Datensammlung mittels Scraping
Ein Mann hatte im Rahmen einer Internet-Registrierung im Internet seinen Vor- und Nachnamen, sein Geburtsdatum und sein Geschlecht angegeben. Die Mitteilung einer Handynummer war zwar nicht zwingend erforderlich, trotzdem hatte der Mann sie auch angegeben. Dann sammelten Dritte unter Nutzung automatisierter Verfahren eine Vielzahl der auf der Plattform des Unternehmens verfügbaren öffentlichen Informationen (sog. „Scraping“). Diese Scraper fügten sodann den öffentlich zugänglichen Informationen aus dem betreffenden Profil des Nutzers die mit dem Konto verknüpfte Telefonnummer hinzu. Im April 2021 wurden die gescrapten Datensätze von über 500 Mio. Nutzern sowie die mit diesen Datensätzen verknüpften Telefonnummern frei zum Download bereitgestellt.
Automatisierte Massenabfrage als Sicherheitslücke?
Unter den Datensätzen befanden sich auch die immer öffentlich zugänglichen Profilinformationen des Mannes und die mit seinem Konto verknüpfte Telefonnummer. Der Mann behauptete nun, das Unternehmen habe keinerlei Sicherheitsvorkehrungen getroffen, um ein Abgreifen seiner Daten zu verhindern. Dass eine automatisierte Massenabfrage möglich war, stelle eine Sicherheitslücke dar. Er habe einen erheblichen Kontrollverlust über seine Daten erlitten und leide unter großem Unwohlsein und Sorgen, da er einen Missbrauch befürchte. Schließlich klagte er einen immateriellen Schadensersatz i.H. von 1.000 € ein.
Schadenersatz nur bei Konkretisierung
Im Ergebnis wurde die Klage vor dem LG Gießen mit Urteil vom 3.11.2022 (Az.: 5 O 195/22) jedoch abgewiesen. Nach Auffassung des Gerichts reicht ein bloßer Verstoß gegen Vorschriften der DSGVO nicht aus, um bereits Schadenersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten Schadens. Allerdings sei es dabei nicht erforderlich, dass der eingetretene Schaden erheblich ist -– auch Bagatellschäden seien ersatzfähig.