Seite drucken Entscheidung als PDF runterladen
Die Klage wird abgewiesen.
Die Kosten des Rechtsstreits werden dem Kläger auferlegt.
Der Kläger kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn die Beklagte nicht vor der Vollstreckung Sicherheit iHv 110 % des jeweils zu vollstreckenden Betrages leistet.
Tatbestand:
2Die Parteien streiten um Ansprüche auf Schadensersatz, Unterlassung und Auskunft wegen behaupteter Verletzung von Regelungen der DS-GVO.
3Der Kläger nutzte die von der Beklagten betriebene Social Media Plattform P. und die mit ihr zusammenhängenden Dienste, wie z.B. den Messenger. Die Nutzer können auf ihren persönlichen Profilen auf der Plattform Angaben zu verschiedenen Daten zu ihrer Person machen. Sie können im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Nutzer ihre Daten einsehen können.
4In den Jahren 2018 bis 2019 lasen und sammelten unbekannte Dritte Daten von O. (sog. „Scraping“). Die durch die Scraper in diesem Zusammenhang verwendeten Telefonnummern wurden vermutlich mittels „Telefonnummernaufzählung“ generiert. Dabei nutzten die Scraper die Kontakt-Import-Funktion (Contact Importer Tool (CIT)) von P.. Mittels dieser Funktion konnten Nutzer, ihre Kontakte von ihren Mobilgeräten auf P. hochzuladen, um diese Kontakte sodann auf P. zu finden. Die Scraper erstellten Listen verschiedener potenzieller Telefonnummern und luden diese mittels des CIT hoch. Sofern eine Telefonnummer mit einem Nutzerprofil verknüpft war, wurde diese den gescrapten Daten des Nutzerprofils hinzugefügt. Anfang April 2021 wurden diese Daten von ca. 533 Millionen C. Nummern inkl. Telefonnummern im Internet öffentlich verbreitet.
5Die Beklagte informierte weder den Kläger noch die zuständige Datenschutzbehörde, die W., über den Vorfall.
6Bei dem Anlegen eines R. Profils muss der künftige Nutzer Datenschutz- und Cookie Richtlinien zustimmen. Diese sind durch eine Verlinkung getrennt abrufbar. Ein Teil der Daten des Nutzerprofils ist immer öffentlich einsehbar. Dazu gehört der Name, das Geschlecht und die Nutzer-ID. Die Einsehbarkeit der weiteren Daten, z.B. die Telefonnummer, der Wohnort, der Beziehungsstatus, der Geburtstag oder der E-Mail-Adresse richtet sich nach der persönlichen Einstellungsauswahl. Nach der Anmeldung auf der Plattform sind zunächst die Vor- bzw. Standardeinstellungen aktiv. Demnach können „alle“ Personen sehen, welche Seiten der Nutzer abonniert oder mit wem er befreundet ist. Ebenso können „alle“ den neuen Nutzer über seine E-Mail-Adresse „finden“. Auch für sämtliche Informationen, die ein Nutzer in sein Profil einträgt, ist standardmäßig „öffentlich“ als Voreinstellung ausgewählt. Der Nutzer kann diese Einstellungen individuell verändern und sich im Hilfebereich einlesen, wie P. insbesondere die Mobilfunknummer verwendet. Bei einer Anmeldung auf der Plattform ist die Angabe der Mobilfunknummer nicht zwingend. Wird sie jedoch hinterlegt, können hinsichtlich der Öffentlichkeit der Telefonnummer unterschiedliche Zielgruppeneinstellungen in Bezug auf die Sichtbarkeit und Suchbarkeit ausgewählt werden. Die Voreinstellung bezüglich der „Sichtbarkeit“ lautet „nur Freunde“, für die Suchbarkeit hingegen „alle“.
7Bis zum 19.02.2019 war die Suchbarkeit des klägerischen Nutzerkontos mittels der Telefonnummer auf „alle“ eingestellt. Am 19.02.2019 wurde die Suchbarkeit auf die Einstellung „Freunde von Freuden“ verändert. Die weiteren Datenpunkte, welche nach Auffassung des Klägers vom Scraping betroffen waren, waren öffentlich einsehbar.
8Mit außergerichtlicher E-Mail vom 25.08.2021 wurde die Beklagte vergeblich zur Zahlung von 500,- € und Unterlassung künftiger Zugänglichmachung der Daten des Klägers sowie Erteilung einer Auskunft, welche konkreten Daten im April 2021 abgegriffen und veröffentlicht wurden, aufgefordert (Anlage K 1). Die Beklagte erteilte daraufhin mit Schreiben vom 17.09.2021 Auskünfte (Anlage B16).
9Der Kläger behauptet, durch das Scraping seien folgende Daten abgegriffen und in einer u.a. im Darknet für jedermann abrufbaren Datenbank veröffentlicht worden: Telefonnummer, P.-ID, Name, Geschlecht, ehemaliger Wohnort und Beziehungsstatus. Im Einzelnen seien dies die folgenden Datenpunkte: N01, J., M., Z., Q. Q.,N02.
10Er ist der Ansicht, dass ihm ein Schadensersatzanspruch in Höhe von mindestens 1.000 € nach Art. 82 Abs. 1 DS-GVO zustehe. Die Beklagte habe ihn nicht in ausreichendem Maße über die Verarbeitung der ihn betreffenden personenbezogenen Daten, insbesondere der Mobiltelefonnummer, informiert bzw. aufgeklärt und dadurch gegen die Vorschriften der Art. 5 Abs. 1 lit. a) und Art. 13, 14 DS-GVO verstoßen. Die Einstellungen und Hinweise zur Sicherheit und Nutzung der Telefonnummer auf P. seien undurchsichtig und kompliziert gestaltet, denn es bestehe eine Flut an Einstellungsmöglichkeiten allein für die Sicherheit der Mobilnummer. Es werde unnötig zwischen Datenschutzrichtlinien und Cookie-Verwendung differenziert, obwohl die Verwendung von Cookies ein inhärent datenschutzrechtliches Thema sei. Der gesamte Anmeldevorgang sei intransparent und für den Anwender verwirrend. Aufgrund der Vielzahl an Einstellungsmöglichkeiten sei mit hoher Wahrscheinlichkeit zu erwarten, dass ein Nutzer die voreingestellten Standardeinstellungen beibehalte und nicht selbstständig ändere. Dies widerspräche allerdings den Grundsätzen eines nutzerfreundlichen Datenschutzes. In der Voreinstellung, dass die „Suchbarkeit“ der Mobiltelefonnummer „allen“ möglich ist, liege ein Verstoß gegen das in der DS-GVO niedergelegten Prinzips der „privacy by default“ nach Art. 25 DS-GVO. Zudem habe die Beklagte keine hinreichenden Schutzmaßnahmen gegen das Scraping ergriffen, z.B. würden keine Sicherheitscaptchas verwendet und kein Mechanismus zur Überprüfung der Plausibilität der Anfragen bereitgehalten, worin ein Verstoß gegen Art. 5 Abs. 1 lit. f), 32, 24 und 25 DS-GVO liege. Die von der Beklagten nach Art. 15 DS-GVO erteilte Auskunft sei unzureichend. Das Antwortschreiben der Beklagten enthalte lediglich allgemein gehaltene Informationen zu den auf P. verarbeiteten Daten sowie einen Link zur Seite der Beklagten, auf der die Daten über einen individuellen Nutzer gespeicherten Daten eingesehen werden können. Unabhängig davon enthalte das „Auskunftsschreiben“ der Beklagten aber auch keinerlei konkrete Aussagen dazu, welche Daten des Klägers im Wege des Scrapings von unbekannten Dritten abgegriffen wurden. So bleibe offen, wann genau die Daten entwendet worden seien oder wie viele verschiedene Beteiligte diese Funktion hinsichtlich seiner eigenen gespeicherten Daten ausgenutzt hätten.
11Er behauptet, dass er einen Kontrollverlust über seine Daten erfahren habe und in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer Daten verblieben sei. Er werde seit April 2021 wiederholt ungewollt von Unbekannten via E-Mail und SMS kontaktiert und habe Stress, Komfort- und Zeiteinbußen erlitten.
12Der Kläger beantragt,
131. die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.
142. festzustellen, dass die Beklagte verpflichtet ist, ihm alle künftigen Schäden zu ersetzen, die ihm - dem Kläger - durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.
153. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,
16a. personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, P. ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,
17b. seine Telefonnummer auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Contactimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der P. App, hier ebenfalls explizit die Berechtigung verweigert wird,
184. die Beklagte zu verurteilen, ihm Auskunft über seine ihn betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.
195. die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 354,62 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.
20Die Beklagte beantragt,
21die Klage abzuweisen.
22Die Beklagte behauptet, hinreichende Anti-Scraping Maßnahmen ergriffen zu haben, z.B. die Beschäftigung eines Teams zur Bekämpfung des Phänomens und die Einführung von Übertragungsbeschränkungen, die die Zahl von Anfragen von bestimmten Daten reduzieren, welche pro Nutzer oder einer IP-Adresse gemacht werden können. Sie ist der Ansicht, dass ein Verstoß gegen Art. 24 und 32 DS-GVO deshalb nicht ersichtlich sei. Die Pflicht angemessene technische und organisatorische Maßnahmen zu ergreifen, ziele darauf ab, eine unbefugte Offenlegung von Daten zu verhindern. Es liege weder ein Datenschutzverstoß vor, noch sei es unterlassen worden, eine technische Schwachstelle zu schließen. Es seien lediglich öffentlich einsehbare Daten durch Dritte in Form des Scraping abgerufen worden, was nach den Nutzungsbedingungen von P. untersagt gewesen sei. Die Möglichkeit, die Daten des P.-Profils einzusehen und Nutzerprofile mithilfe des CIT zu suchen, habe außerdem im Einklang mit den individuellen Privatsphäre-Einstellungen des Klägers gestanden. Die Informationen über die Möglichkeiten der Anpassung der Suchbarkeit und Zielgruppenauswahl seien umfassend und hinreichend transparent erfolgt, sodass ein Verstoß gegen die Art. 13 und 14 DS-GVO nicht vorliege. Die Beklagte ist weiter der Ansicht, auch nicht gegen die Pflicht zum Datenschutz durch Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen gemäß Art. 25 DS-GVO verstoßen zu haben, indem sie geeignete technische und organisatorische Maßnahmen implementiert habe. Eine Verletzung von Benachrichtigungs- und Meldepflichten nach Art. 34, 33 DS-GVO liege nicht vor, da sie zu einer solchen Meldung nicht verpflichtet gewesen sei. Darüber hinaus erfasse der Schutzbereich des Art. 82 DS-GVO keine Verstöße gegen Art. 13, 14, 15, 24, 25 und 34 DS-GVO.
23Im Übrigen sei kein Zusammenhang zwischen etwaigen Phishing-Nachrichten und dem Scraping-Sachverhalt erkennbar. Der Auskunftsanspruch des Klägers sei mit dem Schreiben vom 17.09.2021 erfüllt worden.
24Die Kammer hat den Kläger im Rahmen der mündlichen Verhandlung persönlich angehört. Wegen der Ausführungen des Klägers wird auf das Protokoll der mündlichen Verhandlung vom 17.05.2023 verwiesen. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen verwiesen.
25Entscheidungsgründe
26Die Klage ist hinsichtlich der Unterlassungsanträge unzulässig, im Übrigen jedenfalls unbegründet.
27I.
281.
29Der Antrag zu Ziff. 1 ist hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO. Insoweit die Beklagte einwendet, dass sich der Kläger auf eine Vielzahl vermeintlicher Verstöße gegen die DS-GVO stütze, sodass der Klage mindestens zwei separate und eigenständige Streitgegenstände zugrunde liegen würden, und der Kläger versäumt habe, zu konkretisieren, in welchem Verhältnis jeder der unterstellten Schäden den geltend gemachten Ersatzanspruch tragen solle, dringt er hiermit nicht durch. Eine hinreichende Konkretisierung nahm der Kläger jedenfalls mit Schriftsatz vom 20.10.2022 vor. In diesem führte er aus, dass er einen immateriellen Schadensersatz für Datenschutzverstöße im Zusammenhang mit einem Datenleck verlangt und für die zeitlich danach liegende unzureichende Auskunft einen weiteren Schadensersatz in gleicher Höhe.
302.
31Es kann dahinstehen, ob das erforderliche Feststellungsinteresse nach § 256 ZPO besteht. Ist die Klage unbegründet, unterliegt sie unabhängig von einem bestehenden Feststellungsinteresse der Abweisung (vgl. Greger, in: Zöller, § 256, Rn. 7).
323.
33a)
34Der Antrag zu Ziff. 3 a) ist unzulässig, da er nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO ist. Unterlassungsanträge müssen möglichst konkret gefasst sein, damit für Rechtsverteidigung und Vollstreckung klar ist, worauf sich das Verbot erstreckt. Sie dürfen nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts nicht klar umrissen ist, der Beklagte sich deshalb nicht hinreichend verteidigen kann und dem Vollstreckungsgericht die Entscheidung darüber überlassen wird, was dem Beklagten verboten ist (vgl. BGH, Urt. v. 20.06.2013 – I ZR 55/12, Rn. 12). Die bloße Wiedergabe unbestimmter Tatbestandsmerkmale der verletzten Rechtsnorm genügt nicht (vgl. Greger, in: Zöller, § 253, Rn. 13b). Der verwandte Begriff „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ ist auslegungsbedürftig, da die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen einem steten Wandel unterliegen. Auslegungsbedürftige Begriffe sind zwar nicht schlechthin unzulässig. Sie können hingenommen werden, wenn über den Sinngehalt der verwendeten Begriffe oder Bezeichnungen keine Zweifel bestehen. Dies gilt aber nicht, wenn zwischen den Parteien Streit besteht, ob das beanstandete Verhalten darunterfällt, weil sonst der im Erkenntnisverfahren beizulegende Streit ins Vollstreckungsverfahren verlagert würde (vgl. BGH, Urt. v. 01.12.1999 – I ZR 49/97 mwN).
35So liegt der Fall im vorliegenden Verfahren, da zwischen den Parteien Streit darüber besteht, ob die von der Beklagten ergriffenen Maßnahmen die nach „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ gegen Scraping darstellten. Eine andere Bewertung ergibt sich auch nicht aus dem Gebot der Gewährleistung eines effektiven Rechtsschutzes (vgl. demgegenüber a.A. LG Kiel, Urt. v. 12.01.2023 – 6 O 154/22, Rn. 35; LG Essen, Urt. v. 10.11.2022 – 6 O 111/22, Rn. 55, LG Gießen, Urt. v. 03.11.2022 – 5 O 195/22, Rn. 24). Das Gebot der Gewährung effektiven Rechtsschutzes kann nicht zu einer Zulässigkeit eines derart unbestimmten Unterlassungsantrages führen. Es ist vorhersehbar, dass hier das Erkenntnisverfahren in das Vollstreckungsverfahren verlagert wird. Eine hinreichende Bestimmtheit ergibt sich auch nicht aus der Heranziehung der Klageschrift. Denn im vorliegenden Fall vermochte der Kläger bisher nicht darzulegen, welche konkreten Anforderungen der „Stand der Technik“ an mögliche Sicherheitsmaßnahmen stellt. Es bliebe damit in diesem Verfahren bei einer Titulierung vollkommen unklar, welche konkreten Maßnahmen die Beklagte zu ergreifen hat, um nicht gegen das Unterlassungsgebot zu verstoßen. Da dem Kläger zudem kein Anspruch auf Einhaltung aller nach dem Stand der Technik möglichen, sondern nur der zur Verhinderung des Scrapings ausreichenden Schutzmaßnahmen zusteht, ist auch nicht erkennbar, dass dem Kläger die Gewährung effektiven Rechtsschutzes versagt wird (vgl. LG Köln, Urt. v. 31.05.2023 – 28 O 138/22, Rn. 45).
36b)
37Darüber hinaus fehlt dem Kläger hinsichtlich des Antrages zu Ziff. 3 a) das Rechtsschutzbedürfnis. Ein Rechtschutzbedürfnis ist gegeben, wenn der Rechtssuchende ein berechtigtes Interesse daran hat, gerichtliche Hilfe in Anspruch zu nehmen, d.h. sein Ziel nicht auf einem einfacheren, billigeren Weg erreichen kann.
38Der Kläger kann durch Anpassung der Einstellungen in seinem Konto die Suchbarkeit über die Telefonnummer ändern und auf die Option „Nur ich“ bzw. „Freunde“ einschränken. Dies würde für den Fall eines künftigen Scraping-Vorfalls durch unbekannte Dritte verhindern, dass die personenbezogenen Daten des Klägers (insb. seine Mobilfunknummer) durch eine Software zum Importieren von Kontakten zugänglich gemacht werden. Dies stellt sowohl einen einfacheren als auch einen billigeren Weg dar, um zu verhindern, dass unbefugten Dritten über das CIT personenbezogene Daten des Klägers zugänglich gemacht werden. Das Interesse des Klägers daran, mittels seiner Telefonnummer durch den CIT durch nicht mit ihm vernetzte Personen gefunden zu werden, stellt auch kein anerkennenswertes rechtliches Interesse dar. Die Nutzung des Kontaktimporttools ist für die Nutzung der Dienste der Beklagten nicht notwendig (vgl. LG Baden-Baden, Urt. v. 09.03.2023 – 3 O 248/22).
394.
40Auch der Antrag zu Ziff. 3b) ist nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO. Er nimmt die konkrete Verletzungshandlung nicht hinreichend in Bezug. So ergibt sich aus dem Antrag nicht, auf welcher Grundlage der Kläger eine Einwilligung zur Verarbeitung seiner Telefonnummer erteilte. Diese Nutzungsbedingungen bzw. Informationen des Klägers, welche die „unübersichtlichen und unvollständigen Informationen“ darstellen sollen, sind als Teil der konkreten Verletzungshandlung in den Antrag aufzunehmen. So besteht keine hinreichende Klarheit für das Vollstreckungsgericht, welche Informationen „unübersichtlicher und unvollständiger“ Natur sind.
41II.
421.
43Dem Kläger steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes in Höhe von mindestens 1.000 € gem. Art. 82 Abs. 1 DS-GVO zu. Nach Art. 82 Abs. 1 DS-GVO steht jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, ein Anspruch auf Schadenersatz gegen den Verantwortlichen zu. Im Streitfall macht der Kläger Ersatz eines behaupteten immateriellen Schadens geltend.
44a)
45Der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO erfasst die Verletzung von Auskunftsansprüchen und Informationspflichten nicht (vgl. LG Essen, Urt. v. 10.11.2022 – 6 O 111/22, Rn. 44 ff). Gemäß Art. 2 DS-GVO umfasst der sachliche Anwendungsbereich der Verordnung die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Anknüpfungspunkt ist also eine der Verordnung nicht entsprechende Verarbeitung i.S.d. Art. 4 Nr. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Gemäß Art. 4 Nr. 2 DS-GVO ist eine Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, durch den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
46Da die Art. 13, 14, 15, 33 und 34 DS-GVO „lediglich“ Auskunftsansprüche bzw. Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung personenbezogener Daten als solche zum Gegenstand haben, können Verstöße gegen diese Vorschriften keinen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auslösen (vgl. LG Essen, Urt. v. 10.11.2022 – 6 O 111/22, Rn. 48). Dies wird durch das Urteil des EuGHs vom 04.05.2023 – C-300/21 gestützt. In diesem betont der EuGH, dass der Art. 82 DS-GVO die Haftungsregelung des Art. 82 präziseren. Er führt aus: „Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.“ (Hervorhebung diesseits) Weiter nimmt er Bezug auf die Erwägungsgründe 75, 85, 146. In diesen wird ebenfalls auf Schäden, die auf einer Datenverarbeitung beruhen, abgestellt. Da der EuGH weiter ausführt, dass nicht bei jeder Verarbeitung ein Schaden eintreten muss (vgl. EuGH Urt. v. 04.05.2023 – C- 300/21, Rn. 37), ergibt sich hieraus, dass er selbst davon ausgeht, dass die Verarbeitung von Daten jedenfalls Voraussetzung des Schadensersatzanspruchs ist.
47b)
48Es kann an dieser Stelle dahinstehen, ob die Beklagte die personenbezogenen Daten des Klägers nicht im ausreichenden Maße gegen Scraping schützte (Art. 5 lit. f), 32, 24 DS-GVO). Ebenfalls nicht entscheidungserheblich ist die Frage, ob die Voreinstellungen der Beklagten gegen das in Art. 25 DS-GVO verankerte Prinzip „Privacy by Design“ bzw. „Privacy by default“ verstoßen haben.
49c)
50Die Kammer vermochte das Vorliegen eines kausal auf diesen Verstößen beruhenden immateriellen Schadens i.S.d. Art. 82 DS-GVO nicht festzustellen.
51Voraussetzung für das Bestehen eines Schadensersatzanspruchs nach Art. 82 DS-GVO ist das Vorliegen eines Verstoßes gegen die Vorschriften der DS-GVO, eines Schadens sowie eines Kausalzusammenhangs zwischen dem Verstoß und dem geltend gemachten Schaden (vgl. EuGH, Urt. v. 04.05.2023 – C-300/21). Der Schaden liegt also nicht in der rechtswidrigen Informationsverarbeitung selbst, sondern muss sich von ihr unterscheiden und kausal auf diese zurückgehen. Der Kläger hat dazu einen konkreten – auch immateriellen – Schaden darzulegen. Der Begriff soll zur Gewährung eines wirksamen Ersatzes nach dem Erwägungsgrund 146 S. 3 weit ausgelegt werden. Beispielhaft aufgezählt werden folgende Nichtvermögens- und Vermögensschäden: Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugte Aufhebung der Pseudonymisierung oder andere gesellschaftliche Nachteile, die an sich schon ein immaterieller Schaden sind, sich zudem zu einem materiellen Schaden verwirklichen können; des Weiteren finanzielle Verluste oder andere erhebliche wirtschaftliche Nachteile (Erwägungsgründe 75, 85). Eine Erheblichkeitsschwelle muss dabei nicht überschritten werden (EuGH, Urt. v. 04.05.2023 – C-300/21). Der Schaden muss auch wirklich „erlitten“ sein (ErwGr. 146 S. 6). Es muss ein realer und sicherer emotionaler Schaden eingetreten sein. Empirisch führt nämlich jeder Verstoß gegen eine Datenschutzvorschrift zu einer negativen Reaktion der betroffenen Person. Nicht jeder Datenschutzverstoß soll jedoch einen Schadensersatzanspruch auslösen. Ein immaterieller Schadensersatz für ein bloßes Gefühl des Unwohlseins käme einer Entschädigung ohne Schaden gleich (GA T., Schlussantrag vom 27.04.2023 – C- 340/21, Rn. 81 f). Dass nicht alle negativen Folgen eines Verstoßes gegen die DS-GVO einen immateriellen Schaden i.S.d. Art. 82 darstellen, ergibt sich auch aus den Ausführungen des EuGHs, dass das Nichtbestehen einer Erheblichkeitsschwelle nicht bedeute, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden i.S.d. Art. 82 darstellen (vgl. EuGH, Urt. v. 04.05.2023 – C – 300/21, Rn. 50). Die Kammer schließt sich dabei den überzeugenden Ausführungen des Generalanwalts N. an. Dieser stellt entscheidend darauf ab, dass es sich bei dem immateriellen Schaden nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen, aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person sowie auf die Art der betroffenen Daten und die Bedeutung, die die Daten im Leben des Klägers haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen mit der Datenverletzung verbundenen Beeinträchtigung hat (vgl. GA T., Schlussantrag vom 27.04.2023 – C- 340/21, Rn. 83 f)
52aa)
53Dass der Kläger einen derart erheblichen Kontrollverlust über seine Daten erlitten hat, dass er in einem Zustand großen Unwohlseins und Sorge über den möglichen Missbrauch der Daten verblieb, hat sich im Rahmen der persönlichen Anhörung des Klägers nicht bestätigt. Die Ausführungen des Klägers im Rahmen der persönlichen Anhörung gemäß § 141 ZPO sind grundsätzlich als Streit- und nicht als Beweisstoff zu werten. Die Kammer ist nach dem Grundsatz der freien Beweiswürdigung nach § 286 Abs. 1 1 ZPO aber gehalten, im Rahmen der Würdigung des gesamten Inhalts der Verhandlungen und des Ergebnisses einer etwaigen Beweisaufnahme bei der Bildung seiner Überzeugung auch die Parteierklärung, auch wenn sie außerhalb einer förmlichen Parteivernehmung erfolgt, zu berücksichtigen.
54Vielmehr hat die Anhörung ergeben, dass der Kläger dem möglichen Datenverlust gleichgültig gegenüberstand. Er hat ausgeführt, dass er sich, nachdem er zunächst von dem Datenleak erfahren habe, gedacht habe „Who cares“ – zu deutsch „Wen interessiert das?“. Es liegt nahe, dass eine Person, die einen Kontrollverlust über ihre Daten befürchtet und darüber besorgt ist, zeitnah nachdem sie Informationen über das Datenleak erreichen, Maßnahmen ergreift, um die eigene Betroffenheit zu überprüfen. Solche Maßnahmen ergriff der Kläger jedoch erst nachdem er ein erhöhtes Aufkommen von Spam-Anrufen bzw. SMS bemerkt haben will. Daraufhin habe er ein X.Video seiner Prozessbevollmächtigten gesehen und die Betroffenheit seiner Telefonnummer kontrolliert. Gleichwohl hat er auch hiernach keine Besorgnis über einen etwaigen Kontrollverlust oder Missbrauch seiner Daten geschildert. Vielmehr nutzt er seine Telefonnummer unverändert weiter z.B. im Rahmen der Zwei-Faktor-Identifizierung.
55bb)
56Es steht nicht zur Überzeugung der Kammer fest, dass der Kläger vermehrt durch Spam-Anrufe und Nachrichten belästigt wird (1) und dies kausal auf die behaupteten Verstöße der Beklagten gegen Art. 24, 25, 32 DS-GVO zurückzuführen ist (2). Ob der vermehrte Erhalt von Spam-Nachrichten und Anrufen einen immateriellen Schaden im Sinne der vorstehenden Ausführungen darstellt, bedarf deshalb keiner Entscheidung.
57(1)
58Zum einen verbleiben der Kammer Zweifel, dass es ab April 2021 tatsächlich zu einem erhöhten Aufkommen an Spam-Anrufen und Nachrichten bei dem Kläger gegenüber den vorhergehenden Monaten gekommen ist. Der Kläger hat geschildert, dass ihm nachdem er von dem Datenleck erfahren habe, aufgefallen sei, dass er vermehrt Spam-Anrufe bzw. Nachrichten erhalte. Er habe auf solche besonders geachtet, nachdem er auf den Vorfall aufmerksam geworden sei. Vor dem Datenleak habe er ca. einen Spam-Anruf im Monat erhalten. Nunmehr seien es deutlich mehr – nämlich im September drei, im November eine, im Januar vier, im Februar eine und im April 8 Spam-Nachrichten. Die Behauptungen zur Frequenz der Spam-Nachrichten im April 2021 lassen sich insbesondere mit der vorgelegten Anlage K3 (Bl. 42 Anlagenband KV) in Einklang bringen. Die Anzahl der vorgetragenen Spam-Nachrichten und Anrufe erscheint der Kammer für eine im Internet aktive Person nicht außergewöhnlich hoch. Der Kläger hat außerdem angegeben, bereits zuvor von Spam-Anrufen und Nachrichten betroffen gewesen zu sein. Als gerichtsbekannt kann unterstellt werden, dass die Anzahl an Spam-Nachrichten und Anrufen einer stetigen Fluktuation unterliegt. Es ist nicht ausgeschlossen, dass die Wahrnehmungen des Klägers dadurch beeinflusst worden sind, dass er von dem Datenleak erfahren hat und - nach seiner eigenen Darstellung - besonders auf solche Belästigungen geachtet habe. Während solche Nachrichten im Alltag oftmals kurz wahrgenommen und sodann gelöscht werden, erscheint es nicht ausgeschlossen, dass bei einer besonderen Fokussierung auf die eigene Betroffenheit, diese verstärkt wahrgenommen werden.
59(2)
60Zum anderen bestehen erhebliche Zweifel daran, dass die vorgetragene verstärkte Belästigung durch Spam-Anrufe und Nachrichten kausal auf die der Beklagten vorgeworfenen Verstöße gegen die DS-GVO zurückzuführen ist.
61§ 286 ZPO verlangt den sog. Vollbeweis. Erforderlich und ausreichend ist ein für das praktische Leben brauchbarer Grad von Gewissheit, der Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen (BGH, Urt. v. 19.07.2019 – V ZR 25717, Rn. 27). Für den Beweis des Kausalzusammenhangs bedarf es der vollen richterlichen Überzeugung. Tatsachen sind nicht schon dann als erwiesen anzusehen, wenn eine überwiegende Wahrscheinlichkeit besteht. Für den erforderlichen Kausalzusammenhang besteht auch kein Anscheinsbeweis. Ein Anscheinsbeweis liegt nur bei einem „typischen“ Geschehensablauf vor, der nach der Lebenserfahrung mit sehr großer Wahrscheinlichkeit auf eine bestimmte Ursache oder Folge hinweist und derart gewöhnlich und üblich erscheint, dass die besonderen individuellen Umstände an Bedeutung verlieren. Eine so große Wahrscheinlichkeit, dass das vermeintlich erhöhte Aufkommen von Spam-Anrufen und Nachrichten ab April 2021 auf den streitgegenständlichen Verstößen der Beklagten gegen die DS-GVO beruht, besteht nicht. Hiergegen spricht die Häufigkeit von Datenverlusten und Hacking im Internet, sodass eine konkrete Zuordnung von Spam auf einen einzelnen Datenverlust Schwierigkeiten bereitet. Die Kammer verkennt dabei nicht, dass der Beweis des Kausalzusammenhangs zwischen einem Datenschutzverstoß und der Belästigung durch Spam-Anrufe den Kläger vor erhebliche Schwierigkeiten stellt. Es ist aber auch zu berücksichtigen, dass der EuGH ausdrücklich das Vorliegen eines Kausalzusammenhangs zwischen dem Verstoß gegen die DS-GVO und dem Schaden gefordert hat. Die konkreten Abläufe des Scraping-Sachverhalts sind jedoch nicht bekannt. Die Medien berichteten zwar ab Anfang April 2021 über den Vorfall. Das Scraping soll jedoch bereits in den Jahren 2018-2019 erfolgt sein. Unklar ist, was in der Zwischenzeit mit den Daten geschah und ob zuvor bereits eine Veröffentlichung erfolgte. Es erscheint wenig wahrscheinlich, dass die Daten erstmals beinahe zwei Jahre nach dem Scraping-Vorfall kommerzialisiert bzw. öffentlich gemacht worden sind, da davon auszugehen ist, dass aktuellere Daten einen höheren Marktwert haben dürften. Es verbleiben Zweifel, dass ein Anstieg von Spam-Nachrichten im April 2021 und damit zwei Jahre nach dem Scraping-Vorfall mit einer für die Verurteilung erforderlichen Wahrscheinlichkeit auf diesen Scraping-Vorfall zurückzuführen ist. Dabei verkennt die Kammer nicht, dass im April 2021 der Datensatz womöglich (erneut) eine erhöhte Aufmerksamkeit durch die Medienberichte erlangt haben wird. Weitere Zweifel ergeben sich im konkreten Fall daraus, dass der Kläger bereits zuvor von Spam-Nachrichten und Anrufen betroffen gewesen ist. Dies auch in einem nicht unerheblichen Umfang. Er war außerdem, wie er im Rahmen der persönlichen Anhörung schilderte, auch Opfer anderer Datenverluste, bei dem eine Person seine D.-Zugangsdaten und B.-Daten erlangte. Seine Telefonnummer nutzt er bei zahlreichen anderen Plattformen (z.B. F., E., H.). Aufgrund der Häufigkeit von Datenleaks und Hacking erscheint es nicht ausgeschlossen, dass seine Daten inkl. der Telefonnummer bereits aufgrund anderer Vorfälle im Internet zirkulierten und die konkreten Absender der Spam-Nachrichten und Anrufe auf diese Datenpakete zurückgriffen.
622.
63Der Kläger hat keinen Anspruch auf Feststellung einer Ersatzpflicht künftiger materieller oder immaterieller Schäden. Mangels Vorliegen eines kausal auf den Verstößen gegen die DS-GVO beruhenden Schadens ist der Eintritt künftiger kausaler Schäden nicht hinreichend wahrscheinlich.
643.
65Der Kläger hat keinen Anspruch gegen die Beklagte auf Erteilung der Auskunft gem. Art. 15 Abs. 1 DS-GVO.
66Nach Art. 15 Abs. 1 lit. a) und c) hat die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und über die a.) Verarbeitungszwecke und über c.) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen.
67Erfüllt ist der Auskunftsanspruch, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen (vgl. BGH, Urteil vom 03.09.2020 – III ZR 136/18, juris, Rn. 43).
68Hinsichtlich der im Schreiben vom 17.09.2021 (Anlage B16) angegebenen Datenpunkte ist der Anspruch durch Erfüllung erloschen (vgl. § 362 Abs. 1 BGB). In diesem teilte die Beklagte nämlich mit, welche Datenpunkte abgegriffen worden seien. Dadurch sollte auch erkennbar die gewünschte Auskunft erteilt werden.
69Insoweit der Kläger einwendet, dass die Auskunft im Hinblick auf den Empfänger der Daten nach Art. 15 Abs. 1 lit.c DS-GVO nicht erfüllt wurde, so ist der Beklagte die Beantwortung dieser Auskunft unmöglich i.S.d. § 275 Abs. 1 BGB. Dies liegt in der Natur des Scraping als unbefugtes „Sammeln“ der Daten von außen begründet. Selbiges gilt für die konkretere Auskunftserteilung hinsichtlich des zeitlichen Abrufens der Datenpunkte.
704.
71Der Anspruch auf Ersatz der vorgerichtlichen Rechtsanwaltskosten in Höhe von 354,62 € besteht weder nach Art. 82 Abs. 1 DS-GVO noch nach §§ 280, 286 BGB. Der Kläger vermochten den Anspruch der Höhe nach nicht schlüssig darzulegen. Unklar ist bereits, weshalb mit dem Klageantrag die Zahlung in Höhe von 354,62 € geltend gemacht wird, wohingegen im vorgerichtlichen Schreiben die Zahlung von 887,03 € verlangt wird. Die Ansprüche bestanden zudem mit Ausnahme des geltend gemachten Auskunftsanspruchs nicht. Es ist nicht dargetan, dass sich die Beklagte mit der Erteilung der Auskunft nach Art. 15 DS-GVO im Verzug befand.
72III.
73Die prozessualen Nebenentscheidungen beruhen auf §§ 91, 708 Nr. 11, 711 ZPO.
74Der Streitwert wird auf 7.000,00 EUR festgesetzt.
75Rechtsbehelfsbelehrung:
76A) Gegen dieses Urteil ist das Rechtsmittel der Berufung für jeden zulässig, der durch dieses Urteil in seinen Rechten benachteiligt ist,
771. wenn der Wert des Beschwerdegegenstandes 600,00 EUR übersteigt oder
782. wenn die Berufung in dem Urteil durch das Landgericht zugelassen worden ist.
79Die Berufung muss innerhalb einer Notfrist von einem Monat nach Zustellung dieses Urteils schriftlich bei dem Oberlandesgericht Düsseldorf, Cecilienallee 3, 40474 Düsseldorf, eingegangen sein. Die Berufungsschrift muss die Bezeichnung des Urteils (Datum des Urteils, Geschäftsnummer und Parteien) gegen das die Berufung gerichtet wird, sowie die Erklärung, dass gegen dieses Urteil Berufung eingelegt werde, enthalten.
80Die Berufung ist, sofern nicht bereits in der Berufungsschrift erfolgt, binnen zwei Monaten nach Zustellung dieses Urteils schriftlich gegenüber dem Oberlandesgericht Düsseldorf zu begründen.
81Die Parteien müssen sich vor dem Oberlandesgericht Düsseldorf durch einen Rechtsanwalt vertreten lassen, insbesondere müssen die Berufungs- und die Berufungsbegründungsschrift von einem solchen unterzeichnet sein.
82Mit der Berufungsschrift soll eine Ausfertigung oder beglaubigte Abschrift des angefochtenen Urteils vorgelegt werden.
83B) Gegen die Streitwertfestsetzung ist die Beschwerde an das Landgericht Düsseldorf statthaft, wenn der Wert des Beschwerdegegenstandes 200,00 EUR übersteigt oder das Landgericht die Beschwerde zugelassen hat. Die Beschwerde ist spätestens innerhalb von sechs Monaten, nachdem die Entscheidung in der Hauptsache Rechtskraft erlangt oder das Verfahren sich anderweitig erledigt hat, bei dem Landgericht Düsseldorf, Werdener Straße 1, 40227 Düsseldorf, schriftlich in deutscher Sprache oder zur Niederschrift des Urkundsbeamten der Geschäftsstelle einzulegen. Die Beschwerde kann auch zur Niederschrift der Geschäftsstelle eines jeden Amtsgerichtes abgegeben werden. Ist der Streitwert später als einen Monat vor Ablauf dieser Frist festgesetzt worden, so kann die Beschwerde noch innerhalb eines Monats nach Zustellung oder formloser Mitteilung des Festsetzungsbeschlusses eingelegt werden.
84A. |
Dr. V. |
S. |
Verkündet am 19.07.2023U., Justizbeschäftigteals Urkundsbeamtin der Geschäftsstelle