LG Lübeck, Urteil vom 16.02.2024, Az. 15 O 214/23
Art. 81 Abs. 1 DSGVO
Das LG Lübeck hat entschieden, dass ein Beweisantritt für eine auf Grund eines Datenlecks erfolgten Weitergabe von personenbezogenen Daten an Dritte nicht mittels der INternetplattform https:///haveibeenpwned.com erfolgen kann. Dort kann unter Eingabe der E-Mail-Adresse eines Nutzers dessen Betroffenheit von einem Datenleck erfragt werden. Aus einer Bestätigung ergebe sich allerdings nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend seien, so die Kammer. Es sei nicht bekannt, auf welcher Grundlage der Betreiber der Internetseite https:///haveibeenpwned.com die Betroffenheit individueller Nutzer ermittele. Es sei wohl auch nicht Sinn und Zweck dieser Internetseite, einen gerichtsfesten Beweis für die Betroffenheit des jeweiligen Nutzers, der seine E-Mail-Adresse dort eingibt, zu erbringen. Der Verweis des Bundesamtes für Sicherheit in der Informationstechnik in einer Pressemitteilung auf die Internetseite https:///haveibeenpwned.com, reiche ebenfalls nicht für den Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com richtig seien. Die Kammer verwies im Übrigen auch auf die Entscheidung LG Stuttgart, Urteil vom 24.01.2024, Az. 27 O 92/23. Zum Volltext der Entscheidung:
Landgericht Lübeck
Urteil
…
Die Klage wird abgewiesen.
Der Kläger hat die Kosten des Rechtsstreits zu tragen.
Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.
Der Streitwert wird auf 10.500,00 EUR festgesetzt.
Tatbestand
Die Klägerseite macht gegen die Beklagte Ansprüche wegen der Verletzung der Datenschutzgrundverordnung im Zusammenhang mit einem sog. Scraping-Vorfall geltend.
Die Beklagte betreibt eine globale Echtzeitkommunikationsplattform („Twitter-Dienst“) im Internet (www.twitter.com) für Nutzer, die in der Europäischen Union, den EFTA-Staaten und dem Vereinigten Königreich leben. Der Twitter-Dienst wurde zwischenzeitlich im Jahr 2023 in „X“ umbenannt, nachfolgend wird jedoch weiterhin die zum Zeitpunkt der streitgegenständlichen Vorgänge verwendete Bezeichnung „Twitter-Dienst“ verwendet.
Bevor ein in Deutschland lebender Nutzer den Twitter-Dienst vollumfänglich nutzen kann, muss er den Registrierungsvorgang, der mehrere Schritte umfasst, erfolgreich durchlaufen. Die Registrierung erfolgt mittels einer E-Mail-Adresse oder einer Telefonnummer. Außerdem hat der Nutzer zusätzlich mindestens seinen Namen und sein Geburtsdatum anzugeben. Sofern für die Registrierung eine E-Mail-Adresse verwendet wird, kann diese jeweils nur mit einem einzigen Account auf dem Twitter-Dienst verknüpft werden. Der Nutzer legt im Rahmen des Registrierungsprozesses für seinen Twitter-Account einen Nutzernamen und einen Anzeigenamen fest. Der Nutzername beginnt dabei immer mit dem Symbol „@“. Anhand des Nutzernamens können andere Nutzer nach dem Account suchen. Der Anzeigename ist dagegen eine persönliche Kennung auf dem Twitter-Dienst und von dem Nutzernamen zu unterscheiden. Es kann sich bei dem Anzeigenamen um einen Firmennamen oder einen echten Namen handeln, aber auch z.B. um ein Wortspiel. Der Anzeigename wird neben dem Nutzernamen angezeigt.
Nutzer können zum Schutz ihrer Privatsphäre auf dem Twitter-Dienst eine Vielzahl von Einstellungen vornehmen. Sie können verschiedene Anpassungen hinsichtlich ihrer Auffindbarkeit für andere Nutzer vornehmen, was sowohl für die E-Mail-Adresse als auch Telefonnummer gilt. Die Auffindbarkeit über E-Mail-Adresse bzw. Telefonnummer ist für in Deutschland lebende Nutzer grundsätzlich standardmäßig deaktiviert und muss durch den entsprechenden Nutzer selbst in den Einstellungen aktiviert werden.
Bei der Beklagten bestand im Juni 2021 eine offene API-Schnittstelle. Unter einer API-Schnittstelle ist eine Software-Schnittstelle zu verstehen, die es zwei unabhängigen Softwarekomponenten ermöglicht, Informationen auszutauschen. Diese offene Schnittstelle ermöglichte es Hackern, durch das Probieren zufällig gewählter E-Mail-Adressen und Mobiltelefonnummern im Falle eines „Treffers“ – d.h. einer real existenten und bei Twitter hinterlegten E-Mail-Adresse oder Telefonnummer – aus den Systemen von Twitter die für den Nutzer vergebene Identifikationsnummer (Twitter-ID) zu erhalten und damit die Twitter-Accounts der betroffenen Nutzer aufzufinden. Ob die offene Schnittstelle es darüber hinaus ermöglichte, bei Twitter hinterlegte, vom jeweiligen Nutzer aber nicht auf seinem Account öffentlich gemachte Daten, wie bspw. Klarname und Geburtsdatum aus den Systemen von Twitter zu erlangen, ist zwischen den Parteien streitig.
Öffentlich bekannt wurde der API-Bug, nachdem im Sommer 2022 hieraus erlangte Daten im Internet angeboten wurden. Am 05.08.2022 veröffentlichte die Beklagte eine Pressemitteilung und gab hierbei auszugsweise an:
„Ein Vorfall, der einige Konten und private Informationen auf Twitter betrifft
Wir möchten Sie über eine Schwachstelle informieren, die es jemandem ermöglichte, eine Telefonnummer oder E-Mail-Adresse in den Anmeldeablauf einzugeben, um herauszufinden, ob diese Informationen mit einem bestehenden Twitter-Konto verknüpft waren, und wenn ja, mit welchem spezifischen Konto. Wir nehmen unsere Verantwortung zum Schutz Ihrer Privatsphäre sehr ernst und es ist bedauerlich, dass dies geschehen ist. Sie müssen zwar keine konkreten Maßnahmen zu diesem Problem ergreifen, aber wir möchten Ihnen mehr darüber mitteilen, was passiert ist, welche Schritte wir unternommen haben, und einige Best Practices zum Schutz Ihres Kontos.
Was ist passiert
Im Januar 2022 erhielten wir über unser Bug-Bounty-Programm einen Bericht über eine Schwachstelle in den Systemen von Twitter. Wenn jemand eine E-Mail-Adresse oder Telefonnummer an die Systeme von Twitter übermittelte, teilten die Systeme von Twitter der Person infolge der Schwachstelle mit, mit welchem Twitter-Konto die übermittelten E-Mail-Adressen oder Telefonnummern verknüpft waren, falls vorhanden. Dieser Fehler resultierte aus einer Aktualisierung unseres Codes im Juni 2021. Als wir davon erfuhren, haben wir ihn sofort untersucht und behoben. Zu diesem Zeitpunkt hatten wir keine Hinweise darauf, dass jemand die Schwachstelle ausgenutzt hätte. Im Juli 2022 erfuhren wir durch einen Pressebericht, dass jemand dies möglicherweise ausgenutzt hatte und anbot, die von ihm zusammengestellten Informationen zu verkaufen. Nachdem wir eine Stichprobe der zum Verkauf stehenden Daten überprüft hatten, bestätigten wir, dass ein Angreifer das Problem ausgenutzt hatte, bevor es angegangen wurde. Wir werden die Kontoinhaber direkt benachrichtigen, von denen wir bestätigen können, dass sie von diesem Problem betroffen sind. Wir veröffentlichen dieses Update, weil wir nicht jedes potenziell betroffene Konto bestätigen können und besonders auf Personen mit pseudonymen Konten achten, die von staatlichen oder anderen Akteuren ins Visier genommen werden können.“
Die Klägerseite hat sich bei Twitter mit ihrer E-Mail-Adresse …….bei der Beklagten registriert.
Ob der Twitter-Account der Klägerseite von dem API-Bug betroffen ist, also von ihr relevante Daten beim streitgegenständlichen Vorfall abgegriffen und neu verknüpft wurden, ist zwischen den Parteien streitig. Eine individuelle Benachrichtigung der Beklagten wegen des API-Bugs erhielt die Klägerseite nicht. Mit Anwaltsschriftsatz vom 12.04.2023 (Anlage K7) machte die Klägerseite gegenüber der Beklagten Ansprüche auf Auskunft, Unterlassung und Schmerzensgeld geltend. Mit Anwaltsschriftsatz vom 08.05.2023 (Anlage K7a) wies die Beklagte die Ansprüche zurück.
Die Klägerseite behauptet, ihr Twitter-Account sei von dem API-Bug betroffen und persönliche Daten von ihr an Dritte übermittelt worden seien. Zum Nachweis dafür bezieht sie sich auf eine Positivmeldung auf der Website „haveibeenpawned.com“ (vollständig wiedergegeben in Anlage K5).
Die Klägerseite ist der Auffassung, die Beklagte habe mehrere Vorgaben der DSGVO verletzt. Sie habe insbesondere personenbezogene Daten ohne Rechtsgrundlage (unbefugten) Dritten zugänglich gemacht. Der API-Bug sei nur möglich gewesen, weil die Beklagte keine ausreichenden Sicherungsmaßnahmen ergriffen habe. Die Beklagte hafte der Klägerseite daher nach Art. 82 DSGVO auf Schadensersatz sowie Auskunft und Unterlassung.
Das Datenleck habe zur Folge gehabt, dass die Klägerseite sowohl per E-Mail in erheblichem Umfang Spam-Nachrichten und auch unseriösen Telefonanrufen ausgesetzt sei. Sie habe einen erheblichen Kontrollverlust über ihre Daten erlitten, welcher großes Unwohlsein und große Sorge über einen möglichen Missbrauch der sie betreffenden Daten ausgelöst habe. Sie habe ein verstärktes Misstrauen gegenüber E-Mails und Online-Dienstleistungen entwickelt.
Mit Schriftsatz vom 24.01.2024 (S. 19, V.) hat die Klägerseite den Rechtsstreit hinsichtlich des Klageantrags Ziffer 5, mit dem sie ursprünglich beantragte, „Die Beklagte zu verurteilen, dem Kläger Auskunft über die personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch die Nutzung der API-Schnittstelle erlangt werden konnten“, für erledigt erklärt. Die Beklagte hat sich dieser Teilerledigungserklärung mit Schriftsatz vom 08.02.2024 (Rn 61) angeschlossen.
Die Klägerseite beantragt:
1.
Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Handynummer bzw. Mailadresse der Klägerseite sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 3.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB, seit Ablauf der mit Anspruchsschreiben vom 12.04.2023 gesetzten Frist am 23.04.2023, zu zahlen;
2.
Die Beklagte wird verurteilt, an die Klägerseite für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 2.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB zu zahlen;
3.
Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2021 erfolgte, entstanden sind und/oder noch entstehen werden;
4.
Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu € 250.000,00, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, namentlich Telefonnummer und Mailadresse sowie die Twitter-ID Dritten über eine API-Schnittstelle zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen;
5.
Die Beklagte wird verurteilt, die Klägerseite von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von € 1.305,43 nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit freizustellen.
Die Beklagte beantragt, die Klage abzuweisen.
Die Beklagte trägt vor, die Klägerseite sei von dem im Jahr 2021 aufgetretenen Softwarefehler nicht betroffen. Sie führt dazu aus, selbst erst im Januar 2022 durch ihr „Bug Bounty“-Programm von dem API-Bug erfahren zu haben. Dieser API-Bug ermögliche es Dritten insbesondere nicht, die E-Mail-Adresse, Telefonnummer oder den Nutzernamen eines Nutzers direkt aus den Systemen von Twitter zu erhalten.
Sie behauptet, eine gründliche Untersuchung des von der Klägerseite beschriebenen Vorfalls durchgeführt zu haben. Dabei sei festgestellt worden, dass mit Hilfe des API-Bugs weder die E-Mail-Adresse noch die Telefonnummer oder der Nutzername eines Nutzers direkt aus dem System der Beklagten habe erhalten werden können. Das Problem sei in den umgehenden Untersuchungen behoben worden. Twitter habe am 08.01.2022 die für Twitter International zuständige Datenschutzbehörde (Irish Data Protection Commission) über diese Umstände informiert und auch im Weiteren über die Umstände in Kenntnis gesetzt.
Zu der individuellen Betroffenheit trägt die Beklagte vor, eine interne Überprüfung habe ergeben, dass 5,4 Millionen Nutzer des Twitter-Dienstes von dem API-Bug im Jahr 2021 betroffen gewesen seien, wozu der Account der Klägerseite nicht gehöre, weshalb auch keine Mitteilung an die Klagepartei erfolgt sei. Die von der Klägerseite geltend gemachten Ansprüche scheiterten daher schon an ihrer fehlenden Betroffenheit. Mangels Betroffenheit der Klägerseite sei dieser gegenüber auch keine Auskunftspflicht nach Art. 15 DSGVO verletzt worden, jedenfalls habe die Beklagte spätestens mit ihrer Klageerwiderung der Auskunftspflicht genügt. Zudem lägen der Beklagten auch keine weitergehenden Informationen vor, die der Klägerseite nicht bereits durch den von der Beklagten veröffentlichten Blogeintrag vom 05.08.2022 bekannt gewesen wären. Dies betreffe auch die Frage, wann die Daten durch Ausnutzung des API-Bugs gescraped wurden. Auch ein Unterlassungsanspruch scheide aus, da die DSGVO keine Anspruchsgrundlage für das klägerische Begehren vorsehe und ein Rückgriff auf nationales Recht, namentlich § 1004 BGB, ausgeschlossen sei, da die Vorschriften der DSGVO abschließend seien und sich aus dieser gerade keine entsprechende Öffnungsklausel ergebe. Der Klägerseite stehe auch kein Feststellungsanspruch zu, da es bereits an der überwiegenden Wahrscheinlichkeit eines zukünftigen materiellen oder immateriellen Schadenseintritts mangele. Es fehle der Klägerseite bereits an dem erforderlichen Feststellungsinteresse, da es an der tatsächlichen Betroffenheit der Klägerseite von dem API-Bug fehle.
Entscheidungsgründe
I.
Die Klage ist mit Ausnahme des Antrages zu 4. zulässig, im Übrigen unbegründet.
1. Die Klage ist mit Ausnahme des Antrages zu 4. zulässig.
a. Das Landgericht Lübeck ist in internationaler, sachlicher und örtlicher Hinsicht zuständig.
aa. Die internationale Zuständigkeit der deutschen Gerichtsbarkeit folgt aus Art. 79 Abs. 2 S. 2 DSGVO, nachdem die Klägerseite ihren gewöhnlichen Aufenthalt in Deutschland hat.
aaa. Gemäß § 79 Abs. 2 DSGVO sind für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter im Ausgangspunkt die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Nach S. 2 der Vorschrift können solche Klagen wahlweise auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich – was vorliegend nicht der Fall ist – bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Sinn und Zweck dieser Zuständigkeitsregelung ist die Gewährleistung (und Erleichterung) eines effektiven Rechtsschutzes durch die betroffenenfreundliche Möglichkeit einer Klageerhebung am Aufenthaltsort, wobei damit nicht der „tatsächliche“, sondern der „gewöhnliche“ Aufenthaltsort gemeint ist, wie der Wortlaut der englischen Sprachfassung („habitual residence“) verdeutlicht (Spindler/Dalby, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 79 Rn. 19).
Diese Voraussetzungen liegen vor. Die Beklagte ist Verantwortliche bzw. Auftragsverarbeitende im Sinne der DSGVO. Gemäß Art. 4 Nr. 7, 8 DSGVO sind Verantwortliche natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Auftragsverarbeitende sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Die Beklagte hat vorliegend als Betreiberin des Twitter-Dienstes allein über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu entscheiden, sodass sie insoweit als Verantwortliche im Sinne der DSGVO anzusehen ist; sie ist auch keine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.
Die Klägerseite als betroffene Person hat ihren Wohnsitz in….., sodass die deutsche Gerichtsbarkeit international zuständig ist.
bbb. Es kann offenbleiben, ob Art 79 Abs. 2 DSGVO in seinem vorliegend eröffneten Anwendungsbereich die allgemeinen Zuständigkeitsvorschriften der EuGVVO verdrängt (in diesem Sinne etwa Bergt in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, DS-GVO Art. 79 Rn. 15 m.w.N., Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Auflage 2017, Teil 8: Rechtsbehelfe, Haftung und Sanktionen Rn. 29) oder die Vorschriften daneben anwendbar bleiben (in diesem Sinne wohl Gola/Heckmann/Werkmeister, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2022, DS-GVO Art. 79 Rn. 15). Denn auch nach den Vorschriften der EuGVVO ist keine abweichende ausschließliche Zuständigkeit im Sinne des Art. 24 EuGVVO begründet, sondern folgt die internationale Zuständigkeit der deutschen Gerichtsbarkeit vorliegend sowohl aus Art. 7 Nr. 1 lit. b) als auch Art. 18 Abs. 1 Alt. 2, Art. 17 Abs. 1 lit. c) EuGVVO (vgl. (vgl. BGH, Urteil vom 29. Juli 2021 – III ZR 179/20 –, BGHZ 230, 347-389, Rn. 24). Nach Art. 18 EuGVVO kann ein Verbraucher gegen eine Vertragspartei, die ihre Tätigkeit auf den Mitgliedsstaat, in dem der Verbraucher seinen Wohnsitz hat, ausrichtet, vor dem Gericht seines Wohnsitzes Klage erheben.
Vorliegend nutzt die Klägerseite als Privatperson die Plattform (Twitter-Dienst) der Beklagten, die dabei gewerblich handelt und ihre Tätigkeit z.B. durch entsprechende Sprachoptionen auch speziell auf das Gebiet der Bundesrepublik und hier ansässige Nutzer ausgerichtet hat. Im Übrigen wäre aufgrund der Natur der Sache die Leistung der Beklagten, nämlich das Zurverfügungstellen der Nutzungs- und Kommunikationsmöglichkeiten, am Wohnsitz des Schuldners zu erbringen, so dass sich bereits aus Art. 7 Nr. 1 lit. b) 2. Spiegelstrich EuGVVO die internationale Zuständigkeit deutscher Gerichte ergibt.
bb. Das Landgericht Lübeck ist gemäß §§ 23, 71 GVG auch sachlich zuständig, weil der Zuständigkeitswert die Summe von 5.000,00 Euro übersteigt.
cc. Die örtliche Zuständigkeit des Landgerichts Lübeck folgt sowohl § 44 Abs. 1 S. 2 BDSG als auch aus Art. 7 Nr. 1 lit. b) EuGVVO.
aaa. Art. 79 Abs. 2 S. 1 DS-GVO regelt nur die internationale, nicht auch die örtliche Zuständigkeit (BR-Drs. 110/17, Anl., 111; Paal/Pauly/Frenzel, 3. Aufl. 2021, BDSG § 44 Rn. 1). Insoweit bestimmt § 44 Abs. 1 S. 2 BDSG, dass Klagen der betroffenen Person gegen einen Verantwortlichen oder einen Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der Verordnung (EU) 2016/679 oder der darin enthaltenen Rechte der betroffenen Person auch bei dem Gericht des Ortes erhoben werden können, an dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat. Diese Voraussetzungen liegen vor, nachdem die Klägerseite ihren gewöhnlichen Aufenthalt im hiesigen Gerichtsbezirk hat.
bbb. Im Übrigen folgt die örtliche Zuständigkeit auch aus Art. 7 Nr. 1 lit. b) EuGVVO, der – anders als die Art 17, 18 EuGVVO, die wie auch Art. 4 EuGVVO nur die internationale Zuständigkeit regeln – auch eine Regelung zur örtlichen Zuständigkeit enthält (Geimer in: Zöller, Zivilprozessordnung, 35. Aufl. 2024, Artikel 7 (Artikel 5 LugÜ), Rn. 1).
b. Die Klageanträge Ziffer 1. und 2. sind hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO.
Nach § 253 Abs. 2 Nr. 2 ZPO muss die Klageschrift neben einem bestimmten Antrag eine bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs enthalten. Damit werden der Streitgegenstand abgegrenzt und die Grenze der Rechtshängigkeit und der Rechtskraft festgelegt sowie Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts bestimmt. Eine ordnungsgemäße Klageerhebung erfordert dabei eine Individualisierung des Streitgegenstandes. Die Klägerseite muss die gebotene Bestimmung des Streitgegenstandes vornehmen und kann sie nicht zur Disposition des Gerichts stellen. Die nötige Bestimmtheit kann klägerseits durch die umfassende Darlegung von Berechnungs- bzw. Schätzgrundlagen und die Größenordnung seiner Vorstellungen, z.B. in Form eines Mindestbetrages, erreicht werden (Greger in: Zöller, Zivilprozessordnung, 35. Auflage 2024, § 253 Rn 1; MüKoZPO/Becker-Eberhard, 6. Auflage 2020, § 253 Rn 121). Diesem Erfordernis ist die Klagepartei nachgekommen, indem sie in Klageantrag Ziffer 1. einen Mindestbetrag in Höhe von 3.000,00 Euro und im Klageantrag Ziffer 2 einen solchen von 2.000,00 Euro angegeben hat.
c. Ob der Klageantrag Ziffer 3 zulässig ist kann dahinstehen, da er jedenfalls unbegründet ist (s. I. 2. c.).
d. Der Klageantrag zu 4. ist unzulässig, da er nicht hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO ist.
aa. Nach § 253 Abs. 2 Nr. 2 ZPO darf ein Unterlassungsantrag – und nach § 313 Abs. 1 Nr. 4 ZPO eine darauf beruhende Verurteilung – nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt. Eine hinreichende Bestimmtheit ist für gewöhnlich gegeben, wenn eine Bezugnahme auf die konkrete Verletzungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll (vgl. BGH, Urt. v. 11.02.2021, Az. I ZR 126/19, Rn 17, juris).
Aus diesem Grund sind Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, grundsätzlich als zu unbestimmt und damit als unzulässig anzusehen. Abweichendes kann gelten, wenn der gesetzliche Verbotstatbestand eindeutig und konkret gefasst ist, sein Anwendungsbereich durch eine gefestigte Auslegung geklärt ist oder der Kläger hinreichend deutlich macht, dass er kein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert. Die Bestimmtheit des Unterlassungsantrags setzt in solchen Fällen allerdings grundsätzlich voraus, dass zwischen den Parteien kein Streit darüber besteht, dass das beanstandete Verhalten das fragliche Tatbestandsmerkmal erfüllt. Die Wiedergabe des gesetzlichen Verbotstatbestands in der Antragsformulierung ist auch unschädlich, wenn sich das mit dem nicht hinreichend klaren Antrag Begehrte durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht in Frage steht, sondern sich deren Streit auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt. Eine auslegungsbedürftige Antragsformulierung kann im Übrigen hinzunehmen sein, wenn eine weitergehende Konkretisierung nicht möglich und die gewählte Antragsformulierung zur Gewährung effektiven Rechtsschutzes erforderlich ist (vgl. BGH, Urteil vom 26. Januar 2017 – I ZR 207/14 –, Rn. 18 m.w.N., juris).
bb. Hieran gemessen weist der Klageantrag zu Ziffer 4. keine ausreichende Bestimmtheit auf.
Der Antrag beschränkt sich bereits im Ausgangspunkt nicht auf die Wiedergabe des – überdies nicht eindeutig und konkret gefassten – gesetzlichen Verbotstatbestandes des Art. 32 Abs. 1 DSGVO, sondern greift aus den dort genannten, zur Gewährleistung eines angemessenen Schutzniveaus zu berücksichtigenden Umständen (Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen) isoliert den Stand der Technik heraus. Unabhängig davon, dass damit mit Blick auf die Begründetheit des Antrages bereits der Maßstab des Art. 32 Abs. 1 DSGVO verkürzt widergegeben wird, ist aus dem Antrag bei dieser Fassung nicht hinreichend ersichtlich, welche Maßnahmen die Beklagte konkret zur Erfüllung ihrer Pflicht zu ergreifen hat. Ohne eine solche Konkretisierung ist für die Beklagte aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde. Darüber hinaus wäre für das Vollstreckungsgericht – auch und insbesondere angesichts des unbestimmten Standes der Technik – nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Beklagten veranlasst werden müssten.
Dies gilt vorliegend umso mehr, als Gegenstand des Unterlassungsantrages nicht lediglich die Unterlassung der Gewährleistung desjenigen Schutzniveaus zum Zeitpunkt des streitgegenständlichen sogenannten „Scraping“ Vorfalles“ ist, sondern darüber hinausgehend und mit Blick auf etwaige zukünftige Entwicklungen und Verstöße die Unterlassung der Zugänglichmachung von personenbezogenen Daten über eine API-Schnittstelle ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen. In der Sache beansprucht die Klägerseite damit aber lediglich ein Verbot im Umfang des – zudem nur unvollständig berücksichtigten – Gesetzeswortlaut des Art 32 Abs. 1 DSGVO. Die auslegungsbedürftige Antragsformulierung lässt sich auch durch Auslegung unter Heranziehung des Sachvortrags der Klägerseite nicht eindeutig präzisieren, da insoweit kein Vortrag erfolgt ist. Sie ist entgegen der Auffassung der Klägerseite auch nicht unter dem Gesichtspunkt der Gewährung effektiven Rechtsschutzes ausnahmsweise hinzunehmen. Es steht der Klägerseite frei, eine hinreichende Konkretisierung zu erreichen, indem sie ihr Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert, was sie vorliegend nicht getan hat.
2. Die Klage ist in der Sache unbegründet. Der Klägerseite steht gegen die Beklagte kein Anspruch auf Schadensersatz, Unterlassung, Feststellung oder Freihaltung von vorgerichtlichen Rechtsanwaltskosten zu.
a. Ein Anspruch auf Zahlung von immateriellen Schadensersatz gemäß Art. 81 Abs. 1 DSGVO wegen Datenschutzverstößen im Zusammenhang mit dem unstreitigen API-Bug 2021, wie ihn die Klägerseite in ihrem Antrag Ziffer 1 gegen die Beklagte geltend macht, besteht nicht.
aa. Grundsätzlich gilt im Anwendungsbereich der DSGVO, dass jede Datenverarbeitung rechtswidrig ist, wenn nicht eine der in Art. 6 DSGVO genannten Bedingungen für eine rechtmäßige Datenverarbeitung erfüllt ist. Die rechtswidrige Datenverarbeitung kann sodann Schadensersatzansprüche nach Art. 82 DSGVO auslösen (BeckOK DatenschutzR/Albers/Veit, 42. Ed. 1.11.2021, DS-GVO Art. 6 Rn. 115).
Der Anwendungsbereich der DSGVO ist hier zwar eröffnet (dazu unter aaa.), auf Basis des streitigen Vorbringens der Parteien ist es allerdings nicht als durch die Klägerseite bewiesen anzusehen, dass diese von dem streitgegenständlichen API-Bug betroffen ist (dazu unter bbb.).
aaa. Der zeitliche Anwendungsbereich der DSGVO ist nach Art. 99 Abs. 2 DSGVO eröffnet, weil sich nach dem unbestrittenen Vortrag der klagenden Partei der streitgegenständliche Vorfall im Jahre 2021 ereignete. Auch ist die DSGVO räumlich (Art. 3 Abs. 1 DSGVO) und sachlich anwendbar (Art. 2 Abs. 1 DSGVO). Die Beklagte hat personenbezogene Daten im Sinne des Art. 4 Abs. 1 Nr. 1 DSGVO gemäß Art. 4 Abs. 1 Nr. 2 DSGVO verarbeitet, weil sie diese bezogen auf die Person der Klagepartei im Rahmen der von ihr betriebenen Plattform Twitter gespeichert und sie diese durch die Schaffung dieser Abfragemöglichkeiten Dritten gegenüber jedenfalls teilweise offengelegt hat. Die Beklagte ist Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO.
bbb. Die Klägerseite hat den Nachweis ihrer Betroffenheit von dem streitgegenständlichen API-Bug 2021 nicht erbracht.
Nach Art. 82 der DSGVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird; der bloße Verstoß gegen Bestimmungen der DSGVO reicht demnach nicht aus (EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 42, – juris; Urteil vom 14.12.2023, C-456/22, 21, – juris).
Ein Schadensersatzanspruch gemäß Art. 82 DSGVO setzt zunächst voraus, dass eine Verletzung des Schutzes personenbezogener Daten der Klägerseite vorgelegen hat. Dazu ist es erforderlich, dass der Twitter-Account der Klägerseite von dem API-Bug 2021 betroffen gewesen ist. Die Betroffenheit ist dabei von der Klägerseite zur vollen Überzeugung des Gerichts nachzuweisen, § 286 ZPO. Diesen Nachweis hat die Klägerseite nicht geführt.
Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person (vgl. EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 50; Urteile vom 14.12.2023, C-340/21, Rn. 84, – juris, und C-456/22, Tenor, S.2, GRUR-RS 2023, 35767; OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 151, – juris). Es kann dahingestellt bleiben, ob die Beklagte eine sekundäre Darlegungslast hinsichtlich der klägerseits aufgestellten Behauptung der Betroffenheit trifft, da sie dieser jedenfalls Genüge getan hätte.
i. Der Beweisantritt der Klägerin besteht darin, dass die von dem australischen Sicherheitsforscher ……betriebene Internetplattform https:///haveibeenpwned.com unter Eingabe der E-Mail-Adresse der Klägerseite ihre Betroffenheit ausweise. Der Aufbau dieser Internetseite ist der Kammer bekannt. Aus der Anlage K5 ist ersichtlich, was die Website bei Eingabe der klägerischen E-Mail-Adresse, mit der diese sich bei dem Twitter-Dienst registriert hat, für ein Ergebnis auswirft. Es trifft danach zu, dass die Internetseite https:///haveibeenpwned.com die Betroffenheit der Klägerin von dem API-Bug bei Twitter ausweist, was die Beklagte auch nicht ausdrücklich bestritten hat. Hieraus ergibt sich aber nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend sind und die Klägerseite von dem streitgegenständlichen API-Bug 2021 tatsächlich betroffen ist. Es ist nicht bekannt, auf welcher Grundlage der Betreiber der Internetseite https:///haveibeenpwned.com ….(oder…..) die Betroffenheit individueller Nutzer ermittelt. Mit dem, was dort auf der Internetseite https:///haveibeenpwned.com als Ergebnis ausgeworfen ist, ist damit lediglich dargetan, was ……behauptet. Damit ist aber gerade nicht der Nachweis geführt, dass die Klägerseite tatsächlich von dem streitgegenständlichen API-Bug betroffen ist. Es dürfte auch nicht Sinn und Zweck dieser Internetseite sein, einen gerichtsfesten Beweis für die Betroffenheit des jeweiligen Nutzers, der seine E-Mail-Adresse dort eingibt, zu erbringen.
ii. Schließlich genügt auch der Verweis des Bundesamtes für Sicherheit in der Informationstechnik in einer Pressemitteilung auf die Internetseite https:///haveibeenpwned.com, nicht für den Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com richtig sind.
So führt das Landgericht Stuttgart in seinem Urteil vom 24.01.2024 (Az. 27 O 92/23, Rn 28, juris) überzeugend aus:
„Die von der Klägerin in ihrem nachgelassenen Schriftsatz in Bezug genommene Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik stammt vom 17.01.2019 und hat mit dem streitgegenständlichen API-Bug bei Twitter nichts zu tun. Soweit das Bundesamt für Sicherheit in der Informationstechnik in der Pressemitteilung ausgeführt hat, „Angaben des IT-Sicherheitsforschers …..zufolge, der den Datensatz aufgefunden hat, können Internetnutzer über die Plattform https:///haveibeenpwned.com prüfen, ob ihre E-Mail-Adressen und Zugangsdaten in dem aktuellen Datenfund enthalten sind“, ergibt sich daraus auch nicht die Auffassung des Bundesamts für Sicherheit in der Informationstechnik nicht, dass die Angaben der in Bezug genommenen Internetseite über jeden Zweifel erhaben wären. Überdies bezieht sich diese Pressemitteilung gerade auf einen Datensatz, welcher von dem IT-Sicherheitsforscher ………… selbst im Internet aufgefunden worden sein soll. Hieraus ergibt sich ein Anhaltspunkt, weshalb …… …… als Betreiber der Internetseite https:///haveibeenpwned.com den Inhalt des im Internet veröffentlichten Datensatzes kennt. Woher …… …… hingegen verlässliche Kenntnis davon haben soll, welche Twitter-Accounts von dem APIBug betroffen sind, wird von der Klägerin nicht erläutert und bleibt damit offen.“
Dieser Auffassung schließt sich die Kammer vollumfänglich an.
iii. Auch die schriftsätzlichen Angaben der Klägerseite, sie sei aufgrund das Datenlecks einer Vielzahl von Spam-E-Mails ausgesetzt, genügen zum Nachweis ihrer Betroffenheit von dem API-Bug nicht. Es erfolgt kein Vortrag der Klägerseite, ab wann sie vermehrt Spam-Nachrichten erhalte. Zudem begründet allein ein vermehrtes Spamaufkommen nicht den Nachweis, hierfür müsse ein Datenleck bei Twitter ursächlich sein.
iv. Entgegen dem Vorbringen der Klägerseite erfolgt auch keine Umkehr der Beweislast zulasten der Beklagten. Allenfalls träfe die Beklagtenseite eine sekundäre Darlegungslast.
So ist es in bestimmten Fällen Sache der nicht beweisbelasteten Partei, sich im Rahmen der ihr nach § 138 Abs. 2 ZPO obliegenden Erklärungspflicht zu den Behauptungen der beweispflichtigen Partei substantiiert zu äußern. Den Prozessgegner der primär darlegungsbelasteten Partei trifft eine sekundäre Darlegungslast insbesondere dann, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hat, während der Bestreitende alle wesentlichen Tatsachen kennt und es ihm unschwer möglich und zumutbar ist, nähere Angaben zu machen (Greger in Zöller, ZPO, 35. Auflage 2024, § 138 Rn 8b).
Selbst bei Annahme einer sekundären Darlegungslast der Beklagten, hat diese mit ihren Ausführungen dazu, dass sie eine gründliche Untersuchung des von der Klägerseite beschriebenen Vorfalls und insbesondere auch des Nutzerkontos der Klägerseite durchgeführt habe und dabei festgestellt worden sei, dass der Account der Klägerseite nicht zu den Twitter-Accounts gehörte, die von dem API-Bug im Jahr 2021 betroffen waren, ihrer sekundären Darlegungslast Genüge getan. Dem konnte die Klägerseite nichts Erhebliches entgegensetzen. Die Darlegungs- und insbesondere die Beweislast obliegt unverändert der Klägerseite. Den Beweis der eigenen Betroffenheit hat sie nicht erbracht (s.o.).
v. Ein Anspruch der Klägerseite gegen die Beklagte auf Zahlung von immateriellen Schadensersatz folgt auch nicht daraus, dass sie befürchte, ihre personenbezogenen Daten werden aufgrund eines Verstoßes gegen die DSGVO in Zukunft von Dritten missbräuchlich verwendet.
Zutreffend ist zwar, dass der Erwägungsgrund 146 S. 3 DSGVO für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DSGVO spricht und ein immaterieller Schaden, den die betroffene Person erlitten hat, keinen bestimmten Grad an Erheblichkeit zu erreichen braucht, weshalb auch immaterielle „Bagatellschäden“ dem Grunde nach nicht ausgeschlossen sind (EuGH, Urt.v . 04.05.2023, Az. C-300/21, Rn 51, juris). So kann auch die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 82, juris). Der EuGH führt dazu in seiner Entscheidung vom 25.01.2024 (Az. V-687/21, Rn 65, juris) aus:
„Der Gerichtshof hat entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, CEU:C:2023:986, Rn. 79 bis 86).
Überdies hat der Gerichtshof, ebenfalls gestützt auf Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck, festgestellt, dass die betroffene Person durch den kurzzeitigen Verlust der Kontrolle über personenbezogene Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO erleiden kann, der einen Schadensersatzanspruch begründet, sofern diese Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, wobei der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um auf dieser Grundlage einen Schadensersatzanspruch zu begründen (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Gemeinde Ummendorf, CEU:C:2023:988, Rn. 18 bis 23).“
Allerdings muss gleichwohl geprüft werden, ob die Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH, Urteil vom 14.12.2023, Az. C-340/21, Rn. 85,). Erforderlich ist insoweit – wie oben ausgeführt – dass die Person, die den Schadensersatz geltend macht, überhaupt betroffen ist. Hiervon ist – wie oben ausgeführt – im Streitfall nicht auszugehen. Der EuGH führt dazu aus (C-687, Rn 68, juris):
„Gleichwohl obliegt es demjenigen, der eine auf Art. 82 DSGVO gestützte Schadensersatzklage erhebt, das Vorliegen eines solchen Schadens nachzuweisen. Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Dies ist der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat.“
Die Klägerseite hat ihre Betroffenheit von dem streitgegenständlichen API-Bug 2021 nicht nachgewiesen (s.o.). Dies wäre (Mindest-)Voraussetzung für die Annahme eines Schadens, der grundsätzlich auch auf der Befürchtung der missbräuchlichen Verwendung der Daten durch Dritte gründen kann.
b. Der von der Klägerseite mit ihrem Klageantrag zu Ziffer 2. geltend gemachte immaterielle Schadensersatzanspruch wegen verzögerter Auskunftserteilung besteht nicht, da ein solcher Schadensersatzanspruch bereits nicht schlüssig vorgetragen wurde.
Selbst bei Unterstellung zugunsten der Klägerseite, dass ihr gegen die Beklagte ein Auskunftsanspruch gemäß Art. 15 DSGVO zugestanden hat, die Beklagte mit der Erteilung dieser Auskunft in Verzug geraten ist und die Vorschrift des Art. 82 Abs. 1 DSGVO auch den Verzugsschaden wegen verzögerter Auskunftserteilung erfasst, ist jedenfalls ein Schaden der Klägerseite, der insbesondere gerade auf die unterbliebene Auskunftserteilung zurückgeht, nicht dargelegt. So hat die Klägerseite nicht dargelegt, was sich an dem Schaden geändert hätte, hätte die Beklagte früher die Auskunft nach Art. 15 DSGVO erteilt.
c. Der Antrag zu 3. ist unbegründet. Die Feststellung eines Schadensersatzanspruchs kommt in der Sache nicht in Betracht, da die Betroffenheit der Klagepartei von dem streitgegenständlichen API-Bug gerade nicht nachgewiesen ist.
d. Der von der Klägerseite geltend gemachte Unterlassungsanspruch ist bereits unzulässig (vgl. unter I. 1. d.). Er wäre aber so, wie er formuliert ist, auch unbegründet.
aa. Denn die Klägerseite kann von der Beklagten nicht verlangen, dass diese es unterlässt, die Daten der Klagepartei Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen. Denn die Beklagte trifft als Verantwortliche keine Verpflichtung, die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen.
Überzeugend hat das Landgericht Freiburg dazu ausgeführt (Urt. v. 08.02.2024, Az. 8 O 212/23, Rn 106f., juris):
„1. Zwar folgt aus Art. 32 Abs. 1 und 2 DSGVO, dass der Verantwortliche ein dem Risiko eines unbefugten Zugangs zu personenbezogenen Daten angemessenes Schutzniveau zu gewährleisten hat. Dabei liegt es im Ermessen des Verantwortlichen, aus der Vielzahl möglicher Maßnahmen, die das Risiko der Datenverarbeitung reduzieren können, konkrete Maßnahmen auszuwählen, durch die nach seiner Einschätzung ein angemessenes Schutzniveau erreicht wird (Kühling/Buchner/Jandt, 3. Aufl. 2020, DSGVO Art. 32 Rn. 8). Allerdings ist wesentlich, dass nicht alle möglichen Maßnahmen zur Gewährleistung von Datensicherheit zu ergreifen sind, sondern nur solche, die unter Abwägung zwischen Schutzzweck und Aufwand unter Berücksichtigung der Arten der Daten, dem Stand der Technik und den anfallenden Kosten als verhältnismäßig anzusehen sind (vgl. Sydow/Marsch DSGVO/BDSG/Mantz, 3. Aufl. 2022, DS GVO Art. 32 Rn. 10). Denn die DSGVO verlangt keine Datensicherheit um jeden Preis und verpflichtet den Verantwortlichen nicht zu einem absoluten Schutz der personenbezogenen Daten; vielmehr muss das Schutzniveau dem jeweiligen Einzelfall angemessen sein, wobei Risiken nicht gänzlich ausgeschlossen werden können (Gola/Heckmann/Piltz, DSGVO 3. Aufl., Art. 32 Rn. 11; Paal/Pauly/Martini, DSGVO 3. Aufl., Art. 32 Rn. 46; Dr. Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DSGVO)/ Bundesdatenschutzgesetz (BDSG), Artikel 32 Sicherheit der Verarbeitung, Rn. 3).
2. Die Klagepartei kann daher lediglich ein angemessenes Schutzniveau bzw. die Unterlassung einer Datenverarbeitung ohne dieses verlangen. Darauf, dass eines der Abwägungskriterien in den Vordergrund gestellt wird, hat sie ebenso wenig Anspruch wie auf das Ergreifen konkreter Maßnahmen (vgl. dazu auch BGH, Urteil vom 22. Oktober 1976 –V ZR 36/75 –, BGHZ 67, 252-254, Rn. 11; Urteil vom 17. Dezember 1982 – V ZR 55/82 –, Rn. 17, juris, jeweils zu Unterlassungsansprüchen gegen Immissionen).“
bb. Schließlich kann auch dahinstehen, ob die Regelung der DSGVO – so wie es die Beklagte vorträgt – abschließend ist und damit den Rückgriff auf § 1004 BGB versperrt (vgl. dazu BGH, EuGH-Vorlage, Az. VI ZR 97/22, Rn 28f., juris). Ein Unterlassungsanspruch würde – bei Unterstellung der klägerischen Auffassung als zutreffend – jedenfalls eine Verletzungshandlung voraussetzen. Da allerdings bereits die Betroffenheit der Klägerseite von dem API-Bug gerade nicht nachgewiesen ist, kommt ein Unterlassungsanspruch nicht in Betracht.
e. Da der Klägerseite kein Anspruch in der Sache zusteht, kommt auch der mit Klageantrag zu Ziffer 5 (ursprünglich – vor der teilweisen Erledigungserklärung – Antrag Ziffer 6) geltend gemachte Anspruch auf Freistellung von den vorgerichtlichen Anwaltskosten, die zwar grundsätzlich als Teil des zu ersetzenden Schadens gemäß Art. 82 Abs. 1 DSGVO erstattungsfähig sind, in Betracht.
f. Soweit die Klägerseite die Aussetzung des Verfahrens angeregt hat, sind die erforderlichen Voraussetzungen dafür nicht erfüllt. Wie die obigen Ausführungen gezeigt haben, liegen keine klärungsbedürftigen Rechtsfragen vor, weshalb eine Aussetzung nicht angezeigt war.
II.
Die Kostenentscheidung folgt aus §§ 92 Abs. 2 Nr. 1, 91a Abs. 1 S. 1 ZPO. Soweit die Parteien den Rechtsstreit hinsichtlich des Antrages Ziffer 5 übereinstimmend für erledigt erklärt haben, sind grundsätzlich der Beklagtenseite gemäß § 91a Abs. 1 S. 1 ZPO die Kosten aufzuerlegen. Danach hat das Gericht unter Berücksichtigung des bisherigen Sach- und Streitstandes nach billigem Ermessen zu entscheiden. Dabei entspricht es in der Regel billigem Ermessen, die Kosten derjenigen Partei aufzuerlegen, die bei einem streitigen Fortgang des Verfahrens voraussichtlich unterlegen gewesen wäre und die Kosten nach §§ 91ff. ZPO zu tragen gehabt hätte.
Die Klägerseite hätte mit dem Antrag zu 5 bis zur Erklärung der Beklagten in ihrer Klageerwiderung vom 06.11.2023 Erfolg gehabt. Der Klägerseite hätte danach einen Auskunftsanspruch aus Art. 15 DSGVO gegen die Beklagte zugestanden.
aa. Nach Art. 15 DSGVO kann – wie bereits ausgeführt – die betroffene Person Auskunft über personenbezogenen Daten verlangen, wenn der Verantwortliche sie betreffende personenbezogene Daten verarbeitet. Art. 15 DSGVO enthält dabei vier Anspruchsinhalte. Nach Art. 15 Abs. 1 Hs. 1 DSGVO besteht ein Anspruch auf Auskunft bzw. eine Bestätigung, ob der Verantwortliche personenbezogene Daten der betroffenen Person verarbeitet. Gemäß Art. 15 Abs. 1 Hs. 2 Teil 1 DSGVO besteht Anspruch auf Auskunft über die personenbezogenen Daten, die in Bezug auf die betroffene Person vom Verantwortlichen verarbeitet werden. Art. 15 Abs. 2 DSGVO sieht einen Anspruch auf die in Art. 15 Abs. 1 Hs. 2 Teil 2 Buchst. a bis h DS-GVO im Einzelnen genannten Meta-Informationen (Verarbeitungszwecke, Datenkategorien, Empfänger(-kategorien), Speicherdauer, Herkunft der Daten etc.) und auf Unterrichtung über geeignete Garantien gem. Art. 46 DS-GVO bei Übermittlung in ein Drittland vor. Letztlich besteht gemäß Art. 15 Abs. 3 S. 1 DSGVO ein Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind.
Zweck der Vorschrift ist es, den Betroffenen durch den Auskunftsanspruch in die Lage zu versetzten, von einer Verarbeitung der ihn betreffenden Daten Kenntnis zu erhalten und diese auf ihre Rechtmäßigkeit hin zu überprüfen (BeckOK DatenschutzR/Schmidt-Wudy, 47. Ed. 1.2.2024, DS-GVO Art. 15 Rn. 2). Art. 15 DSGVO gewährt dabei aber keine Auskunftsrechte im Hinblick auf einen Datenabfluss und im Nachgang eines solchen bezüglich der wirtschaftlichen Verwertung der Daten (vgl. Dickmann, r+s 2018, 345 [351]).
bb. Der Klägerseite hätte danach ein Anspruch auf Auskunftserteilung zugestanden.
aaa. Es besteht gemäß Art. 15 Abs. 1 Hs. 2 Teil 1 DSGVO zum einen ein Anspruch auf Auskunft zu den durch die Beklagte verarbeiteten personenbezogenen Daten der Klägerseite. Der Verantwortliche muss die betroffene Person darüber informieren, welche Daten er über sie verarbeitet. Gemäß Art. 4 Ziff. 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. „Verarbeitung“ umfasst gemäß Art. 4 Ziff. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; das Auskunftsrecht umfasst alle Daten, die bei dem Verantwortlichen vorhanden sind
Es besteht ferner – wie bereits ausgeführt – im Ausgangspunkt ein Auskunftsrecht der betroffenen Person auch hinsichtlich der Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen gemäß Art. 15 Abs. 1 Hs. 2 lit. c) DSGVO.
Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Umfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urt. v. 15.06.2021, Az. VI ZR 576/19, Rn 19, juris). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll (BGH a.a.O., Rn 20).
bbb. Zwar hat die Beklagte diesem Auskunftsverlangen noch nicht mit ihrem vorgerichtlichen Schreiben vom 08.05.2023 (Anlage K7a) Genüge getan. In diesem Schreiben lautet es:
„Wir weisen die von Ihnen geltend gemachten Ansprüche hiermit ausdrücklich und in vollem Umfang zurück. Derartige Ansprüche bestehen gegenüber unserer Mandantschaft nicht.
Bezüglich des angeblichen Datenlecks, das Sie angesprochen haben, hat Twitter International die Öffentlichkeit bereits umfassend informiert. Insbesondere weist Twitter International Behauptungen zurück, wonach 400 Millionen mit Twitter verknüpfte Nutzer-E-Mails und Telefonnummern durch dieselbe Sicherheitslücke, die im Januar 2022 entdeckt wurde, erlangt wurden. Vielmehr sind das Vorfall-Reaktionsteam und das Team für Privatsphäre und Datenschutz von Twitter International nach einer umfassenden Untersuchung zu dem Schluss gekommen, dass es keine Beweise dafür gibt, dass die online verkauften Daten durch die Ausnutzung einer Sicherheitslücke in den Systemen von Twitter International erlangt wurden.“
Mit dieser Erklärung hat die Beklagte die Ansprüche der Klägerseite zurückgewiesen. Sie hat zwar darin (und in Klageerwiderung Rn 86, Bl. 73 d. A.) auf das Selbstbedienungstool verwiesen, in dem sie mitteilte
„Abschließend möchte Twitter International Sie darüber informieren, dass Ihre Mandantin auf ihre Daten zugreifen und diese herunterladen kann, indem sie den in diesem Help Center-Artikel beschriebenen Anweisungen folgt: https://help.twitter.com/de/managing -your-account/accessing-your-twitter-data.“.
Sie hat allerdings insbesondere keine Erklärung dazu abgegeben, ob personenbezogene Daten der Klägerseite über die API-Schnittstelle der Beklagten an Dritte gelangt seien.
Die Beklagte hat dem Auskunftsverlangen der Klägerseite dann mit der Klageerwiderung vom 06.11.2023 Genüge getan. Denn darin hat sie (S. 6 der Klageerwiderung unter III. Keine Betroffenheit der Klagepartei, Rz. 35) ausdrücklich erklärt, dass eine interne Überprüfung durch Twitter ergeben habe, dass der Account der Klagepartei nicht zu den Twitter-Accounts gehörte, die von dem API-Bug im Jahr 2021 betroffen waren. Nachdem – wie ausgeführt – die Betroffenheit der Klägerseite von dem API-Bug insbesondere gerade nicht nachweisbar ist, konnte eine gegebenenfalls von der Beklagten geschuldete Auskunft damit nur in der Negativauskunft liegen, die Klägerseite sei nicht betroffen, so wie sie in der Klageerwiderung erteilt wurde.
Ohne dieses erledigende Ereignis hätte die Klägerseite in der Sache hinsichtlich des Antrages Ziffer 5 Erfolg gehabt.
ccc. Auch soweit die Klägerseite zudem Auskunft darüber verlangt hat, wer die Daten über die API-Schnittstelle „abgegriffen“ habe, hat sich dieser Anspruch gleichfalls mit dem Vortrag der Beklagtenseite in der Klageerwiderung vom 06.11.2023 (Rn 87), dass es ihr unmöglich sei, weitergehende Informationen darüber zu erteilen, wer (möglicherweise) irgendwelche angeblichen Daten erhalten hat, da das Daten-Scraping und die Erhebung von öffentlich zugänglichen Informationen im Internet anonym erfolge, erledigt.
Aufgrund der Geringfügigkeit des Unterliegens der Beklagten waren die Kosten umfänglich der Klägerseite aufzuerlegen.
Die Entscheidung über die vorläufige Vollstreckbarkeit gründet auf § 709 S. 1, 2 ZPO.
III.
Den Gebührenstreitwert hat die Kammer mit 10.500,00 Euro festgesetzt.
1. Der Bemessung des Gebührenstreitwertes hat die Kammer im Ausgangspunkt gemäß § 48 Abs. 1 S. 1 GKG die für die Zuständigkeit des Prozessgerichts oder die Zulässigkeit des Rechtsmittels geltenden Vorschriften der §§ 3, 6-9 ZPO über den Wert des Streitgegenstands zu Grunde gelegt. In der konkreten Streitsache ist ferner zu berücksichtigen, dass verfahrensgegenständlich eine Mehrzahl von Anträgen ist und die Streitigkeiten je nach Antrag zum Teil als vermögensrechtlich und zum Teil als nichtvermögensrechtlich zu qualifizieren sind.
Ob ein Rechtsstreit vermögens- oder nichtvermögensrechtlicher Natur ist, bestimmt sich nach dem Zweck des jeweiligen Klageantrages. Ist der Klageantrag unmittelbar auf eine vermögenswerte Leistung gerichtet, handelt es sich stets um einen vermögensrechtlichen Streit. Ferner sind Ansprüche als vermögensrechtlich zu qualifizieren, die auf vermögensrechtlichen Beziehungen beruhen bzw. ihnen entstammen, sowie solche Ansprüche, die im Wesentlichen der Wahrung wirtschaftlicher Belange dienen. In allen anderen Fällen ist das Rechtsverhältnis entscheidend, aus dem der geltend gemachte Anspruch hergeleitet wird (vgl. Elzer in: Toussaint, Kostenrecht, 53. Aufl. 2023, GKG § 48 Rn. 7 m.w.N.).
Für die Fälle nichtvermögensrechtlicher Streitigkeiten bestimmt § 48 Abs. 2 S. 1 GKG, dass der Streitwert unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien, nach Ermessen zu bestimmen ist, wobei die Grenzen gemäß §§ 34 Abs. 1, 48 Abs. 2 S. 2 GKG bei 500 Euro und 1 Mio. Euro liegen. Im Grundsatz kann in Anlehnung an § 23 Abs. 3 Satz 2 RVG bei einer nichtvermögensrechtlichen Streitigkeit und mangelnden genügenden Anhaltspunkten für ein höheres oder geringeres Interesse von einem Wert von 5.000 Euro ausgegangen werden (vgl. etwa BGH, Beschluss vom 17. November 2015 – II ZB 8/14 –, Rn. 13, juris). Bei der Bemessung darf ferner das Gesamtgefüge der Bewertung nichtvermögensrechtlicher Streitgegenstände nicht aus den Augen verloren werden (vgl. BGH Beschluss vom 28.1.2021 – III ZR 162/20 -, GRUR-RS 2021, 2286 Rn. 9 m.w.N.).
2. Hieran gemessen hat die Kammer den Streitwert auf insgesamt 10.500,00 Euro festgesetzt.
Im Einzelnen:
a. Die Klageanträge Ziffer 1 und Ziffer 2 betreffen jeweils eine vermögensrechtliche Streitigkeit; der Streitwert ergibt sich aus dem von der Klägerseite vorgestellten immateriellen (Mindest-) Ersatzbetrag in Höhe von 3.000,00 Euro für den Klageantrag Ziffer 1 und in Höhe von 2.000,00 Euro für den Klageantrag Ziffer 2.
b. Der Klageantrag Ziffer 3 auf Feststellung der Ersatzpflicht hinsichtlich materieller künftiger Schäden betrifft eine vermögensrechtliche Streitigkeit. Ihm ist ein eigener wirtschaftlicher Wert beizumessen, wobei das Interesse der Klägerseite gemäß § 3 ZPO zu schätzen ist. Die Kammer schätzt dieses Interesse unter Berücksichtigung der hinsichtlich etwaiger künftiger Vermögensschäden ersichtlich schwierig nachzuweisenden Kausalität auf lediglich 250,00 Euro.
c. Für den Klageantrag Ziffer 4 hat die Kammer den Gebührenstreitwert unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien, und in Anlehnung an § 23 Abs. 3 S. 2 RVG auf 5.000,00 Euro festgesetzt. Konkrete Umstände für eine geringere oder höhere Wertfestsetzung sind nicht ersichtlich. Der Klageantrag Ziffer 4 ist darauf gerichtet, künftig zu verhindern, dass im Rahmen des Nutzungsverhältnisses der Beklagten bekannt gegebene personenbezogene Daten unbefugten Dritten zugänglich gemacht werden. Das Interesse besteht in der beabsichtigten Sicherstellung, dass etwaige (weitere) Rechtsverletzungen künftig unterbleiben, durch Veranlassung der Beklagten zur Gewährleistung eines höheren Schutzniveaus im Rahmen ihrer Datenverarbeitung. Für die Klägerseite ist dieses Interesse durchaus bedeutsam angesichts der von einem möglichen Scraping regelmäßig betroffenen hohen Personenzahl und der damit verbundenen Gefahr, dass die Daten der Klägerseite mit den Daten anderer Betroffener zu Datenpaketen von ungleich größerem Wert bzw. Interesse missbräuchlicher Verwendung zusammengeführt werden.
d. Die Kammer hat den Streitwert für den Klageantrag Ziffer 5, der übereinstimmend für erledigt erklärt wurde, auf 250,00 Euro festgesetzt. Dabei hat sie berücksichtigt, dass ein Interesse der Klägerseite vorliegend sowohl in der Auskunft an sich liegen als auch dem Zweck dienen kann, Voraussetzungen für den Grund und die Höhe eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO zu schaffen. Nachdem Letzteres in immaterieller Hinsicht bereits mit dem Klageantrag Ziffer 1 geltend macht wird und zudem hinsichtlich etwaiger künftiger Vermögensschäden mit dem Klagantrag Ziffer 3 die Feststellung der künftigen Einstandspflicht begehrt wird, kommt dem Antrag zur Schaffung der Voraussetzungen für einen Schadensersatzanspruch gegenwärtig allenfalls hinsichtlich künftiger Vermögensschäden etwaige Bedeutung zu, wobei die Kammer das Interesse insoweit angesichts der ersichtlich problematisch nachzuweisenden Account-Betroffenheit als gering einschätzt. Die Kammer hält auch unter Berücksichtigung des Interesses der Klägerseite an der Auskunft selbst einen Wert des Antrages von 250,00 Euro für angemessen.