Urteil : Kein Datenschutzverstoß wegen fehlender Schutzmaßnahmen vor Daten-Scraping : aus der RDV 1/2023 Seite 65 bis 66
(AG Strausberg, Urteil vom 13. Oktober 2022 – 25 C 95/21 –)
Die Erhebung öffentlich zugänglicher Daten durch Scraping ist nicht unbefugt bzw. unrechtmäßig. Verantwortliche trifft deshalb keine Pflicht, Schutzvorkehrungen gegen diesen Prozess zu implementieren.
(Nicht amtlicher Leitsatz)
Zum Sachverhalt:
Am 14.01.2014 rief der Kläger die Registrierungsseite der von der Beklagten betriebenen F.-Plattform auf mit dem Ziel, sich als Nutzer zu registrieren. Dort wurde er aufgefordert, seinen Vor- und Nachnamen, sein Geburtsdatum, sein Geschlecht und seine Nutzer-ID anzugeben. Weiter hieß es auf der Seite: „Indem du auf Registrieren klickst, … bestätigt (du) unsere Datenverwendungsrichtlinien … gelesen zu haben“. Die Datenverwendungsrichtlinien enthalten u.a. Angaben dazu, welche der vom Nutzer erteilten Informationen immer öffentlich zugänglich sind – nämlich Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID – und die Angabe, dass öffentlich zugängliche Informationen jeder, also auch Personen außerhalb von F., sehen kann. Wegen des weiteren Inhalts der Datenverwendungsrichtlinien wird auf die Anlage B 16 zum Beklagtenschriftsatz vom 31.08.2022 verwiesen. Der Kläger machte in der Folge die geforderten Angaben und registrierte sich als Nutzer. Neben den zwingend zu tätigenden Angaben teilte er auch seine Telefonnummer mit.
Als Nutzer der F.-Plattform war und ist es dem Kläger möglich, auf den auf der Plattform eingerichteten Hilfebereich zuzugreifen. Im Hilfebereich wird u.a. erläutert, was öffentliche Informationen sind und welche Informationen öffentlich sind, wie der Nutzer festlegen kann, wer die von ihm über die öffentlichen Informationen hinaus bereitgestellten Informationen sehen kann (sog. Zielgruppenauswahl) und wer ihn anhand seiner E-Mail-Adresse oder seiner Telefonnummer, sofern er E-Mail-Adresse bzw. Telefonnummer auf der F.-Plattform bereitgestellt hat, finden kann (sog. Suchbarkeits-Einstellungen). Trifft der Nutzer keine Zielgruppenauswahl, richtet sich die Zugänglichkeit seiner über die öffentlichen Informationen hinausgehenden Informationen nach der Standardeinstellung, wonach Freunde des Nutzers die weiteren Informationen einsehen können. Passt der Nutzer die Suchbarkeits-Einstellungen nicht an, sieht die Standardeinstellung vor, dass alle Personen, die über die E-Mail-Adresse oder die Telefonnummer des Nutzers verfügen, das F.-Profil des Nutzers, sofern dieser E-Mail-Adresse bzw. Telefonnummer bereitgestellt hat, finden.
In der Zeit von Januar 2018 bis September 2019 sammelten Dritte unter Nutzung automatisierter Verfahren eine Vielzahl der auf der F.-Plattform verfügbaren öffentlichen Informationen (sog. Scraping). Darüber hinaus erstellten die Scraper Listen mit möglichen Telefonnummern und luden diese in den Kontakt-Importer der F.-Plattform hoch, um festzustellen, ob die hochgeladenen Telefonnummern mit einem Konto eines F.-Nutzers verbunden sind. Der Kontakt-Importer gab, sofern eine der hochgeladenen Telefonnummern mit dem F.-Konto eines Nutzers, der seine Telefonnummer bereitgestellt und die Standard-Suchbarkeits-Einstellungen nicht geändert hatte, verknüpft war, diese Information, also den Umstand der Verknüpfung von Telefonnummer und F.-Konto, an die Scraper. Die Scraper fügten sodann den öffentlich zugänglichen Informationen aus dem betreffenden F.-Profil des Nutzers die mit dem F.-Konto verknüpfte Telefonnummer hinzu.
Im April 2021 wurden die gescrapten Datensätze von über 500 Mio. F.-Nutzern sowie die mit diesen Datensätzen verknüpften Telefonnummern frei zum Download bereitgestellt. Hierzu gehörten auch die immer öffentlich zugänglichen Informationen des F.-Profils des Klägers und die mit seinem F.-Konto verknüpfte Telefonnummer.
Aus den Gründen:
3. Der Kläger kann den geltend gemachten Schmerzensgeldanspruch auch nicht auf einen Verstoß gegen Art. 5 Abs. 1 lit. f) DS-GVO stützen. Denn die Beklagte hat nicht gegen die ihr dort auferlegte Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen.
a. Die immer öffentlich zugänglichen Informationen des F.-Profils des Klägers sind zwar von Dritten erhoben (gescrapt) und also verarbeitet worden i.S.d. Art. 4 Nr. 2 DS-GVO. Allerdings war die Beklagte nicht verpflichtet, diese Daten vor der Verarbeitung durch die Scraper zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des Klägers, nämlich seinem Namen, seinem Geschlecht und seinem Benutzernamen, um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnlichem abrufbar sind. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig.
Auch das Vorbringen des Klägers, ihm seien zum Zeitpunkt seiner Registrierung als Nutzer die Standardeinstellungen auf der F.-Plattform nicht bekannt gewesen, rechtfertigt nicht die Annahme, die Beklagte habe gegen ihr obliegende Schutzpflichten verstoßen. Denn die Beklagte durfte und musste davon ausgehen, dass dem Kläger bekannt ist, dass sein Name, sein Geschlecht und sein Benutzername für jedermann abrufbar ist und hatte daher keine Veranlassung, diese Daten vor der Erhebung durch Dritte zu schützen. Die Beklagte hat nämlich den Kläger, bevor dieser sich auf der F.-Plattform registrieren konnte, auf ihre Datenverwendungsrichtlinien hingewiesen und der Kläger hat vor seiner Registrierung bestätigt, diese gelesen zu haben. Die seinerzeit maßgeblichen Datenverwendungsrichtlinien der Beklagten enthielten die Information, dass u.a. der Name, das Geschlecht und der Nutzername des Nutzers immer öffentlich zugänglich sind und also von jeder Person gesehen werden kann.
Der von den Scrapern unter Nutzung des Kontakt-Importers der F.-Plattform hergestellte Abgleich zwischen der von ihnen hochgeladenen Telefonnummer des Klägers mit seinem F.-Konto stellt zwar eine Verarbeitung i.S.d. DS-GVO dar. Jedoch war die Beklagte nicht verpflichtet, das F.-Konto des Klägers vor dessen Auffinden über die Telefonnummer des Klägers zu schützen, da der von den Scrapern hergestellte Abgleich als solcher nicht unbefugt bzw. unrechtmäßig war.
Der Kläger hat der Beklagten seine Telefonnummer bereitgestellt, die die Beklagte im Rahmen der SuchbarkeitsEinstellungen verwendete, um festzulegen, welche Personen das F.-Konto des Klägers anhand dessen Telefonnummer finden können, nämlich alle Personen. Der von den Scrapern veranlasste Abgleich war folglich jeder Person, die – wie die Scraper – über die Telefonnummer des Klägers verfügte, möglich und ist damit nicht unbefugt bzw. unrechtmäßig.
Dass dem Kläger nach seinem Vorbringen nicht bekannt war, dass alle Personen über seine Telefonnummer sein F.- Konto finden, hat nicht zur Folge, dass die Beklagte verpflichtet war, Schutzmaßnahmen zu ergreifen, die das F.-Konto des Klägers vor einem Auffinden über seine Telefonnummer schützen. Denn die Beklagte musste annehmen, dass dem Kläger bekannt ist, dass sein F.-Konto über seine Telefonnummer für jedermann aufzufinden ist. Der Kläger nämlich hat vor seiner Registrierung bestätigt, die Datenverwendungsrichtlinien der Beklagten gelesen zu haben. Diese enthalten unter der Überschrift „Auffinden deiner Person auf F.“ die Information, dass es die Beklagte allen Personen, die über die Telefonnummer des F.-Nutzers verfügen, gestattet, den Nutzer auf F. zu finden. Weiter heißt es, dass der Nutzer über seine Privatsphäre-Einstellungen auswählen kann, wer mithilfe der Telefonnummer des Nutzers nach diesem suchen kann. Der Kläger hatte es also in der Hand, unter Zuhilfenahme des jedem Nutzer der F.-Plattform zugänglichen Hilfebereichs die Suchbarkeits-Einstellungen für sein F.-Konto zu ändern und dahin anzupassen, dass nicht alle Personen, die seine Telefonnummer hochladen, sein F.-Konto auffinden.