Verfahrensgang
LG Osnabrück (Aktenzeichen 11 O 110/23) |
Tenor
Auf die Berufung des Klägers wird das am 28. Juli 2023 verkündete Urteil des Landgerichts Osnabrück geändert:
Die Beklagte wird verurteilt, an den Kläger 250 EUR nebst Zinsen in Höhe von 5 Prozentpunkten seit dem 5. Juli 2023 sowie vorgerichtliche Rechtsanwaltskosten in Höhe von 65,03 EUR nebst Zinsen in Höhe von 5 Prozentpunkten seit dem 5. Juli 2023 zu zahlen. Im Übrigen wird die Klage abgewiesen.
Die Kosten erster Instanz trägt der Kläger. Die Kosten der Berufungsinstanz trägt der Kläger zu 87,5 % und die Beklagte zu 12,5 %.
Das Urteil ist ohne Sicherheitsleistung vorläufig vollstreckbar.
Die Revision wird nicht zugelassen.
Der Streitwert für die erste Instanz wird auf 2.500 EUR festgesetzt.
Gründe
I. Von der Darstellung des Tatbestands wird gemäß § 540 Abs. 2, § 313a Abs. 1 Satz 1 ZPO abgesehen, weil ein Rechtsmittel gegen die Entscheidung nicht zulässig ist (§§ 543, 544 Abs. 2 Nr. 1 ZPO).
II. Die zulässige Berufung ist teilweise begründet.
1. Die von Amts wegen zu prüfende internationale Zuständigkeit der deutschen Gerichte folgt aus Art. 79 Abs. 2 Satz 2 DSGVO, da der Kläger als betroffene Person seinen gewöhnlichen Aufenthalt in Deutschland hat. Die Datenschutzgrundverordnung ist in zeitlicher, sachlicher und räumlicher Hinsicht anwendbar.
Der zeitliche Anwendungsbereich der Datenschutzgrundverordnung ist eröffnet. Gemäß Art. 99 Abs. 2 DSGVO gilt die Datenschutzgrundverordnung ab dem 25. Mai 2018. Der Kläger hat behauptet, dass die Beklagte die seine personenbezogenen Daten betreffenden Verstöße gegen die Datenschutzgrundverordnung, insbesondere das unbefugte Zugänglichmachen seiner Daten gegenüber Dritten, im Jahr 2019 begangen habe (S. 4 der Klageschrift vom 10. Januar 2023, GA I 4). Dem ist die Beklagte nicht entgegengetreten. Zwar hat sie ausgeführt, dass sich der Scraping-Vorfall über den Zeitraum von Januar 2018 bis September 2019 erstreckt habe (S. 14 f Rn. 26 der Klageerwiderung vom 25. April 2023, GA I 86 f), jedoch die Behauptung des Klägers, dass das Abschöpfen seiner Daten durch unbekannte Dritte im Jahr 2019 erfolgt sei, nicht in Abrede gestellt. Davon abgesehen hat sie wegen des Scraping-Vorfalls unter anderem auch auf ihre Pressemitteilung vom 6. April 2021 verwiesen (Anlage B10), in der der Scraping-Vorfall ebenfalls im Jahr 2019 verortet wird (S. 29 Rn. 64 der Klageerwiderung, GA I 101). Folglich ist davon auszugehen, dass die personenbezogenen Daten des Klägers im Jahr 2019 abgeschöpft wurden.
Der sachliche Anwendungsbereich der Datenschutzgrundverordnung ist ebenfalls eröffnet. Gemäß Art. 2 Abs. 1 DSGVO gilt die Datenschutzgrundverordnung unter anderem für die automatisierte Verarbeitung personenbezogener Daten. Bei den hier in Rede stehenden Daten des Klägers (Familienname, Vorname, Geschlecht, DD-ID, Mobilfunknummer) handelt es sich um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO. Diese wurden von der Beklagten im Rahmen des von ihr betriebenen sozialen Netzwerks DD automatisiert verarbeitet (vgl. Leupold/Wiebe/Glossner, IT-Recht, 4. Aufl., Teil 15.3 Rn. 28). Das Geschäftsmodell des sozialen Netzwerks DD basiert auf der Finanzierung durch Online-Werbung, die auf den individuellen Nutzer des sozialen Netzwerks insbesondere nach Maßgabe seines Konsumverhaltens, seiner Interessen, seiner Kaufkraft und seiner Lebenssituation zugeschnitten ist. Technische Grundlage dieser Art von Werbung ist die automatisierte Erstellung von detaillierten Profilen der Nutzer des Netzwerks und der auf Ebene des BB-Konzerns angebotenen Online-Dienste. Zu diesem Zweck werden neben den Daten, die diese Nutzer bei ihrer Registrierung für die betreffenden Online-Dienste direkt angeben, weitere nutzer- und gerätebezogene Daten innerhalb und außerhalb des sozialen Netzwerks und der vom BB-Konzern bereitgestellten Online-Dienste erhoben und mit den verschiedenen Nutzerkonten verknüpft. In ihrer Gesamtheit lassen diese Daten detaillierte Rückschlüsse auf die Präferenzen und Interessen der Nutzer zu (EuGH, Urteil vom 4. Juli 2023 - C-252/21, juris Rn. 27).
Schließlich ist auch der räumliche Anwendungsbereich der Datenschutzgrundverordnung eröffnet. Gemäß Art. 3 Abs. 1 DSGVO findet die Datenschutzgrundverordnung auf die Verarbeitung personenbezogener Daten Anwendung, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Bei der Beklagten handelt es sich um ein Unternehmen nach dem Recht der irischen Republik mit Sitz in Ort2, mithin innerhalb der Union. Da die DD-Plattform für Nutzer in der Europäischen Union von ihr betrieben wird, ist sie Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO.
2. Der Kläger hat gegen die Beklagte aus Art. 82 Abs. 1 DSGVO einen Anspruch auf Schadenersatz in Höhe von 250 EUR.
a) Der Klageantrag zu 1 ist zulässig, insbesondere gemäß § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt. Dem steht nicht entgegen, dass der Kläger ...