24111 Kiel, Rendsburger Landstraße 436
+49 431 12807082
kanzlei@grafkerssenbrock.com

BGH-Urteil gegen Facebook – Scraping

Arbeitsrecht – Erbrecht - Schulrecht

BGH-Urteil gegen Facebook – Scraping

Urteil ArbG Mannheim zur Gleichbehandlung im Vorruhestand

Pressemitteilung zum Urteil vom 18. November 2024 – VI ZR 10/24

Was ist Scraping?

Scraping bezeichnet den automatisierten Zugriff auf öffentlich verfügbare Daten aus Websites oder Anwendungen durch spezialisierte Softwaretools, sogenannte „Scraper“. Ziel ist es, die auf einer Plattform angezeigten Informationen in strukturierter Form auszulesen, zu kopieren und weiterzuverwenden.

Technische Funktionsweise

Beim Scraping werden Anfragen an einen Server gesendet, der Daten liefert, die normalerweise für die Anzeige im Webbrowser bestimmt sind. Der Scraper verarbeitet diese Daten und speichert sie in einer anderen Form, etwa in einer Datenbank oder Tabelle.

  • HTML-Scraping: Auslesen der HTML-Struktur einer Webseite, um Inhalte wie Texte, Bilder oder Links zu extrahieren.
  • API-Scraping: Abruf von Daten über Programmierschnittstellen (APIs).
  • Erweiterte Techniken: Automatisiertes Testen von Eingaben (z. B. Telefonnummern) oder systematisches Auslesen zugänglicher Daten durch gezielte Anfragen.

Beispiel im Kontext von Facebook

Beim sogenannten „Scraping“-Vorfall bei Facebook (2021) wurden Telefonnummern zufällig generierter Zahlenfolgen eingegeben, um damit Facebook-Konten abzugleichen. Über die Kontakt-Import-Funktion konnten dann öffentlich zugängliche Informationen wie Namen, Geschlecht oder Arbeitsplätze der Nutzer extrahiert und mit den Telefonnummern verknüpft werden. Diese Vorgehensweise nutzte systematische Anfragen und die unzureichende Absicherung der Funktion aus.

Rechtliche Bewertung

  • Datenschutzrechtlich: Scraping kann gegen Datenschutzvorschriften, wie die DSGVO, verstoßen, insbesondere wenn personenbezogene Daten ohne rechtmäßige Grundlage erhoben oder weiterverarbeitet werden.
  • Urheberrechtlich: Das Scraping von Inhalten, die durch Urheberrecht oder Datenbankschutzrechte geschützt sind, ist ohne Genehmigung ebenfalls unzulässig.
  • Vertragsrechtlich: Viele Webseiten enthalten in ihren Nutzungsbedingungen ein Verbot des Scrapings, sodass eine Verletzung dieser Bedingungen auch zivilrechtliche Ansprüche begründen kann.

Grenzen und Herausforderungen

Während Scraping in bestimmten Fällen, etwa im Rahmen der Datenanalyse oder Marktbeobachtung, zulässig sein kann, wird es problematisch, wenn es die Rechte von Plattformbetreibern oder Dritten verletzt. Insbesondere in Bezug auf personenbezogene Daten, wie beim Facebook-Fall, führt Scraping oft zu einer Verletzung des Datenschutzes und einer Gefährdung der Privatsphäre der Betroffenen.

Sachverhalt zum Urteil

Der Bundesgerichtshof (BGH) entschied über Ansprüche eines Facebook-Nutzers, dessen personenbezogene Daten im Zuge eines sogenannten „Scraping“-Vorfalls öffentlich zugänglich gemacht wurden. Im April 2021 hatten unbekannte Dritte durch die Nutzung der Kontakt-Import-Funktion Telefonnummern zufällig generierten Zahlenfolgen zugeordnet und daraufhin die mit den Nutzerkonten verknüpften öffentlich sichtbaren Daten abgerufen. Insgesamt waren 533 Millionen Nutzer aus 106 Ländern betroffen, darunter der Kläger, dessen Telefonnummer mit seiner Nutzer-ID, seinem Namen, seiner Arbeitsstätte und seinem Geschlecht verknüpft wurde.

Der Kläger warf Facebook vor, keine hinreichenden Sicherheitsvorkehrungen getroffen zu haben, um den Missbrauch der Kontakt-Import-Funktion zu verhindern. Er forderte Schadensersatz für immaterielle Schäden gemäß Art. 82 Abs. 1 DSGVO, die Feststellung der Ersatzpflicht für künftige materielle und immaterielle Schäden sowie Unterlassungs- und Auskunftsansprüche.

Bisheriger Prozessverlauf

Das Landgericht Bonn sprach dem Kläger 250 € Schadensersatz zu, lehnte jedoch weitergehende Ansprüche ab. Das Oberlandesgericht Köln wies die Klage insgesamt ab und argumentierte, der bloße Kontrollverlust über personenbezogene Daten begründe keinen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO. Der Kläger habe zudem nicht ausreichend dargelegt, dass er durch den Vorfall psychisch beeinträchtigt worden sei.

Auf die Revision des Klägers bestimmte der BGH den Fall zum Leitentscheidungsverfahren nach § 552b ZPO n.F. und verhandelte am 11. November 2024 mündlich zur Sache.

Entscheidung des Bundesgerichtshofs

Der BGH gab der Revision des Klägers teilweise statt:

  1. Ersatz immaterieller Schäden:

    • Der BGH widersprach dem Berufungsgericht und stellte klar, dass bereits der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann. Eine konkrete missbräuchliche Verwendung der Daten oder weitere spürbare negative Folgen seien hierfür nicht erforderlich.
    • Für den vorliegenden Fall hielt der BGH einen Schadensausgleich von 100 € für angemessen.
  2. Feststellungs- und Unterlassungsansprüche:

    • Der Feststellungsantrag des Klägers auf Ersatz künftiger Schäden wurde als zulässig erachtet, da die Möglichkeit künftiger Schäden unter den gegebenen Umständen ohne Weiteres besteht.
    • Der Unterlassungsanspruch hinsichtlich der Verwendung der Telefonnummer des Klägers ohne Einwilligung war hinreichend bestimmt, sodass auch hier ein Rechtsschutzbedürfnis bestand.
  3. Weitere Ansprüche:

    • Die Revision hatte keinen Erfolg, soweit der Kläger Auskunft und weitergehende Unterlassung begehrte.

Im Umfang der erfolgreichen Revision verwies der BGH den Fall zur erneuten Verhandlung und Entscheidung an das Berufungsgericht zurück.

Wichtige Hinweise des Bundesgerichtshofs an das Berufungsgericht

  • Datenminimierung und Voreinstellungen:
    Die Voreinstellung der Suchbarkeit auf „alle“ verstößt vermutlich gegen den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO. Zudem ist zu prüfen, ob der Kläger wirksam in die Datenverarbeitung eingewilligt hat.
  • Schadensbemessung:
    Für die Bemessung des immateriellen Schadens nach § 287 ZPO wies der BGH darauf hin, dass ein Kontrollverlust bereits eine Entschädigung rechtfertigen kann, jedoch die Höhe verhältnismäßig zu bewerten sei.

Relevanz des Urteils

Das Urteil betont die Auslegung des Art. 82 DSGVO im Lichte der Rechtsprechung des EuGH und stärkt die Rechte Betroffener durch die Anerkennung immaterieller Schäden bei Kontrollverlust über Daten. Gleichzeitig setzt der BGH klare Maßstäbe für die Bemessung solcher Schäden und unterstreicht die Bedeutung datenschutzrechtlicher Grundprinzipien wie der Datenminimierung.

Art. 82 DSGVO Haftung und Recht auf Schadenersatz

  1. Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
  2. 1Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. 2Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
  3. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
  4. Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.
  5. Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht.
  6. Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind.

Vorinstanzen

  • LG Bonn, Urteil vom 29.03.2023 – 13 O 125/22
  • OLG Köln, Urteil vom 07.12.2023 – 15 U 67/23

Relevante Vorschrift

Art. 82 DSGVO: Anspruch auf Schadenersatz für materielle und immaterielle Schäden infolge eines DSGVO-Verstoßes.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Translate »