Contact for English speaking clientsLG Essen – Az.: 6 O 111/22 – Urteil vom 10.11.2022
Die Klage wird abgewiesen.
Der Kläger trägt die Kosten des Rechtsstreits.
Das Urteil ist vorläufig vollstreckbar. Dem Kläger bleibt nachgelassen, die Vollstreckung der Beklagten durch Sicherheitsleistung in Höhe von 110 % des beizutreibenden Betrages abzuwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils beizutreibenden Betrages leistet.
Tatbestand
Die Parteien streiten um Ansprüche auf Schadensersatz, Unterlassung, Auskunft wegen behaupteter Verletzung von Persönlichkeitsrechten, Grundrechten und Grundfreiheiten, insbesondere um Rechte auf Schutz personenbezogener Daten.
Der Kläger nutzt die von der Beklagten betriebene Social Media Plattform ….com, um mit Freunden zu kommunizieren, private Fotos zu teilen und mit anderen Nutzern im Netz zu diskutieren. Die Beklagte betreibt die Website www…..com und der darauf enthaltenen Dienste (im Folgenden: „F.“). Die Dienste der Beklagten ermöglichen es den Nutzern, persönliche Profile für sich zu erstellen und diese mit Freunden zu teilen. Die Nutzer können auf den persönlichen Profilen Angaben zu verschiedenen Daten zu ihrer Person machen und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf ihre Daten zugreifen können.
Im Jahr 2019 lasen und persistierten („Scraping“) Dritte Telefonnummer, F.-ID, Name, Vorname, Geschlecht und weitere korrelierende Daten – wobei streitig ist, ob hierzu auch Bundesland, Land, Stadt, Beziehungsstatus gehörten – über das F.-Tool Contact-Import aus zum Teil öffentlich zugänglichen Daten bei F. Die Beklagte geht davon aus, dass das Contact-Import-Tool zur Bestimmung der Telefonnummern der einzelnen Benutzer genutzt wurde. Indem eine Vielzahl von Kontakten in ein virtuelles Adressbuch eingegeben wurde, gelang es Unbekannten, die Telefonnummern konkreten F.-Profilen zuzuordnen, ohne dass in den entsprechenden Profilen die hinterlegten Telefonnummern öffentlich freigegeben waren. Um die Telefonnummer jeweils zu korrelieren, wurden mit Hilfe des Contact-Import-Tools fiktive Nummern erzeugt und geprüft und die zugehörigen F.-Nutzer wurden angezeigt. Auf dem Profil des Nutzers wurde dieser dann besucht und von dort wurden die öffentlichen Daten gescrapt („abgeschöpft“).
Anfang April 2021 wurden diese Daten von ca. 533 Millionen F.-Nutzern aus 106 Ländern im Internet öffentlich verbreitet.
Daraus resultierend wurden den Kläger betreffende Daten abgegriffen und im Internet auf Seiten veröffentlicht, die illegale Aktivitäten begünstigen sollen, z.B. auf der Seite ….com (ein Hackerforum, das unter anderem dafür verrufen ist, dass dort illegal abgeschöpfte Daten hinterlegt und ausgetauscht werden).
Bei dem Anlegen eines F.-Profils muss der künftige Nutzer Datenschutz- und Cookie Richtlinien zustimmen. Diese sind durch eine Verlinkung getrennt abrufbar. Nach der Anmeldung sind zunächst die Vor- bzw. Standarteinstellungen aktiv. Demnach können „alle“ Personen sehen, welche Seiten der Nutzer abonniert oder mit wem er befreundet ist. Ebenso können „alle“ den neuen Nutzer über seine E-Mail-Adresse „finden“. Ebenso ist für alle Informationen, die ein Nutzer in sein Profil einträgt, standardmäßig „öffentlich“ als Voreinstellung ausgewählt. Der Nutzer kann diese Einstellungen individuell verändern und im Hilfebereich einlesen, wie F. insbesondere die Mobilfunknummer verwendet. Die Angabe der Mobilfunknummer ist nicht zwingend. Entscheidet sich ein Nutzer aber diese anzugeben, kann er in den Suchfunktionen einstellen, in welchem Umfang er über diese gefunden werden will. Die Grundeinstellung lautet auch insoweit zunächst „alle“.
Neben den gewöhnlichen Funktionen auf der F.-Website wird von der Beklagten noch eine M.-App betrieben, die als Schnittstelle für die F.-Applikation auf Mobilgeräten arbeitet und eine M.-Funktion für Nutzer darstellt. Nutzer melden sich dafür mit ihren bestehenden F.-Profilen an. Die M.-App und die gewöhnlichen Funktionen von F. sind über denselben Zugang zum Account verknüpft. Auch in dieser App können separate Sicherheitseinstellungen vorgenommen werden. Diese Einstellungen werden unabhängig von den Einstellungen des Accounts im sonstigen F.-Dienst vorgenommen. Es kann separat eingestellt werden, ob Telefonkontakte mit dem F.-Dienst synchronisiert werden sollen.
Inhalt und Bedeutung des Scraping werden von den Parteien unterschiedlich interpretiert.
Mit außergerichtlicher E-Mail vom 7.7.2021 wurde die Beklagte vergeblich zur Zahlung von 500,- € und Unterlassung künftiger Zugänglichmachung der Daten des Klägers sowie Erteilung einer Auskunft, welche konkreten Daten im April 2021 abgegriffen und veröffentlicht wurden, bis zum 9.8.2021 aufgefordert (K 1). Die Beklagte erteilte daraufhin einige Auskünfte, die dem Kläger aber nicht genügen. Auf die Einzelheiten wird näher in den Entscheidungsgründen eingegangen, soweit es darauf ankommt.
Der Kläger ist der Ansicht, die Beklagte verstoße gegen die DSGVO,
- indem sie ohne ausreichende Grundlage im Sinne der Art. 6 und 7 DSGVO Informationen im Sinne von Art. 13, 14 DSGVO verarbeite,
- Daten unbefugten Dritten zugänglich mache sowie seine Rechte aus Art. 15, 17 und 18 DSGVO verletze und
- Seine Betroffenenrechte gemäß Art. 15, 17 und 18 DSGVO verletzte.
Der Kläger behauptet dazu, sämtliche seiner Daten auf „Privat“ gestellt zu haben. Zur Sichtbarkeit seiner Telefonnummer habe er die Einstellung „nur ich“ gewählt. Seine Telefonnummer sei letztlich wegen einer Sicherheitslücke mit den restlichen Personendaten korreliert und Bestandteil des jeweiligen unbefugt verbreiteten Datensatzes, wobei ihm die genaue Herangehensweise unbekannt sei. Soweit die Beklagte behaupte, er habe bei den Sichtbarkeitseinstellungen seit 2013 angegeben, dass „everyone“ durch „search by Phone“ suchen könne, bestreite er dies mit Nichtwissen. Sicher sei aber, dass es Unbekannten gelungen sei, die Telefonnummern konkreten F. Profilen zuzuordnen, ohne dass in den entsprechenden Profilen die hinterlegten Telefonnummern öffentlich freigegeben worden seien. Er – der Kläger – behauptet, das „scrapen“ sei nur möglich gewesen, weil die Beklagte keinerlei Sicherheitsmaßnahmen vorgehalten habe, um ein Ausnutzen des bereitgestellten Tools zu verhindern und weil die Einstellungen zur Sicherheit der Telefonnummer auf F. so undurchsichtig und kompliziert gestaltet seien, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne. Nur so hätten auch seine Daten auf sog. Hackerforen wie „….com“ geraten können. Die Daten seien dann für sog. Pishing Attacken genutzt worden. F. sei „datenschutz-unfreundlich“ eingestellt, es werde unnötig zwischen Datenschutzrichtlinien und Cookie-Verwendung differenziert, obwohl die Verwendung von Cookies – so meint der Kläger – ein inhärent datenschutzrechtliches Thema sei. Der gesamte Anmeldevorgang sei intransparent und für den Anwender verwirrend. Dies führe letztlich – so behauptet der Kläger – dazu, dass Nutzer im Vertrauen und mit dem Ziel, mehr persönliche Sicherheit zu erreichen, ihre Telefonnummern auf F. preisgäben. Die neben der von der Beklagten betriebene Website noch betriebene M.-App als Schnittstelle für die F.-Applikation auf Mobilgeräten und die besagte Website seien miteinander verknüpft. Bei erster Anmeldung fragte der M.-Dienst die Synchronisierung bereits an, ohne über die Risiken der Verwendung aufzuklären. Es könne separat auf der App eingestellt werden, ob eine Synchronisierung erfolgen solle, ohne über Risiken aufzuklären. Insgesamt gebe es drei verschiedene Einstellungsmöglichkeiten zur Verwendung der Telefonnummer, über die ein Nutzer – so auch er als Kläger – keine transparenten Informationen für eine Gewährleistung einer effektiven digitalen Sicherheit erhalte. Diese Sicherheitslücke werde seit 2019 ausgenutzt, ohne dass die Beklagte etwas dagegen unternehme. Er – der Kläger – habe so ungewollt die Kontrolle über seine Daten verloren und werde bis heute wiederholt ungewollt von Unbekannten via E-Mail und SMS kontaktiert. Auch nach dem Vorfall 2019 habe die Beklagte – so meint der Kläger – nicht adäquat reagiert. Sie habe versäumt, die zuständige Datenschutzbehörde „Irish Data Protection Commission“ unverzüglich zu informieren. Soweit vorgerichtlich Auskünfte über abgegriffene Daten mitgeteilt worden seien, sei diese Auskunft ungenügend.
Die Datenschutzeinstellungen der Beklagten seinen undurchsichtig und kompliziert gestaltet, denn es bestehe eine Flut an Einstellungsmöglichkeiten allein für die Sicherheit der Mobilnummer. Aufgrund der Vielzahl an Einstellungsmöglichkeiten sei mit hoher Wahrscheinlichkeit zu erwarten, dass ein Nutzer die voreingestellten Standardeinstellungen beibehalte und nicht selbstständig ändere. Dies widerspräche – so meint der Kläger weiter – allerdings den Grundsätzen eines nutzerfreundlichen Datenschutzes und dem in der DSGVO niedergelegten Prinzips der „privacy by default“ (= datenschutzfreundliche Voreinstellungen).
Die Auskunft, die die Beklagte ihm habe zukommen lassen, sei unzureichend. Das Antwortschreiben der Beklagten enthalte lediglich allgemein gehaltene Informationen zu den auf F. verarbeiteten Daten sowie einen Link zur Seite der Beklagten, auf der die Daten über einen individuellen Nutzer gespeicherten Daten eingesehen werden können. Dieses Vorgehen allein sei schon nicht geeignet, dem nach Art. 15 DSGVO umfassenden Auskunftsanspruch gerecht zu werden. Unabhängig davon enthalte das „Auskunftsschreiben“ der Beklagten aber auch keinerlei konkrete Aussagen dazu, welche Daten der Klägerseite im Wege des Scrapings von unbekannten Dritten abgegriffen wurden. So bleibe offen, wann genau die Daten entwendet worden seien oder wie viele verschiedene Beteiligte diese Funktion hinsichtlich seiner – des Klägers – Daten ausgenutzt hätten.
Der Kläger beantragt,
1.
die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.
2.
festzustellen, dass die Beklagte verpflichtet ist, ihm alle künftigen Schäden zu ersetzen, die ihm – dem Kläger – durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.
3.
die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,
a.
personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, F.ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,
b.
seine Telefonnummer auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Contact-import-tools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der F.-M. App, hier ebenfalls explizit die Berechtigung verweigert wird,
4.
die Beklagte zu verurteilen, ihm Auskunft über seine ihn betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.
5.
die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.
Die Beklagte beantragt, die Klage abzuweisen.
Die Beklagte meint, der Sachverhalt und Vorgang zum sog. Scraping sei falsch wiedergeben. Der klägerische Vortrag beruhe auf einem Missverständnis zum Scraping als solchen. Es sei unschlüssig und unsubstantiiert, welche Daten des Klägers genau gescrapt worden sein sollen. Sie – die Beklagte – bestreitet die Begehung eines Datenschutzverstoßes und eines Unterlassens des Schließens einer technischen Schwachstelle. Vielmehr seien – so behauptet die Beklagte – lediglich automatisch gesammelte öffentlich einsehbare Daten (Hervorhebung durch die Kammer) entweder von der App oder der Website F. gescraped worden. Es seien lediglich öffentlich einsehbare Daten durch Dritte in Form des Scraping abgerufen worden, was nach den Nutzungsbedingungen von F. untersagt gewesen sei und noch untersagt sei. Das Abrufen habe im Einklang mit den jeweiligen Privatsphäre-Einstellungen „öffentlich“ auf der F.-Plattform gestanden. Es seien allenfalls öffentlich einsehbare Daten abgerufen und an anderer Stelle erneut zugänglich gemacht worden. Sie – die Beklagte – stelle allen Nutzern, inklusive dem Kläger, alle in Art. 13 und 14 DSGVO festgelegten Informationen zur Datenverarbeitung zur Verfügung, die sie zum Zeitpunkt der Datenerhebung im Anwendungsbereich der Datenrichtlinie durchführe. Sie ist daher der Ansicht, nicht gegen die Transparenzpflichten der DSGVO verstoßen zu haben. Es habe zudem eine umfassende und transparente Information über die Möglichkeit der Anpassung ihrer Suchbarkeits-Einstellungen und Zielgruppenauswahl gegeben, woraus sich nachvollziehbar ergebe, wer bestimmte persönliche Informationen, die der Nutzer in seinem F.-Profil hinterlegt habe, einsehen könne. Diese Einstellungen habe – so behauptet die Beklagte – der Kläger jederzeit anpassen können.
Zu den konkreten vom Kläger gewählten Einstellungen behauptet sie – die Beklagte weiter –, dass der Kläger seit der Anmeldung die Suchbarkeitseinstellungen unter Verweis auf einen Screenshot (Bl. 230 der GA) auf „öffentlich“ belassen habe, obwohl es hinreichende Hinweise und Erläuterungen gebe, welche Einstellungen wo und in welchem Umfang möglich seien.
Die Beklagte ist der Ansicht, nicht gegen Art. 24, 32 DSGVO verstoßen zu haben, sondern vielmehr angemessene technische und organisatorische Maßnahmen ergriffen zu haben, das Risiko von Scraping zu unterbinden und Maßnahmen zur Bekämpfung von Scraping zu ergreifen. Es fehle konkreter Vortrag, welche Maßnahmen in welchem Umfang nicht genügen würden. Außerdem müsse eine solche Beurteilung ex ante und nicht ex post erfolgen. Den Anforderungen des Art. 25 DSGVO sei genügt. Es dürfe dabei der zentrale Zweck von F., mit Freunden, Familien und Gemeinschaften sich zu verbinden nicht außer Betracht bleiben. Es bestehe keine Melde- oder Benachrichtigungspflicht, da es an einer Verletzung der Sicherheit i. S. d. Art. 4 Nr. 12 DSGVO und an einer unbefugten Offenlegung von Daten fehle. Unabhängig davon habe sie – die Beklagte – wegen der Medienberichterstattung freiwillig eine Vielzahl von Maßnahmen ergriffen, über Scraping und Begrenzungsmöglichkeiten einschließlich einer Änderung von Privatsphäre-Einstellungen zu informieren.
Schließlich – so meint die Beklagte darüber hinaus – fehle es an einem immateriellen Schaden. Art. 82 DSGVO umfasse keine Verstöße gegen Art. 13-15, 24, 25 DSGVO. Zudem fehle es an einem Verstoß gegen Art. 82 DSGVO. Ein kompensationsgeeigneter messbarer Schaden sei auch nicht dargelegt. Selbst bei einem angenommenen vorübergehenden Kontrollverlust über personenbezogene Daten des Klägers wäre dies nicht ihr – der Beklagten – zuzurechnen, weil die öffentliche Einsehbarkeit den Privatsphäre-Einstellungen des Klägers entsprochen habe. Schließlich fehle es an einer schlüssigen Darlegung der Kausalität.
Mangels Verstoßes gegen die DSGVO sei der (ohnehin unzulässige) Feststellungsantrag unbegründet. Der Unterlassungsanspruch scheitere an einer Erstbegehungs- und einer Wiederholungsgefahr. Anwaltskosten seien mangels Verzuges unbegründet.
Entscheidungsgründe
A. Zulässigkeit
I. Zuständigkeit des Landgerichts Essen
Das Landgericht ist international, sachlich und örtlich zuständig.
1.
Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt EuGVVO (Brüssel Ia- VO).
a.
Gemäß Art. 1 Abs. 1 EuGVVO ist die EuGVVO sachlich anwendbar auf Zivil- und Handelssachen. Vorliegend handelt es sich um eine Zivilsache.
b.
Die deutsche Gerichtsbarkeit folgt aus Art 6 Abs. 1, Art. 18 Abs. 1 2. Alt EuGVVO. Ein ausschließlicher Gerichtstand gemäß Art. 24 EuGVVO ist hier nicht ersichtlich. Gemäß Art. 18 Abs. 1 2. Alt EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat.
Der Kläger ist gemäß Art 17 Abs. 1 EuGVVO Verbraucher. Er gibt an, einen Nutzungsvertrag mit der Beklagten geschlossen zu haben über die Nutzung der Social-Media-Plattform F. mittels eines Benutzerkontos zu privaten Zwecken. Als doppelrelevante Tatsache reicht in der Zulässigkeit das Behaupten von Tatsachen, aus denen sich ein solcher vertraglicher Anspruchs ergeben kann.
c.
Der Kläger hat seinen Wohnort in der Stadt … in Deutschland. Insoweit ist die deutsche Gerichtsbarkeit zuständig.
2.
Die internationale Zuständigkeit deutscher Gerichte ergibt sich ferner aus Art. 79 Abs. 2 DSGVO. Danach können Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.
Gemäß Art 4 Nr. 7, 8 DSGVO sind Verantwortliche natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Auftragverarbeitende sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.
Die Beklagte selbst erklärt, dass sie in den meisten Fälle die Rolle als Verantwortliche bekleide. Lediglich, wenn sie Werbekunden bediene, könne sie ausnahmsweise als Auftragsverarbeitende fungieren (https://www…..com/business/gdpr). Die Beklagte ist zudem keine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.
Der Kläger als betroffene Person hat seinen Wohnsitz in … Deutschland. Die deutsche Gerichtsbarkeit ist international zuständig.
Das Landgericht Essen ist gemäß §§ 23 Nr. 1, 71 Abs. 1 GVG für die Klagen gegen die Beklagte sachlich zuständig. Der Streitwert liegt bei 6.500,- € (Klageantrag zu 1: 1000,- €, Antrag zu 2: 500,- €; Antrag zu 3: 4.500,- €, Antrag zu 4: 500,- €) und damit über 5.000,- €.
Hinsichtlich des Antrags zu 1) war der dort begehrte Zahlbetrag in Ansatz zu bringen. Hinsichtlich des Feststellungsantrags zu 2) hat die Kammer einen 50% igen Abschlag von dem mit Ziffer 1) begehrten Zahlbetrag zur Bezifferung vorgenommen.
Hinsichtlich der Höhe des Antrags zu 3) hat die Kammer im Sinne des § 3 ZPO insbesondere auf Tragweite und Umfang des Streitgegenstands abgestellt, den die Beklagte selbst mit 4.500,- € beziffert. Der Streitwert bei nicht vermögensrechtlichen Streitigkeiten ist letztlich anhand aller Umstände des Einzelfalls, insbesondere auch anhand der Einkommensverhältnisse und der Bedeutung der Sache, zu bemessen. Bei der Beklagten handelt es sich um einen multinationalen Konzern mit hohen Umsätzen, die Bedeutung der Sache ist auf Grund der Vielzahl der vom Scraping betroffenen Personen für die Beklagte erheblich.
Hinsichtlich des Antrags zu 4) erschien ein Streitwert von 500,- € angemessen, da es noch um restliche Auskünfte ging.
Die örtliche Zuständigkeit folgt aus Art. 18 Abs. 1 2. Alt. EuGVVO. Danach kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Das Landgericht ist unabhängig davon nach Art. 79 Abs. 2 S. 2 DSGVO, § 44 Abs. 1 S. 2 BDSG örtlich zuständig (besonderer Gerichtsstand). Der Kläger hat seinen Wohnsitz in … und damit im Bezirk des angerufenen Gerichts.
2. Hinreichend bestimmter Klageantrag zu 1)
Der Zulässigkeit der Klage steht nicht die Unbestimmtheit des Klageantrags zu 1) (§ 253 Abs. 2 ZPO) entgegen. Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Ein Verstoß gegen den in § 253 Abs. 2 Nr. 2 ZPO normierten Bestimmtheitsgrundsatz liegt dann nicht vor, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 ZPO oder vom billigen Ermessen des Gerichts abhängig ist. Die nötige Bestimmtheit soll hier dadurch erreicht werden, dass der Kläger in der Klagebegründung die Berechnungs- bzw. Schätzgrundlagen umfassend darzulegen und die Größenordnung seiner Vorstellungen anzugeben hat (vgl. Greger in: Zöller, 33. Aufl. 2020, § 253 ZPO Rn. 14). Diese Voraussetzungen liegen hier vor. Der Kläger hat sowohl in der Klagebegründung als auch bereits in dem Klageantrag zu 1) einen Mindestbetrag von 1.000,- € angegeben.
Soweit die Beklagte meint, der Antrag zu 1) sei deshalb unbestimmt, weil er auf zwei Lebenssachverhalten fuße und damit zwei Streitgegenstände betreffe, deren Verhältnis zueinander nicht hinreichend bestimmt sei, so dürfte dem entgegenzuhalten, dass tatsächlich nur ein Lebenssachverhalt zu beurteilen ist, nämlich derjenige, ob die Beklagte vor dem Scraping durch Dritte im April 2021 hinreichende Datenschutzvorkehrungen getroffen hatte und danach etwaige Lücken geschlossen hat bzw. ihre Nutzer unzureichend bzw. intransparent informiert hat.
3. Feststellungsinteresse bezüglich des Antrags zu 2)
Der Kläger hat sein Feststellungsinteresse gemäß § 256 Abs. 2 ZPO hinreichend dargelegt. Ein Feststellungsantrag ist schon zulässig, wenn die Schadensentwicklung noch nicht abgeschlossen ist und der Kläger seinen Anspruch deshalb ganz oder teilweise nicht beziffern kann (OLG Hamm, Urteil vom 21. Mai 2019 – 9 U 56/18 –, Rn. 22, juris). Ein Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH, Beschluss vom 09. Januar 2007 – VI ZR 133/06 –, juris; BGH, Urteil vom 16. Januar 2001 – VI ZR 381/99 –, juris; Saarländisches Oberlandesgericht Saarbrücken, Urteil vom 20. Februar 2014 – 4 U 411/12, Rn. 46, juris, m.w.N.). Bei den behaupteten Verstößen gegen die DSGVO mit der behauptet dargelegten unkontrollierten Nutzung gescrapter Daten ist bei verständiger Würdigung zumindest nicht ausgeschlossen, dass irgendein materieller oder immaterieller Schaden entstehen könnte. Denn der Kläger gibt an, ein solches Feststellungsinteresse wegen der behauptet einmal gescrapten Daten und damit behauptet einhergehenden unbefugten und unkontrollierten Datenverwendung zu haben, die auch zu künftigen Schäden führen könne, deren Art und Umfang noch unbekannt sind (s. Bl. 390 der GA). Es ist nicht völlig ausgeschlossen, dass er – der Kläger – infolge der Veröffentlichung seiner Telefonnummer in Verbindung mit seinem Namen sowie weiteren persönlichen Daten einen irgendwie gearteten Schaden erleidet.
4. hinreichende Bestimmtheit des Antrags zu 4 (Unterlassungsantrag):
Der Antrag zu 4) – Unterlassungsanspruch – ist hinreichend bestimmt. Zuzugestehen ist der Beklagten zwar, dass die Formulierung „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ auslegungsbedürftig ist und Vollstreckungsprobleme denkbar sind. Allerdings ist nach höchstrichterlicher Rechtsprechung eine gewisse Auslegungsbedürftigkeit zur Gewährleistung effektiven Rechtsschutzes hinzunehmen (BGH, GRUR 2015, 1237, Rn. 15, BGH NJW 2004, 2080). Zutreffend verweist der Kläger darauf, dass er nicht einschätzen kann, was die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen beinhalten, was dann dazu führt, dass das Vollstreckungsorgan gegebenenfalls Wertungen vornehmen muss. Es wäre verfehlt im Lichte des effektiven Rechtsschutzes i. S. d. Art. 19 GG, würde vom Kläger verlangt, dass er für eine hinreichend konkrete Antragstellung den aktuellen Stand der Technik selbst ermitteln muss.
B. Begründetheit
I. kein Anspruch auf immateriellen Schadensersatz in Höhe von 1.000,- €
Der Kläger hat indes unter keinem rechtlichen Gesichtspunkt einen Anspruch auf immateriellen Schadenersatz in geltend gemachter Höhe von 1.000,- €. Ein Anspruch gegen die Beklagte ergibt sich weder aus nationalen Vorschriften noch aus Art. 82 DSGVO. Im Einzelnen:
1. Kein Anspruch aus Art. 82 DSGVO
Es fehlt an einer schadenersatzauslösenden Pflichtverletzung der Beklagten im Sinne der DSGVO. Soweit der Kläger der Beklagten mehrere Verstöße vorwirft, nämlich
- ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 a DSGVO),
- unmittelbaren Verstoß gegen Art. 13, 14 DSGVO, die konkrete Informationspflichten enthielten, die seitens der Beklagten nicht eingehalten worden seien,
- ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 24, 32 DSGVO),
- unvollständig Auskunftserteilung nach Art. 15 DSGVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Klägers durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 33, 34 DSGVO),
sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DSGVO umfasst und waren auch nach persönlicher Anhörung des Klägers gemäß § 141 ZPO nicht feststellbar, selbst wenn man – entgegen der hier vertretenen Ansicht – den Anwendungsbereich des Art. 82 DSGVO für eröffnet halten wollte. Insoweit konnte dann auch dahin stehen, ob sich der Kläger im Rahmen der Geltung der DSGVO ein anspruchsausschließendes Mitverschulden gemäß § 254 Abs. 2 BGB analog entgegenhalten lassen muss.
aa. Eröffnung des Anwendungsbereichs gemäß Art. 2, 3 DSGVO
Der räumliche Anwendungsbereich der DSGVO ist eröffnet. Er umfasst gemäß Art 3 Abs. 1 DSGVO die Niederlassung eines Verantwortlichen oder eines Auftragverarbeiters in der Union, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Die Beklagte als Verantwortliche hat ihren Sitz in Irland. Irland ist Mitglied der europäischen Union.
Der sachliche Anwendungsbereich des Art. 82 DSGVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gemäß Art. 15 DSGVO und Artikel 34 DSGVO nicht eröffnet. Denn Art. 82 Abs. 1 DSGVO legt fest, dass jeder Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragverarbeiter hat. Art. 82 Abs. 2 DSGVO regelt den anspruchsbegründenden Sachverhalt. Gemäß Art. 82 Abs. 2 S. 1 DSGVO haftet danach jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Gemäß Art. 2 DSGVO umfasst der sachliche Anwendungsbereich die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DSGVO nicht im Einklang stehen, ersetzen sollte. Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Die in jedem Fall veröffentlichten Informationen des Klägers umfassen den Namen, die Nutzer-ID sowie das Geschlecht, ohne die die Nutzung der Plattform F. nicht möglich ist, worauf direkt bei der Anmeldung hingewiesen wird. Damit ist es möglich, den Kläger zu identifizieren. Es handelt sich mithin um personenbezogene Daten. Die übrigen Daten wie Telefonnummer und E-Mail-Adresse sind ebenfalls personenbezogen, aber nicht in jedem Fall öffentlich, worauf später noch näher einzugehen ist.
Gemäß Art. 4 Nr. 2 DSGVO ist Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, durch den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte ist hingegen nicht erfasst (jüngst: AG Strausberg, Urteil vom 13.10.2022, 25 C 95/21, BeckRS 2022, 27811, Rn. 17).
Der Schutzbereich des Art. 82 DSGVO als hier maßgebliche Anspruchsgrundlage umfasst ebenso wenig Verstöße gegen Artikel 34 DSGVO (s. a.: OLG Stuttgart, Urteil vom 31.3.2021, 9 U 34/21, juris Rn. 61; LG Düsseldorf, Urteil vom 28.10.2021, 16 O 128/20, GRUR-RS 2021, 33076, Rn. 27; LG Bonn, Urteil vom 1.7.2021, 15 O 372/20, juris, Rn. 41). Schließlich lässt sich auch von vornherein aus Artikel 24 DSGVO kein subjektives Recht herleiten (Taeger/Gabel, DSGVO, 4. Auflage 2022, Artikel 24, Rn. 89). Selbiges gilt für Art. 25 DSGVO (Tager/Gabel, DSGVO, a. a. O., Art. 25, Rn. 100).
Daher kann auch dahin stehen, ob Verstöße etwa gegen Artikel 13, 14 und 34 (in diesem Sinne verneinend auch AG Straußberg, Urteil vom 13.10.2022, 25 C 95/21, juris, Rn. 19) durch die Beklagte erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DSGVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben.
bb. Pflichtverletzung aus der DSGVO
Es fehlt – aber ohnehin – unabhängig von den unter aa. aufgestellten Erwägungen an entsprechenden Pflichtverstößen der Beklagten gegen Normen der DSGVO, soweit man den Anwendungsbereich – entgegen der hier vertretenen Auffassung – für eröffnet erachtet.
(2) Kein Verstoß gegen Art. 5 Abs. 1 DSGVO
Selbst wenn man hinsichtlich der Informationspflichten den Anwendungsbereich des Art. 82 DSGVO entgegen der hier vertretenen Ansicht für eröffnet hält, fehlt es schon deshalb an einem Verstoß, weil es auch bei Informationspflichten der Rücksichtname auf den Grundsatz des Art 5 Abs. 1 DSGVO bedarf. Demnach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Dieser Grundsatz der Transparenz überträgt sich dann in die Informations- und Aufklärungspflicht nach Art 13 DSGVO. Die Aufklärung über die Zwecke der Verarbeitung muss insbesondere für den Nutzer klar verständlich und nachvollziehbar sein. Dies ist vorliegend der Fall. Der Kläger selbst hat Screenshots zu den Abläufen und jeweiligen Unterseiten zur Akte gereicht (vgl. Bl 9 bis 21 der Klageschrift und die dortigen Screenshots). Diese Screenshots bilden die tatsächlichen Inhalte der F.-Seite ab. Diese Inhalte der Website als offenkundige Tatsachen gemäß § 291 ZPO, die jedem Nutzer zugänglich sind, enthalten alle relevanten Informationen zu Art und Umfang der Verarbeitung und Hinweise zu Möglichkeiten der Begrenzung. Zuzugestehen ist dem Kläger, dass es sich um mehrschichtige Informationen handeln mag. Die Mehrschichtigkeit schließt aber die Übersichtlichkeit und Transparenz nicht aus. Vergleichbar mit Allgemeinen Geschäftsbedingungen in Papierform können diese durchaus umfangreich sein. Maßgeblich ist einzig, dass sie verständlich sind, was vorliegend der Fall ist. Insoweit hat die Kammer die zur Akte gereichten Screenshots in Augenschein genommen und ist zu diesem Ergebnis gelangt. Insoweit verfängt der Kläger dann auch nicht mit dem Argument, dass die Vielzahl der Einstellungsmöglichkeiten dazu führe, dass ein Nutzer es im Zweifel bei den Voreinstellungen belasse. Die internetspezifischen Gepflogenheiten und gerade die DSGVO verlangen vielfältige Einstellungsmöglichkeiten, damit der jeweilige Nutzer die Einstellungen entsprechend seiner spezifischen Bedürfnisse individuell vornehmen kann.
Einzubeziehen in diese Entscheidung ist auch gewesen, dass die Nutzung der Plattform als solche freiwillig ist. Die Preisgabe der Mobilfunknummer ist selbst für die Nutzung der Plattform, so man sich zu einer solchen entschließt, nicht erforderlich. Vielmehr handelt es sich um ein Zusatzangebot der Beklagten, dass der jeweilige Nutzer – so auch der Kläger – auf weitere Funktionen und Informationen nutzen kann, wenn er diese nach Eingabe entsprechender Angaben nutzen will. Dies umfasst die Möglichkeit, „interessante Menschen und Themen auf unseren Plattformen vorzustellen, beispielsweise über die Funktion Personen, die du kennen könntest“. Im Übrigen wird ausgeführt, dass man als Nutzer festlegen kann, „ wer deine Telefonnummer sehen kann und wer auf F. nach dir suchen kann.“ Es wird unter anderem darauf hingewiesen, dass auch in der M.-App eine Suche über die Telefonnummer möglich ist. Abgestellt auf den objektiven Empfängerhorizont gemäß §§ 133, 157 BGB ist es sicherlich mit einem gewissen Aufwand, einer gewissen Geduld und gewissem zeitlichem Aufwand verbunden, sich durch die Seiten und Hinweise zu klicken und sie sorgfältig zu lesen. Dies verkennt die Kammer nicht. Die Hinweise sind, soweit sie der Kläger selbst zur Akte reicht, bei genauem Lesen aber verständlich. Auch schriftlich abgefasste AGB können – siehe oben – umfangreich sein. Der Umfang von AGB mag auch mit dem zu Grunde liegenden Rechtsverhältnis zu tun haben. Im Rahmen der internetspezifischen Gepflogenheiten und damit einhergehenden datenschutzrechtlichen Fragestellungen führen deren Umfang dann auch zu entsprechend umfangreichen Hilfethemen und Einstellungshinweisen. Die Reichweite des Schutzes der DSGVO ist dabei aber im Lichte der jeweiligen konkreten Nutzung (beispielsweise des Internets) zu sehen; mithin ist vorliegend zu berücksichtigen, dass es sich bei F. um ein soziales Netzwerk handelt, das auf Kommunikation, Finden von Personen und Teilen von Informationen angelegt ist. In diesem Lichte sind dann die von der Beklagten gewählten Voreinstellungen nicht zu beanstanden, da der jeweilige Nutzer umfassend und verständlich über Änderungsmöglichkeiten informiert wird. Insoweit kann dahinstehen, wie es der Kläger mit der Replik ausführt, dass F. etwaig auch andere Zwecke verfolgt, wie die Finanzierung über Werbung, denn jedenfalls ist ein Zweck der der Kommunikation auf einer sozialen Plattform. Unstreitig ist zudem, dass es der Angabe der Telefonnummer zur Nutzung von F. als solcher nicht bedarf, sondern insoweit genügt, dass Name, Geschlecht und ID hinterlegt sind. Entschließt sich ein User jedoch diese Komfortfunktion – freiwillig – zu nutzen, erhält er in verständlicher Sprache und übersichtlich sämtliche Informationen, was mit der Telefonnummer passieren kann und wie er begrenzen kann, wer diese aufzufinden vermag. Insoweit hat auch die persönliche Anhörung des Klägers in der mündlichen Verhandlung vom 10.11.2022 ergeben, dass dieser zwar seine „Zielgruppenauswahl“ etwa durch Einstellung, dass die Telefonnummer nur ihm selbst angezeigt werde, begrenzt haben mag, die Funktion „Suchbarkeits-Einstellungen“ aber seit Anmeldung 2013 bis heute unverändert gelassen hat.
Die Einstellungsmöglichkeiten sind gesammelt über mehrere Links und Unterlinks zu erreichen, und es wurde seitens der Beklagten über die Nutzungs- und Findungsmöglichkeiten aufgeklärt. Insbesondere wird deutlich, dass man das Profil eines Nutzers über die Mobilfunknummer als solches finden kann, wenn man – wie der Kläger – die Suchbarkeitsfunktion über die Mobilfunknummer überhaupt und überdies für jedermann eröffnet. Auch darf man bei der Auslegung – worauf die Beklagte zutreffend verweist – nicht vergessen, dass die Seite ….com – wie ausgeführt – dem Finden und dem Austausch von Informationen in Form eines sozialen Netzwerkes dient. Dann aber ist es auch im Lichte der internetspezifischen Gepflogenheiten umso wichtiger, dass der Nutzer sich sorgfältig mit den Hinweisen auseinandersetzt, um für sich eine Entscheidung zu treffen, ob und welche Informationen er in welchem Umfang freigibt und wie weitgehend er die Kommunikationsplattform der Beklagten nutzen will.
(3) Kein Verstoß nach Art. 32 DSGVO
Ebenso wenig hat die Beklagte gegen ihre Pflicht, die personenbezogenen Daten der Nutzer, inklusive der des Klägers, ausreichend gemäß Art 32 DSGVO zu schützen, verstoßen. Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung, und zwar durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Art. 32 DSGVO verlangt Verarbeitungsprozessen ab, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u.a. davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten (AG Straußberg, Urteil vom 13.10.2022, 25 C 95/21, juris, Rn. 28).
Dies zu Grunde gelegt, hat die Beklagte gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, nicht verstoßen. Insbesondere war die Beklagte nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils des Klägers aufgrund seiner selbst gewählten Einstellung zu verhindern. Diese lautete, dass ihn alle („everyone“) über seine Telefonnummer („by phone number“) finden können. Diese Einstellung beinhaltet dann aber auch das Finden des Klägers durch Dritte über seine Mobilfunknummer, die Dritte etwaig auch unter Zuhilfenahme elektronischer Möglichkeiten zufällig erzeugt haben und so einen Abgleich von in den Kontaktimporter der Plattform von F. hochgeladenen und etwaig generierten Telefonnummern mit der mit dem dort eingerichteten Konto des Klägers verknüpften Telefonnummer vornehmen. Denn auch Dritte fallen unter den Begriff „everyone“. Unstreitig sind die Daten des Klägers von Dritten gescrapt, mithin verarbeitet worden i.S.d. Art. 4 Nr. 2 DSGVO. Allerdings war die Beklagte nicht verpflichtet, diese Daten vor der Verarbeitung durch die Scraper zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des Klägers, nämlich seinen Namen, sein Geschlecht und seinen Benutzernamen, um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnliches abrufbar sind, was dem Kläger bereits durch die Anmeldung bekannt war. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig. Diese Verarbeitung in Form des Scrapens erfolgt auch durch Dritte und nicht durch die Beklagte.
Auch das Vorbringen des Klägers, ihm seien zum Zeitpunkt seiner Registrierung als Nutzer die Standardeinstellungen auf der Plattform „F.“ nicht bekannt gewesen, rechtfertigt nicht die Annahme, die Beklagte habe gegen ihr obliegende Schutzpflichten verstoßen. Denn die Beklagte durfte und musste aufgrund der internetspezifischen Gepflogenheiten und der von ihr erteilten Hinweise und Hilfestellungen davon ausgehen, dass dem Kläger bekannt ist, dass sein Name, sein Geschlecht und sein Benutzername für jedermann abrufbar ist. Die Beklagte hatte daher keine Veranlassung, diese Daten vor der Erhebung durch Dritte zu schützen. Die Beklagte hat nämlich den Kläger, bevor dieser sich registrieren konnte, auf ihre Datenverwendungsrichtlinien hingewiesen, und der Kläger hat vor seiner Registrierung bestätigt, diese gelesen zu haben. Die seinerzeit maßgeblichen Datenverwendungsrichtlinien der Beklagten enthielten die erforderliche Information, dass Name, das Geschlecht und der Nutzername immer öffentlich zugänglich sind, d. h. von jeder Person gesehen werden können.
Soweit der Kläger zuletzt in der mündlichen Verhandlung vom 10.11.2022 bestritten hat, Daten öffentlich gestellt zu haben und wiederholt darauf unter Vorlage eines entsprechenden Ausdrucks verwiesen hat, dass die Einstellung zu seiner Telefonnummer „nur ich“ bezogen auf die Suchbarkeit lautet, so ist dieses Bestreiten unbeachtlich angesichts des Umstandes, dass die Beklagte einen entsprechenden Screenshot (Bl. 230) zur Akte gereicht hat, der genau diese Einstellung (bezogen auf die Einstellung der Suchbarkeit – die sog. „Zielgruppenauswahl“ –) widerspiegelt. Der Kläger hat auch nicht etwa vorgetragen, Zweifel an der Echtheit dieses Screenshots zu haben, sondern er beschränkt seinen Vortrag darauf, dass er wiederholt auf die Einstellung der Nichtsuchbarkeit der Telefonnummer für andere Personen abstellt. Soweit der Kläger etwaig den Unterschied zwischen der Einstellung „Zielgruppenauswahl“, d. h. Einstellungen, die festlegen, wer welche Information im F.-Profil sehen kann, und der Einstellung „Suchbarkeitseinstelllungen“, d. h. wer das Profil eines Nutzers anhand der Telefonnummer – ohne dass diese sichtbar ist – finden kann, verkennt oder subjektiv nicht zutreffend erfasst hat, ändert das nichts an dem Umstand, dass dieser Unterschied besteht und die Beklagte hierauf auch ausführlich in ihren Hilfeeinstellungen und Einstellungshinweisen verständlich verweist. Insoweit wird lediglich auf den Screenshot der Beklagten zu „Privatsphäre-Einstellungen und Tools (Bl. 201 der GA) Bezug genommen.
Dass nicht öffentlich zugängliche Informationen von Dritten erhoben worden sind, kann nicht festgestellt werden. Für seine dahingehende Behauptung, die mangels Angabe, um welche personenbezogenen Daten es sich überhaupt handelt, tritt der Kläger zudem keinen tauglichen Beweis an. Die Inaugenscheinnahme der von ihm angegebenen Webseite ….com ist als Beweismittel ungeeignet, da dort die durch das Scraping abgerufenen Daten lediglich abstrakt beschrieben werden; welche konkreten personenbezogenen Daten des Klägers – neben den immer öffentlich zugänglichen Informationen – erhoben worden sind, wird dort nicht angegeben. Der Kläger legt dies selbst schon nicht dar.
Der von den Scrapern unter Nutzung des Kontakt-Importers der Plattform „F.“ hergestellte Abgleich zwischen der von ihnen hochgeladenen Telefonnummer des Klägers mit seinem Konto stellt zwar eine Verarbeitung i.S.d. DSGVO dar. Jedoch war die Beklagte nicht verpflichtet, das Konto des Klägers vor dessen Auffinden über die Telefonnummer zu schützen, da der von den Scrapern hergestellte Abgleich als solcher nicht unbefugt bzw. unrechtmäßig war. Zuzugestehen ist dem Kläger insoweit lediglich, dass die Beklagte aufgrund der Fülle an personenbezogener Daten dafür sorgen muss, dass gerade sensiblere Daten wie Email-Adressen oder Telefonnummern nicht einfach und schnell zu erlangen sind. Dies tut sie aber bereits dadurch, dass die Freigabe der Telefonnummer lediglich eine Komfortfunktion für den Fall ist, dass ein User – so auch der Kläger – besser gefunden werden will. Bei Inanspruchnahme dieser Funktion – wie bereits dargestellt – über Hinweise und Hilfestellungen auf die jeweiligen Schutzmöglichkeiten aufmerksam gemacht.
Der Kläger hat unter der Einstellung „Zielgruppenauswahl“ selbst seit 2013 unverändert gelassen, dass ihn „everyone“ „by phone number“ suchen kann. Der Kläger hat der Beklagten seine Telefonnummer freiwillig angegeben, die die Beklagte im Rahmen der Suchbarkeits-Einstellungen verwendete, um festzulegen, welche Personen das Konto des Klägers anhand dessen Telefonnummer finden können – nämlich alle Personen. Der von den Scrapern veranlasste Abgleich war folglich jeder Person, die – wie die Scraper – über die Telefonnummer des Klägers verfügte oder sie technisch erzeugte, möglich und ist nicht unbefugt bzw. unrechtmäßig im Sinne der DSGVO.
Soweit der Kläger vorträgt, dass ihm nicht bekannt war, dass alle Personen über seine Telefonnummer sein Konto finden können, hat dies nicht zur Folge, dass die Beklagte verpflichtet war, Schutzmaßnahmen zu ergreifen, die das Konto des Klägers vor einem Auffinden über seine Telefonnummer schützten. Denn die Beklagte musste angesichts ihrer Hinweise in den Datenverwendungsrichtlinien, die der Kläger als gelesen bei der Registrierung angab, annehmen, dass dem Kläger bekannt ist, dass sein Konto über seine Telefonnummer für jedermann aufzufinden ist. Aufgrund sorgfältiger Lektüre der Datenverwendungsrichtlinien wäre es dem Kläger möglich gewesen, bei Einstellung der „Zielgruppenauswahl“ den Kreis der berechtigten Personen, die ihn durch seine Telefonnummer auffinden können, zu begrenzen. Der Kläger hatte es selbst in der Hand, unter Zuhilfenahme des jedem Nutzer der Plattform zugänglichen Hilfebereichs die Suchbarkeitseinstellungen für sein Konto dahingehend anzupassen, dass nicht alle Personen, die seine Telefonnummer hochladen, sein Konto auffinden. Dabei verkennt die Kammer nicht, dass beim Scrapen der jeweilige Scraper sich unter Umständen auch computerunterstützter Hilfe bedient und künstlich Handynummern erzeugt, die dann – wie hier – mit der echten Handynummer eines F.-Nutzers übereinstimmten und so die – öffentlich zugänglichen Daten – abgreift. Diese Vorgehensweise ist aber nur möglich, weil der Kläger selbst die Einstellung belassen hat, dass ihn jedermann über seine Mobilfunknummer finden kann. Über die Datenschutzrichtlinie hat die Beklagte den Kläger hinreichend auf begrenzte Einstellungsmöglichkeiten verwiesen. Es ist der Beklagten weder abzuverlangen, dass sie diese Grundeinstellung ändert noch, dass sie eine technische Barriere einrichtet, etwa in Form einer 2-Phasen-Autentifizierung oder einer anderen Hürde, wonach jemand, der ein Profil sucht, sich erst legitimieren muss (Stichwort: „Ich bin kein Roboter“), um sodann unter Zuhilfenahme technischer Programme bzw. künstlicher Erzeugung von Telefonnummern, öffentlich einsehbare Daten zu scrapen.
Der Kläger selbst hat seine Suchbarkeitsfunktion auf „everyone“ belassen, nachdem er sich entschlossen hat, die Komfortfunktion „Angabe der Telefonnummer“ zum komfortableren Finden von etwaigen Kontakten zu nutzen. Es widerspricht dem Zweck von F., einerseits eine Social Media Plattform zur leichten Kontaktaufnahme und Kommunikation einzurichten, die der jeweilige User durch Hinweis und Zustimmung auf die Datenrichtlinien freiwillig nutzen kann und selbst nach Aufklärung bestimmen kann, ob und in welchem Umfang er Daten dort hinterlegt, um andererseits der Beklagten solche technischen Hürden abzuverlangen, die dem o.g. Nutzungszweck diametral entgegenstehen. Ein gewisses Risiko, dass über technische Programme selbst gewählte Freigaben ausgenutzt und missbraucht werden, verbleibt bei der Internetnutzung stets, ist aber nicht von der Beklagten, sondern vom Kläger zu tragen, der sich eigenverantwortlich zur Nutzung entschlossen hat und nach Zustimmung zur Datenschutzrichtlinie und nach Bereitstellung von Hilfestellungsmöglichkeiten selbst entscheiden konnte, wie weit er die Angebote nutzt. Scraping komplett zu unterbinden ist – unstreitig – nicht möglich, denn es nutzt die Möglichkeiten einer Website als Datensammlung gezielt aus. Wie auch bei F. ist das Scraping in den AGB der jeweiligen Websites oftmals untersagt, es zu kontrollieren fällt allerdings schwer und wird meist erst entdeckt, wenn die erlangten Daten (-sätze) auf anderen Websites veröffentlicht werden.
Zudem leitet sich aus der DSGVO kein Anspruch auf bestimmte konkrete Sicherungsmaßnahmen ab, sondern die Beklagte muss allenfalls für ein hinreichendes Schutzniveau sorgen, was vorliegend geschehen ist. Die Beklagte beschäftigt nach eigenen Angaben ein EDM-Team (External-Data-Misuse-Team) und verfügt nach eigenen Angaben auch über Datenübertragungsbeschränkungen, wenn von einer bestimmten IP-Adresse in einem bestimmten Zeitraum eine bestimmte Anzahl von Anfragen gestellt werden. Schließlich veröffentlichte sie am 19.4.2019 einen Artikel zu diesem Vorfall und weitere Artikel am 15. und 16.4.2021. Dies steht schon aufgrund der zur Akte gereichten veröffentlichten und mit einem Link angegebenen Artikel zur Überzeugung der Kammer i. S. d. § 286 ZPO fest. Einer Zeugeneinvernahme bedurfte es insoweit nicht. Selbst bei Wahrunterstellung dieser Maßnahmen durch die Beklagte ist – wie ausgeführt – unstreitig, dass Scraping sich nicht vollständig vermeiden lässt, da externe Dritte – d. h. sog. Scraper – gerade bemüht sind, etwa unter Verwendung einer Vielzahl von IP-Adressen und „gestaffelten“ Abfragen, diese Barrieren zu überwinden. Im Übrigen hat der Kläger – wie schon ausgeführt – auch nicht konkret dargelegt, welche seiner Daten gescrapt und veröffentlicht wurden. Insoweit beschränkt er sich auf teilweise divergierende enumerative Aufzählungen, ohne konkret zu benennen, welche dieser Daten konkret bei ihm abgegriffen worden sein sollen.
Selbst wenn man mit dem Kläger die Ansicht vertritt, dass im Lichte der Rechtsprechung des EuGH (Urteil vom 24.2.2022, C 175-20, Rn. 77, 78, s. a. BVerwG, Urteil vom 1.3.2022, 6 C 7/20, Rn. 49 f.) die Beklagte darlegen (und beweisen) muss, dass sie die Bestimmungen der DSGVO eingehalten hat, so ist ihr dies angesichts der dezidierten Ausführungen zu den Hilfeeinstellungen und Hinweisen sowie Ausführungen zu Sicherungs- und Schutzmaßnahmen gelungen. Das einfache Bestreiten des Klägers ist unerheblich; einer irgendwie gearteten Beweisaufnahme bedarf es nicht.
(4) Art. 24, 25 Abs. 2 DSGVO
Die Beklagte hat auch nicht gegen das in Art. 24, 25 Abs. 2 DSGVO verankerte Prinzip „Privacy by default“ verstoßen haben. Demnach muss der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
Dies soll vor allem den technisch unversierten Nutzer schützen. Die Voreinstellungen sollen möglichst datenschutzfreundlich eingestellt werden, um die Privatsphäre der Nutzer zu gewährleisten. Der Nutzer kann dann noch individuell Anpassungen nach seinen Wünschen vornehmen. Unstreitig sind für die Registrierung nur der Name, das Geschlecht und die ID sichtbar, die auch stets öffentlich sichtbar sind, wozu jeder User aber durch Akzeptieren der Datenschutzbestimmungen zustimmt. Soweit jemand sich dann noch entschließt seine Telefonnummer zu hinterlegen, was für die Registrierung bei F. nicht erforderlich ist, sondern es lediglich einfacher machen soll, gefunden zu werden, ist diese Einstellung zwar zunächst auf „everyone“ „by phone number“ gestellt. Ändert man diese Einstellung nicht, so kann der jeweilige Nutzer über seine E-Mail-Adresse und Mobilnummer gefunden werden und ihm eine Freundschaftsanfrage geschickt werden. Der technisch unkundige Nutzer wird gleichwohl über die entsprechenden Hinweise hinreichend informiert und über Einstellungsmöglichkeiten und deren Begrenzungsmöglichkeiten in Kenntnis gesetzt. Zudem muss sich jeder Internetnutzer, der insbesondere eine Plattform eines sozialen Netzwerkes wie das der Beklagten nutzt, bewusst sein, dass es Internetgepflogenheiten gibt, mit denen man sich vertraut zu machen hat, will man solche Kommunikationsplattformen gebrauchen. Der Schutz des Art. 25 DSGVO reicht nicht so weit, dass er den jeweiligen Nutzer vor den internetspezifischen Gepflogenheiten vollends schützt; vielmehr muss sich der jeweilige Nutzer, der einer Plattform eines sozialen Netzwerks beitreten will, mit den geltenden Gepflogenheiten vertraut sein. Bei einer Plattform, die auf Kontaktsuche und das Finden von Kontakten ausgerichtet ist und auf der die Beklagte angibt, dass das nicht zwingend erforderliche Hinterlegen der Telefonnummer es ermöglicht, leichter gefunden zu werden und die Zwecke der Plattform besser zu nutzen, muss der jeweilige Nutzer eigenverantwortlich entscheiden, in welchem Umfang er diese Möglichkeiten nutzt und entsprechende Daten freigibt.
Auch hat die Beklagte in der Klageerwiderung – wie bereits ausgeführt – im Rahmen einer sekundären Darlegungslast substantiiert dargelegt, dass sie entgegen der pauschalen Behauptung des Klägers technische Maßnahmen ergriffen hat, um Scraping zu erschweren, indem sie nämlich eine Hürde implementiert hat, wonach Abfragen in gewissem Umfang von ein- und derselben IP-Adresse in einem bestimmten Zeitraum nicht möglich sind bzw. gestoppt werden, ebenso wie sie auch unter Verweis auf diverse Artikel, deren Link sie ebenfalls bekannt gegeben hat, die User informiert hat und schließlich über ein Team verfügt, das sich einzig mit der Verhinderung von Missbrauch von Daten ihrer User beschäftigt. Angesichts dieser konkreten Ausführungen wäre von dem Kläger zu erwarten gewesen, dass er im Lichte dieses Vortrags weiter ausführt, warum er trotzdem von einem Verstoß gegen Art. 25 DSGVO ausgeht. Der bloße Verweis auf den Scrapingvorfall 2019 allein genügt nicht angesichts des Umstandes, dass Unbekannte im Internet stets bestrebt sind, Sicherheitsvorkehrungen von Dritten zu überwinden. Einen Anspruch auf konkrete Sicherheitsmaßnahmen – die der Kläger allerdings ohnehin nicht benennt – hat er hingegen nicht. Insoweit kommt es dann – wie die Beklagte zutreffend ausführt – nicht darauf an, ob konkrete Einzelmaßnahmen im Sinne der Wunschvorstellungen einer Partei ergriffen wurden, sondern darauf, ob die gesamten Schutzmaßnahmen ein angemessenes Schutzniveau aufweisen, welches ex-ante zu bestimmen ist (vgl. dazu: Kühling/Buchner, DSGVO, Art. 32, Rn. 5 und 8 m.w.N.; Gola, DSGVO, Art. 25, Rn. 2). Angesichts der im Rahmen der sekundären Darlegungslast aufgezeigten vielfältigen Schutzmaßnahmen genügt – wie ausgeführt – der pauschale Verweis auf den Scrapingvorfall als solchen und die Benennung einzelner Maßnahmen, etwa eine Captcha-Abfrage, nicht. Auch wenn man die Darlegungslast anders sieht im Lichte der bereits zitierten Rechtsprechung des EuGH, so wäre die Beklagte dieser nachgekommen, und der Kläger hätte dies nicht erheblich bestritten, so dass es auch insoweit nicht einer Beweisaufnahme bedurfte.
(5) kein Verstoß gegen Art. 32 DSGVO
Angesichts des Umstandes, dass der Kläger sich selbst dazu entschlossen hat, sich öffentlich durch jedermann über seine Telefonnummer suchen zu lassen, auch wenn diese nur ihm selbst angezeigt wird, besteht keine Verpflichtung der Beklagten diese insoweit vertraulich zu behandeln und entgegen dem erklärten Willen des Klägers nicht technisch durch eine Suchfunktion auffinden zu lassen. Denn die Telefonnummer als solche ist nicht einsehbar, sondern wird nur dem Kläger angezeigt. Dennoch ist es technisch möglich, bei Kenntnis der Telefonnummer oder künstlichen Generieren von Nummern auch mit der zufälligen Generierung der Mobilfunknummer des Klägers ihn so auf F. zu finden. Der Kläger hat sich über die Suchbarkeitsfunktion durch alle über die Mobilfunknummer selbst gegen eine entsprechende Vertraulichkeit ausgesprochen. Dass er sich möglicherweise trotz der Hilfestellungen und Hinweise, die nach Inaugenscheinnahme durch die Kammer über die zur Akte gereichten Screenshots über den Unterschied zwischen der (Nicht-) Anzeige der Telefonnummer und der Suchbarkeit über seine Mobilfunknummer nicht hinreichend informiert hat, geht indes nicht zu Lasten der Beklagten, die Informationsmöglichkeiten und Hilfestellungen zur Verfügung gestellt hat.
(5) kein Verstoß gegen Art. 33 DSGVO
Die Beklagte hat ihre Pflicht gemäß Art 33 DSGVO, der zuständigen Aufsichtsbehörde den Datenschutzverstoß zu melden, ebenfalls nicht verletzt. Gemäß Art 33 DSGVO meldet der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Meldung gegenüber der Aufsichtsbehörde ermöglicht es dieser über Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung zu entscheiden (vgl. LG Essen, Urteil vom 23.9.2021, AZ.: 6 O 190/21, ZD 2022, 50, m.w.N.). Der Beklagten wurde der Datenschutzvorfall spätestens am 03.04.2021 bekannt, denn zu diesem Zeitpunkt schilderte sie Ihr Vorgehen zu dem Scraping-Vorfall auf Ihrer Website. Der zuständigen Aufsichtsbehörde, Irish Data Protection Commission (IDPC, gem. Art 55 DSGVO) wurde unstreitig allerdings kein solcher Vorfall gemeldet. Da hierin aber der Beklagten kein Datenschutzverstoß anzulasten ist (s. o.), musste sie diesen auch nicht melden.
(6) kein Verstoß gegen Art. 35 DSGVO
Soweit der Kläger den geltend gemachten Schadensersatz auf eine Verletzung des Art. 35 DSGVO durch die Beklagte stützt mit der Behauptung, die Beklagte habe keine Datenschutz-Folgeabschätzung im Sinne des Art. 35 DS-GVO durchgeführt, verfängt er hiermit nicht. Selbst wenn die irische Datenschutzaufsichtsbehörde Ermittlungen gegen die Beklagte aufgenommen haben sollte, kann hieraus nicht geschlossen werden, dass die Beklagte im maßgeblichen Zeitraum gegen Art. 35 DSGVO verstoßen hat. Selbst wenn man annähme, dass die Beklagte in diesem Zeitraum eine Folgenabschätzung trotz hohen Risikos für die Rechte und Freiheiten der Nutzer der Plattform F. nicht durchgeführt hat, ist nicht ersichtlich, dass die unterlassene Folgeneinschätzung (mit-)ursächlich für den vom Kläger geltend gemachten Schaden war, nämlich den Verlust über die Kontrolle seiner gescrapten Daten. Hiergegen spricht bereits, dass es sich bei den gescrapten Daten um immer öffentlich zugängliche Informationen des Profils des Klägers auf der Plattform F. handelt und der Kläger auch nach Bekanntwerden und Information bis heute – selbst in Kenntnis der dezidierten Ausführungen in der Klageerwiderung zu den unterschiedlichen Privatsphäreeinstellungen – keinerlei Einstellungsänderungen bezogen auf seine Suchbarkeitsmöglichkeiten vorgenommen hat (vgl. auch AG Strausberg, Urteil vom 10.2022, 25 C 95/21, a. a. O., Rn. 20).
(7) kein Verstoß gegen Art. 15 DSGVO
Schließich hat die Beklagte nicht gegen Art. 15 DSGVO verstoßen, indem sie dem Kläger keine bzw. unvollständige Auskünfte erteilt hat. Der Anspruch auf Auskunftserteilung ergibt sich aus Art 15 Abs. 1 a), c) DSGVO. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und über die a.) Verarbeitungszwecke und über c.) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen. Da das Schreiben der Beklagten Nutzer ID, Vorname, Nachname, Land und Geschlecht enthält, ist der Anspruch insoweit erfüllt und erloschen (§ 362 Abs. 1 BGB). Nicht beantwortet wird durch die Beklagte in dem außergerichtlichen Schreiben, welchen Empfängern die Daten des Klägers durch Ausnutzung des Kontakt-Import Tools im Sinne des Art. 15 Abs. 1 c) DSGVO zugänglich gemacht wurden. Das Scraping ist allerdings –
wie vorstehend ausgeführt – von außen erfolgt und es nicht erkennbar, wer diese Daten gescrapt hat. Die begehrte Auskunftserteilung ist aufgrund des Vorganges des Scrapings unter Ausnutzung von Daten, die auf „öffentlich“ gestellt sind, unmöglich. Ebenso ist im Rechtssinne unmöglich (und es wird auch nicht näher dargelegt, wie die Beklagte mitteilen können soll), zu informieren, wann die Daten gescrapt wurden. Der Kläger geht selbst von 2019 aus bzw. von der Veröffentlichung dann im April 2021. Dieser Zeitrahmen ist dem Kläger bekannt; eine genaue Eingrenzung in Bezug auf seine Daten ist nicht möglich. Die Beklagte hat dem Kläger im Ergebnis also alle Informationen mitgeteilt, die ihr im Zuge des Scraping-Vorfalls zur Verfügung standen. Weitere Angaben kann sie nicht machen. Sie ist folglich hierzu auch nicht verpflichtet. Darüber hinaus ist zu bedenken, dass der Kläger selbst in der mündlichen Verhandlung vor der Kammer ausweislich des Sitzungsprotokolls vom 10.11.2022 angegeben hat, seine Profileinstellungen bis zum Schluss der mündlichen Verhandlung unverändert gelassen zu haben.
cc. kein restitutionsfähiger Schaden
Unabhängig davon fehlt es an einem ersatzfähigen Schaden des Klägers im Sinne des Art. 82 Abs. 1 DSGVO. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31). Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, beispielsweise die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31; vgl. LG Köln, Urteil vom 07.10.2020 – 28 O 71/20). Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt (vgl. LG Landshut, Urteil vom 06.11.2020 – 51 O 513/20).
Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund Nr. 146, auch wenn er in der DSGVO nicht näher definiert wird). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen (Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 17 m. w. N.; Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 82 Haftung und Recht auf Schadenersatz Rn. 10 b). Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insbesondere durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen Nr. 75 kann ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl oder –betrug, Rufschädigung, Verluste der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten.
Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar (vgl. Urteil der Kammer: LG Essen, Urteil vom 23.9.2021, Az.: 6 O 190/21, ZD 2022, 50; LG Köln, Urteil vom 18.05.2022, Az.: 28 O 328/21, BeckRS 2022, 11236). Dies wird auch aus Art 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DSGVO erzielen (LG München I, Urteil vom 09.12.2021, Az.: 31 O 16606/20, BKR 2022, 131).
Allein eine Verletzung des Datenschutzrechts als solche – die die Kammer nicht festzustellen vermochte – begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (vgl. LG Hamburg, Urteil vom 04.09.2020 – 324 S 9/19). Verletzung und Schaden sind nicht gleichzusetzen. Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (vgl. LG Landshut, Urteil vom 06.11.2020 – 51 O 513/20).
In den Erwägungsgründen Nr. 75 und 85 werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Zudem nennt Erwägungsgrund 75 auch die bloße Verarbeitung einer großen Menge personenbezogener Daten einer großen Anzahl von Personen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund Nr. 146 S. 6), das heißt „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein (AG Diez v. 7. 11. 2018, Az. 8 C 130/18), um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen, s. Urteil der Kammer 6 O 190/21, nicht rechtskräftig).
Gemessen an diesen Grundsätzen hat der Kläger schon keine spürbare Beeinträchtigung – hervorgerufen durch Datenverlust – von persönlichen Belangen dargelegt. Der Kläger trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 auf der eingangs benannten Seite sei es zu einem Anstieg von SMS und Mails gekommen. Zugleich hat er aber im Rahmen seiner Anhörung gemäß § 141 ZPO bekundet, seit Entdeckung des Scraping-Vorfalls im April 2021 nichts an seinen Profileinstellungen bei F. geändert zu haben. Schon dieser Umstand lässt die Angabe, Furcht vor einem Kontrollverlust über seine Daten zu haben, unplausibel erscheinen.
Unabhängig davon genügt aber selbst die Annahme nicht, dass der Kläger unter einer Furcht vor einem Kontrollverlust leidet, um einen Schaden im Sinne der DSGVO zu bejahen. Der Kläger spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-Mails und Nachrichten. Unerwünschte E-Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen F.-Account haben und dort ihre Telefonnummer hinterlegt haben.
Der Hinweis des Klägers darauf, dass nur den Wenigsten eine konkrete (und wohl auch erhebliche) Schadendarstellung gelingen dürfte und er wegen der Reichweite und der Größe des behaupteten Datenlecks schon aufgrund einer bloßen Gefährdung einen Schaden unter Bezugnahme auf LG München (Urteil vom 9.12.2021 – 31 O 16606/20, BeckRS 21/41707 und Urteil vom 20.1.2022 – 3 O 17493/20 – BeckRS 6105) bejahen will, ist diese Rechtsprechung nicht ohne Weiteres auf die vorliegende Konstellation übertragbar. Das LG München hat Schadensersatz aufgrund einer Gefährdung eines Identitätsmissbrauch zugesprochen. In dem zu Grunde liegenden Fall wurden Daten veröffentlicht, nämlich „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“. Vorliegend geht es um ein öffentliches Profil nebst Telefonnummer und damit deutlich weniger sensible Daten. Eine Telefonnummer kann man wechseln. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich (so auch: LG Karlsruhe, Urteil vom 09.02.2021, Az.: 4 O 67/20, ZD 2022, 55). Insbesondere würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund Nr. 75. Der Erwägungsgrund Nr. 75 stützt die bisher vertretene Auffassung der Kammer (s. Urteil der Kammer vom 23.9.2021, Az.: 6 O 190/21, ZD 2022, 50), da aus Risiken für die Rechte und Freiheiten natürlicher Personen physische, materielle oder immaterielle Schaden entstehen können. Insoweit sind Schäden aber kein zwangsweise Produkt aus einem Risiko für die Rechte und Freiheiten natürlicher Personen aus einer Verarbeitung personenbezogenen Daten, vielmehr sind diese nur fakultativ. Der Sinn der Verordnung wird aber nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes Risiko bestehen, dass die Daten missbraucht werden. Dies konnte die Kammer im Lichte der Angaben des persönlich gehörten Klägers nicht feststellen, der bis heute seine Suchbarkeitseinstellungen trotz behaupteten Unwohlseins nicht verändert hat.
Es bedurfte auch keiner Aussetzung des Verfahrens und Vorlage an den EuGH nach § 148 ZPO mit Blick auf die anstehende Entscheidung des Gerichtshofs der Europäischen Union zur Rechtssache C 300/21 (Österreichische Post) zu der Frage, ob es eines konkreten, messbaren Schadens bedarf.
So mag Generalanwalt R. jüngst zu Art. 82 Abs. 1 DSGVO ausgeführt haben, dass diese Norm zwei eigene, separate Voraussetzungen hat, nämlich: (i) einen Verstoß gegen die DSGVO und (ii) einen tatsächlichen materiellen oder immateriellen Schaden.
Läge bei jedem DSGVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Auf die Frage des konkreten Schadens kommt es aber deshalb nicht entscheidungserheblich an, weil die Klage – wie ausgeführt – auch aus anderen Gründen ohne Erfolg bleibt. Vorliegend scheitert das Klagebegehren nicht nur am fehlenden Schaden nach vorgenanntem Verständnis, sondern auch an dem Umstand, dass die vom Kläger benannten Normen der DSGVO schon keinen Schadenersatzanspruch nach Art. 82 DSGVO auszulösen vermögen, selbst wenn man entgegen der hier vertretenen Ansicht einen oder mehrere Verstöße bejahen wollte. Unabhängig davon fehlt es an feststellbaren Verstößen.
Da die Kammer im vorliegenden Falle nicht letztinstanzlich entscheidet, trifft sie keine Vorlagepflicht gem. § 267 Abs. 3 AEUV; allenfalls wäre ihr eine Vorlagemöglichkeit gem. § 267 Abs. 2 AEUV eröffnet, zu der sie aus den nachfolgenden Gründen keinen Anlass sieht: Zunächst sieht die Kammer ihr Ermessen aus Art. 267 Abs. 2 AEUV nicht auf Null reduziert, weil es durchgreifende Bedenken wegen der unionsrechtlichen oder grundrechtlichen Gültigkeit der entscheidungserheblichen Norm hat (OLG Frankfurt, Beschl. v. 07.02.2019 – 17 U 209/18). Die Vorlage einer Auslegungsfrage an den EuGH ist dann nicht angezeigt, wenn die gerichtliche Anwendung des Gemeinschaftsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt (EuGH, Urt. v. 06.10.1982 – 283/81 „CILFIT“) oder wenn es auf diese Frage, wie bereits ausgeführt, nicht alleinentscheidend ankommt, da vorliegend ein Anspruch auch an anderen Voraussetzungen scheitert. Daher war die Kammer auch nicht nach Ausübung pflichtgemäßen Ermessens zur Vorlage verpflichtet.
dd. keine Kausalität
Schließlich fehlt es vorliegend auch an einer Kausalität. Soweit der Kläger behauptet, er erhalte unerwünschte Anrufe, Nachrichten und E-Mails, so handelt es sich insoweit ebenfalls um eine Erscheinung, die bereits mit der Nutzung des Internets als solcher zusammenhängt. Der Kammer ist insoweit aus eigener Anschauung bekannt, dass auch Personen ohne F.-Account unerwünschte Anrufe unter der vermeintlichen Behauptung, es sei „Interpol“ – wie sie auch der Kläger in seiner persönlichen Anhörung vor der Kammer benannte – oder Nachrichten (etwa Spam- oder unerwünschte Werbe-E-Mails) erhalten. Selbst wenn beim Kläger tatsächlich derartige Anrufe seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kläger an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu diesem – zu Gunsten des Klägers als wahr unterstellten vermehrten unerwünschten E-Mail und Anruf-Aufkommens – geführt hat. Unabhängig davon ist die Kausalität schon deshalb zu verneinen, weil der Kläger ausweislich seiner eigenen Angaben vor der Kammer im Rahmen seiner persönlichen Anhörung gemäß § 141 ZPO ausgeführt hat, bis heute keinerlei Änderungen in seinen Profileinstellungen oder sonstige Schutzmaßnahmen ergriffen zu haben. Dann aber ist nicht erkennbar, worin ein kausaler Schaden liegen soll. Soweit der Kläger meint, einen Schmerzensgeldanspruch auf einen Verstoß der Beklagten gegen Art. 34 DSGVO stützen zu wollen, weil die Beklagte ihm verspätet Auskünfte erteilt hat, geht er bereits deshalb fehl, weil nicht erkennbar ist, was er unternommen hätte, wenn er – aus seiner Sicht – eher besagte Auskunft von der Beklagten erhalten hätte. Denn der Kläger hat auch nach aus seiner Sicht verspäteter Auskunftserteilung keinerlei Maßnahmen zum Eigenschutz ergriffen. Es ist angesichts dessen schon unklar, warum die erteilten Auskünfte überhaupt verspätet sein sollen, da der Kläger nach eigener Bekundung mit den erhaltenen Auskünften nichts unternommen hat. Dann aber erschließt sich auch nicht, was er mit aus seiner Sicht früher zu erteilenden Auskünften getan hätte, unabhängig von der weiteren Fragen des „ob“ eines Schadens.
ee. anspruchsausschließendes Mitverschulden
Im Lichte der vorstehenden Ausführungen bedurfte es seitens der Kammer keiner abschließenden Erörterung, ob ein etwaiger Schadensersatzanspruchs wegen anspruchausschließenden Mitverschulden ausgeschlossen ist, insoweit merkt die Kammer lediglich obiter dictum an, dass im Schrifttum umstritten ist (vgl. zum Meinungsstand: Tager/Gabel, DSGVO, a. a. O., Art. 82 Rn. 36), ob auch im Rahmen von Schadensersatzansprüchen nach den Normen der DSGVO ein anspruchsminderndes oder anspruchsausschließendes Mitverschulden zu prüfen sei. Die bejahende Ansicht, zu der auch der vorgenannte Kommentar zählt, verweist darauf, dass eine solche Regelung der DSGVO nicht enthalten ist und daher auf nationales Recht (analog) zurückgegriffen werden könne, während die verneinende Ansicht einzig auf Art. 82 Abs. 3 DSGVO abstellt, der lediglich eine Exkulpation des Schädigers vorsehe, die dieser aber beweisen müsse. Für einen Rückgriff auf das Mitverschulden gemäß § 254 BGB analog spricht aus Sicht der Kammer, dass ein Schutz nur soweit reichen kann und muss, soweit sich der Geschädigte sich nicht selbst des Schutzes begibt. So aber liegt hier der Fall. Denn aufgrund der vom Kläger selbst zur Akte gereichten Screenshots steht fest, dass er die – wenn auch mehrschichtigen – Informationen hatte, wie er seine Privatsphäre schützen kann. Zudem hat er selbst in Kenntnis des hiesigen Klageverfahrens und der Informationen der Gegenseite zur Differenzierung „Sichtbarkeit der Telefonnummer“ und „Suchbarkeitsmöglichkeiten“ seit 2013 bis zum Schluss der mündlichen Verhandlung keinerlei Profiländerungen vorgenommen und etwa die Suchbarkeitsfunktion begrenzt oder die Nutzung der Komfortfunktion unter Verwendung der Mobilfunknummer korrigiert.
ff. Höhe des Anspruchs:
Mangels Anspruch dem Grunde nach sind auch vertiefte Ausführungen zur Höhe des geltend gemachten Schadensersatzanspruchs entbehrlich. Zuzugestehen mag dem Kläger wegen des präventiven und sanktionellen Charakters des Schmerzensgeldanspruchs aus der DSGVO sein, dass ein Schmerzensgeld in Höhe von 1.000,- € bei einem Verstoß nicht fernliegend wäre. Dies deckt sich auch mit dem europarechtlich weit gefassten Schadenbegriff, der nur bei einer entsprechenden Weite seiner intendierten Abschreckungswirkung gerecht werden kann. Es ist jedoch anzumerken, dass sich der Kammer mangels entsprechender Ausführungen schon nicht erschließt, warum außergerichtlich ein Schmerzensgeld in Höhe von 500,- € begehrt wurde und nunmehr bei gleichbleibender Argumentation im gerichtlichen Verfahren 1.000,- € begehrt werden.
2. Kein Anspruch aus nationalen Vorschriften
Die Kammer vermochte ebenfalls keinen Schmerzensgeldanspruch nach nationalen Vorschriften für begründet erachten.
a) Anwendbarkeit nationalen Rechts neben der DSGVO
Es kann im Ergebnis dahinstehen, ob die DSGVO als unmittelbar geltendes europäisches Recht nationales Recht verdrängt oder ein Nebeneinander anzunehmen ist. Teile der Rechtsprechung (LG Essen, Urteil vom 12.5.2022, 1 O 272/21, noch nicht veröffentlicht; KG Berlin, Beschluss vom 2.2.2021 – 9 W 1117/20 – juris, Rn. 44) und wohl der überwiegende Teil der Literatur nehmen ein Nebeneinander an (exemplarisch BeckOK DatenschutzR/Quaas, 38. Ed. 1.11.2021, DSGVO Art. 82, Rn. 8; a. A.: LG Frankfurt, Urteil vom 18.9.2020, 2- 27 O 100/20 – juris, Rn. 56). Doch auch bei Annahme eines „Nebeneinanders“ ist ein Schmerzensgeldanspruch des Klägers unbegründet. Im Einzelnen:
b) Kein Anspruch auf Schadensersatz gemäß §§ 280 Abs. 1, Abs. 3, 281, 327, 327 e, 327 i BGB
Ein Anspruch gegen die Beklagte folgt nicht aus §§ 280 Abs. 1, Abs. 3, 281, 327, 327 e, i BGB. Ob die Parteien – der Kläger als Verbraucher gemäß § 13 BGB und die Beklagte als Unternehmer gemäß § 14 BGB – gemäß § 327 Abs. 1 BGB einen Verbrauchervertrag abgeschlossen haben, welche die Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen durch den Unternehmer gegen Zahlung eines Preises zum Gegenstand hat, kann dahinstehen, da die in Rede stehenden Verstöße 2019 und 2021 stattfanden, die Normen des §§ 327 ff. BGB aber erst zum 1.1.2022 in Kraft traten. Selbst wenn man gemäß Art 229 § 57 Abs. 2 EGBGB die Norm des § 327 e BGB auch auf vor dem 1.1.2022 abgeschlossene Verbraucherverträge, welche die Bereitstellung eines digitalen Produkts zum Gegenstand haben, anwenden will, weil es sich um ein Dauerschuldverhältnis handelt, da die vertragsgegenständliche Bereitstellung der Nutzungsmöglichkeit von F. keine einmalige Angelegenheit darstellt, sondern von Dauer ist, so müsste jedenfalls in Verstoß im Geltungszeitraum des § 327 BGB liegen, mithin nach dem 1.1.2022. Dies ist zu verneinen, da sowohl das Scrapen von Daten 2019 als auch deren Veröffentlichung durch Dritte im April 2021 vor dem Inkrafttreten der §§ 327 ff. BGB lagen.
c) kein Anspruch auf Schadensersatz gemäß § 280 Abs. 1 BGB i.V.m. Nutzungsvertrag sui generis
Ebenso wenig kommt ein Schadensersatzanspruch gegen die Beklagte aus § 280 Abs. 1 i. V. m. einem Nutzungsvertrag sui generis in Betracht.
aa.
Durch Registrierung des Klägers auf der f.-Seite schlossen die Parteien einen Nutzungsvertrag. Die Beklagte stellt die Social-Media-Plattform F. zur Verfügung, welche der Kläger nutzt. Ein solcher Vertrag ist ein nicht normierter Vertrag sui generis (OLG München, Urteil vom 08.12.2020, Az.: 18 U 5493/19 Pre, GRUR 2021, 1099).
bb.
Es kann dahinstehen, ob die Beklagte eine Pflicht aus diesem Nutzungsvertrag verletzt hat, indem sie gegen Normen der DSGVO verstoßen haben soll, die durch Zustimmung der Geltung der Nutzungsbedingungen und der Datenschutzrichtlinie, die auf die DSGVO Bezug nimmt, Teil des Vertrages geworden sind. Denn selbst wenn man dies entgegen der Ausführungen unter B. I. 1. bejahen wollte, so fehlt es an einem Schaden gemäß §§ 249 ff. BGB. Das nationale Schadensrecht verlangt gerade eine spürbare Beeinträchtigung (s. Herberger/Martinek/Rüßmann/Weth/Würdinger, jurisPK-BGB, 9. Aufl., § 249 BGB (Stand: 08.09.2021), Rn. 26 ff.; KG Berlin, Beschluss vom 2.2.2021 – 9 W 1117/20 -, juris, Rn. 44 m. w. N.). Eine solche ist angesichts der vorstehenden Ausführungen, die hier sinngemäß gelten, zu verneinen.
Unabhängig davon müsste sich der Kläger ein anspruchsausschließendes Mitverschulden gemäß § 254 Abs. 2 BGB entgegenhalten lassen. Denn der Kläger hat in seiner persönlichen Anhörung gemäß § 141 ZPO bekundet, selbst in Kenntnis des gerichtlichen Verfahrens und Hinweises der Beklagten auf den Unterschied der Einstellung „Sichtbarkeit der Mobilfunknummer“ und Suchbarkeitsmöglichkeiten durch die Freigabe der Handynummer in letztgenannten Einstellung, die seit 2013 bis heute angesichts des zur Akte gereichten Screenshots unverändert auf „everyone“ steht, keine Änderungen vorgenommen zu haben. Zudem wurde offenkundig, dass der Kläger die entsprechenden Hinweise trotz Übersichtlichkeit und Verständlichkeit angesichts der zur Akte gereichten Screenshots offenbar nicht sorgfältig studiert hat, als er die Komfortfunktion „Suchbarkeitseinstellungen durch Angabe der Mobilfunknummer“ ausgewählt hat. Andernfalls wäre ihm der Unterschied der beiden Funktionen offenbar geworden.
d) kein Schadensersatzanspruch aus § 823 Abs. 1, 253 Abs. 2 BGB i. V. m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG.
Deliktische Schadensersatzansprüche wegen einer möglichen Verletzung des allgemeinen Persönlichkeitsrechts (§§ 823 Abs. 1, 253 Abs. 2 BGB i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG) erfordern den Eintritt eines immateriellen Schadens, den der Kläger – wie bereits ausgeführt – nicht schlüssig dargelegt hat. Insofern wird auf die obigen Ausführungen Bezug genommen, die hier gleichfalls sinngemäß gelten.
e) kein Schadenersatzanspruch aus § 823 Abs. 2 BGB i. V. m. dem Recht auf informationelle Selbstbestimmung
Ein Schadensersatzanspruch wegen Verstoß gegen § 823 Abs. 2 BGB i. V. m. dem Recht auf informationelle Selbstbestimmung scheitert ebenfalls am fehlenden Schaden des Klägers. Auf die vorstehenden Ausführungen zum nationalen Schadensbegriff wird zur Vermeidung von Wiederholungen nochmals verwiesen.
f) kein Schadenersatzanspruch aus §§ 1004 analog, 823 Abs. 2 i. V. m. Art. 13, 14 DSGVO
Auch bezogen auf einen Schadenersatzanspruch aus §§ 1004 analog, 823 Abs. 2 BGB i.V.m. Art. 13, 14 DSGVO wegen behaupteter, rechtswidriger Verarbeitung der personenbezogenen Daten des Klägers durch Datenverarbeitung ohne Erfüllung der Informationspflichten der DSGVO ist die Klage unbegründet. Zwar mag die DSGVO ein Schutzgesetz im Sinne des § 823 Abs. 2 BGB ein. Mangels schlüssig dargelegtem, kausalem Schaden ist ein solcher Anspruch jedenfalls unbegründet, unabhängig von der Frage, ob überhaupt ein Verstoß gegen Art. 13, 14 DSGVO wegen fehlender Information über die (weitere) Nutzung der mitgeteilten Mobilfunknummer vorliegt. Letzteres hat die Kammer ebenfalls verneint. Insoweit wird auf die eingangs getroffenen Ausführungen zur Vermeidung von Wiederholungen Bezug genommen.
II. kein Feststellungsausspruch
Die Klage auf Feststellung einer Ersatzpflicht künftiger materieller und immaterieller Schäden ist mangels Vorliegen eines Schadens – gleich ob nach nationalen Vorschriften oder nach den Bestimmungen der DSGVO – unbegründet.
III. kein Unterlassungsanspruch gemäß §§ 1004 analog, 823 Abs. 1 und Abs. 2 BGB i. V. m. Art. 6 DSGVO sowie Art. 17 DSGVO
Dem Kläger steht nach §§ 1004 analog, 823 Abs. 1 und aus Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO sowie Art. 17 DSGVO gegen die Beklagte ferner kein Anspruch auf Unterlassung zu, seine personenbezogenen Daten in Zukunft unbefugt, d.h. konkret ohne vorherige ausreichende Belehrung, zu veröffentlichen und diese zukünftig unbefugten Dritten zugänglich zu machen. Denn es fehlt bereits an einem Verstoß der Beklagten, der überhaupt zu einem Unterlassungsanspruch führen könnte, selbst wenn man Art. 6 DSGVO als Schutzgesetz im Sinne des § 823 Abs. 2 BGB ansieht.
Eine Rechtsnorm ist ein Schutzgesetz i.S.d § 823 Abs. 2 BGB, wenn sie zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen. Dafür kommt es nicht auf die Wirkung, sondern auf Inhalt und Zweck des Gesetzes sowie darauf an, ob der Gesetzgeber bei Erlass des Gesetzes gerade einen Rechtsschutz, wie er wegen der behaupteten Verletzung in Anspruch genommen wird, zu Gunsten von Einzelpersonen oder bestimmten Personenkreisen gewollt oder doch mitgewollt hat (BGH, Urteil vom 25.05.2020, Az.: VI ZR 252/19, NJW 2020, 1962). Art. 6 Abs. 1 DSGVO dient dem Schutz der Verarbeitung personenbezogener Daten. Der Zweck des Art 6 Abs. 1 DSGVO liegt darin, rechtswidrige Verarbeitungen personenbezogener Daten zu deklarieren und zu verhindern. Insoweit ist Art. 6 Abs. 1 DSGVO Schutzgesetz i.S.d. § 823 Abs. 2 BGB (LAG Hamm, Urteil vom 14.12.2021, Az.: 17 Sa 1185/20, ArbG Herne), ZD 2022, 295).
Es fehlt an einem Verstoß. Die Beklagte hat den Kläger ausreichend aufgeklärt gemäß Art 13 Abs. 1 DSGVO, insbesondere über die Zwecke der Verarbeitung sowie deren Rechtsgrundlage und die etwaigen Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (s.o.). Der Kläger hat zudem mit der Zustimmung zu den Nutzungsbedingungen und der Datenrichtlinie die Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben gemäß Art. 6 Abs. 1 S. 1 a.) DSGVO. Insbesondere wurden die Datenlinie sowie die Nutzungsbedingungen in einfach verständlicher Sprache abgefasst und sind einfach zugänglich, wenn auch mehrschichtig. Die Website der Beklagten weist einen sogar mehrfach darauf hin, dass man einen Privatsphärecheck machen kann. Insoweit entspricht das Ersuchen der Einwilligung auch den Voraussetzungen des Art. 7 Abs. 2 DSGVO. Wie ausgeführt, sind bei Auslegung nach dem objektiven Empfängerhorizont gemäß §§ 133, 157 BGB durchaus bei entsprechender Sorgfalt und Inanspruchnahme von Zeit die mehrschichtigen Hinweise nachvollziehbar (s. Screenshots in der Akte).
IV. kein Auskunftsanspruch gemäß Art. 15 DSGVO
Wie bereits unter B. II. ausgeführt, ist der Auskunftsanspruch durch das außergerichtliche Schreiben der Beklagten teilweise i. S. d. § 362 Abs. 1 BGB erloschen, soweit er die eigene Verarbeitung von Daten des Klägers betrifft. Die Beklagte ist auch lediglich gehalten, diese von ihr selbst – und nicht etwaig von Dritten – verarbeiteten Daten mitzuteilen. Soweit durch das Scrapen öffentlich einsehbare Daten von Dritten etwaig verarbeitet wurden, ist jedenfalls nicht die Beklagte auskunftspflichtig.
V. keine vorgerichtlichen Rechtsanwaltskosten
Mangels Anspruch in der Hauptsache besteht auch kein Anspruch Zahlung außergerichtlicher Rechtsanwaltskosten gemäß § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DSGVO.
VI. keine Zinsen gemäß § 291 ZPO
Aufgrund fehlenden Anspruchs in der Hauptsache hat der Kläger ferner keinen Anspruch auf die geltend gemachten Rechtshängigkeitszinsen, § 291 ZPO.
VII. prozessuale Nebenentscheidungen
Die Kostenentscheidung folgt aus § 91 Abs. 1 S. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit richtet sich nach §§ 708 Nr. 11, 711 ZPO.
VIII. Streitwert
Der Streitwert wird auf 6.500,- € festgesetzt. Zur Vermeidung von Wiederholungen wird auf A. I. 2. verwiesen.
