Summary in German · German law · German court
Facts: Die Klagepartei nahm das soziale Netzwerk Facebook (Meta) wegen eines massenhaften „Scraping-Vorfalls“ aus den Jahren 2018/2019 auf immateriellen Schadensersatz, Unterlassung und Auskunft in Anspruch. Unbekannte hatten das „Contact-Import-Tool“ (CIT) der Messenger-App missbraucht, um automatisierte Nummernfolgen mit echten Nutzerprofilen abzugleichen und so öffentlich einsehbare Profildaten massenhaft abzugreifen. Die Klagepartei trug vor, durch den Vorfall die Kontrolle über ihre Daten verloren zu haben. In der Folge sei sie derart massiv von Spam-Anrufen belästigt worden (teilweise zwei bis drei Anrufe täglich), dass sie gezwungen war, nach 25 Jahren ihre Handynummer zu wechseln.
Key provisions (German law):
- Art. 13 GDPR (as applied under German law)
- Art. 25 GDPR (as applied under German law)
- Art. 32 GDPR (as applied under German law)
- Art. 82 GDPR (as applied under German law)
Decision: Das Regional Court Freiburg (Germany) sprach der Klagepartei einen immateriellen Schadensersatz in Höhe von 500 Euro sowie einen Unterlassungsanspruch zu. Das Gericht stellte fest, dass die Beklagte gegen ihre Informationspflichten (Art. 13 DSGVO), die Pflicht zu datenschutzfreundlichen Voreinstellungen („Privacy by Default“, Art. 25 DSGVO) und ihre Verpflichtung zu ausreichenden technischen Sicherheitsmaßnahmen (Art. 32 DSGVO) verstoßen hatte. Der Kontrollverlust über die Daten begründete den Schaden, der in diesem Fall durch die massiven Belästigungen (Spam-Anrufe) und den damit verbundenen lästigen Nummernwechsel anspruchserhöhend auf 500 Euro festgesetzt wurde. Der weitergehende Auskunftsanspruch wurde hingegen als bereits erfüllt abgewiesen.
Conclusion & practical takeaway: Das Urteil zeigt auf, dass der GDPR (as applied under German law)-Schadensersatz bei Scraping-Fällen steigt, sobald Betroffene handfeste und spürbare Folgen wie massive Spam-Wellen oder einen erzwungenen Nummernwechsel nachweisen können. Für Unternehmen und Plattformbetreiber verdeutlicht der Fall erneut die Wichtigkeit strikter technischer Abwehrmaßnahmen: Import-Schnittstellen (APIs) und Suchfunktionen müssen zwingend durch Rate-Limiting, Bot-Erkennung und datenschutzfreundliche Standardeinstellungen vor automatisierten Massenabfragen geschützt werden, um Haftungsrisiken abzuwenden.