DA+

Urteil : Zum Umfang der Aufklärungspflicht nach Art. 13 DS-GVO mit Blick auf die Gefahr des Scrapings : aus der RDV 2/2023, Seite 125 bis 126

(LG Paderborn, Urteil vom 19. Dezember 2022 – 3 O 99/22 –)

Archiv RDV
Lesezeit 3 Min.

Hinweis: Wegen des besonderen Umfangs der Entscheidung wird das Urteil nachfolgend nur auszugsweise dargestellt. Einige vom Gericht behandelten Punkte bleiben daher unberücksichtigt.

  1. Eine Verletzung der Informations- und Aufklärungspflichten des Art. 13 Abs. 1 lit. c) DS-GVO ist nicht schon dann anzunehmen, wenn bei Erhebung der Mobilfunknummer eines Nutzers kein Hinweis seitens des Plattformbetreibers erfolgt, dass bei der voreingestellt für „Alle“ freigegebenen Mobilfunknummer die Möglichkeit einer missbräuchlichen Datenabgreifung besteht.
  2. Bei der Erhebung der Telefonnummer eines Nutzers muss der Betreiber einer Plattform den Nutzer nach Art. 13 Abs. 1 lit. c) DS-GVO über die Nutzung der Nummer für das Contact-Import-Tool (CIT) aufklären.
  3. Das Abschöpfen von Daten durch Scraping begründet einen Kontrollverlust über die betroffenen Daten und damit einen immateriellen Schaden, der die Bagatellgrenze überschreitet. Dieser wird durch die Verknüpfung der Daten mit der Telefonnummer des Nutzer weiter vertieft.

(Nicht amtliche Leitsätze)

Aus den Gründen:

a) Die Beklagte ist der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. […]

(2) Eine Verletzung der Informations- und Aufklärungspflichten des Art. 13 Abs. 1 lit. c) DS-GVO kann nicht schon darin gesehen werden, dass seitens der Beklagten kein Hinweis bei Erhebung der Daten der Mobilfunknummer des Klägers erfolgt ist, dass bei der voreingestellt für „Alle“ freigegebenen Mobilfunknummer die Möglichkeit einer missbräuchlichen Datenabgreifung besteht. Es besteht schon nicht eine dahingehende Informations- und Aufklärungspflicht auf Seiten der Beklagten. Diese Möglichkeit ist der Risikosphäre der betroffenen Person zuzuordnen, da dem Risiko einer missbräuchlichen Verwendung von persönlichen Daten zwangsläufig jede Person ausgesetzt ist, die ihre persönlichen Daten im Internet preisgibt bzw. diese in sozialen Netzwerken teilt.

(3) Die Beklagte hat den Kläger allerdings bei Erhebung der Daten seiner Mobilfunknummer unzureichend über den Zweck der Verwendung seiner Mobilfunknummer für das seitens der Beklagten verwendete Contact-Import-Tool (kurz: CIT) aufgeklärt. Hierdurch hat sie ihre Informations- und Aufklärungspflichten nach Art. 13 Abs. 1 lit. c) DS-GVO verletzt. Die Kammer vermochte nicht festzustellen, dass die Beklagte den Kläger bei Datenerhebung über den Zweck, seine Mobilfunknummer über die „Zwei-Faktor-Authentifizierung“ hinaus auch für das durch sie verwendete CIT zu verwenden, aufgeklärt hat. Eine solche Aufklärung kann weder bei Hinzufügen der Mobilfunknummer im Rahmen der Registrierung unter Bezugnahme der Datenrichtlinie noch bei späterem Hinzufügen der Mobilfunknummer in der Rubrik „Handy-Einstellungen“ festgestellt werden. […]

3) Dem Kläger ist nach Auffassung des Gerichts ein immaterieller Schaden im Sinne des Art. 82 DS-GVO entstanden. […] In den ErwG 75 und 85 wird der Kontrollverlust über die personenbezogenen Daten gerade als ein Beispiel für das Vorliegen eines solchen Schadens aufgeführt. Ein derartiger Kontrollverlust ist aus Sicht des Klägers eingetreten, da jedenfalls seine Telefonnummer, G-ID, sein Name und Geschlecht im sog. „Darknet“ auf einer für jedermann abrufbaren Datenbank veröffentlicht wurden. […]

Unerheblich ist, dass der Name, das Geschlecht und die G-ID nach den Nutzereinstellungen des Klägers öffentlich waren. Denn jedenfalls die Verknüpfung mit seiner Telefonnummer war bis dahin nicht hergestellt. Darüber hinaus sieht ErwG 75 vor, dass ein immaterieller Schaden auch dann anzunehmen ist, wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von Personen betrifft. Auch dies ist aufgrund der Tatsache, dass im Rahmen des „Scraping“-Vorfall die Daten von Millionen von G-Nutzern veröffentlicht wurden, anzunehmen.

Ob eine erhebliche Beeinträchtigung etwa in Form eines schwerwiegenden Persönlichkeitseingriffs vorliegen muss ist umstritten (pro: OLG Dresden, NJW-RR 2020, 1370; LG München I, GRUR-RS 2021, 33318; LG Karlsruhe, BeckRS 2021, 20347; contra: OLG Frankfurt, GRUR 2022, 1252 Rn. 63; LAG Hannover, ZD 2022, 61; LG München I, GRUR-RS 2021, 41707; LG Lüneburg, BeckRS 2020, 36932; Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DS-GVO Art. 82 Rn. 18), kann aber im Ergebnis dahinstehen. Zwar geht auch der Generalanwalt in seinen Schlussanträgen davon aus, dass es den nationalen Gerichten obliegt herauszuarbeiten, wann ein subjektives Unmutsgefühl die Grenze zwischen bloßem nicht ersatzfähigem Ärger und echtem ersatzfähigen immateriellen Schaden überschreitet (Generalanwalt beim EuGH, Schlussantrag v. 06.10.2022 – C-300/21, BeckRS 2022, 26562). Vorliegend handelt es jedoch nicht um einen bloßen Bagatellschaden. Denn durch die Veröffentlichung der personenbezogenen Daten des Klägers im „Darknet“ ist die Weiterverarbeitung durch einen unbegrenzten und unbestimmten Personenkreis, insbesondere auch für den gezielten Missbrauch etwa in Form von Betrugsanrufen, ermöglicht. […]