Landgericht Bonn, 7 O 101/22

Tatbestand

Der Kläger nimmt die Beklagte aufgrund behaupteter Datenschutzverstöße in Anspruch.

Die Beklagte betreibt die Social-Media-Plattform BB auf dem Gebiet der Europäischen Union, die über die Website BB.com und Apps abrufbar ist. Der Kläger war und ist weiterhin Nutzer von BB. Die Plattform ermöglicht den Nutzern, ein persönliches Nutzerprofil zu erstellen und darüber auch öffentlich einsehbare persönliche Informationen zu verbreiten.

Wird ein Nutzerkonto eröffnet, werden zur Erstellung eines Nutzerprofils verschiedene Daten abgefragt. Der Kläger gab im Registrierungsprozess erforderlicherweise seinen Vor- und Nachnamen, sein Geschlecht und sein Geburtsdatum an. Dabei sind der angegebene Vor- und Nachname, eine von BB erstellte Benutzer-ID und das Geschlecht als „immer öffentliche Nutzerinformationen“ stets öffentlich auf dem eigenen Nutzerprofil zu finden. Zudem hatte der Kläger – zumindest im Zeitpunkt des streitgegenständlichen Vorfalls – seine Handynummer hinterlegt. Der Veröffentlichung dieser Daten muss bei der Registrierung zugestimmt werden. Andere Daten, die dem Profil hinzugefügt werden können, sind dann von allen Profilbesuchern einzusehen, sofern dies die jeweiligen persönlichen Profileinstellungen („Zielgruppenauswahl“) vorsehen. Zudem regeln die sog. Suchbarkeitseinstellungen, wer das Profil des Nutzers etwa anhand der Telefonnummer (mittels der M-Funktion) finden kann.

Der Kläger fügte zu einem nicht näher aufklärbaren Zeitpunkt seine Handynummer den Nutzereinstellungen hinzu. Diese Eingabe erfolgte freiwillig. Nach der Zielgruppenauswahl war die Handynummer auf dem Profil des Klägers nicht zu finden.

Dritte sammelten in der Zeit von Januar 2018 bis September 2019 mittels sog. Scraping (dt.: „Schaben“, „Kratzen“ – gemeint ist der Vorgang des Extrahierens, Kopierens, Speicherns sowie der Wiederverwendung fremder Inhalte im Netz) automatisiert Daten aus den BB-Profilen einer Vielzahl von Nutzern (im Folgenden: Scraping-Vorfall). Es handelte sich dabei um Profilinformationen, die entweder „immer öffentlich“ oder aber zu diesem Zeitpunkt aufgrund der Privatsphäreeinstellungen der Nutzer öffentlich einsehbar waren. Zusätzlich erbeuteten die Scraper teilweise Handy- bzw. Telefonnummern, die mit dem entsprechenden Nutzerprofil verknüpft waren, mittels „Telefonnummernaufzählung“. Dabei machten sich die Scraper die M-Funktion (M Tool (MT)) von BB zunutze. Mittels dieser Funktion war es Nutzern möglich, ihre Kontakte von ihren Mobilgeräten auf BB hochzuladen, um diese Kontakte auf BB zu finden und mit ihnen in Verbindung zu treten. Die Scraper erstellten Listen verschiedener potenzieller Telefonnummern und luden diese mittels der M-Funktion hoch. Sofern eine Telefonnummer mit dem entsprechenden Nutzerprofil verknüpft war, wurde diese den gescrapten Daten hinzugefügt. Hierzu musste die Telefonnummer gerade nicht – egal ob temporär oder dauerhaft – öffentlich angezeigt sein.

Anfang April 2021 wurden die gescrapten Datensätze inklusive der Telefonnummern, darunter Daten des Klägers, im Internet veröffentlicht. Die E-Mail-Adresse des Klägers war vom Scraping nicht betroffen.

Mit anwaltlichem Aufforderungsschreiben vom 04.11.2021 (Anlage K1) machte der Kläger Ansprüche gegenüber der Beklagten geltend. Insbesondere forderte er die Beklagte auf, an ihn 500 € Schadensersatz bis zum 06.12.2021 zu zahlen und Auskunft zu erteilen, ob die Beklagte personenbezogene Daten einer genannten E-Mail-Adresse im Zusammenhang mit dem im April 2021 bekannt gewordenen Datenschutzvorfall verarbeite. Die Beklagte wies Ansprüche zurück. Bereits unter dem 23.08.2021 und noch einmal unter dem 09.11.2022 bestätigte sie dem Kläger lediglich, dass Daten des Klägers von dem Vorfall betroffen seien, insbesondere die Telefonnummer, nicht aber die Mailadresse.

Die irische Datenschutzbehörde DPC hat gegen die Beklagte am 28.11.2022 eine Geldbuße in Höhe von 265 Mio. Euro verhängt (Entscheidung der DPC anbei als Anlage K3). Die DPC sieht einen Verstoß der Beklagten insbesondere gegen Art. 25 Abs. 1 und 2 DSGVO. Die Entscheidung ist nicht rechtskräftig.

Der Kläger behauptet, durch das Scraping seien Daten wie Telefonnummer, Name, Wohnort und E-Mail-Adresse abgegriffen worden. In der Replik behauptet er, der im Darknet für jedermann abrufbare Datensatz enthalte folgende personenbezogene Daten: „000000000000,000000000000000,E,F,male,,,,,0/0/0000 00,00,00 $$,,“. Dieser sei auf Seiten veröffentlicht worden, die illegale Aktivitäten begünstigen sollen, z.B. auf der Seite G.

Der Vorfall sei so möglich gewesen, weil die Beklagte keinerlei Sicherheitsmaßnahmen vorgehalten habe, um ein Ausnutzen des bereitgestellten Tools zu verhindern, und andererseits, weil die Einstellungen zur Sicherheit der Telefonnummer auf BB so undurchsichtig und kompliziert gestaltet seien, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne.

Seit dem Vorfall erhalte er unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und potenziellen Virenlinks. Oft würden auch bekannte Plattformen oder Zahlungsdienstleister wie Amazon oder Paypal impersoniert und durch Angabe der entwendeten Daten versucht, ein gesteigertes Vertrauen zu erwecken.

Er habe durch Scraping und Veröffentlichung der Daten einen erheblichen Kontrollverlust über seine Daten erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch seiner ihn betreffenden Daten verblieben. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Er erhalte seit dem Vorfall vermehrt Kontaktversuche via SMS und E-Mail. Er habe sich mit dem Scraping-Vorfall und der Herkunft der Daten auseinandersetzen, den Sachverhalt ermitteln und sich um eine Auskunft gegenüber der Beklagten kümmern müssen. Er habe Stress, Komfort- und Zeiteinbußen erlitten. Der Vorfall habe zu einem Gefühl des Kontrollverlustes, des Beobachtetwerdens und der Hilfslosigkeit, mithin einem überschattenden Gefühl der Angst geführt. Wäre ihm bewusst gewesen, dass die Beklagte unzureichende Sicherheitsmaßnahmen hinsichtlich der Verknüpfbarkeit der Telefonnummer und der übrigen Daten ergriffen hätte, so hätte er die Option der Suche nach der Telefonnummer zu keinem Zeitpunkt aktiviert.

Der Kläger beantragt,

1. die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz;

2. festzustellen, dass die Beklagte verpflichtet ist, ihm alle künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden;

3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a. personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, BB ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

b. die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der BB-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird.

4. die Beklagte zu verurteilen, ihm Auskunft über ihn betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten;

5. die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Sie hält die Klage schon weitgehend für unzulässig. Die Anträge zu 1), 2) und 3) seien schon zu unbestimmt.

Sie ist der Ansicht, Scraping bedeute lediglich das automatisierte Sammeln von in diesem Fall öffentlich einsehbaren Daten von einer Website oder Anwendung. Dies sei nach den AGB von BB untersagt. Die Dritten hätten zudem nur ohnehin öffentlich einsehbare Information gesammelt, und diese öffentlich einsehbaren Daten dann auch anderweitig im Internet zugänglich gemacht, nicht jedoch private Informationen veröffentlicht. Eine Melde- oder Benachrichtigungspflicht habe in Folge des Scraping-Sachverhalts daher nicht bestanden. Denn es fehle an einer Verletzung der Sicherheit i.S.d. Art. 4 Nr. 12 DSGVO und an einer unbefugten Offenlegung von Daten. Dem Scraping sei nicht mit einfachen Methoden zu begegnen, da es sich um komplexe Systeme handele, welche durch hochprofessionalisierte Akteure eingesetzt würden, die normales Nutzerverhalten simulierten.

Die Beklagte behauptet, sie halte keine Kopie der Rohdaten, welche die durch Scraping abgerufenen Daten enthalten würden. Daher habe dem Kläger lediglich mitgeteilt werden können, welche Datenkategorien betroffen sein könnten. Einen Missbrauch klägerischer Daten bestreitet die Beklagte mit Nichtwissen.

Für den weiteren Sach- und Streitstand wird auf die gewechselten Schriftsätze nebst Anlagen sowie das Sitzungsprotokoll verwiesen.

Entscheidungsgründe.

Die Klage ist zulässig, aber unbegründet.

Die Klage ist zulässig.

Der Klageantrag zu 1) ist hinreichend bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Soweit die Beklagte eingewendet hat, der Kläger mache einen einzigen immateriellen Schadensersatz aufgrund verschiedener behaupteter Verstöße gegen die DSGVO und verschiedener Schäden geltend, trägt dies nicht die Unbestimmtheit.

Der Zulässigkeit der Klage steht nicht die Unbestimmtheit des Klageantrags zu 1) (§ 253Abs. 2 ZPO) entgegen. Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessendes Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig.

Die vom Kläger behaupteten Verstöße gegen die DSGVO knüpfen zeitlich an der Registrierung auf BB, der Eingabe der Handynummer und am fehlenden Schutz der klägerischen Daten und fehlender Informationen über den Scraping-Vorfall seitens der Beklagten an. Sie bedienen als Auslöser allerdings allesamt den Scraping-Vorfall und die Veröffentlichung der Daten im Internet. Insoweit verbindet der vom Kläger geltend gemachte immaterielle Schaden die verschiedenen Verstöße zu einem Lebenssachverhalt, die erst in ihrer Gesamtschau zu dem aus Sicht des Klägers vorliegenden Datenschutzverstoß geführt haben sollen. Soweit die behaupteten Verstöße eigenständig zu betrachten wären und einen jeweils eigenständigen Schadensersatzanspruch bedingen, stünden sie überdies in einem zulässigen, weil kumulativen Verhältnis zueinander (vgl. § 260 ZPO).

Der Klageantrag zu 2) ist ebenfalls hinreichend bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Denn anders als die Beklagte meint, ist aus dem Inhalt des Klageantrags ersichtlich, dass es dem Kläger um den Ersatz „künftiger“ Schäden geht, die aus dem Scraping-Vorfall resultieren. Die Verwendung der Vergangenheitsform „entstanden sind“ mag missverständlich sein und einer Auslegung offen stehen, führt aber nicht zur Unbestimmtheit des Klageantrags. Denn ebenfalls hat der Kläger die Zukunftsform „noch entstehen werden“ verwendet, die offensichtlich mit dem Ersatz „künftiger“ Schäden vereinbar ist.

Es bedarf zudem keiner Entscheidung, ob der Kläger das nach § 256 Abs. 1 ZPO erforderliche Feststellungsinteresse schlüssig behauptet hat. Denn dieses ist nur für ein stattgebendes Urteil echte Prozessvoraussetzung. Wenn die Klage - wie vorliegend - hingegen unbegründet ist, kann sie unabhängig von einem bestehenden Feststellungsinteresse aus sachlichen Gründen abgewiesen werden (vgl. die st. Rspr., BGH 10.10.2017, XI ZR 456/16, NJW 2018, 227 Rn. 16; s.a. Zöller/Greger, 34. Aufl. 2022, § 256 ZPO Rn. 7).

Auch der Klageantrag zu 3) ist zulässig. Der Begriff „Stand der Technik“ bzw. die Formulierung „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ ist auslegungsbedürftig, aber hinreichend bestimmt, § 253 Abs. 2 Nr. 2 ZPO.

Eine solch verallgemeinernde Formulierung ist hinzunehmen. Der Stand der Technik beschreibt einen Zustand, der aufgrund der sich ständig wandelnden Technik aktuell vorherrscht, sich aber gleichermaßen rasch ändern kann. Insoweit ist es dem Kläger unmöglich, den derzeitigen Stand der Technik explizit zu benennen. Je nach dem Stand der Technik sind dabei verschiedene, aufeinander aufbauende Sicherheitsmaßnahmen möglich, die nicht näher konkretisiert werden können. Es bedeutet keinen effektiven Rechtsschutz, müsste bei einer solchen expliziten Benennung erneut geklagt werden, sobald sich der Stand der Technik und mithin die Sicherheitsmaßnahmen ändern (so auch LG Gießen 3.11.2022, 5 O 195/22, GRURRS 2022, 30480 Rn. 16; vgl. i.Ü. BGH 21.5.2015, I ZR 183/13, GRUR 2015, 1237 Rn. 13).

Die weiteren von den Parteien in diesem Zusammenhang diskutierten Aspekte betreffen nach Auffassung des erkennenden Gerichts Fragen der Begründetheit des Antrags, nicht der Unbestimmtheit im Rahmen der Zulässigkeit.

II.

Die Klage ist jedoch unbegründet.

Der Kläger hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DSGVO oder einer anderen in Betracht kommenden Anspruchsgrundlage. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens. Materielle Schäden macht der Kläger schon nicht geltend.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Begriff des immateriellen Schadens ist dabei unionsrechtlich autonom auszulegen (für alle: Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17 ff.). Erwägungsgrund 146 zur DSGVO sieht vor, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshof weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DSGVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis zum Begriff des Schadens - etwa eine enge Auslegung - ist mithin nicht angezeigt (vgl. dazu BVerfG 14.1.2021, 1 BvR 2853/19, NJW 2021, 1005, 1007). Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DSGVO. Bagatellschäden sind ebenfalls erfasst. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist (OLG Frankfurt a.M. 2.3.2022, 13 U 206/20, GRUR-RS 2022, 4491 Rn. 61 ff.; LG Essen 10.11.2022, 6 O 111/22, GRUR-RS 2022, 34818 Rn. 75; LG Gießen 3.11.2022, 5 O 195/22, GRUR-RS 2022, 30480 Rn. 18). Diesen muss der Kläger darlegen und ggf. beweisen (s. OLG Frankfurt a.M. 2.3.2022, 13 U 206/20, GRURRS 2022, 4491 Rn. 57, 65; Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 20 mwN).

Diesen Beweis hat der Kläger vorliegend aber nicht geführt.

Der Kläger hat in seinen Schriftsätzen nur allgemeine Ausführungen dazu gemacht, welche Folgen der behauptete Datenschutzverstoß für ihn hatte. In Klageschrift und Replik werden Folgen für die Klägerseite umschrieben, etwa ein Zustand des Unwohlseins, der Sorge und des Kontrollverlustes. Zudem sei es vermehrt zu Spam und anderen dubiosen Nachrichten gekommen. Hierzu wird der Screenshot eines SMS vorgelegt (Anlage K5), bei der es sich offenbar um eine sog. „Paketshop-Spam“ handelt.

Auch die persönliche Anhörung des Klägers hat hierzu keine weiteren Aspekte oder Konkretisierungen ergeben, vielmehr konnte der Kläger auf konkretes Befragen der Kammer den schriftsätzlichen Vortrag schon gar nicht bestätigen. Er hat selbst keine Gefühlslage geschildert, die zu negativen Gefühlen bei der Nutzung des Internets oder sozialer Medien geführt hätte. Er hat zwar berichtet, Vorsichtsmaßnahmen einzuhalten und etwa einen Passwort-Manager zu benutzen. Hierbei handelt es sich aber um eine Maßnahme, die schon in der allgemeinen Medienberichterstattung stets empfohlen wird und die heutzutage gerichtsbekannt mit wenig Aufwand eingesetzt werden kann, schon allein aus dem Grund, dass mittlerweile jeder Internetnutzer eine Vielzahl von Passwörtern nutzt. Dass der Kläger hingegen eine Scheu vor der Nutzung des Internets oder der sozialen Medien entwickelt haben könnte, hat er nicht angegeben und auch die Kammer hat diesen Eindruck nicht gewonnen. Der Kläger erschien vielmehr als aufgeklärter Internetnutzer, der Gefahren kennt und ihnen adäquat begegnen kann, indem er etwa Nutzerkontoeinstellungen anpasst oder eine Zwei-Faktor-Authentifizierung nutzt. Beide Sicherheitsoptionen kannte der Kläger. Er gab auch an, Dienste wie Onlinebanking und Paypal zu nutzen, die also Zugriff auf sein Konto erlauben. Sollte der Kläger wirklich in großer Sorge vor einem Datendiebstahl sein, wäre die Nutzung solcher Funktionen nicht zu erwarten.

Auch einen Schaden in Form von Komfort- und Zeiteinbußen im Zusammenhang mit dem Vorfall hat der Kläger nicht erlitten. Anders als schriftsätzlich vorgetragen, musste sich der Kläger gerade nicht mit der Beklagten selbst auseinandersetzen. Er musste insbesondere nicht selbst um Auskunft bitten oder weitere Nachforschungen bzgl. des Scraping-Vorfalls anstellen und hat dies auch nicht getan. Er musste auch nicht den Sachverhalt ermitteln.

Zudem hat der Kläger auch klargestellt, seine E-Mail-Adresse sei nicht betroffen gewesen, wie es auch die Beklagte vorgetragen hat. Während dies in der Klage noch behauptet wurde hat sich dies aus der persönlichen Anhörung gerade nicht ergeben.

Hinzu kommt, dass ein Kausalitätsnachweis nicht ansatzweise geführt werden kann. So hat der Kläger selbst in seiner Anhörung auch nicht behauptet, seit dem streitigen Vorfall vermehrt Spam und ähnliches über seine Handynummer erhalten zu haben. Im Gegenteil gab er an, seit 2021 habe es weniger Spam-Nachrichten per SMS gegeben. Zudem erklärte der Kläger, die mit dem BB-Konto verknüpfte Handynummer schon eine lange Zeit – bis zu 15 Jahre – zu nutzen. Es ist daher unschwer vorstellbar, dass er diese Nummer an vielen Stellen analog und digital als Kontakt hinterlassen hat und es so vielfältige Möglichkeiten gibt, wie Unbekannte an dies Nummer gelangen könnten, nicht zuletzt auch durch Datenlecks bei Dritten, denen der Kläger seine Nummer einmal gegeben hat. Gerichtsbekannt sind solche Spam-SMS, wie der Kläger sie vorgelegt hat, weit verbreitet und werden auch Personen zugesandt, die die sozialen Medien und insbesondere BB nicht nutzen.

Zuletzt hat der Kläger auch eingeräumt, BB weiterhin zu nutzen. Auch wenn er dies einschränkte, er sei nur passiver Nutzer und nutze die Seite eher zur Information, war ihm die so erzielbare Vernetzung mit Freunden – etwa durch Geburtstagserinnerungen – oder Organisationen aus seinem Umfeld doch wichtig. Der Kläger erklärte zwar, regelmäßig seine Konteneinstellungen zu prüfen, sah sich aber offenbar nicht veranlasst, die Nutzung einzustellen. Dies wäre zu erwarten gewesen, wenn eine große Sorge vor einem Missbrauch von Daten bestehen würde.

Es ist zudem zu berücksichtigen, dass alle Daten - bis auf die Handynummer - aus dem öffentlichen Profil des Klägers „abgelesen“ wurden, die der Kläger bereitwillig dort selbst eingetragen hat. Ein Identitätsdiebstahl hat insoweit nicht stattgefunden. Soweit diese Daten öffentlich waren, standen sie bereits bei ihrer Eingabe nicht mehr unter der ausschließlichen klägerischen Kontrolle. Ein Kontrollverlust kann sich daraus gerade nicht ergeben.

Eine Vorlagepflicht nach Art. 267 AEUV bestand nicht.

Der Feststellungsantrag zu 2) ist unbegründet, weil der Eintritt künftiger Schäden - mangels Vorliegen eines Schadens - bereits nicht hinreichend wahrscheinlich ist.

Dem Kläger steht gegen die Beklagte kein Anspruch auf Unterlassung nach §§ 1004 analog, 823 Abs. 1 und aus Abs. 2 BGB i.V.m. Art. 6 Abs. 1DSGVO sowie Art. 17 DSGVO zu, seine personenbezogenen Daten in Zukunft unbefugt, d.h. konkret ohne vorherige ausreichende Belehrung, zu veröffentlichen und diese zukünftig unbefugten Drittenzugänglich zu machen. Denn es fehlt bereits an einem Verstoß der Beklagten, der überhaupt zu einem Unterlassungsanspruch führen könnte, selbst wenn man Art. 6 DSGVO als Schutzgesetz im Sinne des § 823 Abs. 2 BGB ansieht.

Eine Rechtsnorm ist ein Schutzgesetz i.S.d § 823 Abs. 2 BGB, wenn sie zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen. Dafür kommt es nicht auf die Wirkung, sondern auf Inhalt und Zweck des Gesetzes sowie darauf an, ob der Gesetzgeber bei Erlass des Gesetzesgerade einen Rechtsschutz, wie er wegen der behaupteten Verletzung in Anspruch genommen wird, zu Gunsten von Einzelpersonen oder bestimmten Personenkreisen gewollt oder doch mitgewollt hat (BGH, Urteil vom 25.05.2020, Az.: VI ZR 252/19, NJW 2020,1962). Art. 6 Abs. 1 DSGVO dient dem Schutz der Verarbeitung personenbezogener Daten. Der Zweck des Art. 6 Abs. 1 DSGVO liegt darin, rechtswidrige Verarbeitungen personenbezogener Daten zu deklarieren und zu verhindern. Insoweit ist Art. 6 Abs. 1 DSGVO Schutzgesetz i.S.d. § 823 Abs. 2 BGB (LAG Hamm, Urteil vom 14.12.2021, Az.: 17Sa 1185/20).

Es fehlt aber an einem Verstoß. Die Beklagte hat den Kläger ausreichend aufgeklärt gemäß Art.13 Abs. 1 DSGVO, insbesondere über die Zwecke der Verarbeitung sowie der Rechtsgrundlage und die etwaigen Empfänger oder Kategorien von Empfängern de personenbezogenen Daten (s.o.). Der Kläger hat zudem mit der Zustimmung zu den Nutzungsbedingungen und der Datenrichtlinie die Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben gemäß Art. 6 Abs. 1 S. 1 a.) DSGVO. Insbesondere wurden die Datenlinie sowie die Nutzungsbedingungen in einfach verständlicher Sprache abgefasst und sind einfach zugänglich, wenn auch mehrschichtig. Die Website der Beklagten weist den Nutzer sogar mehrfach darauf hin, dass man einen Privatsphärecheck machen kann. Insoweit entspricht das Ersuchen der Einwilligung auch den Voraussetzungen des Art. 7 Abs. 2 DSGVO. Wie ausgeführt, sind bei Auslegung nach dem objektiven Empfängerhorizont gemäß §§ 133, 157BGB durchaus bei entsprechender Sorgfalt und Inanspruchnahme von Zeit die mehrschichtigen Hinweise nachvollziehbar (s. Screenshots in der Akte). Zudem wird der Inhalt der Bestimmungen der Beklagten auch durch Gesetze und Verordnungen vorgegeben, sodass ihre Einwirkungsmöglichkeit, insbesondere eine Möglichkeit der Vereinfachung und Verkürzung, stets mit der Gefahr geringerer Rechtssicherheit einhergeht.

Hinsichtlich der Datenpunkte „BB ID“, „Familienname“, „Vorname“ und „Geschlecht“ handelt es sich zudem um die immer öffentlichen Nutzerinformationen, die auf der Profilseite des Klägers stets eingesehen werden können, auch von „unbefugten Dritten“, ohne dass Sicherheitsmaßnahmen überhaupt notwendig sind. Dem hat der Kläger mit der Registrierung zugestimmt. Überdies sind alle diese Datenpunkte bereits nach dem Vortrag des Klägers nicht, wie im Unterlassungsantrag formuliert, über „eine Software zum Importieren von Kontakten“ zugänglich gemacht worden, sondern wurden bereits nach klägerischem Vortrag automatisiert von der klägerischen BB-Profilseite gescraped.

Der Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO - Antrag zu 4) - unterliegt der Abweisung, weil dieser nach Überzeugung des Gerichts durch den außergerichtlichen Schriftsatz der Beklagten vom 23.08.2021 (Anlage K2) bereits erfüllt (§ 362 Abs. 1 BGB) wurde.

Weitergehende Auskunft kann der Kläger nicht verlangen. Ihm ist nämlich einerseits bekannt, welche Daten durch den Scraping-Vorfall erlangt und veröffentlicht wurden. Schließlich hat er in der Replik vom 12.12.2022 (dort S. 14 = Bl. 495 d.A.) den behaupteten Datensatz selbst vorgelegt. Andererseits hat die Beklagte glaubhaft und mehrfach versichert, sie halte keine „Rohdaten“ des Scraping-Vorfalls.

Die Nebenforderungen - Antrag zu 5) - teilen das Schicksal der übrigen Klageanträge und unterliegen der Abweisung.

III.

Die prozessualen Nebenentscheidungen beruhen auf §§ 91 Abs. 1, 708 Nr. 11, 711 ZPO.

Streitwert: 3.000 € gem. Beschluss vom 07.06.2022