Verstoß: Zu schwache TOMs zur Verhinderung von Scraping

  • Beschreibung
    Ein Urteil zum sog. "Scraping", bei denen die Telefonnummern von Nutzern sozialer Netzwerke wie Facebook und Google+ massenhaft über das Kontaktimport-Tool ausgelesen werden.
  • Aktenzeichen
    LG Stuttgart, Urteil vom 26. Januar 2023 – 53 O 95/22
  • Kategorie(n)
    Werbung und Tracking, Sonstige Probleme, Hackerangriffe
  • Betrag
    300 €

Tenor

 

  1. Die Beklagte wird verurteilt, an den Kläger immateriellen Schadensersatz i.H.v. 300 Euro nebst Zinsen i.H.v. 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 04.08.2022 zu zahlen.

 

  1. Es wird festgestellt, dass die Beklagte verpflichtet ist, dem Kläger alle künftigen materiellen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

 

  1. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000 Euro, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

 

  1. a) personenbezogene Daten des Klägers, namentlich Telefonnummer, Facebook-ID, Familienname, Vorname, Geschlecht, Stadt und Beziehungsstatus, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

 

  1. b) die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Contact-Import-Tools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird.

 

  1. Die Beklagte wird verurteilt, an den Kläger vorgerichtliche Rechtsanwaltskosten i.H.v. 713,76 Euro nebst Zinsen i.H.v. 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 04.08.2022 zu zahlen.

 

  1. Im Übrigen wird die Klage abgewiesen.

 

  1. Von den Kosten des Rechtsstreits hat der Kläger 1/4, die Beklagte 3/4 zu tragen.

 

  1. Das Urteil ist vorläufig vollstreckbar, für den Kläger hinsichtlich Ziff. 1, Ziff. 4 und wegen der Kosten nur gegen Sicherheitsleistung i.H.v. 110 Prozent des jeweils zu vollstreckenden Betrages, ansonsten hinsichtlich Ziff. 2 gegen Sicherheitsleistung i.H.v. 600 Euro und hinsichtlich Ziff. 3 gegen Sicherheitsleistung i.H.v. 6.000 Euro. Dem Kläger wird nachgelassen, die Vollstreckung durch die Beklagte gegen Sicherheitsleistung i.H.v. 110 Prozent des aufgrund des Urteils vollstreckbaren Betrages abzuwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit i.H.v. 110 Prozent des jeweils zu vollstreckenden Betrages leistet.

 

  1. Der Streitwert wird auf bis zu 7.000 Euro festgesetzt.

 

Tatbestand

 

Die Parteien streiten um Ansprüche auf Schadensersatz, Unterlassung, Auskunft im Zusammenhang mit der Nutzung der von der Beklagten betriebenen Plattform Facebook und eines Daten-Scraping-Vorfalls.

 

Die den Nutzern zugängliche Datenrichtlinie von Facebook enthält Angaben dazu, welche der vom Nutzer erteilten Informationen immer öffentlich zugänglich sind - i.e. Name, Geschlecht, Nutzername und Nutzer-ID, Profil- und Titelbild und Netzwerke -, und die Angabe, dass öffentlich zugängliche Informationen jeder, also auch Personen außerhalb der Facebook-Plattform, sehen kann. Darüber hinaus informiert die Beklagte, wie ein Nutzer festlegen kann, wer die von ihm über die öffentlichen Informationen hinaus bereitgestellten Informationen sehen kann (sog. Zielgruppenauswahl) und wer ihn anhand seiner E-Mail-Adresse oder seiner Telefonnummer, sofern er E-Mail-Adresse bzw. Telefonnummer auf der Facebook-Plattform bereitgestellt hat, finden kann (sog. Suchbarkeits-Einstellungen). Erfolgt durch den Nutzer eine Zielgruppenauswahl nicht, richtet sich die Zugänglichkeit seiner über die öffentlichen Informationen hinausgehenden Informationen nach der Standardeinstellung, wonach seine „Freunde“ die weiteren Informationen einsehen können. Passt der Nutzer die Suchbarkeits-Einstellungen nicht an, sieht die Standardeinstellung vor, dass alle Personen, die über die E-Mail-Adresse oder die Telefonnummer des Nutzers verfügen, das Profil des Nutzers, falls dieser E-Mail-Adresse bzw. Telefonnummer bereitgestellt hat, finden. Der Kläger hatte bei den Suchbarkeitseinstellungen eine Änderung nicht vorgenommen, sodass die Standardeinstellung aktiv gewesen ist.

 

Im Jahr 2019 lasen Dritte – deren genaues Vorgehen ist zwischen den Parteien streitig – jedenfalls die Facebook-ID, den Namen, den Vornamen und das Geschlecht des Klägers („Scraping“) über das Contact-Import-Tool von Facebook aus zum Teil öffentlich zugänglichen Daten des Klägers bei Facebook aus. Die Beklagte geht davon aus, dass das Contact-Import-Tool zur Bestimmung der Telefonnummern der einzelnen Benutzer genutzt wurde. Indem eine Vielzahl von Kontakten in ein virtuelles Adressbuch eingegeben wurde, gelang es – so die Beklagte – Unbekannten, die Telefonnummern konkreten Facebook-Profilen zuzuordnen, ohne dass in den entsprechenden Profilen die hinterlegten Telefonnummern öffentlich freigegeben waren. Um die Telefonnummer jeweils zu korrelieren, wurden mit Hilfe des Contact-Import-Tools fiktive Nummern erzeugt, geprüft, und die zugehörigen Facebook-Nutzer wurden angezeigt. Auf dem Profil des Nutzers wurde dieser dann besucht, und von dort wurden die öffentlichen Daten gescrapt. Anfang April 2021 wurden diese Daten im Internet verbreitet.

 

Mit einer E-Mail des Prozessbevollmächtigten des Klägers vom 04.06.2021 forderte dieser die Beklagte zu einer Schadensersatzzahlung i.H.v. 500 Euro, zur Unterlassung einer – nach seiner Auffassung – rechtswidrigen Datenverarbeitung und zur Auskunft darüber, ob sie ihn betreffende personenbezogene Daten im Zusammenhang mit dem im April 2021 bekannt gewordenen Datenschutzvorfall verarbeite, sowie zur Beantwortung weiterer Fragen auf (Anlage K 1). Dazu hat die Beklagte über ihre Prozessbevollmächtigten mit Schreiben vom 23.08.2021 Stellung genommen (Anlage K 2).

 

Der Kläger ist der Ansicht, ihm stehe ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu. Die Beklagte verstoße gegen die DS-GVO, indem sie ohne ausreichende Grundlage i.S. von Art. 6 und 7 DS-GVO Informationen i.S. von Art. 13, 14 DS-GVO verarbeite. Sie habe ihn nicht im ausreichenden Maße über die Verarbeitung ihn betreffender personenbezogener Daten informiert bzw. aufgeklärt. Weiter habe die Beklagte im Jahr 2019 die personenbezogenen Daten ihrer Nutzer nicht im ausreichenden Maße und nicht den Anforderungen der DS-GVO entsprechend geschützt und so den Anforderungen von Art. 32 DS-GVO nicht genügt.Unabhängig von etwaigen Sicherheitslücken verstoße die Beklagte mit den von ihr vorgenommenen Einstellungen zur Privatsphäre auch gegen die in Art. 25 DS-GVO niedergelegten Grundsätze der „Privacy by Design“ und „Privacy by default“. Die Beklagte habe darüber hinaus weder ihn noch die zuständige Aufsichtsbehörde von dem Datenschutzverstoß informiert. Sie habe somit weder ihrer Informationspflicht nach Art. 34 DS-GVO noch nach Art. 33 DS-GVO genügt. Letztlich sei sie seinem Auskunftsersuchen nicht in ausreichendem Maße nachgekommen (Art. 15 DS-GVO). Durch die unbefugte Veröffentlichung seiner personenbezogenen Daten habe er einen konkreten ersatzfähigen Schaden erlitten. Dieser bestehe darin, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten verbleibe. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen, aber auch in der ständigen Sorge, dass die veröffentlichten Daten von kriminellen für unlautere Zwecke verwendet werden könnten.Ein Schadensersatz i.H.v. mindestens 1.000 Euro sei angemessen.

 

Aus der Verpflichtung der Beklagten zur Leistung von Schadensersatz aus dem dargestellten Schadensereignis folge auch die Pflicht, zukünftige Schäden, die aufgrund der entwendeten Daten entstünden, zu tragen.

 

Ihm stehe ein Anspruch auf Unterlassung zu, seine personenbezogenen Daten in Zukunft nicht unbefugt, d.h. ohne vorherige ausreichende Belehrung, zu veröffentlichen und diese zukünftig unbefugten Dritten nicht zugänglich zu machen. Darüber hinaus könne er einen ergänzenden Auskunftsanspruch gegenüber der Beklagten geltend machen.

 

Wegen des weiteren Vortrags des Klägers wird auf die Klageschrift vom 07.04.2022 sowie auf die Schriftsätze vom 06.10.2022, vom 06.01.2023 und vom 12.01.2023 Bezug genommen.

 

Der Kläger beantragt:

 

  1. Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000 Euro nebst Zinsen seit Rechtshängigkeit i.H.v. 5 Prozentpunkten über dem Basiszinssatz.

 

  1. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

 

  1. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000 Euro, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

 

  1. a) personenbezogene Daten der Klägerseite, namentlich Telefonnummer, Facebook-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

 

  1. b) die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Contact-Import-Tools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird.

 

  1. Die Beklagte wird verurteilt der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Contact-Import-Tools erlangt werden konnten.

 

  1. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten i.H.v. 887,03 Euro zu zahlen zuzüglich Zinsen seit Rechtshängigkeit i.H.v. 5 Prozentpunkten über dem Basiszinssatz.

 

Die Beklagte beantragt,

 

die Klage abzuweisen.

 

Die Beklagte ist der Ansicht, die Klage sei teilweise bereits unzulässig.

 

Ihr seien Verstöße gegen die DS-GVO nicht anzulasten. Die Daten seien weder durch Hacking noch infolge eines Fehlers oder Sicherheitsverstoßes in ihrem System, sondern durch das automatisierte, massenhafte Sammeln von ohnehin öffentlich einsehbaren und damit nicht vertraulichen Daten erlangt und an anderer Stelle zugänglich gemacht worden. Die gesammelten Daten umfassten lediglich die immer öffentlichen Nutzerinformationen und diejenigen Daten, die entsprechend der jeweiligen „Zielgruppenauswahl“ öffentlich einsehbar seien.

 

Die Beklagte behauptet, dass es Hauptzweck der Facebook-Plattform sei, andere Nutzer zu finden und mit diesen in Kontakt zu treten, woran sich auch die standardmäßigen Voreinstellungen orientierten. Die „Scraper“ hätten dementsprechend lediglich die diesem Zweck dienenden Funktionen ausgenutzt. Dabei ermögliche das Contact-Import-Tool den Nutzern lediglich, ihre Kontakte von ihren Mobilgeräten auf Facebook hochzuladen, um diese Kontakte auf der Facebook-Plattform zu finden und mit ihnen in Verbindung zu treten, nicht dagegen einen Export von Nutzerdaten. Die Telefonnummern seien von den Scrapern bereitgestellt worden. Das Contact-Import-Tool habe es dann ermöglicht, den Kläger im Einklang mit seinen Suchbarkeits-Einstellungen anhand seiner Telefonnummer auf der Facebook-Plattform zu finden.

 

Es sei auch grundsätzlich nicht möglich, Scraping öffentlich einsehbarer Daten völlig zu verhindern, ohne den Zweck der Plattform durch Beseitigung der Funktionen zu unterlaufen. Es gebe allenfalls Mittel, um Scraping zu begrenzen. Da die Funktionen, welche Scraper ausnutzten, rechtmäßige, gewöhnliche Nutzerfunktionen darstellten, werde zur Begrenzung von Scraping regelmäßig nicht die gesamte zugrundeliegende Funktion beseitigt. Vielmehr würden in der Regel lediglich die Methoden beschränkt, mit denen auf die maßgeblichen Funktionen zugegriffen werden könne. Daher habe sie nicht gegen Art. 24, 32 DS-GVO verstoßen, sondern vielmehr angemessene technische und organisatorische Maßnahmen ergriffen, das Risiko von Scraping zu unterbinden und Maßnahmen zur Bekämpfung von Scraping zu ergreifen.

 

Zudem habe sie ihren Nutzern – so auch dem Kläger – alle erforderlichen Informationen zur Datenverarbeitung zur Verfügung gestellt und umfassend über die Möglichkeiten der Anpassung ihrer Privatsphäre-Einstellungen informiert. Zudem lege sie den Nutzern – schon in der Datenrichtlinie – durch Beispiele dar, welche Konsequenzen sich aus dem Teilen bestimmter Daten ergeben könnten. Der Kläger sei daher sowohl über die Einstellungsmöglichkeiten als auch über mögliche Konsequenzen seiner Einstellungen informiert gewesen. Er habe sich entschieden, bestimmte Daten öffentlich einsehbar auf seinem Facebook-Profil zu teilen. Zudem habe der Kläger es auch weiterhin – was unstreitig ist – dabei belassen, die Suchbarkeit nach der Telefonnummer bei der Einstellung „Alle“ zu belassen.

 

Die Beklagte ist der Ansicht, sie stelle allen Nutzern alle in Art. 13 und 14 DS-GVO festgelegten Informationen zur Datenverarbeitung zur Verfügung. Sie meint daher, nicht gegen die Transparenzpflichten der DS-GVO (insb. Art. 5 DS-GVO) verstoßen zu haben. Es habe zudem eine umfassende und transparente Information über die Möglichkeit der Anpassung der Suchbarkeits-Einstellungen und Zielgruppenauswahl gegeben, woraus sich nachvollziehbar ergebe, wer bestimmte persönliche Informationen, die der Nutzer in seinem Facebook-Profil hinterlegt habe, einsehen könne. Diese Einstellungen habe der Kläger jederzeit anpassen können. Es sei auch den Anforderungen des Art. 25 DS-GVO genügt, die Voreinstellungen hielten die Grundsätze des Art. 25 DS-GVO ein.

 

Überdies habe eine Melde- oder Benachrichtigungspflicht nach Art. 33, 34 DS-GVO nicht bestanden, da es an einer Verletzung der Sicherheit i.S. von Art. 4 Nr. 12 DS-GVO und an einer unbefugten Offenlegung von Daten gefehlt habe.

 

Es fehle auch an einem ersatzfähigen und vor allem kausalen Schaden des Klägers, abgesehen davon rechtfertigten die vom Kläger behaupteten Verstöße nicht einen Ersatzanspruch nach Art. 82 Abs. 1 DS-GVO.Eine konkrete, spürbare persönliche Beeinträchtigung durch den Scraping-Sachverhalt sei vom Kläger nicht dargelegt. Seine Ausführungen zu einem Gefühl der „Hilflosigkeit“ infolge eines angeblichen Kontrollverlusts über seine personenbezogenen Daten seien pauschal und entbehrten jeglicher nachprüfbaren Grundlage.

 

Angesichts dessen sei auch der Klageantrag zu 2 mangels Verstoßes gegen die DS-GVO unbegründet, im Übrigen habe der Kläger nicht dargelegt, dass ein zukünftiger Eintritt eines materiellen oder immateriellen Schadens wahrscheinlich sei.

 

Der Unterlassungsanspruch scheitere bereits daran, dass eine Anspruchsgrundlage für diese Forderung nicht ersichtlich sei. Überdies beruhe der Unterlassungsanspruch auf der unzutreffenden Annahme, dass sie unbefugten Dritten Zugriff auf Nutzerdaten gewährt hätte.

 

Der Auskunftsanspruch sei, soweit er berechtigt geltend gemacht werde, bereits außergerichtlich ordnungsgemäß beantwortet worden, so dass ein weiterer Anspruch nicht bestehe.

 

Wegen des weiteren Vorbringens der Beklagten wird auf die Klageerwiderung vom 28.09.2022 und die Schriftsätze vom 06.01.2023 und vom 23.01.2023 Bezug genommen.

 

Vor der Kammer fand am 16.01.2023 eine mündliche Verhandlung statt, in der der Kläger persönlich angehört worden ist und auf deren Protokoll Bezug genommen wird.

 

Entscheidungsgründe

 

Die Klage ist zulässig und auch überwiegend – im aus dem Tenor ersichtlichen Umfang – begründet.

 

A.

 

Die Klage ist zulässig.

 

I.

 

Das Landgericht Stuttgart ist international, örtlich und sachlich zuständig.

 

  1. Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 EuGVVO.

 

Ein ausschließlicher Gerichtsstand gemäß Art. 24 EuGVVO ist nicht ersichtlich. Gemäß Art. 18 Abs. 1 Alt. 2 EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher – hier der Kläger – seinen Wohnsitz – hier: in der Bundesrepublik Deutschland – hat.

 

Die internationale Zuständigkeit deutscher Gerichte ergibt sich ferner aus Art. 79 Abs. 2 DS-GVO, deren zeitlicher, sachlicher und räumlicher Anwendungsbereich eröffnet ist.

 

  1. Das Landgericht Stuttgart ist örtlich zuständig. Das folgt zum einen aus Art. 18 Abs. 1 Alt. 2 EuGVVO, zum anderen aus Art. 79 Abs. 2 Satz 2 DS-GVO.

 

  1. Die sachliche Zuständigkeit ergibt sich aus §§ 23, 71 GVG, nachdem der Gegenstandswert mehr als 5.000 Euro beträgt (vgl. unten C).

 

II.

 

Auch sonst begegnet die Klage durchgreifenden Bedenken hinsichtlich ihrer Zulässigkeit nicht.

 

  1. Der Klageantrag zu 1 ist nicht unbestimmt.

 

Der Kläger stellt die Bemessung des Schmerzensgeldes, hinsichtlich dessen er eine Größenordnung seiner Vorstellungen angegeben hat, zulässigerweise in das Ermessen des Gerichts. Im Schriftsatz vom 06.10.2022 hat er zudem mitgeteilt, worauf sich sein Begehren bezieht und dass er sowohl einen Anteil des Schmerzensgeldes für das Verhalten der Beklagten vor dem Daten-Scraping-Vorfall als auch einen Anteil für das nachfolgende Verhalten begehrt, so dass eine alternative Klagebegründung nicht angenommen werden kann.

 

  1. Das Feststellungsinteresse gemäß § 256 Abs. 2 ZPO für den Klageantrag zu 2 steht nicht in Frage.

 

Ein Feststellungsantrag ist schon zulässig, wenn die Schadensentwicklung noch nicht abgeschlossen ist und der Kläger seinen Anspruch deshalb ganz oder teilweise nicht beziffern kann. Ein Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen. Das kann indes bei dem hier in Rede stehenden Daten-Scraping-Vorfall mit der behauptet unkontrollierten Nutzung gescrapter Daten bei verständiger Würdigung angesichts der erst im Jahr 2021 erfolgten Veröffentlichung (noch) nicht angenommen werden. Es ist nicht ausgeschlossen, dass irgendein materieller Schaden – hierauf beschränkt der Kläger sein Begehren ausweislich der Replik vom 06.10.2022 – entstehen könnte.

 

  1. Darüber hinaus ist auch das Unterlassungsbegehren des Klageantrags zu 3 hinreichend bestimmt i.S. von § 253 Abs. 2 Nr. 2 ZPO.

 

Nach dieser Regelung darf ein Unterlassungsantrag – und nach § 313 Abs. 1 Nr. 4 ZPO eine darauf beruhende Verurteilung – nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich die beklagte Partei deshalb nicht erschöpfend verteidigen kann und die Entscheidung darüber, was ihr verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt (vgl. BGH, Urteil vom 09.09.2021 – I ZR 90/20 Rn. 19).

 

Der Kläger stützt sich auf eine unzulässige Datenerhebung, deren Unterlassen er mit dem Antrag zu 3 begehrt. Er macht geltend, dass die Einwilligung zur Verarbeitung seiner Telefonnummer nicht wirksam sei und die Beklagte sie daher im Rahmen des Contact-Import-Tools und im Facebook-Messenger App nicht verwenden dürfe. Der Lebenssachverhalt, durch den der Streitgegenstand bestimmt wird, ergibt sich aus der mit der Klage gerügten konkreten Verletzungsform – i.e. konkret der ohne wirksame Einwilligung zur Weiterverarbeitung erlangten Telefonnummer usw. Damit richtet sich das Begehren zu 3 gegen ein konkret beschriebenes Verhalten, das Anlass zu Beanstandungen geben kann – die sogenannte konkrete Verletzungsform. Dann aber bilden alle Rechtsverletzungen, die hierdurch verwirklicht werden können, den Streitgegenstand, so dass der Kläger die nach lit. a und nach lit. b geltend gemachten Unterlassungen zum Gegenstand eines zulässigen Klageantrags machen kann.

 

Zuzugestehen ist der Beklagten zwar, dass die Formulierung „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ auslegungsbedürftig ist und Vollstreckungsprobleme denkbar sind. Allerdings ist es insofern nicht am Kläger, der Beklagten vorzugeben, welche konkreten Maßnahmen diese zu ergreifen hat. Er hat weder Einblick in die Programmierung der Facebook-Plattform noch in die Organisationsstruktur der Beklagten. Daher muss es genügen, dass das Vollstreckungsorgan gegebenenfalls Wertungen vornehmen muss. Es wäre verfehlt im Lichte des effektiven Rechtsschutzes i.S. des Art. 19 GG, würde vom Kläger verlangt, dass er für eine hinreichend konkrete Antragstellung den aktuellen Stand der Technik selbst ermitteln muss.

 

B.

 

Die Klage ist hinsichtlich des begehrten immateriellen Schadensersatzes teilweise begründet (unten I), in Bezug auf das Feststellungsbegehren des Klageantrags zu 2 begründet (unten II), im Klageantrag zu 3 (unten III) überwiegend begründet, dagegen nicht im Klageantrag zu 4 (unten IV), so dass der Kläger Erstattung vorgerichtlich angefallener Rechtsanwaltskosten nicht im geltend gemachten Umfang beanspruchen kann (unten V).

 

I.

 

Dem Kläger steht gegen die Beklagte, die als Verantwortliche i.S. von Art. 4 Nr. 7 DS-GVO anzusehen ist, ein Anspruch auf – immateriellen – Schadensersatz i.H.v. 300 Euro aus Art. 82 Abs. 1 DS-GVO zu.

 

  1. Art. 82 Abs. 1 DS-GVO erfordert nach seinem Wortlaut einen Verstoß gegen die DS-GVO. Gegen welche Vorschrift der DS-GVO verstoßen wurde, ist insoweit zunächst nicht relevant.

 

Gemäß Art. 82 Abs. 1 DS-GVO haftet der Verantwortliche für Schäden wegen „Verstößen gegen diese Verordnung“. Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung, wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt (vgl. OLG Stuttgart, Urteil vom 31.03.2021 – 9 U 34/21, BeckRS 2021, 6282 Rn. 25; Kreße in Sydow/Marsch, DS-GVO | BDSG, 3. Aufl. DS-GVO Art. 82 Rn. 7; a.A. Gola/Piltz in Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. DS-GVO Art. 82 Rn. 5).

 

  1. Zunächst steht dem Kläger im Hinblick auf das Verhalten der Beklagten im Vorfeld des Daten-Scraping-Vorfalls ein Anspruch auf immateriellen Schadensersatz i.H.v. 300 Euro zu (für einen vergleichbaren Sachverhalt: a.A. LG Essen, Urteil vom 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818; wegen fehlenden Nachweises eines immateriellen Schadens ebenfalls a.A.: LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22, GRUR 2022, 30480 und LG Bielefeld, Urteil vom 19.12.2022 – 8 O 182/22, GRUR-RS 2022, 38375).

 

  1. a) Insofern ist ein relevanter Verstoß der Beklagten darin zu sehen, dass diese gegen die sich aus Art 25 Abs. 2 DS-GVO ergebende Verpflichtung verstoßen hat.

 

  1. aa) Danach hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

 

Durch die standardmäßige Konfiguration von Privatsphäre-Einstellungen ist zu gewährleisten, dass Nutzer ihre Daten nur den Personenkreisen und nur in dem Umfang zugänglich machen, die sie vorab selbst festgelegt haben. Das hat zur Folge, dass alle für die Nutzung nicht erforderlichen personenbezogenen Daten anderen Nutzern nicht zugänglich gemacht werden dürfen, es sei denn, die betroffene Person nimmt entsprechende Änderungen in den Voreinstellungen vor (vgl. Nolte/Werkmeister in Gola/Heckmann, DS-GVO – BDSG 3. Aufl. DS-GVO Art. 25 Rn. 28). Die von Nutzern veröffentlichten Informationen dürfen nicht ohne Einschränkungen der allgemeinen Öffentlichkeit zugänglich gemacht werden, sondern dies muss aktiv erst in den Privatsphäreeinstellungen durch den Nutzer eingerichtet werden (so Hartung in Kühling/Buchner, DS-GVO - BDSG 3. Aufl. DS-GVO Art. 25 Rn. 26).

 

  1. bb) Das ist durch die Beklagte nicht gewährleistet (z.B. a.A. LG Essen, Urteil vom 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818).

 

Aus ihrem eigenen Vortrag in der Klageerwiderung ergibt sich, dass der Umstand, dass die Telefonnummer des Klägers „öffentlich“ war, darauf beruhte, dass er dies in den Voreinstellungen nicht geändert hat, nachdem – wie die Beklagte zugesteht – die Standard-Einstellung für die Suchbarkeit von Telefonnummern während des relevanten Zeitraums „Alle“ gewesen ist. Nicht ausreichend ist insoweit, dass – worauf die Beklagte abstellt – etwaige Einstellungen vom Nutzer geändert werden können. Dasselbe gilt für den von der Beklagten angeführten „Privatsphäre-Check“.

 

Diese durch die Voreinstellungen ermöglichte Datenerhebung ist nicht für die Durchführung eines rechtsgeschäftlichen Schuldverhältnisses erforderlich (Art. 6 Abs. 1 Satz 1 lit. b DS-GVO), ebenso wenig zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 Satz 1 lit. f DS-GVO). Sie mag im Einzelnen je nach Geschmack des Nutzers für die Nutzung der Facebook-Plattform nützlich und behilflich sein. Erforderlich für die Nutzung schlechthin ist sie aber nicht. Diesbezügliche Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten müssen sich auf das absolut Notwendige beschränken. Die Daten sind für eine Nutzung der Facebook-Plattform durch Dritte bzw. für den Betrieb derselben durch die Beklagte nicht unabdingbar (anders für ein Ärztebewertungsportal: BGH, Urteil vom 13.12.2022 – VI ZR 60/21 Rn. 21). Das zeigt sich auch daran, dass sämtliche Voreinstellungen, um die es hier geht, ohne weiteres abgewählt werden können, ohne dass dies ersichtlich der weiteren Vertragsdurchführung entgegensteht (so ausdrücklich KG, Urteil vom 20.12.2019 – 5 U 9/18, BeckRS 2019, 35233 Rn. 39).

 

Daher kann sich die Beklagte nicht darauf zurückziehen, dass der Zweck der Facebook-Plattform gerade darin bestehe, es Menschen zu ermöglichen, sich mit Freunden, Familie und Gemeinschaften zu verbinden und dass die Funktionen gezielt so konzipiert worden seien, dass sie den Nutzern helfen, andere zu finden, sich mit ihnen zu verbinden und mit ihnen in Kontakt zu treten. Gerade das widerspricht den Anforderungen der DS-GVO. Die Beklagte darf nicht durch die Definition ihres Leistungsangebots den Umfang der zulässigen Datenverarbeitung unter Hintanstellung der Nutzerinteressen allein an ihrem Interesse an der Vermarktung eines durch die Internetnutzung innerhalb und außerhalb von Facebook generierten Bestands personenbezogener Daten seiner Nutzer ausrichten und über das für die Benutzung des sozialen Netzwerkes erforderliche Maß ausweiten (so BGH, Beschluss vom 23.06.2020 – KVR 69/19 Rn. 110).

 

Für die Durchführung des Schuldverhältnisses ist es z.B. für den jeweiligen Nutzer nicht erforderlich, dass Name, Profilbild und Titelbild anderen Nutzern helfen, andere zu finden, auch wenn das hilfreich und von vielen gewünscht sein mag. Die Angabe des Geschlechts ist nicht in irgendeiner Art und Weise erforderlich. Facebook muss nicht – worauf die Klageerwiderung abstellt – den Nutzer unter Beachtung seines Geschlechts „beschreiben“ (z.B. „Füge sie als Freundin hinzu“).

 

Vor diesem Hintergrund ist es ebenso wenig ausreichend, wenn die Beklagte über die Möglichkeiten der Anpassung ihrer Suchbarkeits-Einstellungen und Zielgruppenauswahl informiert. Die Voreinstellung, die die Beklagten hinsichtlich einzelner Aspekte mit „öffentlich“ einräumt, läuft den Erfordernissen des Art. 25 Abs. 2 DS-GVO evident zuwider. Auch ist nicht erheblich, wie die Beklagten einen „Hilfebereich“ ausgestaltet, da diesen i.d.R. nur derjenige Nutzer anschauen wird, der die Notwendigkeit einer Änderung für sich wahrgenommen hat. Das ist bei einem Nutzer, der die Anmeldeprozedur mit vorgegebenen Einstellungen durchläuft, nicht notwendigerweise der Fall.

 

Denn es kann ein Verhalten, das im Aufruf von Websites und Apps, der Eingabe von Daten in diese Websites und Apps sowie in der Betätigung von in diese eingebundenen Schaltflächen besteht, grundsätzlich auch nicht einem Verhalten gleichgestellt werden, das die sensiblen personenbezogenen Daten des Nutzers i.S. von Art. 9 Abs. 2 lit. e DS-GVO offensichtlich öffentlich macht (vgl. Schlussanträge des Generalanwaltes vom 20.09.2022 in der Rechtssache EuGH – C-252/21, BeckRS 2022, 24109 Rn. 44).

 

  1. cc) Im Übrigen ist nicht anzunehmen, dass ein Verstoß gegen Art. 25 Abs. 2 DS-GVO einen Ersatzanspruch nicht auszulösen vermag (so aber z.B.: Nolte/Werkmeister in Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. DS-GVO Art. 25 Rn. 3, 34). Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren (vgl. Mantz in Sydow/Marsch, DS-GVO | BDSG, 3. Aufl. DS-GVO Art. 25 Rn. 77; Martini in Paal/Pauly, DS-GVO – BDSG 3. Aufl. DS-GVO Art. 25 Rn. 6).

 

Das wird hier augenscheinlich dadurch, dass bei einer Voreinstellung, die mit Art. 25 Abs. 2 DS-GVO konform gewesen wäre, ein Abgreifen der Mobiltelefonnummer des Klägers so, wie letztlich geschehen, nicht ohne weiteres möglich gewesen wäre. Denn bei einer entsprechenden Voreinstellung wäre die Nummer nicht öffentlich zugänglich gewesen, sondern allenfalls aufgrund einer individuellen Auswahl des Klägers.

 

  1. b) Darüber hinaus ist die Beklagte der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen.

 

  1. aa) Die Beklagte hat den Kläger zum Zeitpunkt der Datenerhebung seiner Mobilfunknummer nicht ausreichend über die Zwecke der Verarbeitung dieser Nummer aufgeklärt. Nach Art. 13 Abs. 1 lit. c DS-GVO sind indes die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, zum Zeitpunkt der Erhebung der Daten mitzuteilen.

 

  1. bb) Dem hat die Beklagte zumindest hinsichtlich der Verwendung der Mobilfunknummer für das von ihr verwendete Contact-Import-Tool nicht genügt.

 

Dadurch ermöglicht die Beklagte einem Nutzer z.B. einen Abgleich der in seinem Smartphone gespeicherten Kontakte mit auf Facebook registrierten Nutzerprofilen, die ihr Profil mit einer Mobilfunknummer verknüpft haben. So können diese Kontakte auf der Facebook-Plattform gefunden, und es kann mit ihnen in Verbindung getreten werden.

 

Aus den vorgelegten Unterlagen ist nicht ersichtlich, dass insoweit durch die Beklagte eine irgendwie geartete Aufklärung erfolgt wäre. Derlei vermag die Beklagte insbesondere im Rahmen der Klageerwiderung vom 28.09.2022 (dort Rn. 37 ff.) nicht aufzuzeigen. Vielmehr wird durch die Information „Möglicherweise verwenden wir deine Mobilnummer für diese Zwecke: … Um dir Personen, die du kennen könntest, vorzuschlagen, damit du dich mit ihnen auf Facebook verbinden kannst“ gerade ein gegenteiliger Eindruck erweckt. Es wird nicht darüber informiert, dass andere den Kläger als Nutzer finden können, sondern darüber, dass dem Kläger seine Telefonnummer nützlich sein kann, andere Facebook-Nutzer zu finden. Das eine mag zwar mit dem anderen unmittelbar zusammenhängen, indes gestaltet sich die Information der Beklagten selektiv und damit unvollständig. Das wird auch nicht durch den anschließenden Hinweis, dass man kontrollieren könne, wer die eigene Telefonnummer sehen könne, geheilt, zumal auch in der vorgelegten „Datenrichtlinie“ der Anlage B 9 in der Rubrik „Wie werden diese Informationen geteilt?“ noch nicht einmal im Ansatz hierauf hingewiesen wird.

 

  1. cc) Angesichts des Vorstehenden kann hier auch nicht von einer wirksamen Einwilligung des Klägers i.S. von Art. 6 Abs. 1 lit. a DS-GVO ausgegangen werden, ebenso wenig ist das Auffinden über das Contact-Import-Tool für die Durchführung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen erforderlich (Art. 6 Abs. 1 Satz 1 lit. d DS-GVO).

 

  1. dd) Ein Verstoß gegen Art. 13 DS-GVO kann – entgegen der Annahme der Beklagten – ohne weiteres einen Schadensersatzanspruch nach Art. 82 DS-GVO nach sich ziehen (vgl. nur Schmidt-Wudy in BeckOK-Datenschutzrecht, Stand: 01.11.2022 DS-GVO Art. 13 Rn. 18; Franck in Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. DS-GVO Art. 13 Rn. 64; a.A. LG Essen, Urteil vom 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818).

 

  1. c) Ob die Beklagte im Vorfeld des Daten-Scraping-Vorfalls weitere Pflichtverletzungen in Ansehung der DS-GVO begangenen hat, kann für die hier zu treffende Entscheidung dahinstehen, da sich daraus weitere Konsequenzen für den dem Kläger insofern zuzubilligenden Schadensersatzanspruch nicht ergeben können. Denn es besteht sich hinsichtlich der vom Kläger der Beklagten vorgeworfenen Verstöße letztlich kein weitergehender Unrechtsgehalt als derjenige, der bereits aus den Verstößen gegen Art. 25 Abs. 2 DS-GVO und aus Art. 13 DS-GVO folgt.

 

  1. d) Die Beklagte kann sich mit Blick auf den Daten-Scraping-Vorfall nicht nach Art. 82 Abs. 3 DS-GVO entlasten.

 

  1. aa) Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist (so z.B. Geissler/Ströbel, NJW 2019, 3414).

 

  1. bb) Denn der Beklagten ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt (vgl. nur Nemitz in Ehmann/Selmayr, DS-GVO 2. Aufl. Art. 82 Rn. 19), nicht gelungen.

 

Sie bringt vor, dass die Daten-Scraper Verfahren eingesetzt hätten, um in großem Umfang Daten mit automatisierten Tools und Methoden zu sammeln, was nach den Nutzungsbedingungen von Facebook untersagt gewesen sei. Damit räumt sie die technische Möglichkeit des Abgreifens von Daten durch die von ihr gewählte Architektur der Facebook-Plattform ein. Wenn aber der Beklagten bewusst ist, dass Daten-Scraper bestimmte Funktionen missbrauchen können, dann wäre es an der Beklagten gewesen, gerade das zu unterbinden. Auch wenn das dem eigenen Verständnis der Facebook-Plattform zuwiderlaufen mag, dem Interesse der Nutzer an der Wahrung ihrer datenschutzrechtlichen Belange entspräche das indes sehr wohl.

 

Die Beklagte trägt überdies nichts Konkretes dazu vor, was sie gegen die ihr bekannte Möglichkeit unternommen haben will. Sie bringt nur – letztlich recht pauschal – vor, sie habe Maßnahmen getroffen, um das Risiko von Scraping zu unterbinden, und entwickle ihre eigenen Maßnahmen zur Bekämpfung von Scraping kontinuierlich und als Reaktion auf die sich ständig ändernden Techniken und Strategien weiter. Ebenso wenig konkret und nachvollziehbar ist die pauschale Feststellung der Beklagten, in der Regel würden lediglich die Methoden, mit denen auf die maßgeblichen Funktionen zugegriffen werden könne, beschränkt, um zu verhindern, dass die gesamte zugrundeliegende Funktion beseitigt werde. Anderes ergibt sich auch nicht aus der ergänzenden Darstellung der Klageerwiderung (Rn. 73 ff.) und des Schriftsatzes vom 06.01.2023 (Rn. 38 ff.), vielmehr gesteht die Beklagte zu, dass die zutreffende Reaktion zur Verhinderung des hier stattgefundenen Daten-Scraping gewesen sei, das Verknüpfen von Telefonnummern mit bestimmten Facebook-Nutzern durch das Contact-Import-Tool zu verhindern. Das hatte sie – wie sie im Schriftsatz vom 06.01.2023 mitteilt – nicht gemacht, weil zunächst Scraping-Aktivitäten über das Contact-Import-Tool nicht festgestellt worden seien. Das nach dem Vorbringen der Beklagten erfolgte Absenken der Übertragungsbeschränkungen war offenkundig unzureichend. Soweit die Beklagte darauf abstellt, es handele sich dabei um eine legitime, nützliche Nutzerfunktion, mag dies zwar nützlich und hilfreich für einzelne Nutzer sein, erforderlich ist es indes nicht.

 

Auch der Hinweis, dass die Telefonnummern von den Daten-Scrapern „bereitgestellt“ worden sei, entlastet die Beklagte nicht. Es wäre an ihr gewesen, ein solches automatisiertes Verfahren zu verhindern.

 

  1. Aufgrund der nach Auffassung des Klägers unzureichenden Auskunft im Zusammenhang mit dem Daten-Scraping-Vorfall steht diesem ein Anspruch auf immateriellen Schadensersatz dagegen nicht zu.

 

  1. a) Zwar kann auch eine bloße Verletzung einer Auskunftspflicht nach Art. 15 DS-GVO insoweit einen Schadensersatzanspruch begründen (vgl. OLG Köln, Urteil vom 14.07.2022 – 15 U 137/21, GRUR-RS 2022, 17897 Rn. 15; Franck, ZD 2021, 680; a.A. LG Bonn, Urteil vom 01.07.2021 – 15 O 372/20, BeckRS 2021, 18275; Kreße in Sydow/Marsch, DS-GVO | BDSG, 3. Aufl. DS-GVO Art. 82 Rn. 13). Hier ist indes davon auszugehen, dass die Information des Klägers, wie sie mit Schreiben vom 23.08.2021 (Anlage K 2) erfolgt ist, dessen Anspruch nach Art. 15 DS-GVO erfüllt hat.

 

Der Kläger hatte sich unter dem 04.06.2021 an die Beklagte „wegen der im April 2021 bekannt gewordenen Onlineveröffentlichung eines Datensatzes mit Facebook-Profilen von Nutzern“ gewandt und konkrete Fragen formuliert, hinsichtlich derer er eine Erklärung der Beklagten wünsche. Diese betreffen ausschließlich die abhanden gekommenen – gescrapten – personenbezogenen Daten und nicht die Frage, über welche personenbezogenen Daten die Beklagte überhaupt verfügt.

 

Dieses Auskunftsverlangen, das sich aus Art. 15 DS-GVO ableiten lässt, hat die Beklagte mit dem Schreiben vom 23.08.2021 (Anlage K 2) erfüllt.

 

Eine Erfüllung ist dann anzunehmen, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen (vgl. nur BGH, Urteil vom 03.09.2020 – III ZR 136/18 Rn. 43).

 

Die Beklagte hat mitgeteilt, dass sie eine Kopie der Rohdaten, welche die durch Scraping abgerufenen Daten enthielten, nicht habe. Auf Grundlage der bislang vorgenommenen Analysen sei es ihr jedoch gelungen, der Nutzer-ID des Klägers die folgenden Datenkategorien zuzuordnen, die nach ihrem Verständnis in den durch Scraping abgerufenen Daten erschienen und mit den auf dem Facebook-Profil des Klägers verfügbaren Informationen übereinstimmten: Nutzer-ID, Vorname, Nachname, Land, Geschlecht. Dagegen sei die Telefonnummer „nach unserem Verständnis in den durch Scraping abgerufenen Daten enthalten“. Zudem hat die Beklagte erläutert, wie das Daten-Scraping erfolgte. Damit hat die Beklagte zum Ausdruck gebracht, dass sie die von ihr geschuldeten Angaben mitgeteilt hat.

 

  1. b) Darüber hinaus kann im hier zu beurteilenden Einzelfall nicht angenommen werden, dass – selbst wenn die Auskunft der Beklagte nicht ausreichend gewesen wäre – ein hierauf begründeter Schadensersatzanspruch bestünde.

 

Der Kläger hat in seiner Anhörung im Termin vom 16.01.2023 eingestanden, dass er der Information der Beklagten eine Bedeutung nicht beigemessen hat.

 

  1. Dem Kläger ist im Zusammenhang mit dem Daten-Scraping-Vorfall auch ein nach Art. 82 DS-GVO ersatzfähiger – immaterieller – Schaden entstanden, für den die Verstöße der Beklagten gegen die DS-GVO kausal waren.

 

  1. a) Es kann insofern dahinstehen, ob ein Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten – auch immateriellen – Schadens bedarf (vgl. dazu OLG Frankfurt a.M., Urteil vom 02.03.2022 – 13 U 206/20, GRUR 2022, 1252 Rn. 59).

 

  1. aa) Der Kläger hat einen konkreten, mit dem Daten-Scraping in Zusammenhang stehenden Schaden behauptet und zur Überzeugung der Kammer im Rahmen seiner persönlichen Anhörung nachvollziehbar erläutert.

 

Dabei sind die Angaben des Klägers glaubhaft, er selbst wirkt seinerseits glaubwürdig. Er räumt ohne weiteres ein, dass er verschiedenes nicht mehr genau weiß, und ist keineswegs bemüht, die floskelhaften und letztlich nichtssagenden Formulierungen der Klage zu wiederholen, sondern schildert, das, was ihn gestört hat, ohne Übertreibung und ohne erkennbaren Blick auf das, was seinem Begehren vermeintlich dienlicher sein könnte.

 

Danach ist davon auszugehen, dass der Kläger – jedenfalls – Ping-Anrufe erhalten hat, die auf den Daten-Scraping-Vorfall zurückzuführen sind. Zwar konnte er den genauen Zeitraum nicht (mehr) benennen, es ergibt sich aber aus seiner Schilderung, dass er über einen gewissen Zeitraum im Jahr 2021 mehrere solcher Anrufe erhalten hat. Eine nachvollziehbare andere Erklärung hierfür liegt – auch wenn es sich bei Ping-Anrufen um ein nicht nur vereinzeltes, nicht auf Nutzer der Facebook-Plattform begrenztes Phänomen handelt – nicht auf der Hand, zumal ein zeitlicher Zusammenhang mit der Veröffentlichung der gescrapten Daten ohne weiteres herstellbar ist (a.A. bei einer Beurteilung des dort zu entscheidenden Einzelfalls: LG Essen, Urteil vom 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818; LG Bielefeld, Urteil vom 19.12.2022 – 8 O 182/22, GRUR-RS 2022, 38375).

 

Anders ist das indes hinsichtlich der auch vom Kläger angesprochenen Spam-E-Mails, da diese ein allgemeines und vor allem sehr weit verbreitetes Phänomen darstellen und nicht notwendigerweise auf das Daten-Scraping zurückzuführen sind, zumal ein Abgreifen der E-Mail-Adresse des Klägers nicht nachgewiesen ist.

 

Darüber hinaus kann mit Blick auf die Anhörung des Klägers nicht davon ausgegangen werden, dass er Angst wegen eines Kontrollverlusts über seine Daten gehabt hätte, vielmehr ist eher das Gegenteil der Fall. Der Kläger hat – unstreitig – seine Voreinstellungen auf Facebook nicht geändert und letztlich hierfür zu keinem Zeitpunkt eine Veranlassung gesehen, weil ihm offenkundig die Nutzung der Plattform mit all ihren Funktionen wichtiger gewesen ist. Das wäre anders, stünde eine – in der Klage wiederum nur floskelhaft und ohne jeden Bezug zum konkreten Mandatsverhältnis behauptete – tatsächliche Sorge über einen Kontrollverlust im Raum.

 

  1. bb) Nachdem mit Blick auf den Erwägungsgrund 75 der DS-GVO als Schaden ausreichend ist, dass die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren (vgl. auch OLG Köln, Urteil vom 14.07.2022 – 15 U 137/21, GRUR-RS 2022, 17897 Rn. 15), erhellt sich ohne weiteres, dass die sich aus seiner glaubhaften Schilderung ergebenden Konsequenzen des Daten-Scraping-Vorfalls eine über eine Bagatellgrenze hinausreichende Beeinträchtigung darstellen (anders z.B. der Sachverhalt bei LG Karlsruhe, Urteil vom 09.02.2021 – 4 O 67/20, BeckRS 2021, 20347, das hinsichtlich an den dortigen Kläger gesandter Phishing- und Werbenachrichten einen kausalen Zusammenhang mit dem Datenverlust nicht feststellen konnte).

 

Es ist mehr als eine bloße Bagatelle, wenn über mehrere Monate hinweg Ping-Anrufe erfolgen, die den Angerufenen immer wieder vor die Frage stellen, ob er die Nummer zurückrufen soll oder nicht. Es ist daher ohne weiteres nachvollziehbar, wenn der Kläger hiervon „genervt“ gewesen ist.

 

  1. b) Dabei ist – anders als von der Beklagten angenommen – zugrunde zu legen, dass auch die Mobiltelefonnummer des Klägers Gegenstand des Daten-Scrapings geworden ist. Denn diese stand den Daten-Scrapern vorab nicht zur Verfügung, erst durch die Verbindung mit den weiteren Daten haben diese eine dem Kläger zuzuordnende Telefonnummer erlangt, nicht nur eine elf- oder zwölfstellige Zahl ohne jeden nachvollziehbaren Bezug zu einer Person.

 

  1. c) Das Scraping der Daten des Klägers ist ohne die Verletzung der Pflichten der Beklagten nach Art. 25 Abs. 2 DS-GVO und nach Art. 13 DS-GVO nicht denkbar. Aufgrund des Verstoßes gegen die Verpflichtung eines Datenschutzes durch Voreinstellung und durch den unterbliebenen Hinweis auf die Auffindbarkeit der Telefonnummer bei Nutzung des Contact-Import-Tools ist es erst möglich geworden, dass personenbezogene Daten von Dritten abgegriffen worden sind.

 

Eine Mitursächlichkeit ist ausreichend, eine alleinige Kausalität nicht gefordert (vgl. nur LAG Baden-Württemberg, Urteil vom 25.02.2021 – 17 Sa 37/20, ZD 2021, 436 Rn. 85), daher ist insofern nicht erheblich, dass der Kläger nach der erstmaligen Anmeldung bei Facebook die Datenschutzeinstellungen nicht geändert hat.

 

  1. Ein etwaiges Mitverschulden des Klägers (§ 254 BGB) deswegen, weil er die Datenschutzeinstellungen seines Facebook-Profils nicht geändert hat und dadurch auch den Zugriff der Daten-Scraper mit ermöglicht hat, tritt hinter die Verstöße der Beklagten vollkommen zurück.

 

Denn das Verhalten des Klägers – die von der Beklagten vorgegebenen Voreinstellungen zu belassen – ist gerade von der Beklagten intendiert und mit Blick auf den von ihr angenommenen Sinn und Zweck der Facebook-Plattform gewünscht. Dann aber kann die Beklagte sich, wenn sich die Gefahren, die sich durch ihr verordnungswidriges Verhalten ergeben, realisiert haben, nicht darauf berufen, es sei am Kläger dies im Sinne des Schutzes seiner personenbezogenen Daten zu korrigieren (vgl. auch OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, BeckRS 2022, 11126 Rn. 78; Frenzel in Paal/Pauly, DS-GVO – BDSG 3. Aufl. DS-GVO Art. 82 Rn. 19). Das gilt umso mehr für das Contact-Import-Tool, über dessen Funktionsweise und die damit verbundenen Gefahren seitens der Beklagten nicht aufgeklärt wird.

 

Vor diesem Hintergrund kann dahinstehen, ob ein Mitverschulden des Geschädigten im Rahmen von Art. 82 DS-GVO überhaupt zu berücksichtigen ist (vgl. dazu nur Bergt in Kühling/Buchner, DS-GVO - BDSG 3. Aufl. DS-GVO Art. 82 Rn. 59 mit Fn. 181).

 

  1. Der dem Kläger zuzuerkennende Schadensersatz für den erlittenen immateriellen Schaden ist entsprechend seinem Begehren für den lediglich als gerechtfertigt angesehen Ersatzanspruch wegen der Verstöße im Zusammenhang mit dem Daten-Scraping-Vorfall mit 300 Euro zu bemessen (§ 287 Abs. 1 Satz 1 ZPO, vgl. BAG Urteil vom 05.05.2022 – 2 AZR 363/21, BeckRS 2022, 20229 Rn. 14).

 

  1. a) Damit kann einerseits der Ausgleichs- und Genugtuungsfunktion genügt werden, andererseits der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung getragen werden. Zum einen ist – mit Blick auf den generalpräventiven Auftrag des Art. 82 DS-GVO (vgl. Gola/Piltz in Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. DS-GVO Art. 82 Rn. 5) – insoweit zu berücksichtigen, dass die Art und Weise der Datenerhebung durch die Beklagte systematisch gegen die Vorgaben der DS-GVO verstößt, um damit Sinn und Zweck der von ihr betriebenen Facebook-Plattform zu fördern. Andererseits ist auch der Umfang der Daten des Klägers, die abgegriffen worden sind, zu berücksichtigen. Sicherlich ist die Telefonnummer darunter, die über den Vorfall mit seinem Namen verbunden werden kann, ebenso auch das Profil bei Facebook, so dass der Kläger über diesen Weg kontaktiert werden kann. Weitergehende Daten, die eine Kontaktaufnahme ermöglichen könnten, sind – nach derzeitigem Kenntnisstand – nicht von Dritten gescrapt worden. Daher ist der mögliche Schaden, auch wenn die Gefahr eines Identitätsdiebstahls nicht ausgeschlossen werden kann, im Grunde für den Kläger letztlich noch überschaubar.

 

Das manifestiert sich auch in der persönlichen Anhörung des Klägers, der – dem Daten-Scraping zuzuordnen – lediglich über Ping-Anrufe über einen Zeitraum von mehreren Monaten im Jahr 2021 berichtet (vgl. oben B I 5 a aa).

 

  1. b) Das zugrunde legend und ausgehend von etwa 3 Ping-Anrufen pro Monat über einen Zeitraum eines 3/4 Jahres hinweg – eine Veröffentlichung der Daten erfolgte erst im April 2021 – ist ein Betrag von 300 Euro angemessen und ausreichend.

 

  1. c) Soweit in Rede steht, dass die Beklagte – was anzunehmen sein sollte – überdies ihre Meldepflicht aus Art. 33 DS-GVO verletzt hat und dass sie – was ebenfalls anzunehmen sein sollte – den Kläger nicht entsprechend ihrer unverzüglich zu erfüllenden Verpflichtung aus Art. 34 Abs. 1 DS-GVO informiert hat, lässt sich hierauf eine Erhöhung des dem Kläger zuzubilligenden Schadens nicht stützen.

 

Durch die Verletzung dieser Pflichten hat sich der Schaden des Klägers nicht vertieft. Der maßgebliche Vorwurf an die Beklagten ergibt sich daraus, dass es möglich war, dass ein Daten-Scraping stattfand. Entscheidend ist insoweit aber, dass der Kläger aus dem späteren Wissen um die Verstöße und um die Möglichkeiten, die Profileinstellungen zu ändern, nicht gehandelt hat. Unstreitig – und vom Kläger im Rahmen seiner persönlichen Anhörung auch zugestanden – sind die maßgeblichen Einstellungen nicht geändert. Daraus wird deutlich, dass der Kläger der Auskunft und der Meldung als solcher ein entscheidendes Gewicht nicht beimisst, dann aber kann das auch nicht relevant für einen von ihm erlittenen Schaden sein.

 

  1. Der Zinsanspruch folgt aus §§ 288, 291 BGB (ab dem 04.08.2022, § 187 BGB analog), wobei eine Zustellung nicht vor dem Eingang des Schriftsatzes der Beklagtenvertreter vom 03.08.2022 angenommen werden kann.

 

II.

 

Nachdem dem Kläger ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zusteht, ist auch auf den Klageantrag zu 2 zu erkennen. Es ist nicht ausgeschlossen, dass der Kläger künftig infolge der Verstöße der Beklagten gegen die DS-GVO – auch – materielle Schäden erleidet.

 

III.

 

Darüber hinaus kann der Kläger die mit dem Klageantrag zu 3 beanspruchte Unterlassung – in weiten Teilen – erfolgreich gegenüber der Beklagten geltend machen (a.A. abstellend auf das Einverständnis zur Veröffentlichung von Daten: LG Essen, Urteil vom 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818; LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22, GRUR 2022, 30480 und LG Bielefeld, Urteil vom 19.12.2022 – 8 O 182/22, GRUR-RS 2022, 38375).

 

  1. Soweit es für den vorbeugenden Unterlassungsschutz eine gesonderte Anspruchsgrundlage in der DS-GVO nicht gibt, bleibt im Hinblick auf die Vorgaben des Art. 79 DS-GVO entweder ein Rückgriff auf § 823 Abs. 2, § 1004 BGB analog möglich, um Schutzlücken zu vermeiden (vgl. nur OLG München, Urteil vom 19.01.2021 – 18 U 7243/19, juris Rn. 62), oder ein solcher Anspruch folgt mit Blick auf die unrechtmäßige Datenverarbeitung seitens der Beklagten aus Art. 17 Abs. 1 lit. d DS-GVO, falls man annimmt, aus dem dort normierten Löschungsrecht lasse sich auch ein Unterlassungsanspruch herleiten (vgl. BGH, Urteil vom 13.12.2022 – VI ZR 60/21 Rn. 10; zum Ganzen auch: OLG Frankfurt, Urteil vom 14.04.2022 – 3 U 21/20, GRUR-RS 2022, 10537).

 

  1. Die Beklagte hat – wie oben B I 2 a und b festgestellt – jedenfalls gegen Art. 13 und Art. 25 Abs. 2 DS-GVO verstoßen. Diese Rechtsverstöße geben dem Kläger einen darauf bezogenen Anspruch auf Beseitigung und künftige Unterlassung.

 

  1. a) Daher kann der Kläger verlangen, dass die Beklagte es unterlässt, personenbezogenen Daten (Telefonnummer, Facebook-ID, Familienname, Vorname, Geschlecht, Stadt, Beziehungsstatus) unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen. In gleicher Weise kann der Kläger beanspruchen, dass die Beklagte es unterlässt, dass seine Mobilfunknummer trotz einer Einstellung auf „privat“ noch durch Verwendung des Contact-Import-Tools verwendet werden kann, es sei denn, es wird ausdrücklich die Einwilligung hierzu erteilt.

 

  1. b) Ausgenommen davon sind indes die Daten „Land“ und „Bundesland“, die – nach dem vom Kläger unbestritten gebliebenen Vorbringen der Beklagten – nicht Gegenstand der Angaben auf der Facebook-Plattform sind. Insoweit ist der Unterlassungsanspruch teilweise nicht begründet und daher abzuweisen.

 

  1. c) Soweit die Beklagte darauf verweist, dass der Kläger durch eine Änderung der Einstellungen auf der Facebook-Plattform die von ihm gewünschte Rechtsfolge erreichen kann, steht dies Unterlassungsansprüchen des Klägers nicht entgegen.

 

Durch mögliche, vom Kläger selbst vorzunehmende Änderungen von Einstellungen in seinem Facebook-Profil ist eine Wiederholungsgefahr nicht entfallen, und der Kläger kann grundsätzlich Unterlassung jeder einmal getätigten rechtswidrigen Datenverarbeitung verlangen. Denn im Fall eines rechtswidrigen Eingriffs in ein geschütztes Rechtsgut des Betroffenen besteht nach ständiger Rechtsprechung des Bundesgerichtshofs eine tatsächliche Vermutung für das Vorliegen der Wiederholungsgefahr. An eine Entkräftung der Vermutung sind strenge Anforderungen zu stellen, im Regelfall bedarf es hierfür der Abgabe einer strafbewehrten Unterlassungsverpflichtungserklärung gegenüber dem Gläubiger des Unterlassungsanspruchs. Eine solche hat die Beklagte hier nicht abgegeben, sie geht vielmehr von der Wirksamkeit der von ihr angenommenen Einwilligung aus.

 

  1. Die Ordnungsmittelandrohung folgt aus § 890 ZPO.

 

IV.

 

Nachdem die Beklagte einen etwaigen Auskunftsanspruch des Klägers bereits erfüllt hat (vgl. oben B I 4) kann dieser insoweit den mit dem Klageantrag zu 4 geltend gemachten Anspruch nicht erfolgreich durchsetzen (so auch LG Essen, Urteil vom 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818; LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22, GRUR 2022, 30480 und LG Bielefeld, Urteil vom 19.12.2022 – 8 O 182/22, GRUR-RS 2022, 38375).

 

V.

 

Im Rahmen des ihm zustehenden materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann der Kläger auch die Erstattung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen.

 

Ausgehend von den in Ansatz zu bringenden Gegenstandswerten für die jeweiligen Klageanträge (dazu unten C) ist der Kläger hier hinsichtlich eines Begehrens erfolgreich, dessen Wert mit bis zu 6.000 Euro anzunehmen ist. Hinzuzurechnen ist noch das zunächst nicht erfüllte Auskunftsverlangen (500 Euro). Insgesamt ergeben sich daher Gebühren nach Ziff. 2300, 7002, 7008 VV RVG i.H.v. 713,76 Euro, die ebenfalls nach §§ 288, 291 BGB zu verzinsen sind.

 

C.

 

Die Kostenentscheidung folgt aus § 92 Abs. 1 ZPO, wobei das teilweise Unterliegen hinsichtlich der Anträge zu 1 und zu 3 ebenso wie hinsichtlich des Antrags zu 4 zu Lasten des Klägers zu berücksichtigen ist.

 

Die Entscheidung zur vorläufigen Vollstreckbarkeit hat ihre Rechtsgrundlage in § 709 ZPO bzw. §§ 709, 711 ZPO.

 

Der Streitwert ist mit insgesamt bis zu 7.000 Euro festzusetzen (Antrag zu 1: 1.000 Euro, Antrag zu 2: 500 Euro, Antrag zu 3: 5.000 Euro, Antrag zu 4: 500 Euro; vgl. dazu OLG Stuttgart, Beschluss vom 03.01.2023 – 4 AR 4/22).

zur Kanzlei

© 2023 juraport.sh

Impressum · Datenschutz

Kategorien

Ihre Anwälte

Kontakt

nach oben