Das Amtsgericht Lichtenberg hatte zu entscheiden, ob Facebook Schadensersatz an einen Nutzer für ein sogenanntes Scraping zu leisten ist.
Dem Kläger steht ein Anspruch auf Ersatz immateriellen Schadens gemäß § 82 Abs. 1 DSGVO zu. Denn Facebook hat im hier einschlägigen Fall personenbezogene Daten des Nutzers unter Verstoß gegen die Bestimmungen der DSGVO verarbeitet. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Volltext des Urteil des AG Lichtenberg vom 19.06.2024 – 14 C 108/23:
Leitsatz
Schadensersatz nach Scraping bei Facebook.
Tenor
1. Die Beklagte wird verurteilt, an den Kläger 100,00 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 07.11.2023 zu zahlen.
2. Die Beklagte wird verurteilt, den Kläger von den außergerichtlichen Kosten für die anwaltliche Rechtsvertretung in Höhe von 90,96 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 07.11.2023 freizustellen.
3. Im Ãœbrigen wird die Klage abgewiesen.
4. Der Kläger hat die Kosten des Rechtsstreits zu tragen.
5. Das Urteil ist vorläufig vollstreckbar. Die Parteien dürfen die Vollstreckung durch Sicherheitsleistung in Höhe des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht vor der Vollstreckung die jeweils andere Partei Sicherheit in Höhe des jeweils zu vollstreckenden Betrages leistet.
6. Der Streitwert wird auf 3.500,00 € festgesetzt.
Tatbestand
Randnummer1
Die Parteien streiten über im Nachgang eines sogenannten Scrapings geltend gemachten Schadensersatz, die Feststellung einer weiteren Ersatzpflicht der Beklagten sowie eine Auskunftserteilung.
Randnummer2
Die Beklagte ist eine juristische Person irischen Rechts mit Sitz in Irland und betreibt das soziale Netzwerk bzw. die Plattform Facebook auf dem Gebiet der Europäischen Union. Der Kläger ist dort angemeldet und nutzt die Plattform Facebook. Er hinterlegte seine E-Mail-Adresse bei gmx.de und eine Mobilfunktelefonnummer. Bei der Eröffnung eines Facebook-Kontos müssen die Nutzer Informationen über sich erteilen. Durch entsprechende Einstellungen des Facebook -Kontos können die Nutzer entscheiden, welche der angegebenen Informationen für welchen Personenkreis einsehbar sind. In der App für Mobiltelefone ist eine Software namens Contact-Import-Tool (CIT) integriert. Das CIT gleicht die bei Facebook hinterlegten Telefonnummern mit Telefonnummern ab, die bei einem Nutzer in seinem Smartphone als Kontakte gespeichert sind. Dann werden dem Nutzer die entsprechenden Facebook-Profile angeboten, die zu seinen im Smartphone abgespeicherten Telefonnummern passen. Es war möglich, Nutzer anhand einer Telefonnummer zu finden, solange ihre „Suchbarkeits-Einstellung“ für Telefonnummern auf der Standard-Voreinstellung „Alle“ eingestellt war. Daneben waren die Einstellungen nur „Freunde von Freunden“ oder „Freunde“ auswählbar. Die Datenrichtlinie der Beklagten in der Fassung von 2018 teilte mit, welche Nutzerinformationen öffentlich sind, wie ein Nutzer durch die Zielgruppenauswahl festlegen kann, welche Informationen zugänglich gemacht werden können und wie er durch entsprechende Suchbarkeitseinstellungen aufgrund Mailadresse oder Telefonnummer aufgefunden werden kann. Im Jahr 2019 griffen Dritte persönliche Daten von Nutzern von Facebook ab. Es wurden öffentlich zugängliche Daten mit der angegebenen Telefonnummer verknüpft, indem über die Contact-Import-Funktion die mit einem Konto verknüpften Telefonnummern hochgeladen und diese Daten schließlich zusammengeführt wurden. Unbekannte Dritte verbreiteten Anfang April 2021 Daten von ca. 533 Millionen Nutzern öffentlich im Internet bzw. im sogenannten Darknet. Der Vorfall wurde nicht durch eine Information der Betroffenen durch die Beklagte öffentlich, sondern durch öffentliche Berichterstattung im Jahr 2021. In den durch Scraping abgerufenen Daten erscheinen die Nutzer ID, der Vor- und Nachname, das Land und das Geschlecht sowie die Telefonnummer des Beklagten. Mit anwaltlichem Schreiben vom 19.07.2023 forderte der Kläger die Beklagte dazu auf, Auskunft darüber zu erteilen, welche Daten konkret im September 2019 abgegriffen und veröffentlicht wurden, zu erklären, dass sie es unterlassen wird, eben diese Dateien zukünftig ohne Sicherheit über das Kontakt-Importer-Tool unbefugten Dritten zugänglich zu machen und es zu unterlassen, die Telefonnummer der Klägerseite auf Grundlage der „Einwilligung“ zu verarbeiten, die auf einer unübersichtlichen und unvollständigen Information über Inhalt und Umfang der Datenverarbeitung fußt, Schmerzensgeld in Höhe von nicht weniger als 2.000,00 € zu zahlen, ihre Regulierungsbereitschaft für kausal entstehende Folgeschäden dem Grunde nach zu erklären und die entstandenen Kosten der außergerichtlichen anwaltlichen Rechtsverfolgung auszugleichen. Mit Antwortschreiben vom 14.08.2023 verweigerte die Beklagte unter anderem die Abgabe einer Unterlassungserklärung sowie die Anweisung von Schmerzensgeld sowie den Ausgleich der anwaltlichen Kosten und nahm zu den Vorwürfen des Klägers Stellung. In einem vom Kläger am 01.02.2024 ausgefüllten und von ihm unterschriebenen Fragebogen finden sich verschiedene Angaben des Klägers zum Scraping-Vorfall und Spam-Aufkommen. Wegen der Einzelheiten nimmt das Gericht Bezug auf die vom Kläger vorgelegten Ablichtungen (Bd. 2 Bl. 93 der Akte).
Randnummer3
Der Kläger meint, dass die Beklagte in vielfältiger Weise gegen Bestimmungen der DSGVO verstoßen habe.
Randnummer4
Der Kläger beantragt,
Randnummer5
die Beklagte zu verurteilen, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Handynummer der Klägerseite sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB seit Rechtshängigkeit zu zahlen,
Randnummer6
festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.
Randnummer7
die Beklagte zu verurteilen, dem Kläger Auskunft über die personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch eine „Web-Scraping“-Anwendung des Kontaktimporttools erlangt werden konnten.
Randnummer8
die Beklagte zu verurteilen, die Klägerseite von den außergerichtlichen Kosten für die anwaltliche Rechtsvertretung in Höhe von 453,87 € nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit freizustellen.
Randnummer9
Die Beklagte beantragt,
Randnummer10
die Klage abzuweisen.
Randnummer11
Die Beklagte meint, die Klage sei weitgehend unzulässig und unbegründet. Die Beklagte meint, dass der Scraping-Vorfall schon nicht auf einem Datenschutzverstoß beruhe. Dies ergebe sich daraus, dass lediglich Daten „gescraped“ worden seien, die die Nutzer selbst der Öffentlichkeit zur Verfügung gestellt hätten. Unbekannte Dritten hätten die Telefonnummer des Klägers selbst eingebracht. Die Beklagte habe außerdem umfangreiche Maßnahmen getroffen, um das Risiko von Scraping zu unterbinden. Unter anderem habe sie ihre Systeme angepasst, um sicherzustellen, dass das Verknüpfen von Telefonnummern mit bestimmten Facebook-Nutzern durch das CIT nicht mehr möglich war, auch wenn dadurch Nutzerfunktionen entfernt wurden. Sie meint, sie habe den Nutzern alle notwendigen Informationen zur Datenverarbeitung zur Verfügung gestellt und umfassend über die Möglichkeiten der Anpassung ihrer Privatsphäre-Einstellungen informiert.
Randnummer12
Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die von den Parteien gewechselten Schriftsätze nebst deren Anlagen sowie das Protokoll der mündlichen Verhandlung vom 22.05.2024 Bezug genommen.
Entscheidungsgründe
Randnummer13
Die Klage ist teilweise zulässig und teilweise begründet.
Randnummer14
I. Das Amtsgericht Lichtenberg ist international, sachlich und örtlich zuständig. Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt EuGVVO (Brüssel LaVo). Gemäß Art. 1 Abs. 1 EuGVVO ist die EuGVVO sachlich anwendbar auf Zivil- und Handelssachen. Vorliegend handelt es sich um eine Zivilsache. Die deutsche Gerichtsbarkeit folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt EuGVVO. Ein ausschließlicher Gerichtsstand gemäß Art. 24 EuGVVO ist nicht ersichtlich. Gemäß Art. 18 Abs. 1 2. Alt EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder, ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners, vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Der Kläger ist gemäß Art. 17 Abs. 1 EuGVVO Verbraucher. Der Kläger hat seinen Wohnort in Deutschland. Die internationale Zuständigkeit deutscher Gerichte ergibt sich auch aus Art. 79 Abs. 2 DSGVO. Danach können Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Gemäß Art. 4 Nr. 7, 8 DSGVO sind Verantwortliche natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Die Beklagte ist Verantwortliche im Sinne dieser Normen. Die örtliche Zuständigkeit folgt aus Art. 18 Abs. 1 2. Alt. EuGVVO und Art. 79 Abs. 2 S. 2 DSGVO. Aufgrund des Streitwerts in Höhe von 3.500 Euro ist das Amtsgericht sachlich zuständig, §§ 23 Nr. 1, 71 Abs. 1 GVG.
Randnummer15
Der Klageantrag in Ziffer 1, mit welchem der Kläger einen angemessenen immateriellen Schadensersatz fordert, ist hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Dass er diesen Anspruch auf das kumulative Zusammenwirken mehrerer Verstöße stützt, ist unschädlich. Ein Fall von unzulässigen alternativen Klagegründen bzw. Streitgegenständen ist nicht gegeben. Der Kläger macht vorliegend einen einheitlichen Anspruch (immateriellen Schadensersatz wegen unterschiedlicher Verstöße gegen die DSGVO) geltend, wobei er in der Sache auf das Abgreifen seiner Telefonnummer und die Verknüpfung mit seinen öffentlich zugänglichen Daten abstellt. Die Regelungen in der DSGVO, die dieses Verhalten betreffen, sind insoweit nicht erkennbar unterschiedlich ausgestaltet, sondern betreffen in der Sache jeweils den erforderlichen Schutz der persönlichen Daten des Klägers und regeln die Schutzanforderungen für unterschiedliche Phasen der Datenverarbeitung. Eine Mehrheit von Streitgegenständen kann deshalb nicht angenommen werden und auch eine verdeckte Teilklage ist nicht gegeben (OLG Stuttgart Urt. v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883 Rn. 87; OLG Hamm GRUR-RS 2023, 22505 Rn. 42).
Randnummer16
Der Klageantrag in Ziffer 2, gerichtet auf Feststellung der weitergehenden Ersatzpflicht der Beklagten hinsichtlich zukünftiger materieller Schäden ist hingegen unzulässig. Zwar ist er hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Wie bei einer Leistungsklage muss zur Individualisierung des Anspruchs der Anspruchsgrund bereits im Antrag so konkret benannt werden, dass der Umfang der Rechtshängigkeit und der Rechtskraft feststehen. Bei Ansprüchen auf Schadensersatz ist eine bestimmte Bezeichnung des zum Ersatz verpflichtenden Ereignisses erforderlich. Zur Ermittlung des Klagebegehrens ist nicht allein auf den Antrag selbst abzustellen, sondern auch die Klagebegründung heranzuziehen (vgl. BGH, Urt. v. 15.07.2021 – VI ZR 576/19 -, juris Rn. 32). Zwar ist die Formulierung des auf Feststellung der Ersatzpflicht für „künftige (…) Schäden“, die „entstanden sind“ gerichteten Klageantrages in sich widersprüchlich, schon, weil sie keine Abgrenzung zu dem mit Ziff. 1 begehrten Ersatz des immateriellen Schadens erkennen lässt. Jedoch bezieht sich der Antrag ausschließlich auf materielle Schäden, die dem Kläger aus dem Scraping-Vorfall künftig noch entstehen werden. Indes fehlt für den Klageantrag in Ziffer 2 das erforderliche Feststellungsinteresse nach § 256 Abs. 1 ZPO. Ein Feststellungsantrag ist bereits dann zulässig, wenn die Schadensentwicklung noch nicht gänzlich abgeschlossen und der Kläger daher nicht im Stande ist, seinen Anspruch deshalb ganz oder teilweise zu beziffern. Das Feststellungsinteresse ist deswegen nur dann zu verneinen, wenn aus der Sicht des Geschädigten keinerlei Besorgnis besteht, zumindest mit dem Eintritt eines Schadens zu rechnen ist (vgl. BGH, Urt. v. 29.06.2021 – XI ZR 52/18 -, juris Rn. 30 m.w.N.). Vorliegend sind zwar die Daten der Klägerin noch im Internet abrufbar. Wer bereits in der Vergangenheit darauf zugegriffen hat und dies unter Umständen in Zukunft noch in missbräuchlicher Weise tun wird, ist nicht klar. Dabei kann auch nicht ausgeschlossen werden, dass der Klägerin bereits ein Schaden zugefügt wurde, von dem sie bislang nur noch keine Kenntnis hat. Andererseits ist die von ihr behauptete Wahrscheinlichkeit eines Schadenseintritts infolge des Scraping-Vorfalls umso unwahrscheinlicher, je länger der Vorfall zurückliegt, denn der Kausalzusammenhang lässt sich nicht mehr beweisen. Die Möglichkeit eines Schadenseintritts bleibt hier jedoch lediglich rein theoretischer Natur. Einen konkreten materiellen Schaden hat der Kläger schon im Rahmen des vorliegenden Verfahrens nicht dargelegt oder geltend gemacht. Dann aber erscheint es – gerade auch vor dem Hintergrund des zwischenzeitlich seit dem Scraping-Vorfall und dessen Bekanntwerden verstrichenen Zeitraums – als nicht vorstellbar, dass dem Kläger – dem die diesbezügliche Problematik ja inzwischen mindestens bereits durch das vorliegenden Verfahrens bewusst ist – zukünftig noch materielle Schäden entstehen, die auf den Scraping-Vorfall zurückzuführen sind.
Randnummer17
II. Auf das zwischen den Parteien vor Inkrafttreten der DSGVO geschlossene Vertragsverhältnis ist deutsches Recht anzuwenden. Ziffer 4 der Nutzungsbedingungen der Beklagten (Anlage B 19, Bd. 2 Bl. 187 d. A.) enthält hinsichtlich des anwendbaren Rechts folgende Klausel: „Wenn du ein Verbraucher bist und deinen ständigen Wohnsitz in einem Mitgliedsstaat der Europäischen Union hast, gelten die Gesetze dieses Mitgliedstaats für jeglichen Anspruch, Klagegegenstand oder Streitfall, den du uns gegenüber hast und der sich aus diesen Nutzungsbedingungen oder aus den Facebook-Produkten oder im Zusammenhang damit ergibt (“Anspruch“).“ Nach Art. 3 Abs. 1, 6 Abs. 2 der Verordnung (EG) Nr. 593/2008 (Rom I-VO) unterliegt somit das Vertragsverhältnis dem von den Parteien in Ziffer 4 der Nutzungsbedingungen gewählten Recht, nämlich dem Recht des Mitgliedsstaates der Europäischen Union, in welchem der Kläger seinen ständigen Wohnsitz hat, was in Deutschland der Fall ist.
Randnummer18
Dem Kläger steht ein Anspruch auf Ersatz immateriellen Schadens gemäß § 82 Abs. 1 DSGVO in Höhe von 100,00 € zu. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Voraussetzung für das Bestehen eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ist, dass ein Verstoß gegen die DSGVO kausal einen immateriellen Schaden herbeigeführt hat (vgl. EuGH, Urt. v. 04.05.2023 – C 300/21 -, juris Rn. 32) . Die DSGVO ist zeitlich, sachlich und räumlich anwendbar. Von der Beklagten wurden personenbezogene Daten des Klägers unter Verstoß gegen die Bestimmungen der DSGVO verarbeitet. Die Beklagte hat sich nicht mit Erfolg exkulpiert (Art. 82 Abs. 3 DSGVO). Dem Beklagten ist zudem ein immaterieller Schaden entstanden. Der Anwendungsbereich der DSGVO ist eröffnet. Der sachliche Anwendungsbereich der DSGVO ist eröffnet. Der Betrieb eines sozialen Netzwerks mit der Sammlung und Speicherung von Nutzerdaten, die Vernetzung der Mitglieder und die Beschickung mit individualisierter Werbung ist eine Verarbeitung und Speicherung von personenbezogenen Daten gemäß Art. 2 Abs. 1 DSGVO (vgl. EuGH, Urt. v. 04.07.2023 – C-252/21 -, juris Rn. 27; Urt. v. 05.06.2018 – C-210/16 -, juris Rn. 30). Bei den genannten Daten handelt es sich um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO (OLG Hamm, a.a.O. Rn. 63). Die DSGVO ist auch räumlich anwendbar. Die Beklagte ist Verantwortliche der Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO und betreibt für ihre Tätigkeit eine Niederlassung in Irland und damit innerhalb der Union (EuGH, Urt. v. 04.07.2023 – C-252/21 -, juris Rn. 30, 44; Urt. v. 05.06.2018 – C-210/16 -, juris Rn. 30). In zeitlicher Hinsicht können Verstöße erst nach deren Inkrafttreten zum 25.05.2018 erfasst werden. Die DSGVO gilt seit dem 25.05.2018 (Art. 99 Abs. 2 DSGVO) unmittelbar in jedem Mitgliedstaat der europäischen Union (Art. 288 Abs. 2 AEUV) (BGH, Urt. v. 27.07.2020 – VI ZR 405/18 -, BGHZ 226, 285 [290 Rn. 12]). Der Abgriff der Daten des Klägers durch Dritte ist im Jahr 2019 erfolgt. Die Beklagten hat gegen die DSGVO verstoßen. Art. 82 DSGVO erfasst jedweden Verstoß gegen die DSGVO. Der Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO setzt nicht voraus, dass eine Schutznorm verletzt wird oder eine rechtswidrige Datenverarbeitung vorliegt, es genügt entgegen der Ansicht der Beklagten jede Verletzung materieller oder formeller Bestimmungen der DSGVO (vgl. BeckOK DatenschutzR/Quaas, 46. Ed. 1.11.2023, DS-GVO Art. 82 Rn. 14; OLG Stuttgart, a.a.O. Rn. 165 ff.).
Randnummer19
Grundsätzlich trägt der Anspruchsteller die Beweislast für die tatbestandsbegründenden Umstände im Rahmen des Art. 82 DSGVO (vgl. Quass, a.a.O. Rn. 16). Dennoch ist nicht der Kläger für den für die Haftung nach Art. 82 DSGVO erforderlichen Verstoß gegen die DSGVO im Zuge der Datenverarbeitung darlegungs- und beweisbelastet. Denn die DSGVO enthält in Art. 5 Abs. 2 DSGVO eine spezifische Beweislastregelung, wonach der für die Datenverarbeitung Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO enthaltenen Grundsätze der Datenverarbeitung verantwortlich ist und deren Einhaltung nachweisen können muss. Der für die betreffende Verarbeitung Verantwortliche trägt auch die Beweislast dafür, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO geeignet waren (vgl. EuGH, Urt. v. 14.12.2023, C-340/21, Celex-Nr. 62021CJ0340 Rn. 57, OLG Stuttgart, a.a.O. Rn. 180 f.). Mit der Belassung der Voreinstellung „alle“ in der Suchfunktion hat sie gegen Art. 5 Abs. 1 lit. a), b), Art. 6 Abs. 1 Unterabs. 1 DSGVO und Art. 25 Abs. 2 DSGVO verstoßen. Die Beklagte als die für die Datenverarbeitung Verantwortliche hat weder schlüssig dargelegt noch bewiesen, dass ihre streitgegenständliche, zum Scraping-Vorfall beim Kläger führende Verarbeitung entgegen dem klägerischen Vorbringen nicht gegen die in Art. 5 Abs. 1 lit. a), b), Art. 6 Abs. 1 Unterabs. 1 DSGVO, Art. 25 Abs. 1, Abs. 2 DSGVO normierten Grundsätze verstoßen hat. In Art. 25 Abs. 1 DSGVO wird der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen umzusetzen. Dabei wird die Möglichkeit der Abwägung eröffnet. Die Norm gibt die Möglichkeit, Umstände wie den Stand der Technik, die Implementierungskosten und auch Risiken für die Rechte und Freiheiten natürlicher Personen mit in die Abwägung bei der Wahl der Maßnahmen einzubeziehen. Art. 25 Abs. 2 DSGVO verpflichtet den Verantwortlichen, durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass durch die Voreinstellung im technischen Verfahren nur die personenbezogenen Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind (vgl. BeckOK DatenschutzR/Paulus DS-GVO Art. 25 Rn. 8 m.w.N.). Erwägungsgrund 78 zur DSGVO konkretisiert diese Maßnahmen. Danach könnten solche Maßnahmen z.B. darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird und personenbezogene Daten so schnell wie möglich pseudonymisiert werden. Weiter sieht der Erwägungsgrund 78 vor, dass Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird und es der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen. Der Verantwortliche ist danach in der Rolle, Sicherheitsfunktionen zu schaffen und zu verbessern. Es müssen danach die Grundsätze und die Rechtmäßigkeit der Verarbeitung personenbezogener Daten beachtet werden. An den Art. 5 und 6 DSGVO ausgerichtet sind entsprechende Maßnahmen zu ergreifen. Die technischen und organisatorischen Maßnahmen, die den Rahmen für die Voreinstellung der Verarbeitung geben, sollen insbesondere sicherstellen, dass personenbezogene Daten nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden (vgl. Paulus, a.a.O., Rn. 11 ff.). Geschützt werden sollen insbesondere diejenigen Internet-Nutzer, die die technischen Implikationen der Verarbeitungsvorgänge nicht überblicken und sich deshalb nicht dazu veranlasst sehen, aus eigenem Antrieb datenschutzfreundliche Einstellungen vorzunehmen. Der Verantwortliche hat die Voreinstellungen und Optionen für die Verarbeitung so auszuwählen, dass nur die Verarbeitung standardmäßig ausgeführt wird, die (unbedingt) erforderlich ist, um den vorgegebenen rechtmäßigen Zweck zu erreichen (OLG Dresden Endurteil v. 20.2.2024 – 4 U 1634/23, GRUR-RS 2024, 6858). Diesen Anforderungen wird die hier gewählte Voreinstellung „alle“ in der Suchfunktion nicht gerecht, weil damit nicht sichergestellt ist, dass ein Nutzer, der in der Zielgruppenauswahl das von ihm gewünschte Maximum an Privatheit dahingehend umrissen hat, dass er seine Telefonnummer gerade nicht unbegrenzt zur Verfügung stellen will, auch von der Suchbarkeit über diese Telefonnummer ausgeschlossen ist (OLG Dresden Endurteil v. 20.2.2024 – 4 U 1634/23, GRUR-RS 2024, 6858). Dass eine solche Suchbarkeit dem Wunsch eines Nutzers von sozialen Netzwerken entspricht und der Nutzer daher Änderungen an dieser Voreinstellung nicht vornehmen wird, lässt sich hier nicht ohne Weiteres unterstellen (vgl. OLG Dresden, a.a.O.). Eine solche Einstellung ist auch entgegen der Ansicht der Beklagten hinsichtlich des Zweckes eines sozialen Netzwerks nicht erforderlich. Bereits aus dem Umstand, dass die Beklagte nur hinsichtlich bestimmter personenbezogener Daten vorgab, dass diese immer zwecks Vernetzung sichtbar und damit suchbar sein müssen, und dem Umstand, dass sie den Nutzern freistellt, ob und wem bestimmte Daten gezeigt werden bzw. ob und wer nach ihnen suchen kann, folgt, dass diese Daten nicht objektiv unerlässlich waren, um eine (hinreichende) Verknüpfung der Nutzer der Beklagten zu ermöglichen (OLG Hamm, a.a.O. Rn. 84 ff.). Die Eingabe der Telefonnummer erleichtert zwar bei Namensgleichheit die Zuordnung zu einer Person, ist angesichts anderer Suchmöglichkeiten für die Nutzbarkeit der Suchfunktion aber nicht in dem Sinne erforderlich, dass hierauf nicht auch verzichtet werden könnte (OLG Dresden, a.a.O.). Ein Verstoß gegen die Pflicht zur Wahl datenschutzfreundlicher Voreinstellungen nach Art. 25 Abs. 2 DSGVO stellt damit zugleich einen Verstoß gegen die in Art. 5 Abs. 1 lit b), c), e) genannten Datenschutzgrundsätze der Zweckbindung, Datenminimierung und Speicherbegrenzung dar (vgl. OLG Dresden, a.a.O.).
Randnummer20
Auch ist keine Rechtfertigung des Vorgehens der Beklagten über Art. 6 Abs. 1 lit. f) DSGVO gegeben. Nach Art. 6 Abs. 1 S. 1 lit. f) ist die Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Nach Art. 13 Abs. 1 lit. d) DSGVO obliegt es dem Verantwortlichen, einer betroffenen Person zu dem Zeitpunkt, zu dem personenbezogene Daten bei ihr erhoben werden, die verfolgten berechtigten Interessen mitzuteilen, wenn diese Verarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht (vgl. EuGH, Urt. v. 04.07.2023 – C-252/21 -, juris Rn. 107). Die Voraussetzung der Erforderlichkeit der Datenvereinbarung ist gemeinsam mit dem Grundsatz der Datenminimierung zu prüfen, der in Art. 5 Abs. 1 lit. c) DSGVO verankert ist und verlangt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sind (vgl. EuGH, a.a.O., Rn. 109 m.w.N.). Wie bereits erläutert wurde, fehlt es vorliegend an der Erforderlichkeit der Suchbarkeit des Profils des Klägers über dessen Mobilfunknummer unter Verwendung der Voreinstellung „alle“. Die Beklagte hat des Weiteren gegen ihre Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 5 Abs. 1 lit. f.), 32 DSGVO) verstoßen. Sie hat nicht dargelegt, dass ihre Datenverarbeitung den Anforderungen der Art. 5 Abs. 1 lit. f, Art. 32 DSGVO entsprach. Eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO liegt bereits dann vor, wenn ein automatisierter Zugriff auf Daten möglich ist. Die Beklagte hat keine ausreichenden Sicherungsmaßnahmen ergriffen. Der Datenschutzverstoß liegt insoweit in der ungeschützten Bereitstellung der Daten (OLG Stuttgart, a.a.O. Rn. 208). Art. 5 Abs. 1 lit. f) DSGVO fordert, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Der Begriff der Vertraulichkeit zielt auf den Schutz der Daten vor unbefugter Kenntnisnahme und damit unbefugter Verarbeitung ab. Die Daten sollen vor geplanten Zugriffen und unbeabsichtigten Beeinträchtigungen geschützt werden. Erwägungsgrund 39 Satz 12 DSGVO folgend gehört hierzu, dass unbefugte Personen weder Zugang zu den Daten, noch zu den Geräten haben, mit denen sie verarbeitet werden. Welche Maßnahmen zum Schutz der Daten ergriffen werden müssen, hängt insbesondere vom Risiko eines unberechtigten Zugriffs und der Art der Verarbeitung ab (vgl. EuGH, Urt. v. 08.08.2014 – C-293/12 -, juris Rn. 53 ff.). Art. 32 Abs. 1 DSGVO konkretisiert dies dahingehend, dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die im Zeitpunkt des Scraping-Vorfalls bestehenden Maßnahmen waren technisch und organisatorisch ungeeignet im Sinne des Art.32 Abs. 1 Hs. 1 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, obwohl es in Bezug auf die Kontaktimportfunktionen bei Facebook und im Facebook-Messenger geeignete Maßnahmen gab (OLG Stuttgart, a.a.O. Rn. 216 f.). Durch die eingeräumte Möglichkeit des Hochladens von Telefonnummern für eine Verknüpfung der Kontakte wurden die persönlichen Daten des Klägers für eine Verknüpfung bereitgestellt beziehungsweise zur Verfügung gestellt, weshalb eine Zugriffsmöglichkeit vorhanden war, die nach den Nutzungsbedingungen der Beklagten untersagt ist (OLG Stuttgart, a.a.O. Rn. 214 ff.). Insoweit war kein ausreichender Schutz der persönlichen Daten des Klägers vorhanden. Die Beklagte hat bei der nach Art. 32 DSGVO vorzunehmenden ex-ante-Betrachtung trotz ihres Beurteilungsspielraums unter Abwägung der widerstreitenden Interessen keine geeignete und gebotene Maßnahme gegen das Scraping getroffen. Allein die Tatsache, dass es zum Scraping-Vorfall gekommen ist, ist zwar kein Beweis dafür, dass die Beklagte im Vorfeld ungeeignete Maßnahmen ergriffen hat. Da Art. 32 DSGVO keine konkreten Vorgaben zu erforderlichen Maßnahmen enthält, ist es vielmehr ersichtlich eine Frage des konkreten und vom Gericht zu bearbeitenden Einzelfalls, ob die vom Verantwortlichen darzulegenden und zu beweisenden Maßnahmen das Risiko einer Datenverletzung Dritter – aus ex-ante-Sicht – hinreichend zu verhindern geeignet waren, wobei dem Verantwortlichen bei der Auswahl und Umsetzung der Maßnahmen ein gewisser subjektiver Beurteilungsspielraum zuzugestehen ist (vgl. GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 29 ff.). Nach dem EuGH ist Art. 32 DSGVO dahin auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind (EuGH, Urt. v. 14.12.2023, C-340/21, Celex-Nr. 62021CJ0340). Es ist vorliegend indes weder von der Beklagten dargetan noch sonst ersichtlich, dass trotz ex-ante-Betrachtung wie geboten ab Geltung der DSGVO im Mai 2018 ausreichende Sicherheitsvorkehrungen gegen Scraping getroffen wurden. Die Beklagte durfte sich nicht auf die Deaktivierung der Suchfunktion der Plattform beschränken. Es war ihr ohne Weiteres möglich und im Hinblick auf die Datensicherheit ihrer Nutzer geboten sowie zumutbar, die Kontaktimportfunktion einzuschränken und somit einen weiteren Datenverlust an Unbefugte zu unterbinden. Die „People-You-May-Know“-Funktion zeigt, dass es auch andere Möglichkeiten der Verknüpfung von Nutzern gibt. Dass eine Umstellung auf diese erst sukzessive trotz erkannten fortgesetzten Scrapinggeschehens erfolgte, lässt sich mit den Vorgaben des Art. 32 DSGVO auch aus ex-ante-Perspektive und unter Einbeziehung eines Beurteilungsspielraums nicht vereinbaren.
Randnummer21
Ob der Beklagten ein Verstoß gegen Melde- und Benachrichtigungspflichten nach Art. 33, 34 DSGVO zur Last fällt, kann dahinstehen. In Bezug auf die seitens des Klägers gerügten Verstöße gegen die Meldepflicht nach Art. 33 DSGVO sowie die Benachrichtigungspflicht nach Art. 34 DSGVO wurde kein konkreter auf die fehlenden Informationen zurückzuführender Schaden dargelegt, noch ist ein solcher anzunehmen. Dass das Scrapen durch eine rechtzeitige Information noch konkret bezüglich des Klägers hätte verhindert oder die Veröffentlichung des Leak-Datensatzes mitsamt den Daten des Klägers hätte verhindert werden können, ist nicht ersichtlich (OLG Hamm, a.a.O. Rn 132). Die Beklagte kann sich zudem nicht gemäß Art. 82 Abs. 3 DSGVO exkulpieren. Gemäß Art. 82 Abs. 3 DSGVO wird der Verantwortliche von der Haftung nach Art. 82 Abs. 2 DSGVO befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Die Beklagte kann sich hier nicht entlasten. Sie kann nicht nachweisen, dass sie kein Verschulden trifft (Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 54). Das wäre nämlich nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hätte und ihr nicht die geringste Fahrlässigkeit vorzuwerfen wäre. Hält der Anspruchsgegner beispielsweise die erforderlichen Sicherheitsmaßnahmen (vgl. Art. 32 DSGVO) ein und kommt es dennoch zu einem unbefugten Datenzugriff, fehlt es an einem Verschulden. War der Angriffsweg hingegen bekannt oder auch nur erkennbar, ist der Entlastungsbeweis nicht geführt (vgl. Bergt, a.a.O.). Da vorliegend die nach Art. 32 DSGVO erforderlichen Sicherheitsmaßnahmen von der Beklagten nicht eingehalten wurden, kann die Beklagte nicht nachweisen, dass sie kein Verschulden trifft.
Randnummer22
Dem Kläger ist auch ein kausaler immaterieller Schaden entstanden. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) sind die Worte „materieller oder immaterieller Schaden“ als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedstaaten einheitlich auszulegen (vgl. EuGH, Urt. v. 04.05.2023 – C-300/21, DB 2023, 1280 ff. Rn. 30, 44). Zum immateriellen Schaden hat der EuGH ausgeführt, dass Art. 82 Abs. 1 DSGVO dahin auszulegen sei, dass er einer nationalen Regelung oder Praxis entgegenstehe, die den Ersatz eines immateriellen Schadens i.S. dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (vgl. EuGH, a.a.O. Rn. 51). Der EuGH hat ferner ausgeführt, dass Art. 82 Abs. 1 DSGVO dahin auszulegen sei, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, ihre personenbezogenen Daten könnten durch Dritte missbräuchlich verwendet werden, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen könne (EuGH, Urt. v. 14.12.2023, C-340/21, Celex-Nr. 62021CJ0340). Die betroffene Person müsse damit nicht nachweisen, dass Dritte diese Daten vor Erhebung ihrer Schadenersatzklage unrechtmäßig verwendet haben. Der EuGH (EuGH, Urt. v. 14.12.2023, C-340/21, Celex-Nr. 62021CJ0340) hat ausgeführt, dass der Unionsgesetzgeber unter den Begriff „Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO auch den bloßen „Verlust der Kontrolle“ über die eigenen Daten durch einen DSGVO-Verstoß sowie die Furcht vor Datenmissbrauch fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (EuGH, a.a.O. Rn. 82). Zudem kann nach Ansicht des EuGH allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen (Rn. 86). Auch hat der Gerichtshof entschieden, dass grundsätzlich der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann (EuGH, Urt. v. 11.04.2024, C-741/21, Celex-Nr. 62021CJ0741 Rn. 42; EuGH, Urt. v. 25.01.2024, C-687/21, Celex-Nr. 62021CJ0687 Rn. 66 und die dort angeführte Rechtsprechung). Indes betont der EuGH, dass im Rahmen von Art. 82 DSGVO der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen (EuGH, Urt. v. 25.01.2024, C-687/21, Celex-Nr. 62021CJ0687 Rn. 61; Urt. v. 04.05.2023, C-300/21 Celex-Nr. 62021CC0300 Rn. 42, 50; Urt. v. 14.12.2023, C-340/21, Celex-Nr. 62021CJ0340 Rn. 84; Urt. v. 14.12.2023, C-456/22, Celex-Nr. CELEX:62022CJ0456 Rn. 21, 23). Vielmehr müssten Betroffene auch einen konkret erlittenen Schaden nachweisen. Das angerufene nationale Gericht müsse jedoch, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Allerdings muss eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Hinsichtlich des haftungsbegründenden immateriellen Schadens gilt das Beweismaß des § 286 ZPO, das die volle Ãœberzeugung des Gerichts verlangt (OLG Hamm, a.a.O. Rn. 162). Diese erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet (vgl. BGH, Urt. v. 23.6.2020 – VI ZR 435/19 -, juris Rn. 13). Diese Ãœberzeugung hat das Gericht erlangt. Der Vortrag des Klägers ist diesbezüglich hinreichend. Zwar ist der Vortrag des Klägers nicht widerspruchsfrei. So wird vorgetragen, dass die Mail-Adresse nicht abgegriffen wurde. Der Fragebogen stellt auf Beeinträchtigungen durch E-Mails ab und auch Screenshots sollen angebliche Beeinträchtigungen durch E-Mails durch das Scraping zeigen, die aber durch den Scraping-Vorfall nicht entstanden sein können. Dies bereits deswegen nicht, weil die Mail-Adresse nach dem Vortrag der Beklagten, der nicht bestritten wird, nicht Teil der gescrapten Daten war. Zudem weist der von der Beklagten eingereichte Screenshot des Profils des Klägers zumindest seinen dortigen Namen als XXX und nicht XXX aus. Die vom Kläger vorgelegten Spam-E-Mails enthalten allerdings nicht diesen Namen. Im Klageantrag wird trotzdem auf eine angebliche Ermöglichung der unbefugten Ermittlung der E-Mail-Adresse abgestellt. Diese Umstände lassen den Vortrag in dieser Hinsicht widersprüchlich erscheinen (vgl. OLG Hamm, Urt. v. 15.8.2023 – 7 U 19/23, GRUR 2023, 1791 Rn. 153). Nach Auffassung des Gerichts ist es entgegen des Vortrags der Klägerseite auch durchaus relevant, dass die E-Mail-Adresse nicht Teil des Scrapings war, da sich ein signifikanter Teil des Vortrages des Klägers hierauf bezieht. Des Weiteren sind im Fragebogen keine Beeinträchtigungen durch SMS angegeben, obwohl solche ebenfalls vorgetragen werden. Es erscheint auch nicht fernliegend, dass die Ausführungen zum Schaden pauschal für mehrere Kläger verwendetet werden und der Fragebogen mittels suggestiver Formulierungen ebenfalls pauschale Ergebnisse erzeugen soll. Dafür spricht neben dem Abstellen auf die E-Mails im Fragebogen und der Erwähnung von angeblichen Beeinträchtigungen durch SMS der Umstand, dass die Klägervertreterin ihrer Angabe nach mehr als 1.000 Mandanten gegen die Beklagte vertritt. Dafür würde auch sprechen, dass nach Ausführungen der Beklagten in Parallelverfahren im Fragebogen nahezu identische Antworten gegeben würden. Zudem wird pauschal von der „Klägerpartei“ gesprochen. Auch an anderen Stellen des klägerischen Vorbringens gibt es Widersprüche. So ist beispielsweise teilweise die Rede von einem Unterlassungsanspruch (z.B. Bd. 2 B. 57 ff. sowie Bl. 84 ff. d. A.), der sich aber nicht in den gestellten Anträgen findet. Indes sind mit den Ausführungen des Klägers jedoch genug Beweisanzeichen objektiver Art vorgetragen in denen sich dessen Gefühle bzw. der Aufwand hinsichtlich des Scrapings und dessen Folgen widerspiegeln, und zwar bezogen auf den konkreten Einzelfall. Der Vortrag ist hier hinreichend konkret-individuell. Diese Ãœberzeugung hat das Gericht vorliegend aufgrund der detailreichen und nachvollziehbaren Angaben des Klägers – auch nach seiner persönlichen Anhörung –, die ein realistisches Bild schaffen, erlangt. So wird unter anderem schriftsätzlich vorgetragen, dass der Kläger durch die unbefugte Veröffentlichung seiner personenbezogenen Daten einen Kontrollverlust über seine Daten erlitten habe und in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten verbleibe. Dies habe sich u.a. in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen und SMS von unbekannten Nummern manifestiert. Es sei irrelevant, dass die E-Mails nicht Teil des Scraping-Vorfalles gewesen waren. Das habe der Kläger als Laie nicht gewusst und sich in der digitalen Welt nicht mehr in gleichem Maß wie vorher frei und unbelastet bewegen können. Die Schwelle reiner Verärgerung über den Datenkontrollverlust sei überschritten worden. Er habe sich mit dem Datenleck und der Herkunft der Daten auseinandersetzen müssen. Dass die Daten im Darknet gehandelt wurden, habe seinen Stress und seine Angst vergrößert. Es habe das Gefühl des Kontrollverlusts, Beobachtetwerdens und der Hilflosigkeit, also ein überschattendes Gefühlt der Angst, vorgelegen. Der Kläger erhalte regelmäßig Anrufe von unbekannten Telefonnummern und SMS-Benachrichtigungen mit unseriösen Aufforderungen zum Anklicken von Links, die suggerierten, es würde sich hier um Warenbestellungen oder beauftragte Dienstleistungen handeln. In dem vom Kläger am 01.02.2024 ausgefüllten und unterschriebenen Fragebogen sind unter anderem im Hinblick auf die Frage, welche Art von Belästigungen erfahren werden, die Felder „Anrufe“ und „E-Mail“ angekreuzt. Das Feld „SMS“ ist nicht angekreuzt. Auf die Frage, wann „der extreme Spam-Anstieg“ begonnen hat, wurde angegeben „Ende 2019“. Auf die Frage, der Häufigkeit wurden die Felder „täglich“, „wöchentlich“, „auch nachts und spät abends“ angekreuzt. Auf dem Fragebogen ist zudem angekreuzt, dass eine praktische und psychologische Beeinträchtigung gegeben sei. Es wird erläutert, dass man bei Anrufen aufpassen müsse, was sich negativ auf das Arbeitsleben auswirke und man bei Fake-E-Mails aufpassen müsse, nichts anzuklicken. Man müsste ständig E-Mails als Spam markieren und Telefonnummern blockieren. Wegen der Einzelheiten nimmt das Gericht Bezug auf die vom Kläger vorgelegten Ablichtungen (Bd. 2 Bl. 93 der Akte).
Randnummer23
Der Kläger hat anlässlich seiner persönlichen Anhörung, hinsichtlich derer auf das Protokoll der mündlichen Verhandlung vom 22.05.2024 verwiesen wird, unter anderem ausgeführt, dass ihm neben der Nutzung von Instagram und Whatsapp keine anderen Dienste einfallen, bei denen er Daten wie Daten wie Telefonnummer und Mailadresse angegeben hat. Er versuche, die Datenhoheit im möglichen Rahmen zu erhalten und gebe Daten an, weil es obligatorisch sei. Auch habe er – auch nach dem Scraping – versucht, Einstellungen zu wählen, die zu einem vermeintlich höheren Datenschutzstandard führen. Zudem berichtet er detailliert von verschiedenen Arten des Spams und schilderte beispielsweise einen Spam-Vorfall, der eine britische Nummer, die sich per Whatsapp meldete, betraf und sich erst kürzlich ereignete. Auch die Reaktionen wie Spamfilter und die Konsequenzen auf die Spam-Nachrichten bzw. Anrufe, wie teilweise verpasste Anrufe und dass er entgegen sozialer Gepflogenheiten unhöflich werden müsse, schilderte der Kläger anschaulich. Ebenfalls beschrieb der Kläger Stress und das Gefühl des Kontrollverlustes durch die Geschehnisse. Der Umstand, dass regelmäßig auch Personen, deren Daten nicht gescrapet wurden, in vergleichbarer Weise betroffen sind, welchen man gegen einen Kausalzusammenhang anführen könnte (so z.B. OLG München Endurteil v. 24.4.2024 – 34 U 2306/23 e, GRUR-RS 2024, 8563) führt hier nach Auffassung des Gerichts nicht zur Verneinung eines solchen. Der Kläger hat glaubhaft vorgetragen, dass er seit dem Scraping-Vorfall vermehrt von Spam betroffen war. Dass er sich hinsichtlich des Anstiegs des Spam-Aufkommens nicht ganz sicher war, spricht nicht gegen die Glaubhaftigkeit seiner Ausführungen, sondern vielmehr gerade dafür. Dieses Vorgehen spricht dafür, dass der Kläger nur ausführt, was er tatsächlich weiß. Auch erfolgte eine maßgebliche Verknüpfung des Namens des Klägers mit seiner Telefonnummer über die Beklagte. Zudem hat er wie beschrieben ausgeführt, seine Daten sowohl privat als auch beruflich restriktiv zu verwenden. Das Bestreiten der Beklagten hinsichtlich der Ausführungen des Klägers ist hier darüber hinaus unbeachtlich, da es angesichts des detaillierten Vortrages eines substantiierteren Bestreitens bedurft hätte.
Randnummer24
Hinsichtlich der Bemessung der Höhe des etwaigen gemäß Art. 82 DSGVO geschuldeten Schadensersatzes haben nationale Gerichte die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (EuGH, Urt. v. 25.01.2024, C-687/21, Celex-Nr. 62021CJ0687 Rn. 53 mwN). Zu beachten ist in diesem Zusammenhang, dass der 146. Erwägungsgrund zur DSGVO fordert, dass die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten sollten. Art. 82 DSGVO verlangt, dass der Schadensersatz den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig ausgleicht (EuGH, Urt. v. 25.01.2024, C-687/21, Celex-Nr. 62021CJ0687 Rn. 53, 54). Unter Berücksichtigung dieser Erwägungen hält das Gericht einen Schadensersatz für immaterielle Schäden in Höhe von 100,00 € angemessen. Die Zahl und Schwere der Verstöße ist entgegen der Ansicht des Klägers aufgrund der Ausgleichsfunktion des Schadensersatzanspruches nach Art. 82 DSGVO, der anders als Art. 83 und 84 DSGVO keinen Strafzweck verfolgt, unbeachtlich (LG Mannheim Urt. v. 15.3.2024 – 1 O 99/23, GRUR-RS 2024, 5296). Zu berücksichtigen ist, dass der Kläger zwar Maßnahmen hinsichtlich des Filterns von Spam getroffen hat und eine weitere E-Mail-Adresse eingerichtet hat, aber beispielsweise einen Wechsel der Telefonnummer – der auch beruflich, wenn auch mit Aufwand, möglich wäre – nicht vorgenommen hat. Zwar hat er versucht, die Einstellungen seines Profils entsprechend restriktiv vorzunehmen und ihm ist nach seinen Ausführungen die Hoheit über seine Daten wichtig. Indes zeigt das Gesamtbild, dass der Kläger offenbar keine derart gravierenden Folgen spürt, die zu stärkeren Maßnahmen seinerseits führen würden. Des Weiteren fällt der Vortrag hinsichtlich von Spam-E-Mails sowie der neu eingerichteten Mailadresse weniger ins Gewicht, da die E-Mail-Adresse wie erläutert nicht Teil der gescrapten Daten war. Ein Identitätsdiebstahl ist zudem lediglich aufgrund der Verknüpfung eines Namens und einer Telefonnummer nicht zu befürchten. Der Kläger machte außerdem zu möglichem Missbrauch der Daten – auch bei der persönlichen Anhörung – keine detaillierten Ausführungen, wie etwa zu den Szenarien, die er hier fürchtet oder den technischen Zusammenhängen bzw. Dingen, die eine Furcht oder einen Ärger darlegen würden (vgl. LG Mannheim Urt. v. 15.3.2024 – 1 O 99/23, GRUR-RS 2024, 5296). Auch das spricht gegen eine entsprechend große Beeinträchtigung in dieser Hinsicht. Die Schadensersatzsumme ist nicht nur rein symbolisch und erfüllt daher die Ausgleichsfunktion des Art. 82 DSGVO. Dass derart geringe Schadenssummen im deutschen Recht untypisch sind, liegt darin begründet, dass nach nationalem Recht und der hierzu ergangenen Rechtsprechung Bagatellverletzungen für die Begründung des haftungsrechtlichen Zusammenhangs unzureichend sind und damit entschädigungslos bleiben können (LG Mannheim Urt. v. 15.3.2024 – 1 O 99/23, GRUR-RS 2024, 5296). Art. 82 Abs. 1 DSGVO steht jedoch einer Auslegung entgegen, die für einen durch einen Verstoß gegen diese Verordnung verursachten immateriellen Schaden eine Erheblichkeitsschwelle vorsieht. Daher kann aus einer niedrig erscheinenden Schadenssumme nicht geschlossen werden, dass diese nur symbolisch ist und daher der Ausgleichsfunktion nicht gerecht würde. Ein geringerer immaterieller Schaden erfordert vielmehr einen entsprechend geringen Ausgleich (LG Mannheim Urt. v. 15.3.2024 – 1 O 99/23, GRUR-RS 2024, 5296).
Randnummer25
Der mit dem Klageantrag in Ziffer 3 geltend gemachte Auskunftsanspruch ist ebenfalls nicht begründet. Ausweislich seines Klageantrages fordert der Kläger keine allgemeine bzw. umfassende Auskunft über seine bei der Beklagten gespeicherten personenbezogenen Daten, sondern darüber, welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch eine „Web-Scraping“-Anwendung des Kontaktimporttools erlangt werden konnten. Art. 15 Abs. 1 lit. c) DSGVO gibt der betroffenen Person einen Anspruch, vom Verantwortlichen eine Auskunft darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf Informationen über die Empfänger oder Kategorien von Empfängern, gegenüber denen diese personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (vgl. EuGH, Urt. v. 12.01.2023 – C-154/21 -, juris Rn. 30). Nach dem EuGH ist Art. 15 Abs. 1 lit. c) DSGVO dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind (EuGH, a.a.O. Rn. 51). In diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen. Wie bereits hinsichtlich Art. 32 DSGVO ausgeführt wurde, hat die Beklagte durch die automatisierte Verarbeitung der Such- und Kontaktimportfunktionsabfragen die Daten des Klägers, insbesondere dessen Mobilfunktelefonnummer offengelegt (Art. 4 Nr. 2 DSGVO), so dass sie gemäß Art. 15 Abs. 1 Hs. 2 lit. c DSGVO grundsätzlich zur gewünschten Auskunft verpflichtet war. Die Beklagte hat den Auskunftsanspruch des Klägers indes erfüllt. Erfüllt im Sinne von § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist allein die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll (vgl. BGH, Urt. v. 15.06.2021 – VI ZR 576/19 -, juris Rn. 19 f.). Nach diesen Maßstäben ist vorliegend von einer Erfüllung des klägerischen datenschutzrechtlichen Auskunftsanspruchs auszugehen. Die Beklagte hat einen Link zur einer Internetseite der Beklagten mitgeteilt, auf der die über einen individuellen Nutzer gespeicherten Daten eingesehen werden können. Die Auskunftserteilung mittels Fernzugriffs auf ein elektronisches Auskunftssystem des Datenverantwortlichen genügt den an die Auskunftserteilung zu stellenden formellen Anforderungen. Ferner hat die Beklagte hinreichend deutlich gemacht, dass sie zur Beantwortung von Fragen betreffend die Verarbeitungstätigkeit Dritter nicht imstande ist. Soweit der Kläger weitergehend Auskunft darüber verlangt, welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des CIT erlangt werden konnten, steht seinem Anspruch § 275 Abs. 1 BGB entgegen. Die Voraussetzungen einer Unmöglichkeit und des deshalb bestehenden Leistungsverweigerungsrechts sind von dem Schuldner darzulegen und zu beweisen, der das Recht zur Leistungsverweigerung in Anspruch nimmt. Die Beklagte hat sich bzgl. der Empfänger darauf berufen, dass ihr diese nicht bekannt seien. Aus dem Umstand, dass die Beklagte gegen Scraper vorgeht, lässt sich zudem nicht schließen, dass der Beklagten technische und organisatorische Maßnahmen zur Verfügung standen, um die Dritten, welche persönliche Daten des Klägers abgegriffen haben, zu ermitteln. Es kann darüber hinaus hinsichtlich der eidesstattlichen Versicherung in Bezug auf eine Negativauskunft dahinstehen, ob der Anspruch auf eidesstattliche Versicherung einer Auskunft nach §§ 259 Abs. 2, 260 Abs. 2 BGB überhaupt auf die Auskunft nach Art. 15 DSGVO Anwendung findet, da die Voraussetzungen des Anspruches nicht vorliegen. Das Gericht verweist diesbezüglich auf die Ausführungen des LG Mannheim (Urt. v. 15.3.2024 – 1 O 99/23, GRUR-RS 2024, 5296 Rn. 121, 122). Damit der Anspruch besteht, müsste Grund zu der Annahme bestehen, dass die Auskunft nicht mit der erforderlichen Sorgfalt erteilt worden wäre. Ein solcher Grund ist hier nicht ersichtlich. Die Beklagte hat ausgeführt, dass ihr die Rohdaten der Scraping-Vorfälle nicht vorliegen würden. Es ist nachvollziehbar, dass die Beklagte nicht alle Ereignisse innerhalb ihres IT-Systems protokolliert, da dies datenschutzrechtliche Probleme hervorrufen kann (vgl. LG Mannheim, Urt. v. 15.3.2024 – 1 O 99/23, GRUR-RS 2024, 5296 Rn. 121, 122). Es ist kein konkreter Anhaltspunkt dafür ersichtlich, dass die Beklagte entgegen ihrer Auskunft doch über Rohdaten zu den einzelnen Ãœbertragungen verfügt. Die Behauptung des Klägers, die Beklagte verfüge über weitere Informationen über den Scraping-Sachverhalt, kann als „ins Blaue hinein“ aufgestellt angesehen werden und gibt keinen Grund zu der Annahme, dass die Auskunft nicht mit der erforderlichen Sorgfalt erteilt worden wäre (LG Mannheim, Urt. v. 15.3.2024 – 1 O 99/23, GRUR-RS 2024, 5296 Rn. 121, 122).
Randnummer26
Dem Kläger steht ein Anspruch auf Freistellung von den vorgerichtlichen Anwaltskosten zu, § 280 BGB, jedoch nur in Höhe von 90,96 € auf Basis eines Streitwertes der Stufe von bis 500,00 €.
Randnummer27
Der Zinsanspruch in Höhe von 5 Prozentpunkten über dem Basiszinssatz auf die Hauptforderung und auf die Anwaltskosten ergibt sich aus §§ 291, 288 Abs. 1 BGB.
Randnummer28
III. Die Kostenentscheidung beruht auf § 92 Abs. 2 Nr. 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit auf §§ 708 Nr. 11, 711 ZPO.
Die fristlose Kündigung einer juristischen Direktorin durch den Rundfunksender RBB ist wirksam. Die Direktorin hat gegen die sich aus ihrer Funktion ergebenden Pflichten verstoßen, indem sie Warn- und Hinweispflichten gegenüber der vormaligen Intendantin im Hinblick auf rechtliche Risiken bei Vertragsgestaltungen nicht erwähnte. Die Pflichtverletzungen wiegen derart schwer, dass eine vorherige Abmahnung entbehrlich gewesen ist.
Die Zusammensetzung eines Betriebsrats verstößt gegen gesetzliche Vorgaben zum Minderheitenschutz im folgenden Fall: Das Betriebsverfassungsgesetz nebst Wahlordnung kann nicht dahingehend ausgelegt werden, dass nur das „dritte Geschlecht“ davon profitiert, das im Verhältnis von Frauen und Männern in der Minderheit befindliche „dritte Geschlecht“ hingegen gar nicht mit Mindestsitzen berücksichtigt wird.
Das LAG Düsseldorf hat entschieden, dass nach dem Ende des Steinkohlenbergbaus ehemalige Bergleute keinen Arbeitgeberzuschuss zum Austausch der Kohleöfen erhalten.
Das LAG Düsseldorf hat über die Berufung eines Arbeitnehmers gegen das Urteil des Arbeitsgerichts Solingen, Urteil vom 15.03.2024 – 
