Facebook-Datenleck: Kein Schadensersatz wegen Unbestimmtheit des Antrags
OLG Köln v. 7.12.2023 - 15 U 67/23
Der Sachverhalt:
Die Parteien stritten um Schadensersatz, Unterlassungs-, Feststellungs- und Auskunftsansprüche aus einem Scraping-Vorfall auf der Plattform der Beklagten, der im April 2021 bekannt geworden war. Dabei waren Mobiltelefonnummer, Name, Facebook-ID, Geschlecht und Arbeitsstätte des Klägers erlangt und - so sein Vortrag - in einem "Hacker-Forum" veröffentlicht worden, wobei es unstreitig war, dass die Telefonnummer nicht im eigentlichen Sinne "gescrapt", sondern von den Scrapern als randomisierte Nummernfolge in das sog. Contact Import Tool (CIT) eingepflegt und dann bei Auffinden des Profils des Klägers seinem Namen und den sonstigen dort vorhandenen Daten nur zugeordnet worden war.
Das LG hat der Klage teilweise, nämlich im Hinblick auf immateriellen Schadensersatz i.H.v. 250 € sowie anteiliger außergerichtlicher Anwaltskosten, stattgegeben und die Klage im Übrigen abgewiesen. Die Beklagte war der Ansicht, das LG sei zu Unrecht davon ausgegangen, dass dem Scraping-Vorfall bzw. der Nutzung ihres sozialen Netzwerkes Datenschutzverstöße zugrunde lägen. Insbesondere sei keine Verletzung von Art. 25 Abs. 2 DSGVO gegeben, weil der Nutzer die Einstellungen für seine Telefonnummer im Rahmen der Suchbarkeit unstreitig habe ändern können. Im Übrigen sei die Suchbarkeit nach der Telefonnummer für den Unternehmenszweck der Beklagten bzw. für den Zweck des von ihr betriebenen Netzwerks erforderlich und der Nutzer sei verpflichtet, sich mit den Gepflogenheiten des sozialen Netzwerkes vertraut zu machen und sich entsprechend zu verhalten.
Auf die Berufung der Beklagten hat das OLG das Urteil des LG teilweise abgeändert und die Klage insgesamt abgewiesen. Die Anschlussberufung des Klägers hat es zurückgewiesen. Allerdings wurde zur Sicherung einer einheitlichen Rechtsprechung die Revision zum BGH zugelassen.
Die Gründe:
Dem Kläger steht der geltend gemachte Schadensersatz weder aus Art. 82 Abs. 1 DSGVO noch aus einer anderen Anspruchsgrundlage zu.
Der Beklagten dürften zwar Verstöße gegen Art. 5 Abs. 1 lit. b), 25 Abs. 2, 32 Abs. 1 DSGVO vorzuwerfen sein, weil sie keine geeigneten technischen und organisatorischen Maßnahmen getroffen hatte, die sicherstellen konnten, dass durch die von ihr gewählten Voreinstellungen im Rahmen der Suchbarkeit des Profils mithilfe der Telefonnummer und das Zur-Verfügung-Stellen des CIT nur solche personenbezogenen Daten des Klägers verarbeitet wurden, die für den jeweiligen bestimmten Verarbeitungszweck erforderlich waren. Weiter dürfte durch die unterlassene bzw. verspätete Meldung des Vorfalls gegenüber dem Kläger und der irischen Datenschutzbehörde auch ein Verstoß gegen Art. 33 Abs. 1 bzw. Art. 34 Abs. 1 DSGVO vorliegen. Ob und welche Verstöße der Beklagten gegen die DSGVO vorzuwerfen sein könnten, konnte Stelle allerdings offen bleiben, denn es war aus prozessualen Gründen davon auszugehen, dass dem Kläger jedenfalls kein immaterieller Schaden durch diese - insofern zu seinen Gunsten als vorliegend unterstellten - Datenschutzverstöße der Beklagten entstanden waren.
Entgegen der Auffassung des OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23) muss die Unbestimmtheit des Antrags nicht etwa deshalb hingenommen werden, weil dem Kläger eine exakte Beschreibung der Sicherheitsmaßnahmen auf der Plattform der Beklagten nicht möglich war und ihm andernfalls kein wirksamer Rechtsschutz gewährt würde. Der Kläger hätte ggf. eine Unterlassung der konkret durch die Beklagte begangenen Verletzung verlangen können, wenn man etwa aus Art. 17 DSGVO einen Unterlassungsanspruch ableiten bzw. einen solchen über §§ 280, 241 Abs. 2 BGB konstruieren wollte und man dann aus dem (unterstellten) Verstoß gegen die DSGVO bzw. die damit korrespondierenden Pflichten aus § 241 Abs. 2 BGB eine tatsächliche Vermutung der Wiederholungsgefahr hätte ableiten können. In diesem Fall wäre durch eine Bezugnahme auf die konkrete Verletzungsform und deren Beschreibung in der Klagebegründung deutlich geworden, worauf konkret das Rechtsschutzziel des Klägers gerichtet ist und welches Verhalten von der Beklagten in Zukunft verlangt wird.
Auf diese erfolgte Verletzung, den unkontrollierten Zugriff auf das nicht hinreichend abgesicherte CIT unter Verwendung einer Masse automatisch generierter Ziffernfolgen i.V.m. den Voreinstellungen zur Suchbarkeit, wurde der Antrag jedoch nicht gestützt (§ 308 Abs. 1 ZPO); vielmehr war es nach dem eigenen Vortrag des Klägers so, dass er befürchtete, Dritte könnten trotz der technischen Maßnahmen der Beklagten (Veränderung der Suchmöglichkeiten im oben beschriebenen Umfang) auch künftig neue, letztlich aber andersartige Wege finden, um auf Daten der Nutzer zuzugreifen. Das war aber zu unbestimmt, zumal man damit eine allgemeine "Gesetzes- und Vertragstreue-Pflicht" bei jeder einmaligen konkreten Rechtsverletzung für die Zukunft titulieren würde, womit nichts gewonnen wäre. Selbst wenn man dies anders sehen wollte, würde zudem für derart unbestimmte, künftige, anderweitige DSGVO-Verstöße der Beklagten jedenfalls auch eine Erstbegehungsgefahr fehlten.
Der Senat weicht somit von der Entscheidung des OLG Stuttgart (s.o.) ab, was angesichts der Vielzahl an anhängigen Rechtsstreiten zu demselben Sachverhalt und mit identischem Vortrag der Kläger künftig weiterhin auftreten wird.
Mehr zum Thema:
Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Ihr Vorteil: Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht (DSGVO/BDSG). Jetzt mit Top-Inhalten zum Datenschutzrecht aus dem C.F. Müller Verlag. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
Beratermodul Zeitschriften Wirtschaftsrecht:
Jetzt neu: Führende Zeitschriften zum Wirtschaftsrecht, Aktienrecht, Gesellschaftsrecht und Versicherungsrecht stehen hier zur Online-Recherche bereit. Inklusive Selbststudium nach § 15 FAO bei ausgewählten Zeitschriften (GmbHR, ZIP, VersR). Wann immer es zeitlich passt: Für Fachanwälte bietet das Beratermodul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!
Justiz NRW
Die Parteien stritten um Schadensersatz, Unterlassungs-, Feststellungs- und Auskunftsansprüche aus einem Scraping-Vorfall auf der Plattform der Beklagten, der im April 2021 bekannt geworden war. Dabei waren Mobiltelefonnummer, Name, Facebook-ID, Geschlecht und Arbeitsstätte des Klägers erlangt und - so sein Vortrag - in einem "Hacker-Forum" veröffentlicht worden, wobei es unstreitig war, dass die Telefonnummer nicht im eigentlichen Sinne "gescrapt", sondern von den Scrapern als randomisierte Nummernfolge in das sog. Contact Import Tool (CIT) eingepflegt und dann bei Auffinden des Profils des Klägers seinem Namen und den sonstigen dort vorhandenen Daten nur zugeordnet worden war.
Das LG hat der Klage teilweise, nämlich im Hinblick auf immateriellen Schadensersatz i.H.v. 250 € sowie anteiliger außergerichtlicher Anwaltskosten, stattgegeben und die Klage im Übrigen abgewiesen. Die Beklagte war der Ansicht, das LG sei zu Unrecht davon ausgegangen, dass dem Scraping-Vorfall bzw. der Nutzung ihres sozialen Netzwerkes Datenschutzverstöße zugrunde lägen. Insbesondere sei keine Verletzung von Art. 25 Abs. 2 DSGVO gegeben, weil der Nutzer die Einstellungen für seine Telefonnummer im Rahmen der Suchbarkeit unstreitig habe ändern können. Im Übrigen sei die Suchbarkeit nach der Telefonnummer für den Unternehmenszweck der Beklagten bzw. für den Zweck des von ihr betriebenen Netzwerks erforderlich und der Nutzer sei verpflichtet, sich mit den Gepflogenheiten des sozialen Netzwerkes vertraut zu machen und sich entsprechend zu verhalten.
Auf die Berufung der Beklagten hat das OLG das Urteil des LG teilweise abgeändert und die Klage insgesamt abgewiesen. Die Anschlussberufung des Klägers hat es zurückgewiesen. Allerdings wurde zur Sicherung einer einheitlichen Rechtsprechung die Revision zum BGH zugelassen.
Die Gründe:
Dem Kläger steht der geltend gemachte Schadensersatz weder aus Art. 82 Abs. 1 DSGVO noch aus einer anderen Anspruchsgrundlage zu.
Der Beklagten dürften zwar Verstöße gegen Art. 5 Abs. 1 lit. b), 25 Abs. 2, 32 Abs. 1 DSGVO vorzuwerfen sein, weil sie keine geeigneten technischen und organisatorischen Maßnahmen getroffen hatte, die sicherstellen konnten, dass durch die von ihr gewählten Voreinstellungen im Rahmen der Suchbarkeit des Profils mithilfe der Telefonnummer und das Zur-Verfügung-Stellen des CIT nur solche personenbezogenen Daten des Klägers verarbeitet wurden, die für den jeweiligen bestimmten Verarbeitungszweck erforderlich waren. Weiter dürfte durch die unterlassene bzw. verspätete Meldung des Vorfalls gegenüber dem Kläger und der irischen Datenschutzbehörde auch ein Verstoß gegen Art. 33 Abs. 1 bzw. Art. 34 Abs. 1 DSGVO vorliegen. Ob und welche Verstöße der Beklagten gegen die DSGVO vorzuwerfen sein könnten, konnte Stelle allerdings offen bleiben, denn es war aus prozessualen Gründen davon auszugehen, dass dem Kläger jedenfalls kein immaterieller Schaden durch diese - insofern zu seinen Gunsten als vorliegend unterstellten - Datenschutzverstöße der Beklagten entstanden waren.
Entgegen der Auffassung des OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23) muss die Unbestimmtheit des Antrags nicht etwa deshalb hingenommen werden, weil dem Kläger eine exakte Beschreibung der Sicherheitsmaßnahmen auf der Plattform der Beklagten nicht möglich war und ihm andernfalls kein wirksamer Rechtsschutz gewährt würde. Der Kläger hätte ggf. eine Unterlassung der konkret durch die Beklagte begangenen Verletzung verlangen können, wenn man etwa aus Art. 17 DSGVO einen Unterlassungsanspruch ableiten bzw. einen solchen über §§ 280, 241 Abs. 2 BGB konstruieren wollte und man dann aus dem (unterstellten) Verstoß gegen die DSGVO bzw. die damit korrespondierenden Pflichten aus § 241 Abs. 2 BGB eine tatsächliche Vermutung der Wiederholungsgefahr hätte ableiten können. In diesem Fall wäre durch eine Bezugnahme auf die konkrete Verletzungsform und deren Beschreibung in der Klagebegründung deutlich geworden, worauf konkret das Rechtsschutzziel des Klägers gerichtet ist und welches Verhalten von der Beklagten in Zukunft verlangt wird.
Auf diese erfolgte Verletzung, den unkontrollierten Zugriff auf das nicht hinreichend abgesicherte CIT unter Verwendung einer Masse automatisch generierter Ziffernfolgen i.V.m. den Voreinstellungen zur Suchbarkeit, wurde der Antrag jedoch nicht gestützt (§ 308 Abs. 1 ZPO); vielmehr war es nach dem eigenen Vortrag des Klägers so, dass er befürchtete, Dritte könnten trotz der technischen Maßnahmen der Beklagten (Veränderung der Suchmöglichkeiten im oben beschriebenen Umfang) auch künftig neue, letztlich aber andersartige Wege finden, um auf Daten der Nutzer zuzugreifen. Das war aber zu unbestimmt, zumal man damit eine allgemeine "Gesetzes- und Vertragstreue-Pflicht" bei jeder einmaligen konkreten Rechtsverletzung für die Zukunft titulieren würde, womit nichts gewonnen wäre. Selbst wenn man dies anders sehen wollte, würde zudem für derart unbestimmte, künftige, anderweitige DSGVO-Verstöße der Beklagten jedenfalls auch eine Erstbegehungsgefahr fehlten.
Der Senat weicht somit von der Entscheidung des OLG Stuttgart (s.o.) ab, was angesichts der Vielzahl an anhängigen Rechtsstreiten zu demselben Sachverhalt und mit identischem Vortrag der Kläger künftig weiterhin auftreten wird.
Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Ihr Vorteil: Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht (DSGVO/BDSG). Jetzt mit Top-Inhalten zum Datenschutzrecht aus dem C.F. Müller Verlag. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
Beratermodul Zeitschriften Wirtschaftsrecht:
Jetzt neu: Führende Zeitschriften zum Wirtschaftsrecht, Aktienrecht, Gesellschaftsrecht und Versicherungsrecht stehen hier zur Online-Recherche bereit. Inklusive Selbststudium nach § 15 FAO bei ausgewählten Zeitschriften (GmbHR, ZIP, VersR). Wann immer es zeitlich passt: Für Fachanwälte bietet das Beratermodul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!