OLG Köln Urteil vom 07.12.2023 - 15 U 33/23

Tenor

Die Berufung des Klägers gegen das Urteil des Landgerichts Aachen vom 10.2.2023 (8 O 200/22) wird zurückgewiesen.

Die Kosten des Berufungsverfahrens trägt der Kläger.

Das Urteil ist gegen Sicherheitsleistung in Höhe von 110% des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.

Die Revision wird zugelassen.

Gründe

I. Die Parteien streiten um Schadensersatz, Unterlassungs-, Feststellungs- und Auskunftsansprüche aus einem Scraping-Vorfall auf der Plattform der Beklagten, der im April 2021 bekannt wurde.

Bei diesem Vorfall wurden Mobiltelefonnummer, Name, Facebook-ID, Geschlecht und Wohnort des Klägers erlangt und - so sein Vortrag - in einem "Hacker-Forum" veröffentlicht, wobei der "gescrapte" Name des Klägers ("T. F.") nicht mit seinem tatsächlichen Namen ("F. A.") übereinstimmt und es zudem unstreitig ist, dass die Telefonnummer nicht im eigentlichen Sinne "gescrapt", sondern von den Scrapern als randomisierte Nummernfolge in das sog. Contact Import Tool (CIT) eingepflegt und dann bei Auffinden des Profils des Klägers seinem Namen und den sonstigen dort vorhandenen Daten nur zugeordnet wurde. Wegen der weiteren Einzelheiten des Sach- und Streitstandes sowie der erstinstanzlichen Sachanträge wird auf den Tatbestand des angegriffenen Urteils Bezug genommen.

Das Landgericht hat die Klage abgewiesen, was der Kläger mit der Berufung angreift und seine erstinstanzlichen Anträge in vollem Umfang weiterverfolgt.

Er macht geltend, es liege ein Verstoß gegen Art. 5 Abs. 1 DSGVO vor, weil er nicht die Möglichkeit gehabt habe, in informierter Art und Weise über die Verarbeitung der ihn betreffenden Daten zu entscheiden. Angesichts der vielfach verschachtelten und mehrschichtigen Informationen auf der Plattform der Beklagten sei die erforderliche Transparenz nicht gewahrt worden. Weiter liege ein Verstoß gegen Art. 32 Abs. 1, 5 Abs. 1 lit. f) DSGVO vor, weil die Beklagte keine geeigneten technischen bzw. organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten vorgesehen hätte. Die Beweislast dafür trage nach Art. 5 Abs. 2 DSGVO die Beklagte, die selbst inzwischen anerkannt habe, dass das CIT mangelhaft ausgestaltet gewesen sei und daher weitere Sicherheitsvorkehrungen unternommen habe. Weiter habe die Beklagte gegen Art. 24, 25 DSGVO verstoßen, weil ein Nutzer davon ausgehe, dass er seine Telefonnummer lediglich im Rahmen der Zwei-Faktor-Authentifizierung hinterlege. Die durch die Beklagte gewählte Voreinstellung für die Telefonnummer in der Suchbarkeit auf "alle"/"everyone" lasse sich nicht mit dem Unternehmenszweck bzw. dem Zweck des sozialen Netzwerks rechtfertigen. Der Kläger ist der Ansicht, die Einstellung zur Suchbarkeit hätte per default auf "Freunde-Freunde" eingestellt sein müssen. Darüber hinaus stelle es einen Verstoß gegen Art. 13 Abs. 1 lit. c), 14 DSGVO dar, dass die Beklagte nicht hinreichend über den Zweck der Verwendung der Telefonnummer auch für das CIT informiert habe sowie einen Verstoß gegen Art. 33 DSGVO, weil der Scraping-Vorfall als eine "Verletzung" im Sinne von Art. 4 Nr. 12 DSGVO nicht binnen 72 Stunden der Aufsichtsbehörde gemeldet worden sei. Es sei auch keine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) vorgenommen worden. Ihrer Auskunftspflicht nach Art. 15 DSGVO habe die Beklagte nicht vollständig genügt, weil sie dem Kläger die konkreten Empfänger der Daten, nämlich die Scraper, nicht benannt und auch keine Auskunft darüber erteilt habe, wann und von wem die Telefonnummer des Klägers mit den anderen Daten zusammengeführt worden sei.

Zum immateriellen Schaden macht der Kläger geltend, er habe einen Kontrollverlust über seine Daten und außerdem Angst, Stress sowie eine Komfort- und Zeiteinbuße erlitten, weil er sich mit dem Datenleck und den Folgen habe auseinandersetzen müssen. Er gebe seine Telefonnummer stets bewusst und zielgerichtet weiter und mache sie nicht wahllos im Internet einer Öffentlichkeit zugänglich. Eine Änderung der Suchbarkeitseinstellungen auf seinem Profil würde zudem an der Gefahr eines weiteren Scrapings nichts ändern. Sein Schaden habe sich in Spam-E-Mails, Spam-SMS und Spam-Anrufen manifestiert.

Der Kläger ist weiter der Ansicht, es bestehe ein Feststellungsinteresse für seinen Feststellungsantrag, weil nicht abgesehen werden könne, welche Dritte Zugriff auf seine Daten hatten und wie sie die Daten noch missbrauchen könnten. Dazu macht er geltend, in H. sei durch Trickbetrügereien bis September 2022 ein Schaden von fast 3,3 Millionen Euro entstanden, wovon ein Betrag von 780.000 Euro auf sog. WhatsApp-Betrug entfalle. Daneben könnten "falsche" Bankmitarbeiter Daten über Kontoverbindungen erfragen oder Täter als vermeintliche Zahlungsdienstleister anrufen. Er könne nicht sicher sein, dass die Beklagte das CIT ausreichend aktualisiert habe.

Der Kläger beantragt zuletzt,

unter Aufhebung des am 10.2.2023 verkündeten Urteils des Landgerichts Aachen (8 O 200/22)

1. die Beklagte zu verurteilen, an die Klägerseite immateriellen Schadensersatz in angemesse...