Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
| Datenschutzrecht, Internetrecht
Blog News
Facebook ist in den letzten Jahren Opfer von sogenannten Scraping-Vorfällen geworden. Als Ergebnis landeten viele Daten von Nutzern im Internet. Die Betroffenen klagten unter anderem auf Schadensersatz. Während manche Gerichte dies zuließen, lehnten viele andere einen Anspruch ab. Und die Prozesskosten mussten selbst bei Bestehen eines Anspruchs vom Kläger selbst getragen werden.
Laut eigenen Angaben bei Meta, dem Konzern hinter Facebook, handelt es sich bei Scraping um die erlaubte oder unerlaubte automatisierte Sammlung von Daten einer Website oder App. Nutzt man Google, so durchforstet das Programm eine Vielzahl von Websites nach den gewünschten Suchergebnissen – das ist erlaubt.
Vorliegend geht es jedoch um unerlaubtes Scraping. Dabei wurde eine Funktion von Facebook ausgenutzt, die eigentlich bei der Freundessuche helfen sollte. So konnte man durch Telefonnummern von Menschen, die man zwar auf dem Handy als Kontakt hatte aber nicht auf Facebook, diese dort vorgeschlagen bekommen.
Die Scraper generierten eine Vielzahl von Telefonnummern aus dem Nichts und konnten die Funktion nutzen, um zu schauen, welche davon tatsächlich mit einem Facebook-Konto verknüpft waren. Die dadurch erlangten personenbezogenen Daten stellten sie dann ins Internet. In einem Hackerforum ist 2021 eine Datenbank mit Details zu rund 533 Millionen Facebook-Nutzern aus weltweit 106 Ländern angeboten worden.
Als sich die Betroffenen gerichtlich gegen Facebook wehrten, hatten sie dabei wenig Erfolg. So z.B. vor dem LG Memmingen, welches in einem Urteil vom 09.03.2023 (Az: 35 O 1036/22) einen Anspruch auf Schadensersatz verneinte.
In dem Urteil hieß es, der geltend gemachte Schadensersatzanspruch scheitere unter anderem auch daran, dass ein ersatzfähiger Schaden im Sinne von Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) mangels einer spürbaren Beeinträchtigung nicht vorläge.
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Dem Kläger sei es nicht gelungen, eine solche spürbare Beeinträchtigung unter Berücksichtigung der vorgenannten Umstände konkret darzulegen. Selbst bei Unterstellung der geschilderten Umstände als wahr, genüge dies den obigen Anforderungen nicht. Sogar Personen, die keinen Facebook-Account nutzen und dort nicht ihre Mobilfunknummer hinterlegt haben, würden gerichtsbekannt unerwünschte E-Mails und Nachrichten erhalten.
Ähnlich entschied auch das AG München in einem Urteil vom 08.02.2023 (Az. 178 C 13527/22). Ein allgemeines und nicht weiter greifbares Unwohlsein allein in der dargelegten Form genüge nicht, um von einem immateriellen Schaden ausgehen zu können, da damit die notwendige spürbare Beeinträchtigung nicht festgestellt werden könne.
Der Kläger habe in seiner mündlichen Anhörung erklärt, dass er auch weitere soziale Netzwerke im Internet nutzte und nutzt - er selbst habe fünf weitere aufgezählt - so dass das Gericht nicht davon überzeugt war, der behauptete Vorfall sei ursächlich für das Auffinden der Daten des Klägers im Internet. Bis auf die Telefonnummer seien es bei Facebook zudem öffentlich auffindbare Daten gewesen, die so vom Kläger hinterlegt wurden.
Die Gerichte waren also weder von einem Schaden noch von einer Ursächlichkeit des Scrapings überzeugt. Demnach ging Facebook als Sieger aus den Prozessen heraus.
Das Landgericht Lübeck hat in 11 Fällen entschieden, dass Facebook gegen europäisches Datenschutzrecht verstoßen habe. Es sprach den Klägern Schadensersatz zu, die Kosten des Gerichtsverfahrens mussten sie allerdings dennoch zahlen. Doch wie kam es dazu? Sehen wir uns einen aktuellen Beispielsfall an.
Das Urteil wurde von der 15. Zivilkammer des LG Lübeck am 25.05.2023 (Az. 15 O 74/22) verkündet. Die Klägerin war von einem Scraping-Vorfall betroffen und trug vor, dass Facebooks System so unübersichtlich sei, dass ihre Nummer nicht freiwillig für die Freundessuche-Funktion sichtbar gewesen wäre. Sie beantragte sechs verschiedene Maßnahmen:
1. Immateriellen Schadensersatz i.H.v. mind. 1.000,00 € für den Datenklau.
2. Künftigen Schadensersatz für weitere Schäden in Folge des Scrapings.
3.a Ein Ordnungsgeld i.H.v. bis zu 250.000,00 € für Facebook für die Unterlassung der Zugänglichmachung von personenbezogenen Daten über eine Software zum Importieren von Kontakten ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen
3. b Ein Ordnungsgeld dafür, die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, wenn nicht explizit hierfür die Berechtigung verweigert wird und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird.
4. Auskunft über die abhanden gekommenen Daten.
5. Ersatz der Anwaltskosten.
Facebook wandte ein, sie hätten Schutzmaßnahmen auf dem Stand der Technik und die Klägerin hätte zugänglich abstellen können, dass sie über ihre Nummer gefunden wird. Ein Schaden oder eine Kausalität seien nicht ersichtlich.
Außerdem hätte Facebook das Auskunftsbegehren schon erfüllt, alles Übrige sei von Art. 15 DSGVO nicht erfasst. Hiernach hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Facebook sah sich hier nicht als Verantwortlicher, weil es sich um Verarbeitungstätigkeiten Dritter handle und nicht um die von Facebook.
Das LG bejahte eine Rechtsverletzung durch Facebook. Das Unternehmen ermögliche es Dritten, andere Facebook-Profile anhand der hinterlegten Mobilfunknummer zu identifizieren, auch ohne dass die hinterlegte Nummer für die Öffentlichkeit freigegeben sei. Diese Funktion sei nicht durch eine Einwilligung der Nutzerinnen und Nutzer nach Art. 4 Nr. 11 DSGVO gedeckt.
Nach Art. 4 Nr. 11 DSGVO müssen wirksame Einwilligungen in Datenverarbeitungsvorgänge freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich sowie durch Erklärung oder eine sonstige eindeutige bestätigende Handlung erfolgen.
Mehr Infos dazu: Einwilligung als Grundlage der Datenverarbeitung
Die DSGVO erfordert nicht die bloße Möglichkeit, Voreinstellungen nachträglich zu ändern, sondern die aktive und eindeutige Einwilligung von Anfang an.
Auch eine Erforderlichkeit der Funktion das Gericht nicht. Denn das fordert Art. 6 Abs. 1b DSGVO für eine Rechtmäßigkeit. Schon der bloße Umstand, dass die Nutzerinnen und Nutzer die fragliche Funktion in ihren Profileinstellungen deaktivieren konnten, ohne dass die Vertragsdurchführung hierdurch von auch nur einer der Parteien als in Frage gestellt gesehen wurde, zeige, dass es sich um eine möglicherweise praktische aber eben nicht irgendwie notwendige Funktion handelt.
Facebook habe außerdem keine genügenden Schutzmaßnahmen gegen Scraping ergriffen. Dadurch hat es gegen seine Pflichten aus Art. 32 DSGVO zur Ergreifung geeigneter technischer und organisatorischer Schutzmaßnahmen verstoßen.
Auch einen Schaden bejahte das Gericht schließlich. Eine hierfür ausreichende Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung läge vor. Dieses Recht der Klägerseite wäre fortlaufend verletzt.
Infolge der obigen Verstöße gegen die einschlägigen Bestimmungen der DSGVO gelangten die streitgegenständlichen Daten inzwischen unstreitig auf jedenfalls eine online betriebene Seite, auf der sie rechtswidrig und massenhaft zum weiteren Vertrieb angeboten würden. Der Datenklau war in vollem Gang! Das geschützte Recht der Klägerseite, selbst zu entscheiden, wo und ob sie diese Daten offenbaren möchte, wurde verletzt.
Dennoch musste die Klägerin die Kosten tragen. Denn sie hatte ja nicht nur Schadensersatz verlangt, sondern auch noch weitere Ansprüche gestellt, etwa Auskunftsansprüche und Ordnungsgelder gegen Facebook bei weiteren Verstößen. Diese hat das Gericht allerdings weitgehend zurückgewiesen, bspw. weil die Forderungen zu unbestimmt waren. Darum stellte das Gericht fest, dass die Kläger in der Gesamtbetrachtung überwiegend verloren hätten – weshalb sie auch die Gerichtskosten tragen müssen.
Dass Facebook zum Zeitpunkt des Vorfalls seine Pflichten verletzt hat, ist wohl anerkannt. Deutlich schwieriger ist es, daraus zu folgern, dass ein möglicher Schaden vorliegt und dass Facebook an diesem Schuld ist. Ob Schadensersatz ja oder nein, hängt also vom konkreten Tatsachenvortrag und dessen Glaubhaftigkeit ab.
Die Kläger bekamen zwar teilweise Ansprüche zugesprochen, diese waren jedoch nicht so hoch wie beantragt. Außerdem mussten sie die Prozesskosten tragen. Inzwischen hat Facebook sein System verbessert, um zeitgemäß solche Vorfälle zu verhindern.
Sie haben den Verdacht vpn Datenklau? Oder wissen gar konkrekt von wem Ihre Daten missbraucht wurden? Datenschutz ist bereits seit einiger Zeit ein Thema, das Unternehmen fast täglich mit neuen rechtlichen Herausforderungen konfrontiert. Als Kanzlei für Datenschutz befasst sich SBS Legal im Datenschutzrecht mit den Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Für Unternehmen aus dem Bereich des Direktvertriebs und des Mittelstandes ist hierbei besonders das Erstellen einer korrekten Datenschutzerklärung attraktiv.
Sie brauchen eine Beratung im Datenschutzrecht oder einen Datenschutzanwalt, etwa für die Prüfung eines Scraping-Vorfalls? Dann sind Sie bei uns richtig.
Hier finden Sie weitere Themen im Datenschutzrecht: