- 1. Zu den Anforderungen an die Darlegung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 Abs. 1 DSGVO.
2. Der Verlust der Unbeschwertheit bei der Nutzung sozialer Medien stellt keinen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar.
Tenor
- 1. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerin alle zukünftigen – materiellen und immateriellen – Schäden zu ersetzen, die ihr durch die unbefugte Offenlegung im Zeitraum zwischen Januar 2018 und September 2019, dass ihr Name („[…]“), ihr Geschlecht („[…]“) und ihre Nutzer-ID („[…]“) über ihr Nutzerkonto bei der Plattform […] der Beklagten ihrer ebenfalls dort gespeicherten Mobiltelefonnummer („[…]“) zugeordnet waren, entstanden sind und/oder noch entstehen werden.
- 2. Im Übrigen wird die Klage abgewiesen.
- 3. Der Klägerin werden die gesamten Prozesskosten auferlegt.
- 4. Das Urteil ist gegen Sicherheitsleistung in Höhe von 120 % des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.
- Beschluss
- Der Streitwert wird auf 7.500,00 € festgesetzt.
Tatbestand
- 2
- Die Klägerin hatte im Jahr 2010 bei der Beklagten ein Konto zur Nutzung der Social-Media-Plattform „[…]“ erstellt. Dazu hat sie ihren Vornamen („[…]“), ihren Nachnamen („[…]“), ihr Geschlecht („[…]“) und ihre Mobiltelefonnummer ([…]) angegeben. Ihr wurde die Nutzer-ID […] zugewiesen.
- 3
- Bei dem Namen, dem Geschlecht und der Nutzer-ID handelt es sich um zwingende und immer öffentlich einsehbare Nutzerinformationen, damit Nutzer mit anderen Nutzern auf der […]-Plattform in Kontakt treten können. Andere Informationen, wie Telefonnummer, Wohnort, Stadt, Beziehungsstatus, Geburtstag und E-Mail-Adresse, können optional eingegeben werden und sind nur dann einsehbar, wenn dies durch die Einstellungen zur sog. „Zielgruppenauswahl“ auf Objektebene ermöglicht wird. Die Standard-Einstellung der Beklagten zur Zielgruppenauswahl war „Freunde“ (also nicht „öffentlich“). Zu unterscheiden ist diese Zielgruppenauswahl von der Suchbarkeitseinstellung, die festlegt, wer das Profil eines Nutzers anhand einer Telefonnummer finden kann. Die Standard-Einstellung für die Suchbarkeit von Telefonnummern war zwischen Januar 2018 bis September 2019 „Alle“. Neben der Option „Alle“ konnten Nutzer in den Privatsphäre-Einstellungen festlegen, dass nur „Freunde von Freunden“ oder „Freunde“ ihr Profil auf diese Art finden können.
- 4
- Aufgrund der Voreinstellung „Alle“ konnte im vorliegenden Fall jedermann anhand der Telefonnummer der Klägerin das Nutzerprofil der Klägerin samt den hierzu hinterlegten immer öffentlichen Daten suchen und finden.
- 5
- Wegen der Informationen und Einstellungsmöglichkeiten, die die Beklagte der Klägerin bot, wird auf die Anlagen B1 bis B5, den Privatsphäre-Check nach Anlage B8 und die Datenrichtlinie nach Anlage B9 Bezug genommen.
- 6
- Die Möglichkeiten zur Suchbarkeit wurden von der Beklagten auch für eine sog. „Kontakt-Importer-Funktion“ nutzbar gemacht: Danach können Telefonnummern, die in den Kontakten von Mobilgeräten gespeichert sind, mit den Daten der Nutzerkonten bei der Beklagten abgeglichen werden, um Nutzer der Social-Media-Plattform „[…]“ zu suchen und zu finden. In technischer Hinsicht werden dabei die Telefonnummern über eine Programmierschnittstelle (API) auf einen Server der Beklagten hochgeladen. Dieser sucht in der Datenbank der Beklagten, ob die hochgeladenen Telefonnummern dort auch im Rahmen von Nutzerkonten gespeichert sind. Bei der Beklagten gespeicherte Telefonnummern werden dabei nur durchsucht bzw. gefunden, wenn die Suchbarkeit für das zugehörige Konto auf „Alle“ eingestellt worden ist. Wird eine hochgeladene Telefonnummer in der Datenbank der Beklagten gefunden, so werden dem anfragenden Gerät, das die abzufragenden Telefonnummern hochgeladen hatte, unter Bezugnahme auf diese Anfrage die für dieses Konto, dem die Telefonnummer bei der Beklagten zugeordnet war, ebenfalls gespeicherten, immer öffentlichen Daten zum Namen, Geschlecht und Nutzer-ID übermittelt.
- 7
- Diese Funktionalität machten sich Unbekannte im Zeitraum zwischen Januar 2018 bis September 2019 zunutze. Sie erzeugten anhand von tatsächlich oder auch nur vermuteten Bildungsregeln für Telefonnummern, eine Liste mit sequentiellen Nummern als Zeichenkette. Hieraus erstellten sie auf Mobilgeräten Kontaktlisten. Diese luden sie über die Kontakt-Importer-Funktion auf den Server der Beklagten hoch. Das IT-System der Beklagten suchte in ihrer Datenbank unter den gespeicherten Telefonnummern nach diesen hochgeladenen Nummern. Sofern eine der Nummern auch in der Datenbank der Beklagten gespeichert war, wurden dem anfragenden Gerät der Unbekannten – entsprechend dem Standardprozess – die Daten zum Namen, Geschlecht und zur Nutzer-ID des zugehörigen Kontos übermittelt. Diese Informationen ordneten die Unbekannten den übermittelten Nummern zu. Hieraus erzeugten die Unbekannten eine Liste mit „verifizierten“ Telefonnummern nebst den weiteren Daten, die im Internet verbreitet wurde.
- 8
- Die Beklagte hat diese Vorgehensweise, die auch als Form des sog. „Scraping“ bezeichnet wird, selbst – nach dem ihr vorliegenden Wissensstand – folgendermaßen dargestellt:
- 9
- Am 30. Juli 2019 änderte die Klägerin ihre Suchbarkeitseinstellung von „alle“ so, dass sie nicht mehr von jedermann über ihre Telefonnummer gefunden werden konnte.
- 10
- Mit Schreiben vom 17. April 2023 (Anlage K18) forderte die anwaltlich vertreten Klägerin die Beklagte unter Fristsetzung zum 1. Mai 2023 zur Zahlung von 2.500 € und vorgerichtlicher Rechtsanwaltskosten in Höhe von 1.134,55 €, zum Anerkenntnis einer Pflicht materiellen Schadensersatz für künftige Schadensfolgen, zur Unterlassung sowie zur Auskunft nach Art. 15 Abs. 1 DSGVO auf. Mit Schreiben vom 24. August 2023 erwiderte die anwaltlich vertretene Beklagte hierauf (Anlage B16). Es seien folgende Datenpunkte im Rahmen des sog. Scrapings übermittelt worden: Nutzer-ID, Vorname, Nachname und Geschlecht. Weitergehende Ansprüche wies die Beklagte zurück.
- 12
- Der Zahlungsantrag sei hinreichend bestimmt. Der Lebenssachverhalt werde umgrenzt auf Vorgänge seit der Anmeldung der Klägerseite auf der Plattform der Beklagten mit Namen […].com durch das Daten-Scraping und die unzureichende Information an die Klägerseite als hiervon betroffene Person. Auch der Feststellungsantrag sei hinreichend bestimmt. Zudem bestehe ein Feststellungsinteresse im Hinblick auf die Möglichkeit zukünftiger Schäden. Diese Möglichkeit ergebe sich, da es bei lebensnaher Betrachtung nicht ausgeschlossen werden könne, dass der Klägerseite aufgrund der Veröffentlichung ihrer Telefonnummer und der übrigen persönlichen Daten im Internet beispielsweise durch betrügerische Anrufe auch künftig noch materielle Schäden entstünden.
- 13
- Entgegen der Ansicht der Beklagten sei auch der Unterlassungsantrag hinreichend bestimmt, da die Klägerin lediglich Sicherheitsstandards verlange, die weitere Angriffe auf ihre Daten, insbesondere durch Scraping, verhinderten und den gesetzlich vorgeschriebenen Sicherheitsstandards entsprächen. Müsste die Klägerseite konkrete Maßnahmen benennen und würden diese aufgrund des technischen Fortschritts veralten, so müsste sie erneut eine Klage erheben, um jeweils aktuelle Sicherheitsstandards zum Schutz ihrer Daten durch die Beklagte zu erhalten. Insbesondere könne eine weitere unrechtmäßige Datenverarbeitung in der Zukunft nicht allein dadurch verhindert werden, dass die Klägerseite ihre Privatsphäre-Einstellungen auf der […]-Website selbst neu einstelle, weil die Klagepartei im Frontend keinen Einfluss auf die durch die Beklagte einzurichtenden Sicherheitsmaßnahmen der Website im Backend habe.
- 15
- Die Klägerin behauptet, dass die Beklagte im Rahmen der geschilderten Vorgehensweise der Unbekannten aufgrund einer Suchanfrage mit der Nummer, die der Mobiltelefonnummer der Klägerin entsprach, diesen die anderen zu ihrem Konto hinterlegten Daten, also Name, Geschlecht und Nutzer-ID übermittelt habe.
- 16
- Die Klägerin vertritt die Auffassung, dass ihr gegen die Beklagte daher ein Anspruch auf Schadensersatz nach Art. 82 DSGVO zustehe. Die Verarbeitung der Daten sei rechtswidrig gewesen, da keiner der Erlaubnistatbestände des Art. 6 lit. a. bis f. DSGVO vorgelegen habe. Die Beklagte habe gegen Art. 24 Abs. 1 DSGVO, aber auch gegen Art. 32 DSGVO verstoßen, da sie keine für das Schutzniveau der gegenständlichen Daten (Mobiltelefonnummern, Name, Geschlecht) angemessenen Maßnahmen ergriffen habe, um ein Vorgehen – wie hier – zu verhindern. Die Beklagte habe auch ihre Mitteilungspflicht über den Vorfall gegenüber der Aufsichtsbehörde nach Art. 33 Abs. 1 Satz 1 DSGVO und der Klägerin nach Art. 34 Abs. 1 DSGVO verletzt. Auch habe die Beklagte gegen Art. 25 DSGVO verstoßen, da die Suchbarkeit auf „alle“ voreingestellt gewesen sei. Die Beklagte habe verschwiegen, dass die allein zu Sicherheitszwecken hinterlegte Telefonnummer auch zum Auffinden durch Dritte, insbesondere über die Kontakt-Importer-Funktion verwendet werde. Die Beklagte habe die Klägerin auch nicht hinreichend über die Möglichkeit der „Zwei-Faktor-Authentifizierung (2FA)“ aufgeklärt.
- 17
- Die Klägerin habe aufgrund der Verstöße der Beklagten einen immateriellen Schaden im Sinne des Art. 82 DSGVO erlitten. Die Klägerin erhalte aufgrund der Verstöße durch die Beklagte massenhaft SPAM-SMS. Die einzige Möglichkeit keine Spam SMS mehr zu erhalten, liege darin die Nummer auszutauschen. Dies stelle aber einen sehr hohen Aufwand für die Klägerin dar. Die Klägerin habe mithin durch das mangelhafte und pflichtwidrige Verhalten der Beklagten die Kontrolle über ihre Daten vollständig verloren. Sie könne nicht mehr bestimmen, wer welche Daten wann zur Kenntnis und Verarbeitung erhält, habe also die Kontrolle über ihre Daten verloren. Sie sei der Gefahr des Zugriffs einer Vielzahl von Personen auf die Daten ausgesetzt, ohne jede Möglichkeit der Einflussnahme. Die Klägerin befürchte, dass ihre personenbezogenen Daten in vielfacher Art und Weise gegen ihren Willen und mit einem hohen Risiko für ihre persönliche wie auch finanzielle Lage missbraucht würden. Dabei sorge sich die Klagepartei insbesondere darüber, Opfer von Spamanrufen und Betrugsversuchen zu werden. Diese Sorgen hätten erhebliche Auswirkungen auf die Lebensgestaltung der Klägerin. Dies reiche nach der europäischen Rechtsprechung für die Annahme eines immateriellen Schadens aus. Hierfür sei ein Schadensersatz von 2.500 € angemessen.
- 18
- Hilfsweise, für den Fall, dass das Gericht nicht beabsichtigt, der Klagepartei Schadensersatz zuzusprechen, beantragt die Klägerin, das Verfahren analog § 148 ZPO auszusetzen, nachdem der Bundesgerichtshof mit Beschluss vom 26. September 2023 (AZ. VI ZR 97/22) diverse Fragen in diesem Zusammenhang dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt habe.
- 19
- Der Unterlassungsanspruch ergebe sich aus Art. 17 DSGVO, aber auch aus § 1004 Abs. 1 Satz 2 BGB analog, § 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO. Die Klägerin verlange, dass kein weiterer Zugriff durch unbefugte Dritte möglich sei. Dementsprechend soll es nicht möglich sein, dass eine beliebige Anzahl von Dritten an die Daten gelange. Im Verhältnis zu Dritten sollen diese Daten als „gelöscht“ behandelt werden.
- 20
- Der Klägerin stehe ein Anspruch auf Auskunft nach Art. 15 Abs. 1 DSGVO zu. Die bislang erteilte Auskunft sei nicht ausreichend gewesen.
- 22
- 1. Die Beklagte wird verurteilt, an die Klägerin immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, der aber mindestens 2.500 € beträgt, nebst Zinsen i.H.v. fünf Prozentpunkten über dem Basiszinssatz seit dem 02.05.2023 zu zahlen.
- 23
- 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerin alle zukünftigen Schäden, die der Klägerin durch den unbefugten Zugriff Dritter auf seine im Datenarchiv der Beklagten gespeicherten persönlichen Daten, der nach Aussagen der Beklagten im Jahr2019 erfolgte, entstanden sind und/oder noch entstehen werden, zu ersetzen.
- 24
- 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,
- 25
- a. personenbezogene Daten des Klägers, namentlich Telefonnummer, […]-ID, Familienname, Vorname, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zumachen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmenvorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,
- 26
- b. die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Information darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontakt-Import-Tools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der […]-Messenger-App, hier ebenfalls die Berechtigung verweigert wird.
- 27
- 4. Die Beklagte wird verurteilt, Auskunft darüber zu erteilen, welche die Klägerin betreffenden personenbezogenen Daten durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussagen der Beklagten im Jahr 2019 erfolgte, durch den Dritten erlangt werden konnten.
- 28
- 5. Die Beklagte wird verurteilt, die Klägerin von vorgerichtlichen Rechtsanwaltskosten in Höhe von 1.134,55 EUR gegenüber […] freizustellen.
- 32
- Dem auf Zahlung von immateriellem Schadensersatz gerichteten Klageantrag fehle es bereits an der gemäß § 253 Abs. 2 Nr. 2 ZPO erforderlichen Bestimmtheit. Die Klagepartei mache lediglich einen Zahlungsantrag geltend, stütze das Begehren jedoch auf eine Vielzahl vermeintlicher Verstöße gegen die DSGVO und zwei verschiedene Streitgegenstände – nämlich den Kontrollverlust und einen Schaden aus Benachrichtigungspflichten. Das Verhältnis der Streitgegenstände zueinander sei unklar. Es bestünde ein unzulässiges Alternativverhältnis.
- 33
- Der Feststellungsantrag sei ebenfalls unbestimmt, da unklar bleibe, ob entstandene oder zukünftige Schäden betroffen sein sollen. Außerdem fehle es am erforderlichen Feststellungsinteresse. Es sei nicht vorgetragen worden, welche materiellen oder immateriellen Schäden aus den behaupteten Verstößen noch entstehen könnten.
- 34
- Der Unterlassungsantrag sei nicht hinreichend bestimmt. Die konkrete Verletzungsform werde darin nicht wiedergegeben. Auch fehle das Rechtschutzbedürfnis, sofern die Klägerin begehrt, dass ihr […]-Nutzerkonto nicht über die Telefonnummer suchbar sein soll, weil dies von ihr in den Einstellungen geändert werden könne.
- 36
- Zunächst umfasse der Schutzbereich des Art. 82 DSGVO keine Verstöße gegen Artt. 13, 14, 15, 24, 25 oder Art. 34 DSGVO. Es fehle an einem direktem Zusammenhang mit einer konkreten Verarbeitung personenbezogener Daten.
- 38
- Einen der Beklagten zurechenbaren ersatzfähigen immateriellen Schaden im Sinne des Art. 82 DSGVO habe die Klägerin nicht erlitten. Die öffentliche Einsehbarkeit der Daten der Klägerin habe den Privatsphäre-Einstellungen der Klagepartei entsprochen. Da die Daten öffentlich für jedermann abrufbar gewesen seien, sei auch nicht unbefugt auf diese zugegriffen worden. Entsprechend liege auch kein Verstoß der Beklagten gegen die DSGVO vor, wenn solche öffentlichen Daten von Dritten lediglich gesammelt würden. Dies erfülle auch nicht die Legaldefinition des Begriffs der „Verletzung des Schutzes personenbezogener Daten“ nach Art. 4 Abs. 12 DSGVO. Scraping sei im Internet allgegenwärtig. Scraping sei kein Hacking. Das Sammeln von Daten mit automatisierten Tools und Methoden und ohne Erlaubnis sei während des relevanten Zeitraums und weiterhin durch die […]-Nutzungsbedingungen verboten.
- 39
- Die Beklagte habe nicht gegen Transparenzpflichten gemäß Artt. 5 Abs. 1 lit. a, 13, 14 DSGVO verstoßen.
- 40
- Die Klägerin habe einen Verstoß gegen Artt. 24, 32 DSGVO nicht schlüssig dargelegt, obwohl ihr das obliege. Es bestehe keine Pflicht zur Gewährleistung der Vertraulichkeit bei Daten, die nach dem Willen der Klagepartei öffentlich einsehbar sein sollten.
- 41
- Außerdem habe die Beklagte angemessene Anti-Scraping-Maßnahmen eingesetzt und den Anforderungen des Art. 32 DSGVO hinreichend Rechnung getragen. Die Beklagte habe Anti-Scraping-Maßnahmen eingesetzt, die den in der Branche zur Anwendung kommenden Standards entsprochen hätten. Dabei würden Experten der Beklagten Aktivitätsmuster und Verhaltensweisen, die typischerweise mit automatisierten Computeraktivitäten in Zusammenhang stehen, identifizieren. Eine der Maßnahmen der Beklagten zur Verringerung von Scraping seien Übertragungsbeschränkungen gewesen. Übertragungsbeschränkungen reduzierten die Anzahl der konkreten Datenabfragen, die pro Nutzer oder IP-Adresse über einen bestimmten Zeitraum gestellt werden können. Bei Überschreitung der Übertragungsbeschränkung würden die Nutzer für weitere Datenabfragen (z. B. Suche nach anderen Nutzern) bis zum Ablauf der Übertragungsbeschränkungsfrist gesperrt. Außerdem kämen Maßnahmen zur Bot-Erkennung zum Einsatz, die dazu beitrügen, Konten zu identifizieren, die nicht von Menschen, sondern von einer Software betrieben wurden. Eine Überprüfung der Nutzung der […]-Suchfunktion durch die Beklagte im März 2018 habe zu dem Ergebnis geführt, dass eine Vielzahl von Anfragen an die Suchfunktion von einer Reihe von IP-Adressen aus Osteuropa genutzt worden seien. Es habe sich dabei mutmaßlich um ein Netzwerk von sog. Bot-Accounts gehandelt, welche von verschiedenen IP-Adressen innerhalb der beschriebenen Übertragungsbeschränkungen agierten. Infolgedessen senkte die Beklagte die Übertragungsbeschränkungen für die Suche anhand der Telefonnummer für die […]-Suchfunktion. Obwohl die Beklagte zu diesem Zeitpunkt keine Scraping-Aktivitäten über die Kontakt-Importer-Funktion festgestellt habe, habe sie die Übertragungsbeschränkungen ebenfalls abgesenkt.
- 42
- Die Beklagte gehe zudem grundsätzlich mittels Unterlassungsaufforderungen, Kontosperrungen und Gerichtsverfahren gegen Scraper vor. Sofern die Beklagte von der Veröffentlichung möglicherweise von der […]-Plattform abgerufener Daten erfahre, sei sie bestrebt zu erreichen, dass die verantwortlichen Hosting-Anbieter (also die Unternehmen, auf deren Systemen die Daten zur Verfügung gestellt werden, z.B. Webseiten) die Daten entfernen.
- 43
- In diesem Zusammenhang sei zu bedenken, dass Scraping nicht gänzlich verhindert werden könne. Anti-Scraping-Maßnahmen müssten eine Balance zwischen der Gewährleistung der Nutzbarkeit der Funktionen für die legitimen Nutzer (d. h. der Funktionsfähigkeit des Hochladens von Kontakten) und der Eindämmung des Scraping-Risikos finden. Dementsprechend sei es erforderlich gewesen, dass die Beklagte diese Übertragungsbeschränkungen während des maßgeblichen Zeitraums dergestalt festlegt, dass diese zwar eindeutig exzessive (und wahrscheinlich auf unauthentischem Verhalten beruhende) Aktivitäten unterbänden, jedoch zugleich immer noch das breite Spektrum einer normalen Nutzung der zugrunde liegenden Funktionalität berücksichtigten.
- 44
- „Im Nachgang“ habe die Beklagte eine weitere Schutzmaßnahme für den Kontakt-Importer der […]-Plattform ergriffen, die darauf abzielte, einen übereinstimmenden Kontakt nur dann anzuzeigen, wenn die beiden Nutzer einander zu kennen schienen (der sogenannte „Social Connection Check“). Lud ein Nutzer seine Kontaktliste von seinem Mobiltelefon über den Kontakt-Importer der […]Plattform hoch, sei der übereinstimmende Nutzer nur dann dem importierenden Nutzer angezeigt worden, wenn (a) der importierende Nutzer einen Namen (sowie die Telefonnummer) für den hochgeladenen Kontakt importierte, der dem Namen des übereinstimmenden […]-Nutzers ähnelte oder (b) der übereinstimmende Nutzer den importierenden Nutzer bereits in seinen […]-Kontakten hatte.
- 45
- Die Beklagte habe die Kontakt-Importer-Funktion schließlich dergestalt überarbeitet, dass sie die Anzeige direkter Kontaktübereinstimmungen durch eine Liste mit Kontaktvorschlägen, der „Menschen, die du kennen könntest“-Funktion (sog. People you may know-Funktion, PYMK-Funktion) ersetzt habe. In Folge dieser Überarbeitung habe die Kontakt-Importer-Funktion einen gefundenen […]-Nutzer nicht mehr dem Kontakt auf dem Telefon zugeordnet, sondern nach dem Import der Kontakte vom Mobiltelefon eine Liste mit Nutzern angezeigt, die der importierende Nutzer kennen könnte und somit eine Liste, die möglicherweise nur wenige oder gar keine der vom Nutzer hochgeladenen Kontakte enthalten habe. Die PYMK-Funktion habe zum Teil auf den Ergebnissen des Telefonnummernabgleichs basiert. Jedoch seien zudem andere Indikatoren, die etwa eine soziale Verbindung zwischen Nutzern nahelegten, herangezogen worden.
- 46
- Ein Verstoß gegen Art. 25 DSGVO liege nicht vor. Denn der Zweck der […]-Plattform bestehe gerade darin, es Menschen zu ermöglichen, sich mit Freunden, Familie und Gemeinschaften zu verbinden. Daher seien die Funktionen gezielt so konzipiert, dass sie den Nutzern helfen würden, andere zu finden, sich mit ihnen zu verbinden und mit ihnen in Kontakt zu treten, da dies einen zentralen Zweck der […]-Plattform beinhalte. Allein aus dem Umstand, dass die Suchbarkeits-Einstellung hinsichtlich der Telefonnummer im relevanten Zeitraum im Ausgangspunkt standardmäßig auf „Alle“ eingestellt war, ergebe sich nichts anderes, da Nutzer stets die Möglichkeit hatten, die Einstellung wie gewünscht anzupassen. In Anbetracht des vorliegenden Kontexts der Verarbeitung (den Nutzern dabei zu helfen, einander zu finden und miteinander in Verbindung zu treten, was dem Grundgedanken der […]-Plattform entspricht) – in dem eine andere Standard-Einstellung als „Alle“ den eigentlichen Zweck der Verarbeitung (gegenseitige Auffindbarkeit und Vernetzung) untergraben hätte – sei es für die Beklagte auch angebracht, die Nutzer im Ausgangspunkt durch die Einstellung „Alle“ suchbar zu machen und ihnen gleichzeitig die Möglichkeit zur individuellen Anpassung über ihre Suchbarkeitseinstellungen zu geben.
- 47
- Die Datenverarbeitung durch die Beklagte sei im Übrigen rechtmäßig gem. Art. 6 DSGVO gewesen. Die von Dritten abgerufenen Informationen seien im Einklang mit der Zielgruppenauswahl der Klagepartei öffentlich zugänglich gewesen. Die einschlägige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten der Klagepartei im Rahmen der Bereitstellung der […]-Plattform sei also Art. 6 Abs. 1 lit. b DSGVO (Erforderlichkeit der Datenverarbeitung zur Vertragserfüllung; hier in Bezug auf die Bereitstellung eines sozialen Netzwerks) gewesen. Dabei handele es sich um den hier erheblichen Verarbeitungszweck, welcher bedinge, dass bestimmte Daten den Privatsphäre-Einstellungen der Klagepartei entsprechend öffentlich zugänglich seien.
- 48
- Der Auskunftsanspruch der Klägerin sei durch das Schreiben der Beklagten (Anlage B16) erfüllt worden. Die Beklagte halte keine Kopie der Rohdaten, welche die im Einzelfall durch Scraping abgerufenen Daten enthalten. Sie könne lediglich die allgemeinen Datenpunkte angeben, die auf diesem Wege abgerufen werden konnten. Dies habe sie getan und so den Auskunftsanspruch erfüllt.
- 49
- Schließlich könne sich die Beklagte zumindest über Art. 82 Abs. 3 DSGVO aus einer etwaigen Haftung befreien.
Entscheidungsgründe
- A.
- 1.)
- 54
- Insbesondere liegt kein Fall der (unzulässigen) alternativen Klagehäufung vor. Die Klägerin stützt ihr Zahlungsbegehren für immateriellen Schaden auf alle Umstände vor und nach der Offenlegung ihrer Daten. Es handelt sich um einen einheitlichen Lebenssachverhalt, der mit der Offenlegung ihrer Daten unter Verstoß gegen die DSGVO beginnt und durch das aus ihrer Sicht rechtwidrige Verhalten der Beklagten nach Offenlegung vertieft worden sei (vgl. OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, Rn. 86; OLG Hamm, Urteil vom 15. August 2023, 7 U 19/23, Rn. 41). Wie das zögerliche Regulierungsverhalten als ein nach dem schädigenden Ereignis liegender Umstand bei der Bemessung des Schmerzensgeldes herangezogen werden kann (vgl. OLG Nürnberg, Urteil vom 25.04.1997 – 6 U 4215/96), so kann ein – nach Ansicht der Klägerin – rechtwidriges Verhalten der Beklagten nach der Offenlegung der Daten relevant für den Anspruch auf Schadensersatz sein. Mehrere Verstöße gegen die DSGVO im Zusammenhang mit einem Datenverarbeitungsvorgang führen entsprechend zu einem einheitlichen Anspruch aus Art. 82 DSGVO. Der Vergleich der Beklagten mit dem Arzthaftungsrecht dürfte damit fehlgehen. Denn eine fehlerhafte oder unterbliebene Aufklärung kann zur Rechtswidrigkeit des ärztlichen Heileingriffes führen, wovon – gänzlich unabhängig – die Ausführung des Heileingriffes nach den fachärztlichen Standards zu beurteilen ist. Im vorliegenden Fall steht aber die Offenlegung der Daten der Klägerin im Mittelpunkt des Zahlungsanspruchs, einmal vom Blickwinkel der Frage, ob die Verarbeitung der Daten so hätte erfolgen dürfen, und einmal von der Perspektive des anschließenden Umgangs mit dieser – im Lebenssachverhalt identischen – Offenlegung bzw. Datenverarbeitung, so dass die beiden Perspektiven über den Datenverarbeitungsvorgang eng miteinander verknüpft sind (vgl. OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, Rn. 86).
- 2.)
- 56
- § 256 Abs. 1 ZPO erlaubt die Erhebung einer Klage auf Feststellung des Bestehens oder Nichtbestehens eines gegenwärtigen Rechtsverhältnisses, wenn die Klägerin ein rechtliches Interesse an einer entsprechenden alsbaldigen Feststellung hat.
- a)
- 58
- Auch bei einer Feststellungsklage muss der Klageantrag iSv § 253 Abs. 2 Nr. 2 ZPO bestimmt sein, damit über den Umfang der Rechtskraft des Feststellungsausspruchs keine Ungewissheit herrschen kann. Die erforderliche Bestimmtheit verlangt, dass das festzustellende Rechtsverhältnis genau bezeichnet wird. Dazu genügt es, dass der Kläger die rechtsbegründenden Tatsachen näher angibt. Soweit es sich um Schadensersatzansprüche handelt, ist eine bestimmte Bezeichnung des zum Ersatz verpflichtenden Ereignisses erforderlich. Genügt die wörtliche Fassung eines Antrags nicht dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO, ist er unter Heranziehung der Klagebegründung auszulegen (stRspr. vgl. BGH, Urteil vom 06.07.2021 – VI ZR 40/20, Rn. 28).
- 59
- Jedenfalls durch die danach gebotene Auslegung ist der Antrag bestimmt. Das Rechtsverhältnis der Parteien ist mit der begehrten Feststellung einer Ersatzpflicht der Beklagten gegenüber der Klägerin für weitere künftige Schäden aus dem unbefugten Datenabgriff ausreichend genau bezeichnet und ergibt sich aus Antrag und Begründung der Klage. Entsprechend der vorstehenden Ausführungen ist klar, aus welchem Lebenssachverhalt, nämlich der Offenlegung der Daten der Klägerin im Rahmen des sog. Scraping im Zeitraum von Januar 2018 bis September 2019, die Klägerin einen künftigen Schaden befürchtet. Der Antrag ist darüber hinaus so auszulegen, dass die Klägerseite eine Schadensersatzpflicht auf die Offenlegung der hier konkret angeführten Daten (Namen, Geschlecht, Nutzer-ID) in Bezug auf ihre Mobiltelefonnummer stützt.
- b)
- 61
- Nach § 256 Abs. 1 ZPO kann auf Feststellung des Bestehens oder Nichtbestehens eines Rechtsverhältnisses Klage erhoben werden, wenn die Klägerin ein rechtliches Interesse daran hat, dass das Rechtsverhältnis alsbald festgestellt werde.
- 62
- Zwar hängt in Fällen, in denen es um erst künftig erwachsende reine Vermögensschäden geht, die Zulässigkeit der Feststellungsklage grundsätzlich von der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts ab. Daran fehlt es, wenn der Eintritt irgendeines Schadens noch ungewiss ist (BGH, Beschluss vom 4. März 2015 – IV ZR 36/14, Rn. 15). Handelt es sich allerdings nicht um reine Vermögenschäden, sondern um Schäden, die aus der Verletzung eines absolutes Rechts oder eines vergleichbaren Rechtsguts resultieren, genügt bereits die Möglichkeit, dass solche Schäden eintreten. Hierzu zählt insbesondere das allgemeine Persönlichkeitsrecht (BGH, Urteil vom 29.06.2021 – VI ZR 52/18, Rn. 30). An dieser Möglichkeit fehlt es allerdings, wenn aus Sicht des Klägers bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines weiteren Schadens wenigstens zu rechnen (vgl. BGH, Urteil vom 05.10.2021 – VI ZR 136/20, Rn. 28).
- 63
- Im vorliegenden Fall trägt die Klägerin schlüssig vor, dass die Beklagte ihr Datenschutzgrundrecht aus Art. 8 GRCh bzw. Art. 16 AEUV verletzt hat. Danach hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. In Art. 8 Abs. 2 GRCh heißt es weiter, dass diese Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. Erfolgt eine Datenverarbeitung nicht im Einklang mit den Vorgaben der DSGVO, wird dieses Recht verletzt. Dem entspräche im Wesentlichen das hier – aufgrund des Anwendungsvorranges der DSGVO als vollharmonisiertem Recht (vgl. BVerfG, Beschluss vom 06.11.2019 – 1 BvR 276/17) – nicht heranzuziehende Recht auf informationelle Selbstbestimmung als Ausdruck des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG. Dieses Recht gewährleistet (ebenfalls) die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu entscheiden (vgl. BVerfG, Beschluss vom 07.12.2011 – 2 BvR 2500/09, Rn. 137). Angesichts dieser Verletzung eines absoluten Rechtes genügt im vorliegenden Fall allein die Möglichkeit des Eintritts eines Schadens. Es ist durchaus möglich, dass die personenbezogenen Daten der Klägerin aufgrund der Offenlegung (weitere) Verwendung durch Unbefugte in Zukunft finden und ihr so – je nach Art der Verwendung – ein Schaden entstehen kann. Ist ihre Mobiltelefonnummer durch einen Verstoß der Beklagten als Teil einer „Leak-Liste“ offengelegt worden, so liegt es sogar nahe, dass (auch) ihre Nummer von Unbefugten verwendet werden wird. Es kann von einer Vielzahl von Umständen abhängen, ob aus dieser Verwendung auch ein Schaden resultiert. Dass aber kein Grund bestünde mit dem Eintritt eines Schadens nicht wenigstens zu rechnen, lässt sich auf dieser Grundlage nicht feststellen. Zwar mag es – wie in der mündlichen Verhandlung erörtert – für die Klägerin in Zukunft auf Grundlage der begehrten Feststellung eine Herausforderung darstellen, auch den Nachweis zu führen, dass weitere Schäden als mit der vorliegenden Klage geltend gemacht gerade auf diesen Vorfall zurückzuführen sind. Die Schwierigkeit einen Beweis zu führen, steht aber der Möglichkeit eines kausalen Schadens nicht entgegen.
- 64
- Im Übrigen ist die Frage, ob in Zukunft eine immaterielle Beeinträchtigung eingetreten ist, erst im Rahmen der Geltendmachung weiterer Ansprüche zu betrachten; die bloße Möglichkeit künftiger Schäden kann nicht mit fehlenden Darlegungen für die Gegenwart verneint werden (vgl. OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, Rn. 93).
- 3.)
- 66
- Die Klägerin begehrt mit dem Unterlassungsantrag zu lit. a von der Beklagten, dass ihre Daten nicht über eine Software zum Importieren von Kontakten zugänglich gemacht werden, wenn diese nicht durch Sicherheitsmaßnahmen nach dem Stand der Technik geschützt sind. Unerheblich ist dabei, dass die Klägerin die Sicherheitsmaßnahmen lediglich abstrakt beschreibt. Als Laiin ist sie nicht zu einer substantiierteren Beschreibung in der Lage. Ihr Rechtschutz liefe leer, wollte man von ihr die Angabe konkreter Maßnahmen verlangen, die diesen Stand der Technik umsetzen. Vielmehr obliegt es der Beklagten – im Rahmen des ihr zustehenden Ermessens – zu entscheiden, auf welchem Wege sie diesen Erfolg herbeiführt (vgl. OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, Rn. 100, 101).
- 67
- Auch der Unterlassungsantrag zu lit. b ist zulässig, soweit es um den Zusatz ab „namentlich“ geht. Denn dieser Zusatz beschreibt einen konkreten Sachverhalt, dessen Unterlassung begehrt wird. Der Einleitungssatz, der sich pauschal auf „unübersichtliche und unvollständige Informationen“ bezieht, dient – nach entsprechender Auslegung – insoweit lediglich der Einkleidung des dann konkret formulierten Sachverhaltes im Zusatz.
- B.
- I.
- 69
- Zwar hat die Beklagte gegen Vorschriften der DSGO verstoßen (1.), doch steht der Klägerin ein Anspruch nach Art. 82 DSGVO mangels Schaden nicht zu (2.).
- 1.)
- a.)
- 72
- Schon nach dem Wortlaut wird „ein Verstoß gegen diese Verordnung“ erfasst, ohne dies zu begrenzen. Dem Grunde nach reicht also jeglicher Verstoß gegen die DSGVO aus, um einen Schadensersatz nach Art. 82 DSGVO zu eröffnen. Ob diese Weite dadurch zu reduzieren ist, dass Verstöße nur dann und insoweit berücksichtigt werden, wenn diese „bei“ oder „im Rahmen“ einer Datenverarbeitung begangen werden (so LG Düsseldorf, Urteil vom 28.10.2021 – 16 O 128/20; Nemitz in: Ehmann/Selmayr, DSGVO, 2. Aufl., Art. 82, Rn. 8, a.A. Quaas in: BeckOK Datenschutzrecht, Stand 01.11.2023, Art. 82 DS-GVO, Rn. 14; Boehm in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl., Art. 82 DSGVO, Rn. 10), kann in Bezug auf Art. 25 DSGVO und Art. 32 DSGVO dahingestellt bleiben. Denn beide Verstöße wirken in der Datenverarbeitung fort. Ist die Voreinstellung entgegen Art. 25 DSGVO nicht datensparsam gewählt, dann wirkt sich dieser Verstoß in einer Datenverarbeitung aus, die überhaupt erst wegen dieser nicht datensparsamen Voreinstellung möglich ist. Entsprechendes gilt, wenn eine Datenverarbeitung dadurch ermöglicht wird, dass die Verantwortliche entgegen Art. 32 DSGVO keine Sicherheitsmaßnahmen nach dem Stand der Technik ergriffen hat. In beiden Fällen führt der Verstoß erst zu der (unbefugten) Datenverarbeitung.
- 73
- Unerheblich ist, dass es sich nicht – wie die Beklagte geltend macht – um „Hacking“ handeln soll, sondern um ein Datensammeln, da keine Sicherheitshürden überwunden wurden. Auf diese Begriffe stellt der Tatbestand des Art. 82 DSGVO nicht ab. Jeder Verstoß gegen die DSGVO soll zum Ersatz eines entstandenen Schadens führen. Damit ist (selbstverständlich) nicht allein der Fall gemeint, bei dem „Hacker“ Sicherheitshürden überwinden, um an personenbezogene Daten zu gelangen, sondern erst recht auch der Fall, dass es gar keine Sicherheitshürden gab, um an die Daten zu gelangen. Letzteres könnte allenfalls die Frage aufwerfen, ob auf (solche) Sicherheitshürden verzichtet werden konnte. Für den Anwendungsbereich des Art. 82 DSGVO ist dies ohne Bedeutung.
- b.)
- 74
- Es steht zur Überzeugung des Gerichtes fest, dass die Klägerin von dem gegenständlichen Scraping-Vorfall betroffen ist und ihre Daten auf eine Anfrage anhand einer sequentiell erstellten Nummer, die mit ihrer Telefonnummer übereinstimmte, übermittelt wurden.
- 75
- Dies hat die Beklagte in Abrede gestellt, weil ihr die Rohdaten der gesammelten Daten nicht vorliegen. Es kann dahingestellt bleiben, wie mit den Vorgaben des § 138 Abs. 4 ZPO in diesem Zusammenhang im Detail umzugehen wäre. Denn jedenfalls hat sich das Gericht die Überzeugung gebildet, dass die Klägerin ebenfalls betroffen war.
- 76
- Dies beruht zum einen auf den Angaben der Klägerin selbst, die angegeben hatte, dass sie sich zu jener Zeit auf einmal nicht mehr bei ihrem Nutzerkonto anmelden konnte. Zwar liegt aufgrund der technischen Zusammenhänge nicht nahe, dass auch das Passwort der Klägerin den unbekannten Dritten offengelegt worden sein sollte. Doch liegt es nahe, dass anhand des von der Beklagten übermittelten Nutzernamens für eine Mobiltelefonnummer versucht wurde durch „Erraten“ des Passwortes den Wert der erhaltenen Daten weiter zu vergrößern. Allerdings stellt das lediglich ein Indiz dar und kann für sich nicht die volle Überzeugung von der Betroffenheit der Klägerin rechtfertigen.
- 77
- Zum anderen (und vor allem) wird bei einer Suche nach der Mobiltelefonnummer auf der Seite www.haveibeenpwnd.com angegeben, dass diese Nummer von dem Scraping erfasst war, das die […]-Plattform der Beklagten betraf. Das Angebot der Seite www.haveibeenpwnd.com wird allgemein als verlässliche Quelle angesehen, um die Betroffenheit von Sicherheitsvorfällen zu überprüfen (a.A. wohl LG Stuttgart, Urteil vom 24.01.2024 – 27 O 92/23). So verweist selbst das Bundesamt für Sicherheit in der Informationstechnik für diese Zwecke auf den Dienst dieser Seite (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Umgang-mit-Passwoertern/umgang-mit-passwoertern_node.html; abgerufen am 14.03.2024). Zwar kann das Bundesamt für Sicherheit in der Informationstechnik nach den dortigen Angaben keine Angaben zu Qualität und Aktualität der dort hinterlegten Daten treffen. Das ändert jedoch nichts daran, dass den Verantwortlichen dieses Dienstes eine Datensammlung in Bezug auf das gegenständliche Scraping vorlag, in dem die Mobiltelefonnummer der Klägerin aufgeführt war. Denn die Verantwortlichen sammeln nach eigenen Angaben (vgl. https://haveibeenpwned.com/FAQs; zuletzt abgerufen am 14.03.2024) Daten aus derartigen Vorfällen und ermöglichen Nutzern festzustellen, ob und in welchen Fällen ihre Daten offengelegt wurden. Dabei werden verschiedene Kriterien herangezogen, um zu prüfen, ob es sich um einen „echten“ Vorfall handelt. Also muss die Mobiltelefonnummer der Klägerin in einer solchen Datensammlung enthalten gewesen sein und die Prüfung ergeben haben, dass die Daten aus einem „echten“ Vorfall stammen und dabei offengelegt wurden.
- 78
- Da die Klägerin zu jener Zeit ein Nutzerkonto auf der Plattform […] der Beklagten hatte und auch die Rahmenbedingungen im Hinblick auf die Einstellungen so gewählt waren, dass die Vorgehensweise auch hinsichtlich der Daten der Klägerin funktionieren konnte, bestehen zudem keinerlei greifbare Anhaltspunkte, die dieser Feststellung widersprächen. Mit einem für das praktische Leben brauchbaren Grad von Gewissheit bildet sich das Gericht auf dieser Grundlage die Überzeugung, dass auch die Daten der Klägerin betroffen waren.
- c.)
- 79
- Die Beklagte hat gegen Art. 25 Abs. 2 Satz 1 und 3 DSGVO verstoßen. Danach trifft der Verantwortliche geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
- 80
- Die Beklagte hat die Voreinstellung für die Suchbarkeit auf „alle“ geschaltet, also nicht sichergestellt, dass ohne Eingreifen der Klägerin eine Suche der zum Nutzerkonto der Klägerin hinterlegten Daten anhand der Telefonnummer einer unbestimmten Zahl von natürlichen Personen nicht möglich war.
- 81
- Irrig stellt die Beklagte dabei darauf ab, dass dem abrufenden Gerät lediglich die Daten übermittelt wurden, die stets öffentlich einsehbar sind (Name, Geschlecht etc.). Damit verkürzt sie den Kommunikationsprozess im Rahmen der Kontakt-Import-Funktion in unzulässiger Weise. Zunächst umfasst nach Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die Verarbeitung im vorliegenden Fall erfolgte initial durch Auslesen der Telefonnummern, die in der eigenen Datenbank für die Nutzerkonten im Rahmen der Suchbarkeit hinterlegt sind. Dieses Auslesen der Telefonnummer als personenbezogenes Datum (vgl. dazu Art. 4 Nr. 1 DSGVO) war den Unbekannten indessen nur möglich aufgrund der von der Beklagten vorgegebenen Voreinstellung, wonach „alle“ anhand der Telefonnummer nach Nutzern suchen konnten, was umgekehrt bedeutet, dass die Beklagte einer unbestimmten Zahl natürlicher Personen über das Auslesen die Telefonnummern der Nutzer zugänglich machte. Außerdem verwendete die Beklagte die Telefonnummern der Nutzer insoweit, als sie hierauf die weiteren Daten für das Nutzerkonto auf die Anforderung an das anfragende Gerät übermittelte. Es kommt nicht darauf an, dass die Beklagte dabei (in der JSON-Payload nach ihrer eigenen Darstellung) nicht ausdrücklich die Telefonnummer des Nutzers als Zeichenkette übermittelte. Dies wäre informationstechnisch widersinnig gewesen. Denn die Telefonnummer als Zeichenkette lag dem anfragenden Gerät schließlich vor. Es genügte also in der Vorgangsreihe von Abfrage und Antwort lediglich auf die Anfrage (request) des externen Gerätes technisch zu referenzieren, um hierzu die weiteren Daten zu übermitteln. Auch dann verwendet aber die Methode der Beklagten die – zunächst ausgelesene – Telefonnummer der Nutzer, um gerade für diese Nummer weitere Daten zu übermitteln. Entsprechend kann aufgrund der Antwort durch das System der Beklagten zum einen festgestellt werden, dass die in Form einer Telefonnummer generierte Zeichenkette tatsächlich existiert und welche Daten mit dieser verbunden sind. Das lässt sich in keiner Weise auf die Bereitstellung der stets öffentlichen Daten der Nutzer reduzieren, da insoweit der Bezug zur Telefonnummer fehlt. Vielmehr war die Telefonnummer bei den Zielgruppensucheinstellungen gerade ausgenommen von den stets öffentlichen Daten. Durch die Suchbarkeitseinstellung wurde aber aufgrund der angefragten Zeichenkette jedoch die Telefonnummer nebst weiterer Daten für das anfragende Gerät und damit eine unbestimmte Zahl an Personen zugänglich gemacht.
- 82
- Unschlüssig ist dabei der Einwand der Beklagten, die Verarbeitung und Voreinstellung der Suchbarkeit auf „alle“ sei berechtigt gewesen, weil dies dem Zweck des sozialen Netzwerkes entsprochen habe. Selbstverständlich wäre es auch dann möglich gewesen die Plattform zu nutzen, wenn die Nutzer nicht anhand ihrer Telefonnummer von jedermann gesucht (und gefunden) werden könnten. Dies zeigt sich schon daran, dass die Kontakt-Import-Funktion nicht schon immer existierte. Denn Nutzer konnten und können jederzeit auch lediglich anhand ihres – immer öffentlichen – Namens gefunden werden, ohne dass es der Suche anhand der Telefonnummer bedurft hätte (so auch OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, Rn. 229).
- c.)
- 84
- Schon Art. 5 Abs. 1 lit. f DSGVO verlangt, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit”). Art. 32 Abs. 1 DSGVO konkretisiert, dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
- 85
- Es oblag der Beklagten aufgrund ihrer Rechenschaftspflicht in Art. 5 Abs. 2, 24 Abs. 1 DSGVO darzulegen und zu beweisen, dass die von ihr getroffenen Sicherheitsmaßnahmen i.S.v. Art. 32 DSGVO in diesem Sinne geeignet waren (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21).
- 86
- Dies hat die Beklagte nicht schlüssig getan. Die Beklagte hat sich in ihrem Vortrag darauf beschränkt, Maßnahmen wie Übertragungsgrenzen oder Bot-Erkennung schlagwortartig zu benennen. Die Anforderungen des Art. 32 DSGVO liegen jedoch weit höher. Richtig weist die Beklagte darauf hin, dass ihr ein Entscheidungs- bzw. Ermessensspielraum bei der Wahl der geeigneten technischen und organisatorischen Maßnahmen zugestanden habe. Gleichwohl muss ein nationales Gericht die komplexe Beurteilung, die der Verantwortliche vorgenommen hat, bewerten können und sich dabei vergewissern können, dass die vom Verantwortlichen gewählten Maßnahmen geeignet sind, ein solches Sicherheitsniveau zu gewährleisten. Es muss eine materielle Prüfung dieser Maßnahmen anhand aller in diesem Artikel genannten Kriterien sowie der Umstände des Einzelfalls und der dem Gericht dafür zur Verfügung stehenden Beweismittel vornehmen. Eine solche Prüfung erfordert eine konkrete Untersuchung sowohl der Art als auch des Inhalts der vom Verantwortlichen getroffenen Maßnahmen, der Art und Weise, in der diese Maßnahmen angewandt wurden, und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 43).
- 87
- Gemessen hieran hat die Beklagte nicht schlüssig vorgetragen, dass sie ihr Ermessen pflichtgemäß ausgeübt hat. So hätte es zunächst einer Bewertung des Schutzniveaus der Daten (nach BSI-Grundschutz 200-2: „Schutzbedarfsfeststellung“; ebenso das Standard-Datenschutzmodell der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) bedurft. Jedoch fehlt jeglicher Vortrag der Beklagten zu dem Schutzniveau nicht nur der stets öffentlichen Daten, sondern vor allem der Telefonnummer. Weiter bedarf es einer Betrachtung der Daten in den verschiedenen Verarbeitungsvorgängen, hier also speziell der Kontakt-Import-Funktion (nach BSI-Grundschutz 200-2: „Erfassung der Geschäftsprozesse“; nach Standard-Datenschutzmodell: „Verarbeitungstätigkeit (Geschäftsprozesse)“. Ob die Beklagte die Verarbeitung der Telefonnummer bei diesem Verarbeitungsvorgang überhaupt beachtet hat, ist weder vorgetragen noch ersichtlich.
- 88
- Ausgehend von dem Schutzniveau der Daten und dem Verarbeitungsvorgang war es erforderlich etwaige Risiken zu identifizieren und zu bewerten (nach BSI-Grundschutz: Risikoanalyse; nach Standard-Datenschutzmodell: Risikobetrachtung). Auch hierzu fehlt konkreter Vortrag. Die Beklagte gibt zwar pauschal an, dass das Risiko von Scraping schon immer bestanden habe. Ob und zu welchem Ausmaß die Beklagte sich jedoch gerade für die Kontakt-Import-Funktion der Möglichkeit eines Missbrauchs durch das gegenwärtige Angriffsszenario der sequentiellen Telefonnummernerstellung und -abfrage bewusst war, bleibt offen.
- 89
- Erst jetzt, also wenn das Schutzniveau der personenbezogenen Daten bestimmt, die beteiligten Verarbeitungsvorgänge (Geschäftsprozesse) analysiert und die einzelnen Risiken diesbezüglich festgestellt und bewertet worden sind, kommt es auf die konkreten technischen und organisatorischen Maßnahmen an, um den jeweiligen Risiken in geeigneter und angemessener Weise zu begegnen (nach BSI-Grundschutz 200-2: „Modellierung“). Entsprechend unterscheidet auch der Europäische Gerichtshof zwischen zwei Schritten: Zum einen sind die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung muss konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen. Zum anderen ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind (EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 42).
- 90
- Den Ausführungen der Beklagten ist nach alledem schon nicht zu entnehmen, dass sie in dieser strukturierten Weise vorgegangen wäre. Dabei ist organisatorischer Datenschutz ein wesentlicher Bestandteil, um die Sicherheit der Verarbeitung zu gewährleisten (ausführlich zur Methodik: BSI-Grundschutz 200-2 oder auch das Standard-Datenschutzmodell). Die schlagwortartig bezeichneten technisch-organisatorischen Maßnahmen bleiben vor diesem Hintergrund ohne erhebliche Aussagekraft. Irgendwelche Maßnahmen in den Raum zu stellen, ohne auf die weiteren Schritte der notwendigen Gesamtbetrachtung einzugehen, ermöglicht dem Gericht nicht, die ergriffenen Maßnahmen – wie es von ihm verlangt wird (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 45) – im Rahmen von Art. 32 DSGVO beurteilen zu können.
- 91
- Im Übrigen sind die Maßnahmen zudem so pauschal formuliert, dass sie auch inhaltlich einer Beweisaufnahme nicht zugeführt werden könnten. So wird bspw. schon nicht klar, welche Übertragungsgrenzen die Beklagte zunächst angenommen hatte und auf welcher Grundlage sie diese Festlegung vornahm. Das Gericht hatte die Beklagte in der mündlichen Verhandlung darauf hingewiesen, dass insoweit ihr bisheriger Vortrag daher nicht ausreicht. Weder wurde hierzu ein Schriftsatznachlass beantragt noch ist hierzu weiterer Vortrag geleistet worden.
- d.)
- 92
- Soweit sich die Klägerin auch auf Verstöße gegen Artt. 13, 14 DSGVO bzw. Artt. 33, 34 DSGVO stützt, ist dies für die Haftungsbegründung unerheblich. Denn die Klägerin hat nicht schlüssig vorgetragen, dass ihr gerade durch diese (etwaigen) Verstöße, also eine fehlende, fehlerhafte oder nicht rechtzeitige Information der Beklagten der Klägerin oder der Aufsichtsbehörden über den Scraping-Vorfall, ein Schaden entstanden wäre. Die Sorgen, Befürchtungen etc. sollen sich – lebensnah – nicht wegen dieser fehlerhaften Information gebildet haben, sondern wegen der Offenlegung der Daten.
- 93
- Ebenfalls dahingestellt bleiben kann vor diesem Hintergrund, in welchem Verhältnis die Verstöße gegen Art. 25 DSGVO und Art. 32 DSGVO zu Art. 6 DSGVO stehen. Die Beklagte beruft sich noch nicht einmal auf eine Einwilligung der Klägerin in diese Datenverarbeitung. Dass aber die Kontakt-Import-Funktion erforderlich gewesen wäre, um den Vertrag zwischen den Parteien zu erfüllen (Art. 6 Abs. 1 lit. b DSGVO), erscheint fernliegend. Wie ausgeführt, kann das soziale Netzwerk auch ohne diese Funktion genutzt werden. Letztlich kommt es hierauf nicht an. Denn auch insoweit behauptet die Klägerin nicht, dass ihr aus der Funktionalität der Kontakt-Import-Funktion als solche ein Schaden entstanden wäre. Die Befürchtungen seien nicht durch die Funktion als solche ausgelöst worden. Diese sei vielmehr durch die Offenlegung der Daten aufgrund der nicht datenschutzfreundliche Voreinstellung und den unzureichenden technischen und organisatorischen Maßnahmen verursacht worden.
- 2.)
- 94
- Das Gericht mag sich indessen nicht die Überzeugung zu bilden, dass der Klägerin ein Schaden entstanden ist.
- a)
- 95
- Ein Verstoß allein gegen die Vorschriften der DSGVO reicht nicht aus, um einen Anspruch zu begründen. Denn schon nach dem Wortlaut des Art. 82 DSGVO ist hierfür zudem ein „Schaden“ erforderlich (EuGH, Urteil vom 04.05.2023 – C-300/21, Rn. 33). Der Begriff des materiellen oder immateriellen Schadens ist in der gesamten Europäischen Union autonom und einheitlich auszulegen (EuGH, Urteil vom 04.05.2023 – C-300/21, Rn. 29, 30 mwN).
- 96
- Nach dem 85. Erwägungsgrund zur DSGVO kann eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. Der Europäische Gerichtshof hat in einer Reihe von Entscheidungen hervorgehoben, dass für die Annahme eines immateriellen Schadens keine Schwelle überschritten werden müsse. So hatte der Oberste Gerichtshof (Österreich) dem Europäischen Gerichtshof unter anderem die Frage zur Vorabentscheidung vorgelegt, ob die Auffassung mit dem Unionsrecht vereinbar sei, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht. Hierauf hat der Europäische Gerichtshof festgestellt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urteil vom 04.05.2023 – C-300/21, Rn. 51). Man kann aus der Gesamtschau von Frage und Antwort schließen können, dass der Europäische Gerichtshof Ärger nicht von vornherein als immateriellen Schaden ausscheiden will. Dies leuchtet auch ein, da mit der Einführung einer – wie auch immer formulierten – Erheblichkeitsschwelle die Gefahr einer uneinheitlichen Auslegung dieser Erheblichkeit durch die Gerichte in der Europäischen Union und damit unterschiedliche Schutzniveaus geschaffen würde. Im Anschluss hieran hat der Europäische Gerichtshof auch hervorgehoben, dass Art. 82 Abs. 1 DSGVO einer nationalen Rechtsvorschrift oder -praxis entgegenstehe, die für einen durch einen Verstoß gegen diese Verordnung verursachten immateriellen Schaden eine „Bagatellgrenze“ vorsieht. So stehe nicht entgegen, dass die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten den betroffenen Personen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO zufügen können (EuGH, Urteil vom 14.12.2023 – C-456/22, Rn. 22). Eine Auslegung von Art. 82 Abs. 1 DSGVO dahin, dass der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre jedoch nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird. Entsprechend kann diese Befürchtung einer missbräuchlichen Verwendung ihrer personenbezogenen Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen (EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 50 und 83).
- 97
- Allerdings bedeutet diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (EuGH, Urteil vom 04.05.2023 – C-300/21, Rn. 50; EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 84). Die Personen, die Schadensersatz nach Art. 82 Abs. 1 DSGVO begehren, müssen also den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten haben (EuGH, Urteil vom 14.12.2023 – C-456/22, Rn. 22). Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 85). An dieser Verteilung der Darlegungs- und Beweislast für einen Schaden, ändert die Formulierung des Europäischen Gerichtshofes (Urteil vom 14.12.2023 – C-340/21, Rn. 74) nichts wonach, der Verantwortliche nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist. Dieser Halbsatz steht ersichtlich im Kontext einer Auslegung des Art. 82 Abs. 3 DSGVO. Damit hebt der Europäische Gerichtshof lediglich, aber immerhin hervor, dass eine punktuelle Entlastung des Verantwortlichen im Rahmen von Art. 82 Abs. 3 DSGVO nicht ausreicht. Vielmehr darf er in „keinerlei Hinsicht“ für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich sein. Der Wortlaut der Formulierung des Europäischen Gerichtshofes setzt dabei voraus, dass durch einen Umstand ein Schaden eingetreten ist, lässt also die hierzu ergangene Rechtsprechung unberührt. Erst wenn durch einen Verstoß ein Schaden eingetreten ist (und dies bewiesen wurde), gelangt man zu der hiermit beantworteten Frage, welche Anforderungen an eine Entlastung nach Art. 82 Abs. 3 DSGVO zu stellen sind.
- 98
- Da das Gericht diese Frage nach dem immateriellen Schaden insbesondere aufgrund der Entscheidungen des Europäischen Gerichtshofs vom 14. Dezember 2023 im Sinne der Klägerseite als geklärt ansieht, besteht keine Veranlassung ihrem Antrag auf Aussetzung des Verfahrens im Hinblick auf das Vorabentscheidungsersuchen des Bundesgerichtshofes zu folgen.
- b)
- 100
- Allein der (objektive) Verlust der Kontrolle über ihre personenbezogenen Daten reichte allerdings von vornherein nicht aus, mag dieser auch im 85. Erwägungsgrund als Beispiel für einen immateriellen Schaden genannt werden. Denn mit der Offenlegung von personenbezogenen Daten gegenüber Dritten geht stets der Verlust der Hoheit über diese Daten einher, so dass der Verstoß mit dem Schaden gleichgesetzt werden müsste, was jedoch – wie ausgeführt – unzulässig wäre. Stattdessen ist mit den Ausführungen des Europäischen Gerichtshofs auf die konkreten Umstände bei der jeweils betroffenen Person abzustellen. Entsprechend formuliert der Gerichtshof, dass die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten den betroffenen Personen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO zufügen können. Wenn aber der Verlust der Hoheit über die Daten einen Schaden „zufügen“ kann, dann entspricht er nicht dem Schaden selbst, sondern dieser ist durch das Gericht gesondert festzustellen. Über den (unschlüssigen) Vortrag hinaus, wonach der Kontrollverlust ein immaterieller Schaden sei, hat die Klägerin jedoch vorgetragen, dass sie befürchte, dass ihre personenbezogenen Daten in vielfacher Art und Weise gegen ihren Willen und mit einem hohen Risiko für ihre persönliche wie auch finanzielle Lage missbraucht würden. Dabei sorge sie sich insbesondere darüber, Opfer von Spamanrufen und Betrugsversuchen zu werden. Diese Sorgen hätten erhebliche Auswirkungen auf die Lebensgestaltung der Klägerin. Träfe dies zu, so könnte dies nach der zitierten Rechtsprechung des Europäischen Gerichtshofes einen immateriellen Schaden darstellen. Denn im vorliegenden Fall wäre die Sorge vor einem Missbrauch der Daten nicht „aus der Luft gegriffen“, sondern durchaus begründet. So wurde eine Liste mit der Mobiltelefonnummer der Klägerin offensichtlich im Internet veröffentlicht, so dass die Webseite www.haveibeenpwnd.com den Zusammenhang zwischen dem Scraping-Vorfall bei der Beklagten und der Mobiltelefonnummer der Klägerin herstellen konnte. Wenn es aber jener Webseite möglich ist, so ist es auch Dritten möglich an diese Daten zu gelangen und sie für missbräuchliche Zwecke – welcher Art auch immer – zu verwenden.
- 101
- Allerdings vermochte das Gericht sich nicht die volle Überzeugung zu bilden, dass die Klägerin tatsächlich eine solche Befürchtung oder Sorge hat. Im Rahmen der informatorischen Anhörung hat die Klägerin auf die bewusst offen gestellten Fragen des Gerichtes weder von Sorgen noch von Befürchtungen oder anderen Emotionen berichtet. Die Klägerin merkte lediglich an, dass sie seit dem Datenleck vorsichtiger geworden sei; zuvor sei sie unbeschwerter damit umgegangen. Allerdings machte die Klägerin nicht den Eindruck auf das Gericht, dass sie sich noch wegen des Scrapings sorgte oder Befürchtungen verspürte. Vielmehr hat die Klägerin die Sache schon in zeitlicher Nähe zum Vorfall selbst in die Hand genommen, die Verbraucherzentrale kontaktiert und die erforderlichen Änderungen hinsichtlich ihres Nutzerkontos vorgenommen. Wenn der Vorfall sie dazu motiviert haben mag, sich aufgrund der allgemein bestehenden Gefahren bei der Nutzung von Social Media usw. vorsichtiger zu verhalten, ist dies zunächst einmal zu begrüßen. Denn die Nutzung des Internets und der darüber vermittelten Dienste bergen eigene Gefahren, denen sich mündige Nutzer bewusst sein sollten. Der Wegfall der „Unbeschwertheit“ ist dann aber gerade kein immaterieller Schaden. Von weiterhin bestehenden Befürchtungen oder Sorgen hat die Klägerin nicht berichtet.
- 102
- Schließlich konnte sich das Gericht nicht die Überzeugung bilden, dass das von der Klägerin berichtete – schriftsätzlich behauptete: „massenhafte“ – SPAM-Aufkommen in Nachrichten per SMS oder per WhatsApp sowie Anrufen im Zusammenhang mit der Offenlegung ihrer Daten durch das gegenständliche „Scraping“ zusammenhängt. Die Klägerin hat zunächst auf Frage ausgeführt, dass sie aufgrund dieses Datenlecks nichts erhalten habe. Erst auf konkretere Nachfrage des Gerichtes erklärte die Klägerin, dass sie diverse SPAM-Nachrichten und Anrufe von unbekannten Nummern erhalte. Allerdings bleibt damit ungewiss, ob die Klägerin diese Nachrichten gerade wegen des gegenständlichen Scrapings erhält. Sie selbst hat ausgeführt, dass sie solche Nachrichten „nach dem Leck vermehrt“ bekomme. Damit ist klar, dass es auch schon zuvor solche Nachrichten gegeben hat. Wenn aber ihre Kontaktdaten schon unabhängig von dem Scraping hierfür von Unbefugten genutzt wurden, dann ist gerade nicht ausgeschlossen, dass auch der Anstieg mit einer vom Scraping unabhängigen Verbreitung ihrer Daten zusammenhängt. Vielleicht mag gerade im Fall der Klägerin, die schon in zeitlichem Zusammenhang mit dem Scraping feststellte, dass sie keinen Zugriff mehr auf ihr […]-Konto hatte, es in gewissem Maß – wenngleich nicht überwiegend – wahrscheinlich sein, dass sie den Anstieg an SPAM-Nachrichten und Anrufen richtig diesem Ereignis zuordnet. Da sich aber noch nicht einmal eine überwiegende Wahrscheinlichkeit für die Behauptung der Klägerin in Bezug auf die SPAM-Nachrichten feststellen lässt, genügt dies weder dem geminderten Beweismaß nach § 287 ZPO, geschweige denn dem Beweismaß des § 286 ZPO.
- II.
- 104
- Das Gericht spricht die beantragte Feststellung aus, wenn ein Rechtsverhältnis zwischen den Parteien besteht, aus dem sich Schadensersatzansprüche ergeben, falls ein Schaden eintritt (vgl. Becker-Eberhard, ZPO, 6. Aufl., § 256, Rn. 32). Zwar hat die Klägerin nicht zu beweisen vermocht, dass ihr bislang ein immaterieller Schaden entstanden ist. Doch schließt dies nicht aus, dass ihr in Zukunft ein Schaden entstehen kann, wie bereits im Rahmen der Ausführungen zum Feststellungsinteresse ausgeführt. Die weiteren Voraussetzungen für einen Schadensersatzanspruch, aus denen sich das festzustellende Rechtsverhältnis zwischen den Parteien ergibt, liegen nach Maßgabe der vorstehenden Ausführungen vor.
- III.
- 105
- Es kann dahingestellt bleiben, ob sich aus Art. 17 DSGVO ein Unterlassungsanspruch ableiten lässt und ob nationale Anspruchsgrundlagen wie § 1004 BGB analog durch die DSGVO gesperrt werden. Daher kommt es auch im vorliegenden Fall auch nicht auf die entsprechenden Vorlagefragen des Bundesgerichtshofes (Beschluss vom 26.09.2023, AZ. VI ZR 97/22) an.
- 106
- Materiell-rechtliche Voraussetzung eines jeden Unterlassungsanspruchs wäre das Bestehen einer Wiederholungsgefahr. Denn nur dann kann die Klagepartei von der Beklagten für die Zukunft ein bestimmtes Verhalten erwarten.
- 107
- Im vorliegenden Fall lässt sich aber nicht feststellen, dass eine Wiederholung der Verstöße der Beklagten droht, die zu der Offenlegung der Daten der Klägerin gegenüber den Unbekannten geführt haben. Weder droht noch eine Datenübermittlung an Dritte wie im Rahmen des Scraping-Vorfalles, ohne dass diese Daten nach dem Stand der Technik hinreichend geschützt seien (1.), noch droht weiterhin die Verwendung einer falschen „Voreinstellung“ (2.)
- 1.)
- 108
- Die Beklagte verwendet die Kontakt-Import-Funktion, wie sie bei der Offenlegung der Daten im Rahmen des gegenständlichen Scrapings von den Unbekannten eingesetzt wurde, unstreitig nicht mehr. Sie hat unwidersprochen ausgeführt, dass sie diese Funktion durch eine „Menschen, die du kennen könntest“-Funktion (sog. People you may know-Funktion, PYMK-Funktion) ersetzt habe. In Folge dieser Überarbeitung ordnet die Kontakt-Importer-Funktion einen gefundenen […]-Nutzer nicht mehr dem Kontakt auf dem Telefon zu, sondern nach dem Import der Kontakte vom Mobiltelefon werde eine Liste mit Nutzern angezeigt, die der importierende Nutzer kennen könnte und somit eine Liste, die möglicherweise nur wenige oder gar keine der vom Nutzer hochgeladenen Kontakte enthalten habe. Wenn die Funktion aber grundsätzlich abgeändert wurde – wie hier mit hinreichender Substanz unstreitig vorgebracht – dann droht zumindest für die Zukunft nicht mehr, dass anhand der bisherigen Funktion weitere Daten unbefugt offengelegt werden. Denn diese Funktion ist nicht mehr in Verwendung. Ob die neue Funktion, die grundlegend anders funktioniert, den Anforderungen des Art. 32 DSGVO entspricht, bedarf hier keiner Entscheidung. Ein Verstoß gegen Art. 32 DSGVO bei einer Funktion rechtfertigt nicht die Annahme der Gefahr, dass andere, grundlegend verschiedene Funktionen ebenfalls diesen Anforderungen nicht entsprechen. Dafür fehlt vielmehr jeder greifbare Anhaltspunkt.
- 2.)
- 109
- Auf die Voreinstellungen, die gegen Art. 25 DSGVO verstießen, kommt es darüber hinaus nicht an. Die Klägerin hat unstreitig schon im Jahr 2019 die Suchbarkeitseinstellungen so verändert, dass ihr Nutzerkonto (und die damit verbundenen immer öffentlichen Daten) nicht mehr von jedermann anhand ihrer Telefonnummer gefunden werden kann. Es ist auch weder vorgetragen noch ersichtlich, dass die Klägerin beabsichtigte, diese Einstellung zu ändern. Für die Zukunft droht also nicht mehr, dass die datenschutzrechtswidrige Voreinstellung der Beklagten fortwirkt oder gar erneut relevant wird.
- IV.
- 111
- Ein Anspruch der Klägerin besteht nicht (mehr), da die Beklagte diesen erfüllt hat gem. § 362 Abs. 1 BGB.
- 112
- Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll (OLG Hamm, Urteil vom 15.08.2023 – 7 U 19/23, Rn. 233 mwN).
- 113
- Die Beklagte hat mit dem Schreiben vom 24. August 2023 (Anlage B16) Informationen zu der Anfrage der Klägerin mitgeteilt. Nach eigener Darstellung der Beklagten liegen ihr, auch mangels Speicherung der Rohdaten der beim Scraping abgerufenen Daten, keine weitergehenden Informationen vor. Damit hat sie klar zum Ausdruck gebracht, dass sie die Auskunft – soweit es ihr möglich war – vollständig erbracht hat. Greifbare Anhaltspunkte dafür, dass der Beklagten doch Rohdaten oder weitergehende Informationen zum Scraping-Vorfall vorliegen sind von Klägerseite weder vorgetragen noch ersichtlich.
- V.
- 115
- Ob eine vorprozessuale anwaltliche Zahlungsaufforderung eine Geschäftsgebühr nach Nr. 2300 RVG VV auslöst oder als der Vorbereitung der Klage dienende Tätigkeit nach § 19 Abs. 2 Nr. 1 RVG zum Rechtszug gehört und daher mit der Verfahrensgebühr nach Nr. 3100 RVG VV abgegolten ist, ist eine Frage des Innenverhältnisses, nämlich der Art und des Umfangs des im Einzelfall erteilten Mandats. Erteilt der Mandant den unbedingten Auftrag, im gerichtlichen Verfahren tätig zu werden, lösen bereits Vorbereitungshandlungen die Gebühren für das gerichtliche Verfahren aus, und zwar auch dann, wenn der Anwalt zunächst nur außergerichtlich tätig wird. Für das Entstehen der Geschäftsgebühr nach Nr. 2300 VV RVG ist dann kein Raum mehr. Anders liegt es, wenn sich der Auftrag nur auf die außergerichtliche Tätigkeit des Anwalts beschränkt oder der Prozessauftrag jedenfalls unter der aufschiebenden Bedingung erteilt wird, dass zunächst vorzunehmende außergerichtliche Einigungsversuche erfolglos bleiben (vgl. BGH, Urteil vom 22.06.2021 – VI ZR 353/20, Rn. 7).
- 116
- Die Klägerin hat nicht schlüssig dargelegt, dass sie die Klägervertreter zunächst lediglich mit ihrer außergerichtlichen Vertretung beauftragt oder ihr einen nur bedingten Prozessauftrag erteilt hat. Dies zu Lasten der Klägerin, die darzulegen und im Streitfall zu beweisen hat, dass sie ihrem Anwalt einen Auftrag zur vorgerichtlichen Vertretung erteilt hat (vgl. BGH, Urteil vom 22.06.2021 – VI ZR 353/20, juris Rn. 8). Die Hinweispflicht gilt gemäß § 139 Abs. 2 Satz 1 ZPO nicht für Nebenforderungen, zu denen auch die außergerichtlichen Rechtsanwaltskosten gehören (BGH, Urteil vom 24.01.2022 – VIa ZR 100/21, juris Rn. 13).
- C.
- 117
- Da der Klägerin ein Zahlungsanspruch in der Hauptsache nicht zusteht, kann sie auch keine Zinsen von der Beklagten verlangen.
- 118
- Die Kostenentscheidung beruht auf § 92 Abs. 2 Nr. 1 ZPO, da das Unterliegen der Beklagten verhältnismäßig geringfügig ist und keine höheren Kosten verursacht hat.
- D.
- 120
- Der Streitwert wird gem. § 63 Abs. 1 Satz 1 GKG i.V.m. § 48 Abs. 1 GKG, §§ 3 ff. ZPO auf 7.500 € festgesetzt.
- 121
- Das Gericht orientiert sich hierbei an der Entscheidung des Oberlandesgerichtes Karlsruhe in einem für die gegenständliche Verfahrenskonstellation im Wesentlichen vergleichbaren Fall (OLG Karlsruhe, Beschluss vom 05.07.2023 – 10 W 5/23). Danach ist für den Zahlungsantrag zu 1 der Betrag von 2.500 € zu übernehmen. Den Wert des Feststellungsantrags bemisst das Gericht mit 500 €. Den Wert des Unterlassungsanspruchs auf 4.000 € und den Wert des Auskunftsanspruchs mit 500 €.
Kommentar hinterlassen