4 O 278/22

1. Die Klage wird abgewiesen. 2. Die Kosten des Rechtsstreits hat der Kläger zu tragen. 3. Das Urteil ist gegen Sicherheitsleistung i.H.v. 110% des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar. Der Kläger macht Ansprüche wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung (DSGVO) geltend. Er ist Nutzer der -Plattform; die Beklagte ist Anbieterin der selbigen auf dem Gebiet der Europäischen Union. Im Rahmen der Registrierung gab der Kläger seinen Vornamen, Nachnamen, Handynummer, Geburtsdatum und Geschlecht an. Auf der Registrierungsseite fand sich folgender Passus: „Indem du auf Registrieren klickst, … stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen“. Für die weiteren Einzelheiten wird auf die Registrierungsabbildung (Bl. 6 Rs. d.A.) Bezug genommen. Die Datenrichtlinie enthält u.a. Angaben dazu, welche der vom Nutzer erteilten Informationen immer öffentlich zugänglich sind - nämlich Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID - und die Angabe, dass öffentlich zugängliche Informationen jeder, also auch Personen von außerhalb der Plattform der Beklagten, sehen kann. Die Beklagte lieferte den Nutzern ihrer Plattform im relevanten Zeitraum Erklärungen, was öffentliche Informationen sind und welche Informationen öffentlich sind, wie der Nutzer festlegen kann, wer die von ihm über die öffentlichen Informationen hinaus bereitgestellten Informationen sehen kann (sog. Zielgruppenauswahl) und wer ihn anhand seiner E-Mail-Adresse oder seiner Telefonnummer, sofern er E-Mail-Adresse bzw. Telefonnummer auf der Plattform bereitgestellt hat, finden kann (sog. Suchbarkeits-Einstellungen). Traf der Nutzer keine Zielgruppenauswahl, richtete sich die Zugänglichkeit seiner über die öffentlichen Informationen hinausgehenden Informationen nach der Standardeinstellung, wonach „Freunde des Nutzers“ die weiteren Informationen einsehen konnten. Passte der Nutzer die Suchbarkeits-Einstellungen nicht an, sah die Standardeinstellung vor, dass alle Personen, die über die E-Mail-Adresse oder die Telefonnummer des Nutzers verfügten, das Profil des Nutzers, sofern dieser E-Mail-Adresse bzw. Telefonnummer bereitgestellt hatte, finden konnten. Der Kläger hatte zum Zeitpunkt des Scraping-Vorfalles bei den Suchbarkeitseinstellungen keine Änderung vorgenommen, sodass die Standardeinstellung aktiv war. In der Zeit von Januar 2018 bis September 2019 sammelten Dritte unter Nutzung automatisierter Verfahren eine Vielzahl der auf der Plattform der Beklagten verfügbaren öffentlichen Informationen (sog. Scraping). Darüber hinaus erstellten die Scraper Listen mit möglichen Telefonnummern und luden diese in den Kontakt-Importer der Plattform hoch, um festzustellen, ob die hochgeladenen Telefonnummern mit einem Konto eines Nutzers verbunden sind. Der Kontakt-Importer gab, sofern eine der hochgeladenen Telefonnummern mit dem Konto eines Nutzers, der seine Telefonnummer bereitgestellt und die Standard-Suchbarkeits-Einstellungen nicht geändert hatte, verknüpft war, diese Information, also den Umstand der Verknüpfung von Telefonnummer und Konto, an die Scraper. Die Scraper fügten sodann den öffentlich zugänglichen Informationen aus dem betreffenden Profil des Nutzers die mit dem Konto verknüpfte Telefonnummer hinzu. Im April 2021 wurden die gescrapten Datensätze von rund 533 Mio. Nutzern sowie die mit diesen Datensätzen verknüpften Telefonnummern frei zum Download bereitgestellt. Hierzu gehörten auch die immer öffentlich zugänglichen Informationen des Profils des Klägers und die mit seinem Konto verknüpfte Telefonnummer. Der Kläger verlangte über seine Prozessbevollmächtigten zunächst Auskunft über die dem Kläger bei der Plattform der Beklagten betreffenden Daten. Mit Schreiben vom 18.07.2022 übermittelten die Prozessbevollmächtigten der Beklagten dem Prozessbevollmächtigten des Klägers eine dezidierte Anleitung zur Einsichtnahme in seine bei der Plattform der Beklagten hinterlegten Informationen und deren Verwendung. Für die diesbezüglichen Einzelheiten wird auf die Anlage KGR 5 zur Klageschrift vom 24.08.2022 (= Bl. 78 ff. d.A.) Bezug genommen. Der Kläger behauptet, die Beklagte habe keinerlei Sicherheitsvorkehrungen getroffen, um ein Abgreifen seiner Daten zu verhindern. Auch habe man keine Maßnahmen getroffen, die automatisierten Nummernabfragen z.B. mittels Sicherheitscaptcha zu verhindern. Dass eine automatisierte Massenabfrage möglich war, stelle eine Sicherheitslücke dar, für die die Beklagte einzustehen habe. Es sei für einen Nutzer aufgrund des verschachtelten Aufbaus des -Auftritts und sich zum Teil widersprechender Informationen nicht so einfach möglich, zu erkennen, dass bei einer Angabe der Handynummer - wie vom Kläger vorgenommen - jeder über eine Eingabe dieser Nummer als Suchkriterium auf die öffentlich einsehbaren Angaben des Nutzers auf seiner -Seite gelangen könne. Hierfür habe der Kläger keine wirksame Einwilligung erteilt. Der Kläger habe einen erheblichen Kontrollverlust über seine Daten erlitten. Er leide unter großem Unwohlsein und Sorgen, da er einen Missbrauch befürchte. Der Kläger beantragt, 1. die Beklagte zu verurteilen, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Telefonnummer sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen; 2. festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden; 3. die Beklagte zu verurteilen, an die Klägerin für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DS-GVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen; 4. die Beklagte zu verurteilen, der Klägerseite Auskunft über die die Klägerseite betreffenden weiteren personenbezogenen Daten zu erteilen, die durch Unbefugte erlangt werden konnten, namentlich welche Daten außer der Telefonnummer der Klägerseite durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch „Web Scraping“, die Anwendung des Kontaktimporttools oder auf andere Weise unbefugt erlangt werden konnten; 5. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, wie geschehen anlässlich des sogenannten -Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand; 6. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, ohne Einholung einer Einwilligung oder Erfüllung sonstiger gesetzlicher Erlaubnistatbestände zu verarbeiten; 7. die Beklagte zu verurteilen, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 973,66 EUR zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz zu zahlen. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte meint, das Scraping stelle keinen Datenschutzverstoß dar. Es fehle an einer Verletzung der Sicherheit, da lediglich öffentlich zugängliche Profilinformationen des Klägers abgerufen und auch keine spezifischen Sicherheitsmaßnahmen oder Zugriffsberechtigungen umgangen oder überwunden worden seien. Eine unbefugte Offenlegung oder Zugänglichmachung von klägerischen Daten sei nicht gegeben. Der Beklagten könne zudem keine Sicherheitslücke zur Last gelegt werden, da die hergestellte Verknüpfung zwischen der Telefonnummer des Klägers und seinem Nutzerkonto lediglich auf die seinerzeitige Suchbarkeitseinstellung des Klägers zurückzuführen sei. Die Beklagte behauptet zudem, dass sie nicht imstande sei, die Empfänger der gescrapten Daten mitzuteilen. Im Übrigen wird auf den gesamten Akteninhalt, insbesondere auf die Schriftsätze der Parteien nebst Anlagen sowie das Protokoll der mündlichen Verhandlung vom 13.12.2022 Bezug genommen. Entscheidungsgründe: I. Die Klage ist zulässig. Der Klageantrag zu 1. ist - entgegen der Ansicht der Beklagten - hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Grundsätzlich ist ein Klageantrag hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des (eventuellen teilweisen) Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird. Der Klageantrag ist der Auslegung zugänglich, wobei dafür auch die Klagebegründung heranzuziehen ist (vgl. Zöller/Greger, ZPO, 33. Aufl. (2020), § 253 Rn. 13 m.w.N.). Aus der Klagebegründung ergibt sich, dass der Zahlungsantrag sich auf einen zusammenhängenden, wenngleich über einen längeren Zeitraum erstreckenden, aber in sich abgeschlossenen Lebenssachverhalt stützt. Von der Anmeldung des Klägers auf der Plattform der Beklagten bis zu dem Abgriff einiger persönlicher Daten des Klägers (Scraping) bzw. der möglicherweise nicht ausreichenden Benachrichtigung der betroffenen Nutzer. Entsprechend ist auch der Feststellungsantrag zu Ziff. 2. hinreichend bestimmt. Auch der Klageantrag zu Ziffer 5. ist - entgegen der Ansicht der Beklagten - zulässig. Das Unterlassungsbegehren im Hinblick auf die Zugänglichmachung personenbezogener Daten des Klägers, insbesondere der Telefonnummer, ist hinreichend bestimmt. Schließlich bestehen auch keine Bedenken gegen die Zulässigkeit des Klageantrags zu Ziff. 6. Bei der gebotenen Berücksichtigung der Klagebegründung steht die konkrete Datenverarbeitung, auf die sich der Kläger bezieht, fest. Der Kläger vertritt die Ansicht, dass die Veröffentlichung seiner - nicht bereits auf seiner -Seite für Jedermann einsehbaren - personenbezogenen Daten, insbesondere der Telefonnummer, nicht durch eine wirksame Einwilligung gedeckt sei. II. Die Klage ist jedoch vollumfänglich unbegründet. Die Kammer macht sich die Begründung in dem Urteil des Landgerichts Gießen vom 3.11.2022 (Az. 5 O 195/22, GRUR-RS 2022, 30480) zu Eigen. Im Einzelnen gilt: 1. Es besteht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO (Klageantrag zu Ziff. 1.). Dem Kläger ist es nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (so auch OLG Frankfurt a. M. GRUR-RS 2022, 4491, Rn. 55 ff.). Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DSGVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens (vgl. auch OLG Frankfurt a. M. aaO.). Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kläger nicht hinreichend dargetan. Er hat zwar ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte. Letztlich kann die Kammer aber nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kläger unter den von ihm beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen spricht bereits der Umstand, dass es sich bei den gescrapten Daten des Klägers mit - Ausnahme der Mobilfunknummer - um Daten handelt, die immer auf der -Seite öffentlich sind. Es ist diesen Daten immanent, dass sie jedem jederzeit zugänglich zu sind. Auf diesen Umstand weist die Beklagte ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei dem Kläger zu einem unguten Gefühl geführt haben sollte. Dagegen spricht weiterhin der Umstand, dass es sich offensichtlich um eine standardisierte Klageschrift handelt, die für eine Vielzahl von betroffenen Nutzern eingereicht wird. So ist beispielsweise vorgetragen, dass sich der Kläger aufgrund des Vorfalls mit betrügerischen E-Mails auseinandersetzen müsse, obwohl die E-Mailadresse gar nicht gescrapt worden sein kann, weil der Kläger sie – unstreitig – nicht angegeben hat. Ebenso kann die Kammer keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Erhebliche Zweifel an dem in der Klageschrift vorgetragenen Gemütszustand des Klägers ergeben sich bereits daraus, dass der Kläger die Mobilfunknummer angab, ohne von den auf der Website der Beklagten - leicht auffindbar - bereitgestellten Einschränkungsmöglichkeiten bezüglich der Suchbarkeitskriterien zu machen. Der klägerische Vortrag ist nicht hinreichend substantiiert und individualisiert, um den angeblichen immateriellen Schaden nachvollziehbar erscheinen zu lassen. Es ist weder vorgetragen noch ersichtlich, welche kriminellen oder auch nur lästigen Handlungen Dritte mit der Kombination aus immer öffentlich zugänglichen Daten des -Nutzers (Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID) und der Handynummer begehen sollten. Diese Daten gehen nicht über einen bloßen „Telefonbucheintrag“ hinaus. Ein diffuses Bedrohungsgefühl vermag ohne nachvollziehbare Tatsachengrundlage keinen immateriellen Schaden zu begründen. Aufgrund der vorgenannten Ausführungen kam es auf die Frage, ob und inwieweit die Beklagte gegen die DSGVO verstoßen hat, nicht an. Insbesondere ist es insoweit nicht von Belang, dass die für die Beklagte zuständige (irische) Datenschutzbehörde - wie der Kläger in der Klagereplik vom 08.12.2022 (Bl. 213 d.A.) vorträgt - im November 2022 wegen des 533 Mio. Datensätze betreffenden Scrapings eine Geldbuße i.H.v. 265 Mio. EUR gegen die Beklagte verhängt hat. Obiter dicta sei Folgendes angemerkt: Wollte man – entgegen der Auffassung der Kammer – jedem einzelnen betroffenen Nutzer beispielsweise einen Schadensersatzanspruch i.H.v. von 100 EUR zuerkennen, würde dies in Summe einen Betrag i.H.v. 53.300.000.000 (in Worten: dreiundfünfzig Milliarden dreihundert Millionen Euro) bedeuten. Dies stünde außer Verhältnis zur Schwere eines möglichen Datenschutzverstoßes der Beklagten. Im Ergebnis liefe dies auf einen Strafschadensersatz (punitive damages) hinaus, der jedenfalls dem deutschen Zivilrecht fremd ist. 2. Auch der Klageantrag zu Ziffer 2. ist unbegründet. Es ist weder vorgetragen noch ersichtlich, dass dem Kläger aufgrund der von den Scrapern destillierten Kombination aus immer öffentlich zugänglichen Daten (Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID) und der Handynummer irgendwelche materiellen künftigen Schäden überhaupt entstehen können. 3. Der Kläger dringt auch mit dem Klageantrag zu 3. nicht durch. Insoweit ist bereits ein Verstoß der Beklagten gegen Art. 15 DSGVO nicht ersichtlich. Mit Schreiben vom 18.07.2022 hat die Beklagte dem Kläger Auskunft über die von ihr verarbeiteten Daten in angemessener Weise erteilt. Welche Daten von dem Kläger gescrapt worden sind, ist dem Kläger bereits bekannt, sodass auch diesbezüglich keine weitergehende Auskunftspflicht bestehen kann. Soweit der Kläger ferner Auskunft über die Empfänger der Scraping-Daten verlangt, scheitert ein Anspruch an der erteilten Auskunft der Beklagten, sie sei zu weiteren Informationen nicht imstande. Zudem ist - entsprechend den obenstehenden Ausführungen zum Klageantrag zu Ziff. 1. - auch ein immaterieller Schaden des Klägers nicht nachvollziehbar dargetan. 4. Die Begründetheit der Klageforderung zu 4. scheitert daran, dass die Beklagte dem Kläger mit Schreiben vom 18.07.2022 in angemessener Weise Auskunft über die von ihr verarbeiteten Daten erteilt hat. Es ist nicht ersichtlich, dass neben den immer öffentlich einsehbaren Daten und der Handynummer des Klägers weitere Daten von dem Scraping-Vorgang betroffen sein können. Der Kläger trägt nicht vor, dass er die Suchbarkeitsfunktion um andere Kriterien als die Handynummer erweitert hätte. Es ist aber nicht ersichtlich, dass Daten gescrapt wurden, die nicht öffentlich einsehbar und/oder von den Suchbarkeitskriterien umfasst waren. Dann würde es sich um einen Hacker-Angriff handeln, der weder ersichtlich ist noch vom Kläger vorgetragen wird. 5. Der Kläger hat auch keinen Unterlassungsanspruch gegen die Beklagte gemäß §§ 1004 analog, 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1 sowie Art. 17 DSGVO (Klageantrag zu Ziff. 5.). Eine Zuwiderhandlung ist jedenfalls für die Zukunft nicht mehr zu befürchten. Es ist unstreitig, dass die Beklagte das Kontaktimporttool als Reaktion auf den Scraping-Sachverhalt jedenfalls insofern nicht mehr bereitstellt, als jedermann unter bloßer Eingabe einer Telefonnummer Zugriff auf das öffentlich einsehbare Profil des Nutzers erhält. Eine - grundsätzlich durch einen einmaligen Verstoß indizierte - Wiederholungsgefahr ist somit widerlegt. Zudem liegt es jederzeit in der Hand des Klägers, die Suchbarkeitskriterien in den Einstellungen zu verändern. Dass die Beklagte entgegen der von einem Nutzer getroffenen Einstellungen Telefonnummern freigibt oder anderweitig nutzt, hat der Kläger schon nicht behauptet. 6. Entsprechend den Ausführungen unter Ziff. 5. besteht auch kein Unterlassungsanspruch nach dem Klageantrag zu Ziff. 6. 7. Die Nebenforderungen (Ersatz vorgerichtlicher Rechtsanwaltskosten sowie Zinsen) teilen das Schicksal der Hauptforderungen. II. Als unterlegene Partei hat der Kläger die Kosten des Rechtsstreits zu tragen (§ 91 Abs. 1 ZPO). Die Entscheidung zur vorläufigen Vollstreckbarkeit hat ihre Grundlage in § 709 Satz 2 ZPO.