Rechtsprechung / Landgericht Frankfurt am Main
Landgericht Frankfurt am Main Urteil vom 30.12.2022 – 2-31 O 148/22
ECLI:DE:LGFFM:2022:1230.2.31O148.22.00
Orientierungssatz
Die Entscheidung ist rechtskräftig.
Tenor
Die Klage wird abgewiesen.
Der Kläger hat die Kosten des Rechtsstreits zu tragen.
Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.
Tatbestand
Der Kläger begehrt von der Beklagten im Zusammenhang mit dem unbefugten Abruf von Daten bei der Beklagten im Jahr 2019 Schadensersatz, Feststellung, Unterlassung, Auskunft und die Erstattung vorgerichtlich angefallener Rechtsanwaltskosten.
Die Beklagte betreibt die Webseite …. und die Dienste auf dieser Webseite (nachfolgend ….). Der Kläger nutzt …..
Die Nutzer können auf persönlichen Profilen verschiedene Daten zu ihrer Person auf …. machen. Hierbei können Nutzer auch die Telefonnummer angeben. Im Rahmen der von der Beklagten offerierten Möglichkeiten können die Nutzer entscheiden, welche anderen Nutzer auf diese Informationen zugreifen können (bspw. öffentlich, privat). Die Beklagte bietet darüber hinaus eine Kontakt-Importer-Funktion an. Hierbei werden Kontakte vom Mobilgerät eines Nutzers auf …. hochgeladen. …. prüft dann, ob eine Telefonnummer mit einem ….-Konto verbunden ist. Ein Nutzer kann über die Privatsphäreeinstellungen der Beklagten eine Auswahl setzen, dass er über seine Telefonnummer nicht gefunden werden kann. Die Einstellungen beim klägerischen Profil waren im relevanten Zeitraum demgegenüber so gesetzt, dass er über seine Telefonnummer gefunden werden konnte.
Im Jahr 2019 extrahierten (scrapten) Dritte (Scraper) bestimmte Daten von ….-Profilen, indem sie die Kontakt-Importer-Funktion nutzten und Kontakte mit möglichen Telefonnummern hochluden. Wenn …. anhand der möglichen Telefonnummer ein vorhandenes ….-Profil fand, luden die Scraper die öffentlich zugänglichen Informationen des entsprechenden Profils herunter. Im April 2021 sind Daten – darunter auch die Telefonnummer – von ca. 533 Millionen ….-Profilen – darunter auch vom Kläger – im Internet verbreitet worden (sog. Scraping-Sachverhalt).
Mit E-Mail vom 07.06.2021 forderte der Kläger die Beklagte auf, die aus seiner Sicht rechtswidrige Verarbeitung der personenbezogenen Daten zu unterlassen, einen Schadensersatz von 500,00 € zu zahlen, Auskunft zu erteilen, sowie die Zahlung vorgerichtlicher Rechtsanwaltskosten.
Die Beklagte nahm mit Schreiben vom 01.09.2021 hierzu Stellung und erteilte u.a. bestimmte Auskünfte.
Der Kläger behauptet, dass er durch den Scraping-Sachverhalt einen erheblichen Kontrollverlust über seine Daten erlitten habe und in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten verbleibe, was sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen, aber auch in der ständigen Sorge, dass die veröffentlichten Daten von Kriminellen für unlautere Zwecke verwendet werden könnten, manifestiere. Durch die aus Sicht des Klägers unterlassene Information über den Scraping-Sachverhalt sei eine Intensivierung des Schadens eingetreten. Dadurch habe er die Einleitung von Schritten zur Risikominimierung und Absicherung unterlassen. Dies habe zu einer Steigerung seines Unwohlseins und seiner Sorgen geführt. Seine Daten seien nach dem damaligen Stand der Technik bei der Beklagten nicht ausreichend geschützt gewesen. Der Kläger ist der Ansicht, die Beklagte habe gegen die DSGVO verstoßen. Sie habe seine betreffenden personenbezogenen Daten ohne Rechtsgrundlage und ausreichende Informationen verarbeitet., da die Informationen unübersichtlich und unvollständig seien. Weiterhin habe die Beklagte seine Daten unbefugten Dritten zugänglich gemacht und hierbei zahlreiche DSGVO-Pflichten verletzt. Der Kläger habe Anspruch auf weitere Auskunft, insbesondere über die konkreten Empfänger der personenbezogenen Daten.
Der Kläger beantragt,
1. Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.
2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.
3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,
a. personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, …. lD, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,
b. die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat" noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der …. App, hier ebenfalls explizit die Berechtigung verweigert wird.
4. Die Beklagte wird verurteilt der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.
5. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.
Die Beklagte beantragte,
die Klage abzuweisen.
Die Beklagte rügt die Klageänträge zu 1) bis 3) als zu unbestimmt sowie für den Klageantrag zu 2) das Fehlen eines Feststellungsinteresses. Der Kläger habe keinen Anspruch auf Schadensersatz, da die angeblichen Verstöße nicht vom Schutzbereich des Art. 82 DSGVO erfasst seien, die Beklagte keinen Verstoß gegen die DSGVO begangen habe, dem Kläger kein ersatzfähiger immaterieller Schaden entstanden sei, keine Kausalität zwischen unterstelltem DSGVO-Verstoß und unterstelltem Schaden bestehe, und die Beklagte haftungsbefreit sei mangels Verschulden. Ein Anspruch auf Feststellung der Ersatzpflicht künftiger Schäden bestehe ebenso wenig, wie der Unterlassungsanspruch. Ein weiterer Anspruch auf Auskunft sei nicht gegeben.
Entscheidungsgründe
Die zulässige Klage ist unbegründet
I.
Der Klageantrag zu 1) ist bestimmt genug im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Entgegen der Auffassung der Beklagten liegen der Klage nicht zwei Streitgegenstände zugrunde. Der Streitgegenstand ist das Daten-Scraping 2019. Der Kläger stützt seinen Anspruch auf die Verletzung verschiedener DSGVO-Vorschriften im Zusammenhang mit diesem einen Sachverhalt.
Der Klageantrag zu 2) ist bestimmt genug im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Der Kläger begehrt die Feststellung der Einstandspflicht für alle künftigen Schäden, die durch den Datenzugriff entstanden sind und/oder noch entstehen werden. Der Kläger begehrt die Einstandspflicht für künftige Schäden – hieran ist nichts unbestimmt und so hat es auch die Beklagte verstanden (vgl. Überschrift in der Klageerwiderung, S. 75: „Kein Anspruch auf Feststellung der Ersatzpflicht hins. künftiger Schäden“). Die Verwendung des Partizips II („entstanden“) dient ersichtlich nur der Inbezugnahme des in der Vergangenheit liegenden Datenzugriffs. Es besteht auch das für den Antrag erforderliche Feststellungsinteresse, da die Möglichkeit besteht, dass (weitere) Schäden durch die Verwendung der – selbst nach den Nutzungsbedingungen der Beklagten („[…] um in großem Umfang Daten mit automatisierten Tools und Methoden zu sammeln, was nach den Nutzungsbedingungen von […] untersagt war und ist“, Klageerwiderung, Rz. 10) – unbefugt erlangten Daten entstehen. Dies wäre nur dann nicht gegeben, wenn aus Sicht des Klägers bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen. Aber gerade bei einem solch umfangreichen Datenabgriff ist bei lebensnaher Betrachtung davon auszugehen, dass dies nicht ohne eine bestimmte, und zwar illegale Absicht erfolgt ist.
Der Klageantrag zu 3) ist bestimmt genug im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Sofern die Beklagte die Passage „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ als zu unbestimmt rügt, ist dies nicht zu beanstanden. Die Verwendung auslegungsbedürftiger Begriffe kommt nur in Betracht, wenn einerseits für den Kläger eine weitere Konkretisierung nicht möglich oder zumutbar ist, andererseits für die Parteien kein Zweifel an ihrem Inhalt besteht, so dass die Reichweite von Antrag und Urteil feststeht (BGH, Urt. v. 02.12.2015 – IV ZR 28/15 = NJW 2016, 708, Rn. 8). Dies ist hier der Fall. Einerseits ist unstreitig, dass der Kläger kein Fachmann im Bereich der IT-Sicherheitsarchitektur von sozialen Netzwerken ist, zumal – selbst unterstellt, der Kläger wäre es, - dem Kläger nicht zugemutet werden kann, irgendwelche Sicherheitsmaßnahmen in seinen Antrag aufzunehmen, bei denen er gar nicht weiß, ob sie für die konkrete IT-Sicherheitsinfrastruktur der Beklagten (mangels Kenntnis) überhaupt passen. Da der Kläger zudem nur auf die Begrifflichkeit in Art. 32 Abs. 1 DSGVO zurückgreift („Berücksichtigung des Stands der Technik“), kann zwischen den Parteien auch kein Zweifel am Inhalt des Begriffs bestehen.
II.
Die Klage ist aber unbegründet.
Klageantrag zu 1)
Der Kläger hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 DSGVO.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Ob die Beklagte gegen die DSGVO verstoßen hat, kann dahingestellt bleiben. Denn selbst einen Verstoß unterstellt, hätte der Kläger keinen kausalen Schaden erlitten.
Der Kläger trägt insofern vor, dass er durch den Scraping-Sachverhalt einen erheblichen Kontrollverlust über seine Daten erlitten habe und in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten verbleibe, was sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen, aber auch in der ständigen Sorge, dass die veröffentlichten Daten von Kriminellen für unlautere Zwecke verwendet werden könnten, manifestiere (Klage, S. 41). Durch die aus Sicht des Klägers unterlassene Information über den Scraping-Sachverhalt sei eine Intensivierung des Schadens eingetreten. Dadurch habe er die Einleitung von Schritten zur Risikominimierung und Absicherung unterlassen. Dies habe zu einer Steigerung seines Unwohlseins und seiner Sorgen geführt (Klage, S. 44).
Ob ein Kontrollverlust oder ein (gesteigertes) Unwohlsein einen immateriellen Schaden darstellt, ist vorliegend nicht entscheidend. Selbst unterstellt, dies wäre der Fall, müsste der Kläger weiterhin nachweisen, dass ihm in Folge eines Verstoßes gegen die DSGVO dieser immaterielle Schaden entstanden ist. Die Verletzung der DSGVO müsste kausal sein für den von ihm behaupteten Schaden. Sofern das Bundesarbeitsgericht in seinem Vorabentscheidungsersuchen vom 26.08.2021 (Az.: 8 AZR 253/20 (A)) dies anders beurteilt, „Ferner geht der Senat davon aus, dass der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO über eine solche Verletzung der DSGVO hinaus nicht zusätzlich erfordert, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also aus Sicht des Senats keine ‚Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht‘ (vgl. dazu jedoch die dritte Vorlagefrage des Vorabentscheidungsersuchens des Obersten Gerichtshofs (Österreich) – C-300/21 -) darlegen. Nach Auffassung des Senats führt demnach bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden.“ (Rz. 33), teilt das Gericht diese Rechtsauffassung nicht. Ein solches Verständnis gibt Art. 82 Abs. 1 DSGVO nach Auffassung des Gerichts nicht her. Hiernach gilt, „Jede Person, der wegen eines Verstoßes […] ein […] Schaden entstanden ist, hat Anspruch auf Schadensersatz […]“. Die Regelung setzt damit voraus, dass es auch Verstöße geben kann, die nicht in einem Schaden resultieren. Die Regelung spricht dafür, dass es gerade keinen Gleichklang gibt zwischen einem DSGVO-Verstoß („Verstoßes gegen diese Verordnung“) und dem immateriellen Schaden. Die Regelung hätte auch lauten können: „Jede Person, die von einem Verstoß gegen diese Verordnung betroffen ist, hat Anspruch auf Schadensersatz […]“, wobei selbst dann fraglich wäre, inwiefern der Begriff Schadensersatz nicht doch ein Kausalitätserfordernis etablieren würde.
Die Kausalität wäre aber nur zu bejahen, wenn es eine objektiv nachvollziehbare Beeinträchtigung gibt (LG Leipzig, Urt. v. 23.12.2021 – 03 O 1268/21 = BeckRS 2021, 42004, Rn. 110). Die vom Kläger behaupteten Beeinträchtigungen sind aber objektiv nicht nachvollziehbar, und zwar weder hinsichtlich des Scraping-Sachverhalts an sich, noch hinsichtlich des Vorwurfs der unterlassenen Information nach Bekanntwerden des Scraping-Sachverhalts.
Der Kläger behauptet insofern ein verstärktes Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Bereits dies indiziert, dass (1.) der Kläger von (ihm) Unbekannten über seine E-Mail-Adresse und Telefonnummer schon vor dem Scraping-Sachverhalt kontaktiert wurde, und (2.) dass der Kläger solchen Kontaktversuchen schon vor dem Scraping-Sachverhalt misstrauisch gegenüber war. Insofern ist es objektiv nicht nachvollziehbar, dass der Scraping-Sachverhalt zu einem gesteigerten Unwohlsein oder Kontrollverlust geführt haben soll. Entsprechendes gilt für die Behauptung des Klägers bzgl. der ständigen Sorge, dass die veröffentlichten Daten von Kriminellen für unlautere Zwecke verwendet werden. Entsprechendes gilt für die Behauptung der unterlassenen Information über den Scraping-Sachverhalt.
Die fehlende objektive Nachvollziehbarkeit wird vorliegend dadurch gesteigert, dass nicht lediglich der Kläger als Einzelperson vom Scraping-Sachverhalt betroffen ist, sondern „ca. 533 Millionen ….-Nutzern aus 106 Ländern“ (Klage, S. 5). Aus objektiver Sicht kann hieraus kein gesteigertes Unwohlsein, Opfer von „kriminelle[n] Machenschaften, wie Internetbetrug,“ (Klage, S. 7) zu werden, folgen, wenn mit dem Kläger über eine halbe Milliarde Nutzer betroffen ist. Gleichwohl es bedauerlich ist, dass die Daten vom Kläger (Telefonnummer i.V.m. anderen Informationen) ungewollt ins Internet gelangt sind, schafft die schiere Masse an anderen betroffenen Personen eine gewisse Anonymität und damit einen gewissen Schutz davor, dass ausgerechnet der Kläger Opfer von kriminellen Machenschaften wird. Anders wäre der Sachverhalt, wenn der Kläger mit einigen wenigen anderen Nutzern betroffen wäre. Dann ist die Wahrscheinlichkeit, dass der Kläger gezielt Adressat von kriminellen Machenschaften wird, nämlich höher.
Gegen das Vorliegen einer objektiv nachvollziehbaren Beeinträchtigung spricht auch, dass der Kläger nicht einmal behauptet, seine Telefonnummer und/oder E-Mail auf Grund des Scraping-Sachverhalts gewechselt zu haben, um sein (gesteigertes) Unwohlsein bzw. seinen (gesteigerten) Kontrollverlust zu adressieren.
Auch andere in Betracht kommende Anspruchsgrundlagen für Schadensersatzansprüche würden an der fehlenden Kausalität scheitern.
Der Anspruch auf die geltend gemachten Prozesszinsen teilt das Schicksal der geltend gemachten Hauptforderung.
Klageantrag zu 2)
Die Klage auf Feststellung einer Ersatzpflicht künftiger Schäden ist mangels Vorliegens eines Schadens (siehe zuvor) unbegründet.
Klageantrag zu 3) lit. a)
Der Kläger hat keinen Anspruch darauf, dass es die Beklagte unterlässt, personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, …. lD, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern.
Ein solcher Anspruch folgt nicht aus §§ 1004 analog, 823 Abs. 1 und aus Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO sowie Art. 17 DSGVO.
Ein Unterlassungsanspruch setzt eine Wiederholungs- oder Erstbegehungsgefahr voraus.
Wiederholungsgefahr besteht, wenn die Beklagte die im Klageantrag genannten personenbezogenen Daten unbefugten Dritten zugänglich gemacht hätte, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorgesehen zu haben, um die Ausnutzung des Systems zu verhindern.
Der Kläger behauptet, dass die Beklagte keine Sicherheitsmaßnahmen vorgehalten habe (Captchas, IP-Adressen-Beschränkung, Tools zur Erkennung auffälliger Telefonnummern), um den Datenabruf unter Rückgriff auf automatisierte Tools und Methoden zu verhindern. Die Beklagte bestreitet dies sowohl für den Vortrag bzgl. der IP-Adressen (Klageerwiderung, Rz. 74) als auch bzgl. der Captchas (Klageerwiderung, Rz. 77 ff.).
Der Kläger behauptet aber auch nicht, dass diese Maßnahmen die Ausnutzung des Systems (entsprechend seinem Klageantrag) verhindert hätten. Dies ist nur folgerichtig, kennt er doch den genauen Ablauf des Angriffs nicht im Detail, sondern nur im Allgemeinen, nämlich die Ausnutzung der Kontakt-Importer-Funktion mit möglichen Telefonnummern, um zu prüfen, ob diese Telefonnummern mit einem ….-Konto verknüpft sind.
Kennt man aber den genauen Angriff nicht, ist es nicht möglich, den Nachweis – entsprechend dem Klageantrag – zu führen, dass die Implementierung dieser Tools den Scraping-Sachverhalt verhindert hätte. Kennt man die Größe der abgefragten Datensätze pro Gerät nicht, würde die Behauptung, ein IP-Filter hätte das Scraping verhindert, ins Blaue hinein erfolgen. Ist man in Unkenntnis darüber, ob das Initiieren der Kontakt-Importer-Funktion durch ein Programm oder einen Menschen erfolgte, würde die Behauptung, Sicherheitscaptchas hätten das Scraping verhindert, ins Blaue hinein erfolgen. Ist man in Unkenntnis darüber, welche Telefonnummern den Abfragen zugrunde lagen, würde die Behauptung, ein Tool zum Erkennen auffälliger Telefonnummern hätte das Scraping verhindert, ins Blaue hinein erfolgen, losgelöst von der Frage, wo „auffällig“ anfängt und aufhört.
Insofern scheitert der Unterlassungsanspruch bereits daran, dass eine Wiederholungsgefahr nicht ersichtlich ist, weil nicht dargetan ist, dass die Beklagte den Scraping-Sachverhalt ermöglichte, weil sie nicht Sicherheitsmaßnahmen dem Stand der Technik entsprechend vorgehalten habe.
Das Gericht sieht die Beklagte diesbezüglich auch nicht in der sekundären Darlegungslast bzgl. des Scraping-Sachverhalts, der sie ohnehin mit ihren Darlegungen in der Klageerwiderung genügt hätte.
Das Gericht sieht auch keine Erstbegehungsgefahr, dass die Beklagte unbefugten Dritten personenbezogene Daten zugänglich macht, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen.
Eine Erstbegehungsgefahr scheidet schon nach dem Vortrag des Klägers selbst aus, da hiernach – jedenfalls aktuell – der Stand der Technik etabliert ist: „Als Verantwortlicher, welcher dieses soziale Netzwerk entwickelt und programmiert hat, war die Beklagte veranlasst, über Ihr großes Sicherheits- und Programmierer Team bereits vor dem nunmehr bekanntgewordenen und bereits vor dem 2019 durchgeführten „Scraping" diese Schwachstelle zu lokalisieren und diese Möglichkeit des Datenabgriffs bzw. der Datenzusammenführung nach dem Stand der Technik durch die Sicherstellung von wirksamen Sicherheitsmaßnahmen — wie nach dessen Bekanntwerden auch geschehen — zu verhindern und das Level der von der DSGVO geforderten Datensicherheit zu gewährleisten.“ (Klage, S. 34, Unterstreichungen hinzugefügt).
Auch Unterlassungsansprüche, gestützt auf andere Anspruchsgrundlagen, würden an der fehlenden Wiederholungs- und Erstbegehungsgefahr scheitern.
Klageantrag zu 3) lit. b)
Der Kläger hat keinen Anspruch darauf, dass es die Beklagte unterlässt, die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat" noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der …. App, hier ebenfalls explizit die Berechtigung verweigert wird.
Ein solcher Anspruch folgt nicht aus §§ 1004 analog, 823 Abs. 1 und aus Abs. 2 BGB i.V.m. Art 6. Abs. 1 DSGVO sowie Art. 17 DSGVO.
Die Beklagte hat den Kläger ausreichend aufgeklärt gemäß Art. 13 DSGVO.
Entgegen der Auffassung des Klägers hat die Beklagte klar, verständlich und nachvollziehbar über die Verwendung der Telefonnummer des Nutzers aufgeklärt.
Bei der Registrierung sind Informationen anzugeben, darunter etwa auch die Telefonnummer (vgl. Screenshot, Klage, S. 8). Die Datenrichtlinie von …., welcher die Nutzer bei der Registrierung zustimmen, weist darauf hin, dass es sich hierbei um einen vom Nutzer bereitgestellten Inhalt handelt:
„Von dir bereitgestellte Informationen und Inhalte. Wir erfassen die Inhalte, Kommunikationen und sonstigen Informationen, die du bereitstellst, wenn du unsere Produkte nutzt; dazu gehören auch deine Registrierung für ein Konto, das Erstellen oder Teilen von Inhalten sowie der Nachrichtenaustausch bzw. das Kommunizieren mit anderen.“ (Auszug Datenrichtlinie, Anlage B 16)
Die Datenrichtlinie weist weiter transparent darauf hin, dass der Nutzer die Zielgruppe für diese Inhalte festlegen kann:
„Wenn du unter Nutzung unserer Produkte Inhalte teilst und kommunizierst, wählst du die Zielgruppe für die Inhalte aus, die du teilst. Wenn du beispielsweise etwas auf […] postest, wählst du die Zielgruppe für den Beitrag aus: z. B. eine Gruppe, alle deine Freunde/Freundinnen, öffentlich oder eine benutzerdefinierte Personenliste.“ (Auszug Datenrichtlinie, Anlage B 16)
Die Datenrichtlinie weist auch darauf hin, dass Informationen für die Nutzersuche genutzt werden, wenn ein Adressbuch/Anrufprotokoll hochgeladen wird:
„Außerdem sammeln wir Kontaktinformationen, wenn du diese von einem Gerät hochlädst, synchronisierst oder importierst (wie z. B. ein Adressbuch oder Anrufprotokoll oder eine SMS-Protokollhistorie). Diese verwenden wir beispielsweise, um dir und anderen dabei zu helfen, Personen zu finden, die du möglicherweise kennst, sowie für die anderen unten aufgeführten Zwecke.“ (Auszug Datenrichtlinie, Anlage B 16)
Über die Verwendung der Telefonnummer, einerseits als Information/Inhalt, die der Nutzer auf seiner ….-Seite darstellen kann, andererseits als Information/Inhalt, mit der Personen gefunden werden können, wird mithin transparent und übersichtlich aufgeklärt.
Entgegen der Rechtsauffassung des Klägers wird aus dieser Darstellung nicht der Eindruck erweckt, dass die Telefonnummer auch bei Einstellung auf „privat" noch durch Verwendung des Kontaktimporttools verwendet werden kann. Hierzu verhält sich die vorzitierte Passage der Datenrichtlinie nicht.
Die weiteren Einstellungen, die der Nutzer nach der Registrierung vornehmen kann, vertiefen diese bereits in der Datenrichtlinie dargestellte Differenzierung zwischen Teilen und Finden in verständlicher Weise.
Einerseits kann der Nutzer eine Einstellung vornehmen für die Zielgruppe von ihm bereitgestellter Informationen. Andererseits kann der Nutzer unter „So kann man dich finden und kontaktieren“ eine Auswahl treffen bei der Frage, „Wer kann dich anhand der angegebenen Telefonnummer finden?“. Missverständlich könnte die Frage ggf. verstanden werden, wenn die Beklagte formuliert hätte, „Wer kann dich anhand der geteilten Telefonnummer finden?“, denn dies würde ggf. suggerieren, dass nur bei einer geteilten Telefonnummer – und nicht, wenn diese auf „privat“ gestellt ist, - ein Finden möglich ist. So hat es die Beklagte aber nicht formuliert, sondern – wie aufgezeigt – in nicht zu beanstandender, transparenter Weise.
Sofern der Kläger kritisiert, dass diese Option schwer zu finden sei, „Diese Option ist zunächst zu schwer aufzufinden. Sie ist nur unter dem Reiter „Deine Privatsphäre —> Bestimme, wer dich finden kann" zu finden, nicht jedoch im Rahmen der Angaben zur Verwendung der Telefonnummer.“ (Klage, S. 30), teilt das Gericht diese Auffassung nicht. …. ist eine Plattform zum Teilen von Informationen und Finden von Nutzern. Enthält …. unterschiedliche Angebote an Nutzer (Teilen | Finden), ist es nur folgerichtig und übersichtlich, diese Angebote auch mit separaten Einstellungsmenüs zu adressieren.
Auch andere in Betracht kommende Unterlassungsansprüche scheitern aus denselben Gründen.
Klageantrag zu 4)
Der Kläger hat keinen Auskunftsanspruch gegen die Beklagte aus Art. 15 DSGVO darauf, Auskunft über den Kläger betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.
Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf in Art. 15 Abs. 1 DSGVO aufgelisteten Informationen.
Die Beklagte hat den Auskunftsanspruch mit ihrem Schreiben vom 01.09.2021 beantwortet. In diesem Schreiben wies die Beklagte auf die maßgeblichen Abschnitte der Datenrichtlinie und die verfügbaren Selbstbedienungs-Tools hin. Die Beklagte teilte mit dem Schreiben mit, welche Datenkategorien nach ihrem Verständnis in den durch Scraping abgerufenen Daten erscheinen und mit den auf dem ….-Profil des Klägers verfügbaren Informationen übereinstimmen.
Sofern der Kläger Auskunft über die konkreten Empfänger der personenbezogenen Daten begehrt, hat die Beklagte auch diese Auskunft erteilt. Die Beklagte hat insofern ausgeführt, dass ihr die Dritten unbekannt sind („unbekannte Dritte“, Klageerwiderung, Rz. 19).
Sofern der Kläger vorträgt, dass der Beklagten die Benennung der konkreten Empfänger möglich sei, weil sie diese per Unterlassungsverfügung in Anspruch nehme, so trifft dies nicht zu (Replik, S. 57-58). Die Beklagte trägt nur allgemein vor, wie sie gegen Scraper vorgeht, nicht aber bezogen auf den hier konkret zugrundeliegenden Scraping-Sachverhalt, „Die Beklagte geht grundsätzlich zudem mittels Unterlassungsaufforderungen, Kontosperrungen und Gerichtsverfahren gegen Scraper vor.“ (Klageerwiderung, Rz. 75).
Klageantrag zu 5)
Der Anspruch auf Erstattung vorgerichtlich angefallener Rechtsanwaltskosten teilt das Schicksal des Anspruchs in der Hauptsache. Das gleiche gilt für die geltend gemachten Prozesszinsen.
III.
Auf die Duplik war dem Kläger kein rechtliches Gehör zu gewähren. Die Duplik enthielt keinen entscheidungserheblichen Vortrag.
Dem Kläger war auch keine Stellungnahmefrist auf die Erörterung der Sach- und Rechtslage in der Sitzung zu geben. Das Gericht hat mit den Parteien u.a. die Rechtsfrage erörtert, ob ein Schaden vorliegt. Das Gericht hat einen Schaden kritisch gesehen. Die Erörterung stellte aber keinen Hinweis dar. Der Kläger hat selbst zum Schadensbegriff mehrfach und umfangreich vorgetragen (Klage, S. 39 ff.; Replik, S. 46 ff.). Die Voraussetzungen des § 139 Abs. 2 S. 1 ZPO lagen damit erkennbar nicht vor, da der Kläger diesen Punkt nicht übersehen hat. Unabhängig davon hat der Kläger mit Schriftsatz vom 29.11.2022 auch zum Schaden weiter Stellung genommen. Da der Schriftsatz wiederum nicht relevant für die Entscheidung war, war der Beklagten hierauf kein rechtliches Gehör zu gewähren und/oder die mündliche Verhandlung wiederzueröffnen.
IV.