28.11.2024
BGH zu Scraping: Was Unternehmen jetzt wissen müssen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein Grundsatzurteil im sogenannten Scraping-Komplex verkündet. Das Urteil war mit Spannung erwartet worden, nachdem der BGH die Entscheidung zur Leitentscheidung bestimmt und in der mündlichen Verhandlung hatte durchblicken lassen, dass er sich verbraucherfreundlich positionieren würde. Wir erklären, worüber der BGH entschieden hat, wie er entschieden und welche Folgen die Entscheidung für Unternehmen hat.
Worüber hat der BGH entschieden?
Die Entscheidung betrifft einen Vorfall aus dem Jahr 2021.
Bis Ende 2019 konnten Facebook-Nutzer in ihrem Profil freiwillig Daten wie die Telefonnummer hinterlegen. Über die Konto-Einstellungen konnten sie dann auswählen, (1) ob ihr Konto anhand dieser Daten von Dritten gefunden werden und (2) wer die Daten einsehen kann. Wurden keine Einstellungen getroffen, so richteten sich Auffindbarkeit und Einsehbarkeit nach den Voreinstellungen des Konzerns. Beispielsweise konnten alle Nutzer andere Nutzer standardmäßig anhand ihrer Telefonnummer finden.
Darüber hinaus stellte Facebook seinen Nutzern ein Contact-Importer-Tool (CIT) zur Verfügung. Nutzer hatten so die Möglichkeit, Kontakte von ihren Mobilgeräten hochzuladen, um mit Hilfe der Telefonnummer andere Nutzer zu finden, und zwar auch dann, wenn diese Nummer nicht öffentlich einsehbar war.
Im April 2021 wurden dann persönliche Daten von rund 533 Millionen Facebook-Nutzern im Internet veröffentlicht. Dabei handelte es sich unter anderem um Name, Geschlecht, Beziehungsstatus, Wohnort und Telefonnummer. Vermutlich hatten Unbekannte das CIT genutzt, um zu prüfen, welche Telefonnummern mit Facebook-Konten verbunden sind, und die öffentlichen Informationen dann mit den – nun abgeglichenen – Telefonnummern verknüpft.
Es handelt sich also nicht um eine klassische Datenpanne, sondern um einen unbefugten Datenabgleich und die anschließende Veröffentlichung der abgeglichenen Daten. Gleichwohl sind viele Feststellungen, die die Gerichte in dem Verfahren getroffen haben, auf andere Konstellationen übertragbar.
Einer der Betroffenen klagte dann gegen Facebook und forderte das Unternehmen unter anderem dazu auf, ihm immaterielle Schäden in Höhe von mindestens 1.000,00 Euro zu ersetzten; außerdem beantragte er, festzustellen, dass die Beklagte auch zukünftige Schäden zu ersetzen habe.
Zur Begründung führte er im Wesentlichen aus, dass Facebook keine angemessenen Sicherheitsmaßnahmen getroffen habe. Aufgrund der unübersichtlichen Einstellungsmöglichkeiten sei stets davon auszugehen gewesen, dass Nutzer die Voreinstellungen des Konzerns beibehielten. Die Beklagte habe aber keine datenschutzfreundlichen Voreinstellungen getroffen und damit gegen die Grundsätze „Privacy by Design“ und „Privacy by Default“ verstoßen. Darüber hinaus sei der Kläger über den Vorfall nicht hinreichend informiert worden und eine Meldung an die Datenschutzbehörden unterblieben. Er habe einen erheblichen Kontrollverlust über seine Daten erlitten und verbleibe in einem Zustand großen Unwohlseins sowie großer Sorge über möglichen Missbrauch seiner Daten.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Wie hat der BGH entschieden?
Das erstinstanzlich angerufen Landgericht Bonn hatte dem Kläger noch 409,94 EUR zugesprochen. Erst das Berufungsgericht gab dem Konzern recht. Facebook seien zwar diverse Verstöße gegen die DSGVO vorzuwerfen. Allerdings reiche der Vortrag des Klägers nicht aus, um einen immateriellen Schaden zu begründen. Entscheidend war letztlich, dass der vom Kläger behauptete Kontrollverlust lediglich die „negative Folge“ des Datenschutzverstoßes der Beklagten sei und bei verständiger Würdigung kein Grund bestehe, mit dem künftigen Eintritt eines Schadens zu rechnen.
Der BGH hat die Entscheidung des Oberlandesgerichts Köln (OLG) in mehreren Punkten aufgehoben:
1. Verletzung der DSGVO
Der BGH konnte über die Verletzung der DSGVO nicht selbst entscheiden, da das Berufungsgericht keine entsprechenden Feststellungen getroffen hatte. Die Sache wurde daher zur neuen Verhandlung und Entscheidung an das OLG Köln zurückverwiesen. Gleichwohl hat der BGH dem Berufungsgericht einige Hinweise erteilt: Der Verantwortliche habe durch geeignete Maßnahmen sicherzustellen, dass personenbezogene Daten nur dann verarbeitet werden, wenn ihre Verarbeitung für den Verarbeitungszweck erforderlich ist. Diese Verpflichtung gelte für die Menge der Daten, den Umfang der Verarbeitung und die Speicherfrist. Sie gelte aber auch für die Zugänglichkeit der Daten. Daher verletzte die von der Beklagten vorgenommene Voreinstellung – die Auffindbarkeit für „alle“ – den Grundsatz der Datenminimierung.
2. Immaterieller Schaden und Feststellungsinteresse
Der BGH stellt weiter fest, dass „schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen“ könne, und zwar „ohne dass dieser Begriff des ‚immateriellen Schadens‘ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert“ (S. 14 f Rn. 30). Vor diesem Hintergrund sei der Vortrag des Klägers ausreichend. Er habe angegeben, seine Telefonnummer nicht wahl- und grundlos im Internet zugänglich zu machen und wegen des Scraping-Vorfalls in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch der ihn betreffenden Daten verblieben zu sein.
Darüber hinaus reiche auch die bloße Möglichkeit eines künftigen Schadenseintritts aus, um ein Feststellungsinteresse zu begründen, weil es nicht um Vermögensschäden, sondern letztlich um Grundrechte gehe.
3. Höhe des Schadens
Schließlich enthält das Urteil auch konkrete Hinweise zur Berechnung des Schadens im Hinblick auf einen Kontrollverlust. Der Tatrichter habe bei der Schätzung der Schadenshöhe insbesondere folgende Gesichtspunkte zu berücksichtigen: die Sensibilität der Daten; ihre typischerweise zweckgemäße Verwendung; die Art und die Dauer des Kontrollverlusts; sowie etwaige Möglichkeiten der Wiedererlangung der Kontrolle (zum Beispiel durch Rufnummernwechsel). Eine Festsetzung in einstelliger Höhe sei mit dem europarechtlichen Effektivitätsgrundsatz nicht vereinbar. Ein Beitrag in der Größenordnung von 100,- EUR begegnet dagegen keinen rechtlichen Bedenken.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Welche Folgen hat die Entscheidung für Unternehmen?
Die Folgen, die die Entscheidung für Unternehmen hat, sind bislang schwer abzusehen.
Verbraucherschützer und Unternehmensvertreter haben die Entscheidung jeweils als Erfolg verbucht: Verbraucherschützer, weil der BGH dem Grunde nach klargestellt hat, dass bereits der bloße Kontrollverlust ein immaterieller Schaden sein kann; Unternehmensvertreter, weil die vom BGH aufgerufenen zehn bis 100,- EUR nur geringe Anreize für Massenklagen schaffen – möglicherweise wird die Ende 2023 eingeführte Abhilfeklage hier in Zukunft eine größere Rolle spielen.
In jedem Fall hat die Entscheidung die Verteidigungsmöglichkeiten von Unternehmen stark eingeschränkt und das Risiko, nach einem Datenschutz-Vorfall Schadensersatz leisten zu müssen, massiv erhöht. Daher müssen Unternehmen nun noch stärker in Prävention investieren – insbesondere in technische und organisatorische Maßnahmen (TOM) zur Einhaltung datenschutzrechtlicher Grundsätze.
So können wir Sie unterstützen
Unsere erfahrenen Expertinnen und Experten unterstützen Sie bei der Prävention von Datenschutz-Vorfällen und vor Gericht:
- Wir prüfen, ob ihre Einstellungen und TOMs den rechtlichen Vorgaben entsprechen und identifizieren entsprechende Risiken.
- Wir helfen Ihnen dabei, erkannte Risiken zu minimieren und die Datenschutz-Grundverordnung (DSGVO) pragmatisch umzusetzen.
- Wir unterstützten Sie im Ernstfall: von der Meldung eines Datenschutz-Vorfalls über die Krisenkommunikation bis hin zur Vertretung vor Behörden und Gerichten.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Weitere Experten zum Thema
Weitere Neuigkeiten
28.11.2024
BGH zu Scraping: Was Unternehmen jetzt wissen müssen
18.11.2024
BGH-Urteil zur Haftung von Online-Marktplätzen: Betreiber haften wie Sharehoster
04.11.2024