Datum: 28 Dezember 2023
Spätestens seit den weltweit auftretenden Datenlecks bei dem von Meta betriebenen Dienst Facebook hat der Begriff des „Data Scraping“ vermehrt an Aufmerksamkeit gewonnen. Das automatisiert und oft durch Bots ausgeführte „Zusammenkratzen“ von Daten bedeutet das umfangreiche Extrahieren von öffentlich zugänglichen Daten auf Plattformen, um die dadurch erlangten Informationen zum Beispiel auszuwerten, zu verarbeiten oder zu verkaufen. Das Zusammentragen von im Internet öffentlich auffindbaren Informationen ist nicht grundsätzlich rechtswidrig und in vielen Fällen für die bessere Systematisierung und sinnvolle Nutzung von Informationen sogar nützlich. Nichts anderes geschieht auch dann, wenn Suchmaschinen Webseiteninhalte im Internet katalogisieren. Harmlos wird das Scraping allerdings nur dann eingesetzt, soweit es öffentlich zugängliche allgemeine Daten betrifft.
Von der massenhaften Extrahierung können aber auch personenbezogene Daten von Plattformnutzern oder sensible Daten der Kundendatenbank eines Unternehmens erfasst sein. Werden solche Daten offengelegt, weil die notwendigen Sicherheitsvorkehrungen Lücken aufweisen, kann das Webscraping von Dritten böswillig eingesetzt werden, um die Sicherheitslücken zur Sammlung sensibler Daten auszunutzen. Nutzern und Unternehmen drängt sich daher die Frage auf, inwieweit den Kunden Schadensersatzansprüche bei Datenlecks zustehen. Besonders interessant ist dabei seit einiger Zeit die Frage nach immateriellen Schadensersatzansprüchen bei einem DSGVO-Verstoß und in diesem Zusammenhang, ob den Betroffenen überhaupt ein ersatzfähiger Schaden entstanden ist. Während bislang die Vielzahl der immateriellen Schadensersatzklagen von Facebook-Nutzern aus Art. 82 DSGVO im Zusammenhang mit Data Scraping-Vorfällen von den allgemeinen Zivilgerichten abgewiesen wurde, tendieren die Arbeitsgerichte zu einer großzügigeren Linie. So hatte das Arbeitsgericht Duisburg Anfang des Jahres 2023 einem Kläger infolge eines Verstoßes gegen die DSGVO einen Schadensersatz in Höhe von 10.000 € zugesprochen (Urt. v. 23.03.2023, Az.: 3 Ca 44/23). Diese unterschiedliche Handhabung führte zu Rechtsunsicherheit für Unternehmen und Nutzer. Können Betroffene nun mit solch hohen Schadensersatzansprüchen bei Datenlecks rechnen?
Die Folgen von (fahrlässigen) Datenlecks für Nutzer sind vielseitig und können als unerwünschte Anrufe, E-Mails oder SMS ausgestaltet sein. Die Schwierigkeit besteht allerdings darin, nachzuweisen, dass diese Nachrichten tatsächlich ursächlich auf das Datenleck zurückzuführen sind. Zentral im Fall des Data Scrapings von personenbezogenen Daten ist zudem die Frage, ob ein Verlust der Kontrolle über die Daten und die Furcht vor missbräuchlicher Datenverwendung als individueller Schaden ausreichen. Die DSGVO selbst setzt für einen Schadensersatzanspruch das Vorliegen von „erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen“ voraus, was jedenfalls bei einem folgenlosen Datenleck, das einige Zeit zurückliegt und nicht zu einer nachweislich missbräuchlichen Datenverwendung geführt hat, nicht zutreffen kann. Zu bedenken ist bei dieser Beurteilung auch, dass die betroffenen Daten bei Data Scraping typischerweise von Anfang an öffentlich im Internet zugänglich waren und gerade nicht wie bei Hacking unbefugt gegen den Willen von Nutzer und Anbieter durch Überwindung von Zugangsbeschränkungen erlangt werden.
Gemäß Art. 82 Abs. 1 DSGVO hat „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, […] Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Von den zahlreichen Klagen der Facebook-Nutzer auf Schadensersatz nach Art. 82 Abs. 1 DSGVO in Folge des Datenlecks scheiterte die große Mehrheit. Und auch in jüngsten Entscheidungen zu Data Scraping-Verstößen wurden Klagen auf einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO mangels eines nachweisbaren Schadens abgewiesen. Ansprüche im Zusammenhang mit den Datenlecks bei Facebook scheiterten zuletzt beispielsweise vor dem OLG Stuttgart (Urt. V. 23.11.2023 – Az.: 4 U 17/23; 4 U 20/23) an einer spürbaren materiellen Beeinträchtigung der Nutzer, die nur „Lästigkeiten und Unannehmlichkeiten“ anführten. Auch das OLG Hamm blieb bei seiner bisherigen Marschroute und lehnte am 22. September 2023 (OLG Hamm, Beschl. 22.09.2023 - Az.: 7 U 77/23) erneut einen DSGVO-Schadensersatzanspruch in den Facebook Data Scraping-Fällen ab. Es bedürfe eines konkreten, hinreichend dargelegten und auf das bestimmte Datenleck zurückzuführenden Schadens im Einzelfall. Ein rein pauschal vorgetragener Kontrollverlust oder der Vortrag der abstrakten Furcht vor Missbrauch ohne persönliche oder psychologische Beeinträchtigungen seien ungenügend. Als Beispiele rein pauschaler Beeinträchtigungen nennt das Urteil Empfindungen wie „Ängste, Stress, Komfort- und Zeiteinbußen“. Das Gefühl eines Kontrollverlustes über die persönlichen Daten, eines Beobachtetwerdens und einer Hilflosigkeit reiche nicht aus, selbst bei ungewollter missbräuchlicher Veröffentlichung von Namen und Handynummern. Der Datenmissbrauch wiege nicht so schwer, dass ohne Weiteres von einem Schaden ausgegangen werden könne.
Umstritten war zunächst, ob bereits der bloße Verstoß gegen die DSGVO einen immateriellen Schadensersatzanspruch begründet – einmal ganz abgesehen von der Frage, ob Data Scraping überhaupt von einem DSGVO-Tatbestand erfasst wird – und ob von einer Gefährdungs- oder Verschuldenshaftung auszugehen ist, bzw. ob der Plattformbetreiber sich durch ausreichende Sicherheitsstandards exkulpieren kann. Überwiegend wird nun in der Rechtsprechung davon ausgegangen, dass über den bloßen Verstoß hinaus der Nachweis eines konkreten Schadens in Form einer persönlichen bzw. psychologischen Beeinträchtigung erforderlich ist. So urteilte auch der Europäische Gerichtshof (Urt. v. 04.05.2023, Az.: C-300/21 – Österreichische Post), dass für einen immateriellen Schadensersatzanspruch ein individueller kausaler Schaden bestehen muss, denn nicht jeder DSGVO-Verstoß stelle automatisch einen Schaden dar. Der EuGH hat insoweit vorgegeben, dass für den Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO keine Erheblichkeits- oder Bagatellschwelle gilt, solange eine tatsächliche immaterielle Beeinträchtigung festgestellt werden kann. In seinen beiden jüngsten Urteilen in diesem Zusammenhang (Urt. v. 14.12.2023 - Az.: C-340/21; Urt. v. 14.12.2023 - Az.: C-456/22) hat der EuGH die Kriterien für einen Schaden nun nochmals konkretisiert und lässt grundsätzlich immaterielle Schäden sowie rein subjektive Beeinträchtigungen unter Art. 82 DSGVO ausdrücklich zu. Der Nachweis einer objektiven Beeinträchtigung dürfe nicht von dem Betroffenen verlangt werden. Lediglich Lästigkeiten und subjektive Unannehmlichkeiten sowie ein pauschal nicht näher konkretisierter Kontrollverlust können noch keine Beeinträchtigung begründen. Im Einzelfall ist eine Abwägung zu treffen.
Festzuhalten ist das Vorliegen einer Mehrheit von Entscheidungen mit abgewiesen Schadensersatzklagen in den Facebook Data Scraping-Fällen. Die den immateriellen Schadensersatz gewährenden Entscheidungen weisen ein interessantes Repertoire an unterschiedlichen Schadensersatzsummen mit Ansprüchen von 100 € bis 10.000 € auf, wie zuletzt von dem Arbeitsgericht Duisburg zuerkannt. Letztere Summe scheint jedoch nicht den in Zukunft zu erwartenden Streitwert für solche Fälle abzubilden, zumal das Urteil durch das Landesarbeitsgericht Düsseldorf (Urt. v. 28.11.2023 - Az.: 3 Sa 285/23) ebenfalls mangels eines konkret vorgetragenen Schadens aufgehoben wurde. Die meisten Fälle werden sich im unteren Rahmen zwischen 100 € und 1.000 € ansiedeln, sodass die Amtsgerichte in erster Instanz zuständig bleiben.
Um mit Schadensersatzansprüchen umzugehen und sich davor zu schützen, sollten Unternehmen sich bewusst machen, dass grundsätzlich jeder DSGVO-Verstoß geeignet sein kann, Schadensersatzpflichten auszulösen. Bereits das versehentliche Versenden von Daten an den falschen Empfänger oder eine unbefugte Offenlegung personenbezogener Daten im Cloud-Kontext kann dazu führen. Zudem ist Data Scraping als solches legal und durch technische Vorkehrungen grundsätzlich nicht vermeidbar, da hierbei typischerweise lediglich auf Webseiten öffentlich zugängliche Inhalte und Daten gesammelt werden. Webseitenbetreiber und Unternehmen mit Kundendatenbanken müssen daher jedenfalls ausreichende technische und organisatorische Maßnahmen ergreifen und Sicherheitslücken rechtzeitig erkennen, um die Offenlegung und das Data Scraping von personenbezogenen Nutzerdaten durch Dritte zu verhindern. Ansonsten drohen hohe Summen an Bußgeldern.
Aus Nutzersicht sollten Schadensersatzklagen wegen Data Scraping wie im Fall des Datenlecks bei Facebook vorerst keine allzu großen Hoffnungen entgegenbringen. Zumindest, soweit es um einen immateriellen Schaden geht. Die Mehrheit der Abweisung der Klagen zeigt die bestehenden Hürden für den Nutzer, einen Schaden und die Kausalität hinreichend darzulegen. Aussicht auf Erfolg besteht nur, sofern Nachweise vorliegen, die einen Schaden und die Zurückführung auf das Datenleck belegen. Dies wird wohl in einer Vielzahl der Fälle nicht gegeben sein. Sollte dem aber so sein, so ist mit einer Schadenssumme von bis zu 1.000 € zu rechnen.