6 O 195/22

Leitsatz: Der Betreiber einer Social-Media-Plattform ist nicht verpflichtet, Nutzerdaten vor der Verarbeitung durch Scraper zu schützen, soweit die Daten für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen abrufbar sind und dies den Nutzern bekannt ist. Die Klage wird abgewiesen. Der Kläger trägt die Kosten des Rechtsstreits. Das Urteil ist gegen Sicherheitsleistung in Höhe von 120 % des zu vollstreckenden Betrages vorläufig vollstreckbar. Die zulässige Klage ist unbegründet. I. Der Zulässigkeit der Klage steht nicht die Unbestimmtheit des Klageantrages zu 1. (§ 253 Abs. 2 ZPO) entgegen. Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Die nötige Bestimmtheit wird hier dadurch erreicht, dass der Kläger in der Klagebegründung die Berechnungs- und Schätzungsgrundlagen umfassend dargelegt und die Größenordnung seiner Vorstellungen mit einem Betrag in Höhe von 1.000 Euro angegeben hat (vgl. Zöller/Greger, 33.A., § 253 ZPO Rz. 13, 14). Auch der Klageantrag zu 3. weist die erforderliche Bestimmtheit auf. Eine auslegungsbedürftige Antragsformulierung ist dann hinzunehmen, wenn dies zur Gewährleistung eines effektiven Rechtsschutzes erforderlich ist, mithin die Klägerseite ihren Antrag nicht konkreter fassen kann (vgl. nur BGH GRUR 2017, 422). Dies ist hier der Fall. Selbst bei einer Benennung derzeitiger technischer Schutzvorkehrungen würde dies in Anbetracht der technischen Weiterentwicklung dazu führen, dass die aktuellen Vorkehrungen veralten, so dass der Kläger erneut klagen müsste. Dies stünde einem effektiven Rechtsschutz entgegen (vgl. hierzu LG Gießen, Urteil vom 3.11.2022, 5 O 195/22). II. Die Klage ist jedoch vollumfänglich unbegründet. 1. Dem Kläger steht kein Anspruch auf Zahlung eines immateriellen Schmerzensgeldes aus Art. 82 DSGVO zu. a) Insoweit fehlt es bereits an einer schadensersatzauslösenden Pflichtverletzung der Beklagten im Sinne der DSGVO. aa) Ein Verstoß gegen Art. 5 Abs. 1 DSGVO liegt schon deshalb nicht vor, weil es auch bei Informationspflichten der Rücksichtnahme auf den Grundsatz des Art. 5 Abs. 1 DSGVO bedarf. Demnach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Dieser Grundsatz der Transparenz überträgt sich dann in die Informations- und Aufklärungspflicht nach Art. 13 DSGVO. Die Aufklärung über die Zwecke der Verarbeitung muss insbesondere für den Nutzer klar verständlich und nachvollziehbar sein. Das ist vorliegend der Fall. Bei dieser Abwägung war auch maßgeblich darauf abzustellen, dass die Nutzung der Plattform als solche freiwillig ist (vgl. hierzu LG Essen, Urteil vom 10.11.2022, 6 O 111/22 Rz. 50 – 52). bb) Es liegt auch kein Verstoß der Beklagten gegen die in Art. 32 DSGVO statuierte Pflicht zum ausreichenden Schutz der personenbezogenen Daten der Nutzer vor. Art. 32 DSGVO verlangt lediglich ein angemessenes Schutzniveau. Von daher war die Beklagte nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils des Klägers zu verhindern. Der Betreiber einer Social – Media – Plattform ist insoweit nicht verpflichtet, Nutzerdaten vor der Verarbeitung durch Scraper zu schützen, soweit die Daten – wie hier – für jedermann ohne Zugangskontrolle ober Überwindung technischer Zugangsbeschränkungen abrufbar sind und dies dem Nutzer bekannt ist; die Erhebung dieser Daten als solche erfolgte daher nicht unrechtmäßig (vgl. LG Essen, Urteil vom 10.11.2022, 6 O 111/22, Rz. 54). Das Risiko, dass über technische Programme selbst gewählte Freigaben personenbezogener Daten ausgenutzt und missbraucht werden, ist bei der Internetnutzung vom Nutzer zu tragen, wenn sich dieser eigenverantwortlich zur Nutzung entschlossen hat und – wie hier – selbst entscheiden konnte, wie weit er die Angebote nutzt (vgl. LG Essen, Urteil vom 10.11.2022, 6 O 111/22, Rz. 62). cc) Darüber hinaus liegt auch kein Verstoß der Beklagten gegen Art. 24, 25 Abs. 2 DSGVO vor. Die Beklagte hat im vorliegenden Rechtsstreit detailliert und damit ausreichend dargelegt, dass sie technische Maßnahmen ergriffen hat, um Scraping zu erschweren, indem sie nämlich unter anderem eine Hürde implementiert hat, wonach Abfragen in gewissem Umfang von ein – und derselben Adresse IP – Adresse in einem bestimmten Zeitraum nicht möglich sind bzw. gestoppt werden (vgl. S. 29, 30 der Klageerwiderung, Bl. 142, 143 Bd. I d.A.). b) Zudem ist das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort – und Zeiteinbußen zählen, nicht ersichtlich. Der Kläger hat zwar ausgeführt, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide. Gegen das tatsächliche Vorliegen und die Plausibilität der vom Kläger behaupteten Beeinträchtigungen spricht jedoch bereits der Umstand, dass es sich bei den gescrapten Daten des Klägers um Daten handelt, die immer öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Von daher ist nicht nachvollziehbar, weshalb eine weitere Veröffentlichung dieser Daten beim Kläger zu einem unguten Gefühl geführt haben sollte. Darüber hinaus hat der Kläger im Rahmen seiner persönlichen Anhörung in der mündlichen Verhandlung vom 7.12.2022 vorgetragen, dass er mit seinem ursprünglichen Nachnamen ... kontaktiert wurde, obwohl er 2014 geheiratet und den Nachnamen der Ehefrau ... angenommen habe. Insofern ist die Kausalität zum Scraping – Sachverhalt widerlegt. Denn schon nach dem eigenen Vortrag des Klägers ist allein der gegenwärtige Nachname ... des Klägers von dem Scraping – Sachverhalt betroffen. Kontaktaufnahmeversuche unter Bezugnahme auf den ursprünglichen Nachnamen ... können somit nicht auf den Scraping – Sachverhalt zurückgeführt werden. 2. Über den Klageantrag zu 2. hatte das Gericht nicht zu entscheiden, da die innerprozessuale Bedingung nicht eingetreten ist. 3. Der Kläger hat auch keinen Unterlassungsanspruch gegen die Beklagte gemäß §§ 1004 analog, 823 Abs. 2 BGB iVm Art 6 I, Art. 17 DSGVO. Eine Zuwiderhandlung der Beklagten liegt nicht vor und ist auch nicht für die Zukunft zu befürchten. Es wurden lediglich Daten abgeschöpft und weiter veröffentlicht, die ohnehin immer öffentlich sind. Dass es keinen Anspruch auf Schutz der Veröffentlichung von bereits öffentlichen Daten gibt, versteht sich von selbst. Der Kläger hat auch keinen Anspruch auf eine weitergehende Auskunft gemäß Art. 15 DSGVO. Die Beklagte hat dem Kläger Auskunft über die von ihr verarbeiteten Daten in angemessener Weise zur Verfügung gestellt. Welche Daten des Klägers gescrapt worden sind, ist dem Kläger bereits bekannt, so dass auch diesbezüglich keine weitergehende Auskunftspflicht bestehen kann. Soweit der Kläger ferner Auskunft über die Empfänger der "Scraping – Daten" verlangt, scheitert ein Anspruch an der erteilten Auskunft der Beklagten, sie sei zu weiteren Informationen nicht imstande. Im Ergebnis ist die Klage abzuweisen. Die Nebenentscheidungen folgen aus §§ 91 I, 709 ZPO. Streitwert: 11.000 Euro Die Parteien streiten um Ansprüche auf Schadensersatz, Unterlassung, Auskunft wegen behaupteter Verletzung von Persönlichkeitsrechten, Grundrechten und Grundfreiheiten, insbesondere um Rechte auf Schutz personenbezogener Daten. Der Kläger nutzt die von der Beklagten betriebene Social Media Plattform ..., insbesondere um mit Freunden zu kommunizieren, private Fotos zu teilen und mit anderen Nutzern im Netz zu diskutieren. Die Beklagte betreibt die Website ... und der darauf enthaltenen Dienste. Die Dienste der Beklagten ermöglichen es den Nutzern, persönliche Profile für sich zu erstellen und mit Freunden zu teilen. Die Nutzer können auf den persönlichen Profilen Angaben zu verschiedenen Daten zu ihrer Person machen und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf ihre Daten zugreifen können. Anfang April 2021 sind Daten von ca. 533 Millionen ... – Nutzern aus 106 Ländern im Internet öffentlich verbreitet worden. Bei den Datensätzen handelt es sich um Telefonnummer, ...ID, Name, Vorname, Geschlecht und weitere korrelierende Daten. Bei diesem Vorfall wurden bei der Beklagten personenbezogene Daten aus dem Datenbestand von ... mittels des ... – Tools Kontakt - Importer (CIT, Contact – Import – Tool)"gescrapt", also aus zum Teil öffentlich – zugänglichen Daten abgeschöpft. Insoweit wurden auch den Kläger betreffende Daten abgeschöpft und im Internet auf Seiten veröffentlicht, die illegale Aktivitäten begünstigen sollen, z.B. auf der Seite raidforums.com. Mit vorgerichtlicher e-mail vom 25.3.2022 (vgl. Anlage K 1, Bl. 56 – 67 Bd. I d.A.) wurde die Beklagte vergeblich zur Zahlung von 500 Euro bis 25.4.2022 und Unterlassung künftiger Zugänglichmachung der Daten des Klägers sowie Erteilung einer Auskunft, welche konkreten Daten im April 2021 veröffentlicht wurden, aufgefordert. Der Kläger ist der Ansicht, die Beklagte verstoße gegen die DSGVO, indem sie ohne ausreichende Grundlage Informationen im Sinne von Art. 13, 14 DSGVO verarbeite, Daten unbefugten Dritten zugänglich mache sowie seine Rechte aus 15, 17 und 18 DSGVO verletze. Die Auskunft, die die Beklagte ihm habe zukommen lassen, sei unzureichend. Das Antwortschreiben der Beklagten enthalte lediglich allgemein gehaltene Informationen zu der auf ... verarbeiteten Daten sowie einen Link zur Seite der Beklagten, auf der die über einen individuellen Nutzer gespeicherten Daten eingesehen werden können. Dieses Vorgehen allein sei schon nicht geeignet, dem nach Art. 15 DSGVO umfassenden Auskunftsanspruch gerecht zu werden. Der Kläger beantragt, 1. die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000 Euro nebst Zinsen seit 12.7.2022 in Höhe von 5 Prozentpunkten über dem Basiszinssatz; 2. festzustellen, dass die Beklagte verpflichtet ist, ihm alle künftigen Schäden zu ersetzen, die ihm – dem Kläger – durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden; 3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000 Euro , ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, a) personenbezogene Daten der Klägerseite, namentlich Telefonnummer, ...ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, b) die Telefonnummer der KIägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Information durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf "privat" noch durch Verwendung des Kompaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der ...-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird; 4. die Beklagte zu verurteilen, der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten; 5. die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 Euro zu zahlen zuzüglich Zinsen seit 12.7.2022 in Höhe von 5 Prozentpunkten über dem Basiszinssatz. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte ist der Ansicht, eine Verletzung der DSGVO durch die Beklagte liege nicht vor. Die Beklagte bestreitet die Begehung eines Datenschutzverstoßes und eines Unterlassens des Schließens einer technischen Schwachstelle. Vielmehr seien lediglich automatisch gesammelte öffentlich einsehbare Daten entweder von der App oder der Website ... gescraped worden. Es fehle insoweit an einer Verletzung der Sicherheit, da lediglich öffentlich zugängliche Profilinformationen des Klägers abgerufen und auch keine spezifischen Sicherheitsmaßnahmen oder Zugriffsberechtigungen umgangen oder überwunden wurden. Auch der Vorwurf des Verstoßes gegen die Pflicht gemäß Art. 24, 32 DSGVO, angemessene technische und organisatorische Maßnahmen zu gewährleisten, gehe ins Leere. Denn die Beklagte habe angemessene Maßnahmen getroffen, um das Risiko von Scraping zu unterbinden. Zudem habe der Kläger einen der Beklagten zurechenbaren immateriellen Schaden nicht erlitten. Wegen der Einzelheiten des Parteivorbringens wird auf die gewechselten Schriftsätze und die vorgelegten Urkunden Bezug genommen.