1

G r ü n d e

2

I.

3

Der Kläger macht Ansprüche gegen die Beklagte, die einen weltweit bekannten Kurznachrichtendienst betrieb, wegen behaupteter Verletzungen der Datenschutzgrundverordnung geltend.

4

Der Kläger nutzte die von der Beklagten betriebene Plattform unter der hinterlegten E-Mail-Adresse F.@web.de. Vor der Nutzung des Dienstes der Beklagten muss sich der potentielle Nutzer auf der Website registrieren, und zwar entweder mittels seiner E-Mail-Adresse oder seiner Telefonnummer. Im Weiteren hat der Nutzer dann mindestens seinen Namen sowie sein Geburtsdatum anzugeben und den Allgemeinen Geschäftsbedingungen, der Datenschutzrichtlinie und der Nutzung von Cookies zuzustimmen. Sodann legt er für seinen Account einen Nutzernamen und einen Anzeige-namen fest. Der Nutzer kann über den Nutzernamen von anderen gefunden werden. Der Anzeigename ist hingegen eine persönliche Kennung im Rahmen des Accounts.

5

Anfang des Jahres 2022 erfuhr die Beklagte von einem API-Bug, wobei darüber ein direktes Auslesen von Telefonnummern o. ä. betreffend einen Account nicht möglich war. Hierüber informierte sie unter dem 08.01.2022 die für sie zuständige N. Datenschutzbehörde (Z.). Anhaltspunkte dafür, dass jemand durch Ausnutzung dieser Datensätze die W.-Benutzer-IDs erlangt hat, existierten zu diesem Zeitpunkt nicht.

6

Im Rahmen einer Pressemitteilung vom 00.00.2022 teilte die Beklagte auf eine Mitteilung im Internet, es seien 5,4 Millionen Accounts betreffende Datensätze verkauft worden, mit, dass aufgrund eines Vorfalls einige Konten und private Informationen auf W. betroffen seien, wobei es aufgrund einer Schwachstelle jemandem möglich gewesen sei, eine Telefonnummer oder E-Mail-Adresse in den Anmeldeablauf einzugeben und auf eine Verknüpfung mit bestehenden Nutzerkonten bei der Beklagten hin zu überprüfen, und zwar unabhängig von der diesbezüglichen Einstellung durch den Nutzer. Gleichlautende Mitteilungen übersandte die Beklagte an die Z. und informierte betroffene Nutzer im August 2022 persönlich.

7

Der Kläger erhielt keine Information durch die Beklagte, da eine interne Überprüfung durch die Beklagte ergab, der W.-Account des Klägers sei nicht von dem API-Bug im Jahr 2021 betroffen gewesen.

8

Der Kläger forderte die Beklagte mit Schreiben vom 10.03.2023 u.a. zur Auskunft über das seinem Vortrag nach ausgenutzte Datenleck binnen einer Frist von 10 Tagen auf. Mit Schreiben vom 25.04.2023 erwiderte die Beklagte, dass nach umfassenden Untersuchungen keine Anhaltspunkte dafür vorlägen, dass eine den Kläger betreffende Sicherheitslücke bei W. ausgenutzt und hierdurch die online verkauften Daten erlangt worden seien; er habe jedoch die Möglichkeit, auf seine Daten zuzugreifen und diese herunterzuladen.

9

Der Kläger hat behauptet, es habe bei der Beklagten etwa im Juni 2021 ein auch ihn selbst betreffendes Datenleck gegeben, infolge dessen unbekannte Dritte zahlreiche Daten abgegriffen und im Internet veröffentlicht hätten. Die Daten seien in einem bekannten Hacker-Forum zum Download angeboten worden, was einen völligen Kontrollverlust über seine Daten darstelle. Nach Bekanntwerden des Datenlecks sei er in einem Zustand des Unwohlseins und der Sorge über einen möglichen Missbrauch seiner Daten verblieben. Er sei in der Folge verstärkt misstrauisch gegenüber Online-Dienstleistungen und Anrufen unbekannter Nummern gewesen. Hätte die Beklagte ihn frühzeitig hierüber informiert, hätte er seine Nummer oder E-Mail-Adresse ändern können.

10

Er hat insbesondere die Ansicht vertreten, die Beklagte habe die Daten des Klägers ohne Rechtsgrundlage Dritten zugänglich gemacht und vor dem Hintergrund, dass es Dritten gelungen sei, die Telefonnummer bzw. die E-Mail-Adresse mit dem Account zu verknüpfen, keine ausreichende Sicherheit für die Verarbeitung der Daten gewährleistet.

11

Der Kläger hat beantragt,

12

1.

13

die Beklagte zu verurteilen, an ihn als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung seiner Handynummer bzw. Mailadresse sowie weiterer seiner personenbezogener Daten wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 3.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über den jeweiligen Basiszinssatz der EZB seit Ablauf der mit Anspruchsschreiben vom 10.03.2023 gesetzten Frist am 22.03.2023 zu zahlen,

14

2.

15

die Beklagte zu verurteilen, an ihn für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von Prozentpunkten über den jeweiligen Basiszinssatz der EZB zu zahlen,

16

3.

17

festzustellen, dass die Beklagte verpflichtet ist, ihm alle materiellen künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2021 erfolgte, entstanden sind und/oder noch entstehen werden,

18

4.

19

die Beklagte zu verurteilen, für jeden Fall der Zuwiderhandlung ein vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckende Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, namentlich Telefonnummer und Mailadresse sowie die W.-ID Dritten über eine API-Schnittstelle zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen,

20

5.

21

die Beklagte zu verurteilen, ihn von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 1.305,43 EUR nebst Zinsen in Höhe von 5 Prozentpunkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit freizustellen.

22

Die Beklagte hat beantragt,

23

die Klage abzuweisen.

24

Die Beklagte hat behauptet, der Account des Klägers und dessen Daten seien vom API-Bug im Jahr 2021 nicht betroffen.

25

Wegen eines ursprünglich geltend gemachten Auskunftsanspruchs haben die Parteien den Rechtsstreit in der Hauptsache vor dem Landgericht übereinstimmend für erledigt erklärt.

26

Das Landgericht hat die Klage abgewiesen. Zur Begründung hat es im Wesentlichen ausgeführt: Ein Anspruch auf immateriellen Schadensersatz bestehe nicht. Ein solcher ergebe sich insbesondere nicht aus Art. 82 DSGVO. Der Kläger habe schon nicht ausreichend dargelegt, überhaupt vom API-Bug-Vorfall betroffen gewesen zu sein. Jedenfalls habe der Kläger hierfür, obwohl beweislastet, keinen Beweis angeboten. Zudem habe der Kläger einen konkreten Schaden nicht ausreichend dargetan. Es fehle an einer messbaren Beeinträchtigung des Klägers. Zudem beruhe das geschilderte Unwohlsein nicht auf dem angeblichen Vorfall, sondern bereits auf der Nutzung des Internets als solcher. Auch im Hinblick auf einen möglichen Verstoß gegen Art. 15 DSGVO sei dem Kläger kein Schaden i.S.v. Art. 82 DSGVO entstanden. Es sei schon nicht ersichtlich, wie eine nach (den vagen) Angaben des Klägers zu erfolgende Auskunft der Beklagten den in Rede stehenden Schadenseintritt hätte verhindern sollen.

27

Hiergegen richtet sich die Berufung des Klägers, mit der er seine zuletzt vor dem Landgericht gestellten Anträge weiterverfolgt.

28

II.

29

Der Senat ist einstimmig davon überzeugt, dass die zulässige Berufung offensichtlich keine Aussicht auf Erfolg hat. Zu Recht hat das Landgericht die Klage abgewiesen.

30

Die Einwendungen des Klägers, bezüglich derer zur Vermeidung von Wiederholungen auf die eine Berufungsbegründung enthaltende Berufungsschrift vom 07.02.2024 (Bl.4 ff. der zweitinstanzlichen elektronischen Gerichtsakte, im Folgenden: eGA II) verwiesen wird, greifen nicht durch.

31

1.              Im Hinblick auf den zulässigen Klageantrag zu 1 ist ein auf mögliche Verstöße gegen die DSGVO zurückzuführender immaterieller Schaden nicht hinreichend dargelegt (vgl. zu den Anforderungen an die Darlegungslast Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 41 ff.).

32

Im vorliegenden Fall ist schon nicht von einem bloßen Kontrollverlust auszugehen, letztlich vermutet der Kläger lediglich einen solchen. Zwar hat er behauptet, seine Daten seien vom API-bug bei der Beklagten betroffen gewesen. Dies hat die Beklagte allerdings bestritten. Der Kläger hat sich daraufhin in seiner Replik vom 28.08.2023 (Bl. 225 der erstinstanzlichen elektronischen Gerichtsakte, im Folgenden: eGA I) hierzu mit Nichtwissen erklärt. Dies ist unzulässig. Eine Erklärung mit Nichtwissen nach § 138 Abs. 4 ZPO steht nur dem Gegner der beweisbelasteten Partei zu (BGH Urt. v. 4.4.2014 – V ZR 275/12, juris Rn. 12). Für das Vorliegen der tatsächlichen Voraussetzungen des Art. 82 Abs. 1 DSGVO ist der Anspruchsteller – hier also der Kläger – darlegungs- und beweisbelastet. Anders als die Berufung meint, ist von einer Beweislastumkehr nicht auszugehen (vgl. EuGH, Urt. v. 14.12.2023 – C-340/21, juris Rn. 84; v. 21.12.2023 – C-667/21, juris Rn. 99).

33

Unabhängig davon ist die Behauptung des Klägers auch deswegen unbeachtlich, weil er keinerlei Anhaltspunkte dafür vorträgt, warum er davon ausgeht, dass er vom API-Bug bei der Beklagten betroffen gewesen sein soll (vgl. BGH Urt. v. 30.01.2024 – VIa ZR 647/22, juris Rn. 9). Die Beklagte hat unstreitig betroffene Nutzer über den Vorfall informiert. Der Kläger gehörte nicht zu diesem Kreis. Dem Kläger hätte es daher oblegen darzulegen, warum er dennoch vermutet, vom Vorfall betroffen zu sein, ohne dass die Beklagte ihn informiert hätte.

34

Soweit der Kläger rügt, er sei vom Landgericht nicht persönlich angehört worden, greift diese Rüge nicht durch. Zwar hat der Kläger seine persönliche Anhörung mit der Klageschrift beantragt (S. 24, eGA I-25). § 137 Abs. 4 ZPO greift allerdings nur, wenn eine mündliche Verhandlung stattfindet, was vorliegend nicht der Fall war. Zudem ist dem Kläger – unabhängig von der Frage, ob er den Antrag auf persönliche Anhörung durch sein Einverständnis mit einer Entscheidung ohne mündliche Verhandlung im Schriftsatz vom 10.12.2023 (eGA I-294) konkludent zurückgenommen hat – eine Berufung auf eine Verletzung des rechtlichen Gehörs aus zweierlei Gesichtspunkten verwehrt. Zum einen hätte er in der Berufungsbegründung vortragen müssen, was er in seiner persönlichen Anhörung, hätte sie stattgefunden, vorgetragen hätte. Zum anderen kann sich auf Art. 103 Abs. 1 GG nur berufen, wer alles Mögliche und Zumutbare getan hat, um sich Gehör zu verschaffen. Dies ist nicht der Fall, wenn einer Entscheidung ohne mündliche Verhandlung zugestimmt wird (vgl. zum Fall des Gerichtsbescheids: BGH Beschl. v. 19.01.2022 – AnwZ (Brfg) 28/21, juris Rn. 22 mwN).

35

2.              Soweit der Kläger mit dem auch im Berufungsrechtszug weiterverfolgten Klageantrag zu 2 einen immateriellen Schadensersatzanspruch wegen der Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft geltend macht, fehlt es schon an klägerischen Berufungsangriffen.

36

Zweifel an der Richtigkeit des landgerichtlichen Urteils bestehen auch im Übrigen nicht. Unabhängig von der Frage, ob die Beklagte die geltend gemachte Auskunft nicht den gesetzlichen Anforderungen entsprechend erteilt hat, ist kein spezifisch auf der möglicherweise nicht rechtmäßig erteilten Auskunft beruhender Schaden erkennbar. Der Kläger, der bereits bei Geltendmachung des Auskunftsanspruchs am 10.03.2023 von einem Datenleck bei der Beklagten wusste, legt nicht dar, wie sich der Sachverhalt anders entwickelt hätte, wenn die Beklagte die Auskunft innerhalb der mit Schreiben vom 10.03.2023 gesetzten Frist von zehn Tagen erfüllt hätte. Die schlichte Behauptung, hierdurch sei eine Vertiefung des Schadens eingetreten, reicht dafür nicht aus.

37

3.               Im Hinblick auf den Klageantrag zu 3 fehlt es, soweit Ersatz materieller Schäden begehrt wird, bereits an der erforderlichen Darlegung der Wahrscheinlichkeit eines Schadenseintritts. Die entfernte Möglichkeit eines Schadenseintritts reicht im vorliegenden Fall deswegen nicht aus, weil anders als in dem Senatsurteil vom 15.08.2023 zu Grunde liegenden Fall von einer Verletzung das klägerischen Rechts an seinen persönlichen Daten nicht ausgegangen werden kann. Lediglich für den Fall, dass der Kläger behauptet, eine Rechtsgutsverletzung sei schon eingetreten, lässt die Rechtsprechung des Bundesgerichtshofs die praktische Möglichkeit von Zukunftsschäden ausreichen (BGH Urt. v. 16.01.2001 – VI ZR 381/99, juris Rn. 7). Hieran fehlt es. Zwar behauptet der Kläger, seine Daten seien vom Datenvorfall bei der Beklagten betroffen. Dies hat er allerdings ohne jeglichen Anhaltspunkt behauptet, weswegen – auch bereits im Rahmen der Zulässigkeit – sein Vortrag insoweit unbeachtlich ist.

38

Selbst wenn man abweichend hiervon die entfernte, aber nicht nur theoretische Möglichkeit eines Schadenseintritts ausreichen ließe (vgl. hierzu: Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 207 f.), ergäbe sich im Ergebnis nichts anderes. Im Hinblick auf die Sensibilisierung des Klägers für mögliche Phishing-Nachrichten ist nicht mit dem Eintritt eines Schadens zu rechnen.

39

Der Antrag ist auch im Hinblick auf immaterielle Zukunftsschäden unzulässig. Ein immaterieller Schaden, der schon jetzt nicht gegeben ist und mit Ablauf der Zeit immer unwahrscheinlicher wird, ist allenfalls theoretisch denkbar.

40

4.              Der Klageantrag zu 4, der darauf gerichtet ist, eine API-Schnittstelle ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen zu unterbinden, ist auch hier nicht zuletzt im Hinblick auf § 890 Abs. 2 ZPO und § 259 ZPO unzulässig (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 219-234). Nach Feststellung des Landgerichts ist die streitgegenständliche Funktion des monierten Tools unstreitig nicht mehr existent.

41

5.              Bezüglich des Klageantrags zu 6 ist die Klage unbegründet. Es fehlt auch hier im Hinblick auf § 86 Abs. 1 Satz 1 VVG an der Aktivlegitimation. Wie sich aus der Zahlungsmitteilung vom 05.05.2023 (Bl. VII Kostenheft Landgericht) ergibt, hat eine Rechtsschutzversicherung die Gerichtskosten eingezahlt. Hat eine Rechtsschutzversicherung die gerichtlichen Kosten gezahlt, so spricht eine tatsächliche Vermutung auch dafür, dass sie die vorgerichtlichen Kosten gezahlt hat, und daher ein möglicher Anspruch nach § 86 Abs. 1 Satz 1 VVG übergegangen ist.

42

6.              Soweit die Parteien den Rechtsstreit in der Hauptsache wegen des ursprünglich als Klageantrag zu 5 geltend gemachten Auskunftsanspruchs übereinstimmend für erledigt erklärt haben, hat das Landgericht die Kosten – jedenfalls im Ergebnis – zu Recht dem Kläger auferlegt.

43

Soweit der Kläger einen Auskunftsanspruch allgemein über seine von der Beklagten verarbeiteten Daten geltend gemacht hat, entsprach dies dem bisherigen Sach- und Streitstand (§ 91a Abs. 1 Satz 1 ZPO), da die Beklagte diesen Anspruch jedenfalls mit Schreiben vom 25.04.2023 (Anlage zur Klageerwiderung, eGA I-128) durch Zurverfügungstellung eines Links mit den klägerischen Daten erfüllt hat. Im Hinblick auf Art. 12 Abs. 3 Satz 2 und 3 DSGVO war dies auch rechtzeitig.

44

Soweit der Kläger darüber hinaus Auskunft darüber verlangt hat, welche Daten durch welche Empfänger zu welchem Zeitpunkt durch die Nutzung der API-Schnittstelle erlangt werden konnten, können die bisherigen Erfolgsaussichten dieses Teilantrags, dessen Wert mit nicht mehr als 250 EUR anzusetzen ist, offenbleiben. Selbst wenn man insoweit von überwiegenden Erfolgsaussichten aufseiten des Klägers ausginge, ist dennoch gerechtfertigt, ihm die Kosten des gesamten Rechtsstreits nach § 92 Abs. 2 Nr. 1 ZPO aufzuerlegen, da das Unterliegen der Beklagten nicht mehr als 10 % betrüge und keine höheren Kosten ausgelöst hätte (vgl. Zöller/Herget, ZPO, 35. Aufl., § 92 Rn. 10).

45

II.

46

1.              Es gibt jedenfalls im vorliegenden Fall keinen Vorlage- oder Aussetzungsgrund. Vielmehr ist geklärt, dass ein Verstoß gegen Bestimmungen der DSGVO, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen (EuGH Urt. v. 11.4.2024 – C-741/21, juris Rn. 43).

47

2.              Die Sache hat deshalb auch keine grundsätzliche Bedeutung. Ferner erfordern somit weder die Fortbildung des Rechts noch die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Senats. Die maßgebenden Fragen des vorliegenden Falls sind durch die Rechtsprechung des EuGH und des BGH hinreichend geklärt und im Übrigen solche des Einzelfalls.

48

3.              Von der Durchführung einer mündlichen Verhandlung verspricht sich der Senat angesichts dessen, dass es keiner Beweisaufnahme bedarf, keine neuen Erkenntnisse. Auch ansonsten erscheint eine mündliche Verhandlung nach einstimmigem Votum des Senats nicht geboten.

49

Der Senat beabsichtigt deshalb, die Berufung gemäß § 522 Abs. 2 Satz 1 ZPO durch einstimmigen Beschluss zurückzuweisen.

50

III.

51

Die Bemessung des Streitwerts, soweit sie von der landgerichtlichen Festsetzung abweicht, beruht auf Folgendem: Der Senat geht bezüglich der vom Kläger für die Klageanträge zu 1 und zu 2 angesetzten Mindestbeträge von einer offensichtlich übertriebenen Einschätzung aus (vgl. dazu BGH Beschl. v. 12.6.2012 – X ZR 104/09, MDR 2012, 875 Rn. 5; siehe auch BGH Beschl. v. 8.10.2012 – X ZR 110/11, GRUR 2012, 1288 Rn. 4) und beabsichtigt daher, den Streitwert gemäß § 3 ZPO für die Anträge zu 1 und zu 2 zusammen auf insgesamt 1.000,00 EUR festzusetzen (vgl. hierzu auch Senat Urt. v. 15.8.2023 - 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 272; Senat Beschl. v. 22.9.2023 – I-7 U 77/23, juris Rn. 17).

52

Die Berufung ist auf den Hinweis zurückgenommen worden.