25.02.2023

Die Datenschutzgrundverordnung (DSGVO) brachte viele Unsicherheiten, aber vor allem auch das Versprechen größerer Datensicherheit mit sich. Bei der Verwendung von persönlichen Daten scheinen viele Verbraucher besonders sensibilisiert zu sein. Im Falle eines Missbrauchs haben Geschädigte einen Anspruch auf Schadensersatz. Ob bei aller Vorsicht und berechtigter Skepsis jedoch bereits Ängste vor Datenmissbrauch ausreichen, um einen solchen Anspruch geltend machen zu können, musste das LG Gießen beantworten.

Datensammlung mittels Scraping

Ein Mann hatte im Rahmen einer Internet-Registrierung im Internet seinen Vor- und Nachnamen, sein Geburtsdatum und sein Geschlecht angegeben. Die Mitteilung einer Handynummer war zwar nicht zwingend erforderlich, trotzdem hatte der Mann sie auch angegeben. Dann sammelten Dritte unter Nutzung automatisierter Verfahren eine Vielzahl der auf der Plattform des Unternehmens verfügbaren öffentlichen Informationen (sog. „Scraping“). Diese Scraper fügten sodann den öffentlich zugänglichen Informationen aus dem betreffenden Profil des Nutzers die mit dem Konto verknüpfte Telefonnummer hinzu. Im April 2021 wurden die gescrapten Datensätze von über 500 Mio. Nutzern sowie die mit diesen Datensätzen verknüpften Telefonnummern frei zum Download bereitgestellt. 

Automatisierte Massenabfrage als Sicherheitslücke?

Unter den Datensätzen befanden sich auch die immer öffentlich zugänglichen Profilinformationen des Mannes und die mit seinem Konto verknüpfte Telefonnummer. Der Mann behauptete nun, das Unternehmen habe keinerlei Sicherheitsvorkehrungen getroffen, um ein Abgreifen seiner Daten zu verhindern. Dass eine automatisierte Massenabfrage möglich war, stelle eine Sicherheitslücke dar. Er habe einen erheblichen Kontrollverlust über seine Daten erlitten und leide unter großem Unwohlsein und Sorgen, da er einen Missbrauch befürchte. Schließlich klagte er einen immateriellen Schadensersatz i.H. von 1.000 € ein.

Schadenersatz nur bei Konkretisierung

Im Ergebnis wurde die Klage vor dem LG Gießen mit Urteil vom 3.11.2022 (Az.: 5 O 195/22) jedoch abgewiesen. Nach Auffassung des Gerichts reicht ein bloßer Verstoß gegen Vorschriften der DSGVO nicht aus, um bereits Schadenersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten Schadens. Allerdings sei es dabei nicht erforderlich, dass der eingetretene Schaden erheblich ist -– auch Bagatellschäden seien ersatzfähig.

zurück