Landgericht Detmold, 02 O 85/22 - Urteil und Berichtigungsbeschluss

Tatbestand:

Gegenstand der Rechtsstreits sind Ansprüche der Klägerin gegen die Beklagte gerichtet auf Zahlung, Feststellung, Unterlassung und Auskunft vor dem Hintergrund von behaupteten Datenschutzverstößen durch die Beklagte und einem damit in Zusammenhang stehenden Datenverlust im Jahr 2019 bzw. deren Veröffentlichung im Jahr 2021, wobei das Vorliegen von Datenschutzverstößen zwischen den Parteien streitig ist.

Im Einzelnen geht es um Folgendes:

Die Klägerin war und ist Nutzerin der von der Beklagten angebotenen Plattform bzw. des sozialen Netzwerkes „A“. Auf der Plattform können die Nutzer ein persönliches Profil erstellen und dieses mit Freunden teilen. Dabei können verschiedene persönliche Angaben gemacht werden, die von anderen Nutzern – je nach Einstellung – eingesehen werden können. Bei der Anmeldung werden allgemeine Geschäfts- und Nutzungsbedingungen Bestandteil des Nutzungsverhältnisses. Die Beklagte hat außerdem eine eigene Datenrichtlinie (Bl. 233 ff. d. e-Akte), in welcher sie unter anderem über die Verarbeitung und Verwendung von Informationen der Nutzer informiert. Unter der Überschrift „Wie werden diese Informationen geteilt“, wird erläutert, dass die Nutzer ihre hinterlegten Informationen entweder mit einer von ihnen selbst gewählten Zielgruppe oder öffentlich teilen können (Bl. 237 f. d. e-Akte). Öffentliche Informationen können von jedem auf oder außerhalb der Produkte der Beklagten gesehen werden, auch wenn kein Konto bei der Beklagten besteht. Die Beklagte informiert beispielsweise auch darüber, dass Dienste Dritter auf ein öffentliches Profil zugreifen können. Dies umfasst den Benutzernamen oder die Nutzer-ID, das Alter, Land bzw. Sprache, die Freundesliste, sowie jede andere Information, die vom Nutzer mit ihnen geteilt werden (Bl. 238 d. e-Akte). Die Klägerin registrierte sich unter Angabe von Name, Geschlecht und Nutzer-ID – dabei handelt es sich um stets öffentliche Nutzerinformationen – unter Verwendung der E-Mail-Adresse E-Mail-Adresse01 auf der Plattform der Beklagten. Die Sichtbarkeit *und Suchbarkeit der sonstigen Daten wie Telefonnummer, E-Mail-Adresse, Geburtsdatum, Land, Stadt und Beziehungsstatus war von der Zielgruppenauswahl des Nutzers abhängig. Die Klägerin konnte über die Suchbarkeits-Einstellungen bestimmen, ob ihr Facebook-Profil auf der Plattform mit Hilfe einer Telefonnummer gefunden werden kann. Der Klägerin gab sodann ihre Mobilnummer an und stellte ihre Suchbarkeit in dem Zeitraum vor September 2019 auf „öffentlich“ (Bl. 271 d. e-Akte). Ihr Konto konnte daher auch von sogenannten „Scrapern“ (siehe dazu unten) mit Hilfe der Methode der Telefonnummernaufzählung gefunden werden. Die Beklagte gibt den Nutzern auch Informationen darüber, wofür sie ihre Mobilnummer verwendet, beispielsweise um Personen, die der Nutzer kennen könnte, diesem vorzuschlagen (Bl. 229 d. e-Akte). Mit der Registrierung geht ebenfalls die Einstellung der Privatsphäre einher, zu der der Nutzer aufgefordert wird. Trifft der Nutzer keine Auswahl, bleibt es bei den Standardeinstellungen der Beklagten. *Der Nutzer kann separat festlegen, wer seine Telefonnummer und E-Mail-Adresse in seinem Profil sehen kann. Wird eine dieser Informationen geteilt, kann der ausgewählte Personenkreis den Nutzer anhand dieser Informationen finden (Bl. 228 d. e-Akte). Die Beklagte stellt in dem Zusammenhang eine Funktion bereit, anhand derer Kontakte importiert werden, dh. die Nutzer laden ihre Kontakte auf Facebook hoch und können auf der Plattform die passenden Personen anhand ihrer Telefonnummern finden (sog. Kontakt-Importer-Funktion bzw. Contact Importer Tool, kurz CIT).

Im Jahr 2019 kam es in dem sozialen Netzwerk der Beklagten zu sogenannten Scraping-Vorfällen. Dabei sammelten Dritte (sog. Scraper) unter Nutzung automatisierter Softwareprogramme einige auf der Plattform verfügbare öffentliche Informationen der Nutzer. Sie generierten dabei automatisiert Telefonnummern, die sie in das CIT hochluden, um ggf. ein mit der Telefonnummer verknüpftes Profil und die dort auffindbaren Daten mit der Telefonnummer zu verknüpfen und abzugreifen. Wenn die Plattform anhand der möglichen Telefonnummer ein vorhandenes Facebook-Profil fand, luden die Scraper die öffentlich zugänglichen Informationen des entsprechenden Profils herunter. So entstanden große Datensätze über Millionen von Nutzern, die von den „Scrapern“ im April 2021 im Internet veröffentlicht wurden. Bekannt wurden die Vorfälle Anfang des Jahres 2021. Die Beklagte informierte ihre Nutzer in dem Zusammenhang und erteilte dabei auch Informationen, wie sich die Nutzer schützen können, zB. indem sie ihre Telefonnummern nicht öffentlich zugänglich machen. Nach dem Scraping-Vorfall veröffentlichte die Beklagte gezielte Hinweise darüber, wie man sich davor schützen kann. Insbesondere wies sie darauf hin, dass sich das Scraping oft auf öffentliche Daten bezieht (Bl. 264 d. e-Akte).

Mit vorgerichtlichem Schreiben vom 20.09.2021 per E-Mail (Bl. 57 ff. d. e-Akte) forderte der Klägervertreter die Beklagte unter Fristsetzung bis zum 25.10.2021 zur Zahlung von 500,00 EUR Schadensersatz nach Art. 82 Abs. 1 DSGVO und zur Unterlassung zukünftiger Zugänglichmachung der Klägerdaten an unbefugte Dritte sowie zur Auskunft binnen eines Monats darüber auf, welche Daten der Klägerin von dem Vorfall im April 2021 betroffen waren. Es folgten Auskunftsschreiben der Beklagten vom 23.08.2021 und 13.10.2021. Bezüglich des Inhalts der Schreiben wird auf Bl. 85 ff., 266 ff. d. e-Akte verwiesen.

Die Klägerin änderte ihre Suchbarkeits- und Sichtbarkeitseinstellungen am 06.03.2023. Sie hat auch ein Profil auf der Plattform "B". Dort hat sie ihre Telefonnummer nicht hinterlegt.

Sie behauptet, die Telefonnummern der Benutzer konnten aufgrund einer Sicherheitslücke mit den restlichen Personendaten korreliert werden und seien somit Bestandteil des jeweiligen unbefugt verbreiteten Datensatzes. Es sei den Scrapern durch Nutzung des CIT gelungen, auch Telefonnummern zuzuordnen, ohne dass in den entsprechenden Profilen die hinterlegten Telefonnummern öffentlich freigegeben waren. Die Beklagte habe für diesen Fall keinerlei Sicherheitsmaßnahmen vorgehalten und daneben die Einstellungen zur Sicherheit so undurchsichtig und kompliziert gestaltet, dass ein Nutzer keine sichere Einstellung erreichen könne. Personenbezogene Daten seien sodann im Internet auf Seiten veröffentlicht worden, die illegale Aktivitäten begünstigten, zum Beispiel auf der Seite Internetseite01. Auch ihre Daten wie Telefonnummer, Name, Wohnort und Mailadresse seien abgegriffen worden. Die Daten wie Name und Rufnummer würden insbesondere für gezielte Phishing Attacken genutzt. Sie habe ihre Telefonnummer zu dem Zweck auf der Plattform hinterlegt, ihr Profil sicherer zu gestalten. Die Klägerin behauptet außerdem, sie habe einen erheblichen Kontrollverlust über ihre Daten erlitten und verbleibe in einem Zustand großen Unwohlseins und Sorge über einen möglichen Missbrauch ihrer Daten. Dies manifestiere sich in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen unbekannter Nummern und Adressen. Sie erhalte seit etwa Mitte bzw. Ende 2021 unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail sowie diverse Nachrichten und Werbung mit offensichtlichen Betrugsversuchen und potenziellen Virenlinks. Sie sei verstärkt misstrauisch gegenüber E-Mails und Anrufen Unbekannter. Dabei sei sie äußerst vorsichtig. Möglich sei in dem Zusammenhang auch ein Identitätsdiebstahl.

Die Klägerin ist der Ansicht, sie habe gegen die Beklagte aufgrund von Datenschutzverstößen und nicht ausreichenden Auskünften unter anderem einen Anspruch auf Zahlung eines Schmerzensgeldes. Ein Schmerzensgeld von mindestens 1.000,00 € entspreche der abschreckenden Präventionsfunktion des Art. 82 DSGVO. Insgesamt habe die Beklagte die Daten der Klägerin nicht hinreichend geschützt und keine Sicherheitsvorkehrungen getroffen, um ein Daten-Scraping zu verhindern. Sie sei auch ihren aus der DSGVO folgenden Informations- und Aufklärungspflichten nicht hinreichend nachgekommen. Weiterhin habe die Beklagte im Jahr 2019 die personenbezogenen Daten ihrer Nutzer, so auch die der Klägerin, nicht im ausreichendem Maße und nicht den Anforderungen der DSGVO entsprechend, geschützt. Daneben habe die Beklagte gegen die Pflicht aus Art. 24, 32 DSGVO verstoßen, angemessene technische und organisatorische Maßnahmen zu ergreifen. Darüber hinaus liege ein Verstoß gegen Art. 25 DSGVO vor. Danach besteht die Pflicht, Daten durch Technikgestaltung und datenschutzfreundliche Voreinstellungen zu schützen. Sie habe den Auskunftsanspruch außergerichtlich nicht erfüllt, sodass ein solcher weiterhin bestehe. Daneben sei die Beklagte für die Einhaltung der Vorschriften der DSGVO darlegungs- und beweisbelastet. Kürzlich habe die irische Datenschutzbehörde DPC gegen die Beklagte eine Geldbuße in Höhe von 265.000.000,00 € verhängt, da das Abgreifen und Veröffentlichen der Daten von „A“-Nutzern nicht ausreichend verhindert worden sei. Die DPC bejahe insbesondere einen Verstoß gegen Art. 25 Abs. 1 und 2 DSGVO.

Die Klägerin beantragt,

1. die Beklagte zu verurteilen, an sie immateriellen Schadensersatz in angemessener Höhe, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz zu zahlen,

2. festzustellen, dass die Beklagte verpflichtet ist, ihr alle künftigen Schäden zu ersetzen, die ihr - der Klägerin - durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden,

3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a. personenbezogenen Daten der Klägerin, namentlich Telefonnummer, FacebookID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

b. die Telefonnummer der Klägerin auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der „A“-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird,

4. die Beklagte zu verurteilen, ihr Auskunft über die sie betreffenden personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten,

5. die Beklagte zu verurteilen, an sie vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz zu zahlen.

Die Beklagte beantragt, die Klage abzuweisen.

Sie ist der Ansicht, die Klägerin habe keinerlei Ansprüche gegen sie. Die Klage sei bereits weitgehend unzulässig. Die Klageanträge zu 2.) und 3.) seien nicht hinreichend bestimmt und ein Feststellungsinteresse für den Klageantrag zu 2.) sei nicht gegeben. Sie ist weiter der Ansicht, die geltend gemachten Verstöße fielen nicht in den Schutzbereich des Art. 82 DSGVO. Mangels Verstoßes gegen die DSGVO sei Art. 82 DSGVO bereits nicht einschlägig. Scraping sei überdies auch vom sog. Hacking von Daten zu unterscheiden. Der Klägerin sei insofern auch kein Schaden entstanden. Selbst wenn sie einen Schaden erlitten hätte, sei dies der Beklagten weder zuzurechnen noch sei ein kausaler Zusammenhang zu einem Pflichtverstoß erkennbar. Die Beklagte habe ihre Pflichten aus der DSGVO nicht verletzt. Die Klägerin habe außerdem nicht hinreichend dargelegt, welche ihrer Daten von etwaigen Datenschutzverstößen betroffen seien. Etwaige gescrapte Daten der Klägerin seien entweder tatsächlich nicht abgerufen worden oder seien ohnehin bereits öffentlich einsehbar gewesen, sodass kein Datenschutzverstoß vorliege. Bei dem Scraping-Vorfall seien keine Sicherheitssysteme der Beklagten überwunden worden. Die Beklagte habe Dritten nicht den Zugang zu Daten der Klägerin ermöglicht, vielmehr habe sie durch ihre selbst vorgenommenen Einstellungen die Möglichkeit geschaffen, dass ihre Telefonnummer in andere Kontakte importiert werden könnte. Obwohl ihrer Ansicht nach weder eine Melde-noch eine Benachrichtigungspflicht bestand, habe die Beklagte bezüglich des Scraping-Sachverhalts eine Vielzahl von Maßnahmen ergriffen und den Nutzern Informationen zur Verfügung gestellt. Der geltend gemacht Auskunftsanspruch sei außergerichtlich bereits erfüllt worden; für Datenverarbeitungen von Dritten sei die Beklagte nicht verantwortlich. Außerdem habe sie während des relevanten Zeitraums bereits Anti-Scraping Maßnahmen eingesetzt, die den in der Branche zur Anwendung kommenden Standards entsprechen.

Das Gericht hat die Klägerin persönlich angehört. Bezüglich des Inhalts der persönlichen Anhörung wird auf das Sitzungsprotokoll zur mündlichen Verhandlung vom 07.03.2023, Bl.1098 f. d. e-Akte, verwiesen.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die wechselseitigen Schriftsätze nebst Anlagen sowie den weiteren Inhalt der Gerichtsakte Bezug genommen.

Entscheidungsgründe:

Die zulässige Klage ist unbegründet. Die Klägerin hat gegen die Beklagte keine der geltend gemachten Ansprüche.

Die Klage ist zulässig. Insbesondere ist das Landgericht Detmold international, sachlich und örtlich zuständig. Die internationale Zuständigkeit folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 Alt. 2 EuGVVO (Brüssel IaVO). Es handelt sich vorliegend um eine Zivilsache. Die Klägerin ist Verbraucherin mit Wohnsitz in Deutschland. Die örtliche Zuständigkeit des Landgerichts Detmold ergibt sich unter anderem aus Art. 18 Abs. 1 Alt. 2 EUGVVO sowie aus Art. 79 Abs. 2 S. 2 DSGVO iVm. Art. 82 Abs. 6 DSGVO.

B. Die Klage ist unbegründet.

Der mit dem Klageantrag zu 1.) verfolgte Schmerzensgeldanspruch besteht unter keinem rechtlichen Gesichtspunkt. Ein Anspruch aus Art. 82 Abs. 1 DSGVO kommt nicht in Betracht. Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Gemäß Art. 82 Abs. 2 S. 1 DSGVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Aus Sicht der Kammer mangelt es bereits an einem Verstoß gegen die DSGVO wie auch an einem bei der Klägerin eingetretenen Schaden. Auch der Anwendungsbereich der DSGVO ist aus Sicht der Kammer nicht für jeden der geltend gemachten Verstöße eröffnet. Dazu Folgendes:

Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f) DSGVO vor, da die Beklagte nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat.

Zwar sind die öffentlich zugänglichen Informationen des „A“-Profils der Klägerin von Dritten gescrapt und damit auch im Sinne von Art. 4 Nr. 2 DSGVO verarbeitet worden. Die Verarbeitung erfolgte jedoch nicht „unbefugt“ oder „unrechtmäßig“ im Sinne von Art. 5 Abs. 1 lit. f) DSGVO. Damit trifft die Beklagte auch keine Obliegenheitsverletzung in Form der angemessenen Sicherheit und eines entsprechenden Schutzes vor einer solchen Verarbeitung. Bei den gescrapten Daten der Klägerin (Name, Geschlecht, Nutzer-ID) handelt es sich um Daten, die für jedermann öffentlich ohne Zugangskontrolle und ohne Überwindung technischer Zugangsbeschränkungen abrufbar waren. Da die Klägerin selbst entschieden hatte, diese Daten öffentlich zugänglich zu machen, war die Erhebung dieser auch nicht unbefugt oder unrechtmäßig. Sie ging mit der durch sie vorgenommenen Einstellung ihrer Daten einher. Sie hat für die übrigen Informationen durch die Vornahme entsprechender Privatsphäre-Einstellungen selbst entschieden, die betreffenden Daten öffentlich zugänglich zu machen. Dass sie ausweislich ihrer persönlichen Anhörung keine Kenntnis von den Möglichkeiten der verschiedenen Einstellungen bezüglich Suchbarkeit und Sichtbarkeit hatte, verfängt aus Sicht der Kammer nicht, denn die Beklagte weist an verschiedenen Stellen und insbesondere bereits bei der Registrierung darauf hin. Insbesondere in ihrem Schreiben vom 13.10.2021 (Bl. 266 ff. d. e-Akte) verwies die Beklagte auf die Möglichkeiten, die Privatsphäreeinstellungen zu kontrollieren (Bl. 270 d. e-Akte) und teilte entsprechende Links für den direkten Abruf der Informationen mit. Es liegt aus Sicht der Kammer nach dem Vorstehenden fern, dass die Klägerin erst kurz vor dem Termin zur mündlichen Verhandlung erstmal Kenntnis über die Einstellungsmöglichkeiten erlangt hat.

Auch der Abgleich zwischen den von den „Scrapern“ über das Contact-Import-Tool hochgeladenen Telefonnummern mit der der Klägerin und der anschließenden Verknüpfung der öffentlichen Daten mit der Telefonnummer, stellt keine unbefugte bzw. unrechtmäßige Verarbeitung dar, vor der die Beklagte die Klägerin hätte schützen müssen. Auch wenn diese Vorgehensweise (Scraping) nicht im Sinne der Nutzung der „A“-Plattform sein dürfte, so wurde die zur Verfügung gestellte Funktion in der von den Beteiligten vorgesehenen Weise genutzt. Die Klägerin hat ihre Telefonnummer freiwillig angegeben. Die Beklagte verwendete sie bestimmungsgemäß im Rahmen der Suchbarkeits-Einstellungen, um festzulegen, welche Personen das „A“-Konto der Klägerin anhand ihrer Telefonnummer finden konnten. Dies sollten nach den nicht abgeänderten Standardeinstellungen alle Personen sein, die in ihrem Adressbuch die Nummer der Klägerin abgespeichert haben. Somit war letztlich jeder Person – damit auch den „Scrapern“ – der Abgleich über die Telefonnummer der Klägerin möglich und deshalb nicht unbefugt oder unrechtmäßig. Anzunehmen ist daher, dass die „Scraper“ nichts anderes getan haben, als das, was die Klägerin aufgrund der Einstellungen der Suchbarkeits-Funktion erwarten konnte, wenn sie ihre Telefonnummer angibt und die Suche „allen“ ermöglicht.

Das Vorbingen der Klägerin, die Standardeinstellungen würden gegen den datenschutzrechtlichen Grundsatz „privacy by default“ (= datenschutzfreundliche Voreinstellungen) verstoßen, vermögen an dieser Bewertung nichts zu ändern. Eine Verpflichtung der Beklagten, Schutzmaßnahmen zu ergreifen, folgt daraus nicht. Die Beklagte durfte vielmehr annehmen, dass der Klägerin bekannt ist, dass ihr Konto über ihre Telefonnummer für jedermann aufzufinden ist. Da sie vor ihrer Registrierung zwangsläufig auch die Datenschutzrichtlinie bestätigt hat, die sie über die Funktion aufgeklärt hat, durfte die Beklagte annehmen, die Klägerin habe entsprechende Kenntnis. Die Datenschutzrichtlinie informiert die Nutzer darüber, dass es den Nutzern, die über die Telefonnummer der Klägerin verfügen, ermöglicht wird, sie zu finden. Zudem heißt es, dass der Nutzer über seine Privatsphäre-Einstellungen auswählen kann, wer mithilfe seiner Telefonnummer nach diesem suchen kann. Die Klägerin hätte also die Suchbarkeits-Einstellungen abändern können. Dass aufgrund der Fülle an Informationen und Einstellungen eine Abänderung der Standardeinstellungen nicht zu erwarten sei, vermag die Kammer nicht nachzuvollziehen. Die Einstellung der Privatsphäre ist vergleichsweise einfach und kann schrittweise erfolgen. Eine gewisse Verantwortung im Umgang mit persönlichen Daten in sozialen Netzwerken oder im Internet im Allgemeinen kann den Nutzern durchaus abverlangt werden, sodass die Befassung mit den Privatsphäre-Einstellungen vor dem Hintergrund des Schutzes eigener persönlicher Daten erwartet werden kann, zumal die Klägerin auch auf der Plattform "B" registriert ist und dort ihre Handynummer nicht hinterlegt hat. Sie hat ihre Telefonnummer nach ihrer persönlichen Anhörung auch im Übrigen nicht im Internet veröffentlicht. Die Angabe der Handynummer auf der Plattform der Beklagten stellte daher eine besondere Vorgehensweise dar, die nicht in der Natur der Sache lag und besonders überdacht werden musste.

Ein Verstoß gegen Art. 24, 32 DSGVO ist ebenso nicht gegeben. Art. 32 Abs. 1, 2 DSGVO formt den allgemeinen Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) DSGVO) näher aus. Er verlangt Verarbeitungsprozessen ab, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das

Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen unter anderem davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten. Dass die Beklagte gegen ihre Verpflichtung, Datenverarbeitungssicherheit zu gewährleisten, verstoßen hat, ist aus den oben genannten Gründen nicht ersichtlich. Da die abgegriffenen Daten ohnehin immer öffentlich zugänglich waren und der Abgleich von im CIT hochgeladenen Telefonnummern mit der verknüpften Telefonnummer der Klägerin nicht unrechtmäßig war, bestand keine Verpflichtung zu weitergehenden Schutzmaßnahmen.

Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DSGVO vor. Hiernach wird vom Verantwortlichen die Sicherstellung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) verlangt. Auch wenn die Voreinstellung der Beklagten, wonach die Suchbarkeit der Telefonnummer für „Alle“ möglich sein soll, nicht das höchste Schutzniveau darstellt, so vermag in einer Gesamtschau dennoch kein Verstoß festgestellt zu werden. Die Beklagte informiert den Nutzer hinreichend über ihre Vorgehensweise und setzt ihn über die verschiedenen Einstellungsmöglichkeiten, die durch Abänderung der Voreinstellung erzielt werden können, in Kenntnis. Daneben dürfte von einem Internetnutzer auch zu erwarten sein, dass er sich mit den entsprechenden Gepflogenheiten vertraut macht, die mit der Nutzung eines sozialen Netzwerkes einhergehen. Im Hinblick auf den Zweck der Funktionsweise, die Nutzer unkompliziert miteinander zu vernetzen, muss der jeweilige Nutzer selbst entscheiden, ob er seine Telefonnummer angibt oder nicht. Zwar ist es Sinn und Zweck der DSGVO, ein hohes Schutzniveau der Daten zu erreichen. Einen umfassenden Schutz dürfte man von der Vorschrift des Art. 25 DSGVO nicht erwarten können, da der zu schützende Personenkreis dennoch eigenverantwortlich handelt. Hinzu kommt, dass auch der Zweck der Contact-Import-Funktion nicht außer Acht gelassen werden darf. Die Beklagte arbeitet mit Werbung und verdient letztlich auch Geld mit den Daten der Nutzer. Dies wiederum muss jedem Nutzer auch bewusst sein, wenn er sich dafür entscheidet, sich auf dem sozialen Netzwerk der Beklagten zu registrieren. Ihm bleibt die Möglichkeit von einer Registrierung abzusehen oder sein Profil wieder zu entfernen. Auch wenn die DSGVO ein möglichst hohes Schutzniveau erreichen soll, muss der Zweck der jeweiligen Datenverarbeitung beachtet werden. So besteht der Unternehmenszweck unter anderem darin, Menschen miteinander zu verknüpfen. Dementsprechend müssen vor allem neue „A“-Nutzer in der Lage sein, ihre Kontakte und andere Nutzer, die sie gegebenenfalls kennen, zu finden. Die Standard-Einstellung zur Suchbarkeit der Telefonnummer dient genau diesem Zweck. Insoweit war auch die Zugänglichmachung der Telefonnummer für einen größeren Personenkreis, entgegen Art. 25 Abs. 2 S. 3 DSGVO, sach- und zweckdienlich. Dies gilt vor allem deswegen, da der Nutzer durch entsprechende Änderung der Einstellungen intervenieren kann.

Auch der weitere Vorwurf der Klägerin, die Beklagte habe nicht in ausreichendem Umfang Anti-Scraping-Maßnahmen getroffen und den Zugang zu Nutzerdaten nicht hinreichend beschränkt und geschützt, verfängt nicht. Entscheidend ist insoweit nicht die von der Klägerin vorgenommene ex-post-, sondern vielmehr eine ex-ante-Betrachtung. Hiernach hat die Beklagte ausreichend substantiiert dargetan, dass sie verschiedene Anti-Scraping-Maßnahmen ergriffen hat (Bl. 160 ff. d. e-Akte): Einsetzen eines EDM-Teams (= External Data Misue-Team), das Aktivitätsmuster und Verhaltensweisen, die typischerweise mit automatisierten Computeraktivitäten in Zusammenhang stehen, identifizieren; Anpassung des Systems an sich entwickelnde Scraping-Taktiken; Implementieren von Übertragungsbeschränkungen, die die Anzahl von Anfragen von bestimmten Daten reduzieren, welche pro Nutzer oder von einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht werden können; Geltendmachung von Unterlassungsaufforderungen, Kontosperrungen und Gerichtsverfahren gegen „Scraper“. Mit der Anpassung des Systems an die entwickelten Scraping-Taktiken sollte sichergestellt werden, dass das Verknüpfen von Telefonnummern mit bestimmten „A“-Nutzern durch die Contact-Import-Funktion nicht mehr möglich war. Die Beklagte nahm außerdem Captcha-Abfragen (vollständig automatisierter öffentlicher Turing-Test, um Computer von Menschen zu unterscheiden), also die Möglichkeit, herauszufinden, ob hinter der Anfrage ein menschlicher Nutzer steht oder nicht, vor.

Warum die Implementierung dieser Maßnahmen im maßgeblichen Zeitraum nicht zutreffend sein sollte und diese dem damals maßgeblichen Stand der Technik nicht entsprochen haben sollten, ist nicht ersichtlich und auch von der Klägerin nicht weiter ausgeführt worden. Letztlich muss in diesem Zusammenhang durchaus beachtet werden, dass Scraping ein bekanntes und stets vorkommendes Problem darstellt, welches vom „Hacking“ unterschieden werden muss. Die Möglichkeiten der Risikominimierung sind begrenzt, da die Preisgabe persönlicher Daten im Internet stets ein gewisses Risiko birgt. Insofern hält die Kammer die Maßnahmen der Beklagten für ausreichend, da in diesen Fällen zudem vor allem die Anpassung solcher an die sich entwickelnden Scraping-Methoden immer erst nachgelagert zum Scraping-Vorfall erfolgen kann. Die Überprüfung vermeintlich „auffälliger“ Telefonnummern kann zudem durch Unterbrechung der Sequenzen leicht umgangen und auf verschiedene Geräte bzw. Nutzer verteilt werden.

Hinzu kommt, dass auch nicht allein auf einzelne Sicherheitsmechanismen abgestellt werden kann. Insoweit hat die Beklagte einen Ermessensspielraum, welche einzelnen technischen und organisatorischen Maßnahmen sie umsetzt, um im Rahmen einer ganzheitlichen Bewertung aller Maßnahmen ein angemessenes Schutzniveau zu gewährleisten (Jandt, in: Kühlung/Buchner, DSGVO, Art. 32, Rn. 5, 8). Letztlich ist im Wege einer Gesamtbetrachtung davon auszugehen, dass aufgrund der Anzahl der implementierten Sicherheitssysteme ein ausreichender Schutz gewährleistet wurde. Zwar konnte die nicht im eigentlichen Sinne vorgenommene Verwendung des Contact-Import-Tool nicht verhindert werden, jedoch kann aus dem Umstand, dass ein Scraping-Vorfall geschehen ist, nicht gefolgert werden, dass das Sicherheitssystem gegen die DSGVO verstoßen hat.

Letztlich verbleibt es im Übrigen auch hier bei den unter Ziff. 1 und 2 dargestellten Erwägungen. Sinn und Zweck der Vorschriften ist der Schutz personenbezogener Daten vor unrechtmäßigem und rechtswidrigem Zugriff. Da ein solcher nicht vorliegt, bestand keine Verpflichtung zu weitergehenden Schutzmaßnahmen.

Soweit die Klägerin der Beklagten weitere Verstöße gegen die DSGVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a), einen unmittelbaren Verstoß gegen Art. 13, 14 DSGVO, die konkrete Informationspflichten enthalten, die seitens der Beklagten nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DSGVO, da nicht mitgeteilt worden sei, welchen Empfängern ihre Daten zugänglich gemacht worden seien (Art. 33, 34 DSGVO) sind solche Verstöße bereits weder vom Schutzzweck des Art. 82 DSGVO noch von dessen sachlichen Anwendungsbereich umfasst (LG Essen, Urt. v. 10.11.2022 - 06 O 111/22). Art. 82 Abs. 1 DSGVO erfasst nur solche Pflichtverstöße, die im Rahmen einer „Verarbeitung“ geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DSGVO ergibt („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). Datenverarbeitung bezeichnet jedoch nur jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgehensweise im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Art. 5 Abs. 1 lit. a), 13, 14, 15 DSGVO begründen Informationspflichten gegenüber betroffenen Personen. Auch Art. 33, 34 DSGVO begründen eine Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO) bzw. die Pflicht zur Benachrichtigung der betroffenen Person (Art. 34 DSGVO). Die Erteilung von Informationen über die Verarbeitung personenbezogener Daten, die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten gegenüber Nutzern und die Erteilung einer beantragten Auskunft stellen jedoch keine Verarbeitungen im Sinne von Art. 4 Nr. 2 DSGVO dar, sodass sich aus ihrer etwaigen Verletzung kein Anspruch aus Art. 82 Abs. 1 DSGVO ableiten lässt.

Im Übrigen fehlt es auch an einem Schaden im Sinne von Art. 82 Abs. 1 DSGVO. Anders als die Klägerin meint, genügt nicht allein der Verstoß gegen die DSGVO, um einen Ausgleich / eine Kompensation verlangen zu können. Dies widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DSGVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Dies lässt sich nach Auffassung der Kammer auch dem Wortlaut des Art. 82 Abs. 1 DSGVO entnehmen, wonach sowohl ein Verstoß gegen diese (DSGVO) Verordnung nötig ist, als auch ein daraus resultierender materieller oder immaterieller Schaden. Die – hier nicht feststellbare – Verletzungshandlung muss in jedem Fall zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (LG Hamburg, Urt. v. 04.09.2020 – 324 S 9/19). Verletzung und Schaden sind nicht gleichzusetzen. Es ist nicht für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (LG Essen, Urt. v. 10.11.2022 - 06 O 111/22). Allein der Kontrollverlust der Klägerin über ihre Daten stellt keinen Schaden dar. Ihre Sorge oder Angst um die verwendeten Daten und die Befürchtung, Opfer von Betrugsfällen oder Identitätsdiebstahl zu werden, kann zwar nicht gemessen werden, ist hierfür jedoch noch nicht ausreichend. Immerhin darf nicht außer Acht gelassen werden, dass jedenfalls Name, „A“-ID und Geschlecht von ihr öffentlich bekanntgegeben wurden und damit bereits nicht mehr unter ihrer ausschließlichen Kontrolle standen (LG Bielefeld, Urt. v. 19.12.2022 – 8 O 182/22). Letztlich ist also insoweit überhaupt nicht mehr bekannt geworden als das, was von ihr selbst bereits im Internet veröffentlicht wurde. In Bezug auf die bekannt gewordene Telefonnummer mag ein gewisser Kontrollverlust vorliegen. Ob und inwieweit jedoch der Kontrolle über die Telefonnummer überhaupt ein Wert zukommt, mag bezweifelt werden. Im Übrigen reicht für einen Schadensersatzanspruch ein bloßes Unmutsgefühl nach Auffassung der Kammer nicht aus.

Dass der Erhalt dubioser Anrufe unbekannter Nummern und der Erhalt von Spamanrufen tatsächlich auf das Bekanntwerden ihrer Telefonnummer zurückzuführen sind, ist nicht zwingend. Es ist bekannt, dass unerwünschte E-Mails, SMS und Anrufe auch Personen erhalten, die keinen „A“-Account haben oder Nutzer, die dort ihre Telefonnummer nicht hinterlegt haben. Dass die ersten Anrufe bei der Klägerin etwa Mitte bzw. Ende des Jahres 2021 anfingen und damit in einer gewissen zeitlichen Nähe zu der Veröffentlichung der Daten im Frühjahr 2021 stehen, ist allein nicht ausreichend, um einen sicheren Zusammenhang zu dem streitgegenständlichen Datenverlust herzustellen. Es ändert auch nichts an dem Erfordernis eines Datenschutzverstoßes seitens der Beklagten als vorgelagerter Voraussetzungen für einen Anspruch auf Schadensersatz.

II.

Auch der Klageantrag zu 2.) bleibt ohne Erfolg. Ein Feststellungsanspruch hinsichtlich der Einstandspflicht der Beklagten bezüglich künftiger Schäden kommt aus den unter I. dargestellten Gründen mangels einer Haftung dem Grunde nach nicht in Betracht.

III.

Aus den dargestellten Gründen vermag die Klägerin ebenso wenig mit Erfolg einen Unterlassungsanspruch gegen die Beklagte geltend zu machen. Dabei kann letztlich dahinstehen, ob neben der DSGVO, die in Art. 79 DSGVO Ansprüche der Berechtigten abschließend regelt, überhaupt ein Unterlassungsanspruch nach Art. 1004 Abs. 1 S. 1 BGB analog iVm. § 823 Abs. 1 BGB in Betracht kommt, oder ob ein solcher aufgrund der Regelungen der DSGVO gesperrt ist. Da bereits keine Verletzung der DSGVO vorliegt und damit auch das Recht der Klägerin auf informationelle Selbstbestimmung als Ausfluss des Absoluten Persönlichkeitsrechts des § 823 Abs. 1 BGB nicht verletzt ist, kommt ein Unterlassungsanspruch nicht in Betracht. Es wurden lediglich Daten abgeschöpft und weiter veröffentlicht, die ohnehin öffentlich sind. Was die Verwendung der Telefonnummer angeht, so liegt es jederzeit in der Hand der Klägerin, dies in den Einstellungen zu verändern (vgl. LG Gießen, Urt. v. 03.11.2022 – 5 O 195/22). Eine Änderung der Einstellungen erfolgte erst am 06.03.2023, dem Tag vor der mündlichen Verhandlung. Dass die Klägerin vorträgt, ihr sei die Einstellungsmöglichkeit nicht bekannt gewesen, hat nicht zur Folge, dass die Beklagte verpflichtet war, Schutzmaßnahmen zu ergreifen, die das Konto der Klägerin vor einem Auffinden ihrer Handynummer schützen. Die Beklagte weist an verschiedenen Stellen auf ihre Datenschutz- und -verwendungsrichtlinien, die die Klägerin bei ihrer Registrierung als gelesen angab, hin, sodass sie davon ausgehen konnte, dass der Klägerin bekannt war, dass ihr Konto über ihre Telefonnummer auffindbar war. Bei einer sorgfältigen Lektüre der Richtlinien hätte die Klägerin die Möglichkeit gehabt, ihre Privatsphäreeinstellungen zu ändern, ihre Konto entsprechend anzupassen und den Kreis der Personen zu reduzieren, für die ihre Telefonnummer sichtbar war.

IV.

Ein weiterer Auskunftsanspruch nach Art. 15 DSGVO besteht nicht. Zwar wurden Daten der Klägerin sowohl von der Beklagten als auch von Dritten verarbeitet. Der Auskunftsanspruch ist jedoch durch die außergerichtlichen Antwortschreiben der Beklagten vom 23.08.2021 und vom 13.10.2021 (Bl. 85 ff., 266 ff. d. e-Akte) gemäß § 362 Abs. 1 BGB durch Erfüllung erloschen. Ein weitergehender Anspruch besteht nicht.

Mit Schreiben vom 23.08.2021 hat die Beklagte der Klägerin mitgeteilt, welche Datenkategorien gescrapt wurden und mit den auf dem „A“-Profil der Klägerin verfügbaren Informationen übereinstimmen (Nutzer-ID, Vor- und Nachname, Land, Geschlecht, Telefonnummer). Zudem erfolgte ein Hinweis auf die maßgeblichen Abschnitte der Datenrichtlinie sowie die verfügbaren Selbstbedienungstools, die es Nutzern ermöglichen, ihre „A“-Daten aufzurufen und einzusehen. Dabei handelt es sich um eine dem Art. 15 DSGVO entsprechende ausreichende Information.

Zu der Erteilung weitergehender Auskünfte war und ist die Beklagte nicht verpflichtet. Art. 15 DSGVO bezieht sich nur auf die eigene Verarbeitung der Beklagten, nicht

jedoch auf die von Dritten vorgenommene Verarbeitung. Es handelt sich bei der von der Klägerin begehrten Auskunft inhaltlich vielmehr um die Meldepflicht nach Art. 33, 34 DSGVO.

Mangels Hauptanspruchs besteht auch kein Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltsgebühren. Rechtshängigkeitszinsen gemäß § 291 BGB kann die Klägerin mangels Hauptanspruchs ebenfalls nicht verlangen.

Die Kostenentscheidung beruht auf § 91 Abs. 1 S. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit richtet sich nach §§ 708 Nr. 11, 711 ZPO.

Der Streitwert wird auf 6.000,00 EUR festgesetzt.

Rechtsbehelfsbelehrung:

Hinweis zum elektronischen Rechtsverkehr:

Die Einlegung ist auch durch Übertragung eines elektronischen Dokuments an die elektronische Poststelle des Gerichts möglich. Das elektronische Dokument muss für die Bearbeitung durch das Gericht geeignet und mit einer qualifizierten elektronischen Signatur der verantwortenden Person versehen sein oder von der verantwortenden Person signiert und auf einem sicheren Übermittlungsweg gemäß § 130a ZPO nach näherer Maßgabe der Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (BGBl. 2017 I, S. 3803) eingereicht werden. Auf die Pflicht zur elektronischen Einreichung durch professionelle Einreicher/innen ab dem 01.01.2022 durch das Gesetz zum Ausbau des elektronischen Rechtsverkehrs mit den Gerichten vom 10. Oktober 2013, das Gesetz zur Einführung der elektronischen Akte in der Justiz und zur weiteren Förderung des elektronischen Rechtsverkehrs vom 5. Juli 2017 und das Gesetz zum Ausbau des elektronischen Rechtsverkehrs mit den Gerichten und zur Änderung weiterer Vorschriften vom 05.10.2021 wird hingewiesen. Weitere Informationen erhalten Sie auf der Internetseite www.justiz.de.

*Am 05.05.2023 erging folgender Berichtigungsbeschluss:

In pp. wird gemäß § 320 ZPO der Tatbestand des Urteils vom 28.03.2023 auf den zulässigen Antrag des Beklagtenvertreters vom 11.04.2023 dahingehend berichtigt, dass die Begriffe "und Suchbarkeit" im zweiten Absatz auf Seite 2 des Urteils in dem Satz "Die Sichtbarkeit und Suchbarkeit der sonstigen Daten wie Telefonnummer, E-Mail-Adresse, Geburtsdatum, Land, Stadt und Beziehungsstatus war von der Zielgruppenauswahl des Nutzers abhängig" gestrichen werden. Der Satz wird daher unter Streichung von "und Suchbarkeit" wie folgt neu gefasst:

Die Sichtbarkeit der sonstigen Daten wie Telefonnummer, E-Mail-Adresse, Geburtsdatum, Land, Stadt und Beziehungsstatus war von der Zielgruppenauswahl des Nutzers abhängig.

Der Satz "Der Nutzer kann separat festlegen, wer seine Telefonnummer und E-Mail-Adresse in seinem Profil sehen kann. Wird eine dieser Informationen geteilt, kann der ausgewählte Personenkreis den Nutzer anhand dieser Informationen finden." auf Seite 3 des Urteils wird wie folgt neu gefasst:

Der Nutzer kann separat festlegen, wer seine Telefonnummer und E-Mail-Adresse in seinem Profil finden kann. Wird eine dieser Informationen anhand der Suchbarkeitseinstellungen als auffindbar eingestellt, kann der ausgewählte Personenkreis den Nutzer anhand dieser Informationen finden.