| LG Offenburg | |
| Urteil vom 28.02.2023 | |
| 2 O 98/22 | |
| Auslegung des Begriffes “Schaden” in Art. 82 DSGVO | |
|
JurPC Web-Dok. 32/2023, Abs. 1 - 72 | |
|
| |
| Leitsatz (der Redaktion): |
| Der Schaden im Sinn des Art. 82 Abs. 1 DSGVO liegt nicht bereits in der Verletzung der DSGVO als solcher, sondern vielmehr ist ein auf einem Verstoß gegen die DSGVO beruhender Schaden darzulegen, der kein Bagatellschaden sein darf. |
| Tatbestand | |
| Der Kläger macht Ansprüche wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung (DSGVO) geltend. | Abs. 1 |
| Die Beklagte betreibt die Social-Media-Plattform F. auf dem Gebiet der Europäischen Union, die über die Website www.f....com und Apps abrufbar ist. Der Kläger ist Nutzer von F.. Die Plattform ermöglicht den Nutzern etwa, ein persönliches Nutzerprofil zu erstellen und zu teilen. | Abs. 2 |
| Wird ein F.-Konto eröffnet, werden zur Erstellung eines Nutzerprofils verschiedene Daten abgefragt (siehe dazu Bl. 8 ff. d.A.). Der Kläger gab im Registrierungsprozess erforderlicherweise seinen Vor- und Nachnamen, sein Geschlecht und sein Geburtsdatum an. Dabei sind der angegebene Vor- und Nachname, eine von F. erstellte Benutzer-ID und das Geschlecht als „immer öffentliche Nutzerinformationen“ stets öffentlich auf dem eigenen Nutzerprofil zu finden. Der Veröffentlichung dieser Daten muss bei der Registrierung zugestimmt werden. Andere Daten, die dem Profil hinzugefügt werden können, sind dann von allen Profilbesuchern einzusehen, sofern dies die jeweiligen persönlichen Profileinstellungen („Zielgruppenauswahl“) vorsehen (zu den vom Kläger einsehbaren Profildaten siehe die Screenshots Bl. 98 d.A. und Anlage B 15). Zudem regeln die sogenannten Suchbarkeitseinstellungen, wer das Profil des Nutzers etwa anhand der Telefonnummer (mittels der sogenannten Kontakt-Import-Funktion) finden kann. | Abs. 3 |
| Der Kläger fügte nach der Registrierung seine Handynummer den Nutzereinstellungen hinzu. Diese Eingabe erfolgte freiwillig. Nach der Zielgruppenauswahl war die Handynummer auf dem Profil des Klägers nicht einzusehen. Nach den Suchbarkeitseinstellungen war die Suche nach dem klägerischen Profil mittels dessen Handynummer aktiviert. Bis zum Schluss der mündlichen Verhandlung waren die Suchbarkeitseinstellungen auf „alle“ gestellt (siehe den Screenshot Bl. 153 d.A. und den Screenshot Bl. 249 d.A.). | Abs. 4 |
| Dritte sammelten in der Zeit von Januar 2018 bis September 2019 mittels sogenannten Scraping (gemeint ist der Vorgang des Extrahierens, Kopierens, Speicherns sowie der Wiederverwendung fremder Inhalte im Netz) automatisiert Daten aus den F.-Profilen einer Vielzahl von Nutzern (im Folgenden: Scraping-Vorfall). Es handelte sich dabei um Profilinformationen, die entweder „immer öffentlich“ oder aber zu diesem Zeitpunkt aufgrund Profileinstellungen der Nutzer öffentlich einsehbar waren. Die durch die Scraper in diesem Zusammenhang verwendeten Telefonnummern wurden vermutlich mittels „Telefonnummernaufzählung“ generiert. Dabei machten sich die Scraper die Kontakt-Import-Funktion (Contact Importer Tool (CIT)) von F. zunutze. Mittels dieser Funktion war es Nutzern möglich, ihre Kontakte von ihren Mobilgeräten auf F. hochzuladen, um diese Kontakte auf F. zu finden und mit ihnen in Verbindung zu treten. Die Scraper erstellten Listen verschiedener potenzieller Telefonnummern und luden diese mittels der Kontakt-Import-Funktion hoch. Sofern eine Telefonnummer mit einem Nutzerprofil verknüpft war, wurde diese den gescrapten Daten des Nutzerprofils hinzugefügt. | Abs. 5 |
| Anfang April 2021 wurden die gescrapten Datensätze von ca. 533 Millionen F.-Nutzern inklusive der Telefonnummern, darunter Daten des Klägers, im Internet veröffentlicht. | Abs. 6 |
| Mit E-Mail vom 15.07.2021 (Anlage K 1) machte der Kläger über seine Prozessbevollmächtigten Zahlungs-, Unterlassungs- und Auskunftsansprüche geltend. Mit Schreiben vom 07.10.2021 (Anlage B 16) antworteten die Prozessbevollmächtigten der Beklagten, lehnten eine Zahlung und Unterlassung ab und nahmen insbesondere Bezug auf eine Anleitung bezüglich des „Access Your Information“-Tools und des „Deine Informationen herunterladen“-Tools zur Einsichtnahme in personenbezogene Daten. | Abs. 7 |
| Der Kläger behauptet, durch das Scraping seien Daten wie Telefonnummer, Name, Wohnort und E-Mail-Adresse abgegriffen worden. In der Replik (Bl. 167 d.A.) behauptet er, der im Darknet für jedermann abrufbare Datensatz enthalte folgende personenbezogene Daten des Klägers: | Abs. 8 |
| „XXX“ | Abs. 9 |
| Dabei handele es sich um die Telefonnummer, die F.-ID, den Namen, Wohnort, Land und den Beziehungsstatus sowie die berufliche Tätigkeit des Klägers. | Abs. 10 |
| Er habe durch das Scraping und die Veröffentlichung der Daten einen erheblichen Kontrollverlust über seine Daten erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch seiner ihn betreffenden Daten verblieben. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Er erhalte seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Er habe sich mit dem Scraping-Vorfall und der Herkunft der Daten auseinandersetzen, den Sachverhalt ermitteln und sich um eine Auskunft gegenüber der Beklagten kümmern müssen. Er habe Stress, Komfort- und Zeiteinbußen erlitten. Der Vorfall habe zu einem Gefühl des Kontrollverlustes, des Beobachtetwerdens und der Hilfslosigkeit, mithin einem überschattenden Gefühl der Angst geführt. Wäre ihm bewusst gewesen, dass die Beklagte unzureichende Sicherheitsmaßnahmen hinsichtlich der Verknüpfbarkeit der Telefonnummer und der übrigen Daten ergriffen hätte, so hätte er die Option der Suche nach der Telefonnummer zu keinem Zeitpunkt aktiviert. | Abs. 11 |
| Der Kläger beantragt: | Abs. 12 |
| 1. Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. | Abs. 13 |
| 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. | Abs. 14 |
| 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, | Abs. 15 |
| a) personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, F.-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, | Abs. 16 |
| b) die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der F.-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird. | Abs. 17 |
| 4. Die Beklagte wird verurteilt der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten. | Abs. 18 |
| 5. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 627,13 EUR zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. | Abs. 19 |
| Die Beklagte beantragt, | Abs. 20 |
| die Klage abzuweisen. | Abs. 21 |
| Die Beklagte behauptet, dass die E-Mail-Adresse des Klägers nicht in den durch Scraping abgerufenen Daten enthalten gewesen sei. Im Übrigen halte die Beklagte keine Kopie der Rohdaten, welche die durch Scraping abgerufenen Daten enthalten würden. Daher habe dem Kläger auch lediglich mitgeteilt werden können, welche Datenkategorien betroffen sein könnten. Einen Missbrauch klägerischer Daten bestreitet die Beklagte mit Nichtwissen. | Abs. 22 |
| Das Gericht hat in der mündlichen Verhandlung vom 08.02.2023 den Kläger persönlich angehört. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die gewechselten Schriftsätze der Parteien samt Anlagen sowie auf das Protokoll der mündlichen Verhandlung vom 08.02.2023 Bezug genommen. | Abs. 23 |
| Entscheidungsgründe: | |
| Die Klage ist zulässig, aber unbegründet. | Abs. 24 |
| I. | Abs. 25 |
| Die Klage ist zulässig. | Abs. 26 |
| 1. Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 Alt. 2 EuGVVO (Brüssel IaVO). Gemäß Art. 1 Abs. 1 EuGVVO ist die EuGVVO sachlich anwendbar auf Zivil- und Handelssachen. Vorliegend handelt es sich um eine Zivilsache. Die deutsche Gerichtsbarkeit folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 Alt. 2 EuGVVO. Ein ausschließlicher Gerichtstand gemäß Art. 24 EuGVVO ist nicht ersichtlich. Gemäß Art. 18 Abs. 1 Alt. 2 EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Der Kläger ist gemäß Art. 17 Abs. 1 EuGVVO unzweifelhaft Verbraucher. Der Kläger hat seinen Wohnsitz im Bezirk des Landgerichts Offenburg. | Abs. 27 |
| Die internationale Zuständigkeit deutscher Gerichte ergibt sich ferner aus Art. 79 Abs. 2 DSGVO. Danach können Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Gemäß Art. 4 Nr. 7, 8 DSGVO sind Verantwortliche natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Auftragverarbeitende sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Die Beklagte ist Verantwortliche im Sinne dieser Normen. | Abs. 28 |
| 2. Die örtliche Zuständigkeit folgt aus Art. 18 Abs. 1 Alt. 2 EuGVVO und Art. 79 Abs. 2 S. 2 DSGVO, § 44 Abs. 1 S. 2 BDSG. | Abs. 29 |
| 3. Der Klageantrag zu 1) ist hinreichend bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Soweit die Beklagte eingewendet hat, der Kläger mache einen einzigen immateriellen Schadensersatz aufgrund verschiedener behaupteter Verstöße gegen die DSGVO und verschiedener Schäden geltend, trägt dies nicht die Unbestimmtheit. | Abs. 30 |
| Ein Klageantrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (siehe nur BGH, Urteil vom 21.11.2017 – II ZR 180/15, NJW 2018, 1259 Rn. 8 m.w.N.). | Abs. 31 |
| Die vom Kläger behaupteten Verstöße gegen die DSGVO knüpfen zeitlich an der Registrierung auf F., der späteren Eingabe der Handynummer, am behaupteten fehlenden Schutz der klägerischen Daten und fehlender Informationen über den Scraping-Vorfall seitens der Beklagten an. Sie bedienen als Auslöser allerdings allesamt den Scraping-Vorfall und die Veröffentlichung der Daten im Internet. Insoweit verbindet der vom Kläger geltend gemachte immaterielle Schaden die verschiedenen Verstöße zu einem Lebenssachverhalt. Soweit die behaupteten Verstöße eigenständig zu betrachten wären und einen jeweils eigenständigen Schadensersatzanspruch auslösen würden, stünden sie überdies in einem zulässigen, weil kumulativen Verhältnis zueinander (vgl. § 260 ZPO). | Abs. 32 |
| 4. Der Klageantrag zu 2) ist ebenfalls hinreichend bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Denn anders als die Beklagte meint, ist aus dem Inhalt des Klageantrags ersichtlich, dass es dem Kläger um den Ersatz „künftiger“ Schäden geht, die aus dem Scraping-Vorfall resultieren. Die Verwendung der Vergangenheitsform „entstanden sind“ mag missverständlich sein und einer Auslegung offenstehen, führt aber nicht zur Unbestimmtheit des Klageantrags. Denn ebenfalls hat der Kläger die Zukunftsform „noch entstehen werden“ verwendet, die offensichtlich mit dem Ersatz „künftiger“ Schäden vereinbar ist. | Abs. 33 |
| Zumal die Klägerseite mit der Replik vom 07.10.2022 (Bl. 194 d.A.) präzisierend mitgeteilt hat, dass der Klageantrag zu 2) auf den Ersatz künftiger materieller Schäden gerichtet ist. | Abs. 34 |
| Es bedarf zudem keiner Entscheidung, ob der Kläger das nach § 256 Abs. 1 ZPO erforderliche Feststellungsinteresse schlüssig behauptet hat. Denn dieses ist nur für ein stattgebendes Urteil echte Prozessvoraussetzung. Wenn die Klage hingegen – wie vorliegend – unbegründet ist, kann sie unabhängig von einem bestehenden Feststellungsinteresse aus sachlichen Gründen abgewiesen werden (vgl. BGH, Urteil vom 10.10.2017 – XI ZR 456/16, NJW 2018, 227 Rn. 16; siehe auch Zöller/Greger, 34. Aufl. 2022, § 256 ZPO Rn. 7). | Abs. 35 |
| 5. Auch der Klageantrag zu 3) ist zulässig. Der Begriff „Stand der Technik“ bzw. die Formulierung „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ ist auslegungsbedürftig, aber hinreichend bestimmt, § 253 Abs. 2 Nr. 2 ZPO. | Abs. 36 |
| Eine solch verallgemeinernde Formulierung ist hinzunehmen. Der Stand der Technik beschreibt einen Zustand, der aufgrund der sich ständig wandelnden Technik aktuell vorherrscht, sich aber gleichermaßen rasch ändern kann. Insoweit ist es dem Kläger unmöglich, den derzeitigen Stand der Technik explizit zu benennen. Je nach dem Stand der Technik sind dabei verschiedene, aufeinander aufbauende Sicherheitsmaßnahmen möglich, die nicht näher konkretisiert werden können. Es bedeutet keinen effektiven Rechtsschutz, müsste bei einer solchen expliziten Benennung erneut geklagt werden, sobald sich der Stand der Technik und mithin die Sicherheitsmaßnahmen ändern (so auch LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22, GRUR-RS 2022, 30480 Rn. 16; LG Bielefeld, Urteil vom 19.12.2022 – 8 O 182/22, juris Rn. 31; vgl. im Übrigen auch BGH, Urteil vom 21.05.2015 – I ZR 183/13, GRUR 2015, 1237 Rn. 13). | Abs. 37 |
| Die weiteren von den Parteien in diesem Zusammenhang diskutierten Aspekte betreffen nach Auffassung des Gerichts Fragen der Begründetheit des Antrags, nicht der Bestimmtheit im Rahmen der Zulässigkeit. | Abs. 38 |
| II. | Abs. 39 |
| Die Klage ist unbegründet. | Abs. 40 |
| 1. Der Kläger hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DSGVO oder einer anderen denkbaren Anspruchsgrundlage. Unabhängig vom Vorliegen der Anspruchsvoraussetzungen im Übrigen, fehlt es jedenfalls am Eintritt eines immateriellen Schadens. | Abs. 41 |
| Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Kontrovers diskutiert wird, unter welchen Voraussetzungen ein ersatzfähiger immaterieller Schadensersatz entsteht und sodann gewährt werden kann (vgl. dazu die Zusammenfassung bei Korch, NJW 2021, 978). | Abs. 42 |
| Das Merkmal des immateriellen Schadens ist autonom auszulegen (für alle: Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17 ff.). Erwägungsgrund 146 (und in diesem S. 3) zur DSGVO sieht vor, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DSGVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein nationales Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt (vgl. dazu BVerfG, Beschluss vom 14.01.2021 – 1 BvR 2853/19, NJW 2021, 1005 Rn. 19 f.). | Abs. 43 |
| Dabei ist davon auszugehen, dass der Schaden im Sinn des Art. 82 Abs. 1 DSGVO nicht bereits in der Verletzung der DSGVO als solcher liegt, sondern vielmehr ein auf einem Verstoß gegen die DSGVO beruhender Schaden darzulegen ist (OLG Frankfurt a.M., Urteil vom 02.03.2022 – 13 U 206/20, GRUR-RS 2022, 4491 Rn. 61 ff.; OLG Brandenburg, Beschluss vom 21.06.2021 – 1 U 69/20, juris Rn. 20; OLG Bremen, Beschluss vom 16.07.2021 – 1 W 18/21, juris Rn. 2; LG Essen, Urteil vom 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818 Rn. 75; LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22, GRUR-RS 2022, 30480 Rn. 18). Das Erfordernis eines zusätzlich zum Verstoß gegen die DSGVO eintretenden Schadens folgt dabei bereits aus dem Wortlaut des Art. 82 Abs. 1 DSGVO, der davon spricht, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz hat. Die Regelung setzt damit voraus, dass es auch Verstöße geben kann, die nicht in einem Schaden resultieren, und lässt somit erkennen, dass es gerade keinen Gleichklang gibt zwischen einem Verstoß gegen die DSGVO und dem immateriellen Schaden (OLG Frankfurt a.M., Urteil vom 02.03.2022 – 13 U 206/20, GRUR-RS 2022, 4491 Rn. 61; LG Frankfurt, Urteil vom 30.12.2022 – 2-31 O 148/22, juris Rn. 29; siehe auch OLG Bremen, Beschluss vom 16.07.2021 – 1 W 18/21, juris Rn. 2). | Abs. 44 |
| Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich aus der DSGVO nicht. Bagatellschäden sind daher nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist (OLG Frankfurt a.M., Urteil vom 02.03.2022 – 13 U 206/20, GRUR-RS 2022, 4491 Rn. 61 ff.; OLG Bremen, Beschluss vom 16.07.2021 – 1 W 18/21, juris Rn. 2; LG Essen, Urteil vom 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818 Rn. 75; LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22, GRUR-RS 2022, 30480 Rn. 18; LG Bielefeld, Urteil vom 19.12.2022 – 8 O 182/22, juris Rn. 36). Diesen muss der Kläger darlegen und gegebenenfalls beweisen (vgl. OLG Frankfurt a.M., Urteil vom 02.03.2022 – 13 U 206/20, GRUR-RS 2022, 4491 Rn. 57, 65; OLG Brandenburg, Beschluss vom 21.06.2021 – 1 U 69/20, juris Rn. 20; Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 20 m.w.N.). | Abs. 45 |
| Auch und gerade unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, kann das Gericht nicht erkennen (§ 287 Abs. 1 ZPO), dass der Kläger einen solchen Schaden tatsächlich erlitten hat. | Abs. 46 |
| Die in den Schriftsätzen beschriebenen formelhaften Ängste und Sorgen, das Unwohlsein, die aufgewendete Zeit und der Stress haben sich in der persönlichen Anhörung in der mündlichen Verhandlung nicht gezeigt. Sie sind Teil einer Klageschrift und Replik, die mit dem gleichen Inhalt in einer Vielzahl von Verfahren rechtshängig wurden. Schon deswegen war der persönliche Eindruck des erkennenden Gerichts vom Kläger in seiner Anhörung in der mündlichen Verhandlung entscheidend. In dieser hat der Kläger zunächst geschildert, er habe sich spätestens im Jahr 2001 auf F. angemeldet. Sein F.-Konto bestehe bis heute noch, wobei er dieses noch lediglich sporadisch nutze. | Abs. 47 |
| Es ist festzuhalten, dass alle Daten – bis auf die Handynummer – aus dem öffentlichen Profil des Klägers „abgelesen“ wurden, die der Kläger bereitwillig dort selbst eingetragen hat. Ein Identitätsdiebstahl hat insoweit nicht stattgefunden. Soweit diese Daten öffentlich waren, standen sie bereits bei ihrer Eingabe nicht mehr unter der ausschließlichen klägerischen Kontrolle. Das Gefühl eines Kontrollverlustes kann sich daraus gerade nicht nachvollziehbar ergeben. | Abs. 48 |
| Soweit die Klägerseite schriftsätzlich Ängste und Misstrauen bezüglich Spam-E-Mails und Spam-SMS dargelegt hat, ist unklar, ob diese E-Mails und SMS tatsächlich im Zusammenhang mit dem Scraping-Vorfall verschickt wurden. Es ist gerichtsbekannt, dass auch Inhaber von Mobilfunknummern, die niemals bei F. angemeldet waren, Spam-E-Mails und Spam-SMS enthalten. Zumal ein geschärftes Bewusstsein beim Erhalt von E-Mail und SMS sowie ein sorgsamer Umgang mit persönlichen Daten, wie ihn auch der Kläger bei seiner Anhörung geschildert hat, stets angezeigt ist. Bezüglich der E-Mail-Adresse lässt sich im Übrigen schon gar nicht feststellen, ob diese überhaupt von dem Scraping-Vorfall betroffen ist. Während dies in der Klage noch behauptet wurde (siehe Bl. 24 d.A.) – was die Beklagte bestritten hat –, ergibt sich aus dem mit der Replik mitgeteilten Datensatz (Bl. 167 d.A.), dass dieser die E-Mail-Adresse des Klägers nicht umfasst. | Abs. 49 |
| Das Gericht konnte nicht erkennen, dass der Kläger sich tatsächlich „beobachtet“ gefühlt habe. Er wirkte nicht hilflos oder sah sich zu einem reinen Objekt der Datenverarbeitung degradiert. Das Gericht hält schriftsätzlich behauptete Sorgen und Ängste des Klägers nicht für glaubhaft. Der Kläger war bis zum Schluss der mündlichen Verhandlung auf F. angemeldet. Erkennbare Konsequenzen hat er nicht gezogen. So kann mit den Angaben des Klägers bei seiner persönlichen Anhörung eine Verhaltensänderung des Klägers bezüglich der Nutzung von Internet, E-Mail oder SMS im Hinblick auf seine Betroffenheit von dem Scraping-Vorfall gerade nicht festgestellt werden. | Abs. 50 |
| Im Hinblick auf die schriftsätzlichen Behauptungen ist ein solches Verhalten aber nicht plausibel. Der Kläger hat, und das ist mitentscheidend, entsprechende Suchbarkeitseinstellungen bezüglich seiner Handynummer bis zum Schluss der mündlichen Verhandlung überhaupt nicht geändert oder aber seine Handynummer aus den Nutzereinstellungen entfernt. So hat der Kläger in der mündlichen Verhandlung bekundet, er habe nach Kenntnis der Betroffenheit von dem Scraping-Vorfall sich die „Nutzereinstellungen“ seines F.-Kontos angesehen. Die Einstellung bezüglich der Handynummer sei so gewesen, dass eine Sichtbarkeit nur für ihn gegeben sei. Dies bezieht sich auf die Profileinstellungen. Eine Änderung der Einstellungen habe der Kläger nicht vorgenommen. Damit wurde auch eine Änderung der Suchbarkeitseinstellungen nicht vorgenommen. Selbst wenn dem Kläger vor Klageeinreichung – wie behauptet – die Einstellungsmöglichkeiten auf F. nicht intuitiv und nachvollziehbar vorgekommen sein sollten, hätte er die verschiedenen Einstellungsmöglichkeiten nunmehr mittels Klageerwiderung und eigener Replik nachvollziehen können müssen. Schließlich hat er die unterschiedlichen Suchbarkeitseinstellungen selbst vortragen lassen. | Abs. 51 |
| Das Gericht ist nicht davon überzeugt, dass der Kläger überhaupt irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Anders als schriftsätzlich vorgetragen, musste sich der Kläger gerade nicht mit der Beklagten selbst auseinandersetzen. Er musste insbesondere nicht selbst um Auskunft bitten oder weitere Nachforschungen bezüglich des Scraping-Vorfalls anstellen und hat dies auch nicht getan. Er musste auch nicht den Sachverhalt ermitteln. Er hat geschildert, dass ihn der Scraping-Vorfall, nachdem er aus den Medien von ihm erfahren habe, zunächst nicht näher interessiert habe. Zu einem späteren Zeitpunkt sei er auf die Internetseite der Kanzlei seiner nunmehrigen Prozessbevollmächtigten aufmerksam geworden und habe ein auf der Internetseite angebotenes Abfrageformular genutzt, um zu überprüfen, ob die eigene Handynummer betroffen sei. Dies sei der Fall gewesen. Sodann habe er den Auftrag zur Klageerhebung entweder online oder telefonisch erteilt. Die weitere Kommunikation mit seinen Prozessbevollmächtigten sei per E-Mail erfolgt. Er sei seitens seiner Prozessbevollmächtigten über den Sachstand informiert worden; ein- oder zweimal habe er von sich aus nach dem Bearbeitungsstand gefragt. Am Vortag der mündlichen Verhandlung habe er ein Telefonat mit seinen Prozessbevollmächtigten geführt. | Abs. 52 |
| Nach alledem kann das Gericht einen für den Kläger konkret entstandenen immateriellen Schaden nicht erkennen (§ 287 Abs. 1 ZPO). | Abs. 53 |
| Aufgrund der vorgenannten Ausführungen kommt es auf die Frage, ob und inwieweit die Beklagte gegen die DSGVO verstoßen hat, nicht an. Insbesondere ist es insoweit nicht von Belang, dass die für die Beklagte zuständige irische Datenschutzbehörde – wie der Kläger mit Schriftsatz vom 13.12.2022 vorträgt – im November 2022 wegen des 533 Mio. Datensätze betreffenden Scraping-Vorfalls eine Geldbuße in Höhe von 265 Mio. EUR gegen die Beklagte verhängt hat (vgl. Anlage K 3). | Abs. 54 |
| Eine Vorlagepflicht nach Art. 267 Abs. 2 und Abs. 3 AEUV bestand nicht (vgl. BVerfG, Beschluss vom 14.01.2021 – 1 BvR 2853/19, NJW 2021, 1005 Rn. 10). | Abs. 55 |
| 2. Der Feststellungsantrag zu 2) ist unbegründet, weil der Eintritt künftiger Schäden – auch mangels Vorliegens eines bisherigen Schadens – nicht hinreichend wahrscheinlich ist (vgl. dazu BGH, Urteil vom 06.03.2001 – KZR 32/98, juris Rn. 9; OLG Karlsruhe, Urteil vom 24.03.1998 – U 4/97 BSch, juris Rn. 55; siehe auch OLG Karlsruhe, Beschluss vom 18.03.2021 – 1 U 183/20, juris Rn. 6). Das gilt auch unter Berücksichtigung des Umstands, dass es dem Kläger mit dem Feststellungsantrag nicht um künftige immaterielle, sondern um künftige materielle Schäden geht. | Abs. 56 |
| Es ist weder vorgetragen noch ersichtlich, dass dem Kläger aufgrund der im Rahmen des Scraping-Vorfalls erzeugten Kombination aus öffentlich zugänglichen Daten des F.-Profils des Klägers und der Handynummer irgendwelche künftigen materiellen Schäden entstehen können. Zumal der Scraping-Vorfall mittlerweile mindestens ca. dreieinhalb Jahre und die Veröffentlichung der gescrapten Daten im Internet knapp zwei Jahre zurückliegt und der Kläger bei seiner persönlichen Anhörung auch einen bereits erfolgten Wechsel seiner Handynummer mitgeteilt hat, hinsichtlich dessen mit den Angaben des Klägers nicht festzustellen ist, dass er bereits vor dem Scraping-Vorfall erfolgte, so dass auch nicht von einer Wahrscheinlichkeit ausgegangen werden kann, dass dem Kläger künftige Kosten in Zusammenhang mit einem durch den Scraping-Vorfall veranlassten Wechsel seiner Handynummer entstehen werden. | Abs. 57 |
| 3. Auch der mit dem Klageantrag zu 3) geltend gemachte Unterlassungsanspruch (§§ 1004 analog, 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1, Art. 17 DSGVO) unterliegt der Abweisung. | Abs. 58 |
| Es ist unstreitig, dass die Beklagte die Kontakt-Import-Funktion (Contact Importer Tool (CIT)) als Reaktion auf den Scraping-Vorfall in der früheren Form nicht mehr bereitstellt und Abhilfemaßnahmen ergriffen hat. Eine – grundsätzlich durch einen einmaligen Verstoß indizierte – Wiederholungsgefahr kann auf dieser Grundlage nicht mehr angenommen werden (vgl. BGH, Urteil vom 14.10.1994 – V ZR 76/93, juris Rn. 22; BeckOK BGB/Fritzsche, 64. Ed. 01.11.2022, BGB § 1004 Rn. 94). Zumal die Klägerseite mit der Klageschrift (Bl. 33 d.A.) selbst vorgetragen hat, dass die Beklagte nach dem Bekanntwerden des Vorfalls durch die Sicherstellung von Sicherheitsmaßnahmen nach dem Stand der Technik die Möglichkeit des Datenabgriffs bzw. der Datenzusammenführung verhindert hat. | Abs. 59 |
| Zudem liegt es jederzeit in der Hand des Klägers, der spätestens mit den im vorliegenden Verfahren gewechselten Schriftsätzen über die Möglichkeit der Suchbarkeitseinstellungen bei F. umfassend informiert ist, die Suchbarkeitseinstellungen zu verändern. Dass die Beklagte entgegen der von einem Nutzer getroffenen Profileinstellungen oder Suchbarkeitseinstellungen Telefonnummern freigibt oder anderweitig nutzt, hat auch der Kläger nicht behauptet. | Abs. 60 |
| 4. Der mit dem Klageantrag zu 4) verfolgte Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO unterliegt der Abweisung, weil dieser nach Überzeugung des Gerichts durch das außergerichtliche Schreiben der Beklagten vom 07.10.2021 (Anlage B 16) bereits erfüllt wurde (§ 362 Abs. 1 BGB). | Abs. 61 |
| Weitergehende Auskunft kann der Kläger nicht verlangen. Ihm ist nämlich einerseits bekannt, welche Daten durch den Scraping-Vorfall erlangt und veröffentlicht wurden. Schließlich hat er in der Replik vom 07.10.2022 (Bl. 167 d.A.) den behaupteten Datensatz | Abs. 62 |
| „XXX“ | Abs. 63 |
| selbst vorgelegt. Andererseits hat die Beklagte glaubhaft vorgetragen, sie selbst halte keine „Rohdaten“ des Scraping-Vorfalls. | Abs. 64 |
| Nicht beantwortet wird durch die Beklagte in dem außergerichtlichen Schreiben, welchen Empfängern die Daten des Klägers durch Ausnutzung der Kontakt-Import-Funktion im Sinne des Art. 15 Abs. 1 lit. c) DSGVO zugänglich gemacht wurden. Das Scraping ist allerdings von außen erfolgt, und es nicht erkennbar, wer diese Daten gescrapt hat. Die begehrte Auskunftserteilung ist aufgrund des Vorgangs des Scrapings unter Ausnutzung von Daten, die öffentlich sichtbar sind, unmöglich. Ebenso ist im Rechtssinne unmöglich (und es wird auch nicht näher dargelegt, wie die Beklagte dazu imstande sein soll), zu informieren, wann genau – in dem mit der Klageerwiderung bereits mitgeteilten Zeitraum von Januar 2018 bis September 2019 (Bl. 77 d.A.) – die Daten gescrapt wurden. Die Beklagte hat dem Kläger im Ergebnis also alle Informationen mitgeteilt, die ihr im Zuge des Scraping-Vorfalls zur Verfügung standen. Weitere Angaben kann sie nicht machen. Sie ist folglich hierzu auch nicht verpflichtet. | Abs. 65 |
| 5. Die Nebenforderungen (Klageantrag zu 5) teilen das Schicksal der übrigen Klageanträge und unterliegen der Abweisung. | Abs. 66 |
| III. | Abs. 67 |
| Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO. Der Ausspruch über die vorläufige Vollstreckbarkeit folgt aus § 708 Nr. 11, 711 ZPO. | Abs. 68 |
| IV. | Abs. 69 |
| Soweit mit dem Klägerschriftsatz vom 10.02.2023 neuer tatsächlicher Vortrag gehalten wurde, war dieser gemäß § 296a ZPO nicht zu berücksichtigen, da der Vortrag erst nach Schluss der mündlichen Verhandlung erfolgte, Schriftsatznachlass (§ 283 ZPO) weder beantragt noch gewährt worden war und eine Veranlassung zur Wiedereröffnung der Verhandlung (§ 156 Abs. 1 ZPO) nicht bestand. | Abs. 70 |
| V. | Abs. 71 |
| Der Streitwert wird gemäß § 3 ZPO auf 7.000,00 EUR festgesetzt. | Abs. 72 |
|
| |
| (online seit: 07.03.2023) | |
| Zitiervorschlag: Gericht, Datum, Aktenzeichen, JurPC Web-Dok, Abs. | |
