In letzter Zeit liest und hört man öfter das Wort „Scraping“, nicht zuletzt, weil sich auch die Gerichte vermehrt damit beschäftigen müssen. Im Raum stehen Schadensersatzansprüche, welche mal bejaht und mal verneint werden. Der folgende Artikel berichtet über unterschiedliche Urteile im Fall eines Datenlecks bei Facebook.
Der Inhalt im Überblick
Was ist Scraping überhaupt?
Unter dem Begriff Scraping versteht man, dass öffentlich zugängliche Informationen von einer Webseite in eine Datenbank übertragen werden. Dabei beschäftigten die Gerichte sich vor allem mit dem Scraping von Daten in Social-Media-Plattformen. Dies kann grundsätzlich manuell geschehen, wird aber wohl eher unter Zuhilfenahme verschiedenster Software geschehen, um dadurch viel effizienter große Mengen an Daten gewinnen zu können. Ein anschauliches Beispiel zum Data Scraping auf LinkedIn findet sich bereits in unserem Blog.
Ein Schadensersatzanspruch besteht nicht
In einem Verfahren vor dem Landgericht Essen (Urteil vom 10.11.2022, Az. 6 O 111/22), hatte dieses einen Schadensersatzanspruch verneint. Der Kläger nutzte die Social-Media-Plattform (Facebook) des Beklagten zur Kommunikation mit Freunden, teilte private Foto und diskutierte online mit anderen Nutzern. Vom Kläger auf der sozialen Plattform veröffentlichte Daten wurden von Dritten gescrapt und zudem im Internet öffentlich verbreitet.
Bei den im Verfahren unstreitig gescrapten personenbezogenen Daten des Klägers (Name, Geschlecht, Benutzername) handelte es sich um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnliches abrufbar waren. Dies war dem Kläger auch bereits bei der Anmeldung auf der Plattform bekannt, denn die Beklagte hatte u.a. in ihren Datenverwendungsrichtlinien darüber informiert. Nach Auffassung des Gerichts war die Beklagte daher auch nicht verpflichtet, diese Daten vor der Verarbeitung durch Scraper zu schützen. Die Daten waren durch die Beklagte nicht unbefugt bzw. unrechtmäßig verarbeitet worden. So erfolgte die Erhebung dieser Daten als solche nicht unbefugt bzw. unrechtmäßig. Auch erfolgte die Verarbeitung in Form des Scrapens durch Dritte und nicht durch die Beklagte selbst.
Dem Urteil nach sei es nicht möglich, Scraping komplett zu unterbinden. Letztlich trage der Internetnutzer das Risiko dafür, dass über technische Programme selbst gewählte Freigaben ausgenutzt und missbraucht werden. Hier hatte sich der Kläger eigenverantwortlich zur Nutzung der sozialen Plattform entschlossen, seine Zustimmung zur Datenschutzrichtlinie gegeben und konnte nach der Bereitstellung von Hilfestellungsmöglichkeiten selbst entscheiden, in welchem Umfang er die Angebote der Beklagten nutzt.
Auch das Landgericht Bielefeld (Urteil vom 19.12.2022 – 8 O 182/22) verneinte einen Schadensersatzanspruch. Dieses setzte sich allerdings nicht mit der Frage auseinander, wer das Risiko von Scraping-Fällen trägt. Urteilte aber, dass vom Kläger behauptete Ängste und Sorgen hinsichtlich seiner gescrapten Daten nur wenig glaubhaft sind, wenn dieser die von der Beklagten betriebenen Social-Media-Plattform unverändert weiternutzt, ohne Einstellungen zu ändern.
Ein Schadensersatzanspruch besteht
Anders sah es das Landgericht Paderborn (Urteil vom 19.12.2022, Az. 3 O 99/22) und hatte in einem Fall von Scraping einen Schadensersatzanspruch bejaht. Das Verfahren beruht auf dem gleichen Tatbestand, wie das vor dem LG Essen. Das LG Paderborn war hier allerdings der Ansicht, dass die Beklagte keine ausreichenden Sicherheitsmaßnahmen getroffen hatte und somit kein dem Risiko angemessenes Schutzniveau gewährleisten konnte.
„Zur Bestimmung des angemessenen Schutzniveaus sind gem. Art. 32 Abs. 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“
Das Gericht war hier der Auffassung, dass die Beklagte, die ein weltweit genutztes soziales Netzwerk betreibt, vorab mit Fällen von Scraping hätte rechnen müssen und daher auch angemessene Schutzmaßnahmen hätte treffen müssen.
Unterstützung findet diese Ansicht durch eine Entscheidung der irischen Datenschutzaufsichtsbehörde. Diese untersuchte die Einhaltung der DSGVO-Verpflichtung zum Datenschutz durch Design und Standard sowie die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Artikel 25 DSGVO seitens Facebook. Im Ergebnis bejahte die Aufsichtsbehörde einen Verstoß gegen Artikel 25 Absatz 1 und 2 DSGVO.
Erfolgsaussichten sind ungewiss
Getreu dem Spruch „zwei Juristen, drei Meinungen“ zeigt sich an diesen Urteilen, wie unterschiedlich Gerichte in gleichartigen Fällen entscheiden können. Im Fall des Scrapings scheint das letzte Wort wohl noch nicht gesprochen zu sein, sodass aktuell die Erfolgsaussichten von Klagen ungewiss sind. Es lässt sich aber auch nicht von der Hand weisen, dass letztlich jeder Internetnutzer selbst darüber bestimmt, welche persönlichen Daten er oder sie insbesondere auf sozialen Netzwerken preisgibt.