LG Passau: Kein Schadenersatzanspruch für Scrapingvorfall bei Messenger Dienst "f", da öffentlich zugänglich gemachte Daten, freiwillige Einwilligung und Datenübermittlung in die USA zulässig.

von Barbara Schmitz, veröffentlicht am 22.03.2024
Rechtsgebiete: Datenschutzrecht|1039 Aufrufe

Das Landgericht Passau hat in einem Urteil vom 16.2.2024 den Schadenersatzanspruch eines Nutzers aufgrund eines Datenschutzvorfalls gegen das soziale Netzwerk „f“ als vollumfänglich unbegründet zurückgewiesen.

In der Urteilsbegründung finden sich zahlreiche bemerkenswerte Stellungnahmen. So bewertet das Gericht die von dem Nutzer (Kläger) erteilte Einwilligung in die Datenverarbeitung seiner überlassenen Daten als zulässig, da sie freiwillig und in informierter Weise erfolgte. Durch diese zulässige Datenverarbeitung wurden die Daten des Nutzers „öffentlich sichtbar“. Auch die Datenübermittlung in die USA wird vom Gericht nicht als rechtswidrig angesehen. Der Anspruch auf Datenkopie nach Art. 15 Abs. 3 DS-GVO ist zudem dann erfüllt, wenn der Nutzer die Möglichkeit hat, die zu seiner Person gespeicherten Daten herunterzuladen.

Die jeweiligen Stellungnahmen aus den Entscheidungsgründen werden nachfolgend kurz aufgelistet (Hervorhebung durch Verfasserin):

  1. Scraping-Vorfall
  • Rz. 37: Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO
  • Rz. 39: Zum anderen ist die Datenverarbeitung für die Erfüllung des Vertrags zwischen den Parteien erforderlich (Art. 6 Abs. 1 Buchst. b DSGVO). (…). Gibt der Nutzer, wie hier, seine Telefonnummer jedoch unter Einwilligung zur Nutzung des „Contact-Import-Tools“ an, so ist die Verarbeitung derselben im Rahmen dieses Tools gerade denknotwendig zur Erfüllung der resultierenden Vertragsvereinbarung, von anderen auf „f.“ gefunden zu werden. Bezüglich der übrigen, von der Klagepartei selbst veröffentlichten Daten, ist das Vorhalten dieser Nutzerdaten gerade der Zweck des zwischen den Parteien bestehenden Vertragsverhältnisses. Eine soziale Plattform wie „f.“ dient dazu, es den Nutzern zu ermöglichen, Daten miteinander auszutauschen.
  • Rz. 46: Die vom „Scraping“-Vorfall nach klägerischer Behauptung betroffenen Daten waren – mit Ausnahme der Telefonnummer – nach dem Willen der Klagepartei ohnehin bereits öffentlich sichtbar. Dass diese öffentlich sichtbaren Daten von Dritten kopiert und an anderer Stelle abgespeichert und veröffentlicht werden, ist ein Risiko, welches jeder, der seine Daten auf „f.“ öffentlich macht, kennt und in Kauf nimmt. (…). Bereits öffentlich zugängliche Daten müssen nicht vor dem Zugriff unbefugter Dritter geschützt werden. Diese sind vom Schutzbereich des Art. 32 DSGVO nicht erfasst (s. bereits o. Ziff. 1. a) cc) (3) der Entscheidungsgründe).
  1. Datenkopie nach Art. 15 Abs. 3 DS-GVO
  • Rz. 56: Wenn allgemein bekannt ist, dass von dem sozialen Netzwerk die Möglichkeit angeboten wird, die Daten zur Person herunterladen zu können, ist "Der Anspruch auf Datenkopie aus Art. 15 Abs. 3 DSGVO [ist] damit erfüllt, § 362 Abs. 1 BGB.
  1. Cookie Banner
  • Rz. 60: (…) holt sie [die Beklagte] die Einwilligung der Nutzer mittels eines (…) abgebildeten Cookie-Banners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden. Die Klagepartei ist bei „f.“ angemeldet, so dass sie selbst die entsprechenden Einstellungen vornehmen kann. (…). Dass die Schaltfläche „Alle Cookies erlauben“ blau eingefärbt ist, stellt keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (datenschutzfreundliche Voreinstellung) dar. Denn es handelt sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt.
  1. Datenübermittlung in die USA
  • Rz. 63: Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. Die Plattform „f.“ und der M. Konzern stammen aus den USA. „F.“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. (…) Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „f.“-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „f.“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „f.“. Die unternehmerische Entscheidung des Betreibers der Plattform „f.“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „f.“ zu nutzen.
  • Rz. 67: Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.
  • Rz. 72: Soweit US-Regierungsbehörden einschließlich der Geheimdienste von M. Platforms, Inc., nach US-amerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 Buchst. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre.

Darüber hinaus stellt die Kammer unter Rz. 49 fest, dass auch für den Fall, dass „Sofern die Datenschutzbehörden einen Verstoß der Beklagten gegen die Bestimmungen der DSGVO bejahen sollte, diese keine Bindungswirkung für das Gericht entfaltet."

Ein insgesamt bemerkenswertes Urteil. Das LG Freiburg scheint das in einem Urteiol vom 15.12.2023 anders zu sehen und hat einem Betroffenen im gleichen Scraping-Vorfall wegen Verstoßes gegen die DS-GVO 300 Euro Schadenersatz zugesprochen. Hier liegt das Urteil noch nicht im Volltext vor.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen