Datenschutzverstoß – Darlegungslast hinsichtlich von Ansprüchen

1. Das Versäumnisurteil vom 18.10.2022 wird aufgehoben. Die Klage wird abgewiesen.

2. Die Kosten des Rechtsstreits trägt der Kläger.

3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.

4. Der Streitwert wird auf 9.800,- € festgesetzt.

Tatbestand

Die Parteien streiten vor dem Hintergrund von dem Kläger behaupteter Datenschutzverstöße über immateriellen Schadensersatz, Unterlassung und Auskunft. Die Beklagte betreibt unter der Internetseite … das soziale Netzwerk ….

Der Kläger ist bei der Plattform … unter der Emailadresse … angemeldet und nutzt die von der Beklagten betriebenen Social Media Plattform … insbesondere um mit Freunden zu kommunizieren, zum Teilen privater Fotos und für Diskussionen mit anderen Nutzern. Er macht geltend – was streitig ist –, von einem Scraping-Vorfall betroffen zu sein. Zwischen Januar und September 2019 verbreiteten Unbekannte Datensätze mit personenbezogenen Daten von ca. 533 Millionen … Nutzern aus 106 Ländern öffentlich im Internet. Die Unbekannten gelangten dabei durch die Methode des sog. „Scraping“ an die von ihnen verbreiteten Daten. Das Scraping spielte sich konkret so ab, dass die Unbekannten eine Vielzahl randomisierter Mobilfunknummern mit den bei … hinterlegten Mobilfunknummern der Nutzer abgleichen ließen. Auf diese Weise war es ihnen möglich, einzelne der massenhaft durchgespielten Mobilfunknummern im Falle einer Nummernübereinstimmung realen … Profilen zuzuordnen, sodann die auf den jeweiligen Nutzerprofilen öffentlich einsehbaren Daten mit der ermittelten Mobilfunknummer in Verbindung zu bringen und diese öffentlich zugänglichen Informationen abzurufen. Das gelang den Scrapern, wenn der jeweilige Nutzer in den Suchbarkeitseinstellungen seines Profils die Einstellung „alle“ eingestellt hatte.

Name, Geschlecht und Nutzer-ID der Klagepartei waren während des relevanten Zeitraums öffentlich auf dem klägerischen Nutzerkonto einsehbar und sind es auch weiterhin. Es handelt sich bei diesen Informationen (wie bei allen Nutzern der …Plattform) um „immer öffentliche“ Nutzerinformationen.

Der Kläger forderte die Beklagte mit vorgerichtlichem anwaltlichen Emailschreiben vom 05.05.2022 zur Zahlung von Schadensersatz und Unterlassung zukünftiger Zugänglichmachung der Daten der klagenden Partei an unbefugte Dritte und zur Auskunft gemäß Art. 15 DS-GVO auf, insbesondere welche konkreten Daten von wem abgegriffen worden seien (Anlage KGR 4, 139 f d.A). Die Beklagte lehnte das Zahlungsbegehren mit anwaltlichem Schreiben vom 03.06.2022 ab und nahm einen Datenschutzverstoß in Abrede. Auf die Anlage KGR 5 (Bl. 151 ff.) wird wegen der Einzelheiten Bezug genommen.

Der Kläger behauptet, vermutlich Anfang April 2021 seien gescrapte Daten der Klägerseite im Internet in einem bekannten Hacker-Forum zum Download eingestellt und damit öffentlich verbreitet worden. im Zuge des Scrapings und der sich anschließenden Veröffentlichung von Datensätzen seien auch seine personenbezogenen Daten aus diesem Profil im Internet auf Seiten veröffentlicht worden. Er meint, die Beklagte habe ihre Pflicht zu datenschutzfreundlichen Voreinstellungen verletzt. Der Datenabgriff durch Dritte sei aufgrund einer Sicherheitslücke möglich gewesen. Die klagende Partei ist der Ansicht, die Einstellungen zur Sicherheit und Privatsphäre, insbesondere der Telefonnummer, auf dem …Portal seien so unübersichtlich und kompliziert gestaltet, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne. Sie ist der Ansicht, die Voreinstellungen seien nicht datenschutzfreundlich, weil z.B. die Voreinstellung hinsichtlich der Suchbarkeit „öffentlich“ sei. Die Beklagte habe ihre Nutzer nicht hinreichend über die ihr bekannten Gefahren informiert. Insbesondere fehle der Hinweis, dass unberechtigte Dritte öffentlich zugängliche Daten leicht mithilfe von „…Tools“ anreichern, diese im Darknet veröffentlichen könnten und die Beklagte die betroffenen Personen nicht über solche Vorfälle informiere. Die klagende Partei behauptet, die Veröffentlichung ihrer Daten habe weitreichende Folgen für sie. Sie habe einen erheblichen Kontrollverlust über ihre Daten erlitten, welcher großes Unwohlsein und große Sorge über einen möglichen Missbrauch der sie betreffenden Daten ausgelöst habe.

Auf Antrag des Klägers ist gegen die Beklagte am 18.10.2022 im schriftlichen Vorverfahren ein Versäumnisurteil mit folgendem Inhalt ergangen, welches der Beklagten am 20.10.2022 zugestellt worden ist (Bl. 190 ff. 197):

1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Telefonnummer (…) sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz in Höhe von 2.000,00 EUR nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen.

2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

3. Die Beklagte wird verurteilt, an die Klägerin für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DS-GVO einen weiteren immateriellen Schadensersatz in Höhe von 1.000,00 EUR nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen.

4. Die Beklagte wird verurteilt, der Klägerseite Auskunft über die die Klägerseite betreffenden weiteren personenbezogenen Daten zu erteilen, die durch Unbefugte erlangt werden konnten, namentlich welche Daten außer der Telefonnummer der Klägerseite durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch „Web Scraping“, die Anwendung des Kontaktimporttools oder auf andere Weise unbefugt erlangt werden konnten.

5. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, wie geschehen anlässlich des sogenannten …Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand.

6. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, ohne Einholung einer Einwilligung oder Erfüllung sonstiger gesetzlicher Erlaubnistatbestände zu verarbeiten.

7. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 973,66 EUR zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz zu zahlen.

Hiergegen hat die Beklagte mit Schriftsatz vom 20.10.2022, dem Kläger zugestellt am 24.01.2022, Einspruch eingelegt und diesen mit Schriftsatz vom 13.12.2022 begründet. Die Beklagte beantragt nunmehr, das Versäumnisurteil des Landgericht Oldenburg vom 18. Oktober 2022 aufzuheben und die Klage abzuweisen.

Der Kläger beantragt, auszusprechen, dass das Versäumnisurteil aufrechterhalten wird.

Die Beklagte meint, dass die Klagepartei schon nicht ausreichend konkretisiert habe, welche ihrer persönlichen Daten von dem Scraping-Vorfall betroffen sein sollen. Insofern die Klagepartei zunächst ausführe, dass „die „gescrapten“ Daten der Klägerseite im Internet in einem bekannten „Hacker-Forum“ zum Download eingestellt und damit öffentlich verbreitet worden seien, bleibe völlig unklar, auf welche vermeintlich betroffenen Datenpunkte sich die Klagepartei konkret beziehe. Sie, die Beklagte, halte keine Kopie der Rohdaten, welche die durch Scraping abgerufenen Daten enthalten, und habe auch keine vollständige Kenntnis darüber, an welchen Orten die durch Scraping abgerufenen Daten veröffentlicht worden seien, so dass dieser Vortrag bestritten werde. Insbesondere bestreite sie, dass die – unstreitig nicht „immer öffentlich“ einsehbaren – Datenpunkte E-Mail-Adresse, Wohnort, Geburtsdatum, Stadt und Beziehungsstatus der Klagepartei in den durch Scraping abgerufenen Daten enthalten sind.

Die Beklagte behauptet, es läge kein ursächlicher Zusammenhang vor zwischen dem angeblichen Vorfall des Scraping und etwaigen Spam-Nachrichten und -anrufen, welche die Klagepartei – was sie mit Nichtwissen bestreitet – erhalte oder erhalten habe.

Sie meint, zu jedem Zeitpunkt alle datenschutzrechtlichen Vorgaben bei der Einrichtung und Verwaltung der Nutzerprofile eingehalten und vielfältige Schutzmechanismen zur Abwehr von Bedrohungen für die Nutzerdaten getroffen zu haben.

Entscheidungsgründe

Der Einspruch der Beklagten gegen das Versäumnisurteil ist nach § 341 ZPO zulässig, insbesondere fristgerecht erhoben worden. Der Prozess wird infolge des Einspruchs in die Lage zurückversetzt, in der er sich vor Eintritt der Versäumnis befand (§ 342 ZPO).

Der Einspruch ist begründet. Die Klage ist zwar zulässig (I.), aber unbegründet (II.). Deshalb war auszusprechen, dass das Versäumnisurteil aufzuheben und die Klage abzuweisen ist.

I.

Die Klage ist insgesamt und bezogen auf sämtliche Klageanträge zulässig.

1.

Das angerufene Landgericht Oldenburg ist international, örtlich und sachlich zuständig.

Die internationale Zuständigkeit der deutschen Gerichtsbarkeit folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 EuGVVO sowie aus Art. 79 Abs. 2 DS-GVO. Die örtliche Zuständigkeit ergibt sich aus Art. 18 Abs. 1 Alt. 2 EuGVVO sowie aus Art. 79 Abs. 2 DS-GVO. Die sachliche Zuständigkeit folgt aus § 23, 71 GVG, da der Streitwert 5000 € übersteigt (s. unter Ziff. III).

2. Die beiden bezifferten Klageanträge zu Ziff. 1 und 3 sind hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Insbesondere liegt keine alternative Klagenhäufung vor, bei der die klagende Partei ein einheitliches Klagebegehren aus mehreren prozessualen Ansprüchen herleiten und dem Gericht die Auswahl überlassen würde, auf welchen Klagegrund es die begehrte Verurteilung stützt. Zum Streitgegenstand sind alle Tatsachen zu rechnen, die bei einer natürlichen, vom Standpunkt der Partei ausgehenden, den Sachverhalt seinem Wesen nach erfassenden Betrachtungsweise zu dem zur Entscheidung gestellten Tatsachenkomplex gehören, den der Kläger zur Stützung seines Rechtsschutzbegehrens dem Gericht zu unterbreiten hat (vgl. BGH, Urteil vom 24.01.2008 VII ZR 46/07, Rn. 15 – juris). Die Klage bestimmt den Streitgegenstand, wobei Klageantrag und Klagegrund gleichwertige Bestimmungsfaktoren sind (Zöller/Vollkommer, ZPO, 33. Auflage 2020, Einl. Rn. 63). Dies zugrunde gelegt, handelt es sich hier um einen einheitlichen Streitgegenstand. Aus der Klage, dort insbesondere der Klagebegründung, ergibt sich, dass sich die mit den Klageanträgen zu Ziff. 1 und 3 geltend gemachten Zahlungsforderungen auf einen einheitlichen, zusammenhängenden Lebenssachverhalt stützt. Dieser liegt darin, dass die klagende Partei zum Zeitpunkt des Scrapings auf der von der Beklagten betriebenen Plattform angemeldet war und betrifft die Frage, ob die Beklagte zu diesem Zeitpunkt hinreichende Datenschutzvorkehrungen getroffen hatte. Die von der klagenden Partei behaupteten Verstöße der Beklagten gegen die DS-GVO mündeten kumulativ in dem möglichen Schaden im Zusammenhang mit der Offenbarung der Telefonnummer der klagenden Partei. Auch etwaige nachträgliche Verstöße durch Verletzung von Informationspflichten können lediglich eine Vertiefung des möglichen Gesamtschadens darstellen.

3. Auch der Klageantrag zu Ziff. 2 ist zulässig. Er ist hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Das festzustellende Rechtsverhältnis muss derart genau bezeichnet werden, dass über dessen Identität und damit über den Umfang der Rechtskraft der Feststellung keine Ungewissheit besteht (vgl. BGH, Urteil vom 22.11.2007 – I ZR 12/05, Rn. 22, beck-online). Hierbei sind die Klageanträge der Auslegung (§ 133 BGB) zugänglich (vgl. BGH, Urteil vom 24.04.2018, XI ZR 207/17, Rn 10, beck-online mwN). Insoweit kann die Bestimmtheit des Antrages durch Auslegung des Prozessvortrages der klagenden Partei hinreichend hergestellt werden. Die klagende Partei hat in ihrer Klage vorgetragen, dass noch nicht absehbar sei, welche Schäden durch den Zugriff auf die Daten abschließend entstanden seien. Hieraus folgt, dass der Antrag zu Ziff. 2 dahingehend zu verstehen ist, dass es ihr auf die „weiteren“ Schäden ankommt, die bereits entstanden sind oder noch entstehen werden.

Auch das erforderliche Feststellungsinteresse nach § 256 Abs. 1 ZPO liegt vor. Voraussetzung hierfür ist es, dass dem Recht oder der Rechtslage der klagenden Partei eine gegenwärtige Gefahr oder Unsicherheit droht, die das erstrebte Urteil beseitigen kann (vgl. st. Rspr. BGH, Urteil vom 22.06.1977 VIII ZR 5/76, Rn 11, juris mwN). Eine Klage auf Feststellung der Verpflichtung zum Ersatz bereits eingetretener und künftiger Schäden, bei Verletzung absoluter Rechtsgüter, ist zulässig, wenn die Möglichkeit eines Schadenseintritts besteht. Das Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund gegeben ist, mit dem Eintritt eines Schadens wenigstens zu rechnen (vgl. BGH, Urteil vom 20.03.2001 VI ZR 325/99, Rn. 11, juris). Vorliegend ist möglicherweise das allgemeine Persönlichkeitsrecht der klagenden Partei betroffen. Die nicht von den Bestimmungen der DS-GVO gedeckte Übermittlung oder Verarbeitung personenbezogener Daten kann eine Verletzung des allgemeinen Persönlichkeitsrechts als sonstiges Recht im Sinne des § 823 Abs. 1 BGB darstellen (vgl. OLG Frankfurt, Urteil vom 14. April 2022 3 U 21/20, Rn. 29, juris mwN; Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 2. Juli 2021 17 U 15/21, Rn. 70, juris). Diese Möglichkeit des Schadenseintritts hat die klagende Partei nach den allgemeinen zivilprozessualen Grundsätzen substantiiert darzutun.

Gemessen an diesen Voraussetzungen wird die klagende Partei den Anforderungen an die Darlegung des Feststellungsinteresses gerecht.

Es besteht nach der Darstellung des Klägers zumindest die Möglichkeit, dass ein weiterer materieller Schaden hervorgerufen wird. Soweit die Beklagte meint, es liege – hinsichtlich der immateriellen Schäden – ein Verstoß gegen den Grundsatz der Einheitlichkeit des Schmerzensgeldes vor, so verfängt dieser Einwand nicht. Unter Berücksichtigung des weiteren Prozessvorbringens der klagenden Partei ist der Antrag gem. § 133 BGB dahingehend auszulegen, dass diese ausschließlich den Ersatz künftiger materieller Schäden begehrt. Die klagende Partei hat ihren Vortrag nämlich dahingehend konkretisiert, dass diese lediglich die Feststellung materieller Schäden begehre. Zudem kann auch dem Wortlaut des Klageantrages nicht entnommen werden, dass die klagende Partei die Feststellung immaterieller Schäden begehrt. Dieser spricht lediglich allgemein von „Schäden“, konkretisiert diese aber nicht weiter.

4. Auch die Klageanträge zu 4 (Auskunft) und 5), 6) (Unterlassung) sind hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Die Reichweite des jeweils begehrten Verbots ist hinreichend klar beschrieben.

II.

Die Klage ist nicht begründet.

Der Kläger hat entgegen seiner ihm nach § 138 Abs. 1 ZPO obliegenden Darlegungslast schon nicht ausreichend dargetan, dass er mit seinen bei … eingegebenen Daten persönlich von dem Scraping-Vorfall betroffen ist. Seine Darlegung beschränkt sich darauf, allgemein zu behaupten, dass ein Datensatz mit …Profilen von Nutzern veröffentlicht worden sei, welche die Mobilfunknummer und einige der Informationen wie Name, …ID, den Wohnort, Geburtsdatum und/oder Geburtsort, E-Mail-Adresse beinhalte, und die Klagepartei nach einer eigenen Recherche festgestellt habe, dass mindestens eine Information von ihr (die Telefonnummer) im vorbenannten Datensatz enthalten ist und diese nunmehr öffentlich verfügbar und widerrechtlich zugänglich gemacht worden sei. Der Kläger sei also ein/e vom „Datenleck“ betroffene/r Nutzer/in (so im vorgerichtlichen Aufforderungsschreiben, Anlage KGR 4 Bl. 140 d.A).

Die Beklagte hat diese Behauptung erheblich bestritten. Dazu hat sie sich nicht nur mit bloßem Nichtwissen erklärt, sondern sich darüberhinausgehend auch gemäß § 138 Abs. 2 ZPO mit konkretem Bestreiten erklärt, indem sie in Abrede nimmt, dass ein Datensatz des Klägers von dessen …Profil betroffen sei. Die Reichweite ihres Bestreitens, welches im umfassenden, alle behaupteten Datenkategorien betreffenden Sinne zu verstehen ist, hat sie im Rahmen des Verhandlungstermins am 22.03.2023 auf Nachfrage des Gerichts klargestellt. Als Begründung für das Bestreiten führt sie – vom Kläger unwidersprochen – an, dass ihr keine Rohdaten des gescrapten Materials vorlägen.

Angesichts des erheblichen Bestreitens der Beklagten eines individuellen Betroffenseins des Klägers durch ein Scraping wäre es Sache des Klägers gewesen, seine Behauptung durch weiteren konkreten Sachvortrag zu untermauern. Das erscheint möglich und zumutbar. Dazu hätte etwa gehört, konkret aufzuzeigen, welche seiner persönlichen Daten im Internet öffentlich zugänglich gemacht worden sind. Das ist bis zum Schluss der mündlichen Verhandlung unterblieben. Im Rahmen seines Vorbringens macht der Kläger lediglich in pauschaler Weise geltend, vom Datenschutzvorfall betroffen zu sein, und zeigt dabei nicht auf, welcher individuelle, auf seine Person bezogene Datensatz im Internet abrufbar sei. Das genügt nicht, um die behauptete individuelle Betroffenheit von dem Scraping-Vorfall mit Substanz zu füllen. Es bleibt danach offen, um welche öffentlich zugänglich gemachten Daten es sich konkret handeln soll. Eine diesbezügliche Darlegung wäre für den Kläger zumutbar gewesen. In parallel gelagerten Streitfällen vermochten die Klageparteien jeweils konkret aufzuzeigen, welche ihrer Daten konkret betroffen sei (vgl. etwa die mit dem im wesentlichen identischen Klagebegehren hier geführten Verfahren zu Az. 5 O 1279/22 und 5 O 1381/22).

Auch auf den im Termin zur mündlichen Verhandlung diesbezüglich ausdrücklich erteilten richterlichen Hinweis erfolgte vom Kläger keine das Vorbringen vertiefende Erklärung.

Selbst wenn man aber entgegen dem zuvor Gesagten von der ausreichenden Darlegung eines individuellen Betroffenseins des Klägers von einem Scraping-Vorfall ausgehen wollte, bleibt der Kläger für diese Behauptung beweisfällig. Denn diese ist – wie aufgezeigt – wirksam bestritten worden. Es wäre Sache des Klägers gewesen, geeignete Beweisantritte zu unterbreiten, was unterblieben ist. Der Kläger hat bezüglich eines individuellen Betroffenseins mit persönlichen Daten seines …Kontos, die im Internet veröffentlicht worden seien, gar keinen Beweisantritt gestellt (s. Klageschrift, S. 8, Bl. 9 d.A.).

III. Die prozessualen Nebenentscheidungen ergeben sich aus §§ 91 Abs. 1, 709 ZPO. Kosten der Säumnis sind entgegen § 344 ZPO nicht der Beklagten aufzuerlegen.

Das Versäumnisurteil ist nicht in gesetzlicher Weise ergangen, da die Voraussetzungen des § 331 Abs. 3 ZPO nicht vorgelegen haben. Denn im nach § 331 Abs. 3 S. 1 ZPO maßgeblichen Zeitpunkt der Versäumnisentscheidung lag eine Verteidigungsanzeige der Beklagten vor. Diese hatte bereits am 15.09.2022 (Bl. 173 f.) ihre Verteidigung gegen die Klage angezeigt, noch bevor das schriftliche Vorverfahren mit den Hinweisen auf die Notfrist gem. § 276 verfügt worden war. Die verfrühte Verteidigungsanzeige entfaltete gleichwohl eine Sperrwirkung bezüglich einer Säumnisentscheidung gegen die Beklagten. Die verfrühte Einreichung ändert nichts daran, dass im Zeitpunkt des § 331 Abs. 3 S. 1 ZPO eine Verteidigungsanzeige der Beklagten vorlag.

Wegen der Streitwertfestsetzung wird auf den Beschluss vom 24.08.2022 Bl. 168 d.A. verwiesen. Anlass zu einer veränderten Festsetzung der Werte besteht nicht.