DSGVO: Immaterieller Schadensersatz infolge von Sorge vor Missbrauch von Daten?
LG Gießen v. 3.11.2022 - 5 O 195/22
Der Sachverhalt:
Der Kläger hatte im Rahmen einer Registrierung seinen Vornamen, Nachnamen, sein Geburtsdatum und Geschlecht angegeben. Die Mitteilung einer Handynummer war fakultativ, gleichwohl hatte der Kläger auch diese angegeben. Auf der Registrierungsseite fand sich noch folgender Passus: "Indem du auf Registrieren klickst, ... stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen". Für die weiteren Einzelheiten wurde auf die Registrierungsabbildung Bezug genommen.
In der Zeit von Januar 2018 bis September 2019 sammelten Dritte unter Nutzung automatisierter Verfahren eine Vielzahl der auf der Plattform der Beklagten verfügbaren öffentlichen Informationen (sog. Scraping). Darüber hinaus erstellten die Scraper Listen mit möglichen Telefonnummern und luden diese in den Kontakt-Importer der Plattform hoch, um festzustellen, ob die hochgeladenen Telefonnummern mit einem Konto eines Nutzers verbunden sind. Der Kontakt-Importer gab, sofern eine der hochgeladenen Telefonnummern mit dem Konto eines Nutzers, der seine Telefonnummer bereitgestellt und die Standard-Suchbarkeits-Einstellungen nicht geändert hatte, verknüpft war, diese Information, also den Umstand der Verknüpfung von Telefonnummer und Konto, an die Scraper. Die Scraper fügten sodann den öffentlich zugänglichen Informationen aus dem betreffenden Profil des Nutzers die mit dem Konto verknüpfte Telefonnummer hinzu.
Im April 2021 wurden die gescrapten Datensätze von über 500 Mio. Nutzern sowie die mit diesen Datensätzen verknüpften Telefonnummern frei zum Download bereitgestellt. Hierzu gehörten auch die immer öffentlich zugänglichen Informationen des Profils des Klägers und die mit seinem Konto verknüpfte Telefonnummer. Der Kläger verlangte daraufhin Auskunft über die dem Kläger bei der Plattform der Beklagten betreffenden Daten. Im Juli 2022 übermittelten die Prozessbevollmächtigten der Beklagten dem Kläger eine dezidierte Anleitung zur Einsichtnahme in seine bei der Plattform der Beklagten hinterlegten Informationen und deren Verwendung.
Der Kläger behauptete, die Beklagte habe keinerlei Sicherheitsvorkehrungen getroffen, um ein Abgreifen seiner Daten zu verhindern. Dass eine automatisierte Massenabfrage möglich war, stelle eine Sicherheitslücke dar, für die die Beklagte einzustehen habe. Er habe einen erheblichen Kontrollverlust über seine Daten erlitten und leide unter großem Unwohlsein und Sorgen, da er einen Missbrauch befürchte.
Das LG hat die u.a. auf immateriellen Schadensersatz i.H.v. mind. 1.000 € gerichtete Klage abgewiesen.
Die Gründe:
Dem Kläger steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DSGVO zu. Diesbezüglich ist es dem Kläger nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen.
Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden "erlitten" werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DSGVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig.
Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kläger nicht hinreichend dargetan. Er hat zwar im Rahmen der Klageschrift ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte. Der Anordnung zum persönlichen Erscheinen (zur Sachverhaltsaufklärung) war er jedoch nicht nachgekommen, was das Gericht frei zu würdigen hatte.
Letztlich konnte die Kammer nicht mit hinreichender Wahrscheinlichkeit davonausgehen, dass der Kläger unter den beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen sprach bereits der Umstand, dass es sich bei den "gescrapten" Daten des Klägers mit - Ausnahme der Mobilfunknummer - um Daten handelt, die immer (!) öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich zu sind. Auf diesen Umstand weist die Beklagte ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar war, weshalb eine "weitere Veröffentlichung" dieser Daten, bei dem Kläger zu einem unguten Gefühl geführt haben sollte.
Erhebliche Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand des Klägers ergaben sich zudem aus dem Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte, mithin für die Registrierung nicht erforderlich war. Dass der Kläger diese gleichwohl trotzdem angegeben hatte, sprach eher dafür, dass er kein besonderes Interesse daran hatte, die Möglichkeit einer Verbreitung seiner Mobilfunknummer zu kontrollieren. Somit kam es auf die Frage, ob und inwieweit die Beklagte gegen die DSGVO verstoßen hat, nicht an.
Mehr zum Thema:
Aufsatz:
Rechtsprechungslinien zum Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO
Michael Weber, CR 2022, 503
Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht. Jetzt mit den Inhalten der aktuellen Neuauflage von Moos, Datenschutz und Datennutzung. Mit über 50 topaktuellen praxiserprobten Mustern. 4 Wochen gratis nutzen!
LaReDa Hessen
Der Kläger hatte im Rahmen einer Registrierung seinen Vornamen, Nachnamen, sein Geburtsdatum und Geschlecht angegeben. Die Mitteilung einer Handynummer war fakultativ, gleichwohl hatte der Kläger auch diese angegeben. Auf der Registrierungsseite fand sich noch folgender Passus: "Indem du auf Registrieren klickst, ... stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen". Für die weiteren Einzelheiten wurde auf die Registrierungsabbildung Bezug genommen.
In der Zeit von Januar 2018 bis September 2019 sammelten Dritte unter Nutzung automatisierter Verfahren eine Vielzahl der auf der Plattform der Beklagten verfügbaren öffentlichen Informationen (sog. Scraping). Darüber hinaus erstellten die Scraper Listen mit möglichen Telefonnummern und luden diese in den Kontakt-Importer der Plattform hoch, um festzustellen, ob die hochgeladenen Telefonnummern mit einem Konto eines Nutzers verbunden sind. Der Kontakt-Importer gab, sofern eine der hochgeladenen Telefonnummern mit dem Konto eines Nutzers, der seine Telefonnummer bereitgestellt und die Standard-Suchbarkeits-Einstellungen nicht geändert hatte, verknüpft war, diese Information, also den Umstand der Verknüpfung von Telefonnummer und Konto, an die Scraper. Die Scraper fügten sodann den öffentlich zugänglichen Informationen aus dem betreffenden Profil des Nutzers die mit dem Konto verknüpfte Telefonnummer hinzu.
Im April 2021 wurden die gescrapten Datensätze von über 500 Mio. Nutzern sowie die mit diesen Datensätzen verknüpften Telefonnummern frei zum Download bereitgestellt. Hierzu gehörten auch die immer öffentlich zugänglichen Informationen des Profils des Klägers und die mit seinem Konto verknüpfte Telefonnummer. Der Kläger verlangte daraufhin Auskunft über die dem Kläger bei der Plattform der Beklagten betreffenden Daten. Im Juli 2022 übermittelten die Prozessbevollmächtigten der Beklagten dem Kläger eine dezidierte Anleitung zur Einsichtnahme in seine bei der Plattform der Beklagten hinterlegten Informationen und deren Verwendung.
Der Kläger behauptete, die Beklagte habe keinerlei Sicherheitsvorkehrungen getroffen, um ein Abgreifen seiner Daten zu verhindern. Dass eine automatisierte Massenabfrage möglich war, stelle eine Sicherheitslücke dar, für die die Beklagte einzustehen habe. Er habe einen erheblichen Kontrollverlust über seine Daten erlitten und leide unter großem Unwohlsein und Sorgen, da er einen Missbrauch befürchte.
Das LG hat die u.a. auf immateriellen Schadensersatz i.H.v. mind. 1.000 € gerichtete Klage abgewiesen.
Die Gründe:
Dem Kläger steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DSGVO zu. Diesbezüglich ist es dem Kläger nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen.
Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden "erlitten" werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DSGVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig.
Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kläger nicht hinreichend dargetan. Er hat zwar im Rahmen der Klageschrift ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte. Der Anordnung zum persönlichen Erscheinen (zur Sachverhaltsaufklärung) war er jedoch nicht nachgekommen, was das Gericht frei zu würdigen hatte.
Letztlich konnte die Kammer nicht mit hinreichender Wahrscheinlichkeit davonausgehen, dass der Kläger unter den beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen sprach bereits der Umstand, dass es sich bei den "gescrapten" Daten des Klägers mit - Ausnahme der Mobilfunknummer - um Daten handelt, die immer (!) öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich zu sind. Auf diesen Umstand weist die Beklagte ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar war, weshalb eine "weitere Veröffentlichung" dieser Daten, bei dem Kläger zu einem unguten Gefühl geführt haben sollte.
Erhebliche Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand des Klägers ergaben sich zudem aus dem Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte, mithin für die Registrierung nicht erforderlich war. Dass der Kläger diese gleichwohl trotzdem angegeben hatte, sprach eher dafür, dass er kein besonderes Interesse daran hatte, die Möglichkeit einer Verbreitung seiner Mobilfunknummer zu kontrollieren. Somit kam es auf die Frage, ob und inwieweit die Beklagte gegen die DSGVO verstoßen hat, nicht an.
Aufsatz:
Rechtsprechungslinien zum Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO
Michael Weber, CR 2022, 503
Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht. Jetzt mit den Inhalten der aktuellen Neuauflage von Moos, Datenschutz und Datennutzung. Mit über 50 topaktuellen praxiserprobten Mustern. 4 Wochen gratis nutzen!