德文摘要 · 德国法 · 德国法院
案情: Der Kläger verlangte von der Betreiberin des sozialen Netzwerks Facebook (Meta) Schadensersatz sowie Auskunft und Unterlassung wegen eines massenhaften „Scraping-Vorfalls“. In den Jahren 2018 und 2019 nutzten Unbekannte das „Contact-Import-Tool“ (CIT) der Messenger-App, um massenhaft abstrakte Telefonnummern mit Profilen abzugleichen. Bei Treffern wurden die mit der Nummer verknüpften, öffentlich einsehbaren Daten (Name, Geschlecht, Wohnort etc.) automatisiert ausgelesen und später im Darknet veröffentlicht. Der Kläger machte geltend, dass die Beklagte dies durch mangelhafte Sicherheitsvorkehrungen und unzureichende Aufklärung bei der Angabe der Telefonnummer ermöglicht habe.
主要规范(德国法):
- Art. 13 GDPR(依德国法适用)
- Art. 25 GDPR(依德国法适用)
- Art. 32 GDPR(依德国法适用)
- Art. 82 GDPR(依德国法适用)
裁判要旨: Das 德国 Heidelberg 地区法院 sprach dem Kläger einen immateriellen Schadensersatz in Höhe von 250 Euro zu und stellte die Ersatzpflicht für künftige materielle Schäden fest. Die Beklagte verstieß gleich mehrfach gegen die GDPR(依德国法适用): Sie klärte nicht transparent darüber auf, dass die Handynummer für das Kontakt-Import-Tool genutzt wird (Art. 13), traf unzureichende technische Abwehrmaßnahmen gegen das massenhafte automatisierte Abgreifen von Daten (Art. 32) und verletzte den Grundsatz „Privacy by Default“ (Art. 25), indem die Suchbarkeit über die Telefonnummer standardmäßig auf „für alle“ voreingestellt war. Dieser Kontrollverlust und die damit verbundene Sorge vor Identitätsdiebstahl stellen einen ersatzfähigen, wenn auch im konkreten Fall geringfügigen, immateriellen Schaden dar.
结论与实务建议: Dieses Urteil unterstreicht die massiven Haftungsrisiken für Plattformbetreiber bei automatisiertem Datenabfluss (Scraping). „Privacy by Default“ ist keine bloße Empfehlung: Such- und Importfunktionen dürfen standardmäßig nicht auf maximale Reichweite („für alle“) eingestellt sein. Implementieren Sie zudem zwingend technische Schutzmaßnahmen (z. B. Rate-Limiting, Captchas, Bot-Erkennung), um massenhafte automatisierte Abfragen effektiv zu blockieren. Ferner müssen Nutzer bei der Datenerhebung unmissverständlich über jede spezifische Verwendung ihrer Daten (wie etwa den Abgleich in Kontakt-Tools) informiert werden, um eine wirksame Einwilligung zu gewährleisten.