OLG Dresden Urteil vom 05.12.2023 - 4 U 1094/23

Verfahrensgang

LG Chemnitz (Aktenzeichen 1 O 757/22)

Tenor

1. Auf die Berufung der Beklagten wird das Urteil des Landgerichts Chemnitz vom 16.5.2023 aufgehoben und die Klage abgewiesen.

2. Die Berufung der Klägerin wird zurückgewiesen.

3. Die Klägerin trägt die Kosten des Rechtsstreits.

4. Das Urteil ist vorläufig vollstreckbar, bezüglich der Anträge zu 3) und 4 gegen Sicherheitsleistung in Höhe von 110 % des jeweils beizutreibenden Betrages. Die Klägerin kann die Vollstreckung wegen der auf die übrigen Anträge entfallenden Kosten durch Sicherheitsleistung oder Hinterlegung in Höhe von 110 % des jeweils beizutreibenden Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in gleicher Höhe leistet.

5. Die Revision wird zugelassen.

Beschluss:

Der Streitwert wird auf 5500,- EUR festgesetzt.

Gründe

I. Die Klägerin nimmt die Beklagte auf Schadensersatz, Unterlassung, Auskunft und Nebenforderungen im Zusammenhang mit einem sog. Scraping-Vorfall auf dem von der Beklagten betriebenen sozialen Netzwerks C. im Zeitraum zwischen Januar 2018 und September 2019 in Anspruch. Unter www.c...,de stellt die Beklagte dort verschiedene Dienste zur Verfügung, deren Nutzung kostenfrei ist, für die die Nutzer aber im Gegenzug ihre personenbezogenen Daten zur Verfügung stellen. Den Nutzern dient das Online-Netzwerk dazu, sich untereinander zu vernetzen, Kontakt zu "Freunden" zu halten und herzustellen sowie neue Menschen, Gruppen, Unternehmen, Organisationen usw. kennenzulernen. Geregelt ist dies in einem Nutzungsvertrag, den jeder Nutzer durch Bestätigung der Schaltfläche "Registrieren" abschließt, wobei es unumgänglich ist, zugleich den für das Portal festgelegten Allgemeinen Nutzungsbedingungen und der Datenrichtlinie zuzustimmen. Danach erfasst die Beklagte nutzer- und gerätebezogene Daten über Nutzeraktivitäten innerhalb und außerhalb des sozialen Netzwerks und ordnet sie den C.-Konten der betroffenen Nutzer zu. Mit der Registrierung verbunden ist es, dass Vorname, Nachname, Benutzer-ID, Nutzername und Geschlecht im Internet als "immer öffentliche" Nutzerinformationen sichtbar sind und auch gesucht werden können. Abhängig von der sog. Zielgruppenauswahl sind ggf. weitere Nutzerinformationen auffindbar (u. a. Telefonnummern, Wohnort, Stadt, Beziehungsstatus, Geburtstag und Email-Adresse); Voraussetzung hierfür ist, dass der Nutzer zuvor die Zielgruppenauswahl auf "öffentlich" festgelegt hat. Im Unterschied hierzu kann ein registrierter Nutzer nach der Mobilfunknummer, die ein anderer Nutzer eingegeben hat, auch dann suchen, wenn die Zielgruppenauswahl nicht auf öffentlich gestellt ist. Dies war Ausgangspunkt des streitgegenständlichen Scraping-Vorfalls.

Die Klägerin registrierte sich Anfang 2009 auf der C.-Plattform. Dabei gab sie neben den zwingend für die Registrierung erforderlichen und stets öffentlich einsehbaren Daten "Name, Geschlecht und Nutzer-ID" auch ihre Telefonnummer an (vgl. Anlage B15, Bl. 91/92 LG eA). Die "Suchbarkeits-Einstellung" bezüglich dieser Telefonnummer war bei der Klägerin seit dem 19.03.2009 bis zumindest Ende 2022 auf "Alle" eingestellt (Bl. 93 LG eA; Bl. 229 OLG eA). Diese Einstellung hat sie erst im Anschluss an das Urteil des Landgerichts geändert.

Zu einem nicht mehr näher aufklärbaren Zeitraum zwischen Januar 2018 und September 2019 kam es auf dem von der Beklagten betriebenen sozialen Netzwerk zu zahlreichen Scraping Attacken, von denen mehr als 500 Millionen Nutzer weltweit betroffen waren. Bis April 2018 erfolgten diese Attacken über die Suchfunktion der C.-Plattform, bei der über Anfragen fiktiver Nutzer und Telefonnummern öffentlich zugängliche Nutzerinformationen gescraped wurden, sobald eine Telefonnummer einem Nutzer zugeordnet werden konnte. Nach Deaktivierung dieser Suchmöglichkeit erfolgte das Scraping über das sog. Contact-import-Tool (im folgenden CIT), das sich sowohl auf der C.-Plattform direkt als auch auf dem an diese angebundenen C.-Messenger befand. Dabei wurden künstlich generierte Telefonnummern als vermeintliche Kontakte fiktiver Nutzer hochgeladen, wodurch es in vielen Fällen gelang, die zu diesen Telefonnummern passenden konkret-individuell angezeigten Nutzer zu identifizieren ("one-to-one") und ihnen ihre öffentlichen Nutzerinformationen zuzuordnen. Das CIT) wurde daraufhin von der Beklagten deaktiviert, auf der Plattform am 10.10.2018 und auf dem Messenger am 06.09.2019 und durch die "Personen-die-du-kennen-könntest" (People-you-may-know auch: social-connection check) Funktion ersetzt, die keine one-to-one Zuordnung mehr ermöglicht, sondern den hochgeladenen Kontakten eines Nutzers nur noch eine Liste mehrerer möglicherweise in Betracht kommender Personen anzeigt.

Die Klägerin, deren Telefonnummer in der Suchbarkeits-Einstellung im Zeitraum des Scraping-Vorfalls auf "öffentlich" voreingestellt war, ist unstreitig von diesem Datenschutzvorfall betroffen. In der im April 2021 veröffentlichten Leak-Datei sind folgende Daten von ihr eingestellt, deren Aussage...