Landgericht Bielefeld, 19 O 147/22

Tatbestand:

Zwischen den Parteien stehen Ansprüche aufgrund behaupteter Datenschutzverstöße im Streit.

Der Kläger nutzt die von der Beklagten betriebene Social Media Plattform www.X..com. Die Dienste der Beklagten ermöglichen es den Nutzern, persönliche Profile für sich zu erstellen und diese mit Freunden zu teilen. Die Nutzer können auf den persönlichen Profilen Angaben zu verschiedenen Daten zu ihrer Person machen und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf ihre Daten zugreifen können.

Bei dem Anlegen eines X.-Profils muss der künftige Nutzer Datenschutz- und Cookie-Richtlinien zustimmen. Dabei sind der angegebene Vor- und Nachname, eine von X. erstellte Benutzer-ID und das Geschlecht als „immer öffentliche Nutzerinformationen“ stets öffentlich auf dem eigenen Nutzerprofil zu finden. Der Nutzer kann die weiteren Einstellungen individuell verändern und im Hilfebereich einlesen, wie X. insbesondere die Mobilfunknummer verwendet. Die Angabe der Mobilfunknummer ist nicht zwingend. Entscheidet sich ein Nutzer aber diese anzugeben, kann er in den Suchfunktionen einstellen, in welchem Umfang er über diese gefunden werden will. Die Grundeinstellung lautet, wie auch sonst, zunächst „alle“.

Auch der Kläger gab seine Mobilfunknummer an. Nach der Zielgruppenauswahl war die Handynummer auf dem Profil des Klägers nicht zu sehen. Nach den Suchbarkeitseinstellungen war die Suche nach dem klägerischen Profil mittels dessen Mobilfunknummer jedoch aktiviert.

Anfang April 2021 sind Daten von X.-Nutzern im Internet öffentlich verbreitet worden, nachdem Dritte diese 2019 gesammelt („gescraped“) hatten. Bei den Datensätzen handelt es sich um Mobilfunknummer, X.ID, Name, Vorname, Geschlecht und mitunter weitere Daten. Die öffentlichen Daten auf der X.seite wurden „ausgelesen“. Die Scraper erstellten dann Listen verschiedener potenzieller Mobilfunknummern und luden diese mittels der Kontakt-Importer-Funktion hoch, wodurch diese mit den weiteren Daten verknüpft werden konnte. Insoweit wurden auch den Kläger betreffende Daten abgeschöpft und im Internet veröffentlicht.

Mit außergerichtlicher E-Mail vom 22.10.2021 wurde die Beklagte vergeblich zur Zahlung von 500,- € und Unterlassung künftiger Zugänglichmachung der Daten des Klägers sowie Erteilung einer Auskunft, welche konkreten Daten im April 2021 abgegriffen und veröffentlicht wurden, bis zum 22.11.2021 aufgefordert (Anlage K1, Bl. 53 d.A.).

Der Kläger ist der Ansicht, die Beklagte verstoße gegen die DSGVO.

Der Kläger behauptet dazu, sämtliche seiner Daten auf „privat“ gestellt zu haben. Zur Sichtbarkeit seiner Mobilfunknummer habe er die Einstellung „nur ich“ gewählt. Es sei Unbekannten trotz dessen gelungen, die Mobilfunknummern konkreten X.-Profilen zuzuordnen, ohne dass in den entsprechenden Profilen die hinterlegten Telefonnummern öffentlich freigegeben worden seien. Das „scrapen“ sei nur möglich gewesen, weil die Beklagte keinerlei Sicherheitsmaßnahmen vorgehalten habe und weil die Einstellungen zur Sicherheit der Mobilfunknummer auf X. so undurchsichtig und kompliziert gestaltet seien. Dies gelte auch für die Datenschutzeinstellungen der Beklagten insgesamt.

Er werde bis heute wiederholt ungewollt von Unbekannten via SMS und Mail kontaktiert. Der Vorfall habe zu einem Gefühl des Kontrollverlustes, des Beobachtetwerdens und der Hilfslosigkeit geführt.

Soweit vorgerichtlich Auskünfte über abgegriffene Daten mitgeteilt worden seien, sei diese Auskunft ungenügend. Das Antwortschreiben der Beklagten enthalte lediglich allgemein gehaltene Informationen zu den auf X. verarbeiteten Daten sowie einen Link zur Seite der Beklagten, auf der die über einen individuellen Nutzer gespeicherten Daten eingesehen werden können.

Der Kläger beantragt,

1. die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

2. festzustellen, dass die Beklagte verpflichtet ist, ihm alle künftigen Schäden zu ersetzen, die ihm - dem Kläger - durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a. personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, X.ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

b. seine Telefonnummer auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Contactimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der X.-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird,

4. die Beklagte zu verurteilen, ihm Auskunft über seine ihn betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.

5. die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 713,76 EUR € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte ist der Ansicht, dass kein Datenschutzverstoß vorliegen würde.

Es seien lediglich öffentlich einsehbare Daten durch Dritte in Form des Scrapings abgerufen worden. Die Daten seien weder durch Hacking noch infolge eines Fehlers oder Sicherheitsverstoßes im System der Beklagten, sondern durch das automatisierte, massenhafte Sammeln von ohnehin öffentlich einsehbaren und damit nicht vertraulichen Daten erlangt und an anderer Stelle zugänglich gemacht worden. Die gesammelten Daten umfassten lediglich die immer öffentlichen Nutzerinformationen und diejenigen Daten, die entsprechend der jeweiligen „Zielgruppenauswahl“ öffentlich einsehbar seien. Bundesland, Geburtsort und „weitere korrelierende Daten“ seien nicht durch „Scraping“ erlangt, da diese schon nicht den Profilfeldern auf der Plattform entsprächen. Land und Telefonnummer seien durch die Telefonnummernaufzählung bereitgestellt worden.

Die Beklagte behauptet, dass es Hauptzweck der Plattform sei, andere Nutzer zu finden und mit diesen in Kontakt zu treten, woran sich auch die Standard-Voreinstellungen orientierten. Die „Scraper“ hätten dementsprechend lediglich die diesem Zweck dienenden Funktionen ausgenutzt. Es sei daher grundsätzlich unmöglich, Scraping öffentlich einsehbarer Daten völlig zu verhindern, ohne den Zweck der Plattform durch Beseitigung der Funktionen zu unterlaufen. Das Mögliche werde jedoch zur Verhinderung getan.

Sie stelle allen Nutzern, inklusive dem Kläger, alle in Art. 13 und 14 DSGVO festgelegten Informationen zur Datenverarbeitung zur Verfügung. Es habe zudem eine umfassende und transparente Information über die Möglichkeit der Anpassung ihrer Suchbarkeits-Einstellungen und Zielgruppenauswahl gegeben, woraus sich nachvollziehbar ergebe, wer bestimmte persönliche Informationen, die der Nutzer in seinem X.-Profil hinterlegt habe, einsehen könne. Diese Einstellungen habe der Kläger jederzeit anpassen können. Der Kläger habe seit der Anmeldung die Suchbarkeitseinstellungen unter Verweis auf einen Screenshot auf „öffentlich“ belassen, obwohl es hinreichende Hinweise und Erläuterungen gäbe, welche Einstellungen wo und in welchem Umfang möglich seien.

Die Beklagte ist der Ansicht, nicht gegen Art. 24, 32 DSGVO verstoßen zu haben, sondern vielmehr angemessene technische und organisatorische Maßnahmen ergriffen zu haben, das Risiko von Scraping zu unterbinden und Maßnahmen zur Bekämpfung von Scraping zu ergreifen.

Schließlich fehle es an einem immateriellen Schaden. Selbst bei einem angenommenen vorübergehenden Kontrollverlust über personenbezogene Daten des Klägers wäre dies nicht ihr zuzurechnen, weil der Vorgang den Privatsphäre-Einstellungen des Klägers entsprochen habe. Eine schlüssige Darlegung der Kausalität sei ebenfalls nicht gegeben.

Das Gericht hat in der mündlichen Verhandlung vom 17.02.2023 den Kläger persönlich angehört. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien und ihren Prozessbevollmächtigten gewechselten Schriftsätze nebst Anlagen und auf das Protokoll der mündlichen Verhandlung vom 17.02.2023 Bezug genommen.

Entscheidungsgründe:

Die zulässige Klage ist unbegründet.

Die Klage ist zulässig.

Der Zulässigkeit der Klage steht nicht die Unbestimmtheit des Klageantrags zu 1) (§ 253 Abs. 2 ZPO) entgegen. Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags zulässig. Soweit die Beklagte eingewendet hat, der Kläger mache einen einzigen immateriellen Schadensersatz aufgrund verschiedener behaupteter Verstöße gegen die DSGVO und verschiedener Schäden geltend, trägt dies nicht die Unbestimmtheit; ebenso sind auch die Klageanträge zu 2) und 3) hinreichend bestimmt (LG Bielefeld Urt. v. 19.12.2022 – 8 O 182/22, GRUR-RS 2022, 38375, Rn. 16 ff.; LG Halle Urt. v. 28.12.2022 – 6 O 195/22, BeckRS 2022, 42233, Rn. 14; LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818 Rn. 37 ff.).

II.

Es bedarf zudem keiner Entscheidung, ob der Kläger das nach § 256 Abs. 1 ZPO erforderliche Feststellungsinteresse schlüssig behauptet hat. Denn dieses ist nur für ein stattgebendes Urteil echte Prozessvoraussetzung. Wenn die Klage - wie vorliegend - hingegen unbegründet ist, kann sie unabhängig von einem bestehenden Feststellungsinteresse aus sachlichen Gründen abgewiesen werden (LG Bielefeld Urt. v. 19.12.2022 – 8 O 182/22, GRUR-RS 2022, 38375 Rn. 20).

Die Klage ist unbegründet.

Der Kläger hat keinen Anspruch auf immateriellen Schadenersatz. Ein Anspruch gegen die Beklagte ergibt sich weder aus Art. 82 DSGVO noch aus sonstigen Vorschriften.

Es fehlt zunächst an einer schadenersatzauslösenden Pflichtverletzung der Beklagten.

Auch bei Informationspflichten bedarf es der Rücksichtname auf den Grundsatz des Art. 5 Abs. 1 DSGVO. Demnach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Dieser Grundsatz der Transparenz überträgt sich dann in die Informations- und Aufklärungspflicht nach Art. 13 DSGVO. Die Aufklärung über die Zwecke der Verarbeitung muss insbesondere für den Nutzer klar verständlich und nachvollziehbar sein. Dies ist vorliegend der Fall. Insoweit verfängt der Kläger nicht mit dem Argument, dass die Vielzahl der Einstellungsmöglichkeiten dazu führe, dass ein Nutzer es im Zweifel bei den Voreinstellungen belasse. Die internetspezifischen Gepflogenheiten und gerade die DSGVO verlangen vielfältige Einstellungsmöglichkeiten, damit der jeweilige Nutzer die Einstellungen entsprechend seiner spezifischen Bedürfnisse individuell vornehmen kann. Zu berücksichtigen ist auch, dass die Nutzung der Plattform als solche freiwillig ist. Die Preisgabe der Mobilfunknummer ist selbst für die Nutzung der Plattform nicht erforderlich und erfolgt freiwillig. Die Reichweite des Schutzes der DSGVO ist dabei aber im Lichte der jeweiligen konkreten Nutzung zu sehen. Mithin ist vorliegend zu berücksichtigen, dass es sich bei X. um ein soziales Netzwerk handelt, das auf Kommunikation, Finden von Personen und Teilen von Informationen angelegt ist. In diesem Lichte sind dann die von der Beklagten gewählten Voreinstellungen nicht zu beanstanden, da der jeweilige Nutzer umfassend und verständlich über Änderungsmöglichkeiten informiert wird (LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818 Rn. 50 ff.; LG Halle Urt. v. 28.12.2022 – 6 O 195/22, BeckRS 2022, 42233 Rn. 18). Insoweit hat auch die persönliche Anhörung des Klägers in der mündlichen Verhandlung vom 17.02.2023 ergeben, dass dieser zwar seine „Zielgruppenauswahl“ etwa durch Einstellung, dass die Telefonnummer nur ihm selbst angezeigt werde, begrenzt haben mag, die Funktion „Suchbarkeits-Einstellungen“ aber unverändert gelassen hat und ihm so generell bewusst war, dass Einstellungsoptionen bestehen.

Es wurde seitens der Beklagten über die Nutzungs- und Findungsmöglichkeiten aufgeklärt. Insbesondere wird deutlich, dass man das Profil eines Nutzers über die Mobilfunknummer als solches finden kann, wenn man - wie der Kläger - die Suchbarkeitsfunktion über die Mobilfunknummer überhaupt und überdies für jedermann eröffnet. Dieses Auffinden an sich ist der für den Nutzer relevante Punkt. Auf das von der Beklagten verwendete Contact-Import-Tool (kurz: CIT) kommt es im Rahmen der Aufklärung nicht entscheidend an (anders LG Paderborn Urt. v. 13.12.2022 – 2 O 212/22, GRUR-RS 2022, 41028, Rn. 54). Dies insbesondere vor dem Hintergrund, dass die Seite X..com - wie ausgeführt - dem Finden und dem Austausch von Informationen in Form eines sozialen Netzwerkes dient. Dann aber ist es auch im Lichte der internetspezifischen Gepflogenheiten umso wichtiger, dass der Nutzer sich sorgfältig mit den Hinweisen auseinandersetzt, um für sich eine Entscheidung zu treffen, ob und welche Informationen er in welchem Umfang freigibt und wie weitgehend er die Kommunikationsplattform der Beklagten nutzen will (LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818 Rn. 50 ff.; LG Halle Urt. v. 28.12.2022 – 6 O 195/22, BeckRS 2022, 42233 Rn. 18).

Ebenso wenig hat die Beklagte gegen ihre Pflicht, die personenbezogenen Daten der Nutzer ausreichend gemäß Art. 32 DSGVO zu schützen, verstoßen. Art. 32 DSGVO verlangt Verarbeitungsprozessen ab, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten. Dies zu Grunde gelegt, hat die Beklagte gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, nicht verstoßen. Insbesondere war die Beklagte nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils des Klägers aufgrund seiner selbst gewählten Einstellung zu verhindern (anders LG Paderborn Urt. v. 13.12.2022 – 2 O 212/22, GRUR-RS 2022, 41028, Rn. 78). Diese lautete, dass ihn alle („everyone“) über seine Telefonnummer („by phone number“) finden können („Suchbarkeit“). Diese Einstellung beinhaltet dann aber auch das Finden des Klägers durch Dritte über seine Mobilfunknummer, die Dritte etwaig auch unter Zuhilfenahme elektronischer Möglichkeiten zufällig erzeugt haben und so einen Abgleich von in den Kontaktimporter der Plattform hochgeladenen und etwaig generierten Telefonnummern mit dem dort eingerichteten Konto des Klägers vornehmen. Denn auch Dritte fallen unter den Begriff „everyone“. Es handelt sich bei den gescrapten personenbezogenen Daten des Klägers um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnliches abrufbar sind, was dem Kläger bereits durch die Anmeldung bekannt war. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig. Diese Verarbeitung in Form des Scrapens erfolgt auch durch Dritte und nicht durch die Beklagte (LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 54).

Soweit der Kläger zuletzt in der mündlichen Verhandlung vom 17.02.2023 bestritten hat, Daten öffentlich gestellt zu haben und darauf verwies, dass die Einstellung zu seiner Telefonnummer „nur ich“ bezogen auf die Sichtbarkeit lautet, so ist dieses Bestreiten unbeachtlich angesichts des Umstandes, dass der Kläger selbst zugegeben hat, dass die Suchbarkeit der Mobilfunknummer anders eingestellt gewesen ist, da er diese nicht geändert hat und diese weiterhin öffentlich war und er auch wusste, dass die Suchbarkeit des Profils mit den entsprechenden dort immer öffentlichen Daten über die Handynummer besteht.

Soweit der Kläger etwaig den Unterschied zwischen der Einstellung „Zielgruppenauswahl“, d. h. Einstellungen, die festlegen, wer welche Information im X.-Profil sehen kann, und der Einstellung „Suchbarkeitseinstelllungen“, d. h. wer das Profil eines Nutzers anhand der Telefonnummer - ohne dass diese sichtbar ist - finden kann, verkennt oder subjektiv nicht zutreffend erfasst hat, ändert das nichts an dem Umstand, dass dieser Unterschied besteht und die Beklagte hierauf auch ausführlich in ihren Hilfeeinstellungen und Einstellungshinweisen verständlich verweist.

Der von den Scrapern unter Nutzung des Kontakt-Importers der Plattform „X.“ hergestellte Abgleich zwischen der von ihnen hochgeladenen Telefonnummer des Klägers mit seinem Konto stellt zwar eine Verarbeitung i.S.d. DSGVO dar. Jedoch war die Beklagte nicht verpflichtet, das Konto des Klägers vor dessen Auffinden über die Telefonnummer zu schützen, da der von den Scrapern hergestellte Abgleich als solcher nicht unbefugt bzw. unrechtmäßig war. Der Kläger hat eingestellt, dass ihn „everyone“ „by phone number“ suchen kann. Der Kläger hat der Beklagten seine Telefonnummer freiwillig angegeben, die die Beklagte im Rahmen der Suchbarkeits-Einstellungen verwendete, um festzulegen, welche Personen das Konto des Klägers anhand dessen Telefonnummer finden können - nämlich alle Personen. Der von den Scrapern veranlasste Abgleich war folglich jeder Person, die - wie die Scraper - über die Telefonnummer des Klägers verfügte oder sie technisch erzeugte, möglich und ist nicht unbefugt bzw. unrechtmäßig im Sinne der DSGVO.

Die Beklagte durfte angesichts ihrer Hinweise in den Datenverwendungsrichtlinien, die der Kläger als gelesen bei der Registrierung angab, annehmen, dass dem Kläger bekannt ist, dass sein Konto über seine Telefonnummer für jedermann aufzufinden ist. Der Kläger hatte es selbst in der Hand, unter Zuhilfenahme des jedem Nutzer der Plattform zugänglichen Hilfebereichs die Suchbarkeitseinstellungen für sein Konto dahingehend anzupassen, dass nicht alle Personen, die seine Telefonnummer hochladen, sein Konto auffinden.

Der Kläger selbst hat seine Suchbarkeitsfunktion auf „everyone“ belassen, nachdem er sich entschlossen hat, die Komfortfunktion „Angabe der Telefonnummer“ zum komfortableren Finden von etwaigen Kontakten zu nutzen. Es widerspricht dem Zweck von X., einerseits eine Social Media Plattform zur leichten Kontaktaufnahme und Kommunikation einzurichten, die der jeweilige User durch Hinweis und Zustimmung auf die Datenrichtlinien freiwillig nutzen kann und selbst nach Aufklärung bestimmen kann, ob und in welchem Umfang er Daten dort hinterlegt, um andererseits der Beklagten solche technischen Hürden abzuverlangen, die dem Nutzungszweck diametral entgegenstehen. Ein gewisses Risiko, dass über technische Programme selbst gewählte Freigaben ausgenutzt und missbraucht werden, verbleibt bei der Internetnutzung stets, ist aber nicht von der Beklagten, sondern vom Kläger zu tragen, der sich eigenverantwortlich zur Nutzung entschlossen hat und nach Zustimmung zur Datenschutzrichtlinie und nach Bereitstellung von Hilfestellungsmöglichkeiten selbst entscheiden konnte, wie weit er die Angebote nutzt. Dies insbesondere, da der Kläger in seiner persönlichen Anhörung am 17.02.2023 selbst angab, als Informatiker auf den Schutz seiner Daten fachkundig zu achten.

Selbst wenn man mit dem Kläger die Ansicht vertritt, dass im Lichte der Rechtsprechung des EuGH (Urteil vom 24.2.2022, C 175-20, Rn. 77, 78) die Beklagte darlegen (und beweisen) muss, dass sie die Bestimmungen der DSGVO eingehalten hat, so ist ihr dies angesichts der dezidierten Ausführungen zu den Hilfeeinstellungen und Hinweisen sowie Ausführungen zu Sicherungs- und Schutzmaßnahmen gelungen (LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 64).

Die Beklagte hat auch nicht gegen das in Art. 24, 25 Abs. 2 DSGVO verankerte Prinzip „Privacy by default“ verstoßen. Demnach muss der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Dies soll vor allem den technisch unversierten Nutzer schützen. Die Voreinstellungen sollen möglichst datenschutzfreundlich eingestellt werden, um die Privatsphäre der Nutzer zu gewährleisten.

Unstreitig sind für die Registrierung nur der Name, das Geschlecht und die ID sichtbar, die auch stets öffentlich sichtbar sind, wozu jeder User aber durch Akzeptieren der Datenschutzbestimmungen zustimmt. Soweit jemand sich dann noch entschließt seine Telefonnummer zu hinterlegen, was für die Registrierung bei X. nicht erforderlich ist, sondern es lediglich einfacher machen soll, gefunden zu werden, ist diese Einstellung zwar zunächst auf „everyone“ „by phone number“ gestellt. Ändert man diese Einstellung nicht, so kann der jeweilige Nutzer über seine Mobilnummer gefunden werden. Der technisch unkundige Nutzer wird gleichwohl über die entsprechenden Hinweise hinreichend informiert und über Einstellungsmöglichkeiten und deren Begrenzungsmöglichkeiten in Kenntnis gesetzt. Zudem muss sich jeder Internetnutzer, der insbesondere eine Plattform eines sozialen Netzwerkes wie das der Beklagten nutzt, bewusst sein, dass es Internetgepflogenheiten gibt, mit denen man sich auch im Rahmen des Art. 25 DSGVO vertraut zu machen hat, will man solche Kommunikationsplattformen gebrauchen. Dies gilt insbesondere für den Kläger als Informatiker.

Auch hat die Beklagte in der Klageerwiderung im Rahmen einer sekundären Darlegungslast substantiiert dargelegt, dass sie entgegen der pauschalen Behauptung des Klägers technische Maßnahmen ergriffen hat, um Scraping zu erschweren, indem sie nämlich eine Hürde implementiert hat, wonach Abfragen in gewissem Umfang von ein- und derselben IP-Adresse in einem bestimmten Zeitraum nicht möglich sind bzw. gestoppt werden, ebenso wie sie auch unter Verweis auf diverse Artikel, deren Link sie ebenfalls bekannt gegeben hat, die User informiert hat und schließlich über ein Team verfügt, das sich einzig mit der Verhinderung von Missbrauch von Daten ihrer User beschäftigt. Angesichts dieser konkreten Ausführungen wäre von dem Kläger zu erwarten gewesen, dass er im Lichte dieses Vortrags weiter ausführt, warum er trotzdem von einem Verstoß gegen Art. 25 DSGVO ausgeht. Auch wenn man die Darlegungslast im Lichte der bereits zitierten Rechtsprechung des EuGH anders sieht, so wäre die Beklagte dieser nachgekommen, und der Kläger hätte dies nicht erheblich bestritten, so dass es auch insoweit nicht einer Beweisaufnahme bedurfte (LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 67). Die Klägerseite führt nicht näher aus, worin der Verstoß gegen Art. 25 DSGVO im Einzelnen vorliegen soll, insbesondere auch nicht, worin der DPC diese gesehen haben soll. Der Verweis auf Links ist soweit nicht als inhaltlich genügendes Bestreiten anzusehen (Bl. 366 f. d.A.). Auch führt ein Verstoß gegen Art. 25 DSGVO allein, wie von der Klägerseite zu der DPC vorgetragen, nicht zu einem Schadenersatzanspruch nach Art. 82 DSGVO (LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818 Rn. 47).

Angesichts des Umstandes, dass der Kläger sich selbst dazu entschlossen hat, sich öffentlich durch jedermann über seine Telefonnummer suchen zu lassen, auch wenn diese nur ihm selbst angezeigt wird, besteht keine Verpflichtung der Beklagten diese insoweit vertraulich zu behandeln und entgegen dem erklärten Willen des Klägers nicht technisch durch eine Suchfunktion auffinden zu lassen. Ein Verstoß gegen Art. 32 DSGVO besteht nicht. Denn die Telefonnummer als solche ist nicht einsehbar, sondern wird nur dem Kläger angezeigt. Dennoch ist es technisch möglich, bei Kenntnis der Telefonnummer oder künstlichen Generieren von Nummern auch mit der zufälligen Generierung der Mobilfunknummer des Klägers ihn so auf X. zu finden (LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 68). Der Kläger hat sich über die Suchbarkeitsfunktion durch alle über die Mobilfunknummer selbst gegen eine entsprechende Vertraulichkeit ausgesprochen. Dass er sich möglicherweise trotz der Hilfestellungen und Hinweise über den Unterschied zwischen der (Nicht-) Anzeige der Telefonnummer und der Suchbarkeit über seine Mobilfunknummer nicht hinreichend informiert hat, geht indes nicht zu Lasten der Beklagten, die Informationsmöglichkeiten und Hilfestellungen zur Verfügung gestellt hat. Dies insbesondere, da dem Kläger als Informatiker dieser Unterschied bei ausreichendem Informieren hätte auffallen müssen.

Die Beklagte hat ihre Pflicht gemäß Art. 33 DSGVO, der zuständigen Aufsichtsbehörde den Datenschutzverstoß zu melden, ebenfalls nicht verletzt. Da in dem Scraping-Vorfall der Beklagten kein Datenschutzverstoß anzulasten ist, musste sie diesen auch nicht melden (LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818 Rn. 69). Nach Art. 34 Abs. 3 a) DSGVO ist eine Benachrichtigung des Betroffenen weiter nicht erforderlich, wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt hat, wie vorliegend geschehen.

Unabhängig davon fehlt es an einem ersatzfähigen Schaden des Klägers im Sinne des Art. 82 Abs. 1 DSGVO.

Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund Nr. 146, auch wenn er in der DSGVO nicht näher definiert wird). Allein eine unterstellte Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (vgl. LG Hamburg, Urteil vom 04.09.2020 - 324 S 9/19).

In den Erwägungsgründen Nr. 75 und 85 werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund Nr. 146 S. 6), das heißt „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein, um bloße Unannehmlichkeiten auszuschließen.

Gemessen an diesen Grundsätzen hat der Kläger schon keine spürbare Beeinträchtigung - hervorgerufen durch Datenverlust - von persönlichen Belangen dargelegt. Der Kläger trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben (LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 77). Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 auf der eingangs benannten Seite sei es zu einem Anstieg von SMS und Mails gekommen.

Zugleich hat er aber im Rahmen seiner Anhörung gemäß § 141 ZPO bekundet, seit Entdeckung des Scraping-Vorfalls im April 2021 nichts an seinen Profileinstellungen bei X. geändert zu haben oder sein X.-Konto gelöscht zu haben. Erst im Verfahren habe er die Suchbarkeitsfunktion der Telefonnummer geändert und daher bis dato selbst dafür gesorgt, dass seine Telefonnummer mit seinem Profil in Verbindung gebracht werden konnte. Schon dieser Umstand lässt die Angabe, Furcht vor einem Kontrollverlust über seine Daten zu haben, unplausibel erscheinen. Insbesondere, da sich der Kläger als Informatiker auch nicht auf mangelnde Fachkenntnisse berufen kann. Die Möglichkeit der Weiterverarbeitung der Daten an sich kann nicht ausreichend sein, um einen genügenden Schaden annehmen zu können, insbesondere da dadurch nicht konkrete entstandene Konsequenzen beim Kläger vorgetragen werden (anders LG Paderborn Urt. v. 13.12.2022 – 2 O 212/22, GRUR-RS 2022, 41028, Rn. 136).

Die schriftsätzliche Argumentation, der Kläger sei verstärkt misstrauisch bzgl. Spam-E-Mails, ist zudem zurückzuweisen. Die E-Mail-Adresse des Klägers war nicht betroffen. Während dies in der Klageschrift noch behauptet wurde, hat sich dies aus der persönlichen Anhörung gerade nicht ergeben: Nach den Kenntnissen des Klägers sei die E-Mail-Adresse nicht betroffen. Es passt zudem nicht zu den schriftsätzlichen Schilderungen des Klägers bezüglich des Scraping-Vorfalls. Es wäre völlig unklar, wie die Scraper an die E-Mail-Adresse des Klägers gekommen sein sollten (LG Bielefeld Urt. v. 19.12.2022 – 8 O 182/22, GRUR-RS 2022, 38375 Rn. 31 f.).

Es bedurfte auch keiner Aussetzung des Verfahrens und Vorlage an den EuGH mit Blick auf die anstehende Entscheidung des Gerichtshofs der Europäischen Union zur Rechtssache C 300/21 (Österreichische Post) zu der Frage, ob es eines konkreten, messbaren Schadens bedarf. Da keine letztinstanzliche Entscheidung vorliegt, besteht keine Vorlagepflicht gem. § 267 Abs. 3 AEUV.

Schließlich fehlt es vorliegend auch an einer Kausalität. Soweit der Kläger behauptet, er erhalte unerwünschte Anrufe und Nachrichten, so handelt es sich insoweit ebenfalls um eine Erscheinung, die bereits mit der Nutzung als solcher zusammenhängt. Selbst wenn beim Kläger tatsächlich derartige Anrufe erst seit April 2021bestehen, so ist völlig unklar, worauf dies fußt (LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 84). Es ist völlig unbekannt, ob und welche Daten der Kläger an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu diesem - zu Gunsten des Klägers als wahr unterstellten vermehrten unerwünschten SMS und Anruf-Aufkommens - geführt hat. Auch hat der Kläger erst im laufenden Verfahren die Suchbarkeitseinstellung geändert und nicht schon nach Erhalt der ersten Spamnachrichten oder –anrufe.

II.

Die Klage auf Feststellung einer Ersatzpflicht künftiger materieller und immaterieller Schäden ist mangels Vorliegens einer Pflichtverletzung und eines Schadens unbegründet.

III.

Dem Kläger steht nach §§ 1004 analog, 823 Abs. 1 und aus Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO sowie Art. 17 DSGVO gegen die Beklagte ferner kein Anspruch auf Unterlassung zu. Es fehlt bereits an einem Datenschutz-Verstoß der Beklagten, der überhaupt zu einem Unterlassungsanspruch führen könnte (s.o.).

Der Kläger hat zudem mit der Zustimmung zu den Nutzungsbedingungen und der Datenrichtlinie die Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben gemäß Art. 6 Abs. 1 S. 1 a.) DSGVO. Insbesondere wurden die Datenlinie sowie die Nutzungsbedingungen in einfach verständlicher Sprache abgefasst und sind einfach zugänglich, wenn auch mehrschichtig. Es wird deutlich, dass die Daten gerade nicht nur der Registrierung dienen, sondern auch weiter verarbeitet werden können. Die Website der Beklagten weist einen sogar mehrfach darauf hin, dass man einen Privatsphärecheck machen kann. Insoweit entspricht das Ersuchen der Einwilligung auch den Voraussetzungen des Art. 7 Abs. 2 DSGVO (LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 100).

Überdies sind alle diese Datenpunkte bereits nach dem Vortrag des Klägers nicht, wie im Unterlassungsantrag formuliert, über „eine Software zum Importieren von Kontakten“ zugänglich gemacht worden, sondern wurden bereits nach klägerischem Vortrag automatisiert von der klägerischen X.-Profilseite gescraped.

IV.

Der Kläger hat auch keinen Anspruch auf eine weitergehende Auskunft gemäß Art. 15 DSGVO. Die Beklagte hat dem Kläger Auskunft über die von ihr verarbeiteten Daten in angemessener Weise zur Verfügung gestellt und den Anspruch mithin gem. § 362 Abs.1 BGB erfüllt (LG Bielefeld Urt. v. 19.12.2022 – 8 O 182/22, GRUR-RS 2022, 38375, Rn. 37-42). Welche Daten des Klägers gescrapt worden sind, ist dem Kläger bereits bekannt, so dass auch diesbezüglich keine weitergehende Auskunftspflicht bestehen kann. Soweit der Kläger ferner Auskunft über die Empfänger der „Scraping - Daten“ verlangt, scheitert ein Anspruch an der erteilten Auskunft der Beklagten, sie sei zu weiteren Informationen nicht imstande (LG Halle Urt. v. 28.12.2022 – 6 O 195/22, BeckRS 2022, 42233, Rn. 26).

Mangels Anspruch in der Hauptsache besteht auch kein Anspruch Zahlung außergerichtlicher Rechtsanwaltskosten.

Aufgrund fehlenden Anspruchs in der Hauptsache hat der Kläger ferner keinen Anspruch auf die geltend gemachten Rechtshängigkeitszinsen, § 291 ZPO.

VII.

Die Kostenentscheidung folgt aus § 91 Abs. 1 S. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit richtet sich nach §§ 708 Nr. 11, 711 ZPO.

Der Streitwert wird auf 6.500,- € festgesetzt.