Unzureichender Schutz gegen Datenscraping: Schadensersatzanspruch gegen Facebook

Die Beklagte als Betreiberin der Plattform Facebook hat gegen Art. 32 Abs. 1 DS-GVO verstoßen, da sie den Datensatz des Klägers nicht genügend gegen einen Angriff durch „Web-Scraping“ geschützt hat. Durch Verwendung von „Sicherheitscaptchas“ wäre ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen verhindert oder jedenfalls wesentlich erschwert worden.

Der Sachverhalt:
Die Parteien streiten u.a. um Ansprüche auf Schadensersatz im Zusammenhang mit der Nutzung der von der Beklagten betriebenen Plattform Facebook und eines Datenscraping-Vorfalls.

Im Zeitraum von Januar 2018 bis September 2019 lasen Dritte personenbezogene Daten (insbesondere Name, Geschlecht und Nutzer-ID) aus dem Datenbestand von Facebook aus und konnten den einzelnen Datensätzen jeweils konkrete Telefonnummern zuordnen. Vermutlich hatten diese Dritten bei dem Facebook-Tool CIT (Contact-Import-Tool oder Kontakt-Importer) im Wege der „Nummernaufzählung“ fiktive Nummern eingegeben und konnten dadurch die Telefonnummern auf Facebook bestimmten öffentlich zugänglichen Daten bestimmter Personen zuordnen. Anfang April 2021 wurden auf diese Weise erlangte Datensätze im Internet in einem bekannten „Hacker-Forum“ zum Download eingestellt, darunter auch der Datensatz des Klägers.

Die Beklagte räumt ein, dass ein Datenscraping bei Facebook im Zeitraum Januar 2018 bis September 2019 stattfand. Die Beklagte ist jedoch der Auffassung, ihr seien keine Verstöße gegen die DS-GVO anzulasten, da weder eine unbefugte Offenlegung von Daten noch ein unbefugter Zugang zu personenbezogenen Daten stattgefunden habe.

Die Klage auf Schadensersatz hatte teilweise Erfolg.

Die Gründe:
Dem Kläger steht gegen die Beklagte als Verantwortliche i.S. v. Art. 4 Nr. 7 DS-GVO ein Anspruch auf immateriellen Schadensersatz i.H.v. 1.000 € aus Art. 82 Abs. 1 DS-GVO aufgrund von verschiedenen Verstößen gegen die DS-GVO zu.

Die Beklagte hat gegen Art. 32 Abs. 1 DS-GVO verstoßen, da sie den Datensatz des Klägers nicht genügend gegen einen Angriff durch „Web-Scraping“ geschützt hat. Durch Verwendung von „Sicherheitscaptchas“ wäre ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen verhindert oder jedenfalls wesentlich erschwert worden. Die Beklagte hat nicht konkret behauptet, dass insoweit konkret „Sicherheitscaptchas“ verwendet wurden.

Die Beklagte hat auch nicht konkret vorgetragen, dass sie gleichwertige Maßnahmen ergriffen hat, um die nahliegende Möglichkeit des Missbrauchs des CIT (Contact-Import-Tool) zu verhindern.

Außerdem hat die Beklagte gegen Art. 33 Abs. 1 DS-GVO verstoßen, indem sie den Datenschutzverstoß nicht unverzüglich innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Behörde gemeldet hat, und außerdem gegen Art. 34 Abs. 1 DS-GVO, indem sie den Kläger nicht unverzüglich nach Bekanntwerden informiert hat. Es liegt auch die zusätzliche Voraussetzung des Art. 34 Abs. 1 DS-GVO vor, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge haben muss.

Durch die unbefugte Veröffentlichung seiner personenbezogenen Daten hat der Kläger einen ersatzfähigen Schaden erlitten. Zwar ist ein bloßer Verstoß gegen die DS-GVO nicht ausreichend, um einen Schadenersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen (EuGH, Urteil vom 04.05.2023 - C-300/21). Der Kläger ist jedoch konkret und individuell geschädigt worden, denn seine persönlichen Daten sind infolge des Verstoßes tatsächlich an unbefugte Personen abgeflossen und in einem öffentlichen Forum ins Internet gestellt worden. Dieser Schaden durch Datenverlust an unbefugte Dritte ist auch erheblich genug für die Zuerkennung eines Schadenersatzanspruchs. Denn der Ersatz eines immateriellen Schadens ist nicht davon abhängig, dass eine bestimmte Erheblichkeitsschwelle erreicht ist (EuGH, Urteil vom 4.5.2023 - C-300/21).

Mehr zum Thema:

Rechtsprechung:
Immaterieller Schadensersatz wegen Scraping des Facebook-Profils
LG Lübeck vom 25.5.2023 - 15 O 74/22
CR 2023, 442

Rechtsprechung:
Immaterieller Schadensersatz bei Data Scraping – Facebook Datenleck
LG Paderborn vom 19.12.2022 - 3 O 99/22
CR 2023, 473

Alles auch nachzulesen im Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Ihr Vorteil: Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!