AG Strausberg: Kein DSGVO-Schadensersatz gegen Facebook wegen Daten-Scraping durch Dritte

Speichern Dritte umfangreich öffentlich zugängliche Daten von Facebook (sog. Scraping), so hat ein User gegen Facebook keinen DSGVO-Schadensersatz, da es sich um eine erlaubte Datenverarbeitung handelt (AG Straussberg, Urt. v. 13.10.2022 - Az.: 25 C 95/21).

Der Kläger war User bei Facebook und verlangte wegen mehrerer Datenschutzverstöße eine Geldentschädigung von der Social-Media-Plattform Facebook. Er trug folgende Rechtsverletzungen vor:

- zu späte Datenschutzauskunft nach Art. 15 DSGVO
- fehlende Benachrichtigung nach Art. 34 DSGVO
- Datenschutzverstoß durch Ermöglichen des Scrapings durch Dritte
 

Das Gericht wies sämtliche Ansprüche zurück und wies die Klage ab.

1. Zu späte Datenschutzauskunft nach Art. 15 DSGVO / fehlende Benachrichtigung nach Art. 34 DSGVO:
In beiden Fällen sieht das Gericht den Anspruch bereits auf der Tatbestandsebene nicht gegeben.

Ein Schadensersatzanspruch nach Art. 82 DSGVO setze eine unerlaubte Datenverarbeitung voraus. Eine zu späte Datenschutzauskunft oder eine unterlassene Benachrichtigung falle hier nicht darunter:

"Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung (...).

Die verspätete Erteilung einer Datenauskunft ist aber keine Verarbeitung personenbezogener Daten i.S.d. Art. 4 Nr. 2 DS-GVO. Datenverarbeitung bezeichnet gemäß Art. 4 Nr. 2 DS-GVO nur jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung."

Und : 

"Die Verletzung von Benachrichtigungspflichten ist hingegen nicht erfasst.

 Der Kläger hat aus (...) aufgeführten Gründen auch keinen Anspruch auf Schmerzensgeld aus Art. 82 DS-GVO wegen eines etwaigen Verstoßes der Beklagten gegen die in Art. 34 DS-GVO geregelte Benachrichtigungspflicht."

2. Datenschutzverstoß durch Ermöglichen des Scrapings durch Dritte:

Auch hier verneinte das Gericht eine Rechtsverletzung:

"Die immer öffentlich zugänglichen Informationen des Facebook-Profils des Klägers sind zwar von Dritten erhoben (gescrapt) und also verarbeitet worden (...). Allerdings war die Beklagte nicht verpflichtet, diese Daten vor der Verarbeitung durch die Scraper zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des Klägers, nämlich seinem Namen, seinem Geschlecht und seinem Benutzernamen, um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnlichem abrufbar sind. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig.

Auch das Vorbringen des Klägers, ihm seien zum Zeitpunkt seiner Registrierung als Nutzer die Standardeinstellungen auf der Facebook-Plattform nicht bekannt gewesen, rechtfertigt nicht die Annahme, die Beklagte habe gegen ihr obliegende Schutzpflichten verstoßen. Denn die Beklagte durfte und musste davon ausgehen, dass dem Kläger bekannt ist, dass sein Name, sein Geschlecht und sein Benutzername für jedermann abrufbar ist und hatte daher keine Veranlassung, diese Daten vor der Erhebung durch Dritte zu schützen. Die Beklagte hat nämlich den Kläger, bevor dieser sich auf der Facebook-Plattform registrieren konnte, auf ihre Datenverwendungsrichtlinien hingewiesen und der Kläger hat vor seiner Registrierung bestätigt, diese gelesen zu haben. Die seinerzeit maßgeblichen Datenverwendungsrichtlinien der Beklagten enthielten die Information, dass u.a. der Name, das Geschlecht und der Nutzername des Nutzers immer öffentlich zugänglich sind und also von jeder Person gesehen werden kann."

Es liege auch kein Verstoß gegen die Datensicherheit vor:

"Art. 32 Abs. 1 i.V.m. Abs. 2 DS-GVO formt den allgemeinen Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DS-GVO) näher aus. Er verlangt Verarbeitungsprozessen ab, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u.a. davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten.

Die Beklagte hat gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, nicht verstoßen. Insbesondere war die Beklagte aus den unter Ziff. 3) dargelegten Gründen nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des F.-Profils des Klägers durch Dritte und einen von Dritten veranlassten Abgleich von von ihnen in den Kontakt-Importer der Facebook-Plattform hochgeladenen Telefonnummern mit der mit dem Facebook-Konto des Klägers verknüpften Telefonnummer zu verhindern."