Daten-Scraping: Facebook-Nutzer scheitert mit DSGVO-Schadensersatzklage
LG Coburg v. 8.2.2023 - 14 O 224/22
Der Sachverhalt:
Der Kläger hatte einen Facebook-Account genutzt, die Beklagte ist Betreiberin der Facebook-Plattform. Im Jahr 2019 lasen unbefugte Dritte u.a. Telefonnummern, Facebook-ID, Name, Vorname, Geschlecht über das Tool "ContactImport" aus zum Teil öffentlich zugänglichen Daten bei der Beklagten aus (sog. Scraping). Die Beklagte ging davon aus, dass das Contact-lmport-Tool zur Bestimmung der Telefonnummern der einzelnen Benutzer genutzt wurde. Indem eine Vielzahl von Kontakten in ein virtuelles Adressbuch eingegeben wurde, gelang es Unbekannten, die Telefonnummern konkreten Profilen zuzuordnen, ohne dass in den entsprechenden Profilen die hinterlegten Telefonnummern öffentlich freigegeben waren. Um die Telefonnummer jeweils zu korrelieren, wurden mit Hilfe des ContactImport-Tools fiktive Nummern erzeugt und geprüft und die zugehörigen Nutzer wurden angezeigt. Auf dem Profil des Nutzers wurde dieser dann besucht und von dort wurden die öffentlichen Daten gescrapt ("abgeschöpft"). Anfang April 2021 wurden Daten von ca. 533 Millionen Nutzern der Plattform der Beklagten aus 106 Ländern im Internet veröffentlicht.
Beim Anlegen eines Profils muss der künftige Nutzer Datenschutz- und CookieRichtlinien zustimmen. Diese sind durch eine Verlinkung getrennt abrufbar. Nach der Anmeldung sind zunächst die Vor- bzw. Standardeinstellungen aktiviert. Demnach können "alle" Personen sehen, welche Seiten der Nutzer abonniert oder mit wem er befreundet ist. Ebenso können "alle" den neuen Nutzer über seine E-Mail-Adresse "finden". Ebenso ist für alle Informationen, die ein Nutzer in sein Profil einträgt, standardmäßig "öffentlich" als Voreinstellung vorgesehen. Die Angabe der Mobilfunknummer ist nicht grundsätzlich zwingend. Wenn der Nutzer die Zweifaktor-Authentifizierung nutzen möchte, ist die Angabe einer Mobilfunknummer jedoch zwingend. Entscheidet sich ein Nutzer diese anzugeben, kann er in den Suchfunktionen einstellen, in welchem Umfang er über diese gefunden werden will. Die Grundeinstellung lautet auch insoweit zunächst "alle".
Der Kläger war der Ansicht, die Beklagte habe gegen zahlreiche Vorschriften der Datenschutzgrundverordnung verstoßen. So liege ein Verstoß gegen Art. 4 Nr. 2 DSGVO vor, da Daten des Klägers ohne Rechtsgrundlage und ohne ausreichende Informationen verarbeitet worden seien. Ferner seien entgegen Artt. 5 ff. DSGVO Daten des Klägers unbefugt Dritten zugänglich gemacht worden. Auch lägen Verstöße gegen Artt. 15, 17 und 18 DSGVO vor.
Der Kläger verlangte von der Beklagten u.a. immateriellen Schadensersatz i.H.v. mindestens 1.000 €. Das LG hat die Klage abgewiesen.
Die Gründe:
Dem Kläger steht kein Anspruch auf Ersatz immateriellen Schadens aus § 82 Abs. 1 DSGVO zu, weshalb die Klage abzuweisen war. Es fehlte vorliegend bereits an der Anwendbarkeit dieser Norm.
Soweit der Kläger der Beklagten mehrere Verstöße vorgeworfen hatte, etwa
- ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 a DSGVO),
- unmittelbaren Verstoß gegen Art. 13, 14 DSGVO, die Informationspflichten enthielten, die seitens der Beklagten nicht eingehalten worden seien, - ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 24, 32 DSGVO),
- unvollständig Auskunftserteilung nach Art. 15 DSGVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Klägers durch Ausnutzung des Kontaktimport-Tools zugänglich gemacht worden seien (Art. 33, 34 DSGVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DSGVO umfasst.
Von Art. 82 DSGVO ist nur die Verarbeitung von personenbezogenen Daten umfasst. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechten ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DSGVO umfasst ebenso wenig Verstöße gegen Artikel 34 DSGVO. Auch aus Art. 24 und Art. 25 DSGVO ließ sich von vornherein kein subjektives Recht herleiten. Somit konnte dahinstehen, ob die Beklagten überhaupt gegen Artt. 13, 14 und 34 verstoßen hatten, da sie jedenfalls nicht unter den Schutzbereich des Art. 82 DSGVO fallen, weil sie "lediglich" Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben.
Zudem waren vorliegend keine entsprechende Pflichtverstöße der Beklagten gegen Normen der DSGVO nachgewiesen, selbst wenn man den Anwendungsbereich des Art. 82 DSGVO als eröffnet ansehen wollte. Es bedarf bei Informationspflichten der Rücksichtname auf den Grundsatz des Art. 5 Abs. 1 DSGVO, wonach personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Dieser Grundsatz der Transparenz überträgt sich in die Informations- und Aufklärungspflicht des Art. 13 DSGVO. Die Aufklärung über die Zwecke der Verarbeitung muss insbesondere für den Nutzer klar verständlich und nachvollziehbar sein. Dies war hier allerdings der Fall.
Die Reichweite des Schutzes der DSGVO ist zudem im Lichte der jeweiligen konkreten Nutzung (etwa des Internets) zu sehen. Mithin war vorliegend zu berücksichtigen, dass es sich bei der beklagtenseits betriebenen Plattform um ein soziales Netzwerk handelt, das auf Kommunikation, Finden von Personen und Teilen von Informationen angelegt ist. In diesem Lichte sind die von der Beklagten gewählten Voreinstellungen nicht zu beanstanden, da der jeweilige Nutzer umfassend und verständlich über Änderungsmöglichkeiten informiert wird.
Mehr zum Thema:
Aufsatz:
Markus Rössel
Digital Services Act: Regulierung von Big Tech
ITRB 2023, 68
Bayern.Recht
Der Kläger hatte einen Facebook-Account genutzt, die Beklagte ist Betreiberin der Facebook-Plattform. Im Jahr 2019 lasen unbefugte Dritte u.a. Telefonnummern, Facebook-ID, Name, Vorname, Geschlecht über das Tool "ContactImport" aus zum Teil öffentlich zugänglichen Daten bei der Beklagten aus (sog. Scraping). Die Beklagte ging davon aus, dass das Contact-lmport-Tool zur Bestimmung der Telefonnummern der einzelnen Benutzer genutzt wurde. Indem eine Vielzahl von Kontakten in ein virtuelles Adressbuch eingegeben wurde, gelang es Unbekannten, die Telefonnummern konkreten Profilen zuzuordnen, ohne dass in den entsprechenden Profilen die hinterlegten Telefonnummern öffentlich freigegeben waren. Um die Telefonnummer jeweils zu korrelieren, wurden mit Hilfe des ContactImport-Tools fiktive Nummern erzeugt und geprüft und die zugehörigen Nutzer wurden angezeigt. Auf dem Profil des Nutzers wurde dieser dann besucht und von dort wurden die öffentlichen Daten gescrapt ("abgeschöpft"). Anfang April 2021 wurden Daten von ca. 533 Millionen Nutzern der Plattform der Beklagten aus 106 Ländern im Internet veröffentlicht.
Beim Anlegen eines Profils muss der künftige Nutzer Datenschutz- und CookieRichtlinien zustimmen. Diese sind durch eine Verlinkung getrennt abrufbar. Nach der Anmeldung sind zunächst die Vor- bzw. Standardeinstellungen aktiviert. Demnach können "alle" Personen sehen, welche Seiten der Nutzer abonniert oder mit wem er befreundet ist. Ebenso können "alle" den neuen Nutzer über seine E-Mail-Adresse "finden". Ebenso ist für alle Informationen, die ein Nutzer in sein Profil einträgt, standardmäßig "öffentlich" als Voreinstellung vorgesehen. Die Angabe der Mobilfunknummer ist nicht grundsätzlich zwingend. Wenn der Nutzer die Zweifaktor-Authentifizierung nutzen möchte, ist die Angabe einer Mobilfunknummer jedoch zwingend. Entscheidet sich ein Nutzer diese anzugeben, kann er in den Suchfunktionen einstellen, in welchem Umfang er über diese gefunden werden will. Die Grundeinstellung lautet auch insoweit zunächst "alle".
Der Kläger war der Ansicht, die Beklagte habe gegen zahlreiche Vorschriften der Datenschutzgrundverordnung verstoßen. So liege ein Verstoß gegen Art. 4 Nr. 2 DSGVO vor, da Daten des Klägers ohne Rechtsgrundlage und ohne ausreichende Informationen verarbeitet worden seien. Ferner seien entgegen Artt. 5 ff. DSGVO Daten des Klägers unbefugt Dritten zugänglich gemacht worden. Auch lägen Verstöße gegen Artt. 15, 17 und 18 DSGVO vor.
Der Kläger verlangte von der Beklagten u.a. immateriellen Schadensersatz i.H.v. mindestens 1.000 €. Das LG hat die Klage abgewiesen.
Die Gründe:
Dem Kläger steht kein Anspruch auf Ersatz immateriellen Schadens aus § 82 Abs. 1 DSGVO zu, weshalb die Klage abzuweisen war. Es fehlte vorliegend bereits an der Anwendbarkeit dieser Norm.
Soweit der Kläger der Beklagten mehrere Verstöße vorgeworfen hatte, etwa
- ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 a DSGVO),
- unmittelbaren Verstoß gegen Art. 13, 14 DSGVO, die Informationspflichten enthielten, die seitens der Beklagten nicht eingehalten worden seien, - ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 24, 32 DSGVO),
- unvollständig Auskunftserteilung nach Art. 15 DSGVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Klägers durch Ausnutzung des Kontaktimport-Tools zugänglich gemacht worden seien (Art. 33, 34 DSGVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DSGVO umfasst.
Von Art. 82 DSGVO ist nur die Verarbeitung von personenbezogenen Daten umfasst. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechten ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DSGVO umfasst ebenso wenig Verstöße gegen Artikel 34 DSGVO. Auch aus Art. 24 und Art. 25 DSGVO ließ sich von vornherein kein subjektives Recht herleiten. Somit konnte dahinstehen, ob die Beklagten überhaupt gegen Artt. 13, 14 und 34 verstoßen hatten, da sie jedenfalls nicht unter den Schutzbereich des Art. 82 DSGVO fallen, weil sie "lediglich" Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben.
Zudem waren vorliegend keine entsprechende Pflichtverstöße der Beklagten gegen Normen der DSGVO nachgewiesen, selbst wenn man den Anwendungsbereich des Art. 82 DSGVO als eröffnet ansehen wollte. Es bedarf bei Informationspflichten der Rücksichtname auf den Grundsatz des Art. 5 Abs. 1 DSGVO, wonach personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Dieser Grundsatz der Transparenz überträgt sich in die Informations- und Aufklärungspflicht des Art. 13 DSGVO. Die Aufklärung über die Zwecke der Verarbeitung muss insbesondere für den Nutzer klar verständlich und nachvollziehbar sein. Dies war hier allerdings der Fall.
Die Reichweite des Schutzes der DSGVO ist zudem im Lichte der jeweiligen konkreten Nutzung (etwa des Internets) zu sehen. Mithin war vorliegend zu berücksichtigen, dass es sich bei der beklagtenseits betriebenen Plattform um ein soziales Netzwerk handelt, das auf Kommunikation, Finden von Personen und Teilen von Informationen angelegt ist. In diesem Lichte sind die von der Beklagten gewählten Voreinstellungen nicht zu beanstanden, da der jeweilige Nutzer umfassend und verständlich über Änderungsmöglichkeiten informiert wird.
Aufsatz:
Markus Rössel
Digital Services Act: Regulierung von Big Tech
ITRB 2023, 68
Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht. Jetzt mit den Inhalten der aktuellen Neuauflage von Moos, Datenschutz und Datennutzung. Mit über 50 topaktuellen praxiserprobten Mustern. 4 Wochen gratis nutzen!