Leitsatz (amtlich)
1. Voreinstellungen eines sozialen Netzwerks sind nach dem Grundsatz der "Datenschutzfreundlichkeit" so auszugestalten, dass nur die Verarbeitung standardmäßig ausgeführt wird, die unbedingt erforderlich ist, um den vorgesehenen rechtmäßigen Zweck zu erreiche; eine Suchbarkeitsvoreinstellung auf "alle" steht hiermit nicht im Einklang.
2. Die Beweislast in einem Schadensersatzprozess für eine Verstoß gegen die Pflicht zur Schaffung eines angemessenen datenschutzrechtlichen Schutzniveaus tragt der Anspruchsteller.
3. Ein abstrakter "Kontrollverlust" reicht allein für einen immateriellen Schaden im Sinne des Art. 82 DSGVO nicht aus, für eine darüber hinausgehende Beeinträchtigung trägt der Anspruchsteller die Beweislast.
4. Liegt der Datenschutzverstoß (hier: "Scraping") bereits mehrere Jahre zurück, reicht die bloß theoretische Möglichkeit, dass es in der Zukunft zu einem Schaden kommen könnte, für ein Feststellungsinteresse nicht aus.
Verfahrensgang
LG Chemnitz (Aktenzeichen 1 O 429/22) |
Tenor
1. Auf die Berufung der Beklagten wird das Urteil des Landgerichtes Chemnitz vom 20.03.2023 - 1 O 429/22 - aufgehoben und die Klage abgewiesen.
2. Die Kosten des Rechtsstreites beider Instanzen trägt der Kläger.
3. Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des zu vollstreckenden Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in gleicher Höhe leistet.
4. Die Revision wird zugelassen.
Beschluss:
Der Streitwert wird für das Berufungsverfahren auf 4.000,00 EUR und für das erstinstanzliche Verfahren auf 5.500,00 EUR festgesetzt.
Gründe
I. Die Klagepartei nimmt die Beklagte als Betreiberin des sozialen Netzwerkes C. wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung in der Zeit von 2018 bis 2019 in Zusammenhang mit einem "Scraping Vorfall" auf immaterielle Entschädigung, Feststellung, Unterlassung und Auskunft in Anspruch.
Die Beklagte betreibt in der Europäischen Union das soziale Online-Netzwerk C. und bietet Dienste an, die für private Nutzer kostenlos sind. Das Geschäftsmodell der Beklagten basiert auf der Finanzierung durch Online-Werbung, die auf den individuellen Nutzer des sozialen Netzwerks insbesondere nach Maßgabe seines Konsumverhaltens, seiner Interessen, seiner Kaufkraft und seiner Lebenssituation zugeschnitten ist. Die C.-Plattform ermöglicht es Nutzern, persönliche Profile zu erstellen und diese mit Freunden oder der Öffentlichkeit zu teilen und sich auszutauschen. Die Klagepartei ist Nutzerin des von der Beklagten betriebenen sozialen Netzwerkes C., auf das sie nach Registrierung auf der Website oder über Apps für Mobiltelefone und Tablets zugreifen kann. Mit der Registrierung wird jede Klagepartei auf die Datenschutz- und Cookierichtlinien der Beklagten hingewiesen und muss diesen zustimmen, wodurch ein Nutzungsvertrag abgeschlossen wird. Hierbei sind die Angabe des Vor- und Nachnamens, des Geschlechtes und eine generierte Nutzer-ID zwingende Voraussetzung für die Registrierung. Diese Daten sind stets öffentlich. Bei der Angabe von weiteren fakultativen Daten (z.B. Geburtsdatum, Wohnort, E-Mail-Adresse und Telefonnummer) können in der Privatsphäreneinstellung unterschiedliche Einstellungen gewählt werden. Der Nutzer kann entscheiden, ob diese Daten für alle, also "öffentlich" oder für "Freunde" oder "Freunde von Freunden" einsehbar sind. Bei der Zielgruppenauswahl wird festgelegt, wer einzelne Informationen im C.-Profil des Nutzers sehen kann, bei der Suchbarkeitseinstellung, wer das Profil eines Nutzers z.B. anhand einer Telefonnummer durch eine "Freundschaftsanfrage" finden kann. Die Standardeinstellung für die Suchbarkeit nach der Telefonnummer war während des relevanten Zeitraumes "alle". Das Auffinden eines Nutzerprofils auf der C.-Plattform mittels einer Telefonnummer fand u.a. mit dem von der Beklagten angebotenen Contact Import Tool (CIT) statt. Das CIT ermöglichte es Nutzern, ihre Kontakte von ihren Mobilgeräten auf der C.-Plattform zu finden und mit ihnen in Verbindung zu treten.
Die Klagepartei registrierte sich Mitte 2011/2012 bei C.. Die Suchbarkeitseinstellung bezüglich der Telefonnummer war bis zum 02.02.2021 auf "alle" eingestellt und wurde danach von der Klagepartei auf "nur ich" geändert (Anlage B17). Die Telefonnummer war auf dem C.-Profil nicht öffentlich einsehbar.
Im Zeitraum von Januar 2018 bis September 2019 kam es auf der C.-Plattform zu einem sogenannten Scraping, also dem massenhaften, automatisierten Sammeln persönlicher Daten von C.-Nutzern. Dritte nutzten hierfür das Contact Import Tool und luden einen großen Satz von Telefonnummern bzw. Ziffernkombinationen hoch, um festzustellen, ob diese mit C.-Nutzern übereinstimmen. Sie konnten so den generierten Telefonnummern ein bestimmtes Nutzerprofil zuordnen und die öffentlich einsehbaren Daten - das heißt die stets zwingend öffentlichen Daten und die vom Nutzer öffentlich eingestellten Daten - einsehen. Dies be...