Entscheidungsstichwort (Thema)
Kein immaterieller Schaden durch angeblichen Kontrollverlust hinsichtlich persönlicher Daten
Leitsatz (amtlich)
1. Ein immaterieller Schaden ist nicht bereits in einem angeblichen Kontrollverlust zu sehen, der durch sog. Daten-Scraping entstanden ist, sondern kann allenfalls Folge dieses Kontrollverlustes sein.(Rn. 23)
2. Ein Feststellungsinteresse ergibt sich jedenfalls dann nicht aus einem Kontrollverlust über persönlich Daten, wenn keine Anhaltspunkte dafür bestehen, dass im Hinblick auf die konkret betroffenen Daten und das Verhalten des Betroffenen noch ein materieller Schaden drohen könnte. (Rn. 31)
Normenkette
BGB §§ 275, 362, 823, 1004; DSGVO Art. 7, 15, 17, 25, 32, 82; ZPO § 256
Verfahrensgang
LG München I (Urteil vom 20.04.2023; Aktenzeichen 15 O 4507/22) |
Tenor
1. Auf die Berufung der Beklagten wird das Urteil des Landgerichts München vom 20.04.2023, Az. 15 O 4507/22, abgeändert und die Klage insgesamt abgewiesen.
2. Die Anschlussberufung des Klägers wird zurückgewiesen.
3. Der Kläger hat die Kosten des Rechtsstreits zu tragen.
4. Das Urteil ist ohne Sicherheitsleistung vorläufig vollstreckbar. Der Kläger kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110% des vollstreckbaren Betrages abwenden, wenn nicht die Gegenseite vor der Vollstreckung Sicherheit in gleicher Höhe leistet
5. Die Revision wird zugelassen.
Gründe
I. Die Parteien streiten um Schadensersatz-, Auskunfts- und Unterlassungsansprüche nach einem Daten-Scraping. Die Klagepartei ist Nutzer des sozialen Netzwerks .... Für Nutzer im Gebiet der Europäischen Union ist die Beklagte Anbieterin dieser Plattform.
Anfang April 2021 wurden Daten von ca. 533 Millionen Nutzern aus 106 Ländern im Internet durch unbekannte Dritte öffentlich verbreitet. Bei den Datensätzen handelte es sich um Telefonnummer, ID, Name, Vorname, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus und weitere Daten. Teile der von dem Vorfall betroffenen Daten wurden in den Jahren 2018 und 2019 bei der Beklagten mittels des ...-Tools Kontakt-Importer (CIT, Contact-Import-Tool) "gescraped", d.h. aus zum Teil öffentlich zugänglichen Daten durch automatisierte Abfragen in großer Zahl ausgelesen. Bei dem Scraping-Vorgang wurden durch die unbekannten Täter virtuelle Adressbücher mit einer großen Zahl an willkürlich gewählten Telefonnummern erstellt, um sodann über das CIT automatisiert herauszufinden, ob bei der Beklagten zu diesen Telefonnummern ... Profile bestanden. Wurde hierbei ein ...-Profil gefunden, so fragten die unbekannten Täter die bei zum Profil gespeicherten (öffentlich einsehbaren) Daten ab und exportierten diese.
Automatisierte Scraping-Aktivitäten ohne Erlaubnis der Beklagten waren während des hier gegenständlichen Zeitraums durch die Nutzungsbedingungen für die ... Plattform verboten und sind auch weiterhin untersagt.
Unabhängig von etwaigen Einstellungen sind auf der Plattform der Beklagten die Nutzerdaten Name, ID und Geschlecht immer öffentlich einsehbar. Einstellungen bzgl. der Telefonnummer konnten Nutzer an zwei Orten vornehmen. Im Rahmen der "Privatsphäre-Einstellungen" konnten unter den von der Beklagtenseite so bezeichneten Bereichen "Zielgruppenauswahl" und "Suchbarkeits-Einstellungen" Einstellungen vorgenommen werden. In Bezug auf die Telefonnummer konnte zum einen eingestellt werden, wer die Telefonnummer auf dem Profil des Nutzers sehen könne ("Zielgruppenauswahl"), wobei die Optionen "öffentlich", "Freunde" und "Freunde von Freunden" möglich waren. Zum andere konnte eingestellt werden, wer den Nutzer über die Telefonnummer finden könne (Suchbarkeits-Einstellungen). Insofern war als Voreinstellung eingestellt, dass "alle/jeder" den Nutzer über die Telefonnummer finden könne. In den Suchbarkeits-Einstellungen im Profil der Klagepartei war die Einstellung hinsichtlich der Telefonnummer auf "alle" eingestellt und nicht verändert seit 21.02.2018.
Mit vorgerichtlicher E-Mail vom 11.06.2021 forderte die Klagepartei die Beklagte zur Zahlung von 500,00 EUR Schadensersatz nach Art. 82 Abs. 1 DSGVO, zur Unterlassung zukünftiger Zugänglichmachung der Daten der Klagepartei an unbefugte Dritte sowie zur Auskunft darüber auf, welche konkreten Daten im April 2021 abgegriffen und veröffentlicht worden seien (Anlage K 1). Mit Schreiben vom 23.08.2021 (Anlage K 2) wies die Beklagte Ansprüche auf Schadensersatz und Unterlassung zurück und erteilte der Klagepartei Auskünfte. Mit Schreiben vom 09.09.2021 (Anlage B 15) erteilte die beklagte Partei ebenfalls Auskünfte.
Gestützt auf den Scraping-Vorgang hat der Kläger erstinstanzlich eine Vielzahl von Datenschutzverstößen durch die Beklagte behauptet, die sich sowohl auf die Erstregistrierung, die Weiterverarbeitung seiner Daten nach Inkrafttreten der Datenschutzgrundverordnung und die Behandlung des Scraping-Vorfalls nach dessen Bekanntwerden erstrecken. Er hat die Auffassung vertreten, wegen dieser Verstöße und der erlittenen Ängste und Sorgen wegen des eingetretenen Kontrollverlusts st...