海德堡的数字技术数据保护法

平台运营者的GDPR损害赔偿、数据抓取与数据安全

海德堡数字技术数据保护法律师

海德堡及周边最新判例(截至 2026 年)

以下判例摘要为德文原文,均涉及德国法院与机关。常见缩写:BGH — 德国联邦最高法院;BPatG — 德国联邦专利法院;DPMA — 德国专利商标局;LG — 地区法院;OLG — 高等地区法院;AG — 地方法院。标题与引用行中会尽量标明完整机构名称。

DSGVO
Schadensersatz
GDPR(依德国法适用)-Schadensersatz nach Facebook-Scraping: 250 Euro für Kontrollverlust durch unzureichende Voreinstellungen (LG (德国地区法院) Heidelberg (德国地区法院))

德文摘要 · 德国法 · 德国法院

案情: Der Kläger verlangte von der Betreiberin des sozialen Netzwerks Facebook (Meta) Schadensersatz sowie Auskunft und Unterlassung wegen eines massenhaften „Scraping-Vorfalls“. In den Jahren 2018 und 2019 nutzten Unbekannte das „Contact-Import-Tool“ (CIT) der Messenger-App, um massenhaft abstrakte Telefonnummern mit Profilen abzugleichen. Bei Treffern wurden die mit der Nummer verknüpften, öffentlich einsehbaren Daten (Name, Geschlecht, Wohnort etc.) automatisiert ausgelesen und später im Darknet veröffentlicht. Der Kläger machte geltend, dass die Beklagte dies durch mangelhafte Sicherheitsvorkehrungen und unzureichende Aufklärung bei der Angabe der Telefonnummer ermöglicht habe.

主要规范(德国法):

  • Art. 13 GDPR(依德国法适用)
  • Art. 25 GDPR(依德国法适用)
  • Art. 32 GDPR(依德国法适用)
  • Art. 82 GDPR(依德国法适用)

裁判要旨: Das 德国 Heidelberg 地区法院 sprach dem Kläger einen immateriellen Schadensersatz in Höhe von 250 Euro zu und stellte die Ersatzpflicht für künftige materielle Schäden fest. Die Beklagte verstieß gleich mehrfach gegen die GDPR(依德国法适用): Sie klärte nicht transparent darüber auf, dass die Handynummer für das Kontakt-Import-Tool genutzt wird (Art. 13), traf unzureichende technische Abwehrmaßnahmen gegen das massenhafte automatisierte Abgreifen von Daten (Art. 32) und verletzte den Grundsatz „Privacy by Default“ (Art. 25), indem die Suchbarkeit über die Telefonnummer standardmäßig auf „für alle“ voreingestellt war. Dieser Kontrollverlust und die damit verbundene Sorge vor Identitätsdiebstahl stellen einen ersatzfähigen, wenn auch im konkreten Fall geringfügigen, immateriellen Schaden dar.

结论与实务建议: Dieses Urteil unterstreicht die massiven Haftungsrisiken für Plattformbetreiber bei automatisiertem Datenabfluss (Scraping). „Privacy by Default“ ist keine bloße Empfehlung: Such- und Importfunktionen dürfen standardmäßig nicht auf maximale Reichweite („für alle“) eingestellt sein. Implementieren Sie zudem zwingend technische Schutzmaßnahmen (z. B. Rate-Limiting, Captchas, Bot-Erkennung), um massenhafte automatisierte Abfragen effektiv zu blockieren. Ferner müssen Nutzer bei der Datenerhebung unmissverständlich über jede spezifische Verwendung ihrer Daten (wie etwa den Abgleich in Kontakt-Tools) informiert werden, um eine wirksame Einwilligung zu gewährleisten.

LG (德国地区法院) Heidelberg (德国地区法院) · 判决 · 2023/3/31 · 7 O 10/22

博客:数据保护法

31. 五月 2026

电子商务中的 AI 智能体:网店经营者须遵守的数据保护要求

AI 智能体代用户购物,改变网店的数据保护风险格局。

Dr. Valentin Zipfel

Dr. Valentin Zipfel

联系

有问题?请通过邮件或联系表单告知我们。
Standort Frankfurt am Main
Rechtsanwalt Dr. Valentin Zipfel
c/o GÖRG Partnerschaft von Rechtsanwälten mbB
Ulmenstraße 30, 60325 Frankfurt am Main