SBS Firmengruppe Logos

| Datenschutzrecht, IT-Recht

Scraping-Attacke: DSGVO-Pflichten für Facebook


In einem Blogartikel vom 6. Juni 2023 hatten wir bereits über sogenannte Scraping-Vorfälle bei Facebook gesprochen. Durch diese Datenklau-Attacken erhielten Hacker Zugriff auf personenbezogene Daten zahlreicher Nutzer. Obwohl sich der letzte große Vorfall im April 2021 ereignete, kommt es nach wie vor zu neuen Urteilen. Darunter auch das neue Urteil des OLG Hamm vom 15. August 2023 (Az. 7 U 19/23). Hier hat das OLG noch einmal nachgeschärft, welche Pflichten nun den Verantwortlichen einer Datenverarbeitung nach der Datenschutzgrundverordnung (DSGVO) treffen.

Facebook-Anklage nach Datenklau

Seit dem Scraping-Vorfall haben sich zahlreiche Nutzer gerichtlich gegen Facebook gewandt. Auch in diesem Fall forderte die Klägerin Schadensersatz-, Unterlassungs- und Auskunftsansprüche wegen einer DSGVO-Verletzung im Zusammenhang mit dem Scraping. Sie hatte sich 2011 bei Facebook registriert und wurde 2019 Opfer einer Scraping-Attacke. Wie dies genau funktionierte, können Sie in unserem anderen Blogartikel nachlesen.

Was Facebook ist, sollte heutzutage jedem bekannt sein. Wichtig ist, dass im Rahmen dieses sozialen Netzwerkes zahlreiche Nutzerdaten gesammelt werden, um bspw. personalisierte Werbeanzeigen schalten zu können. Für die Verarbeitung dieser Daten stützt sich Facebook auf den Nutzungsvertrag, den die Nutzer durch Betätigung der Schaltfläche „Registrieren“ abschließen. Hiermit stimmen die Nutzer auch den Allgemeinen Nutzungsbedingungen zu. Die Zustimmung zu diesen Bedingungen ist notwendig, um Facebook nutzen zu können.

Doch was hat das mit der DSGVO zu tun? Nun, die AGB verweisen auf die von Facebook festgelegten Richtlinien für die Verwendung von Daten und Cookies. Danach erfasst die Beklagte nutzer- und gerätebezogene Daten über Nutzeraktivitäten innerhalb und außerhalb des sozialen Netzwerks und ordnet sie den Facebook-Konten der betroffenen Nutzer zu.

Rechtslage nach der DSGVO

Die Klägerin war in der Vorinstanz gescheitert, wie so viele andere auch. Denn laut dem zuständigen Landgericht  hätte  sie nicht bewiesen, dass ihr irgendein immaterieller Schaden entstanden sei. Der Eintritt eines zukünftigen Schadens sei nicht hinreichend wahrscheinlich. Nur der ebenfalls gestellte Auskunftsanspruch sei erfüllt. Wegen eingelegter Berufung entschied nun das OLG Hamm über den Fall.

Es stellte zunächst fest, dass die DSGVO zeitlich und inhaltlich auf den Hauptteil des vorliegenden Falls anwendbar ist. Einzelne Ereignisse wie die Anmeldung der Klägerin bei Facebook fielen jedoch vor den zeitlichen Anwendungsbereich. Unproblematisch waren die hier betroffenen Daten wie Telefonnummer, Facebook-ID, Vornamen oder Geschlecht als personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO.

Art. 4 DSGVO - Begriffsbestimmungen

Nr. 1: „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen […] oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

[...]


Beweislast lag bei Facebook

Als ersten wichtigen Leitsatz arbeitete das OLG etwas aus der europäischen Rechtsprechung heraus. Nämlich, dass der für die Datenverarbeitung Verantwortliche (Hier Facebook) nach dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der Rechenschaftspflicht nachweisen muss, dass er die in Art. 5 Abs. 1 DSGVO festgelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat. Zu diesen Grundsätzen zählt, dass Daten bspw. transparent und zweckmäßig verarbeitet werden müssen.

Facebook musste also nachweisen, dass die streitgegenständliche Datenverarbeitung nicht gegen diese Grundsätze verstoßen hatte. Die Klägerin hatte nämlich vorgetragen, dass diese mangelhafte Verarbeitung zum Scraping-Vorfall geführt hat. Dieser Beweis gelang Facebook vorliegend nicht.

Lag eine Rechtfertigung vor?

Art. 6 Abs. lit. b DSGVO schreibt eine wichtige Rechtfertigungsmöglichkeit vor. Demnach dürfen personenbezogene Daten verarbeitet werden, wenn die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen.

Damit dieser Grund greift, muss die Art der Verarbeitung objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Laut dem OLG Hamm war die Datenverarbeitung schon deshalb nicht unerlässlich, weil es den Facebook-Nutzern freistand, welche davon sie öffentlich teilen wollten und welche nicht.

Aus ähnlichen Gründen scheiterte auch eine Rechtfertigung gemäß Art. 6 Abs. 1 lit. f DSGVO. Hiernach braucht es drei Voraussetzungen für eine Rechtfertigung: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.

Laut dem OLG Hamm scheitert es spätestens an der zweiten Voraussetzungen. Denn das gleiche Interesse der Datenverarbeitung könne auch mit milderen, gleich effektiven Mitteln erreicht werden. Dass die Suchbarkeit über die Telefonnummer auf den verschiedenen Ebenen, insbesondere per Kontaktimportfunktion von Facebook oder im Facebook-Messenger, nicht erforderlich ist und war, würde dadurch belegt, dass diese Funktion inzwischen endgültig und vollständig aus allen Anwendungsbereichen eliminiert wurde.

Es gab auch keine wirksame Einwilligung

Eine Datenverarbeitung könnte letztlich auch dann gerechtfertigt sein, wenn eine wirksame Einwilligung vorlag. Die betroffene Person muss dafür ihre Einwilligung für einen oder mehrere bestimmte Zwecke freiwillig in informierter Weise und unmissverständlich erteilen. Auch hier muss dabei der Transparenz-Grundsatz eingehalten werden.

Vorliegend sah das OLG Hamm eine unzulässige Voreinstellung (sog. opt-out). Dies bedeutet, dass die Datenverarbeitung standardmäßig durchgeführt wurde und Nutzer aktiv aussteigen mussten. Zusätzlich nahm das OLG eine unzureichende sowie intransparente Information über die konkrete Funktionsweise der Such- und Kontaktimportfunktion an. Demnach lag keine wirksame Einwilligung in die Datenverarbeitung vor.

Facebook hat sich nicht ausreichend geschützt

Schließlich ging es noch um die wichtige Frage, ob Facebook zur Zeit der Scraping-Vorfälle ausreichende technische Schutzmaßnahmen i.S.d. Art. 32 DSGVO ergriffen hatte.

Art. 32 DSGVO - Sicherheit der Verarbeitung

Abs. 1: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]


Laut dem OLG Hamm waren die im Zeitpunkt des Scraping-Vorfalls bestehenden Maßnahmen unter Zugrundelegung des unstreitigen und streitigen Vortrags der Beklagten technisch und organisatorisch ungeeignet. Nachdem die ersten Scraping-Attacken registriert wurden, hätte Facebook mehr tun müssen. Es sei für sie ohne Weiteres möglich und im Hinblick auf die Datensicherheit ihrer Nutzer geboten sowie zumutbar – auch wenn es ihrem wirtschaftlichen Interesse möglicherweise widersprach –, die Kontaktimportfunktion auf Facebook, im Friend Center und im Facebook-Messenger unverzüglich einzuschränken und somit einen massiven weiteren Datenverlust an Unbefugte zu unterbinden.

Aber: Es besteht kein Schaden

Auch wenn die Klägerin soweit Recht bekam, stand ihr letztendlich trotzdem kein Schadensersatzanspruch zu. Denn dafür müsste sie einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darlegen.

Genau hier sah das OLG Hamm Probleme. Es sei weder dargetan noch sonst ersichtlich, worin der von der Klägerin reklamierte „völlige Kontrollverlust“ durch das Scraping überhaupt liegen sollte. Insbesondere hätte sie bis heute ihre Mobilfunknummer nicht gewechselt. Das belege, dass die unkontrollierte Zuordnung ihrer Mobilfunktelefonnummer nicht dazu führte, dass eine weitere kontrollierte Verwendung durch die Klägerin dadurch faktisch ausgeschlossen war.

Die Darlegungslast für den Eintritt des konkreten immateriellen Schadens liegt beim Betroffenen und kann bei behaupteten persönlichen / psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller zugänglicher Indizien erfüllt werden. Vorliegend gelang es der Klägerin jedoch lediglich, generelle in einer Vielzahl von Fällen gleichartige Indizien anzubringen. Die Klage war daher zwar zulässig und teilweise begründet, im Wesentlichen jedoch unbegründet.


SBS LEGAL – Ihre Kanzlei für das Datenschutzrecht

Datenschutz ist bereits seit einiger Zeit ein Thema, das Unternehmen fast täglich mit neuen rechtlichen Herausforderungen konfrontiert. Als Kanzlei für Datenschutz befasst sich SBS Legal im Datenschutzrecht mit den Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).  Für Unternehmen aus dem Bereich des Direktvertriebs und des Mittelstandes ist hierbei besonders das Erstellen einer korrekten Datenschutzerklärung attraktiv.

Haben Sie noch Fragen zum Datenschutzrecht?

Sie brauchen eine Beratung im Datenschutzrecht oder einen Datenschutzanwalt, etwa für die Prüfung eines Scraping-Vorfalls und DSGVO-Pflichten? Dann sind Sie bei uns richtig.

Der Erstkontakt zu SBS Legal ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht