JurPC Web-Dok. 102/2023 - DOI 10.7328/jurpcb2023387102

LG Ravensburg

Urteil vom 13.06.2023

2 O 228/22

Verstoß von Facebook gegen Art. 32 DSGVO im Rahmen eines Scraping-Angriffs

JurPC Web-Dok. 102/2023, Abs. 1 - 44


Leitsatz:

Die Beklagte als Betreiberin der Plattform Facebook hat gegen Art. 32 Abs. 1 DS-GVO verstoßen, da sie den Datensatz des Klägers nicht genügend gegen einen Angriff durch „Web-Scraping“ geschützt hat. Durch Verwendung von „Sicherheitscaptchas“ wäre ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen verhindert oder jedenfalls wesentlich erschwert worden.

Tatbestand:

Die Parteien streiten um Ansprüche auf Schadensersatz, Unterlassung und Auskunft im Zusammenhang mit der Nutzung der von der Beklagten betriebenen Plattform Facebook und eines Datenscraping-Vorfalls.Abs. 1
Zu einem nicht näher bekannten Zeitpunkt, vermutlich im Zeitraum von Januar 2018 bis September 2019, lasen Dritte personenbezogene Daten (insbesondere Name, Geschlecht und Nutzer-ID) aus dem Datenbestand von Facebook aus und konnten den einzelnen Datensätzen jeweils konkrete Telefonnummern zuordnen. Vermutlich hatten diese Dritten bei dem Facebook-Tool CIT (Contact-Import-Tool oder Kontakt-Importer) im Wege der „Nummernaufzählung“ fiktive Nummern eingegeben und konnten dadurch die Telefonnummern auf Facebook bestimmten öffentlich zugänglichen Daten bestimmter Personen zuordnen. Anfang April 2021 wurden auf diese Weise erlangte Datensätze im Internet in einem bekannten „Hacker-Forum“ zum Download eingestellt, darunter auch der Datensatz des Klägers.Abs. 2
Der Kläger ist der Ansicht, ihm stehe ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu, da die Beklagte unbefugten Dritten personenbezogene Daten des Klägers zugänglich gemacht habe. Sie habe die Daten insbesondere auch nicht genügend gegen einen Angriff durch „Web-Scraping“ geschützt, etwa durch Verwendung von „Sicherheitscaptchas“, die die automatischen Abfragen durch eine Software erschweren. Durch die unbefugte Veröffentlichung seiner personenbezogenen Daten habe der Kläger einen konkreten ersatzfähigen immateriellen Schaden in Form eines Kontrollverlusts über seine Daten erlitten. Ein Schadenersatzbetrag von mindestens 2.000,-- Euro sei angemessen.Abs. 3
Weiter meint der Kläger, die Beklagte habe ihrer Informationspflicht nach der DS-GVO nicht genügt. Sie sei dem Auskunftsersuchen des Klägers nicht in ausreichendem Maße nachgekommen. Ein Schadenersatzbetrag von mindestens 1.000,-- Euro sei hierfür angemessen.Abs. 4
Außerdem meint der Kläger, ihm stehe gegen die Beklagte ein Unterlassungsanspruch zu, in Zukunft seine personenbezogenen Daten nicht unbefugten Dritten zugänglich zu machen,Abs. 5
Der Kläger beantragt:Abs. 6
1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Telefonnummer (+49…) sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,-- EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen.Abs. 7
2. Die Beklagte wird verurteilt, an die Klägerin für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DS-GVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.000,-- EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen.Abs. 8
3. Die Beklagte wird verurteilt, der Klägerseite Auskunft über die die Klägerseite betreffenden weiteren personenbezogenen Daten zu erteilen, die durch Unbefugte erlangt werden konnten, namentlich welche Daten außer der Telefonnummer der Klägerseite durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch „Web Scraping“, die Anwendung des Kontaktimporttools oder auf andere Weise unbefugt erlangt werden konnten.Abs. 9
4. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, unbefugten Dritten zugänglich zu machen, wie geschehen anlässlich des sogenannten Facebook-Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand.Abs. 10
5. Die Beklagte wird verurteilt, die Klägerseite von vorgerichtlichen Rechtsanwaltskosten in Höhe von 800,39 EUR zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz gegenüber den Prozessbevollmächtigten der Klägerseite freizustellen.Abs. 11
Die Beklagte beantragt,Abs. 12
die Klage abzuweisen.Abs. 13
Die Beklagte ist der Ansicht, die Klage seien teilweise bereits unzulässig, die Klageanträge Ziff. 1 und Ziff. 4 seien nicht ausreichend bestimmt.Abs. 14
Die Beklagte räumt ein, dass ein Datenscraping bei Facebook im Zeitraum Januar 2018 bis September 2019 stattfand. Die Beklagte ist jedoch der Auffassung, ihr seien keine Verstöße gegen die DS-GVO anzulasten, da weder eine unbefugte Offenlegung von Daten noch ein unbefugter Zugang zu personenbezogenen Daten stattgefunden habe. Hierzu behauptet sie, dass es sich bei den im Zuge des Scrapings abgerufenen Daten um öffentlich einsehbare Daten in dem Facebook-Profil des Klägers gehandelt habe, die entweder zwingend öffentliche Nutzerinformationen waren (Name, Geschlecht und Nutzer-ID) oder entsprechend der jeweiligen Zielgruppenauswahl des Klägers öffentlich einsehbar waren. Die Beklagte hält den Klägervortrag, die Beklagte habe keinerlei Sicherheitsvorkehrungen wie etwa Captcha-Abfragen getroffen, nicht nur für unrichtig, sondern auch für unsubstantiiert. Soweit das Fehlen einzelner technischer und organisatorischer Maßnahmen wie z.B. Captcha-Abfragen behauptet würden, komme es auf eine Gesamtbewertung aller Maßnahmen an, so dass eine fehlende Einzelmaßnahme für sich genommen keinen Verstoß begründen könne. Die Beklagte unterhalte eine Vielzahl von Maßnahmen zur Vermeidung von Scraping und entwickle diese laufend fort, dazu gehörten unter anderem auch Captchas.Abs. 15
Die Beklagte meint, sie sei nicht verpflichtet gewesen, den Kläger nach Art. 34 DSGVO oder die Aufsichtsbehörde nach Art. 33 DSGVO zu benachrichtigen, da die Voraussetzungen der Legaldefinition in Art. 4 Nr. 12 DSGVO nicht erfüllt seien.Es fehle an einer Verletzung der Sicherheit und der unbefugten Offenlegung (oder eines unbefugten Zugangs) zu personenbezogenen Daten.Abs. 16
Die Beklagte steht weiter auf dem Standpunkt, sie habe mit ihrer Auskunft nicht gegen Art. 15 DS-GVO verstoßen. Das Auskunftsersuchen des Klägers vom 4. April 2022 habe die Beklagte am 02.05.2022 (Anl. B 16) ordnungsgemäß beantwortet.Abs. 17
Zur Ergänzung des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen Bezug genommen.Abs. 18

Entscheidungsgründe:

Die Klage ist zulässig. Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 EuGVVO. Das Landgericht Ravensburg ist gem. Art. 18 Abs. 1 Alt. 2 EuGVVO und Art. 79 Abs. 2 Satz 2 DS-GVO auch örtlich zuständig. Der Klageantrag zu 1 und Ziff. 4 sind auch ausreichend bestimmt, indem bei Ziff. 1 die Höhe des Schadenersatzes und der konkret zugrundeliegende Sachverhalt geschildert werden und bei Ziff. 4 das zu unterlassende Verhalten konkret umschrieben wird.Abs. 19
Die Klage ist jedoch nur teilweise begründet.Abs. 20
I.Abs. 21
Dem Kläger steht gem. Klagantrag Ziff. 1 gegen die Beklagte als Verantwortliche i.S. von Art. 4 Nr. 7 DS-GVO anzusehen ist ein Anspruch auf immateriellen Schadensersatz i.H.v. 1.000 Euro aus Art. 82 Abs. 1 DS-GVO aufgrund von verschiedenen Verstößen gegen die DS-GVO zu.Abs. 22
1.Die Beklagte hat gegen Art. 32 Abs. 1 DS-GVO verstoßen, da sie den Datensatz des Klägers nicht genügend gegen einen Angriff durch „Web-Scraping“ geschützt hat. Durch Verwendung von „Sicherheitscaptchas“ wäre ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen verhindert oder jedenfalls wesentlich erschwert worden. Die Beklagte hat nicht konkret behauptet, dass insoweit konkret „Sicherheitscaptchas“ verwendet wurden. Sie hat auf Seite 80 Rz. 62 ihrer Klagerwiderung nur pauschal vorgetragen:Abs. 23
„Die Beklagte unterhielt im Relevanten Zeitraum, wie bereits dargelegt, eine Vielzahl von Maßnahmen zur Vermeidung von Scraping und entwickelt diese laufend fort. Dazu gehören unter anderem auch Captchas, (....).“Abs. 24
Dieses pauschale Bestreiten ist gem. § 138 Abs. 3 ZPO unbeachtlich.Abs. 25
Die Beklagte hat auch nicht konkret vorgetragen, dass sie gleichwertige Maßnahmen ergriffen hat, um die nahliegende Möglichkeit des Missbrauchs des CIT (Contact-Import-Tool) zu verhindern. Die nach dem Vorbringen der Beklagten erfolgten Übertragungsbeschränkungen, die die Anzahl von Anfragen reduzieren, die pro Nutzer oder einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht werden können, war offenkundig unzureichend.Abs. 26
2. Außerdem hat die Beklagte gegen Art. 33 Abs. 1 DS-GVO verstoßen, indem sie, wie der Kläger vorträgt, den Datenschutzverstoß nicht unverzüglich innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Behörde gemeldet hat, und außerdem gegen Art. 34 Abs. 1 DS-GVO, indem sie den Kläger nicht unverzüglich nach Bekanntwerden informiert hat. Die Beklagte hat diesen Vortrag nicht qualifiziert bestritten, so dass der entsprechende Vortrag des Klägers gem. § 138 Abs. 3 ZPO als zugestanden gilt. Es liegt auch die zusätzliche Voraussetzung des Art. 34 Abs. 1 DS-GVO vor, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge haben muss, denn die persönlichen Daten des Klägers in Verbindung mit der Telefonnummer konnten durch Unbefugte insbesondere im Geschäftsverkehr missbraucht werden, einhergehend mit der Gefahr von Vermögensschäden für den Kläger.Abs. 27
3. Durch die unbefugte Veröffentlichung seiner personenbezogenen Daten hat der Kläger einen ersatzfähigen Schaden erlitten, Zwar ist ein bloßer Verstoß gegen die DS-GVO nicht ausreichend, um einen Schadenersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen (EuGH, Urteil vom 04.05.2023 - C-300/21 -, juris Rn. 42). Der Kläger ist jedoch konkret und individuell geschädigt worden, denn seine persönlichen Daten sind infolge des Verstoßes tatsächlich an unbefugte Personen abgeflossen und in einem öffentlichen Forum ins Internet gestellt worden. Dieser Schaden durch Datenverlust an unbefugte Dritte ist auch erheblich genug für die Zuerkennung eines Schadenersatzanspruchs. Denn der Ersatz eines immateriellen Schadens ist nicht davon abhängig, dass eine bestimmte Erheblichkeitsschwelle erreicht ist (EuGH, Urteil vom 04.05.2023 - C-300/21 -, juris Rn. 51).Abs. 28
4. Bei einer Gesamtwürdigung ist zu berücksichtigen, dass unterschiedliche Datenschutzverstöße vorliegen, nämlich einerseits der unzureichende Schutz im Vorfeld des Datenabflusses und andererseits die fehlende Information im Anschluss daran. Letzteres ist ebenfalls gravierend. Der Geschädigte hat ein erhebliches Interesse daran, dass er selbst und die zuständige Behörde frühzeitig von einem Verstoß in Kenntnis gesetzt werden. Insgesamt war ein maßvoller Schadenersatzbetrag von 1.000,-- € festzusetzen.Abs. 29
Rechtshängigkeitszinsen kann der Kläger insoweit ab 03.11.2022 gem. §§ 291 Abs. 1, 288 Abs. 1 BGB verlangen, da die Klage spätestens am 02.11.2022 (Datum der Klagerwiderung) zugestellt worden ist.Abs. 30
II.Abs. 31
Der mit dem Klageantrag Ziff. 2 geltend gemachte Schadenersatzanspruch gem. Art. 82 Abs. 1 DS-GVO besteht nicht. Es kann dahingestellt bleiben, ob die Beklagte gegen Art. 15 Abs. 1 DS-GVO verstoßen hat, indem sie eine ungenügende Auskunft erteilt hat. Ein solcher Verstoß kann schon deshalb keinen Schadenersatzanspruch begründen, weil dadurch kein zusätzlicher immaterieller Schaden des Klägers entstanden ist.Abs. 32
III.Abs. 33
Dem Kläger steht auch kein Auskunftsanspruch gem. Klageantrag Ziff. 3 zu. Bei einem Verstoß gegen Art. 34 DS-GVO, der hier zu bejahen ist (s. oben I.), muss der Verantwortliche zwar der betroffenen Person mitteilen, welche Daten von einem Datenschutzvorfall betroffen sind. Die Beklagte hat diesen Anspruch jedoch erfüllt. Denn sie hat den Kläger mit Schreiben vom 02.05.2022 (Anlage B 16) sowohl über das Scraping und das vermutete Vorgehen der Scraper informiert, als auch über die betroffenen Datenkategorien (Seite 6 dieses Schreibens), die mit dem CIT ausgelesen werden konnten.Abs. 34
IV.Abs. 35
Der vom Kläger mit dem Klageantrag Ziff.4 geltend gemachte Unterlassungsanspruch ist begründet. Soweit es für den vorbeugenden Unterlassungsschutz eine gesonderte Anspruchsgrundlage in der DS-GVO nicht gibt, gelten subsidiär §§ 823 Abs. 2, 1004 BGB analog (OLG München, Urteil vom 19.01.2021 - 18 U 7243/19, juris Rn. 62).Abs. 36
Allerdings ist der Unterlassungstenor noch klarstellend zu konkretisieren. Zu unterlassen ist die Zugänglichmachung nur, sofern keine ausreichenden Sicherheitsvorkehrungen gegen den Abruf von Daten durch unbefugte Dritte getroffen werden. Außerdem hat der Zusatz „insbesondere die Telefonnummer“ zu entfallen, da die Telefonnummer vermutlich nicht aus dem Datenbestand von Facebook abgerufen wurde, sondern durch die angewandte Methode (“Nummernaufzählung“) einer konkreten Person zugeordnet werden konnte. Und soweit im Klageantrag Ziff. 4 formuliert wird „wie geschehen anlässlich des sogenannten Facebook-Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand“ ist dies genauer dahin zu formulieren, dass das Datenleak „im Zeitraum Januar 2018 bis September 2019 stattfand“ (Seite 12/13 (Rn. 9) der Klagerwiderung vom 26.01.2023).Abs. 37
Die für einen Unterlassungsanspruch vorausgesetzte Wiederholungsgefahr besteht, da sie im Fall eines rechtswidrigen Eingriffs in ein geschütztes Rechtsgut des Betroffenen tatsächlich vermutet wird (Grüneberg/Herrler, BGB, 82. Aufl. 2023, § 1004 Rn. 32).Abs. 38
Die Ordnungsmittelandrohung folgt aus § 890 ZPO.Abs. 39
V.Abs. 40
Im Rahmen des materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann der Kläger auch gem. Klagantrag Ziff. 5 die Freistellung vom Anspruch der Prozessbevollmächtigten des Klägers auf Bezahlung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen. Verzugseintritt ist dazu nicht notwendig, denn der Anspruch auf Schadenersatz entsteht mit der Verletzungshandlung. Ausgehend von den in Ansatz zu bringenden Gegenstandswerten für die jeweiligen Klageanträge Ziff. 1 und Ziff. 4 mit einem Wert von 4.000,-- € ergibt sich eine 1,3-Anwaltsgebühr inkl. MwSt. und Postpauschale von 453,87 €. Verzugszinsen kann der Kläger insoweit nicht verlangen, denn für einen etwaigen Zahlungsverzug ist er selbst verantwortlich.Abs. 41
VI.Abs. 42
Die Kostenentscheidung folgt aus §§ 91, 92 Abs. 1 ZPO, da der Kläger hinsichtlich der Anträge mit Klagantrag Ziff. 1 teilweise und mit den Klaganträgen Ziff. 2 und 3 vollständig (und damit im Verhältnis 2.500,-- € : 6.500,-- €) unterlegen ist.Abs. 43
Die Entscheidung zur vorläufigen Vollstreckbarkeit ergibt sich aus §§ 708 Nr. 11, 709, 711 ZPO.Abs. 44

(online seit: 25.07.2023)
Zitiervorschlag: Gericht, Datum, Aktenzeichen, JurPC Web-Dok, Abs.
Zitiervorschlag: Ravensburg, LG, Verstoß von Facebook gegen Art. 32 DSGVO im Rahmen eines Scraping-Angriffs - JurPC-Web-Dok. 0102/2023