Landgericht Dortmund, 3 O 37/23

Tatbestand:

Die Parteien streiten über Ansprüche auf Schadensersatz, Unterlassung, Auskunft und Erstattung von Rechtsverfolgungskosten wegen behaupteter Verletzungen der Beklagten von Persönlichkeitsrechten des Klägers, insbesondere dessen Recht auf Schutz personenbezogener Daten.

Die Beklagte ist Betreiberin der Social-Media-Plattform Facebook, die über die Website www.facebook.com sowie Apps abrufbar ist, und Anbieterin der Dienste auf dieser Plattform auf dem Gebiet der Europäischen Union. Der Kläger ist Nutzer von Facebook und unterhält dort ein Benutzerprofil.

Das von der Beklagten auf dieser Seite angebotene soziale Netzwerk ermöglicht es den Nutzern, persönliche Profile zu erstellen und in dem Umfang ihrer so erstellten Präsenz in diesem Netzwerk mit anderen Nutzern in Kontakt zu treten.

Bei der für den Zugang zu der Plattform erforderlichen Registrierung werden zur Erstellung eines Nutzerprofils verschiedene Daten abgefragt. Der Nutzer wird aufgefordert, seinen Vor- und Nachnamen, sein Geburtsdatum, sein Geschlecht und entweder seine Email-Adresse oder seine Handynummer anzugeben sowie ein entsprechendes Passwort zu erstellen. In dem sich unter den genannten Angaben befindlichen Informationssegment heißt es sodann: „Indem du auf ‘Registrieren‘ klickst, stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen (…)“. Die

Datenrichtlinie enthält u.a. Angaben dazu, welche der vom Nutzer erteilten Informationen immer öffentlich zugänglich sind – nämlich Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID – und die Angabe, dass öffentlich zugängliche Informationen jeder, also auch Personen außerhalb von der Plattform der Beklagten, sehen kann. Darüber hinaus steht es dem Nutzer frei, weitere Angaben, z.B. zu seinem Beziehungsstatus, seinem Geburtstag oder seiner Telefonnummer, zu machen.

Im Rahmen der Zielgruppenauswahl kann der Nutzer durch individuelle Anpassung bestimmen, wer bestimmte Datenelemente (zum Beispiel die Telefonnummer, den Wohnort, den Geburtstag und die E-Mail-Adresse) im Profil des Nutzers sehen kann. So können Nutzer beispielsweise anstelle der Zielgruppenauswahl "Öffentlich" festlegen, dass nur ihre "Freunde" auf der Facebook-Plattform oder "Freunde von Freunden" die jeweiligen Informationen sehen können. Soweit keine individuellen Einstellungen gewählt werden, richtet sich die Einsehbarkeit der Informationen nach den Standard-Einstellungen. Die Zielgruppenauswahl für die Telefonnummer war im streitgegenständlichen Zeitraum standardmäßig auf "Freunde" voreingestellt. Die Suchbarkeits-Einstellung ermöglicht es Nutzern unter anderem, festzulegen, ob ihr Nutzerkonto anhand der von ihnen angegebenen Telefonnummer gefunden werden kann. Im Rahmen der Suchbarkeits-Einstellung war es im streitgegenständlichen Zeitraum zum einen möglich, die Option "Alle" zu wählen mit der Folge, dass jedermann das Profil des Nutzers unter Zuhilfenahme der Telefonnummer finden konnte, oder aber den Kreis derjenigen Nutzer, die das Profil finden konnten, auf "Freunde von Freunden" oder "Freunde" zu begrenzen. Dabei war die Suchbarkeits-Einstellung standardmäßig auf "Alle" voreingestellt. Seit Mai 2019 steht Nutzern nunmehr zusätzlich auch die Option "Nur ich" zur Verfügung, die ausschließt, dass eine andere Person das entsprechende Profil über die Telefonnummer finden kann. Wenn die Suchbarkeits-Einstellung eines Nutzers im Hinblick auf die Telefonnummer auf "Alle" gestellt war, erlaubte es das von der Beklagten implementierte sog. "Contact-Importer-Tool" (CIT) im streitgegenständlichen Zeitraum jedem Facebook-Nutzer, das Profil eines anderen Nutzers mit Hilfe der von diesem hinterlegten Telefonnummer zu finden. Hierzu konnten Nutzer Kontakte von Mobilgeräten auf Facebook hochladen, um mit Hilfe der Telefonnummer die 4

jeweiligen Nutzer zu finden. Dies war auch dann möglich, wenn die Zielgruppenauswahl des jeweiligen Nutzers im Hinblick auf die Telefonnummer nicht auf "Öffentlich" gestellt war.

Im Rahmen der Registrierung gab der Kläger seinen Vornamen, Nachnamen, Geburtsdatum und sein Geschlecht an. Ferner gab er seine Telefonnummer ein. Die Suchbarkeitseinstellung war, jedenfalls bis September 2019, auf „alle“ eingestellt.

In der Zeit von Januar 2018 bis September 2019 sammelten Dritte unter Nutzung automatisierter Verfahren eine Vielzahl der auf der Plattform der Beklagten verfügbaren öffentlichen Informationen (sog. „Scraping“). Es handelte sich dabei um Profilinformationen, die entweder „immer öffentlich“ oder aber zu diesem Zeitpunkt aufgrund der Privatsphäreeinstellungen der Nutzer öffentlich einsehbar waren. Zudem nutzten sie eine „Telefonnummernaufzählung“, um über das Contact-Importer-Tool festzustellen, ob die hochgeladenen Telefonnummern mit dem Konto eines Nutzers verbunden waren. Soweit dies der Fall war, wurde die Telefonnummer den „gescrapten“ Daten des entsprechenden Nutzerprofils hinzugefügt. Anfang April 2021 wurden die so erstellten Datensätze von über 500 Mio. Facebook-Nutzern im Internet veröffentlicht und frei zum Download bereitgestellt. Hierzu gehörten auch die immer öffentlich zugänglichen Informationen vom Profil des Klägers und die mit seinem Konto verknüpfte Telefonnummer.

Mit vorgerichtlicher anwaltlicher E-Mail vom 08.09.2022 (Anlage K1) machte der Kläger wegen datenschutzrechtlicher Verstöße Schadensersatz, Feststellung, Ersatz vorgerichtlicher Anwaltskosten sowie Unterlassungs- und Auskunftsansprüche gegenüber der Beklagten geltend. Mit vorgerichtlichem Anwaltsschreiben vom 06.10.2022 (Anlage B16) übermittelte die Beklagte – unter Zurückweisung der Ansprüche – eine dezidierte Anleitung nebst Links zur Einsichtnahme in die bei der Plattform hinterlegten Informationen sowie Angaben zu deren Verwendung.

Der Kläger behauptet, die Beklagte habe seine personenbezogenen Daten ohne Gewährleistung der Sicherheit gemäß Art. 32 DS-GVO verarbeitet und unbefugten Dritten zugänglich gemacht, weder ihn noch die zuständige Behörde (die Irish Data Protection Commission) über die Datenschutzverletzungen gemäß Art. 33, 34 DS-GVO informiert, ihn über die Datenverarbeitungen im Sinne des Art. 13 DS-GVO nicht vollständig informiert und sein Auskunftsrecht aus Art. 15 DS-GVO verletzt. Sämtliche dieser Verstöße würden von Art. 82 DS-GVO erfasst und begründeten Schadensersatz.

Der Kläger behauptet, dass die Beklagte nicht vorrangig ein soziales Netzwerk zur Kontaktpflege und deshalb zur Erfüllung ihres Unternehmenszwecks auf die Nutzerdaten angewiesen sei. Vielmehr diene die beispiellose Verarbeitung personenbezogener Daten von Milliarden Menschen ihren eigenen – vorrangigen – kommerziellen Interessen und Marketingzwecken. Die Plattform der Beklagten sei gerade darauf ausgelegt, dass Nutzer so viele personenbezogene Daten wie möglich preisgäben, um ihr Werbenetzwerk zu befeuern.

Der Kläger behauptet weiter, dass die Beklagte seine Daten nicht ausreichend geschützt und gegen das bekannte Phänomen des „Scraping“ die zumutbaren Sicherheitsvorkehrungen nicht getroffen habe, insbesondere weder Sicherheitscaptchas gegen automatisch generierte Informationseingaben noch einen Mechanismus zu Überprüfung der Plausibilität der Anfragen bereitgehalten. Dabei sei ersichtlich, dass die Scraper das Tool mit randomisierten Nummernfolgen befüttert haben müssten, um echte Telefonnummern als Zufallstreffer abzufischen und mit den zugehörigen Facebook-Profildaten verknüpfen zu können; dies folge aus der Häufigkeit elfstelliger Telefonnummern, die Ende der 90er Jahre „aufgebraucht“, also mit höherer Wahrscheinlichkeit auch tatsächlich vergeben und damit für die Scraper erfolgversprechender gewesen seien. Dadurch, dass die Beklagte die Daten ihrer Nutzer für das Kontakt-Import-Tool zugänglich gemacht habe, seien diese für Unbefugte offengelegt worden, ohne dass der Kläger auf die Möglichkeit eines solchen Missbrauchs des Tools vorab hingewiesen worden sei und darin eingewilligt habe; die unmissverständliche Einwilligung sei aber Voraussetzung für den Erlaubnisvorbehalt bei der grundsätzlich verbotenen Verarbeitung personenbezogener Daten. Hierdurch sei auch das informationelle Selbstbestimmungsrecht des Klägers verletzt.

Der Kläger ist der Ansicht, dass ein Verstoß der Beklagten gegen Art. 25 Abs. 1 und 2 DS-GVO feststehe, weil die irische Datenschutzbehörde DPC ihn erkannt und gegen die Beklagte eine Geldbuße von 265 Mio. € verhängt habe. Jedenfalls sei die Beklagte der ihr obliegenden Darlegungs- und Beweislast für die Einhaltung dieser Vorschrift nicht nachgekommen.

Der Kläger behauptet, dass die „gescrapten“ Daten im Internet in einem bekannten „Hacker-Forum“ zum Download eingestellt und damit öffentlich verbreitet worden seien. Dadurch sei böswilligen Akteuren eine weite Bandbreite an Möglichkeiten wie z.B. Identitätsdiebstahl, die Übernahme von Accounts oder gezieltes Phishing eröffnet worden. Er, der Kläger, sei nach dem erlittenen Kontrollverlust über seine Daten in einem Zustand von gehörigem Unwohlsein und großer Sorge über möglichen Missbrauch verblieben und habe das Gefühl des Beobachtetwerdens und der Hilflosigkeit. Seit über einem Jahr erhalte er Mails in erheblichem Umfang. Der Kläger meint auch, bereits die Verletzung der DS-GVO als solche führe zu einem auszugleichenden immateriellen Schaden, jedenfalls reiche bereits die Ungewissheit, ob personenbezogene Daten an Unbefugte gelangt seien. Außerdem müsse der Schadensersatz abschreckenden Charakter haben. Es ziehe sich eine künstliche und verwirrende Aufsplitterung und Verästelung durch sämtliche Datenschutzeinstellungen mit einer Fülle von Untereinstellungen, die über verschiedene Links zu erreichen seien, was letztlich dazu führe, dass die meisten Nutzer zum größten Teil die vorbestimmten Standardeinstellungen beibehielten. Es werde durch oberflächlich sichere Einstellungen ein Gefühl der Sicherheit vermittelt, während für tatsächlich wirksamen Datenschutz viele Einstellungen gleichzeitig hätten geändert werden müssen. Die Suchbarkeit nach Rufnummer hätte dabei per default auf „Freunde-Freunde“ stehen müssen. Ihrer Informationspflicht über die Erhebung der personenbezogenen Daten werde die Beklagte durch die gewählte Darstellung ebenfalls in keiner Weise gerecht.

Der Kläger meint schließlich, dass die Beklagte nicht ausreichend konkret auf seine vorgerichtliche Auskunftsanfrage reagiert, sondern ihm nur allgemeine Informationen übermittelt habe. Insbesondere enthalte die Auskunft keine konkreten Aussagen dazu, welche Daten des Klägers von den Scrapern erlangt worden seien.

Der Kläger beantragt:

Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 € nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes von bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckenden Ordnungshaft von bis zu sechs Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen,

personenbezogene Daten der Klägerseite, namentlich Telefonnummer, FacebookID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird.

Die Beklagte wird verurteilt, der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.

Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Sie meint, dass die Klage bereits unzulässig sei. Der Klageantrag zu Ziff. 1. sei nicht hinreichend bestimmt, denn der Schadensersatz werde für mehrere, zeitlich auseinanderfallende angebliche Verstöße geltend gemacht. Für den Feststellungsantrag zu Ziff. 2. sei weder das festzustellende Rechtsverhältnis hinreichend genau bezeichnet noch ein Feststellungsinteresse dargelegt. Der Klageantrag zu Ziff. 3.a. und b. sei deshalb unzulässig, weil sie die immer öffentlichen Nutzerinformationen nicht ausnehme und die zu unterlassenden Verhaltensweisen zu ungenau beschreibe; bezüglich der Telefonnummer fehle es überdies am Rechtsschutzbedürfnis, denn hier könne der Kläger das gewünschte Ergebnis durch eine Änderung seiner Profileinstellungen selbst erreichen.

Die Beklagte hält die Klage zudem für unbegründet, da keine Verstöße gegen die DS-GVO vorlägen. Sie meint, dass das erfolgte „Scraping“ keinen Datenschutzverstoß darstelle, da lediglich öffentlich zugängliche Profilinformationen des Klägers abgerufen und auch keine spezifischen Sicherheitsmaßnahmen oder Zugriffsberechtigungen dafür umgangen oder überwunden worden seien (wie beim „Hacking“). Es habe insoweit weder eine Sicherheitsverletzung noch eine unbefugte Offenlegung von personenbezogenen Daten gegeben. Vielmehr sei die hergestellte Verknüpfung zwischen der Telefonnummer des Klägers und seinem Nutzerkonto auf die seinerzeit von ihm selbst gewählte Suchbarkeitseinstellung zurückzuführen. Zu den wählbaren Profileinstellungen stelle die Beklagte ihren Nutzern alle in Art. 13 DS-GVO festgelegten Informationen zur Verfügung, insbesondere informiere sie umfassend und transparent über die Möglichkeiten zur Einstellung der Suchbarkeit und Zielgruppenauswahl; die gewünschten Informationen seien durch entsprechende Überschriften leicht zu finden und einfach aufzurufen.

Die Beklagte behauptet, sie verwende sowohl sog. Captchas als auch geänderte Einstellungen, die ein automatisches Verknüpfen über das Kontakt-Importer-Tool nicht mehr ermöglichten, obwohl dadurch eine legitime und nützliche Funktion für ihre Nutzer entfallen sei. Die Beklagte meint, sie sei nicht verpflichtet, darüber hinaus weitergehende Schutzvorkehrungen gegen eine Erhebung der immer öffentlich zugänglichen Informationen eines Nutzerprofils durch Dritte zu ergreifen. Soweit es dazu komme, gehe sie mit Unterlassungs- und Beseitigungsaufforderungen sowie Kontosperrungen gegen die Scraper vor.

Die Beklagte meint, dass ein kompensationsgeeigneter und messbarer Schaden schon nicht dargelegt sei, da selbst ein angenommener vorübergehender Kontrollverlust über personenbezogene Daten des Klägers nicht der Beklagten zuzurechnen sei, weil die öffentliche Einsehbarkeit seinen Privatsphäre-Einstellungen entsprochen habe. Mindestens fehle es an der Kausalität und an einem Verschulden der Beklagten. Die Beklagte ist außerdem der Auffassung, dass eine Melde- oder Benachrichtigungspflicht schon mangels einer Verletzung von Vorschriften der DS-GVO nicht bestanden habe. Für einen Unterlassungsanspruch sei keine Anspruchsgrundlage ersichtlich; die insoweit abschließenden Regelungen der DS-GVO sähen gerade keinen Unterlassungsanspruch vor. Es sei im Übrigen unzutreffend, dass sie, die Beklagte, auf den Scraping-Vorfall nicht reagiert habe. Über die technischen Anpassungen hinaus widme sie in ihrem Hilfebereich einen eigenen Abschnitt der Information, wie der Nutzer sich vor nicht autorisiertem Scraping schützen könne.

Bezüglich des geltend gemachten Auskunftsanspruchs meint die Beklagte schließlich, dass sie zur Erteilung weitergehender Auskünfte, insbesondere über eine etwaige Datenverarbeitung durch Dritte, weder imstande noch nach Art. 15 DS-GVO rechtlich verpflichtet sei.

Die Kammer hat in der Sache am 24.01.2024 mündlich verhandelt, wobei die Parteivertreter nach entsprechender Gestattung durch Beschluss vom 03.11.2023 (Bl. 410 f. d.A.) gemäß § 128a Abs. 1 ZPO im Wege der Bild- und Tonübertragung teilgenommen haben. Eine Beweisaufnahme hat nicht stattgefunden. Es wird auf das Sitzungsprotokoll von 24.01.2024 und wegen der weiteren Einzelheiten des Sach- und Streitstandes auf die zwischen den Parteien gewechselten Schriftsätze und die zu den Akten gereichten Unterlagen Bezug genommen.

Entscheidungsgründe:

Die Klage ist im Hinblick auf die Anträge zu Ziff. 2., Ziff. 3.a. und b. sowie Ziff. 5. unzulässig, im Übrigen – bezüglich der Anträge zu Ziff. 1. und Ziff. 4. – zulässig.

Das angerufene Landgericht Dortmund ist zunächst sachlich, international und örtlich zuständig.

Die sachliche Zuständigkeit des Landgerichts folgt ungeachtet des Streitwertes unter 5.000,00 € (s. dazu nachfolgend unter V.) vorliegend aus § 39 S. 1 ZPO. Denn die Beklagte hat sich vorliegend mit dem Stellen ihrer Anträge in der mündlichen Verhandlung (§ 137 Abs. 1 ZPO) rügelos zur Hauptsache eingelassen.

Die internationale Zuständigkeit des Landgerichts Dortmund folgt aus Art. 79 Abs. 2 DS-GVO sowie aus Art. 18 Abs. 1 Alt. 2 i.V.m. Art. 17 Abs. 1 lit. c) EuGVVO.

Hiernach kann der Verbraucher seinen Vertragspartner wegen Streitigkeiten aus einem Vertrag an seinem Wohnsitz verklagen, wenn der Vertragspartner in dem Mitgliedstaat, in dessen Hoheitsgebiet der Verbraucher seinen Wohnsitz hat, eine berufliche oder gewerbliche Tätigkeit ausübt oder eine solche auf irgendeinem Wege auf diesen Mitgliedstaat oder auf mehrere Staaten, einschließlich dieses Mitgliedstaats, ausrichtet und der Vertrag in den Bereich dieser Tätigkeit fällt.

So verhält es sich hier. Durch die Nutzung der Plattform ist der Kläger mit der Beklagten vertraglich verbunden. Der Kläger ist dabei Verbraucher im Sinne des Art. 17 Abs. 1 lit. c) EuGVVO, weil er die Plattform der Beklagten lediglich für private Zwecke nutzt. Das Anbieten des sozialen Netzwerks stellt für die Beklagte wiederum eine berufliche Tätigkeit auf dem Gebiet der Europäischen Union dar. Auch wenn das Netzwerk als solches zur kostenfreien Nutzung zur Verfügung gestellt ist, so dient die Plattform dennoch auch einer gewerblichen Tätigkeit der Beklagten (vgl. EuGH, Urt. v. 05.06.2018 – C-210/16 – ECLI:EU:C:2018:388, Rn. 60).

Die örtliche Zuständigkeit des Landgerichts Dortmund folgt ebenfalls aus Art. 18 Abs. 1 Alt. 2 EuGVVO. Der Kläger hat seinen Wohnsitz im hiesigen Landgerichtsbezirk.

Den Leistungsantrag zu Ziff. 1. auf Zahlung immateriellen Schadensersatzes versteht das Gericht bei verständiger Würdigung dahingehend, dass der Kläger sein Entschädigungsbegehren auf Verstöße gegen die DS-GVO vor und nach dem Scraping-Vorfall stützt, sodass sein Verlangen einer Entschädigungszahlung von mindestens insgesamt 1.000,00 € nicht auf einer unzulässigen Häufung alternativer Klagegründe bzw. Streitgegenstände beruht, wodurch dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO hinreichend Genüge getan ist.

Dem Klageantrag zu Ziff. 2. fehlt es an dem notwendigen Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO.

Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines auf die Verletzungshandlung zurückzuführenden Schadens wenigstens zu rechnen.

Gemessen daran ist hier die Möglichkeit eines Schadenseintritts durch den Kläger nicht hinreichend dargelegt. Er meint hierzu, die Möglichkeit eines Schadenseintritts ergebe sich aus drohenden Spam-Anrufen, Spam-SMS oder Spam-E-Mails. Zum Schutz dagegen müsse er sich eine neue Handynummer zulegen oder den Anbieter wechseln. Dieser Vortrag genügt ersichtlich nicht. Mangels jedweder konkreter Anhaltspunkte dafür, dass dem Kläger bis heute aufgrund des „unbefugten Zugriffs Dritter auf das Datenarchiv der Beklagten“ ein kausaler materieller Schaden entstanden ist, ist davon auszugehen, dass mit dem Eintritt eines materiellen Schadens nicht zu rechnen ist.

Entsprechendes gilt für den immateriellen Schaden. Bei verständiger Würdigung des – im Wortlaut nicht nach materiellen und immateriellen Schäden differenzierenden – Klageantrags zu Ziff. 2. ist hiervon auch der künftige immaterielle Schaden umfasst (vgl. dazu: OLG Hamm, Urt. v. 15.08.2023 – I-7 U 19/23 – GRUR 2023, 1791, 1803, Rn. 190). Ein solcher ist indes nicht dargetan, und es ist mit Blick auf die vergangene Zeit auch nicht damit zu rechnen, dass ein solcher – ohne materiellen Schaden – noch eintreten wird (vgl. OLG Hamm, a.a.O., S. 1803 f., Rn. 189 ff.).

Die mit dem Antrag zu Ziff. 3.a. verfolgte Unterlassungsklage, bei der es sich tatsächlich um eine verdeckte Leistungsklage handelt, ist ebenfalls bereits unzulässig. Er enthält mit der geforderten Androhung nach § 890 Abs. 2 ZPO ein unzulässiges Antragsbegehren. Vorliegend fordert der Kläger mit dem Antrag zu Ziff. 3.a. im Schwerpunkt ein aktives Tun, das nicht nach § 890 ZPO, sondern als vertretbare Handlung nach § 887 ZPO zu vollstrecken ist – nämlich zukünftig Kontaktimportfunktionen nur im Einklang mit den einzuhaltenden Sicherheitsvorkehrungen „freizuschalten“, um Zugriffe unbefugter Dritter nach Möglichkeit von vorneherein zu verhindern – so wie es die DS-GVO verlangt. Der Kläger aber verlangt, dass er die bzw. zukünftig irgendeine andere Kontaktimportfunktion unter Wahrung der Sicherheitsanforderungen nutzen kann.

Die Klage ist insoweit aber auch im Übrigen im Hinblick auf § 259 ZPO unzulässig. Da der Antrag tatsächlich auf ein zukünftiges aktives Tun gerichtet ist, ist er an § 259 ZPO zu messen, dessen Voraussetzung der Besorgnis nicht rechtzeitiger Leistung nicht gegeben ist. Denn die Beklagte hat nach (interner) Aufdeckung des Scraping-Vorfalls am 06.09.2019 die streitgegenständliche Funktion eliminiert. Es ist seitdem nicht wieder zu einem Vorfall gekommen (vgl. OLG Hamm, a.a.O., S. 1804, Rn. 203 ff.).

Die mit dem Antrag zu Ziff. 3.b. verfolgte Unterlassungsklage ist ebenfalls unzulässig.

Soweit der Antrag tatsächlich als Unterlassungsantrag dahin, die fortgesetzte Verarbeitung ohne informierte Einwilligung zu unterlassen, zu interpretieren wäre, ist die Klage bereits wegen fehlenden Rechtsschutzbedürfnisses unzulässig. Soweit der Antrag tatsächlich erneut als Antrag auf zukünftige Leistung gerichtet ist, weil eine Wiederholung befürchtet wird (und die Allgemeinheit geschützt werden soll), ist die Klage ebenfalls im Hinblick auf die Vorgaben der §§ 890 Abs. 2, 259 ZPO unzulässig (vgl. OLG Hamm, a.a.O., S. 1805, Rn. 219 ff.).

Die mit dem Antrag zu Ziff. 4. verfolgte Auskunftsklage, die ausschließlich darauf gerichtet ist, wissen zu wollen, welche Daten von wem zu welchem Zeitpunkt während des streitgegenständlichen Scraping-Vorfalls gescrapt worden sind, ist unzweifelhaft zulässig.

Die mit dem Antrag zu Ziff. 5. verfolgte, auf den Ersatz vorgerichtlicher Rechtsanwaltskosten gerichtete Leistungsklage ist bereits unzulässig, da die insoweit geltend gemachten Ansprüche gemäß § 86 Abs. 1 S. 1 VVG auf den Rechtsschutzversicherer übergegangen sind und der Kläger die Voraussetzungen einer gewillkürten Prozessstandschaft nicht dargelegt hat (vgl. OLG Hamm, a.a.O., S. 1806, Rn. 243 ff.)

II.

Die Klage ist, soweit sie zulässig ist, unbegründet.

Dem Kläger stehen die geltend gemachten Ansprüche unter keinem rechtlichen Gesichtspunkt zu.

Dem Kläger steht gegen die Beklagte kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu.

Ein Anspruch des Klägers auf Zahlung eines immateriellen Schadensersatzes ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die Datenschutzgrundverordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verantwortlicher in diesem Sinne ist gemäß Art. 4 Nr. 7 DS-GVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.

aa)

Es kann letztlich dahingestellt bleiben, ob der Beklagten Verstöße gegen die Bestimmungen der Datenschutzgrundverordnung anzulasten sind, insbesondere ob die Beklagte, die die Darlegungslast dahin trifft, die betroffenen personenbezogenen Daten des Klägers entsprechend der DS-GVO verarbeitet zu haben, namentlich Verstöße gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 UAbs. 1 DS-GVO, gegen Art. 5 Abs. 1 lit. b und Art. 25 Abs. 1 u. Abs. 2 DS-GVO sowie gegen Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO konkret ausgeräumt hat (ablehnend: OLG Hamm, a.a.O., S. 1795 ff., Rn. 81 ff.).

bb)

Jedenfalls mangelt es an einem ersatzfähigen Schaden des Klägers im Sinne des Art. 82 Abs. 1 DS-GVO.

Ein auf die – möglichen – Verstöße zurückzuführender immaterieller

Schaden ist bereits nicht hinreichend dargelegt. Der Kläger hat zu seinem individuellen immateriellen Schaden keinerlei konkreten Vortrag gehalten. Der bemühte Kontrollverlust allein oder die Auflistung generell-abstrakter Gefahren ohne Darlegung persönlicher und/oder psychologischer Beeinträchtigungen genügen nicht. Eine persönliche Anhörung des Klägers musste vor diesem Hintergrund schon nicht erfolgen. Auch ist nicht hinreichend dargelegt, dass die behaupteten Kontaktversuche auf das streitgegenständliche Scraping zurückzuführen sind (vgl. OLG Hamm, Beschl. v. 24.11.2023 – I-7 U 137/23 – BeckRS 2023, 37309, Rn. 5).

Im Einzelnen:

Der Eintritt des Schadens muss nach allgemeinen Grundsätzen (§ 287 ZPO) als überwiegend wahrscheinlich dargetan werden. Dabei kann offenbleiben, wie der Schadensbegriff des Art. 82 Abs. 1 DS-GVO konkret zu verstehen ist; denn es ist es dem Kläger bereits nicht gelungen, jedweden Ansatzpunkt für einen ersatzfähigen Schaden hinreichend konkret darzulegen.

Wie aufgrund der Vielzahl nahezu identischer Verfahren gerichtsbekannt ist, wird in sämtlichen Klageschriften dieselbe Floskel vom erlittenen Kontrollverlust „der Klägerseite“ über die Daten und dem Zustand des Unwohlseins und der Sorge über möglichen Missbrauch ihrer Daten, in dem sie seitdem verblieben sei, wiederholt. Es ist deshalb schon nicht davon auszugehen, dass diese Formulierung überhaupt auf persönlichen Angaben des hiesigen Klägers beruht, mithin auch nicht seine konkret-individuelle Situation beschreibt. Es ist außerdem völlig lebensfremd, dass sämtliche vom „Scraping-Vorfall“ betroffenen Facebook-Nutzer unterschiedslos dieselbe emotionale Reaktion gezeigt und dieselbe Besorgnis entwickelt haben sollten. Angesichts des nicht ansatzweise substantiierten Vorbringens bestand für das Gericht auch keine Veranlassung, den Kläger ergänzend persönlich anzuhören; dies wäre auf eine Ausforschung hinausgelaufen (so auch: OLG Köln, Urt. v. 07.12.2023 – 15 U 108/23 – GRUR-RS 2023, 37546, Rn. 38; Urt. v. 07.12.2023 – 15 U 67/23 – GRUR-RS 2023, 37347, Rn. 38; Urt. v. 07.12.2023 – 15 U 33/23 – GRUR-RS 2023, 36757, Rn. 38; Urt. v. 07.12.2023 – 15 U 99/23 – GRUR-RS 2023, 37562, Rn. 43).

Gegen das tatsächliche Vorliegen der floskelhaft behaupteten Ängste, Sorgen und Unwohlseinsempfindungen des Klägers spricht ohnehin entscheidend, dass es sich bei den „gescrapten“ Daten um solche handelt, die immer öffentlich sichtbar sind. Es ist diesen Daten gerade immanent, dass sie jedem jederzeit zugänglich sind. Hierauf wird der Nutzer auch durch die Beklagte hingewiesen, sodass nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten bei dem Kläger zu einem unguten Gefühl geführt haben sollte. In diesem Sinne kann schon nicht von einer Veröffentlichung der Daten durch Dritte gesprochen werden, die die Nutzer selbst öffentlich zugänglich gemacht haben. Allenfalls entspricht die Zuordnung der öffentlich einsehbaren Daten mit der Telefonnummer und das anschließende Publizieren eines derartig erstellten „Profils“ durch Dritte einem derartigen Verständnis. Die Ermöglichung eines derartigen Umstandes beruht aber wiederum gerade nicht auf einem Vorgehen, das der Beklagten zuzurechnen ist, sondern vielmehr auf den Suchbarkeitseinstellungen der Nutzer selbst, die sie jederzeit hätten ändern können. Weiterhin ist die Eingabe der Telefonnummer freiwillig und wäre für die Registrierung nicht erforderlich gewesen. Trotzdem hat auch der hiesige Kläger seine Telefonnummer eingegeben. Wäre ihm an der größtmöglichen Geheimhaltung seiner Telefonnummer gelegen gewesen, so hätte er sich darauf beschränken können, nur die notwendigen Informationen, also die für die Registrierung erforderliche E-Mail, preiszugeben.

Ein Anspruch auf Zahlung immateriellen Schadensersatzes folgt nicht aus den §§ 280 Abs. 1 u. Abs. 3, 281, 327, 327e, 327i BGB. Sowohl das Scraping von Daten im Jahre 2019 als auch deren Veröffentlichung durch Dritte im April 2021 lagen vor dem Inkrafttreten der §§ 327 ff. BGB am 01.01.2022 (vgl. Art. 229 § 57 Abs. 2 EGBGB).

Ein immaterieller Schadensersatzanspruch ergibt sich ferner nicht aus § 823 Abs. 2 BGB i.V.m. dem Recht auf informationelle Selbstbestimmung, da dem Kläger kein ersatzfähiger Schaden entstanden ist. Deshalb besteht auch kein entsprechender Anspruch gemäß den §§ 1004 analog, 823 Abs. 2 BGB i.V.m. Art. 13, 14 DS-GVO.

Aus denselben Gründen scheitert ein immaterieller Schadensersatzanspruch des Klägers aus den §§ 823 Abs. 1, 253 Abs. 2 BGB i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG. Vor diesem Hintergrund kann die Anwendbarkeit des nationalen Rechts neben der DS-GVO dahingestellt bleiben.

Die mit dem Antrag zu Ziff. 4. verfolgte Auskunftsklage ist unbegründet.

Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen einschließlich Identität der Abrufenden sowie Zeitpunkt und Zwecke der Abrufe.

Die Beklagte hat vorliegend durch die automatisierte Verarbeitung der Such- und Kontaktimportfunktionsabfragen die Daten des Klägers, insbesondere dessen Mobilfunktelefonnummer, unzweifelhaft offengelegt (Art. 4 Nr. 2 DS-GVO), so dass die Beklagte gemäß Art. 15 Abs. 1, 2. Hs., lit. c DS-GVO grundsätzlich zur gewünschten Auskunft verpflichtet war.

100

101

Dieses Auskunftsbegehren hat die Beklagte jedoch entgegen der Auffassung des Klägers mit dem Schreiben vom 06.10.2022 (Anlage B16) erfüllt, § 362 Abs. 1 BGB.

102

Erfüllt im vorgenannten Sinne ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll.

103

Gemessen daran, ist Erfüllung eingetreten. Das Antwortschreiben der Beklagten vom 06.10.2022 enthält insbesondere – und teils über den jetzt überhaupt noch geltend gemachten Auskunftsanspruch hinausgehend – eine Auflistung der Datenpunkte und der Telefonnummer, eine Erläuterung des Datenabrufs über die immer öffentlichen Daten, das Facebook-Profil und die Kontaktimportfunktion, die zeitliche Angabe „im Zeitraum bis September 2019“, den Hinweis, dass der Beklagten keine Rohdaten zu den abgerufenen Daten vorliegen, und den Hinweis auf das Handeln mehrerer Scraper, nicht eines Scrapers mit Blick auf die Frage nach der konkreten Person. Mit diesen Auskünften hat die Beklagte hinreichend deutlich gemacht, dass sie keine weiteren Auskünfte zur Identität der Scraper und zum genauen, den Kläger betreffenden Scraping-Zeitpunkt machen kann, zumal die konkreten Logdaten des Klägers im Hinblick auf den Grundsatz der Datenminimierung ohnehin gelöscht gewesen seien (vgl. OLG Hamm, Urt. v. 15.08.2023, a.a.O., S. 1805 f., Rn. 227 ff.).

104

105

Nur hilfsweise sei bemerkt, dass der – nach den obigen Ausführungen: bereits unzulässige – Klageantrag zu Ziff. 5. auf Zahlung vorgerichtlicher Rechtsanwaltskosten auch unbegründet wäre. Ein solcher Anspruch ergibt sich weder aus § 280 Abs. 1 BGB noch aus Art. 82 Abs. 1 DS-GVO, da es in der Hauptsache bereits an einem Anspruch mangelt. Aus demselben Grund besteht auch kein Zinsanspruch des Klägers aus § 291 BGB.

106

III.

107

Im Hinblick auf die in der Replikschrift vom 15.01.2024 (dort S. 95 f. = Bl. 523 f. d.A.) gestellten Vorlage- und Aussetzungsanträge des Klägers ist zu bemerken, dass eine Vorlagepflicht des Gerichts nicht besteht (dazu nachfolgend unter 1.), weshalb auch kein Raum für eine Aussetzung ist (dazu nachfolgend unter 2.).

108

109

Die Durchführung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV zur Klärung einer der geprüften und festgestellten Gesichtspunkte ist nicht geboten. Jedenfalls soweit entscheidungserheblich, ist die Auslegung der maßgeblichen unionsrechtlichen Begriffe durch die – insbesondere jüngste – Rechtsprechung des Europäischen Gerichtshofs eindeutig geklärt („acte éclairé“) oder von vornherein eindeutig („acte clair“). Insbesondere ist die Rechtsprechung des Gerichtshofs in keinem hier entscheidungserheblichen Punkt unvollständig.

110

Namentlich die vierte Vorlagefrage aus dem Beschluss des Bundesgerichtshofes vom 26.09.2023 (Az.: VI ZR 97/22; GRUR 2023, 1724, 1726 f., Rn. 30 ff.) ändert an dem Umstand, dass durch die Rechtsprechung des Gerichtshofs geklärt ist, dass der Kontrollverlust allein keinen Schaden darstellt, nichts, weil es bei der Vorlagefrage des BGH gerade nicht darum geht (ein Kontrollverlust liegt im dortigen Verfahren unzweifelhaft vor und gleichwohl stellt der BGH seine Frage) und es vorliegend – anders als im Falle des BGH – bereits an der Darlegung und dem Nachweis haftungsbegründend kausaler negativer Gefühle fehlt. Eine Aussetzung des vorliegenden Verfahrens ist deshalb weiterhin nicht veranlasst (vgl. OLG Hamm, Beschl. v. 18.10.2023 – I-7 U 77/23 – BeckRS 2023, 32741, Rn. 4 m.w.N.; Urt. v. 17.11.2023 – I-7 U 71/23 – GRUR-RS 2023, 32739, Rn. 20).

111

112

Vor diesem Hintergrund sind auch die Aussetzungsanträge des Klägers zurückzuweisen.

113

Es muss auch – entgegen des Ansatzes des Klägers – nicht der Ausgang der bereits beim Gerichtshof anhängigen Verfahren C-189/22, C-182/22, C-741/22 oder C-687/21 abgewartet werden. Sie betreffen teils ganz andere Fragen (Bemessung des Schmerzensgeldes, die hier gar nicht in Frage steht), sind bereits durch andere Rechtsprechung des Gerichtshofs (zwischenzeitlich) teilweise beantwortet oder im Übrigen für den vorliegenden Fall nicht entscheidungserheblich (vgl. OLG Hamm, Urt. v. 17.11.2023, a.a.O., Rn. 21 f.).

114

Das zwischenzeitlich ergangene Urteil des Europäischen Gerichtshofs vom 14.12.2023 (Az.: C-340/21; BeckRS 2023, 35786) gibt dem Gericht keine Veranlassung zur Aufgabe seiner Rechtsauffassung, dass im Rahmen eines Anspruchs aus Art. 82 DS-GVO ein mit einer unrechtmäßigen Datenverarbeitung als negative Folge einhergehender Kontrollverlust als solcher die Annahme eines immateriellen Schadens nicht trägt (so auch: OLG Hamm, Beschl. v. 21.12.2023 – I-7 U 137/23 – GRUR-RS 2023, 37310, amtl. Ls.). Gleiches gilt im Hinblick auf die jüngst ergangenen Urteile des Europäischen Gerichtshofs vom 26.10.2023 (Az.: C-307/22; NJW 2023, 3481) und vom 21.12.2023 (Az.: C-667/21; BeckRS 2023, 36822).

115

IV.

116

Die Kostenentscheidung stützt sich auf § 91 Abs. 1 S. 1 ZPO.

117

118

Den Streitwert hat das Gericht gemäß § 48 Abs. 1 S. 1 GKG i.V.m. den §§ 3, 5 ZPO auf insgesamt 3.000,00 € festgesetzt. Wegen der Einzelstreitwerte für die gegenständlichen Klageanträge wird auf die fortgeltenden Gründe des Beschlusses über die vorläufige Streitwertfestsetzung vom 10.03.2023 (Bl. 103-105 d.A.) Bezug genommen. Die Wertfestsetzung entspricht damit der ständigen Rechtsprechung des Oberlandesgerichts Hamm in sog. „Scraping“-Fällen (vgl. Urt. v. 15.08.2023 – I-7 U 19/23 – GRUR 2023, 1791, 1807, Rn. 254 ff.; Hinweisbeschl. v. 22.09.2023 – I-7 U 77/23 – GRUR-RS 2023, 32743, Rn. 16 ff.; Urt. v. 17.11.2023 – I-7 U 71/23 – GRUR-RS 2023, 32739, Rn. 25; Beschl. v. 24.11.2023 – I-7 U 137/23 – BeckRS 2023, 37309).

119

VI.

120

Die Entscheidung zur vorläufigen Vollstreckbarkeit beruht auf den §§ 708 Nr. 11, 2. Alt., 711 S. 1 u. S. 2 ZPO.