LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20

Die zulässige Klage ist ganz überwiegend begründet.

Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassung der Weitergabe von IP-Adressen des [[[[[[[[[X.]]]]]]]]] aus § 823 Abs. 1 i.V.m. § 1004 BGB analog.

Die unerlaubte Weitergabe der dynamischen IP-Adresse des [[[[[[X.]]]]]] durch die Beklagte an [[[[[[[[X.]]]]]]]] stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.

1. Bei der von der [X.] an [[[[[[[[X.]]]]]]]] weitergegebenen dynamischen IP-Adresse handelt es sich um ein personenbezogenes Datum im Sinne von § 12 Abs. 1 und 2 TMG (in der zum [[[[[[[X.]]]]]]] geltenden Fassung, im weiteren alte Fassung), § 3 Abs. 1 BDSG, Art. 4 Nr. 1 DS-GVO.

Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen ([[[[[[[X.]]]]]]], Urteil vom 16.05.2017 - [[[[[[[X.]]]]]]]). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder [[[[[[[[X.]]]]]]]] die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.

2. Die Beklagte verletzte das Recht des [[[[[[X.]]]]]] auf informationelle Selbstbestimmung, indem die Beklagte die dynamische IP-Adresse an [[[[[[[[X.]]]]]]]] weiterleitete, als der Kläger die Webseite der [X.] aufrief.

Die automatische Weitergabe der IP-Adresse durch die Beklagte an [[[[[[[[X.]]]]]]]] war ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des [[[[[[X.]]]]]], da der Kläger unstreitig in diesem Eingriff nicht gemäß § 13 Abs. 2 TMG a.F., Art. 6 Abs. 1 a) [[[[[X.]]]]] eingewilligt hat.

3. Es liegt auch kein Rechtfertigungsgrund für den Eingriff in das allgemeine Persönlichkeitsrecht vor. Ein berechtigtes Interesse der [X.] [[[[[X.]]]]]. Art. 6 Abs. 1 f) DS-GVO, wie von ihr behauptet, liegt nicht vor, denn [[[[[[[[X.]]]]]]]] [[[[X.]]]] kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem [[[[[[[[X.]]]]]]]]-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an [[[[[[[[X.]]]]]]]] stattfindet.

4. Der Kläger war auch nicht verpflichtet, vor dem Aufrufen der Webseite der [X.] seine eigene IP-Adresse zu verschlüsseln. Dies vom Kläger zu verlangen, würde dem Zweck des hier betroffenen Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, zuwiderlaufen, sondern diesen vielmehr umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde ([[[[[X.]]]]], Urteil vom 11.01.2019, Aktenzeichen 1 AO 1582/18).

5. Wiederholungsgefahr ist zu bejahen. Unstreitig wurde die IP-Adresse des [[[[[[X.]]]]]] bei Besuchen des [[[[[[X.]]]]]] auf der Webseite der [X.] an [[[[[[[[X.]]]]]]]] weitergeleitet. Vorangegangene rechtswidrige Beeinträchtigungen begründen eine tatsächliche Vermutung für die Wiederholungsgefahr, die durch die Beklagte nicht widerlegt wurde. Die Wiederholungsgefahr wird nicht dadurch ausgeräumt, dass die Beklagte mittlerweile [[[[[[[[X.]]]]]]]] [[[[X.]]]] so benutzt, dass eine Kundgabe der IP-Adresse der Webseitenbesucher an [[[[[[[[X.]]]]]]]] nicht mehr stattfindet. Die Wiederholungsgefahr kann lediglich durch eine strafbewehrte Unterlassungserklärung beseitigt werden.

Der Auskunftsanspruch des [[[[[[X.]]]]]] folgt aus Art. 15, Art. 4 Nr. 2 DS-GVO.

Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens [[[[[X.]]]]]. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention ([[[X.]]] Datenschutzrecht, [[[[[[[[[X.]]]]]]]]], 38. Edition, DS-GVO Art. 82, Rn. 24). Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten (vgl. [[[X.]]] NJW 2021, 1005,Rz. 20 m.w.[[[X.]]]; [[[X.]]] ZD 2019, 498 (501); [[[[[[[[[X.]]]]]]]]] MMR 2020, 14 (16)), kann aber im hiesigen Fall dahingestellt bleiben. Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des [[[[[[X.]]]]]] auf ihrer Webseite dessen IP-Adresse an [[[[[[[[X.]]]]]]]] übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des [[[[[[X.]]]]]] über ein personenbezogenes Datum an [[[[[[[[X.]]]]]]]], ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von [[[[[[[[X.]]]]]]]] in [X.] übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. [X.], Urteil vom 16.7.2020 - [X.]/18 ([X.]), NJW 2020, 2613) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. Die Höhe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der [X.] auch nicht angegriffen.