LG Ravensburg: 1.000 EUR Schadensersatz nach Art. 82 DSGVO wegen Scraping von personenbezogenen Daten aus Sozialem Netzwerk

Veröffentlicht von

So das Gericht in seinem Urteil vom 16. April 2024 (Az.: 2 O 140/23) in einem Rechtsstreit, in dem neben dem Anspruch nach Art. 82 I DSGVO auch weitere Ansprüche, unter anderem auf Unterlassung, geltend gemacht worden waren. Das Gericht begründet dies unter anderem mit Verstößen gegen Art. 32 I , Art. 33 I und Art. 34 I DSGVO und führt in den Entscheidungsgründen unter anderem aus:

„…Die Beklagte hat gegen Art. 32 Abs. 1 DS-GVO verstoßen, da sie den Datensatz des Klägers nicht genügend gegen einen Angriff durch „Web-Scraping“ geschützt hat. Durch Verwendung von „Sicherheitscaptchas“ wäre ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen verhindert oder jedenfalls wesentlich erschwert worden. Die Beklagte hat nicht konkret behauptet, dass sie bei dem CIT (Contact-Import-Tool) konkret „Sicherheitscaptchas“ verwendet hat. Sie hat auf Seite 77 Rz. 83 ihrer Klagerwiderung nur pauschal vorgetragen:

„Des Weiteren nutzte die Beklagte Captcha-Abfragen im relevanten Zeitraum. Captcha ist eine Abkürzung für „Completely Automated Public Turing Test to tell Computers and Humans Apart“ (auf Deutsch: Vollständig automatisierter öffentlicher TuringTest, um Computer von Menschen zu unterscheiden). Wie der Name schon sagt, handelt es sich um eine Möglichkeit herauszufinden, ob hinter einer Anfrage ein menschlicher Nutzer steht oder nicht. Insofern tragen Captchas zu den Anti-Scraping-Maßnahmen der Beklagten bei.“

Dieses pauschale Behaupten ist gem. § 138 Abs. 3 ZPO unbeachtlich.

Die Beklagte hat auch nicht konkret vorgetragen, dass sie gleichwertige Maßnahmen ergriffen hat, um die naheliegende Möglichkeit des Missbrauchs des CIT (Contact-Import-Tool) zu verhindern. Die nach dem Vorbringen der Beklagten erfolgten Übertragungsbeschränkungen (Seite 75 Rz. 80 ihrer Klagerwiderung), die die Anzahl von Anfragen reduzieren, die pro Nutzer oder einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht werden können, sind offenkundig unzureichend, da sie den Datenabfluss nur verlangsamen, nicht verhindern.

2. Außerdem hat die Beklagte gegen Art. 33 Abs. 1 DS-GVO verstoßen, indem sie den Datenschutzverstoß nicht unverzüglich innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Behörde gemeldet hat, und außerdem gegen Art. 34 Abs. 1 DS-GVO, indem sie den Kläger nicht unverzüglich nach Bekanntwerden informiert hat. Die Beklagte hat diesen Vortrag des Klägers nicht qualifiziert bestritten, so dass der entsprechende Vortrag des Klägers gem. § 138 Abs. 3 ZPO als zugestanden gilt. Es liegt auch die zusätzliche Voraussetzung des Art. 34 Abs. 1 DS-GVO vor, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge haben muss, denn die persönlichen Daten des Klägers in Verbindung mit der Telefonnummer konnten durch Unbefugte insbesondere im Geschäftsverkehr missbraucht werden, einhergehend mit der Gefahr von Vermögensschäden für den Kläger…“

Hinweis:

Die Entscheidung ist nicht rechtskräftig, da Berufung vor dem OLG Stuttgart (Az.: 4 U 147/24) erhoben wurde.