Data protection law for digital technologies in Mannheim

GDPR Compliance and Data Protection Consulting for the Rhine-Neckar Region

Attorney for Data protection law for digital technologies in Mannheim

Recent judgments from Mannheim and the region (As of 2026)

These case summaries are provided in German. They concern German courts and authorities only. Common abbreviations: BGH — Federal Court of Justice of Germany; BPatG — Federal Patent Court; DPMA — German Patent and Trade Mark Office; LG — Regional Court; OLG — Higher Regional Court; AG — Local Court. Expanded names appear in headings and citations below.

DSGVO
Schadensersatz
Kein GDPR (as applied under German law)-Schadensersatz bei Facebook-Scraping wegen fehlendem Schadensnachweis – aber Feststellung künftiger Ersatzpflicht (LG (Regional Court (Germany)) Mannheim (Regional Court (Germany)))

Summary in German · German law · German court

Facts: Eine Facebook-Nutzerin klagte auf immateriellen Schadensersatz (mindestens 2.500 Euro), Unterlassung, Auskunft und Feststellung künftiger Ersatzpflichten wegen des massenhaften Scraping-Vorfalls aus den Jahren 2018/2019. Unbekannte hatten über das Kontakt-Import-Tool (CIT) automatisiert Handynummern mit Nutzerprofilen abgeglichen, da die Suchbarkeit der Telefonnummer auf der Plattform standardmäßig auf „Alle“ voreingestellt war. Die Klägerin machte geltend, sie leide durch den Vorfall unter Kontrollverlust, vermehrtem Spam und habe ihre unbeschwerte Nutzung sozialer Medien eingebüßt.

Key provisions (German law):

  • Art. 25 Abs. 1, 2 GDPR (as applied under German law)
  • Art. 32 Abs. 1 GDPR (as applied under German law)
  • Art. 82 Abs. 1 GDPR (as applied under German law)

Decision: Das Regional Court Mannheim (Germany) wies die Zahlungsklage auf Schmerzensgeld ab, gab jedoch dem Feststellungsantrag für etwaige zukünftige Schäden statt. Das Gericht stellte fest, dass der Plattformbetreiber gegen die GDPR (as applied under German law) verstoßen hat: Die Voreinstellung der Suchbarkeit auf „Alle“ verletzte das Prinzip „Privacy by Default“ (Art. 25 DSGVO). Zudem rügte das Gericht den unzureichenden Vortrag des Unternehmens zu seinen Schutzmaßnahmen (Art. 32 DSGVO); eine nur schlagwortartige Aufzählung von Abwehrmaßnahmen wie „Übertragungsgrenzen“ genüge der Darlegungslast nicht. Der Schmerzensgeldanspruch (Art. 82 DSGVO) scheiterte jedoch daran, dass die Klägerin keinen konkreten immateriellen Schaden beweisen konnte. Der bloße Verlust von „Unbeschwertheit“ sei kein Schaden, und eine Kausalität zwischen dem Scraping-Vorfall und den konkret erhaltenen Spam-Nachrichten konnte das Gericht nicht mit der erforderlichen Gewissheit feststellen.

Conclusion & practical takeaway: Für Betreiber von Plattformen und sozialen Netzwerken zeigt dieses Urteil die hohen prozessualen Anforderungen auf: Werden technische und organisatorische Maßnahmen (TOMs) vor Gericht nur oberflächlich skizziert, wird dies als Verstoß gegen Art. 32 GDPR (as applied under German law) gewertet. Unternehmen müssen ihre Schutzbedarfsfeststellungen, Risikoanalysen und die exakte Wirkweise ihrer (Anti-Scraping-)Maßnahmen strukturiert dokumentieren und darlegen können. Zugleich bestätigt das Urteil, dass pauschale Schmerzensgeldforderungen ohne den Nachweis einer spürbaren, kausalen Beeinträchtigung der Betroffenen (bloßer Wegfall der „Unbeschwertheit“ reicht nicht) abzuweisen sind.

LG (Regional Court (Germany)) Mannheim (Regional Court (Germany)) · Judgment · 15/03/2024 · 1 O 93/23

From our blog on Data protection law

31. May 2026

AI agents in e-commerce: what online shop operators must observe under data protection law

AI agents shop on users' behalf—and change the data-protection risk profile of online shops.

Dr. Valentin Zipfel

Dr. Valentin Zipfel

Contact

Have an issue? Tell us by email or via the contact form.
Standort Frankfurt am Main
Rechtsanwalt Dr. Valentin Zipfel
c/o GÖRG Partnerschaft von Rechtsanwälten mbB
Ulmenstraße 30, 60325 Frankfurt am Main