Tenor
Tatbestand
Die Parteien streiten um Ansprüche auf Schadensersatz, Unterlassung, Auskunft im Zusammenhang mit der Nutzung der von der Beklagten betriebenen Plattform Facebook und eines Daten-Scraping-Vorfalls.
Die den Nutzern zugängliche Datenrichtlinie von Facebook enthält Angaben dazu, welche der vom Nutzer erteilten Informationen immer öffentlich zugänglich sind - i.e. Name, Geschlecht, Nutzername und Nutzer-ID, Profil- und Titelbild und Netzwerke -, und die Angabe, dass öffentlich zugängliche Informationen jeder, also auch Personen außerhalb der Facebook-Plattform, sehen kann. Darüber hinaus informiert die Beklagte, wie ein Nutzer festlegen kann, wer die von ihm über die öffentlichen Informationen hinaus bereitgestellten Informationen sehen kann (sog. Zielgruppenauswahl) und wer ihn anhand seiner E-Mail-Adresse oder seiner Telefonnummer, sofern er E-Mail-Adresse bzw. Telefonnummer auf der Facebook-Plattform bereitgestellt hat, finden kann (sog. Suchbarkeits-Einstellungen). Erfolgt durch den Nutzer eine Zielgruppenauswahl nicht, richtet sich die Zugänglichkeit seiner über die öffentlichen Informationen hinausgehenden Informationen nach der Standardeinstellung, wonach seine „Freunde“ die weiteren Informationen einsehen können. Passt der Nutzer die Suchbarkeits-Einstellungen nicht an, sieht die Standardeinstellung vor, dass alle Personen, die über die E-Mail-Adresse oder die Telefonnummer des Nutzers verfügen, das Profil des Nutzers, falls dieser E-Mail-Adresse bzw. Telefonnummer bereitgestellt hat, finden. Der Kläger hatte bei den Suchbarkeitseinstellungen eine Änderung nicht vorgenommen, sodass die Standardeinstellung aktiv gewesen ist.
Im Jahr 2019 lasen Dritte – deren genaues Vorgehen ist zwischen den Parteien streitig – jedenfalls die Facebook-ID, den Namen, den Vornamen und das Geschlecht des Klägers („Scraping“) über das Contact-Import-Tool von Facebook aus zum Teil öffentlich zugänglichen Daten des Klägers bei Facebook aus. Die Beklagte geht davon aus, dass das Contact-Import-Tool zur Bestimmung der Telefonnummern der einzelnen Benutzer genutzt wurde. Indem eine Vielzahl von Kontakten in ein virtuelles Adressbuch eingegeben wurde, gelang es – so die Beklagte – Unbekannten, die Telefonnummern konkreten Facebook-Profilen zuzuordnen, ohne dass in den entsprechenden Profilen die hinterlegten Telefonnummern öffentlich freigegeben waren. Um die Telefonnummer jeweils zu korrelieren, wurden mit Hilfe des Contact-Import-Tools fiktive Nummern erzeugt, geprüft, und die zugehörigen Facebook-Nutzer wurden angezeigt. Auf dem Profil des Nutzers wurde dieser dann besucht, und von dort wurden die öffentlichen Daten gescrapt. Anfang April 2021 wurden diese Daten im Internet verbreitet.
Mit einer E-Mail des Prozessbevollmächtigten des Klägers vom 04.06.2021 forderte dieser die Beklagte zu einer Schadensersatzzahlung i.H.v. 500 Euro, zur Unterlassung einer – nach seiner Auffassung – rechtswidrigen Datenverarbeitung und zur Auskunft darüber, ob sie ihn betreffende personenbezogene Daten im Zusammenhang mit dem im April 2021 bekannt gewordenen Datenschutzvorfall verarbeite, sowie zur Beantwortung weiterer Fragen auf (Anlage K 1). Dazu hat die Beklagte über ihre Prozessbevollmächtigten mit Schreiben vom 23.08.2021 Stellung genommen (Anlage K 2).
Der Kläger ist der Ansicht, ihm stehe ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu. Die Beklagte verstoße gegen die DS-GVO, indem sie ohne ausreichende Grundlage i.S. von Art. 6 und 7 DS-GVO Informationen i.S. von Art. 13, 14 DS-GVO verarbeite. Sie habe ihn nicht im ausreichenden Maße über die Verarbeitung ihn betreffender personenbezogener Daten informiert bzw. aufgeklärt. Weiter habe die Beklagte im Jahr 2019 die personenbezogenen Daten ihrer Nutzer nicht im ausreichenden Maße und nicht den Anforderungen der DS-GVO entsprechend geschützt und so den Anforderungen von Art. 32 DS-GVO nicht genügt.Unabhängig von etwaigen Sicherheitslücken verstoße die Beklagte mit den von ihr vorgenommenen Einstellungen zur Privatsphäre auch gegen die in Art. 25 DS-GVO niedergelegten Grundsätze der „Privacy by Design“ und „Privacy by default“. Die Beklagte habe darüber hinaus weder ihn noch die zuständige Aufsichtsbehörde von dem Datenschutzverstoß informiert. Sie habe somit weder ihrer Informationspflicht nach Art. 34 DS-GVO noch nach Art. 33 DS-GVO genügt. Letztlich sei sie seinem Auskunftsersuchen nicht in ausreichendem Maße nachgekommen (Art. 15 DS-GVO). Durch die unbefugte Veröffentlichung seiner personenbezogenen Daten habe er einen konkreten ersatzfähigen Schaden erlitten. Dieser bestehe darin, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten verbleibe. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen, aber auch in der ständigen Sorge, dass die veröffentlichten Daten von kriminellen für unlautere Zwecke verwendet werden könnten.Ein Schadensersatz i.H.v. mindestens 1.000 Euro sei angemessen.
Aus der Verpflichtung der Beklagten zur Leistung von Schadensersatz aus dem dargestellten Schadensereignis folge auch die Pflicht, zukünftige Schäden, die aufgrund der entwendeten Daten entstünden, zu tragen.
Ihm stehe ein Anspruch auf Unterlassung zu, seine personenbezogenen Daten in Zukunft nicht unbefugt, d.h. ohne vorherige ausreichende Belehrung, zu veröffentlichen und diese zukünftig unbefugten Dritten nicht zugänglich zu machen. Darüber hinaus könne er einen ergänzenden Auskunftsanspruch gegenüber der Beklagten geltend machen.
Wegen des weiteren Vortrags des Klägers wird auf die Klageschrift vom 07.04.2022 sowie auf die Schriftsätze vom 06.10.2022, vom 06.01.2023 und vom 12.01.2023 Bezug genommen.
Der Kläger beantragt:
Die Beklagte beantragt,
die Klage abzuweisen.
Die Beklagte ist der Ansicht, die Klage sei teilweise bereits unzulässig.
Ihr seien Verstöße gegen die DS-GVO nicht anzulasten. Die Daten seien weder durch Hacking noch infolge eines Fehlers oder Sicherheitsverstoßes in ihrem System, sondern durch das automatisierte, massenhafte Sammeln von ohnehin öffentlich einsehbaren und damit nicht vertraulichen Daten erlangt und an anderer Stelle zugänglich gemacht worden. Die gesammelten Daten umfassten lediglich die immer öffentlichen Nutzerinformationen und diejenigen Daten, die entsprechend der jeweiligen „Zielgruppenauswahl“ öffentlich einsehbar seien.
Die Beklagte behauptet, dass es Hauptzweck der Facebook-Plattform sei, andere Nutzer zu finden und mit diesen in Kontakt zu treten, woran sich auch die standardmäßigen Voreinstellungen orientierten. Die „Scraper“ hätten dementsprechend lediglich die diesem Zweck dienenden Funktionen ausgenutzt. Dabei ermögliche das Contact-Import-Tool den Nutzern lediglich, ihre Kontakte von ihren Mobilgeräten auf Facebook hochzuladen, um diese Kontakte auf der Facebook-Plattform zu finden und mit ihnen in Verbindung zu treten, nicht dagegen einen Export von Nutzerdaten. Die Telefonnummern seien von den Scrapern bereitgestellt worden. Das Contact-Import-Tool habe es dann ermöglicht, den Kläger im Einklang mit seinen Suchbarkeits-Einstellungen anhand seiner Telefonnummer auf der Facebook-Plattform zu finden.
Es sei auch grundsätzlich nicht möglich, Scraping öffentlich einsehbarer Daten völlig zu verhindern, ohne den Zweck der Plattform durch Beseitigung der Funktionen zu unterlaufen. Es gebe allenfalls Mittel, um Scraping zu begrenzen. Da die Funktionen, welche Scraper ausnutzten, rechtmäßige, gewöhnliche Nutzerfunktionen darstellten, werde zur Begrenzung von Scraping regelmäßig nicht die gesamte zugrundeliegende Funktion beseitigt. Vielmehr würden in der Regel lediglich die Methoden beschränkt, mit denen auf die maßgeblichen Funktionen zugegriffen werden könne. Daher habe sie nicht gegen Art. 24, 32 DS-GVO verstoßen, sondern vielmehr angemessene technische und organisatorische Maßnahmen ergriffen, das Risiko von Scraping zu unterbinden und Maßnahmen zur Bekämpfung von Scraping zu ergreifen.
Zudem habe sie ihren Nutzern – so auch dem Kläger – alle erforderlichen Informationen zur Datenverarbeitung zur Verfügung gestellt und umfassend über die Möglichkeiten der Anpassung ihrer Privatsphäre-Einstellungen informiert. Zudem lege sie den Nutzern – schon in der Datenrichtlinie – durch Beispiele dar, welche Konsequenzen sich aus dem Teilen bestimmter Daten ergeben könnten. Der Kläger sei daher sowohl über die Einstellungsmöglichkeiten als auch über mögliche Konsequenzen seiner Einstellungen informiert gewesen. Er habe sich entschieden, bestimmte Daten öffentlich einsehbar auf seinem Facebook-Profil zu teilen. Zudem habe der Kläger es auch weiterhin – was unstreitig ist – dabei belassen, die Suchbarkeit nach der Telefonnummer bei der Einstellung „Alle“ zu belassen.
Die Beklagte ist der Ansicht, sie stelle allen Nutzern alle in Art. 13 und 14 DS-GVO festgelegten Informationen zur Datenverarbeitung zur Verfügung. Sie meint daher, nicht gegen die Transparenzpflichten der DS-GVO (insb. Art. 5 DS-GVO) verstoßen zu haben. Es habe zudem eine umfassende und transparente Information über die Möglichkeit der Anpassung der Suchbarkeits-Einstellungen und Zielgruppenauswahl gegeben, woraus sich nachvollziehbar ergebe, wer bestimmte persönliche Informationen, die der Nutzer in seinem Facebook-Profil hinterlegt habe, einsehen könne. Diese Einstellungen habe der Kläger jederzeit anpassen können. Es sei auch den Anforderungen des Art. 25 DS-GVO genügt, die Voreinstellungen hielten die Grundsätze des Art. 25 DS-GVO ein.
Überdies habe eine Melde- oder Benachrichtigungspflicht nach Art. 33, 34 DS-GVO nicht bestanden, da es an einer Verletzung der Sicherheit i.S. von Art. 4 Nr. 12 DS-GVO und an einer unbefugten Offenlegung von Daten gefehlt habe.
Es fehle auch an einem ersatzfähigen und vor allem kausalen Schaden des Klägers, abgesehen davon rechtfertigten die vom Kläger behaupteten Verstöße nicht einen Ersatzanspruch nach Art. 82 Abs. 1 DS-GVO.Eine konkrete, spürbare persönliche Beeinträchtigung durch den Scraping-Sachverhalt sei vom Kläger nicht dargelegt. Seine Ausführungen zu einem Gefühl der „Hilflosigkeit“ infolge eines angeblichen Kontrollverlusts über seine personenbezogenen Daten seien pauschal und entbehrten jeglicher nachprüfbaren Grundlage.
Angesichts dessen sei auch der Klageantrag zu 2 mangels Verstoßes gegen die DS-GVO unbegründet, im Übrigen habe der Kläger nicht dargelegt, dass ein zukünftiger Eintritt eines materiellen oder immateriellen Schadens wahrscheinlich sei.
Der Unterlassungsanspruch scheitere bereits daran, dass eine Anspruchsgrundlage für diese Forderung nicht ersichtlich sei. Überdies beruhe der Unterlassungsanspruch auf der unzutreffenden Annahme, dass sie unbefugten Dritten Zugriff auf Nutzerdaten gewährt hätte.
Der Auskunftsanspruch sei, soweit er berechtigt geltend gemacht werde, bereits außergerichtlich ordnungsgemäß beantwortet worden, so dass ein weiterer Anspruch nicht bestehe.
Wegen des weiteren Vorbringens der Beklagten wird auf die Klageerwiderung vom 28.09.2022 und die Schriftsätze vom 06.01.2023 und vom 23.01.2023 Bezug genommen.
Vor der Kammer fand am 16.01.2023 eine mündliche Verhandlung statt, in der der Kläger persönlich angehört worden ist und auf deren Protokoll Bezug genommen wird.
Entscheidungsgründe
Die Klage ist zulässig und auch überwiegend – im aus dem Tenor ersichtlichen Umfang – begründet.
A.
Die Klage ist zulässig.
I.
Das Landgericht Stuttgart ist international, örtlich und sachlich zuständig.
Ein ausschließlicher Gerichtsstand gemäß Art. 24 EuGVVO ist nicht ersichtlich. Gemäß Art. 18 Abs. 1 Alt. 2 EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher – hier der Kläger – seinen Wohnsitz – hier: in der Bundesrepublik Deutschland – hat.
Die internationale Zuständigkeit deutscher Gerichte ergibt sich ferner aus Art. 79 Abs. 2 DS-GVO, deren zeitlicher, sachlicher und räumlicher Anwendungsbereich eröffnet ist.
II.
Auch sonst begegnet die Klage durchgreifenden Bedenken hinsichtlich ihrer Zulässigkeit nicht.
Der Kläger stellt die Bemessung des Schmerzensgeldes, hinsichtlich dessen er eine Größenordnung seiner Vorstellungen angegeben hat, zulässigerweise in das Ermessen des Gerichts. Im Schriftsatz vom 06.10.2022 hat er zudem mitgeteilt, worauf sich sein Begehren bezieht und dass er sowohl einen Anteil des Schmerzensgeldes für das Verhalten der Beklagten vor dem Daten-Scraping-Vorfall als auch einen Anteil für das nachfolgende Verhalten begehrt, so dass eine alternative Klagebegründung nicht angenommen werden kann.
Ein Feststellungsantrag ist schon zulässig, wenn die Schadensentwicklung noch nicht abgeschlossen ist und der Kläger seinen Anspruch deshalb ganz oder teilweise nicht beziffern kann. Ein Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen. Das kann indes bei dem hier in Rede stehenden Daten-Scraping-Vorfall mit der behauptet unkontrollierten Nutzung gescrapter Daten bei verständiger Würdigung angesichts der erst im Jahr 2021 erfolgten Veröffentlichung (noch) nicht angenommen werden. Es ist nicht ausgeschlossen, dass irgendein materieller Schaden – hierauf beschränkt der Kläger sein Begehren ausweislich der Replik vom 06.10.2022 – entstehen könnte.
Nach dieser Regelung darf ein Unterlassungsantrag – und nach § 313 Abs. 1 Nr. 4 ZPO eine darauf beruhende Verurteilung – nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich die beklagte Partei deshalb nicht erschöpfend verteidigen kann und die Entscheidung darüber, was ihr verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt (vgl. BGH, Urteil vom 09.09.2021 – I ZR 90/20 Rn. 19).
Der Kläger stützt sich auf eine unzulässige Datenerhebung, deren Unterlassen er mit dem Antrag zu 3 begehrt. Er macht geltend, dass die Einwilligung zur Verarbeitung seiner Telefonnummer nicht wirksam sei und die Beklagte sie daher im Rahmen des Contact-Import-Tools und im Facebook-Messenger App nicht verwenden dürfe. Der Lebenssachverhalt, durch den der Streitgegenstand bestimmt wird, ergibt sich aus der mit der Klage gerügten konkreten Verletzungsform – i.e. konkret der ohne wirksame Einwilligung zur Weiterverarbeitung erlangten Telefonnummer usw. Damit richtet sich das Begehren zu 3 gegen ein konkret beschriebenes Verhalten, das Anlass zu Beanstandungen geben kann – die sogenannte konkrete Verletzungsform. Dann aber bilden alle Rechtsverletzungen, die hierdurch verwirklicht werden können, den Streitgegenstand, so dass der Kläger die nach lit. a und nach lit. b geltend gemachten Unterlassungen zum Gegenstand eines zulässigen Klageantrags machen kann.
Zuzugestehen ist der Beklagten zwar, dass die Formulierung „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ auslegungsbedürftig ist und Vollstreckungsprobleme denkbar sind. Allerdings ist es insofern nicht am Kläger, der Beklagten vorzugeben, welche konkreten Maßnahmen diese zu ergreifen hat. Er hat weder Einblick in die Programmierung der Facebook-Plattform noch in die Organisationsstruktur der Beklagten. Daher muss es genügen, dass das Vollstreckungsorgan gegebenenfalls Wertungen vornehmen muss. Es wäre verfehlt im Lichte des effektiven Rechtsschutzes i.S. des Art. 19 GG, würde vom Kläger verlangt, dass er für eine hinreichend konkrete Antragstellung den aktuellen Stand der Technik selbst ermitteln muss.
B.
Die Klage ist hinsichtlich des begehrten immateriellen Schadensersatzes teilweise begründet (unten I), in Bezug auf das Feststellungsbegehren des Klageantrags zu 2 begründet (unten II), im Klageantrag zu 3 (unten III) überwiegend begründet, dagegen nicht im Klageantrag zu 4 (unten IV), so dass der Kläger Erstattung vorgerichtlich angefallener Rechtsanwaltskosten nicht im geltend gemachten Umfang beanspruchen kann (unten V).
I.
Dem Kläger steht gegen die Beklagte, die als Verantwortliche i.S. von Art. 4 Nr. 7 DS-GVO anzusehen ist, ein Anspruch auf – immateriellen – Schadensersatz i.H.v. 300 Euro aus Art. 82 Abs. 1 DS-GVO zu.
Gemäß Art. 82 Abs. 1 DS-GVO haftet der Verantwortliche für Schäden wegen „Verstößen gegen diese Verordnung“. Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung, wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt (vgl. OLG Stuttgart, Urteil vom 31.03.2021 – 9 U 34/21, BeckRS 2021, 6282 Rn. 25; Kreße in Sydow/Marsch, DS-GVO | BDSG, 3. Aufl. DS-GVO Art. 82 Rn. 7; a.A. Gola/Piltz in Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. DS-GVO Art. 82 Rn. 5).
Durch die standardmäßige Konfiguration von Privatsphäre-Einstellungen ist zu gewährleisten, dass Nutzer ihre Daten nur den Personenkreisen und nur in dem Umfang zugänglich machen, die sie vorab selbst festgelegt haben. Das hat zur Folge, dass alle für die Nutzung nicht erforderlichen personenbezogenen Daten anderen Nutzern nicht zugänglich gemacht werden dürfen, es sei denn, die betroffene Person nimmt entsprechende Änderungen in den Voreinstellungen vor (vgl. Nolte/Werkmeister in Gola/Heckmann, DS-GVO – BDSG 3. Aufl. DS-GVO Art. 25 Rn. 28). Die von Nutzern veröffentlichten Informationen dürfen nicht ohne Einschränkungen der allgemeinen Öffentlichkeit zugänglich gemacht werden, sondern dies muss aktiv erst in den Privatsphäreeinstellungen durch den Nutzer eingerichtet werden (so Hartung in Kühling/Buchner, DS-GVO - BDSG 3. Aufl. DS-GVO Art. 25 Rn. 26).
Aus ihrem eigenen Vortrag in der Klageerwiderung ergibt sich, dass der Umstand, dass die Telefonnummer des Klägers „öffentlich“ war, darauf beruhte, dass er dies in den Voreinstellungen nicht geändert hat, nachdem – wie die Beklagte zugesteht – die Standard-Einstellung für die Suchbarkeit von Telefonnummern während des relevanten Zeitraums „Alle“ gewesen ist. Nicht ausreichend ist insoweit, dass – worauf die Beklagte abstellt – etwaige Einstellungen vom Nutzer geändert werden können. Dasselbe gilt für den von der Beklagten angeführten „Privatsphäre-Check“.
Diese durch die Voreinstellungen ermöglichte Datenerhebung ist nicht für die Durchführung eines rechtsgeschäftlichen Schuldverhältnisses erforderlich (Art. 6 Abs. 1 Satz 1 lit. b DS-GVO), ebenso wenig zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 Satz 1 lit. f DS-GVO). Sie mag im Einzelnen je nach Geschmack des Nutzers für die Nutzung der Facebook-Plattform nützlich und behilflich sein. Erforderlich für die Nutzung schlechthin ist sie aber nicht. Diesbezügliche Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten müssen sich auf das absolut Notwendige beschränken. Die Daten sind für eine Nutzung der Facebook-Plattform durch Dritte bzw. für den Betrieb derselben durch die Beklagte nicht unabdingbar (anders für ein Ärztebewertungsportal: BGH, Urteil vom 13.12.2022 – VI ZR 60/21 Rn. 21). Das zeigt sich auch daran, dass sämtliche Voreinstellungen, um die es hier geht, ohne weiteres abgewählt werden können, ohne dass dies ersichtlich der weiteren Vertragsdurchführung entgegensteht (so ausdrücklich KG, Urteil vom 20.12.2019 – 5 U 9/18, BeckRS 2019, 35233 Rn. 39).
Daher kann sich die Beklagte nicht darauf zurückziehen, dass der Zweck der Facebook-Plattform gerade darin bestehe, es Menschen zu ermöglichen, sich mit Freunden, Familie und Gemeinschaften zu verbinden und dass die Funktionen gezielt so konzipiert worden seien, dass sie den Nutzern helfen, andere zu finden, sich mit ihnen zu verbinden und mit ihnen in Kontakt zu treten. Gerade das widerspricht den Anforderungen der DS-GVO. Die Beklagte darf nicht durch die Definition ihres Leistungsangebots den Umfang der zulässigen Datenverarbeitung unter Hintanstellung der Nutzerinteressen allein an ihrem Interesse an der Vermarktung eines durch die Internetnutzung innerhalb und außerhalb von Facebook generierten Bestands personenbezogener Daten seiner Nutzer ausrichten und über das für die Benutzung des sozialen Netzwerkes erforderliche Maß ausweiten (so BGH, Beschluss vom 23.06.2020 – KVR 69/19 Rn. 110).
Für die Durchführung des Schuldverhältnisses ist es z.B. für den jeweiligen Nutzer nicht erforderlich, dass Name, Profilbild und Titelbild anderen Nutzern helfen, andere zu finden, auch wenn das hilfreich und von vielen gewünscht sein mag. Die Angabe des Geschlechts ist nicht in irgendeiner Art und Weise erforderlich. Facebook muss nicht – worauf die Klageerwiderung abstellt – den Nutzer unter Beachtung seines Geschlechts „beschreiben“ (z.B. „Füge sie als Freundin hinzu“).
Vor diesem Hintergrund ist es ebenso wenig ausreichend, wenn die Beklagte über die Möglichkeiten der Anpassung ihrer Suchbarkeits-Einstellungen und Zielgruppenauswahl informiert. Die Voreinstellung, die die Beklagten hinsichtlich einzelner Aspekte mit „öffentlich“ einräumt, läuft den Erfordernissen des Art. 25 Abs. 2 DS-GVO evident zuwider. Auch ist nicht erheblich, wie die Beklagten einen „Hilfebereich“ ausgestaltet, da diesen i.d.R. nur derjenige Nutzer anschauen wird, der die Notwendigkeit einer Änderung für sich wahrgenommen hat. Das ist bei einem Nutzer, der die Anmeldeprozedur mit vorgegebenen Einstellungen durchläuft, nicht notwendigerweise der Fall.
Denn es kann ein Verhalten, das im Aufruf von Websites und Apps, der Eingabe von Daten in diese Websites und Apps sowie in der Betätigung von in diese eingebundenen Schaltflächen besteht, grundsätzlich auch nicht einem Verhalten gleichgestellt werden, das die sensiblen personenbezogenen Daten des Nutzers i.S. von Art. 9 Abs. 2 lit. e DS-GVO offensichtlich öffentlich macht (vgl. Schlussanträge des Generalanwaltes vom 20.09.2022 in der Rechtssache EuGH – C-252/21, BeckRS 2022, 24109 Rn. 44).
Das wird hier augenscheinlich dadurch, dass bei einer Voreinstellung, die mit Art. 25 Abs. 2 DS-GVO konform gewesen wäre, ein Abgreifen der Mobiltelefonnummer des Klägers so, wie letztlich geschehen, nicht ohne weiteres möglich gewesen wäre. Denn bei einer entsprechenden Voreinstellung wäre die Nummer nicht öffentlich zugänglich gewesen, sondern allenfalls aufgrund einer individuellen Auswahl des Klägers.
Dadurch ermöglicht die Beklagte einem Nutzer z.B. einen Abgleich der in seinem Smartphone gespeicherten Kontakte mit auf Facebook registrierten Nutzerprofilen, die ihr Profil mit einer Mobilfunknummer verknüpft haben. So können diese Kontakte auf der Facebook-Plattform gefunden, und es kann mit ihnen in Verbindung getreten werden.
Aus den vorgelegten Unterlagen ist nicht ersichtlich, dass insoweit durch die Beklagte eine irgendwie geartete Aufklärung erfolgt wäre. Derlei vermag die Beklagte insbesondere im Rahmen der Klageerwiderung vom 28.09.2022 (dort Rn. 37 ff.) nicht aufzuzeigen. Vielmehr wird durch die Information „Möglicherweise verwenden wir deine Mobilnummer für diese Zwecke: … Um dir Personen, die du kennen könntest, vorzuschlagen, damit du dich mit ihnen auf Facebook verbinden kannst“ gerade ein gegenteiliger Eindruck erweckt. Es wird nicht darüber informiert, dass andere den Kläger als Nutzer finden können, sondern darüber, dass dem Kläger seine Telefonnummer nützlich sein kann, andere Facebook-Nutzer zu finden. Das eine mag zwar mit dem anderen unmittelbar zusammenhängen, indes gestaltet sich die Information der Beklagten selektiv und damit unvollständig. Das wird auch nicht durch den anschließenden Hinweis, dass man kontrollieren könne, wer die eigene Telefonnummer sehen könne, geheilt, zumal auch in der vorgelegten „Datenrichtlinie“ der Anlage B 9 in der Rubrik „Wie werden diese Informationen geteilt?“ noch nicht einmal im Ansatz hierauf hingewiesen wird.
Sie bringt vor, dass die Daten-Scraper Verfahren eingesetzt hätten, um in großem Umfang Daten mit automatisierten Tools und Methoden zu sammeln, was nach den Nutzungsbedingungen von Facebook untersagt gewesen sei. Damit räumt sie die technische Möglichkeit des Abgreifens von Daten durch die von ihr gewählte Architektur der Facebook-Plattform ein. Wenn aber der Beklagten bewusst ist, dass Daten-Scraper bestimmte Funktionen missbrauchen können, dann wäre es an der Beklagten gewesen, gerade das zu unterbinden. Auch wenn das dem eigenen Verständnis der Facebook-Plattform zuwiderlaufen mag, dem Interesse der Nutzer an der Wahrung ihrer datenschutzrechtlichen Belange entspräche das indes sehr wohl.
Die Beklagte trägt überdies nichts Konkretes dazu vor, was sie gegen die ihr bekannte Möglichkeit unternommen haben will. Sie bringt nur – letztlich recht pauschal – vor, sie habe Maßnahmen getroffen, um das Risiko von Scraping zu unterbinden, und entwickle ihre eigenen Maßnahmen zur Bekämpfung von Scraping kontinuierlich und als Reaktion auf die sich ständig ändernden Techniken und Strategien weiter. Ebenso wenig konkret und nachvollziehbar ist die pauschale Feststellung der Beklagten, in der Regel würden lediglich die Methoden, mit denen auf die maßgeblichen Funktionen zugegriffen werden könne, beschränkt, um zu verhindern, dass die gesamte zugrundeliegende Funktion beseitigt werde. Anderes ergibt sich auch nicht aus der ergänzenden Darstellung der Klageerwiderung (Rn. 73 ff.) und des Schriftsatzes vom 06.01.2023 (Rn. 38 ff.), vielmehr gesteht die Beklagte zu, dass die zutreffende Reaktion zur Verhinderung des hier stattgefundenen Daten-Scraping gewesen sei, das Verknüpfen von Telefonnummern mit bestimmten Facebook-Nutzern durch das Contact-Import-Tool zu verhindern. Das hatte sie – wie sie im Schriftsatz vom 06.01.2023 mitteilt – nicht gemacht, weil zunächst Scraping-Aktivitäten über das Contact-Import-Tool nicht festgestellt worden seien. Das nach dem Vorbringen der Beklagten erfolgte Absenken der Übertragungsbeschränkungen war offenkundig unzureichend. Soweit die Beklagte darauf abstellt, es handele sich dabei um eine legitime, nützliche Nutzerfunktion, mag dies zwar nützlich und hilfreich für einzelne Nutzer sein, erforderlich ist es indes nicht.
Auch der Hinweis, dass die Telefonnummern von den Daten-Scrapern „bereitgestellt“ worden sei, entlastet die Beklagte nicht. Es wäre an ihr gewesen, ein solches automatisiertes Verfahren zu verhindern.
Der Kläger hatte sich unter dem 04.06.2021 an die Beklagte „wegen der im April 2021 bekannt gewordenen Onlineveröffentlichung eines Datensatzes mit Facebook-Profilen von Nutzern“ gewandt und konkrete Fragen formuliert, hinsichtlich derer er eine Erklärung der Beklagten wünsche. Diese betreffen ausschließlich die abhanden gekommenen – gescrapten – personenbezogenen Daten und nicht die Frage, über welche personenbezogenen Daten die Beklagte überhaupt verfügt.
Dieses Auskunftsverlangen, das sich aus Art. 15 DS-GVO ableiten lässt, hat die Beklagte mit dem Schreiben vom 23.08.2021 (Anlage K 2) erfüllt.
Eine Erfüllung ist dann anzunehmen, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen (vgl. nur BGH, Urteil vom 03.09.2020 – III ZR 136/18 Rn. 43).
Die Beklagte hat mitgeteilt, dass sie eine Kopie der Rohdaten, welche die durch Scraping abgerufenen Daten enthielten, nicht habe. Auf Grundlage der bislang vorgenommenen Analysen sei es ihr jedoch gelungen, der Nutzer-ID des Klägers die folgenden Datenkategorien zuzuordnen, die nach ihrem Verständnis in den durch Scraping abgerufenen Daten erschienen und mit den auf dem Facebook-Profil des Klägers verfügbaren Informationen übereinstimmten: Nutzer-ID, Vorname, Nachname, Land, Geschlecht. Dagegen sei die Telefonnummer „nach unserem Verständnis in den durch Scraping abgerufenen Daten enthalten“. Zudem hat die Beklagte erläutert, wie das Daten-Scraping erfolgte. Damit hat die Beklagte zum Ausdruck gebracht, dass sie die von ihr geschuldeten Angaben mitgeteilt hat.
Der Kläger hat in seiner Anhörung im Termin vom 16.01.2023 eingestanden, dass er der Information der Beklagten eine Bedeutung nicht beigemessen hat.
Dabei sind die Angaben des Klägers glaubhaft, er selbst wirkt seinerseits glaubwürdig. Er räumt ohne weiteres ein, dass er verschiedenes nicht mehr genau weiß, und ist keineswegs bemüht, die floskelhaften und letztlich nichtssagenden Formulierungen der Klage zu wiederholen, sondern schildert, das, was ihn gestört hat, ohne Übertreibung und ohne erkennbaren Blick auf das, was seinem Begehren vermeintlich dienlicher sein könnte.
Danach ist davon auszugehen, dass der Kläger – jedenfalls – Ping-Anrufe erhalten hat, die auf den Daten-Scraping-Vorfall zurückzuführen sind. Zwar konnte er den genauen Zeitraum nicht (mehr) benennen, es ergibt sich aber aus seiner Schilderung, dass er über einen gewissen Zeitraum im Jahr 2021 mehrere solcher Anrufe erhalten hat. Eine nachvollziehbare andere Erklärung hierfür liegt – auch wenn es sich bei Ping-Anrufen um ein nicht nur vereinzeltes, nicht auf Nutzer der Facebook-Plattform begrenztes Phänomen handelt – nicht auf der Hand, zumal ein zeitlicher Zusammenhang mit der Veröffentlichung der gescrapten Daten ohne weiteres herstellbar ist (a.A. bei einer Beurteilung des dort zu entscheidenden Einzelfalls: LG Essen, Urteil vom 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818; LG Bielefeld, Urteil vom 19.12.2022 – 8 O 182/22, GRUR-RS 2022, 38375).
Anders ist das indes hinsichtlich der auch vom Kläger angesprochenen Spam-E-Mails, da diese ein allgemeines und vor allem sehr weit verbreitetes Phänomen darstellen und nicht notwendigerweise auf das Daten-Scraping zurückzuführen sind, zumal ein Abgreifen der E-Mail-Adresse des Klägers nicht nachgewiesen ist.
Darüber hinaus kann mit Blick auf die Anhörung des Klägers nicht davon ausgegangen werden, dass er Angst wegen eines Kontrollverlusts über seine Daten gehabt hätte, vielmehr ist eher das Gegenteil der Fall. Der Kläger hat – unstreitig – seine Voreinstellungen auf Facebook nicht geändert und letztlich hierfür zu keinem Zeitpunkt eine Veranlassung gesehen, weil ihm offenkundig die Nutzung der Plattform mit all ihren Funktionen wichtiger gewesen ist. Das wäre anders, stünde eine – in der Klage wiederum nur floskelhaft und ohne jeden Bezug zum konkreten Mandatsverhältnis behauptete – tatsächliche Sorge über einen Kontrollverlust im Raum.
Es ist mehr als eine bloße Bagatelle, wenn über mehrere Monate hinweg Ping-Anrufe erfolgen, die den Angerufenen immer wieder vor die Frage stellen, ob er die Nummer zurückrufen soll oder nicht. Es ist daher ohne weiteres nachvollziehbar, wenn der Kläger hiervon „genervt“ gewesen ist.
Eine Mitursächlichkeit ist ausreichend, eine alleinige Kausalität nicht gefordert (vgl. nur LAG Baden-Württemberg, Urteil vom 25.02.2021 – 17 Sa 37/20, ZD 2021, 436 Rn. 85), daher ist insofern nicht erheblich, dass der Kläger nach der erstmaligen Anmeldung bei Facebook die Datenschutzeinstellungen nicht geändert hat.
Denn das Verhalten des Klägers – die von der Beklagten vorgegebenen Voreinstellungen zu belassen – ist gerade von der Beklagten intendiert und mit Blick auf den von ihr angenommenen Sinn und Zweck der Facebook-Plattform gewünscht. Dann aber kann die Beklagte sich, wenn sich die Gefahren, die sich durch ihr verordnungswidriges Verhalten ergeben, realisiert haben, nicht darauf berufen, es sei am Kläger dies im Sinne des Schutzes seiner personenbezogenen Daten zu korrigieren (vgl. auch OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, BeckRS 2022, 11126 Rn. 78; Frenzel in Paal/Pauly, DS-GVO – BDSG 3. Aufl. DS-GVO Art. 82 Rn. 19). Das gilt umso mehr für das Contact-Import-Tool, über dessen Funktionsweise und die damit verbundenen Gefahren seitens der Beklagten nicht aufgeklärt wird.
Vor diesem Hintergrund kann dahinstehen, ob ein Mitverschulden des Geschädigten im Rahmen von Art. 82 DS-GVO überhaupt zu berücksichtigen ist (vgl. dazu nur Bergt in Kühling/Buchner, DS-GVO - BDSG 3. Aufl. DS-GVO Art. 82 Rn. 59 mit Fn. 181).
Das manifestiert sich auch in der persönlichen Anhörung des Klägers, der – dem Daten-Scraping zuzuordnen – lediglich über Ping-Anrufe über einen Zeitraum von mehreren Monaten im Jahr 2021 berichtet (vgl. oben B I 5 a aa).
Durch die Verletzung dieser Pflichten hat sich der Schaden des Klägers nicht vertieft. Der maßgebliche Vorwurf an die Beklagten ergibt sich daraus, dass es möglich war, dass ein Daten-Scraping stattfand. Entscheidend ist insoweit aber, dass der Kläger aus dem späteren Wissen um die Verstöße und um die Möglichkeiten, die Profileinstellungen zu ändern, nicht gehandelt hat. Unstreitig – und vom Kläger im Rahmen seiner persönlichen Anhörung auch zugestanden – sind die maßgeblichen Einstellungen nicht geändert. Daraus wird deutlich, dass der Kläger der Auskunft und der Meldung als solcher ein entscheidendes Gewicht nicht beimisst, dann aber kann das auch nicht relevant für einen von ihm erlittenen Schaden sein.
II.
Nachdem dem Kläger ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zusteht, ist auch auf den Klageantrag zu 2 zu erkennen. Es ist nicht ausgeschlossen, dass der Kläger künftig infolge der Verstöße der Beklagten gegen die DS-GVO – auch – materielle Schäden erleidet.
III.
Darüber hinaus kann der Kläger die mit dem Klageantrag zu 3 beanspruchte Unterlassung – in weiten Teilen – erfolgreich gegenüber der Beklagten geltend machen (a.A. abstellend auf das Einverständnis zur Veröffentlichung von Daten: LG Essen, Urteil vom 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818; LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22, GRUR 2022, 30480 und LG Bielefeld, Urteil vom 19.12.2022 – 8 O 182/22, GRUR-RS 2022, 38375).
Durch mögliche, vom Kläger selbst vorzunehmende Änderungen von Einstellungen in seinem Facebook-Profil ist eine Wiederholungsgefahr nicht entfallen, und der Kläger kann grundsätzlich Unterlassung jeder einmal getätigten rechtswidrigen Datenverarbeitung verlangen. Denn im Fall eines rechtswidrigen Eingriffs in ein geschütztes Rechtsgut des Betroffenen besteht nach ständiger Rechtsprechung des Bundesgerichtshofs eine tatsächliche Vermutung für das Vorliegen der Wiederholungsgefahr. An eine Entkräftung der Vermutung sind strenge Anforderungen zu stellen, im Regelfall bedarf es hierfür der Abgabe einer strafbewehrten Unterlassungsverpflichtungserklärung gegenüber dem Gläubiger des Unterlassungsanspruchs. Eine solche hat die Beklagte hier nicht abgegeben, sie geht vielmehr von der Wirksamkeit der von ihr angenommenen Einwilligung aus.
IV.
Nachdem die Beklagte einen etwaigen Auskunftsanspruch des Klägers bereits erfüllt hat (vgl. oben B I 4) kann dieser insoweit den mit dem Klageantrag zu 4 geltend gemachten Anspruch nicht erfolgreich durchsetzen (so auch LG Essen, Urteil vom 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818; LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22, GRUR 2022, 30480 und LG Bielefeld, Urteil vom 19.12.2022 – 8 O 182/22, GRUR-RS 2022, 38375).
V.
Im Rahmen des ihm zustehenden materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann der Kläger auch die Erstattung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen.
Ausgehend von den in Ansatz zu bringenden Gegenstandswerten für die jeweiligen Klageanträge (dazu unten C) ist der Kläger hier hinsichtlich eines Begehrens erfolgreich, dessen Wert mit bis zu 6.000 Euro anzunehmen ist. Hinzuzurechnen ist noch das zunächst nicht erfüllte Auskunftsverlangen (500 Euro). Insgesamt ergeben sich daher Gebühren nach Ziff. 2300, 7002, 7008 VV RVG i.H.v. 713,76 Euro, die ebenfalls nach §§ 288, 291 BGB zu verzinsen sind.
C.
Die Kostenentscheidung folgt aus § 92 Abs. 1 ZPO, wobei das teilweise Unterliegen hinsichtlich der Anträge zu 1 und zu 3 ebenso wie hinsichtlich des Antrags zu 4 zu Lasten des Klägers zu berücksichtigen ist.
Die Entscheidung zur vorläufigen Vollstreckbarkeit hat ihre Rechtsgrundlage in § 709 ZPO bzw. §§ 709, 711 ZPO.
Der Streitwert ist mit insgesamt bis zu 7.000 Euro festzusetzen (Antrag zu 1: 1.000 Euro, Antrag zu 2: 500 Euro, Antrag zu 3: 5.000 Euro, Antrag zu 4: 500 Euro; vgl. dazu OLG Stuttgart, Beschluss vom 03.01.2023 – 4 AR 4/22).
Ihre Anwälte
Kontakt
Eckernförder Straße 56
24768 Rendsburg