Landgericht Aachen, 8 O 154/22

Tatbestand

Die Parteien streiten um Ansprüche auf Schadensersatz, Unterlassung und Auskunft wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung (DSGVO).

Die Beklagte ist die Betreiberin der Webseite S. und der Dienste auf dieser Seite für Nutzer in der Europäischen Union (nachfolgend: P.). Die Dienste der Beklagten ermöglichen es den Nutzern, persönliche Profile für sich zu erstellen und diese mit Freunden zu teilen. Die Klagepartei nutzt P. insbesondere um mit Freunden zu kommunizieren, zum Teilen privater Fotos und für Diskussionen mit anderen Nutzern.

Im Rahmen einer Registrierung bei P. gibt der angehende Nutzer Vornamen und Nachnamen, Geburtsdatum und Geschlecht an. Zusätzlich wird er aufgefordert, Handynummer oder E-Mail-Adresse anzugeben. Auf der Registrierungsseite findet sich außerdem folgender Passus: „Indem du auf „Registrieren“ klickst, stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen“. Sowohl die Nutzungsbedingungen als auch die Datenrichtlinie waren auf der Registrierungsmaske verlinkt und einsehbar, bevor der Registrierungsvorgang abgeschlossen wurde (vgl. zur Registrierungsmaske Bl. 10 d.A). Im Hilfebereich bzw. in der Datenrichtlinie werden die Nutzer von P. darüber informiert, dass bestimmte Informationen - nämlich Name, Geschlecht, Nutzername und Nutzer-ID – immer öffentlich zugänglich sind, also jedermann, damit auch Personen außerhalb von P., diese Informationen sehen kann.

Unmittelbar nach der Registrierung wird der Nutzer auf die Startseite geführt, wo über verschiedene Links individuelle Einstellungen betreffend die Privatsphäre des jeweiligen Nutzerkontos vorgenommen werden können (vgl. Seite 10ff der Klageschrift, Bl. 11ff d.A.).

Hier sind folgende beiden Privatsphäre-Einstellungen relevant: Zum einen die „Zielgruppenauswahl“ und zum anderen die „Suchbarkeitseinstellungen“.

Bei der „Zielgruppenauswahl“ legt der Nutzer fest, wer bestimmte Datenelemente im P.-Profil des Nutzers sehen kann. Dies umfasst Informationen wie Telefonnummer, Wohnort, Stadt, Beziehungsstatus, Geburtstag und E-Mail-Adresse. Nicht von der Zielgruppenauswahl umfasst sind die immer öffentlichen Nutzerinformationen (Name, Geschlecht, Nutzername und Nutzer-ID), da diese immer öffentlich einsehbar sind. Trifft der Nutzer keine Zielgruppenauswahl, richtet sich die Zugänglichkeit seiner über die öffentlichen Informationen hinausgehenden Daten nach der Standardeinstellung, wonach nur „Freunde“ des Nutzers die weiteren Informationen einsehen können. So war auch die Einstellung im klägerischen Profil hinsichtlich der Telefonnummer.

Bei den „Suchbarkeitseinstellungen“ wird u.a. festgelegt, wer das Profil eines Nutzers anhand von dessen Telefonnummer finden kann, zum Beispiel, um ihm dann eine Freundschaftsanfrage zu senden. Passt der Nutzer die Suchbarkeits-Einstellungen nicht an, sieht die Standardeinstellung vor, dass alle Personen, die über die Telefonnummer des Nutzers verfügen, das Profil des Nutzers finden können, sofern dieser seine Telefonnummer hinterlegt hat. Die Suchbarkeitseinstellungen in dem P.-Profil der Klagepartei waren auf „alle“, eingestellt.

In der Zeit von Januar 2018 bis September 2019 sammelten Dritte – unter Verstoß gegen die Nutzungsbedingungen von P. - unter Nutzung automatisierter Verfahren eine Vielzahl der auf der Plattform der Beklagten verfügbaren öffentlichen Daten (sog. Scraping). Hierzu verwendeten diese Dritten Listen mit (zum Teil möglicherweise fiktiven) Telefonnummern und luden diese in den Kontakt-Importer (Contact-Importer-Tool, kurz CIT) der Plattform hoch, um festzustellen, ob die hochgeladenen Telefonnummern mit dem Konto eines Nutzers verbunden waren. Sofern eine der hochgeladenen Telefonnummern mit dem Konto eines Nutzers, der seine Telefonnummer bereitgestellt und entsprechend der Standardeinstellung die Suchbarkeits-Einstellungen auf „alle“ geschaltet hatte, verknüpft war, meldete der Kontakt-Importer die Verknüpfung von Telefonnummer und Konto an die Dritten. Dies funktionierte auch dann, wenn in dem entsprechenden Profil – in der Zielgruppenauswahl - die hinterlegte Telefonnummer nicht öffentlich freigegeben war. Ausreichend war vielmehr, dass bei den Suchbarkeits-Einstellungen die Standardeinstellung vorlag, wonach „alle“ mittels einer Telefonnummer nach dem entsprechenden P.-Profil suchen können. Die Dritten fügten sodann den öffentlich zugänglichen Informationen aus dem betreffenden Profil des Nutzers die mit dem Konto verknüpfte Telefonnummer hinzu, die sie selbst zuvor in den Kontakt-Importer eingegeben hatten. Dabei waren die öffentlich zugänglichen Informationen zum einen alle Daten, die von vorne herein immer öffentlich sind (Name, Geschlecht, Nutzername und Nutzer-ID) und zum anderen alle weitere Daten, die der jeweilige Nutzer in der „Zielgruppenauswahl“ für „alle“ freigegeben hatte.

Im Zuge der Aktualisierung der Nutzungsbedingungen und der Datenrichtlinie im April 2018 wies die Beklagte alle Nutzer in der EU auf die aktualisierte Datenrichtlinie hin. Die Nutzer mussten den aktualisierten Nutzungsbedingungen zustimmen, um die P.-Plattform weiter nutzen zu können. Sowohl die Datenrichtline als auch die Nutzungsbedingungen vom 19. April 2018 waren in dem Hinweis unmittelbar verlinkt, so dass die Nutzer – inklusive der Klagepartei – direkten Zugriff auf deren Inhalt hatten.

Anfang April 2021 wurden die wie oben beschrieben gescrapten Daten einer Vielzahl von P.-Nutzern sowie die von den Scrapern mit diesen Datensätzen verknüpften Telefonnummern im Internet frei zum Download bereitgestellt. Hierzu gehörte neben den immer öffentlich zugänglichen Informationen des Profils der Klagepartei jedenfalls auch die mit ihrem Konto verknüpfte Telefonnummer, die die Scraper zum Auffinden des Profils verwendet hatten.

Nach dem Vorfall informierte die Beklagte die zuständige Datenschutzbehörde „T. nicht.

Mit anwaltlichem, vorgerichtlichem Email-Schreiben der Klägerseite vom 9.8.2021 (Anl. K1, Bl. 53) wurde die Beklagte zur Zahlung von 500,- € Schadensersatz nach Art. 82 Abs. 1 DSGVO sowie zur Unterlassung zukünftiger Zugänglichmachung der Klägerdaten an unbefugte Dritte und zur Auskunft darüber aufgefordert, welche konkreten Daten im April 2021 abgegriffen und veröffentlicht worden waren. Mit Schreiben vom 23.8.2021 (Anl. K2, Bl. 78 d.A.) erteilte die Beklagte den Prozessbevollmächtigten der Klagepartei die allgemein für alle vom Scraping-Vorfall betroffenen Nutzer geltende Auskunft, dass von dem Scrapingvorfall generell folgende Datenpunkte betroffen waren: Nutzer ID, Vorname, Nachname und Geschlecht. Des Weiteren wurde mitgeteilt, dass die Scraper nach dem Verständnis der Beklagten aufgrund der oben beschriebenen Methode der Telefonnummernaufzählung auch über die Telefonnummer der Betroffenen verfügten und von dieser auf das Land rückschließen konnten. Beides (Telefonnummer und Land) sei aber gerade nicht von dem jeweiligen P.-Profil abgerufen worden. Darüber hinaus enthielt das Schreiben vom 23.8.2021 allgemein gehaltene Informationen zu den auf P. verarbeiteten Daten sowie einen Link zur Seite der Beklagten, auf der die Daten, die in Bezug auf einen individuellen Nutzer gespeichert sind, eingesehen werden können.

Die irische Datenschutzbehörde E. verhängte gegen die Beklagte am 25.11.2022 eine Geldbuße in Höhe von 265 Mio. Euro. Die Entscheidung ist noch nicht rechtskräftig, da die Beklagte hiergegen Rechtsmittel eingelegt hat.

Die Klagepartei behauptet, sie sei davon ausgegangen, dass die hinterlegte Telefonnummer ausschließlich zum Zwecke der Accountsicherung bzw. Passwortwiederherstellung im Rahmen der sog. Zwei-Faktor-Authentifizierung genutzt werden würde. Bei der Angabe der Handynummer habe es sich um eine Pflichtangabe gehandelt. Sie behauptet weiter, das Scraping sei nur möglich gewesen, weil die Beklagte keinerlei Sicherheitsmaßnahmen, z.B. Sicherheitscaptcha, vorgehalten habe, um ein automatisiertes Ausnutzen des bereitgestellten Kontakt-Import-Tools zu verhindern. Die für den Kontakt-Importer verwendeten Telefonnummern-Listen seien wahllos generiert worden. Sie ist außerdem der Ansicht, das Scraping sei nur deshalb möglich gewesen, weil die Einstellungen zur Sicherheit der Telefonnummer auf P. so undurchsichtig und kompliziert gestaltet seien, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne. P. sei „datenschutzunfreundlich“ eingestellt. Der gesamte Anmeldevorgang sei intransparent und für den Anwender verwirrend. Dies führe letztlich dazu, dass Nutzer im Vertrauen und mit dem Ziel, mehr persönliche Sicherheit zu erreichen, ihre Telefonnummern auf P. preisgäben. Auch die Datenschutzeinstellungen der Beklagten seien undurchsichtig und zu kompliziert gestaltet, denn es bestehe eine Flut an Einstellungsmöglichkeiten allein für die Sicherheit der Mobilnummer. Aufgrund der Vielzahl an Einstellungsmöglichkeiten sei mit hoher Wahrscheinlichkeit zu erwarten, dass ein Nutzer die voreingestellten Standardeinstellungen beibehalte und nicht selbstständig ändere. Dies widerspräche - so meint die Klagepartei weiter - allerdings den Grundsätzen eines nutzerfreundlichen Datenschutzes und dem in der DSGVO niedergelegten Prinzips der „privacy by default“ (=datenschutzfreundliche Voreinstellungen).

Aufgrund des oben beschriebenen Vorfalls seien aufgrund der Versäumnisse der Beklagten folgende Daten der Klagepartei gescrapt worden: Telefonnummer, P.-ID, Namen, Geschlecht.

Die Klagepartei habe wegen des Scraping-Vorfalls einen erheblichen Kontrollverlust über ihre Daten erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer sie betreffender Daten verblieben. Dies habe sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen manifestiert. Darüber hinaus gebe es bei der Klagepartei seit dem Vorfall unregelmäßig Kontaktversuche von unbekannten Absendern via SMS und E-Mail mit offensichtlichen Betrugsversuchen und potenziellen Virenlinks.

Die irische Datenschutzbehörde habe in ihrer Entscheidung vom 25.11.2022 ausgeführt, dass die Beklagte es nicht ausreichend verhindert habe, dass etwa 533 Mio. Datensätze mit persönlichen Informationen von P.-Nutzern und -Nutzerinnen abgegriffen und veröffentlicht wurden. Die E. sehe einen Verstoß der Beklagten insbesondere gegen Art. 25 Abs. 1 und 2 DSGVO. Die E. habe neben der Geldbuße auch eine Anordnung ausgesprochen, nach der die Beklagte Abhilfemaßnahmen schaffen müsse.

Die Klagepartei beantragt,

1. die Beklagte zu verurteilen, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz;

2. festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen materiellen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden;

3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a. personenbezogene Daten der Klägerseite, namentlich Telefonnummer, B., Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

b. die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der P.-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird;

4. die Beklagte zu verurteilen, der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten;

5. die Beklagte zu verurteilen, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte ist der Ansicht, die Klageanträge zu 1) bis 3) entsprächen nicht den Bestimmtheitsanforderungen, außerdem sei ein Feststellungsinteresse der Klagepartei für den Klageantrag zu 2) nicht ersichtlich.

Die Beklagte behauptet, die Angabe von Handynummer und/oder Emailadresse sei freiwillig, jedenfalls habe die Telefonnummer jederzeit entfernt werden können.

Sie behauptet weiter, verschiedene Maßnahmen getroffen zu haben, um das Risiko von Scraping zu unterbinden. So habe sie eigene Maßnahmen zur Bekämpfung von Scraping kontinuierlich entwickelt und entwickele sie (auch) als Reaktion auf die sich ständig ändernden Techniken und Strategien immer weiter. Sie habe insbesondere im Einklang mit der Marktpraxis während des relevanten Zeitraums (Januar 2018 bis September 2019) sowohl über Übertragungsbegrenzungen als auch eine Bot-Erkennung und Captchas verfügt. Diese Schutzmechanismen hätten verhindert, dass die Scraper mittels wahllos generierter Telefonnummern-Listen über den Kontakt-Importer passende P.-Profile hätten auffinden können, weshalb nicht davon auszugehen sei, dass die Telefonnummern-Listen wahllos erstellt worden seien.

Das Schreiben vom 23.8.2021 (Anl. K2, Bl. 78ff d.A.) betreffe nicht die Klagepartei.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die gewechselten Schriftsätze nebst Anlagen Bezug genommen.

Entscheidungsgründe

Die Klage ist zulässig, hat aber in der Sache keinen Erfolg.

Die Klage ist zulässig.

Das Landgericht ist international, sachlich und örtlich zuständig.

aa)

Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt EuGVVO (Brüssel Ia- VO). Die Klagepartei hat ihren Wohnort in Geilenkirchen in Deutschland. Insoweit ist die deutsche Gerichtsbarkeit zuständig.

bb)

Das Landgericht Aachen ist gemäß §§ 23 Nr. 1, 71 Abs. 1 GVG für die Klage gegen die Beklagte sachlich zuständig. Der Streitwert liegt bei 6.500,- € (Klageantrag zu 1: 1.000,- €, Antrag zu 2: 500,- €; Antrag zu 3: 4.500,- €, Antrag zu 4: 500,- €) und damit über 5.000,- €.

Hinsichtlich des Antrags zu 1) war der dort begehrte Zahlbetrag in Ansatz zu bringen. Hinsichtlich des Feststellungsantrags zu 2) hat die Kammer einen 50%-igen Abschlag von dem mit Ziffer 1) begehrten Zahlbetrag vorgenommen. Hinsichtlich der Höhe des Antrags zu 3) hat die Kammer im Sinne des § 3 ZPO insbesondere auf Tragweite und Umfang des Streitgegenstands abgestellt, den die Beklagte selbst mit 4.500,- € beziffert. Der Streitwert bei nicht vermögensrechtlichen Streitigkeiten ist letztlich anhand aller Umstände des Einzelfalls, insbesondere auch anhand der Einkommensverhältnisse und der Bedeutung der Sache, zu bemessen. Bei der Beklagten handelt es sich um einen multinationalen Konzern mit hohen Umsätzen, die Bedeutung der Sache ist auf Grund der Vielzahl der vom Scraping betroffenen Personen für die Beklagte erheblich. Hinsichtlich des Antrags zu 4) erschien ein Streitwert von 500,- € angemessen, da es noch um restliche Auskünfte ging (vgl. auch LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 34 - 48, juris)

cc)

Die örtliche Zuständigkeit des Landgerichts Aachen folgt aus Art. 18 Abs. 1 2. Alt. EuGVVO. Die Klagepartei hat ihren Wohnsitz in Geilenkirchen und damit im Bezirk des angerufenen Gerichts.

Der Klageantrag zu 1) ist zulässig. Er ist insbesondere hinreichend bestimmt und entspricht den Anforderungen des § 253 Abs. 2 Nr. 2 ZPO.

Grundsätzlich ist ein Klageantrag hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) klar abgegrenzt ist sowie Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind. Ferner darf das Risiko des (eventuellen teilweisen) Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit des Antrags auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet werden (vgl. Zöller/Greger, ZPO, 34. Auflage, § 253 Rn. 13 m.w.N.). Der Klageantrag ist der Auslegung zugänglich, wobei dafür auch die Klagebegründung heranzuziehen ist (vgl. Zöller/Greger, ZPO, 34. Auflage, § 253 Rn. 13 m.w.N.).

Zwar stützt die Klagepartei ihr Begehren auf mehrere zeitlich auseinanderfallende angebliche Verstöße gegen die DSGVO – zum einen die dem Scraping-Vorfall vorgelagerten angeblichen Verstöße der Beklagten, zum anderen auf die Verletzung von nachgelagerten Benachrichtigungspflichten. Hierin ist jedoch letztendlich ein einheitlicher, wenn auch zeitlich auseinandergezogener, Lebensvorgang, zu sehen, für den die Klagepartei nun immateriellen Schadensersatz begehrt. Zu beurteilen ist, ob die Beklagte im Vorfeld des Scraping-Vorfalls lediglich unzureichende (oder keine) Datenschutzvorkehrungen getroffen hat, und ob sie danach ihre Nutzer nur unzureichend bzw. intransparent informiert hat, wodurch sich der geltend gemachte immaterielle Schaden noch intensiviert haben könnte (LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 38; LG Gießen Urt. v. 3.11.2022 – 5 O 195/22, GRUR-RS 2022, 30480 Rn. 15). Gegenständlich ist mithin das Verhalten der Beklagten im Zusammenhang mit dem konkret beschriebenen Scrapingvorfall, so dass der Klagegegenstand hier hinreichend abgrenzbar und bestimmt ist.

Auch der Klageantrag zu 2) ist zulässig und insbesondere hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO.

Eine fehlende Bestimmtheit folgt vorliegend insbesondere nicht aus der Formulierung „alle künftigen Schäden […], die der Klägerseite […] entstanden sind und/oder noch entstehen werden“. Denn der Klägervertreter hat in der mündlichen Verhandlung ausdrücklich klargestellt, dass sich der Feststellungsantrag lediglich auf materielle Schäden bezieht. Entsprechend hat er seinen Antrag konkretisiert.

Auch hat die Klagepartei ein Feststellungsinteresse im Sinne des § 256 Abs. 2 ZPO hinsichtlich des Klageantrags zu 2). Ein Feststellungsantrag ist schon zulässig, wenn die Schadensentwicklung noch nicht abgeschlossen ist und der Kläger seinen Anspruch deshalb ganz oder teilweise nicht beziffern kann. Ein Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH, Beschluss vom 9. 1. 2007 - VI ZR 133/06, NJW-RR 2007, 601). Bei den behaupteten Verstößen gegen die DSGVO mit der behaupteten Konsequenz des Kontrollverlustes hinsichtlich der gescrapten Daten ist bei verständiger Würdigung zumindest nicht ausgeschlossen, dass irgendein (weiterer) materieller oder immaterieller Schaden entstehen könnte. Es ist nicht völlig ausgeschlossen, dass die Klagepartei infolge der Veröffentlichung ihrer Daten zusammen mit ihrer Telefonnummer sowie weiteren persönlichen Daten einen irgendwie gearteten Schaden erleiden könnte (vgl. LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 39).

Auch der Klageantrag zu 3) entspricht dem Bestimmtheitsgebot des § 253 Abs. 2 ZPO.

Soweit die Beklagte rügt, der Klageantrag zu 3a) sei hinsichtlich der Formulierung „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ nicht bestimmt genug, da insofern im Vollstreckungsverfahren geklärt werden müsse, welche Sicherheitsmaßnahmen dem „Stand der Technik“ entsprächen, so ist eine auslegungsbedürftige Antragsformulierung dann hinzunehmen, wenn dies – wie hier - zur Gewährleistung eines effektiven Rechtsschutzes erforderlich ist, mithin die Klägerseite ihren Antrag nicht konkreter fassen kann (BGH, Urt. v. 21.5.2015 – I ZR 183/13, GRUR 2015, 1237). Dies ist vorliegend der Fall. Selbst bei einer Benennung derzeitiger technischer Schutzvorkehrungen würde dies in Anbetracht der schnellen technischen Weiterentwicklung alsbald dazu führen, dass die aktuellen Sicherheitsmaßnahmen bald veralten, sodass die Klagepartei erneut klagen müsste. Dies stünde einem effektiven Rechtsschutz entgegen (LG Gießen Urt. v. 3.11.2022 – 5 O 195/22, GRUR-RS 2022, 30480). Zudem verweist die Klagepartei darauf, dass sie nicht einschätzen kann, was die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen beinhalten, was dann dazu führt, dass das Vollstreckungsorgan gegebenenfalls Wertungen vornehmen muss. Es wäre verfehlt im Lichte des effektiven Rechtsschutzes i. S. d. Art. 19 GG, würde von der Klagepartei verlangt, dass sie für eine hinreichend konkrete Antragstellung den aktuellen Stand der Technik selbst ermitteln muss (vgl. LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818).

Soweit die Beklagte der Ansicht ist, der Klageantrag zu 3b) entspräche nicht den Bestimmtheitsanforderungen, soweit die Beklagte verurteilt werden soll, die Verwendung der Telefonnummer zu unterlassen, die aufgrund „unübersichtlicher oder unvollständiger Informationen“ erlangt wurden, da es sich bei den Begriffen „unübersichtlich“ und „unvollständig“ um solche handele, die der Wertung offen stehen, führt auch dies nicht zur Unzulässigkeit des Antrags. Der Antrag ist zunächst in seiner Gesamtheit zu lesen. So begehrt die Klagepartei, die Beklagte möge es unterlassen, die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich – nach Auffassung der Klagepartei - ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools genutzt werden kann, um das jeweilige P.-Profil aufzufinden, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der P.-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird. Die Klagepartei stellt hier also auf eine von ihr abgegebene Einwilligung ab, die ihrer Meinung nach „unübersichtlich“ und „unvollständig“ ist. Bei Auslegung dieses Klageantrags unter Hinzuziehung der Ausführungen in der Klageschrift (Bl. 11 ff. d.GA) wird hinreichend deutlich, dass die Klagepartei hier die ihrer Meinung nach unübersichtlichen und irreführenden Informationen der Beklagten zur Einstellung der Privatsphäre im P.-Profil beanstandet.

II.

Die Klage ist indes unbegründet.

Der Klageantrag zu 1) unterliegt der Abweisung. Die Klagepartei hat gegen die Beklagte keinen Anspruch auf immateriellen Schadensersatz, weder aus Art. 82 Abs. 1 DSGVO noch aus einer anderen Anspruchsgrundlage.

Im Einzelnen:

Der geltend gemachte Anspruch auf immateriellen Schadensersatz ergibt sich nicht aus Art. 82 Abs. 1 DSGVO.

Zwar ist hier der räumliche und sachliche Anwendungsbereich der DSGVO bzw. des Art. 82 Abs. 1 DSGVO eröffnet, jedoch ergibt sich aus dem klägerischen Vorbringen weder ein Verstoß der Beklagten gegen die Vorschriften der DSGVO noch ein konkreter Schadenseintritt auf klägerischer Seite.

aa)

Der räumliche Anwendungsbereich der DSGVO ist gemäß Art. 3 Abs. 1 DSGVO eröffnet, da die Beklagte ihre Niederlassung in der EU hat.

Nach Auffassung der Kammer ist – entgegen der Ansicht des LG Essen - auch der sachliche Anwendungsbereich des Art. 82 Abs. 1 DSGVO eröffnet, auch soweit hier die Verletzung von Informationspflichten geltend gemacht und der Schmerzensgeldanspruch zumindest auch darauf gestützt wird. Aus dem Wortlaut der Vorschrift ergibt sich gerade nicht dass Art. 82 Abs. 1 DSGVO durch Art. 82 Abs. 2 DSGVO konkretisiert und eingeschränkt werden soll, so dass nur Pflichtverletzungen im Zusammenhang mit einer Verarbeitung von Daten den Schadensersatzanspruch auslösen könnten. Das OLG Köln hat hierzu in seinem Urteil vom 14. Juli 2022 (I-15 U 137/21) zutreffend wie folgt ausgeführt:

„In Art. 82 Abs. 1 DSGVO ist von einem "Verstoß gegen diese Verordnung" die Rede und gerade nicht von einer verordnungswidrigen Datenverarbeitung. Die Auffassung des Landgerichts, dass diese in Art. 82 Abs. 1 DSGVO enthaltene Regelung dann durch Art. 82 Abs. 2 DSGVO konkretisiert – sprich: eingeschränkt – werden sollte, ist weder dem Gesamtkontext noch dem Sinn und Zweck oder aber der Entstehungsgeschichte der Norm mit hinreichender Sicherheit zu entnehmen. Zwar spricht auch Erwägungsgrund 146 davon, dass Schäden ersetzt werden sollen, die "einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht". Allerdings ist der Begriff der Verarbeitung in Art. 4 Nr. 2 DSGVO weit gefasst und umfasst beispielsweise auch die "Offenlegung durch Übermittlung", worunter letztlich auch die hier streitgegenständliche Auskunft zu fassen ist. Daneben ergibt sich aus Erwägungsgrund 60, dass die Grundsätze einer fairen und transparenten Verarbeitung es erforderlich machen, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Dafür wird ihr (vgl. insoweit Erwägungsgrund 63 und 75) ein entsprechendes Auskunftsrecht ("problemlos und in angemessenen Abständen") zugebilligt, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Wenn aber in dieser Hinsicht der Schutz des Betroffenen gerade durch Auskunfts- und Informationsrechte gestärkt und damit für Fairness und Transparenz beim Verarbeitungsvorgang gesorgt werden soll, spricht dies entscheidend dafür, die Ersatzpflicht nach Art. 82 Abs. 1 DSGVO auf jeden Verstoß gegen Regelungen der Verordnung anzuwenden.“ (OLG Köln, Urteil vom 14. Juli 2022 – I-15 U 137/21 –, Rn. 24, juris)

Diesen Erwägungen schließt sich die Kammer vollumfänglich an.

bb)

Auf der Grundlage des klägerischen Vorbringens bzw. des unstreitigen Sachverhalts ist jedoch ein Verstoß der Beklagten gegen die DSGVO nicht festzustellen.

(1)

Ein Verstoß gegen Art. 5 Abs. 1 a) DSGVO liegt nicht vor.

Nach Art. 5 Abs. 1 a) DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Dieser Grundsatz der Transparenz überträgt sich dann in die Informations- und Aufklärungspflicht nach Art. 13 DSGVO. Die Aufklärung über die Zwecke der Verarbeitung muss insbesondere für den Nutzer klar verständlich und nachvollziehbar sein.

Diesen Anforderungen hat die Beklagte nach Auffassung der Kammer hier genügt. Die Klagepartei selbst hat Screenshots zu den Abläufen und jeweiligen Unterseiten des Internetsauftritts der Beklagten zur Akte gereicht (vgl. Bl. 9 bis 21 der Klageschrift und die dortigen Screenshots). Diese Inhalte der Website der Beklagten enthalten alle relevanten Informationen zu Art und Umfang der Verarbeitung der Nutzerdaten und alle erforderlichen Hinweise zu Möglichkeiten der individuellen Begrenzung. Zuzugestehen ist der Klagepartei, dass es sich um mehrschichtige Informationen handelt. Die Mehrschichtigkeit schließt aber die Übersichtlichkeit und Transparenz nicht aus. Maßgeblich ist einzig, dass sie verständlich sind, was vorliegend der Fall ist. Insoweit hat die Kammer die zur Akte gereichten Screenshots in Augenschein genommen und ist zu dem Ergebnis gelangt, dass die erteilten Informationen hinreichend verständlich und transparent gestaltet sind. Insoweit dringt die Klagepartei dann auch nicht mit dem Argument durch, dass die Vielzahl der Einstellungsmöglichkeiten dazu führe, dass ein Nutzer es im Zweifel bei den Voreinstellungen belasse. Die internetspezifischen Gepflogenheiten und gerade die DSGVO verlangen vielfältige Einstellungsmöglichkeiten, damit der jeweilige Nutzer die Einstellungen entsprechend seiner spezifischen Bedürfnisse individuell vornehmen kann (vgl. LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 76, zitiert nach juris). Dann ist es im Lichte der internetspezifischen Gepflogenheiten aber umso wichtiger, dass der Nutzer sich sorgfältig mit den Hinweisen auseinandersetzt, um für sich eine Entscheidung zu treffen, ob und welche Informationen er in welchem Umfang freigibt und wie weitgehend er die Kommunikationsplattform der Beklagten nutzen will (vgl. LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 78, zitiert nach juris).

Zu berücksichtigen ist in diesem Zusammenhang auch, dass die Nutzung der Plattform als solche freiwillig ist. Die Preisgabe der Mobilfunknummer ist selbst für die Nutzung der Plattform, so man sich zu einer solchen entschließt, nicht erforderlich. Selbst wenn man im Rahmen der Registrierung eventuell noch gehalten war, eine Handynummer anzugeben, hat die Beklagte unwidersprochen vorgetragen, dass diese jedenfalls nachträglich jederzeit wieder hätte entfernt werden können. Im Ergebnis war die Klagepartei also nicht zur Angabe bzw. zum Belassen ihrer Handynummer auf der Seite von P. gezwungen.

Im Übrigen ist auf den von der Klagepartei vorgelegten Screenshots klar und übersichtlich zu erkennen, dass man als Nutzer festlegen kann, wer einen anhand der Telefonnummer auf P. finden kann. Auf dem Screenshot auf Seite 14 der Klageschrift (Bl. 15 d.A.) findet sich unter der Rubrik „So kann man dich finden und kontaktieren“ das Thema „Wer kann dich anhand der angegebenen Telefonnummer finden?“. Rechts daneben ist deutlich die Einstellung „Alle“ zu erkennen und wiederum rechts daneben in blau die Schaltfläche „Bearbeiten“, so dass ohne weiteres deutlich zu erkennen ist, wie die Einstellung ist und dass man sie ändern kann. Insofern verfängt das Argument der Klagepartei im nicht nachgelassenen Schriftsatz vom 20.2.2023 nicht, wonach sie keine Einflussmöglichkeit auf die Verknüpfung ihrer Telefonnummer mit dem CIT gehaben haben soll (Seite 18 des Schriftsatzes, Bl. 962 d.A.). Denn die Klagepartei hätte sehr einfach durch Anklicken der Schaltfläche „Bearbeiten“ neben dem Feld „Wer kann dich anhand der angegebenen Telefonnummer finden?“ verhindern können, dass ihr P.-Profil von „allen“ anhand ihrer Telefonnummer gefunden werden kann.

Nach dem eigenen Vortrag der Klagepartei wird man auf diese Seiten unmittelbar nach der Registrierung weitergeleitet. Abgestellt auf den objektiven Empfängerhorizont gemäß §§ 133, 157 BGB ist es sicherlich mit einem gewissen Aufwand, einer gewissen Geduld und gewissem zeitlichem Aufwand verbunden, sich durch die Seiten und Hinweise zu klicken und sie sorgfältig zu lesen. Dies verkennt die Kammer nicht. Die Hinweise sind, soweit sie die Klagepartei selbst zur Akte reicht, bei genauem Lesen aber verständlich. Im Rahmen der internetspezifischen Gepflogenheiten und vielfältigen Möglichkeiten und den damit einhergehenden datenschutzrechtlichen Fragestellungen sind umfangreiche Hilfethemen und Einstellungshinweise nicht immer zu vermeiden.

Die Reichweite des Schutzes der DSGVO ist außerdem im Lichte der jeweiligen konkreten Nutzung (beispielsweise des Internets) zu sehen. Mithin ist vorliegend zu berücksichtigen, dass es sich bei P. um ein soziales Netzwerk handelt, das u.a. auf Kommunikation, Finden von Personen und Teilen von Informationen angelegt ist. In diesem Lichte sind die von der Beklagten gewählten Voreinstellungen nicht zu beanstanden, da der jeweilige Nutzer umfassend und verständlich über individuelle Änderungsmöglichkeiten informiert wird. Insoweit kann dahinstehen, wie es die Klagepartei mit der Replik ausführt, dass P. etwaig auch andere Zwecke verfolgt, wie die Finanzierung über Werbung, denn jedenfalls ist ein (wesentlicher) Zweck der der Kommunikation auf einer sozialen Plattform (vgl. LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 77, zitiert nach juris).

(2)

Es liegt ferner kein Verstoß gegen Art. 32 DSGVO bzw. Art. 5 Abs. 1 lit. f) vor.

Denn die Beklagte hat nicht gegen ihre Pflicht, die personenbezogenen Daten der Nutzer, inklusive der der Klagepartei, ausreichend gemäß Art. 32 DSGVO zu schützen, verstoßen. Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung, und zwar durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Art. 32 DSGVO verlangt Verarbeitungsprozessen ab, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u.a. davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten (AG Straußberg, Urteil vom 13.10.2022, 25 C 95/21, Rn. 28, zitiert nach juris; LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 80, zitiert nach juris).

Dies zu Grunde gelegt, hat die Beklagte gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, nicht verstoßen. Insbesondere war die Beklagte nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils der Klagepartei aufgrund ihrer selbst gewählten Einstellung zu verhindern. Die Suchbarkeitseinstellungen der Klagepartei waren so eingestellt, dass „alle“ sie anhand ihrer Telefonnummer finden konnten. Diese Einstellung beinhaltet dann aber auch das Finden des P.-Profils der Klagepartei durch Dritte über ihre Mobilfunknummer, wenn diese Dritten (unter Zuhilfenahme elektronischer Möglichkeiten) die Telefonnummer der Klagepartei nur zufällig erraten oder anderweitig erlangt haben und diese auf gut Glück, ohne zu wissen, ob es sich bei der Nummer überhaupt um eine Telefonnummer handelt, in den Kontaktimporter von P. hochladen. Denn auch Dritte fallen unter den Begriff "alle". Unstreitig sind einige Daten der Klagepartei von Dritten gescrapt, mithin verarbeitet worden i.S.d. Art. 4 Nr. 2 DSGVO. Allerdings war die Beklagte nicht verpflichtet, diese Daten vor der Verarbeitung durch die Scraper zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten der Klagepartei, nämlich dem Namen, dem Geschlecht und dem Benutzernamen, um Daten, die ohnehin für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnliches abrufbar waren, was der Klagepartei bereits durch die Anmeldung bekannt war oder hätte bekannt sein müssen. Die Erhebung dieser öffentlichen Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig. Diese Verarbeitung in Form des Scrapens erfolgt auch durch Dritte und nicht durch die Beklagte (vgl. LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 81, zitiert nach juris).

Selbst dann, wenn der Klagepartei die Standardeinstellungen auf der Plattform P. nicht positiv bekannt gewesen sein sollten, rechtfertigt dies nicht die Annahme, die Beklagte habe gegen ihr obliegende Schutzpflichten verstoßen. Denn die Beklagte durfte und musste aufgrund der internetspezifischen Gepflogenheiten und der von ihr erteilten Hinweise und Hilfestellungen davon ausgehen, dass der Klagepartei bekannt ist, dass ihr Name, ihr Geschlecht und ihr Benutzername für jedermann öffentlich abrufbar ist. Hierauf wurde sie bereits vor der Registrierung auf P. durch entsprechende Verweise auf die in der Registrierungsmaske verlinkten Datenrichtlinie hingewiesen. Dort heißt es u.a.: „Öffentliche Informationen stehen jedem auf unseren Diensten und außerhalb dieser zur Verfügung und können mithilfe von Online-Suchmaschinen, APIs und Offline-Medien (z.B. im Fernsehen) gesehen werden bzw. es kann so auf sie zugegriffen werden.“ (vgl. S. 5 der Datenrichtlinie Anl. B9, Bl. 215). Zudem wurde die Klagepartei unstreitig im Hilfebereich von P. darüber informiert, dass bestimmte Informationen - nämlich Name, Geschlecht, Nutzername und Nutzer-ID – immer öffentlich zugänglich sind, also jeder, damit auch Personen außerhalb von P., diese Informationen sehen kann. Hierzu heißt es unter dem Punkt „Zielgruppenauswahl“: „Deine öffentlichen Informationen, zu denen dein Name, Profilbild, Titelbild, Geschlecht, Nutzername, deine Nutzer-ID (Kontonummer) und Netzwerke gehören, sind für alle sichtbar (erfahre warum).“ Die Beklagte hatte daher keine Veranlassung, diese Daten vor der Erhebung durch Dritte zu schützen, da sie ohnehin öffentlich waren (vgl. LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 82, zitiert nach juris).

Dass nicht öffentlich zugängliche Informationen von Dritten von der Plattform der Beklagten erhoben und erlangt worden sind, kann indes nicht festgestellt werden. Die Telefonnummer der Klagepartei haben die Scraper gerade nicht von der Plattform der Beklagten erhalten. Vielmehr haben sie den Kontaktimporter von P. schon mit dieser Telefonnummer „gefüttert“, haben also schon vorher über diese Nummer verfügt, wobei zwischen den Parteien unklar ist, wie die Scraper diese Telefonnummer erlangt bzw. generiert haben. Jedenfalls handelt es sich aber nicht um Daten, die von P. an die Dritten gelangt sind.

Der von den Scrapern unter Nutzung des Kontakt-Importers der Plattform P. hergestellte Abgleich zwischen der von ihnen hochgeladenen Telefonnummer der Klagepartei mit ihrem Konto stellt zwar eine Verarbeitung i.S.d. DSGVO dar. Jedoch war die Beklagte nicht verpflichtet, das Konto der Klagepartei vor dessen Auffinden über die Telefonnummer zu schützen, da der von den Scrapern hergestellte Abgleich als solcher nicht unbefugt bzw. unrechtmäßig war. Vielmehr entsprach dieses Auffinden den von der Klagepartei gewählten bzw. belassenen Einstellungen in den Suchbarkeitseinstellungen. „Abgegriffen“ wurden von den Dritten sodann nur Daten, die ohnehin öffentlich waren, was der Klagepartei aufgrund der umfangreichen und hinreichend transparenten Information durch P. hätte bekannt sein müssen. Die Klagepartei hat der Beklagten ihre Telefonnummer freiwillig angegeben bzw. die Nummer nach Registrierung dort belassen. Die Klagepartei selbst hat durch entsprechende Einstellung bzw. deren Belassen der Suchbarkeits-Einstellungen dafür gesorgt, dass ihr Profil von jedermann anhand ihrer Telefonnummer gefunden werden konnte. Der von den Scrapern veranlasste Abgleich war folglich jeder Person, die – wie die Scraper – über die Telefonnummer der Klagepartei verfügte oder sie technisch erzeugte, möglich und ist nicht unbefugt bzw. unrechtmäßig im Sinne der DSGVO (vgl. LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 85, zitiert nach juris).

Selbst dann, wenn der Klagepartei nicht positiv bekannt gewesen sein sollte, dass alle Personen über ihre Telefonnummer ihr P.-Konto finden können, hat dies nicht zur Folge, dass die Beklagte verpflichtet war, hiergegen Schutzmaßnahmen zu ergreifen. Denn die Beklagte musste angesichts ihrer Hinweise in den Datenverwendungsrichtlinien, die die Klagepartei als gelesen bei der Registrierung angab, annehmen, dass der Klagepartei bekannt ist, dass ihr Konto über ihre Telefonnummer für jedermann aufzufinden ist. Wenn die Klagepartei dann – trotz hinreichend deutlicher Hinweise - an diesen Einstellungen nichts ändert, musste die Beklagte sogar davon ausgehen, dass die entsprechende Auffindbarkeit von dem betreffenden Nutzer gerade so gewünscht ist; zumal es sich bei P. ja um ein Netzwerk u.a. zur Herstellung von Kontakten handelt (s.o.). Wie bereits oben dargelegt und auch anhand der von der Klagepartei selbst vorgelegten Screenshots ersichtlich, ist die Klagepartei hinreichend deutlich und transparent auf die Einstellung hinsichtlich ihrer eigenen Auffindbarkeit und die entsprechende Abänderungsmöglichkeit hingewiesen worden. Die Klagepartei hatte es daher selbst in der Hand ihr Konto dahingehend anzupassen, dass nicht alle Personen, die ihre Telefonnummer hochladen, ihr Konto auffinden können. Dabei verkennt die Kammer nicht, dass beim Scrapen der jeweilige Scraper sich unter Umständen auch computerunterstützter Hilfe bedient und künstlich Handynummern erzeugt, die dann – wie hier – mit der echten Handynummer eines P.-Nutzers übereinstimmten und so die – öffentlich zugänglichen Daten – abgreift. Diese Vorgehensweise ist aber nur möglich, weil die Klagepartei selbst die Einstellung belassen hat, dass sie jedermann über ihre Mobilfunknummer finden kann. Über die Datenschutzrichtlinie hat die Beklagte die Klagepartei hinreichend auf begrenzende Einstellungsmöglichkeiten hingewiesen.

Es widerspricht dem Zweck von P., einerseits eine Social Media Plattform zur leichten Kontaktaufnahme und Kommunikation einzurichten, die der jeweilige User durch Hinweis und Zustimmung auf die Datenrichtlinien freiwillig nutzen kann und selbst nach Aufklärung bestimmen kann, ob und in welchem Umfang er Daten dort hinterlegt, um andererseits der Beklagten solche technischen Hürden abzuverlangen, die dem o.g. Nutzungszweck diametral entgegenstehen. Ein gewisses Risiko, dass über technische Programme selbst gewählte Freigaben ausgenutzt und missbraucht werden, verbleibt bei der Internetnutzung stets. Dieses Risiko ist aber nicht von der Beklagten, sondern von dem jeweiligen Nutzer zu tragen, der sich eigenverantwortlich zur Nutzung entschlossen hat und nach Zustimmung zur Datenschutzrichtlinie und nach Bereitstellung von Hilfestellungsmöglichkeiten selbst entscheiden konnte, wie weit er die Angebote nutzt (vgl. LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 88, zitiert nach juris).

(3)

Die Beklagte hat auch nicht gegen das in Art. 24, 25 Abs. 2 DSGVO verankerte Prinzip „Privacy by default“ verstoßen. Demnach muss der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Dies soll vor allem den technisch nicht versierten Nutzer schützen. Die Voreinstellungen sollen möglichst datenschutzfreundlich eingestellt werden, um die Privatsphäre der Nutzer zu gewährleisten. Der Nutzer kann dann noch individuell Anpassungen nach seinen Wünschen vornehmen. Unstreitig sind durch die Registrierung nur der Name, das Geschlecht und die P.-ID stets öffentlich sichtbar, wozu jeder Nutzer aber durch Akzeptieren der Datenschutzbestimmungen seine Zustimmung erteilt. Soweit jemand sich dann noch entschließt seine Telefonnummer zu hinterlegen, was für die Registrierung bei P. nicht erforderlich ist, sondern es lediglich einfacher machen soll, gefunden zu werden, ist die entsprechende Suchbarkeitseinstellung zwar zunächst so eingestellt, dass „alle“ den jeweiligen P.-Nutzer anhand seiner Telefonnummer finden können. Der technisch unkundige Nutzer wird gleichwohl – wie bereits ausgeführt - über die entsprechenden Hinweise hinreichend informiert und über Einstellungsmöglichkeiten und deren Begrenzungsmöglichkeiten in Kenntnis gesetzt. Zudem muss sich jeder Internetnutzer, der insbesondere eine Plattform eines sozialen Netzwerkes wie das der Beklagten nutzt, bewusst sein, dass es Internetgepflogenheiten gibt, mit denen man sich vertraut zu machen hat, will man solche Kommunikationsplattformen gebrauchen. Der Schutz des Art. 25 DSGVO reicht nicht so weit, dass er den jeweiligen Nutzer vor den internetspezifischen Gepflogenheiten vollends schützt; vielmehr muss sich der jeweilige Nutzer, der einer Plattform eines sozialen Netzwerks beitreten will, mit den geltenden Gepflogenheiten vertraut machen. Bei einer Plattform, die auf Kontaktsuche und das Finden von Kontakten ausgerichtet ist, und auf der das nicht zwingend erforderliche Hinterlegen bzw. Belassen der Telefonnummer es ermöglicht, leichter gefunden zu werden und die Zwecke der Plattform besser zu nutzen, muss der jeweilige Nutzer eigenverantwortlich entscheiden, in welchem Umfang er diese Möglichkeiten nutzt und entsprechende Daten freigibt (LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 93, zitiert nach juris).

Auch in diesem Zusammenhang ist zu berücksichtigen, dass hier – wie oben ausgeführt – von P. lediglich ohnehin öffentliche Daten „preisgegeben“ worden sind. Die Telefonnummer der Klagepartei wurde gerade nicht von P. an Dritte herausgegeben, sondern lag bei diesen –aus ungeklärten Gründen – bereits vor.

Eine andere Beurteilung ergibt sich nicht aus dem bloßen Umstand, dass die irische Datenschutzbehörde E. am 25.11.2022 gegen die Beklagte eine Geldbuße in Höhe von 265 Millionen € verhängt hat und dies – nach dem bislang nicht bestrittenen Vortrag der Klagepartei - auf einen Verstoß gegen Art. 25 Abs. 1 bzw. Abs. 2 DSGVO stützt. Denn diese Entscheidung entfaltet insofern keine Bindungswirkung wie sie noch nicht rechtskräftig ist. Außerdem ersetzt der bloße Umstand, dass eine bestimmte Behörde aufgrund eines seitens der Klagepartei nicht näher dargelegten Sachverhalts von einem Verstoß gegen die DSGVO ausgeht, keinen konkreten Klägervortrag im hiesigen Verfahren. Auf der Grundlage des klägerseits dargelegten und jedenfalls im Kern zwischen den Parteien unstreitigen Sachverhalts vermag die Kammer aus dem oben dargelegten Gründen einen Verstoß gegen Art. 25 DSGVO nicht zu erkennen.

(4)

Die Beklagte hat auch nicht eine etwaige Pflicht gemäß Art. 33 DSGVO verletzt, der zuständigen Aufsichtsbehörde einen Datenschutzverstoß zu melden. Gemäß Art. 33 DSGVO meldet der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Meldung gegenüber der Aufsichtsbehörde ermöglicht es dieser über Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung zu entscheiden (vgl. LG Essen, Urteil vom 23.9.2021, AZ.: 6 O 190/21, ZD 2022, 50, m.w.N.). Der Beklagten wurde der Datenschutzvorfall spätestens am 03.04.2021 bekannt, denn zu diesem Zeitpunkt schilderte sie Ihr Vorgehen zu dem Scraping-Vorfall auf Ihrer Website. Der zuständigen Aufsichtsbehörde, V., gem. Art 55 DSGVO) wurde unstreitig allerdings kein solcher Vorfall gemeldet. Da aber der Beklagten aus den oben ausgeführten Gründen kein Datenschutzverstoß anzulasten ist, musste sie den hier streitgegenständlichen sog. Scraping-Vorfalll auch nicht melden (LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 98, zitiert nach juris).

(5)

Schließich hat die Beklagte auch nicht gegen Art. 15 DSGVO verstoßen, indem sie der Klagepartei keine bzw. unvollständige Auskünfte erteilt hätte. Ein Anspruch auf Auskunftserteilung ergibt sich aus Art 15 Abs. 1 a), c) DSGVO. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und über die a.) Verarbeitungszwecke und über c.) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen (LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 102, zitiert nach juris).

Da das Schreiben der Beklagten vom 23.8.2021 die Information enthält, dass von dem Scrapingvorfall generell Nutzer ID, Vorname, Nachname, Land und Geschlecht betroffen waren, ist der Anspruch insoweit erfüllt und erloschen (§ 362 Abs. 1 BGB) (vgl. LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 102, zitiert nach juris).

100

Unschädlich ist aus Sicht der Kammer, dass die Beklagte bestritten hat, dass dieses konkrete Schreiben konkret an die Klagepartei gerichtet war. Denn zum einen ist aufgrund der Masse an Parallelverfahren aufgrund des Scraping-Vorfalls und dem (lediglich) allgemeinen Inhalt des besagten Schreibens davon auszugehen, dass die Klagepartei schon vorprozessual jedenfalls ein gleichlautendes Schreiben erhalten hat. Zum anderen sind die in diesem Schreiben enthaltenen Informationen jedenfalls jetzt im hiesigen Verfahren erteilt worden, so dass diesbezüglich jedenfalls von Erfüllung auszugehen ist.

101

Nicht beantwortet wird durch die Beklagte in dem besagten außergerichtlichen Schreiben, welchen Empfängern die Daten der Klagepartei durch Ausnutzung des Kontakt-Importer-Tools im Sinne des Art. 15 Abs. 1 c) DSGVO zugänglich gemacht wurden. Das Scraping ist allerdings – wie vorstehend ausgeführt – von außen erfolgt und es ist nicht erkennbar, wer diese Daten gescrapt hat. Die begehrte Auskunftserteilung ist aufgrund des Vorganges des Scrapings unter Ausnutzung von Daten, die auf „öffentlich“ gestellt sind, unmöglich. Ebenso ist im Rechtssinne unmöglich (und es wird auch nicht näher dargelegt, wie die Beklagte mitteilen können soll), zu informieren, wann die Daten gescrapt wurden. Die Klagepartei geht selbst von 2019 aus bzw. von der Veröffentlichung dann im April 2021. Dieser Zeitrahmen ist der Klagepartei bekannt; eine genaue Eingrenzung in Bezug auf ihre Daten ist nicht möglich (LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 103, zitiert nach juris).

102

Die Beklagte hat der Klagepartei im Ergebnis also alle Informationen mitgeteilt, die ihr im Zuge des Scraping-Vorfalls zur Verfügung standen. Weitere Angaben kann sie nicht machen. Sie ist folglich hierzu auch nicht verpflichtet (LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 103, zitiert nach juris).

103

cc)

104

Unabhängig davon, ob hier – von der Kammer verneint – überhaupt ein Verstoß gegen Vorschriften der DSGVO vorliegt, scheitert ein Anspruch aus Art. 82 Abs.1 DSGVO aber jedenfalls daran, dass hier kein restitutionsfähiger (immaterieller) Schaden vorliegt.

105

Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31). Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, beispielsweise die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31; vgl. LG Köln, Urteil vom 07.10.2020 – 28 O 71/20). Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt (vgl. LG Landshut, Urteil vom 06.11.2020 – 51 O 513/20) (LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 105 - 116, juris).

106

Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund Nr. 146, auch wenn er in der DSGVO nicht näher definiert wird). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen (Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 17 m. w. N.; Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 82 Haftung und Recht auf Schadenersatz Rn. 10 b). Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insbesondere durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen Nr. 75 kann ein Nichtvermögensschaden insbesondere durch Diskriminierung, Identitätsdiebstahl oder –betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten.

107

Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar (vgl. LG Essen, Urteil vom 23.9.2021, Az.: 6 O 190/21, ZD 2022, 50; LG Köln, Urteil vom 18.05.2022, Az.: 28 O 328/21, BeckRS 2022, 11236). Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DSGVO erzielen (LG München I, Urteil vom 09.12.2021, Az.: 31 O 16606/20, BKR 2022, 131) (LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 105 - 116, juris).

108

Allein eine Verletzung des Datenschutzrechts als solche – die die Kammer nicht festzustellen vermochte – begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (vgl. LG Hamburg, Urteil vom 04.09.2020 – 324 S 9/19). Die Verletzung der Vorschriften der DSGVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (vgl. LG Landshut, Urteil vom 06.11.2020 – 51 O 513/20; LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 109, zitiert nach juris)).

109

In den Erwägungsgründen Nr. 75 und 85 werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Zudem nennt Erwägungsgrund 75 auch die bloße Verarbeitung einer großen Menge personenbezogener Daten einer großen Anzahl von Personen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund Nr. 146), das heißt „spürbar“, objektiv nachvollziehbar und tatsächlich eingetreten sein (AG Diez v. 7. 11. 2018, Az. 8 C 130/18), um bloß abstrakte, nicht wirklich eingetretene Beeinträchtigungen auszuschließen (LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 105 - 116, juris).

110

Gemessen an diesen Grundsätzen hat die Klagepartei schon keine spürbare Beeinträchtigung – hervorgerufen durch Datenverlust – von persönlichen Belangen dargelegt, für die überhaupt Anhaltspunkte bestehen, dass sie kausal auf den hier streitgegenständlichen Scraping-Vorfall zurückzuführen sein könnte.

111

Die Klagepartei trägt vor, einen erheblichen Kontrollverlust über ihre Daten erlitten und Sorge vor Missbrauch ihrer Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 sei es zu einem Anstieg von unerwünschten Anrufen, SMS und E-Mails gekommen. Dass die Klagepartei angeblich unter einer Furcht vor einem Kontrollverlust leidet, genügt indes nicht um einen Schaden im Sinne der DSGVO zu bejahen. Die Klagepartei spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-Mails, SMS und Anrufen. Unerwünschte E-Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen P.-Account haben und dort ihre Telefonnummer deshalb nicht hinterlegt haben. Außerdem fällt in diesem Zusammenhang auf, dass es sich offensichtlich um eine standardisierte Klageschrift handelt, die für eine Vielzahl von betroffenen Nutzern eingereicht wird. So ist beispielsweise vorgetragen, dass sich die hiesige Klagepartei aufgrund des Vorfalles mit betrügerischen E-Mails auseinandersetzen müsse, obwohl die E-Mailadresse - nach dem Vortrag der Klägerseite (Seite 12 des Schriftsatzes vom 14.11.2022, Bl. 281) - gar nicht „gescrapt“ worden ist; sprich ihre E-Mailadresse durch den Vorfall überhaupt nicht öffentlich verbreitet worden ist.

112

Ferner kann die Kammer aber auch unabhängig von dieser Überlegung nicht mit hinreichender Wahrscheinlichkeit davonausgehen, dass die Klagepartei unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen spricht bereits der Umstand, dass es sich bei den „gescrapten“ Daten der Klagepartei mit - Ausnahme der Mobilfunknummer - um Daten handelt, die nach den Nutzungsbedingungen von P. immer (!) öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Auf diesen Umstand weist die Beklagte ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei der Klagepartei zu einem unguten Gefühl geführt haben sollte. Dieses ungute Gefühl hätte dann unmittelbar nach Registrierung auf P. schon gleichermaßen bestehen müssen und hat nichts mit dem hier streitgegenständlichen Scraping-Vorfall zu tun. Denn die betreffenden Daten waren schon vorher öffentliche Daten.

113

Deshalb ergeben sich für die Kammer erhebliche Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand der Klagepartei und dem Vortrag, dass dieser durch das Scraping hervorgerufen worden sein soll. Zu bedenken ist hier auch der Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte oder jedenfalls die Nummer freiwillig auf P. belassen wurde. Dass die Klagepartei diese gleichwohl trotzdem angab und trotz entsprechend verständlich Information in den Suchbarkeitseinstellungen nicht sperrte, spricht eher dafür, dass sie kein besonderes Interesse daran hatte, die Möglichkeit einer Verbreitung ihrer Mobilfunknummer zu kontrollieren (vgl. LG Gießen, Urteil vom 3. November 2022 – 5 O 195/22 –, Rn. 27, juris).

114

Die bloße Gefährdung oder Befürchtung einer Gefährdung ist für die Annahme eines Schadens im Sinne des DSGVO nicht ausreichend, auch nicht im Hinblick auf das Urteil des LG München vom 9.12.2021 (Az.: 31 O 16606/20, BeckRS 21/41707 und Urteil vom 20.1.2022 – 3 O 17493/20 – BeckRS 6105). Denn diese Rechtsprechung ist nicht ohne weiteres auf die vorliegende Konstellation übertragbar. Das LG München hat Schadensersatz aufgrund einer Gefährdung eines Identitätsmissbrauchs zugesprochen. In dem zu Grunde liegenden Fall wurden Daten veröffentlicht, nämlich „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“. Vorliegend geht es um ein öffentliches Profil nebst Telefonnummer und damit deutlich weniger sensible Daten. Eine Telefonnummer kann man wechseln. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich (so auch: LG Karlsruhe, Urteil vom 09.02.2021, Az.: 4 O 67/20, ZD 2022, 55). Insbesondere würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis der bloßen Möglichkeit einer Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund Nr. 75. Der Erwägungsgrund Nr. 75 stützt die Auffassung der Kammer (vgl. LG Essen vom 23.9.2021, Az.: 6 O 190/21, ZD 2022, 50), da aus Risiken für die Rechte und Freiheiten natürlicher Personen physische, materielle oder immaterielle Schaden lediglich entstehen können, aber nicht müssen. Insoweit sind Schäden gerade nicht zwangsweise Folge aus einem Risiko für die Rechte und Freiheiten natürlicher Personen aus einer Verarbeitung personenbezogenen Daten, vielmehr sind solche nur möglich. Der Sinn der Verordnung wird aber nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes und konkretes Risiko bestehen, dass die Daten missbraucht werden. Dies konnte die Kammer im Lichte des Klägervortrags nicht feststellen (LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 105 - 116, juris).

115

Schließlich hat die Klagepartei auch nicht hinreichend substantiiert dargelegt, inwiefern bei ihr persönlich ein immaterieller Schaden eingetreten sein soll. Lediglich pauschal und nichtssagend wird vorgetragen, die Klagepartei leide unter Sorge vor Missbrauch und Furcht vor Kontrollverlust. Im nicht nachgelassenen Schriftsatz vom 20.2.23 wird zudem pauschal vorgetragen, es habe Ängste, Stress, Komfort- und Zeiteinbußen gegeben. Wie sich dies konkret in der Person der Klagepartei äußert und welche Symptome im Einzelnen in welcher Häufigkeit und Intensität auftreten, wird jedoch nicht ausgeführt.

116

dd)

117

Es bedurfte auch keiner Aussetzung des Verfahrens und Vorlage an den EuGH nach § 148 ZPO mit Blick auf die anstehende Entscheidung des Gerichtshofs der Europäischen Union zur Rechtssache C 300/21 (Österreichische Post) zu der Frage, ob es im Rahmen des Art. 82 Abs. 1 DSGVO eines konkreten, messbaren Schadens bedarf.

118

Nach Auffassung der Kammer hat Art. 82 Abs. 1 DSGVO zwei eigene, separate Voraussetzungen, nämlich: (1.) einen Verstoß gegen die DSGVO und (2.) einen tatsächlich eingetretenen materiellen oder immateriellen Schaden. Läge bei jedem DSGVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Auf die Frage des konkreten Schadens kommt es hier aber deshalb nicht entscheidungserheblich an, weil die Klage – wie ausgeführt – auch aus anderen Gründen ohne Erfolg bleibt, da schon kein Verstoß gegen die DSGVO festgestellt werden kann.

119

Da die Kammer außerdem im vorliegenden Falle nicht letztinstanzlich entscheidet, trifft sie keine Vorlagepflicht gem. Art. 267 Abs. 3 AEUV. Allenfalls wäre ihr eine Vorlagemöglichkeit gem. Art. 267 Abs. 2 AEUV eröffnet, zu der sie aus den nachfolgenden Gründen keinen Anlass sieht. Die Vorlage einer Auslegungsfrage an den EuGH ist dann nicht angezeigt, wenn die gerichtliche Anwendung des Gemeinschaftsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt (EuGH, Urt. v. 06.10.1982 – 283/81 „CILFIT“) oder wenn es – wie hier und bereits ausgeführt - auf diese Frage nicht alleinentscheidend ankommt, da vorliegend ein Anspruch auch an anderen Voraussetzungen scheitert. Daher war die Kammer auch nach Ausübung pflichtgemäßen Ermessens nicht zur Vorlage verpflichtet (vgl. LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 116, zitiert nach juris).

120

121

Es kann im Ergebnis dahinstehen, ob neben Art. 82 Abs. 1 DSGVO auch nationales Recht anwendbar ist, oder das nationale Recht von den europarechtlichen Vorschriften der DSGVO verdrängt wird. Denn auch bei der Annahme eines Nebeneinanders hat die Klagepartei mangels restitutionsfähigem Schaden keinen Schadensersatzanspruch gegen die Beklagte, weder aus § 280 Abs. 1, 253 Abs. 2 BGB noch aus einer anderen nationalen Schadensersatz gewährenden Anspruchsgrundlage. Auf die obigen Ausführungen wird Bezug genommen.

122

123

Der mit dem Klageantrag zu 2) gestellte Feststellungsantrag ist unbegründet, da Pflichtverstöße der Beklagten und Verstöße gegen die Vorschriften der DSGVO - wie oben ausgeführt - gerade nicht festgestellt werden konnten. Auf die obigen Ausführungen wird Bezug genommen.

124

125

126

Auch der Klageantrag zu 3a) unterliegt der Abweisung.

127

Mit dem Klageantrag 3a) begehrt die Klagepartei die Unterlassung des Zugänglichmachens von personenbezogenen Daten für unbefugte Dritte über eine Software zum Importieren von Kontakten, ohne dass es nach dem Stand der Technik mögliche Sicherheitsmaßnahmen gibt, die Missbrauch verhindern. Missbrauch wird dann angenommen, wenn andere Zwecke als die Kontaktaufnahme verfolgt werden. Im Prinzip möchte die Klagepartei damit erreichen, dass der Kontakt-Importer durch geeignete technische Vorkehrungen vor Scraping geschützt wird.

128

Ein solcher Anspruch ergibt sich weder aus § 1004 analog BGB i.V.m. mit dem Recht auf informationelle Selbstbestimmung noch aus § 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1 sowie Art. 17 DSGVO noch aus einer anderen Anspruchsgrundlage. Eine Zuwiderhandlung der Beklagten in der Vergangenheit ist nach den obigen Ausführungen weder zu erkennen, noch für die Zukunft zu befürchten.

129

Hier sind lediglich Daten von der P.-Seite abgegriffen und an anderer Stelle wieder veröffentlicht worden, die ohnehin immer öffentlich waren. Im Rahmen ihrer Registrierung hat die Klagepartei ihre Zustimmung erteilt, dass die Daten veröffentlicht werden dürfen. Dass es keinen Anspruch auf Schutz vor Veröffentlichung von bereits öffentlichen Daten gibt, versteht sich von selbst. Dass die Beklagte die Telefonnummer der Klagepartei Dritten zugänglich gemacht hat, behauptet die Klagepartei schon selber nicht. Vielmehr verfügten die Scraper bereits über diese Telefonnummer und haben den Kontakt-Importer erst damit „gefüttert“. Was die Unterlassung einer Verwendung der Telefonnummer anbelangt, lag es jederzeit in der Hand der Klagepartei, dies in den Einstellungen entsprechend zu verändern und die Suchbarkeitseinstellungen so vorzunehmen, dass ihr Profil nicht anhand der Telefonnummer gefunden werden kann. Dass die Beklagte entgegen der von einem Nutzer getroffenen Einstellungen Telefonnummern freigibt oder anderweitig nutzt, hat die Klagepartei schon nicht behauptet (vgl. auch LG Gießen, Urteil vom 3. November 2022 – 5 O 195/22 –, Rn. 31, zitiert nach juris). Da es hiernach und nach den obigen ausführlichen Ausführungen also keinen Fall der Erstbegehung gibt, ist auch keine rechtswidrige Beeinträchtigung zu befürchten und der Unterlassungsanspruch damit nicht gegeben.

130

131

Mit dem Klageantrag 3b) begehrt die Klagepartei die Unterlassung, ihre Telefonnummer auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde.

132

Auch hier fehlt es bereits an einem Verstoß der Beklagten, der überhaupt zu einem Unterlassungsanspruch führen könnte, selbst wenn man Art. 6 DSGVO als Schutzgesetz im Sinne des § 823 Abs. 2 BGB ansieht.

133

Die Beklagte hat die Klagepartei ausreichend aufgeklärt gemäß Art 13 Abs. 1 DSGVO, insbesondere über die Zwecke der Verarbeitung sowie deren Rechtsgrundlage und die etwaigen Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (s.o.). Die Klagepartei hat zudem mit der Zustimmung zu den Nutzungsbedingungen und der Datenrichtlinie die Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben gemäß Art. 6 Abs. 1 S. 1 a.) DSGVO. Insbesondere wurden die Datenlinie sowie die Nutzungsbedingungen in einfach verständlicher Sprache abgefasst und sind und waren nach dem eigenen Vortrag der Klagepartei zugänglich, wenn auch mehrschichtig. Die Website der Beklagten weist den jeweiligen Nutzer sogar mehrfach darauf hin, dass man einen Privatsphärecheck machen kann. Insoweit entspricht das Ersuchen der Einwilligung auch den Voraussetzungen des Art. 7 Abs. 2 DSGVO. Wie ausgeführt, sind bei Auslegung nach dem objektiven Empfängerhorizont gemäß §§ 133, 157 BGB bei entsprechender Sorgfalt und Inanspruchnahme von Zeit die mehrschichtigen Hinweise durchaus nachvollziehbar (s. Screenshots in der Klageschrift) (vgl. LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 145, zitiert nach juris).

134

135

Auch der mit dem Klageantrag zu 4) geltend gemachte Auskunftsanspruch unterliegt der Abweisung

136

Mit dem Klageantrag zu 4) begehrt die Klagepartei die Auskunft, welcher der klägerischen personenbezogenen Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontakt-Importtools erlangt werden konnten.

137

Die Klagepartei hat hinsichtlich der begehrten Auskunft keinen Auskunftsanspruch gegen die Beklagte aus Art. 15 DSGVO (mehr).

138

Wie bereits ausgeführt, ist der Auskunftsanspruch durch das außergerichtliche Schreiben der Beklagten teilweise i. S. d. § 362 Abs. 1 BGB erloschen, soweit er die eigene Verarbeitung von Daten der Klagepartei betrifft. Die Beklagte ist auch lediglich gehalten, diese von ihr selbst – und nicht etwaig von Dritten – verarbeiteten Daten mitzuteilen. Soweit durch das Scrapen öffentlich einsehbare Daten von Dritten verarbeitet wurden, ist jedenfalls nicht die Beklagte auskunftspflichtig (LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 147, zitiert nach juris).

139

140

Mangels Hauptanspruch entfällt der Anspruch auf Erstattung der vorgerichtlichen Rechtsanwaltskosten. Das Gleiche gilt hinsichtlich der geltend gemachten Zinsansprüche.

141

142

Die nicht nachgelassenen Schriftsätze vom 20.2.2023 und 3.3.2023 geben keine Veranlassung zur Wiedereröffnung der mündlichen Verhandlung.

143

144

Die Nebenentscheidungen beruhen auf §§ 91, 708 Nr. 11, 709, 711 ZPO.

145

Streitwert: 6.500,- €

146

I.