2 O 140/23

Leitsatz: Die Beklagte als Betreiberin der Plattform Facebook hat gegen Art. 32 Abs. 1 DS-GVO verstoßen, da sie den Datensatz des Klägers nicht genügend gegen einen Angriff durch Web-Scraping geschützt hat. Durch Verwendung von Sicherheitscaptchas wäre ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen verhindert oder jedenfalls wesentlich erschwert worden.(Rn.25) 1. Die Beklagte wird verurteilt, an den Kläger 1.000,-- € nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit 14.06.2023 zu zahlen. 2. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,-- €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klagepartei, namentlich Telefonnummer, FacebookID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern. 3. Die Beklagte wird verurteilt, die Klagepartei von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 220,27 € nebst Zinsen in Höhe von fünf Prozentpunkten über den jeweiligen Basiszinssatz ab Rechtshängigkeit freizustellen. 4. Im Übrigen wird die Klage abgewiesen. 5. Von den Kosten des Rechtsstreits tragen der Kläger 74 % und die Beklagte 26 %. 6. Das Urteil ist vorläufig vollstreckbar, für den Kläger hinsichtlich des Tenors Ziff. 2 gegen Sicherheitsleistung in Höhe von 1.500,-- € und im Übrigen gegen Sicherheitsleistung in Höhe des jeweils zu vollstreckenden Betrages. Dem Kläger wird nachgelassen, die Vollstreckung durch die Beklagte gegen Sicherheitsleistung in Höhe des jeweils zu vollstreckenden Betrages abzuwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in gleicher Höhe leistet. Streitwerte: Klagantrag Ziff. 1 3.500,-- € Klagantrag Ziff. 2 1.000,-- € Klagantrag Ziff. 3 500,-- € Klagantrag Ziff. 4 1.500,-- € Klagantrag Ziff. 5 3.000,-- € Summe: 9.500,-- € Die Klage ist zulässig. Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 EuGVVO. Das Landgericht Ravensburg ist gem. Art. 18 Abs. 1 Alt. 2 EuGVVO und Art. 79 Abs. 2 Satz 2 DS-GVO auch örtlich zuständig. Die Klageanträge sind auch ausreichend bestimmt. Die Klage ist jedoch nur teilweise begründet. I. Dem Kläger steht gem. Klagantrag Ziff. 1 gegen die Beklagte als Verantwortliche i.S. von Art. 4 Nr. 7 DS-GVO anzusehen ist ein Anspruch auf immateriellen Schadensersatz i.H.v. 1.000,-- Euro aus Art. 82 Abs. 1 DS-GVO aufgrund von verschiedenen Verstößen gegen die DS-GVO zu. 1. Die Beklagte hat gegen Art. 32 Abs. 1 DS-GVO verstoßen, da sie den Datensatz des Klägers nicht genügend gegen einen Angriff durch „Web-Scraping“ geschützt hat. Durch Verwendung von „Sicherheitscaptchas“ wäre ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen verhindert oder jedenfalls wesentlich erschwert worden. Die Beklagte hat nicht konkret behauptet, dass sie bei dem CIT (Contact-Import-Tool) konkret „Sicherheitscaptchas“ verwendet hat. Sie hat auf Seite 77 Rz. 83 ihrer Klagerwiderung nur pauschal vorgetragen: „Des Weiteren nutzte die Beklagte Captcha-Abfragen im relevanten Zeitraum. Captcha ist eine Abkürzung für „Completely Automated Public Turing Test to tell Computers and Humans Apart“ (auf Deutsch: Vollständig automatisierter öffentlicher TuringTest, um Computer von Menschen zu unterscheiden). Wie der Name schon sagt, handelt es sich um eine Möglichkeit herauszufinden, ob hinter einer Anfrage ein menschlicher Nutzer steht oder nicht. Insofern tragen Captchas zu den Anti-Scraping-Maßnahmen der Beklagten bei.“ Dieses pauschale Behaupten ist gem. § 138 Abs. 3 ZPO unbeachtlich. Die Beklagte hat auch nicht konkret vorgetragen, dass sie gleichwertige Maßnahmen ergriffen hat, um die naheliegende Möglichkeit des Missbrauchs des CIT (Contact-Import-Tool) zu verhindern. Die nach dem Vorbringen der Beklagten erfolgten Übertragungsbeschränkungen (Seite 75 Rz. 80 ihrer Klagerwiderung), die die Anzahl von Anfragen reduzieren, die pro Nutzer oder einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht werden können, sind offenkundig unzureichend, da sie den Datenabfluss nur verlangsamen, nicht verhindern. 2. Außerdem hat die Beklagte gegen Art. 33 Abs. 1 DS-GVO verstoßen, indem sie den Datenschutzverstoß nicht unverzüglich innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Behörde gemeldet hat, und außerdem gegen Art. 34 Abs. 1 DS-GVO, indem sie den Kläger nicht unverzüglich nach Bekanntwerden informiert hat. Die Beklagte hat diesen Vortrag des Klägers nicht qualifiziert bestritten, so dass der entsprechende Vortrag des Klägers gem. § 138 Abs. 3 ZPO als zugestanden gilt. Es liegt auch die zusätzliche Voraussetzung des Art. 34 Abs. 1 DS-GVO vor, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge haben muss, denn die persönlichen Daten des Klägers in Verbindung mit der Telefonnummer konnten durch Unbefugte insbesondere im Geschäftsverkehr missbraucht werden, einhergehend mit der Gefahr von Vermögensschäden für den Kläger. 3. Durch die unbefugte Veröffentlichung seiner personenbezogenen Daten hat der Kläger einen ersatzfähigen Schaden erlitten. Zwar ist ein bloßer Verstoß gegen die DS-GVO nicht ausreichend, um einen Schadenersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen. Andererseits ist der Ersatz eines immateriellen Schadens aber auch nicht davon abhängig, dass eine bestimmte Erheblichkeitsschwelle erreicht ist (EuGH, Urteil vom 04.05.2023 - C-300/21 -, juris Rn. 42, 51). Im Urteil vom 14.12.2023 - C-340/21 - (Tenor Ziff. 6) hat der EuGH ergänzend ausgeführt, dass allein der Umstand, dass eine Person befürchtet, ihre personenbezogenen Daten könnten missbräuchlich verwendet werden, einen immateriellen Schaden darstellen kann. Nach diesen Maßstäben hat der Kläger einen ersatzfähigen immateriellen Schaden erlitten. Der Kläger ist konkret und individuell geschädigt worden, denn seine persönlichen Daten einschließlich durch die Methode des Scraping zuordenbarer Telefonnummer sind infolge des Verstoßes tatsächlich an unbefugte Personen gelangt. Außerdem hatte der Kläger im Zeitraum danach befürchtet, dass seine Daten missbraucht werden. Dies ergibt sich aus seinen glaubhaften Angaben in der informatorischen Vernehmung in der mündlichen Verhandlung. Er hat gut nachvollziehbar angegeben, dass er aufgrund von Handy- und Facebookanrufen unbekannter Dritter, die am Telefon nichts gesprochen hatten, Angst bekommen hat und wegen seiner Befürchtungen die Telefonnummer gewechselt hat. 4. Bei einer Gesamtwürdigung ist zu berücksichtigen, dass unterschiedliche Datenschutzverstöße vorliegen, nämlich einerseits der unzureichende Schutz im Vorfeld des Datenabflusses und andererseits die fehlende Information im Anschluss daran. Letzteres ist ebenfalls gravierend. Der Geschädigte hat ein erhebliches Interesse daran, dass er selbst und die zuständige Behörde frühzeitig von einem Verstoß in Kenntnis gesetzt werden. Insgesamt war ein maßvoller Schadenersatzbetrag von 1.000,-- € festzusetzen. 5. Rechtshängigkeitszinsen kann der Kläger ab 14.06.2023 gem. §§ 291 Abs. 1, 288 Abs. 1 BGB verlangen, da die Klage am 13.06.2023 zugestellt worden ist. II. Dem Kläger steht kein Feststellungsanspruch gem. Klageantrag Ziff. 2 zu. Ein weiterer Schaden kann nicht mehr entstehen, da der Kläger schon vor eineinhalb Jahren seine Telefonnummer gewechselt hat. III. Dem Kläger steht kein Auskunftsanspruch gem. Klageantrag Ziff. 3 zu. Bei einem Verstoß gegen Art. 34 DS-GVO, der hier zu bejahen ist (s. oben I.), muss der Verantwortliche zwar der betroffenen Person mitteilen, welche Daten von einem Datenschutzvorfall betroffen sind. Die Beklagte hat diesen Anspruch jedoch erfüllt. Denn sie hat den Kläger mit Schreiben vom 16.05.2023 (Anlage B 16) sowohl über das Scraping und das vermutete Vorgehen der Scraper informiert, als auch über die betroffenen Datenkategorien (Seite 6 dieses Schreibens), die mit dem CIT ausgelesen werden konnten. IV. Der mit dem Klageantrag Ziff. 4 geltend gemachte Schadenersatzanspruch gem. Art. 82 Abs. 1 DS-GVO besteht nicht. Es kann dahingestellt bleiben, ob die Beklagte gegen Art. 15 Abs. 1 DS-GVO verstoßen hat, indem sie eine ungenügende Auskunft erteilt hat. Ein solcher Verstoß kann schon deshalb keinen Schadenersatzanspruch begründen, weil dadurch kein zusätzlicher immaterieller Schaden des Klägers entstanden ist. V. Der vom Kläger mit dem Klageantrag Ziff. 5 a) geltend gemachte Unterlassungsanspruch ist begründet. Soweit es für den vorbeugenden Unterlassungsschutz eine gesonderte Anspruchsgrundlage in der DS-GVO nicht gibt, gelten subsidiär §§ 823 Abs. 2, 1004 BGB analog (OLG München, Urteil vom 19.01.2021 - 18 U 7243/19, juris Rn. 62). Die für einen Unterlassungsanspruch Ziff. 5. a) vorausgesetzte Wiederholungsgefahr besteht, da sie im Fall eines rechtswidrigen Eingriffs in ein geschütztes Rechtsgut des Betroffenen tatsächlich vermutet wird (Grüneberg/Herrler, BGB, 83. Aufl. 2024, § 1004 Rn. 32). Die Ordnungsmittelandrohung folgt aus § 890 ZPO. VI. Der mit dem Klageantrag Ziff.4 b) geltend gemachte Unterlassungsanspruch besteht allerdings nicht, da der Kläger schon seit längerer Zeit seine Telefonnummer gewechselt hat und nunmehr Kenntnis von den Einstellungsmöglichkeiten bei der Privatsphäre hat, so dass eine Wiederholungsgefahr im Hinblick auf eine unzureichende Information über die Reichweite seiner Einwilligung nicht mehr besteht. VII. Im Rahmen des materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann der Kläger auch gem. Klagantrag Ziff. 5 die Freistellung vom Anspruch der Prozessbevollmächtigten des Klägers auf Bezahlung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen. Verzugseintritt ist dazu nicht notwendig, denn der Anspruch auf Schadenersatz entsteht mit der Verletzungshandlung. Ausgehend von den in Ansatz zu bringenden Gegenstandswerten für die jeweiligen Klageanträge Ziff. 1 und Ziff. 4 mit einem Wert von 2.500,-- € ergibt sich eine 1,3-Anwaltsgebühr inkl. MwSt. und Postpauschale von 220,27 €. Eine Verzinsung kann der Kläger insoweit nicht verlangen. Soweit der Kläger dem Prozessbevollmächtigten Verzugszinsen erstatten muss, hätte er dies im Rahmen seiner Schadensminderungspflicht durch rechtzeitige Zahlung abwenden können. VIII. Die Kostenentscheidung folgt aus §§ 91, 92 Abs. 1 ZPO. Der Kläger ist hinsichtlich der Anträge mit Klagantrag Ziff. 1 und Ziff. 5 teilweise und mit den Klaganträgen Ziff. 2 bis Ziff. 4 vollständig (und damit insgesamt im Verhältnis 2.500,-- € : 7.000,-- €) unterlegen, so dass er 74 % der Kosten tragen muss. Die Entscheidung zur vorläufigen Vollstreckbarkeit ergibt sich aus §§ 708 Nr. 11, 709, 711 ZPO. Die Parteien streiten um Ansprüche auf Schadensersatz, Unterlassung und Auskunft im Zusammenhang mit der Nutzung der von der Beklagten betriebenen Plattform Facebook und eines Datenscraping-Vorfalls. Im Zeitraum September 2019 lasen Dritte öffentlich zugängliche personenbezogene Daten (insbesondere Name, Geschlecht und Nutzer-ID) aus dem Datenbestand von Facebook aus und konnten den einzelnen Datensätzen jeweils konkrete Telefonnummern zuordnen. Vermutlich hatten diese Dritten bei dem Facebook-Tool CIT (= Contact-Import-Tool oder Kontakt-Importer) im Wege der „Nummernaufzählung“ fiktive Nummern eingegeben und konnten dadurch den auf Facebook öffentlich zugänglichen Daten die Telefonnummern bestimmter Personen zuordnen. Im April 2021 wurden auf diese Weise erlangte Datensätze im Internet in einem „Hacker-Forum“ zum Download eingestellt, darunter auch der Datensatz des Klägers. Der Kläger ist der Ansicht, ihm stehe ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu, da die Beklagte unbefugten Dritten personenbezogene Daten des Klägers zugänglich gemacht habe, sie habe die Daten insbesondere nicht genügend gegen einen Angriff durch „Web-Scraping“ geschützt. Außerdem habe die Klägerin ihre Pflicht zur Information gem. Art. 13 DS-GVO über den Datenklau verletzt und Melde- und Benachrichtigungspflichten gem. Art. 33, 34 DS-GVO verletzt. Durch die unbefugte Veröffentlichung seiner personenbezogenen Daten habe der Kläger einen konkreten ersatzfähigen immateriellen Schaden in Form eines Kontrollverlusts über seine Daten erlitten. Ein Schadenersatzbetrag von mindestens 3.500,-- € sei angemessen. Weiter meint der Kläger, es sei festzustellen, dass die Beklagte verpflichtet sei, ihm auch zukünftig entstehende Schäden erstatten. Schließlich ist der Kläger der Auffassung, ihm stehe gegen die Beklagte ein Unterlassungsanspruch dahingehend zu, in Zukunft seine personenbezogenen Daten nicht unbefugten Dritten zugänglich zu machen, und auch nicht die Telefonnummer zu verarbeiten, wenn der Nutzer nicht eindeutig darauf hingewiesen wurde, dass die Verarbeitung auch dann erfolgen kann, wenn bei der Telefonnummer die Einstellung „privat“gewählt worden ist. Der Kläger beantragt: 1. Die Beklagte wird verurteilt, an die Klagepartei einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 3.500,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klagepartei alle materiellen künftigen Schäden zu ersetzen, die der Klagepartei durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, der Klagepartei Auskunft über die personenbezogenen Daten der Klagepartei, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten über die Telefonnummer der Klagepartei hinaus durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch eine „Web-Scraping“-Anwendung des Kontaktimporttools erlangt werden konnten. 4. Die Beklagte wird verurteilt, an die Klagepartei für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.500,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz zu zahlen. 5. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, a. personenbezogene Daten der Klagepartei, namentlich Telefonnummer, FacebookID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, b. die Telefonnummer der Klagepartei auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht ausdrücklich hierfür die Berechtigung verweigert wird. 6. Die Beklagte wird verurteilt, die Klagepartei von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 1.214,99 € nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz ab Rechtshängigkeit freizustellen. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte ist der Ansicht, die Klage sei teilweise bereits unzulässig, die Klageanträge Ziff. 1, Ziff. 2 und Ziff. 4 seien nicht ausreichend bestimmt. Die Beklagte hält die Klagen auch für unbegründet. Schadenersatzansprüche seien einerseits deshalb nicht gegeben, weil die hier in Frage kommenden Verstöße gegen Artt. 13, 14, 15, 24, 25, 33 und 34 DS-GVO schon nicht vom Schutzbereich des Art. 82 DS-GVO erfasst seien. Sie ist weiter der Auffassung, ihr seien ohnehin keine Verstöße gegen die DS-GVO anzulasten, da weder eine unbefugte Offenlegung von Daten noch ein unbefugter Zugang zu personenbezogenen Daten stattgefunden habe. Hierzu behauptet sie, dass es sich bei den im Zuge des Scrapings abgerufenen Daten um öffentlich einsehbare Daten in dem Facebook-Profil des Klägers gehandelt habe, die entweder zwingend öffentliche Nutzerinformationen waren (Name, Geschlecht und Nutzer-ID) oder entsprechend der jeweiligen Zielgruppenauswahl des Klägers öffentlich einsehbar waren. Die Beklagte hält weiter den Klägervortrag, die Beklagte habe keine ausreichenden Sicherheitsvorkehrungen getroffen, für unsubstantiiert und unrichtig. Außerdem steht die Beklagte auf dem Standpunkt, die Behauptung des Klägers, es habe ein Kontrollverlust stattgefunden, sei für die Schadensbegründung nicht ausreichend. Weiter meint die Beklagte, ein überkompensatorischer Schadenersatz sei europarechtlich nicht geboten. Für einen vertraglichen oder gesetzlichen Unterlassungsanspruch sieht die Beklagte keine Grundlage. Zur Ergänzung des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen Bezug genommen.