Landgericht Bochum, 6 O 86/22

T a t b e s t a n d :

Die Parteien streiten um Ansprüche des Klägers gegen die Beklagte aus Verstößen gegen die Datenschutz-Grundverordnung (nachfolgend „DSGVO“).

Die Beklagte betreibt die Social Media Plattform www.g.com. Die Dienste der Beklagten ermöglichen es den Nutzern, persönliche Profile für sich zu erstellen und diese mit Freunden zu teilen. Die Nutzer können auf den persönlichen Profilen Angaben zu verschiedenen Daten zu ihrer Person machen und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf ihre Daten zugreifen können. Insoweit ist G mit über einer Milliarde Nutzer weltweit eine der größten Social Media Plattformen, die existieren. Der Kläger ist Inhaber eines Accounts bei bzw. auf G und nutzt die von der Beklagten betriebene Plattform.

Bei dem Anlegen eines Profils muss der künftige Nutzer Datenschutz- und Cookie-Richtlinien zustimmen. Dabei sind der angegebene Vor- und Nachname, eine von G erstellte Benutzer-ID und das Geschlecht als "immer öffentliche Nutzerinformationen" stets öffentlich auf dem eigenen Nutzerprofil zu finden. Der Veröffentlichung dieser Daten muss bei Registrierung zugestimmt werden. Der Nutzer kann die weiteren Einstellungen individuell verändern und im Hilfebereich einsehen, wie G die jeweiligen Daten verwendet. Andere Daten, die dem Profil hinzugefügt werden können, sind von ‘‘Profilsuchern‘‘ einzusehen, sofern die konkreten persönlichen Profileinstellungen des Nutzers dies vorsehen (‘‘sog. Zielgruppenauswahl‘‘).

Die Angabe der Mobilfunknummer ist für die Anmeldung nicht zwingend, kann jedoch für eine Zwei-Faktor-Authentifizierung verwandt werden. In der Folge wird die Mobilfunknummer nicht auf dem Profil angezeigt, jedoch konnten Nutzer während des relevanten Zeitraums ihre Kontakte von ihren Mobilgeräten auf G hochladen, um diese Kontakte auf der G-Plattform zu finden und mit ihnen in Verbindung zu treten (Kontakt-Import-Funktion bzw. contact importer tool = CIT). Der jeweilige Nutzer des Profils, der seine Mobilfunknummer angegeben hat, kann bzw. konnte wiederum in den Suchfunktionen einstellen, in welchem Umfang er über die Mobilfunknummer gefunden werden will. Die Grundeinstellung geht, wie auch sonst, zunächst von einer Suchbarkeit für alle anderen Nutzer aus, diese Einstellung hatte auch der Kläger zunächst so belassen. Die Plattform G bot jedoch die Funktion an, die im Smartphone eines Nutzers gespeicherten Personenkontakte mit Nutzern auf G zu synchronisieren. Auch in der vom Beklagten betriebenen Messenger-App kann ein Nutzer auswählen, ob Telefonkontakte mit dem G-Dienst synchronisiert werden sollen. Grundsätzlich regeln sog. Sucheinstellungen, wer das Profil des Nutzers etwa an anhand der Telefonnummer (mittels CIT) finden kann.

Weiter wurde im Rahmen der Registrierung in der Anmeldemaske darauf hingewiesen, dass mit einem Klick auf „Registrieren“ den Nutzungsbedingungen zugestimmt werde. Außerdem enthielt die Anmeldemaske einen jeweils anklickbaren Hinweis auf die Daten- und Cookierichtlinien von G.

Auch der Kläger gab seine Mobilfunknummer an. Nach der Zielgruppenauswahl war die Handynummer auf dem Profil des Klägers nicht zu sehen. Nach den Suchbarkeitseinstellungen war die Suche nach dem klägerischen Profil mittels dessen Mobilfunknummer jedoch aktiviert und wie vorgegeben auf ‘‘alle (everyone)‘‘ eingestellt, erst ab 15.05.2021 wurde dies auf ‘‘nur ich‘‘ geändert.

Im Jahr 2018 und 2019 sammelten und persistierten Dritte die Telefonnummer, die ID, den Name, das Geschlecht und ggf. weitere korrelierende Daten – wobei streitig ist, ob hierzu auch Bundesland, Land, Stadt, Beziehungsstatus gehörten – über die Kontakt-Import-Funktion aus jedenfalls öffentlich zugänglichen Daten bei G (sog. „scraping“). Es handelte sich um die Profilinformationen, die entweder ‘‘immer öffentlich‘‘ oder aber zu diesem Zeitpunkt aufgrund der Privatsphäreeinstellungen der Nutzer öffentlich einsehbar waren.

Auch wenn die exakte Vorgehensweise unbekannt geblieben ist, geht die Beklagte davon aus, dass die Kontakt-Import-Funktion zur Bestimmung der Telefonnummern der einzelnen Benutzer genutzt wurde. Indem eine Vielzahl von Kontakten in ein virtuelles Adressbuch eingegeben wurde, gelang es offenbar Unbekannten, die Telefonnummern konkreten Profilen zuzuordnen, ohne dass in den entsprechenden Profilen die hinterlegten Telefonnummern öffentlich freigegeben waren. Um die Telefonnummer jeweils zu korrelieren, wurden mit Hilfe der Kontakt-Import-Funktion fiktive Nummern erzeugt und geprüft und die zugehörigen Gnutzer wurden angezeigt. Auf dem Profil des Nutzers wurde dieser dann besucht und von dort wurden die öffentlichen Daten gescrapt („abgeschöpft“).

Anfang April 2021 wurden diese Daten, die im Zeitraum bis September 2019 im Wege des sog. „Scraping“ erlangt wurden, von ca. 533 Millionen Nutzern aus 106 Ländern im Internet veröffentlicht und verbreitet. Insoweit ist zwischen den Parteien streitig, welche Daten im Einzelnen gescrapt wurden. Der Kläger war jedenfalls auch vom Scraping-Vorfall betroffen, auch hier ist der Umfang streitig.

Die Beklagte hat zuständige Datenschutzbehörde - die Irish Data Protection Commission- nicht über den Vorfall informiert, auch wurde der Kläger wegen der Entwendung und Veröffentlichung seiner Daten aufgrund der Ereignisse im April 2021 nicht unmittelbar informiert.

Mit einem vorgerichtlichem Schreiben forderte der Kläger die Beklagte zur Zahlung von Schadensersatz nach Art. 82 Abs. 1 DSGVO sowie zur Unterlassung zukünftiger Zugänglichmachung seiner Daten an unbefugte Dritte sowie zur Auskunftserteilung darüber, welche konkreten Daten im April 2021 abgegriffen und veröffentlicht wurden. Auf das klägerische Auskunftsersuchen antwortete die Beklagte am 21.06.2021 und erteilte dem Kläger Auskunft in einem bestimmten Umfang.

Mit der Klage nimmt der Kläger die Beklagte wegen Verstößen gegen die DSGVO mit verschiedenen Ansprüchen in Anspruch.

Der Kläger macht geltend, von ihm seien personenbezogene Daten aus dem Datenbestand von G vermutlich mittels des G-Tools Kontakt-Importer (=Contact-Import-Tool, CIT) gescrapt worden. Daten wie Telefonnummer, Name, Geschlecht, Wohnort, Land, ID-Adresse, Beziehungsstatus und Beschäftigung etc. seien betroffen gewesen, weil die Beklagte die Anforderungen der DSGVO nicht beachtet habe. Insoweit seien seine relevanten Daten von unbekannten Dritten im Internet verbreitet und veröffentlicht worden. Diese Vorgehensweise sei allein deshalb möglich gewesen, weil die Beklagte zum einen keine ausreichenden Sicherheitsvorkehrungen vorgenommen habe, um ein Ausnutzen des bereitgestellten Tools zu verhindern und zum anderen seien die Einstellungen zur Sicherheit der Telefonnummer auf G so undurchsichtig und kompliziert gestaltet, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne. Der Prozess und die Einstellungen zur Datensicherheit für Nutzerinnen von G seien geprägt von datenschutz-unfreundlichen Einstellungen, einer Masse an schwer verständlichen Informationen und unklaren Angaben.

Insoweit sei der Registrierungsprozess unnötig unübersichtlich gestaltet, so dass es für den Nutzer kaum zu überblicken sei, welche Daten jeweils wie einsehbar seien. Erschwerend hinzukomme, dass die Standardeinstellung so gesetzt sei, dass Zugang und Suchbarkeit für jedermann gestattet werde. Demgegenüber seien jedoch nach den Grundsätzen eines nutzerfreundlichen Datenschutzes und dem in der DSGVO niedergelegten Prinzips der Datenminimierung und des „privacy by default“ besonders datenschützende Voreinstellungen notwendig gewesen. Das CIT der Beklagten verstoße gegen die Vorschriften der DSGVO. Überdies habe die Beklagte auch keine ausreichenden Maßnahmen, wie beispielsweise die Implementation eines sog. CAPTCHA-Verfahrens (= Completely Automated Public Turing test to tell Computers and Humans Apart), ergriffen, um einen Angriff bzw. ein Ausnutzen der technischen Möglichkeiten zu unterbinden.

Die von Nutzern angegebenen Nummern seien mangels bestehender Sicherheitsmaßnahmen durch die Beklagte in großem Umfang Unbekannten zugänglich gemacht worden. Insoweit seien durch das Scraping überdies auch Daten betreffend seiner E-Mail-Adresse, Bundesland, Land, Stadt, Beziehungsstatus und weitere korrelierende Daten abgeschöpft worden.

Die Zuordnung von Telefonnummern zu weiteren Daten wie Mail-Adresse oder Anschrift eröffne böswilligen Akteuren eine weite Bandbreite an Möglichkeiten wie z. Bsp. Identitätsdiebstahl, die Übernahme von Accounts oder gezielte Phishing-Nachrichten. Demnach habe er einen erheblichen Kontrollverlust über seine Daten erlitten. In der Folge werde er bis heute wiederholt ungewollt von Unbekannten via SMS und Mail kontaktiert. Er sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch seiner ihn betreffender Daten, dies habe bei ihm also zu einem Gefühl des Kontrollverlustes, des Beobachtetwerdens und der Hilfslosigkeit geführt. Er hege verstärktes Misstrauen bezüglich E-Mails und gegenüber Anrufen von unbekannten Nummern und Adressen. Er erhalte zudem regelmäßig Kontaktversuche via SMS und E-Mail von Unbekannten.

Das Verhalten der Beklagten nach Bekanntwerden des Vorfalls im Jahre 2019 sei nicht ordnungsgemäß gewesen. Mit keinem Wort sei seitens der Beklagten auf der Plattform angezeigt worden, dass die angegebene Nummer dazu verwendet werden könne, in irgendeiner Art das Profil des jeweiligen Nutzers zu identifizieren. Soweit vorgerichtlich Auskünfte über abgegriffene Daten mitgeteilt worden seien, sei diese Auskunft ungenügend. Das Antwortschreiben der Beklagten enthalte lediglich allgemein gehaltene Informationen zu den auf G verarbeiteten Daten sowie einen Link zur Seite der Beklagten, auf der die über einen individuellen Nutzer gespeicherten Daten eingesehen werden könnten.

Die Verarbeitung, Erhebung und Nutzung von personenbezogenen sei grundsätzlich ohne eine Rechtsgrundlage oder wirksame Einwilligung verboten. Insoweit seien dafür keine ausreichende Rechtsgrundlage nach der DSGVO und auch keine wirksame Einwilligung von ihm gegeben worden. Insoweit sei lediglich die Suche nach der Telefonnummer aktiviert gewesen.

Insgesamt habe er deshalb wegen mehrfacher Pflichtverletzungen und Verstöße der Beklagten gegen Vorschriften der DSGVO einen Schadensersatzanspruch gegen die Beklagte aus Art, 82 Abs. 1 DSGVO. Auch sei der geltend gemachte Unterlassungsanspruch aus §§ 1004 Abs. 2, 823 Abs. 1 BGB, §§ 1004 Abs. 2, 823 Abs. 2 BGB in Verbindung mit DSGVO bzw. aus Art. 17 DSGVO gegeben. Der Anspruch auf Auskunft bestehe nach Art. 15 DSGVO.

Der Kläger beantragt,

1. die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

2. festzustellen, dass die Beklagte verpflichtet ist, ihm alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (A.) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (A.) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen,

a. personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, GID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

b. die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der G-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird.

4. die Beklagte zu verurteilen, ihm Auskunft über seine betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte macht geltend, dass die Klage in wesentlichen Teilen unzulässig sei, überdies liege kein Datenschutzverstoß vor

So seien nur die Daten des Klägers gescrapt worden, die ohnehin öffentlich zugänglich gewesen seien, weil der Kläger diese bei Privatsphäre-Einstellungen auf öffentlich einsehbar eingestellt habe. Die Daten seien weder durch Hacking noch infolge eines Fehlers oder Sicherheitsverstoßes in ihrem System, sondern durch das automatisierte, massenhafte Sammeln von ohnehin öffentlich einsehbaren und damit nicht vertraulichen Daten erlangt und an anderer Stelle zugänglich gemacht worden. Insgesamt seien also lediglich öffentlich einsehbare Daten durch Dritte in Form des Scrapings abgerufen worden, diese gesammelten Daten würden also lediglich die immer öffentlichen Nutzerinformationen und diejenigen Daten umfassen, die entsprechend der jeweiligen "Zielgruppenauswahl" öffentlich einsehbar seien; dies beruhe aber nicht auf einem Datenschutzverstoß. Die Daten betreffend des Namens, des Geschlechts, der Nutzernamen und der Nutzer-ID (Kontonummer) von G-Nutzern seien immer öffentliche Nutzerinformationen. Im Hinblick auf Daten wie Telefonnummer, Wohnort, Stadt, Beziehungsstatus, Geburtstag und E-Mail-Adresse auf dem Profil eines Nutzers, könne der Nutzer die Einsehbarkeit frei bestimmen und dementsprechend einstellen. Der Kläger hätte von Anfang an oder zu jeder Zeit seine Privatsphäre-Einstellungen individualisieren können, wie dies nachträglich dann auch geschehen sei.

Die Standard-Voreinstellungen würden sich an dem Zweck der Plattform, d.h. mit anderen Personen in Kontakt zu treten, orientieren. Die "Scraper" hätten dementsprechend lediglich die diesem Zweck dienenden Funktionen ausgenutzt. Es sei daher grundsätzlich unmöglich, Scraping öffentlich einsehbarer Daten völlig zu verhindern, ohne den Zweck der Plattform durch Beseitigung der Funktionen zu unterlaufen. Das Mögliche sei jedoch zur Verhinderung getan worden bzw. werde getan.

Insoweit seien die Suchbarkeitseinstellung für die Nutzer auch nicht von schwer verständlich Informationen und unklaren Angaben geprägt. Mit der Suchbarkeitseinstellung könne bestimmt werden, ob das Nutzerkonto anhand einer Telefonnummer gefunden werden könne, dies sei frei einstellbar auf „Alle“ oder „Freunde“ sowie „ Freunde von Freunde“. Ab Mai 2019 sei auch die Einstellung auf „ Nur Ich“ möglich gewesen. Für die Zielgruppenauswahl sei die allgemeine Standardeinstellung auf „Freunde“ voreingestellt worden. Insoweit werde bestritten, dass Nutzer diese Voreinstellungen immer beibehalten würden.

Im relevanten Zeitraum hätten die Einstellungen bei der Messenger-App zur Zielgruppenauswahl und Suchbarkeit im Messenger den Einstellungen im G-Konto des Klägers zur Zielgruppenauswahl und Suchbarkeit entsprochen. Innerhalb der Messenger-App habe es keine separaten Einstellungsmöglichkeiten gegeben, die von den Einstellungen auf dem G-Konto unabhängig seien.

Sie stelle allen Nutzern inklusive dem Kläger alle in Art. 13 und 14 DSGVO festgelegten Informationen zur Datenverarbeitung zur Verfügung. Es habe zudem eine umfassende und transparente Information über die Möglichkeit der Anpassung ihrer Suchbarkeitseinstellungen und Zielgruppenauswahl gegeben, woraus sich nachvollziehbar ergebe, wer bestimmte persönliche Informationen, die der Nutzer in seinem G-Profil hinterlegt habe, einsehen könne. Diese Einstellungen habe der Kläger jederzeit anpassen können. Der Kläger habe seit der Anmeldung die Suchbarkeitseinstellungen unter Verweis auf einen Screenshot bis zum 15.05.2021 auf "öffentlich und alle" belassen, obwohl es hinreichende Hinweise und Erläuterungen gäbe, welche Einstellungen wo und in welchem Umfang möglich seien. Erst am 15.05.2021 habe er dies auf ‘‘nur ich‘‘ geändert.

Insgesamt habe sie ausreichenden Sicherheitsvorkehrungen vorgenommen, um ein Ausnutzen des bereitgestellten Tools zu verhindern, es bestehe also keine Sicherheitslücke. Sie habe nicht gegen Art. 24, 32 DSGVO verstoßen, sondern vielmehr angemessene technische und organisatorische Maßnahmen ergriffen, das Risiko von Scraping zu unterbinden bzw. würde sie Maßnahmen zur Bekämpfung von Scraping ergreifen, u.a. sei eine ihrer Maßnahmen zur Verringerung von Scraping Übertragungsbeschränkungen gewesen, die die Anzahl von Anfragen von bestimmten Daten reduzieren würden, welche pro Nutzer oder von einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht werden könnten. Sie habe im relevanten Zeitraum als Maßnahmen zur Verringerung eines Scraping-Risikos auch Übertragungsbegrenzungen und Bot-Erkennung eingesetzt, zudem habe sie Captcha-Abfragen genutzt; insgesamt werden die behaupteten Maßnahmen und Vorkehrungen näher ausgeführt. Die vom Kläger geltend gemachten Verstöße gegen Art. 13, 14, 15, 24, 25, 32, 34 DSGVO seien auch gar nicht vom Anwendungsbereich des Art. 82 DSGVO erfasst. Sie habe das klägerische Auskunftsersuchen auch ordnungsgemäß beantwortet.

Weiter sei kein ersatzfähiger immaterieller Schaden des Klägers entstanden. Selbst bei einem angenommenen vorübergehenden Kontrollverlust über personenbezogene Daten des Klägers wäre ihr dies nicht zuzurechnen, weil der Vorgang den Privatsphäre-Einstellungen des Klägers entsprochen habe. Eine schlüssige Darlegung der Kausalität sei ebenfalls nicht gegeben.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen verwiesen.

Entscheidungsgründe:

Die zulässige Klage ist unbegründet.

A. Zulässigkeit der Klage

Die Klage ist vor dem LG Bochum als zuständigem Gericht zulässig.

Die Anwendbarkeit deutschen Rechts folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt EuGVVO (Brüssel Ia-VO).

Gemäß Art. 1 Abs. 1 EuGVVO ist die EuGVVO sachlich anwendbar auf Zivil- und Handelssachen. Vorliegend handelt es sich um eine Zivilsache.

Die Anwendbarkeit deutschen Rechts folgt aus Art 6 Abs. 1, Art. 18 Abs. 1 2. Alt EuGVVO. Ein ausschließlicher Gerichtsstand gemäß Art. 24 EuGVVO ist hier nicht ersichtlich. Gemäß Art. 18 Abs. 1 2. Alt EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Letzteres ist im Hinblick auf den Wohnsitz des Klägers der Fall.

II.

Die sachliche Zuständigkeit folgt aus §§ 23 Nr. 1, 71 Abs. 1 GVG, da entsprechen der erfolgten Festsetzung ein Streitwert von mehr als 5.000,00 EUR vorliegt.

Die örtliche Zuständigkeit folgt jedenfalls aus dem besonderen Gerichtsstand des Art. 79 Abs. 2 S. 2 DSGVO, § 44 Abs. 1 S. 2 BDSG im Hinblick auf den Wohnsitz des Klägers im hiesigen Gerichtsbezirk.

III.

Die Klageanträge sind auch hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO.

Im Hinblick auf den Klageantrag zu 1) ist dies aufgrund der Schätzungsbefugnis des Gerichts gem. § 287 ZPO hinsichtlich der Schmerzensgeldhöhe sowie der in der Klageschriften enthaltenen Darlegung von Umständen der Fall.

Der Antrag zu 4) ist ebenfalls hinreichend bestimmt. Zuzugestehen ist der Beklagten zwar, dass die Formulierung „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ auslegungsbedürftig ist und Vollstreckungsprobleme denkbar sind. Allerdings ist nach höchstrichterlicher Rechtsprechung eine gewisse Auslegungsbedürftigkeit zur Gewährleistung effektiven Rechtsschutzes hinzunehmen (vgl. BGH in GRUR 2015, 1237, Rn. 15).

IV.

Ein Feststellungsinteresse gemäß § 256 Abs. 2 ZPO ist ebenfalls zu bejahen. Der Kläger hat jedenfalls behauptet, dass eine Weiterverbreitung seiner Daten droht und damit aus seiner Sicht ein weiterer Schadenseintritt möglich erscheint. Dies ist im Rahmen der Beurteilung der Zulässigkeit des Feststellungsantrages ausreichend (vgl. OLG Hamm, Urteil vom 21. Mai 2019 – 9 U 56/18 –, Rn. 22, juris; BGH, Beschluss vom 09. Januar 2007 – VI ZR 133/06 –, juris; BGH, Urteil vom 16. Januar 2001 – VI ZR 381/99 –, juris; Saarländisches Oberlandesgericht Saarbrücken, Urteil vom 20. Februar 2014 – 4 U 411/12, Rn. 46, juris, m.w.N.).

B. Begründetheit der Klage

Dem Kläger stehen gegen die Beklagte in der Sache die mit der Klage verfolgten Ansprüche nicht zu.

Der Kläger hat zunächst keinen Anspruch auf immateriellen Schadenersatz.

Ein Anspruch gegen die Beklagte ergibt sich weder aus Art. 82 Abs. 1 DSGVO noch aus sonstigen Vorschriften. Hier lassen sich weder schadensersatzrelevante und –auslösende Pflichtverletzungen der Beklagten noch ein diesbezüglicher Schaden feststellen.

Zwar verkennt der erkennende Einzelrichter nicht, dass die Voraussetzungen der relevanten Grundlagen und Normen von den erstinstanzlichen Gerichten unterschiedlich ausgelegt werden und eine Vielzahl an Gerichten beide Voraussetzungen bejahen und damit entsprechenden Klagen stattgegeben haben. Die Kammer hält jedoch die von einer Vielzahl von anderen Gerichten vertretene Gegenmeinung für zutreffend, die diesbezügliche Klagen abgewiesen haben, weil weder die Voraussetzung einer schadensersatzbegründenden Pflichtverletzung der Beklagten noch ein diesbezüglicher Schaden gegeben bzw. feststellbar ist. Demnach steht dem Kläger nach Meinung des erkennenden Einzelrichters kein Anspruch auf Schadenersatz zu.

Zunächst einmal lässt sich eine schadensersatzbegründende Pflichtverletzung der Beklagten nicht feststellen, da die von dem Kläger geltend gemachten Verstöße der Beklagten gegen mehrere Vorschriften und Grundsätze der DSGVO nicht gegeben sind.

Ausgehend davon, dass stets ein gewisses Risiko, dass über technische Programme selbst gewählte Freigaben ausgenutzt und missbraucht werden, bei einer Internetnutzung verbleibt, ist dies hier nicht von der Beklagten, sondern vom Kläger zu tragen, der sich eigenverantwortlich zur Nutzung des sozialen Netzwerks entschlossen hat und nach Zustimmung zur Datenschutzrichtlinie und nach Bereitstellung von Hilfestellungsmöglichkeiten danach eigenverantwortlich und selbst entschieden hat, wie und in welchem Umfang er die Angebote nutzt. Unabhängig von der Frage, ob die Kläger vom geltend gemachten Verstöße überhaupt alle vom Anwendungsbereich des Art. 82 Abs. 1 DSGVO erfasst sind, was dahingestellt bleiben kann, sind hier bereits schadenersatzrelevante und -auslösende Pflichtverletzung der Beklagten bezüglich der gerügten Verstöße nicht gegeben, so dass allein deshalb ein Schadensersatzanspruch gem. Art 82 Abs.1 DSGVO ausscheidet, so dass auch die streitige Frage dahingestellt bleiben kann, welche konkreten Daten des Klägers von dem Scarping jenseits des Namens, der Benutzer-ID, des Geschlechts und der Mobilnummer des Klägers tatsächlich betroffen waren.

Im Einzelnen:

Ein Verstoß gegen die sog. Transparenzpflicht samt Informations- und Aufklärungspflicht gemäß den Art. 5 Abs. 1 Buchst. a, 13, 14 DSGVO liegt nicht vor.

Auch bei den Informationspflichten bedarf es der Beachtung der Grundsätze des Art. 5 Abs. 1 Buchst. a DSGVO. Demnach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).

aa.

Dieser Grundsatz der Transparenz überträgt sich wiederum auf die Informations- und Aufklärungspflicht nach Art. 13 DSGVO. Insoweit muss die Aufklärung über die Zwecke der Verarbeitung insbesondere für den Nutzer klar verständlich und nachvollziehbar sein.

Dies ist vorliegend der Fall. Insoweit kann der Kläger nicht einwenden, dass es aufgrund die Vielzahl der Einstellungen zu undurchsichtig und zu kompliziert ist und dass ein Gefühl der Sicherheit der Daten nur vorgetäuscht wird. Es ist zwar so, dass die Einstellungen bei G – auch zur Sicherheit – mehrschichtig vorgenommen werden müssen, dies führt jedoch nicht pauschal zu einer Unübersichtlichkeit und fehlenden Transparenz.

Die internetspezifischen Gepflogenheiten und gerade die DSGVO verlangen vielfältige Einstellungsmöglichkeiten, damit der jeweilige Nutzer die Einstellungen entsprechend seiner spezifischen Bedürfnisse individuell vornehmen kann. Dies wurde aber ausreichend beschrieben und erläutert. Soweit der jeweilige Nutzer es möglicherweise im Zweifel aufgrund des Umfangs und der Mehrschichtigkeit der Einstellungen bei den Voreinstellungen belässt, ist dies eine Entscheidung, die jeder Nutzer individuell für sich und in seinem eigenen Verantwortungsbereich trifft. Demnach führt auch der Einwand des Klägers nicht zum Erfolg, dass die Vielzahl der Einstellungsmöglichkeiten dazu führe, dass ein Nutzer es im Zweifel bei den Voreinstellungen belasse. Dies ist eine individuelle Entscheidung jedes einzelnen Nutzers selbst, der diese aus welchen Gründen auch immer für sich so trifft.

Zu berücksichtigen ist weiter auch, dass die Nutzung der Plattform als solche freiwillig ist. Die Preisgabe der Mobilfunknummer ist selbst für die Nutzung der Plattform nicht erforderlich und erfolgt freiwillig. Die Reichweite des Schutzes der DSGVO muss deshalb hier im Lichte der jeweiligen konkreten Nutzung ausgelegt und verstanden werden. Insoweit ist vorliegend zu beachten, dass es sich bei G, jenseits der wirtschaftlichen Interessen der Beklagten an dem Betrieb, jedenfalls aus der Sicht der Nutzer um ein soziales Netzwerk handelt, das auf Kommunikation, das Finden von Personen und dem Teilen von Informationen angelegt ist. In diesem Lichte sind dann die von der Beklagten gewählten Voreinstellungen nicht zu beanstanden, da der jeweilige Nutzer umfassend und auch noch hinreichend verständlich über Änderungsmöglichkeiten informiert wird und er die Reichweite selbst individuell bestimmen kann (vgl. LG Bochum – Urteil vom 12.05.2023 – Az. 4 O 152/22 – und Urteil vom 03.05.2023 – Az. 3 O 116/22 -; LG Essen Urteil v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818 Rn. 50 ff.; LG Halle Urteil v. 28.12.2022 – 6 O 195/22, BeckRS 2022, 42233 Rn. 18; LG Bielefeld, Urteil vom 10.03.2023 – 19 O 147/22; LG Kiel; Urteil vom 12.01.2023 – 6 O 154/22).

In diesem Kontext ist durch den Kläger bereits nicht konkret und substanziiert vorgetragen worden, dass er sich überhaupt mit der Belehrung und den Hinweisen durch die Beklagten irgendwie auseinander gesetzt hätte, geschweige denn, dass er jedenfalls zu Anfang bis zu der nachträglich vorgenommenen Einschränkung am 15.05.2021 irgendwelche Einstellungen vorgenommen hätte, um die Sicht- bzw. Suchbarkeit seines Profils bzw. seiner Daten zu Anfang irgendwie einzuschränken.

bb.

Weiter wurde seitens der Beklagten über die Nutzungs- und Findungsmöglichkeiten auch hinreichend aufgeklärt.

Insbesondere wird deutlich, dass man das Profil eines Nutzers über die Mobilfunknummer finden kann, wenn man – wie der Kläger – die Suchbarkeitsfunktion über die Mobilfunknummer überhaupt und überdies für jedermann eröffnet. Dieses Auffinden an sich ist der für den Nutzer relevante Punkt, wobei es auf das sog. Contact-Import-Tool, wie nachfolgend u.a. unter Gliederungspunkt b. näher ausgeführt wird, nicht entscheidend ankommt.

Die Aufklärung über die Verwendung der Daten ist wiederum in verständlicher Sprache erfolgt, wie es nach Kenntnisnahme der zur Akte gereichten, streitgegenständlichen Bestimmungen der Datenrichtlinie und des Hilfebereiches zur Überzeugung der Kammer feststeht. Zudem ist sie auch in für den Nutzer zugänglicher Art und Weise vorgenommen worden. Dies gilt vor allem im Hinblick darauf, dass die Beklagte eine sog. Mehrebenen-Datenschutzerklärung verwendet, bei der der Nutzer auf der ersten Ebene einen Überblick über die ihm hinsichtlich der Verarbeitung seiner personenbezogenen Daten zur Verfügung stehenden Informationen erhält und auf der zweiten Ebene die detaillierten Auskünfte durch das Anklicken eines qualifizierten Abschnitts einsehen kann. Dies dient letztlich der Vermeidung einer Überforderung des Nutzers mit einer blockartigen und überfrachteten Datenschutzinformation.

Zwar trifft es zu, dass die Einstellungsmöglichkeiten (nur) über mehrere Links erreichbar sind. Die Beklagte informiert den Nutzer jedoch über sämtliche Nutzungs- und Suchbarkeitsoptionen, wie bereits aus den durch den Kläger selbst vorgelegten Screenshots hervorgeht. Der Nutzer kann dabei schon zu Beginn der Datenschutzrichtlinie feststellen, dass seitens der Beklagten auf die individuelle Anpassung der Privatsphäre-Einstellungen aufmerksam gemacht wird.

Vor dem Hintergrund, dass seitens der Beklagten über die Nutzungs- und Findungsmöglichkeiten aufgeklärt wurde, hätte es dem Kläger also von Anfang oblegen, die seinem „Sicherheitsempfinden“ nach richtige Einstellung zur Suchbarkeit zu wählen. Dabei macht die Beklagte auch ausreichend deutlich, dass man das Profil eines Nutzers über die Mobilfunknummer als solches finden kann, wenn man – wie der Kläger – die Suchbarkeitsfunktion über die Mobilfunknummer überhaupt und überdies für jedermann eröffnet. Dieses Auffinden an sich ist der für den Nutzer relevante Punkt. Insoweit hat der Kläger selbst ja am 15.05.2021 auch diese Suchbarkeitseinstellung von ‘‘alle‘‘ auf ‘‘nur ich‘‘ geändert, was auch dafür spricht, dass hier eine ausreichende Aufklärung über die Einstellungsmöglichkeiten entsprechend seinem Sicherheitsempfinden stattgefunden hat. Ansonsten hätte der Kläger kaum – wohl von sich aus - eine Änderung vorgenommen.

Auch aus dem Umfang dieser Datenschutzinformation kann nicht auf eine Unübersichtlichkeit geschlossen werden. In Anbetracht der Vorgaben der DSGVO und der damit verbundenen vielseitigen Informationsverpflichtungen liegt es in der Natur der Sache, dass eine Datenschutzinformation umfangreich ausfällt (vgl. LG Essen, Urteil v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 50; LG Bielefeld, Urteil vom 10.03.2023 – 19 O 147/22).

Diesem Umstand begegnet die Beklagte aber gerade mit einer Erklärung, die es dem Nutzer ermöglicht, die für ihn interessanten Bereiche anzusteuern, auch wenn das Durchlesen der verschiedenen Hinweise einen gewissen zeitlichen Aufwand erfordert.

Die vorstehenden Ausführungen gelten, wie schon ausgeführt, insbesondere angesichts des Umstandes, dass die Anmeldung des Klägers bei G erfolgt ist, d.h. einem sozialen Netzwerke, welches eben gerade dem Finden und dem Austausch von Informationen dient. Demnach kann man dann aber auch von einem durchschnittlichen, verständigen Nutzer erwarten, dass sich dieser sorgfältig mit den Hinweisen auseinandersetzt, um für sich eine Entscheidung zu treffen, ob und welche Informationen er in welchem Umfang freigibt und wie weitgehend er die Kommunikationsplattform der Beklagten nutzen will (vgl. LG Bochum – Urteil vom 12.05.2023 – Az. 4 O 152/22 – und Urteil vom 03.05.2023 – Az. 3 O 116/22 -; LG Essen Urteil v. 10.11.2022 – 6 O 111/22; LG Halle Urteil v. 28.12.2022 – 6 O 195/22; LG Bielefeld, Urteil vom 10.03.2023 – 19 O 147/22).

Ebenso wenig ist ein Pflichtenverstoß der Beklagten, die personenbezogenen Daten der Nutzer ausreichend gemäß Art. 32 DSGVO zu schützen, zu erkennen.

aa.

Art. 32 DSGVO verlangt Verarbeitungsprozesse, bei denen ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten gewährleistet ist, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten. Anknüpfend an den Gedanken der Schaffung eines solchen Schutzniveaus kann sich eine derartige Verpflichtung in Anbetracht des Wortlautes des Art. 32 Abs. 1 lit. b) DSGVO allerdings nur auf solche Datensätze beziehen, die nicht gerade einem Schutz der Vertraulichkeit entzogen werden sollen (so auch LG Bochum – Urteil vom 12.05.2023 – Az. 4 O 152/22 – ; LG Kiel; Urteil vom 12.01.2023 – 6 O 154/22).

Dies zu Grunde gelegt, hat die Beklagte nicht gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, verstoßen. Insbesondere war die Beklagte entgegen einer ebenfalls in der Rechtsprechung vertretenen Auffassung nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils des Klägers aufgrund seiner selbst gewählten Einstellung zu verhindern (vgl. ebenso: LG Bochum – Urteil vom 12.05.2023 – Az. 4 O 152/22 – und Urteil vom 03.05.2023 – Az. 3 O 116/22 -; LG Bielefeld, Urteil vom 10.03.2023 – 19 O 147/22 –; LG Essen – Urteil vom 10.11.2022- Az. 6 O 111/22 -).

Diese Einstellung lautete jedenfalls lange Zeit (bis zum 15.05.2021), dass ihn alle anderen Nutzer über seine Telefonnummer finden können. Diese Einstellung beinhaltet dann aber auch das Finden des Klägers durch Dritte über seine Mobilnummer, die Dritte etwaig auch unter Zuhilfenahme elektronischer Möglichkeiten zufällig erzeugt oder anderweitig erlangt haben und so einen Abgleich von in das sog. Contact-Import-Tool der Plattform hochgeladenen und etwaig generierten Telefonnummern mit dem dort eingerichteten Konto des Klägers vornehmen. Es handelt sich also bei den gescrapten personenbezogenen Daten des Klägers um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnliches nach den individuell zu Anfang vorgenommenen Einstellungen abrufbar waren, was dem Kläger bereits durch die Anmeldung bekannt war. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig. Diese Verarbeitung in Form des Scrapens erfolgt auch durch Dritte und nicht durch die Beklagte (vgl. ebenso: LG Bochum – Urteil vom 12.05.2023 – Az. 4 O 152/22 – und Urteil vom 03.05.2023 – Az. 3 O 116/22 -; LG Essen Urteil v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 54; LG Bielefeld, Urteil vom 10.03.2023 – 19 O 147/22; LG Kiel, Urteil vom 12.01.2023 – 6 O 154/22).

bb.

Der von den Scrapern unter Nutzung des sog. Contact-Import-Tools hergestellte Abgleich zwischen der von ihnen hochgeladenen Telefonnummer des Klägers mit seinem Konto stellt zwar eine Verarbeitung i.S.d. DSGVO dar. Jedoch erfolgte die Verarbeitung weder durch die Beklagte noch war diese verpflichtet, das Konto des Klägers vor dessen Auffinden über die Telefonnummer zu schützen, da der von den Scrapern hergestellte Abgleich als solcher im Hinblick auf die vom Kläger ungeänderten Einstellungen nicht unbefugt bzw. unrechtmäßig war.

Der Kläger hatte – zumindest zunächst - eingestellt, dass ihn „everyone“ „by phone number“ suchen kann. Zugleich hatte er der Beklagten seine Telefonnummer freiwillig angegeben, die im Rahmen der Suchbarkeitseinstellungen verwandt wurde, um festzulegen, welche Personen das Konto des Klägers anhand dessen Telefonnummer finden können, dies waren nach der individuellen Einstellung nämlich zunächst alle Personen. Der von den abschöpfenden Personen veranlasste Abgleich war folglich jeder Person, die – wie die Scraper – über die Telefonnummer des Klägers verfügte oder sie technisch erzeugte, möglich und ist nicht unbefugt bzw. unrechtmäßig im Sinne der DSGVO, wenn die Einstellung so erfolgte, wie sie der Kläger selbst und für sich individuell zunächst vorgenommen hat (vgl. ebenso: LG Bochum – Urteil vom 12.05.2023 – Az. 4 O 152/22 – und Urteil vom 03.05.2023 – Az. 3 O 116/22 -; LG Essen Urteil v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 54; LG Bielefeld, Urteil vom 10.03.2023 – 19 O 147/22).

Die Beklagte durfte angesichts ihrer Hinweise in den Datenverwendungsrichtlinien, die der Kläger als gelesen bei der Registrierung angab, erwarten, dass dem Kläger bekannt ist, dass sein Konto über seine Telefonnummer für jedermann aufzufinden ist. Dies zumal es der Kläger selbst in der Hand hatte, überhaupt seine Mobilnummer anzugeben, ohne zugleich von Anfang an – wie dies ja später am 15.05.2021 erfolgte - unter Zuhilfenahme des jedem Nutzer der Plattform zugänglichen Hilfebereichs die Suchbarkeitseinstellungen für sein Konto dahingehend anzupassen, dass eben nicht alle Personen, die seine Telefonnummer hochladen, sein Konto auffinden können.

Die Beklagte hat auch nicht gegen das in Art. 24, 25 Abs. 2 DSGVO verankerte Prinzip „Privacy by default“ verstoßen.

Danach muss der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Dies soll vor allem den technisch unversierten Nutzer schützen.

aa.

Die Voreinstellungen sollen möglichst datenschutzfreundlich eingestellt werden, um die Privatsphäre der Nutzer zu gewährleisten.

Unstreitig sind für die Registrierung nur der Name, das Geschlecht und die ID notwendig bzw. sodann stets öffentlich sichtbar, wozu jeder Nutzer auch durch Akzeptieren der Datenschutzbestimmungen zustimmt.

100

Soweit jemand sich dann aber entschließt, seine Telefonnummer zu hinterlegen, was für die Registrierung bei G nicht erforderlich ist, sondern es lediglich einfacher machen soll, gefunden zu werden, ist diese Einstellung zwar zunächst auf „everyone“ „by phone number“ gestellt. Ändert man diese Einstellung nicht, so kann der jeweilige Nutzer über seine Mobilnummer gefunden werden. Insoweit wird aber der technisch unkundige Nutzer gleichwohl über die entsprechenden Hinweise ausreichend informiert und über die Einstellungsmöglichkeiten und insbes. deren Begrenzungsmöglichkeiten in Kenntnis gesetzt (vgl. ebenso: LG Bochum – Urteil vom 12.05.2023 – Az. 4 O 152/22 – und Urteil vom 03.05.2023 – Az. 3 O 116/22 -; LG Essen Urteil v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 54; LG Bielefeld, Urteil vom 10.03.2023 – 19 O 147/22).

101

Zudem ist auch hier zu beachten, dass sich jeder Internetnutzer, der insbesondere freiwillig die Plattform eines sozialen Netzwerkes wie das der Beklagten nutzt, bewusst sein muss, dass es Internetgepflogenheiten gibt, mit denen man sich auch im Rahmen des Art. 25 DSGVO vertraut zu machen hat, will er solche Kommunikationsplattformen gebrauchen. Dies hat der Kläger offensichtlich zu Anfang nicht getan, jedenfalls hat er trotz ausreichender Informationen zu Anfang keine Veränderung vorgenommen, sondern dies erst später – wohl von sich aus - am 15.05.2021 getan, was auch dafür spricht, dass ausreichende Informationen über die Beschränkungsmöglichkeiten bestanden.

102

bb.

103

Überdies hat die Beklagte in der Klageerwiderung und im Schriftsatz vom 27.02.2023 im Rahmen einer (sekundären) Darlegungslast substanziiert und eingehend dargelegt, dass sie entgegen der pauschalen Behauptung des Klägers technische Maßnahmen ergriffen hat, um Scraping zu erschweren, indem sie nämlich eine Hürde dergestalt implementiert hat, dass Abfragen in gewissem Umfang von ein- und derselben IP-Adresse in einem bestimmten Zeitraum nicht möglich sind bzw. gestoppt werden, ebenso wie sie auch unter Verweis auf diverse Artikel, deren Link sie ebenfalls bekannt gegeben hat, die User informiert hat und schließlich über ein Team verfügt, das sich einzig mit der Verhinderung von Missbrauch von Daten ihrer User beschäftigt.

104

Angesichts dieser konkreten Ausführungen wäre von dem Kläger zu erwarten gewesen, dass er anhand dieses konkreten Vortrags weiter und insbesondere konkret bezogen auf diese dargestellten Maßnahmen und eben nicht nur pauschal ausführt, warum er trotzdem von einem Verstoß gegen Art. 25 DSGVO ausgeht.

105

Selbst wenn man die Darlegungslast im Lichte der Rechtsprechung des EuGH (vgl. Urteil vom 24.2.2022, C 175-20, Rn. 77, 78) zunächst bei der Beklagten sieht, so ist sie dieser im Hinblick auf ihre konkret und substanziiert in den genannten Schriftsätzen dargelegten Bemühungen nachgekommen, ohne dass der Kläger diesem ausführlichen Vortrag seinerseits konkret entgegengetreten und dies erheblich mit konkretem Vortrag, der zu verlangen gewesen wäre, bestritten hat, so dass es auch insoweit nicht einer Beweisaufnahme bedurfte (vgl. ebenso: LG Bochum – Urteil vom 12.05.2023 – Az. 4 O 152/22 – und Urteil vom 03.05.2023 – Az. 3 O 116/22 -; LG Essen Urteil v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818, Rn. 64, 67; LG Bielefeld, Urteil vom 10.03.2023 – 19 O 147/22; LG Kiel, Urteil vom 12.01.2023 – 6 O 154/22). Denn der Kläger führt schon nicht näher aus, worin der Verstoß gegen Art. 25 DSGVO im Einzelnen vorliegen soll, insbesondere auch nicht, worin die irische Datenschutzbehörde diese gesehen haben soll.

106

107

Die Beklagte hat ihre Pflicht gemäß Art. 33 DSGVO, der zuständigen Aufsichtsbehörde den Datenschutzverstoß zu melden, ebenfalls nicht verletzt. Da hinsichtlich des Scraping-Vorfalls der Beklagten kein Datenschutzverstoß anzulasten ist, bestand auch keine Verpflichtung diesen zu melden (vgl. LG Essen Urteil v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818 Rn. 69; LG Bielefeld, Urteil vom 10.03.2023 – 19 O 147/22; LG Kiel, Urteil vom 12.01.2023 – 6 O 154/22).

108

Insoweit ist weiter keine Benachrichtigung des Betroffenen erforderlich, wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt hat, was vorliegend aus den bereits dargelegten Erwägungen zu bejahen ist.

109

Ob die irische Datenschutzbehörde diesbezüglich eine abweichende Auffassung vertritt ist unerheblich, da dies die Kammer nicht von einer eigenständigen Würdigung der Rechtslage entbindet, welche wiederum entsprechend der vorstehenden Ausführungen vorliegend keine Pflichtverletzung der Beklagten festzustellen vermag.

110

111

Unabhängig davon, dass bereits keine schadensersatzbegründende Pflichtverletzung der Beklagte nicht gegeben ist und allein deshalb die Haftung gem. Art. 82 Abs. 1 DSGVO ausscheidet, fehlt es zudem auch an einer ausreichenden Darlegung eines ersatzfähigen Schadens des Klägers im Sinne der genannten Grundlage, so dass auch die weitere kumulativ notwendige Voraussetzung nicht gegeben ist.

112

Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff zwar weit auszulegen (s. Erwägungsgrund Nr. 146, auch wenn er in der DSGVO nicht näher definiert wird), allein eine unterstellte Verletzung des Datenschutzrechts als solche begründet allerdings nicht schon für sich gesehen einen Schadensersatzanspruch für betroffene Personen, was der EUGH in seiner Entscheidung vom 04.05.2023 (EUGH - Urteil vom 04.05.2023- C-300/21) eindeutig bestätigt hat. Auch wenn nach dieser Entscheidung keine Erheblichkeitsschwelle für die Bejahung eines Schadens im Sinne des Art. 82 Abs. 1 DSGVO existiert, enthebt dies einen Kläger jedoch nicht davon, konkrete Umstände in seinem individuellen Einzelfall vorzutragen, aus denen sich eine Beeinträchtigung gerade bei ihm ergibt.

113

Der Kläger trägt jedoch nur unspezifisch und - wie die Kläger-Vertreter dies offensichtlich in jedem Verfahren ohne Bezug zum konkreten Einzelfall so machen, was die Kammer aus den bei ihr anhängigen Verfahren bestätigen kann, wo der Schaden in allen Fällen nahezu wortgleich begründet wird – nur völlig pauschal vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2018 bis 2019 und der Veröffentlichung im April 2021 im sog. Darknet sei es zu einem Anstieg von Kontaktaufnahmen von Unbekannten via E-Mail und seiner Mobilfunknummer gekommen, er sei in der Folge bei jeder Kontaktaufnahme misstrauisch.

114

Dabei handelt es sich jedoch offenkundig um allgemein gehaltene Ausführungen der Kläger-Vertreter für eine Vielzahl von Fällen ohne konkreten Fallbezug auf die Person des Klägers, bezeichnenderweise ist der Vortrag in allen Verfahren der Kläger- Vertreter nahezu identisch. Es ist jedoch kaum nachvollziehbar, dass bei allen Parteien der Kläger-Vertreter nahezu die gleichen Beeinträchtigungen und Folgen vorliegen. Der Kläger setzt sich zudem weder damit auseinander, dass die wesentlichen abgeschöpften Daten, wie eingangs ausgeführt, ohnehin via G für jedermann abrufbar sind. Gegen das tatsächliche Vorliegen und die Plausibilität der vom Kläger nur pauschal und ohne jeden individuellen Bezug behaupteten Beeinträchtigungen spricht gerade der Umstand, dass es sich bei den gescrapten Daten des Klägers - jedenfalls zum ganz erheblichen Teil - um Daten handelt, die immer öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Von daher ist ohne weitere Erläuterung bezogen auf die konkrete Person des Klägers nicht ohne weiteres nachvollziehbar, weshalb eine weitere Veröffentlichung solcher Daten beim Kläger zu einem unguten Gefühl geführt haben sollte.

115

Weiter trägt der Kläger auch keine bei ihm selbst konkret und spürbar aufgetretenen Beeinträchtigungen von persönlichen Belangen – hervorgerufen durch Datenverlust – vor. Außerdem fehlt es an jedwedem Vortrag, welche Maßnahmen er nach Bekanntwerden des Datenverlustes ergriffen haben will, um seinem etwaigen Unwohlsein irgendwie Rechnung zu tragen.

116

Vor diesem Hintergrund der fehlenden Konkretisierung sind die behauptete Furcht vor dem Kontrollverlust und Sorge vor dem Missbrauch seiner Datenerscheinen jedoch nicht plausibel.

117

II.

118

Aus den vorstehend dargestellten Gründen besteht mangels Pflichtverletzung der Beklagten und wegen eines nicht ausreichend dargelegten Schadens auch kein denkbarer Anspruch des Klägers auf Zahlung eines immateriellen Schadensersatzes aus dem Nutzungsvertrag i.V.m. § 280 Abs. 1, Abs. 3, 281 BGB.

119

Ein immaterieller Schadensersatzanspruch ergibt sich zudem auch nicht entsprechend den unter Ziffer I. getätigten Ausführungen auch nicht aus § 823 Abs. 2 BGB i.V.m. dem Recht auf informationelle Selbstbestimmung bzw. §§ 823 Abs. 1, 253 Abs. 2 BGB i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG, dessen Anwendbarkeit neben den Vorschriften der DSGVO ohnehin umstritten ist. Auch hier fehlt es aus den dargelegten Gründen an einer Pflichtverletzung sowie an einem denkbaren Schaden

120

III.

121

Dem Kläger steht gegen die Beklagte auch kein Anspruch aus §§ 1004 analog, 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1, 17 DSGVO und Art. 13, 14 DSGVO auf Unterlassung zu.

122

Ungeachtet der Einordnung des Art. 6 Abs. 1 DSGVO als Schutzgesetz fehlt es, wie bereits dargestellt, jedenfalls an einem entsprechenden Verstoß und einer Zuwiderhandlung der Beklagten, welche zu einem Unterlassungsanspruch führt oder einen solchen begründen kann. Auch nicht für die Zukunft ist eine solche nicht zu befürchten, jedenfalls ist dafür nichts ersichtlich.

123

IV.

124

Ein Auskunftsanspruch des Klägers nach Art. 15 Abs. 1 DSGVO besteht in der Folge ebenfalls nicht.

125

Die Beklagte hat dem Kläger bereits Auskunft über die von ihr verarbeiteten Daten in angemessener Weise erteilt und zu weiterer Auskunft nicht imstande ist; damit ist die Auskunftspflicht erfolgt. Welche Daten des Klägers gescrapt worden sind, ist dem Kläger ohnehin bereits bekannt, so dass auch diesbezüglich keine weitergehende Auskunftspflicht bestehen kann.

126

Soweit sich der Anspruch ferner ggf. weitere Auskunft über die Empfänger der „Scraping-Daten“ und deren Handeln beziehen sollte, scheitert ein Anspruch daran, dass die Beklagte zu einer solchen weiteren Informationen nicht imstande ist. Ohnehin könnte sich eine Auskunftsanspruch gegenüber der Beklagten auch nicht darauf beziehen, inwieweit die durch das Scraping erlangten öffentlich einsehbaren Daten von Dritten etwaig verarbeitet wurden, da dieses Begehren keine Verarbeitung von Daten durch die Beklagte selbst betrifft.

127

128

Der Feststellungsantrag sowie die weiteren Nebenforderungen sind aus denselben Erwägungen ebenfalls unbegründet.

129

C. Nebenentscheidungen

130

Die Kostenentscheidung folgt aus § 91 ZPO.

131

Die vorläufige Vollstreckbarkeit richtet sich nach §§ 708 Nr. 11, 711 ZPO.