Ver­mut­lich zwi­schen 2018 und 2019 lasen Drit­te – teil­wei­se öf­fent­lich zu­gäng­li­che – per­so­nen­be­zo­ge­ne Daten aus dem Da­ten­be­stand eines so­zia­len Netz­werks aus. Sie schaff­ten es, den ein­zel­nen Da­ten­sät­zen kon­kre­te Te­le­fon­num­mern zu­ord­nen, indem sie durch Miss­brauch des Con­ta­ct-Im­port-Tools der Seite mas­sen­haft Num­mern mög­li­cher Nut­zer ein­ga­ben und bei einem Tref­fer ver­knüpf­ten. Die­ses Werk­zeug dien­te ei­gent­lich dazu, durch einen Ab­gleich von ge­spei­cher­ten Num­mern in einem Te­le­fon mit dem im Netz­werk hin­ter­leg­ten Num­mern Kon­takt zu Be­kann­ten her­zu­stel­len.

An­fang April 2021 ver­öf­fent­lich­ten die Täter die Daten in einem "Ha­cker-Forum". Ein Be­trof­fe­ner ver­lang­te min­des­tens 2.000 Euro Scha­dens­er­satz nach Art. 82 Abs. 1 DS-GVO. Der In­ter­net­kon­zern habe kei­ner­lei Si­cher­heits­vor­keh­run­gen wie etwa Cap­t­cha-Ab­fra­gen ge­trof­fen.

Si­cher­heits­cap­t­chas hät­ten An­griff ver­hin­dert oder we­sent­lich er­schwert

Das LG Ra­vens­burg gab dem Nut­zer über­wie­gend Recht. Das Un­ter­neh­men müsse ihm als Ver­ant­wort­li­che nach Art. 4 Nr. 7 DS-GVO im­ma­te­ri­el­len Scha­dens­er­satz aus Art. 82 Abs. 1 DS-GVO in Höhe von 1.000 Euro zah­len.

Die In­ter­net­platt­form habe gegen Art. 32 Abs. 1 DS-GVO (Si­cher­heit der Ver­ar­bei­tung) ver­sto­ßen, da sie den Da­ten­satz des Klä­gers nicht ge­nü­gend gegen einen An­griff durch "Web-Scra­ping" ge­schützt habe. Dazu sei sie aber ver­pflich­tet ge­we­sen, etwa durch Ver­wen­dung von "Si­cher­heits­cap­t­chas". Ein An­griff durch ma­schi­nel­les Ab­fra­gen von Daten mit­tels Ein­ga­be von Num­mern­fol­gen wäre so laut LG ver­hin­dert oder je­den­falls we­sent­lich er­schwert wor­den. Der nicht näher be­grün­de­te Vor­trag des so­zia­len Netz­werks, wo­nach es "eine Viel­zahl von Maß­nah­men zur Ver­mei­dung von Scra­ping" un­ter­hal­te und diese lau­fend fort­ent­wi­cke­le, - "Dazu ge­hö­ren unter an­de­rem auch Cap­t­chas,…" - sei als pau­scha­le Be­strei­ten nach § 138 Abs. 3 ZPO zu wer­ten und damit un­be­acht­lich.

Zudem habe das Un­ter­neh­men gegen Art. 33 Abs. 1 DS-GVO ver­sto­ßen, indem es den Da­ten­schutz­ver­stoß nicht un­ver­züg­lich – in­ner­halb von 72 Stun­den nach Be­kannt­wer­den – bei der zu­stän­di­gen Be­hör­de ge­mel­det habe, und au­ßer­dem gegen Art. 34 Abs. 1 DS-GVO, da es den Be­trof­fe­nen nicht un­ver­züg­lich nach Be­kannt­wer­den in­for­miert habe.