Legt man bei Facebook einen Account an, kann man in seinen Profilinformationen persönliche Daten zu sich hinterlegen. Das können Wohnort, Geburtsdatum oder Arbeitgeber sein. Die User können selbst über ihre Datenschutzeinstellungen entscheiden, ob diese Daten jedem angezeigt werden oder nur einem eingeschränkten Kreis. Daten, die öffentlich einsehbar sind, dürfen jedoch durch Dritte damit nicht automatisch abgegriffen werden (sog. Scraping). Zwei Gerichte hatten zu entscheiden, inwiefern Facebook hier in der Mitverantwortung steht.
Und täglich grüßt das Murmeltier: Datenlecks bei Facebook
Beim Scraping werden typischerweise öffentlich zugängliche Daten gesammelt. Scraping unterscheidet sich insofern, als die Scraper Verfahren einsetzen, um in großem Umfang Daten zu sammeln. Das Sammeln von Daten über diese automatisierten Methoden ist durch die Facebook-Nutzungsbedingungen eigentlich verboten. Trotzdem kam es 2021 zu einem Scraping-Vorfall, bei dem die abgegriffenen Daten von rund 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet öffentlich verbreitet wurden (wir berichteten). Und dieser Vorfall soll nicht der letzte gewesen sein.
Schadensersatzansprüche gegen Facebook durch Scraping-Angriffe
Einer der Betroffenen zog Facebook nun vor Gericht dafür zur Verantwortung. Er fand ebenfalls die auf seinem Profil öffentlich zugänglich gemachten Informationen und die mit seinem Konto verknüpfte Telefonnummer auf Webseiten mit illegalen Aktivitäten wieder. Er behauptet, seine Daten auf „Privat“ gestellt zu haben. Bei der Sichtbarkeit seiner Telefonnummer habe er die Einstellung „nur ich“ gewählt.
Das „scrapen“ sei nur möglich gewesen, weil Facebook keinerlei Sicherheitsmaßnahmen vorgehalten habe, um ein Ausnutzen des bereitgestellten Tools zu verhindern und weil die Einstellungen zur Sicherheit der Telefonnummer auf Facebook so undurchsichtig und kompliziert gestaltet seien, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne. Der gesamte Anmeldevorgang sei intransparent und für den Anwender verwirrend. Schließlich war ein DSGVO-Verstoß der Anlass zu dieser Klage.
Facebook sei freiwillig genutzte Plattform
Jedoch war die Klage ohne Erfolg. Ein Anspruch auf Ersatz des immateriellen Schadens in der geltend gemachten Höhe von 1.000 Euro steht dem Betroffenen nicht zu (Urteil des LG Memmingen vom 09.03.2023, Az.: 35 0 1036/22). Ein Verstoß gegen die Transparenzpflichten könne man Facebook nicht nachsagen. Im Gegenteil machen die vielen Informationspflichten es geradezu unumgänglich, dass Facebook so umfassende Einstellmöglichkeit in Bezug auf die Daten anbietet. Es sei auch zu berücksichtigen, dass es sich um eine freiwillig von dem Accountinhaber genutzte Plattform handele und er auch die entsprechenden Daten weitestgehend freiwillig hinterlegt habe.
Facebook habe auch nicht gegen die Verpflichtung verstoßen, die Sicherheit der Datenverarbeitung zu gewährleisten. Die Plattform sei nicht verpflichtet gewesen, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen der Profilinhaber aufgrund deren selbst gewählten Einstellungen zu verhindern.
Kurz zuvor urteilte das Landgericht Offenburg (Urteil vom 28.02.2023, Az.: 2 O 98/22) ähnlich. Die Abschöpfung öffentlicher Daten durch Scraping sind Facebook nicht anzulasten. Auch in dem Fall hatte sich der Accountinhaber selbst entscheiden, die gescrapten Daten bei Facebook zu hinterlegen und zu veröffentlichen.
Kommentar schreiben