Die Entscheidung des Landgerichts (LG) Aachen vom 25. Januar 2024 (Az.: 12 O 247/23) befasste sich mit Datenschutzverstößen durch sogenanntes „Data Scraping“, bei dem personenbezogene Daten unbefugt aus einer Plattform entnommen wurden. Im Fokus stand die Frage nach dem Anspruch auf Schadensersatz nach der Datenschutz-Grundverordnung (DSGVO) und der Erfüllung von Sicherheits- und Benachrichtigungspflichten durch den Plattformbetreiber.
Sachverhalt
Der Kläger war Nutzer einer Musikstreaming-Plattform, die von der Beklagten betrieben wurde. 2022 erfolgte ein Cyberangriff, bei dem es Hackern gelang, durch „Data Scraping“ auf die personenbezogenen Daten von rund 229 Millionen Nutzern zuzugreifen, darunter auch auf die Daten des Klägers. Der Kläger machte immateriellen Schadensersatz wegen der unbefugten Nutzung und der daraus resultierenden Beeinträchtigungen geltend. Außerdem forderte er die Beklagte auf, künftige Datenschutzverletzungen zu unterlassen und ihn über die betroffenen Daten zu informieren.
Entscheidung des Gerichts
Das LG Aachen entschied teilweise zugunsten des Klägers und verurteilte die Beklagte zu einem immateriellen Schadensersatz von 1.000 Euro. Zudem wurde die Beklagte verurteilt, künftig geeignete Sicherheitsmaßnahmen zu treffen, um ähnliche Datenschutzverstöße zu verhindern, und dem Kläger Auskunft über die betroffenen Daten zu geben.
1. Schadensersatz nach Art. 82 DSGVO
Das Gericht erkannte einen Verstoß gegen Art. 32 und Art. 34 DSGVO an, da die Beklagte nicht ausreichend Sicherheitsmaßnahmen getroffen hatte, um den „Data Scraping“-Angriff zu verhindern. Außerdem informierte die Beklagte den Kläger nicht unverzüglich über die Datenschutzverletzung, was gegen Art. 34 DSGVO verstieß. Dies führte zu einem immateriellen Schaden beim Kläger, der sich in einem Kontrollverlust über seine Daten sowie in Angst vor Missbrauch äußerte. Das Gericht sah darin einen ausreichend schwerwiegenden immateriellen Schaden, der nach Art. 82 DSGVO zu kompensieren war.
2. Verstoß gegen Art. 32 DSGVO (Sicherheitsmaßnahmen)
Die Beklagte hatte nach Art. 32 DSGVO nicht die erforderlichen technischen und organisatorischen Maßnahmen getroffen, um die Datensicherheit zu gewährleisten. Trotz der Größe der Plattform hätte sie wirksamere Schutzmaßnahmen implementieren müssen, um einen derartigen Angriff zu verhindern. Der allgemeine Hinweis auf ergriffene Sicherheitsmaßnahmen reichte nach Auffassung des Gerichts nicht aus.
3. Verstoß gegen Art. 34 DSGVO (Benachrichtigungspflicht)
Die Beklagte hatte den Kläger nicht individuell und unverzüglich über den Datenvorfall informiert, obwohl ein hohes Risiko für die persönlichen Rechte und Freiheiten bestand. Der allgemeine Hinweis auf der Website der Beklagten genügte nicht. Eine Benachrichtigung hätte ohne schuldhaftes Verzögern direkt nach dem Vorfall erfolgen müssen.
4. Unterlassungsanspruch
Das Gericht gab dem Unterlassungsantrag des Klägers statt und verurteilte die Beklagte, es zu unterlassen, personenbezogene Daten des Klägers Dritten zugänglich zu machen, ohne angemessene Sicherheitsvorkehrungen zu treffen. Es stellte fest, dass eine Wiederholungsgefahr bestehe, da die Beklagte keine hinreichenden Maßnahmen zur Verbesserung ihrer Sicherheitsinfrastruktur vorgetragen hatte.
Fazit
Die Entscheidung des LG Aachen verdeutlicht die hohen Anforderungen an Plattformbetreiber hinsichtlich des Schutzes personenbezogener Daten. Die unzureichenden Sicherheitsvorkehrungen und die verspätete Information der betroffenen Nutzer führten zu einem immateriellen Schaden, der nach Art. 82 DSGVO ausgeglichen werden muss.
Die Möglichkeit, auf immateriellen Schadensersatz zu klagen, stärkt die Rechte von Nutzern erheblich und stellt Plattformbetreiber vor die Herausforderung, ihre Sicherheitsstandards deutlich zu verbessern, um sich vor rechtlichen Konsequenzen zu schützen.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden - 14. März 2026
- Retrograde Telegram-Überwachung als Quellen-TKÜ - 13. März 2026
- Cyber Resilience Act als Ende der analogen Fabrik - 11. März 2026
