Vermutlich zwischen 2018 und 2019 lasen Dritte – teilweise öffentlich zugängliche – personenbezogene Daten aus dem Datenbestand eines sozialen Netzwerks aus. Sie schafften es, den einzelnen Datensätzen konkrete Telefonnummern zuordnen, indem sie durch Missbrauch des Contact-Import-Tools der Seite massenhaft Nummern möglicher Nutzer eingaben und bei einem Treffer verknüpften. Dieses Werkzeug diente eigentlich dazu, durch einen Abgleich von gespeicherten Nummern in einem Telefon mit dem im Netzwerk hinterlegten Nummern Kontakt zu Bekannten herzustellen.
Anfang April 2021 veröffentlichten die Täter die Daten in einem "Hacker-Forum". Ein Betroffener verlangte mindestens 2.000 Euro Schadensersatz nach Art. 82 Abs. 1 DS-GVO. Der Internetkonzern habe keinerlei Sicherheitsvorkehrungen wie etwa Captcha-Abfragen getroffen.
Sicherheitscaptchas hätten Angriff verhindert oder wesentlich erschwert
Das LG Ravensburg gab dem Nutzer überwiegend Recht. Das Unternehmen müsse ihm als Verantwortliche nach Art. 4 Nr. 7 DS-GVO immateriellen Schadensersatz aus Art. 82 Abs. 1 DS-GVO in Höhe von 1.000 Euro zahlen.
Die Internetplattform habe gegen Art. 32 Abs. 1 DS-GVO (Sicherheit der Verarbeitung) verstoßen, da sie den Datensatz des Klägers nicht genügend gegen einen Angriff durch "Web-Scraping" geschützt habe. Dazu sei sie aber verpflichtet gewesen, etwa durch Verwendung von "Sicherheitscaptchas". Ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen wäre so laut LG verhindert oder jedenfalls wesentlich erschwert worden. Der nicht näher begründete Vortrag des sozialen Netzwerks, wonach es "eine Vielzahl von Maßnahmen zur Vermeidung von Scraping" unterhalte und diese laufend fortentwickele, - "Dazu gehören unter anderem auch Captchas,…" - sei als pauschale Bestreiten nach § 138 Abs. 3 ZPO zu werten und damit unbeachtlich.
Zudem habe das Unternehmen gegen Art. 33 Abs. 1 DS-GVO verstoßen, indem es den Datenschutzverstoß nicht unverzüglich – innerhalb von 72 Stunden nach Bekanntwerden – bei der zuständigen Behörde gemeldet habe, und außerdem gegen Art. 34 Abs. 1 DS-GVO, da es den Betroffenen nicht unverzüglich nach Bekanntwerden informiert habe.