| LG Gießen | |
| Urteil vom 03.11.2022 | |
| 5 O 195/22 | |
| Ansprüche wegen sog. Daten-Scrapings | |
|
JurPC Web-Dok. 174/2022, Abs. 1 - 36 | |
|
| |
| Leitsatz (der Redaktion): |
| Zwar kann ein immaterieller zu ersetzender Schaden auch in psychischen Auswirkungen von Datenschutzverstößen (z.B. Ängste, Sorgen) liegen. Dagegen spricht jedoch im Falle des Daten-Scrapings entscheidend, dass es sich bei den betroffenen Daten des Klägers mit – Ausnahme der Mobilfunknummer – ausschließlich um Daten handelt, die immer und ohnehin öffentlich sind. |
| Tatbestand | |
| Der Kläger macht Ansprüche wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung (DSGVO) geltend. Er ist Nutzer der …-Plattform; die Beklagte ist Anbieterin der selbigen auf dem Gebiet der europäischen Union. | Abs. 1 |
| Im Rahmen der Registrierung gab der Kläger seinen Vornamen, Nachnamen, sein Geburtsdatum und Geschlecht an. Die Mitteilung einer Handynummer ist fakultativ, gleichwohl gab der Kläger auch diese an. Auf der Registrierungsseite fand sich noch folgender Passus: „Indem du auf Registrieren klickst, … stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen“. Für die weiteren Einzelheiten wird auf die Registrierungsabbildung (Bl. 8 d.A.) Bezug genommen. | Abs. 2 |
| Die Datenverwendungsrichtlinien enthalten u.a. Angaben dazu, welche der vom Nutzer erteilten Informationen immer öffentlich zugänglich sind - nämlich Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID - und die Angabe, dass öffentlich zugängliche Informationen jeder, also auch Personen außerhalb von der Plattform der Beklagten, sehen kann. | Abs. 3 |
| Die Beklagte stellt ihren Nutzern der Plattform Erklärungen, was öffentliche Informationen sind und welche Informationen öffentlich sind, wie der Nutzer festlegen kann, wer die von ihm über die öffentlichen Informationen hinaus bereitgestellten Informationen sehen kann (sog. Zielgruppenauswahl) und wer ihn anhand seiner E-Mail-Adresse oder seiner Telefonnummer, sofern er E-Mail-Adresse bzw. Telefonnummer auf der Plattform bereitgestellt hat, finden kann (sog. Suchbarkeits-Einstellungen), zur Verfügung. Trifft der Nutzer keine Zielgruppenauswahl, richtet sich die Zugänglichkeit seiner über die öffentlichen Informationen hinausgehenden Informationen nach der Standardeinstellung, wonach Freunde des Nutzers die weiteren Informationen einsehen können. Passt der Nutzer die Suchbarkeits-Einstellungen nicht an, sieht die Standardeinstellung vor, dass alle Personen, die über die E-Mail-Adresse oder die Telefonnummer des Nutzers verfügen, das Profil des Nutzers, sofern dieser E-Mail-Adresse bzw. Telefonnummer bereitgestellt hat, finden. Der Kläger hatte zum Zeitpunkt des Scraping-Vorfalles bei den Suchbarkeitseinstellungen keine Änderung vorgenommen, sodass die Standardeinstellung aktiv war. | Abs. 4 |
| In der Zeit von Januar 2018 bis September 2019 sammelten Dritte unter Nutzung automatisierter Verfahren eine Vielzahl der auf der Plattform der Beklagten verfügbaren öffentlichen Informationen (sog. Scraping). Darüber hinaus erstellten die Scraper Listen mit möglichen Telefonnummern und luden diese in den Kontakt-Importer der Plattform hoch, um festzustellen, ob die hochgeladenen Telefonnummern mit einem Konto eines Nutzers verbunden sind. Der Kontakt-Importer gab, sofern eine der hochgeladenen Telefonnummern mit dem Konto eines Nutzers, der seine Telefonnummer bereitgestellt und die Standard-Suchbarkeits-Einstellungen nicht geändert hatte, verknüpft war, diese Information, also den Umstand der Verknüpfung von Telefonnummer und Konto, an die Scraper. Die Scraper fügten sodann den öffentlich zugänglichen Informationen aus dem betreffenden Profil des Nutzers die mit dem Konto verknüpfte Telefonnummer hinzu. | Abs. 5 |
| Im April 2021 wurden die gescrapten Datensätze von über 500 Mio. Nutzern sowie die mit diesen Datensätzen verknüpften Telefonnummern frei zum Download bereitgestellt. Hierzu gehörten auch die immer öffentlich zugänglichen Informationen des Profils des Klägers und die mit seinem Konto verknüpfte Telefonnummer. | Abs. 6 |
| Der Kläger verlangte über seine Prozessbevollmächtigten zunächst Auskunft über die dem Kläger bei der Plattform der Beklagten betreffenden Daten. Mit Schreiben vom 18.07.2022 übermittelten die Prozessbevollmächtigten der Beklagten dem Prozessbevollmächtigten des Klägers eine dezidierte Anleitung zur Einsichtnahme in seine bei der Plattform der Beklagten hinterlegten Informationen und deren Verwendung. Für die diesbezüglichen Einzelheiten wird auf die die Anlage B16 Bezug genommen (Anlage B 16 zum Schriftsatz vom 21.09.2022, Schriftsatz vom 18.07.2022 dort Bl. 7). | Abs. 7 |
| Der Kläger behauptet, die Beklagte habe keinerlei Sicherheitsvorkehrungen getroffen, um ein Abgreifen seiner Daten zu verhindern. Auch habe man keine Maßnahmen getroffen, die automatisierten Nummernabfragen z.B. mittels Sicherheitscaptcha zu verhindern. Dass eine automatisierte Massenabfrage möglich war, stelle eine Sicherheitslücke dar, für die die Beklagte einzustehen habe. | Abs. 8 |
| Der Kläger habe einen erheblichen Kontrollverlust über seine Daten erlitten. Er leide unter großem Unwohlsein und Sorgen, da er einen Missbrauch befürchte. | Abs. 9 |
| Der Kläger beantragt mit seiner der Beklagten am 04.07.2022 zugestellten Klage: | Abs. 10 |
| 1. die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. | Abs. 11 |
| 2. Nur für den Fall, dass dem Klageantrag zu 1) stattgegeben wird, wird festgestellt, dass die Beklagte dem Grunde nach verpflichtet ist, der Klägerseite auch alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. | Abs. 12 |
| 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckenden Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, | Abs. 13 |
| a. personenbezogene Daten der Klägerseite, namentlich Telefonnummer, …ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, | Abs. 14 |
| b. die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der …-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird, | Abs. 15 |
| 4. Die Beklagte wird verurteilt, der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten, | Abs. 16 |
| 5. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 354,62 Euro zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von fünf Prozentpunkten über dem Basiszinssatz. | Abs. 17 |
| Die Beklagte beantragt, | Abs. 18 |
| die Klage abzuweisen. | Abs. 19 |
| Die Beklagte meint, das Scraping stelle keinen Datenschutzverstoß dar. Es fehle an einer Verletzung der Sicherheit, da „lediglich“ öffentlich zugängliche Profilinformationen des Klägers abgerufen und auch keine spezifischen Sicherheitsmaßnahmen oder Zugriffsberechtigungen umgangen oder überwunden wurden. Eine unbefugte Offenlegung von oder Zugang zu den klägerischen Daten sei nicht gegeben. Der Beklagten könne zudem keine Sicherheitslücke zur Last gelegt werden, da die hergestellte Verknüpfung zwischen der Telefonnummer des Klägers und seinem Nutzerkonto lediglich auf die seinerzeitige Suchbarkeitseinstellung des Klägers zurückzuführen ist. | Abs. 20 |
| Die Beklagte behauptet zudem, dass sie nicht imstande sei, die Empfänger der „gescrapten“ Daten mitzuteilen. | Abs. 21 |
| Entscheidungsgründe: | |
| I. | Abs. 22 |
| 1. Die Klage ist zulässig. | Abs. 23 |
| Der Klageantrag zu 1. ist – entgegen der Ansicht der Beklagten – hinreichend im Sinne des § 253 Abs. 2 Nr. 2 ZPO bestimmt. Grundsätzlich ist ein Klageantrag hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308) klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322) erkennbar sind, das Risiko des (eventuellen teilweisen) Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird. Der Klageantrag ist der Auslegung zugänglich, wobei dafür auch die Klagebegründung heranzuziehen ist (vgl. Zöller § 253 Rn. 13 m.w.N.). Aus der Klagebegründung ergibt sich, dass der Zahlungsantrag sich auf einen zusammenhängenden, wenngleich über einen längeren Zeitraum erstreckenden, aber in sich abgeschlossenen Lebenssachverhalt stützt. Von der Anmeldung des Klägers auf der Plattform der Beklagten bis zu dem Abgriff einiger persönlicher Daten des Klägers (Scraping) bzw. der möglicherweise nicht ausreichenden Benachrichtigung der betroffenen Nutzer. | Abs. 24 |
| Auch der Klageantrag zu Ziffer 3. weist die erforderliche Bestimmtheit auf. Eine auslegungsbedürftige Antragsformulierung ist dann hinzunehmen, wenn dies zur Gewährleistung eines effektiven Rechtsschutzes erforderlich ist, mithin die Klägerseite ihren Antrag nicht konkreter fassen (vgl. nur BGH GRUR 2017, 422). Dies ist nach Auffassung des Gerichts der Fall. Selbst bei einer Benennung derzeitiger technischer Schutzvorkehrungen würde dies in Anbetracht der technischen Weiterentwicklung alsbald dazu führen, dass die aktuellen Vorkehrungen veralten, sodass der Kläger erneut klagen müsste. Dies stünde einem effektiven Rechtsschutz entgegen. | Abs. 25 |
| 2. Die Klage ist jedoch vollumfänglich unbegründet. | Abs. 26 |
| a. Dem Kläger steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO zu. Diesbezüglich ist es dem Kläger nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (so auch OLG Frankfurt a. M. GRUR-RS 2022, 4491). Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DSGVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens (vgl. auch OLG Frankfurt a. M. GRUR-RS 2022, 4491). Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. | Abs. 27 |
| Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kläger nicht hinreichend dargetan. Er hat zwar im Rahmen der Klageschrift ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte; der Anordnung zum persönlichen Erscheinen (zur Sachverhaltsaufklärung) ist er gleichwohl nicht nachgekommen, was das Gericht frei zu würdigen hatte. Letztlich kann die Kammer nicht mit hinreichender Wahrscheinlichkeit davonausgehen, dass der Kläger unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen spricht bereits der Umstand, dass es sich bei den „gescrapten“ Daten des Klägers mit – Ausnahme der Mobilfunknummer – um Daten handelt, die immer (!) öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich zu sind. Auf diesen Umstand weist die Beklagte ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei dem Kläger zu einem unguten Gefühl geführt haben sollte. Dagegen spricht weiterhin der Umstand, dass es sich offensichtlich um eine standardisierte Klageschrift handelt, die für eine Vielzahl von betroffenen Nutzern eingereicht wird. So ist beispielsweise vorgetragen, dass sich der hiesige Kläger aufgrund des Vorfalles mit betrügerischen E-Mails auseinandersetzen müsse, obwohl die E-Mailadresse – nach dem Vortrag der Klägerseite (Schriftsatz vom 05.10.2022Bl. 11) – gar nicht „gescrapt“ worden ist; sprich seine E-Mailadresse durch den Vorfall überhaupt nicht öffentlich verbreitet worden ist. Ebenso kann die Kammer keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Erhebliche Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand des Klägers ergeben sich für das Gericht diesbezüglich bereits aus dem Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte, mithin für die Registrierung nicht erforderlich ist. Dass der Kläger diese gleichwohl trotzdem angab, spricht eher dafür, dass er kein besonderes Interesse daran hatte, die Möglichkeit einer Verbreitung seiner Mobilfunknummer zu kontrollieren; zumal auch diesbezüglich die Beklagte in ihren Einstellungen entsprechende Einschränkungsmöglichkeiten bereithält. Ein anderes Bild hätte sich lediglich im Rahmen seiner persönlichen Anhörung ergeben können. | Abs. 28 |
| Aufgrund der vorgenannten Ausführungen kam es auf die Frage, ob und inwieweit die Beklagte gegen die DSGVO verstoßen hat, nicht an. | Abs. 29 |
| b. Über den Klageantrag zu Ziffer 2. hatte das Gericht nicht zu entscheiden, da die innerprozessuale Bedingung nicht eingetreten ist. | Abs. 30 |
| c. Der Kläger hat auch keinen Unterlassungsanspruch gegen die Beklagte gemäß §§ 1004 analog, 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1 sowie Art. 17 DSGVO. Eine Zuwiderhandlung der Beklagten ist weder zu erkennen, noch für die Zukunft zu befürchten. | Abs. 31 |
| Nach den Ausführungen des Klägers (Schriftsatz vom 05.10.2022 Bl. 11) sind – mit Ausnahme der Mobilfunknummer – lediglich Daten abgegriffen und weiter veröffentlich worden, die ohnehin immer öffentlich sind. Dass die Daten veröffentlicht werden dürfen, hat der Kläger im Rahmen seiner Registrierung zugestimmt. Dass es keinen Anspruch auf Schutz vor Veröffentlichung von bereits öffentlichen Daten gibt, versteht sich von selbst. Dass die Beklagte die Telefonnummer des Klägers Dritten zugänglich gemacht hat, behauptet der Kläger schon nicht (Antrag 3 a). Was die Unterlassung einer Verwendung der Telefonnummer anbelangt, liegt es jederzeit in der Hand des Klägers, dies in den Einstellungen zu verändern. Dass die Beklagte entgegen der von einem Nutzer getroffenen Einstellungen Telefonnummern freigibt oder anderweitig nutzt, hat der Kläger schon nicht behauptet. | Abs. 32 |
| d. Der Kläger hat auch keinen Anspruch auf eine weitergehende Auskunft gemäß Art. 15 DSGVO. Mit Schreiben vom 18.07.2022 hat die Beklagte dem Kläger Auskunft über die von ihr verarbeiteten Daten in angemessener Weise zur Verfügung gestellt. Welche Daten von dem Kläger „gescrapt“ worden sind, ist der Klägerseite – wie sich aus dem Schriftsatz vom 05.10.2022 ergibt – bereit bekannt, sodass auch diesbezüglich keine weitergehende Auskunftspflicht bestehen kann. Soweit der Kläger ferner Auskunft über die Empfänger der „Scraping-Daten“ verlangt, scheitert ein Anspruch an der erteilten Auskunft der Beklagten, sie sei zu weiteren Informationen nicht imstande. | Abs. 33 |
| e. Die Nebenforderungen (Ersatz vorgerichtlicher Rechtsanwaltskosten sowie Zinsen) teilen das Schicksal der Hauptforderungen. | Abs. 34 |
| II. | Abs. 35 |
| Als unterlegene Partei hat der Kläger die Kosten des Rechtsstreits zu tragen - § 91 Abs. 1 ZPO. Die Entscheidung zur vorläufigen Vollstreckbarkeit hat ihre Grundlage in § 708 Nr. 11, 711 ZPO. | Abs. 36 |
|
| |
| (online seit: 06.12.2022) | |
| Zitiervorschlag: Gericht, Datum, Aktenzeichen, JurPC Web-Dok, Abs. | |
