OLG Hamm: Facebook-Scraping
OLG Hamm, Urteil vom 15.8.2023 – 7 U 19/23
ECLI:DE:OLGHAM:2023:0815.7U19.23.00
Volltext: BB-Online BBL2023-2114-1
Amtliche Leitsätze
1. Der Verantwortliche für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO muss generell – und damit auch im Zivilprozess – nach dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können, dass er die in Art. 5 Abs. 1 DSGVO festgelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat (im Anschluss an EuGH Urt. v. 4.7.2023 – C-252/21, GRUR 2023, 1131 Rn. 95, 152, 154).
2. Die automatisierte Ausführung eines Datenabrufs über eine Such- oder Kontaktimportfunktion durch einen Dritten in einem sozialen Netzwerk ist eine Datenverarbeitung des Netzwerkbetreibers als Verantwortlichem in Form der Offenlegung durch Übermittlung im Sinne des Art. 4 Nr. 2 DSGVO (in Anwendung von EuGH Urt. v. 22.6.2023 – C-579/21, BeckRS 2023, 14515 Rn. 46 ff.; EuGH Urt. v. 4.5.2023 – C-487/21, NJW 2023, 2253 Rn. 27)
3. Die Verarbeitung auch der Mobilfunktelefonnummer eines Nutzers im Rahmen einer Such- und Kontaktimportfunktion durch das soziale Netzwerk Facebook kann nicht auf den Rechtfertigungsgrund der Vertragszweckerfüllung im Sinne von Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO gestützt werden (in Anwendung von EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 98 ff.).
4. Für die Verarbeitung der Mobilfunktelefonnummer eines Nutzers durch das soziale Netzwerk Facebook im Rahmen einer Such- und Kontaktimportfunktion ist eine Einwilligung im Sinne von Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7 DSGVO erforderlich, die – wie hier – bei unzulässiger Voreinstellung („opt-out“) und unzureichender sowie intransparenter Information über die konkrete Funktionsweise der Such- und Kontaktimportfunktion nicht vorliegen kann (in Anwendung von EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 91 f. und EuGH Urt. v. 11.11.2020 – C-61/19, NJW 2021, 841 Rn. 35 f.).
5. Der für die Datenverarbeitung Verantwortliche verletzt seine Pflichten aus Art. 32 und Art. 25 Abs. 1 DSGVO, wenn er – wie hier – bereits konkrete Kenntnis von einem Datenabgriff durch unbefugte Dritte hat und trotzdem – im Einzelfall – bei ex-ante-Betrachtung naheliegende Maßnahmen zur Verhinderung des weiteren unbefugten Datenabgriffs nicht ergreift (im Ergebnis wie Irish Data Protection Commission Entsch. v. 25.11.2022 – IN-21-4-2; siehe auch GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 20, 29 ff., 38 ff.).
6. Ein Schadensersatzanspruch wegen einer solchen der DSGVO nicht entsprechenden Datenverarbeitung scheidet gleichwohl aus, wenn – wie hier – bei der betroffenen Person ein konkreter (tatsächlicher), über den durch die unrechtmäßige Datenverarbeitung ohnehin eintretenden Kontrollverlust hinausgehender (immaterieller) Schaden nicht eingetreten ist (in Anwendung von EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 29 ff.; EuGH Urt. v. 16.3.2023 – C-522/21, GRUR 2023, 713 Rn. 38; EuGH Urt. v. 25.3.2021 – C-501/18, BeckRS 2021, 5310 Rn. 112; EuGH Urt. v. 13.12.2018 – C-150/17 P, BeckRS 2018, 31923 Rn. 86; im Nachgang zu BVerfG Beschl. v. 14.1.2021 – 1 BvR 2853/19, NJW 2021, 1005 Rn. 19 ff.).
7. Die Darlegungslast für den Eintritt des konkreten immateriellen Schadens liegt beim Betroffenen und kann bei behaupteten persönlichen / psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller – und nicht wie hier in einer Vielzahl von Fällen gleichartiger –, dem Beweis zugänglicher Indizien erfüllt werden (im Anschluss an BGH Urt. v. 3.3.2022 – IX ZR 53/19, NJW 2022, 1457 Rn. 9; BGH Urt. v. 12.5.1995 – V ZR 34/94, NJW 1995, 2361 = juris Rn. 17; EuG Urt. v. 1.2.2017 – T-479/14, BeckRS 2017, 102499 Rn. 118, EuGH Urt. v. 13.12.2018 – C-150/17 P, IWRZ 2019, 82 Rn. 111, 121).
8. Die Beweislast für den Eintritt des konkreten immateriellen Schadens liegt beim Betroffenen. Der Beweis ist nach dem Maßstab des § 286 ZPO (in Anwendung von EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 53; EuGH Urt. v. 16.3.2023 – C-522/21, GRUR 2023, 713 Rn. 38, 46, 49, EuGH Urt. v. 25.3.2021 – C-501/18, BeckRS 2021, 5310 Rn. 112, 122, 127; im Anschluss an BGH Urt. v. 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 14, 17, 19), gegebenenfalls allein durch eine Parteianhörung nach § 141 ZPO zu führen (im Anschluss an BGH Urt. v. 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 19).
9. Für die Zulässigkeit einer Klage auf Feststellung der Ersatzpflicht hinsichtlich materieller oder immaterieller Schäden im Sinne des Art. 82 DSGVO genügt – solange nicht reine Vermögensschäden geltend gemacht werden – die Möglichkeit eines Schadenseintritts, die nur zu verneinen ist, wenn bei verständiger Würdigung – wie im vorliegenden Einzelfall – kein Grund besteht, mit dem Eintritt eines derartigen Schadens wenigstens zu rechnen (in Anwendung von EuGH Urt. v. 4.5.2023 – C-300/21, NZA 2023, 621 Rn. 53, 54; EuGH Urt. v. 25.3.2021 – C-501/18, BeckRS 2021, 5310 Rn. 126; im Anschluss an BGH Urt. v. 5.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28; BGH Urt. v. 29.6.2021 – VI ZR 52/18, NJW 2021, 3130 Rn. 30).
10. Liegt der Schwerpunkt eines Unterlassungsantrages auf einem aktiven Tun und kann dem Unterlassungsbegehren nicht ausschließlich durch das aktive Tun nachgekommen werden, ist ein Antrag auf Androhung nach § 890 Abs. 2 ZPO unzulässig (im Anschluss an BGH Beschl. v. 9.7.2020 – I ZB 79/19, WM 2020, 1826 Rn. 20; BGH Beschl. v. 17.6.2021 – I ZB 68/20, NJW-RR 2021, 1146 Rn. 11 f.).
11. Eine verdeckte, auf aktives Tun gerichtete Leistungsklage ist anders als eine Unterlassungsklage an § 259 ZPO zu messen, dessen Voraussetzung der Besorgnis nicht rechtzeitiger Leistung sich nicht aus einem zurückliegenden Verstoß gegen Art. 25 Abs. 1, Art. 32 DSGVO ergibt, wenn ein solcher im Hinblick auf den konkreten Verarbeitungsvorgang wegen der Deaktivierung der zugrundliegenden Funktionalität zukünftig nicht mehr eintreten wird.
12. Ein Auskunftsanspruch nach Art. 15 Abs. 1 Hs. 2 DSGVO ist im Sinne von § 362 Abs. 1 BGB grundsätzlich erfüllt, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen (im Anschluss an BGH Urt. v. 15.6.2021 – VI ZR 576/19, r+s 2021, 525 Rn. 19 f.).
13. a) Der Streitwert für eine nichtvermögensrechtliche Streitigkeit richtet sich gemäß § 3 ZPO, § 48 Abs. 2 GKG u. a. nach dem Interesse des Klägers und damit seiner aufgrund des zu beanstandenden Verhaltens zu besorgenden persönlichen / wirtschaftlichen Beeinträchtigung, nach der Stellung der Beteiligten sowie nach Art, Umfang und Gefährlichkeit der zu unterlassenden / begehrten Handlung (im Anschluss an BGH Beschl. v. 25.4.2023 – VI ZR 111/22, GRUR 2023, 1143 Rn. 13; OLG Hamm Beschl. v. 8.11.2013 – 9 W 66/13, NJW-RR 2014, 894 = juris Rn. 5). b) Das Gericht ist bei der Streitwertbemessung nicht an die subjektiven Wertangaben in der Klageschrift gebunden (im Anschluss an BGH Beschl. v. 8.10.2012 – X ZR 110/11, GRUR 2012, 1288 Rn. 4; BGH Beschl. v. 12.6.2012 – X ZR 104/09, MDR 2012, 875 Rn. 5). Insbesondere kommt ihnen keine indizielle Bedeutung zu, wenn sie – wie hier – das tatsächliche Interesse offensichtlich unzutreffend widerspiegelt (im Anschluss an OLG München Beschl. v. 5.2.2018 – 29 W 1855/17, NJW-RR 2018, 575 = juris Rn. 16). c) Außer Betracht zu lassen ist insbesondere die über die konkret-individuellen Interessen hinausgehende gesamtgesellschaftliche oder general-präventive sowie die abstrakt-generelle Bedeutung für andere potentiell betroffene Personen (im Anschluss an BGH Beschl. v. 30.11.2004 – VI ZR 65/04, BeckRS 2004, 12785 = juris Rn. 2; BGH Urt. v. 12.5.2016 – I ZR 1/15, MDR 2016, 1344 Rn. 42).d) Bei einer auf eine Wiederholungsgefahr gestützten Klage kann – so auch hier – die bereits erlittene Beeinträchtigung eine Obergrenze für die Bemessung des Interesses des Klägers darstellen
(abgekürzt gemäß § 540 Abs. 2, § 313a Abs. 1 Satz 1, § 544 Abs. 2 Nr. 1 ZPO)
Sachverhalt
Die Klägerin macht Schadensersatz-, Unterlassungs- und Auskunftsansprüche wegen der Verletzung der Datenschutz-Grundverordnung (im Folgenden: DSGVO) seitens der Beklagten aus und im Zusammenhang mit dem sogenannten, im April 2021 öffentlich bekannt gewordenen „Scraping-Vorfall“ von Facebook geltend.
Die Beklagte betreibt – wie es auch im vorliegenden Rechtsstreit entsprechend den nachfolgenden Ausführungen des EuGH unstreitig gewesen ist (EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 26-28) – in der Europäischen Union das soziale Online-Netzwerk Facebook und bietet u. a. über www.facebook.com Dienste an, die für private Nutzer kostenlos sind.
Das Geschäftsmodell des sozialen Online-Netzwerks Facebook basiert auf der Finanzierung durch Online-Werbung, die auf den individuellen Nutzer des sozialen Netzwerks insbesondere nach Maßgabe seines Konsumverhaltens, seiner Interessen, seiner Kaufkraft und seiner Lebenssituation zugeschnitten ist. Technische Grundlage dieser Art von Werbung ist die automatisierte Erstellung von detaillierten Profilen der Nutzer des Netzwerks und der auf Ebene des Meta-Konzerns angebotenen Online-Dienste. Zu diesem Zweck werden neben den Daten, die diese Nutzer bei ihrer Registrierung für die betreffenden Online-Dienste direkt angeben, weitere nutzer- und gerätebezogene Daten innerhalb und außerhalb des sozialen Netzwerks und der vom Meta-Konzern bereitgestellten Online-Dienste erhoben und mit den verschiedenen Nutzerkonten verknüpft. In ihrer Gesamtheit lassen diese Daten detaillierte Rückschlüsse auf die Präferenzen und Interessen der Nutzer zu.
Für die Verarbeitung dieser Daten stützt sich die Beklagte auf den Nutzungsvertrag, den die Nutzer des sozialen Netzwerks Facebook durch Betätigung der Schaltfläche „Registrieren“ abschließen und mit dem sie – mittlerweile – den von diesem Unternehmen festgelegten Allgemeinen Nutzungsbedingungen zustimmen. Die Zustimmung zu diesen Bedingungen ist notwendig, um das soziale Netzwerk Facebook nutzen zu können. Hinsichtlich der Verarbeitung personenbezogener Daten verweisen die Allgemeinen Nutzungsbedingungen auf die von diesem Unternehmen festgelegten Richtlinien für die Verwendung von Daten und Cookies. Danach erfasst die Beklagte nutzer- und gerätebezogene Daten über Nutzeraktivitäten innerhalb und au-ßerhalb des sozialen Netzwerks und ordnet sie den Facebook-Konten der betroffenen Nutzer zu.
Den Nutzern dient das Online-Netzwerk dazu, sich untereinander zu vernetzen, Kontakt zu Freunden zu halten und herzustellen sowie neue Menschen, Gruppen, Unternehmen, Organisationen usw. kennenzulernen. Die Nutzer erhalten zudem eine Plattform, über die sie sich austauschen und ihre Erlebnisse sowie Meinungen kundtun können (siehe insoweit auch insbesondere unter „Unsere Dienste“ in den Nutzungsbedingungen vom 19.04.2018, Anl. B19, Bl. 458 ff. der erstinstanzlichen elektronischen Gerichtsakte [im Folgenden eGA I-458 ff.]).
Nach Registrierung waren und sind bis heute bestimmte Informationen über den jeweiligen Nutzer – konkret relevant Vorname, Nachname, Benutzer-ID, Nutzername, Geschlecht – im Internet für jedermann, ohne sich dafür selbst ein eigenes Profil als Nutzer bei der Beklagten anlegen zu müssen, sicht- und suchbar (sogenannte „immer öffentliche“ Nutzerinformationen, vgl. Anl. B1, eGA I-205 f.). Sichtbar waren und sind im Einzelfall zusätzlich im Hinblick auf die von den Nutzern zu treffende sogenannte Zielgruppenauswahl sonstige Nutzerinformationen (u. a. Telefonnummern, Wohnort, Stadt, Beziehungsstatus, Geburtstag und Email-Adresse), nämlich dann, wenn die Zielgruppenauswahl auf „öffentlich“ festgelegt war bzw. ist.
Die Klägerin hat den Registrierungsprozess im Jahre 2011 durchlaufen. Einzelheiten zum Ablauf und Inhalt der Registrierung in der damaligen Form haben die Parteien trotz Hinweises des Senats vom 30.06.2023 (Bl. 264 f. der zweitinstanzlichen elektronischen Gerichtsakte [im Folgenden: eGA II-264 f.]) nicht geschildert.
Wie auch der – nicht bindenden – Entscheidung der Irischen Datenschutzbehörde (DPC) vom 28.11.2022 (eGA II-299 ff.) zu entnehmen ist und im Senatstermin aufgrund des schriftsätzlichen Vortrages erörtert wurde, kam es seit spätestens Januar 2018 bis zum 06.09.2019 zu dem das soziale Netzwerk der Beklagten betreffenden „Scraping-Vorfall“.
Im Rahmen dieses Vorfalls sammelten Dritte zeitlich versetzt millionenfach (in rund einer halbe Milliarde Fällen) bei der Beklagten hinterlegte Informationen von Nutzern der Beklagten in einer Liste und veröffentlichten einen sogenannten Leak-Datensatz der Liste im April 2021 im Darknet.
Das Abgreifen der Daten geschah unter Nutzung von Suchfunktionen, die die Beklagte registrierten Nutzern damals zur Verfügung stellte:
Selbst wenn die zum Profil hinzugefügte Mobilfunktelefonnummer von einem Nutzer in der Zielgruppenauswahl nicht auf „öffentlich“ und damit als nicht für andere sichtbar eingestellt worden war, war diese gleichwohl für alle registrierten Nutzer grundsätzlich suchbar.
Zum einen sahen die Standardeinstellungen der Beklagten in der sogenannten Suchbarkeitseinstellung auf der Facebook-Plattform insoweit eine Suchbarkeit durch „alle“ (Englisch „everyone“) vor.
Zum anderen konnten Nutzer ihre Kontakte auf die Plattform und auch von ihren Mobilgeräten in den sogenannten Messenger von Facebook hochladen. Geschah dies, so war es möglich, diejenigen dieser Kontakte, die auf der Facebook-Plattform ebenfalls registriert waren, zu finden und mit ihnen in Verbindung zu treten (sogenannte Kontakt-Importer-Funktion bzw. „KIF“, auch Kontaktimporttool, kurz: „CIT“ oder „KIT“, im Folgenden: Kontaktimportfunktion). Um eine Suchbarkeit über die Suchfunktion auf der Plattform und über die Kontaktimportfunktionen auszuschließen oder einzuschränken, war es erforderlich, die jeweilige Standardeinstellung „alle“ / „everyone“ auf „Freunde“ oder auch „Freunde von Freunden“ sowie seit Mai 2019 auch auf „nur ich“ umzustellen.
Die Scraper machten sich zunächst die Suchfunktion auf der Plattform zu Nutze, indem sie sich (unter Vorgabe fremder oder nicht existierender Identitäten) bei der Beklagten als Nutzer registrierten. Sodann generierten sie unter Verwendung der gängigen Rufnummernformate fiktive Telefonnummern und suchten über die Suchfunktionen nach passenden Nutzern. Wurde eine Telefonnummer einem Nutzer zugeordnet („one-to-one“), wurden dessen öffentliche Nutzerinformationen zugeordnet und abgerufen.
Nachdem die Beklagte dieses Scrapings gewahr geworden war und diese Suchfunktion für Telefonnummern im nur für registrierte Nutzer zugänglichen Facebook-Bereich des Internets im April 2018 deaktiviert hatte, nutzten die Scraper verstärkt die Kontaktimportfunktionen, um unter Einhaltung seitens der Beklagten eingeführter Übertragungsbeschränkungen durch Telefonnummernaufzählung generierte Telefonnummern als ihre vermeintlichen Kontakte hochzuladen, die passenden konkret-individuell angezeigten Nutzer allein aufgrund dieser Telefonnummern zu identifizieren („one-to-one“) und ihnen ihre öffentlichen Nutzerinformationen zuzuordnen (von der Beklagten auch als besondere Scraping-Technik bezeichnet).
Nachdem sich die Beklagte auch dieses besonderen Scrapings gewahr geworden war und keine andere Möglichkeit fand, dieses Scraping zu verhindern, deaktivierte sie die Kontaktimportfunktion auf der Plattform am 10.10.2018 und die des Facebook-Messengers am 06.09.2019. Sie ersetzte diese – wie auch zuvor schon auf der Plattform erfolgt – durch die sogenannte „People-You-May-Know“-Funktion („Personen, die du kennen könntest“-Funktion, auch PYMK-Funktion genannt). Bei dieser kann zwar gleichfalls ein Nutzer der Beklagten seine Kontakte mitsamt Telefonnummer hochladen. Das System der Beklagten zeigt ihm dann aber nicht mehr allein aufgrund der Telefonnummer nur den einen passenden konkret-individuell Nutzer – „one-to-one“ – an, sondern nur noch eine Liste von mehreren Personen, die aufgrund anderer zusätzlicher Zuordnungskriterien der hochgeladenen Kontakte, z. B. des Namens, zuzuordnen sein könnten.
Das „Friend Centre“ wurde bereits am 11.12.2018 in ähnlicher Weise geändert.
Weitere Scraping-Vorfälle unter Ausnutzung der Sichtbarkeits- und Suchbarkeitseinstellungen bezüglich der Telefonnummer bei der Beklagten gibt es seither nicht mehr.
Betroffen von dem Scraping-Vorfall war als Nutzerin der Beklagten auch die Klägerin. Ihre Mobilfunktelefonnummer war zwar in der sogenannten Zielgruppenauswahl auf nicht „öffentlich“ und damit nicht sichtbar eingestellt. In der sogenannten Suchbarkeitseinstellung hingegen stand die Suchbarkeitseinstellung auf „alle“, so dass die Mobilfunktelefonnummer der Klägerin trotz fehlender Sichtbarkeit suchbar war.
Die Scraper griffen bei der Beklagten folgende Nutzerinformationen der Klägerin ab und veröffentlichten diese im April 2021 als Teil des Leak-Datensatzes:
„... [Mobiltelefonnummer], ... [Nutzer-ID], ... [Vorname], ... [Nachname], ... [Geschlecht], 10/31/2016, 12,00,00AM“.
Die Bedeutung der Datums- und Zeitangabe vermochte trotz Hinweises vom 02.08.2023 (eGA II-295) keine der Parteien zu erklären. Beide Parteien erklärten auch bei Inaugenscheinnahme des Leak-Datensatzes im Senatstermin, sie wüssten nicht, was die Datums- und Zeitangabe bedeute. Dass dies der konkrete Zeitpunkt des Scrapings der Nutzerinformationen der Klägerin gewesen sei, ist von keiner der Parteien vorgetragen.
Vielmehr behauptet die Klägerin in Anlehnung an die von der Beklagten zunächst erteilte Auskunft vom 28.10.2021 (Anl. B16, I-249 ff.), ihre Daten seien nach dem 25.05.2018, mutmaßlich im Jahr 2019 abgegriffen worden, während die Beklagte behauptet, den Zeitpunkt nicht näher als auf den Zeitraum Januar 2018 bis September 2019 eingrenzen zu können.
Die Klägerin meint entgegen der Beklagten, diese habe in vielfacher Hinsicht im Vor- und im Nachgang zum streitgegenständlichen Scraping-Vorfall gegen die DSGVO verstoßen. Wegen der Einzelheiten des wechselseitigen Vortrages und wegen der erstinstanzlich gestellten Anträge wird auf den Tatbestand des erstinstanzlichen Urteils (eGA I-534 ff.) und auf die nachfolgenden Ausführungen im Rahmen der rechtlichen Würdigung (unter II.) verwiesen.
Das Landgericht hat die Klage abgewiesen, im Wesentlichen aus folgenden Gründen: Die Klägerin habe schon nicht dargelegt, aber auch aufgrund ihrer persönlichen Anhörung jedenfalls nicht bewiesen, dass ihr irgendein immaterieller Schaden entstanden sei. Der Eintritt eines zukünftigen Schadens sei nicht hinreichend wahrscheinlich. Das Ziel der Unterlassungsanträge sei anderweitig einfacher zu erreichen und der Auskunftsanspruch sei erfüllt. Wegen der Begründung im Einzelnen wird auf die Entscheidungsgründe des angefochtenen Urteils verwiesen (eGA I-534 ff.).
Hiergegen wendet sich die Klägerin mit ihrer Berufung, mit der sie die Verletzung materiellen Rechts sowie Rechtsfehler bei der Tatsachenfeststellung rügt und ihr erstinstanzliches Klagebegehren – unter Wiederholung und Vertiefung ihres erstinstanzlichen Vorbringens – weiterverfolgt.
Die Klägerin beantragt zuletzt, unter Abänderung des angefochtenen Urteils
1. die Beklagte zu verurteilen, an sie immateriellen Schadensersatz in angemessener Höhe wegen Verstößen gegen die Datenschutzgrundverordnung vor und im Nachgang zum streitgegenständlichen Scraping-Vorfall zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR insgesamt nicht unterschreiten sollte, nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz;
2. festzustellen, dass die Beklagte verpflichtet ist, ihr künftige materielle und künftige derzeit noch nicht vorhersehbare immaterielle Schäden zu ersetzen, die ihr durch den unbefugten Zugriff im Zeitraum ab dem 25.05.2018 bis September 2019 auf das Datenarchiv der Beklagten entstehen;
3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,
a. personenbezogenen Daten von ihr, namentlich Telefonnummer, Facebook-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern;
b. ihre Telefonnummer auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird;
4. die Beklagte zu verurteilen, ihr Auskunft über die sie betreffenden personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten;
5. die Beklagte zu verurteilen, an sie vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 EUR zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.
Die Beklagte beantragt,
die Berufung zurückzuweisen.
Sie verteidigt – unter Wiederholung und Vertiefung ihres erstinstanzlichen Vorbringens – die angefochtene Entscheidung.
Wegen der Einzelheiten des Vorbringens der Parteien in der Berufungsinstanz wird auf ihre Schriftsätze nebst Anlagen und auf die nachfolgenden Ausführungen im Rahmen der rechtlichen Würdigung (unter II.) verwiesen.
Der Senat hat die Parteien in der mündlichen Verhandlung vom 15.08.2023 persönlich angehört. Bezüglich des Inhalts und Ergebnisses der Anhörung wird auf das Protokoll (eGA II-461-463) und den Berichterstattervermerk (eGA II-464-466) Bezug genommen.
Aus den Gründen
II.
Die zulässige Berufung der Klägerin ist unbegründet.
Der Klageantrag zu 1 ist zwar zulässig, aber unbegründet (unter 1.). Der Klageantrag zu 2 (unter 2.), der Klageantrag zu 3a (unter 3a.) und der Klageantrag zu 3b (unter 3b.) sind bereits unzulässig. Der Klageantrag zu 4 ist zwar zulässig, aber unbegründet (unter 4.). Der Klageantrag zu 5 ist bereits unzulässig, jedenfalls aber auch unbegründet (unter 5.).
1. Die mit dem Antrag zu 1 verfolgte Leistungsklage gerichtet auf den Ersatz immateriellen Schadens ist zwar zulässig (unter a), aber unbegründet (unter b).
a) Die Leistungsklage ist zulässig.
aa) Die internationale Zuständigkeit der deutschen Gerichte folgt vorliegend im zeitlichen Anwendungsbereich der DSGVO nach Art. 99 Abs. 2 DSGVO ab dem 25.05.2018 aus Art. 79 Abs. 2 Satz 1 DSGVO in Verbindung mit Erwägungsgrund 22 DSGVO sowie aus Art. 79 Abs. 2 Satz 2 Hs. 1 DSGVO, jeweils als unmittelbar geltendes Recht (Art. 288 Abs. 2 AEUV), und § 44 Abs. 1 Satz 2 BDSG, da die Beklagte in Deutschland eine Niederlassung und die Klägerin als betroffene Person im Sinne von Art. 4 Nr. 1 DSGVO ihren gewöhnlichen Aufenthalt in Deutschland hat (vgl. BGH Urt. v. 27.7.2020 – VI ZR 405/18, BGHZ 226, 28 Rn. 16 m. w. N.; BGH Urt. v. 23.5.2023 – VI ZR 476/18, GRUR-RS 2023, 16479 Rn. 27).
Soweit es darauf ankommen sollte, folgt die internationale Zuständigkeit der deutschen Gerichte vorliegend vor dem zeitlichen Anwendungsbereich der DSGVO ab dem 25.05.2018 aus Art. 7 Nr. 2, Art. 63 Abs. 1 lit a, lit. c und Abs. 2 EuGVVO, da die Beklagte ihren satzungsgemäßen Sitz, jedenfalls ihre Hauptniederlassung in Ir-land hat, das schädigende Ereignis aus unerlaubter Handlung auch in Deutschland eingetreten ist (vgl. im Verhältnis zu den USA über § 32 ZPO BGH Urt. v. 27.2.2018 – VI ZR 489/16, BGHZ 217, 350-374 Rn. 15-19 m. w. N.) und das vorgeworfene Verhalten auch nicht – Vorrang begründend – als Verstoß gegen die vertraglichen Verpflichtungen angesehen werden kann, wie sie sich anhand des Vertragsgegenstands ermitteln lassen (vgl. dazu EuGH Urt. v. 13.3.2014 – C-548/12, NJW 2014, 1648 Rn. 20 ff., insbesondere Rn. 24 f.; BGH Urt. v. 24.6.2014 – VI ZR 315/13, BeckRS 2014, 15813 Rn. 20). Jedenfalls greift Art. 26 Abs. 1 Satz 1 EuGVVO, da sich die Beklagte bereits erstinstanzlich, aber auch zweitinstanzlich – zudem Ziff. 4.4 der seit April 2018 geltenden Nutzungsbedingungen (Anl. B19, I-466) entsprechend – rügelos eingelassen hat (vgl. BGH Urt. v. 21.7.2023 – V ZR 112/22, BeckRS 2023, 17918 Rn. 15; BGH Urt. v. 5.7.2023 – IV ZR 375/21, BeckRS 2023, 17516 Rn. 11; BGH Urt. v. 15.2.2018 – I ZR 201/16, GRUR 2018, 935 Rn. 20).
bb) Die Zuständigkeit im Übrigen ist im Hinblick auf § 513 Abs. 2 ZPO und § 17a Abs. 5 GVG nicht zu prüfen, wenn auch – unter Berücksichtigung aller Klageanträge – die sachliche Eingangszuständigkeit des Landgerichts nicht eröffnet war (siehe ausführlich zum [Zuständigkeits-]Streitwert unter VI.).
cc) Der Klageantrag zu 1 ist jedenfalls in der auf Hinweis des Senats in der mündlichen Verhandlung zuletzt gestellten Fassung hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO.
(1) Nach § 253 Abs. 2 Nr. 2 ZPO muss die Klageschrift neben einem bestimmten Antrag eine bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs enthalten. Damit werden der Streitgegenstand abgegrenzt und die Grenze der Rechtshängigkeit und der Rechtskraft festgelegt sowie Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts bestimmt. Eine ordnungsgemäße Klageerhebung erfordert eine Individualisierung des Streitgegenstandes. Der Kläger muss die gebotene Bestimmung des Streitgegenstandes vornehmen und kann sie nicht zur Disposition des Gerichts stellen. Der Mangel der Bestimmtheit des Klageantrages wie des Klagegrundes ist von Amts wegen zu beachten. Eine an sich schon in der Klage gebotene Klarstellung kann von der Partei noch im Laufe des Verfahrens nachgeholt werden (vgl. BGH Urt. v. 17.1.2023 – VI ZR 203/22, r+s 2023, 265 Rn. 14 m. w. N.).
(2) Der im Senatstermin gestellte Antrag stellt zweifelsfrei klar, dass das klägerische Begehren einer Entschädigungszahlung von mindestens insgesamt 1.000,00 EUR nicht auf einer unzulässigen Häufung alternativer Klagegründe / Streitgegenstände beruht (vgl. dazu zuletzt etwa BGH Urt. v. 17.1.2023 – VI ZR 203/22, r+s 2023, 265 Rn. 15; BGH Urt. v. 29.6.2021 – VI ZR 566/19, VersR 2021, 1251 Rn. 8; grundlegend BGH Urt. v. 24.3.2011 – I ZR 108/09, BGHZ 189, 56 Rn. 6 ff.).
Soweit die Klägerin ihr Entschädigungsbegehren auf Verstöße gegen die DSGVO vor und nach dem Scraping-Vorfall stützt, kann dahinstehen, ob es sich – in Anbetracht der einschlägigen Rechtsprechung zum Streitgegenstandsbegriff (vgl. BGH Urt. v. 31.5.2022 – VI ZR 804/20, NJW-RR 2022, 1071 Rn. 10 f.; BGH Beschl. v. 15.12.2020 – VIII ZR 304/19, BeckRS 2020, 42398 Rn. 10 f. m. w. N.; BGH Urt. v. 11.7.2018 – IV ZR 243/17, r+s 2018, 539 Rn. 36 ff.) – nicht ohnehin nur um einen einheitlichen Streitgegenstand handelt und zwar deshalb, weil die Klägerin objektiv betrachtet erkennbar von einem einheitlichen durch das Scraping und die Veröffentlichung des Leak-Datensatzes verursachten immateriellen Schaden ausgeht, der durch die nach ihrer Ansicht bereits vor dem Scraping-Vorfall begangenen Verstöße gegen die DSGVO eingetreten und durch die Verstöße gegen die DSGVO im Nachgang zum Scraping-Vorfall (Art. 33, 34 DSGVO einerseits und Art. 15 DSGVO andererseits) vertieft worden sein soll und keinen eigenständigen Schaden darstelle. Teilt man diese Auffassung nicht, so liegt jedenfalls eine im Hinblick auf § 260 ZPO zulässige Kumulation von Klagegründen / Streitgegenständen vor.
Es besteht im Hinblick auf die Grenze der Rechtshängigkeit und der Rechtskraft keinerlei Zweifel daran, dass sämtliche auf Grund des Scraping-Vorfalls gerügten Datenschutzverstöße und Persönlichkeitsverletzungen der Klägerin und der dadurch bis zum Schluss der letzten mündlichen Verhandlung entstandene immaterielle (Gesamt-)Schaden umfassend und abschließend – also auch nicht etwa als verdeckte Teilklage (vgl. dazu nur BGH Urt. v. 15.6.1994 – XII ZR 128/93, NJW 1994, 3165 = juris Rn. 11 m. w. N.; BGH Beschl. v. 13.4.2016 – XII ZB 578/14, NJW-RR 2016, 1217 Rn. 22) – rechtshängig geworden sind und abschließend einer rechtskräftigen Entscheidung zugeführt werden sollen.
Da es bei Klagen auf Ausgleich immaterieller Schäden im Hinblick auf die Bemessung durch das Gericht nach billigem Ermessen grundsätzlich – und wie hier – keiner Bezifferung der Leistungsklage bedarf (vgl. ständige Rechtsprechung seit BGH Urt. v. 13.12.1951 – III ZR 144/50, BGHZ 4, 138 = juris Rn. 6 ff.), ist es auch ausreichend, dass die Klägerin ihre Vorstellung des auszusprechenden Entschädigungsbetrages einheitlich auf einen Gesamtbetrag von mindestens 1.000,00 EUR veranschlagt.
b) Die zulässige Leistungsklage ist aber unbegründet. Die Klägerin hat keinen Anspruch auf Ersatz eines immateriellen Schadens.
aa) Ein Anspruch aus Art. 82 Abs. 2, Abs. 1 DSGVO (in Verbindung mit Art. 288 Abs. 2 AEUV) besteht nicht.
Allerdings ist dessen zeitlicher (überwiegend), sachlicher und räumlicher Anwendungsbereich eröffnet (unter (1)); auch lassen sich Verstöße der Beklagten gegen die DSGVO im Zuge der Datenverarbeitung feststellen (unter (2)).
Die Klägerin hat indes das Vorliegen eines immateriellen Schadens bereits nicht schlüssig dargelegt, jedenfalls aber nicht bewiesen (unter (3)), und zudem auch die Verursachung eines vermeintlichen immateriellen Schadens durch die nicht der DSGVO entsprechende Datenverarbeitung seitens der Beklagten nicht dargelegt und bewiesen (unter (4)).
Im Einzelnen:
Ein Anspruch aus Art. 82 Abs. 2, Abs. 1 DSGVO setzt zunächst voraus, dass diese Regelung zeitlich, sachlich und räumlich anwendbar ist. Im Übrigen hat Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, drei Voraussetzungen für die Entstehung des Schadensersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, einen der betroffenen Person entstandenen Schaden und einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 36).
(1) Der zeitliche, sachliche und räumliche Anwendungsbereich der DSGVO ist vorliegend teilweise eröffnet.
(a) Der zeitliche Anwendungsbereich der DSGVO ist (nur) teilweise eröffnet.
(aa) Die DSGVO gilt seit dem 25.05.2018 (Art. 99 Abs. 2 DSGVO) unmittelbar in jedem Mitgliedstaat der Europäischen Union (BGH Urt. v. 27.7.2020 – VI ZR 405/18, BGHZ 226, 28 Rn. 11), Art. 288 Abs. 2 AEUV.
(bb) Es ist – der Behauptung der Klägerin folgend – davon auszugehen, dass das Scraping konkret bezüglich der Daten der Klägerin nach dem 24.05.2018 erfolgte, da die Beklagte ihrer aus § 138 Abs. 2 ZPO abgeleiteten sekundären Darlegungslast bezüglich des genauen Zeitpunkts dieses Scraping-Vorgangs trotz entsprechenden Hinweises des Senats vom 30.06.2023 (eGA II-263 f.) nicht genügt hat.
Eine sekundäre Darlegungslast trifft den Prozessgegner der primär darlegungsbelasteten Partei, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hat, während der Bestreitende alle wesentlichen Tatsachen kennt und es ihm unschwer möglich und zumutbar ist, nähere Angaben zu machen. Genügt der Anspruchsgegner seiner sekundären Darlegungslast nicht, gilt die Behauptung des Anspruchstellers nach § 138 Abs. 3 ZPO als zugestanden (vgl. zur ständigen Rechtsprechung etwa BGH Urt. v. 25.5.2020 – VI ZR 252/19, NJW 2020, 1962 Rn. 37 m. w. N.).
Die sekundäre Darlegungslast der Beklagten ergibt sich nicht nur daraus, dass die Offenlegung gegenüber / die Zugänglichmachung für die Scraper (siehe dazu ausführlich im Rahmen der Ausführungen zu Art. 32 Abs. 2 DSGVO unter II.1.b.aa.(2).(e).(aa)) der Daten ausschließlich der Sphäre der Beklagten zuzuordnen ist. Sie folgt vor allem daraus, dass die Beklagte nach Art. 5 Abs. 2, Art. 15 DSGVO umfassende Rechenschafts- und Auskunftspflichten zu Verarbeitungszweck, -art und insbesondere auch zur Offenlegung / Zugänglichmachung der Daten gegenüber Dritten treffen. Nach Art. 30 DSGVO muss sie dementsprechend ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen. Insbesondere aber trägt die Beklagte nach Art. 5 Abs. 2 DSGVO als Verantwortliche die Beweislast dafür, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (so EuGH Urt. v. 4.7.2023 – C-252/21, GRUR 2023, 1131 Rn. 95).
Für die zeitliche Verortung des Scraping-Vorfalls nach dem 24.05.2018 streitet zudem nicht zuletzt der Umstand, dass die Deaktivierung der Suchbarkeit über die Mobilfunktelefonnummer über die Kontaktimportfunktion im Facebook-Messenger erst im September 2019 erfolgt ist, so dass also bis September 2019 ein Scraping möglich war. Dass die Daten der Klägerin vor dem 25.05.2018 den Scrapern offengelegt wurden, ist weder von der Beklagten konkret dargetan noch sonst ersichtlich.
Entsprechend hatte die Beklagte den Scraping-Vorfall generell in ihrer Pressemitteilung vom 06.04.2021 (Anl. B10, eGA I-227) noch selbst in das Jahr 2019 und den Vorfall im explizit die Klägerin betreffenden Auskunftsschreiben vom 28.10.2021 (Anl. B16, eGA I-249 ff.) selbst auf den Zeitraum bis September 2019 (eGA I-250) verlegt. Erst später hat sie den in Betracht kommenden Zeitraum ohne Darlegung abweichender neuer Erkenntnisse auf denjenigen vor dem 25.05.2018 ausgedehnt.
Die Beklagte kann sich auch nicht darauf zurückziehen, sie habe die für die Ermittlung des Scraping-Zeitpunkts maßgeblichen Daten aufgrund der Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und Speicherbegrenzung / Datensparsamkeit in zeitlicher Hinsicht (Art. 5 Abs. 1 lit. e DSGVO) mittlerweile gelöscht. Abgesehen davon, dass die Beklagte im Senatstermin im Hinblick auf Art. 30 Abs. 1 Satz 2 lit. f DSGVO nicht erklären konnte, nach welchem Zeitraum sie die maßgeblichen Daten im Allgemeinen löscht oder hier konkret gelöscht hat, war ihr das Scraping jedenfalls bereits seit spätestens März 2018 bekannt, so dass im Hinblick auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) gerade kein Anlass dafür bestand, die Daten zu löschen, sondern im Gegenteil ein Anlass dafür bestand, die Daten weiter zu sichern. Nur so konnte die Beklagte den Datenschutzverstößen in jedem Einzelfall – und nicht nur in den auch von der DPC gerügten 2.000 von knapp einer halben Milliarde Fällen – selbstständig nachgehen. Nur so hätten auch die zuständige Datenschutzbehörde (§ 30 Abs. 4 DSGVO) nach (wie hier nicht) rechtzeitiger Anzeige im Sinne des Art. 33 DSGVO oder der einzelne Nutzer nach (wie hier nicht) rechtzeitiger Anzeige im Sinne des Art. 34 DSGVO und entsprechender Auskunft nach Art. 15 DSGVO den Datenschutzverstößen nachgehen können.
(cc) Nichtsdestotrotz liegen einige der von der Klägerin gerügten Verstöße der Beklagten gegen die DSGVO zeitlich vor dem 25.05.2018 und damit außerhalb des Anwendungsbereiches.
[1] So fallen Verstöße im Rahmen des Anmeldeprozesses aus dem zeitlichen Anwendungsbereich der DSGVO heraus, da die Klägerin den Registrierungsprozess bereits im Jahr 2011 vorgenommen hat. Auch die Datenerhebung war vor dem 25.05.2018 abgeschlossen. Die maßgebliche (letzte) Eintragung zur Suchbarkeit der Mobilfunktelefonnummer erfolgte am 25.12.2017 (Anl. B17, eGA I-262).
Dementsprechend kann der Beklagten kein Verstoß gegen Art. 13 DSGVO (Art. 14 DSGVO ist im Hinblick auf die Datenerhebung bei der Klägerin selbst ohnehin nicht einschlägig) zur Last gelegt werden. Die Informationspflicht nach Art. 13 Abs. 1 und Abs. 2 DSGVO bezieht sich nämlich nach dem ausdrücklichen Wortlaut der Norm allein auf den Zeitpunkt der Datenerhebung (siehe auch Erwägungsgrund 62 Satz 1 Var. 1 DSGVO), die im vorliegenden Streitfall im Jahr 2011 bzw. 2017, also vor dem nach Art. 99 Abs. 2 DSGVO maßgeblichen 25.05.2018, abgeschlossen war.
In diesem Fall einer Datenerhebung vor dem 25.05.2018 unterfällt ausschließlich die Weiterverarbeitung der Daten ab dem 25.05.2018 den Anforderungen der DSGVO; denn aus Erwägungsgrund 171 Satz 2 DSGVO, aus Art. 4 Nr. 2 DSGVO und Art. 24 Abs. 1, insbesondere Satz 2 DSGVO ergibt sich die Pflicht, die Datenverarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO bereits begonnen hatten, bis zum 25.05.2018 in Einklang mit der Verordnung zu bringen (vgl. auch GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 43; LAG Baden-Württemberg Urt. v. 25.2.2021 – 17 Sa 37/20, ZD 2021, 436 = juris Rn. 63, nachgehend BAG Vorlagebeschl. v. 22.9.2022 – 8 AZR 209/21 (A), NZA 2023, 363 [nicht zu dieser Frage]).
Zudem folgt aus Erwägungsgrund 171 Satz 3 DSGVO, dass die Beklagte zum 25.05.2018 zur Einholung neuer Einwilligungen verpflichtet war, soweit bereits bestehende Einwilligungen nicht den Anforderungen an diese Verordnung entsprachen.
Daher ist die Frage einer hinreichenden Information – ganz oder teilweise deckungsgleich mit der nach Art. 13 DSGVO – (nur) entscheidend für die Frage der Wirksamkeit einer ursprünglich erteilten Einwilligung und deren Fortgeltung über den 25.05.2018 hinaus.
[2] Ebenso fällt der von der Klägerin gerügte Verstoß der Beklagten gegen Art. 35 DSGVO, die unstreitig keine Datenschutz-Folgenabschätzung vorgenommen hat (etwas Anderes hat sie trotz Hinweises des Senats vom 30.06.2023, eGA II-265, nicht vorgetragen), nicht in den zeitlichen Anwendungsbereich der DSGVO; denn nach Art. 35 Abs. 1 Satz 1 DSGVO geht es um eine „vorab“ – also vor dem Beginn des allgemein vorgesehenen und damit nicht vor jedem konkret-individuellen Datenverarbeitungsvorgang – durchzuführende Datenschutz-Folgenabschätzung. Da die hier streitgegenständlichen zum Scraping genutzten Funktionen unstreitig bereits vor der Einführung der DSGVO vorhanden waren, können diese von Art. 35 DSGVO ersichtlich nicht erfasst sein.
Ob die Beklagte jedenfalls im Hinblick auf Art. 35 Abs. 11 DSGVO nach der Feststellung der ersten Scraping-Vorfälle spätestens im März 2018 zur Erstellung einer Datenschutz-Folgenabschätzung ab dem 25.05.2018 verpflichtet war, kann vorliegend offen bleiben, weil im Hinblick auf die Verstöße der Beklagten gegen Art. 5 Abs. 1 lit. f, Art. 32 DSGVO und gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 DSGVO (dazu jeweils ausführlich nachfolgend unter II.1.b.aa.(2).(e) und (f)) durch einen etwaigen Verstoß gegen Art. 35 Abs. 11 DSGVO kein zusätzlicher Schaden entstehen oder ein entstandener Schaden vertieft werden konnte.
(b) Der sachliche Anwendungsbereich der DSGVO ist eröffnet.
Der Betrieb eines sozialen Netzwerkes durch Sammlung / Speicherung jedenfalls des Namens und Geschlechts von Mitgliedern und die automatisierte Vernetzung der Mitglieder sowie deren Beschickung mit individualisierter Werbung fällt in den sachlichen Anwendungsbereich der DSGVO im Sinne des Art. 2 Abs. 1 DSGVO; die Tätigkeit unterfällt – was die Beklagte aber auch schon nicht in Anspruch nimmt – keinem Ausnahmetatbestand im Sinne von Art. 2 Abs. 2 bis Abs. 4 DSGVO oder der Öffnungsklausel nach Art. 85 Abs. 2 DSGVO (vgl. konkret zur Beklagten EuGH Urt. v. 4.7.2023 – C-252/21, GRUR 2023, 1131 Rn. 27; EuGH Urt. v. 5.6.2018 – C-210/16, NJW 2018, 2537 Rn. 30; siehe zu einer Internetsuchmaschine auch BGH Urt. v. 27.7.2020 – VI ZR 405/18, BGHZ 226, 28 Rn. 13 f.).
Bei den hier in Rede stehenden Daten (Telefonnummer, Facebook-ID, Familienname, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus) handelt es sich unzweifelhaft um personenbezogene Daten im Sinne der Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7, Art. 2 Abs. 1 in Verbindung mit Art. 4 Nr. 1 DSGVO.
Die personenbezogenen Daten (konkret jedenfalls Telefonnummer, Facebook-ID, Familienname, Vorname sowie Geschlecht) hat die Beklagte auch unzweifelhaft im Sinne von Art. 2 Abs. 1 in Verbindung mit Art. 4 Nr. 2 DSGVO automatisiert verarbeitet.
(c) Der räumliche Anwendungsbereich der DSGVO ist eröffnet.
Die Beklagte ist unzweifelhaft Verantwortliche der Verarbeitung im Sinne von Art. 4 Nr. 7 DSGVO (vgl. konkret zur Beklagten EuGH Urt. v. 4.7.2023 – C-252/21, GRUR 2023, 1131 Rn. 86 ff.; EuGH Urt. v. 28.4.2022 – C-319/20, NJW 2022, 1740 Rn. 34; EuGH Urt. v. 5.6.2018 – C-210/16, NJW 2018, 2537 Rn. 30; siehe auch BGH Urt. v. 27.7.2020 – VI ZR 405/18, BGHZ 226, 28 Rn. 13).
Sie hat ihren Sitz in Irland, betreibt jedenfalls für die Tätigkeit ihrer Datenverarbeitung eine Niederlassung in Irland, also innerhalb der Union (vgl. auch BGH Urt. v. 27.7.2020 – VI ZR 405/18, BGHZ 226, 28 Rn. 15).
(2) Soweit die Beklagte in erster Instanz auch eine Betroffenheit der Klägerin durch den Scraping-Vorfall mit Nichtwissen bestritten hat, hat sie ihr Bestreiten im Senatstermin nach einer Inaugenscheinnahme des Leak-Datensatzes fallen lassen und die Betroffenheit unstreitig gestellt. Damit traf die Beklagte die Darlegungslast dahin, die betroffenen personenbezogenen Daten der Klägerin entsprechend der DSGVO verarbeitet zu haben.
Obwohl es sich bei dem für die Haftung nach Art. 82 DSGVO erforderlichen Verstoß gegen die DSGVO im Zuge der Datenverarbeitung um eine anspruchsbegründende Voraussetzung handelt, ist nicht die Klägerin für einen solchen Verstoß darlegungs- und beweisbelastet:
Nach der Rechtsprechung des EuGH ist es nur, soweit der jeweils maßgebliche unionsrechtliche Rechtsakt keine spezifischen Bestimmungen hierzu enthält, Sache des nationalen Gerichts, die Beweislastregelungen der nationalen Rechtsordnung anzuwenden, sofern damit die Wirksamkeit des Unionsrechts nicht beeinträchtigt und die Einhaltung der sich aus dem Unionsrecht ergebenden Verpflichtungen sichergestellt wird (so BVerwG Urt. v. 2.3.2022 – 6 C 7/20, BVerwGE 175, 76 Rn. 48 m. w. N.; siehe im Kontext zur Bemessung des Schadensersatzes nach Art. 82 Abs. 2 DSGVO EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 53 ff., insbesondere auch zum Grundsatz der Effektivität und Äquivalenz).
Die DSGVO enthält indes in Art. 5 Abs. 2 DSGVO eine spezifische Beweislastregelung. Danach ist nämlich der für die Datenverarbeitung Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO enthaltenen Grundsätze der Datenverarbeitung verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“).
Er muss damit also generell – und entgegen dem Ansatz der Beklagten auch im Zivilprozess – nach dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält (vgl. EuGH Urt. v. 4.7.2023 – C-252/21, GRUR 2023, 1131 Rn. 95, 152, 154; EuGH Urt. v. 4.5.2023 – C-60/22, BeckRS 2023, 8967 Rn. 53; EuGH Urt. v. 24.2.2022 – C-175/20, BeckRS 2022, 2616 Rn. 77, siehe auch Rn. 78; EuGH Urt. v. 24.2.2024 – C-175/20, EuZW 2022, 527 Rn. 77 f., 81; vgl. zu Art. 32, 24 DSGVO speziell auch GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 45-53; siehe auch BVerwG Urt. v. 1.3.2022 – 6 C 7 /20, BVerwGE 175, 76 Rn. 49 f.).
Gemessen daran hat die Beklagte als die für die Datenverarbeitung Verantwortliche trotz entsprechender Hinweise des Senats vom 30.06.2023 (eGA II-264 f.) und vom 04.07.2023 (eGA II-273) weder schlüssig dargelegt noch gar bewiesen, dass ihre streitgegenständliche, zum Scraping-Vorfall bei der Klägerin führende Verarbeitung entgegen dem klägerischen Vorbringen nicht gegen die in Art. 5 Abs. 1 DSGVO normierten Grundsätze verstoßen hat.
Namentlich hat sie insbesondere nicht schlüssig dargelegt, dass sie die personenbezogenen Daten der Klägerin rechtmäßig im Sinne des Art. 6 Abs. 1 DSGVO verarbeitet hat.
Unzweifelhaft hat die Beklagte mit Telefonnummer, Facebook-ID, Familienname, Vorname sowie Geschlecht (und hätte, woran es aber trotz entsprechenden Vortrages vorliegend tatsächlich fehlt, mit Bundesland, Land, Stadt sowie Beziehungsstatus) personenbezogene Daten der Klägerin im Sinne des Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 1 DSGVO als Verantwortliche im Sinne von Art. 82 Abs. 1, Abs. 2, Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 7 DSGVO ab dem 25.05.2018 fortgesetzt verarbeitet im Sinne von Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 2 DSGVO. Die (weitere) Datenverarbeitung war deshalb nur dann rechtmäßig, wenn ab diesem Zeitpunkt ein Rechtfertigungsgrund nach Art. 6 Abs. 1 Unterabs. 1 DSGVO vorlag. Daran fehlt es.
Konkret nicht ausgeräumt hat die Beklagte neben Verstößen gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 Unterabs. 1 DSGVO zudem auch solche gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 und Abs. 2 DSGVO und Art. 5 Abs. 1 lit. f, Art. 32 DSGVO.
Im Einzelnen:
(a) Zunächst war die Datenverarbeitung mit Blick auf die Suchbarkeit eines Nutzerprofils über die Mobilfunktelefonnummer per Such- und Kontaktimportfunktion und insbesondere die diesbezügliche Voreinstellung der Suchbarkeit für „alle“ – entgegen der Ansicht der Beklagten – nicht zur Vertragszweckerfüllung erforderlich und damit nicht gemäß Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO gerechtfertigt.
Soweit die Beklagte die streitgegenständliche, mittlerweile deaktivierte Suchbarkeit des Nutzerprofils über die Telefonnummer für „alle“ unter Nutzung der Such- oder Kontaktimportfunktion als für die Vertragserfüllung essentiell, da zur Vernetzung der Nutzer untereinander erforderlich, erachtet, vermag sich der Senat dem nicht anzuschließen:
(aa) Damit eine Verarbeitung personenbezogener Daten als für die Erfüllung eines Vertrags erforderlich im Sinne des Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte (EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 98).
Der etwaige Umstand, dass eine solche Verarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist insoweit für sich genommen unerheblich. Entscheidend für die Anwendung des in Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO genannten Rechtfertigungsgrundes ist nämlich, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen (EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 99).
Dabei ist im Fall eines Vertrages, der mehrere Dienstleistungen oder mehrere eigenständige Elemente einer Dienstleistung umfasst, die unabhängig voneinander erbracht werden können, die Anwendbarkeit von Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO für jede dieser Dienstleistungen gesondert zu beurteilen (EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 100 m. w. N.).
(bb) Demzufolge ergibt sich schon allein aus dem Umstand, dass die Beklagte nur hinsichtlich bestimmter personenbezogener Daten vorgab und -gibt, dass diese „immer öffentlich“, also zwecks Vernetzung sichtbar und damit suchbar sein müssen, und dem Umstand, dass sie den Nutzern im Rahmen der Zielgruppenauswahl und der Suchbarkeitseinstellungen freistellt, ob und wem die nicht „immer öffentlichen“ Daten gezeigt werden bzw. ob und wer nach ihnen suchen kann, dass diese Daten nicht objektiv unerlässlich waren und sind, um eine (hinreichende) Verknüpfung der Nutzer der Beklagten zu ermöglichen. Dass dies (unter Umständen) für die Nutzer (und vor allem im Hinblick auf die Werbezweckrichtung und damit das Geschäftsmodell der Beklagten) wünschenswert gewesen sein mag, reicht gerade nicht. Ob der einzelne Nutzer (sich) diesen Wunsch erfüllen mochte, musste ihm vielmehr im Rahmen einer informierten Einwilligung selbst überlassen bleiben.
(cc) Ohne Erfolg beruft sich die Beklagte in rechtlicher Hinsicht darauf, die vorgenannten Vorgaben des EuGH, die der Senat zugrunde legt, bezögen sich nur auf die vom Vorabentscheidungsersuchen betroffenen Off-Facebook-Daten und beträfen einen anderen Verarbeitungszweck und ließen sich deshalb auf den vorliegenden Fall nicht übertragen. Wenn auch der Kontext, zu dem sich der EuGH zur Auslegung der geforderten Erforderlichkeit für die Vertragserfüllung geäußert hat, ein anderer war, so besteht jedoch keinerlei Zweifel daran, dass diese Aussagen des EuGH allgemeingültig sind (vgl. explizit EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 98). Dafür, dass der EuGH insoweit eine differenzierende Begriffsbestimmung für geboten hielte, besteht keinerlei Anhaltspunkt.
(dd) Ebenso wenig lässt sich – entgegen der im Senatstermin ins Feld geführten Argumentation der Beklagten – in Anwendung der Begriffsbestimmung durch den EuGH eine Erforderlichkeit der streitgegenständlichen Suchbarkeit des Profils per Suchbarkeits- oder Kontaktimportfunktion über eine künstliche Aufspaltung des einheitlichen Nutzungsvertrags in mehrere gesonderte Verträge oder eigenständige Elemente, jeweils in sich geschlossen auf bestimmte Funktionen des Online-Netzwerks, annehmen.
Zwar sind mehrere Dienstleistungen oder mehrere eigenständige Elemente einer Dienstleistung, die unabhängig voneinander erbracht werden können, im Hinblick auf die Anwendbarkeit von Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO für jede dieser Dienstleistungen gesondert zu beurteilen (vgl. EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 100 m. w. N.).
Jedoch können vorliegend die Such- oder die Kontaktimportfunktion gerade nicht als eigenständige Elemente einer Dienstleistung betrachtet werden; denn sie dienen schlicht dem von der Beklagten beschriebenen Hauptnutzungszweck der Plattform einer möglichst einfachen Vernetzung der Nutzer untereinander. Ihnen fehlt folglich jeglicher eigenständige Charakter, sie sind Mittel zum Zweck, aber eben kein unerlässliches mit Blick auf die Vernetzung der Nutzer.
(b) Auch wenn sich die Beklagte im vorliegenden Rechtsstreit nicht explizit auf eine Rechtfertigung über Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO beruft, so hat sie doch zugleich als Anl. B18 (eGA I-264) einen Auszug von ihrer Webseite zur Akte gereicht, in dem dieser Rechtfertigungsgrund behandelt wird. Aus Rechtsgründen sah sich der Senat deshalb gehalten, eine mögliche Rechtfertigung über Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO in den Blick zu nehmen; denn Art. 6 Abs. 1 Unterabs. 1 DSGVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann (EuGH Urt. v. 4.7.2023 – C-252/21 GRUR-RS 2023, 15772 Rn. 90 m. w. N.; EuGH Urt. v. 11.11.2020 – C-61/19, NJW 2021, 841 Rn. 34). Die dort genannten Möglichkeiten einer Rechtfertigung bestehen dabei grundsätzlich alternativ nebeneinander (EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 92 m. w. N.).
Eine Rechtfertigung über Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO scheidet vorliegend jedoch aus:
(aa) Verarbeitungen personenbezogener Daten sind nach Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO unter drei kumulativen Voraussetzungen rechtmäßig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 106 m. w. N.).
(bb) Jedenfalls das Vorliegen der zweiten Voraussetzung der Erforderlichkeit lässt sich nicht feststellen.
Entscheidend hierfür ist, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere die durch die Art. 7 und 8 der Charta garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen (EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 108 m. w. N.).
Zudem ist die Voraussetzung der Erforderlichkeit der Datenverarbeitung gemeinsam mit dem sogenannten Grundsatz der „Datenminimierung“ zu prüfen, der in Art. 5 Abs. 1 lit. c DSGVO verankert ist und verlangt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sind (EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 109).
Dass die Suchbarkeit über die Telefonnummer auf den verschiedenen Ebenen, insbesondere per Kontaktimportfunktion von Facebook oder im Facebook-Messenger, nicht erforderlich ist und war, wird dadurch belegt, dass diese Funktion zum 06.09.2019 endgültig und vollständig aus allen Anwendungsbereichen eliminiert wurde.
(c) Die Beklagte beruft sich zudem zu Recht zur Rechtfertigung ihrer Verarbeitung der personenbezogenen Daten nicht auf eine Einwilligung der Klägerin im Sinne des Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a DSGVO. Aus Rechtsgründen (iura novit curia) sah sich der Senat ebenfalls gleichwohl gehalten, sich mit der Frage einer wirksam erteilten Einwilligung zu befassen; denn auch wenn die in Art. 6 Abs. 1 Unterabs. 1 lit. b bis lit. f DSGVO vorgesehenen Rechtfertigungsgründe nicht greifen, kann die Verarbeitung personenbezogener Daten infolge einer wirksamen Einwilligung der betroffenen Person rechtmäßig sein (vgl. EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 93 f.).
Eine wirksame Einwilligung der Klägerin im Sinne von Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7 DSGVO in die Suchbarkeit ihres Nutzerprofils über die Mobilfunktelefonnummer lag allerdings nicht vor.
(aa) Nach Art. 6 Abs. 1 Unterabs. 1 lit. a DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke freiwillig in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt hat (vgl. EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 91 f.; EuGH Urt. v. 11.11.2020 – C-61/19, NJW 2021, 841 Rn. 35 f.). Dabei gilt es, auch den Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a Var. 3 DSGVO zu berücksichtigen.
(bb) Soweit die Klägerin möglicherweise vor dem 25.05.2018 in die Suchbarkeit ihres Profils über die Mobilfunknummer eingewilligt hat, konnte eine solche Einwilligung unter Geltung der DSGVO jedenfalls keine rechtfertigende Wirkung mehr entfalten; denn nach Erwägungsgrund 171 Satz 3 DSGVO musste eine vorab erteilte Einwilligung bereits den Bedingungen der DSGVO entsprechen, um fortzugelten. Daran fehlt es vorliegend, weil auch die im April 2018 von der Beklagten der Klägerin mit Blick auf den Geltungsbeginn der DSGVO zur Verfügung gestellten neuen Nutzungsbedingungen vom 19.04.2018 (Anl. B19, eGA I-458 ff.) und die zur Verfügung gestellte neue Datenrichtlinie vom 19.04.2018 (Anl. B20, eGA I-470 ff.) den Anforderungen der DSGVO nicht genügen. Hierauf ist allein abzustellen, da die Beklagte zu Änderungen ihrer allgemeinen Nutzungsbedingungen nach dem 19.04.2018, etwa zum 31.07.2019 (vgl. EuGH Urt. v. 4.7.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 32), die noch Relevanz haben könnten, nichts vorgetragen hat.
(cc) Unter Berücksichtigung der historischen Entwicklung von der Datenschutz-Richtlinie (im Folgenden: DSRL) zur DSGVO und bei klassischer europarechts-autonomer Auslegung erfordert eine wirksame Einwilligung seit dem 25.05.2018 ein aktives Verhalten des Einwilligenden. Entsprechend Erwägungsgrund 32 Satz 3 DSGVO folgt aus Stillschweigen, bereits angekreuzten Kästchen oder Untätigkeit der betroffenen Person keine Einwilligung mehr (vgl. EuGH Urt. v. 11.11.2020 – C-61/19, NJW 2021, 841 Rn. 35 f.; siehe auch EuGH Urt. v. 1.10.2019 – C-673/17, NJW 2019, 3433 Rn. 51 ff., insbesondere Rn. 61 f.).
Gemessen daran kann die Beklagte schon allein auf Grund des Umstandes, dass sie mit ihrer Voreinstellung „alle“ zur Suchbarkeit zum Zeitpunkt der Bedingungsänderungen am 19.04.2018 unverändert eine „Opt-Out-Einwilligung“ vorsah, keine wirksame Einwilligung vorweisen.
(dd) Zudem steht der Annahme einer wirksamen Einwilligung auch entgegen, dass die Beklagte nicht transparent und ausreichend über die Bedeutung der Suchbarkeitseinstellung informiert hat. Es erfolgten nur pauschale Hinweise im ersten Schritt des (Bestätigungs-)Verfahrens zur Anpassung des Nutzungsvertrages an die DSGVO (eGA I-418):
Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.
Im zweiten Schritt – nach dem Klick auf „Los geht`s“ – folgte ebenfalls keine transparente Information (eGA I-419):
Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.
Eine ausreichende Information über die (weiterhin, also ohne individuelle Änderung unverändert voreingestellte) Suchbarkeit hätte sich nur in dem Link zu Nutzungsbedingungen „verbergen“ können, da nur zu diesen eine Zustimmung („Ich stimme zu“) abgefragt wurde; so heißt es in der Anmerkung zum Zustimmungsfeld nur „Indem du auf „Ich stimme zu“ klickst, akzeptierst du die aktualisierten Nutzungsbedingungen“. Die Zustimmung „Ich stimme zu“ bezieht sich damit ausdrücklich nicht auch auf die Datenrichtlinie, die Cookie-Richtlinie oder die bisherigen Einstellungen hinsichtlich der Daten, der Privatsphäre und der Sicherheit.
Allein unter Ziffer 2 der Nutzungsbedingungen (Anl. B19, eGA I-460 f.), wobei Datenrichtlinie und Einstellung verlinkt sind, heißt es wie folgt:
„2. Unsere Datenrichtlinie und deine Privatsphäre-Einstellungen
Wir erfassen und verwenden deine personenbezogenen Daten, um die oben beschrieben Dienste für dich bereitzustellen. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen und verwenden.
Wir empfehlen dir außerdem, deine Privatsphäre-Einstellungen in deinen Einstellungen zu überprüfen. Diese legen die Art und Weise fest, wie wir Daten verwenden.“
Auch im Übrigen lassen sich den Nutzungsbedingungen vom 19.04.2018 (Anl. B19, eGA I-458 ff.) keinerlei Angaben zu Suchbarkeitseinstellungen entnehmen, worauf die Beklagte bereits unter dem 30.06.2023 (eGA II-264) hingewiesen worden ist, ohne dass sie maßgebliche Passagen aufgezeigt hätte.
Es wurde somit in keiner Weise überhaupt darauf hingewiesen, dass eine (erneute) Zustimmung zur Datenrichtlinie oder erst recht zu den bisherigen Privatsphäre-Einstellungen erforderlich war. Dies widersprach Erwägungsgrund 42 Satz 2 DSGVO, wonach eine betroffene Person wissen soll, dass und in welchem Umfang eine Einwilligung erteilt wird.
(ee) Folglich hat die Beklagte nicht wie geboten sichergestellt, dass das – wie auch bei der Klägerin – voreingestellte und ab dem 25.05.2018 unzulässige Opt-Out entfiel und die fortgesetzte Datenverarbeitung durch eine der DSGVO entsprechende Einwilligung gedeckt wurde. Da – wie bereits ausgeführt – zudem ab dem 25.05.2018 eine Einwilligung nur durch ein aktives Tun und nicht durch stillschweigendes Akzeptieren von Voreinstellungen erfolgen kann, hätte die Beklagte die Nutzer im Rahmen der Änderung der Nutzungsbedingungen etc. mithin sämtliche bisherigen Voreinstellungen durchlaufen lassen müssen, diese – wie erst seit Mai 2019 möglich – auf „nur ich“ voreinstellen und ihre aktive Einwilligung nach umfassender Information zu hiervon abweichenden neuen Einstellungen einholen müssen.
(d) Die Beklagte hat zudem oder zugleich einen Verstoß gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 2 DSGVO – entsprechend den nicht bindenden Feststellungen der nicht rechtskräftigen Entscheidung der Irischen Datenschutzbehörde (DPC) vom 28.11.2022 (eGA II-299 ff.) – nicht ausgeräumt.
Da die Klägerin am 25.05.2018, also zum Geltungsbeginn der DSGVO, bereits registriert war, es aber zuvor entgegen Art. 25 Abs. 2 DSGVO („privacy by default“) die nicht datenschutzfreundliche Grund- / Voreinstellung der Suchbarkeitseinstellung auf „alle“ gab, musste die Beklagte sicherstellen, dass nicht geänderte unfreundliche Voreinstellungen zum 25.05.2018 unter Abkehr vom „Opt-Out“-System geändert wurden. Wie dargelegt lässt sich insoweit ein Rechtfertigungsgrund nicht feststellen.
(e) Weiterhin hat die Beklagte nicht dargelegt, dass ihre Datenverarbeitung den Anforderungen der Art. 5 Abs. 1 lit. f, Art. 32 DSGVO entsprach.
Die Beklagte hat trotz der sie treffenden Darlegungs- und Beweislast konkret weder substantiiert dargelegt noch bewiesen, dass sie den Vorgaben des Art. 32 DSGVO zur Sicherheit der Verarbeitung genügt hätte, worauf sie bereits unter dem 30.06.2023 (eGA II-265) hingewiesen worden ist.
(aa) Die Argumentation der Beklagten verfängt zunächst insoweit nicht, als sie sich auf den Rechtsstandpunkt einer als solchen schon fehlenden, aber jedenfalls rechtmäßigen Datenverarbeitung durch sie stellt – mit der Begründung, die Daten gar nicht unbefugt Dritten, den Scrapern, offen gelegt zu haben, weil unter Verstoß gegen die Meta-Nutzungsbedingungen nur die Art des Abrufs der Daten durch die Scraper, nicht aber der Zugang zu den abgerufenen, ohnehin öffentlichen Daten unberechtigt gewesen sei.
Entgegen ihrer Rechtsansicht hat die Beklagte die geleakten Daten den Scrapern offengelegt; denn in der (seitens der Beklagten automatisierten) Ausführung des Abrufs über die Such- oder Kontaktimportfunktionen liegt unzweifelhaft eine Datenverarbeitung im Sinne des Art. 4 Nr. 2 DSGVO in Form der Offenlegung durch Übermittlung. Der Begriff „Verarbeitung“, wie er in Art. 4 Nr. 2 DSGVO definiert wird, ist nach dem Willen des Unionsgesetzgebers mit der Formulierung „jede[r] Vorgang“ weit zu fassen und stellt keine erschöpfende Aufzählung von Vorgängen im Zusammenhang mit personenbezogenen Daten oder Sätzen solcher Daten – wie etwa Erheben, Erfassen, Speicherung und Abfragen – dar (vgl. EuGH Urt. v. 22.6.2023 – C-579/21, BeckRS 2023, 14515 Rn. 46 ff. m. w. N. zu Abfragen von Mitarbeitern des datenverarbeitenden Unternehmens; EuGH Urt. v. 4.5.2023 – C-487/21, NJW 2023, 2253 Rn. 27 m. w. N.).
Ohne die automatisierte Datenverarbeitung der Beklagten hätten die Scraper die Nutzerinformationen nicht zusammenstellen und veröffentlichen können.
Offenlegung und Zugangsgewährung geschahen auch unbefugt. Das ergibt sich schon – unabhängig von deren genauer rechtlicher Einordnung – aus den Nutzungsbedingungen der Beklagten, die ein Vorgehen wie das der Scraper, die als Nutzer registriert sein mussten, explizit untersagen (Anl. B19, eGA I-462):
„Du darfst (ohne unsere vorherige Genehmigung) nicht mittels automatisierter Methoden auf Daten unserer Produkte zugreifen, solche Daten erfassen oder versuchen, auf Daten zuzugreifen, für die du keine Zugriffsberechtigung hast.“
Das galt erst recht für Personen, die sich – wie die Scraper unter Vorgabe fremder oder nicht existierender Identitäten – bereits unrechtmäßig im Netzwerk der Beklagten angemeldet hatten.
(bb) Auch die weitere Argumentation der Beklagten verfängt nicht, soweit sie sich nämlich im Wesentlichen schlicht auf den Standpunkt stellt, ihre Pflichten zur Implementierung angemessener technischer und organisatorischer Maßnahmen gemäß Art. 32, Art. 24, Art. 5 Abs. 1 lit. f DSGVO im Zusammenhang mit der Kontaktimportfunktion nicht verletzt zu haben, weil sie ihre Anti-Scraping-Maßnahmen im relevanten Zeitraum regelmäßig überprüft und gegebenenfalls entsprechend den Marktgepflogenheiten zu den Sicherheitsstandards sukzessive aus der maßgeblichen ex-ante-Betrachtung in angemessener Weise angepasst habe, z. B. durch Übertragungsbegrenzungen, Boterkennung, Captchas („Completely Automated Public Turing Test to tell Computers and Humans Apart“ [auf Deutsch: Vollständig automatisierter öffentlicher Turing-Test, um Computer von Menschen zu unterscheiden]) und den „Social Connection Check“ (Anzeige von Personen, nur wenn diese sich zu kennen schienen).
Tatsächlich waren die im Zeitpunkt des Scraping-Vorfalls bestehenden Maßnahmen unter Zugrundelegung des unstreitigen und streitigen Vortrags der Beklagten technisch und organisatorisch ungeeignet im Sinne des Art. 32 Abs. 1 Hs. 1 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, obwohl es in Bezug auf die Kontaktimportfunktionen bei Facebook und im Facebook-Messenger geeignete Maßnahmen gab.
[1] Der Senat verkennt insoweit zunächst nicht, dass allein die Tatsache, dass es zum Scraping-Vorfall gekommen ist, kein Beweis dafür ist, dass die Beklagte im Vorfeld ungeeignete Maßnahmen ergriffen hätte (vgl. GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 29-37).
Da Art. 32 DSGVO keine konkreten Vorgaben zu erforderlichen Maßnahmen enthält, ist es vielmehr ersichtlich eine Frage des konkreten und vom Gericht zu bearbeitenden Einzelfalls, ob die vom Verantwortlichen darzulegenden und zu beweisenden Maßnahmen das Risiko einer Datenverletzung Dritter – aus ex-ante-Sicht – hinreichend zu verhindern geeignet waren, wobei dem Verantwortlichen bei der Auswahl und Umsetzung der Maßnahmen ein gewisser subjektiver Beurteilungsspielraum zuzugestehen ist (vgl. GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 38-44).
[2] Vorliegend hat die Beklagte bei einer ex-ante-Betrachtung trotz ihres Beurteilungsspielraums unter Abwägung der widerstreitenden Interessen spätestens ab April 2018 keine geeignete und gebotene Maßnahme gegen das Scraping getroffen.
Der Begriff „geeignet“ setzt voraus, dass die zur Sicherung der Informationssysteme gewählten Maßnahmen sowohl in technischer (Angemessenheit der Maßnahmen) als auch in qualitativer Hinsicht (Wirksamkeit des Schutzes) ein akzeptables Niveau erreichen. Um die Einhaltung der Grundsätze der Notwendigkeit, Angemessenheit und Verhältnismäßigkeit zu gewährleisten, muss die Verarbeitung nicht nur geeignet sein, sondern auch den Zwecken entsprechen, denen sie dienen soll. Dabei spielt der Grundsatz der Minimierung eine entscheidende Rolle, wonach auf allen Stufen der Datenverarbeitung stets darauf geachtet werden muss, dass Sicherheitsrisiken minimiert werden (GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 20).
Es ist weder von der Beklagten dargetan noch sonst ersichtlich, dass trotz ex-ante-Betrachtung wie geboten ab Geltung der DSGVO im Mai 2018 ausreichende Sicherheitsvorkehrungen gegen Scraping getroffen wurden. Konkret durfte die Beklagte, der ein Scraping bereits spätestens im März 2018 aufgefallen war, sich nicht auf die Deaktivierung der Suchfunktion der Plattform im April 2018 beschränken. Es war für sie ohne Weiteres möglich und im Hinblick auf die Datensicherheit ihrer Nutzer geboten sowie zumutbar – auch wenn es ihrem wirtschaftlichen Interesse möglicherweise widersprach –, die Kontaktimportfunktion auf Facebook, im Friend Center und im Facebook-Messenger unverzüglich einzuschränken und somit einen massiven weiteren Datenverlust an Unbefugte zu unterbinden. Es ist nicht ersichtlich oder trotz Hinweises vom 30.06.2023 sowie auf Erörterung im Senatstermin vorgetragen, warum die Deaktivierung der Suchfunktion im April 2018 bereits nach nicht einmal ein bis vier Monaten seit der Kenntniserlangung vom Vorfall erfolgte, die vollständige Deaktivierung der Kontaktimportfunktionen aber noch weitere rund sechszehn Monate dauerte oder warum nicht wenigstens andere weniger einschneidende, aber wirkungsvolle Maßnahmen getroffen wurden.
Dass es eine, wenn auch im Vergleich zur „one-to-one“-Zuordnung über das Kontaktimporttool nicht gleicheffektive, Funktion zur Verknüpfung der Nutzer gab, zeigt die aktuelle „People-You-May-Know“-Funktion. Dass eine Umstellung auf diese erst nach und nach trotz erkannten fortgesetzten Scrapinggeschehens erfolgte, lässt sich mit den Vorgaben des Art. 32 DSGVO auch aus ex-ante-Perspektive und unter Berücksichtigung eines Beurteilungsspielraums nicht vereinbaren. Dass die zögerliche Vorgehensweise der Beklagten von der Hoffnung getragen gewesen sein mag, das Scrapen zu erschweren, reicht nicht aus, um das geforderte angemessene Schutzniveau zu erreichen. Dies gilt insbesondere vor dem Hintergrund, dass die Beklagte ihre Standardeinstellung „alle“ für die Suchbarkeit über die Telefonnummer nicht – wie geboten – geändert hatte.
Soweit die Beklagte vorträgt, sie habe für die Kontaktimportfunktion der Plattform zu einem – im vorliegenden Verfahren trotz Hinweises vom 30.06.2023 sowie auf Erörterung im Senatstermin nicht näher genannten Zeitpunkt (in anderen Verfahren wird Mai 2018 behauptet) – einen nicht näher konkretisierten, auch nicht zum Gegenstand der Entscheidung der DPC vom 28.11.2022 gemachten – „Social Connection Check“ eingeführt, war dieser im Hinblick auf die allein vorgesehene Ähnlichkeitskontrolle und die danach fortbestehende Notwendigkeit, die streitgegenständliche Kontaktimportfunktion im Rahmen der Plattform – wie schon im April 2018 die Suchfunktion der Plattform – gleichwohl im Oktober 2018 zu eliminieren, evident ungeeignet. Dass dieser Check für den Messenger eingeführt worden wäre, wird zudem schon nicht behauptet.
(f) Damit einher geht, dass die Beklagte auch einen Verstoß im Rahmen ihrer Datenverarbeitung gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 DSGVO („privacy by design“) nicht ausgeräumt hat – was im Übrigen auch den, wenn gleich nicht bindenden Feststellungen der nicht rechtskräftigen Entscheidung der Irischen Datenschutzbehörde (DPC) vom 28.11.2022 (eGA II-299 ff.) entspricht.
(g) Ob die Beklagte ihrer Darlegungslast mit Blick auf mögliche weitere Verstöße gegen die DSGVO zeitlich nach dem Scraping-Vorfall und der Veröffentlichung im Darknet nachgekommen ist, kann dahinstehen; denn hinsichtlich der seitens der Klägerin gerügten Verstöße gegen die Meldepflicht nach Art. 33 DSGVO, die Benachrichtigungspflicht nach Art. 34 DSGVO sowie die Nicht- bzw. Schlechterfüllung des Auskunftsrechts nach Art. 15 DSGVO hat die Klägerin – auch nach der Erörterung im Senatstermin – keinen konkreten auf die fehlenden Informationen zurückzuführenden Schaden dargelegt noch ist ein solcher sonst ersichtlich.
Dass das Scrapen aufgrund einer rechtzeitigen Information noch konkret bezüglich der Klägerin hätte verhindert oder die Veröffentlichung des Leak-Datensatzes mitsamt den Daten der Klägerin hätte verhindert werden können, ist schon nicht ersichtlich, hätte aber auch allenfalls zum Entfallen des aus Sicht der Klägerin erst auf Grund der Veröffentlichung entstandenen Schadens und gerade nicht zu einer Vertiefung oder Begründung desselben geführt.
Dasselbe gilt für eine gerügte Verletzung von Art. 17 und 18 DSGVO.
(3) Obwohl die Beklagte – wie gezeigt – mit Blick auf eine DSGVO-konforme Datenverarbeitung vor dem Scrapingvorfall darlegungsfällig geblieben ist, steht der Klägerin die begehrte Entschädigung nicht zu; denn sie hat einen erlittenen immateriellen Schaden bereits nicht schlüssig dargelegt (unter (a)), jedenfalls aber auch nicht bewiesen (unter (b)).
(a) Es oblag der Klägerin, einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Der von der Klägerin ins Feld geführte „völlige Kontrollverlust“ rechtfertigt als solcher keine Entschädigungsverpflichtung.
(aa) Die von der DSGVO verwandten Begriffe „immaterieller“ und „materieller“ Schaden sind unionsautonom auszulegen und setzen – entgegen dem Ansatz der Klägerin – nach dem Wortlaut der Norm, der Systematik und Telos des Art. 82 Abs. 2, Abs. 1 DSGVO sowie der Art. 77-84 DSGVO und den Erwägungsgründen 75, 85 und 146 DSGVO einen über den schlichten Verstoß gegen die DSGVO hinausgehenden Schaden voraus (so EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 29-42; GA Campos Sánchez-Bordona Schlussantr. v. 6.10.2022 – C-300/21, GRUR-RS 2022, 26562 Rn. 117).
Das heißt, dass im Rahmen des haftungsbegründenden Tatbestands des Art. 82 Abs. 2, Abs. 1 DSGVO zunächst zwischen einem haftungsrelevanten Datenschutzverstoß einerseits und einem – materiellen oder immateriellen – Schaden andererseits zu differenzieren ist. Beide sind nicht deckungsgleich, sondern selbständige Voraussetzungen im Rahmen des Art. 82 DSGVO, die kumulativ vorliegen müssen.
Ein solcher Schaden setzt jedoch – entgegen möglicherweise bestehendem innerstaatlichen Recht (vgl. für das deutsche Deliktsrecht zuletzt etwa BGH Urt. v. 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 18 m. w. N.) – nach Wortlaut, Erwägungsgründen 10, 146 DSGVO und Telos nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (so EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 44-51; vgl. auch BAG Beschl. v. 26.8.2021 – 8 AZR 253/20 (A), NZA 2021, 1713 Rn. 33; offen gelassen BVerfG Beschl. v. 14.1.2021 – 1 BvR 2853/19, NJW 2021, 1005 Rn. 19 ff.; siehe zu Störungen und Belästigungen sowie Zorn und Ärger in Abgrenzung gegenüber Schäden GA Campos Sánchez-Bordona Schlussantr. v. 6.10.2022 – C-300/21, GRUR-RS 2022, 26562 Rn. 111 ff.; GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 79 ff. und insbesondere Rn. 83 zur von den nationalen Gerichten zu beantwortenden Frage des Schadens im Einzelfall).
Auch wenn es keine Erheblichkeitsschwelle gibt, so bedeutet dies indes nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen [Hervorhebungen hinzugefügt]“ (EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 50 und das in dem Bewusstsein der konkret vom ÖOGH zum Kontrollverlust aufgeworfenen Frage, vgl. Rn. 17). Entsprechend stellt der EuGH auch darauf ab, dass die „konkret erlittenen Schäden“ vollständig ausgeglichen werden müssen (vgl. EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 58).
Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rechtsprechung des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht (vgl. etwa zur Haftung der Union im Sinne von Art. 340 Abs. 2 AEUV jeweils m. w. N. hier nur EuGH Urt. v. 13.12.2018 – C-150/17 P, BeckRS 2018, 31923 Rn. 86; EuGH Urt. v. 30.5.2017 – C-45/15 P, BeckRS 2017, 111224 Rn. 61; EuGH Urt. v. 4.4.2017 – C-337/15 P, BeckRS 2017, 105868 Rn. 91-94; zur Haftung von Privatpersonen im Sinne von Art. 94 VO/2100/94 EuGH Urt. v. 16.3.2023 – C-522/21, GRUR 2023, 713 Rn. 38, 46, 49, wobei unter Rn. 37 dargestellt wird, dass ein pauschal festzusetzender Strafschadensersatz wie bei Art. 82 DSGVO ausscheidet; zur Haftung von Mitgliedstaaten nach nationalem Recht wegen Verstoßes gegen Unionsrecht EuGH Urt. v. 25.3.2021 – C-501/18, BeckRS 2021, 5310 Rn. 112, 122, 127).
Entsprechend sieht der die Frage des Schadensersatzes allein betreffende Erwägungsgrund 75 DSGVO auch nur vor, dass ein Schaden entstehen „könnte“, nicht aber in jedem Fall eintritt, „wenn“ u. a. „die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren“. In Erwägungsgrund 85 DSGVO hingegen geht es im Kern um die Informationspflichten und nicht um den Schadensersatzanspruch.
Etwas anderes gebietet auch Erwägungsgrund 146 Satz 6 DSGVO nicht, der „nur“ einen vollständigen und wirksamen Schadensersatz für den – konkret-individuell –„erlittenen“ Schaden fordert, während Art. 83 Abs. 1 und Art. 84 Abs. 1 Satz 2 DSGVO aus generell-abstrakter Perspektive nicht nur eine wirksame und verhältnismäßige, sondern auch abschreckende Maßnahmen einfordern.
Ein Kontrollverlust durch Scraping, also bei unbefugter Offenlegung / unbefugtem Zugänglichmachen, betraf als generelles Risiko der (unrechtmäßigen) Verarbeitung alle Personen, deren Daten ohne Rechtfertigungsgrund suchbar waren, gleichermaßen (vgl. allgemein Erwägungsgrund 7 Satz 2 DSGVO).
Einem solchen generellen Risiko soll im Hinblick auf die Zielsetzung der DSGVO, den unionsweiten Schutz personenbezogener Daten sicherzustellen (vgl. Erwägungsgrund 10 DSGVO), durch die Minimierung der Verarbeitungsrisiken entgegengewirkt werden, um ein möglichst hohes Schutzniveau zu erreichen. Dem Einzelnen die Kontrolle über seine Daten möglichst umfassend zu belassen bzw. dies zu gewährleisten, ist hierfür von grundlegender Bedeutung. Realisiert sich das generelle Risiko, dessen Eintritt verhindert werden soll, kommt es zwangsläufig zum Kontrollverlust. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, wenn bzw. – hier eben – weil dieser automatisch bei jedem vom festgestellten Verstoß gegen die DSGVO Betroffenen in Form der Offenlegung / Zugänglichmachung von Daten eintritt (vgl. EuGH Urt. v. 4.4.2017 – C-337/15 P, BeckRS 2017, 105868 Rn. 91-94, zur mangelnden Schadensqualität eines Vertrauensverlustes, der generell mit der Sorgfaltspflichtverletzung eines Amtsträgers einhergeht). Der Kontrollverlust in Form des unkontrollierten Abrufs der Daten durch die Scraper und der anschließenden Veröffentlichung des Leak-Datensatzes im Darknet waren lediglich die zwangsläufige und generelle Folge der unrechtmäßigen bzw. unzureichend geschützten Datenverarbeitung durch die Beklagte. Daraus folgt, dass es über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall bedarf. Damit deckt sich, dass der völlige Kontrollverlust als solcher nicht per se ein immaterieller Schaden ist; denn stellt ein unkontrollierter Datenverlust im konkreten Einzelfall wegen des Werts der Daten eine in Geld messbare Einbuße dar, so ist dies unzweifelhaft ein Vermögensschaden.
Abgesehen davon ist weder dargetan noch sonst ersichtlich, worin der von der Klägerin reklamierte „völlige Kontrollverlust“ durch die Zuordnung ihrer Mobilfunktelefonnummer zu ihren immer öffentlichen Daten konkret überhaupt liegen sollte. Insbesondere hat sich die Klägerin wegen des Kontrollverlustes bis heute nicht gehalten gesehen, ihre Mobilfunktelefonnummer zu wechseln. Das belegt, dass die unkontrollierte Zuordnung ihrer Mobilfunktelefonnummer nicht dazu führte, dass eine weitere kontrollierte Verwendung durch die Klägerin dadurch faktisch ausgeschlossen war.
(bb) Einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes hat die Klägerin bereits nicht schlüssig dargelegt.
[1] Bei persönlichen / psychologischen Beeinträchtigungen handelt es sich, soweit – wie hier – keine krankhaften Störungen behauptet werden, um innere Vorgänge.
Auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen kann nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden (ständige Rspr., vgl. z. B. zur Vorsatzanfechtung nach § 133 Abs. 1 InsO BGH Urt. v. 3.3.2022 – IX ZR 53/19, NJW 2022, 1457 Rn. 9; zum Nachweis der Kausalität einer arglistigen Täuschung BGH Urt. v. 12.5.1995 – V ZR 34/94, NJW 1995, 2361 = juris Rn. 17; Senat Urt. v. 17.3.2020 – 7 U 86/19, BeckRS 2020, 31993 = juris Rn. 65).
Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat (vgl. hierzu BGH Urt. v. 12.5.1995 – V ZR 34/94, NJW 1995, 2361 = juris Rn. 17; siehe auch zur Notwendigkeit konkreten Vortrags zum Beleg für innere Unruhe und Unbehagen EuG Urt. v. 1.2.2017 – T-479/14, BeckRS 2017, 102499 Rn. 119, nachfolgend bestätigt durch EuGH Urt. v. 13.12.2018 – C-150/17 P, BeckRS 2018, 31923 Rn. 111).
[2] Obwohl bereits die Gegenseite mehrfach und schon seit der Klageerwiderung die fehlende Individualisierung gerügt und darauf hingewiesen hat, dass der Klagevortrag in allen von den klägerischen Prozessbevollmächtigten geführten Rechtsstreiten nahezu wortgleich sei, hat die Klägerin an ihrer (pauschalen) Sichtweise, ihr Vortrag reiche aus, festgehalten (vgl. zur Befreiung des Gerichts von seiner Hinweispflicht nach § 139 ZPO aufgrund von Hinweisen der Gegenseite zuletzt etwa BGH Beschl. v. 15.5.2023 – VIa ZR 1332/22, BeckRS 2023, 17046 Rn. 9 f. m. w. N.). Eine Ergänzung erfolgte auch nicht in der Berufungsinstanz, obwohl die Urteilsgründe erster Instanz explizit ebenfalls auf die nur formelhaft und in einer Vielzahl von Verfahren gleichlautend vorgetragenen Ängste und Sorgen abstellen. Die gleichwohl im Senatstermin eröffnete Möglichkeit, ihre Ansicht einer ausreichenden Individualisierung zu präzisieren, wurde nicht genutzt. Es wurde im Gegenteil nicht in Abrede gestellt, dass der Vortrag zum jeweils erlittenen immateriellen Schaden in allen geführten Verfahren gleichlautend ist. Das kann damit als „unstreitig“ behandelt werden.
Dieser nicht näher konkretisierte Klagevortrag in erster und zweiter Instanz dazu, die jeweilige (bezeichnender Weise nur pauschal bezeichnete) „Klägerpartei“ habe Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt und Aufwand an Zeit und Mühe gehabt, reicht zur Darlegung persönlich belastender Folgen der Datenschutzverletzung nicht aus, weil hiermit nicht genug Beweisanzeichen objektiver Art vorgetragen sind, in denen sich solche Gefühle bzw. der Aufwand widerspiegeln, und zwar bezogen auf den konkreten Einzelfall.
Es fehlt jeglicher konkret-individuelle Vortrag dazu, wann, wie häufig und auf welchem Weg die hiesige Klägerin konkret von Missbrauchsversuchen betroffen war und vor allem wie sie darauf jeweils reagiert hat oder wie sie unabhängig von diesen Versuchen allein durch die Veröffentlichung des Leak-Datensatzes betroffen war.
In das Bild des unzureichenden Vortrags zur persönlichen Schädigung der Klägerin passt, dass erstinstanzlich ebenso pauschal vorgetragen wurde, Telefonnummer, Name, Wohnort und Mail-Adresse seien abgegriffen worden, obwohl ihr Wohnort und ihre Emailadresse unstreitig im Leak-Datensatz gar nicht enthalten sind.
Demnach lässt sich mangels Darlegung der konkreten Missbrauchsfolgen gerade nicht einzelfallbezogen beurteilen, ob nach der Lebenserfahrung eine durchschnittlich im Datenschutz sensibilisierte Person solch negative Gefühle entwickeln würde, die nach klägerischer Behauptung über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird.
[3] Das tatsächliche Vorliegen eines immateriellen Schadens ist auch sonst nicht ersichtlich.
Nach der Rechtsprechung des EuGH muss ein Kläger, wenn er – wie hier – keine Angaben gemacht hat, mit denen das Vorliegen seines immateriellen Schadens belegt und dessen Umfang bestimmt werden könnte, zumindest nachweisen, dass das gerügte Verhalten so schwerwiegend war, dass ihm dadurch ein derartiger Schaden entstehen konnte (vgl. EuG Urt. v. 1.2.2017 – T-479/14, BeckRS 2017, 102499 Rn. 121 m. w. N., nachfolgend bestätigt durch EuGH Urt. v. 13.12.2018 – C-150/17 P, BeckRS 2018, 31923 Rn. 111).
Es entspricht indes schon nicht der allgemeinen Lebenserfahrung, dass das öffentliche Bekanntwerden der eigenen Mobilfunktelefonnummer, auch wenn es ungewollt erfolgt ist, regelmäßig / erfahrungsgemäß zu persönlichen / psychologischen Beeinträchtigungen führt.
Hinzu kommt, dass die Beklagte die Veröffentlichung durch Datenschutzverstöße lediglich mitverursacht hat. Konsequent wäre daher zunächst darauf abzustellen, ob unbefugten Abrufen der Mobilfunktelefonnummer ein immanentes Missbrauchsrisiko zukommt, das dann in der Veröffentlichung (mitsamt anderer Daten) mündet, die wiederum zu persönlichen / psychologischen Beeinträchtigungen führt. Dafür besteht kein Anhaltspunkt. Zudem relativieren sich das individuelle Missbrauchsrisiko und damit auch die hiermit einhergehenden Empfindungen nicht unerheblich dadurch, dass die klägerische Mobilfunktelefonnummer nur eine von rund einer halbe Milliarde war, die durch den streitgegenständlichen Scraping-Vorfall offengelegt wurde.
(b) Einen schlüssigen Vortrag der Klägerin unterstellt, wäre dieser jedenfalls nicht bewiesen.
Der Senat fühlt sich insoweit an die landgerichtliche Würdigung der – hier trotz Unschlüssigkeit im Kammertermin erfolgten – persönlichen Anhörung der Klägerin nach § 141 ZPO gemäß § 529 Abs. 1 Nr. 1 ZPO gebunden.
(aa) Nach § 529 Abs. 1 Nr. 1 ZPO hat das Berufungsgericht seiner Verhandlung und Entscheidung die vom Gericht des ersten Rechtszuges festgestellten Tatsachen zugrunde zu legen, soweit nicht konkrete Anhaltspunkte Zweifel an der Richtigkeit oder Vollständigkeit der entscheidungserheblichen Feststellungen begründen und deshalb eine erneute Feststellung gebieten. Konkrete Anhaltspunkte, die die in dieser Bestimmung angeordnete Bindung des Berufungsgerichts an die erstinstanzlichen Feststellungen entfallen lassen, können sich insbesondere aus Verfahrensfehlern ergeben, die dem erstinstanzlichen Gericht bei der Feststellung des Sachverhalts unterlaufen sind. Ein solcher Verfahrensfehler liegt namentlich vor, wenn die Beweiswürdigung in dem erstinstanzlichen Urteil den Anforderungen nicht genügt, die von der Rechtsprechung zu § 286 Abs. 1 ZPO entwickelt worden sind. Dies ist der Fall, wenn die Beweiswürdigung unvollständig oder in sich widersprüchlich ist, oder wenn sie gegen Denkgesetze oder Erfahrungssätze verstößt. Zweifel an der Richtigkeit und Vollständigkeit der erstinstanzlichen Feststellungen können sich ferner aus der Möglichkeit unterschiedlicher Wertung ergeben, insbesondere daraus, dass das Berufungsgericht das Ergebnis einer erstinstanzlichen Beweisaufnahme anders würdigt als das Gericht der Vorinstanz (BGH Urt. v. 23.6.2020 – VI ZR 435/19, VersR 2021, 1497 Rn. 18; siehe auch BGH Urt. v. 16.11.2021 – VI ZR 100/20, r+s 2022, 48 Rn. 15 f.). Besteht aus der für das Berufungsgericht gebotenen Sicht eine gewisse – nicht notwendig überwiegende – Wahrscheinlichkeit dafür, dass im Fall der Beweiserhebung die erstinstanzliche Feststellung keinen Bestand haben wird, ist es zu einer erneuten Tatsachenfeststellung verpflichtet (st. Rspr.: vgl. nur Senat Urt. v. 28.10.2022 – 7 U 25/22, BeckRS 2022, 38552 = juris Rn. 55; Senat Beschl. v. 7.1.2021 – 7 U 53/20, BeckRS 2021, 2530 = juris Rn. 21 m. w. N. [u. a. Senat Beschl. v. 4.5.2020 – 7 U 29/19 = juris Rn. 18]; siehe auch Senat Beschl. v. 28.5.2019 – 7 U 85/18, juris Rn. 24).
(bb) Nach dem Grundsatz der Verfahrensautonomie unter Berücksichtigung des Äquivalenz- und Effektivitätsgrundsatzes (vgl. dazu nur EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 53) gilt mit Blick auf den haftungsbegründenden – hier immateriellen – Schaden das strenge Beweismaß des § 286 ZPO, das die volle Überzeugung des Gerichts verlangt.
Diese erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet (BGH Urt. v. 23.6.2020 – VI ZR 435/19, VersR 2021, 1497 Rn. 13). Der Tatrichter muss aufgrund der Beweisaufnahme entscheiden, ob er die Behauptung für wahr oder nicht für wahr hält; er darf sich nicht mit einer bloßen, wenn auch erheblichen Wahrscheinlichkeit begnügen (vgl. BGH Urt. v. 1.10.2019 – VI ZR 164/18, NJW 2020, 1072 Rn. 9 m. w. N.).
Mit Anlegung dieses Maßstabs wird auch der Äquivalenzgrundsatz eingehalten, da § 286 ZPO gleichermaßen im deutschen Recht angewandt wird (vgl. zum Nachweis psychischer Störungen BGH Urt. v. 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 14, 17, 19; siehe auch zur Richtlinienkonformität im Zusammenhang mit der Kraftfahrzeughaftpflichtversicherungsrichtlinie EuGH Urt. v. 15.12.2022 – C-577/21, DAR 2023, 73 Rn. 35 f., 38, 44 f., 49) und die Situation der vermeintlich geschädigten Partei im Anwendungsbereich der DSGVO damit nicht ungünstiger ist (vgl. EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 53, 55).
Dies gilt insbesondere vor dem Hintergrund, dass der Schaden im Einzelfall nach der gefestigten Rechtsprechung des EuGH eben nicht nur tatsächlich, sondern auch „sicher“ sein muss (siehe schon oben; vgl. erneut jeweils m. w. N. nur EuGH Urt. v. 13.12.2018 – C-150/17 P, BeckRS 2018, 31923 Rn. 86; EuGH Urt. v. 30.5.2017 – C-45/15 P, BeckRS 2017, 111224 Rn. 61; EuGH Urt. v. 4.4.2017 – C-337/15 P, BeckRS 2017, 105868 Rn. 91-94; EuGH Urt. v. 16.3.2023 – C-522/21, GRUR 2023, 713 Rn. 38, 46, 49, EuGH Urt. v. 25.3.2021 – C-501/18, BeckRS 2021, 5310 Rn. 112, 122, 127).
Erst für die Bestimmung des Ausmaßes des einmal festgestellten Schadens kommt § 287 ZPO zur Anwendung (siehe zum „genauen Nachweis“ und zur Schadensschätzung EuGH Urt. v. 16.3.2023 – C-522/21, GRUR 2023, 713 Rn. 43), wonach für die Überzeugungsbildung eine hinreichende bzw. überwiegende Wahrscheinlichkeit genügen kann (BGH Urt. v. 23.6.2020 – VI ZR 435/19, VersR 2021, 1497 Rn. 13; vgl. zur mehr oder minder hohen (mindestens aber überwiegenden) Wahrscheinlichkeit BGH Urt. v. 17.9.2019 – VI ZR 396/18, r+s 2020, 50 Rn. 13).
Ebenso wenig wird mit Anlegung dieses Maßstabs gegen den Effektivitätsgrundsatz verstoßen. Denn der vermeintlich geschädigten Partei stehen nicht nur die Strengbeweismittel der ZPO zur Beweisführung nach § 286 ZPO offen. Vielmehr kann eine Partei diesen Beweis auch durch ihre Angaben im Rahmen einer Parteianhörung nach § 141 ZPO außerhalb einer förmlichen Parteivernehmung führen (vgl. BGH Urt. v. 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 19). Damit wird gewährleistet, dass ein aufgrund des Verstoßes gegen die DSGVO konkret erlittener Schaden in vollem Umfang ausgeglichen werden kann (vgl. EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 53, 58, wobei ausdrücklich darauf hingewiesen wird, dass es keines im nationalen Recht nicht vorgesehenen Strafschadensersatzes bedarf).
Vor diesem Hintergrund gibt es auch keine unionsautonome Schadensvermutung noch erfordert der Grundsatz der Effektivität eine solche – im deutschen Recht nicht existente – Schadensvermutung (vgl. eine solche ausdrücklich verneinend GA Campos Sánchez-Bordona Schlussantr. v. 6.10.2022 – C-300/21, GRUR-RS 2022, 26562 Rn. 56 ff., was der EuGH in seiner nachfolgenden Entscheidung nicht beanstandet hat).
Damit hat der Tatrichter gemäß § 286 ZPO die vorgetragenen Beweisanzeichen / Indizien unter Würdigung aller maßgeblichen Umstände des Einzelfalls auf der Grundlage des Gesamtergebnisses der Verhandlung und einer etwaigen Beweisaufnahme zu prüfen. Entscheidend ist die Werthaltigkeit der Beweisanzeichen in der Gesamtschau, nicht die isolierte Würdigung der einzelnen Umstände (vgl. Senat Urt. v. 17.3.2020 – 7 U 86/19, BeckRS 2020, 31993 = juris Rn. 65 m. w. N.).
(cc) Die Klägerin schildert in ihrer persönlichen Anhörung vor dem Landgericht, die – wie ausgeführt – den Darlegungsmangel hätte „heilen“ und für eine Überzeugungsbildung nach § 286 ZPO hätte ausreichen können, sie habe nach der Kenntniserlangung vom Scraping-Vorfall ein „Gefühl der Erschrockenheit“ erlitten (Protokoll vom 19.12.2022 Seite 2 Abs. 3, eGA I-530). Sie habe geprüft, ob noch weitere Daten betroffen gewesen seien (Protokoll vom 19.12.2022 Seite 2 Abs. 3, eGA I-530). Sie habe Spam-SMS erhalten, die sie später mit dem Datenleck verbunden habe (Protokoll vom 19.12.2022 Seite 2 Abs. 4, eGA I-530). Einmal habe sie auf einen Link in einer solchen SMS gedrückt, ohne eine Reaktion zu erhalten, wobei sie später erfahren habe, dass durch den Link „wohl“ ein Programm installiert werde, welches dann SMS an ihre Kontakte schicke (Protokoll vom 19.12.2022 Seite 3 Abs. 6, eGA I-531). Sie vermochte – entgegen ihrem schriftsätzlichen Vortrag – nicht mehr zu sagen, ob ihre Email-Adresse auch betroffen gewesen sei (Protokoll vom 19.12.2022 Seite 3 Abs. 1, eGA I-531); angemerkt sei insoweit erneut, dass diese nach dem eigenen Vortrag der Klägerin nicht zu den veröffentlichten Daten gehört hat, sie den Schaden dennoch auch auf deren Veröffentlichung zurückführt.
Mit dieser Einlassung hat die Klägerin ihre Behauptungen zu einem konkreten Schaden aufgrund eines Kontrollverlustes auch aus Sicht des Senats ersichtlich weder schlüssig gemacht noch bewiesen. Die Beweiswürdigung des Landgerichts, das sogar vom „milderen“ Beweismaß des § 287 ZPO ausgegangen ist, ist nicht in Zweifel zu ziehen.
Eine erneute persönliche Anhörung der Klägerin durch den Senat war vor diesem Hintergrund nicht veranlasst. Im Rahmen der zu anderen Fragen erfolgten persönlichen Anhörung der Klägerin ergaben sich zudem ebenfalls keine Anhaltspunkte, die Zweifel an der Feststellung des Landgerichts im Sinne von § 529 Abs. 1 Nr. 1 ZPO begründen könnten. Im Gegenteil hat der persönliche Eindruck von der Klägerin die Feststellungen des Landgerichts untermauert. Sie hat dem Senat im Gegenteil durch ihr selbstbewusstes Auftreten keinen Anhaltspunkt für die Annahme geboten, durch den unkontrollierten Abruf ihrer Daten persönlich / psychologisch beeinträchtigt worden zu sein.
(4) Schließlich hat die Klägerin auch die erforderliche Kausalität zwischen Verarbeitungsverstoß und vermeintlich immateriellem Schaden nicht dargelegt und bewiesen.
Bei der Kausalität zwischen der Datenverarbeitung unter Verstoß gegen die DSGVO und dem (hier nunmehr unterstellten) Schaden in Form persönlicher / psychologischer Beeinträchtigungen durch den Kontrollverlust geht es entscheidend darum, ob die persönlichen / psychischen Folgen, die bei der Klägerin eingetreten sind, auf die Datenschutzverstöße der Beklagten zurückzuführen sind, und zwar entweder mittelbar durch die negative Folge eines Kontrollverlustes oder erst weiter mittelbar durch verdächtige Kontaktversuche etc..
Voraussetzung dafür ist zunächst die Kausalität der festgestellten Datenschutzverstöße für das Scraping. Unstreitig ist (mittlerweile), dass die Klägerin vom Scraping betroffen war.
Ermöglicht wurde das Scraping durch die voreingestellte Suchbarkeit des Nutzerprofils über die Mobilfunktelefonnummer für „alle“.
Da – wie zuvor gezeigt – jedenfalls ab dem 25.05.2018 das „opt-out“ zwingend zu beseitigen war, lässt sich dies nicht hinwegdenken, ohne dass der Scraping-Vorfall entfiele; denn hätte die Beklagte wie geboten entweder die Voreinstellung auf „nur ich“ geändert oder die Einwilligung der Klägerin mit Blick auf die Suchbarkeit für „alle“ eingeholt, hätte es im ersten Fall gar nicht zum konkreten Scraping-Vorfall kommen können und im zweiten Fall fehlte bereits ein Verstoß gegen die DSGVO wegen einer Einwilligung der Klägerin in die konkrete Zugänglichmachung für „alle“.
Zudem haben die ungenügenden Vorkehrungen im Sinne von Art. 32 und Art. 25 Abs. 1 DSGVO das Scraping ermöglicht.
Damit ist entscheidend, ob die – hier unterstellten – persönlichen / psychischen Folgen mittelbar ursächlich auf die Datenschutzverstöße zurückzuführen sind, und zwar entweder mittelbar durch die negative Folge eines Kontrollverlustes oder erst weiter mittelbar durch verdächtige Kontaktversuche etc..
Auch insoweit trifft die Klägerin die volle Darlegungs- und Beweislast. Es gilt für die hier betroffene Frage der haftungsbegründenden Kausalität § 286 ZPO. Diese erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet (BGH Urt. v. 23.6.2020 – VI ZR 435/19, VersR 2021, 1497 Rn. 13). Der Tatrichter muss aufgrund der Beweisaufnahme entscheiden, ob er die Behauptung für wahr oder nicht für wahr hält; er darf sich nicht mit einer bloßen, wenn auch erheblichen Wahrscheinlichkeit begnügen (vgl. BGH Urt. v. 1.10.2019 – VI ZR 164/18, NJW 2020, 1072 Rn. 9 m. w. N.).
Der klägerische Vortrag reicht für die Annahme einer Mitursächlichkeit der Datenschutzverstöße für die (hier unterstellten) persönlichen / psychischen Beeinträchtigungen bereits nicht aus.
Darzulegen war, warum der Kontrollverlust allein oder auf nächster Stufe die dadurch ermöglichten verdächtigen Kontaktaufnahmen etc. mitursächlich geworden sind.
Mit Blick auf den Kontrollverlust als solchen hätte es konkreter Darlegung bedurft, dass bzw. warum die Klägerin welche Beeinträchtigungen hierdurch entwickelt hat. Insoweit geht es im Wesentlichen erneut um innere Vorgänge – mit der Folge, dass Beweisanzeichen objektiver Art darzulegen sind. Ein solches Beweisanzeichen könnte z. B. sein, dass der Facebook-Account gelöscht wurde oder zumindest Such- und Sichtbarkeit auf die „immer öffentlichen“ Daten beschränkt wurden, um jeglichem weiteren schädigenden Kontrollverlust vorzubeugen. Zu einer Löschung des Accounts kam es vorliegend nach der erstinstanzlichen Anhörung der Klägerin gar nicht, zu einer Beschränkung der Suchbarkeitsfunktion erst nach Erhalt der Klageerwiderung (Protokoll vom 19.12.2022 Seite 3 f., eGA I-531 f.).
Mit Blick darauf, dass der Kontrollverlust zunächst ursächlich für die verdächtigen Kontaktaufnahmen etc. gewesen sein muss, fehlt jeglicher Umstand, der hierfür spräche; denn es ist allgemein bekannt und betrifft auch die Senatsmitglieder, die nicht als Nutzer bei der Beklagten registriert sind, dass auch auf anderer Weise beschaffte Telefonnummern hierfür verwendet werden. Es ist insoweit weder konkret dargetan noch sonst ersichtlich, dass die Kontaktaufnahmen erst erstmals oder gehäuft nach dem Kontrollverlust auftraten. Im Gegenteil hat die Klägerin auf Nachfrage im Senatstermin – wenn auch nur, jedenfalls Zweifel an ihrer Glaubwürdigkeit aufkommen lassend zögerlich – angegeben, sie habe ihre Mobilfunktelefonnummer auch in anderem Zusammenhang im Internet angegeben (Berichterstattervermerk vom 15.08.2023 Seite 1, eGA II-464).
(5) Mangels feststellbaren Schadens kann dahinstehen, dass die Beklagte den Entschuldigungsnachweis nach Art. 82 Abs. 3 DSGVO bereits mangels hinreichender Darlegung nicht geführt hätte. Denn wie die vorstehenden Ausführungen zu den Verstößen gegen die DSGVO zeigen, hätte die Beklagte in jedem dieser Fälle vermeidend tätig werden können.
bb) Unterstellt, dass das Scraping konkret bezüglich der Klägerin vor dem 25.05.2018 stattgefunden hat, besteht der geltend gemachte Anspruch ebenfalls nicht.
(1) Ein Anspruch auf Ersatz des hier geltend gemachten immateriellen Schadens folgt auch bei richtlinienkonformer Auslegung nicht aus § 7 BDSG a. F., der nur einen Ausgleich materieller Schäden vorsieht (vgl. BGH Urt. v. 29.11.2016 – VI ZR 530/15, NJW 2017, 800 Rn. 11 ff. m. w. N.; LAG Baden-Württemberg Urt. v. 25.2.2021 – 17 Sa 37/20, ZD 2021, 436 = juris Rn. 81, nachgehend BAG Vorlagebeschl. v. 22.9.2022 – 8 AZR 209/21 (A), NZA 2023, 363 [nicht zu dieser Frage]; Quaas in BeckOK-Datenschutzrecht, Wolff/Brink, 42. Edition, Stand: 01.08.2022, Art. 82 DSGVO Rn. 1a).
(2) Ein Anspruch aus § 823 Abs. 1 BGB in Verbindung mit Art. 2 Abs. 1, Art. 1 Abs. 1 GG, der regelmäßig eine schwerwiegende Persönlichkeitsrechtsverletzung voraussetzt (vgl. LAG Baden-Württemberg Urt. v. 25.2.2021 – 17 Sa 37/20, ZD 2021, 436 = juris Rn. 81, nachgehend BAG Vorlagebeschl. v. 22.9.2022 – 8 AZR 209/21 (A), NZA 2023, 363 [nicht zu dieser Frage]; siehe auch BGH Urt. v. 29.11.2016 – VI ZR 530/15, NJW 2017, 800 Rn. 8), ist trotz entsprechenden Hinweises vom 30.06.2023, dass sonstige Ansprüche nicht hinreichend dargelegt sind (eGA II-264), weiterhin nicht darlegt oder auch nur im Ansatz ersichtlich.
2. Die mit dem Antrag zu 2 verfolgte Feststellungsklage ist bereits unzulässig.
a) Die erforderliche hinreichende Bestimmtheit im Sinne des § 253 Abs. 2 Nr. 2 ZPO im Hinblick auf die notwendige Differenzierung von materiellen und immateriellen Schäden, die bis zur letzten mündlichen Verhandlung und danach eintreten (vgl. BGH Urt. v. 10.7.2018 – VI ZR 259/15, r+s 2018, 678 Rn. 6 m. w. N.; BGH Urt. v. 16.1.2001 – VI ZR 381/99, r+s 2001, 147 = juris Rn. 12 f.), ist durch die im Senatstermin erfolgte Anpassung des Antrags hergestellt.
b) Es fehlt jedoch am notwendigen Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO.
aa) Entgegen dem Ansatz der Beklagten ist die Zulässigkeit der Feststellungsklage nur bei reinen Vermögensschäden von der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts abhängig. Geht es jedoch nicht um reine Vermögensschäden, sondern um Schäden, die aus der behaupteten Verletzung des allgemeinen Persönlichkeitsrechts, also eines sonstigen absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB, resultieren, reicht bereits die Möglichkeit materieller oder weiterer immaterieller Schäden für die Annahme eines Feststellungsinteresses aus (vgl. zum absoluten Recht BGH Urt. v. 29.6.2021 – VI ZR 52/18, NJW 2021, 3130 Rn. 30; zum reinen Vermögensschaden mit und ohne bereits eingetretenem Vermögensteilschaden BGH Urt. v. 5.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28; siehe auch Senat Urt. v. 28.10.2022 – 7 U 25/22, BeckRS 2022, 38552 = juris Rn. 102).
Diese Rechtsprechung zum allgemeinen Persönlichkeitsrecht ist unter dem Gesichtspunkt von Äquivalenz und Effektivität (vgl. dazu nur EuGH Urt. v. 4.5.2023 – C-300/21, NZA 2023, 621 Rn. 53, 54) auf den vorliegenden Fall der Verletzung des nach Art. 82 DSGVO absolut geschützten Rechtsguts Datenschutz als (abschließende) europarechtliche Ausformung des deutschen allgemeinen Persönlichkeitsrechts (vgl. BVerfG Beschl. v. 6.11.2019 – 1 BvR 276/17, BVerfGE 152, 216 Rn. 42 f. zur alleinigen Maßgeblichkeit von Unionsgrundrechten) zu übertragen.
Ein Feststellungsinteresse ist also nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines derartigen Schadens wenigstens zu rechnen (vgl. BGH Urt. v. 5.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28; BGH Beschl. v. 9.1.2007 – VI ZR 133/06, r+s 2007, 350 Rn. 5 f.; BGH Urt. v. 16.1.2001 – VI ZR 381/99, r+s 2001, 147 = juris Rn. 7: Senat Urt. v. 28.10.2022 – 7 U 25/22, BeckRS 2022, 38552 = juris Rn. 102; Senat Urt. v. 29.10.2019 – 7 U 4/19, BeckRS 2019, 56097 = juris Rn. 35 m. w. N.; siehe auch Gerlach, VersR 2000, 525, 531).
Damit steht das deutsche Zivilprozessrecht mit den europäischen Vorgaben in Einklang, wenn es diese nicht sogar mit vorstehenden Vorgaben übererfüllt; denn der wirksame Schutz des Rechts auf Ersatz der Schäden, die dem Einzelnen durch Verstöße gegen das Unionsrecht entstehen, muss (nur) eine Haftungsklage ermöglichen, die auf unmittelbar bevorstehende und mit hinreichender Sicherheit vorhersehbare Schäden gestützt ist, auch wenn der Schaden noch nicht genau beziffert werden kann (vgl. EuGH Urt. v. 25.3.2021 – C-501/18, BeckRS 2021, 5310 Rn. 126).
bb) Gemessen daran ist hier die Möglichkeit eines Schadenseintritts durch die Klägerin, entsprechend dem Hinweis des Landgerichts im angefochtenen Urteil, dem insoweit ohne konkrete Reaktion gebliebenen Hinweis vom 30.06.2023 (eGA-II 266) und dem erneuten Hinweis im Senatstermin, nicht hinreichend dargelegt.
Die Klägerin meint, die Möglichkeit eines Schadenseintritts ergebe sich – dem Landgericht fehle schlicht die Vorstellungskraft – aus drohenden Spam-Anrufen, Spam-SMS oder Spam-Emails. Zum Schutz dagegen müsse sie sich eine neue Handynummer zulegen oder den Anbieter wechseln. Sie könne sich (versehentlich) auch mit ihrem Namen melden und hänge dann in irgendwelchen dubiosen Verträgen drin. Entsprechendes gelte wegen Links in SMS oder Emails. Dies zeigten auch allgemein die durch WhatsApp-Betrug, Enkeltrick und das Vortäuschen einer Bank- oder Behördenmitarbeiterstellung entstandenen Schäden. Diese seien direkte Folge des Facebook Datenlecks.
cc) Dieser Vortrag genügt ersichtlich nicht.
Mangels jedweder konkreter Anhaltspunkte dafür, dass der Klägerin bis heute aufgrund des „unbefugten Zugriffs Dritter auf das Datenarchiv der Beklagten“ ein kausaler materieller Schaden entstanden ist und dem Umstand, dass die Klägerin im Rahmen ihrer persönlichen Anhörung vor dem Senat selbst angegeben hat, dass ihr bis heute kein Schaden entstanden ist (vgl. Berichterstattervermerk vom 15.08.2023 Seite 2 Abs. 2, eGA II-465), ist davon auszugehen, dass mit dem Eintritt eines materiellen Schadens nicht zu rechnen ist. Ein solcher Schaden in der von der Klägerin beschriebenen Art und Weise ist rein theoretischer Natur und begründet kein Feststellungsinteresse, worauf bereits im Senatshinweis vom 30.06.2023 (eGA II-266) hingewiesen worden ist.
Hier kommt hinzu, dass die Klägerin mit voller Adresse und Mobilfunktelefonnummer öffentlich auf einer anderen Plattform vertreten ist und zudem um die Verfügbarkeit ihrer Mobilfunktelefonnummer weiß; dies verpflichtet sie jedenfalls zu erhöhter Vorsicht. Sie ist gewarnt und hat, um ihrer Obliegenheit aus § 254 Abs. 2 Var. 2 BGB zu genügen, besonders vorsichtig zu sein.
Entsprechendes gilt für den immateriellen Schaden. Ein solcher ist bislang nicht dargetan, und es ist mit Blick auf die vergangene Zeit auch nicht damit zu rechnen, dass ein solcher – ohne materiellen Schaden – noch eintritt.
Begründet werden kann der Feststellungsanspruch auch nicht mit entstandenen Anwaltskosten. Zum einen sind diese Gegenstand eines gesonderten Leistungsantrages (Antrag 5). Zum anderen sind diese, wenn sie entstanden sind, vor Klageerhebung entstanden und damit nicht vom Feststellungsantrag umfasst.
3a. Die mit dem Antrag zu 3a verfolgte Unterlassungsklage, bei der es sich tatsächlich um eine verdeckte Leistungsklage handelt, ist ebenfalls bereits unzulässig.
a) Der Antrag zu 3a enthält mit der geforderten Androhung nach § 890 Abs. 2 ZPO ein unzulässiges Antragsbegehren, worauf bereits im Senatshinweis vom 30.06.2023 (eGA II-267) hingewiesen worden ist.
Die Titulierung einer Unterlassungsverpflichtung kann – auch unter Berücksichtigung der Grundsätze der Effektivität und Äquivalenz – eine gleichfalls nach § 890 ZPO vollstreckbare Verpflichtung zur Handlung nur beinhalten, wenn der Schuldner der Pflicht zur Unterlassung ausschließlich genügen kann, indem er die hierfür erforderliche positive Handlung vornimmt. Ob ein Titel Handlungspflichten auferlegt oder Unterlassung fordert, ist im Wege der Auslegung mit Blick auf den Schwerpunkt der jeweils in Rede stehenden Verpflichtung zu beurteilen (vgl. m. w. N. BGH Beschl. v. 9.7.2020 – I ZB 79/19, WM 2020, 1826 Rn. 20; BGH Beschl. v. 17.6.2021 – I ZB 68/20, NJW-RR 2021, 1146 Rn. 11 f.).
Vorliegend fordert die Klägerin mit dem Antrag zu 3a im Schwerpunkt ein aktives Tun, das nicht nach § 890 ZPO, sondern als vertretbare Handlung nach § 887 ZPO zu vollstrecken ist – nämlich zukünftig Kontaktimportfunktionen nur im Einklang mit den einzuhaltenden Sicherheitsvorkehrungen „freizuschalten“, um Zugriffe unbefugter Dritter nach Möglichkeit von vorneherein zu verhindern – so wie es die DSGVO verlangt.
Die Klägerin will gar kein Unterlassen der Nutzung der Kontaktimportfunktion, was sie durch eine schlichte Umstellung der Suchbarkeitseinstellungen hätte erreichen können und tatsächlich inzwischen erreicht hat (Protokoll vom 19.12.2022 Seite 3 f., eGA I-531 f.), sondern sie will, dass sie die bzw. zukünftig irgendeine andere Kontaktimportfunktion unter Wahrung der Sicherheitsanforderungen nutzen kann.
b) Die Klage ist aber auch im Übrigen im Hinblick auf § 259 ZPO insgesamt unzulässig. Da der Antrag tatsächlich auf ein zukünftiges aktives Tun gerichtet ist, ist er an § 259 ZPO zu messen, dessen Voraussetzung der Besorgnis nicht rechtzeitiger Leistung, worauf unter dem 02.08.2023 hingewiesen worden ist (eGA II-294 ff.), nicht gegeben ist.
Die Klägerin hat einen gesetzlichen Anspruch gegen die Beklagte aus Art. 25 Abs. 1 und Art. 32 DSGVO auf Wahrung der Sicherheitsanforderungen. Dieser ist aber nach ihrem eigenen erstinstanzlichen Vortrag und auch nach ihren Angaben im Rahmen der persönlichen Anhörung (Berichterstattervermerk vom 15.08.2023 Seite 2 Abs. 3, eGA II-465) erfüllt. Er ist auch tatsächlich allein deshalb erfüllt, weil es die Such- und Kontaktimportfunktion hinsichtlich der Mobilfunktelefonnummer seit dem 06.09.2019 gar nicht mehr gibt, sondern nur noch die „People-You-May-Know“-Funktion. Die Klage ist also auf zukünftige Leistung der Beklagten für den Fall gerichtet, dass es droht, dass die Scraper Wege finden, die neue Funktion zu umgehen.
Insoweit besteht bis heute und bestand auch bei Klageerhebung Mitte 2022 aber den Umständen nach keine Besorgnis nicht rechtzeitiger Leistung im Sinne des § 259 ZPO. Die Beklagte hat nach (interner) Aufdeckung des Scraping-Vorfalls am 06.09.2019 die streitgegenständliche Funktion eliminiert. Es ist seitdem nicht wieder zu einem Vorfall gekommen. Sie hat innerhalb ihres subjektiven Beurteilungsspielraums zur Umsetzung der Schutzmaßnahmen (vgl. dazu GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 38-44) ein hohes Eigeninteresse daran, die gesetzlichen Vorgaben auch zukünftig zu erfüllen. Sie hat nie – und schon gar nicht ernsthaft – geltend gemacht, sie brauche nicht zu leisten oder sie wolle den gegen sie erhobenen, gesetzlichen Anspruch nicht erfüllen (vgl. insoweit BGH Beschl. v. 25.10.2022 – VIII ZB 58/21, NJW 2022, 3778 Rn. 19 m. w. N.). Es ist nicht ersichtlich oder trotz Senatshinweises vom 02.08.2023 (eGA II-294 ff.) vorgetragen, warum dennoch zu besorgen wäre, dass sie die gesetzlichen Vorgaben nicht umsetzen werde. Insbesondere ist angesichts der Feststellungen der Irischen Datenschutzbehörde (DPC) in der Entscheidung vom 28.11.2022 und der dort festgesetzten Geldbuße und angesichts der obigen Feststellungen nicht davon auszugehen, dass die Beklagte zukünftig erneut verspätet auf ein festgestelltes Scraping im Rahmen der nur noch bestehenden, neuen – also gerade keine konkrete „Wiederholungsgefahr“ begründenden – „People-You-May-Know“-Funktion reagiert.
c) Ob und wann eine Umdeutung der Leistungsklage in eine Feststellungsklage nach § 256 Abs. 1 ZPO in Betracht kommt, kann hier offen bleiben, weil für eine Feststellungsklage jedenfalls kein Rechtsschutzinteresse besteht. Die Beklagte ist ohnehin an die gesetzlichen Vorgaben der Art. 25 Abs. 1 und Art. 32 DSGVO gebunden, was nicht weiter festgestellt werden muss, zumal eine Vollstreckung aus einem entsprechenden Feststellungsurteil nicht möglich ist.
d) Im Übrigen ist der Antrag zu 3a auch unbestimmt (§ 253 Abs. 2 Nr. 2 ZPO), worauf bereits im Hinweis vom 30.06.2023 (eGA II-267) hingewiesen worden ist.
Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem (Unterlassungs-)Antrag regelmäßig der Fall, wenn die konkret angegriffene Verletzungsform antragsgegenständlich ist. Wird demgegenüber wie im Streitfall ein auf Erstbegehungsgefahr gestützter (Unterlassungs-)Anspruch vorbeugend geltend gemacht, kommt es – soweit die konkret erwartete Verletzungsform im Einzelfall ungewiss bleibt – maßgeblich darauf an, ob das Klagebegehren im Rahmen des dem Kläger Möglichen und zur Gewährleistung effektiven Rechtsschutzes für beide Seiten Gebotenen hinlänglich eindeutig formuliert ist und als Urteilstenor vollstreckbar wäre (BGH Urt. v. 9.3.2021 – VI ZR 73/20, NJW 2021, 1756 Rn. 15 m. w. N.).
Die Entscheidung darüber, was dem Beklagten verboten ist, darf zudem letztlich nicht dem Vollstreckungsgericht überlassen bleiben. Aus diesem Grund sind (Unterlassungs-)Anträge, die lediglich den Wortlaut eines Gesetzes – hier verkürzt und ungenau – wiederholen, grundsätzlich als zu unbestimmt und damit unzulässig anzusehen. Abweichendes kann gelten, wenn entweder bereits der gesetzliche Verbotstatbestand selbst entsprechend eindeutig und konkret gefasst oder der Anwendungsbereich einer Rechtsnorm durch eine gefestigte Auslegung geklärt ist, sowie auch dann, wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem (Unterlassungs‑)Begehren an der konkreten Verletzungshandlung orientiert. Die Bejahung der Bestimmtheit setzt in solchen Fällen allerdings grundsätzlich voraus, dass sich das mit dem selbst nicht hinreichend klaren Antrag Begehrte im Tatsächlichen durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht in Frage gestellt ist, sondern sich der Streit der Parteien ausschließlich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt (BGH Urt. v. 12.3.2020 – I ZR 126/18, BGHZ 225, 59 Rn. 39 m. w. N.; BGH Urt. v. 26.1.2017 – I ZR 207/14, MDR 2017, 589 Rn. 18 m. w. N.). Eine auslegungsbedürftige Antragsformulierung kann im Übrigen hinzunehmen sein, wenn eine weitergehende Konkretisierung nicht möglich und die gewählte Antragsformulierung zur Gewährung effektiven Rechtsschutzes erforderlich ist (BGH Urt. v. 26.1.2017 – I ZR 207/14, MDR 2017, 589 Rn. 18 m. w. N.).
Gemessen daran ist die verdeckte Leistungsklage im Antrag zu 3a zu unbestimmt, weil sie keinerlei Konkretisierung des verlangten Tuns für den vermeintlich drohenden Fall der Erstbegehung im Hinblick auf die derzeit nur bestehende „People-You-May-Know“-Funktion – auch unter Berücksichtigung des subjektiven Beurteilungsspielraums der Beklagten zur Umsetzung der Schutzmaßnahmen (vgl. dazu GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 38-44) – benennt.
e) Im Übrigen fehlt ohnehin das Rechtsschutzbedürfnis für die Klage.
aa) Ein Rechtsschutzbedürfnis der Klägerin ist insoweit abzulehnen, als dass die Klägerin das Unterlassen der Zugänglichmachung fordert hinsichtlich „Telefonnummer, Facebook-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus“, obwohl sie Bundesland, Land, Stadt und Beziehungsstatus gar nicht gegenüber der Beklagten angegeben hat. Das Rechtsschutzbedürfnis fehlt ebenfalls mit Blick auf die „immer öffentlichen“ Nutzerdaten.
bb) Im speziellen Fall fehlt aber das Rechtsschutzbedürfnis insgesamt, weil die Klägerin ausführt, die Sache habe sich für sie eigentlich erledigt, es ginge ihr also gar nicht um ihren Individualrechtsschutz, sondern sie wolle die Allgemeinheit vor der Beklagten schützen (Berichterstattervermerk vom 15.08.2023 Seite 2 Abs. 3 und Abs. 5, eGA II-465).
3b. Die mit dem Antrag zu 3b verfolgte Unterlassungsklage ist bereits unzulässig.
a) Soweit der Antrag tatsächlich als Unterlassungsantrag dahin, die fortgesetzte Verarbeitung ohne informierte Einwilligung zu unterlassen, zu interpretieren wäre, ist die Klage bereits wegen fehlenden Rechtsschutzbedürfnisses unzulässig.
Die Klägerin, auch wenn sie es erst mit der Klageerwiderung verstanden haben will (Protokoll vom 19.12.2022 Seite 3 f., eGA I-531 f.), war jedenfalls über die ihr zurechenbare Kenntnis ihrer Prozessbevollmächtigten bereits seit der Mandatierung oder spätestens seit Zugang des Auskunftsschreibens der Beklagten vom 28.10.2021 (Anl. B16, eGA I-249 ff.) über die Sichtbarkeit- und Suchbarkeitsfunktion informiert (oder hätte von ihren Prozessbevollmächtigten informiert werden müssen); nach ihren Angaben im Senatstermin hat sie das Auskunftsschreiben tatsächlich erhalten (Berichterstattervermerk vom 15.08.2023 Seite 2 Abs. 7, eGA II-465). Spätestens damit war sie über die Suchbarkeit ihres Profils über die Mobilfunktelefonnummer vollständig informiert und hat von der Beklagten wegen der damit einhergehenden Unrechtmäßigkeit der Datenverarbeitung eine Entschädigung verlangt. Dann hätte sie die Suchbarkeit – wie später erfolgt – tatsächlich umstellen können. Soweit sie gleichwohl die Funktion ihrer Suchbarkeit trotz ausreichender Information mangels Änderung der Suchbarkeitseinstellung „alle“ weitergenutzt hat, hat sie objektiv betrachtet aktiv unter Berücksichtigung von Erwägungsgrund 62 Satz 1 Var. 1 DSGVO bereits vor Klageerhebung eine Einwilligung erteilt.
b) Soweit der Antrag tatsächlich erneut als Antrag auf zukünftige Leistung gerichtet ist, weil eine Wiederholung befürchtet wird (und die Allgemeinheit geschützt werden soll, vgl. Berichterstattervermerk vom 15.08.2023 Seite 2 Abs. 5, eGA II-465), ist die Klage ebenfalls unzulässig, worauf bereits unter dem 02.08.2023 (eGA II-294 ff.) hingewiesen worden ist.
aa) Zunächst liegt nach dem Schwerpunkt des Rechtsschutzbegehrens in der Sache erneut kein Unterlassen, das nach § 890 Abs. 2 ZPO vollstreckt werden könnte, sondern eine Leistungsklage, gerichtet auf ein aktives Tun, vor (siehe schon oben zum Antrag zu 3a). Denn die Klage ist dahin auf ein aktives Tun gerichtet, zukünftig die Mobilfunktelefonnummer nur nach Maßgabe einer infolge ausreichender Information wirksam erteilten Einwilligung im Rahmen einer Suchfunktion zu verarbeiten.
bb) Diese verdeckte Leistungsklage wahrt auch nicht die Grenzen des § 259 ZPO. Auch insoweit gilt – wie bezüglich des Antrags zu 3a (siehe ausführlich oben) –, dass wegen der endgültigen Abschaffung der Such- / Kontaktimportfunktionen am 06.09.2019 bereits seit Klageerhebung Mitte 2022 schon keine Besorgnis der Leistungsverweigerung mehr bestand und mangels anderer Anhaltspunkte auch heute nicht besteht.
4. Die mit dem Antrag zu 4 verfolgte Auskunftsklage, die auch nach den Angaben der Klägerin in der persönlichen Anhörung im Senatstermin ausschließlich darauf gerichtet ist, wissen zu wollen, welche Daten von wem zu welchem Zeitpunkt während des streitgegenständlichen Scraping-Vorfalls gescrapt worden sind, ist zulässig (unter a), aber unbegründet (unter b).
a) Bedenken gegen die Zulässigkeit der Leistungsklage sind weder dargelegt noch sonst ersichtlich.
b) Die Leistungsklage ist aber unbegründet.
Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Gemäß Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung (BGH Urt. v. 15.6.2021 – VI ZR 576/19, r+s 2021, 525 Rn. 17).
Art. 15 Abs. 1 DSGVO verleiht ein verfahrensmäßiges Recht, Informationen über die Verarbeitung personenbezogener Daten zu verlangen (EuGH Urt. v. 22.6.2023 – C-579/21, BeckRS 2023, 14515 Rn. 35).
Nach Art. 15 Abs. 1 DSGVO kann Auskunft über die erfolgten Abfragen personenbezogener Daten einschließlich Identität der Abrufenden, Zeitpunkt und Zwecke der Abrufe verlangt werden (vgl. EuGH Urt. v. 22.6.2023 – C-579/21, BeckRS 2023, 14515 Rn. 37 ff.).
Konkret bedingt das in Art. 15 Abs. 1 (Hs. 2 lit. c) DSGVO vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen (EuGH Urt. v. 12.1.2023 – C-154/21, NJW 2023, 973, Ls.).
aa) Wie bereits zu Art. 32 DSGVO ausgeführt, hat die Beklagte durch die automatisierte Verarbeitung der Such- und Kontaktimportfunktionsabfragen die Daten der Klägerin, insbesondere deren Mobilfunktelefonnummer unzweifelhaft offengelegt (Art. 4 Nr. 2 DSGVO), so dass die Beklagte gemäß Art. 15 Abs. 1 Hs. 2 lit. c DSGVO grundsätzlich zur gewünschten Auskunft verpflichtet war.
bb) Dieses Auskunftsbegehren hat die Beklagte jedoch entgegen der Auffassung der Klägerin mit dem Schreiben vom 28.10.2021 (Anl. B16, eGA I-249 ff.) erfüllt, § 362 Abs. 1 BGB.
(1) Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH Urt. v. 15.6.2021 – VI ZR 576/19, r+s 2021, 525 Rn. 19 f. m. w. N.; dem folgend OLG Düsseldorf Urt. v. 9.3.2023 – 16 U 154/21, BeckRS 2023, 4182 = juris Rn. 29).
(2) Gemessen daran, ist Erfüllung eingetreten.
Das zur Akte gereichte anwaltliche Antwortschreiben der Beklagten vom 28.10.2021 (eGA I-249 ff.) enthält insbesondere – und teils über den jetzt überhaupt noch geltend gemachten Auskunftsanspruch hinausgehend – eine Auflistung der Datenpunkte und der Telefonnummer (Anl. B16, eGA I-251), eine Erläuterung des Datenabrufs über die immer öffentlichen Daten, das Facebook-Profil und die Kontaktimportfunktion (Anl. B16, eGA I-250 f.), die zeitliche Angabe „im Zeitraum bis September 2019“ (Anl. B16, eGA I-250), den Hinweis, dass der Beklagten keine Rohdaten zu den abgerufenen Daten vorliegen (Anl. B16, eGA I-251), und den Hinweis auf das Handeln mehrerer Scraper, nicht eines Scrapers mit Blick auf die Frage nach der konkreten Person (Anl. B16, eGA I-250 f.).
Auch wenn sich die Beklagte prozessual (hilfsweise) schon in rechtlicher Hinsicht nicht für verpflichtet hält, Auskunft zu erteilen, weil bereits – entgegen obigen Feststellungen – keine „Verarbeitung“ vorliege, hat die Beklagte gleichwohl Auskunft erteilt und hinreichend deutlich gemacht, dass sie keine weiteren Auskünfte zur Identität der Scraper und zum genauen, die Klägerin betreffenden Scraping-Zeitpunkt machen kann. Die konkreten Logdaten der Klägerin seien zudem bereits im Hinblick auf den Grundsatz der Datenminimierung gelöscht gewesen.
Dies hat sie erneut zuletzt im Senatstermin bestätigt (Berichterstattervermerk vom 15.08.2023 Seite 2 f., eGA II-465 f.), was – ohne dass es darauf ankäme – auch plausibel ist. Denn die Scraper hatten sich unter Vorgabe fremder oder nicht existierender Identitäten als Nutzer bei der Beklagten registriert. Der in der DPC-Entscheidung erwähnte „Ukrainer“ konnte nach den glaubhaften Angaben der Beklagten im Senatstermin nur ermittelt werden, weil er anderweitig aufgefallen und verklagt worden war.
(3) Zudem ist das Auskunftsbegehren der Klägerin auch exzessiv im Sinne von Art. 12 Abs. 5 Satz 2 lit. b, Satz 3 DSGVO.
Die nationalen Gerichte können missbräuchliches Verhalten des Betroffenen auf der Grundlage objektiver Kriterien in Rechnung stellen, um ihm gegebenenfalls die Berufung auf die geltend gemachte Bestimmung des Gemeinschaftsrechts zu verwehren. Dabei müssen sie jedoch die mit dieser Bestimmung verfolgten Zwecke beachten (EuGH Urt. v. 23.3.2000 – C-373/97, NZG 2000, 534 Rn. 34).
Nach Erwägungsgrund 63 Satz 1 DSGVO sollte eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.
Durch die erteilten Auskünfte zum Ablauf des Scrapings und zum, wenn auch nur groben Zeitraum war und ist die Klägerin problemlos in der Lage, sich ihrer Betroffenheit bzw. deren Umfangs bewusst zu werden und die Unrechtmäßigkeit des Scrapings zu beurteilen. Der Auskunftsanspruch ist insoweit ausreichend erfüllt. Der konkrete Zeitpunkt ist ersichtlich ohne jede weitere Relevanz, da jedenfalls der maßgebliche Zeitpunkt für die Veröffentlichung des Leak-Datensatzes feststeht. Auch die konkrete Identität der Scraper ist für die Klägerin ohne jede weitere Relevanz, da ihr weder ein immaterieller noch materieller Schaden entstanden ist und die Verbreitung des einmal im Darknet veröffentlichten Leak-Datensatzes ohnehin nicht mehr gestoppt werden kann. Eine Präzisierung ist ohne jeden Nutzen für die Klägerin; sie konnte einen solchen auch im Rahmen ihrer persönlichen Anhörung vor dem Senat nicht erklären. Da sie keinerlei Ziele, Zwecke mit der weiteren Information verfolgt, ist das Verlangen schikanös. Damit kommt es auch nicht darauf an, welche Motivation einem Auskunftsverlangen zugrunde liegen muss bzw. darf (vgl. insoweit die Vorlagefrage 1 bei BGH Beschl. v. 29.3.2022 – VI ZR 1352/20, GRUR-RS 2022, 9584).
5. Die mit dem Antrag zu 5 verfolgte Leistungsklage gerichtet auf den Ersatz vorgerichtlicher Rechtsanwaltskosten ist bereits unzulässig (unter a), jedenfalls aber auch unbegründet (unter b).
a) Die Leistungsklage ist bereits unzulässig, da die insoweit geltend gemachten Ansprüche gemäß § 86 Abs. 1 Satz 1 VVG auf den Rechtsschutzversicherer übergegangen sind und die Klägerin trotz Hinweises vom 27.07.2023 (eGA II-277) die Voraussetzungen einer gewillkürten Prozessstandschaft nicht dargelegt hat.
Die Zulässigkeit der (gewillkürten) Prozessstandschaft ist jederzeit von Amts wegen zu prüfen (vgl. BGH Urt. v. 17.1.2023 – VI ZR 203/22, r+s 2023, 265 Rn. 17; BGH Urt. v. 22.4.2022 – VI ZR 147/21, r+s 2022, 478 Rn. 6; BGH Urt. v. 7.3.2017 – VI ZR 125/16, r+s 2017, 380 Rn. 7).
Eine gewillkürte Prozessstandschaft ist zulässig, wenn der Prozessführende vom Rechtsinhaber zur Prozessführung im eigenen Namen ermächtigt worden ist und er ein eigenes schutzwürdiges Interesse an ihr hat. Schutzwürdig ist ein Interesse des Klägers nur, wenn der Beklagte durch die gewählte Art der Prozessführung nicht unbillig benachteiligt wird. Darüber hinaus muss sich der Prozessführende im Rechtsstreit grundsätzlich auf die ihm erteilte Ermächtigung berufen und zum Ausdruck bringen, wessen Recht er geltend macht (BGH Urt. v. 7.3.2017 – VI ZR 125/16, r+s 2017, 380 Rn. 8, 10; siehe auch BGH Urt. v. 17.1.2023 – VI ZR 203/22, r+s 2023, 265 Rn. 18, 21; BGH Urt. v. 22.4.2022 – VI ZR 147/21, r+s 2022, 478 Rn. 7).
Insoweit fehlt es an einer entsprechenden Darlegung der Klägerin.
b) Die Leistungsklage ist zudem jedenfalls unbegründet.
Teilweise (Schadenersatz und Unterlassen) ist der Leistungsantrag zu 5 unbegründet, da die Klage zu den Anträgen zu 1, 2, 3a und 3b unbegründet oder bereits unzulässig ist.
Teilweise ist sie tatsächlich (Auskunft und hilfsweise auch Unterlassen) unbegründet, weil die Beklagte nicht bereits aufgrund eigener Tätigkeit der Klägerin in Verzug war. Das ergibt sich aus ihrer erstinstanzlichen Anhörung. Denn die Klägerin hat in diesem Rahmen ganz freimütig geschildert, dass sie unmittelbar mit Entdeckung ihrer Betroffenheit durch den Scraping-Vorfall automatisch mit ihren Prozessbevollmächtigten verbunden worden ist (Protokoll vom 19.12.2022 Seite 2 Abs. 2, eGA I-530).
IV.
Die Kostenentscheidung folgt aus § 97 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 708 Nr. 10 Satz 1 und Satz 2, § 713 ZPO i. V. m. § 542 Abs. 2 Nr. 1 ZPO.
V.
Die Durchführung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV zur Klärung einer der geprüften und festgestellten Gesichtspunkte ist nicht geboten. Jedenfalls soweit entscheidungserheblich, ist die Auslegung der maßgeblichen unionsrechtlichen Begriffe durch die – insbesondere jüngste – Rechtsprechung des EuGH eindeutig geklärt, „acte éclairé“, oder von vornherein eindeutig, „acte clair“ (vgl. EuGH Urt. v. 6.10.1982 – C-283/81, NJW 1983, 1257, 1258; BVerfG Beschl. v. 28.8.2014 – 2 BvR 2639/09, NVwZ 2015, 52 Rn. 35).
Deshalb ist auch die Revision nicht zuzulassen (§ 543 Abs. 2 ZPO).
Aufgrund der – insbesondere jüngsten – Rechtsprechung des EuGH sowie der eindeutigen Rechtsprechung des BGH sowie fehlender abweichender Rechtsprechung anderer Oberlandesgerichte hat der Rechtsstreit keine grundsätzliche Bedeutung (§ 543 Abs. 2 Satz 1 Nr. 1 ZPO); wegen dieser Rechtsprechung ist auch die Zulassung der Revision nicht zur Rechtsfortbildung (§ 543 Abs. 2 Satz 1 Nr. 2 Alt. 1 ZPO) oder zur Sicherung einer einheitlichen Rechtsprechung (§ 543 Abs. 2 Satz 1 Nr. 2 Alt. 2 ZPO) geboten (vgl. zu den ersten beiden Zulassungsgründen zuletzt etwa BGH Beschl. v. 31.5.2023 – IV ZR 299/22, BeckRS 2023, 17971 Rn. 12 f. m. w. N.).
VI.
Der Streitwert wird sowohl für das Berufungsverfahren als auch unter Abänderung der Streitwertfestsetzung im angefochtenen Urteil gemäß § 63 Abs. 3 Satz 1 Nr. 2, Satz 2 GKG für das erstinstanzliche Verfahren auf insgesamt 3.000,00 EUR (§ 5 ZPO) festgesetzt.
1. Der Streitwert für den Antrag zu 1 ist gemäß § 3 ZPO, da insoweit keine offensichtlich übertriebene Einschätzung des Streitwerts seitens der Klägerin vorliegt (vgl. dazu BGH Beschl. v. 12.6.2012 – X ZR 104/09, MDR 2012, 875 Rn. 5; siehe auch BGH Beschl. v. 8.10.2012 – X ZR 110/11, GRUR 2012, 1288 Rn. 4), auf 1.000,00 EUR festzusetzen.
2. Der Streitwert für den Antrag zu 2 ist gemäß § 3 ZPO auf 500,00 EUR festzusetzen.
3. Der Streitwert für den Antrag zu 3a und 3b ist gemäß § 3 ZPO und § 48 Abs. 2 Satz 1 GKG unter Berücksichtigung von § 23 Abs. 3 Satz 2 Hs. 2 RVG auf jeweils 500,00 EUR festzusetzen.
Der Streitwert für nichtvermögensrechtliche Ansprüche wird gemäß § 48 Abs. 2 GKG unter Berücksichtigung aller Umstände des Einzelfalls – insbesondere des Umfangs und der Bedeutung der Sache sowie der Vermögens- und Einkommensverhältnisse der Parteien – nach Ermessen bestimmt; es kann dann im konkreten Einzelfall von dem in § 23 Abs. 3 Satz 2 Hs. 2 RVG vorgesehenen Regelstreitwert erheblich abzuweichen sein (vgl. zu einer Herabsetzung auf 500,00 EUR jeweils nur BGH Beschl. v. 17.1.2023 – VI ZB 114/21, NJW-RR 2023, 959 Rn. 11; BGH Beschl. v. 28.1.2021 – III ZR 162/20, GRUR-RS 2021, 2286 Rn. 9).
Dabei ist insbesondere das Interesse der Klägerin und damit ihre aufgrund des zu beanstandenden / gewünschten Verhaltens zu besorgende wirtschaftliche / persönliche Beeinträchtigung zu berücksichtigen (vgl. OLG Hamm Beschl. v. 8.11.2013 – 9 W 66/13, NJW-RR 2014, 894 = juris Rn. 5 m. w. N.). Zu berücksichtigen ist zudem die Stellung der Beteiligten sowie Art, Umfang und Gefährlichkeit der zu unterlassenden / begehrten Handlung (vgl. BGH Beschl. v. 25.4.2023 – VI ZR 111/22, GRUR 2023, 1143 Rn. 13 m. w. N.). Das Gericht ist bei der Streitwertbemessung nicht an die subjektiven Wertangaben in der Klageschrift gebunden (so explizit BGH Beschl. v. 8.10.2012 – X ZR 110/11, GRUR 2012, 1288 Rn. 4, sogar für übereinstimmende Angaben der Parteien; siehe auch BGH Beschl. v. 12.6.2012 – X ZR 104/09, MDR 2012, 875 Rn. 5). Insbesondere kommt ihnen keine indizielle Bedeutung zu, wenn sie – wie hier – das tatsächliche Interesse offensichtlich unzutreffend widerspiegelt (so auch OLG München Beschl. v. 5.2.2018 – 29 W 1855/17, NJW-RR 2018, 575 = juris Rn. 16).
Außer Betracht zu lassen ist insbesondere die über die konkret-individuellen Interessen hinausgehende gesamtgesellschaftliche oder general-präventive sowie die abstrakt-generelle Bedeutung für andere potentiell betroffene Personen (vgl. BGH Beschl. v. 30.11.2004 – VI ZR 65/04, BeckRS 2004, 12785 = juris Rn. 2; BGH Urt. v. 12.5.2016 – I ZR 1/15, MDR 2016, 1344 Rn. 42). Die Verfolgung der insoweit bestehenden Interessen obliegt gemäß Art. 83, 84 DSGVO allein der zuständigen Datenschutzbehörde.
Gemessen daran gilt im vorliegenden Fall:
Die Klägerin hat ihre vermeintlich stattgehabte Beeinträchtigung durch den Scraping-Vorfall selbst mit 1.000,00 EUR (Antrag zu 1) und die noch drohende Beeinträchtigung durch den Scraping-Vorfall selbst mit 500,00 EUR (Antrag zu 2), also ihre Beeinträchtigung insgesamt mit 1.500,00 EUR bemessen.
Die Anträge zu 3a und 3b stützen sich im Wesentlichen auf eine Wiederholungsgefahr bezüglich nur eines Teils der vermeintlich und tatsächlich vorliegenden Datenschutzverstöße der Beklagten.
Der Streitwert für die Anträge zu 3a und 3b kann deshalb jedenfalls nicht oberhalb der vermeintlich insgesamt bereits erlittenen Beeinträchtigung liegen.
Vor diesem Hintergrund hält der Senat, da mit den Anträgen letztlich auch nur nicht vollstreckbare gesetzlichen Vorgaben der DSGVO aufgegriffen werden und die Daten der Klägerin bereits ohnehin abgegriffen und veröffentlicht worden sind, einen Gesamtstreitwert der Anträge 3a und 3b von 1.000,00 EUR, konkret von jeweils 500,00 EUR, für ausreichend, aber auch erforderlich, um das Klagebegehren der Klägerin individuell zu bemessen.
4. Der Streitwert für den Antrag zu 4 ist gemäß § 3 ZPO auf 500,00 EUR festzusetzen.
5. Der Antrag zu 5 ist nicht streitwertrelevant (§ 4 Abs. 1 Hs. 2 Var. 4 ZPO).
