Data protection law for digital technologies in Heidelberg

GDPR Damages, Scraping and Data Security for Platform Operators

Attorney for Data protection law for digital technologies in Heidelberg

Recent judgments from Heidelberg and the region (As of 2026)

These case summaries are provided in German. They concern German courts and authorities only. Common abbreviations: BGH — Federal Court of Justice of Germany; BPatG — Federal Patent Court; DPMA — German Patent and Trade Mark Office; LG — Regional Court; OLG — Higher Regional Court; AG — Local Court. Expanded names appear in headings and citations below.

DSGVO
Schadensersatz
GDPR (as applied under German law)-Schadensersatz nach Facebook-Scraping: 250 Euro für Kontrollverlust durch unzureichende Voreinstellungen (LG (Regional Court (Germany)) Heidelberg (Regional Court (Germany)))

Summary in German · German law · German court

Facts: Der Kläger verlangte von der Betreiberin des sozialen Netzwerks Facebook (Meta) Schadensersatz sowie Auskunft und Unterlassung wegen eines massenhaften „Scraping-Vorfalls“. In den Jahren 2018 und 2019 nutzten Unbekannte das „Contact-Import-Tool“ (CIT) der Messenger-App, um massenhaft abstrakte Telefonnummern mit Profilen abzugleichen. Bei Treffern wurden die mit der Nummer verknüpften, öffentlich einsehbaren Daten (Name, Geschlecht, Wohnort etc.) automatisiert ausgelesen und später im Darknet veröffentlicht. Der Kläger machte geltend, dass die Beklagte dies durch mangelhafte Sicherheitsvorkehrungen und unzureichende Aufklärung bei der Angabe der Telefonnummer ermöglicht habe.

Key provisions (German law):

  • Art. 13 GDPR (as applied under German law)
  • Art. 25 GDPR (as applied under German law)
  • Art. 32 GDPR (as applied under German law)
  • Art. 82 GDPR (as applied under German law)

Decision: Das Regional Court Heidelberg (Germany) sprach dem Kläger einen immateriellen Schadensersatz in Höhe von 250 Euro zu und stellte die Ersatzpflicht für künftige materielle Schäden fest. Die Beklagte verstieß gleich mehrfach gegen die GDPR (as applied under German law): Sie klärte nicht transparent darüber auf, dass die Handynummer für das Kontakt-Import-Tool genutzt wird (Art. 13), traf unzureichende technische Abwehrmaßnahmen gegen das massenhafte automatisierte Abgreifen von Daten (Art. 32) und verletzte den Grundsatz „Privacy by Default“ (Art. 25), indem die Suchbarkeit über die Telefonnummer standardmäßig auf „für alle“ voreingestellt war. Dieser Kontrollverlust und die damit verbundene Sorge vor Identitätsdiebstahl stellen einen ersatzfähigen, wenn auch im konkreten Fall geringfügigen, immateriellen Schaden dar.

Conclusion & practical takeaway: Dieses Urteil unterstreicht die massiven Haftungsrisiken für Plattformbetreiber bei automatisiertem Datenabfluss (Scraping). „Privacy by Default“ ist keine bloße Empfehlung: Such- und Importfunktionen dürfen standardmäßig nicht auf maximale Reichweite („für alle“) eingestellt sein. Implementieren Sie zudem zwingend technische Schutzmaßnahmen (z. B. Rate-Limiting, Captchas, Bot-Erkennung), um massenhafte automatisierte Abfragen effektiv zu blockieren. Ferner müssen Nutzer bei der Datenerhebung unmissverständlich über jede spezifische Verwendung ihrer Daten (wie etwa den Abgleich in Kontakt-Tools) informiert werden, um eine wirksame Einwilligung zu gewährleisten.

LG (Regional Court (Germany)) Heidelberg (Regional Court (Germany)) · Judgment · 31/03/2023 · 7 O 10/22

From our blog on Data protection law

31. May 2026

AI agents in e-commerce: what online shop operators must observe under data protection law

AI agents shop on users' behalf—and change the data-protection risk profile of online shops.

Dr. Valentin Zipfel

Dr. Valentin Zipfel

Contact

Have an issue? Tell us by email or via the contact form.
Standort Frankfurt am Main
Rechtsanwalt Dr. Valentin Zipfel
c/o GÖRG Partnerschaft von Rechtsanwälten mbB
Ulmenstraße 30, 60325 Frankfurt am Main