OffeneUrteileSuche
Leitsatz

VI ZR 10/24

Bundesgerichtshof, Entscheidung vom

ZivilrechtBundesgerichtECLI:DE:BGH:2024:311024BVIZR10
1mal zitiert
4Zitate
5Normen
Originalquelle anzeigen

Zitationsnetzwerk

5 Entscheidungen · 5 Normen

VolltextNur Zitat
Entscheidungsgründe
ECLI:DE:BGH:2024:311024BVIZR10.24.0 BUNDESGERICHTSHOF BESCHLUSS VI ZR 10/24 vom 31. Oktober 2024 in dem Rechtsstreit Nachschlagewerk: ja BGHZ: nein BGHR: ja JNEU: nein ZPO § 552b Zur Bestimmung eines Leitentscheidungsverfahrens gemäß § 552b ZPO in der Fassung des Gesetzes zur Einführung eines Leitentscheidungsverfah- rens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328). BGH, Beschluss vom 31. Oktober 2024 - VI ZR 10/24 - OLG Köln LG Bonn - 2 - Der VI. Zivilsenat des Bundesgerichtshofs hat am 31. Oktober 2024 durch den Vorsitzenden Richter Seiters, die Richterinnen Dr. Oehler und Müller sowie die Richter Dr. Klein und Böhm beschlossen: Das Verfahren VI ZR 10/24 wird zum Leitentscheidungsverfahren bestimmt. Gründe: I. Der Kläger macht Schadensersatz-, Feststellungs-, Unterlassungs- und Auskunftsansprüche wegen einer Verletzung der Datenschutz-Grundverordnung (DSGVO) durch die Beklagte geltend. Die Beklagte, die ihren Sitz in Irland hat, betreibt das soziale Netzwerk Facebook, bei welchem der Kläger ein Nutzerkonto unterhält. Der Kläger hatte auf dem Netzwerk persönliche Daten eingestellt. Hierzu gehörte die für die Re- gistrierung erforderliche und für alle Nutzer stets öffentlich einsehbare Angabe seines Namens, Geschlechts sowie der ihm zugewiesenen Nutzer-ID. Neben den immer einsehbaren Pflichtangaben können die Nutzer in ihrem Profil weitere Daten zu ihrer Person angeben und im von der Beklagten vorgege- benen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern ("Freunde", [auch] "Freunde von Freunden", "öffentlich") auf diese Daten zugrei- fen können. Die Beklagte stellt hierfür Privatsphäre-Einstellungen zur Verfügung, mit denen die Nutzer bestimmen können, inwieweit sie Informationen, die sie zur 1 2 3 - 3 - Verfügung stellen, öffentlich einsehbar machen möchten. Über Funktion und Be- deutung der Privatsphäre-Einstellungen informierte die Beklagte ihre Nutzer im sog. Hilfebereich des Nutzerkontos. Der Kläger hatte in diesem Zusammenhang seine Arbeitsstätte öffentlich einsehbar angegeben, die Datenschutzeinstellung betreffend die Sichtbarkeit seiner Mobiltelefonnummer jedoch so gesetzt, dass diese nur für ihn sichtbar war. Bei den Suchbarkeitseinstellungen seines Profils, bei denen unter anderem festgelegt werden konnte, wer ihn anhand seiner Tele- fonnummer finden kann, hatte der Kläger es bei der Standardvoreinstellung "alle" belassen; diesen Kreis hätte er stattdessen auch auf "Freunde von Freunden" oder "Freunde" (ab Mai 2019 außerdem: "nur ich") begrenzen können. War die Suchbarkeits-Einstellung eines Nutzers - wie beim Kläger - im Hinblick auf die Telefonnummer auf "alle" gestellt, erlaubte es die von der Be- klagten implementierte sog. Kontakt-Import-Funktion bis September 2019 jedem Facebook-Nutzer, das Profil eines anderen Nutzers mit Hilfe der von diesem hin- terlegten Telefonnummer zu finden. Hierzu konnten Nutzer Kontakte von Mobil- geräten auf Facebook hochladen, um mit Hilfe der Telefonnummern die jeweili- gen Nutzer zu finden. Dies war auch dann möglich, wenn die Zielgruppenauswahl des jeweiligen Nutzers im Hinblick auf die Telefonnummer nicht auf "öffentlich", sondern etwa - wie hier - auf "nur ich" gestellt war. Im Zeitraum von Januar 2018 bis September 2019 ordneten unbekannte Dritte durch die Eingabe randomisierter Nummernfolgen über die Kontakt-Import- Funktion des Netzwerks Telefonnummern zu Nutzerkonten zu und griffen die zu diesen Nutzern vorhandenen Daten ab (sog. Scraping). Die auf diese Weise er- langten und nunmehr mit einer Telefonnummer verknüpften Daten von ca. 533 Millionen Nutzern wurden im April 2021 im Internet öffentlich verbreitet. Hiervon waren auch persönliche Daten des Klägers (Telefonnummer in Verknüpfung mit 4 5 - 4 - den Daten seines Nutzerkontos, d.h. Nutzer-ID, Vorname, Nachname, Ge- schlecht und Arbeitsstätte) betroffen. Nach dem Vortrag des Klägers informierte die Beklagte weder die zuständige Datenschutzbehörde noch ihn selbst über den Vorfall. Der Kläger begehrt die Leistung von immateriellen Schadensersatz, weil die Beklagte in mehrfacher Hinsicht gegen die Datenschutz-Grundverordnung verstoßen und seine Daten nicht ausreichend geschützt habe. Er habe einen spürbaren Kontrollverlust über seine Daten erlitten, der zu einem massiven An- stieg von betrügerischen Kontaktversuchen geführt habe. Darüber hinaus be- gehrt er die Feststellung, dass die Beklagte verpflichtet ist, ihm in diesem Zusam- menhang alle künftigen Schäden zu ersetzen, und macht weitere Unterlassungs- und Auskunftsansprüche geltend. Mit Schreiben vom 23. August 2021 teilte die Beklagte dem Kläger mit, welche Daten sie über ihn gespeichert hat. Das Landgericht hat der Klage teilweise stattgegeben und dem Kläger aus Art. 82 Abs. 1 DSGVO Schadensersatz in Höhe von 250 € sowie einen Teil der begehrten Rechtsverfolgungskosten zugesprochen. Im Übrigen hat es die Klage abgewiesen. Auf die vom Landgericht zugelassene Berufung der Beklagten hat das Oberlandesgericht die Entscheidung des Landgerichts unter Zurückweisung der Anschlussberufung des Klägers abgeändert und die Klage insgesamt abge- wiesen. Mit seiner vom Oberlandesgericht zugelassenen Revision verfolgt der Kläger seine Ansprüche weiter. II. Die Revision wirft Rechtsfragen auf, die für eine Vielzahl anderer Verfah- ren von Bedeutung sind. Der Senat bestimmt das vorliegende Verfahren daher 6 7 8 - 5 - zum Leitentscheidungsverfahren im Sinne des § 552b ZPO in der Fassung des Gesetzes zur Einführung eines Leitentscheidungsverfahrens beim Bundesge- richtshof vom 24. Oktober 2024 (BGBl. I Nr. 328; im Folgenden: § 552b ZPO nF). 1. Die formalen Voraussetzungen zur Bestimmung des vorliegenden Ver- fahrens zum Leitentscheidungsverfahren liegen vor. Das Gesetz zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 ist nach seinem Art. 7 am Tag nach der Verkündung, mithin am 31. Oktober 2024 in Kraft getreten. Die Revisionsbegründung des Klägers wurde der Beklag- ten am 8. April 2024 zugestellt, die Revisionserwiderung der Beklagten ist am 15. Oktober 2024 eingegangen (§ 552b Satz 1 ZPO nF). Eine Anhörung der Par- teien im Rahmen der Bestimmung des Verfahrens zum Leitentscheidungsverfah- ren ist nicht erforderlich (arg e contr. § 148 Abs. 4 ZPO nF; vgl. ferner Allgayer, Stellungnahme als Sachverständiger zum [Regierungs-]Entwurf eines Gesetzes zur Einführung eines Leitentscheidungsverfahrens bei Bundesgerichtshof, BT- Rechtsausschuss vom 13. Dezember 2023, S. 4); etwas anderes würde auch die Zielsetzung des Gesetzes unterlaufen, eine zügige höchstrichterliche Klärung trotz der Rücknahme von Revisionen aus prozesstaktischen Gründen oder auf- grund eines Vergleiches zu ermöglichen (vgl. BT-Drs. 20/8762 S. 10). 2. Das Verfahren wirft die folgenden Rechtsfragen auf: a) Liegt in der Implementierung der sog. Kontakt-Import-Funktion in Ver- bindung mit der Standardvoreinstellung "alle" ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO? b) Ist der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des Betroffenen verknüpften Daten geeignet, einen im- materiellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen? Falls ja, wie wäre der Ersatz für einen solchen Schaden zu bemessen? 9 10 11 12 - 6 - c) Welche Anforderungen sind an die Substantiierung einer Schadenser- satzklage nach Art. 82 Abs. 1 DSGVO zu stellen? d) Reicht die bloße Möglichkeit des Eintritts künftiger Schäden in einem Fall wie dem vorliegenden aus, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen? e) Genügen die vom Kläger gestellten Anträge, dass die Beklagte es un- terlasse, - personenbezogene Daten der Klägerseite unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu ver- hindern, und - die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu ver- arbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen dar- über, dass die Telefonnummer auch bei Einstellung auf 'privat' noch durch Ver- wendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook- Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird, dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO? 3. Die Entscheidung dieser Rechtsfragen ist für eine Vielzahl anderer Ver- fahren von Bedeutung (§ 552b Satz 1 ZPO n.F.). Beim erkennenden Senat sind derzeit 25 weitere Revisionsverfahren zu dem Scraping-Vorfall bei der Beklagten anhängig. In den Tatsacheninstanzen sind bei unterschiedlichen Gerichten noch insgesamt mehrere tausend Verfahren anhängig (vgl. OLG Stuttgart, GRUR-RS 13 14 15 16 17 18 19 - 7 - 2023, 32883 Rn. 136: über 100 eigene und bundesweit mehr als 6.000 Parallel- verfahren; OLG Hamm, GRUR-RS 2024, 16856 Rn. 23: Vielzahl eigener Paral- lelverfahren; OLG Köln, GRUR-RS 2023, 37347 Rn. 29: Vielzahl gleichgelagerter eigener Verfahren). Seiters Oehler Müller Klein Böhm Vorinstanzen: LG Bonn, Entscheidung vom 29.03.2023 - 13 O 125/22 - OLG Köln, Entscheidung vom 07.12.2023 - 15 U 67/23 -