OLG Stuttgart Urteil vom 22.11.2023 - 4 U 20/23

Verfahrensgang

LG Heilbronn (Aktenzeichen Bu 8 O 131/22)

Tenor

1. Auf die Berufung des Klägers wird das Urteil des Landgerichts Heilbronn vom 13.01.2023 (Bu 8 O 131/22) abgeändert:

Es wird festgestellt, dass die Beklagte verpflichtet ist, dem Kläger alle künftigen materiellen und immateriellen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten im Zeitraum ab dem 25.05.2018 bis September 2019 entstanden sind und/oder noch entstehen werden.

Im Übrigen wird die Klage abgewiesen.

2. Die weitergehende Berufung des Klägers wird zurückgewiesen.

3. Der Kläger trägt die Kosten des Verfahrens in beiden Instanzen.

4. Das Urteil des Senats und - soweit die Berufung zurückgewiesen wurde - das Urteil des Landgerichts Stuttgart sind vorläufig vollstreckbar. Der Kläger kann die Vollstreckung der Beklagten gegen Sicherheitsleistung in Höhe von 110 % des auf Grund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrags leistet.

5. Die Revision wird zugelassen.

Streitwert des Berufungsverfahrens: 7.000,00 EUR

Gründe

I. Vortrag der Parteien

1. Sachverhalt und Vortrag in erster Instanz

Der Kläger verlangt Schadenersatz, die Feststellung einer weiteren Ersatzpflicht und Unterlassung wegen eines sogenannten Scraping (dem Abgreifen von personenbezogenen Daten aus dem Kontakt-Import-Tool der Beklagten).

Der Kläger unterhält ein Nutzerkonto bei der Beklagten, die das soziale Netzwerk Facebook betreibt (vergleiche hierzu weiter EuGH GRUR-RS 2023, 15722 Rn. 26 - 28). Die Datenrichtlinien der Beklagten (B 9, aktualisiert seit April 2018 in der Anlage B 20) teilen mit, welche Nutzerinformationen öffentlich sind (Name, Geschlecht, Nutzername, Nutzer-ID), wie ein Nutzer festlegen kann, welche Informationen zugänglich gemacht werden können (Zielgruppenauswahl) und wie er aufgrund Mailadresse oder Telefonnummer aufgefunden werden kann (Suchbarkeits-Einstellungen). Wenn keine Zielgruppenauswahl erfolgt, können "Freunde" das Profil auch über Telefon und Mailadresse finden. 2019 kam es zu einem Abgreifen persönlicher Daten des Klägers, wobei das Vorgehen im Detail zwischen den Parteien streitig ist. 2021 wurden Daten von etwa 533 Millionen Facebook-Nutzern im Internet verbreitet. Die Parteien haben insoweit übereinstimmend ausgeführt, dass die immer öffentlich zugänglichen Daten (Name, Geschlecht, Nutzer-ID) mit der Telefonnummer verknüpft wurden, indem über die Kontakt-Import-Funktion Telefonnummern hochgeladen wurden, die mit einem Konto verknüpft waren, diese Daten dann zusammengeführt wurden. Die Beklagte steht im Hinblick auf die seitens der Scraper vorgegebenen Telefonnummern auf dem Standpunkt, dass diese nicht von den Nutzerprofilen abgerufen wurden.

Der Kläger macht geltend, die Beklagte habe keinerlei Sicherheitsmaßnahmen (z.B. Capchas, Mechanismen zur Plausibilitätsprüfung von Anfragen) vorgehalten, um eine Ausnutzung des Tools zu verhindern und dass die Einstellungen zur Telefonnummer undurchsichtig und zu kompliziert gestaltet seien. Der Kläger macht im einzelnen folgende Verstöße gegen die DSGVO geltend:

• Verstoß gegen das Transparenzgebot (Art. 5 Abs. 1 lit. a),
• Keine ausreichenden Sicherungsmaßnahmen (Art. 5 Abs. 1 lit. f),
• Keine datenschutzfreundlichen Voreinstellungen (Art. 25 DSGVO),
• Verstoß gegen Informationspflichten (Art. 13, 14 DSGVO),
• wegen der vorgenannten Verstöße seien die Einwilligungen des Klägers unwirksam, die Verarbeitung ohne Rechtsgrundlage erfolgt,
• Verstoß gegen Melde- und Benachrichtigungspflichten (Art. 33,34 DSGVO),
• Keine Datenschutz-Folgenabschätzung (Art. 35 DSGVO),
• Unzureichende Auskunft (Art. 15 DSGVO).

Zwischen den Parteien besteht Streit, ob

• eine Pflichtverletzung für einen Schadensersatzanspruch nach Art. 82 DSGVO vorliegt, weil

  • die Daten ohne Rechtsgrundlage verarbeitet wurden,
  • die Daten unbefugt Dritten zugänglich gemacht wurden (Verstöße gegen Art. 5, 25, 32, 34),
  • die Betroffenenrechte des Klägers verletzt wurden,
• der Kläger einen kausalen Schaden erlitten hat,
• er deshalb Feststellung einer weiteren Ersatzpflicht und Unterlassung verlangen kann.

2. Entscheidung des Landgerichts

Das Landgericht hat die Klage abgewiesen.

a. Zulässigkeit der Klage

Die Klage sei zulässig,

• das Landgericht Heilbronn international, sachlich und örtlich zuständig,
• der Zahlungsantrag sei zulässig, beruhe auf dem einheitlichen Vorwurf unzureichender Datenschutzvorkehrungen,
• ein Feststellungsinteresse sei hinreichend dargetan, denn bei verständiger Würdigung sei nicht ausgeschlossen, dass ein weiterer materieller oder immaterieller Schaden entstehe.

b. Begründetheit des Anspruchs auf Schadenersatz

aa. Es fehle an der Anwendbarkeit der Norm, denn soweit der Kläger der Beklagten vorwerfe, sie habe

• ungenügend über die Verarbeitung der Daten aufgeklärt und informiert (Art. 5 Abs. 1 lit. a) DSGVO),
• gegen Informationspflichten verstoßen (Art. 13, 14 DSGVO),
• unvollständig Auskunft erteilt (Ar...