DSGVO SCRAPING LEITENTSCHEIDUNGSVERFAHREN Hinzufügen
Sie können dem Inhalt selbst Schlagworten zuordnen. Geben Sie hierfür jeweils ein Schlagwort ein und drücken danach auf sichern, bevor Sie ggf. ein neues Schlagwort eingeben.
Beispiele: "Befangenheit", "Revision", "Ablehnung eines Richters"
Leitentscheidungsverfahren zu Ansprüchen aufgrund eines Scraping-Vorfalls bei Facebook
Zur Bestimmung eines Leitentscheidungsverfahrens gemäß § 552b ZPO in der Fassung des Gesetzes zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328).
Das Verfahren VI ZR 10/24 wird zum Leitentscheidungsverfahren bestimmt.
I.
Der Kläger macht Schadensersatz-, Feststellungs-, Unterlassungs- und Auskunftsansprüche wegen einer Verletzung der [X.] ([X.]) durch die [X.] geltend.
Die [X.], die ihren Sitz in [X.] hat, betreibt das [X.] Netzwerk [X.], bei welchem der Kläger ein Nutzerkonto unterhält. Der Kläger hatte auf dem Netzwerk persönliche Daten eingestellt. Hierzu gehörte die für die Registrierung erforderliche und für alle Nutzer stets öffentlich einsehbare Angabe seines Namens, Geschlechts sowie der ihm zugewiesenen Nutzer-ID.
Neben den immer einsehbaren Pflichtangaben können die Nutzer in ihrem Profil weitere Daten zu ihrer Person angeben und im von der [X.] vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern ("Freunde", [auch] "Freunde von Freunden", "öffentlich") auf diese Daten zugreifen können. Die [X.] stellt hierfür Privatsphäre-Einstellungen zur Verfügung, mit denen die Nutzer bestimmen können, inwieweit sie Informationen, die sie zur Verfügung stellen, öffentlich einsehbar machen möchten. Über Funktion und Bedeutung der Privatsphäre-Einstellungen informierte die [X.] ihre Nutzer im sog. Hilfebereich des Nutzerkontos. Der Kläger hatte in diesem Zusammenhang seine Arbeitsstätte öffentlich einsehbar angegeben, die Datenschutzeinstellung betreffend die Sichtbarkeit seiner Mobiltelefonnummer jedoch so gesetzt, dass diese nur für ihn sichtbar war. Bei den Suchbarkeitseinstellungen seines Profils, bei denen unter anderem festgelegt werden konnte, wer ihn anhand seiner Telefonnummer finden kann, hatte der Kläger es bei der Standardvoreinstellung "alle" belassen; diesen Kreis hätte er stattdessen auch auf "Freunde von Freunden" oder "Freunde" (ab Mai 2019 außerdem: "nur ich") begrenzen können.
War die [X.] - wie beim Kläger - im Hinblick auf die Telefonnummer auf "alle" gestellt, erlaubte es die von der [X.] implementierte sog. [X.] bis September 2019 jedem [X.]-Nutzer, das Profil eines anderen Nutzers mit Hilfe der von diesem hinterlegten Telefonnummer zu finden. Hierzu konnten Nutzer Kontakte von Mobilgeräten auf [X.] hochladen, um mit Hilfe der Telefonnummern die jeweiligen Nutzer zu finden. Dies war auch dann möglich, wenn die Zielgruppenauswahl des jeweiligen Nutzers im Hinblick auf die Telefonnummer nicht auf "öffentlich", sondern etwa - wie hier - auf "nur ich" gestellt war.
Im Zeitraum von Januar 2018 bis September 2019 ordneten unbekannte Dritte durch die Eingabe randomisierter Nummernfolgen über die [X.] des Netzwerks Telefonnummern zu Nutzerkonten zu und griffen die zu diesen Nutzern vorhandenen Daten ab (sog. Scraping). Die auf diese Weise erlangten und nunmehr mit einer Telefonnummer verknüpften Daten von ca. 533 Millionen Nutzern wurden im April 2021 im [X.] öffentlich verbreitet. Hiervon waren auch persönliche Daten des [X.] (Telefonnummer in Verknüpfung mit den Daten seines Nutzerkontos, d.h. Nutzer-ID, Vorname, Nachname, Geschlecht und Arbeitsstätte) betroffen. Nach dem Vortrag des [X.] informierte die [X.] weder die zuständige Datenschutzbehörde noch ihn selbst über den Vorfall.
Der Kläger begehrt die Leistung von immateriellen Schadensersatz, weil die [X.] in mehrfacher Hinsicht gegen die [X.] verstoßen und seine Daten nicht ausreichend geschützt habe. Er habe einen spürbaren Kontrollverlust über seine Daten erlitten, der zu einem massiven Anstieg von betrügerischen Kontaktversuchen geführt habe. Darüber hinaus begehrt er die Feststellung, dass die [X.] verpflichtet ist, ihm in diesem Zusammenhang alle künftigen Schäden zu ersetzen, und macht weitere Unterlassungs- und Auskunftsansprüche geltend. Mit Schreiben vom 23. August 2021 teilte die [X.] dem Kläger mit, welche Daten sie über ihn gespeichert hat.
Das [X.] hat der Klage teilweise stattgegeben und dem Kläger aus Art. 82 Abs. 1 [X.] Schadensersatz in Höhe von 250 € sowie einen Teil der begehrten Rechtsverfolgungskosten zugesprochen. Im Übrigen hat es die Klage abgewiesen. Auf die vom [X.] zugelassene Berufung der [X.] hat das [X.] die Entscheidung des [X.]s unter Zurückweisung der Anschlussberufung des [X.] abgeändert und die Klage insgesamt abgewiesen. Mit seiner vom [X.] zugelassenen Revision verfolgt der Kläger seine Ansprüche weiter.
II.
Die Revision wirft Rechtsfragen auf, die für eine Vielzahl anderer Verfahren von Bedeutung sind. Der Senat bestimmt das vorliegende Verfahren daher zum Leitentscheidungsverfahren im Sinne des § 552b ZPO in der Fassung des [X.] beim [X.] vom 24. Oktober 2024 ([X.] I Nr. 328; im Folgenden: § 552b ZPO nF).
1. Die formalen Voraussetzungen zur Bestimmung des vorliegenden Verfahrens zum Leitentscheidungsverfahren liegen vor. Das Gesetz zur Einführung eines Leitentscheidungsverfahrens beim [X.] vom 24. Oktober 2024 ist nach seinem Art. 7 am Tag nach der Verkündung, mithin am 31. Oktober 2024 in [X.] getreten. Die Revisionsbegründung des [X.] wurde der [X.] am 8. April 2024 zugestellt, die Revisionserwiderung der [X.] ist am 15. Oktober 2024 eingegangen (§ 552b Satz 1 ZPO nF). Eine Anhörung der Parteien im Rahmen der Bestimmung des Verfahrens zum Leitentscheidungsverfahren ist nicht erforderlich (arg e contr. § 148 Abs. 4 ZPO nF; vgl. ferner [X.], Stellungnahme als Sachverständiger zum [[X.] eines [X.] bei [X.], [X.] vom 13. Dezember 2023, S. 4); etwas anderes würde auch die Zielsetzung des Gesetzes unterlaufen, eine zügige höchstrichterliche Klärung trotz der Rücknahme von Revisionen aus prozesstaktischen Gründen oder aufgrund eines Vergleiches zu ermöglichen (vgl. [X.]. 20/8762 S. 10).
2. Das Verfahren wirft die folgenden Rechtsfragen auf:
a) Liegt in der Implementierung der sog. [X.] in Verbindung mit der Standardvoreinstellung "alle" ein Verstoß der [X.] gegen die [X.] im Sinne des Art. 82 Abs. 1 [X.]?
b) Ist der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des Betroffenen verknüpften Daten geeignet, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 [X.] zu begründen? Falls ja, wie wäre der Ersatz für einen solchen Schaden zu bemessen?
c) Welche Anforderungen sind an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 [X.] zu stellen?
d) Reicht die bloße Möglichkeit des Eintritts künftiger Schäden in einem Fall wie dem vorliegenden aus, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen?
e) Genügen die vom Kläger gestellten Anträge, dass die [X.] es unterlasse,
- personenbezogene Daten der [X.]eite unbefugten [X.] über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, und
- die Telefonnummer des [X.] auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die [X.] erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf 'privat' noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der [X.]-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird,
dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO?
3. Die Entscheidung dieser Rechtsfragen ist für eine Vielzahl anderer Verfahren von Bedeutung (§ 552b Satz 1 ZPO n.F.). Beim erkennenden Senat sind derzeit 25 weitere Revisionsverfahren zu dem [X.] bei der [X.] anhängig. In den Tatsacheninstanzen sind bei unterschiedlichen Gerichten noch insgesamt mehrere tausend Verfahren anhängig (vgl. [X.], [X.] 2023, 32883 Rn. 136: über 100 eigene und bundesweit mehr als 6.000 Parallelverfahren; [X.], [X.] 2024, 16856 Rn. 23: Vielzahl eigener Parallelverfahren; [X.], [X.] 2023, 37347 Rn. 29: Vielzahl gleichgelagerter eigener Verfahren).
Seiters Oehler Müller
Klein Böhm
Meta
31.10.2024
Bundesgerichtshof 6. Zivilsenat
Beschluss
Sachgebiet: ZR
vorgehend OLG Köln, 7. Dezember 2023, Az: I-15 U 67/23, Urteil
§ 552b ZPO, Art 82 Abs 1 EUV 2016/679
Zitiervorschlag: Bundesgerichtshof, Beschluss vom 31.10.2024, Az. VI ZR 10/24 (REWIS RS 2024, 9077)
Papierfundstellen: REWIS RS 2024, 9077
Der Verfahrensgang wurde anhand in unserer Datenbank vorhandener Rechtsprechung automatisch erkannt. Möglicherweise ist er unvollständig.
Oberlandesgericht Köln, 15 U 67/23, 07.12.2023.
Bundesgerichtshof, VI ZR 10/24, 18.11.2024.
Bundesgerichtshof, VI ZR 10/24, 31.10.2024.
Auf Mobilgerät öffnen.
Die hier dargestellten Entscheidungen sind möglicherweise nicht rechtskräftig oder wurden bereits in höheren Instanzen abgeändert.
28 O 198/22 (Landgericht Köln)
8 O 184/22 (Landgericht Freiburg)
Bemessung des immateriellen Schadens im Zusammenhang mit einem sog. "Scraping-Vorfall" bei Facebook
1 O 93/23 (Landgericht Mannheim)
Darlegung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung angemessenen Datenschutzniveaus
28 O 138/22 (Landgericht Köln)
3 O 152/22 (Landgericht Gießen)
Keine Referenz gefunden.