In unserem Blog haben wir bereits über das Thema Umgang mit Data Scraping durch Facebook berichtet. So wurden zwischen 2018 und 2019 personenbezogene Daten mithilfe eines automatisierten Verfahrens durch Dritte von Facebook „extrahiert“ (ausgelesen) und im Internet veröffentlich. Die Daten, wie E-Mail-Adressen und Handynummern, stammten aus den öffentlich verfügbaren Informationen der Facebook-Profile. Die irische Datenschutzaufsichtsbehörde verhängte am 25.11.2022 eine Millionenstrafe gegen die irische Niederlassung des Facebook-Mutterkonzerns Meta. Grund hierfür war, dass Facebook nicht ausreichende technische und organisatorische Maßnahmen getroffen habe, um das Abgreifen und Veröffentlichen von persönlichen Informationen von Facebook-Nutzer*innen durch Dritte zu verhindern.
Kurz vor der Entscheidung der irischen Datenschutzaufsichtsbehörde hatte sich auch das Landgericht Gießen (LG Gießen, Urteil vom 03.11.2022 – Az. 5 O 195/22) mit Fragen rund um das Data Scraping auseinanderzusetzen und in seinem Urteil einen Schadensersatzanspruch eines Users gegen Facebook wegen Data Scraping verneint.
Allerdings enthält das Urteil weniger Ausführungen zur Frage, ob ein Datenschutzverstoß durch Facebook gegeben ist, sondern setzt sich schwerpunktmäßig mit der Frage auseinander, ob dem Kläger ein ersatzfähiger Schaden entstanden ist.
Was war passiert?
Der Kläger ist User von Facebook. Im Rahmen seiner Registrierung gab er seinen Vornamen, seinen Nachnamen, sein Geburtsdatum und sein Geschlecht an. Zudem gab er auch freiwillig seine Mobilfunknummer an. Auf der Registrierungsseite fand sich noch folgender Passus: „Indem du auf Registrieren klickst, … stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen“ (Rn 5 im o. g. Urteil).
Die Richtlinien enthalten u. a. Angaben dazu, welche der vom Nutzer erteilten Informationen immer öffentlich zugänglich sind – nämlich Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID – und die Angabe, dass öffentlich zugängliche Informationen jeder, also auch Personen außerhalb der Plattform, sehen kann.
Durch die Anpassung der Einstellungen können Nutzer*innen festlegen, wer die über die öffentlichen Informationen hinaus bereitgestellten Informationen einsehen kann und wer sie anhand der E-Mail-Adresse oder der Telefonnummer, sofern sie E-Mail-Adresse bzw. Telefonnummer auf der Plattform bereitgestellt haben, finden kann (sog. Suchbarkeits-Einstellungen).
Der Kläger hatte die Suchbarkeits-Einstellungen nicht angepasst, sodass die Standardeinstellung aktiv war. Dies hatte zur Folge, dass alle Personen, die über die E-Mail-Adresse oder die Telefonnummer des Klägers verfügten, das Profil des Klägers finden konnten.
Von Januar 2018 bis September 2019 sammelten Dritte unter Nutzung automatisierter Verfahren eine Vielzahl der auf Facebook verfügbaren öffentlichen Informationen. Darüber hinaus erstellten sie Listen mit möglichen Telefonnummern und luden diese in den Kontakt-Importer der Plattform hoch, um festzustellen, ob die hochgeladenen Telefonnummern mit einem Konto eines Nutzers bzw. einer Nutzerin verbunden sind. Im April 2021 wurden die „gescrapten“ Datensätze von über 500 Mio. Nutzer*innen sowie die mit diesen Datensätzen verknüpften Telefonnummern frei zum Download bereitgestellt. Hierzu gehörten auch die öffentlich zugänglichen Informationen aus dem Profil des Klägers und die mit seinem Konto verknüpfte Telefonnummer.
Nach Ansicht des Klägers hätte Facebook technische Sicherheitsvorkehrungen treffen müssen, um ein massenhaftes Scraping zu verhindern. Der Kläger sieht darin einen Datenschutzverstoß und fordert von Facebook die Zahlung von Schadensersatz.
Wann besteht ein datenschutzrechtlicher Schadensersatzanspruch?
Gemäß Art. 82 Abs. 1 DSGVO hat „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, […] Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Es reicht also nicht aus, dass eine Datenschutzverletzung vorliegt. Zudem muss der betroffenen Person auch ein Schaden entstanden sein. Gerade aber das Vorliegen eines Schadens bzw. dessen Nachweis kann problematisch sein. Insbesondere dann, wenn – wie auch im Fall des LG Gießen – ein immaterieller Schaden geltend gemacht wird.
Was sagt das LG Gießen?
Das Gericht wies den u. a. geltend gemachten Schadensersatzanspruch nach Art. 82 DSGVO ab, da es bereits an dem notwendigen Schaden fehle. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, habe der Kläger nicht hinreichend dargetan.
Gegen einen Schaden spricht nach Ansicht des Gerichts bereits der Umstand, dass es sich bei den „gescrapten“ Daten – mit Ausnahme der Mobilfunknummer – um Daten handelt, die immer öffentlich sind. Das Gericht konnte aber auch keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Das Gericht begründet dies u. a. damit, dass die Eingabe der Mobilfunknummer freiwillig erfolgte und somit für die Registrierung nicht erforderlich war.
Dass der Kläger diese gleichwohl trotzdem angab, spricht eher dafür, dass er kein besonderes Interesse daran hatte, die Möglichkeit einer Verbreitung seiner Mobilfunknummer zu kontrollieren; zumal auch diesbezüglich die Beklagte in ihren Einstellungen entsprechende Einschränkungsmöglichkeiten bereithält.