Schutzmaßnahmen von Facebook gegen Scraping sind ungenügend
LG Lübeck v. 25.5.2023 - 15 O 74/22
Der Sachverhalt:
Die Beklagte ist die Betreiberin der Webseite www.facebook.com und der Dienste auf dieser Seite. Der Kläger nutzt die von der Beklagten betriebene Social Media-Plattform Facebook. Facebook enthält bei laufender Nutzung der Seite die Funktion, die etwa im Smartphone der Nutzer gespeicherten Mobilfunk-Telefonnummern mit den entsprechenden bei Facebook registrierten Daten abzugleichen, um ggf. leichter Freunde zu finden. Die Funktion ermöglicht also, Facebook-Profile zu identifizieren, auch ohne dass die im Profil hinterlegte Nummer für die Öffentlichkeit freigegeben ist. Verhindern konnten (und können) die Nutzer dies, indem sie bei den individuellen Einstellungen im Nutzerkonto auswählen, dass sie - entgegen der Standardeinstellungen - von Dritten nicht anhand der Telefonnummer gefunden werden möchten.
Jedenfalls zum Zeitpunkt der Erstregistrierung des Klägers bis Anfang 2019 war die Social Media-Plattform derart konfiguriert, dass die Nutzer bei der Anmeldung ihre Mobilfunk-Telefonnummer oder ihre Email-Adresse hinterlegen mussten. Dabei wurde angegeben, dass nur die Nutzer selbst diese sehen könnten, die Nummer also nicht für andere sichtbar auf dem Profil veröffentlicht werde. Unter der Eingabe-Maske waren zudem Links zu den Nutzungsbedingungen, zu einer Datenrichtlinie und zu einer Cookie-Richtlinie angebracht. Eine Information über die oben beschriebene Funktion war jedenfalls an der Stelle, an der die Ersthinterlegung der Mobilfunknummer vorgesehen war, nicht hinterlegt. Auch die dort verlinkte Datenrichtlinie enthielt keine Informationen über die oben beschriebene Nutzung der Mobilfunknummer durch Facebook.
Nach erfolgter Registrierung, mithin bei laufender Nutzung von Facebook, war es den Nutzern jedenfalls im streitgegenständlichen Zeitraum möglich, abweichend von der Standardeinstellung das individuelle Facebook-Profil derart einzustellen, dass Dritte das Profil nicht (mehr) anhand der Mobilfunk-Nummer identifizieren konnten. Einen Hinweis, wofür diese genutzt wird, gab es hier nicht. Auch ein Hinweis darauf, dass als privat eingestellte Nummern durch Dritte abgeglichen werden können, erfolgte hier nicht.
Der Kläger war der Ansicht, bereits die Verwendung der Mobilfunk-Telefonnummer für die Auffindbarkeit durch Dritte verstoße gegen die einschlägigen Bestimmungen der DSGVO. Insbesondere liege hierfür keine Einwilligung vor und die Funktion sei auch sonst datenschutzrechtlich nicht zu rechtfertigen. Dies rechtfertige einen Schadensersatz i.H.v. 1.000 €. Zudem stehe ihm nach §§ 1004 analog, 823 Abs. 1 und aus Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO sowie Art. 17 DSGVO gegen die Beklagte ein Anspruch auf Unterlassung, seine personenbezogenen Daten in Zukunft ohne vorherige ausreichende Belehrung zu veröffentlichen und diese zukünftig unbefugten Dritten zugänglich zu machen, zu. Die Beklagte behauptete, es habe damals keine einschlägigen Standards zur Bekämpfung von Scraping gegeben.
Das LG hat der Klage teilweise stattgegeben.
Die Gründe:
Der Kläger kann von der Beklagten aus § 82 DSGVO Zahlung von 500 € verlangen. Denn es konnten mehrere haftungsbegründende Verstöße der Beklagten gegen die einschlägigen Bestimmungen der DSGVO festgestellt werden.
Zunächst lag eine rechtswidrige Verarbeitung von Daten des Kläger durch die Beklagte vor. Die Einzeldaten wurden verarbeitet und im Zuge des "Scraping"-Vorfalls abgegriffen. Es lag jedoch keine wirksame Einwilligung des Klägers in die Nutzung der nicht öffentlich geteilten Mobilfunknummer für die Auffindbarkeit durch Dritte vor. Allein aus dem Umstand, dass die Suchbarkeit für Dritte anhand der Mobilfunknummer voreingestellt war, konnte nach EuGH-Rechtsprechung keine wirksame Einwilligung fingiert werden. Die DSGVO erfordert nämlich nicht die bloße Möglichkeit, Voreinstellungen nachträglich zu ändern, sondern die aktive und eindeutige Einwilligung von Anfang an.
Die Funktion war auch nicht für die Erfüllung des zwischen den Parteien geschlossenen Vertrags erforderlich. Schon der bloße Umstand, dass die Nutzer die fragliche Funktion in ihren Profileinstellungen deaktivieren konnten ohne dass die Vertragsdurchführung hierdurch von auch nur einer der Parteien als in Frage gestellt gesehen wurde, zeigte, dass es sich um eine möglicherweise praktische aber eben nicht irgendwie notwendige Funktion handelt. Facebook hat keine genügenden Schutzmaßnahmen gegen Scraping ergriffen. Die Beklagte traf insoweit eine sekundäre Darlegungslast, zu den von ihr aufgeführten Schutzmaßnahmen konkret vorzutragen.
Eine für die Bejahung eines Schadens ausreichende Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung lag hier vor. Dieses Recht des Klägers wurde und wird bis heute fortlaufend verletzt. Infolge der obigen Verstöße gegen die einschlägigen Bestimmungen der DSGVO gelangten die streitgegenständlichen Daten inzwischen unstreitig auf jedenfalls eine online betriebene Seite, auf der sie rechtswidrig und massenhaft zum weiteren Vertrieb angeboten werden und damit fortgesetzt das geschützte Recht des Klägers verletzen, selbst zu entscheiden, wo und ob er diese Daten offenbaren möchte.
Wie sich die Klägerseite dabei fühlt, ist für das Vorliegen eines Schadens unerheblich, da ein solcher bereits in der tatsächlich stattfindenden (und nicht nur befürchteten) Persönlichkeitsrechtsverletzung durch Dritte liegt. Ein Abstellen auf die emotionale Befindlichkeit der Klägerseite wäre nur dann erheblich gewesen, wenn die Rechtsgutverletzung maßgeblich in einer Verletzung des Rechts auf körperliche Unversehrtheit zu sehen wäre. Dies war jedoch nicht der Fall. Die Höhe des Schadensersatzes war mit 500 € angemessen und ausreichend, um den immateriellen Schaden auszugleichen und gleichzeitig der erforderlichen Abschreckungswirkung Rechnung zu tragen sowie dabei die besonderen Umstände des Falles zu würdigen. Dem Gericht stand insoweit gem. § 287 ZPO ein Ermessen zu.
Eine Verletzung des Auskunftsanspruchs der Klägerseite gem. Art. 15 DSGVO ließ sich nicht feststellen. Auch der geltend gemachte Unterlassungsanspruch besteht nicht. Zwar hat die Beklagte gegen die DSGVO verstoßen. Die Pflichtverletzung löst aber für die Zukunft keine Folgen mehr aus, da die Klägerseite zumindest im Verlauf des Rechtsstreits sämtliche Informationen erhalten hat, die die fragliche Art und Weise der Datenverarbeitung betreffen. Letztlich steht dem Kläger auch kein auf Art 15. DSGVO oder auf dem Nutzungsvertrag i.V.m. § 242 BGB gestützter (weitergehender) Auskunftsanspruch gegenüber der Beklagten zu.
Mehr zum Thema:
Aufsatz:
Google Fonts: Aufdringliche Abmahnungen
Christian Franz, CR-online.de Blog 2022
Kurzbeitrag:
LG München: Dynamische Einbindung von Google Fonts in Webseite datenschutzwidrig
Mandy Hrube, CR 2022, R56
Alles auch nachzulesen im Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Ihr Vorteil: Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
Landesregierung Schleswig-Holstein
Die Beklagte ist die Betreiberin der Webseite www.facebook.com und der Dienste auf dieser Seite. Der Kläger nutzt die von der Beklagten betriebene Social Media-Plattform Facebook. Facebook enthält bei laufender Nutzung der Seite die Funktion, die etwa im Smartphone der Nutzer gespeicherten Mobilfunk-Telefonnummern mit den entsprechenden bei Facebook registrierten Daten abzugleichen, um ggf. leichter Freunde zu finden. Die Funktion ermöglicht also, Facebook-Profile zu identifizieren, auch ohne dass die im Profil hinterlegte Nummer für die Öffentlichkeit freigegeben ist. Verhindern konnten (und können) die Nutzer dies, indem sie bei den individuellen Einstellungen im Nutzerkonto auswählen, dass sie - entgegen der Standardeinstellungen - von Dritten nicht anhand der Telefonnummer gefunden werden möchten.
Jedenfalls zum Zeitpunkt der Erstregistrierung des Klägers bis Anfang 2019 war die Social Media-Plattform derart konfiguriert, dass die Nutzer bei der Anmeldung ihre Mobilfunk-Telefonnummer oder ihre Email-Adresse hinterlegen mussten. Dabei wurde angegeben, dass nur die Nutzer selbst diese sehen könnten, die Nummer also nicht für andere sichtbar auf dem Profil veröffentlicht werde. Unter der Eingabe-Maske waren zudem Links zu den Nutzungsbedingungen, zu einer Datenrichtlinie und zu einer Cookie-Richtlinie angebracht. Eine Information über die oben beschriebene Funktion war jedenfalls an der Stelle, an der die Ersthinterlegung der Mobilfunknummer vorgesehen war, nicht hinterlegt. Auch die dort verlinkte Datenrichtlinie enthielt keine Informationen über die oben beschriebene Nutzung der Mobilfunknummer durch Facebook.
Nach erfolgter Registrierung, mithin bei laufender Nutzung von Facebook, war es den Nutzern jedenfalls im streitgegenständlichen Zeitraum möglich, abweichend von der Standardeinstellung das individuelle Facebook-Profil derart einzustellen, dass Dritte das Profil nicht (mehr) anhand der Mobilfunk-Nummer identifizieren konnten. Einen Hinweis, wofür diese genutzt wird, gab es hier nicht. Auch ein Hinweis darauf, dass als privat eingestellte Nummern durch Dritte abgeglichen werden können, erfolgte hier nicht.
Der Kläger war der Ansicht, bereits die Verwendung der Mobilfunk-Telefonnummer für die Auffindbarkeit durch Dritte verstoße gegen die einschlägigen Bestimmungen der DSGVO. Insbesondere liege hierfür keine Einwilligung vor und die Funktion sei auch sonst datenschutzrechtlich nicht zu rechtfertigen. Dies rechtfertige einen Schadensersatz i.H.v. 1.000 €. Zudem stehe ihm nach §§ 1004 analog, 823 Abs. 1 und aus Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO sowie Art. 17 DSGVO gegen die Beklagte ein Anspruch auf Unterlassung, seine personenbezogenen Daten in Zukunft ohne vorherige ausreichende Belehrung zu veröffentlichen und diese zukünftig unbefugten Dritten zugänglich zu machen, zu. Die Beklagte behauptete, es habe damals keine einschlägigen Standards zur Bekämpfung von Scraping gegeben.
Das LG hat der Klage teilweise stattgegeben.
Die Gründe:
Der Kläger kann von der Beklagten aus § 82 DSGVO Zahlung von 500 € verlangen. Denn es konnten mehrere haftungsbegründende Verstöße der Beklagten gegen die einschlägigen Bestimmungen der DSGVO festgestellt werden.
Zunächst lag eine rechtswidrige Verarbeitung von Daten des Kläger durch die Beklagte vor. Die Einzeldaten wurden verarbeitet und im Zuge des "Scraping"-Vorfalls abgegriffen. Es lag jedoch keine wirksame Einwilligung des Klägers in die Nutzung der nicht öffentlich geteilten Mobilfunknummer für die Auffindbarkeit durch Dritte vor. Allein aus dem Umstand, dass die Suchbarkeit für Dritte anhand der Mobilfunknummer voreingestellt war, konnte nach EuGH-Rechtsprechung keine wirksame Einwilligung fingiert werden. Die DSGVO erfordert nämlich nicht die bloße Möglichkeit, Voreinstellungen nachträglich zu ändern, sondern die aktive und eindeutige Einwilligung von Anfang an.
Die Funktion war auch nicht für die Erfüllung des zwischen den Parteien geschlossenen Vertrags erforderlich. Schon der bloße Umstand, dass die Nutzer die fragliche Funktion in ihren Profileinstellungen deaktivieren konnten ohne dass die Vertragsdurchführung hierdurch von auch nur einer der Parteien als in Frage gestellt gesehen wurde, zeigte, dass es sich um eine möglicherweise praktische aber eben nicht irgendwie notwendige Funktion handelt. Facebook hat keine genügenden Schutzmaßnahmen gegen Scraping ergriffen. Die Beklagte traf insoweit eine sekundäre Darlegungslast, zu den von ihr aufgeführten Schutzmaßnahmen konkret vorzutragen.
Eine für die Bejahung eines Schadens ausreichende Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung lag hier vor. Dieses Recht des Klägers wurde und wird bis heute fortlaufend verletzt. Infolge der obigen Verstöße gegen die einschlägigen Bestimmungen der DSGVO gelangten die streitgegenständlichen Daten inzwischen unstreitig auf jedenfalls eine online betriebene Seite, auf der sie rechtswidrig und massenhaft zum weiteren Vertrieb angeboten werden und damit fortgesetzt das geschützte Recht des Klägers verletzen, selbst zu entscheiden, wo und ob er diese Daten offenbaren möchte.
Wie sich die Klägerseite dabei fühlt, ist für das Vorliegen eines Schadens unerheblich, da ein solcher bereits in der tatsächlich stattfindenden (und nicht nur befürchteten) Persönlichkeitsrechtsverletzung durch Dritte liegt. Ein Abstellen auf die emotionale Befindlichkeit der Klägerseite wäre nur dann erheblich gewesen, wenn die Rechtsgutverletzung maßgeblich in einer Verletzung des Rechts auf körperliche Unversehrtheit zu sehen wäre. Dies war jedoch nicht der Fall. Die Höhe des Schadensersatzes war mit 500 € angemessen und ausreichend, um den immateriellen Schaden auszugleichen und gleichzeitig der erforderlichen Abschreckungswirkung Rechnung zu tragen sowie dabei die besonderen Umstände des Falles zu würdigen. Dem Gericht stand insoweit gem. § 287 ZPO ein Ermessen zu.
Eine Verletzung des Auskunftsanspruchs der Klägerseite gem. Art. 15 DSGVO ließ sich nicht feststellen. Auch der geltend gemachte Unterlassungsanspruch besteht nicht. Zwar hat die Beklagte gegen die DSGVO verstoßen. Die Pflichtverletzung löst aber für die Zukunft keine Folgen mehr aus, da die Klägerseite zumindest im Verlauf des Rechtsstreits sämtliche Informationen erhalten hat, die die fragliche Art und Weise der Datenverarbeitung betreffen. Letztlich steht dem Kläger auch kein auf Art 15. DSGVO oder auf dem Nutzungsvertrag i.V.m. § 242 BGB gestützter (weitergehender) Auskunftsanspruch gegenüber der Beklagten zu.
Aufsatz:
Google Fonts: Aufdringliche Abmahnungen
Christian Franz, CR-online.de Blog 2022
Kurzbeitrag:
LG München: Dynamische Einbindung von Google Fonts in Webseite datenschutzwidrig
Mandy Hrube, CR 2022, R56
Alles auch nachzulesen im Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Ihr Vorteil: Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!