Landgericht Bonn, 17 O 165/22

Az.:17 O 165/22

Verkündet am: 08.03.2023

Landgericht BonnUrteil

In dem Rechtsstreit

In pp.

Spruchkörper: 17. Zivilkammer

Vorinstanz:

Nachinstanz: 15 W 40/23

Leitsätze:

Normen:

Schlagwörter:

RK-Datum: 10.04.2023

für Recht erkannt:

Die Klage wird abgewiesen.

Die Kosten des Rechtsstreits trägt der Kläger.

Das Urteil ist vorläufig vollstreckbar. Dem Kläger bleibt nachgelassen, die Vollstreckung gegen Sicherheitsleistung in Höhe von 120% des auf Grund des Urteils vollstreckbaren Betrags abzuwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 120 % des jeweils zu vollstreckenden Betrags leistet.

Tatbestand

Der Kläger macht gegen die Beklagte Ansprüche auf Schadensersatz, Unterlassung und Auskunft wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung (folgend: DSGVO) geltend.

Der Kläger unterhält ein Nutzerkonto bei der Social Media Platform „I..com“ mit der E-Mail-Adresse: E-Mail01.

Er nutzt die Plattform insbesondere um mit Freunden zu kommunizieren, private Fotos zu teilen und für Diskussionen mit anderen Nutzern. Die Beklagte betreibt die zuvor benannte Plattform auf dem Gebiet der europäischen Union. Ihre Dienste ermöglichen es Nutzern, persönliche Profile zu erstellen und mit Freunden zu teilen. Auf ihren persönlichen Profilen können die Nutzer Angaben zu verschiedenen Daten zu ihrer Person machen und in dem von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf ihre Daten zugreifen können.

Bei dem Anlegen eines I.-Profils muss ein Nutzer Datenschutz- und Cookie Richtlinien zustimmen. Diese sind jeweils durch Verlinkungen getrennt abrufbar. Die Datenschutzeinstellungen enthalten dabei insbesondere Informationen darüber, welche der vom Nutzer erteilten Informationen immer öffentlich zugänglich sind (unter anderem Name, Geschlecht und I.-ID) und die Angabe, dass öffentlich zugängliche Informationen jeder, das heißt auch Personen außerhalb der Plattform, sehen kann. Nach der Anmeldung sind zunächst die Standardeinstellungen aktiv. Das heißt, dass zunächst „Freunde“ sehen, welche Informationen der Nutzer über die von ihm über die öffentlichen Informationen hinausgehenden Informationen bereitgestellt hat (Zielgruppenauswahl). Zudem können „alle“ den Nutzer über seine E-Mail-Adresse und sofern er diese angegeben hat, seine Telefonnummer finden (Suchbarkeits-Einstellung). Der Nutzer kann diese Einstellungen individuell verändern und im Hilfebereich einlesen, wie I. insbesondere die Telefonnummer verwendet. Die Angabe dieser ist nicht zwingend. Entscheidet sich ein Nutzer – wie hier auch der Kläger – dazu, diese anzugeben, kann er über die Suchbarkeits-Einstellungen bestimmen, ob sein I.-Profil auf der I.-Plattform mithilfe einer Telefonnummer gefunden werden kann. Ausweislich des beklagtenseits vorgelegten Screenshots (vgl. Bl. 198 d.A.) war die Suchbarkeit des Klägers auf I. bis zum 09.08.2018 auf „Everyone“, d.h. „Alle“, eingestellt, danach änderte der Kläger seine Einstellungen auf „Friends“, d.h. „Freunde“. Am 17.07.2020 änderte der Kläger seine Einstellungen von „Friends“, d.h. „Freunde“ auf „Only me“, d.h. „Nur ich“.

Die Beklagte betreibt auch eine Messenger-App als Applikation für Smartphones. Nutzer melden sich bei dieser mit ihrem bereits bestehenden I.-Profi an, sodass die Messenger-App und die Funktionen von I. über denselben Zugang zum Account verknüpft sind.

Im Jahr 2019 sammelten Dritte mittels des Contact-Importer-Tools (CIT) der Plattform eine Vielzahl der auf der Plattform der Beklagen verfügbaren Informationen (sogenanntes Scraping). Es handelt sich dabei um Profilinformationen, die immer öffentlich oder zu diesem Zeitpunkt aufgrund der Privatsphäreeinstellung des Nutzers einsehbar waren, wobei streitig ist, ob dazu auch Bundesland, Land, Stadt und Beziehungsstatus gehören. Zusätzlich waren auch Telefonnummern betroffen, die mit dem jeweiligen Nutzerprofil verknüpft waren. Indem eine Vielzahl von Kontakten in das CIT eingegeben wurden, gelang es Dritten, Telefonnummern konkreten I.-Profilen zuzuordnen. Das CIT gab, sofern eine der hochgeladenen Telefonnummern mit dem Konto eines Nutzers, der seine Telefonnummer eingegeben und in den Suchbarkeits-Einstellungen die Standardeinstellung nicht geändert hatte, verknüpft war, diese Information an die Dritten. Dieser wurde dann auf seinem Profil besucht und von dort wurden die öffentlich einsehbaren Daten gescrapt („abgeschöpft“). Einzelheiten hinsichtlich des Ablaufs des Scrapings im hiesigen Fall sind zwischen den Parteien streitig.

Dieses Sammeln von Daten mit Hilfe automatisierter Tools und Methoden war und ist nach den Nutzungsbedingungen der Beklagten untersagt.

Anfang April 2021 wurden diese gescrapten Daten von mehr als 500 Millionen Nutzern aus 106 Ländern im Internet öffentlich verbreitet. Hierzu gehörten auch die immer öffentlich zugänglichen Daten des Klägers sowie seine mit seinem Konto verknüpfte Telefonnummer.

Mit vorgerichtlichem Schreiben vom 03.08.2021 (vgl. Bl. 53ff. d.A.) forderten die Prozessbevollmächtigten des Klägers die Beklagte zur Zahlung von 500,00 € Schadensersatz, Unterlassung zukünftiger Zugänglichmachung der Klägerdaten an unbefugte Dritte und Auskunft darüber, welche Daten im April 2021 abgegriffen wurden bis zum 06.09.2021 auf.

Die Beklagte erteilte dem Kläger mit Schreiben vom 23.08.2021 (vgl. Bl. 78ff. d.A.) dazu einige Auskünfte, die dem Kläger nicht genügen.

Der Kläger vertritt die Auffassung, die Beklagte verstoße gegen die DSGVO, da sie im Jahr 2019 ihn betreffende personenbezogene Daten ohne Rechtsgrundlage im Sinne der Art. 6 und 7 DSGVO und Information im Sinne von Art. 13 und 14 DSGVO verarbeitet, diese Daten unbefugten Dritten zugänglich gemacht und Pflichten aus Art. 5, 25, 32 und 34 sowie seine Betroffenenrechte gemäß Art. 15, 17 und 18 DSGVO verletzt habe.

Er behauptet, dass die Telefonnummern wegen einer Sicherheitslücke mit den restlichen Personendaten haben korreliert werden können. Indem eine Vielzahl von Kontakten in ein virtuelles Adressbuch eingegeben worden sei, sei es Unbekannten gelungen, die Nummern konkreten I.-profilen zuzuordnen, ohne dass die in den Profilen hinterlegten Telefonnummern öffentlich freigegeben worden seien. Um die Telefonnummer jeweils zu korrelieren, sei mit Hilfe des CIT jede fiktive Nummer geprüft und der zugehörige I.-Nutzer angezeigt worden. Auf seinem Profil sei er dann besucht und von dort seien die öffentlichen Daten gescrapt worden. Ein Programm habe unzählige Kombinationen von Telefonnummern getestet, um festzustellen, ob dieses mit einem I.-Nutzer übereinstimme beziehungsweise, ob diese bei I. hinterlegt sei. Wenn dies der Fall gewesen sei, sei es dem Programm möglich gewesen, sämtliche Daten des Nutzers abzufragen und zu exportieren.

Durch das Scraping seien Daten wie Telefonnummer, E-Mail-Adresse, Wohnort, Geburtsdatum, Stadt, Beziehungsstatus, Bundesland, Geburtsort sowie weitere korrelierende Daten abgegriffen worden.

In der Replik behauptet er, der im Darknet für jedermann abrufbare Datensatz enthalte folgende personenbezogene Daten:

„N01,N02,F.,Y.,0/0/0000 00,00,00AM„"

Die Beklagte habe keine Sicherheitsvorkehrungen gegen das Abgreifen seiner Daten getroffen und insbesondere keine Sicherheitscapchas installiert, um eine automatisierte Nummernabfrage zu verhindern. Ebenso wenig werde ein Mechanismus zur Überprüfung der Plausibilität der Anfragen bereitgehalten. Wäre ihm bewusst gewesen, dass die Beklagte unzureichende Sicherheitsmaßnahmen hinsichtlich der Verknüpfbarkeit der Telefonnummer und der übrigen Daten ergriffen hätte, so hätte er seine Telefonnummer nicht angegeben. Zudem seien die Einstellungen insbesondere auch zur Sicherheit der Telefonnummer auf I.undurchsichtig und kompliziert, sodass die Nutzer keine sicheren Einstellungen erreichen könnten. Es sei daher mit hoher Wahrscheinlichkeit zu erwarten, dass Nutzer die voreingestellten Standardeinstellungen nicht änderten. Zudem gebe es insgesamt mindestens drei unterschiedliche Einstellungsmöglichkeiten hinsichtlich der Verwendung der Telefonnummer, teilweise in verschiedenen Apps und teilweise räumlich getrennt.

Er habe einen erheblichen Kontrollverlust über seine Daten erlitten und leide unter großem Unwohlsein und großer Sorge vor einem möglichen Missbrauch seiner Daten. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Er erhalte unregelmäßig E-Mails sowie regelmäßig Anrufe von unbekannten Telefonnummern und SMS-Benachrichtigungen mit dubiosen Aufforderungen zum Anklicken von unbekannten Links. Die Auswirkungen der Ängste, des Stress, der Komfort- und Zeiteinbußen lägen darin, dass er sich mit dem Datenleak und der Herkunft der Daten habe auseinandersetzen müssen. Dies sei geeignet zu einem belastenden Eindruck des Kontrollverlusts zu führen. Dass die benannten Daten in Kombination sogar im Darknet gehandelt würden, vergrößere seine Ängste und seinen Stress. Der Schaden liege unter anderem in dem Verlust der Kontrolle über die ihn betreffenden personenbezogenen Daten. Dies führe bei ihm zu dem Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit. Er habe auch zusätzlich Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen.

Der Umgang der Beklagten mit der Situation sei nicht ordnungsgemäß gewesen. Diese habe ihn nicht darüber informiert, dass Infos von ihrer Plattform durch Dritte entwendet und veröffentlicht worden seien. Es habe keine persönliche Benachrichtigung und keine allgemeine öffentliche Bekanntmachung gegeben. Die Beklagte habe es – was unstreitig ist - unterlassen, die Datenschutzbehörde Irish Data Protection Commission über den Vorfall zu informieren.

Die ihm in dem Auskunftsschreiben der Beklagten mitgeteilte Auskunft sei, so die Auffassung des Klägers, unzureichend, da sie nur allgemeine Informationen zu den auf I. verarbeiteten Daten sowie einen Link zur Seite der Beklagten enthalte, auf der die über einen individuellen Nutzer gespeicherten Daten eingesehen werden könnten. Dieses Vorgehen reiche schon nicht, um dem nach Art. 15 DSGVO umfassenden Auskunftsanspruch gerecht zu werden. Zudem enthalte das Schreiben keine Aussage dazu, welche Daten von ihm abgegriffen worden seien. Es bleibe offen, wann genau die Daten entwendet worden seien oder wie viele verschiedene Beteiligte diese Funktion hinsichtlich seiner Daten ausgenutzt hätten. Die Empfänger der personenbezogenen Daten seien konkret zu benennen.

Der Kläger beantragt,

1. die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 € nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz;

2. festzustellen, dass die Beklagte verpflichtet ist, ihm alle künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden;

3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a. seine personenbezogenen Daten, namentlich Telefonnummer, I.-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern;

b. seine Telefonnummer auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der I.-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird;

4. die Beklagte zu verurteilen, ihm Auskunft über die ihn betreffenden personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten;

5. die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte meint, das Scraping stelle keinen Datenschutzverstoß dar. Sie behauptet, es liege keine Sicherheitsverletzung vor. Dritte hätten lediglich Informationen von I. abgerufen, die ohnehin öffentlich einsehbar gewesen seien. Das Abrufen habe im Einklang mit den jeweiligen Privatsphäre-Einstellungen „öffentlich“ auf der I.-Plattform gestanden. Es seien allenfalls öffentlich einsehbare Daten abgerufen und an anderer Stelle erneut zugänglich gemacht worden.

Darüber hinaus stelle sie ihren Nutzern alle in Art. 13 und 14 DSGVO festgelegten Informationen zur Datenverarbeitung zur Verfügung. Es liege daher kein Verstoß gegen die Transparenzpflicht der DSGVO vor. Ferner gebe es eine umfassende und transparente Information über die Möglichkeit der Anpassung der Suchbarkeits-Einstellungen und Zielgruppenauswahl. Diese habe der Kläger jederzeit anpassen können.

Zudem halte sie eine Vielzahl von Maßnahmen zur Vermeidung von Scraping vor und entwickle diese auch laufend weiter. Sie stelle den Nutzern Informationen zum Thema Scraping zur Verfügung, die auch Informationen enthielten, wie Nutzer das Abrufen ihrer Daten mittels Scraping erschweren könnten.

Es fehle auch an einem immateriellen Schaden. Selbst die Annahme eines Kontrollverlustes über öffentlich einsehbare personenbezogene Daten des Klägers begründe einen solchen nicht. Sie bestreitet mit Nichtwissen, dass der Kläger infolge des Scraping-Sachverhalts unregelmäßig Kontaktversuche via SMS und E-Mail mit offensichtlichen Betrugsversuchen und potenziellen Virenlinks erhalte. Selbst wenn man zugunsten des Klägers unterstellen wolle, dass dieser wiederholt Pishing-Nachrichten erhalten habe, sei kein Zusammenhang zum Scraping-Sachverhalt erkennbar.

Sie halte keine Kopie der Rohdaten vor, die die durch Scraping abgerufenen Daten enthielten. Sie habe dem Kläger jedoch mitgeteilt, welche Datenkategorien nach den der Beklagten zum Zeitpunkt der Auskunftserteilung verfügbaren Erkenntnissen in den durch Scraping abgerufenen Daten erschienen und mit den Informationen auf dem I.-Profil des Klägers übereinstimmen würden.

Wegen der weiteren Einzelheiten des Sach- und Streitstands wird auf die gewechselten Schriftsätze der Parteien nebst Anlagen sowie auf das Protokoll der mündlichen Verhandlung vom 08.02.2023 (vgl. Bl. 881ff. d.A.) Bezug genommen.

Die Klageschrift wurde der Beklagten am 26.10.2022 zugestellt.

Entscheidungsgründe

Die Klage ist zulässig, aber unbegründet.

Die Klage ist zulässig.

Entgegen der Auffassung der Beklagten ist der Klageantrag zu 1) hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Er ist nicht deshalb unbestimmt, weil der Kläger – wie die Beklagte meint – sein Begehren auf zwei unterschiedliche Lebenssachverhalte und damit auf zwei Streitgegenstände stützt. Tatsächlich ist hier nur ein Lebenssachverhalt zu beurteilen, nämlich der, ob die Beklagte vor dem Scraping durch Dritte im April 2021 hinreichende Datenschutzvorkehrungen getroffen hatte und danach etwaige Lücken geschlossen beziehungsweise ihre Nutzer unzureichend oder intransparent informiert hat (so auch LG Essen, Urteil vom 10.11.2022 – 6 O 111/22; LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22).

Zudem besteht auch hinsichtlich des Klageantrags zu 2) das erforderliche Feststellungsinteresse im Sinne des § 256 Abs. 2 ZPO. Ein Feststellungsantrag ist schon dann zulässig, wenn die Schadensentwicklung noch nicht abgeschlossen ist und der Kläger seinen Anspruch deswegen ganz oder teilweise nicht beziffern kann (OLG Hamm, Urteil vom 21.05.2021 – 9 U 56/18). Das Feststellungsinteresse ist deshalb nur dann zu verneinen, wenn aus Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (hier nur: BGH, Beschluss vom 09.01.2007 – VI ZR 133/06). Dies ist hier nicht ausgeschlossen. Der Kläger gibt an, dass es durch die behauptete unbefugte und unkontrollierte Verwendung der behauptet gescrapten Daten nicht absehen könne, welche Dritten Zugriff auf seine Daten erhalten hätten und für welche Zwecke die Daten missbraucht würden.

Im Übrigen bedarf es vorliegend bereits keiner Entscheidung, ob der Kläger ein Feststellungsinteresse hinreichend schlüssig dargelegt hat. Dieses ist nur im Fall eines stattgebenden Urteils eine echte Prozessvoraussetzung. Ist die Klage wie im vorliegenden Fall abzuweisen, da sie unbegründet ist, kann sie unabhängig von einem Feststellungsinteresse als unbegründet abgewiesen werden (so st. Rspr., hier nur: BGH, Urteil vom 10.10.2017, XI ZR 456/16 – juris).

Auch der Klageantrag zu 3) ist hinreichend bestimmt. Eine auslegungsbedürftige Antragsformulierung ist hinzunehmen, wenn dies zur Gewährleistung eines effektiven Rechtsschutzes notwendig ist, der Kläger seinen Antrag also nicht konkreter fassen kann (BGH, GRUR 2015, 1237; BGH NJW 2004, 2080). Dies ist hier der Fall. Im Lichte eines effektiven Rechtsschutzes im Sinne des Art. 19 GG wäre es verfehlt, von dem Kläger zu verlangen, für einen hinreichend konkreten Antrag den aktuellen Stand der Technik zu ermitteln. Dies auch vor dem Hintergrund, dass die technische Weiterentwicklung dazu führen würde, dass aktuelle Vorkehrungen veralten und der Kläger sodann erneut klagen müsste.

II.

Die Klage ist indes unbegründet.

Der Kläger hat keinen Anspruch auf Schmerzensgeld in der geltend gemachten Höhe von 1.000,00 €. Ein solcher ergibt sich weder aus Art. 82 DSGVO noch aus einer anderen Anspruchsgrundlage.

Ein Anspruch steht dem Kläger nicht nach Art. 82 Abs. 1 DSGVO zu.

Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.

Unabhängig davon, ob der Anwendungsbereich des Art. 82 DSGVO überhaupt eröffnet ist und ob bereits keine Pflichtverletzung im Sinne des Art. 82 DSGVO durch Verstoß gegen die Vorschriften der DSGVO (insbesondere Art. 32, 24, 25 Abs. 2, 33, 35, 15 DSGVO) vorliegt (vgl. insoweit etwa verneinend: LG Essen, Urteil vom 10.11.2022 – 6 O 111/22; bejahend: hier nur das LG Paderborn in diversen Entscheidungen, vgl. etwa Urteil vom 13.12.2022 - 2 O 212/22), fehlt es jedenfalls an einem ersatzfähigen Schaden des Klägers. Für den immateriellen Schadensersatz gelten die im Zusammenhang mit § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt daher dem Gericht nach § 287 ZPO (Quaas in: BeckOK Datenschutzrecht, Stand: 01.08.2022, Art. 82 Rn. 31). Für die Bemessung können die Kriterien des Art. 83 Abs. 2 herangezogen werden (so auch LAG Hamm BeckRS 2021, 21866 und LG Essen ZD 2022, 50 Rn. 48; das LG Saarbrücken hat diese Frage dem EuGH vorgelegt, ZD 2022, 162). Dies umfasst die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens sowie die Kategorien der betroffenen personenbezogenen Daten (vgl. auch: Spindler in BeckOK BGB, Stand: 01.11.2022, § 253 Rn. 26; LG München I ZD 2022, 242 Rn. 36 und umfassend LAG Hamm ZD 2021, 710). Darüber hinaus ist zu berücksichtigen, dass die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann (vgl. Quaas in: BeckOK Datenschutzrecht, Stand: 01.08.2022, Art. 82 Rn. 31 m.w.N.). Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren (ebd.). Dies lässt sich auch aus Art. 4 Abs. 3 EUV herleiten, wonach die Mitgliedstaaten Verstöße angemessen sanktionieren sollen (Wybitul/Haß/Albrecht NJW 2018, 113 (115)).

Ferner ist auch nach dem Erwägungsgrund 146 S. 3 der Schaden weit auszulegen. Allerdings reicht ein bloßer Datenschutzverstoß als solcher nicht aus, um einen Schadensersatzanspruch zu begründen. Die Betroffenen sollen nach dem Erwägungsgrund 146 S. 6 einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Der Schaden muss daher spürbar, objektiv nachvollziehbar und von gewissem Gewicht sein, um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen (Frenzel in: Paal/Pauly DS-GO, 3. Auflage 2021, Art. 82 Rn. 10). Verletzung und Schaden sind nicht gleichzusetzen. Zwar ist eine schwere Verletzung des Persönlichkeitsrechts nicht erforderlich, andererseits ist für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld nicht zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbar, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (vgl. LG Essen, Urteil vom 10.11.2022 – 6 O 111/22; LG Landshut, Urteil vom 06.11.2020 – 51 O 513/20). Als Beispiele nennt der Erwägungsgrund Nr. 75 zur DSGVO Identitätsdiebstahl oder –betrug, finanziellen Verlust oder Rufschädigung; Erwägungsgrund Nr. 85 zur DSGVO nennt daneben auch den Verlust der Kontrolle über personenbezogene Daten. Würde man jedes Unwohlsein und jede Sorge unter den Schadensbegriff fassen, so würde der Schadensbegriff überdehnt und eine ausufernde Haftung begründet. Ausschlaggebend ist mithin das ernsthafte Risiko eines Datenmissbrauchs (dazu ausführlich: LG Essen, Urteil vom 10.11.2022 – 6 O 111/22).

Dies zugrunde gelegt konnte das Gericht keine spürbare Beeinträchtigung von persönlichen Belangen des Klägers erkennen. Er hat eine solche nicht hinreichend dargelegt.

Der Kläger trägt lediglich schriftsätzlich vor, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und leide unter großem Unwohlsein und großer Sorge vor einem möglichen Missbrauch seiner Daten. Er erhalte unregelmäßig E-Mails sowie regelmäßig Anrufe von unbekannten Telefonnummern und SMS-Benachrichtigungen mit dubiosen Aufforderungen zum Anklicken von unbekannten Links. Die Auswirkungen der Ängste, des Stress, der Komfort- und Zeiteinbußen lägen darin, dass er sich mit dem Datenleak und der Herkunft der Daten habe auseinandersetzen müssen. Dies führe bei ihm zu dem Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit. Er habe auch zusätzlich Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen. Zunächst ist anzumerken, dass diese Ausführungen mit gleichem Wortlaut und Inhalt in einer Vielzahl weitere Verfahren vorgetragen werden.

Diese formelhaft beschriebenen Ängste und Sorgen sowie das Unwohlsein haben sich zudem in der mündlichen Verhandlung nicht bestätigt. Der Kläger persönlich gehört hat in der mündlichen Verhandlung am 08.02.2023 lediglich angegeben, er habe vor dem Wechsel seiner Telefonnummer Werbeanrufe und SMS erhalten. Zudem erhalte er- nach wie vor- auch Spam-Mails.

Dabei hat der Kläger selbst angegeben, er wisse nicht, ob dies in einem Zusammenhang mit dem Scraping-Vorfall stehe und hat erklärt, dass der Scraping-Vorfall für sich genommen auch nicht Anlass war, seine Handynummer zu wechseln. Zu einem Wechsel der Telefonnummer ist es nach den eigenen Angaben des Klägers lediglich gekommen, da der Kläger im Zuge eines Vertragswechsels, der aus Kostengründen erfolgte, sich auch zu einem Wechsel der Telefonnummer entschieden hat.

Die pauschal und allgemein gehaltenen Erläuterungen des Klägers sind nicht ausreichend. Das von dem Kläger beschriebene Phänomen des Erhalts von Spam-Mails, unlauteren SMS und Werbeanrufen stellt ein allgemeines Lebensrisiko dar, dem auch Personen ausgesetzt sind, die Social-Media-Kanäle nicht nutzen. Es bleibt auch unklar, ob diese tatsächlich im Zusammenhang mit dem Scraping-Vorfall stehen.

Es ist gerichtsbekannt, dass auch Inhaber von Mobilfunknummern, die niemals bei I. angemeldet waren, solche oder ähnliche Kontaktanfragen erhalten. Im Übrigen ist ein geschärftes Bewusstsein beim Erhalt von SMS stets angezeigt (vgl. auch: LG Bielefeld, Urteil vom 19.12.2022 - 8 O 182/22).

Zudem mag der Kläger mit seinem Vortrag, er habe einen Kontrollverlust erlitten nicht durchzudringen. Nach den eigenen Angaben des Klägers im Rahmen seiner persönlichen Anhörung sind lediglich seine Telefonnummer und E-Mail-Adresse öffentlich gestellt worden. Dabei handelt es sich nicht um besonders sensible Daten. Sowohl die E-Mail-Adresse als auch die Telefonnummer kann man wechseln und auch ein Identitätsmissbrauch aus dem Bekanntwerden der Telefonnummer erscheint äußerst unwahrscheinlich (so auch LG Essen, Urteil vom 10.11.2022 – 6 O 111/22). Im Übrigen war auch die Eingabe der Telefonnummer freiwillig.

Unglaubhaft sind vor dem Hintergrund des Ergebnisses der persönlichen Anhörung des Klägers ferner dessen schriftsätzlichen Ausführungen, er sei voller Sorge und habe Angst. Nach den Konsequenzen und Beeinträchtigungen durch den Scraping-Vorfall befragt, hat der Kläger lediglich angegeben, mit ungewollten SMS, E-Mails und Werbeanrufen konfrontiert gewesen zu sein. Das Auftreten von Ängsten und Sorgen hat der Kläger nicht geschildert. Zudem war der Kläger bis zum Schluss der mündlichen Verhandlung am 08.02.2023 bei I. angemeldet, wenngleich er Änderungen an seinen Profileinstellungen vorgenommen haben mag und hat zudem erklärt, neben I. auch die Socialmedia-Plattform Instagram zu nutzen.

Schließlich ist nicht ersichtlich, dass der Kläger irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Er hat geschildert, er habe ein You-Tube-Video seiner Prozessbevollmächtigten über den Scraping-Vorfall gesehen und sodann ein Formular auf einer Internetseite genutzt, um zu prüfen, ob die eigene Nummer betroffen sei. Dies sei der Fall gewesen. Im Anschluss hätte er sodann seine Prozessbevollmächtigten mit der Klageerhebung beauftragt.

Eine Vorlagepflicht nach Art. 267 AEUV bestand nicht.

Nur anzumerken ist an dieser Stelle, dass es darüber hinaus auch an der erforderlichen Kausalität fehlt. Insoweit ist auf die Ausführungen in dem Urteil des LG Essen vom 10.11.2022 (Az. 6 O 111/22) hinzuweisen.

Der Kläger selbst hat angegeben, nicht zu wissen, ob die vor Wechsel der Telefonnummer erhaltenen SMS und Werberufe sowie die nach wie vor bei ihm eingehenden Werbe-Emails auf den Scraping-Vorfall zurückzuführen seien.

Unabhängig von der Anwendbarkeit des nationalen Rechts neben den Regelungen der DSGVO ergibt sich auch aus diesem kein Anspruch des Klägers auf das geltend gemachte Schmerzensgeld. Ansprüche aus § 280 Abs. 1 BGB in Verbindung mit einem Nutzungsvertrag sui generis; § 823 Abs.1, 253 Abs. 1 BGB in Verbindung mit Art. 2 Abs. 1, Art. 1 Abs. 1 GG; § 823 Abs. 2 BGB in Verbindung mit dem Recht auf informationelle Selbstbestimmung und §§ 1004 analog, 823 As. 2 BGB in Verbindung mit Art. 13, 14 DSGVO scheitern bereits an der fehlenden Darlegung eines ersatzfähigen Schadens. Insoweit sei darauf hingewiesen, dass im Rahmen des nationalen Rechts die Anforderungen an das Vorliegen eines solchen strenger gefasst sind als die im Rahmen des Art. 82 Abs. 1 DSGVO geforderte weite Auslegung. Verlangt wird eine spürbare Beeinträchtigung (hier nur: KG Berlin, Beschluss vom 02.02.2021 – 9 W 1117/20 m.w.N.).

Mangels Vorliegens eines Schadens ist auch der Feststellungsantrag des Klägers unbegründet.

Auch der Klageantrag zu 3) ist unbegründet. Der Kläger hat keinen Unterlassungsanspruch aus § 1004 analog, 823 Abs.1 und Abs. 2 BGB in Verbindung mit Art. 6 DSGVO und Art. 17 DSGVO.

Unabhängig davon, ob es sich insoweit um Schutzgesetze im Sinne des § 823 Abs. 2 BGB handelt, liegt bereits kein Verstoß seitens der Beklagten vor, der zu einem Unterlassungsanspruch führen könnte.

Der Kläger behauptet schon nicht, dass die Beklagte seine Telefonnummer Dritten zugänglich gemacht hat. Dieser kann darüber hinaus selbst jederzeit entscheiden, wie seine Telefonnummer verwendet wird, indem er entsprechende Einstellungen vornimmt (vgl. dazu auch LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22). Der Datenpunkt „Land“ folgt aus der Vorwahl der angegebenen Handynummer.

Schließlich hat der Kläger auch keinen Anspruch auf Auskunft gemäß Art. 15 DSGVO. Der Anspruch ist durch Erfüllung gemäß § 362 Abs. 1 BGB untergegangen.

Erfüllt in diesem Sinne ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urteil vom 03.09.2020 - III ZR 136/18 = GRUR 2021,110). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll (vgl. auch LG Paderborn, Urteil vom 13.12.2022 – 2 = 212/22).

Mit dem Schreiben vom 23.08.2021 hat die Beklagte dem Kläger Auskunft erteilt, welche personenbezogenen Daten verarbeitet werden, indem sie den Kläger auf die Selbstbedienungstools verwiesen hat. Eine weitergehende Auskunft kann der Kläger nicht verlangen. Diese Auskunft war ausreichend, um zum Erfüllungserfolg zu führen.

Welche Daten von dem Kläger gescraped wurden, ist der Klägerseite ausweislich der Replik vom 05.01.2023 bereits bekannt. Soweit der Kläger Auskunft über die Empfänger der Daten verlangt, scheitert der Anspruch an der Auskunft der Beklagten, zu einer weiteren Auskunft nicht in der Lage zu sein (vgl. dazu auch LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22, LG Bielefeld, Urteil vom 19.12.2022 – 8 O 182/22).

Mangels Bestehen eines Anspruchs in der Hauptsache besteht auch kein Anspruch auf Zahlung von Rechtshängigkeitszinsen gemäß §§ 291, 288 Abs. 1 BGB und Zahlung der mit dem Klageantrag zu 5.) geltend gemachten außergerichtlichen Rechtsanwaltskosten gemäß § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DSGVO.

100

II.

101

Die Kostenentscheidung folgt aus § 91 Abs. 1 S. 1 ZPO, die zur vorläufigen Vollstreckbarkeit aus § 708 Nr. 11, 711 ZPO.

102

Streitwert: 2.500,00 €

103

Rechtsbehelfsbelehrung:

104

Gegen dieses Urteil ist das Rechtsmittel der Berufung für jeden zulässig, der durch dieses Urteil in seinen Rechten benachteiligt ist,

105

1. wenn der Wert des Beschwerdegegenstandes 600,00 EUR übersteigt oder

106

2. wenn die Berufung in dem Urteil durch das Landgericht zugelassen worden ist.

107

Die Berufung muss innerhalb einer Notfrist von einem Monat nach Zustellung dieses Urteils schriftlich bei dem Oberlandesgericht Köln, Reichenspergerplatz 1, 50670 Köln, eingegangen sein. Die Berufungsschrift muss die Bezeichnung des Urteils (Datum des Urteils, Geschäftsnummer und Parteien) gegen das die Berufung gerichtet wird, sowie die Erklärung, dass gegen dieses Urteil Berufung eingelegt werde, enthalten.

108

Die Berufung ist, sofern nicht bereits in der Berufungsschrift erfolgt, binnen zwei Monaten nach Zustellung dieses Urteils schriftlich gegenüber dem Oberlandesgericht Köln zu begründen.

109

Die Parteien müssen sich vor dem Oberlandesgericht Köln durch einen Rechtsanwalt vertreten lassen, insbesondere müssen die Berufungs- und die Berufungsbegründungsschrift von einem solchen unterzeichnet sein.

110

Mit der Berufungsschrift soll eine Ausfertigung oder beglaubigte Abschrift des angefochtenen Urteils vorgelegt werden.

111

Hinweis zum elektronischen Rechtsverkehr:

112

Die Einlegung ist auch durch Übertragung eines elektronischen Dokuments an die elektronische Poststelle des Gerichts möglich. Das elektronische Dokument muss für die Bearbeitung durch das Gericht geeignet und mit einer qualifizierten elektronischen Signatur der verantwortenden Person versehen sein oder von der verantwortenden Person signiert und auf einem sicheren Übermittlungsweg gemäß § 130a ZPO nach näherer Maßgabe der Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (BGBl. 2017 I, S. 3803) eingereicht werden. Auf die Pflicht zur elektronischen Einreichung durch professionelle Einreicher/innen ab dem 01.01.2022 durch das Gesetz zum Ausbau des elektronischen Rechtsverkehrs mit den Gerichten vom 10. Oktober 2013, das Gesetz zur Einführung der elektronischen Akte in der Justiz und zur weiteren Förderung des elektronischen Rechtsverkehrs vom 5. Juli 2017 und das Gesetz zum Ausbau des elektronischen Rechtsverkehrs mit den Gerichten und zur Änderung weiterer Vorschriften vom 05.10.2021 wird hingewiesen.

113

Weitere Informationen erhalten Sie auf der Internetseite www.justiz.de.

114

17 O 165/22

Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.

115

Landgericht BonnBeschluss

116

In dem RechtsstreitIn pp.

117

Spruchkörper. 17. Zivilkammer

118

Vorinstanz:

119

Nachinstanz: 15 W 40/23

120

Leitsätze:

121

Normen:

122

Schlagwörter:

123

RK-Datum:

124

wird gemäß § 320 ZPO der Tatbestand des Urteils vom 08.03.2023 dahingehend berichtigt, dass

125

es auf Seite 2 des Urteils im dritten Absatz des Tatbestandes anstelle von

126

„Bei dem Anlegen eines I.-Profils muss ein Nutzer Datenschutz- und Cookie Richtlinien zustimmen.“ heißt:

127

„Bei dem Anlegen eines I.-Profils wird der künftige Nutzer auf die Datenrichtlinie und die Cookie-Richtlinie hingewiesen.“

128