LG Mannheim, Urteil vom 15.03.2024, Az. 1 O 99/23
Art. 15 EUV 2016/679, Art. 25 EUV 2016/679, Art. 32 Abs. 1 EUV 2016/679, Art. 82 Abs. 1 EUV 2016/679
Das LG Mannheim hat die Frage, was geeignete technische und organisatorische Maßnahmen im Sinne von Art. 32 Abs. 1 DSGVO sind, konkretisiert. Gem. Art. 32 Abs. 1 DSGVO muss der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen , um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Es obliege, so die Kammer, der Beklagten aufgrund ihrer Rechenschaftspflicht in Art. 5 Abs. 2, 24 Abs. 1 DSGVO darzulegen und zu beweisen, dass die von ihr getroffenen Sicherheitsmaßnahmen i.S.v. Art. 32 DSGVO in diesem Sinne gewesen geeignet waren (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21). Eine schlagwortartige Benennung von Maßnahmen wie Übertragungsgrenzen oder Bot-Erkennung seien insoweit nicht ausreichend. Vielmehr hätte es zunächst einer Bewertung des Schutzniveaus der Daten (nach BSI-Grundschutz 200-2: „Schutzbedarfsfeststellung“; ebenso das Standard-Datenschutzmodell der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) bedurft. Sodann sei es erforderlich gewesen, ausgehend von dem Schutzniveau der Daten und dem Verarbeitungsvorgang, etwaige Risiken zu identifizieren und zu bewerten (nach BSI-Grundschutz: Risikoanalyse; nach Standard-Datenschutzmodell: Risikobetrachtung). Erst an dieser Stelle, also wenn das Schutzniveau der personenbezogenen Daten bestimmt, die beteiligten Verarbeitungsvorgänge (Geschäftsprozesse) analysiert und die einzelnen Risiken diesbezüglich festgestellt und bewertet worden seien, komme es auf die konkreten technischen und organisatorischen Maßnahmen an, um den jeweiligen Risiken in geeigneter und angemessener Weise zu begegnen (nach BSI-Grundschutz 200-2: „Modellierung“). Entsprechend unterscheidet auch der Europäische Gerichtshof zwischen zwei Schritten: Zum einen seien die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung müsse konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen. Zum anderen sei zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen seien (EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 42). Zum Volltext der Entscheidung:
Landgericht Mannheim
Urteil
..
1. Die Beklagte wird verurteilt, an den Kläger 50,00 EUR nebst Zinsen hieraus in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 6. Juli 2023 zu zahlen.
2. Es wird festgestellt, dass die Beklagte verpflichtet ist, dem Kläger alle zukünftigen – materiellen und immateriellen – Schäden zu ersetzen, die ihm durch die unbefugte Offenlegung im Zeitraum zwischen Januar 2018 und September 2019, dass sein Vorname („[…]“), das als Nachname angegebene Pseudonym („[…]“), sein Geschlecht („[…]“) und seine Nutzer-ID („[…]“) über sein Nutzerkonto bei der Plattform […] der Beklagten seiner ebenfalls dort gespeicherten Mobiltelefonnummer („[…]“) zugeordnet waren, entstanden sind und/oder noch entstehen werden.
3. Im Übrigen wird die Klage abgewiesen.
4. Dem Kläger werden die gesamten Prozesskosten auferlegt.
5. Das Urteil ist vorläufig vollstreckbar; für die Beklagte jedoch nur gegen Sicherheitsleistung in Höhe von 120 % des jeweils zu vollstreckenden Betrages. Der Beklagten wird nachgelassen, die Vollstreckung durch Sicherheitsleistung in Höhe von 120 % des aufgrund des Urteils vollstreckbaren Betrages abzuwenden, wenn nicht der Kläger vor der Vollstreckung Sicherheit in Höhe von 120 % des jeweils zu vollstreckenden Betrages leistet.
Beschluss
Der Streitwert wird auf 10.000 € festgesetzt.
Tatbestand
Der Kläger macht gegen die Beklagte Ansprüche wegen datenschutzrechtlichen Verstößen geltend.
Der Kläger hatte bei der Beklagten einen Account zur Nutzung der Social-Media-Plattform „[…]“ erstellt. Dazu hat er seinen Vornamen („[…]“), „[…]“ als Nachnamen, sein Geschlecht („[…]“) und seine Mobiltelefonnummer („[…]“) angegeben.
Bei dem Namen, dem Geschlecht und der Nutzer-ID handelt es sich um zwingende und immer öffentlich einsehbare Nutzerinformationen, damit Nutzer mit anderen Nutzern auf der […]-Plattform in Kontakt treten können. Andere Informationen, wie Telefonnummer, Wohnort, Stadt, Beziehungsstatus, Geburtstag und E-Mail-Adresse, können optional eingegeben werden und sind nur dann einsehbar, wenn dies durch die Einstellungen zur sog. „Zielgruppenauswahl“ auf Objektebene ermöglicht wird. Die Standard-Einstellung der Beklagten zur Zielgruppenauswahl war „Freunde“ (also nicht „öffentlich“). Zu unterscheiden ist diese Zielgruppenauswahl von der Suchbarkeitseinstellung, die festlegt, wer das Profil eines Nutzers anhand einer Telefonnummer finden kann. Die Standard-Einstellung für die Suchbarkeit von Telefonnummern war zwischen Januar 2018 bis September 2019 „Alle“. Neben der Option „Alle“ konnten Nutzer in den Privatsphäre-Einstellungen festlegen, dass nur „Freunde von Freunden“ oder „Freunde“ ihr Profil auf diese Art finden können.
Aufgrund der Voreinstellung „Alle“ konnte im vorliegenden Fall jedermann anhand der Telefonnummer des Klägers das Nutzerprofil des Klägers samt den hierzu hinterlegten immer öffentlichen Daten suchen und finden.
Wegen der Informationen und Einstellungsmöglichkeiten, die die Beklagte dem Kläger bot, wird auf die Anlagen B1 bis B5, den Privatsphäre-Check nach Anlage B8 und die Datenrichtlinie nach Anlage B9 Bezug genommen.
Die Möglichkeiten zur Suchbarkeit wurden von der Beklagten auch für eine sog. „Kontakt-Importer-Funktion“ nutzbar gemacht: Danach können Telefonnummern, die in den Kontakten von Mobilgeräten gespeichert sind, mit den Daten der Nutzerkonten bei der Beklagten abgeglichen werden, um Nutzer der Social-Media-Plattform „[…]“ zu suchen und zu finden. In technischer Hinsicht werden dabei die Telefonnummern über eine Programmierschnittstelle (API) auf einen Server der Beklagten hochgeladen. Dieser sucht in der Datenbank der Beklagten, ob die hochgeladenen Telefonnummern dort auch im Rahmen von Nutzerkonten gespeichert sind. Bei der Beklagten gespeicherte Telefonnummern werden dabei nur durchsucht bzw. gefunden, wenn die Suchbarkeit für den zugehörigen Account auf „Alle“ eingestellt worden ist. Wird eine hochgeladene Telefonnummer in der Datenbank der Beklagten gefunden, so werden dem anfragenden Gerät, das die abzufragenden Telefonnummern hochgeladen hatte, unter Bezugnahme auf diese Anfrage die für diesen Account, dem die Telefonnummer bei der Beklagten zugeordnet war, ebenfalls gespeicherten Daten zum Namen, Geschlecht und Nutzer-ID übermittelt.
Diese Funktionalität machten sich Unbekannte im Zeitraum zwischen Januar 2018 bis September 2019 zunutze. Sie erzeugten anhand von tatsächlichen oder auch nur vermuteten Bildungsregeln für Telefonnummern, eine Liste mit sequentiellen Nummern als Zeichenkette. Hieraus erstellten sie auf Mobilgeräten Kontaktlisten. Diese luden sie über die Kontakt-Importer-Funktion auf den Server der Beklagten hoch. Das IT-System der Beklagten suchte in ihrer Datenbank unter den gespeicherten Telefonnummern nach diesen hochgeladenen Nummern. Sofern eine der Nummern auch in der Datenbank der Beklagten gespeichert war, wurden dem anfragenden Gerät der Unbekannten – entsprechend dem Standardprozess – die Daten zum Namen, Geschlecht und zur Nutzer-ID des zugehörigen Kontos übermittelt. Diese Informationen ordneten die Unbekannten den übermittelten Nummern zu. Hieraus erzeugten die Unbekannten eine Liste mit „verifizierten“ Telefonnummern nebst den weiteren Daten, die im Internet verbreitet wurde.
Die Beklagte hat diese Vorgehensweise, die auch als Form des sog. „Scraping“ bezeichnet wird, selbst – nach dem ihr vorliegenden Wissensstand – folgendermaßen dargestellt:
(Hinweis: Grafik auch bei elektronischer Original-Wiedergabe der Entscheidung nicht lesbar.)
Zwischenzeitlich hat der Kläger seine Privatsphäre-Einstellungen überprüft und geändert.
Mit Schreiben vom 15. November 2022 (Anlage K1) forderte der anwaltlich vertretene Kläger die Beklagte unter Fristsetzung zur Zahlung von 3.000 € und vorgerichtlicher Rechtsanwaltskosten in Höhe von 1.340,55 €, zum Anerkenntnis einer Pflicht materiellen Schadensersatz für künftige Schadensfolgen, zur Unterlassung sowie zur Auskunft nach Art. 15 Abs. 1 DSGVO auf. Mit Schreiben vom 11. Oktober 2023 erwiderte die anwaltlich vertretene Beklagte hierauf (Anlage B16). Es seien folgende Datenpunkte im Rahmen des sog. Scrapings übermittelt worden: Nutzer-ID, Vorname, Nachname und Geschlecht. Weitergehende Ansprüche wies die Beklagte zurück.
Der Kläger meint, dass die Klage zulässig sei.
Der Zahlungsantrag sei hinreichend bestimmt. Der Lebenssachverhalt des Streitgegenstandes umfasse den gesamten Bereich, der bei natürlicher Betrachtung sowie nach der Verkehrsauffassung zu einem geschichtlichen Vorgang gehört. So ist auch vorliegend von einem einheitlichen geschichtlichen Vorgang auszugehen, der mit der Nichteinhaltung der notwendigen (technischen) Sicherheitsvorkehrungen begonnen und mit der unzureichenden Information der Betroffenen nach dem streitgegenständlichen Scraping-Vorfall geendet habe.
Auch der Feststellungsantrag sei hinreichend bestimmt. Zudem bestehe ein Feststellungsinteresse im Hinblick auf die Möglichkeit zukünftiger Schäden. Es bestehe eine nicht zu vernachlässigende Wahrscheinlichkeit dafür, dass die Klägerseite infolge der Veröffentlichung der Telefonnummer in Verbindung mit dem (Klar-) Namen sowie weiteren persönlichen Daten einen Schaden erleiden werde. Insbesondere mit einzustellen sei, dass auch kriminelle Akteure in aller Regel lesen können und die mediale Aufarbeitung des hier in Rede stehenden Sachverhalts erst begonnen habe. Es stehe also zu erwarten, dass auch diejenigen kriminellen Akteure, die bisher vielleicht noch nicht die Daten aus dem Darknet abgegriffen haben, dies alsbald noch tun würden, um mit den Daten „Schindluder zu treiben“.
Entgegen der Ansicht der Beklagten sei auch der Unterlassungsantrag hinreichend bestimmt. Mangels konkreter Informationen zu den von der Beklagten vorgenommenen Sicherheitsvorkehrungen sei ein gewisses Maß an Verallgemeinerung gestattet, auch wenn dies dazu führe, dass das Vollstreckungsgericht bei der Beurteilung behaupteter Verstöße Wertungen vornehmen müsse. Es liege zudem nicht in der Sphäre des Verbrauchers, einem global agierenden Medienunternehmen aufzuzeigen, welche Sicherheitsmaßnahmen dem aktuellen Stand der Technik entsprächen. Die Einhaltung und regelmäßige Aktualisierung der Sicherheitsmaßnahmen oblägen der Beklagten, sodass die Frage, welche Maßnahmen dem „aktuellen Stand“ entsprechen, von der Beklagten selbst am besten beantwortet werden könne.
Es bestehe auch ein Rechtschutzbedürfnis, obwohl die Suchbarkeit in den Privatsphäreeinstellungen geändert werden könne. Nirgendwo im Gesetz stehe, dass der Betroffene verpflichtet werden könne, dasjenige an Datensicherheit herzustellen, was dem Verarbeiter obliege. Weiter sei entgegenzusetzen, dass die Klägerseite nicht mit der erforderlichen Sicherheit davon ausgehen könne, dass eine solche Anpassung die Vertraulichkeit der eigenen personenbezogenen Daten in ausreichendem Maße wiederherstelle. Die Anpassung der Privacy-Einstellungen im Hinblick auf die Telefonnummer könne zwar die Suchbarkeit der Klägerseite über ihre Telefonnummer deaktivieren. Fraglich bleibe allerdings, ob unbefugte Dritte dennoch die Telefonnummer im Wege eines künftigen Scraping-Angriffs aus der Datenbank der Beklagten auslesen könnten. Die Anpassung der Privacy-Einstellungen könne daher keinen umfassenden Schutz gegen Datenschutzverstöße gewährleisten.
Die Klage sei auch begründet.
Der Kläger behauptet, dass die Beklagte im Rahmen der geschilderten Vorgehensweise der Unbekannten aufgrund einer Suchanfrage mit der Nummer, die der Mobiltelefonnummer des Klägers entsprach, diesen die anderen zu ihrem Account hinterlegten Daten, also Vorname, die als Nachname angegebenen Wörter („[…]“) und Nutzer-ID übermittelt habe.
Der Kläger vertritt die Auffassung, dass ihm gegen die Beklagte daher ein Anspruch auf Schadensersatz nach Art. 82 DSGVO zustehe. Die Beklagte habe gegen Art. 24 Abs. 1 DSGVO, aber auch gegen Art. 32 DSGVO verstoßen, da sie keine für das Schutzniveau der gegenständlichen Daten (Mobiltelefonnummern, Name, Geschlecht) angemessenen Maßnahmen ergriffen habe, um ein Vorgehen – wie hier – zu verhindern. Die Beklagte habe auch ihre Mitteilungspflicht über den Vorfall gegenüber der Aufsichtsbehörde nach Art. 33 Abs. 1 Satz 1 DSGVO und dem Kläger nach Art. 34 Abs. 1 DSGVO verletzt. Auch habe die Beklagte gegen Art. 25 DSGVO verstoßen, da die Suchbarkeit auf „alle“ voreingestellt gewesen sei. Außerdem sei nicht transparent dargestellt worden, dass die Mobiltelefonnummer auch zum Zwecke der Suchbarkeit verwendet werde. Es werde durch die Gestaltung der Einstellungen suggeriert, dass nur der Nutzer die Nummer sehen könne, während sie gleichwohl zum Auffinden diene.
Der Kläger habe aufgrund der Verstöße der Beklagten einen immateriellen Schaden im Sinne des Art. 82 DSGVO erlitten. Die unbefugte Veröffentlichung der personenbezogenen Daten der Klägerseite habe zu einem konkreten und emotional spürbaren Nachteil geführt. Er habe einen „Kontrollverlust über seine Daten“ erlitten. Außerdem sei der Kläger in Sorge um den Verbleib sowie einen möglichen Missbrauch seiner Daten und befinde sich qua seiner fortwährenden Ungewissheit immer noch darin. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen gegenüber E-Mails und Anrufen von Unbekannten (insbesondere Anrufen mit unterdrückter Rufnummer). Hiermit einher gehe die konkrete Sorge der Klägerseite, dass die abgegriffenen Daten für kriminelle Zwecke (Account-Hacking, Phishing-Mails, Identitätsdiebstahl) bzw. unlautere Zwecke (unlautere Werbung, Spam) einhergehen könnten. Der tatsächliche Schaden liege heruntergebrochen in dem langanhaltenden Zustand bestehender und belastender Ungewissheit, verursacht durch die Beklagte. Das SPAM-Aufkommen habe sich wohl beginnend im April 2021 merklich erhöht. Ferner habe der Kläger schon „schlaflose Nächte“ wegen der Offenlegung seiner personenbezogenen Daten gehabt.
Dies reiche nach der europäischen Rechtsprechung für die Annahme eines immateriellen Schadens aus. Hierfür sei ein Schadensersatz von 3.000 € angemessen.
Der Feststellungsantrag sei begründet. Es könne zum aktuellen Zeitpunkt noch nicht abgesehen werden, welche Dritte noch Zugriff auf die Daten der Klägerseite bekommen könnten und was sie mit möglicherweise krimineller Energie mit diesen Daten missbräuchlich anstellen würden.
Der Unterlassungsanspruch fuße auf §§ 1004 analog, § 823 Abs. 1 BGB, als auch auf § 823 Abs.2 BGB i.V.m. Art. 6 Abs. 1 DSGVO sowie Art. 17 DSGVO.
Dem Kläger stehe ein Anspruch auf Auskunft nach Art. 15 Abs. 1 DSGVO zu. Die bislang erteilte Auskunft sei nicht ausreichend gewesen. Richtigerweise habe die Klägerseite der Beklagten außergerichtlich aufgegeben, konkret zum Datenleck vorzutragen und insbesondere darzutun, wann wer welche Daten „abgegriffen“ hat. Dem sei die Beklagte mit ihrem Schreiben nicht nachgekommen. Eine Verweisung auf ein Selbstbedienungs-Tool reiche nicht aus, um Erfüllung herzustellen (die Auskunft sei eine Schickschuld). Zum anderen verlangt die Klägerseite soweit es um Negativ-Auskünfte geht, eine Versicherung an Eides statt betreffend den Wahrheitsgehalt der Negativ-Auskünfte gem. §§ 259, 260 BGB analog.
Für die zunächst unterbliebene und sodann unzureichende Auskunft sei ein weiterer Betrag in Höhe von 2.000 € als Schadensersatz zu zahlen. Die Klägerseite nimmt dabei Bezug auf die bisherigen Ausführungen und meint zudem, dass sich in der Weigerungshaltung der Beklagten der bereits eingetretene Kontrollverlust über ihre Daten neuerlich weiter vertieft habe.
Der Kläger stellt folgende Anträge:
1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Handynummer der Klägerseite sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 3.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB zu zahlen.
2. Die Beklagte wird verurteilt, an die Klägerseite für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 2.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB zu zahlen.
3. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.
4. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu € 250.000,00, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen,
a. personenbezogene Daten der Klägerseite, namentlich Telefonnummer, […]ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,
b. die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert wird.
5. Die Beklagte wird verurteilt, dem Kläger Auskunft über die personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch eine „Web-Scraping“-Anwendung des Kontaktimporttools erlangt werden konnten.
6. Die Beklagte wird verurteilt, die Klägerseite von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von € 1.134,55 nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit freizuhalten.
Die Beklagte beantragt, die Klage abzuweisen.
Die Beklagte meint, dass die Klage bereits weitgehend unzulässig sei.
Dem auf Zahlung von immateriellem Schadensersatz gerichteten Klageantrag fehle es bereits an der gemäß § 253 Abs. 2 Nr. 2 ZPO erforderlichen Bestimmtheit. Die Klagepartei mache lediglich einen Zahlungsantrag geltend, stütze das Begehren jedoch auf eine Vielzahl vermeintlicher Verstöße gegen die DSGVO und zwei verschiedene Streitgegenstände – nämlich den Kontrollverlust und einen Schaden aus Benachrichtigungspflichten. Das Verhältnis der Streitgegenstände zueinander sei unklar. Es bestünde gar ein unzulässiges Alternativverhältnis.
Der Feststellungsantrag sei ebenfalls unbestimmt, da unklar bleibe, ob entstandene oder zukünftige Schäden betroffen sein sollen. Außerdem fehle es am erforderlichen Feststellungsinteresse. Es sei nicht vorgetragen worden, welche materiellen oder immateriellen Schäden aus den behaupteten Verstößen noch entstehen könnten.
Der Unterlassungsantrag sei nicht hinreichend bestimmt. Die konkrete Verletzungsform werde darin nicht wiedergegeben. Auch fehle das Rechtschutzbedürfnis, sofern begehrt wird, dass das […]-Nutzerkonto nicht über die Telefonnummer suchbar sein soll, weil dies von der Klagepartei in den Einstellungen geändert werden könne.
Die Klage sei jedenfalls unbegründet.
Zunächst umfasse der Schutzbereich des Art. 82 DSGVO keine Verstöße gegen Artt. 13, 14, 15, 24, 25 oder Art. 34 DSGVO. Es fehle an einem direkten Zusammenhang mit einer konkreten Verarbeitung personenbezogener Daten.
Die Voraussetzungen für einen Anspruch aus Art. 82 DSGVO lägen im Übrigen nicht vor.
Einen der Beklagten zurechenbaren ersatzfähigen immateriellen Schaden im Sinne des Art. 82 DSGVO habe der Kläger nicht erlitten. Die öffentliche Einsehbarkeit der Daten des Klägers habe den Privatsphäre-Einstellungen der Klagepartei entsprochen. Da die Daten öffentlich für jedermann abrufbar gewesen seien, sei auch nicht unbefugt auf diese zugegriffen worden. Entsprechend liege auch kein Verstoß der Beklagten gegen die DSGVO vor, wenn solche öffentlichen Daten von Dritten lediglich gesammelt würden. Dies erfülle auch nicht die Legaldefinition des Begriffs der „Verletzung des Schutzes personenbezogener Daten“ nach Art. 4 Abs. 12 DSGVO. Scraping sei im Internet allgegenwärtig. Scraping sei kein Hacking. Das Sammeln von Daten mit automatisierten Tools und Methoden und ohne Erlaubnis sei während des relevanten Zeitraums und weiterhin durch die […]-Nutzungsbedingungen verboten.
Die Beklagte habe nicht gegen Transparenzpflichten gemäß Artt. 5 Abs. 1 lit. a, 13, 14 DSGVO verstoßen.
Der Kläger habe einen Verstoß gegen Artt. 24, 32 DSGVO nicht schlüssig dargelegt, obwohl ihm das obliege. Es bestehe keine Pflicht zur Gewährleistung der Vertraulichkeit bei Daten, die nach dem Willen der Klagepartei öffentlich einsehbar sein sollten.
Außerdem habe die Beklagte angemessene Anti-Scraping-Maßnahmen eingesetzt und den Anforderungen des Art. 32 DSGVO hinreichend Rechnung getragen. Die Beklagte habe Anti-Scraping-Maßnahmen eingesetzt, die den in der Branche zur Anwendung kommenden Standards entsprochen hätten. Dabei würden Experten der Beklagten Aktivitätsmuster und Verhaltensweisen, die typischerweise mit automatisierten Computeraktivitäten in Zusammenhang stehen, identifizieren. Eine der Maßnahmen der Beklagten zur Verringerung von Scraping seien Übertragungsbeschränkungen gewesen. Übertragungsbeschränkungen reduzierten die Anzahl der konkreten Datenabfragen, die pro Nutzer oder IP-Adresse über einen bestimmten Zeitraum gestellt werden können. Bei Überschreitung der Übertragungsbeschränkung würden die Nutzer für weitere Datenabfragen (z. B. Suche nach anderen Nutzern) bis zum Ablauf der Übertragungsbeschränkungsfrist gesperrt. Außerdem kämen Maßnahmen zur Bot-Erkennung zum Einsatz, die dazu beitrügen, Konten zu identifizieren, die nicht von Menschen, sondern von einer Software betrieben wurden. Eine Überprüfung der Nutzung der […]-Suchfunktion durch die Beklagte im März 2018 habe zu dem Ergebnis geführt, dass eine Vielzahl von Anfragen an die Suchfunktion von einer Reihe von IP-Adressen aus Osteuropa genutzt worden seien. Es habe sich dabei mutmaßlich um ein Netzwerk von sog. Bot-Accounts gehandelt, welche von verschiedenen IP-Adressen innerhalb der beschriebenen Übertragungsbeschränkungen agierten. Infolgedessen senkte die Beklagte die Übertragungsbeschränkungen für die Suche anhand der Telefonnummer für die […]-Suchfunktion. Obwohl die Beklagte zu diesem Zeitpunkt keine Scraping-Aktivitäten über die Kontakt-Importer-Funktion festgestellt habe, habe sie die Übertragungsbeschränkungen ebenfalls abgesenkt.
Die Beklagte gehe zudem grundsätzlich mittels Unterlassungsaufforderungen, Kontosperrungen und Gerichtsverfahren gegen Scraper vor. Sofern die Beklagte von der Veröffentlichung möglicherweise von der […]-Plattform abgerufener Daten erfahre, sei sie bestrebt zu erreichen, dass die verantwortlichen Hosting-Anbieter (also die Unternehmen, auf deren Systemen die Daten zur Verfügung gestellt werden, z.B. Webseiten) die Daten entfernen.
In diesem Zusammenhang sei zu bedenken, dass Scraping nicht gänzlich verhindert werden könne. Anti-Scraping-Maßnahmen müssten eine Balance zwischen der Gewährleistung der Nutzbarkeit der Funktionen für die legitimen Nutzer (d. h. der Funktionsfähigkeit des Hochladens von Kontakten) und der Eindämmung des Scraping-Risikos finden. Dementsprechend sei es erforderlich gewesen, dass die Beklagte diese Übertragungsbeschränkungen während des maßgeblichen Zeitraums dergestalt festlegt, dass diese zwar eindeutig exzessive (und wahrscheinlich auf unauthentischem Verhalten beruhende) Aktivitäten unterbänden, jedoch zugleich immer noch das breite Spektrum einer normalen Nutzung der zugrunde liegenden Funktionalität berücksichtigten.
„Im Nachgang“ habe die Beklagte eine weitere Schutzmaßnahme für den Kontakt-Importer der […]-Plattform ergriffen, die darauf abzielte, einen übereinstimmenden Kontakt nur dann anzuzeigen, wenn die beiden Nutzer einander zu kennen schienen (der sogenannte „Social Connection Check“). Lud ein Nutzer seine Kontaktliste von seinem Mobiltelefon über den Kontakt-Importer der […]Plattform hoch, sei der übereinstimmende Nutzer nur dann dem importierenden Nutzer angezeigt worden, wenn (a) der importierende Nutzer einen Namen (sowie die Telefonnummer) für den hochgeladenen Kontakt importierte, der dem Namen des übereinstimmenden […]-Nutzers ähnelte oder (b) der übereinstimmende Nutzer den importierenden Nutzer bereits in seinen […]-Kontakten hatte.
Die Beklagte habe die Kontakt-Importer-Funktion schließlich dergestalt überarbeitet, dass sie die Anzeige direkter Kontaktübereinstimmungen durch eine Liste mit Kontaktvorschlägen, der „Menschen, die du kennen könntest“-Funktion (sog. People you may know-Funktion, PYMK-Funktion) ersetzt habe. In Folge dieser Überarbeitung habe die Kontakt-Importer-Funktion einen gefundenen […]-Nutzer nicht mehr dem Kontakt auf dem Telefon zugeordnet, sondern nach dem Import der Kontakte vom Mobiltelefon eine Liste mit Nutzern angezeigt, die der importierende Nutzer kennen könnte und somit eine Liste, die möglicherweise nur wenige oder gar keine der vom Nutzer hochgeladenen Kontakte enthalten habe. Die PYMK-Funktion habe zum Teil auf den Ergebnissen des Telefonnummernabgleichs basiert. Jedoch seien zudem andere Indikatoren, die etwa eine soziale Verbindung zwischen Nutzern nahelegten, herangezogen worden.
Ein Verstoß gegen Art. 25 DSGVO liege nicht vor. Denn der Zweck der […]-Plattform bestehe gerade darin, es Menschen zu ermöglichen, sich mit Freunden, Familie und Gemeinschaften zu verbinden. Daher seien die Funktionen gezielt so konzipiert, dass sie den Nutzern helfen würden, andere zu finden, sich mit ihnen zu verbinden und mit ihnen in Kontakt zu treten, da dies einen zentralen Zweck der […]-Plattform beinhalte. Allein aus dem Umstand, dass die Suchbarkeits-Einstellung hinsichtlich der Telefonnummer im relevanten Zeitraum im Ausgangspunkt standardmäßig auf „Alle“ eingestellt war, ergebe sich nichts anderes, da Nutzer stets die Möglichkeit hatten, die Einstellung wie gewünscht anzupassen. In Anbetracht des vorliegenden Kontexts der Verarbeitung (den Nutzern dabei zu helfen, einander zu finden und miteinander in Verbindung zu treten, was dem Grundgedanken der […]-Plattform entspricht) – in dem eine andere Standard-Einstellung als „Alle“ den eigentlichen Zweck der Verarbeitung (gegenseitige Auffindbarkeit und Vernetzung) untergraben hätte – sei es für die Beklagte auch angebracht, die Nutzer im Ausgangspunkt durch die Einstellung „Alle“ suchbar zu machen und ihnen gleichzeitig die Möglichkeit zur individuellen Anpassung über ihre Suchbarkeitseinstellungen zu geben.
Die Datenverarbeitung durch die Beklagte sei im Übrigen rechtmäßig gem. Art. 6 DSGVO gewesen. Die von Dritten abgerufenen Informationen seien im Einklang mit der Zielgruppenauswahl der Klagepartei öffentlich zugänglich gewesen. Die einschlägige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten der Klagepartei im Rahmen der Bereitstellung der […]-Plattform sei also Art. 6 Abs. 1 lit. b DSGVO (Erforderlichkeit der Datenverarbeitung zur Vertragserfüllung; hier in Bezug auf die Bereitstellung eines sozialen Netzwerks) gewesen. Dabei handele es sich um den hier erheblichen Verarbeitungszweck, welcher bedinge, dass bestimmte Daten den Privatsphäre-Einstellungen der Klagepartei entsprechend öffentlich zugänglich seien.
Der Auskunftsanspruch der Klägerseite sei durch das Schreiben der Beklagten (Anlage B16) erfüllt worden. Die Beklagte halte keine Kopie der Rohdaten, welche die im Einzelfall durch Scraping abgerufenen Daten enthalten. Sie könne lediglich die allgemeinen Datenpunkte angeben, die auf diesem Wege abgerufen werden konnten. Dies habe sie getan und so den Auskunftsanspruch erfüllt.
Schließlich könne sich die Beklagte zumindest über Art. 82 Abs. 3 DSGVO aus einer etwaigen Haftung befreien.
Aus §§ 1004 analog, 823 Abs. 1, Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO sowie Art. 17 DSGVO ergebe sich kein Unterlassungsanspruch. Im Übrigen bestehe keine Wiederholungsgefahr, weil der Kläger jederzeit die Suchbarkeitseinstellungen habe ändern können, was sie auch getan habe.
Das Gericht hat den Kläger informatorisch angehört. Hierzu wird auf das Protokoll über die mündliche Verhandlung vom 8. Februar 2024, wegen der Einzelheiten des Sach- und Streitstandes auf die gewechselten Schriftsätze nebst Anlagen Bezug genommen.
Entscheidungsgründe
Die Klage ist zulässig.
1.)
Der Zahlungsantrag ist hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO.
Insbesondere liegt kein Fall der (unzulässigen) alternativen Klagehäufung vor. Der Kläger stützt sein Zahlungsbegehren für immateriellen Schaden auf alle Umstände vor und nach der Offenlegung ihrer Daten. Es handelt sich um einen einheitlichen Lebenssachverhalt, der mit der Offenlegung ihrer Daten unter Verstoß gegen die DSGVO beginnt und durch das aus seiner Sicht rechtwidrige Verhalten der Beklagten nach Offenlegung vertieft worden sei (vgl. OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, Rn. 86; OLG Hamm, Urteil vom 15. August 2023, 7 U 19/23, Rn. 41). Wie das zögerliche Regulierungsverhalten als ein nach dem schädigenden Ereignis liegender Umstand bei der Bemessung des Schmerzensgeldes herangezogen werden kann (vgl. OLG Nürnberg, Urteil vom 25.04.1997 – 6 U 4215/96), so könnte ein – nach Ansicht des Klägers – rechtwidriges Verhalten der Beklagten nach der Offenlegung der Daten relevant für den Anspruch auf Schadensersatz sein. Mehrere Verstöße gegen die DSGVO im Zusammenhang mit einem Datenverarbeitungsvorgang führen entsprechend zu einem einheitlichen Anspruch aus Art. 82 DSGVO. Der Vergleich der Beklagten mit dem Arzthaftungsrecht dürfte damit fehlgehen. Denn eine fehlerhafte oder unterbliebene Aufklärung kann zur Rechtswidrigkeit des ärztlichen Heileingriffes führen, wovon – gänzlich unabhängig – die Ausführung des Heileingriffes nach den fachärztlichen Standards zu beurteilen ist. Im vorliegenden Fall steht aber die Offenlegung der Daten des Klägers im Mittelpunkt des Zahlungsanspruchs, einmal vom Blickwinkel der Frage, ob die Verarbeitung der Daten so hätte erfolgen dürfen, und einmal von der Perspektive des anschließenden Umgangs mit dieser – im Lebenssachverhalt identischen – Offenlegung bzw. Datenverarbeitung, so dass die beiden Perspektiven über den Datenverarbeitungsvorgang eng miteinander verknüpft sind (vgl. OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, Rn. 86).
2.)
Auch der Feststellungsantrag ist zulässig.
§ 256 Abs. 1 ZPO erlaubt die Erhebung einer Klage auf Feststellung des Bestehens oder Nichtbestehens eines gegenwärtigen Rechtsverhältnisses, wenn der Kläger ein rechtliches Interesse an einer entsprechenden alsbaldigen Feststellung hat.
a)
Auch bei einer Feststellungsklage muss der Klageantrag i.S.v. § 253 Abs. 2 Nr. 2 ZPO bestimmt sein, damit über den Umfang der Rechtskraft des Feststellungsausspruchs keine Ungewissheit herrschen kann. Die erforderliche Bestimmtheit verlangt, dass das festzustellende Rechtsverhältnis genau bezeichnet wird. Dazu genügt es, dass der Kläger die rechtsbegründenden Tatsachen näher angibt. Soweit es sich um Schadensersatzansprüche handelt, ist eine bestimmte Bezeichnung des zum Ersatz verpflichtenden Ereignisses erforderlich. Genügt die wörtliche Fassung eines Antrags nicht dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO, ist er unter Heranziehung der Klagebegründung auszulegen (stRspr. vgl. BGH, Urteil vom 06.07.2021 – VI ZR 40/20, Rn. 28).
Jedenfalls durch die danach gebotene Auslegung ist der Antrag bestimmt. Das Rechtsverhältnis der Parteien ist mit der begehrten Feststellung einer Ersatzpflicht der Beklagten gegenüber dem Kläger für weitere künftige Schäden aus dem unbefugten Datenabgriff ausreichend genau bezeichnet und ergibt sich aus Antrag und Begründung der Klage. Entsprechend der vorstehenden Ausführungen ist klar, aus welchem Lebenssachverhalt, nämlich der Offenlegung der Daten der Kläger im Rahmen des sog. Scraping im Zeitraum von Januar 2018 bis September 2019, der Kläger einen künftigen Schaden befürchtet. Der Antrag ist darüber hinaus so auszulegen, dass die Klägerseite eine Schadensersatzpflicht auf die Offenlegung der hier konkret angeführten Daten (Namen, Geschlecht, Nutzer-ID) in Bezug auf ihre Mobiltelefonnummer stützt.
b)
Das erforderliche Feststellungsinteresse nach § 256 Abs. 1 ZPO liegt vor.
Nach § 256 Abs. 1 ZPO kann auf Feststellung des Bestehens oder Nichtbestehens eines Rechtsverhältnisses Klage erhoben werden, wenn der Kläger ein rechtliches Interesse daran hat, dass das Rechtsverhältnis alsbald festgestellt werde.
Zwar hängt in Fällen, in denen es um erst künftig erwachsende reine Vermögensschäden geht, die Zulässigkeit der Feststellungsklage grundsätzlich von der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts ab. Daran fehlt es, wenn der Eintritt irgendeines Schadens noch ungewiss ist (BGH, Beschluss vom 4. März 2015 – IV ZR 36/14, Rn. 15). Handelt es sich allerdings nicht um reine Vermögenschäden, sondern um Schäden, die aus der Verletzung eines absolutes Rechts oder eines vergleichbaren Rechtsguts resultieren, genügt bereits die Möglichkeit, dass solche Schäden eintreten. Hierzu zählt insbesondere das allgemeine Persönlichkeitsrecht (BGH, Urteil vom 29.06.2021 – VI ZR 52/18, Rn. 30). An dieser Möglichkeit fehlt es allerdings, wenn aus Sicht des Klägers bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines weiteren Schadens wenigstens zu rechnen (vgl. BGH, Urteil vom 05.10.2021 – VI ZR 136/20, Rn. 28).
Im vorliegenden Fall trägt der Kläger schlüssig vor, dass die Beklagte sein Datenschutzgrundrecht aus Art. 8 GRCh bzw. Art. 16 AEUV verletzt hat. Danach hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. In Art. 8 Abs. 2 GRCh heißt es weiter, dass diese Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. Erfolgt eine Datenverarbeitung nicht im Einklang mit den Vorgaben der DSGVO, wird dieses Recht verletzt. Dem entspräche im Wesentlichen das hier – aufgrund des Anwendungsvorranges der DSGVO als vollharmonisiertem Recht (vgl. BVerfG, Beschluss vom 06.11.2019 – 1 BvR 276/17) – nicht heranzuziehende Recht auf informationelle Selbstbestimmung als Ausdruck des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG. Dieses Recht gewährleistet (ebenfalls) die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu entscheiden (vgl. BVerfG, Beschluss vom 07.12.2011 – 2 BvR 2500/09, Rn. 137). Angesichts dieser Verletzung eines absoluten Rechtes genügt im vorliegenden Fall allein die Möglichkeit des Eintritts eines Schadens. Es ist durchaus möglich, dass die personenbezogenen Daten des Klägers aufgrund der Offenlegung (weitere) Verwendung durch Unbefugte in Zukunft finden und ihm so – je nach Art der Verwendung – ein Schaden entstehen kann. Ist seine Mobiltelefonnummer durch einen Verstoß der Beklagten als Teil einer „Leak-Liste“ offengelegt worden, so liegt es sogar nahe, dass (auch) seine Nummer von Unbefugten verwendet werden wird. Es kann von einer Vielzahl von Umständen abhängen, ob aus dieser Verwendung auch ein Schaden resultiert. Dass aber kein Grund bestünde mit dem Eintritt eines Schadens nicht wenigstens zu rechnen, lässt sich auf dieser Grundlage nicht feststellen. Zwar mag es – wie in der mündlichen Verhandlung erörtert – für den Kläger in Zukunft auf Grundlage der begehrten Feststellung eine Herausforderung darstellen, auch den Nachweis zu führen, dass weitere Schäden als mit der vorliegenden Klage geltend gemacht gerade auf diesen Vorfall zurückzuführen sind. Die Schwierigkeit einen Beweis zu führen, steht aber der Möglichkeit eines kausalen Schadens nicht entgegen.
Randnummer68
Im Übrigen ist die Frage, ob in Zukunft eine immaterielle Beeinträchtigung eingetreten ist, erst im Rahmen der Geltendmachung weiterer Ansprüche zu betrachten; die bloße Möglichkeit künftiger Schäden kann nicht mit fehlenden Darlegungen für die Gegenwart verneint werden (vgl. OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, Rn. 93).
3.)
Der Unterlassungsantrag ist zulässig und dabei insbesondere hinreichend bestimmt.
Der Kläger begehrt mit dem Unterlassungsantrag zu lit. a von der Beklagten, dass seine Daten nicht über eine Software zum Importieren von Kontakten zugänglich gemacht werden, wenn diese nicht durch Sicherheitsmaßnahmen nach dem Stand der Technik geschützt sind. Unerheblich ist dabei, dass der Kläger die Sicherheitsmaßnahmen lediglich abstrakt beschreibt. Als Laie ist er nicht zu einer substantiierteren Beschreibung in der Lage. Sein Rechtschutz liefe leer, wollte man von ihm die Angabe konkreter Maßnahmen verlangen, die diesen Stand der Technik umsetzen. Vielmehr obliegt es der Beklagten – im Rahmen des ihr zustehenden Ermessens – zu entscheiden, auf welchem Wege sie diesen Erfolg herbeiführt (vgl. OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, Rn. 100, 101).
Auch der Unterlassungsantrag zu lit. b ist zulässig, soweit es um den Zusatz ab „namentlich“ geht. Denn dieser Zusatz beschreibt einen konkreten Sachverhalt, dessen Unterlassung begehrt wird. Der Einleitungssatz, der sich pauschal auf „unübersichtliche und unvollständige Informationen“ bezieht, dient – nach entsprechender Auslegung – insoweit lediglich der Einkleidung des dann konkret formulierten Sachverhaltes im Zusatz.
B.
Die Klage ist aber weitgehend unbegründet.
I.
Dem Kläger steht ein Anspruch auf Schadensersatz gegen die Beklagte aus Art. 82 Abs. 1 DSGVO zu. Die Beklagte hat gegen Vorschriften der DSGO verstoßen (1.) und dem Kläger ist ein immaterieller Schaden nach Art. 82 DSGVO entstanden (2.), doch ist dieser in der Höhe mit einem weitaus geringeren Betrag auszugleichen als von dem Kläger beantragt (3.).
1.)
Die Beklagte hat gegen Art. 25 DSGVO und Art. 32 DSGVO verstoßen.
a.)
Ein Verstoß gegen diese Vorgaben wird vom Schutzbereich des Art. 82 DSGVO erfasst.
Schon nach dem Wortlaut wird „ein Verstoß gegen diese Verordnung“ erfasst, ohne dies zu begrenzen. Dem Grunde nach reicht also jeglicher Verstoß gegen die DSGVO aus, um einen Schadensersatz nach Art. 82 DSGVO zu eröffnen. Ob diese Weite dadurch zu reduzieren ist, dass Verstöße nur dann und insoweit berücksichtigt werden, wenn diese „bei“ oder „im Rahmen“ einer Datenverarbeitung begangen werden (so LG Düsseldorf, Urteil vom 28.10.2021 – 16 O 128/20; Nemitz in: Ehmann/Selmayr, DSGVO, 2. Aufl., Art. 82, Rn. 8, a.A. Quaas in: BeckOK Datenschutzrecht, Stand 01.11.2023, Art. 82 DS-GVO, Rn. 14; Boehm in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl., Art. 82 DSGVO, Rn. 10), kann in Bezug auf Art. 25 DSGVO und Art. 32 DSGVO dahingestellt bleiben. Denn beide Verstöße wirken in der Datenverarbeitung fort. Ist die Voreinstellung entgegen Art. 25 DSGVO nicht datensparsam gewählt, dann wirkt sich dieser Verstoß in einer Datenverarbeitung aus, die überhaupt erst wegen dieser nicht datensparsamen Voreinstellung möglich ist. Entsprechendes gilt, wenn eine Datenverarbeitung dadurch ermöglicht wird, dass die Verantwortliche entgegen Art. 32 DSGVO keine Sicherheitsmaßnahmen nach dem Stand der Technik ergriffen hat. In beiden Fällen führt der Verstoß erst zu der (unbefugten) Datenverarbeitung.
Unerheblich ist, dass es sich nicht – wie die Beklagte geltend macht – um „Hacking“ handeln soll, sondern um ein Datensammeln, da keine Sicherheitshürden überwunden wurden. Auf diese Begriffe stellt der Tatbestand des Art. 82 DSGVO nicht ab. Jeder Verstoß gegen die DSGVO soll zum Ersatz eines entstandenen Schadens führen. Damit ist (selbstverständlich) nicht allein der Fall gemeint, bei dem „Hacker“ Sicherheitshürden überwinden, um an personenbezogene Daten zu gelangen, sondern erst recht auch der Fall, dass es gar keine Sicherheitshürden gab, um an die Daten zu gelangen. Letzteres könnte allenfalls die Frage aufwerfen, ob auf (solche) Sicherheitshürden verzichtet werden konnte. Für den Anwendungsbereich des Art. 82 DSGVO ist dies ohne Bedeutung.
b.)
Es steht zur Überzeugung des Gerichtes fest, dass der Kläger von dem gegenständlichen Scraping-Vorfall betroffen ist und seine Daten auf eine Anfrage anhand einer sequentiell erstellten Nummer, die mit ihrer Telefonnummer übereinstimmte, übermittelt wurden.
Dies hat die Beklagte in Abrede gestellt, weil ihr die Rohdaten der gesammelten Daten nicht vorliegen. Es kann dahingestellt bleiben, wie mit den Vorgaben des § 138 Abs. 4 ZPO in diesem Zusammenhang im Detail umzugehen wäre. Denn jedenfalls hat sich das Gericht die Überzeugung gebildet, dass der Kläger ebenfalls betroffen war.
Randnummer80
Denn bei einer Suche nach der Mobiltelefonnummer auf der Seite www.haveibeenpwnd.com wird angegeben, dass diese Nummer von dem Scraping erfasst war, das die […]-Plattform der Beklagten betraf. Das Angebot der Seite www.haveibeenpwnd.com wird allgemein als verlässliche Quelle angesehen, um die Betroffenheit von Sicherheitsvorfällen zu überprüfen (a.A. wohl LG Stuttgart, Urteil vom 24.01.2024 – 27 O 92/23). So verweist selbst das Bundesamt für Sicherheit in der Informationstechnik für diese Zwecke auf den Dienst dieser Seite (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Umgang-mit-Passwoertern/umgang-mit-passwoertern_node.html; abgerufen am 14.03.2024). Zwar kann das Bundesamt für Sicherheit in der Informationstechnik nach den dortigen Angaben keine Angaben zu Qualität und Aktualität der dort hinterlegten Daten treffen. Das ändert jedoch nichts daran, dass den Verantwortlichen dieses Dienstes eine Datensammlung in Bezug auf das gegenständliche Scraping vorlag, in dem die Mobiltelefonnummer des Klägers aufgeführt war. Denn die Verantwortlichen sammeln nach eigenen Angaben (vgl. https://haveibeenpwned.com/FAQs; zuletzt abgerufen am 14.03.2024) Daten aus derartigen Vorfällen und ermöglicht Nutzern festzustellen, ob und in welchen Fällen ihre Daten offengelegt wurden. Dabei werden verschiedene Kriterien herangezogen, um zu prüfen, ob es sich um einen „echten“ Vorfall handelt. Also muss die Mobiltelefonnummer des Klägers in einer solchen Datensammlung enthalten gewesen sein und die Prüfung ergeben haben, dass die Daten aus einem „echten“ Vorfall stammen und dabei offengelegt wurden.
Da der Kläger zu jener Zeit ein Nutzerkonto auf der Plattform […] der Beklagten hatte und auch die Rahmenbedingungen im Hinblick auf die Einstellungen so gewählt waren, dass die Vorgehensweise auch hinsichtlich der Daten des Klägers funktionieren konnte, bestehen zudem keinerlei greifbare Anhaltspunkte, die dieser Feststellung widersprächen. Mit einem für das praktische Leben brauchbaren Grad von Gewissheit bildet sich das Gericht auf dieser Grundlage die Überzeugung, dass auch die Daten des Klägers betroffen waren.
c.)
Die Beklagte hat gegen Art. 25 Abs. 2 Satz 1 und 3 DSGVO verstoßen. Danach trifft der Verantwortliche geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
Die Beklagte hat die Voreinstellung für die Suchbarkeit auf „alle“ geschaltet, also nicht sichergestellt, dass ohne Eingreifen des Klägers eine Suche der zum Nutzerkonto des Klägers hinterlegten Daten anhand der Telefonnummer einer unbestimmten Zahl von natürlichen Personen nicht möglich war.
Irrig stellt die Beklagte dabei darauf ab, dass dem abrufenden Gerät lediglich die Daten übermittelt wurden, die stets öffentlich einsehbar sind (Name, Geschlecht etc.). Damit verkürzt sie den Kommunikationsprozess im Rahmen der Kontakt-Import-Funktion in unzulässiger Weise. Zunächst umfasst nach Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die Verarbeitung im vorliegenden Fall erfolgt initial durch Auslesen der Telefonnummern, die in der eigenen Datenbank für die Nutzerkonten im Rahmen der Suchbarkeit hinterlegt sind. Dieses Auslesen der Telefonnummer als personenbezogenes Datum (vgl. dazu Art. 4 Nr. 1 DSGVO) war den Unbekannten indessen nur möglich aufgrund der von der Beklagten vorgegebenen Voreinstellung, wonach „alle“ anhand der Telefonnummer nach Nutzern suchen konnten, was umgekehrt bedeutet, dass die Beklagte einer unbestimmten Zahl natürlicher Personen über das Auslesen die Telefonnummern der Nutzer zugänglich machte. Außerdem verwendete die Beklagte die Telefonnummern der Nutzer insoweit, als sie hierauf die weiteren Daten für das Nutzerkonto auf die Anforderung an das anfragende Gerät übermittelte. Es kommt nicht darauf an, dass die Beklagte dabei (in der JSON-Payload nach ihrer eigenen Darstellung) nicht ausdrücklich die Telefonnummer des Nutzers als Zeichenkette übermittelte. Dies wäre informationstechnisch widersinnig gewesen. Denn die Telefonnummer als Zeichenkette lag dem anfragenden Gerät schließlich vor. Es genügte also in der Vorgangsreihe von Abfrage und Antwort lediglich auf die Anfrage (request) des externen Gerätes technisch zu referenzieren, um hierzu die weiteren Daten zu übermitteln. Auch dann verwendet aber die Methode der Beklagten die – zunächst ausgelesene – Telefonnummer der Nutzer, um gerade für diese Nummer weitere Daten zu übermitteln. Entsprechend kann aufgrund der Antwort durch das System der Beklagten zum einen festgestellt werden, dass die in Form einer Telefonnummer generierte Zeichenkette tatsächlich existiert und welche Daten mit dieser verbunden sind. Das lässt sich in keiner Weise auf die Bereitstellung der stets öffentlichen Daten der Nutzer reduzieren, da insoweit der Bezug zur Telefonnummer fehlt. Vielmehr war die Telefonnummer bei den Zielgruppensucheinstellungen gerade ausgenommen von den stets öffentlichen Daten. Durch die Suchbarkeitseinstellung wurde aber aufgrund der angefragten Zeichenkette jedoch die Telefonnummer nebst weiterer Daten für das anfragende Gerät und damit eine unbestimmte Zahl an Personen zugänglich gemacht.
Unschlüssig ist dabei der Einwand der Beklagten, die Verarbeitung und Voreinstellung der Suchbarkeit auf „alle“ sei berechtigt gewesen, weil dies dem Zweck des sozialen Netzwerkes entsprochen habe. Selbstverständlich wäre es auch dann möglich gewesen die Plattform zu nutzen, wenn die Nutzer nicht anhand ihrer Telefonnummer von jedermann gesucht (und gefunden) werden könnten. Dies zeigt sich schon daran, dass die Kontakt-Import-Funktion nicht schon immer existierte. Denn Nutzer konnten und können jederzeit auch lediglich anhand ihres – immer öffentlichen – Namens gefunden werden, ohne dass es der Suche anhand der Telefonnummer bedurft hätte (so auch OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, Rn. 229).
c.)
Die Beklagte hat auch gegen Art. 32 DSGVO verstoßen.
Schon Art. 5 Abs. 1 lit. f DSGVO verlangt, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit”). Art. 32 Abs. 1 DSGVO konkretisiert, dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Es oblag der Beklagten aufgrund ihrer Rechenschaftspflicht in Art. 5 Abs. 2, 24 Abs. 1 DSGVO darzulegen und zu beweisen, dass die von ihr getroffenen Sicherheitsmaßnahmen i.S.v. Art. 32 DSGVO in diesem Sinne geeignet waren (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21).
Dies hat die Beklagte nicht schlüssig getan. Die Beklagte hat sich in ihrem Vortrag darauf beschränkt, Maßnahmen wie Übertragungsgrenzen oder Bot-Erkennung schlagwortartig zu benennen. Die Anforderungen des Art. 32 DSGVO liegen jedoch weit höher. Richtig weist die Beklagte darauf hin, dass ihr ein Entscheidungs- bzw. Ermessensspielraum bei der Wahl der geeigneten technischen und organisatorischen Maßnahmen zugestanden habe. Gleichwohl muss ein nationales Gericht die komplexe Beurteilung, die der Verantwortliche vorgenommen hat, bewerten können und sich dabei vergewissern können, dass die vom Verantwortlichen gewählten Maßnahmen geeignet sind, ein solches Sicherheitsniveau zu gewährleisten. Es muss eine materielle Prüfung dieser Maßnahmen anhand aller in diesem Artikel genannten Kriterien sowie der Umstände des Einzelfalls und der dem Gericht dafür zur Verfügung stehenden Beweismittel vornehmen. Eine solche Prüfung erfordert eine konkrete Untersuchung sowohl der Art als auch des Inhalts der vom Verantwortlichen getroffenen Maßnahmen, der Art und Weise, in der diese Maßnahmen angewandt wurden, und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 43).
Gemessen hieran hat die Beklagte nicht schlüssig vorgetragen, dass sie ihr Ermessen pflichtgemäß ausgeübt hat. So hätte es zunächst einer Bewertung des Schutzniveaus der Daten (nach BSI-Grundschutz 200-2: „Schutzbedarfsfeststellung“; ebenso das Standard-Datenschutzmodell der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) bedurft. Jedoch fehlt jeglicher Vortrag der Beklagten zu dem Schutzniveau nicht nur der stets öffentlichen Daten, sondern vor allem der Telefonnummer. Weiter bedarf es einer Betrachtung der Daten in den verschiedenen Verarbeitungsvorgängen, hier also speziell der Kontakt-Import-Funktion (nach BSI-Grundschutz 200-2: „Erfassung der Geschäftsprozesse“; nach Standard-Datenschutzmodell: „Verarbeitungstätigkeit (Geschäftsprozesse)“. Ob die Beklagte die Verarbeitung der Telefonnummer bei diesem Verarbeitungsvorgang überhaupt beachtet hat, ist weder vorgetragen noch ersichtlich.
Ausgehend von dem Schutzniveau der Daten und dem Verarbeitungsvorgang war es erforderlich etwaige Risiken zu identifizieren und zu bewerten (nach BSI-Grundschutz: Risikoanalyse; nach Standard-Datenschutzmodell: Risikobetrachtung). Auch hierzu fehlt konkreter Vortrag. Die Beklagte gibt zwar pauschal an, dass das Risiko von Scraping schon immer bestanden habe. Ob und zu welchem Ausmaß die Beklagte sich jedoch gerade für die Kontakt-Import-Funktion der Möglichkeit eines Missbrauchs durch das gegenwärtige Angriffsszenario der sequentiellen Telefonnummernerstellung und -abfrage bewusst war, bleibt offen.
Erst jetzt, also wenn das Schutzniveau der personenbezogenen Daten bestimmt, die beteiligten Verarbeitungsvorgänge (Geschäftsprozesse) analysiert und die einzelnen Risiken diesbezüglich festgestellt und bewertet worden sind, kommt es auf die konkreten technischen und organisatorischen Maßnahmen an, um den jeweiligen Risiken in geeigneter und angemessener Weise zu begegnen (nach BSI-Grundschutz 200-2: „Modellierung“). Entsprechend unterscheidet auch der Europäische Gerichtshof zwischen zwei Schritten: Zum einen sind die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung muss konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen. Zum anderen ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind (EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 42).
Den Ausführungen der Beklagten ist nach alledem schon nicht zu entnehmen, dass sie in dieser strukturierten Weise vorgegangen wäre. Dabei ist organisatorischer Datenschutz ein wesentlicher Bestandteil, um die Sicherheit der Verarbeitung zu gewährleisten (ausführlich zur Methodik: BSI-Grundschutz 200-2 oder auch das Standard-Datenschutzmodell). Die schlagwortartig bezeichneten technisch-organisatorischen Maßnahmen bleiben vor diesem Hintergrund ohne erhebliche Aussagekraft. Irgendwelche Maßnahmen in den Raum zu stellen, ohne auf die weiteren Schritte der notwendigen Gesamtbetrachtung einzugehen, ermöglicht dem Gericht nicht, die ergriffenen Maßnahmen – wie es von ihm verlangt wird (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 45) – im Rahmen von Art. 32 DSGVO beurteilen zu können.
Im Übrigen sind die Maßnahmen zudem so pauschal formuliert, dass sie auch inhaltlich einer Beweisaufnahme nicht zugeführt werden könnten. So wird bspw. schon nicht klar, welche Übertragungsgrenzen die Beklagte zunächst angenommen hatte und auf welcher Grundlage sie diese Festlegung vornahm. Das Gericht hatte die Beklagte in der mündlichen Verhandlung darauf hingewiesen, dass insoweit ihr bisheriger Vortrag daher nicht ausreicht. Die Beklagte hat in dem hierauf nachgelassenen Schriftsatz im Wesentlichen die bereits in der Klageerwiderung (Rn. 68 ff.) enthaltenen, unzureichenden Ausführungen wiederholt.
d.)
Soweit sich der Kläger auch auf Verstöße gegen Artt. 13, 14 DSGVO bzw. Artt. 33, 34 DSGVO stützt, ist dies für die Haftungsbegründung unerheblich. Denn der Kläger hat nicht schlüssig vorgetragen, dass ihr gerade durch diese (etwaigen) Verstöße, also eine fehlende, fehlerhafte oder nicht rechtzeitige Information der Beklagten des Klägers oder der Aufsichtsbehörden über den Scraping-Vorfall, ein Schaden entstanden wäre. Die Sorgen, Befürchtungen etc. sollen sich – lebensnah – nicht wegen dieser fehlerhaften Information gebildet haben, sondern wegen der Offenlegung der Daten.
Ebenfalls dahingestellt bleiben kann vor diesem Hintergrund, in welchem Verhältnis die Verstöße gegen Art. 25 DSGVO und Art. 32 DSGVO zu Art. 6 DSGVO stehen. Die Beklagte beruft sich noch nicht einmal auf eine Einwilligung des Klägers in diese Datenverarbeitung. Dass aber die Kontakt-Import-Funktion erforderlich gewesen wäre, um den Vertrag zwischen den Parteien zu erfüllen (Art. 6 Abs. 1 lit. b DSGVO), erscheint fernliegend. Wie ausgeführt, kann das soziale Netzwerk auch ohne diese Funktion genutzt werden. Letztlich kommt es hierauf nicht an. Denn auch insoweit behauptet der Kläger nicht, dass ihm aus der Funktionalität der Kontakt-Import-Funktion als solche ein Schaden entstanden wäre. Wegen der Funktion als solcher ist er nicht in Sorge geraten. Diese sei vielmehr durch die Offenlegung der Daten aufgrund der nicht datenschutzfreundliche Voreinstellung und den unzureichenden technischen und organisatorischen Maßnahmen verursacht worden.
2.)
Dem Kläger ist hierdurch ein immaterieller Schaden entstanden.
a)
Ein Verstoß allein gegen die Vorschriften der DSGVO reicht nicht aus, um einen Anspruch zu begründen. Denn schon nach dem Wortlaut des Art. 82 DSGVO ist hierfür zudem ein „Schaden“ erforderlich (EuGH, Urteil vom 04.05.2023 – C-300/21, Rn. 33). Der Begriff des materiellen oder immateriellen Schadens ist in der gesamten Europäischen Union autonom und einheitlich auszulegen (EuGH, Urteil vom 04.05.2023 – C-300/21, Rn. 29, 30 mwN).
Nach dem 85. Erwägungsgrund zur DSGVO kann eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. Der Europäische Gerichtshof hat in einer Reihe von Entscheidungen hervorgehoben, dass für die Annahme eines immateriellen Schadens keine Schwelle überschritten werden müsse. So hatte der Oberste Gerichtshof (Österreich) dem Europäischen Gerichtshof unter anderem die Frage zur Vorabentscheidung vorgelegt, ob die Auffassung mit dem Unionsrecht vereinbar sei, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht. Hierauf hat der Europäische Gerichtshof festgestellt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urteil vom 04.05.2023 – C-300/21, Rn. 51). Man kann aus der Gesamtschau von Frage und Antwort schließen können, dass der Europäische Gerichtshof Ärger nicht von vornherein als immateriellen Schaden ausscheiden will. Dies leuchtet auch ein, da mit der Einführung einer – wie auch immer formulierten – Erheblichkeitsschwelle die Gefahr einer uneinheitlichen Auslegung dieser Erheblichkeit durch die Gerichte in der Europäischen Union und damit unterschiedliche Schutzniveaus geschaffen würde. Im Anschluss hieran hat der Europäische Gerichtshof auch hervorgehoben, dass Art. 82 Abs. 1 DSGVO einer nationalen Rechtsvorschrift oder -praxis entgegenstehe, die für einen durch einen Verstoß gegen diese Verordnung verursachten immateriellen Schaden eine „Bagatellgrenze“ vorsieht. So stehe nicht entgegen, dass die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten den betroffenen Personen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO zufügen können (EuGH, Urteil vom 14.12.2023 – C-456/22, Rn. 22). Eine Auslegung von Art. 82 Abs. 1 DSGVO dahin, dass der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre jedoch nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird. Entsprechend kann diese Befürchtung einer missbräuchlichen Verwendung ihrer personenbezogenen Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen (EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 50 und 83).
Allerdings bedeutet diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (EuGH, Urteil vom 04.05.2023 – C-300/21, Rn. 50; EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 84). Die Personen, die Schadensersatz nach Art. 82 Abs. 1 DSGVO begehren, müssen also den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten haben (EuGH, Urteil vom 14.12.2023 – C-456/22, Rn. 22). Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 85). An dieser Verteilung der Darlegungs- und Beweislast für einen Schaden, ändert die Formulierung des Europäischen Gerichtshofes (Urteil vom 14.12.2023 – C-340/21, Rn. 74) nichts wonach, der Verantwortliche nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist. Dieser Halbsatz steht ersichtlich im Kontext einer Auslegung des Art. 82 Abs. 3 DSGVO. Damit hebt der Europäische Gerichtshof lediglich, aber immerhin hervor, dass eine punktuelle Entlastung des Verantwortlichen im Rahmen von Art. 82 Abs. 3 DSGVO nicht ausreicht. Vielmehr darf er in „keinerlei Hinsicht“ für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich sein. Der Wortlaut der Formulierung des Europäischen Gerichtshofes setzt dabei voraus, dass durch einen Umstand ein Schaden eingetreten ist, lässt also die hierzu ergangene Rechtsprechung unberührt. Erst wenn durch einen Verstoß ein Schaden eingetreten ist (und dies bewiesen wurde), gelangt man zu der hiermit beantworteten Frage, welche Anforderungen an eine Entlastung nach Art. 82 Abs. 3 DSGVO zu stellen sind.
Da das Gericht diese Frage nach dem immateriellen Schaden insbesondere aufgrund der Entscheidungen des Europäischen Gerichtshofs vom 14. Dezember 2023 im Sinne der Klägerseite als geklärt ansieht, besteht keine Veranlassung ihrem Antrag auf Aussetzung des Verfahrens im Hinblick auf das Vorabentscheidungsersuchen des Bundesgerichtshofes zu folgen.
b)
Dies zugrunde gelegt, ist dem Kläger ein immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO entstanden.
Ob der Kläger einen derartigen realen und sicheren emotionalen Schaden erlitten hat, ist am Beweismaß des § 287 ZPO zu messen. Die DSGVO selbst enthält keine Bestimmung, die sich den Regeln für die Bemessung des Schadensersatzes widmet, auf den eine betroffene Person im Sinne von Art. 4 Nr. 1 DSGVO nach Art. 82 DSGVO Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadensersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (EuGH, Urteil vom 04.05.2023 – C-300/21, Rn. 54). Damit ist § 287 ZPO anzuwenden, der diesen Grundsätzen genügt. Denn der geltend gemachte immaterielle Schaden stellt sich insoweit als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte des Klägers auf Schutz personenbezogener Daten aus Art. 8 GRCh dar (vgl. OLG Karlsruhe, Urteil vom 6. Oktober 2023 – 19 U 23/23 [nicht veröffentlicht] mwN u.a. auf LG Ellwangen, Urteil vom 25.01.2023 – 2 O 198/22; LG Dortmund, Urteil vom 22.05.2023 – 24 O 20/23).
Allein der (objektive) Verlust der Kontrolle über personenbezogenen Daten reichte allerdings von vornherein nicht aus, mag dieser auch im 85. Erwägungsgrund als Beispiel für einen immateriellen Schaden genannt werden. Denn mit der Offenlegung von personenbezogenen Daten gegenüber Dritten geht stets der Verlust der Hoheit über diese Daten einher, so dass der Verstoß mit dem Schaden gleichgesetzt werden müsste, was jedoch – wie ausgeführt – unzulässig wäre. Stattdessen ist mit den Ausführungen des Europäischen Gerichtshofs auf die konkreten Umstände bei der jeweils betroffenen Person abzustellen. Entsprechend formuliert der Gerichtshof, dass die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten den betroffenen Personen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO zufügen können. Wenn aber der Verlust der Hoheit über die Daten einen Schaden „zufügen“ kann, dann entspricht er nicht dem Schaden selbst, sondern dieser ist durch das Gericht gesondert festzustellen.
Das Gericht erachtet allerdings als überwiegend wahrscheinlich, dass der Kläger in Sorge ist um die Verwendung seiner Daten durch Unbefugte aufgrund der Offenlegung derselben als Folge der Verstöße der Beklagten gegen Art. 25 DSGVO und Art. 32 DSGVO.
Der Kläger hat insoweit angegeben, dass er in Sorge um seine Daten sei. Es sei für ihn so, als habe er seinen Haustürschlüssel verloren. Das Ganze hänge wie ein Damoklesschwert über ihm. Er fürchte Identitätsdiebstahl oder ähnliches und dass er sich dann für die unbefugte Verwendung seiner Daten z.B. im Rahmen von Spoofing rechtfertigen müsse. Er wolle die Verantwortung für die Situation nicht bei sich haben. Ihm sei bekannt, das die „Leak-Liste“ gehandelt werde, sei deshalb aber nicht verärgert, sondern eben in Sorge.
Selbstverständlich berücksichtigt das Gericht, dass der Kläger „in eigener Sache“ aussagt. Gleichwohl war seine Darstellung nicht überzogen, sondern differenziert. So berichtete er nicht von „schlaflosen Nächten“ wie noch schriftsätzlich vorgetragen. Auch berichtete er nicht von Ärger. Seine Sorge konnte er auf Nachfrage auch spezifizieren im Hinblick auf die verschiedenen Möglichkeiten diese unbefugt zu verwenden. Dabei zeigte sich, dass dem Kläger die technischen Zusammenhänge und Möglichkeiten bei der missbräuchlichen Verwendung seiner Daten bewusst sind. Gerade deshalb ist auch nachvollziehbar, dass sich der Kläger sorgt, da er die konkreten Gefahren kennt, die mit der Offenlegung seiner Daten verbunden sind. Trotz des Eigeninteresses des Klägers am Ausgang des Verfahrens reicht dies aus, um zumindest mit überwiegender Wahrscheinlichkeit davon auszugehen, dass der Kläger sich wirklich um den Umgang mit seinen offengelegten Daten sorgt.
Allerdings konnte sich das Gericht darüber hinaus nicht die Überzeugung bilden, dass das von dem Kläger berichtete „vermehrte“ SPAM-Aufkommen in Nachrichten per SMS sowie Anrufen im Zusammenhang mit der Offenlegung seiner Daten durch das gegenständliche „Scraping“ zusammenhängt. Der Kläger hat zwar ausgeführt, dass er ein größeres SPAM-Aufkommen bei den Mails und bei den SMS festgestellt habe. Ein SPAM-Aufkommen bei den Mails ist jedoch schon von vornherein nicht nachvollziehbar, da die E-Mail-Adresse – unstreitig – nicht im Rahmen des gegenständlichen Scrapings offengelegt wurde. Im Hinblick auf die SPAM-SMS und Anrufe ist in die Würdigung einzustellen, dass der Kläger möglicherweise sensibilisiert wurde für die Anzahl von SPAM-Nachrichten, nachdem er von dem Scraping-Vorfall erfahren hatte. Dies zieht die Verlässlichkeit seiner Schätzungen der Anzahl an SPAM-Nachrichten in Zweifel. Unabhängig davon hat der Kläger angegeben, dass er über eine Suche im Internet auf den Scraping-Sachverhalt aufmerksam geworden sei. Hierauf habe er ein größeres SPAM-Aufkommen festgestellt. Wollte man aber einen Zusammenhang zwischen einem (erheblichen) Zuwachs an SPAM-Nachrichten und dem Scraping-Sachverhalt herstellen, wäre zu erwarten gewesen, dass er schon im Jahr 2019 diesen erheblichen Anstieg an SPAM-Nachrichten feststellt. Diese merkliche Erhöhung hätte ihn dann schon damals Veranlassung gegeben nach Gründen hierfür zu suchen. Dies hat der Kläger aber nicht vorgebracht. Seine Darstellung legt vielmehr nahe, dass er rückbeziehend, also aus der Sicht ex post, einen kausalen Zusammenhang herstellt. Es ist nicht nur im Bereich der Wahrnehmungspsychologie (dazu vgl. Spohrer in: Möllers, Wörterbuch der Polizei, 3. Aufl., Stichwort „Knallzeuge“) bekannt, dass Ergänzungen vorgenommen werden, um einen logisch vollständigen und „erklärbaren“ Geschehensablauf zu erhalten. Belastbar sind derartige Zuschreibungen aber nicht. Hinzu kommt, dass der Kläger unstreitig auch schon vor dem gegenständlichen Scraping-Sachverhalt SPAM-Nachrichten erhalten hat. Dann aber besteht auch die Möglichkeit, dass ein Anstieg durch eine Weitergabe seiner bereits unabhängig vom Scraping offengelegten Daten zu erklären wäre. Auf dieser Grundlage kann jedenfalls eine überwiegende Wahrscheinlichkeit für den Anstieg an SPAM-Nachrichten durch den gegenständlichen Sachverhalt nicht festgestellt werden.
Aus entsprechendem Grund kann auch der konkret geschilderte Vorfall mit der Freundin des Klägers, bei dem eine SPAM-Nachricht erhalten worden sein soll, nicht auf die gegenständliche Offenlegung der Daten des Klägers zurückgeführt werden.
3.)
Dem Kläger steht zum Ersatz seines so erlittenen immateriellen Schadens ein Betrag in Höhe von 50 € zu.
a)
Was die Bemessung der Höhe des etwaigen gemäß Art. 82 DSGVO geschuldeten Schadensersatzes betrifft, haben die nationalen Gerichte, da die DSGVO keine Bestimmung mit diesem Gegenstand enthält, bei seiner Bemessung die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (EuGH, Urteil vom 25.01.2024 – C-687/21, Rn. 53 mwN). Dabei ist zu berücksichtigen, dass im 146. Erwägungsgrund zur DSGVO festgestellt wird, dass die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten sollten.
Randnummer112
Art. 82 DSGVO hat – anders Art. 83 und 84 DSGVO, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben – keine Straf-, sondern eine Ausgleichsfunktion. Das Verhältnis zwischen den in Art. 82 DSGVO und den in ihren Art. 83 und 84 enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber auch als Anreiz zur Einhaltung der DSGVO ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken (EuGH, Urteil vom 25.01.2024 – C-687/21, Rn. 4; EuGH, Urteil vom 04.05.2023 – C-300/21, Rn. 58). Art. 82 DSGVO verlangt in Anbetracht der Ausgleichsfunktion des darin verankerten Schadensersatzanspruchs – unabhängig davon um es um den Ersatz materieller oder immaterieller Schäden geht – nicht, dass die Schwere des Verstoßes gegen die Verordnung, den der für die Verarbeitung Verantwortliche begangen haben soll, bei der Bemessung des Betrags des zum Ausgleich eines immateriellen Schadens auf der Grundlage dieser Bestimmung gewährten Schadensersatzes berücksichtigt wird; er verlangt vielmehr, den Betrag so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig ausgleicht (EuGH, Urteil vom 25.01.2024 – C-687/21, Rn. 53, 54). Er darf nicht so hoch bemessen werden, dass er über den vollständigen Ersatz des Schadens hinausgeht (EuGH, Urteil vom 25.01.2024 – C-687/21, Rn. 48).
b)
Unter Berücksichtigung dieser Umstände erscheint ein Betrag in Höhe von 50 € angemessen, um den immateriellen Schaden des Klägers auszugleichen.
Von vornherein unerheblich sind auf Grundlage des vorstehend dargestellten rechtlichen Rahmens die Ausführungen der Klägerseite zu der Vielzahl und Schwere der Verstöße (vgl. Klageschrift vom 02.05.2023, S. 37 f.). Denn die Schwere des Verstoßes bleibt bei der Bemessung des immateriellen Schadens außer Betracht. Gleiches gilt für den Umstand, dass die Offenlegung der Daten des Klägers auf zwei Verstöße der Beklagten – nämlich gegen Art. 25 DSGVO und Art. 32 DSGVO – zurückzuführen ist. Auch eine Straf- oder Abschreckungsfunktion darf nicht berücksichtigt werden. Dem dienen – wie ausgeführt – Artt. 83, 84 DSGVO. Entscheidend kommt es aufgrund der Ausgleichsfunktion auf den durch die Verstöße erlittenen Schaden an.
Dieser besteht hier (allein) in der Sorge des Klägers um die Verwendung seiner unbefugt offengelegten Daten. Wie ausgeführt, kann das Aufkommen an SPAM-Nachrichten nicht herangezogen werden, da dieses nicht überwiegend wahrscheinlich durch die hier festgestellten Verstöße verursacht wurde. Das Ausmaß der Sorge des Klägers rechtfertigt ein Schadensersatz in der Größenordnung, wie von der Klägerseite beantragt, in keinem Fall. Es steht nicht fest, dass diese Sorge den Kläger in seiner sonstigen Lebensgestaltung beeinträchtigen oder gar einschränken würde. Selbst wenn er bei dem Erhalt der von ihm berichteten SPAM-Nachrichten, aus welcher Herkunft auch immer, jeweils wieder an die Offenlegung erinnert wird und so seine Sorge wieder ins Bewusstsein gerufen wird, geht es „um ein paar im Monat“, also vereinzelte Vorfälle. Darüber hinaus lässt zwar der Umstand, dass der Kläger seine Mobiltelefonnummer nicht gewechselt hat – wofür es eine Vielzahl von nachvollziehbaren Gründen geben mag – nicht schon den Schaden im Sinne des Art. 82 Abs. 1 DSGVO entfallen. Allerdings zeigt sich darin gleichwohl, dass der Leidensdruck durch die Sorge nicht so groß ist, dass er sich zu dieser Maßnahme hat durchringen können.
Bei dieser Entscheidung ist die Sorge auch anhand der Qualität von Daten zu messen, um sich der Begründetheit der Sorge und ihrem Ausmaß zu nähern, da hiervon auch die Missbrauchsmöglichkeiten, um die sich der Kläger begründet sorgt, abhängen. Im vorliegenden Fall ist dies einerseits die verifizierte Mobiltelefonnummer durch die Offenlegung. Durch die Mobiltelefonnummer kann ein unmittelbarerer und „störender“ Kontakt versucht werden als beispielsweise per E-Mail. Während SPAM-E-Mails durch die üblichen Maßnahmen der E-Mail-Provider, diese zumindest zu filtern, häufig gar nicht in das Bewusstsein der Nutzer treten, ist dies bei SPAM-Anrufen bzw. SPAM-SMS trotz auch insoweit bestehender technischer Möglichkeiten zur Abwehr jedenfalls nicht in gleicher Weise möglich. Auch die Angriffsszenarien sind anhand der Mobiltelefonnummer vielfältiger als bei SPAM-E-Mail. Umgekehrt ist gerade im vorliegenden Fall zu berücksichtigen, dass der Kläger nicht seinen wahren Nachnamen im Nutzerkonto der Plattform […] der Beklagten hinterlegt hatte. Vielmehr hat er eine wörtliche Übersetzung seiner beiden Namensbestandteile in die spanische Sprache verwendet. Auch wenn sein Vorname korrekt angegeben war, erschwert dies zumindest die Identifikation des Klägers über seinen Nachnamen. (Auch bei einem Pseudonym handelt es sich aber weiterhin um ein personenbezogenes Datum (vgl. Schild in: BeckOK Datenschutzrecht, Stand: 01.11.2023, Art. 4, Rn. 78)).
Angesichts des geringen Umfanges, durch den der Kläger durch seine Sorge in der Lebensführung beeinträchtigt wird, der Art der offengelegten Daten, einschließlich des Umstandes, dass nicht der wahre Nachname angegeben wurde, sowie der sich hieraus und im Hinblick auf die Mobiltelefonnummer ergebenden Missbrauchsmöglichkeiten, erscheint ein Betrag von 50 € zum Ausgleich als angemessen.
Dabei handelt es sich nicht um einen lediglich symbolischen Schadensersatz, wobei dahingestellt bleiben kann, ob ein solcher in Bezug auf die DSGVO überhaupt unzulässig wäre (vgl. dazu Paal, NJW 3673, 3678; zur RL 2000/43/EG auch EuGH, Urteil vom 15.04.2021 – C-30/19, Rn. 39). Es erscheint ohnehin fraglich, was mit dem Adjektiv „symbolisch“ konkret ausgesagt werden soll. In Bezug auf einen immateriellen Schaden kann durch den Zahlbetrag nie der immaterielle Schaden selbst „beseitigt“ werden. Den zugrundeliegenden Gedanken könnte man vielmehr etwa dahin formulieren, dass der Schädiger, der dem Geschädigten über den Vermögensschaden hinaus das Leben schwergemacht hat, nun durch seine Leistung dazu helfen soll, es ihm im Rahmen des Möglichen wieder leichter zu machen (so BGH, Beschluss vom 06.07.1955 – GSZ 1/55). Insoweit steht der Zahlbetrag stets für etwas anderes, nämlich symbolisch für das Erleichtern des Lebens in anderer Hinsicht. Davon zu unterscheiden wäre es, wenn – wie bei Kaufpreisen – lediglich ein Betrag gezahlt würde, der lediglich abstrakt für diesen Ausgleich selbst stünde, ohne dass ein Bezug zu dem immateriellen Schaden hergestellt würde. Ein solch symbolischer Schadensersatz wäre mit der Ausgleichsfunktion des Art. 82 Abs.1 DSGVO nicht vereinbar. Dies wiederum zwingt umgekehrt nicht, bei dem Vorliegen eines immateriellen Schadens stets höhere Geldbeträge zuzubilligen. Zwar mag es bei der Bemessung von Schmerzensgeld nach nationalem Recht kaum einmal Beträge in solch geringer Höhe, also Beträge von 100 € oder weniger geben. Dies ist jedoch darauf zurückzuführen, dass nach nationalem Recht und der hierzu ergangenen Rechtsprechung Bagatellverletzungen für die Begründung des haftungsrechtlichen Zusammenhangs unzureichend sind und damit entschädigungslos bleiben können. Eine Bagatelle im Sinne dieser (nationalen) Rechtsprechung ist eine vorübergehende, im Alltagsleben typische und häufig auch aus anderen Gründen als einem besonderen Schadensfall entstehende Beeinträchtigung des Körpers oder des seelischen Wohlbefindens. Damit sind Beeinträchtigungen gemeint, die sowohl von der Intensität als auch der Art der Primärverletzung her nur ganz geringfügig sind und üblicherweise den Verletzten nicht nachhaltig beeindrucken, weil er schon auf Grund des Zusammenlebens mit anderen Menschen daran gewöhnt ist, vergleichbaren Störungen seiner Befindlichkeit ausgesetzt zu sein (stRspr. vgl. BGH, Urteil vom 16.03.2004 – VI ZR 138/03). Wie ausgeführt, steht Art. 82 Abs. 1 DSGVO aber einer Auslegung entgegen, die für einen durch einen Verstoß gegen diese Verordnung verursachten immateriellen Schaden eine „Bagatellgrenze“ oder Erheblichkeitsschwelle vorsieht. Wenn aber die Bagatellgrenze in Fällen des Art. 82 DSGVO wegfällt, dann kann allein aus dem Umstand, dass ein Schadensersatzbetrag möglicherweise gering erscheint, nicht geschlossen werden, dass dieser nur abstrakt symbolisch ist und der Ausgleichsfunktion nicht gerecht werde. Geringe immaterielle Schäden erfordern vielmehr auch nur einen geringen Ausgleich.
II.
Der Feststellungsantrag erweist sich nach den vorstehenden Ausführungen als begründet.
Das Gericht spricht die beantragte Feststellung aus, wenn ein Rechtsverhältnis zwischen den Parteien besteht, aus dem sich Schadensersatzansprüche ergeben, falls ein Schaden eintritt (vgl. Becker-Eberhard, ZPO, 6. Aufl., § 256, Rn. 32). Es ist nicht ausgeschlossen, dass dem Kläger in Zukunft ein Schaden entstehen kann, wie bereits im Rahmen der Ausführungen zum Feststellungsinteresse ausgeführt. Die weiteren Voraussetzungen für einen Schadensersatzanspruch, aus denen sich das festzustellende Rechtsverhältnis zwischen den Parteien ergibt, liegen nach Maßgabe der vorstehenden Ausführungen vor.
III.
Es kann dahingestellt bleiben, ob sich aus Art. 17 DSGVO ein Unterlassungsanspruch ableiten lässt und ob nationale Anspruchsgrundlagen wie § 1004 BGB analog durch die DSGVO gesperrt werden. Daher kommt es im vorliegenden Fall auch nicht auf die entsprechenden Vorlagefragen des Bundesgerichtshofes (Beschluss vom 26.09.2023, AZ. VI ZR 97/22) an.
Materiell-rechtliche Voraussetzung eines jeden Unterlassungsanspruchs wäre das Bestehen einer Wiederholungsgefahr. Denn nur dann kann die Klagepartei von der Beklagten für die Zukunft ein bestimmtes Verhalten erwarten.
Im vorliegenden Fall lässt sich aber nicht feststellen, dass eine Wiederholung der Verstöße der Beklagten droht, die zu der Offenlegung der Daten des Klägers gegenüber den Unbekannten geführt haben. Weder droht noch eine Datenübermittlung an Dritte wie im Rahmen des Scraping-Vorfalles, ohne dass diese Daten nach dem Stand der Technik hinreichend geschützt seien (1.), noch droht weiterhin die Verwendung einer falschen „Voreinstellung“ (2.)
1.)
Die Beklagte verwendet die Kontakt-Import-Funktion, wie sie bei der Offenlegung der Daten im Rahmen des gegenständlichen Scrapings von den Unbekannten eingesetzt wurde, unstreitig nicht mehr. Sie hat unwidersprochen ausgeführt, dass sie diese Funktion durch eine „Menschen, die du kennen könntest“-Funktion (sog. People you may know-Funktion, PYMK-Funktion) ersetzt habe. Es hätte dem Kläger oblegen, der die Plattform weiterhin nutzt, sich hierzu nicht nur mit Nichtwissen nach § 138 Abs. 4 ZPO zu erklären, sondern dies ausdrücklich zu bestreiten. In Folge dieser Überarbeitung ordnet die Kontakt-Importer-Funktion einen gefundenen […]-Nutzer nicht mehr dem Kontakt auf dem Telefon zu, sondern nach dem Import der Kontakte vom Mobiltelefon werde eine Liste mit Nutzern angezeigt, die der importierende Nutzer kennen könnte und somit eine Liste, die möglicherweise nur wenige oder gar keine der vom Nutzer hochgeladenen Kontakte enthalten habe. Wenn die Funktion aber grundsätzlich abgeändert wurde – wie hier mit hinreichender Substanz unstreitig vorgebracht – dann droht zumindest für die Zukunft nicht mehr, dass anhand der bisherigen Funktion weitere Daten unbefugt offengelegt werden. Denn diese Funktion ist nicht mehr in Verwendung. Ob die neue Funktion, die grundlegend anders funktioniert, den Anforderungen des Art. 32 DSGVO entspricht, bedarf hier keiner Entscheidung. Ein Verstoß gegen Art. 32 DSGVO bei einer Funktion rechtfertigt – entgegen der Ansicht des Klägers – nicht die Annahme der Gefahr, dass andere, grundlegend verschiedene Funktionen ebenfalls diesen Anforderungen nicht entsprechend. Dafür fehlt vielmehr jeder greifbare Anhaltspunkt.
2.)
Auf die Voreinstellungen, die gegen Art. 25 DSGVO verstießen, kommt es darüber hinaus nicht an. Der Kläger hat zwischenzeitlich nicht nur Kenntnis davon, wie sich die Suchbarkeitseinstellungen ändern lassen, sondern seine Privatsphäre-Einstellungen entsprechend abgeändert. Für die Zukunft droht also nicht mehr, dass die datenschutzrechtswidrige Voreinstellung der Beklagten fortwirkt oder gar erneut relevant wird.
IV.
Der Auskunftsantrag nach Art. 15 DSGVO (1.) und der Antrag auf eidesstattliche Versicherung der Auskunft nach §§ 259 Abs. 2, 260 Abs. 2 BGB (2.) sind unbegründet.
1.)
Ein Anspruch des Klägers besteht nicht (mehr), da die Beklagte diesen erfüllt hat gem. § 362 Abs. 1 BGB.
Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll (OLG Hamm, Urteil vom 15.08.2023 – 7 U 19/23, Rn. 233 mwN).
Die Beklagte hat mit dem Schreiben vom 24. August 2023 (Anlage B16) Informationen zu der Anfrage des Klägers mitgeteilt. Nach eigener Darstellung der Beklagten liegen ihr, auch mangels Speicherung der Rohdaten der beim Scraping abgerufenen Daten, keine weitergehenden Informationen vor. Damit hat sie klar zum Ausdruck gebracht, dass sie die Auskunft – soweit es ihr möglich war – vollständig erbracht hat. Greifbare Anhaltspunkte dafür, dass der Beklagten doch Rohdaten oder weitergehende Informationen zum Scraping-Vorfall vorliegen, sind von Klägerseite weder vorgetragen noch ersichtlich.
2.)
Es kann dahingestellt bleiben, ob der Anspruch auf eidesstattliche Versicherung einer Auskunft nach §§ 259 Abs. 2, 260 Abs. 2 BGB auch auf die Auskunft nach Art. 15 DSGVO Anwendung findet.
Die Voraussetzungen dieses Anspruchs liegen nicht vor. Danach müsste Grund zu der Annahme bestehen, dass die Auskunft nicht mit der erforderlichen Sorgfalt erteilt worden wäre. Ein solcher Grund besteht hier nicht. Die Beklagte hat ausgeführt, dass ihr die Rohdaten der Scraping-Vorfälle nicht vorlägen. Der pauschale Einwand der Klägerseite, dass es unglaubhaft sei, dass die Beklagte, deren Geschäftsmodell auf die Sammlung und Auswertung von Daten ausgerichtet sei, gerade diese Daten nicht gespeichert haben will, reicht hierfür nicht aus. Richtig ist, dass es auch den üblichen Datensicherheits- und Datenschutzkonzeptionen entspricht, Datenverarbeitungen zu protokollieren (vgl. BSI-Grundschutz OPS.1.1.5: Protokollierung). Eine solche Protokollierung und anschließende Speicherung wirft aber unweigerlich neue datenschutzrechtliche Herausforderungen auf. Deshalb ist nachvollziehbar, dass die Beklagte nicht alle Ereignisse innerhalb ihres IT-Systems protokolliert, sondern lediglich solche, die sicherheitsrelevant sind. Dazu muss nicht die Protokollierung der Einzelabrufe im Rahmen der Kontakt-Import-Funktion gehören. Vielmehr kann es auch ausreichen, lediglich das Ereignis des Hochladens als solches zu protokollieren, nicht aber die darin erfolgenden Einzelübertragungen. Es ist jedenfalls kein greifbarer Anhaltspunkt dafür ersichtlich, dass die Beklagte entgegen ihrer Auskunft doch über Rohdaten zu den einzelnen Übertragungen verfügt. Auch aus dem Geschäftsmodell der Beklagten ist kein solcher Anhaltspunkt abzuleiten, weil sie aus dem Abgleich selbst noch keine wertschöpfenden Informationen entnehmen kann. Vor diesem Hintergrund erweist sich die Behauptung des Klägers, die Beklagte verfüge entgegen ihrer Auskunft über weitere Informationen über den Scraping-Sachverhalt, als „ins Blaue hinein“ aufgestellt und gibt keinen Grund zu der Annahme, dass die Auskunft nicht mit der erforderlichen Sorgfalt erteilt worden wäre.
V.
Ein Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DSGVO wegen der unzureichenden oder verspäteten Auskunft nach Art. 15 DSGVO des Klägers gegen die Beklagte besteht nicht.
Die Auskunft war – wie soeben ausgeführt – nicht unzureichend. Soweit auch geltend gemacht werden soll, dass die Beklagte die Auskunft nicht unverzüglich oder binnen eines Monats erteilt haben sollte gem. Art. 12 Abs. 3 Satz 1 DSGVO ist ein hierdurch verursachter Schaden nicht schlüssig vorgetragen. Die Sorge des Klägers rührt nicht aus einer etwaig verspäteten Auskunft nach Art. 15 DSGVO her, sondern aus der zuvor erfolgten Offenlegung seiner Daten.
VI.
Ein Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten besteht nicht.
Ob eine vorprozessuale anwaltliche Zahlungsaufforderung eine Geschäftsgebühr nach Nr. 2300 RVG VV auslöst oder als der Vorbereitung der Klage dienende Tätigkeit nach § 19 Abs. 2 Nr. 1 RVG zum Rechtszug gehört und daher mit der Verfahrensgebühr nach Nr. 3100 RVG VV abgegolten ist, ist eine Frage des Innenverhältnisses, nämlich der Art und des Umfangs des im Einzelfall erteilten Mandats. Erteilt der Mandant den unbedingten Auftrag, im gerichtlichen Verfahren tätig zu werden, lösen bereits Vorbereitungshandlungen die Gebühren für das gerichtliche Verfahren aus, und zwar auch dann, wenn der Anwalt zunächst nur außergerichtlich tätig wird. Für das Entstehen der Geschäftsgebühr nach Nr. 2300 VV RVG ist dann kein Raum mehr. Anders liegt es, wenn sich der Auftrag nur auf die außergerichtliche Tätigkeit des Anwalts beschränkt oder der Prozessauftrag jedenfalls unter der aufschiebenden Bedingung erteilt wird, dass zunächst vorzunehmende außergerichtliche Einigungsversuche erfolglos bleiben (vgl. BGH, Urteil vom 22.06.2021 – VI ZR 353/20, Rn. 7).
Der Kläger hat nicht schlüssig dargelegt, dass er die Klägervertreter zunächst lediglich mit seiner außergerichtlichen Vertretung beauftragt oder einen nur bedingten Prozessauftrag erteilt hat. Dies zu Lasten des Klägers, der darzulegen und im Streitfall zu beweisen hat, dass er seinen Anwalt einen Auftrag zur vorgerichtlichen Vertretung erteilt hat (vgl. BGH, Urteil vom 22.06.2021 – VI ZR 353/20, juris Rn. 8). Die Hinweispflicht gilt gemäß § 139 Abs. 2 Satz 1 ZPO nicht für Nebenforderungen, zu denen auch die außergerichtlichen Rechtsanwaltskosten gehören (BGH, Urteil vom 24.01.2022 – VIa ZR 100/21, juris Rn. 13).
C.
Soweit dem Kläger ein Zahlungsanspruch zusteht, kann er auch Zinsen ab Rechtshängigkeit gem. §§ 280 Abs. 1 und 2 , 286 Abs. 1 Satz 2 BGB in der Höhe nach § 288 Abs. 1 Satz 2 BGB verlangen. Dabei musste der Antrag dahingehend ausgelegt werden, dass Zinsen – wie auch beim Antrag zu Ziff. 6 – ab Rechtshängigkeit verlangt werden. Im Übrigen steht dem Kläger ein Zahlungsanspruch in der Hauptsache nicht zu, so dass er hierfür auch keine Zinsen von der Beklagten verlangen kann.
Die Kostenentscheidung beruht auf § 92 Abs. 2 Nr. 1 ZPO, da das Unterliegen der Beklagten verhältnismäßig geringfügig ist und keine höheren Kosten verursacht hat.
Der Ausspruch zur vorläufigen Vollstreckbarkeit folgt aus §§ 708 Nr. 11, 709 Satz 2, 711 ZPO.
D.
Der Streitwert wird gem. § 63 Abs. 1 Satz 1 GKG i.V.m. § 48 Abs. 1 GKG, §§ 3 ff. ZPO auf 10.000 € festgesetzt.
Das Gericht orientiert sich hierbei an der Entscheidung des Oberlandesgerichtes Karlsruhe in einem für die gegenständliche Verfahrenskonstellation im Wesentlichen vergleichbaren Fall (OLG Karlsruhe, Beschluss vom 05.07.2023 – 10 W 5/23). Danach ist für den Zahlungsantrag zu 1 der Betrag von 3.000 € und für den Antrag zu 2 der Betrag von 2.000 € zu übernehmen. Den Wert des Feststellungsantrags bemisst das Gericht mit 500 €. Den Wert des Unterlassungsanspruchs auf 4.000 € und den Wert des Auskunftsanspruchs mit 500 €.