Data protection law for digital technologies in Freiburg

GDPR Damages, Scraping and Data Security in the Breisgau Region

Attorney for Data protection law for digital technologies in Freiburg

Recent judgments from Freiburg and the region (As of 2026)

These case summaries are provided in German. They concern German courts and authorities only. Common abbreviations: BGH — Federal Court of Justice of Germany; BPatG — Federal Patent Court; DPMA — German Patent and Trade Mark Office; LG — Regional Court; OLG — Higher Regional Court; AG — Local Court. Expanded names appear in headings and citations below.

DSGVO
Schadensersatz
500 Euro GDPR (as applied under German law)-Schadensersatz bei Facebook-Scraping aufgrund massiver Spam-Anrufe und Nummernwechsel (LG (Regional Court (Germany)) Freiburg (Regional Court (Germany)))

Summary in German · German law · German court

Facts: Die Klagepartei nahm das soziale Netzwerk Facebook (Meta) wegen eines massenhaften „Scraping-Vorfalls“ aus den Jahren 2018/2019 auf immateriellen Schadensersatz, Unterlassung und Auskunft in Anspruch. Unbekannte hatten das „Contact-Import-Tool“ (CIT) der Messenger-App missbraucht, um automatisierte Nummernfolgen mit echten Nutzerprofilen abzugleichen und so öffentlich einsehbare Profildaten massenhaft abzugreifen. Die Klagepartei trug vor, durch den Vorfall die Kontrolle über ihre Daten verloren zu haben. In der Folge sei sie derart massiv von Spam-Anrufen belästigt worden (teilweise zwei bis drei Anrufe täglich), dass sie gezwungen war, nach 25 Jahren ihre Handynummer zu wechseln.

Key provisions (German law):

  • Art. 13 GDPR (as applied under German law)
  • Art. 25 GDPR (as applied under German law)
  • Art. 32 GDPR (as applied under German law)
  • Art. 82 GDPR (as applied under German law)

Decision: Das Regional Court Freiburg (Germany) sprach der Klagepartei einen immateriellen Schadensersatz in Höhe von 500 Euro sowie einen Unterlassungsanspruch zu. Das Gericht stellte fest, dass die Beklagte gegen ihre Informationspflichten (Art. 13 DSGVO), die Pflicht zu datenschutzfreundlichen Voreinstellungen („Privacy by Default“, Art. 25 DSGVO) und ihre Verpflichtung zu ausreichenden technischen Sicherheitsmaßnahmen (Art. 32 DSGVO) verstoßen hatte. Der Kontrollverlust über die Daten begründete den Schaden, der in diesem Fall durch die massiven Belästigungen (Spam-Anrufe) und den damit verbundenen lästigen Nummernwechsel anspruchserhöhend auf 500 Euro festgesetzt wurde. Der weitergehende Auskunftsanspruch wurde hingegen als bereits erfüllt abgewiesen.

Conclusion & practical takeaway: Das Urteil zeigt auf, dass der GDPR (as applied under German law)-Schadensersatz bei Scraping-Fällen steigt, sobald Betroffene handfeste und spürbare Folgen wie massive Spam-Wellen oder einen erzwungenen Nummernwechsel nachweisen können. Für Unternehmen und Plattformbetreiber verdeutlicht der Fall erneut die Wichtigkeit strikter technischer Abwehrmaßnahmen: Import-Schnittstellen (APIs) und Suchfunktionen müssen zwingend durch Rate-Limiting, Bot-Erkennung und datenschutzfreundliche Standardeinstellungen vor automatisierten Massenabfragen geschützt werden, um Haftungsrisiken abzuwenden.

LG (Regional Court (Germany)) Freiburg (Regional Court (Germany)) · Judgment · 15/09/2023 · 8 O 184/22

From our blog on Data protection law

31. May 2026

AI agents in e-commerce: what online shop operators must observe under data protection law

AI agents shop on users' behalf—and change the data-protection risk profile of online shops.

Dr. Valentin Zipfel

Dr. Valentin Zipfel

Contact

Have an issue? Tell us by email or via the contact form.
Standort Frankfurt am Main
Rechtsanwalt Dr. Valentin Zipfel
c/o GÖRG Partnerschaft von Rechtsanwälten mbB
Ulmenstraße 30, 60325 Frankfurt am Main