Landgericht Köln, 28 O 198/22

Tatbestand

Die Beklagte betreibt das soziale Netzwerk G.. Der Kläger unterhält auf diesem ein Nutzerkonto. Die Plattform ermöglicht es den Nutzern, persönliche Profile für sich zu erstellen und diese mit Freunden zu teilen. Bei der Registrierung müssen die Nutzer bestimmte Informationen angeben, die als Teil des Nutzerprofils immer öffentlich einsehbar sind. Dazu gehören Name, Geschlecht und Nutzer-ID. Im Rahmen der Registrierung wird der Nutzer unter anderem auf die Datenrichtlinie der Beklagten hingewiesen und es wird ein Link zu dieser bereitgestellt. Hinsichtlich des Inhalts der Datenrichtlinie wird auf die Anlage B9 verwiesen.

Neben den immer einsehbaren Pflichtangaben können die Nutzer in ihrem Profil weitere Daten zu ihrer Person angeben und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf diese Daten zugreifen können. Die Beklagte stellt hierfür Privatsphäre-Einstellungen zur Verfügung, mit denen die Nutzer bestimmen können, inwieweit sie Informationen, die sie zur Verfügung stellen, öffentlich einsehbar machen möchten. Die Privatsphäre-Einstellungen sind über den Abschnitt „Privatsphäre“ des Haupteinstellungsmenüs im Konto des Nutzers und auf weiteren Wegen zu erreichen und umfassen insbesondere die Instrumente der sog. Zielgruppenauswahl und der Suchbarkeits-Einstellungen.

Im Rahmen der Zielgruppenauswahl kann der Nutzer durch individuelle Anpassung bestimmen, wer bestimmte Datenelemente (zum Beispiel die Telefonnummer, den Wohnort, den Geburtstag und die E-Mail-Adresse) im G.-Profil des Nutzers sehen kann. So können Nutzer beispielsweise anstelle der Zielgruppenauswahl „Öffentlich“ festlegen, dass nur ihre „Freunde“ auf der G.-Plattform oder „Freunde von Freunden“ die jeweiligen Informationen sehen können. Soweit keine individuellen Einstellungen gewählt werden, richtet sich die Einsehbarkeit der Informationen nach den Standard-Einstellungen. Die Zielgruppenauswahl für die Telefonnummer war im streitgegenständlichen Zeitraum standardmäßig auf „Freunde“ voreingestellt.

Die Suchbarkeits-Einstellung ermöglicht es Nutzern unter anderem, festzulegen, ob ihr Nutzerkonto auf G. anhand der von ihnen angegebenen Telefonnummer gefunden werden kann. Im Rahmen der Suchbarkeits-Einstellung war es im streitgegenständlichen Zeitraum zum einen möglich, die Option „Alle“ zu wählen mit der Folge, dass jedermann das Profil des Nutzers unter Zuhilfenahme der Telefonnummer finden konnte, oder aber den Kreis derjenigen Nutzer, die das Profil finden konnten, auf „Freunde von Freunden“ oder „Freunde“ zu begrenzen. Dabei war die Suchbarkeits-Einstellung standardmäßig auf „Alle“ voreingestellt. Seit Mai 2019 steht Nutzern nunmehr zusätzlich auch die Option „Nur ich“ zur Verfügung, die ausschließt, dass eine andere Person das entsprechende Profil über die Telefonnummer finden kann.

Wenn die Suchbarkeits-Einstellung eines Nutzers im Hinblick auf die Telefonnummer auf „Alle“ gestellt war, erlaubte es das von der Beklagten implementierte sog. „Contact-Importer-Tool“ (CIT) im streitgegenständlichen Zeitraum jedem G.-Nutzer, das Profil eines anderen Nutzers mit Hilfe der von diesem hinterlegten Telefonnummer zu finden. Hierzu konnten Nutzer Kontakte von Mobilgeräten auf G. hochladen, um mit Hilfe der Telefonnummer die jeweiligen Nutzer zu finden. Dies war auch dann möglich, wenn die Zielgruppenauswahl des jeweiligen Nutzers im Hinblick auf die Telefonnummer nicht auf „Öffentlich“ gestellt war.

Hinsichtlich des Kontos des Klägers war die Suchbarkeits-Einstellung im Hinblick auf die Telefonnummer im streitgegenständlichen Zeitraum auf die Standard-Einstellung „Alle“ gestellt (Anlage B17).

Im „Hilfebereich“ des Nutzerkontos stellte die Beklagte ihren Nutzern im streitgegenständlichen Zeitraum Informationen über die Privatsphäre-Einstellungen zur Verfügung. Unter anderem wurde erläutert, wie Nutzer die allgemeinen Informationen in ihrem Profil bearbeiten und wie sie durch die Anpassung ihrer Zielgruppenauswahl bestimmen können, wer auf die Profil-Informationen zugreifen kann (Anlage B3 und B4). Auch wurde erläutert, wie Nutzer bestimmen können, wer ihr Nutzerkonto finden kann (Anlage B5). Ferner wurden die Nutzer im Hilfebereich über die Verwendung und weitere Einstellungsmöglichkeiten bezüglich der Telefonnummer informiert. So wird erläutert, dass die Telefonnummer möglicherweise zu Zwecken der „Passwort-Vergessen-Funktion“, zum Schutze des Kontos im zweistufigen Authentifizierungsverfahren und zum Vorschlag anderer Nutzer, die der Nutzer kennen könnte, verwendet wird (Anlage B6). Weiterhin wurden Nutzer darüber informiert, dass sie ihre Telefonnummer jederzeit zu ihrem G.-Konto hinzufügen und entfernen können (Anlage B7).

Anfang April 2021 wurden Daten von ca. 533 Millionen G.-Nutzern aus 106 Ländern im Internet öffentlich verbreitet. Bei den Datensätzen handelt es sich um Telefonnummer, G. ID, Name, Vorname, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus und weitere korrelierende Daten. Darunter befanden sich auch personenbezogene Daten des Klägers. Die veröffentlichten Daten waren von unbekannten Dritten im Wege des sog. Scrapings im Zeitraum von Januar 2018 bis September 2019 bei der Beklagten erlangt worden. Charakteristisch für ein Datenscraping ist, dass Funktionen verwendet werden, die für die ordnungsgemäße Nutzung entworfen wurden und bei Nutzern beliebt sind, um die auf einer Website oder App verfügbaren Informationen einsehen zu können. Das Datenscraping unterscheidet sich insofern von der ordnungsgemäßen Nutzung einer Website oder App, als dass Scraper Verfahren einsetzen, um in großem Umfang Daten mit automatisierten Tools und Methoden zu sammeln, was nach den Nutzungsbedingungen von G. untersagt war und ist. Die Beklagte ist nicht im Besitz einer Kopie der Rohdaten, welche die durch Scraping abgerufenen Daten enthalten.

Die genaue Vorgehensweise der Scraper ist im Einzelnen zwischen den Parteien streitig. Es ist davon auszugehen, dass die Scraper mithilfe des Contact-Importer-Tools Kontakte hochluden, welche mögliche Telefonnummern von Nutzern enthielten, um so festzustellen, ob diese Telefonnummern mit einem G.-Konto verbunden sind. Soweit die Scraper feststellen konnten, dass eine Telefonnummer mit einem G.-Konto (in Übereinstimmung mit der jeweiligen Suchbarkeits-Einstellung des Nutzers) verknüpft war, kopierten sie die auf dem Profil öffentlich einsehbaren Informationen aus dem betreffenden Nutzerprofil und fügten die Telefonnummer – die den Scrapern insoweit nunmehr auch dann bekannt wurde, wenn sie nicht bereits im Rahmen der Zielgruppenauswahl als „öffentlich“ verfügbar eingestellt war – den abgerufenen, öffentlich einsehbaren Daten sodann hinzu.

Die Beklagte informierte weder die zuständige Datenschutzbehörde, die Y. L. J. Commission, noch den Kläger über den Vorfall.

Mit anwaltlichem Schreiben vom 05.05.2022 (Anlage KGR 4) forderte der Kläger die Beklagte auf, Schadensersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 2.000,00 Euro zu zahlen. Ferner forderte er u.a. Unterlassung der zukünftigen Zugänglichmachung seiner Daten an unbefugte Dritte und Auskunft darüber, welche konkreten Daten im April 2019 abgegriffen und im Nachgang veröffentlicht wurden. Mit anwaltlichem Schreiben vom 03.06.2022 (Anlage K5 = Anlage B16) teilte die Beklagte dem Kläger einen Link zu Seite der Beklagten mit, auf der die über einen individuellen Nutzer gespeicherten Daten eingesehen werden können, im Übrigen wies die Beklagte die geltend gemachten Ansprüche zurück.

Der Kläger behauptet von dem Datenschutzvorfall betroffen zu sein. In der u.a. im C. für jedermann abrufbaren Datenbank seien nachfolgende personenbezogene Daten der Klägerseite enthalten: Telefonnummer, G. Nutzer ID, Vorname, Nachname, Land, Geschlecht.

Er ist der Ansicht, dass ihm ein Anspruch auf Schadensersatz gemäß Art. 82 DSGVO zustehe. Die Beklagte habe als Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO die datenschutzrechtlichen Vorschriften mehrfach verletzt. Die Beklagte habe gegen Art. 6 DSGVO verstoßen, indem sie unrechtmäßig personenbezogene Daten der Klägerseite verarbeitet habe. Die Beklagte habe unbefugten Dritten personenbezogene Daten der Klägerseite zugänglich gemacht, indem sie diese über das CIT an Unbefugte übermittelte habe. Die Beklagte verletzte zudem das informationelle Selbstbestimmungsrecht, indem sie eine unrechtmäßige Übermittlung oder Offenlegung der Daten der Klägerseite ausgeführt habe. Weiterhin habe die Beklagte im Jahr 2019 die personenbezogenen Daten ihrer Nutzenden, so auch die der Klägerseite, nicht den Anforderungen der DSGVO entsprechend geschützt. Die Beklagte habe ihn zudem nicht im ausreichenden Maße über die Verarbeitung ihn betreffender personenbezogener Daten informiert und aufgeklärt. Zudem habe sie die Pflicht angemessener technischer und organisatorischer Maßnahmen verletzt, Art. 24, 32 DSGVO. Weiter sei auch eine Verletzung der Pflicht zu datenschutzfreundlichen Voreinstellungen gegeben, Art. 25 DSGVO. Da die Beklagte darüber hinaus weder die Klägerseite noch die zuständige Aufsichtsbehörde, nämlich die Y. L. J. Commission, über den Datenschutzverstoß informiert hat, sei sie somit ihrer Meldepflicht nach Art. 33 DS-GVO und Benachrichtigungspflicht nach Art. 34 DS-GVO nicht nachgekommen.

Der Kläger ist der Auffassung, ihm sei durch die Datenschutzverstöße ein konkreter ersatzfähiger Schaden entstanden. Hierzu behauptet er, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und verbleibe in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch seiner Daten. Dies manifestierte sich unter anderem in einem verstärkten Misstrauen gegenüber unerwünschten Kontaktversuchen (etwa durch E-Mails, Anrufe und/oder SMS von unbekannten Nummern). Er habe Anrufe mit Vorwahlen aus afrikanischen oder z.T. osteuropäischen Ländern erhalten und sei bei dem Versuch, die Anrufer zu erreichen, immer auf einem Anrufbeantworter „gelandet“. Er habe sich zudem mit dem Datenleak auseinander setzen, den Sachverhalt ermitteln, sich um eine Auskunft der Beklagten kümmern und weitere Maßnahmen ergreifen müssen.

Er ist der Ansicht, dass er zudem einen Anspruch auf Ersatz zukünftiger Schäden habe. Zum jetzigen Zeitpunkt könne noch nicht abgesehen werden, welche dritten Parteien Zugriff auf die Daten der Klägerseite erhalten hätten und für welche konkreten kriminellen Zwecke die Daten missbraucht worden seien und würden.

Darüber hinaus stehe der Klägerseite ein Schadensersatzanspruch in Höhe von 1.000,00 EUR wegen unzulänglicher Auskunft nach Art. 82 DS-GVO zu. Die Beklagte sei dem Auskunftsverlangen nicht in ausreichendem Maße nachgekommen. Sie habe lediglich allgemein angezeigt, welche Arten von Daten sie von der Klägerseite verarbeitet. Eine konkrete Auskunft zum in Rede stehenden Datenschutzvorfall habe sie jedoch nicht erteilt. Weder sei darüber informiert worden, wer auf die Daten zugegriffen habe, noch sei aufgeklärt worden, welche Daten genau auf diesem Wege abgegriffen worden seien.

Er habe zudem einen Anspruch auf Datenauskunft gemäß Art. 15 DSGVO.

Weiter stünden dem Kläger gegen die Beklagte aus unterschiedlichen Gesichtspunkten Unterlassungsansprüche zu. Die geltend gemachten Unterlassungsansprüche ergäben sich aus zwei vertraglichen Pflichtverletzungen, nämlich einer Vertragsverletzung und einer Verletzung der durch § 241 Abs. 2 BGB normierten Rücksichts-bzw. Verschwiegenheitspflicht. Der Nutzungsvertrag und die Datenrichtlichtlinie bildeten eine vertragliche Einheit. Damit sei zu erkennen, dass datenschutzrechtliche Bestimmungen in den zwischen den Parteien bestehenden Vertrag inkorporiert worden seien und die Beklagte gegen diese verstoßen habe. Weiter stünden dem Kläger auch nach §§ 1004 analog, 823 Abs. 1 und 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO sowie Art. 32 DSGVO und Art. 13 DSGVO Unterlassungsansprüche gegen die Beklagte dergestalt zu, dass diese es unterlässt, ihre personenbezogenen Daten in Zukunft eigenmächtig zu veröffentlichen und unbefugten Dritten zugänglich zu machen sowie rechtswidrig ohne Erfüllung der Informationspflichten und ohne angemessene Sicherheitsvorkehrungen die klägerischen Daten zu verarbeiten.

Schließlich habe er einen Anspruch auf vorgerichtliche Rechtsanwaltskosten.

Der Kläger beantragt,

1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Telefonnummer (017298xxxxxxx) sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen;

2. festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden;

3. die Beklagte zu verurteilen, an ihn für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DS-GVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen;

4. die Beklagte zu verurteilen, ihm Klägerseite Auskunft über die die Klägerseite betreffenden weiteren personenbezogenen Daten zu erteilen, die durch Unbefugte erlangt werden konnten, namentlich welche Daten außer der Telefonnummer der Klägerseite durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch „Web Scraping“, die Anwendung des Kontaktimporttools oder auf andere Weise unbefugt erlangt werden konnten;

5. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zu-widerhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite (E-Mail-Adresse, Vor- und Nachname, Geschlecht, Land, G.-ID und Telefonnummer) unbefugten Dritten zugänglich zu machen, wie geschehen anlässlich des sogenannten G.-Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand;

6. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, ohne Einholung einer Einwilligung oder Erfüllung sonstiger gesetzlicher Erlaubnistatbestände zu verarbeiten;

7. die Beklagte zu verurteilen, die Klägerseite von vorgerichtlichen Rechtsanwaltskosten in Höhe von 973,66 EUR zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz freizustellen.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte ist der Ansicht, dass die Klage bereits teilweise unzulässig sei. Der Klageantrag zu Ziffer 1) sei nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO. Der Kläger mache einen Zahlungsantrag geltend, stütze das Begehren jedoch auf zwei zeitlich auseinanderfallende angebliche Verstöße und damit auf eine Vielzahl vermeintlicher Verstöße gegen die DSGVO. Auch der Klageantrag zu Ziffer 2) sei zu unbestimmt, zudem habe der Kläger kein Feststellungsinteresse gem. § 256 Abs. 2 ZPO dargelegt. Weiter sei auch der Klageantrag zu Ziffer 5) zu unbestimmt. Es werde nicht im Ansatz deutlich, welche Handlung durch die Beklagte nicht vorgenommen werden soll, um der beantragten Unterlassung gerecht zu werden, sodass dies erst im Vollstreckungsverfahren näher bestimmt werden müsste. Gleiches gelte für den Klageantrag zu Ziffer 6). Unterlassungsanträge, die sich auf die Umschreibung gesetzlicher Verbote beschränken, seien grundsätzlich zu unbestimmt und damit unzulässig.

Die Klage sei auch unbegründet.

Ein Schadensersatzanspruch bestehe insbesondere deshalb nicht, weil die Beklagte nicht gegen die DSGVO verstoßen habe. Der Kläger trage die Darlegungs- und Beweislast für seine Behauptungen, wonach die Beklagte gegen die DSGVO verstoßen habe. Sie stelle ihren Nutzern – inklusive der Klagepartei – alle in Art. 13 DSGVO festgelegten Informationen zur Datenverarbeitung zur Verfügung, die sie zum Zeitpunkt der Datenerhebung im Anwendungsbereich der Datenrichtlinie durchführe. Mithin sei kein Verstoß gegen die Transparenzpflichten der DSGVO erfolgt. Darüber hinaus habe die Beklagte alle Nutzer – einschließlich der Klagepartei – umfassend und transparent über die Möglichkeiten der Anpassung ihrer Suchbarkeits-Einstellungen und Zielgruppenauswahl informiert, die in diesem Zusammenhang regeln, wer bestimmte persönliche Informationen, die der Nutzer in seinem G.-Profil hinterlegt hat, einsehen kann. Diese Einstellungen hätten von der Klagepartei jederzeit nach ihren Wünschen angepasst werden können. Auch der Vorwurf des Verstoßes gegen die Pflicht gem. Art. 32 DSGVO, angemessene technische und organisatorische Maßnahmen zu gewährleisten, gehe ins Leere. Sie ist der Ansicht, dass der Kläger nicht dargelegt habe, dass die Maßnahmen den Anforderungen der Art. 24 und 32 DSGVO nicht genügten. Die bloße Tatsache, dass Scraping erfolgt sei, könne die Ungeeignetheit der technischen und organisatorischen Maßnahmen nicht belegen, da deren Angemessenheit ex ante und nicht ex post zu beurteilen sei. Sie behauptet, Maßnahmen getroffen zu haben, um das Risiko von Scraping zu unterbinden und ihre eigenen Maßnahmen zur Bekämpfung von Scraping kontinuierlich und als Reaktion auf die sich ständig ändernden Techniken und Strategien weiter zu entwickeln. Es sei grundsätzlich unmöglich, Scraping öffentlich einsehbarer Daten völlig zu verhindern. Es gebe allenfalls Mittel, um Scraping zu begrenzen. Da die Funktionen, welche Scraper ausnutzen, rechtmäßige, gewöhnliche Nutzerfunktionen darstellten, werde zur Begrenzung von Scraping regelmäßig nicht die gesamte zugrunde liegende Funktion beseitigt. Vielmehr würden in der Regel lediglich die Methoden, mit denen auf die maßgeblichen Funktionen zugegriffen werden kann, beschränkt. Sie habe während des relevanten Zeitraums sowohl über Übertragungsbegrenzungen, die die Anzahl von Anfragen von bestimmten Daten reduzierten, welche pro Nutzer oder von einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht werden können, als auch eine Bot-Erkennung verfügt. Zudem habe sie Captcha-Abfragen genutzt. Im Übrigen seien die durch Scraping abgerufenen Daten – soweit sie die Klagepartei betreffen und von der G.-Plattform stammen – im Einklang mit den Privatsphäre-Einstellungen der Klagepartei in ihrem G.-Profil öffentlich einsehbar gewesen, d.h. diese durch Scraping abgerufenen Daten seien nicht vertraulich gewesen. Sie ist der Ansicht, dass auch eine Melde- oder Benachrichtigungspflicht in Folge des Scraping-Sachverhalts nicht bestanden habe. Die Beklagte habe auch nicht das aus dem Allgemeinen Persönlichkeitsrecht abgeleitete Recht der Klagepartei auf informationelle Selbstbestimmung verletzt. Die Klagepartei habe auch nicht schlüssig dargelegt, inwiefern die Beklagte mit ihrer Auskunft gegen Art. 15 DSGVO verstoßen habe.

Sie ist der Ansicht, dass der Kläger keinen immateriellen Schaden erlitten habe. Der Schutzbereich des Art. 82 DSGVO erfasse keine Verstöße gegen Art. 13, 14, 15, 24, 25 und Art. 34 DSGVO. Selbst wenn der Kläger tatsächlich den behaupteten Schaden erlitten hätte, so fehle es jedenfalls an einem kausalen Zusammenhang zwischen dem Schaden und den angeblichen Pflichtverstößen der Beklagten.

Der Feststellungsantrag sei mangels Verstoßes gegen die DSGVO auch unbegründet, im Übrigen habe der Kläger nicht dargelegt, dass ein zukünftiger Eintritt eines materiellen oder immateriellen Schadens wahrscheinlich sei.

Der Unterlassungsanspruch scheitere daran, dass keine Anspruchsgrundlage für diese Forderung ersichtlich sei. Überdies beruhe der Unterlassungsanspruch auf der unzutreffenden Annahme, dass die Beklagte unbefugten Dritten Zugriff auf Nutzerdaten gewährt hätte. Vor diesem Hintergrund mangele es sowohl an einer Erstbegehungs- als auch an einer Wiederholungsgefahr.

Der Auskunftsanspruch des Klägers richte sich in erster Linie auf Datenverarbeitungen durch unbekannte Dritte, für die die Beklagte nicht verantwortlich sei. Soweit sich der Kläger mit seinem Verlangen aber berechtigterweise an die Beklagte richte, sei dieses Verlangen bereits außergerichtlich umfassend beantwortet worden.

Vorgerichtliche Anwaltskosten wären dem Kläger nur unter Verzugsgesichtspunkten zuzusprechen. Die Voraussetzungen einer Verzugshaftung seien vorliegend jedoch nicht erfüllt.

Wegen der weiteren Einzelheiten wird auf die Schriftsätze der Parteien nebst Anlagen Bezug genommen.

Entscheidungsgründe:

Die Klage ist bezüglich des Feststellungsantrags (Antrag zu 2.) und der Unterlassungsanträge (Anträge zu 5. und 6.) unzulässig und im Übrigen unbegründet. Im Einzelnen gilt Folgendes:

Der auf Zahlung von Schmerzensgeld gerichtete Antrag zu 1) ist zulässig. Dem steht nicht entgegen, dass der geltend gemachte Schmerzensgeldanspruch auf mehrere behauptete Verstöße gestützt würde. Ein Fall der unzulässigen alternativen Klagehäufung liegt nicht vor.

Ein Klageantrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des eventuell teilweisen Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird. Es genügt nicht, sich auf gesetzliche Vorschriften zu berufen, die den erhobenen Anspruch vorsehen, vielmehr müssen die sich aus den Normen ergebenden Konsequenzen im Einzelfall von der klagenden Partei bei der Formulierung ihres Klageantrags berücksichtigt werden (BGH, Urt. v. 21.11.2017 – II ZR 180/15, juris Rn. 8). Eine alternative Klagehäufung, bei der der Kläger ein einheitliches Klagebegehren aus mehreren prozessualen Ansprüchen (Streitgegenständen) herleitet und dem Gericht die Auswahl überlässt, auf welchen Klagegrund es die Verurteilung stützt, verstößt grundsätzlich gegen das Gebot des § 253 Abs. 2 Nr. 2 ZPO, den Klagegrund bestimmt zu bezeichnen (BGH a.a.O.) Inhalt und Reichweite des Klagebegehrens werden nicht allein durch den Wortlaut des gestellten Klageantrages bestimmt. Vielmehr ist der Klageantrag unter Berücksichtigung der Klagebegründung auszulegen (BGH, Urteil vom 15.6.2021 – VI ZR 576/19, juris Rn. 32; Zöller/Greger, 34. Auflage 2022, § 253 Rn. 13 m.w.N.).

Vorliegend ergibt sich aus der Klageschrift, dass dem Klageantrag zu 1) ein zusammenhängender, sich zwar auf einen längeren Zeitraum erstreckender, aber in sich abgeschlossener Lebenssachverhalt zu Grunde liegt. Denn der Schadensersatzanspruch bezieht sich nach dem Vortrag des Klägers auf die Vorgänge ab der Anmeldung des Klägers auf der G.-Plattform über das „Scraping“ seiner Daten bis hin zu einer angeblich unzureichenden Information des Betroffenen. Der Klageschrift lässt sich überdies entnehmen, dass der Schaden aufgrund eines kumulativen Zusammenwirkens der gerügten Datenschutzverstöße geltend gemacht wird, die Bezifferung des Schadens dabei indes in zulässiger Weise in das Ermessen des Gerichts gestellt wird (vgl. Zöller/Greger a.a.O., § 253 Rn. 14 f.). Der Einwand der Beklagten, es handele sich um mehrere Streitgegenstände die in einem unzulässigen Alternativverhältnis stünden, verfängt daher nicht (so auch LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818 Rn. 38; LG Paderborn, Urt. v. 19.12.2022 – 3 O 99/22, Rn. 40).

Die Klage ist unzulässig, soweit der Kläger mit dem Antrag zu 2) die Feststellung der Ersatzpflicht der Beklagten für künftige Schäden begehrt.

Der Antrag ist allerdings hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO. Dem steht nicht entgegen, dass mit der Formulierung „durch den unbefugten Zugriff Dritter“ ein unbestimmter Begriff verwendet wird. Denn der Begriff dient nur dazu, den Lebenssachverhalt zu beschreiben, auf den die vermeintlichen Ersatzansprüche des Klägers gestützt werden. Diese Umschreibung des Scraping-Geschehens im Jahr 2019 genügt aber den Bestimmtheitsanforderungen, ohne dass dafür im Vollstreckungsverfahren Überlegungen zu der Frage angestellt werden müssten, ob der Zugriff durch die Scraper „unbefugt“ erfolgte oder nicht. Der Inhalt und die Reichweite des Klagebegehrens werden nicht allein durch den Wortlaut des gestellten Antrags bestimmt, vielmehr ist dieser unter Berücksichtigung der Klagebegründung auszulegen (vgl. BGH NJW 19, 507). Aus der Klagebegründung ergibt sich vorliegend eindeutig, dass mit dem unbefugten Zugriff Dritter das Scraping-Geschehen im Jahr 2019 gemeint ist.

Dem Antrag fehlt es aber am erforderlichen Feststellungsinteresse, § 256 Abs. 1 ZPO. Nach dieser Vorschrift kann auf Feststellung des Bestehens oder Nichtbestehens eines Rechtsverhältnisses geklagt werden, wenn der Kläger ein rechtliches Interesse daran hat, dass das Rechtsverhältnis durch richterliche Entscheidung alsbald festgestellt wird. Nachdem die immateriellen Schäden des Klägers bereits Gegenstand eines gegenüber dem Feststellungs- vorrangigen Zahlungsantrages sind, kann insofern lediglich auf bislang nicht eingetretene, aber vom Kläger für die Zukunft befürchtete Vermögensschäden abgestellt werden. Insofern wäre es ausreichend, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann. Dagegen besteht ein Feststellungsinteresse (§ 256 Abs. 1 ZPO) für einen künftigen Anspruch auf Ersatz eines allgemeinen Vermögensschadens regelmäßig dann nicht, wenn der Eintritt irgendeines Schadens noch ungewiss ist (BGH, Urteil vom 15. Oktober 1992 - IX ZR 43/92, WM 1993, 251, 259 f., Urteil vom 21. Juli 2005 - IX ZR 49/02, WM 2005, 2110, Urteil vom 10. Juli 2014 – IX ZR 197/12 –Rn. 11, juris). So liegt der Fall hier. Es ist völlig ungewiss, ob der Scraping-Vorfall jemals zu einer konkreten Vermögensschädigung des Klägers führen wird. Allein die theoretische Möglichkeit, dass sich das entsprechende Risiko gerade bei dem Kläger als einem der mehr als 500 Millionen Betroffenen realisieren könnte, reicht hierfür nach Auffassung der Kammer nicht aus.

Die Klage ist darüber hinaus unzulässig, soweit der Kläger die Beklagte auf Unterlassung der Zugänglichmachung seiner personenbezogenen Daten in Anspruch nimmt (Antrag zu 5), weil es dem Antrag an der hinreichenden Bestimmtheit fehlt, § 253 Abs. 2 Nr. 2 ZPO. Die hinreichende Bestimmtheit des Klageantrages setzt voraus, dass Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des eventuell teilweisen Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird. Aus der Formulierung „personenbezogene Daten der Klägerseite (E-Mail-Adresse, Vor- und Nachname, Geschlecht, Land, G.-ID und Telefonnummer) unbefugten Dritten zugänglich zu machen“ geht gerade nicht hervor, was der Beklagten konkret untersagt werden soll. Es ist nicht ersichtlich, welche konkrete Handlung diese unterlassen soll.

Die Klage ist hinsichtlich des Antrages zu 6), mit welchem der Kläger Unterlassung der Verarbeitung seiner personenbezogenen Daten, insbesondere der Telefonnummer, ohne Einholung einer Einwilligung oder Erfüllung sonstiger gesetzlicher Erlaubnistatbestände begehrt, unzulässig. Auch dieser Antrag ist nicht hinreichend bestimmt. Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen sind grundsätzlich als zu unbestimmt und damit unzulässig anzusehen (vgl. BGH, NJW 2000, 1792). Abweichendes kann gelten, wenn entweder bereits der gesetzliche Verbotstatbestand selbst entsprechend eindeutig und konkret gefasst oder der Anwendungsbereich einer Rechtsnorm durch eine gefestigte Auslegung geklärt ist, sowie auch dann, wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert (BGH, GRUR 2007, 607). Die Bejahung der Bestimmtheit setzt in solchen Fällen allerdings grundsätzlich voraus, dass sich das mit dem selbst nicht hinreichend klaren Antrag Begehrte im Tatsächlichen durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht in Frage gestellt ist, sondern sich der Streit der Parteien ausschließlich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt (BGH, NJW 1995, 3187). Vorliegend gibt der Antrag, die klägerischen Daten nicht ohne Einholung einer Einwilligung oder Erfüllung sonstiger gesetzlicher Erlaubnistatbestände zu verarbeiten, den Regelungsinhalt von Art. 6 DSGVO wieder. Es fehlt an jedwedem Bezug zu einer konkreten Verhaltensweise der Beklagten, sondern es wird auf jedwede Verarbeitung der genannten personenbezogenen Daten.

Bezüglich der Anträge zu 1), 3), 4) und 7) bestehen keine Zulässigkeitsbedenken.

II.

Die Anträge zu 1) und 3) sind unbegründet. Dem Kläger steht kein Anspruch auf Ersatz immateriellen Schadens gegen die Beklagte nach Art. 82 Abs.1 DSGVO zu. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Dabei kann offen bleiben, ob der Beklagten Verstöße gegen die DSGVO i.S.d. Art. 82 Abs. 1 DSGVO vorzuwerfen sind, denn der Kläger hat diesbezüglich jedoch nicht vorgetragen, dass ihm ein Schaden entstanden ist. Nach der zu dieser Frage ergangenen Entscheidung des EuGH (Urteil vom 04.05.2023, Rs. C-300/21, juris) gilt Folgendes:

Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen (EuGH, Urteil vom 04.05.2023, Rs. C-300/21, juris). Vielmehr muss der Kläger einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen. Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadenersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (EuGH, a.a.O.).

Erwägungsgrund 146 S. 3 DSGVO spricht für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DSGVO. Damit ist etwa eine Erheblichkeitsschwelle in dem Sinne, dass immaterielle Bagatellschäden nicht ausgeglichen werden müssen, nicht zu vereinbaren (EuGH, a.a.O.).

Artikel 82 Abs. 1 DSGVO setzt nach seinem Wortlaut jedoch voraus, dass der betroffenen Person ein materieller oder immaterieller Schaden entstanden ist. Erwägungsgrund 146 S. 1 DSGVO spricht von Schäden, „die einer Person aufgrund einer Verarbeitung entstehen“. Mit diesem Wortlaut ist eine Auslegung der Norm, nach der die Entstehung eines immateriellen Schadens nicht Tatbestandsvoraussetzung ist, nicht zu vereinbaren. Bei einer solchen Auslegung würde ein reiner Strafschadensersatz im Sinne eines „punitive damage“ vorliegen, der der kontinentaleuropäischen Zivilrechtsordnung fremd ist. Es wäre auch nicht zu erklären, warum bei einem immateriellen Schaden die Darlegung eines tatsächlichen entstandenen Schadens entbehrlich sein sollte, bei einem materiellen Schaden hingegen nicht. Auf das Erfordernis eines tatsächlich entstandenen immateriellen Schadens kann daher nicht verzichtet werden. „Bloßer Ärger“ oder „emotionales Ungemach“, zu dem die Verletzung der Vorschriften der DSGVO bei der betroffenen Person geführt haben mag, reicht als solcher nicht bereits als immaterieller Schaden aus.

Einen über bloßen Ärger bzw. bloßes Unwohlsein hinausgehenden Schaden hat der Kläger jedoch nicht dargelegt, und ein solcher ist auch nicht ersichtlich. Soweit der Kläger vorträgt, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und verbleibe in einem Zustand des Unwohlseins und der Sorge über möglichen Missbrauch seiner Daten, was zu verstärktem Misstrauen bezüglich E-Mails und Kontaktversuchen etwa durch Anrufe oder SMS führe, wird dies damit begründet, dass der Kläger, der seine Telefonnummer stets bewusst und zielgerichtet weitergebe und diese nicht wahl- und grundlos der Öffentlichkeit zugänglich mache, seit dem Vorfall Anrufe mit Vorwahlen aus afrikanischen oder „zum Teil“ osteuropäischen Ländern erhalten habe und bei dem Versuch, diese Anrufer zu erreichen, immer auf einem Anrufbeantworter „gelandet“ sei.

Damit sind aber zum einen die behaupteten Vorgänge, nämlich die „verdächtigen“ Kontaktversuche, nicht konkret dargelegt, so dass ein Zusammenhang zu dem Scraping-Geschehen schon nicht nachvollziehbar vorgetragen ist. Anders als etwa in dem vom Landgericht München I mit Urt. v. 9.12.2021 – 31 O 16606/20, BeckRS 21/41707, entschiedenen Fall sind vorliegend zudem nicht sensible Ausweis- oder Steuerdaten betroffen, sondern allein solche Daten, die aufgrund einer vom Kläger selbst getroffenen Entscheidung in dem von der Beklagten betriebenen sozialen Netzwerk öffentlich zugänglich waren. Das Scraping-Geschehen führte allein dazu, dass diese Daten der Telefonnummer des Klägers zuzuordnen waren. Dass die vom Kläger pauschal geschilderten Vorfälle aber gerade auf dieser Zuordnung seiner Telefonnummer zu den öffentlich einsehbaren Daten beruhten, ist weder vorgetragen noch naheliegend. Damit steht aber ein – unterstellt – seit dem Scraping-Geschehen bzw. seinem Bekanntwerden aufgetretenes Unwohlsein und Misstrauen des Klägers nicht in einem für Art. 82 DSGVO erforderlichen Kausalzusammenhang zu etwaigen von der Beklagten zu verantwortenden Verstößen im Zusammenhang mit dem Scraping-Geschehen.

Auch soweit der Kläger vorträgt, er habe sich mit dem Datenleak auseinandersetzen, den Sachverhalt ermitteln, sich um eine Auskunft der Beklagten kümmern und weitere Maßnahmen ergreifen müssen und dadurch Ängste, Stress, Komfort- und Zeiteinbußen erlitten, weswegen ihm ein immaterieller Schaden entstanden sei, verfängt dies nicht. Der Kläger hat auch insofern die tatsächlichen Umstände nicht konkret dargelegt und nicht dazu ausgeführt, aus welchen Gründen gerade die Zuordnung seiner persönlichen Daten, die aufgrund seiner eigenen Entscheidung öffentlich zugänglich waren, zu seiner Telefonnummer geeignet war, bei ihm Angst und Stress sowie ein Gefühl des „Beobachtetwerdens und der Hilfslosigkeit“, zusammenfassend ein „überschattendes Gefühl der Angst“ auszulösen.

Soweit immaterieller Schadensersatz wegen unzureichender Auskunft verlangt wird, fehlt es aus den unter der nachfolgenden Ziffer 2. dargelegten Gründen bereits an einem Verstoß der Beklagten gegen die Vorschriften der DSGVO.

Der Antrag zu 4) ist unbegründet. Der Kläger kann von der Beklagten keine weitere Auskunftserteilung nach Art. 15 Abs. 1 DSGVO verlangen:

Soweit dem Kläger aufgrund von Art. 15 Abs. 1 DSGVO von der Beklagten Auskunft über die ihn betreffenden, von ihr verarbeiteten personenbezogenen Daten verlangen kann, ist der Anspruch durch Erfüllung erloschen, nachdem dem Kläger mit Schreiben vom 01.09.2021 (Anlage K5 = Anlage B16) ein Link zu einer Seite der Beklagten mitgeteilt wurde, auf der die über einen individuellen Nutzer gespeicherten Daten eingesehen werden können. Die Auskunftserteilung mittels Fernzugriffs auf ein elektronisches Auskunftssystem des Datenverantwortlichen genügt den an die Auskunftserteilung zu stellenden formellen Anforderungen (vgl. Mester, in: Taeger/Gabel, DSGVO – BDSG – TTDSG, 4. Aufl. 2022, Art. 15 DSGVO Rn. 15 m.w.N.).

Soweit der Kläger darüber hinausgehend Auskunft darüber verlangt, welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten, steht einem Anspruch des Klägers § 275 Abs. 1 BGB entgegen. Insofern weist die Beklagte unwidersprochen darauf hin, dass ihr die Identitäten der Scraper nicht bekannt seien, weswegen ihr eine Auskunftserteilung bereits unmöglich ist.

Dem Kläger steht auch kein Anspruch auf Erstattung oder Freistellung hinsichtlich vorgerichtlich entstandener Rechtsanwaltskosten zu.

III.

Die prozessualen Nebenentscheidungen beruhen auf §§ 91, 709 ZPO.

IV.

Streitwert: 9.000 Euro

 Antrag zu 1: 2.000 Euro

 Antrag zu 2: 1.000 Euro

 Antrag zu 3: 1.000 Euro

 Antrag zu 4: 1.000 Euro

 Antrag zu 5: 3.000 Euro

 Antrag zu 6: 1.000 Euro

Rechtsbehelfsbelehrung:

Gegen dieses Urteil ist das Rechtsmittel der Berufung für jeden zulässig, der durch dieses Urteil in seinen Rechten benachteiligt ist,

1. wenn der Wert des Beschwerdegegenstandes 600,00 EUR übersteigt oder

2. wenn die Berufung in dem Urteil durch das Landgericht zugelassen worden ist.

Die Berufung muss innerhalb einer Notfrist von einem Monat nach Zustellung dieses Urteils schriftlich bei dem Oberlandesgericht Köln, Reichenspergerplatz 1, 50670 Köln, eingegangen sein. Die Berufungsschrift muss die Bezeichnung des Urteils (Datum des Urteils, Geschäftsnummer und Parteien) gegen das die Berufung gerichtet wird, sowie die Erklärung, dass gegen dieses Urteil Berufung eingelegt werde, enthalten.

Die Berufung ist, sofern nicht bereits in der Berufungsschrift erfolgt, binnen zwei Monaten nach Zustellung dieses Urteils schriftlich gegenüber dem Oberlandesgericht Köln zu begründen.

Die Parteien müssen sich vor dem Oberlandesgericht Köln durch einen Rechtsanwalt vertreten lassen, insbesondere müssen die Berufungs- und die Berufungsbegründungsschrift von einem solchen unterzeichnet sein.

Mit der Berufungsschrift soll eine Ausfertigung oder beglaubigte Abschrift des angefochtenen Urteils vorgelegt werden.

Hinweis zum elektronischen Rechtsverkehr:

Die Einlegung ist auch durch Übertragung eines elektronischen Dokuments an die elektronische Poststelle des Gerichts möglich. Das elektronische Dokument muss für die Bearbeitung durch das Gericht geeignet und mit einer qualifizierten elektronischen Signatur der verantwortenden Person versehen sein oder von der verantwortenden Person signiert und auf einem sicheren Übermittlungsweg gemäß § 130a ZPO nach näherer Maßgabe der Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (BGBl. 2017 I, S. 3803) eingereicht werden. Auf die Pflicht zur elektronischen Einreichung durch professionelle Einreicher/innen ab dem 01.01.2022 durch das Gesetz zum Ausbau des elektronischen Rechtsverkehrs mit den Gerichten vom 10. Oktober 2013, das Gesetz zur Einführung der elektronischen Akte in der Justiz und zur weiteren Förderung des elektronischen Rechtsverkehrs vom 5. Juli 2017 und das Gesetz zum Ausbau des elektronischen Rechtsverkehrs mit den Gerichten und zur Änderung weiterer Vorschriften vom 05.10.2021 wird hingewiesen.

Weitere Informationen erhalten Sie auf der Internetseite www.justiz.de.

BeglaubigtUrkundsbeamter/in der GeschäftsstelleLandgericht Köln Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.