LG Frankfurt, Urteil vom 27.01.2023, Az. 2-27 O 158/22

Der Kläger macht Unterlassungs-, Schadensersatz und Auskunftsansprüche gegen die Beklagte aufgrund von Verstößen gegen die [X.] geltend.

Die Beklagte ist Betreiberin der streitgegenständlichen Webseite „[...]“ sowie der zugehörigen Dienste einschließlich der [X.]. Der Kläger nutzt die von der [X.] betriebene Social Media Plattform X. (im Folgenden „[X.]“, worunter die Webseite sowie die zugehörigen Dienste zu verstehen sind), um mit Freunden zu kommunizieren, zum Teilen privater Fotos und für Diskussionen mit anderen Nutzern.

Im Rahmen der Registrierung für die Nutzung der [X.] wurde der Kläger unmittelbar nach der Anmeldung aufgefordert, seinen Vor- und Nachnamen, sein Geburtsdatum, sein Geschlecht und seine [X.] anzugeben. Weiter hieß es auf der Seite: „Indem du auf Registrieren klickst, stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen. Unsere [X.] erklärt, wie wir Cookies und ähnliche Technologien verwenden...“.

Die Datenrichtlinie enthält u.a. Angaben dazu, welche der vom Nutzer erteilten Informationen immer öffentlich zugänglich sind - nämlich Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und [X.] - und die Angabe, dass öffentlich zugängliche Informationen jeder, also auch Personen außerhalb der [X.], sehen kann. Wegen des weiteren Inhalts der genannten Datenrichtlinie wird auf die Anlage [X.] ([X.]. 341 d. A.) zum [X.]schriftsatz vom 26.10.2022 ([X.]. 200 d. A.) verwiesen.

Der Kläger machte in der Folge die geforderten Angaben und registrierte sich als Nutzer. Neben den zwingend zu tätigenden Angaben teilte er auch seine Telefonnummer mit.

Als Nutzer der [X.] war und ist es dem Kläger möglich, auf die Einstellungen zur Privatsphäre und Sicherheit sowie den auf der Plattform eingerichteten Hilfebereich zuzugreifen. Die Einstellungen sind in verschiedene Ebenen gegliedert. Sofern keine selbstständigen Änderungen vorgenommen werden, werden die Standardeinstellungen beibehalten. Im Hilfebereich wird u.a. erläutert, was öffentliche Informationen sind und welche Informationen öffentlich sind, wie der Nutzer festlegen kann, wer die von ihm über die öffentlichen Informationen hinaus bereitgestellten Informationen sehen kann (sog. [X.]) und wer ihn anhand seiner E-Mail-Adresse oder seiner Telefonnummer, sofern er E-Mail-Adresse bzw. Telefonnummer auf der [X.] bereitgestellt hat, finden kann (sog. [X.]).

Trifft der Nutzer keine [X.], richtet sich die Zugänglichkeit seiner über die öffentlichen Informationen hinausgehenden Informationen nach der Standardeinstellung, wonach Freunde des Nutzers die weiteren Informationen einsehen können. Passt der Nutzer die [X.] nicht an, sieht die Standardeinstellung vor, dass alle Personen, die über den Namen, die E-Mail- Adresse oder die Telefonnummer des Nutzers verfügen, das Profil des Nutzers, sofern dieser E-Mail-Adresse bzw. Telefonnummer bereitgestellt hat, finden.

Die betreffenden Einstellungen des [X.] sahen auch die Aktivierung der Suchfunktion über die Telefonnummer, jedoch nicht deren öffentliche Anzeige im Profil vor.

Über die Webseite der [X.] hinaus existiert eine separate [X.], die als Schnittstelle auf Mobilgeräten fungiert und eine M. Funktion für die Nutzer der [X.] anbietet. Die Anmeldung erfolgt über das bestehende Profil, sodass [X.] und Webseite über den Zugang zum selben Konto verknüpft sind.

2019 sammelten Dritte unter Nutzung automatisierter Verfahren eine Vielzahl der auf der [X.] verfügbaren öffentlichen, personenbezogenen Informationen (sog. [X.]). Im Rahmen von [X.] werden Funktionen, die für die ordnungsgemäße Nutzung entworfen wurden, entgegen der Nutzungsbedingungen der [X.] missbraucht. Dazu erstellten die [X.] Listen mit möglichen Telefonnummern, wobei die konkreten Umstände der Erstellung streitig sind, und luden diese in den [X.] der [X.] hoch. Die [X.]-Funktion ermöglichte einen Abgleich der hochgeladenen Kontaktdaten (insbesondere also der hochgeladenen Telefonnummern) mit den Nutzerdaten auf der [X.]. Sofern eine solche Telefonnummer mit dem Konto eines Nutzers verknüpft war, wurde das entsprechende Nutzerprofil in Übereinstimmung mit den jeweiligen [X.] des betreffenden Nutzers angezeigt. Dabei war unerheblich, ob der jeweilige Nutzer seine Telefonnummer im Rahmen der [X.] öffentlich freigegeben hatte. Die [X.] fügten sodann die öffentlich zugänglichen Informationen aus dem betreffenden Profil des Nutzers der jeweiligen Telefonnummer hinzu.

Im April 2021 wurden die gescrapten Datensätze von über 500 Mio. Nutzern sowie die mit diesen Datensätzen verknüpften Telefonnummern frei auf Webseiten veröffentlicht, die nicht der [X.] zugehörig sind. Hierzu gehörten auch die immer öffentlich zugänglichen Informationen des Profils des [X.] (sprich Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und [X.]) und die mit seinem Konto verknüpfte Telefonnummer.

Im Nachgang an die Vorfälle wurden die Systeme der [X.] derart angepasst, dass das Verknüpfen von Telefonnummern mit Nutzerkonten mittels [X.] nun nicht mehr möglich ist. Den Nutzern der [X.] wurden durch die Beklagte Informationen zum Thema [X.] einschließlich solcher bereitgestellt, wie Nutzer das Abrufen ihrer Daten mittels [X.] erschweren können.

Der Kläger stellte seine [X.] am [X.] auf „Nur ich“ um (vgl. [X.]. 235 d. A.).

Mit anwaltlichen Schreiben vom [X.] an die Beklagte legte der Kläger erstmals den aus seiner Sicht vorgefallenen Sachverhalt dar und bezifferte eine damit einhergehende Schadensersatzforderung in Höhe von 500 [X.]. Zeitgleich forderte er die Beklagte zur Unterlassung künftiger Zugänglichmachung der [X.] an unbefugte Dritte und zur Auskunft darüber auf, welche konkreten Daten 2019 abgegriffen und im April 2021 veröffentlicht wurden. Die Beklagte wies die Forderungen des [X.] mit Schreiben vom 23.08.2021 zurück und äußerte sich auch zum Auskunftsverlangen des [X.] (vgl. Anlage [X.], [X.]. 87 ff. d. A.). Darauf reagierte der Kläger mit einem weiteren anwaltlichen Schreiben vom 06.10.2021 (Anlage [X.], [X.]. 62 d. A.).

Der Kläger behauptet, neben den unstreitig gescrapten Informationen seien möglicherweise auch andere Daten, gegebenenfalls auch solche, die nicht öffentlich zugänglich waren, von seinem Profil abgegriffen worden.

Was seine Telefonnummer angeht, sei ihm nicht bekannt gewesen, dass die Standardeinstellung der [X.] in den [X.] vorsieht, dass alle Personen über seine Telefonnummer sein Profil finden; er sei mangels gegenteiliger Angaben der [X.] davon ausgegangen, dass die von ihm angegebene Telefonnummer geschützt sei und von niemandem benutzt werden könne, schon gar nicht um hierüber Daten abzugreifen. Diese Vorstellung rühre insbesondere daher, dass die Privatsphäre-Einstellungen der [X.] sowohl auf der Webseite als auch der [X.] jeweils separat, unabhängig voneinander und teilweise räumlich getrennt dargestellt worden seien, sodass ein Überblick über die verschiedenen Einstellungsvarianten nicht möglich gewesen sei.

Der Kläger meint, die Beklagte sei verpflichtet gewesen, die [X.], die die Identifizierung überhaupt erst ermöglicht habe, hinreichend zu sichern und hierdurch die von den [X.]n durchgeführte automatisierte Massenabfrage von Telefonnummern zu unterbinden. Der Zweck der [X.] liege darin, Kunden zu bewerben und Unternehmen die Möglichkeit zu bieten, dies ebenfalls zu tun. Dieser Zweck rechtfertigt nach Ansicht des [X.] nicht die Entscheidung gegen Sicherheitsmaßnahmen. Denn nach den Behauptungen des [X.] sind unzählige zufällige Kombinationen von Telefonnummern (sog. Randomisierung) zum Abgleich über die [X.] hochgeladen worden. Dabei könne es sich gerade nicht um Telefonnummern aus früheren [X.] handeln, denn es seien nur 11-stellige, nicht aber die ebenso existenten 12-stelligen Nummern eingegeben worden. Die jeweiligen Telefonnummern könnten also erst aufgrund der Nutzung der [X.] als aktive Nummer spezifiziert worden sein. Dass eine derartige automatisierte Massenabfrage möglich war, stelle eine Sicherheitslücke dar, für die die Beklagte einzustehen habe.

Weiter ist der Kläger der Auffassung, die Beklagte sei verpflichtet gewesen, ihn unverzüglich vom [X.] in Kenntnis zu setzen. Da dies die Beklagte nicht getan hat, habe er keine Kontrolle mehr über seine Daten. Denn die Veröffentlichung der gescrapten Daten geschehe auf Webseiten, die illegale Aktivitäten begünstigen sollen, also sog. „Hacker-Foren“. Derartige Webseiten stünden im Ruf, dass dort illegal abgeschöpfte Daten, wie vorliegend, hinterlegt und ausgetauscht werden, um diese unter anderem für kriminelle Machenschaften wie gezielte Phishing Attacken, Identitätsdiebstahl, Übernahme von [X.], [X.] oder sonstige Cyberkriminalität zu nutzen. Dieser Kontrollverlust habe zu einem Zustand großen Unwohlseins und großer Sorge des [X.] über möglichen Missbrauch der ihn betreffenden Daten geführt. Diese Sorge manifestiere sich in einem verstärkten Misstrauen gegenüber E-Mails und Anrufen von unbekannten Adressen und Nummern, die sich seit dem Vorfall 2019 unregelmäßig häuften, weshalb nicht mehr oder nur unter äußerster Vorsicht auf derartige Kontaktversuche reagiert werden könne. Derartige Nachrichten enthielten offensichtliche Betrugsversuche, potenzielle Virenlinks oder die Impersonisierung bekannter Plattformen oder Zahlungsdienstleister.

Der Kläger ist außerdem der Ansicht, dass dem begehrten Auskunftsanspruch über die abgegriffenen Daten des [X.] mit vorgerichtlichen Schreiben der [X.] vom 23.08.2021 (Anlage [X.], [X.]. 87 d. A.) nicht genügt worden sei.

Der Kläger beantragt mit seiner am 26.07.2022 zugestellten Klage,

1. die Beklagte zu verurteilen, an die [X.]eite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das [X.] Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 [X.] nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz;

2. festzustellen, dass die Beklagte verpflichtet ist, der [X.]eite alle künftigen Schäden zu ersetzen, die der [X.]eite durch den unbefugten Zugriff Dritter auf das Datenarchiv der [X.], der nach Aussagen der [X.] im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden;

3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 [X.], ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a. personenbezogene Daten der [X.]eite, namentlich Telefonnummer, [X.], Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

b. die Telefonnummer der [X.]eite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Information darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendete werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der X.-M. [X.], hier ebenfalls explizit die Berechtigung verweigert wird;

4. die Beklagte zu verurteilen, der [X.]eite Auskunft über die [X.]eite betreffenden personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der [X.] durch [X.] oder durch Anwendung des Kontaktimporttools erlangt werden konnten;

5. die Beklagte zu verurteilen, an die [X.]eite vorgerichtliche Rechtsanwaltskosten in Höhe von 354,62 [X.] zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte meint, dass sie die geforderten Informationen zur Datenverarbeitung, die sie zum Zeitpunkt der Datenerhebung im Anwendungsbereich der Datenrichtlinie durchgeführt habe, allen Nutzern einschließlich des [X.] in Form der Datenrichtlinie sowie durch den Hilfebereich hinreichend zur Verfügung gestellt habe. Die entsprechenden Privatsphäre-Einstellungen seien auch nicht undurchsichtig gestaltet, insbesondere würden Einstellungen, die auf der Webseite durch einen Nutzer vorgenommen würden, auch automatisch innerhalb der M.-[X.] angewandt. Eine Divergenz der Privatsphäre-Einstellungen innerhalb eines einzelnen Nutzerkontos im Rahmen der verschiedenen Zugangsmöglichkeiten zur [X.] sei nicht möglich.

Die Beklagte ist der Ansicht, dass es sich bei dem streitgegenständlichen [X.] nicht um einen Datenschutzverstoß im Sinne der [X.] handle, da sie ihre Pflichten aus der [X.] nicht verletzt habe.

Es fehle an einer Verletzung der Sicherheit, da „lediglich“ öffentlich zugängliche Profil-Informationen im Einklang mit den Privatsphäre-Einstellungen des [X.] abgerufen und auch keine spezifischen Sicherheitsmaßnahmen oder Zugriffsberechtigungen umgangen oder überwunden (sog. Hacking) wurden. Eine unbefugte Offenlegung von oder Zugang zu den klägerischen Daten haben nicht stattgefunden.

Der [X.] könne auch, da die durch den [X.] hergestellte Verknüpfung einer der durch die [X.] hochgeladenen Telefonnummern mit dem Konto des [X.] auf die seinerzeitige Suchbarkeits-Einstellung des Kontos des [X.] zurückzuführen sei, keine Sicherheitslücke zu Last gelegt werden. Zudem habe die Beklagte technische und organisatorische Maßnahmen getroffen, um das Risiko von [X.] zu unterbinden und derartige Maßnahmen kontinuierlich und als Reaktion auf sich ständig ändernden Techniken und Strategien weiterentwickelt. Zum betreffenden Zeitpunkt habe sie über eine Übertragungsbegrenzung, also eine Beschränkung der Anzahl von Anfragen von bestimmten Daten, die pro Nutzer oder von einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht wurden, sowie über eine Bot-Erkennung durch Captchas verfügt. Ein [X.] der [X.] sei eingerichtet gewesen, um [X.] zu erkennen, zu unterbrechen und soweit möglich zu verhindern, indem Aktivitätsmuster und Verhaltensweisen, die typischerweise mit automatisierten Computeraktivitäten im Zusammenhang stehen, identifiziert worden seien. [X.] sei aber nicht vollständig zu verhindern, insbesondere da [X.] Sicherheitsmaßnahmen dadurch umgehen könnten, dass sie Sequenzen unterbrechen und auf verschiedene Geräte oder Nutzerkonten verteilen würden. Im Übrigen sei eine weitergehende Sicherung kaum möglich, ohne die ordnungsgemäße Nutzung derart einzuschränken, dass der Zweck der [X.], also nach Ansicht der [X.], die Ermöglichung, sich mit Freunden, Familie und Gemeinschaften zu verbinden und mit ihnen in Kontakt zu treten, gefährdet würde.

Darüber hinaus meinte die Beklagte, dass der etwaige Verlust über die [X.] keinen ersatzfähigen immateriellen Schaden darstelle. Das für jeden im [X.] bestehende Risiko, Opfer von Cyberkriminalität zu werden, steige nicht dadurch, dass ohnehin öffentlich einsehbare Daten an anderer Stelle erneut veröffentlicht würden. Im Übrigen sei ihr ein etwaiger Schaden nicht zuzurechnen.

Die zulässige Klage ist unbegründet.

Das Landgericht [[X.]] ist international, sachlich und örtlich zuständig.

Die internationale Zuständigkeit [[X.]] Gerichte folgt aus Art. 1 Abs. 1, Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt [[X.]] ([[X.]] Ia- VO).

Die [[X.]] Gerichtsbarkeit folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt. [[X.]]. Gemäß Art. 18 Abs. 1 2. Alt [[X.]] kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat.

Der Kläger ist gemäß Art. 17 Abs. 1 [[X.]] Verbraucher. Der Kläger hat seinen Wohnort in [...]

Die internationale Zuständigkeit [[X.]] Gerichte ergibt sich ferner aus Art. 79 Abs. 2 [[X.]]. Danach können Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Die [[X.]] ist als Verantwortliche keine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Der Kläger als betroffene Person hat seinen Wohnsitz in Deutschland.

Das Landgericht [[X.]] ist gemäß §§ 23 Nr. 1, 71 Abs. 1 GVG für die Klagen gegen die [[X.]] sachlich zuständig. Der Streitwert liegt bei 6.000,00 [[X.]] (Klageantrag zu 1: 1000,00 [[X.]], Antrag zu 2: 500,00 [[X.]], Antrag zu 3: 4.500,00 [[X.]], Antrag zu 4: 500,00 [[X.]]) und damit über 5.000,00 [[X.]].

Hinsichtlich des Antrags zu 1) war der dort begehrte Zahlbetrag in Ansatz zu bringen. Hinsichtlich des [[X.]]) war ein 50%iger Abschlag von dem mit Ziffer 1) begehrten Zahlbetrag zur Bezifferung vorzunehmen.

Hinsichtlich der Höhe des Antrags zu 3) ist im Sinne des § 3 ZPO insbesondere auf Tragweite und Umfang des [[X.]] abzustellen, dieser ist mit 4.000,00 Euro zu beziffern. Der Streitwert bei nicht vermögensrechtlichen Streitigkeiten ist anhand aller Umstände des Einzelfalls, insbesondere auch anhand der Einkommensverhältnisse und der Bedeutung der Sache, zu bemessen. Bei der [[X.]]n handelt es sich um einen multinationalen Konzern mit hohen Umsätzen, die Bedeutung der Sache ist auf Grund der Vielzahl der vom Scraping betroffenen Personen für die [[X.]] erheblich (vgl. [[X.]], Urteil vom 10. November 2022 – 6 [[X.]]/22 –, Rn. 46, juris).

Hinsichtlich des Antrags zu 4) erscheint ein Streitwert von 500,00 [[X.]] angemessen, da es noch um restliche Auskünfte ging.

Die örtliche Zuständigkeit folgt aus Art. 18 Abs. 1 2. Alt. [[X.]] und ist begründet am Wohnsitz des [[X.]].

Dem Kläger steht gegen die [[X.]] kein Anspruch auf Schadensersatz in Form eines Schmerzensgeldes aus Art. 82 DS-GVO zu. Insoweit schießt sich die Kammer der Entscheidungen des [[X.]] ([[X.]]. 6 [[X.]]/22 vom 10.11.2022) und der des Amtsgerichtes [[X.]] ([[X.]]. 25 [[X.]]/21 vom 22.09.2022) an.

Art. 82 Abs. 1 DS-GVO legt fest, dass jeder Person, der wegen eines Verstoßes gegen die [[X.]] ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat. Art. 82 Abs. 2 DS-GVO regelt den anspruchsbegründenden Sachverhalt. Gemäß Art. 82 Abs. 2 S. 1 DS-GVO haftet danach jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein bloßer Verstoß gegen jegliche Vorgabe der DS-GVO begründet für die Verantwortlichen dem Wortlaut nach noch keine Haftung. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung i.S.d. Art. 4 Nr. 2 DS-GVO. Der Vorwurf liegt darin, die Datenverarbeitung durchgeführt zu haben, ohne dass sämtliche in der [[X.]] Pflichten eingehalten wurden und deshalb ein Schaden entstanden ist. Das vorwerfbare Verhalten muss damit nicht zwangsläufig die Datenverarbeitung an sich sein. So wird häufig die Verarbeitung erst dadurch rechtswidrig, dass im Vorfeld Maßnahmen nicht ergriffen wurden, sodass die eigentlich verletzende Handlung bereits vor der Datenverarbeitung lag. Konsequenterweise kann daher bereits der Verstoß gegen solche Pflichten einen Anspruch auf Schadensersatz begründen. Verletzungshandlungen liegen damit vor, wenn die Rechte der betroffenen Personen oder Grundsätze der Datenverarbeitung nur unzureichend beachtet werden. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortlicher oder der Auftragsverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte.

Die verspätete Erteilung einer Datenauskunft gemäß Art. 15 DS-GVO ist keine Verarbeitung personenbezogener Daten i.S.d. Art. 4 Nr. 2 DS-GVO. Datenverarbeitung bezeichnet gemäß Art. 4 Nr. 2 DS-GVO nur jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die Verletzung von Auskunfts- oder Benachrichtigungspflicht im Nachgang an einen Verarbeitungsvorgang ist hingegen nicht erfasst ([[X.]], BeckRS 2021, 6282; [[X.]], BeckRS 2021, 18275; [[X.]], [[X.]], 48). Denn diesen Pflichten fehlt es an dem [[X.]] Zusammenhang zu personenbezogenen Daten; die Begründung derartiger Pflichten setzt ihrerseits bereits zwingend einen Verarbeitungsvorgang voraus und begründet ihn nicht erst.

Der Kläger hat aus den aufgeführten Gründen auch keinen Anspruch auf Schmerzensgeld aus Art. 82 DS-GVO wegen eines etwaigen Verstoßes der [[X.]]n gegen die in Art. 34 DS-GVO geregelte Benachrichtigungspflicht.

Der Kläger kann den geltend gemachten Schmerzensgeldanspruch zudem nicht auf einen Verstoß gegen Art. 5 Abs. 1 lit. f, 32 Abs. 1, 2 DS-GVO wegen unzureichender Sicherheitsvorkehrungen stützen.

Zwar umfasst der Anknüpfungspunkt für den Verstoß gegen die DS-GVO nicht nur die Verletzung spezifischer Pflichten, sondern auch allgemeiner Vorgaben wie den Datenschutzgrundsätzen in Art. 5 DS-GVO oder den Anforderungen an die Datensicherheit nach Art. 32 DS-GVO, solange die Verletzung dieser Pflichten wiederum auf einer konkreten Verarbeitung beruhen bzw. sich auf eine solche auswirken. Jedoch hat die [[X.]] nicht gegen die ihr dort auferlegte Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen.

Art. 32 Abs. 1 i.V.m. Abs. 2 DS-GVO formt den allgemeinen Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f DS-GVO näher aus. Er verlangt Verarbeitungsprozessen ab, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u.a. davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten.

Die immer öffentlich zugänglichen Informationen des Profils des [[X.]] sind zwar von [[X.]] erhoben (gescrapt) und verarbeitet worden i.S.d. Art. 4 Nr. 2 DS-GVO. Allerdings war die [[X.]] nicht verpflichtet, diese Daten vor der Verarbeitung durch die [[X.]] zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des [[X.]], nämlich seinem Namen, seinem Geschlecht und seinem Benutzernamen, um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie [[X.]] oder ähnlichem abrufbar sind. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig.

Auch das Vorbringen des [[X.]], ihm seien zum Zeitpunkt seiner Registrierung als Nutzer die Standardeinstellungen auf der [[X.]] nicht bekannt gewesen, rechtfertigt nicht die Annahme, die [[X.]] habe gegen ihr obliegende Schutzpflichten verstoßen. Denn die [[X.]] durfte und musste davon ausgehen, dass dem Kläger bekannt ist, dass sein Name, sein Geschlecht und sein Benutzername für jedermann abrufbar ist und hatte daher keine Veranlassung, diese Daten vor der Erhebung durch Dritte zu schützen. Die [[X.]] hat nämlich den Kläger, bevor dieser sich auf der [[X.]] registrieren konnte, auf ihre Datenrichtlinien hingewiesen und der Kläger hat diese mit seiner Registrierung bestätigt. Die streitgegenständlichen Datenrichtlinien der [[X.]]n enthielten die Information, dass u.a. der Name, das Geschlecht und der Nutzername des Nutzers immer öffentlich zugänglich sind und von jeder Person gesehen werden können.

Dass nicht öffentlich zugängliche Informationen, nämlich Telefonnummer, Mailadresse, Wohnort (an anderer Stelle konkretisiert als „Bundesland, Land und [[X.]]“), Beziehungsstatus und „weitere korrelierende Daten“ des [[X.]] vom klägerischen Profil von [[X.]] erhoben worden sind, kann nicht festgestellt werden. Es fehlt es an einem substantiierten Vortrag des [[X.]], welche konkreten Daten erhoben worden sein sollen.

Für seine dahingehende Behauptung tritt der Kläger darüber hinaus auch keinen tauglichen Beweis an. Die Inaugenscheinnahme der von ihm angegebenen öffentlich zugänglichen Datenbank mit Inhalt der entwendeten Daten ist als Beweismittel ungeeignet, da dort die durch das Scraping abgerufenen Daten lediglich abstrakt beschrieben werden; welche konkreten personenbezogenen Daten des [[X.]] - neben den immer öffentlich zugänglichen Informationen - erhoben worden sind, wird dort nicht angegeben.

Der von den [[X.]]n unter Nutzung des [[X.]] der [[X.]] hergestellte Abgleich zwischen der von ihnen generierten und hochgeladenen Telefonnummer des [[X.]] mit seinem Nutzerkonto stellt zwar eine Verarbeitung i.S.d. DS-GVO dar. Jedoch war die [[X.]] nicht verpflichtet, das Nutzerkonto des [[X.]] vor dessen Auffinden über die Telefonnummer des [[X.]] zu schützen. Der Kläger hat der [[X.]]n seine Telefonnummer bereitgestellt, die die [[X.]] im Rahmen der [[X.]] verwendete, um festzulegen, welche Personen das F-Konto des [[X.]] anhand dessen Telefonnummer finden können, nämlich alle Personen. Der von den [[X.]]n veranlasste Abgleich war folglich jeder Person, die - wie die [[X.]] - über die Telefonnummer des [[X.]] verfügte, möglich und ist isoliert betrachtet nicht unbefugt bzw. unrechtmäßig.

Dass dem Kläger nach seinem Vorbringen nicht bekannt war, dass alle Personen über seine Telefonnummer sein F-Konto finden, hat nicht zur Folge, dass die [[X.]] verpflichtet war, Schutzmaßnahmen zu ergreifen, die das F-Konto des [[X.]] vor einem Auffinden über seine Telefonnummer schützen. Denn die [[X.]] musste annehmen, dass dem Kläger bekannt ist, dass sein F-Konto über seine Telefonnummer für jedermann aufzufinden ist, weil dieser vor seiner Registrierung bestätigte, die Datenrichtlinien der [[X.]]n gelesen zu haben. Diese enthalten unter der Überschrift „Wie kann ich festlegen, wer [[X.]] über meine E-Mail-Adresse oder Handynummer auf [X.] finden kann?“ die Information, dass es die [[X.]] allen Personen, die über die Telefonnummer des [X.] verfügen, gestattet, den Nutzer zu finden. Weiter heißt es, dass der Nutzer über seine Privatsphäre-Einstellungen auswählen kann, wer mithilfe der Telefonnummer des Nutzers nach diesem suchen kann. Der Kläger hatte es also in der Hand, unter Zuhilfenahme des jedem Nutzer der [[X.]] zugänglichen Hilfebereichs die [[X.]] für sein Nutzerkonto zu ändern und dahin anzupassen, dass nicht alle Personen, die seine Telefonnummer hochladen, sein Nutzerkonto auffinden.

Der Kläger kann den geltend gemachten Schadensersatz auch nicht auf eine Verletzung des Art. 35 DS-GVO durch die [[X.]] wegen unterlassener Datenschutz-Folgenabschätzung stützen. Aus der Tatsache, dass die [X.] Datenschutzaufsichtsbehörde Ermittlungen gegen die [[X.]] aufgenommen hat, kann nicht geschlossen werden, dass die [[X.]] im maßgeblichen Zeitraum gegen Art. 35 DS-GVO verstoßen hat. Selbst wenn man annähme, dass die [[X.]] in diesem Zeitraum eine Folgenabschätzung trotz hohen Risikos für die Rechte und Freiheiten der Nutzer der [[X.]] nicht durchgeführt hat, ist nicht ersichtlich, dass die unterlassene Folgeneinschätzung (mit) ursächlich für den vom Kläger geltend gemachten Schaden, nämlich den Verlust über die Kontrolle seiner gescrapten Daten, war. Hiergegen spricht bereits, dass es sich bei den gescrapten Daten um immer öffentlich zugängliche Informationen des F-Profils des [[X.]] handelt.

Mangels Verstoß gegen die DS-GVO besteht kein Anspruch des [[X.]] auf Feststellung hinsichtlich einer Ersatzpflicht der [[X.]]n mit [X.]ick auf künftige Schäden.

Ein Unterlassungsanspruch aus §§ 1004 analog, 823 Abs. 1, 2 BGB, Art. 6 Abs. 1, 17 DS-GVO besteht ebenfalls nicht mangels rechtswidriger Verarbeitung der personenbezogenen Daten des [[X.]].

Bezüglich der Kontakt-Import-Funktion ist der Anspruch auch bereits unschlüssig, da die betreffende Funktion nach dem [X.] unstreitig entfernt wurde.

Dasselbe gilt im Hinblick auf die sonstige Verarbeitung der Telefonnummer. Der Kläger hat die betreffende Zielgruppenauswahl bereits vor dem [X.] und die [[X.]] nach dem Vorfall am 28.12.2019 ([X.]. 234 d. A.) jeweils auf „Nur ich“ umgestellt. Darüber hinaus bleibt es dem Kläger freigestellt, seine Telefonnummer gänzlich von seinem Nutzerkonto zu löschen.

Ein Auskunftsanspruch aus Art. 15 DS-GVO scheitert unabhängig davon, ob es sich bei der nutzungswidrigen Sammlung der Daten durch unbekannte Dritte um eine Verarbeitung durch die [[X.]] handelt, zumindest an der Erfüllung im Sinne des § 362 BGB. Die [[X.]] legte dem Kläger mit Schreiben vom 23.08.2021 (Anlage [X.], [X.]. 87 ff. d. A.) dar, dass lediglich die auf der [[X.]] „öffentlich“ einsehbaren Daten sowie die durch [[X.]] generierte Telefonnummer und das dadurch identifizierbare Land des [[X.]] durch Scraping abgerufen wurden. Weiterhin wurde durch die [[X.]] ein Link zu einem Tool zur Verfügung gestellt mit dessen Hilfe der Kläger eine Kopie seiner [X.] herunterladen kann.

Mangels Pflichtverletzung besteht darüber hinaus auch kein Anspruch auf den Ersatz vorgerichtlicher Anwaltskosten gemäß §§ 280 Abs. 1, 2, 286 Abs. 1 BGB.

Das Gericht ist im Übrigen nicht gehalten, das vorliegende Verfahren bis zur Entscheidung des [X.] über das Vorabentscheidungsersuchen des [X.] vom 03.03.2022 zum [[X.]]. 132 [X.] 737/22 oder bis zur Entscheidung des [X.] über das Vorabentscheidungsersuchen des [X.] vom 15.04.2021 zum [[X.]]. 6 Ob 35/21 x auszusetzen. Denn die dem [X.] vorgelegten Rechtsfragen sind im hiesigen Verfahren nicht entscheidungserheblich.

Die Kostenentscheidung ergibt sich aus § 91 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf §§ 708 Nr. 11, 711 ZPO.

Der Streitwert war entsprechend den obigen Ausführungen abschließend auf 6.000,00 [[X.]] festzusetzen.