Nachdem die irische Datenschutzaufsichtsbehörde am 25. November 2022 ein Bußgeld gegen die irische Niederlassung des Facebook-Mutterkonzerns Meta aufgrund eines Vorfalls aus dem Zeitraum von Januar 2018 bis September 2019 verhängt hatte (wir berichteten), haben sich nun vermehrt auch deutsche Gerichte mit dem Thema Data Scraping auseinandergesetzt. Über ein Urteil des Landgericht (LG) Gießen, das kurz vor der Entscheidung der irischen Datenschutzaufsichtsbehörde ergangen ist, haben wir bereits berichtet.
Was sagen die Gerichte?
Die Gerichte hatten zu entscheiden, ob den Betroffenen ein Schadensersatzanspruch gegen die Betreiberin der Social-Media-Plattform zusteht. Uns ist bisher lediglich ein Urteil bekannt, in dem das Gericht dem Kläger einen Schadensersatz in Form eines Schmerzensgeldes in Höhe von 250 Euro zugesprochen hat (LG Bonn, Urteil vom 07.06.2023, Az. 13 O 126/22). Gefordert hatte der Kläger eine Summe von mindestens 1.000 Euro.
Die Betreiberin der Plattform habe, so das LG Bonn in seinem Urteil vom 07.06.2023, gegen ihre Pflicht zur „Integrität und Vertraulichkeit“ gemäß Art. 5 Abs. 1 lit. f, Art. 25 Abs. 1 und 2 sowie Art. 32 Abs. 1 DSGO verstoßen. Aus Sicht des LG Bonn hat die Beklagte in diesem Fall das Vorliegen ausreichender technischer und organisatorischer Maßnahmen nur unzureichend dargelegt.
Zudem sei dem Kläger auch ein abstrakter Schaden in Form der Beeinträchtigung der grundsätzlich ihm zustehenden Kontrolle über seine Daten bezüglich seiner Mobilfunknummer und der hiermit verknüpften Daten entstanden. Von einem Kontrollverlust zu sprechen, ging dem Gericht jedoch zu weit. Bei der Verknüpfung einer Mobiltelefonnummer mit sonstigen personenbezogenen Daten handele es sich nach Ansicht des Gerichts um eine sensible Kombination, da zum einen dem Mobiltelefon heutzutage eine besondere Funktion bei der Erstellung und Absicherung von Benutzerkonten bzw. allgemein der Abwicklung von geschäftlichen Kontakten zukomme und damit das Risiko u. a. von sog. Identitätsdiebstahl erhöht werde, und die Verknüpfung zum anderen eine deutlich zielgerichtetere Kontaktaufnahme mit dem Kläger zu potentiell unlauteren bis kriminellen Zwecken ermögliche.
Kein Schaden liege hingegen insgesamt hinsichtlich der konkreten Folgen vor, die den Kläger durch den Data Scraping Vorfall im Zeitraum 2018/2019 getroffen haben sollen, wie etwa vermehrte missbräuchliche Kontaktaufnahmen seit dem Jahr 2019 per Mobiltelefon. Das Gericht bemängelt, dass der Kläger nicht in genügender Weise dargelegt habe, dass derartige Kontaktaufnahmen (allein) auf den Vorfall zurückzuführen seien.
In den anderen uns bekannten Entscheidungen haben die Gerichte die Zahlung von Schadensersatz vollständig abgelehnt. Eine Übersicht (ohne Anspruch auf Vollständigkeit) findet sich z. B. in der DatenschutzWoche vom 26.06.2023.
Fazit
Die Urteile zeigen, dass die Geltendmachung eines immateriellen Schadens kein leichtes Unterfangen für die Betroffenen ist. Häufig scheitern Klagen daran, dass der von den Gerichten geforderte Nachweis für ein tatsächliches Eintreten des konkreten immateriellen Schadens nicht ausreichend dargelegt wird. Im Mai dieses Jahres hat der EuGH in einem Urteil in der Rechtssache C-300/21 die Voraussetzungen für das Vorliegen eines Schadensersatzanspruchs nach der DSGVO dargelegt (wir berichteten).