Landgericht Arnsberg, 4 O 172/22

Tatbestand:

Der Kläger macht Schadensersatz-, Unterlassungs- und Auskunftsansprüche wegen der Verletzung der Datenschutz-Grundverordnung (im Folgenden: DS-GVO) seitens der Beklagten aus und im Zusammenhang mit dem sogenannten, im April 2021 öffentlich bekannt gewordenen "Scraping-Vorfall" von I. geltend.

Der Kläger nutzt die von der Beklagten betriebene Social Media Plattform E., insbesondere um mit Freunden zu kommunizieren, zum Teilen privater Fotos und für Diskussionen mit anderen Nutzern. Die Dienste der Beklagten ermöglichen es den Nutzern, persönliche Profile für sich zu erstellen und diese mit Freunden zu teilen. Auf diesen persönlichen Profilen können die Nutzer Angaben zu verschiedenen Daten zu ihrer Person machen und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf ihre Daten zugreifen können. Wird ein Nutzerkonto eröffnet, werden zur Erstellung eines Nutzerprofils verschiedene Daten abgefragt. Der Kläger gab im Registrierungsprozess erforderlicherweise seinen Vor- und Nachnamen, sein Geschlecht und sein Geburtsdatum an. Dabei sind der angegebene Vor- und Nachname, eine von I. erstellte Benutzer-ID und das Geschlecht als „immer öffentliche Nutzerinformationen“ stets öffentlich auf dem eigenen Nutzerprofil zu finden. Zudem hatte der Kläger seine Handynummer hinterlegt. Der Veröffentlichung dieser Daten muss bei der Registrierung zugestimmt werden. Andere Daten, die dem Profil hinzugefügt werden können, sind dann von allen Profilbesuchern einzusehen, sofern dies die jeweiligen persönlichen Profileinstellungen („Zielgruppenauswahl“) vorsehen. Zudem regeln die sog. Suchbarkeitseinstellungen, wer das Profil des Nutzers etwa anhand der Telefonnummer finden kann.

Im Zeitraum von Januar 2018 bis September 2019 lasen und persistierten („Scraping“) Dritte Telefonnummer, I.-ID, Name, Vorname, Geschlecht und weitere korrelierende Daten - wobei streitig ist, ob hierzu auch Bundesland, Land, Stadt, Beziehungsstatus gehörten - über das sogenannte Contact-Import-Tool (CIT, im Folgenden: Kontaktimportfunktion) aus zum Teil öffentlich zugänglichen Daten bei I.. Die Beklagte geht davon aus, dass die Kontaktimportfunktion zur Bestimmung der Telefonnummern der einzelnen Benutzer genutzt wurde. Indem eine Vielzahl von Kontakten in ein virtuelles Adressbuch eingegeben wurde, gelang es nach Vermutung der Beklagten Unbekannten, die Telefonnummern konkreten I.-Profilen zuzuordnen. Um die Telefonnummer jeweils zu korrelieren, wurden vermutlich mit Hilfe der Kontaktimportfunktion fiktive oder aus anderen sog. „leaks“ bekannte Nummern erzeugt und geprüft und die zugehörigen I.-Nutzer wurden angezeigt. Auf dem Profil des Nutzers wurde dieser dann besucht und von dort wurden die Daten – teils vollständig öffentlich, teils benutzerdefiniert teil-öffentlich – gescrapt („abgeschöpft“).

Im April 2021 wurde durch die Medien öffentlich über den Scraping-Sachverhalt berichtet, wonach die gescrapten Datensätze von ca. 533 Millionen I.-Nutzern von Dritten in einer ungesicherten Datenbank veröffentlicht wurden.

Bei dem Anlegen eines I.-Profils wird der künftige Nutzer auf die Datenschutz- und Cookie-Richtlinien hingewiesen. Diese sind durch eine Verlinkung getrennt abrufbar. Nach der Anmeldung sind zunächst die Vor- bzw. Standardeinstellungen aktiv. Demnach können „alle“/„everyone“ sehen, welche Seiten der Nutzer abonniert oder mit wem er befreundet ist. Ebenso können „alle“ den neuen Nutzer über seine E-Mail-Adresse „finden“. Ebenso ist für alle Informationen, die ein Nutzer in sein Profil einträgt, standardmäßig „öffentlich“ als Voreinstellung ausgewählt. Der Nutzer kann diese Einstellungen individuell verändern und im Hilfebereich einlesen, wie I. insbesondere die Mobilfunknummer verwendet. Die Angabe der Mobilfunknummer ist nicht zwingend. Entscheidet sich ein Nutzer aber, diese anzugeben, kann er in den Suchfunktionen einstellen, in welchem Umfang er über diese gefunden werden will. Die Grundeinstellung lautet auch insoweit zunächst „alle“.

Nachdem sich die Beklagte des Scrapings gewahr geworden war, überarbeitete sie die Kontaktimportfunktion und führte die sogenannte People-You-May-Know-Funktion (PYMK-Funktion) ein. In Folge dieser Überarbeitung ordnete die Kontaktimportfunktion einen gefundenen I.-Nutzer nicht mehr dem Kontakt auf dem Telefon zu, sondern zeigte nach dem Import der Kontakte vom Mobiltelefon eine Liste mit Nutzern an, die der importierende Nutzer kennen könnte und somit eine Liste, die möglicherweise nur wenige oder gar keine der vom Nutzer hochgeladenen Kontakte enthält.

Mit vorgerichtlichem Schreiben der Klägerseite vom 16.06.2021 (Anlage K1, Bl. 53 d.A.) wurde die Beklagte zur Zahlung von 500,00 € Schadensersatz, zur Unterlassung zukünftiger Zugänglichmachung von Daten der Klägerseite an unbefugte Dritte und zur Auskunft darüber aufgefordert, welche konkreten Daten im April 2021 abgegriffen und veröffentlicht wurden. Die Beklagte erteilte daraufhin Auskunft dahingehend, dass die Telefonnummer, die Nutzer-ID, der Vorname, das Geschlecht und das Land mit den durch Scraping angerufenen Daten übereinstimmten. Wegen des konkreten Inhalts der Auskunft wird auf das Schreiben der Beklagten vom 01.09.2021 (Anlage B16, Bl. 258 d.A.) verwiesen.

Die irische Datenschutzbehörde DPC hat gegen die Beklagte am 28.11.2022 eine Geldbuße in Höhe von 265 Millionen € verhängt. Die DPC sieht einen Verstoß der Beklagten insbesondere gegen Art. 25 Abs. 1 und 2 DS-GVO. Die Entscheidung ist nicht rechtskräftig.

Der Kläger ist der Ansicht, die Beklagte habe eine Persönlichkeitsrechtsverletzung begangen und gegen die Datenschutzgrundverordnung verstoßen.

Er behauptet, die Telefonnummern der Benutzer hätten wegen einer Sicherheitslücke mit den restlichen Personendaten korreliert werden können. Die Beklagte habe keinerlei Sicherheitsmaßnahmen vorgehalten, um ein Ausnutzen der bereitgestellten Kontaktimportfunktion zu verhindern. So seien keine Sicherheitscapchas (Abkürzung für „Completely Automated Public Turin Test to tell Computers an Humans Apart“) verwendet worden, um sicherzustellen, dass es sich bei der Anfrage zur Synchronisierung um die Anfrage eines Menschen und nicht um eine automatisch generierte Anfrage handelt. Ebenso wenig sei ein Mechanismus zur Überprüfung der Plausibilität der Anfragen bereitgehalten worden Er behauptet ferner, die Einstellungen zur Sicherheit der Telefonnummer auf I. seien so undurchsichtig gestaltet, dass ein Nutzer keine sicheren Einstellungen erreichen könne.

Durch das Scraping sei ihm ein kausaler Schaden entstanden. Er habe einen erheblichen Kontrollverlust über seine Daten erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch der ihn betreffenden Daten, was sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen manifestiere. Im Übrigen ermögliche die Zuordnung von Telefonnummern zu weiteren Daten wie der E-Mail-Adresse oder Anschrift böswilligen Akteuren eine weite Bandbreite an Möglichkeiten wie zum Beispiel Identitätsdiebstahl, die Übernahme von Accounts oder gezielte Phishing-Nachrichten. Seit April 2021 erhalte der Kläger vermehrt dubiose Nachrichten und E-Mails.

Der Kläger beantragt,

1. die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

2. festzustellen, dass die Beklagte verpflichtet ist, ihm alle künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a) personenbezogene Daten des Klägers, namentlich Telefonnummer, E-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

b) die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der I.-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird.

4. die Beklagte zu verurteilen, dem Kläger Auskunft über ihn betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.

5. die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte ist der Ansicht, die Klage sei bereits teilweise unzulässig.

Verstöße gegen die DS-GVO seien ihr nicht anzulasten. Die Daten seien weder durch Hacking noch infolge eines Fehlers oder Sicherheitsverstoßes in ihrem System, sondern durch das automatisierte, massenhafte Sammeln von ohnehin öffentlich einsehbaren und damit nicht vertraulichen Daten erlangt und an anderer Stelle zugänglich gemacht worden. Die gesammelten Daten umfassten lediglich die immer öffentlichen Nutzerinformationen und diejenigen Daten, die entsprechend der jeweiligen „Zielgruppenauswahl“ öffentlich einsehbar seien. Sie behauptet, es sei Hauptzweck der Plattform, andere Nutzer zu finden und mit ihnen in Kontakt zu treten, woran sich auch die Standard-Voreinstellungen orientierten. Die Scraper hätten dementsprechend lediglich die diesem Zweck dienenden Funktionen ausgenutzt. Es sei grundsätzlich unmöglich, Scraping öffentlich einsehbarer Daten völlig zu verhindern. Sie habe ihren Nutzern alle Informationen zur Datenverarbeitung zur Verfügung gestellt und umfassend über die Möglichkeiten der Anpassung ihrer Einstellungen informiert. Schließlich meint die Beklagte, es fehle an einem immateriellen Schaden. Art. 82 DS-GVO umfasse keine Verstöße gegen Art. 13-15, 24, 25 DS-GVO. Zudem fehle es an einem Verstoß gegen Art. 82 DS-GVO. Ein kompensationsgeeigneter, messbarer Schaden sei auch nicht dargelegt. Mangels Verstoßes gegen die DS-GVO sei der (ohnehin unzulässige) Feststellungsantrag unbegründet. Der Unterlassungsanspruch scheitere an einer Erstbegehungs- und einer Wiederholungsgefahr. Anwaltskosten seien mangels Verzuges unbegründet.

Die Kammer hat mit Verfügung vom 08.11.2023 (Bl. 774 d.A.) Hinweise erteilt.

Mit Schriftsatz vom 21.11.2023 (Bl. 787 d.A.) hat der Kläger darum gebeten, die im vorbenannten Schriftsatz formulierten Vorfragen oder entsprechende durch das Gericht zu formulierenden Fragen an den Gerichtshof der Europäischen Union gemäß Artikel 267 über die Arbeitsweise der Europäischen Union (AEUV) zu richten. Der Kläger hat ferner beantragt, zugleich das Verfahren gemäß § 148 ZPO analog bis zu der Entscheidung des EuGH über die Vorfrage des vorliegenden Verfahrens auszusetzen, hilfsweise, das Verfahren gemäß § 148 ZPO analog bis zu der Entscheidung des EuGH in den dort anhängigen Verfahren C-189/22, C-741/21, C-687/21, C-667/21, C-340/21 und C-307/22 auszusetzen.

Die Kammer hat den Kläger in der mündlichen Verhandlung vom 07.12.2023 persönlich angehört. Bezüglich des Inhalts und des Ergebnisses der Anhörung wird auf das Protokoll der mündlichen Verhandlung vom 07.12.2023 (Bl. 1035 d.A.) verwiesen.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die gewechselten Schriftsätze der Parteien nebst Anlagen Bezug genommen.

Entscheidungsgründe:

Die Klage ist teilweise bereits unzulässig, im Übrigen ist sie unbegründet.

Die Klage ist teilweise unzulässig.

Das Landgericht O. ist zuständig.

1. Die internationale Zuständigkeit der deutschen Gerichte folgt vorliegend im zeitlichen Anwendungsbereich der DS-GVO (nach Art. 99 Abs. 2 DS-GVO ab dem 25.05.2018) aus Art. 79 Abs. 2 S. 1 DS-GVO in Verbindung mit Erwägungsgrund 22 DS-GVO sowie aus Art. 79 Abs. 2 S. 2 Hs. 1 DS-GVO, jeweils als unmittelbar geltendes Recht (Art. 288 Abs. 2 AEUV), und § 44 Abs. 1 S. 2 BDSG, da die Beklagte in Deutschland eine Niederlassung und der Kläger als betroffene Person im Sinne von Art. 4 Nr. 1 DS-GVO seinen gewöhnlichen Aufenthalt in Deutschland hat.

Die internationale Zuständigkeit der deutschen Gerichte folgt vorliegend vor dem zeitlichen Anwendungsbereich der DS-GVO aus Art. 7 Nr. 2, Art. 63 Abs. 1 lit. a, lit. c und Abs. 2 EuGVVO, da die Beklagte ihren satzungsgemäßen Sitz, jedenfalls ihre Hauptniederlassung in Irland hat, das schädigende Ereignis aus unerlaubter Handlung auch in Deutschland eingetreten ist und das vorgeworfene Verhalten auch nicht - Vorrang begründend - als Verstoß gegen die vertraglichen Verpflichtungen angesehen werden kann, wie sie sich anhand des Vertragsgegenstands ermitteln lassen (OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 45 f.).

Die internationale Zuständigkeit folgt zudem aus Art. 26 Abs. 1 EuGVVO, da die Beklagte sich rügelos eingelassen hat.

2. Die sachliche Zuständigkeit folgt aus § 39 S. 1 ZPO. Nach dieser Vorschrift wird die Zuständigkeit eines Gerichts des ersten Rechtszuges dadurch begründet, dass der Beklagte, ohne die Unzuständigkeit geltend zu machen, zur Hauptsache mündlich verhandelt. Die Beklagte hat sich mit dem Stellen ihres Antrags in der mündlichen Verhandlung (§ 137 Abs. 1 ZPO) rügelos zur Hauptsache eingelassen.

3. Die örtliche Zuständigkeit folgt aus Art. 7 Nr. 2 EuGVVO, wonach bei einer unerlaubten Handlung das Gericht des Ortes zuständig ist, an dem das schädigende Ereignis eingetreten ist. Die örtliche Zuständigkeit folgt ferner aus Art. 18 Abs. 1 2. Alt. EuGVVO. Danach kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Das Landgericht ist unabhängig davon nach Art. 79 Abs. 2 S. 2 DS-GVO, § 44 Abs. 1 S. 2 BDSG örtlich zuständig (besonderer Gerichtsstand). Der Kläger hat seinen Wohnsitz in O. und damit im Bezirk des angerufenen Gerichts, §§ 12, 13 ZPO.

II.

Der Klageantrag zu 1) ist zulässig.

Insbesondere ist er hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO.

Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Ein Verstoß gegen den in § 253 Abs. 2 Nr. 2 ZPO normierten Bestimmtheitsgrundsatz liegt dann nicht vor, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 ZPO oder vom billigen Ermessen des Gerichts abhängig ist. Die nötige Bestimmtheit soll hier dadurch erreicht werden, dass der Kläger in der Klagebegründung die Berechnungs- bzw. Schätzgrundlagen umfassend darzulegen und die Größenordnung seiner Vorstellungen anzugeben hat (vgl. Zöller/Greger, ZPO, 34. Aufl. 2024, § 253 Rn. 14). Diese Voraussetzungen liegen hier vor. Der Kläger hat im Klageantrag und in der Klagebegründung einen Mindestbetrag von 1.000,00 € angegeben.

Der Klageantrag zu 1) ist auch nicht im Hinblick auf den Streitgegenstand zu unbestimmt, da auch insoweit die Klagebegründung herangezogen werden kann (vgl. Zöller/ Greger, 34. Aufl. 2024, § 253 Rn. 13).

Soweit der Kläger sein Entschädigungsbegehren auf Verstöße gegen die DS-GVO vor und nach dem Scraping-Vorfall stützt, kann dahinstehen, ob es sich - in Anbetracht der einschlägigen Rechtsprechung zum Streitgegenstandsbegriff - nicht ohnehin nur um einen einheitlichen Streitgegenstand handelt und zwar deshalb, weil der Kläger objektiv betrachtet erkennbar von einem einheitlichen durch das Scraping und die Veröffentlichung des Leak-Datensatzes verursachten immateriellen Schaden ausgeht, der durch die nach seiner Ansicht bereits vor dem Scraping-Vorfall begangenen Verstöße gegen die DS-GVO eingetreten und durch die Verstöße gegen die DS-GVO im Nachgang zum Scraping-Vorfall vertieft worden sein soll und keinen eigenständigen Schaden darstelle. Teilt man diese Auffassung nicht, so liegt jedenfalls eine im Hinblick auf § 260 ZPO zulässige Kumulation von Klagegründen / Streitgegenständen vor.

Es besteht im Hinblick auf die Grenze der Rechtshängigkeit und der Rechtskraft keinerlei Zweifel daran, dass sämtliche auf Grund des Scraping-Vorfalls gerügten Datenschutzverstöße und Persönlichkeitsverletzungen des Klägers und der dadurch bis zum Schluss der letzten mündlichen Verhandlung entstandene immaterielle (Gesamt-)Schaden umfassend und abschließend - also auch nicht etwa als verdeckte Teilklage - rechtshängig geworden sind und abschließend einer rechtskräftigen Entscheidung zugeführt werden sollen (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 51 f.).

III.

Die mit dem Klageantrag zu 2) verfolgte Feststellungsklage ist unzulässig.

Es fehlt an dem notwendigen Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO. Bei Schäden, die aus der behaupteten Verletzung des allgemeinen Persönlichkeitsrechts, also eines sonstigen absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB, resultieren, reicht bereits die Möglichkeit materieller oder weiterer immaterieller Schäden für die Annahme eines Feststellungsinteresses aus. Ein Feststellungsinteresse ist also nur zu verneinen, wenn aus der Sicht des Geschädigten

bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines derartigen

Schadens wenigstens zu rechnen (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 205 ff.). Gemessen daran ist hier die Möglichkeit eines Schadenseintritts, entsprechend dem insoweit ohne konkrete Reaktion gebliebenen Hinweis vom 08.11.2023 durch den Kläger nicht hinreichend dargelegt.

Der Vortrag des Klägers, es könne zum jetzigen Zeitpunkt noch nicht abgesehen werden, welche Dritte Zugriff auf seine Daten erhalten hätten und für welche konkreten kriminellen Zwecke die Daten missbraucht würden, genügt ersichtlich nicht. Mangels jedweder konkreter Anhaltspunkte dafür, dass dem Kläger bis heute aufgrund des unbefugten Zugriffs Dritter auf das Datenarchiv der Beklagten ein kausaler materieller Schaden entstanden ist, ist davon auszugehen, dass mit dem Eintritt eines solchen nicht zu rechnen ist. Es ist im Hinblick auf die Kenntnis des Klägers von drohenden Phishing-Anrufen und -Nachrichten auch nicht mit dem Eintritt eines Schadens zu rechnen, da der Kläger nach seinen eigenen Angaben hinreichend alarmiert ist. Der von dem Kläger beschriebene Schaden ist rein theoretischer Natur und begründet kein Feststellungsinteresse.

IV.

Die mit dem Klageantrag zu 3a) verfolgte Unterlassungsklage, bei der es sich tatsächlich um eine verdeckte Leistungsklage handelt, ist unzulässig.

1. Der Klageantrag zu 3a) enthält mit der geforderten Androhung nach § 890 Abs. 2

ZPO ein unzulässiges Antragsbegehren, worauf die Kammer unter dem 08.11.2023 bereits hingewiesen hat.

Vorliegend fordert der Kläger mit dem Klageantrag zu 3a) im Schwerpunkt ein aktives Tun, das nicht nach § 890 ZPO, sondern als vertretbare Handlung nach § 887 ZPO zu vollstrecken ist - nämlich zukünftig Kontaktimportfunktionen nur im Einklang mit den einzuhaltenden Sicherheitsvorkehrungen "freizuschalten", um Zugriffe unbefugter Dritter nach Möglichkeit von vorneherein zu verhindern - so wie es die DS-GVO verlangt (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 222).

2. Der Klageantrag ist aber auch im Übrigen im Hinblick auf § 259 ZPO insgesamt unzulässig, worauf die Kammer unter dem 08.11.2023 ebenfalls hingewiesen hat.

Da der Antrag tatsächlich auf ein zukünftiges aktives Tun gerichtet ist, ist er an § 259

ZPO zu messen, dessen Voraussetzung der Besorgnis nicht rechtzeitiger Leistung nicht gegeben ist.

Der Kläger hat einen gesetzlichen Anspruch gegen die Beklagte aus Art. 25 Abs. 1 und Art. 32 DS-GVO auf Wahrung der Sicherheitsanforderungen. Dieser ist aber nach seinem Vortrag erfüllt. Er ist auch tatsächlich allein deshalb erfüllt, weil die Such- und Kontaktimportfunktion überarbeitet wurde und es nur noch die "People-You-May-Know"-Funktion gibt. Es ist seitdem nicht wieder zu einem Vorfall gekommen. Die Beklagte hat innerhalb ihres subjektiven Beurteilungsspielraums zur Umsetzung der Schutzmaßnahmen ein hohes Eigeninteresse daran, die gesetzlichen Vorgaben auch zukünftig zu erfüllen. Sie hat nie - und schon gar nicht ernsthaft - geltend gemacht, sie brauche nicht zu leisten oder sie wolle den gegen sie erhobenen, gesetzlichen Anspruch nicht erfüllen (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 - juris, Rn. 224 ff.).

Ob und wann eine Umdeutung der Leistungsklage in eine Feststellungsklage nach

§ 256 Abs. 1 ZPO in Betracht kommt, kann hier offenbleiben, weil für eine Feststellungsklage jedenfalls kein Rechtsschutzinteresse besteht. Die Beklagte ist ohnehin an die gesetzlichen Vorgaben der Art. 25 Abs. 1 und Art. 32 DS-GVO gebunden, was nicht weiter festgestellt werden muss, zumal eine Vollstreckung aus einem entsprechenden Feststellungsurteil nicht möglich ist.

3. Der Klageantrag zu 3a) ist auch zu unbestimmt (§ 253 Abs. 2 Nr. 2 ZPO), da die verdeckte Leistungsklage keinerlei Konkretisierung des verlangten Tuns für den vermeintlich drohenden Fall der Erstbegehung im Hinblick auf die derzeit nur bestehende "People-You-May-Know"- Funktion - auch unter Berücksichtigung des subjektiven Beurteilungsspielraums der Beklagten zur Umsetzung der Schutzmaßnahmen benennt (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 229 ff.).

4. Im Übrigen fehlt ohnehin das Rechtsschutzbedürfnis für die Klage.

Ein Rechtsschutzbedürfnis des Klägers ist insoweit abzulehnen, als dass der Kläger

das Unterlassen der Zugänglichmachung fordert hinsichtlich "Telefonnummer, I.-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus", obwohl er nicht vorgetragen hat, diese Daten sämtlich, insbesondere Bundesland, Stadt und Beziehungsstatus, gegenüber der Beklagten angegeben zu haben. Das Rechtsschutzbedürfnis fehlt ebenfalls mit Blick auf die "immer öffentlichen" Nutzerdaten (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 232 ff.).

Die mit dem Klageantrag zu 3b) verfolgte Unterlassungsklage ist unzulässig.

1. Soweit der Antrag tatsächlich als Unterlassungsantrag dahin, die fortgesetzte Verarbeitung ohne informierte Einwilligung zu unterlassen, zu interpretieren wäre, ist die Klage bereits wegen fehlenden Rechtsschutzbedürfnisses unzulässig.

Der Kläger war jedenfalls über die ihm zurechenbare Kenntnis seiner Prozessbevollmächtigten bereits seit der Mandatierung oder spätestens seit Zugang des Auskunftsschreibens der Beklagten vom 09.09.2021 über die Sichtbarkeit- und Suchbarkeitsfunktion informiert (oder hätte von seinen Prozessbevollmächtigten informiert werden müssen). Somit hätte er die Suchbarkeit bereits zu diesem Zeitpunkt tatsächlich umstellen können. Soweit er gleichwohl die Funktion seiner Suchbarkeit trotz ausreichender Information mangels Änderung der Suchbarkeitseinstellung "alle" weitergenutzt haben sollte, hat er objektiv betrachtet aktiv unter Berücksichtigung von Erwägungsgrund 62 Satz 1 Var. 1 DS-GVO bereits vor Klageerhebung eine Einwilligung erteilt (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 236 f.).

2. Soweit der Antrag tatsächlich erneut als Antrag auf zukünftige Leistung gerichtet ist, weil eine Wiederholung befürchtet wird und die Allgemeinheit geschützt werden soll, ist die Klage ebenfalls unzulässig.

Zunächst liegt nach dem Schwerpunkt des Rechtsschutzbegehrens in der Sache erneut kein Unterlassen, das nach § 890 Abs. 2 ZPO vollstreckt werden könnte, sondern eine Leistungsklage, gerichtet auf ein aktives Tun, vor (siehe schon oben zum Antrag zu 3a). Denn die Klage ist auf ein aktives Tun gerichtet, zukünftig die Mobilfunktelefonnummer nur nach Maßgabe einer infolge ausreichender Information wirksam erteilten Einwilligung im Rahmen einer Suchfunktion zu verarbeiten.

Diese verdeckte Leistungsklage wahrt auch nicht die Grenzen des § 259 ZPO. Auch

insoweit gilt, dass wegen der endgültigen Abschaffung der Such- / Kontaktimportfunktionen und mangels anderer Anhaltspunkte keine Besorgnis der Leistungsverweigerung mehr besteht (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 238 f.)

VI.

Die mit dem Klageantrag zu 4) verfolgte Leistungsklage auf Auskunftserteilung ist zulässig.

Die Klage ist im Übrigen unbegründet.

Der Klageantrag zu 1) ist unbegründet, da der Kläger keinen Anspruch auf immateriellen Schadensersatz (in geltend gemachter Höhe von mindestens 1.000,00 €) als Ausgleich für angebliche Datenschutzverstöße und die angebliche Ermöglichung der unbefugten Ermittlung der Telefonnummer sowie weiterer personenbezogener Daten des Klägers hat.

Insbesondere ergibt sich ein Anspruch nicht aus Art. 82 Abs. 1 DS-GVO (in Verbindung mit Art. 288 Abs. 2 AEUV).

Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

1. Es fehlt es an einem ersatzfähigen Schaden des Klägers im Sinne des Art. 82 Abs. 1 DS-GVO. Ein solcher ist bereits nicht schlüssig dargelegt, jedenfalls aber auch nicht bewiesen.

Es oblag dem Kläger, einen über die vermeintlichen Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Der von dem Kläger ins Feld geführte „erhebliche Kontrollverlust“ rechtfertigt als solcher noch keine Entschädigungsverpflichtung. Es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten Schadens. Ein bestimmter Grad an Erheblichkeit muss hierbei nicht erreicht werden (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 151 ff.).

In den Erwägungsgründen Nr. 75 und 85 werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund Nr. 146 S. 6), also „spürbar“, objektiv nachvollziehbar und von gewissem Gewicht sein, um bloße Unannehmlichkeiten auszuschließen.

Der nicht näher konkretisierte Klagevortrag dazu, der Kläger habe einen erheblichen Kontrollverlust erlitten und befinde sich in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten, reicht zur Darlegung persönlich belastender Folgen der Datenschutzverletzung nicht aus, weil hiermit nicht genug Beweisanzeichen objektiver Art vorgetragen sind, in denen sich solche Gefühle widerspiegeln, und zwar bezogen auf den konkreten Einzelfall.

Es fehlt jeglicher konkret-individuelle Vortrag dazu, wann, wie häufig und auf welchem Weg der Kläger konkret von Missbrauchsversuchen betroffen war und vor allem wie er darauf jeweils reagiert hat oder wie er unabhängig von diesen Versuchen allein durch die Veröffentlichung des Leak-Datensatzes betroffen war (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 167 f.).

Insbesondere hat sich der Kläger wegen des Kontrollverlustes bis heute nicht gehalten gesehen, sein I.-Konto zu löschen oder seine Mobilfunktelefonnummer zu wechseln. Dazu, wie er auf die Entdeckung des Scraping-Vorfalls im April 2021 reagiert hat, also ob er die Plattform nicht mehr nutzt oder seine Profileinstellungen geändert hat, trägt der Kläger nicht vor. Insoweit ist die Angabe, Furcht vor einem Kontrollverlust über seine Daten zu haben, nicht plausibel.

Demnach lässt sich mangels Darlegung der konkreten Missbrauchsfolgen gerade nicht einzelfallbezogen beurteilen, ob nach der Lebenserfahrung eine durchschnittlich im Datenschutz sensibilisierte Person solch negative Gefühle entwickeln würde, die nach klägerischer Behauptung über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 170).

Obwohl bereits die Gegenseite mehrfach und schon seit der Klageerwiderung die fehlende Individualisierung gerügt und darauf hingewiesen hat, dass der Klagevortrag in allen von den klägerischen Prozessbevollmächtigten geführten Rechtsstreiten nahezu wortgleich sei, hat der Kläger nicht ergänzend vorgetragen.

2. Darüber hinaus fehlt es vorliegend auch an der erforderlichen Kausalität zwischen Verarbeitungsverstoß und vermeintlich immateriellem Schaden.

Bei der Kausalität zwischen der Datenverarbeitung unter Verstoß gegen die DS-GVO und einem (unterstellten) Schaden in Form persönlicher / psychologischer Beeinträchtigungen durch den Kontrollverlust geht es entscheidend darum, ob die persönlichen / psychischen Folgen, die bei dem Kläger eingetreten sind, auf die (unterstellten) Datenschutzverstöße der Beklagten zurückzuführen sind, und zwar entweder mittelbar durch die negative Folge eines Kontrollverlustes oder erst weiter mittelbar durch verdächtige Kontaktversuche etc. (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 189 f.).

Auch insoweit trifft den Kläger die volle Darlegungs- und Beweislast (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 18/23 - juris, Rn. 196).

Der klägerische Vortrag reicht für die Annahme einer Mitursächlichkeit der Datenschutzverstöße für die (hier unterstellten) persönlichen / psychischen Beeinträchtigungen bereits nicht aus.

Mit Blick auf den Kontrollverlust als solchen hätte es einer konkreten Darlegung bedurft, dass bzw. warum der Kläger welche Beeinträchtigungen hierdurch entwickelt hat. Insoweit geht es im Wesentlichen erneut um innere Vorgänge - mit der Folge, dass Beweisanzeichen objektiver Art darzulegen sind. Ein solches Beweisanzeichen könnte z. B. sein, dass der I.-Account gelöscht wurde oder zumindest Such- und Sichtbarkeit auf die "immer öffentlichen" Daten beschränkt wurden, um jeglichem weiteren schädigenden Kontrollverlust vorzubeugen (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 199). Hierzu trägt der Kläger nicht vor.

Mit Blick darauf, dass der Kontrollverlust zunächst ursächlich für die verdächtigen Kontaktaufnahmen etc. gewesen sein muss, fehlt jeglicher Umstand, der hierfür spräche, denn es ist allgemein bekannt, dass auch auf anderer Weise beschaffte Telefonnummern hierfür verwendet werden. Es ist insoweit weder konkret dargetan noch sonst ersichtlich, dass die Kontaktaufnahmen erstmals oder gehäuft nach dem Kontrollverlust auftraten. Es ist auch völlig unbekannt, ob und welche Daten der Kläger an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu diesem – zu Gunsten des Klägers als wahr unterstellten vermehrten unerwünschten SMS und Anruf-Aufkommens – geführt hat.

II.

Der Klageantrag zu 4) ist unbegründet, da der Auskunftsanspruch bereits erfüllt ist.

100

1. Nach Art. 15 Abs. 1 DS-GVO kann Auskunft über die erfolgten Abfragen personenbezogener Daten einschließlich Identität der Abrufenden, Zeitpunkt und Zwecke der Abrufe verlangt werden (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 244 ff.).

101

Dieses Auskunftsbegehren hat die Beklagte mit dem Auskunftsschreiben vom 09.09.2021 erfüllt.

102

Dieses enthält insbesondere eine Auflistung, dass bestimmte Datenpunkte (Nutzer-ID, Vorname, Geschlecht und ggf. Land) und die Telefonnummer abgerufen bzw. verknüpft wurden, eine Erläuterung des Datenabrufs über die immer öffentlichen Daten, das I.-Profil und die Kontaktimportfunktion, die zeitliche Angabe "zu einem Zeitpunkt vor September 2019" und den Hinweis auf das Handeln mehrerer Scraper, nicht eines Scrapers mit Blick auf die Frage nach der konkreten Person.

103

Durch die erteilten Auskünfte zum Ablauf des Scrapings und zum, wenn auch nur groben Zeitraum war und ist der Kläger problemlos in der Lage, sich seiner Betroffenheit bzw. deren Umfangs bewusst zu werden und die Unrechtmäßigkeit des Scrapings zu beurteilen. Der Auskunftsanspruch ist insoweit ausreichend erfüllt (vgl. OLG Hamm, Urt. v. 15.08.2023 – I 7 U 19/23 – juris, Rn. 251 ff.).

104

2. Aus den vorgenannten Gründen steht dem Kläger auch kein (weiterer) Auskunftsanspruch gegen die Beklagte zu.

105

III.

106

Der Klageantrag zu 5) ist unbegründet. Mangels Anspruchs in der Hauptsache besteht auch kein Anspruch auf Freistellung von außergerichtlichen Rechtsanwaltskosten gemäß § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO.

107

IV.

108

Die Zinsforderungen folgen ebenfalls dem Schicksal der Hauptforderungen.

109

110

Die Nebenentscheidungen beruhen auf §§ 91 Abs. 1 S. 1, 708 Nr. 11, 711 ZPO.

111

112

Die Durchführung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV zur Klärung einer der geprüften und festgestellten Gesichtspunkte ist nicht geboten. Jedenfalls soweit entscheidungserheblich, ist die Auslegung der maßgeblichen unionsrechtlichen Begriffe durch die – insbesondere jüngste – Rechtsprechung des Gerichtshofs eindeutig geklärt, „acte éclairé“, oder von vornherein eindeutig, „acte clair“ (vgl. EuGH Urt. v. 6.10.1982 – C-283/81, NJW 1983, 1257, 1258; BVerfG Beschl. v. 28.8.2014 – 2 BvR 2639/09, NVwZ 2015, 52 Rn. 35).

113

Es besteht daher keine Vorlagepflicht der Kammer. Mit seinem grundlegenden Urteil vom 15.08.2023 hat das Oberlandesgericht Hamm – die Kammer schließt sich diesem an - nicht nur erkannt, dass hier wie da Fragen des Unionsrechts betroffen sind, sondern sich auch ausdrücklich mit der Vorlagepflicht auseinandergesetzt (OLG Hamm, Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505).

114

Es muss auch – entgegen dem Ansatz des Klägers – nicht der Ausgang der bereits beim Gerichtshof anhängigen Verfahren C-189/22, C-741/21, C-687/21, C-667/21, C-340/21 und C-307/22 abgewartet werden. Sie betreffen teils ganz andere Fragen (Bemessung des Schmerzensgeldes, die hier gar nicht in Frage steht), sind bereits durch andere Rechtsprechung des Gerichtshofs (zwischenzeitlich) – wie im grundlegenden Urteil des Oberlandesgerichts Hamm vom 15.08.2023 aufgezeigt – teilweise beantwortet oder im Übrigen für den vorliegenden Fall nicht entscheidungserheblich.