Am 16. April 2024 entschied das Landgericht Ravensburg (Aktenzeichen: 2 O 140/23) zugunsten eines Klägers, der Facebook wegen eines Datenschutzverstoßes verklagt hatte. Das Gericht stellte fest, dass Facebook gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hat, indem es die personenbezogenen Daten des Klägers nicht ausreichend vor Web-Scraping geschützt hat.
Hintergrund des Falls
Im Zeitraum September 2019 wurden öffentlich zugängliche personenbezogene Daten von Facebook-Nutzern, einschließlich Namen, Geschlecht und Nutzer-ID, durch Dritte mittels Web-Scraping ausgelesen. Diese Dritten nutzten dabei das Facebook-Tool CIT (Contact-Import-Tool) und ordneten den Datensätzen jeweils konkrete Telefonnummern zu. Im April 2021 wurden diese Datensätze in einem Hacker-Forum veröffentlicht, darunter auch der Datensatz des Klägers.
Verstoß gegen die DSGVO
Das Gericht urteilte, dass Facebook gegen Art. 32 Abs. 1 DSGVO verstoßen hat, indem es die Daten des Klägers nicht genügend gegen einen Angriff durch Web-Scraping geschützt hat. Facebook hätte durch die Verwendung von Sicherheitscaptchas diese maschinellen Abfragen verhindern oder zumindest erheblich erschweren können. Außerdem stellte das Gericht fest, dass Facebook die Datenschutzverletzung nicht unverzüglich innerhalb von 72 Stunden bei der zuständigen Behörde gemeldet und den Kläger nicht rechtzeitig informiert hat, wie es Art. 33 Abs. 1 und Art. 34 Abs. 1 DSGVO vorschreiben.
Schadensersatz und Unterlassungsanspruch
Der Kläger erhielt einen immateriellen Schadensersatz in Höhe von 1.000 Euro. Das Gericht erkannte an, dass der Kläger durch die Veröffentlichung seiner personenbezogenen Daten tatsächlich geschädigt wurde und in der Folgezeit befürchtete, dass seine Daten missbraucht werden könnten. Dies führte zu Angst und dem Wechsel seiner Telefonnummer.
Darüber hinaus wurde Facebook verurteilt, es zu unterlassen, personenbezogene Daten des Klägers ohne ausreichende Sicherheitsmaßnahmen zugänglich zu machen. Das Unternehmen muss bei Zuwiderhandlung mit Ordnungsgeld oder Ordnungshaft für seinen gesetzlichen Vertreter rechnen.
Kostenentscheidung und weitere Ansprüche
Der Kläger musste 74 % der Verfahrenskosten tragen, da einige seiner weitergehenden Ansprüche, wie der auf zukünftigen Schadensersatz und eine umfassende Auskunft, abgewiesen wurden. Insbesondere war der Feststellungsanspruch unbegründet, da der Kläger seine Telefonnummer bereits gewechselt hatte und somit kein weiterer Schaden entstehen konnte. Auch ein Auskunftsanspruch nach Art. 15 DSGVO wurde abgelehnt, da Facebook den Kläger bereits ausreichend informiert hatte.
Fazit
Das Urteil zeigt die Wichtigkeit des Schutzes personenbezogener Daten und die Pflichten von Plattformbetreibern unter der DSGVO. Es macht deutlich, dass Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen müssen, um Daten vor unbefugtem Zugriff zu schützen. Bei Verstößen können betroffene Personen Schadensersatzansprüche geltend machen, auch wenn es sich um immaterielle Schäden handelt. Facebook wurde hier exemplarisch für unzureichenden Datenschutz und mangelhafte Kommunikation bestraft.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530