Schadensersatz wegen missbräuchlichem Datenabgriff durch "Scraping"

Der Betreiber einer Social-Media-Plattform, der Datensätze seiner Nutzer nicht genügend gegen einen Angriff schützt, bei dem Daten von unbefugten Dritten ausgelesen und gespeichert werden ("Web-Scraping"), verstößt laut LG Ravensburg gegen die Datenschutzgrundverordnung. Der Angriff hätte durch "Captcha-Abfragen" verhindert oder jedenfalls erschwert werden können. Dabei stellen Bild- und Worträtsel fest, ob Mensch oder Maschine handelt.

Vermutlich zwischen 2018 und 2019 lasen Dritte – teilweise öffentlich zugängliche – personenbezogene Daten aus dem Datenbestand eines sozialen Netzwerks aus. Sie schafften es, den einzelnen Datensätzen konkrete Telefonnummern zuordnen, indem sie durch Missbrauch des Contact-Import-Tools der Seite massenhaft Nummern möglicher Nutzer eingaben und bei einem Treffer verknüpften. Dieses Werkzeug diente eigentlich dazu, durch einen Abgleich von gespeicherten Nummern in einem Telefon mit dem im Netzwerk hinterlegten Nummern Kontakt zu Bekannten herzustellen.

Anfang April 2021 veröffentlichten die Täter die Daten in einem "Hacker-Forum". Ein Betroffener verlangte mindestens 2.000 Euro Schadensersatz nach Art. 82 Abs. 1 DS-GVO. Der Internetkonzern habe keinerlei Sicherheitsvorkehrungen wie etwa Captcha-Abfragen getroffen.

Sicherheitscaptchas hätten Angriff verhindert oder wesentlich erschwert

Das LG Ravensburg gab dem Nutzer überwiegend Recht. Das Unternehmen müsse ihm als Verantwortliche nach Art. 4 Nr. 7 DS-GVO immateriellen Schadensersatz aus Art. 82 Abs. 1 DS-GVO in Höhe von 1.000 Euro zahlen.

Die Internetplattform habe gegen Art. 32 Abs. 1 DS-GVO (Sicherheit der Verarbeitung) verstoßen, da sie den Datensatz des Klägers nicht genügend gegen einen Angriff durch "Web-Scraping" geschützt habe. Dazu sei sie aber verpflichtet gewesen, etwa durch Verwendung von "Sicherheitscaptchas". Ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen wäre so laut LG verhindert oder jedenfalls wesentlich erschwert worden. Der nicht näher begründete Vortrag des sozialen Netzwerks, wonach es "eine Vielzahl von Maßnahmen zur Vermeidung von Scraping" unterhalte und diese laufend fortentwickele, - "Dazu gehören unter anderem auch Captchas,…" - sei als pauschale Bestreiten nach § 138 Abs. 3 ZPO zu werten und damit unbeachtlich.

Zudem habe das Unternehmen gegen Art. 33 Abs. 1 DS-GVO verstoßen, indem es den Datenschutzverstoß nicht unverzüglich – innerhalb von 72 Stunden nach Bekanntwerden – bei der zuständigen Behörde gemeldet habe, und außerdem gegen Art. 34 Abs. 1 DS-GVO, da es den Betroffenen nicht unverzüglich nach Bekanntwerden informiert habe. 

LG Ravensburg, Urteil vom 13.06.2023 - 2 O 228/22

Redaktion beck-aktuell, 20. Juli 2023.

Weiterführende Links

Aus der Datenbank beck-online

EuGH, Kein immaterieller Schadensersatz bei bloßem Verstoß gegen die DS-GVO, NJW 2023, 1930 (mit Anmerkung von Paal/Aliprandi NJW 2023, 1914)

LG Baden-Baden, Erfolglose Schadensersatzklage wegen öffentlich zugänglicher Nutzerdaten, GRUR-RS 2023, 3862

Pesch/Böhme, Artpocalypse now? – Generative KI und die Vervielfältigung von Trainingsbildern, GRUR 2023, 997

LG Essen, Verantwortlichkeit bei Daten-Scraping, GRUR-Prax 2023, 108 (mit Anmerkung von Grimm)

Schapiro/Zdanowiecki, Screen Scraping, Rechtlicher Status quo in Zeiten von Big Data, MMR 2015, 497

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.