Das Landgericht Dortmund hat in einer Entscheidung vom 22.05.2023 (Az. 24 O 20/23) eine Klage abgewiesen, bei der es um Ansprüche auf Schadensersatz, Unterlassung, Auskunft und Kostenerstattung wegen vermeintlicher Verstöße gegen die Datenschutzgrundverordnung (DSGVO) ging.
Der Kläger hatte die Beklagte, Betreiberin der Social Media-Plattform Facebook, verklagt und behauptet, dass diese seine personenbezogenen Daten ohne ausreichende Sicherheitsmaßnahmen verarbeitet und unbefugten Dritten zugänglich gemacht habe. Zudem habe die Beklagte ihn nicht über Datenschutzverletzungen informiert und sein Auskunftsrecht nicht erfüllt. Der Kläger forderte deshalb Schadensersatz nach Art. 82 DSGVO.
Das Gericht stellte jedoch fest, dass die Klage unbegründet sei. Es sei nicht nachgewiesen worden, dass die Beklagte ihre Sicherheitspflichten gemäß Art. 32 DSGVO verletzt habe. Zudem habe der Kläger nicht dargelegt, inwiefern die behaupteten Verstöße einen Schaden verursacht hätten. Das Gericht wies darauf hin, dass eine Datenschutzverletzung nicht automatisch einen Anspruch auf Schadensersatz begründe, sondern ein tatsächlicher Schaden nachgewiesen werden müsse.
Die Beklagte habe zudem ausführliche Informationen über die Verwendung und den Schutz der Nutzerdaten bereitgestellt. Der Kläger habe diese Informationen erhalten und gelesen, ohne dass er konkrete Einwände gegen die Datenverarbeitung vorbringen konnte.
Das Gericht stellte auch fest, dass die Beklagte als Betreiberin einer Social Media-Plattform zur Erfüllung ihres Unternehmenszwecks auf die Verarbeitung der Nutzerdaten angewiesen sei. Die Plattform sei darauf ausgelegt, dass die Nutzer möglichst viele personenbezogene Daten angeben, um das Werbenetzwerk der Beklagten zu unterstützen. Das sei legitim, solange die Datenverarbeitung im Einklang mit den Bestimmungen der DSGVO stehe.
In Bezug auf das sogenannte „Scraping“ von Nutzerdaten stellte das Gericht fest, dass die Beklagte angemessene Sicherheitsvorkehrungen getroffen habe, um dies zu verhindern. Es sei nicht ersichtlich, dass die Beklagte gegen bekannte Phänomene des „Scraping“ keine angemessenen Maßnahmen ergriffen habe. Das Gericht wies darauf hin, dass Scraper das Tool mit randomisierten Nummernfolgen füttern müssten, um echte Telefonnummern als Zufallstreffer abzufischen und mit den zugehörigen Facebook-Profildaten zu verknüpfen.
Zusammenfassend urteilte das Landgericht Dortmund, dass die Klage des Klägers abgewiesen werde. Der Kläger habe keine ausreichenden Beweise für eine Verletzung der Datenschutzbestimmungen und einen entstandenen Schaden vorgebracht. Die Beklagte habe ihrer Informationspflicht nach Art. 13 DSGVO genügt und angemessene Sicherheitsvorkehrungen gegen „Scraping“ getroffen.