German Introduction: Bullshit bingo in marketing German

Startup buzzwords 2025: Bullshit bingo in marketing German Introduction: Bullshit bingo in marketing German

18. Mai 2025
From the metaverse boom to AI euphoria – a tech lawyer in the hype cycle

From the metaverse boom to AI euphoria – a tech lawyer in the hype cycle

17. Mai 2025

Produkte

  • 120 Minuten: Videoberatung via Microsoft Teams 120 Minuten – Ausführlich, vertieft und individuell 120 Minuten: Videoberatung via Microsoft Teams 120 Minuten – Ausführlich, vertieft und individuell 535,50 €
  • Seminar zur Erstellung von Schriftsätzen mit Hilfe von KI am 11.09.2025 Seminar zur Erstellung von Schriftsätzen mit Hilfe von KI am 11.09.2025 119,00 €
  • KI-Kurzpräsentation für Kanzleien – Effizienzsteigerung & Praxistipps kompakt KI-Kurzpräsentation für Kanzleien – Effizienzsteigerung & Praxistipps kompakt 9,99 €

    inkl. MwSt.

  • 1 Pager „10 wichtigste Hinweise zum Legal Prompting 1 Pager „10 wichtigste Hinweise zum Legal Prompting 0,00 €
  • Kanzlei-Digitalisierung 2025: Effizienz, KI und Sichtbarkeit – Das Praxis-Bundle für moderne Anwält:innen Kanzlei-Digitalisierung 2025: Effizienz, KI und Sichtbarkeit – Das Praxis-Bundle für moderne Anwält:innen 89,99 €

    inkl. MwSt.

Podcastfolge

43a60cb39d7ea477ac8f3845c1b7739c

Legal advice for start-ups – investments that pay off

8. Dezember 2024

This episode of the ITmedialaw.com podcast is all about the importance of legal advice for startups. Host Marian Härtel talks...

Mehr lesenDetails
da884f9e2769f2f96d6b74255be62c27

The role of the IT lawyer

5. September 2024
052c2ca5ca0421f0316b42073ce61791

Innovative business models – risk and opportunity at the same time

10. September 2024
c9c5d7fd380061a8018074c2ca5a81bf

Startups and innovation in Germany – challenges and opportunities

26. September 2024
legal challenges when implementing confidential computing data protection and encryption in the cloud

Smart contracts and blockchain

15. Januar 2025

Video

My transparent billing

My transparent billing

10. Februar 2025

In this video, I talk a bit about transparent billing and how I communicate what it costs to work with...

Mehr lesenDetails
Fascination between law and technology

Fascination between law and technology

10. Februar 2025
My two biggest challenges are?

My two biggest challenges are?

10. Februar 2025
What really makes me happy

What really makes me happy

10. Februar 2025
What I love about my job!

What I love about my job!

10. Februar 2025
  • Datenschutzerklärung
  • Impressum
  • Kontaktaufnahme
  • Über Rechtsanwalt Marian Härtel
Marian Härtel, Rathenaustr. 58a, 14612 Falkensee, info@itmedialaw.com

Marian Härtel - Rechtsanwalt für IT-Recht, Medienrecht und Startups, mit einem Fokus auf innovative Geschäftsmodelle, Games, KI und Finanzierungsberatung.

Willkommen zurück!

Loggen Sie sich unten in Ihr Konto ein

Haben Sie Ihr Passwort vergessen? Anmeldung

Neues Konto erstellen!

Füllen Sie die nachstehenden Formulare aus, um sich zu registrieren

Alle Felder sind erforderlich. Einloggen

Ihr Passwort abrufen

Bitte geben Sie Ihren Benutzernamen oder Ihre E-Mail-Adresse ein, um Ihr Passwort zurückzusetzen.

Einloggen
  • Informationen
    • Leistungen
      • Betreuung und Beratung von Agenturen
      • Vertragsprüfung- und erstellung
      • Beratung zum Games-Recht
      • Beratung für Influencer und Streamer
      • Beratung im E-Commerce
      • Beratung zu DLT und Blockchain
      • Rechtsberatung im Gesellschaftsrecht
      • Legal Compliance und Gutachten
      • Outsourcing – für Unternehmen oder Kanzleien
      • Buchung als Speaker
    • Schwerpunkte
      • Focus auf Startups
      • Investmentberatung
      • Unternehmensrecht
      • Kryptowährungen, Blockchain und Games
      • KI und SaaS
      • Streamer und Influencer
      • Games- und Esportrecht
      • IT/IP-Recht
      • Kanzlei für GMBH,UG, GbR
      • Kanzlei für IT/IP und Medienrecht
    • Idealer Partner
    • Über Rechtsanwalt Marian Härtel
    • Schnell und flexibel erreichbar
    • Prinzipien als Rechtsanwalt
    • Warum Rechtsanwalt und Unternehmensberater?
    • Der Alltag eines IT-Rechtsanwalts
    • Wie kann ich Mandanten helfen?
    • Testimonials
    • Team: Saskia Härtel – WER BIN ICH?
    • Agile und leane Kanzlei
    • Preisübersicht
    • Sonstiges
      • AGB
      • Datenschutzerklärung
      • Widerrufserklärung
      • Impressum
  • News
    • Glosse / Meinung
    • Recht im Internet
    • Onlinehandel
    • Recht und Computerspiele
    • Recht und Esport
    • Blockchain und Web 3 Recht
    • Datenschutzrecht
    • Urheberrecht
    • Arbeitsrecht
    • Wettbewerbsrecht
    • Gesellschaftsrecht
    • EU-Recht
    • Jugendschutzrecht
    • Steuerrecht
    • Sonstiges
    • Intern
  • Podcast
    • ITMediaLaw Kurz-Podcast
    • ITMediaLaw Podcast
  • Wissen
    • Gesetze
    • Juristische Begriffe
    • Vertragstypen
    • Klauseltypen
    • Finanzierungsformen und Begriffe
    • Juristische Mittel
    • Behörden / Institutionen
    • Gesellschaftsformen
    • Steuerrecht
    • Konzepte
  • Videos
    • Informationsvideos – über Marian Härtel
    • Videos – über mich (Couch)
    • Blogpost – einzelne Videos
    • Videos zu Dienstleistungen
    • Shorts
    • Podcast Format
    • Drittanbietervideos
    • Sonstige Videos
  • Kontaktaufnahme
  • Shop / Downloads
    • Downloads und Dienstleistungen
      • Beratung
      • Seminare
      • E-Books
      • Freebies
      • Vertragsmuster
      • Bundle
    • Profil / Verwaltung
      • Bestellungen
      • Downloads
      • Rechnungsadresse
      • Zahlungsarten
    • Kasse
    • Warenkorb
    • Support
    • FAQ Shop
  • Community / Login
    • Profilverwaltung
    • Registrieren
    • Login
    • Foren
    • Passwort vergessen?
    • Passwort ändern
    • Passwort zurücksetzen
  • en English
  • de Deutsch
Kostenlose Kurzberatung