Landgericht Bonn, 3 O 201/22

T a t b e s t a n d

Der Kläger macht gegen die Beklagte Ansprüche auf Schadensersatz, Unterlassung und Auskunft wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung (folgend: DSGVO) geltend.

Die Beklagte betreibt die Social-Mediaplattform „A.com“ auf dem Gebiet der europäischen Union, die – wie nunmehr unstreitig ist - auch der Kläger in der Vergangenheit genutzt hat. Sein A-Konto ist mittlerweile dauerhaft gelöscht.

Bei dem Anlegen eines A-Profils muss ein Nutzer Datenschutz- und Cookie-Richtlinien zustimmen. Diese sind jeweils durch Verlinkungen getrennt abrufbar. Die Datenschutzeinstellungen enthalten dabei insbesondere Informationen darüber, welche der vom Nutzer erteilten Informationen immer öffentlich zugänglich sind, nämlich unter anderem Name, Geschlecht und A-ID, sowie die Angabe, dass diese öffentlich zugänglichen Informationen von jedem, das heißt auch von Personen außerhalb der Plattform, eingesehen werden können. Nach der Anmeldung sind zunächst Standardeinstellungen aktiv, nach denen nur „Freunde“ sehen, welche Informationen der Nutzer über die von ihm über die öffentlichen Informationen hinausgehenden Informationen bereitgestellt hat (Zielgruppenauswahl). Zudem können „alle“, also jedermann, den Nutzer über seine E-Mail-Adresse und – sofern er diese angegeben hat – seine Telefonnummer finden, unabhängig davon, ob die E-Mail-Adresse und Telefonnummer nach der Zielgruppenauswahl sichtbar sind (Suchbarkeits-Einstellung). Der Nutzer kann diese Einstellungen individuell verändern und sich im Hilfebereich dazu einlesen, wie die angegebenen Daten, insbesondere die Telefonnummer, verwendet werden. Die Angabe einer Telefonnummer ist nicht zwingend. Entscheidet sich ein Nutzer – wie hier auch der Kläger – dazu, diese anzugeben, kann er über die Suchbarkeits-Einstellungen bestimmen, ob sein A-Profil auf der A-Plattform mithilfe einer Telefonnummer gefunden werden kann.

Im Jahr 2019 sammelten Dritte mittels des sog. Contact-Import-Tools (CIT) der Plattform eine Vielzahl der auf der Plattform der Beklagen verfügbaren Informationen (sogenanntes Scraping). Es handelt sich dabei um Profilinformationen, die immer öffentlich oder zu diesem Zeitpunkt aufgrund der Privatsphäreeinstellung des Nutzers einsehbar waren, wobei streitig ist, ob dazu auch Bundesland, Land, Stadt und Beziehungsstatus gehören. Einzelheiten hinsichtlich des Ablaufs des Scrapings im hiesigen Fall sind zwischen den Parteien streitig. Das Sammeln von Daten mit Hilfe automatisierter Tools und Methoden war und ist nach den Nutzungsbedingungen der Beklagten untersagt. Anfang April 2021 wurden die gescrapten Daten von mehr als 500 Millionen Nutzern aus 106 Ländern weltweit im Internet öffentlich verbreitet.

Mit vorgerichtlichem Schreiben vom 15.07.2021 forderten die Prozessbevollmächtigten des Klägers die Beklagte unter Fristsetzung bis zum 16.08.2021 zur Zahlung von 500,00 EUR Schadensersatz, zur Unterlassung zukünftiger Zugänglichmachung der Klägerdaten an unbefugte Dritte sowie zur Auskunft darüber, welche Daten im April 2021 abgegriffen wurden, auf. Die Beklagte nahm hierzu mit Schreiben vom 23.08.2021 Stellung. Auf Anlage K1 (Bl. 53 ff. d.A.) und Anlage K2 (Bl. 81 ff. d.A.) wird ergänzend Bezug genommen. Eine weitere Stellungnahme der Beklagten erfolgte mit Schreiben vom 12.04.2023 (Anlage B 21, Bl. 1491 ff. d.A.).

Der Kläger ist der Ansicht, die Beklagte habe gegen die Vorschriften der DSGVO verstoßen, da sie im Jahr 2019 den Kläger betreffende personenbezogene Daten ohne Rechtsgrundlage i.S.d. Art. 6 und 7 DSGVO sowie Informationen i.S.d. Art. 13 und 14 DSGVO verarbeitet habe, diese Daten unbefugten Dritten zugänglich gemacht habe und Pflichten aus Art. 5, Art. 25, Art. 32 und Art. 34 sowie Betroffenenrechte des Klägers gemäß Art. 15, Art. 17 und Art. 18 DSGVO verletze. Er macht geltend, dass durch das Scraping Daten wie Telefonnummer, Name, Wohnort und E-Mail-Adresse abgegriffen worden seien. Der im Darknet für jedermann abrufbare Datensatz enthalte folgende personenbezogene Daten:

„00 0000000000,00000000000000, B, O/x,y,,,,, 00/00/0000 00,00,00AM„"

Die Telefonnummern hätten aufgrund einer Sicherheitslücke bei der Beklagten mit den restlichen Personendaten korreliert werden können. Indem eine Vielzahl von Kontakten in ein virtuelles Adressbuch eingegeben worden sei, sei es Unbekannten gelungen, die Nummern konkreten A-Profilen zuzuordnen, ohne dass die in den Profilen hinterlegten Telefonnummern öffentlich freigegeben worden seien. Um die Telefonnummer jeweils zu korrelieren, sei mit Hilfe des CIT jede fiktive Nummer geprüft und der zugehörige A-Nutzer angezeigt worden. Auf seinem Profil sei er dann besucht und von dort seien die öffentlichen Daten gescraped worden. Ein Programm habe unzählige Kombinationen von Telefonnummern getestet, um festzustellen, ob diese mit einem A-Nutzer übereinstimme bzw. ob diese auf einem A-Nutzerkonto hinterlegt sei. Wenn dies der Fall gewesen sei, sei es dem Programm möglich gewesen, sämtliche Daten des Nutzers abzufragen und zu exportieren.

Gegen das Abgreifen seiner Daten habe die Beklagte keine Sicherheitsvorkehrungen getroffen und insbesondere keine Sicherheitscapchas installiert, um eine automatisierte Nummernabfrage zu verhindern. Wäre dem Kläger bewusst gewesen, dass die Beklagte nur unzureichende Sicherheitsmaßnahmen hinsichtlich der Verknüpfbarkeit der Telefonnummer und der übrigen Daten ergriffen habe, so hätte er die Suchbarkeitsoption zu keinem Zeitpunkt aktiviert. Zudem seien die Einstellungen insbesondere auch zur Sicherheit der Telefonnummer auf A undurchsichtig und kompliziert, sodass die Nutzer keine sicheren Einstellungen erreichen könnten. Es sei daher mit hoher Wahrscheinlichkeit zu erwarten, dass Nutzer die voreingestellten Standardeinstellungen nicht änderten. Zudem gebe es insgesamt mindestens drei unterschiedliche Einstellungsmöglichkeiten hinsichtlich der Verwendung der Telefonnummer.

Der Kläger behauptet des Weiteren, er habe durch das Scraping einen erheblichen Kontrollverlust über seine Daten erlitten und leide unter großem Unwohlsein und großer Sorge über einen möglichen Missbrauch seiner Daten. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezügliche E-Mails und Anrufen von unbekannten Nummern und Adressen. Darüber hinaus erhalte er, der Kläger, seit dem Vorfall unregelmäßig unbekannte Kontaktversuche per SMS und per E-Mail, welche Nachrichten mit offensichtlichen Betrugsversuchen und potentiellen Virenlinks enthielten. Oft würden auch bekannte Plattformen oder Zahlungsdienstleisterwie z.B. C oder D impersoniert und durch Angabe der entwendeten Daten versucht, ein gesteigertes Vertrauen zu erwecken. Dies habe dazu geführt, dass der Kläger nur noch mit äußerster Vorsicht auf jegliche E-Mails und Nachrichten reagieren könne sowie jedes Mal einen Betrug befürchte und Unsicherheit verspüre.

Die Beklagte habe überdies nicht ordnungsgemäß auf die Situation reagiert. Sie habe den Kläger nicht darüber informiert, dass Informationen von ihrer Plattform durch Dritte entwendet und veröffentlicht worden seien. Es habe keine persönliche Benachrichtigung und keine allgemeine öffentliche Bekanntmachung gegeben. Die Beklagte habe es außerdem – was unstreitig ist – unterlassen, die Datenschutzbehörde Irish Data Protection Commission über den Vorfall zu informieren.

Die in dem Schreiben der Beklagten vom 23.08.2021 erteilte Auskunft sei unzureichend, da sie nur allgemeine Informationen zu den auf A verarbeiteten Daten sowie einen Link zur Seite der Beklagten enthalte, auf der die Daten über einen individuellen Nutzer gespeicherten Daten eingesehen werden könnten. Dieses Vorgehen sei nicht geeignet, dem nach Art. 15 DSGVO umfassenden Auskunftsanspruch gerecht zu werden. Unabhängig davon enthalte das Schreiben der Beklagten auch keinerlei konkrete Aussage dazu, welche Daten des Klägers abgegriffen worden seien. Es bleibe offen, wann genau die Daten entwendet worden seien oder wie viele verschiedene Beteiligte diese Funktion hinsichtlich seiner Daten ausgenutzt hätten.

Der Kläger beantragt,

1. die Beklagte zu verurteilen, an den Kläger immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz;

2. festzustellen, dass die Beklagte verpflichtet ist, dem Kläger alle künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden;

3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a. personenbezogenen Daten des Klägers, namentlich Telefonnummer, AID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

b. die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der A-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird;

4. die Beklagte zu verurteilen, dem Kläger Auskunft über ihn betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.

Die Beklagte beantragt,

die Klage abzuweisen.

Sie ist der Ansicht, ihr sei im Zusammenhang mit dem Scraping kein Datenschutzverstoß vorzuwerfen. Es liege keine Sicherheitsverletzung vor. Dritte hätten lediglich Informationen von A abgerufen, die ohnehin öffentlich einsehbar gewesen seien. Das Abrufen habe dabei im Einklang mit den jeweiligen Privatsphäre-Einstellungen „öffentlich“ auf der A-Plattform gestanden. Es seien daher allenfalls öffentlich einsehbare Daten abgerufen und an anderer Stelle erneut zugänglich gemacht worden.

Darüber hinaus stelle die Beklagte ihren Nutzern alle in Art. 13 und Art. 14 DSGVO festgelegten Informationen zur Datenverarbeitung zur Verfügung, sodass es auch an einem Verstoß gegen die Transparenzpflichten der DSGVO fehle. Ferner würden den Nutzern umfassende und transparente Informationen über die Möglichkeiten zur Anpassung der Suchbarkeits-Einstellungen und Zielgruppenauswahl erteilt, die der Kläger jederzeit habe entsprechend nutzen können.

Zudem halte die Beklagte eine Vielzahl von Maßnahmen zur Vermeidung von Scraping vor und entwickele diese auch laufend weiter. Sie stelle den Nutzern Informationen zum Thema Scraping zur Verfügung, welche auch darüber informieren würden, wie Nutzer das Abrufen ihrer Daten mittels Scraping erschweren könnten. Die Nutzer seien außerdem von der Beklagten über den Scraping-Vorfall und über bestehende Maßnahmen der Beklagten zur Vermeidung von Scraping informiert worden.

Die Beklagte ist ferner der Ansicht, es fehle an einem immateriellen Schaden des Klägers, da ein solcher bereits nicht dargelegt sei. Auch die Annahme eines Kontrollverlusts über öffentlich einsehbare personenbezogene Daten des Klägers begründe einen solchen Schaden nicht. Die entsprechenden Behauptungen des Klägers bestreitet die Beklagte mit Nichtwissen. Selbst wenn man zugunsten des Klägers unterstellen würde, dass dieser wiederholt Phishing-Nachrichten erhalten habe, wäre kein Zusammenhang zum Scraping-Sachverhalt erkennbar.

Eine Kopie der Rohdaten, welche die durch Scraping abgerufenen Daten enthielten, halte die Beklagte nicht vor. Sie habe dem Kläger jedoch mit dem als Anlage B 21 (Bl. 1491 ff. d.A.) vorgelegten Schreiben mitgeteilt, welche Datenkategorien nach den der Beklagten zum Zeitpunkt der Auskunftserteilung verfügbaren Erkenntnissen in den durch Scraping abgerufenen Daten erschienen und mit den auf dem A-Profil des Klägers verfügbaren Informationen übereinstimmten.

Wegen der weiteren Einzelheiten des Parteivorbringens wird auf den Inhalt der jeweils gewechselten Schriftsätze einschließlich Anlagen sowie auf das Protokoll der mündlichen Verhandlung vom 22.03.2023 (Bl. 1472 ff. d.A.) Bezug genommen.

E n t s c h e i d u n g s g r ü n d e

Die zulässige Klage ist unbegründet.

Die Klage ist zulässig.

Entgegen der Auffassung der Beklagten ist der Klageantrag zu 1) im Sinne des § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt. Der Kläger kann von der Angabe eines bestimmten begehrten Betrages absehen, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 oder vom billigen Ermessen des Gerichts abhängig ist. In diesem Fall ist es ausreichend, wenn der Kläger – wie im gegebenen Fall – in der Klagebegründung die Berechnungs- bzw. Schätzungsgrundlagen umfassend darlegt und die Größenordnung seiner Vorstellungen, z.B. in Form eines Mindestbetrags, angibt (vgl. Greger, in: Zöller, Zivilprozessordnung, 34. Auflage 2022, § 253 ZPO, Rn. 14). Entgegen der Auffassung der Beklagten hat der Kläger auch Gegenstand und Grund des geltend gemachten Anspruchs i.S.d. § 253 Abs. 2 Nr. 2 1. Alt. ZPO hinreichend individualisiert. Aus der Klagebegründung ergibt sich, dass sich das Schadensersatzverlangen des Klägers lediglich auf einen zusammenhängenden Lebenssachverhalt stützt, der sich im Wesentlichen dadurch auszeichnet, ob die Beklagte vor dem Scraping durch Dritte hinreichende Datenschutzvorkehrungen getroffen hatte und danach etwaige Lücken geschlossen bzw. ihre Nutzer nur unzureichend oder intransparent informiert hat. Dass der Kläger in diesem Zusammenhang eine Vielzahl von Datenschutzverstößen rügt, steht einer entsprechenden Individualisierung nicht entgegen.

Der Kläger hat überdies auch hinsichtlich des Klageantrags zu 2) ein hinreichendes rechtliches Interesse i.S.d. § 256 Abs. 2 ZPO an der begehrten Feststellung. Ein entsprechender Feststellungsantrag ist grundsätzlich schon dann zulässig, wenn die Schadensentwicklung noch nicht abgeschlossen ist und der Kläger seinen Anspruch deswegen ganz oder teilweise nicht beziffern kann. In der Folge setzt die Zulässigkeit einer auf den Ausgleich eines Vermögensschadens gerichteten Feststellungsklage lediglich die Darlegung von Tatsachen voraus, aus denen sich die Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadens ergibt (vgl. BGH, Urteil vom 26. Juli 2018, Az.: I ZR 274/16, Rn. 23, zitiert nach juris). Der Kläger behauptet insoweit sinngemäß, dass ihm eine unbefugte und unkontrollierte Verwendung der gescrapten Daten drohe, weswegen er nicht absehen könne, welche Dritten Zugriff auf seine Daten erhalten könnten und für welche Zwecke diese Daten missbraucht würden. Ausgehend hiervon erscheint es nicht ausgeschlossen, dass der Kläger infolge der Veröffentlichung seiner Telefonnummer in Verbindung mit seinem Namen sowie weiterer persönlicher Daten einen irgendwie gearteten weiteren Schaden erleidet.

Auf die Frage, ob der Kläger ein derartiges Risiko anhand entsprechender Anhaltspunkte hinreichend schlüssig dargelegt hat, kommt es überdies nicht entscheidungserheblich an, da ein Feststellungsinteresse i.S.d. § 256 Abs. 1 ZPO nur im Fall eines stattgebenden Urteils eine echte Prozessvoraussetzung darstellt. Ist die Klage - wie im vorliegenden Fall – abzuweisen, weil sie unbegründet ist, kann sie unabhängig von einem Feststellungsinteresse als unbegründet abgewiesen werden (ständige Rechtsprechung, vgl. nur BGH, Urteil vom 10.10.2017, Az.: XI ZR 456/16, Rn. 16, zitiert nach juris).

Auch der Klageantrag zu 3) ist hinreichend bestimmt. Eine auslegungsbedürftige Antragsformulierung ist hinzunehmen, wenn dies zur Gewährleistung eines effektiven Rechtsschutzes notwendig ist, der Kläger seinen Antrag also nicht konkreter fassen kann (vgl. BGH, Urteil vom 21. Mai 2015, Az.: I ZR 183/13, Rn. 12 f., zitiert nach juris). Dies ist hier der Fall. Im Lichte eines effektiven Rechtsschutzes i.S.d. Art. 19 GG wäre es insbesondere verfehlt, von dem Kläger zu verlangen, für einen hinreichend konkreten Antrag den aktuellen Stand der Technik zu ermitteln. Dies auch vor dem Hintergrund, dass die technische Weiterentwicklung dazu führen würde, dass aktuelle Vorkehrungen veralten und der Kläger sodann erneut klagen müsste.

II.

Die Klage ist indes unbegründet. Dem Kläger stehen die geltend gemachten Ansprüche gegen die Beklagte unter keinem rechtlichen Gesichtspunkt zu.

Der Kläger hat gegen die Beklagte keinen Anspruch auf Zahlung eines Schmerzensgeldes.

Ein solcher Anspruch ergibt sich insbesondere nicht aus Art. 82 Abs. 1 DSGVO. Insoweit bedurfte es keiner Entscheidung darüber, ob der Anwendungsbereich des Art. 82 DSGVO im vorliegenden Fall eröffnet ist und ob eine Pflichtverletzung i.S.d. Art. 82 DSGVO durch Verstoß gegen die Vorschriften der DSGVO (insbesondere Art. 32, Art. 24, Art. 25 Abs. 2, Art. 33, Art. 35, Art. 15 DSGVO) vorliegt, da es jedenfalls an einem ersatzfähigen Schaden des Klägers fehlt.

Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Für einen von dem Kläger geltend gemachten immateriellen Schadenersatz in Geld gelten dabei die im Zusammenhang mit § 253 Abs. 2 BGB entwickelten Grundsätze, sodass die Ermittlung des Schadens nach § 287 ZPO dem Gericht obliegt (vgl. nur Quaas, in: BeckOK Datenschutzrecht, 42. Edition, Stand: 01.08.2022, Art. 82 DSGVO, Rn. 31).

Der Begriff des Schadens ist jedoch autonom, das heißt im Rahmen der DSGVO nach deren Erwägungsgrund 146 Satz 3 im Lichte der Rechtsprechung des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Nach Erwägungsgrund 75 DSGVO kann ein Schaden dann aus einer Verarbeitung personenbezogener Daten resultieren, wenn diese u.a. zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führt. Zusätzlich nennt Erwägungsgrund 85 DSGVO daneben den Verlust der Kontrolle über personenbezogene Daten. Im Lichte dieser Erwägungen ist die Pflicht aus Art. 82 Abs. 1 DSGVO zur Erstattung immaterieller Schäden entgegen § 8 Abs. 2 BDSG a.F. nicht nur auf schwere Verletzungen des Persönlichkeitsrechts des Betroffenen beschränkt. Gleichzeitig ist auch ein genereller Ausschluss von Bagatellschäden nicht vertretbar, da die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann (vgl. Quaas, in: BeckOK Datenschutzrecht, Stand: 01.08.2022, Art. 82 DSGVO, Rn. 31 m.w.N.; LG Essen, Urteil vom 10. November 2022, Az.: 6 O 111/22, Rn. 107, m.w.N., zitiert nach juris).

Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen eines Schadenersatzanspruchs jedoch nicht, sondern es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens (vgl. OLG Köln, Urteil vom 26. November 2020, Az.: I-15 U 39/20, Rn. 47, zitiert nach juris; LG Paderborn, Urteil vom 13.12.2022, Az.: 2 O 212/22, BeckRS 2022, 41028, Rn. 132). Für das Erfordernis, neben einem Verstoß gegen die Regelungen der DSGVO den Eintritt eines konkreten Schadens nachzuweisen, spricht dabei zunächst bereits der Wortlaut von Art. 82 Abs. 1 DSGVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens („...Schaden entstanden ist") voraussetzt. Außerdem sieht Erwägungsgrund 146 Satz 6 DSGVO vor, dass die Betroffenen einen vollständigen und wirksamen Schadenersatz für den „erlittenen“ Schaden erhalten, woraus ebenfalls folgt, dass dem Betroffenen ein spürbarer Nachteil entstanden und eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen eingetreten sein muss (vgl. OLG Frankfurt, Urteil vom 2. März 2022, Az.: 13 U 206/20, Rn. 71; LG Essen, Urteil vom 10. November 2022, Az.: 6 O 111/22, Rn. 108f., juris; LG Bonn, Urteil vom 1. Juli 2021, Az.: 15 O 372/20, Rn. 42; LG Landshut, Urteil vom 06.11.2020, Az.: 51 O 513/20, Rn. 26; jeweils zitiert nach juris; außerdem Frenzel in: Paal/Pauly DSGVO BDSG, 3. Auflage 2021, Art. 82 DSGVO, Rn. 10). Würde man demgegenüber jedes Unwohlsein und jede Sorge unter den Schadenbegriff fassen, so würde dieser überdehnt und eine ausufernde Haftung begründet (vgl. OLG Frankfurt, Urteil vom 2. März 2022, Az.: 13 U 206/20, Rn. 72 f., zitiert nach juris). Für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für eine bloß individuell empfundene Unannehmlichkeit ist daher ein Schmerzensgeld nicht zu gewähren. Diese Handhabung läuft entgegen der Auffassung des Klägers auch der Präventionsfunktion des Art. 82 DSGVO und der hierfür erforderlichen Abschreckungswirkung nicht zuwider, da eine Sanktionierung entsprechender Datenschutzrechtsverstöße weiterhin im Wege des Art. 83 DSGVO möglich bleibt.

Dies entspricht letztlich auch der Rechtsauffassung des EuGH, der in seinem Urteil vom 04.05.2023, Az.: C-300/21, ausgeführt hat, dass Art. 82 Abs. 1 DSGVO dahingehend auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Dass der EuGH in dem genannten Urteil darüber hinaus festgestellt hat, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat, bedeutet – worauf der EuGH ausdrücklich hinweist - nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden i.S.d. Art. 82 dieser Verordnung darstellen. Vielmehr hat auch der EuGH darauf abgestellt, dass ein konkreter Schaden im jeweiligen Einzelfall festzustellen ist.

Auf dieser Grundlage konnte das Gericht einen konkreten Schaden in Form einer spürbaren, über ein bloßes Ärgernis und/oder eine bloß individuell empfundene Unannehmlichkeit hinausgehenden Beeinträchtigung von persönlichen Belangen des Klägers, die zudem nachweislich auf den streitgegenständlichen Scraping-Vorfall zurückzuführen sein müsste, nicht erkennen.

Der Kläger hat schriftsätzlich lediglich vorgetragen, einen erheblichen Kontrollverlust über seine Daten erlitten zu haben sowie unter großem Unwohlsein und großer Sorge vor einem möglichen Missbrauch seiner Daten zu leiden. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen gegenüber E-Mails und Anrufen von unbekannten Nummern und Adressen. Der Kläger erhalte Nachrichten per SMS und per E-Mail, die offensichtliche Betrugsversuche und potentielle Virenlinks enthielten. Dabei würden u.a. bekannte Plattformen oder Zahlungsdienstleister impersoniert und durch Angabe der entwendeten Daten versucht, ein gesteigertes Vertrauen zu erwecken. Vor diesem Hintergrund habe sich der Kläger mit dem Datenleak und der Herkunft der Daten auseinandersetzen müssen.

Hierzu ist zunächst anzumerken, dass die klägerischen Ausführungen gerichtsbekannt mit teils identischem Wortlaut und Inhalt in einer Vielzahl weiterer Verfahren u.a. auch vor der zuständigen Kammer vorgetragen werden, weswegen bereits fraglich erscheint, inwieweit diese tatsächlich individuell für den hiesigen Kläger Geltung beanspruchen. Soweit dieser dann in seiner persönlichen Anhörung vor der Kammer erklärt hat, er habe, nachdem der Vorfall mit dem Datenleck durch die Presse gegangen sei, täglich zahlreiche, an manchen Tagen sogar mehr als hundert, Spam-SMS bekommen und erhalte solche Nachrichten sowie Spam-Anrufe, nach wie vor, wobei er vor ca. zweieinhalb Monaten an einem Tag den ganzen Tag über solche Anrufe u.a. mit Bandansagen auf Englisch, wonach er von den Sicherheitsbehörden gesucht werde, erhalten habe, ist hierfür der auf das Bestreiten der Beklagten erforderliche Beweis nicht angetreten bzw. erbracht worden. Den zur Akte gereichten Screenshots (Anlagenkonvolut K 6, Bl. 635 ff. d.A.) lässt sich das in der mündlichen Verhandlung behauptete Ausmaß der erhaltenen Spam-SMS und Spam-Anrufe nicht entnehmen, zumal auch nicht festgestellt werden kann, dass die auf diesen Screenshots aufgeführten (angeblichen) Spam-SMS bzw. Spam-Anrufe – was die Beklagte bestritten hat - tatsächlich beim Kläger bzw. auf einer von den Scrapern bereitgestellten Telefonnummer eingegangen sind.

Selbst wenn man dies indes zugunsten des Klägers unterstellen würde, ließe sich nicht im Ansatz verifizieren, ob die von dem Kläger behaupteten Nachrichten bzw. Anrufe überhaupt im Zusammenhang mit dem streitgegenständlichen Scraping-Vorfall stehen. Dies erscheint schon deshalb fraglich, weil es nach der Einlassung des Klägers in der mündlichen Verhandlung erst nach der Presseberichterstattung über das Datenleck – diese erfolgte gerichtsbekannt im April 2021 - mit den Spam-Nachrichten bzw. Spam-Anrufen losgegangen sei, wohingegen das Scraping bereits im Jahr 2019 stattgefunden hatte. Auch die Bezugnahme auf das streitgegenständliche Datenleck in einer der behaupteten Spam-SMS (vgl. Anlagenkonvolut K 6, Bl. 635 ff., Bl. 666 d.A.: „Hallo, Du bist auch vom A Datenskandal betroffen und hast somit Anspruch auf bis zu 5.000 Euro …“) ist kein hinreichender Nachweis für einen Zusammenhang mit dem streitgegenständlichen Vorfall. Letztlich kann dies jedoch dahingestellt bleiben. Entscheidend ist vielmehr, dass ein Scraping von Daten auf der Plattform der Beklagten für die von dem Kläger dargelegten SMS bzw. Anrufe - soweit ersichtlich - gar nicht notwendig war, da die Telefonnummer des Klägers im Rahmen des Scrapings nach dem eigenen Vortrag des Klägers nicht „abgegriffen“, sondern vorab künstlich erzeugt wurde, um in der Folge weitere Daten mit dieser Nummer zu verknüpfen. Die von dem Kläger geschilderten SMS bzw. Anrufe hätten also, ohne dass es hierzu weiterer Daten bedurft hätte, an diese künstlich erzeugten Telefonnummern gerichtet werden können. Dementsprechend ist gerichtsbekannt, dass auch Personen, die niemals bei A angemeldet waren oder dort jedenfalls zu keinem Zeitpunkt ihre Mobilfunknummer hinterlegt hatten, solche bzw. ähnliche Spam-SMS und/oder Spam-Anrufe erhalten. Dass die betreffenden Nachrichten z.B. anhand seines Namens oder seines Wohnortes personalisiert gewesen wären, hat der Kläger weder hinreichend substantiiert vorgetragen noch ergibt sich dies aus den zur Akte gereichten Screenshots. Dessen ungeachtet ist ein geschärftes Bewusstsein und kritisches Hinterfragen zur Herkunft u.a. beim Erhalt einer SMS stets angezeigt (vgl. auch LG Bielefeld, Urteil vom 19.12.2022, Az.: 8 O 182/22, Rn. 42, zitiert nach juris). Für Anrufe kann insoweit nichts anderes gelten.

Der Vortrag des Klägers, er habe einen „Kontrollverlust“ über seine Daten erlitten, vermag daher unter Berücksichtigung aller Umstände des Einzelfalls nicht zu überzeugen. Dies gilt vor allem vor dem Hintergrund, dass sämtliche betroffenen Daten des Klägers mit Ausnahme seiner Mobilfunknummer auf der Plattform der Beklagten zu jeder Zeit öffentlich und damit auch jedermann jederzeit zugänglich waren, solange sein A-Account bestand. Sie wurden dort in Kenntnis dessen von dem Kläger selbst eingegeben, sodass es wenig plausibel erscheint, dass die „weitere Veröffentlichung“ dieser Daten bei dem Kläger zu einem unguten Gefühl geführt haben. Etwaige aus der Verknüpfung zwischen diesen Daten und der Telefonnummer des Klägers resultierende Folgen oder Beeinträchtigungen sind ebenfalls nicht ersichtlich und werden im Übrigen auch von dem Kläger nicht vorgetragen. Abgesehen davon ist die Nutzung von Mobiltelefonen im täglichen Leben zwischenzeitlich allgegenwärtig, wobei die Inanspruchnahme einer Vielzahl damit verbundener Dienste die Angabe der Mobilfunknummer voraussetzt, die damit nicht (mehr) zu den besonders sensiblen persönlichen Daten gezählt werden kann. Gerade die Telefonnummer kann relativ einfach und ohne größeren Aufwand geändert werden; auch ein aus dem Bekanntwerden der Telefonnummer resultierender Identitätsmissbrauch erscheint äußerst unwahrscheinlich (so auch LG Essen, Urteil vom 10.11.2022, Az.: 6 O 111/22, Rn. 111, zitiert nach juris). Schließlich ist auch die Eingabe der Telefonnummer seitens des Klägers im Ausgangspunkt freiwillig erfolgt.

Zudem haben sich die schriftsätzlich pauschal und formelhaft beschriebenen Ängste und Sorgen sowie das Unwohlsein in der mündlichen Verhandlung letztlich nicht bestätigt. Entsprechende Angaben wären aber unter Berücksichtigung des Einzelfalles auch nicht glaubhaft. Zwar hat der Kläger in der mündlichen Verhandlung erklärt, dass er seinen A-Account kurz nach Bekanntwerden des Datenlecks gelöscht habe; indes hatte er nach eigener Einlassung schon vor diesem Ereignis Bedenken hinsichtlich seiner Aktivitäten auf sozialen Plattformen bekommen, dies auch im Zusammenhang mit der Verbreitung seiner persönlichen Informationen im Internet, und deshalb bereits zuvor Teile seines Auftretens auf diesen Plattformen gelöscht. Jedenfalls aber hat der Kläger – wie er auf entsprechende Frage in der mündlichen Verhandlung bestätigt hat – nach wie vor dieselbe Telefonnummer, weshalb nicht festgestellt werden kann, dass der Kläger aus dem sog. Scraping-Vorfall, der zu der behaupteten Vielzahl an Spam-SMS (nach Aussage des Klägers teilweise mehr als hundert am Tag) und Spam-Anrufen geführt haben soll, nennenswerte Konsequenzen gezogen hat.

Schließlich ist nicht ersichtlich, dass der Kläger irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Dass ihn die geschilderten SMS bzw. Anrufe – unterstellt, diese seien tatsächlich auf den streitgegenständlichen Sachverhalt zurückzuführen – über eine bloße Lästigkeit hinaus beeinträchtigt oder gar verängstigt hätten, konnte das Gericht im Rahmen der mündlichen Verhandlung ebenfalls nicht erkennen.

Unabhängig von der Anwendbarkeit des nationalen Rechts neben den Regelungen der DSGVO ergeben sich auch aus diesem keine Anspruch des Klägers auf die geltend gemachte Entschädigung in Geld. Etwaige Ansprüche aus § 280 Abs. 1 BGB in Verbindung mit einem Nutzungsvertrag sui generis, aus §§ 823 Abs.1, 253 Abs. 1 BGB in Verbindung mit Art. 2 Abs. 1, Art. 1 Abs. 1 GG, aus § 823 Abs. 2 BGB in Verbindung mit dem Recht auf informationelle Selbstbestimmung und auch etwaige Ansprüche aus den §§ 1004, 823 Abs. 2 BGB in Verbindung mit Art. 13, Art. 14 DSGVO scheitern bereits an der fehlenden Darlegung eines ersatzfähigen Schadens. Insoweit sei darauf hingewiesen, dass im Rahmen des nationalen Rechts die Anforderungen an das Vorliegen eines solchen Schadens nochmals strenger gefasst sind als die im Rahmen des Art. 82 Abs. 1 DSGVO geforderte weite Auslegung (vgl. nur KG Berlin, Beschluss vom 02.02.2021, Az.: 9 W 1117/20, m.w.N.).

Mangels Vorliegens eines Schadens ist auch der Feststellungsantrag des Klägers unbegründet.

Der Kläger hat ferner keinen Unterlassungsanspruch aus den §§ 1004, 823 Abs.1, Abs. 2 BGB i.V.m. Art. 6, Art. 17 DSGVO. Ungeachtet der Frage, ob es sich insoweit um Schutzgesetze i.S.d. § 823 Abs. 2 BGB handelt, liegt bereits kein Verstoß der Beklagten gegen die genannten Datenschutzbestimmungen vor, der zu einem Unterlassungsanspruch des Klägers führen könnte. Mit Ausnahme der Telefonnummer des Klägers sind vorliegend nur Daten veröffentlicht worden, die ohnehin öffentlich einsehbar sind. Einer Veröffentlichung dieser Daten hatte der Kläger seinerzeit im Rahmen seiner Registrierung auf der Plattform der Beklagten zugestimmt. Einen Anspruch auf Schutz von veröffentlichten Daten gibt es denklogisch nicht. Darüber hinaus behauptet der Kläger bereits nicht, dass die Beklagte seine Telefonnummer Dritten zugänglich gemacht habe bzw. dass sie seine Telefonnummer entgegen der ausgewählten Einstellungen freigibt oder anderweitig nutzt. Es lag vielmehr in der freien Entscheidung des Klägers, wie seine Telefonnummer verwendet wird, indem er entsprechende Einstellungen vornimmt bzw. die bislang getroffenen Einstellungen abändert (vgl. auch LG Gießen, Urteil vom 03.11.2022, Az.: 5 O 195/22, Rn. 31, zitiert nach juris).

Schließlich steht dem Kläger gegen die Beklagte auch kein Anspruch auf Auskunft gemäß Art. 15 DSGVO zu, da dieser durch Erfüllung gemäß § 362 Abs. 1 BGB untergegangen ist. Erfüllt im Sinne der Norm ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urteil vom 3. September 2020, Az.: III ZR 136/18, Rn. 43, zitiert nach juris). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll (vgl. auch LG Paderborn, Urteil vom 13.12.2022, Az.: 2 O 212/22, BeckRS 2022, 41028, Rn. 177)

Bereits mit Schreiben vom 23.08.2021 (Anlage K 2, Bl. 81 ff. d.A.) hat die Beklagte dem Kläger darüber Auskunft erteilt, welche personenbezogenen Daten verarbeitet werden, indem sie den Kläger auf die entsprechenden Selbstbedienungstools verwiesen hat. Eine weitergehende Auskunft kann der Kläger nicht verlangen. Diese Auskunft war ausreichend, um zum Erfüllungserfolg zu führen. Welche Daten des Klägers gescraped wurden, ist ihm ausweislich der Replik vom 26.01.2023 (dort Seite 16, Bl. 292 d.A.) bereits bekannt. Soweit der Kläger Auskunft über die Empfänger der Daten verlangt, scheitert der Anspruch an der Auskunft der Beklagten, zu einer weiteren Auskunft nicht in der Lage zu sein (vgl. auch LG Paderborn, Urteil vom 13.12.2022, Az.: 2 O 212/22, BeckRS 2022, 41028, Rn. 180; LG Gießen, Urteil vom 03.11.2022, Az.: 5 O 195/22, Rn. 32, zitiert nach juris).

Mangels Bestehens der Hauptforderung ist die Klage auch hinsichtlich der geltend gemachten Nebenforderungen in Form von vorgerichtlich entstandenen Rechtsanwaltskosten und Zinsen unbegründet.

III.

Die prozessualen Nebenentscheidungen beruhen hinsichtlich der Kosten auf § 91 Abs. 1 S. 1 ZPO und hinsichtlich der vorläufigen Vollstreckbarkeit auf den §§ 708 Nr. 11, 709 Satz 1 und 2, 711 ZPO, wobei die Kammer die von der Beklagten vollstreckbaren Kosten jeweils ohne Anfall einer Mehrwertsteuer zugrunde gelegt hat.

IV.

Der Streitwert wird auf 5.500,00 EUR festgesetzt. Er setzt sich zusammen aus dem Wert für den Klageantrag zu 1) in Höhe von 1.000,00 EUR, dem Wert für den Klageantrag zu 2) in Höhe von 500,00 EUR, dem Wert für den Klageantrag zu 3) in Höhe von 3.500,00 EUR und dem Wert für den Klageantrag zu 4) in Höhe von 500 EUR.