LG Frankfurt, Urteil vom 27.01.2023, Az. 2-27 O 158/22

Der Kläger macht Unterlassungs-, Schadensersatz und Auskunftsansprüche gegen die Beklagte aufgrund von Verstößen gegen die DSGVO geltend.

Die Beklagte ist Betreiberin der streitgegenständlichen Webseite „[...]“ sowie der zugehörigen Dienste einschließlich der Apps. Der Kläger nutzt die von der Beklagten betriebene Social Media Plattform X. (im Folgenden „X-Plattform“, worunter die Webseite sowie die zugehörigen Dienste zu verstehen sind), um mit Freunden zu kommunizieren, zum Teilen privater Fotos und für Diskussionen mit anderen Nutzern.

Im Rahmen der Registrierung für die Nutzung der X-Plattform wurde der Kläger unmittelbar nach der Anmeldung aufgefordert, seinen Vor- und Nachnamen, sein Geburtsdatum, sein Geschlecht und seine Nutzer-ID anzugeben. Weiter hieß es auf der Seite: „Indem du auf Registrieren klickst, stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen. Unsere Cookie-Richtlinie erklärt, wie wir Cookies und ähnliche Technologien verwenden...“.

Die Datenrichtlinie enthält u.a. Angaben dazu, welche der vom Nutzer erteilten Informationen immer öffentlich zugänglich sind - nämlich Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID - und die Angabe, dass öffentlich zugängliche Informationen jeder, also auch Personen außerhalb der X-Plattform, sehen kann. Wegen des weiteren Inhalts der genannten Datenrichtlinie wird auf die Anlage B 9 (Bl. 341 d. A.) zum Beklagtenschriftsatz vom 26.10.2022 (Bl. 200 d. A.) verwiesen.

Der Kläger machte in der Folge die geforderten Angaben und registrierte sich als Nutzer. Neben den zwingend zu tätigenden Angaben teilte er auch seine Telefonnummer mit.

Als Nutzer der X-Plattform war und ist es dem Kläger möglich, auf die Einstellungen zur Privatsphäre und Sicherheit sowie den auf der Plattform eingerichteten Hilfebereich zuzugreifen. Die Einstellungen sind in verschiedene Ebenen gegliedert. Sofern keine selbstständigen Änderungen vorgenommen werden, werden die Standardeinstellungen beibehalten. Im Hilfebereich wird u.a. erläutert, was öffentliche Informationen sind und welche Informationen öffentlich sind, wie der Nutzer festlegen kann, wer die von ihm über die öffentlichen Informationen hinaus bereitgestellten Informationen sehen kann (sog. Zielgruppenauswahl) und wer ihn anhand seiner E-Mail-Adresse oder seiner Telefonnummer, sofern er E-Mail-Adresse bzw. Telefonnummer auf der X-Plattform bereitgestellt hat, finden kann (sog. Suchbarkeits-Einstellungen).

Trifft der Nutzer keine Zielgruppenauswahl, richtet sich die Zugänglichkeit seiner über die öffentlichen Informationen hinausgehenden Informationen nach der Standardeinstellung, wonach Freunde des Nutzers die weiteren Informationen einsehen können. Passt der Nutzer die Suchbarkeits-Einstellungen nicht an, sieht die Standardeinstellung vor, dass alle Personen, die über den Namen, die E-Mail- Adresse oder die Telefonnummer des Nutzers verfügen, das Profil des Nutzers, sofern dieser E-Mail-Adresse bzw. Telefonnummer bereitgestellt hat, finden.

Die betreffenden Einstellungen des Klägers sahen auch die Aktivierung der Suchfunktion über die Telefonnummer, jedoch nicht deren öffentliche Anzeige im Profil vor.

Über die Webseite der X-Plattform hinaus existiert eine separate App, die als Schnittstelle auf Mobilgeräten fungiert und eine M. Funktion für die Nutzer der X-Plattform anbietet. Die Anmeldung erfolgt über das bestehende Profil, sodass App und Webseite über den Zugang zum selben Konto verknüpft sind.

2019 sammelten Dritte unter Nutzung automatisierter Verfahren eine Vielzahl der auf der X-Plattform verfügbaren öffentlichen, personenbezogenen Informationen (sog. Scraping). Im Rahmen von Scraping werden Funktionen, die für die ordnungsgemäße Nutzung entworfen wurden, entgegen der Nutzungsbedingungen der X-Plattform missbraucht. Dazu erstellten die Scraper Listen mit möglichen Telefonnummern, wobei die konkreten Umstände der Erstellung streitig sind, und luden diese in den Kontakt-Importer der X-Plattform hoch. Die Kontakt-Importer-Funktion ermöglichte einen Abgleich der hochgeladenen Kontaktdaten (insbesondere also der hochgeladenen Telefonnummern) mit den Nutzerdaten auf der X-Plattform. Sofern eine solche Telefonnummer mit dem Konto eines Nutzers verknüpft war, wurde das entsprechende Nutzerprofil in Übereinstimmung mit den jeweiligen Suchbarkeits-Einstellungen des betreffenden Nutzers angezeigt. Dabei war unerheblich, ob der jeweilige Nutzer seine Telefonnummer im Rahmen der Zielgruppenauswahl öffentlich freigegeben hatte. Die Scraper fügten sodann die öffentlich zugänglichen Informationen aus dem betreffenden Profil des Nutzers der jeweiligen Telefonnummer hinzu.

Im April 2021 wurden die gescrapten Datensätze von über 500 Mio. Nutzern sowie die mit diesen Datensätzen verknüpften Telefonnummern frei auf Webseiten veröffentlicht, die nicht der X-Plattform zugehörig sind. Hierzu gehörten auch die immer öffentlich zugänglichen Informationen des Profils des Klägers (sprich Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID) und die mit seinem Konto verknüpfte Telefonnummer.

Im Nachgang an die Vorfälle wurden die Systeme der X-Plattform derart angepasst, dass das Verknüpfen von Telefonnummern mit Nutzerkonten mittels Kontakt-Importer nun nicht mehr möglich ist. Den Nutzern der X-Plattform wurden durch die Beklagte Informationen zum Thema Scraping einschließlich solcher bereitgestellt, wie Nutzer das Abrufen ihrer Daten mittels Scraping erschweren können.

Der Kläger stellte seine Suchbarkeits-Einstellungen am 28.12.2019 auf „Nur ich“ um (vgl. Bl. 235 d. A.).

Mit anwaltlichen Schreiben vom 21.05.2021 an die Beklagte legte der Kläger erstmals den aus seiner Sicht vorgefallenen Sachverhalt dar und bezifferte eine damit einhergehende Schadensersatzforderung in Höhe von 500 EUR. Zeitgleich forderte er die Beklagte zur Unterlassung künftiger Zugänglichmachung der Klägerdaten an unbefugte Dritte und zur Auskunft darüber auf, welche konkreten Daten 2019 abgegriffen und im April 2021 veröffentlicht wurden. Die Beklagte wies die Forderungen des Klägers mit Schreiben vom 23.08.2021 zurück und äußerte sich auch zum Auskunftsverlangen des Klägers (vgl. Anlage K 2, Bl. 87 ff. d. A.). Darauf reagierte der Kläger mit einem weiteren anwaltlichen Schreiben vom 06.10.2021 (Anlage K1, Bl. 62 d. A.).

Der Kläger behauptet, neben den unstreitig gescrapten Informationen seien möglicherweise auch andere Daten, gegebenenfalls auch solche, die nicht öffentlich zugänglich waren, von seinem Profil abgegriffen worden.

Was seine Telefonnummer angeht, sei ihm nicht bekannt gewesen, dass die Standardeinstellung der Beklagten in den Suchbarkeits-Einstellungen vorsieht, dass alle Personen über seine Telefonnummer sein Profil finden; er sei mangels gegenteiliger Angaben der Beklagten davon ausgegangen, dass die von ihm angegebene Telefonnummer geschützt sei und von niemandem benutzt werden könne, schon gar nicht um hierüber Daten abzugreifen. Diese Vorstellung rühre insbesondere daher, dass die Privatsphäre-Einstellungen der X-Plattform sowohl auf der Webseite als auch der App jeweils separat, unabhängig voneinander und teilweise räumlich getrennt dargestellt worden seien, sodass ein Überblick über die verschiedenen Einstellungsvarianten nicht möglich gewesen sei.

Der Kläger meint, die Beklagte sei verpflichtet gewesen, die Kontakt-Import-Funktion, die die Identifizierung überhaupt erst ermöglicht habe, hinreichend zu sichern und hierdurch die von den Scrapern durchgeführte automatisierte Massenabfrage von Telefonnummern zu unterbinden. Der Zweck der X-Plattform liege darin, Kunden zu bewerben und Unternehmen die Möglichkeit zu bieten, dies ebenfalls zu tun. Dieser Zweck rechtfertigt nach Ansicht des Klägers nicht die Entscheidung gegen Sicherheitsmaßnahmen. Denn nach den Behauptungen des Klägers sind unzählige zufällige Kombinationen von Telefonnummern (sog. Randomisierung) zum Abgleich über die Kontakt-Import-Funktion hochgeladen worden. Dabei könne es sich gerade nicht um Telefonnummern aus früheren Daten-Lecks handeln, denn es seien nur 11-stellige, nicht aber die ebenso existenten 12-stelligen Nummern eingegeben worden. Die jeweiligen Telefonnummern könnten also erst aufgrund der Nutzung der Kontakt-Import-Funktion als aktive Nummer spezifiziert worden sein. Dass eine derartige automatisierte Massenabfrage möglich war, stelle eine Sicherheitslücke dar, für die die Beklagte einzustehen habe.

Weiter ist der Kläger der Auffassung, die Beklagte sei verpflichtet gewesen, ihn unverzüglich vom Scraping-Vorfall in Kenntnis zu setzen. Da dies die Beklagte nicht getan hat, habe er keine Kontrolle mehr über seine Daten. Denn die Veröffentlichung der gescrapten Daten geschehe auf Webseiten, die illegale Aktivitäten begünstigen sollen, also sog. „Hacker-Foren“. Derartige Webseiten stünden im Ruf, dass dort illegal abgeschöpfte Daten, wie vorliegend, hinterlegt und ausgetauscht werden, um diese unter anderem für kriminelle Machenschaften wie gezielte Phishing Attacken, Identitätsdiebstahl, Übernahme von Accounts, Sim-Swap Angriffe oder sonstige Cyberkriminalität zu nutzen. Dieser Kontrollverlust habe zu einem Zustand großen Unwohlseins und großer Sorge des Klägers über möglichen Missbrauch der ihn betreffenden Daten geführt. Diese Sorge manifestiere sich in einem verstärkten Misstrauen gegenüber E-Mails und Anrufen von unbekannten Adressen und Nummern, die sich seit dem Vorfall 2019 unregelmäßig häuften, weshalb nicht mehr oder nur unter äußerster Vorsicht auf derartige Kontaktversuche reagiert werden könne. Derartige Nachrichten enthielten offensichtliche Betrugsversuche, potenzielle Virenlinks oder die Impersonisierung bekannter Plattformen oder Zahlungsdienstleister.

Der Kläger ist außerdem der Ansicht, dass dem begehrten Auskunftsanspruch über die abgegriffenen Daten des Klägers mit vorgerichtlichen Schreiben der Beklagten vom 23.08.2021 (Anlage K 2, Bl. 87 d. A.) nicht genügt worden sei.

Der Kläger beantragt mit seiner am 26.07.2022 zugestellten Klage,

1. die Beklagte zu verurteilen, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz;

2. festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussagen der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden;

3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a. personenbezogene Daten der Klägerseite, namentlich Telefonnummer, X.ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

b. die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Information darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendete werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der X.-M. App, hier ebenfalls explizit die Berechtigung verweigert wird;

4. die Beklagte zu verurteilen, der Klägerseite Auskunft über die Klägerseite betreffenden personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten;

5. die Beklagte zu verurteilen, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 354,62 EUR zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte meint, dass sie die geforderten Informationen zur Datenverarbeitung, die sie zum Zeitpunkt der Datenerhebung im Anwendungsbereich der Datenrichtlinie durchgeführt habe, allen Nutzern einschließlich des Klägers in Form der Datenrichtlinie sowie durch den Hilfebereich hinreichend zur Verfügung gestellt habe. Die entsprechenden Privatsphäre-Einstellungen seien auch nicht undurchsichtig gestaltet, insbesondere würden Einstellungen, die auf der Webseite durch einen Nutzer vorgenommen würden, auch automatisch innerhalb der M.-App angewandt. Eine Divergenz der Privatsphäre-Einstellungen innerhalb eines einzelnen Nutzerkontos im Rahmen der verschiedenen Zugangsmöglichkeiten zur X-Plattform sei nicht möglich.

Die Beklagte ist der Ansicht, dass es sich bei dem streitgegenständlichen Scraping-Vorfall nicht um einen Datenschutzverstoß im Sinne der DSGVO handle, da sie ihre Pflichten aus der DSGVO nicht verletzt habe.

Es fehle an einer Verletzung der Sicherheit, da „lediglich“ öffentlich zugängliche Profil-Informationen im Einklang mit den Privatsphäre-Einstellungen des Klägers abgerufen und auch keine spezifischen Sicherheitsmaßnahmen oder Zugriffsberechtigungen umgangen oder überwunden (sog. Hacking) wurden. Eine unbefugte Offenlegung von oder Zugang zu den klägerischen Daten haben nicht stattgefunden.

Der Beklagten könne auch, da die durch den Kontakt-Importer hergestellte Verknüpfung einer der durch die Scraper hochgeladenen Telefonnummern mit dem Konto des Klägers auf die seinerzeitige Suchbarkeits-Einstellung des Kontos des Klägers zurückzuführen sei, keine Sicherheitslücke zu Last gelegt werden. Zudem habe die Beklagte technische und organisatorische Maßnahmen getroffen, um das Risiko von Scraping zu unterbinden und derartige Maßnahmen kontinuierlich und als Reaktion auf sich ständig ändernden Techniken und Strategien weiterentwickelt. Zum betreffenden Zeitpunkt habe sie über eine Übertragungsbegrenzung, also eine Beschränkung der Anzahl von Anfragen von bestimmten Daten, die pro Nutzer oder von einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht wurden, sowie über eine Bot-Erkennung durch Captchas verfügt. Ein External Data Misuse-Team der Beklagten sei eingerichtet gewesen, um Scraping-Aktivitäten zu erkennen, zu unterbrechen und soweit möglich zu verhindern, indem Aktivitätsmuster und Verhaltensweisen, die typischerweise mit automatisierten Computeraktivitäten im Zusammenhang stehen, identifiziert worden seien. Scraping sei aber nicht vollständig zu verhindern, insbesondere da Scraper Sicherheitsmaßnahmen dadurch umgehen könnten, dass sie Sequenzen unterbrechen und auf verschiedene Geräte oder Nutzerkonten verteilen würden. Im Übrigen sei eine weitergehende Sicherung kaum möglich, ohne die ordnungsgemäße Nutzung derart einzuschränken, dass der Zweck der X-Plattform, also nach Ansicht der Beklagten, die Ermöglichung, sich mit Freunden, Familie und Gemeinschaften zu verbinden und mit ihnen in Kontakt zu treten, gefährdet würde.

Darüber hinaus meinte die Beklagte, dass der etwaige Verlust über die Datenkontrolle keinen ersatzfähigen immateriellen Schaden darstelle. Das für jeden im Internet bestehende Risiko, Opfer von Cyberkriminalität zu werden, steige nicht dadurch, dass ohnehin öffentlich einsehbare Daten an anderer Stelle erneut veröffentlicht würden. Im Übrigen sei ihr ein etwaiger Schaden nicht zuzurechnen.

Die zulässige Klage ist unbegründet.

Das Landgericht Frankfurt am Main ist international, sachlich und örtlich zuständig.

Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 1 Abs. 1, Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt EuGVVO (Brüssel Ia- VO).

Die deutsche Gerichtsbarkeit folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt. EuGVVO. Gemäß Art. 18 Abs. 1 2. Alt EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat.

Der Kläger ist gemäß Art. 17 Abs. 1 EuGVVO Verbraucher. Der Kläger hat seinen Wohnort in [...]

Die internationale Zuständigkeit deutscher Gerichte ergibt sich ferner aus Art. 79 Abs. 2 DSGVO. Danach können Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Die Beklagte ist als Verantwortliche keine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Der Kläger als betroffene Person hat seinen Wohnsitz in Deutschland.

Das Landgericht Frankfurt am Main ist gemäß §§ 23 Nr. 1, 71 Abs. 1 GVG für die Klagen gegen die Beklagte sachlich zuständig. Der Streitwert liegt bei 6.000,00 EUR (Klageantrag zu 1: 1000,00 EUR, Antrag zu 2: 500,00 EUR, Antrag zu 3: 4.500,00 EUR, Antrag zu 4: 500,00 EUR) und damit über 5.000,00 EUR.

Hinsichtlich des Antrags zu 1) war der dort begehrte Zahlbetrag in Ansatz zu bringen. Hinsichtlich des Feststellungsantrags zu 2) war ein 50%iger Abschlag von dem mit Ziffer 1) begehrten Zahlbetrag zur Bezifferung vorzunehmen.

Hinsichtlich der Höhe des Antrags zu 3) ist im Sinne des § 3 ZPO insbesondere auf Tragweite und Umfang des Streitgegenstands abzustellen, dieser ist mit 4.000,00 Euro zu beziffern. Der Streitwert bei nicht vermögensrechtlichen Streitigkeiten ist anhand aller Umstände des Einzelfalls, insbesondere auch anhand der Einkommensverhältnisse und der Bedeutung der Sache, zu bemessen. Bei der Beklagten handelt es sich um einen multinationalen Konzern mit hohen Umsätzen, die Bedeutung der Sache ist auf Grund der Vielzahl der vom Scraping betroffenen Personen für die Beklagte erheblich (vgl. LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 46, juris).

Hinsichtlich des Antrags zu 4) erscheint ein Streitwert von 500,00 EUR angemessen, da es noch um restliche Auskünfte ging.

Die örtliche Zuständigkeit folgt aus Art. 18 Abs. 1 2. Alt. EuGVVO und ist begründet am Wohnsitz des Klägers.

Dem Kläger steht gegen die Beklagte kein Anspruch auf Schadensersatz in Form eines Schmerzensgeldes aus Art. 82 DS-GVO zu. Insoweit schießt sich die Kammer der Entscheidungen des Landgerichts Essen (Az. 6 O 111/22 vom 10.11.2022) und der des Amtsgerichtes Straußberg (Az. 25 C 95/21 vom 22.09.2022) an.

Art. 82 Abs. 1 DS-GVO legt fest, dass jeder Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat. Art. 82 Abs. 2 DS-GVO regelt den anspruchsbegründenden Sachverhalt. Gemäß Art. 82 Abs. 2 S. 1 DS-GVO haftet danach jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein bloßer Verstoß gegen jegliche Vorgabe der DS-GVO begründet für die Verantwortlichen dem Wortlaut nach noch keine Haftung. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung i.S.d. Art. 4 Nr. 2 DS-GVO. Der Vorwurf liegt darin, die Datenverarbeitung durchgeführt zu haben, ohne dass sämtliche in der DS-GVO statuierten Pflichten eingehalten wurden und deshalb ein Schaden entstanden ist. Das vorwerfbare Verhalten muss damit nicht zwangsläufig die Datenverarbeitung an sich sein. So wird häufig die Verarbeitung erst dadurch rechtswidrig, dass im Vorfeld Maßnahmen nicht ergriffen wurden, sodass die eigentlich verletzende Handlung bereits vor der Datenverarbeitung lag. Konsequenterweise kann daher bereits der Verstoß gegen solche Pflichten einen Anspruch auf Schadensersatz begründen. Verletzungshandlungen liegen damit vor, wenn die Rechte der betroffenen Personen oder Grundsätze der Datenverarbeitung nur unzureichend beachtet werden. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortlicher oder der Auftragsverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte.

Die verspätete Erteilung einer Datenauskunft gemäß Art. 15 DS-GVO ist keine Verarbeitung personenbezogener Daten i.S.d. Art. 4 Nr. 2 DS-GVO. Datenverarbeitung bezeichnet gemäß Art. 4 Nr. 2 DS-GVO nur jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die Verletzung von Auskunfts- oder Benachrichtigungspflicht im Nachgang an einen Verarbeitungsvorgang ist hingegen nicht erfasst (OLG Stuttgart, BeckRS 2021, 6282; LG Bonn, BeckRS 2021, 18275; LG Düsseldorf, ZD 2022, 48). Denn diesen Pflichten fehlt es an dem verarbeitungsspezifischen Zusammenhang zu personenbezogenen Daten; die Begründung derartiger Pflichten setzt ihrerseits bereits zwingend einen Verarbeitungsvorgang voraus und begründet ihn nicht erst.

Der Kläger hat aus den aufgeführten Gründen auch keinen Anspruch auf Schmerzensgeld aus Art. 82 DS-GVO wegen eines etwaigen Verstoßes der Beklagten gegen die in Art. 34 DS-GVO geregelte Benachrichtigungspflicht.

Der Kläger kann den geltend gemachten Schmerzensgeldanspruch zudem nicht auf einen Verstoß gegen Art. 5 Abs. 1 lit. f, 32 Abs. 1, 2 DS-GVO wegen unzureichender Sicherheitsvorkehrungen stützen.

Zwar umfasst der Anknüpfungspunkt für den Verstoß gegen die DS-GVO nicht nur die Verletzung spezifischer Pflichten, sondern auch allgemeiner Vorgaben wie den Datenschutzgrundsätzen in Art. 5 DS-GVO oder den Anforderungen an die Datensicherheit nach Art. 32 DS-GVO, solange die Verletzung dieser Pflichten wiederum auf einer konkreten Verarbeitung beruhen bzw. sich auf eine solche auswirken. Jedoch hat die Beklagte nicht gegen die ihr dort auferlegte Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen.

Art. 32 Abs. 1 i.V.m. Abs. 2 DS-GVO formt den allgemeinen Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f DS-GVO näher aus. Er verlangt Verarbeitungsprozessen ab, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u.a. davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten.

Die immer öffentlich zugänglichen Informationen des Profils des Klägers sind zwar von Dritten erhoben (gescrapt) und verarbeitet worden i.S.d. Art. 4 Nr. 2 DS-GVO. Allerdings war die Beklagte nicht verpflichtet, diese Daten vor der Verarbeitung durch die Scraper zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des Klägers, nämlich seinem Namen, seinem Geschlecht und seinem Benutzernamen, um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnlichem abrufbar sind. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig.

Auch das Vorbringen des Klägers, ihm seien zum Zeitpunkt seiner Registrierung als Nutzer die Standardeinstellungen auf der F-Plattform nicht bekannt gewesen, rechtfertigt nicht die Annahme, die Beklagte habe gegen ihr obliegende Schutzpflichten verstoßen. Denn die Beklagte durfte und musste davon ausgehen, dass dem Kläger bekannt ist, dass sein Name, sein Geschlecht und sein Benutzername für jedermann abrufbar ist und hatte daher keine Veranlassung, diese Daten vor der Erhebung durch Dritte zu schützen. Die Beklagte hat nämlich den Kläger, bevor dieser sich auf der F-Plattform registrieren konnte, auf ihre Datenrichtlinien hingewiesen und der Kläger hat diese mit seiner Registrierung bestätigt. Die streitgegenständlichen Datenrichtlinien der Beklagten enthielten die Information, dass u.a. der Name, das Geschlecht und der Nutzername des Nutzers immer öffentlich zugänglich sind und von jeder Person gesehen werden können.

Dass nicht öffentlich zugängliche Informationen, nämlich Telefonnummer, Mailadresse, Wohnort (an anderer Stelle konkretisiert als „Bundesland, Land und Stadt“), Beziehungsstatus und „weitere korrelierende Daten“ des Klägers vom klägerischen Profil von Dritten erhoben worden sind, kann nicht festgestellt werden. Es fehlt es an einem substantiierten Vortrag des Klägers, welche konkreten Daten erhoben worden sein sollen.

Für seine dahingehende Behauptung tritt der Kläger darüber hinaus auch keinen tauglichen Beweis an. Die Inaugenscheinnahme der von ihm angegebenen öffentlich zugänglichen Datenbank mit Inhalt der entwendeten Daten ist als Beweismittel ungeeignet, da dort die durch das Scraping abgerufenen Daten lediglich abstrakt beschrieben werden; welche konkreten personenbezogenen Daten des Klägers - neben den immer öffentlich zugänglichen Informationen - erhoben worden sind, wird dort nicht angegeben.

Der von den Scrapern unter Nutzung des Kontakt-Importers der F-Plattform hergestellte Abgleich zwischen der von ihnen generierten und hochgeladenen Telefonnummer des Klägers mit seinem Nutzerkonto stellt zwar eine Verarbeitung i.S.d. DS-GVO dar. Jedoch war die Beklagte nicht verpflichtet, das Nutzerkonto des Klägers vor dessen Auffinden über die Telefonnummer des Klägers zu schützen. Der Kläger hat der Beklagten seine Telefonnummer bereitgestellt, die die Beklagte im Rahmen der Suchbarkeits-Einstellungen verwendete, um festzulegen, welche Personen das F-Konto des Klägers anhand dessen Telefonnummer finden können, nämlich alle Personen. Der von den Scrapern veranlasste Abgleich war folglich jeder Person, die - wie die Scraper - über die Telefonnummer des Klägers verfügte, möglich und ist isoliert betrachtet nicht unbefugt bzw. unrechtmäßig.

Dass dem Kläger nach seinem Vorbringen nicht bekannt war, dass alle Personen über seine Telefonnummer sein F-Konto finden, hat nicht zur Folge, dass die Beklagte verpflichtet war, Schutzmaßnahmen zu ergreifen, die das F-Konto des Klägers vor einem Auffinden über seine Telefonnummer schützen. Denn die Beklagte musste annehmen, dass dem Kläger bekannt ist, dass sein F-Konto über seine Telefonnummer für jedermann aufzufinden ist, weil dieser vor seiner Registrierung bestätigte, die Datenrichtlinien der Beklagten gelesen zu haben. Diese enthalten unter der Überschrift „Wie kann ich festlegen, wer mich über meine E-Mail-Adresse oder Handynummer auf X. finden kann?“ die Information, dass es die Beklagte allen Personen, die über die Telefonnummer des F-Nutzers verfügen, gestattet, den Nutzer zu finden. Weiter heißt es, dass der Nutzer über seine Privatsphäre-Einstellungen auswählen kann, wer mithilfe der Telefonnummer des Nutzers nach diesem suchen kann. Der Kläger hatte es also in der Hand, unter Zuhilfenahme des jedem Nutzer der F-Plattform zugänglichen Hilfebereichs die Suchbarkeits-Einstellungen für sein Nutzerkonto zu ändern und dahin anzupassen, dass nicht alle Personen, die seine Telefonnummer hochladen, sein Nutzerkonto auffinden.

Der Kläger kann den geltend gemachten Schadensersatz auch nicht auf eine Verletzung des Art. 35 DS-GVO durch die Beklagte wegen unterlassener Datenschutz-Folgenabschätzung stützen. Aus der Tatsache, dass die irische Datenschutzaufsichtsbehörde Ermittlungen gegen die Beklagte aufgenommen hat, kann nicht geschlossen werden, dass die Beklagte im maßgeblichen Zeitraum gegen Art. 35 DS-GVO verstoßen hat. Selbst wenn man annähme, dass die Beklagte in diesem Zeitraum eine Folgenabschätzung trotz hohen Risikos für die Rechte und Freiheiten der Nutzer der F-Plattform nicht durchgeführt hat, ist nicht ersichtlich, dass die unterlassene Folgeneinschätzung (mit) ursächlich für den vom Kläger geltend gemachten Schaden, nämlich den Verlust über die Kontrolle seiner gescrapten Daten, war. Hiergegen spricht bereits, dass es sich bei den gescrapten Daten um immer öffentlich zugängliche Informationen des F-Profils des Klägers handelt.

Mangels Verstoß gegen die DS-GVO besteht kein Anspruch des Klägers auf Feststellung hinsichtlich einer Ersatzpflicht der Beklagten mit Blick auf künftige Schäden.

Ein Unterlassungsanspruch aus §§ 1004 analog, 823 Abs. 1, 2 BGB, Art. 6 Abs. 1, 17 DS-GVO besteht ebenfalls nicht mangels rechtswidriger Verarbeitung der personenbezogenen Daten des Klägers.

Bezüglich der Kontakt-Import-Funktion ist der Anspruch auch bereits unschlüssig, da die betreffende Funktion nach dem Scraping-Vorfall unstreitig entfernt wurde.

Dasselbe gilt im Hinblick auf die sonstige Verarbeitung der Telefonnummer. Der Kläger hat die betreffende Zielgruppenauswahl bereits vor dem Scraping-Vorfall und die Suchbarkeits-Einstellungen nach dem Vorfall am 28.12.2019 (Bl. 234 d. A.) jeweils auf „Nur ich“ umgestellt. Darüber hinaus bleibt es dem Kläger freigestellt, seine Telefonnummer gänzlich von seinem Nutzerkonto zu löschen.

Ein Auskunftsanspruch aus Art. 15 DS-GVO scheitert unabhängig davon, ob es sich bei der nutzungswidrigen Sammlung der Daten durch unbekannte Dritte um eine Verarbeitung durch die Beklagte handelt, zumindest an der Erfüllung im Sinne des § 362 BGB. Die Beklagte legte dem Kläger mit Schreiben vom 23.08.2021 (Anlage K 2, Bl. 87 ff. d. A.) dar, dass lediglich die auf der F-Plattform „öffentlich“ einsehbaren Daten sowie die durch Scraper generierte Telefonnummer und das dadurch identifizierbare Land des Klägers durch Scraping abgerufen wurden. Weiterhin wurde durch die Beklagte ein Link zu einem Tool zur Verfügung gestellt mit dessen Hilfe der Kläger eine Kopie seiner F-Informationen herunterladen kann.

Mangels Pflichtverletzung besteht darüber hinaus auch kein Anspruch auf den Ersatz vorgerichtlicher Anwaltskosten gemäß §§ 280 Abs. 1, 2, 286 Abs. 1 BGB.

Das Gericht ist im Übrigen nicht gehalten, das vorliegende Verfahren bis zur Entscheidung des Europäischen Gerichtshofs über das Vorabentscheidungsersuchen des Amtsgerichts München vom 03.03.2022 zum Az. 132 C 737/22 oder bis zur Entscheidung des Europäischen Gerichtshofs über das Vorabentscheidungsersuchen des Österreichischen Obersten Gerichtshofs vom 15.04.2021 zum Az. 6 Ob 35/21 x auszusetzen. Denn die dem Europäischen Gerichtshof vorgelegten Rechtsfragen sind im hiesigen Verfahren nicht entscheidungserheblich.

Die Kostenentscheidung ergibt sich aus § 91 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf §§ 708 Nr. 11, 711 ZPO.

Der Streitwert war entsprechend den obigen Ausführungen abschließend auf 6.000,00 EUR festzusetzen.