1

T a t b e s t a n d

2

Die Parteien streiten um Ansprüche auf Schadensersatz, Auskunft, Unterlassung und Erstattung der Rechtsverfolgungskosten begründet durch Verletzungen von Datenschutzbestimmungen im Zusammenhang mit einem sog. „Scraping-Sachverhalt“.

3

Die Beklagte betreibt einen internationalen Musikstreaming-Dienst, der in über 180 Ländern, darunter auch Deutschland, verfügbar ist. Neben Musik haben Nutzer auch Zugriff auf Hörbücher, Hörspiele und Podcasts. Die Beklagte bietet ihre Dienste unter der Internetadresse www.O.com auch in deutscher Sprache an. Die Beklagte finanziert sich zum Teil aus den Beiträgen der Nutzer, aber auch aus Werbung, die insbesondere im Rahmen der kostenfreien Nutzung anfällt. Um O. zu verwenden, muss sich der Nutzer zunächst über die O.-Website registrieren und ein Konto erstellen, wobei persönliche Daten des Nutzers abgefragt werden. Anzugebende Informationen bei Erstellung eines Kontos sind Name, Vorname, Nutzername, Alter, Geschlecht, Sprache, Land, E-Mail-Adresse, User-ID.

4

Der Kläger ist Nutzer dieser Plattform mit der E-Mail „E-Mail-Adresse01“. Durch die Anmeldung bei der Beklagten wurde ein Vertrag zwischen den Parteien geschlossen, in den unter anderem etwaige AGB und Nutzungsbedingungen der Beklagten miteinbezogen worden sind.

5

Im Jahr 2022 kam es zu einem Cyberangriff, bei dem personenbezogene Daten veröffentlicht wurden. Diese weisen hohe Ähnlichkeit zu Daten des Partnerunternehmens der Beklagten - T. N. Ltd. (die Muttergesellschaft von „X., Inc.“, dem operativen Anbieter des Dienstes) – auf, mit dem die Beklagte bis zum Jahr 2020 eine vertragliche Beziehung unterhielt. Im Rahmen dessen war es Hackern möglich, einen enormen Datensatz mit personenbezogenen Daten von rund 229 Millionen betroffenen individuellen Accounts unbefugt zu erlangen, darunter etwa 14 Millionen individuelle deutsche Accounts. Von dem Cyberangriff betroffen waren die Informationen Name, Vorname, Nutzername, Alter, Geschlecht, Sprache, Land, E-Mail-Adresse, User-ID, Daten über die Nutzung des O.-Dienstes (Akquise-Herkunft, kostenloser oder kostenpflichtiger Charakter des Kontos) und Präferenzen (Anzahl der Lieblingssongs, Kommunikationspräferenzen). Unter diesen Daten befinden sich auch die Daten des Klägers. Mit jenem Partnerunternehmen arbeitet die Beklagte seit dem Jahr 2020 nicht mehr zusammen. Von dem Datenleck erlangte die Beklagte am 08.11.2022 gegen 15:33 Uhr Kenntnis. Sie meldete den Vorfall am 10.11.2022 gegen 18:00 Uhr der zuständigen U. Datenschutzbehörde (F. B. K.) („Z.“). Eine Ergänzungsmeldung erfolgte am 31.01.2023. Am 11.11.2022 veröffentlichte die Beklagte auch Informationen zu dem Datenleck auf der unternehmenseigenen Website.

6

Mit Schreiben vom 01.03.2023 forderte der Prozessvertreter des Klägers die Beklagten zur Auskunft über das Datenleck, Unterlassung künftiger Zugänglichmachung der Daten des Klägers, den Ersatz der daraus entstandenen Schäden und den Ersatz der vorgerichtlichen Anwaltskosten auf. Geltend gemachte Schadensersatzansprüche lehnt die Beklagte mit Schreiben vom 28.04.2023 ab. Bezüglich der Auskunft erteilt die Beklagte mit E-Mail vom 25.05.2023 eine Negativauskunft.

7

Der Kläger behauptet, dass der Cyberangriff zu einem Datenleck bei der Beklagten geführt habe. Es habe in der Zeit nach Auftreten des Datenlecks bei dem Kläger unbekannte Kontaktversuche per SMS, Anruf oder Mail wie beispielsweise Spammails, Spamnachrichten, Anrufe aus dem Ausland auf die bei dem Angebot der Beklagten hinterlegten Kontaktmöglichkeiten gegeben. Er behauptet weiter, dass er einen Kontrollverlust über seine Daten erlitten habe. Er behauptet, dass er nach Bekanntwerden des Datenlecks in einem Zustand von Unwohlsein und Sorge über möglichen Missbrauch seiner Daten, insbesondere unter Berücksichtigung der vielfältigen Missbrauchsmöglichkeiten, verbleibe. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen gegenüber E-Mails und Anrufen.

8

Weiter behauptet der Kläger, dass das „Scraping“ nur möglich gewesen sei, weil die Beklagte keine ausreichenden Sicherheitsmaßnahmen vorgehalten habe. Das Auftreten eines Datenlecks indiziere  mangelnde Sicherheitsmaßnahmen. Es habe zudem ein ausdrücklicher individueller Hinweis der Beklagten an den Kläger nach dem Auftreten des Datenlecks gefehlt.

9

Der Kläger ist der Ansicht, dass die Beklagte gegen Art. 32, 34 DSGVO verstoßen habe und ihm dadurch ein kausaler immaterieller Schaden entstanden sei, der nach Art. 82 Abs. 1 DSGVO zu ersetzen sei. Bei der Bemessung der Höhe des Schadensersatzes sei die Vielzahl der Verstöße der Beklagten zu berücksichtigen. Der geltend gemachte Feststellungsantrag auf Ersatz künftiger Schäden sei dadurch gerechtfertigt, dass die Wahrscheinlichkeit eines Schadenseintritts durch zukünftige erhebliche Belästigungen und die Gefahr einer missbräuchlichen Nutzung der erworbenen Daten mit einer entsprechenden Schadensverursachung besteht. Der Kläger ist darüber hinaus der Ansicht, der ihm zustehende Auskunftsanspruch sei durch die außergerichtlich erteilte Auskunft jedenfalls nicht vollständig bzw rechtzeitig erfüllt. Er ist darüber hinaus der Ansicht, dass Wiederholungsgefahr für die Veröffentlichung der Daten durch die Beklagten bestehe und daher auch ein Unterlassungsanspruch gerechtfertigt sei. Außerdem meint er, dass die außergerichtlichen Anwaltskosten aus Art. 82 Abs. 1 DSGVO erstattungsfähig sind.

10

Der Kläger beantragt

11

1.      die Beklagte zu verurteilen, an den Kläger als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Erlangung persönlicher Daten einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 3.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz der EZB zu zahlen;

12

2.      die Beklagte zu verurteilen, an den Kläger für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz der EZB zu zahlen;

13

3.      festzustellen, dass die Beklagte verpflichtet ist, dem Kläger alle materiellen künftigen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten entstanden sind und/oder noch entstehen werden;

14

4.      die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft, oder einer an ihrem Vertreter zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten des Klägers Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen;

15

5.      die Beklagte zu verurteilen, dem Kläger Auskunft über personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, insbesondere welche Daten durch welche Empfänger zu welchem Zeitpunkt auf welche Art und Weise und aufgrund welcher Sicherheitslücke, soweit vorhanden, bei der Beklagten oder Partnerunternehmen, an die die Beklagte die Daten weitergeleitet hat, unbefugt erlangt werden konnten;

16

6.      die Beklagte zu verurteilen, den Kläger von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 1.054,10 EUR freizustellen.

17

Die Beklagte beantragt,

18

              die Klage abzuweisen.

19

Sie behauptet, dass sie die von dem Vorfall betroffenen Personen unverzüglich informiert habe. Sie habe die individuelle Betroffenenbenachrichtigung an jeden Nutzer übermittelt, es sei denn, die Beklagte habe über keine Kontaktdaten mehr verfügt. Sie behauptet weiterhin, ausreichend technische und organisatorische Maßnahmen getroffen zu haben, die die Beklagte bereits vor dem Cyberangriff implementiert hatte. Zu den Einzelheiten der Sicherheitsmaßnahmen wird auf die S. 8 – 12 der Klageerwiderung vom 06.12.2023 verwiesen. Die Beklagte ist der Ansicht, dass keine Ansprüche aus Art. 82 DSGVO – wie vom Kläger mit Anträgen 1.) und 2.) gefordert – bestünden. Sie meint, dass der Vortrag des Klägers zum Schaden und der Kausalität pauschal und unbestimmt sei, da der Kläger nur abstrakt mögliche Folgen des Datenlecks aufzähle statt einen individuellen Bezug zu seiner Person herstelle. Ebenso fehle es deswegen auch an der Kausalität zwischen Datenleck und Schaden. Weiter meint sie, dass sie ihrer Auskunftsverpflichtung nach Art. 15 DSGVO durch E-Mail vom 25.05.2023 nachgekommen sei. Außerdem ist sie der Ansicht, dass die Schadenshöhe unverhältnismäßig sei. Die Beklagte ist der Ansicht, dass der Feststellungsantrag zu 3.) des Klägers mangels Feststellungsinteresses unzulässig sei. Weiter sei der Unterlassungsanspruch zu 4.) bereits unzulässig, da es sich dabei um eine verdeckte Leistungsklage handele. Die Beklagte meint, dass der Anspruch auf Erstattung der vorgerichtlichen Anwaltskosten nicht bestehe, da die insoweit geltend gemachten Ansprüche gemäß § 86 Abs. 1 S. 1 VVG auf den Rechtsschutzversicherer übergegangen seien und der Kläger die Voraussetzungen einer gewillkürten Prozessstandschaft nicht dargelegt habe.

20

Wegen der weiteren Einzelheiten des Parteivorbringens wird auf die gewechselten Schriftsätze nebst Anlagen Bezug genommen.

21

Entscheidungsgründe

22

I.

23

Die zulässige Klage ist teilweise begründet.

24

1. Die Klage ist zulässig.

25

a) Das Landgericht Aachen ist international, sachlich und örtlich zuständig (vgl. hierzu LG Aachen, Urt. v. 10.2.2023 - 8 O 177/22, GRUR-RS 2023, 2621)

26

Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 Alt. 2. EuGVVO (Brüssel Ia - VO). Gemäß Art. 18 Abs. 1 Alt. 2 EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat.

27

Der Kläger ist gemäß Art. 17 Abs. 1 EuGVVO Verbraucher. Er gibt an, einen Vertrag mit der Beklagten geschlossen zu haben über die Nutzung der O.-Plattform mittels eines Benutzerkontos zu privaten Zwecken. Der Kläger hat seinen Wohnort in Heinsberg, woraus sich die internationale Zuständigkeit der deutschen Gerichte ergibt.

28

Die sachliche Zuständigkeit des Landgerichts Aachen folgt aus § 1 ZPO i.V.m. §§ 23 Nr. 1, 71 Abs. 1 GVG.

29

Das Landgericht Aachen ist nach Art. 18 Abs. 1 Alt. 2 EuGVVO sowie Art. 79 Abs. 2 Satz 2 DSGVO örtlich zuständig.

30

b) Die von der Klägerseite gestellten Anträge sind hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO.

31

aa) Der Klageantrag zu 1) ist zulässig und insbesondere hinreichend bestimmt.

32

Der Kläger stellt die Bemessung des Schmerzensgeldes, hinsichtlich dessen er eine Größenordnung seiner Vorstellungen angegeben hat, zulässigerweise in das Ermessen des Gerichts. Ferner hat er mitgeteilt, worauf sich sein Begehren bezieht und dass Schmerzensgeld sowohl für das Verhalten der Beklagten vor dem Daten-Scraping-Vorfall als auch für das nachfolgende Verhalten begehrt wird, so dass eine alternative Klagebegründung nicht angenommen werden kann

33

bb) Auch der mit dem Klageantrag zu 2) geltend gemachte Feststellungsantrag ist zulässig.

34

Der Kläger hat auch sein Feststellungsinteresse nach § 256 Abs. 2 ZPO hinreichend dargelegt. Ein Feststellungsantrag ist bereits dann zulässig, wenn die Schadensentwicklung noch nicht gänzlich abgeschlossen und der Kläger aus diesem Grund nicht im Stande ist, seinen Anspruch deshalb ganz oder teilweise zu beziffern (OLG Hamm, Urteil vom 21.05.2019 – 9 U 56/18). Das Feststellungsinteresse ist daher nur dann zu verneinen, wenn aus der Sicht des Geschädigten keinerlei Besorgnis besteht, zumindest mit dem Eintritt eines Schadens zu rechnen (BGH, Beschluss vom 09.01.2007 –VI ZR 133/06). Unter Berücksichtigung des Umstandes, dass die im Wege des "Scrapings" erlangten personenbezogenen Daten im Internet veröffentlicht worden sind, erscheint es bei lebensnaher Betrachtung möglich, dass es bei dem Kläger aufgrund der Veröffentlichung der Telefonnummer und weiterer persönlicher Daten wie der Name des Klägers im Internet zu künftigen materiellen Schäden, etwa durch betrügerische Anrufe, kommt. Weiter ist auch nicht davon auszugehen, dass die Schadensentwicklung ein Ende gefunden hat. Dies insbesondere vor dem Hintergrund, dass zwischen dem „Scraping“ und der Publizierung der daraus gewonnenen Daten ein Zeitraum von etwa einem Jahr lag. Daraus wird ersichtlich, dass diesem Vorfall ein Gefährdungspotential inne liegt, welches weder in zeitlicher noch in inhaltlicher Hinsicht vollständig ausgeschlossen werden kann.

35

2. Die Klage ist auch zum Teil begründet.

36

a) Dem Kläger steht gegen die Beklagte einen Anspruch auf Schadensersatz i.H.v. 1000 EUR aus Art. 82 Abs. 1 DSGVO zu.

37

Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.

38

Die Beklagte hat als Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO gegen mehrere Vorschriften aus der DSGVO verstoßen. Konkret verstieß die Beklagte gegen Art. 32, 34 DSGVO. Durch diese Verstöße ist dem Kläger ein immaterieller Schaden entstanden. Die Verstöße gegen die DSGVO sind auch kausal für den bei dem Kläger entstandenen Schaden. Die Beklagte handelte auch schuldhaft. Der Kläger hat sich auch kein Mitverschulden nach § 254 Abs. 1 BGB anrechnen zu lassen.

39

aa) Nach Art. 82 Abs. 1 DSGVO ist für eine Schadensersatzpflicht ein Verstoß gegen die DSGVO erforderlich. Da der sachliche Anwendungsbereich der DSGVO nach deren Art. 2 Abs. 1 jedoch nur für die Datenverarbeitung eröffnet ist, ist ein Verstoß in Form einer gegen die Vorschriften der DSGVO erfolgten Datenverarbeitung erforderlich. Art. 82 Abs. 1, Abs. 2 S. 1 und S. 2 DSGVO beinhalten daher lediglich die Klarstellung, dass der Verantwortliche für alle - durch entsprechende Verstöße verursachte - Schäden haftet, während der Auftragsverwalter nur unter weiteren Voraussetzungen für Schäden haftet. Eine Einschränkung hinsichtlich der - eine Haftung nach Art. 82 Abs. 1 DSGVO begründenden - Verstöße liegt hierin jedoch nicht.

40

bb) Die Beklagte hat weiter keine hinreichenden Sicherheitsmaßnahmen zur Verhinderung des streitgegenständlichen „Scraping-Vorfalls“ mittels des CIT vorgehalten und somit gegen Art. 32, 24, 5 Abs. 1 lit. f) DSGVO verstoßen.

41

Nach Art. 32 Abs. 1 DSGVO hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zielrichtung dieser Norm ist ein umfassender Schutz der für die Verarbeitung von personenbezogenen Daten genutzten Systeme, also im Kern die Datensicherheit (Mantz in: Sydow/Marsch DSGVO/BDSG, Art. 32 DSGVO Rn. 1). Das Gebot soll insbesondere personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten oder es unbeabsichtigt zu einem Verlust, einer Zerstörung oder Schädigung der Daten kommt (Martini in: Paal/Pauly, DSGVO, BDSG, Art. 32 DSGVO Rn. 2). Bei der Implementierung von geeigneten technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO sind dabei der Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen als Faktoren zu berücksichtigen. Dies bedeutet allerdings nur, dass sie in die Verhältnismäßigkeitsprüfung einzustellen, jedoch nicht notwendigerweise absolut zu befolgen sind (Gola/Heckmann/Piltz, 3. Aufl. 2022, DSGVO Art. 32 Rn. 14). Die DSGVO legt zur Bemessung der Geeignetheit der Maßnahmen insbesondere weiter fest, dass diese ein dem Risiko der Verarbeitung angemessenes Schutzniveau bieten müssen. Dabei kommt es letztlich darauf an, wie groß die Risiken sind, die den Rechten und Freiheiten der betroffenen Person drohen und wie hoch die Wahrscheinlichkeit eines Schadenseintritts ist. Damit ergibt sich, dass die Maßnahmen umso wirksamer sein müssen, je höher die drohenden Schäden sind (Ehmann/Selmayr/Hladjk, 2. Aufl. 2018, DSGVO Art. 32 Rn. 4; Spindler/Schuster/Laue, 4. Aufl. 2019, DSGVO Art. 32 Rn. 4). Dies wird vor allem anhand der Sensibilität der Daten und der Wahrscheinlichkeit eines Schadeneintritts bestimmt (Gola/Heckmann/Piltz, 3. Aufl. 2022, DSGVO Art. 32 Rn. 41). Art. 32 Abs. 1 DSGVO verpflichtet den Verantwortlichen und Auftragsverarbeiter aber nicht zu einem absoluten Schutz(niveau) der Daten. Das Schutzniveau muss vielmehr, je nach Verarbeitungskontext, dem Risiko bezüglich der Rechte und Freiheiten der betroffenen Personen im Einzelfall angemessen sein. Ausweislich des Erwägungsgrundes 76 zur DSGVO sollten dabei die Eintrittswahrscheinlichkeit und Schwere des Risikos anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt (so auch LG Lübeck, Urteil vom 25.05.2023 - 15 O 74/22, Rn. 84, juris).

42

Im vorliegenden Fall ist dabei zur Überzeugung des Gerichts an die vorzunehmenden Maßnahmen und das damit verbundene notwendige Schutzniveau ein hoher Maßstab anzusetzen. Das folgt daraus, dass im Falle von Scraping nicht lediglich Daten erhoben werden, die ohnehin öffentlich zugänglich sind. Vielmehr wird durch die Scraping-Angriffe eine Verknüpfung zu dem Konto des Betroffenen und der darin erhaltenen Daten erstellt und somit ein ganzes Datenpaket einschließlich der zuvor nicht öffentlich einsehbaren E-Mail-Adresse zusammengestellt. Die Gefahr, dass diese Daten sodann massenhaft durch Dritte veröffentlicht werden, ist – wie auch der vorliegende Fall zeigt – besonders hoch (vgl. auch LG Paderborn, Urteil vom 19. Dezember 2022 - 3 O 99/22 -, juris). Zum anderen ist gerade bei einem Unternehmen in der Größenordnung der Beklagten davon auszugehen, dass sie grundsätzlich die Möglichkeit hat, geeignete technische Maßnahmen zum Schutz gegen Scraping zu ergreifen.

43

Die von der Beklagten hinsichtlich des CIT behaupteten Schutzmaßnahmen werden diesen Anforderungen nicht gerecht. Die Beklagte trifft insoweit eine sekundäre Darlegungslast, zu den von ihr aufgeführten Schutzmaßnahmen konkret vorzutragen (OLG Stuttgart, Urteil vom 31.03.2021 – 9 U 34/21 –, juris). Eine sekundäre Darlegungslast trifft den Prozessgegner der primär darlegungsbelasteten Partei, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hat, während der Bestreitende alle wesentlichen Tatsachen kennt und es ihm unschwer möglich und zumutbar ist, nähere Angaben zu machen (BGH, Urteil vom 10.02.2015 – VI ZR 343/13 –, juris). So liegt die Dinge hier, da es der Beklagten ohne weiteres möglich ist, darzulegen, welche konkreten Maßnahmen zum Schutz der Daten ergriffen wurden. Demgegenüber hat der Kläger als Außenstehende keine Kenntnis über die konkret implementierten Maßnahmen.

44

Die Beklagte hat zu den notwendigen und ergriffenen Maßnahmen jedoch nicht ausreichend vorgetragen. Sie hat nicht hinreichend dargelegt, welche konkreten Maßnahmen sie überhaupt angewandt hat und wie genau diese ausgestaltet gewesen sein sollen. Insbesondere der pauschale Vortrag der allgemeinen Sicherheitsvorkehrungen ist für den konkreten Fall nicht ausreichend.

45

cc) Weiter hat die Beklagte gegen Art. 34 Abs. 1 DSGVO verstoßen, indem sie als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO den Kläger als betroffene Person nicht unverzüglich von der Verletzung des Schutzes seiner personenbezogenen Daten benachrichtigt hat, obwohl die Verletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten des Klägers zur Folge hatte.

46

Eine solche individualisierte Information des Klägers ohne schuldhaftes Verzögern nach Offenbarung der Verletzung des Schutzes personenbezogener Daten im Jahr 2022 hat die Beklagte nicht vorgenommen. Der allgemeine Hinweis auf der Website der Beklagten ist dafür nicht ausreichend. Für die Beklagte streitet auch keine Ausnahme nach Art. 34 Abs. 3 DSGVO. Die Benachrichtigungspflicht entfällt vorliegend nicht schon nach Art. 34 Abs. 3 lit. a DSGVO, da die Beklagte keine geeigneten Sicherheitsvorkehrungen vor missbräuchlicher Verwendung der Daten getroffen hat. Als geeignet kann eine Sicherheitsvorkehrung nur dann angesehen werden, wenn die Vorkehrungen ein hohes Risiko einer Sicherheitsverletzung ausschließen (Paal/Pauly/Martini, DSGVO 3. Aufl., Art. 34 Rn. 38). Dies war hier aber gerade nicht der Fall, vgl. oben.

47

Weiter war auch eine Benachrichtigung durch die Beklagte nicht nach Art. 34 Abs. 3 lit. c DS- GVO entbehrlich. Dies wäre nur dann der Fall gewesen, wenn die Benachrichtigung mit einem unverhältnismäßigen Aufwand für die Beklagte verbunden gewesen wäre. Grundsätzlich kann sich bei einer Vielzahl von betroffenen Personen ein unverhältnismäßig hoher Kosten- und Zeitaufwand des Benachrichtigungsverpflichteten ergeben. Sind jedoch die betroffenen Personen und deren E-Mail-Adressen dem zur Benachrichtigung Verpflichteten, wie vorliegend bekannt, kann nicht von einem unverhältnismäßigen Aufwand ausgegangen werden (Gola/Heckmann/Reif, DSGVO 3. Aufl., Art. 34 Rn. 17).

48

dd) Dem Kläger ist nach Auffassung des Gerichts ein immaterieller Schaden in Höhe von 1000,00 EUR gemäß Art. 82 Abs. 1 DSGVO entstanden.

49

Der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO dient nicht nur dem Ausgleich erlittenen Schadens, sondern auch repressiven und präventiven Zwecken, indem er Verstöße sanktioniert, weiteren Verstößen präventiv vorbeugt und vor zukünftigen Verstößen abschreckt (BeckOK DatenschutzR/Quaas, DSGVO Art. 82 Rn. 1). Der Erwägungsgrund 75 zur DSGVO benennt den Kontrollverlust ausdrücklich als zu erwartendes Risiko der Verarbeitung personenbezogener Daten, das zu einem Schaden bei den Betroffenen führt, indem es dort heißt: „Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere (...) wenn die betroffenen Personen (...) daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren“. Würde ein Schaden erst dann angenommen werden, wenn es durch das Abgreifen der Daten zu einer vertieften vermögens- oder persönlichkeitsrechtlichen Verletzung des Betroffenen kommt, würde das dem weit auszulegenden Schadensbegriff und dem damit verbundenen individuellen Ausgleichsanspruch entgegenstehen (vgl. OLG Koblenz Urteil vom 18.05.2022 – 5 U 2141/21). Als weitere Schäden in diesem Zusammenhang kommen zudem Angst, Stress und Zeiteinbußen in Betracht.

50

Es kann vorliegend dahinstehen, ob für eine Ersatzpflicht nach Art. 82 Abs. 1 DSGVO bereits ein Verstoß gegen eine Norm der DSGVO genügt (so: BAG, Beschluss vom 26.08.2021 – 8 AZR 253/20 (A)), oder ein konkreter Schaden des Klägers vorliegen muss (EuGH, Urteil vom 04.05.2023 – C 300/21; zum Ganzen auch: OLG Frankfurt a.M., Urteil vom 02.03.2022 – 13 U 206/20).

51

ee) Die Verstöße gegen die DSGVO durch die Beklagte können nicht hinweg gedacht werden, ohne dass der Schaden des Klägers entfiele. Erst durch diese Verstöße war es den unbekannten Scrapern möglich, personenbezogene Daten des Klägers abzugreifen.

52

ff) Die Beklagte handelte hinsichtlich der festgestellten Verstöße auch schuldhaft. Sie kann sich hinsichtlich der einzelnen Verstöße nicht nach Art. 82 Abs. 3 DSGVO entlasten (vgl. auch LG Stuttgart, Urteil vom 26. Januar 2023 – 53 O 95/22 –, juris). Danach gelingt eine Befreiung nur, wenn der Verantwortliche oder der Auftragsverarbeiter nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Damit wird die Verantwortlichkeit der Beklagten widerleglich vermutet. Hier ist der Beklagten weder der Nachweis fehlenden Verschuldens noch des Vorliegens ganz ungewöhnlicher Kausalverläufe, eines Falles höherer Gewalt oder weit überwiegenden eigenen Fehlverhaltens des Klägers.

53

Ebenso kann sie sich auch nicht mit dem Verweis auf das Fehlverhalten des externen Dienstleisters T. N., Ltd der Haftung entziehen, da ein solches gem. Art. 82 Abs. 4 zu einer gesamtschuldnerischen Haftung führt, sodass auch die Beklagte aufgrund der schadensverursachenden Datenverarbeitung auf den Ersatz des gesamten Schadens in Anspruch genommen werden kann.

54

gg) Der vom Kläger erlittene immaterielle Schaden war vorliegend auf 1000,00 EUR zu bemessen. Diese Summe erachtet des Gerichts im Rahmen des von ihm ausgeübten Ermessens nach § 287 Abs. 1 ZPO (vgl. BAG NJW 2022, 2779) als ausreichend, um sowohl der Ausgleichs- und Genugtuungsfunktion des Schadensersatzes gerecht zu werden und außerdem als hinreichend, um dem präventiven Charakter der Norm zu genügen.

55

Der Schadensersatz der DSVGO soll dem Betroffenen einen vollständigen und zugleich wirksamen Ersatz für den von ihm erlittenen Schaden bringen. Bei der Bemessungshöhe des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DSGVO können dabei die Grundlagen des Art. 83 Abs. 2 DSGVO herangezogen werden. Demnach sind u.a. Art, Schwere und Dauer des Verstoßes und die Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind, zu berücksichtigen. Unter Berücksichtigung der Erwägungsgründe 75 und 85 der DSGVO muss weiter beachtet werden, dass dem Schadenersatzanspruch auch eine abschreckende Wirkung gegenüber dem Verantwortlichen zukommen soll, um somit eine effektive Durchsetzung der DSGVO sicherzustellen. Schließlich sind auch die konkreten Umstände des maßgeblichen Einzelfalls zu berücksichtigen.

56

Der Kläger macht geltend, dass er nach Bekanntwerden des Datenlecks in einem Zustand von Unwohlsein und Sorge über einen möglichen Missbrauch seiner Daten, insbesondere unter Berücksichtig der vielfältigen Missbrauchsmöglichkeiten verbleibt. Er hat in der Zeit nach dem Auftreten des Datenlecks unbekannte Kontaktversuche und Spamnachrichten per E-Mail erhalten. Dieser Kontrollverlust über seine Daten soll der Schmerzensgeldanspruch durch die Festsetzung einer angemessenen Höhe widerspiegeln.

57

Nicht jedoch kann sich der Kläger auf solche Kontaktversuche und Spamnachrichten berufen, die ihn per SMS oder Anruf, also über seine Telefonnummer, erreicht haben. Die Telefonnummer war im Registrierungs- und Anmeldeprozess von der Beklagten nicht abgefragt. Der Kläger trägt selbst vor, dass das Datenleck nur die sensiblen Daten wie E-Mail-Adressen, Geburtsdaten, Geschlechter, Geodaten, IP-Adressen, Namen, gesprochene Sprachen und Benutzernamen betraf. Nicht erfasst ist somit die Telefonnummer. Auf den Vortrag der Beklagten im Schriftsatz vom 06.12.2023 geht der Kläger in der Replik vom 20.12.2023 nicht ein. Daher wird im vorliegenden Einzelfall bei der Höhe des Schmerzensgeldes nur auf solche Schäden abgestellt, die durch die Veröffentlichung der E-Mail entstanden sind.

58

Schließlich hat das Gericht vorliegend berücksichtigt, dass der Beklagten mehrere schadensursächliche Verstöße gegen die DSGVO (Art. 32 und Art. 34 DSGVO) vorzuwerfen sind, welche einen sehr weitgehenden Kontrollverlust der personenbezogenen Daten des Klägers ermöglicht und begünstigt haben.

59

hh) Der geltend gemachte Zinsanspruch folgt aus §§ 288, 291 BGB.

60

b) Der Antrag zu 2.) ist unbegründet.

61

Einen grundsätzlich bestehenden Anspruch nach Art. 15 DSGVO des Klägers gegen die Beklagte hat diese mit E-Mail vom 25.05.2023 nach Ansicht des Gerichts nach § 362 BGB erfüllt. Daher hat der Kläger auch keinen Anspruch auf Ersatz eines immateriellen Schadens. Mit der Mail vom 25.05.2023 hat die Beklagte gegenüber dem Kläger kenntlich gemacht, dass sie davon ausgeht, dass diese Antwort abschließend ist. Eine – auch teilweise – Auskunftsverweigerung ist dahingehend möglich, als dass dem Verantwortlichen die Identifikation der betroffenen Person nicht ausreichend möglich ist, vgl. Art. 12 Abs. 2 S. 2 iVm Art. 11 Abs. 2 DSGVO (BeckOK DatenschutzR/Schmidt-Wudy, DSGVO Art. 15, Rn. 49). Im vorliegenden Fall bestätigt die Beklagte, dass sie die Daten des Klägers nach Art. 15 Abs. 1 Hs. 1 DSGVO verarbeitet hat, aber keine weitere Auskunft über die in Hs. 2 aufgelisteten Informationen erteilen kann. Ein weiterer, über die erteilte Antwort hinausgehenden, Auskunftsanspruch steht dem Kläger nicht zu.

62

c) Der Antrag zu 3.) ist begründet.

63

Es ist vorliegend nicht ausgeschlossen, dass der Kläger in Zukunft durch die Verstöße der Beklagten gegen die DSGVO weitere – auch materielle – Schäden erleidet. Dies insbesondere deshalb, weil der Kläger dieselbe E-Mail weiterhin benutzt. Es ist derzeit nach Ansicht des Gerichts nicht absehbar, wie die Veröffentlichung der abgegriffenen Daten auf den Kläger zurückfallen kann.

64

d) Darüber hinaus kann der Kläger die mit dem Klageantrag zu 4.) beanspruchte Unterlassung erfolgreich gegenüber der Beklagten geltend machen.

65

Die Beklagte hat gegen Art. 32, 34 DSGVO verstoßen. Diese Rechtsverstöße geben dem Kläger einen darauf bezogenen Anspruch auf Beseitigung und künftige Unterlassung. Daher kann der Kläger verlangen, dass die Beklagte es unterlässt, personenbezogene Daten des Klägers Dritten zugänglich zu machen. Die Widerholungsgefahr

66

Die Ordnungsmittelandrohung folgt aus § 890 ZPO.

67

e) Der Antrag zu 5.) ist unbegründet.

68

Einen grundsätzlich bestehenden Anspruch nach Art. 15 DSGVO des Klägers gegen die Beklagte hat diese mit E-Mail vom 25.05.2023 nach Ansicht des Gerichts nach § 362 BGB erfüllt. Zu den Einzelheiten wird auf die Ausführungen zum Antrag zu 3.) verwiesen (I.2.b.). Ein weiterer, über die erteilte Antwort hinausgehenden, Auskunftsanspruch steht dem Kläger nicht zu.

69

f) Der Antrag zu 6.) ist begründet. Die Erstattungsfähigkeit der außergerichtlichen anwaltlichen Kosten folgt aus Art. 82 Abs. 1 DSGVO i.V.m. §§ 249 ff. BGB.

70

aa) Die Inanspruchnahme eines Rechtsanwalts zur Durchsetzung etwaiger Rechte infolge des Verstoßes gegen die DSGVO war für den Kläger angesichts der oben geschilderten unübersichtlichen Rechtslage erforderlich und zweckmäßig.

71

bb) Allerdings sind die vorgerichtlichen Rechtsanwaltsgebühren nicht aufgrund eines Wertes von 17.600,00 € zu berechnen. Dem Anspruch des Geschädigten auf Ersatz vorgerichtlicher Rechtsanwaltskosten ist im Verhältnis zum Schädiger grundsätzlich der Gegenstandswert zugrunde zu legen, der dem berechtigten Unterlassungs- und Schadensersatzanspruchs entspricht (vgl. BGH, Urteil vom 12. Dezember 2017 - VI ZR 611/16 -, juris; OLG Frankfurt, Urteil vom 14. April 2022 – 3 U 21/20 –, juris). Zudem ist der Feststellungsantrag zu beachten.

72

Dieser liegt bei 8.600,00 EUR. Der Gegenstandswert für das vorgerichtliche Schreiben setzt sich aus dem berechtigtem Zahlungsanspruch in Höhe von 1000,00 EUR Schmerzenzgeld, dem mit 5000,00 EUR zu bemessendem Interesse des Klägers an der Unterlassung gleichartiger Verstöße und dem Feststellungsanspruch in Höhe von 2.600,00 EUR  zusammen. Der Gegenstandswert für die vorgerichtliche Tätigkeit ist gemäß § 3 ZPO nach freiem Ermessen im Wege der Schätzung zu bestimmen.

73

cc) Danach hat der Kläger Anspruch auf Ersatz von vorgerichtlichen Rechtsanwaltsgebühren in Höhe von  887,03 EUR (1,3 Geschäftsgebühr von 725, 40 EUR, Pauschale Nr. 7002 VV von 20,00 €, MwSt 19% von 141,63 €).

74

II.

75

Die prozessualen Nebenentscheidungen beruhen auf §§ 91, 92, 709, 708 Nr. 11, 711 ZPO.

76

Der Streitwert wird auf 17.600,00 EUR festgesetzt.

77

Die Streitwertentscheidung beruht auf § 48 GKG i.V.m. §§ 3, 4, 5 ZPO.

78

Antrag zu 1): 3.000,00 EUR

79

Antrag zu 2): 2.000,00 EUR

80

Antrag zu 3): 2.600,00 EUR

81

Antrag zu 4): 5.000,00 EUR

82

Antrag zu 5): 5.000,00 EUR

83

Antrag zu 6): 0 EUR, § 4 ZPO