Tatbestand:

Der Kläger macht einen Schmerzensgeld- sowie Schadensersatzanspruch, einen Unterlassungs- sowie Feststellungsanspruch und einen Anspruch auf Auskunft und Erstattung vorgerichtlicher Rechtsanwaltskosten im Zusammenhang mit dem im Jahr 2021 bekannt gewordenen Datenverlust aus dem Jahr 2019 auf der Plattform „Facebook.com“ der Beklagten geltend.

Der Kläger meldete sich zu einem nicht näher bekannten Zeitpunkt (vor 2018) auf der Facebook-Plattform der Beklagten an. Nutzer können ein persönliches Profil erstellen und dieses mit Freunden teilen. Anzugeben waren Vor- und Nachname, Geburtsdatum, Geschlecht und Nutzer-ID. Auf der Registrierungs-Seite heißt es unten:

„Indem du auf „Registrieren“ klickst, stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen. Unsere Cookie-Richtlinie erklärt, wie wir Cookies und ähnliche Technologien verwenden. Facebook schickt dir eventuell Benachrichtigungen per SMS, die du jederzeit abbestellen kannst.“

Die Datenrichtlinie (Anlage B1, Bl. 201 ff. d.A.) erklärt, welche der vom Nutzer erteilten Informationen stets öffentlich zugänglich sind. Dabei handelt es sich um Angaben zu Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID (öffentliches Profil). Außerdem wird darüber informiert, dass die öffentlichen Inhalte von jedem gesehen werden können, auch von Personen, die nicht Freunde des Nutzers sind, die Facebook nicht nutzen und die Inhalte über andere Medien wie Druckmedien, Rundfunk (z.B.) Fernsehen und andere Webseiten im Internet ansehen.

Der Kläger registrierte sich unter Angabe der geforderten Informationen mit der E-Mail-Adresse E-Mail01. Zusätzlich gab er seine Telefonnummer an. Die von der Beklagten voreingestellten Standardeinstellungen zur Privatsphäre sowie zur Suchbarkeit seines Profils veränderte er dabei nicht.

* Im Anschluss an die Registrierung wird der Nutzer zur Einstellung seiner Privatsphäre und einem Privatsphäre-Check aufgefordert. Darüber hinaus können die Einstellungen des Nutzerkontos individuell festgelegt werden. Im auf der Plattform eingerichteten Hilfebereich, auf den jeder Nutzer zugreifen kann, wird erläutert, was öffentliche Informationen sind, welche Informationen öffentlich sind und wer die von ihm darüber hinaus bereitgestellten Informationen sehen kann (sog. Zielgruppenauswahl, Anlage B4, Bl. 205 ff. d.A.). Zudem wird erklärt, wer anhand der E-Mail-Adresse oder der Telefonnummer des Nutzers, sofern E-Mail-Adresse bzw. Telefonnummer angegeben wurden, ihn finden kann (sog. Suchbarkeits-Einstellungen, Anlage B5, Bl. 207 d.A.). Trifft der jeweilige Nutzer für die jeweiligen Einstellungen, die über die stets öffentlichen Informationen hinausgehen, keine individuelle Auswahl, verbleibt es bei den voreingestellten Standardeinstellungen der Beklagten. Hiernach können Freunde zukünftige Beiträge sehen (vgl. Bl. 12). Passt der Nutzer die Suchbarkeits-Einstellungen nicht an, sieht die Standardeinstellung vor, dass alle Personen, die über die E-Mail-Adresse oder die Telefonnummer des Nutzers verfügen, sein Facebook-Profil, sofern er E-Mail-Adresse bzw. Telefonnummer bereitgestellt hat, finden (sog. Kontakt-Importer-Funktion, wonach Nutzer im relevanten Zeitraum ihre Kontakte von ihren Mobilgeräten auf Facebook hochladen konnten, um diese Kontakte auf der Facebook-Plattform zu finden und mit ihnen in Verbindung zu treten, Bl. 12, 142).

In der Zeit von Januar 2018 bis September 2019 sammelten Dritte unter Nutzung automatisierter Softwareprogramme eine Vielzahl der auf der Facebook-Plattform verfügbaren öffentlichen Informationen (sog. Scraping). Außerdem erstellten die Scraper Listen mit möglichen Telefonnummern und luden diese in den Kontakt-Importer der Facebook-Plattform hoch, um festzustellen, ob eine der hochgeladenen Telefonnummern mit einem Konto eines Nutzers verbunden ist. Sollte eine der Telefonnummern mit einem Facebook-Konto verknüpft gewesen sein und der Nutzer die Standard-Suchbarkeits-Einstellungen nicht geändert haben, konnten die Scraper den öffentlich zugänglichen Informationen aus dem betreffenden Profil die mit dem Konto verknüpfte Telefonnummer hinzufügen, auch ohne dass in den entsprechenden Profilen die hinterlegten Telefonnummern öffentlich freigegeben waren.

Im April 2021 wurden die gescrapten Datensätze von über 500 Mio. Facebook-Nutzern sowie die hiermit verknüpften Telefonnummern frei zum Download bereitgestellt. Hierzu gehörten auch die immer öffentlichen Informationen über die Nutzer-ID, den Vor- und Nachnamen, das Geschlecht und die mit seinem Konto verknüpfte Telefonnummer des Klägers (Bl. 342 d.A.).

Mit E-Mail des klägerischen Prozessbevollmächtigten vom 08.09.2021 (Anlage K1, Bl. 53 ff. d.A.) verlangte der Kläger die Zahlung eines Schadensersatzbetrags iHv 500,00 €, forderte zur Unterlassung zukünftiger Zugänglichmachung seiner Daten an unbefugte Dritte sowie zur Auskunft darüber auf, welche konkreten Daten im April 2021 abgegriffen und veröffentlicht wurden. Die Auskunft erteilte die Beklagte mit Schreiben vom 30.09.2021 (Anlage B16, Bl. 245 ff. d.A.).

Der Kläger meint, ihm stehe ein Schmerzensgeldanspruch gegen die Beklagte iHv mind. 1.000,00 € wegen des Datenverlustes zu. Die Beklagte habe gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit.a), 13, 14 DSGVO, gegen die Pflicht gem. Art. 24, 32 DSGVO, angemessene technische und organisatorische Maßnahmen zu gewährleisten, gegen die Pflicht gem. Art. 25 DSGVO, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen zu gewährleisten sowie die sich aus Art. 33, 34 DSGVO ergebende Melde- und Benachrichtigungspflicht nach einer Datenschutzverletzung verstoßen. Darüber hinaus stehe ihm ein Feststellungsanspruch bezüglich der Erstattungspflicht der Beklagten für künftige Schäden sowie ein Unterlassungsanspruch, bestimmte Daten Dritten zugänglich zu machen sowie seine Telefonnummer zu verarbeiten, zu. Außerdem habe er, da die Beklagte seinen Auskunftsanspruch vorgerichtlich nicht erfüllt habe, einen Anspruch auf Auskunft über seine gescrapten personenbezogenen Daten.

Die Beklagte habe es versäumt, ihn unverzüglich vom Scraping-Vorfall in Kenntnis zu setzen. Er habe somit einen Kontrollverlust über seine persönlichen Daten erlitten, was ihn stark verunsichere. Er habe Sorge, Opfer von Betrugsversuchen zu werden. Außerdem habe er seit dem Vorfall vermehrt Anrufe und E-Mails von unbekannten Telefonnummern und E-Mail-Adressen erhalten. Die Beklagte habe die Kontakt-Import-Funktion nicht hinreichend durch entsprechende Schutzmaßnahmen gesichert, sodass den Scrapern die Massenabfrage von Telefonnummern durch die Sicherheitslücke ermöglicht worden sei. Es sei nicht auszuschließen, dass auch Datenpunkte wie E-Mail-Adresse, Wohnort, Stadt und Beziehungsstatus gescrapt worden seien.

Der Kläger beantragt,

1.       die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 €, nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz,

2.       festzustellen, dass die Beklagte verpflichtet ist, ihm alle künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden,

3.       die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a.         seine personenbezogenen Daten, namentlich Telefonnummer, FacebookID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

b.         seine Telefonnummer auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird,

4.       die Beklagte zu verurteilen, ihm Auskunft über die ihn betreffenden personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten,

5.       die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

              die Klage abzuweisen.

Sie meint, dem Kläger stehe ein Anspruch nicht zu. Auf einen etwaigen Verstoß gegen Art. 34, 15 DSGVO könne er einen Schmerzensgeldanspruch nicht stützen, da ein Verstoß gegen diese Normen nicht vom Anwendungsbereich des Art. 82 DSGVO umfasst sei. Zudem habe der Kläger einen immateriellen Schaden nicht hinreichend dargetan. Im Übrigen liege kein Datenschutzverstoß vor, da nur öffentlich zugängliche Informationen abgerufen und keine spezifischen Sicherheitsmaßnahmen umgangen oder überwunden worden seien. Sie selbst habe die klägerischen Daten weder unbefugt offen gelegt noch den Zugang zu ihnen ermöglicht. Da der Kläger selbst durch die Suchbarkeits-Einstellungen die Verknüpfung seiner Telefonnummer über den Kontakt-Import ermöglicht habe, könne ihr keine Sicherheitslücke zur Last gelegt werden.

Das Gericht hat den Kläger im Rahmen der mündlichen Verhandlung vom 14.02.2023 angehört. Wegen des Ergebnisses der Parteianhörung wird Bezug genommen auf das Protokoll der mündlichen Verhandlung vom 14.02.2023 (Bl. 1029 ff. d.A.).

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Gerichtsakte sowie der gewechselten Schriftsätze Bezug genommen.

Entscheidungsgründe:

Die zulässige Klage ist unbegründet. Dem Kläger stehen gegen die Beklagte keine Ansprüche im Zusammenhang mit dem geltend gemachten „Scraping-Vorfall“ aus den Jahren 2018 bis 2019 zu.

A.

Die Klage ist zulässig. Insbesondere ist das LG Detmold international, sachlich und örtlich zuständig.

Die internationale Zuständigkeit folgt aus Art. 6 Abs. 1, 18 Abs. 1 Alt. 2 EuGVVO (Brüssel IaVO). Es handelt sich vorliegend um eine Zivilsache, der Kläger ist Verbraucher mit Wohnsitz in Deutschland. Die örtliche Zuständigkeit des LG Detmold ergibt sich jedenfalls aus Art. 18 Abs. 1 Alt. 2 EuGVVO.

B.

Die Klage ist insgesamt unbegründet.

I.

Dem Kläger steht gegen die Beklagte kein Schmerzensgeldanspruch (Antrag zu Ziffer 1) zu. Ein Anspruch aus Art. 82 Abs. 1 DSGVO kommt nicht in Betracht. Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Gemäß Art. 82 Abs. 2 S. 1 DSGVO haftet danach jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.

1.

Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f) DSGVO vor, da die Beklagte nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat.

a.

Zwar sind die öffentlich zugänglichen Informationen des klägerischen Facebook-Profils von Dritten gescrapt und damit auch iSv Art. 4 Nr. 2 DSGVO verarbeitet worden, jedoch erfolgte die Verarbeitung nicht „unbefugt“ oder „unrechtmäßig“ iSv Art. 5 Abs. 1 lit. f) DSGVO. Damit trifft die Beklagte auch keine Obliegenheitsverletzung in Form der angemessenen Sicherheit und eines entsprechenden Schutzes vor einer solchen Verarbeitung. Bei den gescrapten Daten des Klägers (Name, Geschlecht, Nutzer-ID) handelt es sich um Daten, die für jedermann öffentlich ohne Zugangskontrolle und ohne Überwindung technischer Zugangsbeschränkungen abrufbar waren. Da der Kläger selbst entschieden hat, diese Daten öffentlich zugänglich zu machen, war die Erhebung dieser auch nicht unbefugt oder unrechtmäßig. Sie stellte nicht mehr dar, als das, was der Kläger selbst durch die Registrierung wissentlich und willentlich getan hat.

b.

Dass auch weitere Datenpunkte wie E-Mail-Adresse, Wohnort, Stadt und Beziehungsstatus des Klägers veröffentlicht wurden, konnte nicht festgestellt werden und wird zuletzt auch von ihm nicht mehr behauptet.

c.

Auch der Abgleich zwischen den von den Scrapern über den Kontakt-Import hochgeladenen Telefonnummern mit der des Klägers und der anschließenden Verknüpfung der öffentlichen Daten mit der Telefonnummer, stellt keine unbefugte bzw. unrechtmäßige Verarbeitung dar, vor der die Beklagte den Kläger hätte schützen müssen. Auch wenn diese Vorgehensweise (Scraping) nicht im Sinne der Nutzung der Facebook-Plattform sein dürfte, so wurde letztlich in vorgesehener Weise die Funktion des Facebook-Dienstes genutzt. Der Kläger hat der Beklagten seine Telefonnummer bereitgestellt, die die Beklagte im Rahmen der Suchbarkeits-Einstellungen verwendete, um festzulegen, welche Personen das Facebook-Konto des Klägers anhand seiner Telefonnummer finden können. Dies sollten nach den nicht abgeänderten Standardeinstellungen alle Personen sein, die in ihrem Adressbuch die Nummer des Klägers abgespeichert haben. Somit war letztlich jeder Person – damit auch den Scrapern – der Abgleich über die Telefonnummer des Klägers möglich und nicht unbefugt oder unrechtmäßig.

Anzunehmen ist daher, dass die Scraper nichts anderes getan haben, als das, was der Kläger aufgrund der Einstellungen der Suchbarkeits-Funktion erwarten konnte, wenn er seine Telefonnummer angibt und die Suche „allen“ ermöglicht.

Das Vorbingen des Klägers, die Standardeinstellungen würden gegen den datenschutzrechtlichen Grundsatz „privacy by default“ (= datenschutzfreundliche Voreinstellungen) verstoßen, vermögen an dieser Bewertung nichts zu ändern. Eine Verpflichtung der Beklagten, Schutzmaßnahmen zu ergreifen, folgt daraus nicht. Die Beklagte durfte vielmehr annehmen, dass dem Kläger bekannt ist, dass sein Konto über seine Telefonnummer für jedermann aufzufinden ist. Da er vor seiner Registrierung auch die Datenschutzrichtlinie bestätigt hat, die ihn über die Funktion aufgeklärt hat, durfte die Beklagte annehmen, der Kläger habe entsprechende Kenntnis. Diese enthalten die Information, dass es die Beklagte allen Personen, die über die Telefonnummer des Klägers verfügen, gestattet, den Nutzer zu finden. Zudem heißt es, dass der Nutzer über seine Privatsphäre-Einstellungen auswählen kann, wer mithilfe der Telefonnummer des Nutzers nach diesem suchen kann. Der Kläger hätte also die Suchbarkeits-Einstellungen abändern können. Dass aufgrund der Fülle an Informationen und Einstellungen eine Abänderung der Standardeinstellungen nicht zu erwarten sei, vermag die Kammer nicht nachzuvollziehen. Die Einstellung der Privatsphäre ist vergleichsweise einfach und kann schrittweise erfolgen. Eine gewisse Verantwortung im Umgang mit persönlichen Daten in sozialen Netzwerken oder im Internet im Allgemeinen kann den Nutzern durchaus abverlangt werden, sodass die Befassung mit den Privatsphäre-Einstellungen vor dem Hintergrund des Schutzes eigener persönlicher Daten erwartet werden kann.

2.

Ein Verstoß gegen Art. 24, 32 DSGVO liegt gleichermaßen nicht vor. Art. 32 Abs. 1, 2 DSGVO formt den allgemeinen Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) DSGVO) näher aus. Er verlangt Verarbeitungsprozessen ab, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u.a. davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten.

Dass die Beklagte gegen ihre Verpflichtung, Datenverarbeitungssicherheit zu gewährleisten, verstoßen hat, ist aus den o.g. Gründen nicht ersichtlich. Da die abgegriffenen Daten ohnehin immer öffentlich zugänglich waren und der Abgleich von im Kontakt-Importer hochgeladenen Telefonnummern mit der verknüpften Telefonnummer des Klägers nicht unrechtmäßig war, bestand keine Verpflichtung zu weitergehenden Schutzmaßnahmen.

3.

Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DSGVO vor. Hiernach wird vom Verantwortlichen der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) verlangt.

Auch wenn die Voreinstellung der Beklagten, wonach die Suchbarkeit der Telefonnummer für „Alle“ möglich sein soll, nicht das höchste Schutzniveau darstellt, so vermag in einer Gesamtschau dennoch kein Verstoß festgestellt zu werden. Die Beklagte informiert den Nutzer hinreichend über ihre Vorgehensweise und setzt ihn über die verschiedenen Einstellungsmöglichkeiten, die durch Abänderung der Voreinstellung erzielt werden können, in Kenntnis. Daneben dürfte von einem Internetnutzer auch zu erwarten sein, dass er sich mit den entsprechende Gepflogenheiten vertraut macht, die mit der Nutzung eines sozialen Netzwerkes einhergehen. Im Hinblick auf den Zweck der Funktionsweise, die Nutzer einfacher miteinander zu vernetzen, muss der jeweilige Nutzer selbst entscheiden, ob er seine Telefonnummer angibt oder nicht. Zwar ist es Sinn und Zweck der DSGVO, ein hohes Schutzniveau der Daten zu erreichen. Einen umfassenden Schutz dürfte man von der Vorschrift des Art. 25 DSGVO nicht erwarten können, da der zu schützende Personenkreis dennoch eigenverantwortlich handelt. Hinzu kommt, dass auch der Zweck dieser Kontakt-Importer-Funktion nicht außer Acht gelassen werden darf. Natürlich arbeitet die Beklagte mit Werbung und verdient letztlich auch Geld mit den Daten der Nutzer. Dies wiederum muss jedem Nutzer auch bewusst sein, wenn er sich dafür entscheidet, sich auf der Facebook-Plattform der Beklagten zu registrieren. Ihm bleibt die Möglichkeit eines „opt-outs“. Auch wenn die DSGVO ein möglichst hohes Schutzniveau erreichen soll, muss der Zweck der jeweiligen Datenverarbeitung beachtet werden. So besteht der Unternehmenszweck unter anderem darin, Menschen miteinander zu verknüpfen. Dementsprechend müssen vor allem neue Facebook-Nutzer in der Lage sein, ihre Kontakte und andere Nutzer, die sie eventuell kennen, zu finden. Die Standard-Einstellung zur Suchbarkeit der Telefonnummer dient genau diesem Zweck. Insoweit war auch die Zugänglichmachung der Telefonnummer für einen größeren Personenkreis, entgegen Art. 25 Abs. 2 S. 3 DSGVO, sach- und zweckdienlich. Dies gilt vor allem deswegen, da der Nutzer durch entsprechende Änderung der Einstellungen eingreifen kann.

Auch der weitere Vorwurf des Klägers, die Beklagte habe nicht in ausreichendem Umfang Anti-Scraping-Maßnahmen getroffen und den Zugang zu Nutzerdaten nicht hinreichend beschränkt und geschützt, verfängt nicht. Entscheidend ist insoweit nicht die von dem Kläger vorgenommene ex-post-, sondern vielmehr eine ex-ante-Betrachtung. Hiernach hat die Beklagte ausreichend substantiiert dargetan, dass sie verschiedene Anti-Scraping-Maßnahmen ergriffen hat (Bl. 144 ff. d.A.):

• 53

  Einsetzen eines EDM-Team, das Aktivitätsmuster und Verhaltensweisen, die typischerweise mit automatisierten Computeraktivitäten in Zusammenhang stehen, identifizieren

• 54

  Implementieren von Übertragungsbeschränkungen, die die Anzahl von Anfragen von bestimmten Daten reduzieren, welche pro Nutzer oder von einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht werden können

• 55

  Geltendmachung von Unterlassungsaufforderungen, Kontosperrungen und Gerichtsverfahren gegen Scraper

• 56

  Anpassung des Systems an die entwickelten Scraping-Taktiken, um sicherzustellen, dass das Verknüpfen von Telefonnummern mit bestimmten Facebook-Nutzern durch die Kontakt-Import-Funktion nicht mehr möglich war

• 57

  Vornahme von Captcha-Abfragen (vollständig automatisierter öffentlicher Turing-Test, um Computer von Menschen zu unterscheiden), also die Möglichkeit, herauszufinden, ob hinter der Anfrage ein menschlicher Nutzer steht oder nicht.

Warum die Implementierung dieser Maßnahmen im maßgeblichen Zeitraum nicht zutreffend sein sollte und diese dem damals maßgeblichen Stand der Technik nicht entsprochen haben sollten, ist nicht ersichtlich und auch vom Kläger nicht weiter ausgeführt worden. Letztlich muss in diesem Zusammenhang durchaus beachtet werden, dass Scraping ein bekanntes und stets vorkommendes Problem darstellt, welches vom „Hacking“ unterschieden werden muss. Die Möglichkeiten der Risikominimierung sind begrenzt, da die Preisgabe persönlicher Daten im Internet stets ein gewisses Risiko birgt. Insofern hält die Kammer die Maßnahmen der Beklagten für ausreichend, da in diesen Fällen zudem vor allem die Anpassung solcher an die sich entwickelnden Scraping-Methoden immer erst nachgelagert zum Scraping-Vorfall erfolgen kann. Die Überprüfung vermeintlich „auffälliger“ Telefonnummern kann zudem durch Unterbrechung der Sequenzen leicht umgangen und auf verschiedene Geräte bzw. Nutzer verteilt werden.

Hinzu kommt, dass auch nicht allein auf einzelne Sicherheitsmechanismen abgestellt werden kann. Insoweit hat die Beklagte einen Ermessensspielraum, welche einzelnen technischen und organisatorischen Maßnahmen sie umsetzt, um im Rahmen einer ganzheitlichen Bewertung aller Maßnahmen ein angemessenes Schutzniveau zu gewährleisten (Jandt, in: Kühlung/Buchner, DSGVO, Art. 32, Rn. 5, 8). Letztlich ist im Wege einer Gesamtbetrachtung davon auszugehen, dass aufgrund der Anzahl der implementierten Sicherheitssysteme ein ausreichender Schutz gewährleistet wurde. Zwar konnte die nicht im eigentlichen Sinne vorgenommene Verwendung der Kontakt-Importer-Funktion nicht verhindert werden, jedoch kann aus dem Umstand, dass ein Scraping-Vorfall geschehen ist, nicht gefolgert werden, dass das Sicherheitssystem gegen die DSGVO verstoßen hat.

Letztlich verbleibt es im Übrigen auch hier bei den unter Ziff. 1 und 2 dargestellten Erwägungen. Sinn und Zweck der Vorschriften ist der Schutz personenbezogener Daten vor unrechtmäßigem und rechtswidrigem Zugriff. Da ein solcher nicht vorliegt, bestand keine Verpflichtung zu weitergehenden Schutzmaßnahmen.

4.

Soweit der Kläger der Beklagten weitere Verstöße gegen die DSGVO vorwirft, nämlich

       ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit.a),

       unmittelbaren Verstoß gegen Art. 13, 14 DSGVO, die konkrete Informationspflichten enthalten, die seitens der Beklagten nicht eingehalten worden seien,

       unvollständige Auskunftserteilung nach Art. 15 DSGVO, da nicht mitgeteilt worden sei, welchen Empfängern seine Daten zugänglich gemacht worden seien (Art. 33, 34 DSGVO)

sind solche Verstöße bereits nicht vom Schutzzweck des Art. 82 DSGVO umfasst. Art. 82 Abs. 1 DSGVO erfasst nur solche Pflichtverstöße, die im Rahmen einer „Verarbeitung“ geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DSGVO ergibt („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). Datenverarbeitung bezeichnet jedoch nur jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgehensreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Art. 5 Abs. 1 lit.a), 13, 14, 15 DSGVO begründen Informationspflichten gegenüber betroffenen Personen. Auch Art. 33, 34 DSGVO begründen eine Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO) bzw. die Pflicht zur Benachrichtigung der betroffenen Person (Art. 34 DSGVO). Die Erteilung von Informationen über die Verarbeitung personenbezogener Daten, die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten gegenüber Nutzern und die Erteilung einer beantragten Auskunft stellen jedoch keine Verarbeitungen iSv Art. 4 Nr. 2 DSGVO dar, sodass sich aus ihrer etwaigen Verletzung kein Anspruch aus Art. 82 Abs. 1 DSGVO ableiten lässt.

5.

Im Übrigen scheitert ein etwaiger Schadensersatzanspruch des Klägers auch am Fehlen eines Schadens iSv Art. 82 Abs. 1 DSVO. Anders als der Kläger meint, genügt nicht allein der Verstoß gegen die DSGVO, um einen Ausgleich / eine Kompensation verlangen zu können. Das widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DSGVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Dies lässt sich nach Auffassung der Kammer auch dem Wortlaut des Art. 82 Abs. 1 DSGVO entnehmen, wonach (1) ein Verstoß gegen diese (DSGVO) Verordnung nötig ist, der (2) zu einem materiellen oder immateriellen Schaden geführt haben muss. Die – hier nicht feststellbare – Verletzungshandlung muss in jedem Fall zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechen der betroffenen Person geführt haben (LG Hamburg, Urt. v. 04.09.2020 – 324 S 9/19). Allein der Kontrollverlust des Klägers über seine Daten stellt keinen Schaden dar. Seine Sorge oder Angst um die verwendeten Daten und die Befürchtung, Opfer von Betrugsfällen zu werden, kann zwar nicht gemessen werden, ist hierfür jedoch noch nicht ausreichend. Immerhin darf nicht außer Acht gelassen werden, dass jedenfalls Name, Facebook-ID und Geschlecht von ihm öffentlich bekanntgegeben wurden und damit bereits nicht mehr unter seiner ausschließlichen Kontrolle standen (LG Bielefeld, Urt. v. 19.12.2022 – 8 O 182/22). Letztlich ist also insoweit überhaupt nicht mehr bekannt geworden als das, was von ihm selbst bereits im Internet veröffentlich wurde. Dass der Kläger insoweit keine über ein bloßes Unwohlsein gesteigerten Einschränkungen und Sorgen hinnehmen musste, zeigt auch der Umstand, dass er im Rahmen seiner Anhörung erklärt hat, noch immer bei „Facebook“ angemeldet zu sein. In Bezug auf die bekannt gewordene Telefonnummer mag ein gewisser Kontrollverlust vorliegen. Ob und inwieweit jedoch der Kontrolle über die Telefonnummer überhaupt ein Wert zukommt, mag bezweifelt werden. Im Übrigen reicht ein Schadensersatzanspruch für ein bloßes Unmutsgefühl nach Auffassung der Kammer zu weit. Dass die vom Kläger vorgelegten SMS (Anlage K3, Bl. 397 ff. d.A.) tatsächlich auf das Bekanntwerden seiner Telefonnummer zurückzuführen sind, ist nicht ersichtlich. Gleiches gilt für die von ihm dargestellten Telefonanrufe. Es ist bekannt, dass unerwünschte E-Mails und Anrufe auch Personen erhalten, die keinen Facebook-Account haben und dort ihre Telefonnummer hinterlegt haben.

II.

Auch der Antrag zu Ziffer 2) bleibt ohne Erfolg. Eine Haftung besteht dem Grunde nach aus den unter I. dargestellten Gründen nicht, sodass auch ein Feststellungsanspruch im Hinblick auf die Einstandspflicht der Beklagten bzgl. künftiger Schäden nicht in Betracht kommt.

III.

Aus den dargestellten Gründen vermag der Kläger ebenso wenig mit Erfolg einen Unterlassungsanspruch gegen die Beklagte geltend zu machen. Dabei kann letztlich dahinstehen, ob neben der DSGVO, die in Art. 79 DSGVO Ansprüche der Berechtigten abschließend regelt, überhaupt ein Unterlassungsanspruch nach Art. 1004 Abs. 1 S. 1 BGB analog iVm § 823 Abs. 1 BGB in Betracht kommt, oder ob ein solcher aufgrund der Regelungen der DSGVO gesperrt ist. Da bereits keine Verletzung der DSGVO vorliegt und damit auch das Recht des Klägers auf informationelle Selbstbestimmung als Ausfluss des Absoluten Persönlichkeitsrechts des § 823 Abs. 1 BGB nicht verletzt ist, kommt ein Unterlassungsanspruch nicht in Betracht. Es wurden lediglich Daten abgeschöpft und weiter veröffentlicht, die ohnehin öffentlich sind. Was die Verwendung der Telefonnummer angeht, so liegt es jederzeit in der Hand des Klägers, dies in den Einstellungen zu verändern (LG Gießen, Urt. v. 03.11.2022 – 5 O 195/22).

IV.

Der Kläger hat keinen weiteren Auskunftsanspruch nach Art. 15 DSGVO. Zwar wurden Daten des Klägers sowohl von der Beklagten als auch von Dritten verarbeitet, der Auskunftsanspruch ist jedoch durch das Antwortschreiben der Beklagten vom 30.09.2021 (Anlage B16, Bl. 245 ff. d.A.) erfüllt, § 362 Abs. 1 BGB. Ein weitergehender Anspruch besteht nicht.

1.

Im Schreiben vom 30.09.2021 hat die Beklagte dem Kläger mitgeteilt, welche Datenkategorien gescrapt wurden und mit den auf dem Facebook-Profil des Klägers verfügbaren Informationen übereinstimmen (Nutzer-ID, Vor- und Nachname, Land, Geschlecht, Telefonnummer). Zudem wurde er auf die maßgeblichen Abschnitte der Datenrichtlinie sowie die verfügbaren Selbstbedienungs-Tools („Zugriff auf deine Informationen“ und „Deine Informationen herunterladen“) hingewiesen, die es Nutzern ermöglichen, ihre Facebook-Daten aufzurufen und einzusehen. Dabei handelt es sich um eine dem Art. 15 DSGVO entsprechende ausreichende Information.

2.

Ein darüber hinausgehender Anspruch des Klägers auf Auskunft darüber, welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten, folgt nicht aus Art. 15 DSGVO. Insoweit ist die Beklagte nicht verpflichtet, Auskunft über die Verarbeitungstätigkeit Dritter zu erteilen. Letztlich bezieht sich Art. 15 DSGVO nur auf die eigene Verarbeitung der Beklagten, nicht jedoch auf die von Dritten vorgenommene Verarbeitung. Es handelt sich bei der vom Kläger begehrten Auskunft inhaltlich vielmehr um die Meldepflicht nach Art. 33, 34 DSGVO.

V.

Die Nebenforderungen teilen das Schicksal der Hauptforderung.

C.

Die Kostenentscheidung beruht auf § 91 Abs. 1 S. 1 ZPO. Die Entscheidung zur vorläufigen Vollstreckbarkeit folgt aus § 709 S. 1, 2 ZPO.

D.

Der Streitwert wird auf 6.500,00 EUR festgesetzt.

Rechtsbehelfsbelehrung:

Gegen dieses Urteil ist das Rechtsmittel der Berufung für jeden zulässig, der durch dieses Urteil in seinen Rechten benachteiligt ist,

1. wenn der Wert des Beschwerdegegenstandes 600,00 EUR übersteigt oder

2. wenn die Berufung in dem Urteil durch das Landgericht zugelassen worden ist.

Die Berufung muss innerhalb einer Notfrist von einem Monat nach Zustellung dieses Urteils schriftlich bei dem Oberlandesgericht Hamm, Heßlerstr. 53, 59065 Hamm, eingegangen sein. Die Berufungsschrift muss die Bezeichnung des Urteils (Datum des Urteils, Geschäftsnummer und Parteien) gegen das die Berufung gerichtet wird, sowie die Erklärung, dass gegen dieses Urteil Berufung eingelegt werde, enthalten.

Die Berufung ist, sofern nicht bereits in der Berufungsschrift erfolgt, binnen zwei Monaten nach Zustellung dieses Urteils schriftlich gegenüber dem Oberlandesgericht Hamm zu begründen.

Die Parteien müssen sich vor dem Oberlandesgericht Hamm durch einen Rechtsanwalt vertreten lassen, insbesondere müssen die Berufungs- und die Berufungsbegründungsschrift von einem solchen unterzeichnet sein.

Mit der Berufungsschrift soll eine Ausfertigung oder beglaubigte Abschrift des angefochtenen Urteils vorgelegt werden.

Hinweis zum elektronischen Rechtsverkehr:

Die Einlegung ist auch durch Übertragung eines elektronischen Dokuments an die elektronische Poststelle des Gerichts möglich. Das elektronische Dokument muss für die Bearbeitung durch das Gericht geeignet und mit einer qualifizierten elektronischen Signatur der verantwortenden Person versehen sein oder von der verantwortenden Person signiert und auf einem sicheren Übermittlungsweg gemäß § 130a ZPO nach näherer Maßgabe der Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (BGBl. 2017 I, S. 3803) eingereicht werden. Auf die Pflicht zur elektronischen Einreichung durch professionelle Einreicher/innen ab dem 01.01.2022 durch das Gesetz zum Ausbau des elektronischen Rechtsverkehrs mit den Gerichten vom 10. Oktober 2013, das Gesetz zur Einführung der elektronischen Akte in der Justiz und zur weiteren Förderung des elektronischen Rechtsverkehrs vom 5. Juli 2017 und das Gesetz zum Ausbau des elektronischen Rechtsverkehrs mit den Gerichten und zur Änderung weiterer Vorschriften vom 05.10.2021 wird hingewiesen.

Weitere Informationen erhalten Sie auf der Internetseite www.justiz.de.

* Am 20.04.2023 erging folgender Berichtigungsbeschluss:

In pp. wird gemäß § 320 ZPO der Tatbestand des Urteils vom 14.02.2023 dahingehend berichtigt, dass auf Seite 3 in Absatz 1 der Satz "Im Anschluss an die Registrierung wird der Nutzer zur Einstellung seiner Privatsphäre und einem Privatsphäre-Check aufgefordert." durch folgende Sätze ersetzt wird:

„Nachdem die Registrierung abgeschlossen ist, wird der Benutzer auf die Startseite geführt. Nach der Anmeldung sehen sich Nutzer mit einer Fülle an Einstellungen und weiteren Untereinstellungen konfrontiert, die über verschiedene Links zu erreichen sind. Zunächst die „Privatsphäre auf einen Blick“, abrufbar unter https://www.facebook.com/privacy. Weiterhin Privatsphäre-Check unter https://www.facebook.com/privacy/checkup/?source=settings_and_privacy. Der Nutzer kann hierüber Einstellungen zu seiner Privatsphäre vornehmen.“