Landgericht Münster, 2 O 54/22

Tatbestand

Die Beklagte betreibt im Internet die Social Media Plattform Facebook. Der Kläger nutzt diese Plattform, insbesondere, um mit Freunden zu kommunizieren, private Fotos zu teilen und mit anderen Nutzern im Netz zu diskutieren. Die Dienste der Beklagten ermöglichen es den Nutzern, persönliche Profile für sich zu erstellen und diese mit Freunden zu teilen. Die Nutzer können auf den persönlichen Profilen Angaben zu verschiedenen Daten zu ihrer Person machen und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf ihre Daten zugreifen können.

Bei dem Anlegen eines Facebook-Profils muss der künftige Nutzer Datenschutz- und Cookie Richtlinien zustimmen. Diese sind durch eine Verlinkung getrennt abrufbar. Nach der Anmeldung sind zunächst die Vor- bzw. Standarteinstellungen aktiv. Demnach können „alle“ Personen sehen, welche Seiten der Nutzer abonniert oder mit wem er befreundet ist. Ebenso können „alle“ den neuen Nutzer über seine E-Mail-Adresse „finden“. Ebenso ist für alle Informationen, die ein Nutzer in sein Profil einträgt, standardmäßig „öffentlich“ als Voreinstellung ausgewählt. Der Nutzer kann diese Einstellungen individuell verändern und im Hilfebereich nachlesen, wie Facebook insbesondere die Mobilfunknummer verwendet. Die Angabe der Mobilfunknummer ist dabei nicht zwingend. Entscheidet sich ein Nutzer aber diese anzugeben, kann er in den Suchfunktionen einstellen, in welchem Umfang er über diese gefunden werden will. Die Grundeinstellung lautet auch insoweit zunächst „alle“ („everyone“). Diese Einstellung kann der Nutzer ändern.

Neben den gewöhnlichen Funktionen auf der Facebook-Website wird von der Beklagten noch eine App betrieben, die als Schnittstelle für die Facebook-Applikation auf Mobilgeräten arbeitet. Nutzer melden sich dafür mit ihren bestehenden Facebook-Profilen an. Die App und die gewöhnlichen Funktionen von Facebook sind über denselben Zugang zum Account verknüpft. Auch in dieser App können separate Sicherheitseinstellungen vorgenommen werden. Diese Einstellungen werden unabhängig von den Einstellungen des Accounts im sonstigen Facebook-Dienst vorgenommen. Es kann separat eingestellt werden, ob Telefonkontakte mit dem Facebook-Dienst synchronisiert werden sollen.

In den persönlichen Einstellungen des Klägers war bis zum 13. Januar 2020 zum Thema der Suchbarkeit über die Telefonnummer die Einstellung „Everyone“ bzw. „alle“ ausgewählt.

Im Jahr 2019 lasen und persistierten („Scraping“) Dritte Telefonnummer, Facebook-ID, Name, Vorname, Geschlecht und weitere korrelierende Daten – wobei streitig ist, ob hierzu auch Bundesland, Land, Stadt, Beziehungsstatus gehörten – über das Facebook-Tool Contact-Import aus zum Teil öffentlich zugänglichen Daten bei Facebook. Die Beklagte geht davon aus, dass das Contact-Import-Tool zur Bestimmung der Telefonnummern der einzelnen Benutzer genutzt wurde. Den Umständen nach wurden von Dritten zunächst maschinell fiktive Telefonnummern erzeugt. Diese wurden dann mit den Telefonnummern von Facebook-Mitgliedern abgeglichen. Dies wiederum war möglich, wenn die betreffenden Facebook-Nutzer bei Facebook ihre Telefonnummer freiwillig angegeben hatten und hinsichtlich Ihrer Verwendung die oben beschriebene Einstellung eingestellt hatten, wonach sie über ihre Telefonnummer für „alle“ bzw. „everyone“ gefunden werden konnten. Sofern der Abgleich der Telefonnummern einen „Treffer“ ergab, war es möglich die Telefonnummern konkreten Facebook-Profilen zuzuordnen, und zwar auch dann, wenn diese auf dem Profil nicht öffentlich sichtbar freigegeben waren.Auf dem Profil des Nutzers wurde dieser dann besucht und von dort wurden die öffentlichen Daten gescrapt („abgeschöpft“).

Anfang April 2021 wurden diese Daten von ca. 533 Millionen F.-Nutzern aus 106 Ländern im Internet öffentlich verbreitet.

Mit außergerichtlicher E-Mail vom 22.10.2021 ließ der Kläger die Beklagte vergeblich zur Zahlung von 500,- € und Unterlassung künftiger Zugänglichmachung der Daten des Klägers sowie Erteilung einer Auskunft, welche konkreten Daten im April 2021 abgegriffen und veröffentlicht wurden, auffordern (Anlage K1). Die Beklagte erteilte daraufhin einige Auskünfte, die dem Kläger aber nicht genügen. Einen Zahlungsanspruch des Klägers und weitere Ansprüche ließ die Beklagte zurückweisen. Wegen der näheren Einzelheiten dieser Reaktion der Beklagtenseite wird auf das in der Anlage K2 befindliche Schreiben verwiesen.

Der Kläger ist der Ansicht, die Beklagte verstoße gegen die DSGVO, indem sie ohne ausreichende Grundlage im Sinne der Art. 6 und 7 DSGVO Informationen im Sinne von Art. 13, 14 DSGVO verarbeite, Daten unbefugten Dritten zugänglich mache sowie seine Rechte aus Art. 15, 17 und 18 DSGVO verletze und seine Betroffenenrechte gemäß Art. 15, 17 und 18 DSGVO verletzte.

Der Kläger behauptet, das „scrapen“ sei nur möglich gewesen, weil die Beklagte keinerlei Sicherheitsmaßnahmen vorgehalten habe, um ein Ausnutzen des bereitgestellten Tools zu verhindern und weil die Einstellungen zur Sicherheit der Telefonnummer auf Facebook so undurchsichtig und kompliziert gestaltet seien, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne. Facebook sei "datenschutz-unfreundlich" eingestellt, es werde unnötig zwischen Datenschutzrichtlinien und Cookie-Verwendung differenziert, obwohl die Verwendung von Cookies – so meint der Kläger – ein inhärent datenschutzrechtliches Thema sei. Der gesamte Anmeldevorgang sei intransparent und für den Anwender verwirrend. Dies führe letztlich – so behauptet der Kläger – dazu, dass Nutzer im Vertrauen und mit dem Ziel, mehr persönliche Sicherheit zu erreichen, ihre Telefonnummern auf Facebook preisgäben. Unter Einbeziehung der Apps für die mobile Nutzung gebe es drei verschiedene Einstellungsmöglichkeiten zur Verwendung der Telefonnummer, über die ein Nutzer – so auch er als Kläger – keine transparenten Informationen für eine Gewährleistung einer effektiven digitalen Sicherheit erhalte. Diese Sicherheitslücke werde seit 2019 ausgenutzt, ohne dass die Beklagte etwas dagegen unternehme. Er – der Kläger – habe so ungewollt die Kontrolle über seine Daten verloren und werde bis heute wiederholt ungewollt von Unbekannten via E-Mail und SMS kontaktiert. Auch nach dem Vorfall 2019 habe die Beklagte – so meint der Kläger – nicht adäquat reagiert. Sie habe versäumt, die zuständige Datenschutzbehörde „Irish Data Protection Commission“ unverzüglich zu informieren. Soweit vorgerichtlich Auskünfte über abgegriffene Daten mitgeteilt worden seien, sei diese Auskunft ungenügend.

Die Datenschutzeinstellungen der Beklagten seinen undurchsichtig und kompliziert gestaltet, denn es bestehe eine Flut an Einstellungsmöglichkeiten allein für die Sicherheit der Mobilnummer. Aufgrund der Vielzahl an Einstellungsmöglichkeiten sei mit hoher Wahrscheinlichkeit zu erwarten, dass ein Nutzer die voreingestellten Standardeinstellungen beibehalte und nicht selbstständig ändere. Dies widerspräche – so meint der Kläger weiter – allerdings den Grundsätzen eines nutzerfreundlichen Datenschutzes und dem in der DSGVO niedergelegten Prinzips der „privacy by default“ (= datenschutzfreundliche Voreinstellungen).

Die Auskunft, die die Beklagte ihm habe zukommen lassen, sei unzureichend. Das Antwortschreiben der Beklagten enthalte lediglich allgemein gehaltene Informationen zu den auf F. verarbeiteten Daten sowie einen Link zur Seite der Beklagten, auf der die Daten über einen individuellen Nutzer gespeicherten Daten eingesehen werden können. Dieses Vorgehen allein sei schon nicht geeignet, dem nach Art. 15 DSGVO umfassenden Auskunftsanspruch gerecht zu werden. Unabhängig davon enthalte das „Auskunftsschreiben“ der Beklagten aber auch keinerlei konkrete Aussagen dazu, welche Daten der Klägerseite im Wege des Scrapings von unbekannten Dritten abgegriffen wurden. So bleibe offen, wann genau die Daten entwendet worden seien oder wie viele verschiedene Beteiligte diese Funktion hinsichtlich seiner – des Klägers – Daten ausgenutzt hätten.

Der Kläger beantragt,

die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

festzustellen, dass die Beklagte verpflichtet ist, ihm alle künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, FacebookID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

seine Telefonnummer auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Contact-import-tools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird,

die Beklagte zu verurteilen, ihm Auskunft über seine ihn betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.

die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte meint, der klägerische Vortrag beruhe auf einem Missverständnis zum Scraping als solchen. Es sei unschlüssig und unsubstantiiert, welche Daten des Klägers genau gescrapt worden sein sollen. Sie – die Beklagte – bestreitet die Begehung eines Datenschutzverstoßes und eines Unterlassens des Schließens einer technischen Schwachstelle. Vielmehr seien – so behauptet die Beklagte – lediglich automatisch gesammelte öffentlich einsehbare Daten entweder von der App oder der Website Facebook gescraped worden. Es seien lediglich öffentlich einsehbare Daten durch Dritte in Form des Scraping abgerufen worden, was nach den Nutzungsbedingungen von Facebook untersagt gewesen sei und noch untersagt sei. Das Abrufen habe im Einklang mit den jeweiligen Privatsphäre-Einstellungen "öffentlich" auf der Facebook-Plattform gestanden. Es seien allenfalls öffentlich einsehbare Daten abgerufen und an anderer Stelle erneut zugänglich gemacht worden. Sie – die Beklagte – stelle allen Nutzern, inklusive dem Kläger, alle in Art. 13 und 14 DSGVO festgelegten Informationen zur Datenverarbeitung zur Verfügung, die sie zum Zeitpunkt der Datenerhebung im Anwendungsbereich der Datenrichtlinie durchführe. Sie ist daher der Ansicht, nicht gegen die Transparenzpflichten der DSGVO verstoßen zu haben. Es habe zudem eine umfassende und transparente Information über die Möglichkeit der Anpassung ihrer Suchbarkeits-Einstellungen und Zielgruppenauswahl gegeben, woraus sich nachvollziehbar ergebe, wer bestimmte persönliche Informationen, die der Nutzer in seinem Profil hinterlegt habe, einsehen könne. Diese Einstellungen habe – so behauptet die Beklagte – der Kläger jederzeit anpassen können.

Die Beklagte ist der Ansicht, nicht gegen Art. 24, 32 DSGVO verstoßen zu haben, sondern vielmehr angemessene technische und organisatorische Maßnahmen ergriffen zu haben, das Risiko von Scraping zu unterbinden und Maßnahmen zur Bekämpfung von Scraping zu ergreifen. Es fehle konkreter Vortrag, welche Maßnahmen in welchem Umfang nicht genügen würden. Außerdem müsse eine solche Beurteilung ex ante und nicht ex post erfolgen. Den Anforderungen des Art. 25 DSGVO sei genügt. Es dürfe dabei der zentrale Zweck von Facebook, mit Freunden, Familien und Gemeinschaften sich zu verbinden nicht außer Betracht bleiben. Es bestehe keine Melde- oder Benachrichtigungspflicht, da es an einer Verletzung der Sicherheit i. S. d. Art. 4 Nr. 12 DSGVO und an einer unbefugten Offenlegung von Daten fehle. Unabhängig davon habe sie – die Beklagte – wegen der Medienberichterstattung freiwillig eine Vielzahl von Maßnahmen ergriffen, über Scraping und Begrenzungsmöglichkeiten einschließlich einer Änderung von Privatsphäre-Einstellungen zu informieren. Schließlich fehle es an einem immateriellen Schaden. Art. 82 DSGVO umfasse keine Verstöße gegen Art. 13-15, 24, 25 DSGVO. Zudem fehle es an einem Verstoß gegen Art. 82 DSGVO. Ein kompensationsgeeigneter messbarer Schaden sei auch nicht dargelegt. Selbst bei einem angenommenen vorübergehenden Kontrollverlust über personenbezogene Daten des Klägers wäre dies nicht ihr – der Beklagten – zuzurechnen, weil die öffentliche Einsehbarkeit den Privatsphäre-Einstellungen des Klägers entsprochen habe. Schließlich fehle es an einer schlüssigen Darlegung der Kausalität.

Mangels Verstoßes gegen die DSGVO sei der (ohnehin unzulässige) Feststellungsantrag unbegründet. Der Unterlassungsanspruch scheitere an einer Erstbegehungs- und einer Wiederholungsgefahr.

Entscheidungsgründe

Die Klage ist zulässig aber unbegründet.

Die Klage ist zulässig.

Das Landgericht Münster ist mit Blick auf den Wohnort des Klägers im hiesigen Bezirk sowohl international als auch örtlich zuständig. Die sachliche Zuständigkeit ist ebenfalls gegeben, denn der Streitwert liegt bei 5.500 €, vgl. hierzu näher unten.

II.

Die Klageanträge zu 1. und 3. sind hinreichend bestimmt, es besteht ein Feststellungsinteresse für den Klageantrag Ziffer 2.

Der Klageantrag Ziffer 1. ist hinreichend bestimmt.

Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Ein Verstoß gegen den in § 253 Abs. 2 Nr. 2 ZPO normierten Bestimmtheitsgrundsatz liegt dann nicht vor, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 ZPO oder vom billigen Ermessen des Gerichts abhängig ist (BGH, Urteil vom 1. Februar 11966 – VI ZR 196/64, juris Rn. 12). Die nötige Bestimmtheit soll hier dadurch erreicht werden, dass der Kläger in der Klagebegründung die Berechnungs- bzw. Schätzgrundlagen umfassend darzulegen und die Größenordnung seiner Vorstellungen anzugeben hat (Zöller/Greger, ZPO, 34. Aufl. 2022, § 253 ZPO Rn. 14). Diese Voraussetzungen liegen hier vor. Der Kläger hat sowohl in der Klagebegründung als auch im Klageantrag Ziffer 1.) einen Mindestbetrag von 1.000,00 € angegeben. Soweit die Beklagte meint, der Antrag Ziffer 1. deshalb unbestimmt sei, weil er auf zwei Lebenssachverhalten beruhe und damit zwei Streitgegenstände betreffe, deren Verhältnis zueinander nicht hinreichend bestimmt sei, ist dies unzutreffend. Es ist nur ein Lebenssachverhalt zu beurteilen, nämlich derjenige, ob die Beklagte vor dem Scraping durch Dritte im April 2021 hinreichende Datenschutzvorkehrungen getroffen hatte und danach etwaige Lücken geschlossen hat bzw. ihre Nutzer unzureichend bzw. intransparent informiert hat.

Hinsichtlich des Klageantrags Ziffer 2., der hinreichend bestimmt ist, liegt ein Feststellungsinteresse vor. Der Kläger hat sein Feststellungsinteresse gemäß § 256 Abs. 2 ZPO hinreichend dargelegt. Ein Feststellungsantrag ist schon zulässig, wenn die Schadensentwicklung noch nicht abgeschlossen ist und der Kläger seinen Anspruch deshalb ganz oder teilweise nicht beziffern kann (OLG Hamm, Urteil vom 21. Mai 2019 – 9 U 56/18 –, Rn. 22, juris). Ein Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH, Beschluss vom 09. Januar 2007 – VI ZR 133/06 –, juris; BGH, Urteil vom 16. Januar 2001 – VI ZR 381/99 –, juris; Saarländisches Oberlandesgericht Saarbrücken, Urteil vom 20. Februar 2014 – 4 U 411/12, Rn. 46, juris, m.w.N.). Bei den behaupteten Verstößen gegen die DSGVO mit der behauptet dargelegten unkontrollierten Nutzung gescrapter Daten ist bei verständiger Würdigung zumindest nicht ausgeschlossen, dass irgendein materieller oder immaterieller Schaden entstehen könnte. Denn der Kläger gibt an, ein solches Feststellungsinteresse wegen der behauptet einmal gescrapten Daten und damit behauptet einhergehenden unbefugten und unkontrollierten Datenverwendung zu haben, die auch zu künftigen Schäden führen könne, deren Art und Umfang noch unbekannt sind. Es ist nicht völlig ausgeschlossen, dass er – der Kläger – infolge der Veröffentlichung seiner Telefonnummer in Verbindung mit seinem Namen sowie weiteren persönlichen Daten einen irgendwie gearteten Schaden erleidet.

Der Klageantrag Ziffer 3. ist hinreichend bestimmt. Auch wenn die Formulierung „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ im Antrag zu 3. a. auslegungsbedürftig ist und Vollstreckungsprobleme denkbar sind, ist nach höchstrichterlicher Rechtsprechung eine gewisse Auslegungsbedürftigkeit zur Gewährleistung effektiven Rechtsschutzes hinzunehmen (BGH, Urteil vom 21. Mai 2015 – I ZR 183/13, juris Rn. 13). Je nach dem Stand der Technik sind dabei verschiedene, aufeinander aufbauende Sicherheitsmaßnahmen möglich, die nicht näher konkretisiert werden können. Der Kläger kann nämlich nicht einschätzen, was die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen beinhalten. Dies führt dann dazu, dass das Vollstreckungsorgan gegebenenfalls Wertungen vornehmen muss. Vom Kläger kann nach Auffassung des Gerichts nicht verlangt werden, für eine hinreichend konkrete Antragstellung den aktuellen Stand der Technik selbst zu ermitteln (so auch LG Ellwangen, Urteil vom 25. Januar 2023 – 2 O 198/22 –, Rn. 46 - 57, juris).

Die Klage ist unbegründet.

Dem Kläger stehen gegen die Beklagte unter keinem rechtlichen Gesichtspunkt die geltend gemachten Ansprüche zu.

Im Einzelnen:

Dem Kläger steht unter keinem rechtlichen Gesichtspunkt einen Anspruch auf immateriellen Schadenersatz zu. Ein Anspruch gegen die Beklagte ergibt sich weder aus nationalen Vorschriften noch aus Art. 82 DSGVO.

Dem Kläger steht kein Anspruch auf immateriellen Schadenersatz aus Art. 82 DSGVO zu. Es fehlt an einer schadenersatzauslösenden Pflichtverletzung der Beklagten im Sinne der DSGVO. Soweit der Kläger der Beklagten mehrere Verstöße vorwirft, nämlich

 ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 a DSGVO),

 einen unmittelbaren Verstoß gegen Art. 13, 14 DSGVO, die konkrete Informationspflichten enthielten, die seitens der Beklagten nicht eingehalten worden seien,

 einen ungenügenden Schutz der personenbezogenen Daten der Nutzer von F. (Art. 24, 32 DSGVO),

 eine unvollständige Auskunftserteilung nach Art. 15 DSGVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Klägers durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 33, 34 DSGVO),

sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DSGVO umfasst. Es kann daher auch offenbleiben – wenngleich hierfür sehr viel spricht (vgl. nur LG Hamburg, Urt. v. 03.01.2023 – 322 O 112/22) –, ob sich der Kläger im Rahmen der Geltung der DSGVO ein anspruchsausschließendes Mitverschulden gemäß § 254 Abs. 2 BGB analog entgegenhalten lassen muss.

1.1

Der Anwendungsbereich der DSGVO ist eröffnet.

1.1.1

Der räumliche Anwendungsbereich der DSGVO ist eröffnet. Er umfasst gemäß Art. 3 Abs. 1 DSGVO die Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Die Beklagte als Verantwortliche hat ihren Sitz in Irland. Irland ist Mitglied der europäischen Union.

1.1.2

Der sachliche Anwendungsbereich des Art. 82 DSGVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gemäß Art. 15 DSGVO und Art. 34 DSGVO nicht eröffnet.

Art. 82 Abs. 1 DSGVO legt fest, dass jeder Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragverarbeiter hat. Art. 82 Abs. 2 DSGVO regelt den anspruchsbegründenden Sachverhalt. Gemäß Art. 82 Abs. 2 Satz 1 DSGVO haftet danach jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Gemäß Art. 2 DSGVO umfasst der sachliche Anwendungsbereich die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO. Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Die in jedem Fall veröffentlichten Informationen des Klägers umfassen den Namen, die Nutzer-ID sowie das Geschlecht, ohne die die Nutzung der Plattform Facebook nicht möglich ist, worauf direkt bei der Anmeldung hingewiesen wird. Damit ist es möglich, den Kläger zu identifizieren. Es handelt sich mithin um personenbezogene Daten. Die übrigen Daten wie Telefonnummer und E-Mail-Adresse sind ebenfalls personenbezogen, aber nicht in jedem Fall öffentlich.

Gemäß Art. 4 Nr. 2 DSGVO ist Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, durch den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte ist hingegen nicht erfasst (AG Strausberg, Urteil vom 13. Oktober 2022 - 25 C 95/21, BeckRS 2022, 27811, Rn. 17). Der Schutzbereich des Art. 82 DSGVO umfasst ebenso wenig Verstöße gegen Art. 34 DSGVO (OLG Stuttgart, Urteil vom 31. März 2021, 9 U 34/21, juris Rn. 61; LG Bonn, Urteil vom 1. Juli 2021, 15 O 372/20, juris Rn. 41). Schließlich lässt sich auch von vornherein aus Artt. 24 und 25 DSGVO kein subjektives Recht herleiten.Daher kann auch offenbleiben, ob Verstöße etwa gegen Art. 13, 14 und 34 DSGVO durch die Beklagte erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DSGVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben.

1.2

Unabhängig von den vorstehenden Ausführungen unter 1.1 fehlt es aber ohnehin an entsprechenden Pflichtverstößen der Beklagten gegen Normen der DSGVO, wenn man den Anwendungsbereich für eröffnet erachten sollte.

1.2.1

Es ist kein Verstoß gegen Art. 5 Abs. 1 DSGVO gegeben, weil es auch bei Informationspflichten der Rücksichtname auf den Grundsatz des Art. 5 Abs. 1 DSGVO bedarf. Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“), Art. 5 Abs. 1 lit. a) DSGVO. Dieser Grundsatz der Transparenz überträgt sich dann in die Informations- und Aufklärungspflicht nach Art. 13 DSGVO. Die Aufklärung über die Zwecke der Verarbeitung muss insbesondere für den Nutzer klar verständlich und nachvollziehbar sein. Dies ist vorliegend der Fall. Der Kläger selbst hat Screenshots zu den Abläufen und jeweiligen Unterseiten zur Akte gereicht. Diese Screenshots bilden die tatsächlichen Inhalte der Facebook-Seite ab. Diese Inhalte der Website enthalten alle relevanten Informationen zu Art und Umfang der Verarbeitung und Hinweise zu Möglichkeiten der Begrenzung. Es mag sich zwar um mehrschichtige Informationen handeln, was aber die Übersichtlichkeit und Transparenz nicht ausschließt. Auch Allgemeine Geschäftsbedingungen in Papierform können durchaus umfangreich sein. Maßgeblich ist einzig, dass sie verständlich sind, was vorliegend nach Auffassung des Gerichts der Fall ist. Es überzeugt das Gericht insbesondere nicht, dass die Vielzahl der Einstellungsmöglichkeiten dazu führen soll, dass ein Nutzer es im Zweifel bei den Voreinstellungen belasse. Die internetspezifischen Gepflogenheiten und gerade die DSGVO verlangen vielfältige Einstellungsmöglichkeiten, damit der jeweilige Nutzer die Einstellungen entsprechend seiner spezifischen Bedürfnisse individuell vornehmen kann.

Das Gericht hat bei seiner Entscheidung auch berücksichtigt, dass die Nutzung der Plattform als solche freiwillig ist. Die Preisgabe der Mobilfunknummer ist für die Nutzung der Plattform nicht erforderlich. Vielmehr handelt es sich um ein Zusatzangebot der Beklagten, dass der jeweilige Nutzer - so auch der Kläger - auf weitere Funktionen und Informationen nutzen kann, wenn er diese nach Eingabe entsprechender Angaben nutzen will. Dies umfasst die Möglichkeit „interessante Menschen und Themen auf unseren Plattformen vorzustellen, beispielsweise über die Funktion Personen, die du kennen könntest“. Im Übrigen wird ausgeführt, dass man als Nutzer festlegen kann „wer deine Telefonnummer sehen kann und wer auf Facebook nach dir suchen kann“. Es wird unter anderem darauf hingewiesen, dass auch in der Messenger-App eine Suche über die Telefonnummer möglich ist. Abgestellt auf den objektiven Empfängerhorizont gemäß §§ 133, 157 BGB ist es sicherlich mit einem gewissen Aufwand, einer gewissen Geduld und gewissem zeitlichem Aufwand verbunden, sich durch die Seiten und Hinweise zu klicken und sie sorgfältig zu lesen. Die Hinweise sind bei genauem Lesen aber verständlich. Auch schriftlich abgefasste Allgemeine Geschäftsbedingungen können umfangreich sein. Der Umfang von Allgemeinen Geschäftsbedingungen mag auch mit dem zu Grunde liegenden Rechtsverhältnis zu tun haben. Im Rahmen der internetspezifischen Gepflogenheiten und damit einhergehenden datenschutzrechtlichen Fragestellungen führen deren Umfang dann auch zu entsprechend umfangreichen Hilfethemen und Einstellungshinweisen. Die Reichweite des Schutzes der DSGVO ist dabei aber im Lichte der jeweiligen konkreten Nutzung (beispielsweise des Internets) zu sehen. Vorliegend ist zu berücksichtigen, dass es sich um ein soziales Netzwerk handelt, das auf Kommunikation, Finden von Personen und Teilen von Informationen angelegt ist. In diesem Lichte sind dann die von der Beklagten gewählten Voreinstellungen nicht zu beanstanden, da der jeweilige Nutzer umfassend und verständlich über Änderungsmöglichkeiten informiert wird.

1.2.2

Es ist kein Verstoß der Beklagten gegen ihre Pflicht, die personenbezogenen Daten der Nutzer, inklusive der des Klägers, ausreichend gemäß Art. 32 DSGVO zu schützen, festzustellen.

Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung, und zwar durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Art. 32 DSGVO verlangt Verarbeitungsprozessen ab, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u.a. davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten.

Dies zu Grunde gelegt, hat die Beklagte gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, nicht verstoßen. Insbesondere war die Beklagte nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils des Klägers aufgrund seiner selbst gewählten Einstellung zu verhindern. Diese lautete, dass ihn alle („everyone“) über seine Telefonnummer („by phone number“) finden können. Diese Einstellung beinhaltet dann aber auch das Finden des Klägers durch Dritte über seine Mobilfunknummer, die Dritte etwaig auch unter Zuhilfenahme elektronischer Möglichkeiten zufällig erzeugt haben und so einen Abgleich von in den Kontaktimporter der Plattform von Facebook hochgeladenen und etwaig generierten Telefonnummern mit der mit dem dort eingerichteten Konto des Klägers verknüpften Telefonnummer vornehmen. Denn auch Dritte fallen unter den Begriff "everyone". Unstreitig sind die Daten des Klägers von Dritten gescrapt, mithin verarbeitet worden i.S.d. Art. 4 Nr. 2 DSGVO. Allerdings war die Beklagte nicht verpflichtet, diese Daten vor der Verarbeitung durch die Scraper zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des Klägers, nämlich seinen Namen, sein Geschlecht und seinen Benutzernamen, um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnliches abrufbar sind, was dem Kläger bereits durch die Anmeldung bekannt war. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig. Diese Verarbeitung in Form des Scrapens erfolgt auch durch Dritte und nicht durch die Beklagte.

Dass nicht öffentlich zugängliche Informationen von Dritten erhoben worden sind, kann nicht festgestellt werden. Der von den Scrapern unter Nutzung des Kontakt-Importers der Plattform F. hergestellte Abgleich zwischen der von ihnen hochgeladenen Telefonnummer des Klägers mit seinem Konto stellt zwar eine Verarbeitung i.S.d. DSGVO dar. Jedoch war die Beklagte nicht verpflichtet, das Konto des Klägers vor dessen Auffinden über die Telefonnummer zu schützen, da der von den Scrapern hergestellte Abgleich als solcher nicht unbefugt bzw. unrechtmäßig war. Auch wenn die Beklagte aufgrund der Fülle an personenbezogener Daten dafür sorgen muss, dass gerade sensiblere Daten wie Email-Adressen oder Telefonnummern nicht einfach und schnell zu erlangen sind, tut sie dies bereits dadurch, dass die Freigabe der Telefonnummer lediglich eine Komfortfunktion für den Fall ist, dass ein User besser gefunden werden will. Bei Inanspruchnahme dieser Funktion wird über Hinweise und Hilfestellungen auf die jeweiligen Schutzmöglichkeiten aufmerksam gemacht.

Aus der DSGVO leitet sich auch kein Anspruch auf bestimmte konkrete Sicherungsmaßnahmen ab, sondern die Beklagte muss allenfalls für ein hinreichendes Schutzniveau sorgen, was vorliegend geschehen ist.

1.2.3.

Es ist kein Verstoß der Beklagten gegen das in Art. 24, 25 Abs. 2 DSGVO verankerte Prinzip „Privacy by default“ gegeben.Demnach muss der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Dies soll vor allem den technisch unversierten Nutzer schützen. Die Voreinstellungen sollen möglichst datenschutzfreundlich eingestellt werden, um die Privatsphäre der Nutzer zu gewährleisten. Der Nutzer kann dann noch individuell Anpassungen nach seinen Wünschen vornehmen. Unstreitig sind für die Registrierung nur der Name, das Geschlecht und die ID sichtbar, die auch stets öffentlich sichtbar sind, wozu jeder User aber durch Akzeptieren der Datenschutzbestimmungen zustimmt. Soweit jemand sich dann noch entschließt seine Telefonnummer zu hinterlegen, was für die Registrierung bei Facebook nicht erforderlich ist, sondern es lediglich einfacher machen soll, gefunden zu werden, ist diese Einstellung zwar zunächst auf „everyone“ „by phone number“ gestellt. Ändert man diese Einstellung nicht, so kann der jeweilige Nutzer über seine E-Mail-Adresse und Mobilnummer gefunden werden und ihm eine Freundschaftsanfrage geschickt werden. Der technisch unkundige Nutzer wird gleichwohl über die entsprechenden Hinweise hinreichend informiert und über Einstellungsmöglichkeiten und deren Begrenzungsmöglichkeiten in Kenntnis gesetzt. Zudem muss sich jeder Internetnutzer, der insbesondere eine Plattform eines sozialen Netzwerkes wie das der Beklagten nutzt, bewusst sein, dass es Internetgepflogenheiten gibt, mit denen man sich vertraut zu machen hat, will man solche Kommunikationsplattformen gebrauchen. Der Schutz des Art. 25 DSGVO reicht nicht so weit, dass er den jeweiligen Nutzer vor den internetspezifischen Gepflogenheiten vollends schützt; vielmehr muss sich der jeweilige Nutzer, der einer Plattform eines sozialen Netzwerks beitreten will, mit den geltenden Gepflogenheiten vertraut sein. Bei einer Plattform, die auf Kontaktsuche und das Finden von Kontakten ausgerichtet ist und auf der die Beklagte angibt, dass das nicht zwingend erforderliche Hinterlegen der Telefonnummer es ermöglicht, leichter gefunden zu werden und die Zwecke der Plattform besser zu nutzen, muss der jeweilige Nutzer eigenverantwortlich entscheiden, in welchem Umfang er diese Möglichkeiten nutzt und entsprechende Daten freigibt.

Auch hat die Beklagte in der Klageerwiderung im Rahmen einer sekundären Darlegungslast substantiiert dargelegt, dass sie entgegen der pauschalen Behauptung des Klägers technische Maßnahmen ergriffen hat, um Scraping zu erschweren, indem sie nämlich eine Hürde implementiert hat, wonach Abfragen in gewissem Umfang von ein- und derselben IP-Adresse in einem bestimmten Zeitraum nicht möglich sind bzw. gestoppt werden, ebenso wie sie auch unter Verweis auf diverse Artikel, deren Link sie ebenfalls bekannt gegeben hat, die User informiert hat und schließlich über ein Team verfügt, das sich einzig mit der Verhinderung von Missbrauch von Daten ihrer User beschäftigt. Angesichts dieser konkreten Ausführungen wäre von dem Kläger zu erwarten gewesen, dass er im Lichte dieses Vortrags weiter ausführt, warum er trotzdem von einem Verstoß gegen Art. 25 DSGVO ausgeht. Der bloße Verweis auf den Scrapingvorfall 2019 allein genügt angesichts des Umstandes, dass Unbekannte im Internet stets bestrebt sind, Sicherheitsvorkehrungen von Dritten zu überwinden, nicht. Einen Anspruch auf konkrete Sicherheitsmaßnahmen hat er hingegen nicht. Insoweit kommt es dann nicht darauf an, ob konkrete Einzelmaßnahmen im Sinne der Wunschvorstellungen einer Partei ergriffen wurden, sondern darauf, ob die gesamten Schutzmaßnahmen ein angemessenes Schutzniveau aufweisen, welches ex-ante zu bestimmen ist (Kühling/Buchner/Jandt, 3. Aufl. 2020, DS-GVO Art. 32 Rn. 5 und Rn. 8; Gola/Heckmann/Nolte/Werkmeister, 3. Aufl. 2022, DS-GVO Art. 25 Rn. 2). Angesichts der im Rahmen der sekundären Darlegungslast aufgezeigten vielfältigen Schutzmaßnahmen genügt der pauschale Verweis auf den Scrapingvorfall als solchen und die Benennung einzelner Maßnahmen, etwa eine Captcha-Abfrage, nicht. Auch wenn man die Darlegungslast im Lichte der Rechtsprechung des EuGHs anders sehen sollte, so wäre die Beklagte dieser nachgekommen, und der Kläger hätte dies nicht erheblich bestritten. Einer Beweisaufnahme bedurfte es deshalb nicht.

1.2.4

Die Beklagte hat ihre Pflicht gemäß Art. 33 DSGVO, der zuständigen Aufsichtsbehörde den Datenschutzverstoß zu melden, nicht verletzt.

Gemäß Art. 33 DSGVO meldet der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Meldung gegenüber der Aufsichtsbehörde ermöglicht es dieser über Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung zu entscheiden. Der zuständigen Aufsichtsbehörde, der Irish Data Protection Commission wurde kein solcher Vorfall gemeldet. Da der Beklagten aber kein Datenschutzverstoß anzulasten ist (s. vorstehend), musste sie diesen auch nicht melden.

1.2.5

Es ist kein Verstoß gegen Art. 35 DSGVO gegeben mit der Behauptung, die Beklagte habe keine Datenschutz-Folgeabschätzung im Sinne dieser Vorschrift durchgeführt.

Selbst wenn die irische Datenschutzaufsichtsbehörde Ermittlungen gegen die Beklagte aufgenommen haben sollte, kann hieraus nicht geschlossen werden, dass die Beklagte im maßgeblichen Zeitraum gegen Art. 35 DSGVO verstoßen hat. Selbst wenn man annähme, dass die Beklagte in diesem Zeitraum eine Folgenabschätzung trotz hohen Risikos für die Rechte und Freiheiten der Nutzer der Plattform Facebook nicht durchgeführt hat, ist nicht ersichtlich, dass die unterlassene Folgeneinschätzung (mit-)ursächlich für den vom Kläger geltend gemachten Schaden war, nämlich den Verlust über die Kontrolle seiner gescrapten Daten. Hiergegen spricht bereits, dass es sich bei den gescrapten Daten um immer öffentlich zugängliche Informationen des Profils des Klägers auf der Plattform Facebook handelt.

1.2.6

Die Beklagte hat auch nicht gegen Art. 15 DSGVO verstoßen, indem sie dem Kläger keine bzw. unvollständige Auskünfte erteilt hat. Der Anspruch auf Auskunftserteilung ergibt sich aus Art. 15 Abs. 1 lit a) und lit. c) DSGVO. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und über die Verarbeitungszwecke (lit. a)) sowie über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen (lit. c)). Da das Schreiben der Beklagten Nutzer ID, Vorname, Nachname, Land und Geschlecht enthält, ist der Anspruch insoweit nach § 362 Abs. 1 BGB erfüllt und erloschen. Nicht beantwortet wird durch die Beklagte in dem außergerichtlichen Schreiben, welchen Empfängern die Daten des Klägers durch Ausnutzung des Kontakt-Import Tools im Sinne des Art. 15 Abs. 1 lit. c) DSGVO zugänglich gemacht wurden. Das Scraping ist allerdings von außen erfolgt und es nicht erkennbar, wer diese Daten gescrapt hat. Die begehrte Auskunftserteilung ist aufgrund des Vorganges des Scrapings unmöglich. Ebenso ist im Rechtssinne unmöglich (und es wird auch nicht näher dargelegt, wie die Beklagte dies mitteilen können soll), zu informieren, wann die Daten gescrapt wurden. Der Kläger geht selbst von 2019 aus bzw. von der Veröffentlichung dann im April 2021. Dieser Zeitrahmen ist dem Kläger bekannt; eine genaue Eingrenzung in Bezug auf seine Daten ist nicht möglich. Die Beklagte hat dem Kläger im Ergebnis also alle Informationen mitgeteilt, die ihr im Zuge des Scraping-Vorfalls zur Verfügung standen. Weitere Angaben kann sie nicht machen. Sie ist folglich hierzu auch nicht verpflichtet.

1.3

Unabhängig von den vorstehenden Ausführungen fehlt es (auch) an einem ersatzfähigen Schaden des Klägers im Sinne des Art. 82 Abs. 1 DSGVO.

Für den immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO (BeckOK DatenschutzR/Quaas, 42. Ed. 1.8.2022, DS-GVO Art. 82 Rn. 31). Für die Bemessung können die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, beispielsweise die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren (BeckOK DatenschutzR/Quaas, 42. Ed. 1.8.2022, DS-GVO Art. 82 Rn. 31). Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt (LG Landshut, Urteil vom 6. November 2020 – 51 O 513/20, ZD 2021, 161). Nach den Erwägungsgründen der Europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund Nr. 146, auch wenn er in der DSGVO nicht näher definiert wird). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insbesondere durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen Nr. 75 kann ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verluste der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten.

Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar (LG Köln, Urteil vom 18. Mai 2022 - 28 O 328/21, BeckRS 2022, 11236). Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DSGVO erzielen (LG München I, Urteil vom 9. Dezember 2021 – 31 O 16606/20, ZD 2022, 242). Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (LG Hamburg, Urteil vom 4. September 2020 – 324 S 9/19, ZD 2021, 99). Verletzung und Schaden sind nicht gleichzusetzen. Einerseits ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich, andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Dem Betroffenen muss vielmehr ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (LG Landshut, Urteil vom 6. November 2020 – 51 O 513/20, ZD 2021, 161). Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund Nr. 146 Satz 6), d.h. „spürbar“, objektiv nachvollziehbar und von gewissem Gewicht sein (AG Diez, Urteil vom 7. November 2018 – 8 C 130/18, ZD 2019, 85), um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen.

Unter Anwendung dieser Maßstäbe hat der Kläger schon keine spürbare Beeinträchtigung von persönlichen Belangen, die durch Datenverlust hervorgerufen worden ist, dargelegt. Der Kläger trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 sei es zu einem Anstieg von SMS und Mails gekommen. Dies genügt nicht, um einen Schaden im Sinne der DSGVO zu bejahen. Der Kläger spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-Mails und Nachrichten. Unerwünschte E-Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen Facebook-Account haben und dort ihre Telefonnummer hinterlegt haben.

Hierbei hat das Gericht auch berücksichtigt, dass die Möglichkeit besteht, eine Telefonnummer zu wechseln. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich (so auch: LG Karlsruhe, Urteil vom 9. Februar 2021, 4 O 67/20, ZD 2022, 55). Bei anderer Sichtweise genügte der konkrete Nachweis einer möglichen Betroffenheit, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich, was letztlich auch dem Erwägungsgrund Nr. 75 widerspräche (vgl hierzu näher LG Essen, Urt. v. 10.11.2022 – 6 O 111/22 – juris Rn. 112).

1.4

100

Es fehlt jedenfalls auch an einer Kausalität etwaiger – hier nicht festzustellender – Verstöße der Beklagten gegen die DSGVO für einen – hier nicht festzustellenden – Schaden. Soweit der Kläger behauptet, er erhalte unerwünschte SMS und E-Mails, so handelt es sich um eine Erscheinung, die bereits mit der Nutzung des Internets als solcher zusammenhängt. Dem Gericht ist aus eigener Anschauung bekannt, dass auch Personen ohne Facebook-Account unerwünschte Anrufe oder Nachrichten erhalten. Selbst wenn beim Kläger tatsächlich derartige Anrufe seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kläger an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu dem vom Kläger behaupteten vermehrten unerwünschten Nachrichtenaufkommen geführt hat.

101

1.5

102

Mangels Anspruch dem Grunde nach sind auch vertiefte Ausführungen zur Höhe des geltend gemachten Schadensersatzanspruchs entbehrlich. Zuzugestehen mag dem Kläger wegen des präventiven und sanktionellen Charakters des Schmerzensgeldanspruchs aus der DSGVO sein, dass ein Schmerzensgeld in Höhe von 1.000,- € bei einem Verstoß nicht fernliegend wäre. Dies deckt sich auch mit dem europarechtlich weit gefassten Schadenbegriff, der nur bei einer entsprechenden Weite seiner intendierten Abschreckungswirkung gerecht werden kann. Es ist jedoch anzumerken, dass sich der Kammer mangels entsprechender Ausführungen schon nicht erschließt, warum außergerichtlich ein Schmerzensgeld in Höhe von 500,- € begehrt wurde und nunmehr bei gleichbleibender Argumentation im gerichtlichen Verfahren 1.000,- € begehrt werden (vgl. hierzu auch LG Essen, a.a.O. - Rn. 122, juris).

103

104

Der Kläger kann den von ihm geltend gemachten Anspruch auch nicht auf nationale Vorschriften stützen.

105

2.1

106

Es kann vorliegend dahinstehen, ob die DSGVO als unmittelbar geltendes europäisches Recht nationales Recht verdrängt oder ein Nebeneinander anzunehmen ist, da ein solcher Anspruch auch bei Annahme eines „Nebeneinander“ nicht besteht.

107

2.2

108

Ein Anspruch des Klägers gegen die Beklagte folgt nicht aus §§ 280 Abs. 1, Abs. 3, 281, 327, 327e, 327i BGB.

109

Es kann dabei offenbleiben, ob die Parteien gemäß § 327 Abs. 1 BGB einen Verbrauchervertrag im Sinne dieser Vorschrift abgeschlossen haben. Die vom Kläger behaupteten Verstöße fanden 2019 und 2021 statt, die Normen des §§ 327 ff. BGB sind aber erst zum 1. Januar 2022 in Kraft traten. Selbst wenn man gemäß Art. 229 § 57 Abs. 2 EGBGB die Norm des § 327e BGB auch auf vor dem 1. Januar 2022 abgeschlossene Verbraucherverträge anwenden will, weil es sich um ein Dauerschuldverhältnis handelt, so müsste jedenfalls ein Verstoß im Geltungszeitraum des § 327 BGB liegen, mithin nach dem 1. Januar 2022. Dies ist zu verneinen, da sowohl das Scrapen von Daten 2019 als auch deren Veröffentlichung durch Dritte im April 2021 vor dem Inkrafttreten der §§ 327 ff. BGB lagen.

110

2.3

111

Der Kläger hat gegen die Beklagte auch keinen Anspruch auf Schadensersatz gemäß § 280 Abs. 1 BGB i.V.m. Nutzungsvertrag.

112

2.3.1

113

Durch Registrierung des Klägers auf der Facebook-Seite schlossen die Parteien einen Nutzungsvertrag. Die Beklagte stellt die Social-Media-Plattform zur Verfügung, welche der Kläger nutzt. Ein solcher Vertrag ist ein nicht normierter Vertrag sui generis (OLG München, Urteil vom 8. Dezember 2020 - 18 U 5493/19 Pre, GRUR 2021, 1099).

114

2.3.2

115

Es kann dahinstehen, ob die Beklagte eine Pflicht aus diesem Nutzungsvertrag verletzt hat, indem sie gegen Normen der DSGVO verstoßen haben soll, die durch Zustimmung zur Geltung der Nutzungsbedingungen und der Datenschutzrichtlinie, die auf die DSGVO Bezug nimmt, Teil des Vertrages geworden sind.Denn selbst wenn man dies bejahen sollte, so fehlt es an einem Schaden gemäß §§ 249 ff. BGB. Das nationale Schadensrecht verlangt gerade eine spürbare Beeinträchtigung (s. Herberger/Martinek/Rüßmann/Weth/Würdinger, jurisPK-BGB, 9. Aufl. 2020, § 249 BGB (Stand: 8. September 2021), Rn. 26 ff.). Eine solche ist entsprechend der vorstehenden Ausführungen nicht gegeben.

116

2.4

117

Deliktische Schadensersatzansprüche wegen einer möglichen Verletzung des allgemeinen Persönlichkeitsrechts (§§ 823 Abs. 1, 253 Abs. 2 BGB i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG) erfordern den Eintritt eines immateriellen Schadens, den der Kläger nicht schlüssig dargelegt hat. Zur Vermeidung von Wiederholungen wird auf die vorstehenden Ausführungen verwiesen.

118

2.5

119

Ein Schadensersatzanspruch wegen Verstoß gegen § 823 Abs. 2 BGB i. V. m. dem Recht auf informationelle Selbstbestimmung besteht nicht, da der Kläger keinen Schaden erlitten hat. Zur Vermeidung von Wiederholungen wird auf die vorstehenden Ausführungen verwiesen.

120

2.6

121

Es besteht auch kein Schadenersatzanspruch des Klägers gegen die Beklage aus §§ 1004 analog, 823 Abs. 2 BGB i. V. m. Art. 13, 14 DSGVO wegen der behaupteten rechtswidrigen Verarbeitung der personenbezogenen Daten des Klägers durch Datenverarbeitung ohne Erfüllung der Informationspflichten der DSGVO. Selbst wenn die DSGVO ein Schutzgesetz im Sinne des § 823 Abs. 2 BGB wäre, so fehlt es an einem schlüssig dargelegten, kausalen Schaden ist. Es muss daher auch nicht die Frage beantwortet werden, ob überhaupt ein Verstoß gegen Art. 13, 14 DSGVO wegen fehlender Information über die (weitere) Nutzung der mitgeteilten Mobilfunknummer vorliegt – dies ist nach Auffassung des Gerichts nicht der Fall.

122

II.

123

Die Klage auf Feststellung einer Ersatzpflicht künftiger materieller und immaterieller Schäden ist mangels Vorliegen eines Schadens unbegründet.

124

III.

125

Dem Kläger steht gegen die Beklagte auch kein Anspruch auf Unterlassung zu, seine personenbezogenen Daten in Zukunft unbefugt, d.h. konkret ohne vorherige ausreichende Belehrung, zu veröffentlichen und diese zukünftig unbefugten Dritten zugänglich zu machen nach §§ 1004 analog, 823 Abs. 1 und aus Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO sowie Art. 17 DSGVO. Es fehlt bereits an einem Verstoß der Beklagten, der überhaupt zu einem Unterlassungsanspruch führen könnte, selbst wenn man Art. 6 DSGVO als Schutzgesetz im Sinne des § 823 Abs. 2 BGB ansieht.

126

Eine Rechtsnorm ist ein Schutzgesetz i.S.d § 823 Abs. 2 BGB, wenn sie zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen. Dafür kommt es nicht auf die Wirkung, sondern auf Inhalt und Zweck des Gesetzes sowie darauf an, ob der Gesetzgeber bei Erlass des Gesetzes gerade einen Rechtsschutz, wie er wegen der behaupteten Verletzung in Anspruch genommen wird, zu Gunsten von Einzelpersonen oder bestimmten Personenkreisen gewollt oder doch mitgewollt hat (BGH, Urteil vom 25. Mai 2020 - VI ZR 252/19, NJW 2020, 1962). Art. 6 Abs. 1 DSGVO dient dem Schutz der Verarbeitung personenbezogener Daten. Der Zweck des Art. 6 Abs. 1 DSGVO liegt darin, rechtswidrige Verarbeitungen personenbezogener Daten zu deklarieren und zu verhindern. Insoweit ist Art. 6 Abs. 1 DSGVO Schutzgesetz i.S.d. § 823 Abs. 2 BGB (vgl. LG, Essen, a.a.O, Rn. 144 juris; LG Ellwangen, a.a.O. Rn. 128, juris m.w.N.).

127

Vorliegend fehlt es aber an einem Verstoß. Die Beklagte hat den Kläger ausreichend aufgeklärt i.S.v. Art. 13 Abs. 1 DSGVO, insbesondere über die Zwecke der Verarbeitung sowie deren Rechtsgrundlage und die etwaigen Empfänger oder Kategorien von Empfängern der personenbezogenen Daten. Der Kläger hat zudem mit der Zustimmung zu den Nutzungsbedingungen und der Datenrichtlinie die Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gemäß Art. 6 Abs. 1 Satz 1 lit. a) DSGVO gegeben. Insbesondere wurden sowohl die Datenrichtlinie als auch die Nutzungsbedingungen in einfach verständlicher Sprache abgefasst und sind einfach zugänglich, wenn auch mehrschichtig. Die Website der Beklagten weist denNutzer sogar mehrfach darauf hin, dass er einen Privatsphärecheck machen kann. Insoweit entspricht das Ersuchen der Einwilligung auch den Voraussetzungen des Art. 7 Abs. 2 DSGVO. Bei der Auslegung nach dem objektiven Empfängerhorizont gemäß §§ 133, 157 BGB sind die mehrschichtigen Hinweise bei entsprechender Sorgfalt und Inanspruchnahme von Zeit nachvollziehbar.

128

IV.

129

Der Kläger hat gegen die Beklagte auch kein Auskunftsanspruch gemäß Art. 15 DSGVO. Wie bereits oben ausgeführt, ist der Auskunftsanspruch des Klägers durch das außergerichtliche Schreiben der Beklagten teilweise i.S.d. § 362 Abs. 1 BGB erloschen, soweit er die eigene Verarbeitung von Daten des Klägers betrifft. Die Beklagte ist auch lediglich gehalten, diese von ihr selbst verarbeiteten Daten mitzuteilen. Soweit durch das Scrapen öffentlich einsehbare Daten von Dritten etwaig verarbeitet wurden, ist jedenfalls nicht die Beklagte auskunftspflichtig.

130

131

Mangels Anspruchs in der Hauptsache, stehen dem Kläger gegen die Beklagte auch keine Nebenforderungen zu.

132

133

Die Kostenentscheidung folgt aus § 91 Abs. 1 Satz 1 ZPO.

134

Die Entscheidung über die vorläufige Vollstreckbarkeit richtet sich nach §§ 708 Nr. 11, 711 ZPO.

135

136

Der Streitwert wird auf 5.500 € festgesetzt.

137

Der Streitwert war auf 5.500,00 € (= 1.000,00 € + 500,00 € + 3.500,00 € + 500,00 €) festzusetzen. Hinsichtlich des Klageantrags Ziffer 1. war der dort begehrte Zahlbetrag in Ansatz zu bringen, mithin ein Betrag in Höhe von 1.000,00 €. Hinsichtlich des Feststellungsantrags Ziffer 2. ist nach Auffassung des Gerichts ein Abschlag in Höhe von 50 % von dem mit Klageantrag Ziffer 1. begehrten Zahlbetrag vorzunehmen. Dabei war auch zu berücksichtigen, dass die befürchteten Gefahren bislang nicht eingetreten sind, obwohl bereits ein erheblicher Zeitraum vergangen ist und diese Gefahr wegen des zunehmenden Veraltens der Daten für die Zukunft immer geringer wird.

138

Das Gericht schätzt das mit dem Unterlassungsantrag (Klageantrag Ziffer 3.) verbundene Interesse auf 3.500,00 €. Der Streitwert bei nicht vermögensrechtlichen Streitigkeiten ist letztlich anhand aller Umstände des Einzelfalls, insbesondere der Bedeutung der Sache, zu bemessen. Für die Beklagte ist die Bedeutung der Sache auf Grund der Vielzahl der vom Scraping betroffenen Personen zwar insgesamt nicht unerheblich. Der hier zu entscheidende Einzelfall hat für sie indes keine große Bedeutung. Auch der Beklagte hat – wie ausgeführt – keine erhebliche Bedeutung dieses Rechtsstreits bzw. des Antrags zu 3) für ihn dargelegt. Hinzu kommt, dass er es ohne weiteres in der Hand hat, seinen Facebook-Account, auf den er schließlich nicht angewiesen ist, schlicht zu löschen, wenn die von dort rührende Gefahr weiteren Datenverlusts für ihn eine erhebliche Belastung darstellte. Dies hat er jedoch nicht getan, was ebenfalls darauf hindeutet, dass die Gefahr zukünftigen ungewollten Datenverlusts für ihn keine besonders große Bedeutung hat.

139

Hinsichtlich des Klageantrags Ziffer 4. erscheint ein Streitwert von 500,00 € angemessen, da es noch um restliche Auskünfte geht.