OLG Dresden Urteil vom 30.01.2024 - 4 U 1481/23

Leitsatz (amtlich)

1. Voreinstellungen eines sozialen Netzwerks sind nach dem Grundsatz der "Datenschutzfreundlichkeit" so auszugestalten, dass nur die Verarbeitung standardmäßig ausgeführt wird, die unbedingt erforderlich ist, um den vorgesehenen rechtmäßigen Zweck zu erreichen; eine Suchbarkeitsvoreinstellung aus "alle" steht hiermit nicht im Einklang (Festhaltung Senat, Urteile vom 5.12.2023, 4 U 709/23 und 4 U 1094/23).

2. Ein "Kontrollverlust" reicht allein für einen immateriellen Schaden im Sinne des Art. 82 DSGVO nicht aus, wenn die hierauf abzielende Befürchtung unter Berücksichtigung der Umstände des Einzelfalls nicht glaubhaft ist; für die eine solche Befürchtung tragenden Umstände, liegt die Beweislast beim Anspruchsteller.

3. Liegt der Datenschutzverstoß (hier "Scraping") bereits mehrere Jahre zurück, reicht die bloß theoretische Möglichkeit, dass es in Zukunft zu einem Schaden kommen könnte, für ein Feststellungsinteresse nicht aus. Auch ein Rechtsschutzinteresse für einen weitergehenden Unterlassungsanspruch besteht dann nicht.

Verfahrensgang

LG Chemnitz (Aktenzeichen 1 O 878/22)

Tenor

1. Auf die Berufung der Beklagten wird das Urteil des Landgerichts Chemnitz vom 28.07.2023, Az 1 O 878/22, aufgehoben und die Klage abgewiesen.

2. Die Berufung des Klägers wird zurückgewiesen.

3. Der Kläger trägt die Kosten des Rechtsstreits.

4. Das Urteil ist vorläufig vollstreckbar, bezüglich der Anträge zu 3) und 4 gegen Sicherheitsleistung in Höhe von 110 % des jeweils beizutreibenden Betrages. Der Kläger kann die Vollstreckung wegen der auf die übrigen Anträge entfallenden Kosten durch Sicherheitsleistung oder Hinterlegung in Höhe von 110 % des jeweils beizutreibenden Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in gleicher Höhe leistet.

Die Revision wird zugelassen.

Beschluss:

Der Streitwert wird für beide Instanzen auf 5.500,00 EUR festgesetzt.

Gründe

I. Der Kläger nimmt die Beklagte auf Schadensersatz, Unterlassung, Auskunft und Nebenforderungen im Zusammenhang mit einem sog. Scraping-Vorfall auf dem von der Beklagten betriebenen sozialen Netzwerk Facebook im Zeitraum zwischen Januar 2018 und September 2019 in Anspruch.

Unter www.facebook.de stellt die Beklagte dort verschiedene Dienste zur Verfügung, deren Nutzung kostenfrei ist, für die die Nutzer aber im Gegenzug ihre personenbezogenen Daten zur Verfügung stellen. Den Nutzern dient das Online-Netzwerk dazu, sich untereinander zu vernetzen, Kontakt zu "Freunden" zu halten und herzustellen sowie neue Menschen, Gruppen, Unternehmen, Organisationen usw. kennenzulernen. Geregelt ist dies in einem Nutzungsvertrag, den jeder Nutzer durch Bestätigung der Schaltfläche "Registrieren" abschließt, wobei es unumgänglich ist, zugleich den für das Portal festgelegten Allgemeinen Nutzungsbedingungen zuzustimmen und die Datenrichtlinie zur Kenntnis zu nehmen. Danach erfasst die Beklagte nutzer- und gerätebezogene Daten über Nutzeraktivitäten innerhalb und außerhalb des sozialen Netzwerks und ordnet sie den Facebook-Konten der betroffenen Nutzer zu. Mit der Registrierung verbunden ist es, dass Vorname, Nachname, Benutzer-ID, Nutzername und Geschlecht im Internet als "immer öffentliche" Nutzerinformationen sichtbar sind und auch gesucht werden können. Abhängig von der sog. Zielgruppenauswahl sind ggf. weitere Nutzerinformationen auffindbar (u. a. Telefonnummern, Wohnort, Stadt, Beziehungsstatus, Geburtstag und Email-Adresse); Voraussetzung hierfür ist, dass der Nutzer zuvor die Zielgruppenauswahl auf "öffentlich" festgelegt hat. Im Unterschied hierzu kann ein registrierter Nutzer nach der Mobilfunknummer, die ein anderer Nutzer eingegeben hat, auch dann suchen, wenn die Zielgruppenauswahl nicht auf öffentlich gestellt ist. Dies war Ausgangspunkt des streitgegenständlichen Scraping-Vorfalls.

Der Kläger registrierte sich zu einem nicht näher dargelegten Zeitpunkt auf der Facebook-Plattform und gab dabei die zwingend für die Registrierung erforderlichen und stets öffentlich einsehbaren Daten "Name, Vorname, Geschlecht und Nutzer-ID" sowie seine Telefonnummer auf der Plattform an (vgl. Bl. 33 eA LG). Die "Suchbarkeits-Einstellung" bezüglich dieser Telefonnummer war bei dem Kläger seit dem 05.07.2015 bis zumindest Ende 2022 auf "Alle" eingestellt (Anlagen B16, B17 LG eA). Wann er welche seiner Email-Adressen auf der Plattform angegeben hat, ist nicht bekannt.

Zu einem nicht mehr näher aufklärbaren Zeitraum zwischen Januar 2018 und September 2019 kam es auf dem von der Beklagten betriebenen sozialen Netzwerk zu zahlreichen Scraping Attacken, von denen mehr als 500 Millionen Nutzer weltweit betroffen waren. Bis April 2018 erfolgten diese Attacken über die Suchfunktion der Facebook-Plattform, bei der über Anfragen fiktiver Nutzer und Telefonnummern öffentlich zugängliche Nutzerinformationen gescraped wurden, sobald eine Telefonnummer einem Nutzer zugeordnet werden konnte. Nach Deaktivierung dieser Suchmöglichkeit erfolgte das Scraping über das sog. Contact-im...