Zum Inhalt springen
Home » Datenschutz-News » Scraping, Datenschutz und Schadensersatz: Ein Blick auf die BGH-Entscheidung

Scraping, Datenschutz und Schadensersatz: Ein Blick auf die BGH-Entscheidung

Der Bundesgerichtshof (BGH) hat mit seinem jüngsten Leitentscheid (Az. VI ZR 1024/20) eine wichtige Klärung zu den Themen Scraping, Datenschutz und Schadensersatz geschaffen. Die Entscheidung betrifft den Rechtsstreit zwischen Facebook (Meta) und Betroffenen, deren Daten ohne Erlaubnis im Rahmen eines Scraping-Vorfalls gesammelt wurden.

Der Hintergrund: Was ist Scraping?

Scraping bezeichnet das automatisierte Auslesen von Daten aus einer Website oder Datenbank. Diese Methode wird häufig genutzt, um große Mengen von Informationen zu extrahieren – beispielsweise für Marketingzwecke oder die Erstellung von Datenbanken. Im vorliegenden Fall betraf das Scraping personenbezogene Daten von Millionen Facebook-Nutzern. Die Daten wurden aus öffentlich einsehbaren Profilen gesammelt und missbräuchlich weiterverwendet.

Der Fall landete schließlich vor dem BGH, nachdem Betroffene Klage auf Schadensersatz erhoben hatten. Sie argumentierten, dass der Verlust ihrer Daten eine Verletzung ihres allgemeinen Persönlichkeitsrechts und der Datenschutz-Grundverordnung (DSGVO) darstelle.

Die Kernthemen des BGH-Verfahrens

Im Fokus der Entscheidung standen folgende zentrale Rechtsfragen:

  1. Liegt eine Verletzung der DSGVO vor?

 Der BGH musste prüfen, ob das Scraping als Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 und Art. 5 DSGVO einzuordnen ist.

2. Entsteht durch Scraping ein Anspruch auf Schadensersatz gemäß Art. 82 DSGVO?

Der Schadensersatzanspruch setzt voraus, dass eine unrechtmäßige Verarbeitung personenbezogener Daten vorliegt und dem Betroffenen daraus ein materieller oder immaterieller Schaden entstanden ist.

3. Welche Verantwortung trägt Facebook als Plattformanbieter?

Eine wichtige Frage war, ob Facebook ausreichende technische und organisatorische Maßnahmen getroffen hatte, um das Scraping zu verhindern, und ob eine Mitverantwortung im Rahmen von Art. 32 DSGVO vorliegt.

Die Entscheidung des BGH

Der BGH stellte fest, dass das Scraping tatsächlich eine Verletzung des Datenschutzrechts darstellt. Daten aus öffentlich einsehbaren Profilen fallen unter den Schutz der DSGVO, da sie Rückschlüsse auf die Identität und Persönlichkeit der betroffenen Nutzer erlauben. Diese Datenverarbeitung war weder durch eine Einwilligung noch durch eine andere Rechtsgrundlage gedeckt.

Schadensersatzansprüche nach Art. 82 DSGVO

Der BGH bejahte grundsätzlich die Möglichkeit eines Schadensersatzanspruchs. Dabei wurde klargestellt: Es genügt nicht, dass Betroffene sich auf ein bloßes „Unwohlsein“ berufen. Der Schaden muss eine fühlbare Beeinträchtigung darstellen, die das allgemeine Persönlichkeitsrecht konkret verletzt. Die Betroffenen müssen darlegen, inwiefern die unrechtmäßige Datenverarbeitung ihnen nachweislich geschadet hat. Allerdings genügt eine plausible Darstellung der Kausalität.

Der BGH hat jedoch auch die Vorstellungen der Kläger korrigiert. Der Schadensersatz bewege sich wohl nicht im Rahmen mehrerer Tausend Euro, sondern sei hier eher im Bereich 100€ anzusiedeln.

Verantwortung von Facebook

Das Gericht kritisierte die Sicherheitsmaßnahmen von Facebook und stellte fest, dass die Plattformbetreiber ihrer Verantwortung zur Sicherung personenbezogener Daten nicht ausreichend nachgekommen sind. Besonders im Hinblick auf Art. 32 DSGVO hätten stärkere Maßnahmen – wie eine Begrenzung von API-Zugriffen oder eine verbesserte Erkennung automatisierter Abfragen – getroffen werden müssen.

Konsequenzen für Unternehmen

Erhöhte Anforderungen an technische und organisatorische Maßnahmen

Unternehmen müssen sicherstellen, dass öffentlich zugängliche Daten nicht ohne weiteres abgegriffen werden können. Das Urteil verdeutlicht, dass Plattformbetreiber umfassende Schutzmaßnahmen implementieren müssen, um Datenschutzverletzungen vorzubeugen.

Risikomanagement und Haftung

Das Urteil erhöht den Druck auf Unternehmen, Datenschutzrisiken proaktiv zu managen. Eine unzureichende Sicherheitsstrategie kann nicht nur Bußgelder nach sich ziehen, sondern auch zu hohen Schadensersatzforderungen führen.

Was bedeutet das Urteil für Betroffene?

Betroffene sollten prüfen, ob sie Ansprüche geltend machen können, insbesondere wenn ein klarer Zusammenhang zwischen der Datenverarbeitung und einer konkreten Beeinträchtigung besteht.

Allerdings bleibt die praktische Umsetzung schwierig: Betroffene müssen nachweisen, dass der unrechtmäßige Zugriff auf ihre Daten tatsächlich zu einem Schaden geführt hat. Hier sind weitere Leitentscheidungen notwendig, um die Grenzen des immateriellen Schadensersatzes nach Art. 82 DSGVO zu präzisieren. Die zu erwartenden Summen werden zudem zumindest in vergleichbaren Fällen deutlich geringer sein als bisher angenommen.

Fazit: Datenschutzrecht im Fokus

Das Urteil des BGH zeigt, dass die DSGVO wirksam ist, um Betroffene vor der missbräuchlichen Nutzung ihrer Daten zu schützen, und verdeutlicht gleichzeitig die hohen Anforderungen an Unternehmen. Es bleibt abzuwarten, wie zukünftige Gerichte den immateriellen Schadensersatz weiter ausgestalten und welche weiteren Sicherheitsstandards von Unternehmen gefordert werden.

Das Thema bleibt spannend – und relevant für die Praxis.

Bildnachweis: KI generiert

AUTOR

Moritz Kolb ist als externer Datenschutzbeauftragter und Datenschutzberater bei der RMPrivacy GmbH für Unternehmen und öffentliche Stellen tätig. Darüber hinaus hat er als Rechtsanwalt und Rettungssanitäter besonderes Interesse für Rechtsfragen an den Schnittstellen zwischen Datenschutzrecht und Medizinrecht sowie Datenschutzrecht und Vereinsrecht.