Kein Schmerzensgeld wegen Facebook-Scraping
Bei Verstößen gegen die Datenschutz-Grundverordnung können Betroffene gem. Art. 82 DSGVO materielle und immaterielle Schadensersatzansprüche gegen die verantwortlichen Unternehmen bzw. die Verarbeiter geltend machen.
Um den immateriellen Schadensersatz gem. Art. 82 DSGVO geltend zu machen, müssen in einem gerichtlichen Verfahren mögliche Ängste und Sorgen vor einem Missbrauch und Kontrollverlust von personenbezogenen Daten substantiiert dargelegt werden, so das Landgericht Gießen in einem aktuellen Urteil.
Wir informieren in diesem Beitrag über das sog. Scraping bei Internetplattformen wie Facebook und den Schadensersatzanspruch gem. Art. 82 DSGVO.
Was ist Scraping?
Bei dem sog. Scraping – auch Web Scraping oder Screen Scraping – werden öffentlich verfügbare Daten von Internetauftritten oder Internetplattformen automatisiert gespeichert und verarbeitet. Die Daten werden, so die Wortbedeutung von Scraping, von den Internetauftritten “abgekratzt” oder “am Bildschirm abgeschürft”.
Dabei geben die Nutzer z.B. Daten ein, um sich bei einer Webplattform zu registrieren. Die eingegebenen Daten werden nun ausgelesen und in einer Datenbank gespeichert. Andere Anwendungsbeispiele sind z.B. Suchmaschinen, die Websites indizieren, oder Methoden, um Webshops und deren Angebote zu durchsuchen.
Scraping: Legal oder Illegal?
Legal ist Scraping solange wie keine Schutzvorrichtungen überwunden werden müssen, um an die Daten zu gelangen. Es handelt sich hierbei ohnehin um meist öffentlich zugängliche Daten. Illegal können solche Scraping-Methoden dann sein, wenn die gesammelten Daten, z.B. Bilder, an anderer Stelle ohne Einwilligung publiziert werden. Handelt es sich um persönliche und personenbezogene Daten, wie z.B. Handynummern, dann ist Scraping nur dann legal, wenn die einschlägigen Regelungen der DSGVO eingehalten werden.
Gem. Art. 6 DSGVO dürfen personenbezogene Daten nur dann erhoben und verarbeitet werden, wenn es z.B. hierfür einen rechtmäßigen Grund gibt, die Nutzer ihre Einwilligung gegeben haben oder ein legitimes Interesse zum Speichern, Sammeln und Verarbeiten der erhobenen personenbezogenen Daten gibt.
LG Gießen lehnt Schmerzensgeld ab
Das Landgericht Gießen war kürzlich mit dem Fall des Scrapings bei Facebook befasst. Ein Nutzer der Plattform verlangt für angebliche Datenschutzverstöße ein Schmerzensgeld i.H.v. mindestens 1.000 Euro gem. Art. 82 DSGVO.
Was war passiert?
Der Kläger in dem Verfahren hatte sich u.a. mit Vornamen, Nachnamen, Geburtsdatum und Geschlecht bei Facebook registriert. Zwar war es nicht notwendig, auch seine Mobilfunknummer bei der Registrierung anzugeben; der Kläger gab auch seine Nummer dort an.
Facebook und Scraping – 265 Millionen Euro Strafe durch irische Datenschutzbehörden
Facebook hat zwischen Januar 2018 und September 2019 von etwa 533 Millionen Nutzern personenbezogene Daten, die öffentlich zugänglich waren, gespeichert. Diese Daten, u.a. Telefonnummern und E-Mail-Adressen, wurden im April 2021 über eine Entwickler-API von Facebook im Internet veröffentlicht und konnten heruntergeladen werden.
Die irische Datenschutzbehörde verhängte daraufhin eine Strafe i.H.v. 265 Millionen Euro gegen Facebook, weil die Facebook-Mutter Meta in den Jahren 2018 und 2019 nicht genug getan hat, um das Scraping von Daten zu verhindern. Darüber hinaus muss die Facebook-Mutter weitere Maßnahmen treffen, um die Speicherung und Verarbeitung von Daten mit der DSGVO in Einklang zu bringen.
Kläger: Schmerzensgeld wegen zu geringer Sicherheitsmaßnahmen
Mit dem Hinweis darauf, dass Daten von Facebook-Nutzern gescrapt worden sind, verlangte der Kläger nun min. 1.000 Euro Schmerzensgeld. Facebook habe zum einen keine Sicherheitsmaßnahmen getroffen, damit seine Daten nicht abgegriffen worden wären. Zum anderen seien auch keine Maßnahmen getroffen worden, die eine automatisierte Nummernabfrage verhindert hätten.
Dadurch sei bei dem Kläger ein erheblicher Kontrollverlust über die Nutzung und den Verbleib der personenbezogenen Daten entstanden. Aufgrund der Befürchtung eines Missbrauchs leidet der Kläger unter “großen Unwohlsein und Sorgen”.
Wie entschied das Gericht?
Das Landgericht Gießen lehnte in seinem Urteil vom 03.11.2022, Az. 5 O 195/22, den immateriellen Schadensersatz ab.
Ein Schadensersatzanspruch nach Art. 82 DSGVO setzt voraus, dass überhaupt ein Schaden entstanden ist. Dabei ist nicht nur jeder materielle Schaden von dem Anspruch umfasst, sondern auch immaterielle Schäden. Zu den immateriellen Schäden zählen grundsätzlich auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen, wie das Landgericht feststellte.
Allerdings konnte das Landgericht die Ängste und Sorgen, die der Kläger in seiner Klageschrift angab, nicht erkennen, oder, dass diese Sorgen und Ängste tatsächlich vorgelegen hätten.
Standardisierte Klageschrift kann individuelle Ängste und Sorgen nicht nachweisen
Das Gericht hatte bereits deshalb erhebliche Zweifel an den Schilderungen des Klägers, da es sich bei der Klageschrift um eine standardisierte Klageschrift handelte. Solche Klageschriften werden für eine Vielzahl von betroffenen Personen genutzt und vor Gericht eingereicht.
Somit waren die Gemütszustände des Klägers für das Gericht bereits nicht hinreichend dargetan, da nicht mindestens eine auf ihn und seinen individuellen Gemütszustand zugeschnittene Klageschrift eingereicht worden ist. Etwas Anderes könnte dann anzunehmen sein, wenn z.B. eine individuelle Einlassung zu dem persönlichen Gemütszustand des Klägers vorgetragen worden wäre.
Der Kläger trug mit der standardisierten Klageschrift u.a. vor, dass er durch das Scraping und das Abgreifen seiner Daten betrügerische E-Mails erhalten habe. Nach dem weiteren Vortrag des Klägers war seine E-Mail-Adresse allerdings nicht unter den gescrapten Daten und ist durch den Vorfall überhaupt nicht öffentlich verbreitet worden.
Kein Erscheinen vor Gericht
Da der Kläger trotz eines angeordneten persönlichen Erscheinens vor Gericht nicht zur mündlichen Verhandlung erschien, werteten die Richter ebenso gegen das tatsächliche Vorliegen von Sorgen und Ängsten. Der Kläger konnte so nicht vor Gericht den Sachverhalt derart aufklären, dass er z.B. seine Sorgen und Ängste hätte persönlich glaubhaft schildern können.
Daten sind frei zugänglich – Mobilfunknummer freiwillig angegeben
Das Gericht zweifelte weiterhin an den tatsächlich vorliegenden Sorgen und Ängsten des Klägers, da es bei den Daten, die gescrapt worden sind, um frei zugängliche und öffentliche Daten handelte – mit Ausnahme der Mobilfunknummer. Das Gericht wies explizit darauf hin, dass solche Daten jedem und jederzeit zugänglich sind.
Außerdem gibt Facebook diesen Hinweis selbst und weist ebenfalls ausdrücklich die Nutzer darauf hin. Es war für die Richter deshalb nicht nachvollziehbar, warum eine Veröffentlichung dieser Daten für den Kläger zu dem beschriebenen Gemütszustand hätte führen können.
Darüber hinaus gab der Kläger bei der Registrierung freiwillig seine Mobilfunknummer an. Diese Freiwilligkeit spricht in den Augen des Gerichts dafür, dass bei dem Kläger kein besonderes Interesse daran vorlag, dass er die Kontrolle über die Verbreitung seiner Mobilfunknummer behalten wollte. Auch hierzu konnte das Gericht den Kläger durch sein Nichterscheinen nicht befragen oder sich eine andere Meinung bilden.
Fazit: Ansprüche auf Schadensersatz und Schmerzensgeld bei Datenschutzverstößen
Der Fall des Landgericht Gießen zeigt, dass zwar auch Gemütszustände wie Ängste oder Sorgen hinsichtlich des Kontrollverlustes bei der unrechtmäßigen Weitergabe von personenbezogenen Daten als Grundlage für immateriellen Schadensersatz grundsätzlich geeignet sein können. Hierfür müssen diese Gemütszustände aber glaubhaft und substantiiert geschildert werden. Standardisierte Klageschriften ohne weitere Einlassungen oder Aussagen der Betroffenen reichen zumeist für Schadensersatzansprüche nicht aus.
Auch bei Daten, die der Betroffene freiwillig preisgibt oder die für eine begrenzte Öffentlichkeit frei ersichtlich sind, lässt sich häufig kein erheblicher Kontrollverlust bei den Betroffenen feststellen, um ein Schmerzensgeld gem. Art. 82 DSGVO rechtfertigen zu können.