Entscheidung über Schadensersatz wegen des Facebook-Datenlecks

Oberlandesgericht Stuttgart

Urteil vom 22.11.2023

Az.: 4 U 20/23

Tenor

1. Auf die Berufung des Klägers wird das Urteil des Landgerichts Heilbronn vom 13.01.2023 (Bu 8 O 131/22) abgeändert:

Es wird festgestellt, dass die Beklagte verpflichtet ist, dem Kläger alle künftigen materiellen und immateriellen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten im Zeitraum ab dem 25.05.2018 bis September 2019 entstanden sind und/oder noch entstehen werden.

Im Übrigen wird die Klage abgewiesen.

2. Die weitergehende Berufung des Klägers wird zurückgewiesen.
3. Der Kläger trägt die Kosten des Verfahrens in beiden Instanzen.
4. Das Urteil des Senats und – soweit die Berufung zurückgewiesen wurde – das Urteil des Landgerichts Stuttgart sind vorläufig vollstreckbar. Der Kläger kann die Vollstreckung der Beklagten gegen Sicherheitsleistung in Höhe von 110 % des auf Grund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrags leistet.
5. Die Revision wird zugelassen.

Streitwert des Berufungsverfahrens: 7.000,00 €

Gründe

1

1. Vortrag der Parteien

2

1. Sachverhalt und Vortrag in erster Instanz

3

Der Kläger verlangt Schadenersatz, die Feststellung einer weiteren Ersatzpflicht und Unterlassung wegen eines sogenannten Scraping (dem Abgreifen von personenbezogenen Daten aus dem Kontakt-Import-Tool der Beklagten).

4

Der Kläger unterhält ein Nutzerkonto bei der Beklagten, die das soziale Netzwerk Facebook betreibt (vergleiche hierzu weiter EuGH GRUR-RS 2023, 15722 Rn. 26 – 28). Die Datenrichtlinien der Beklagten (B 9, aktualisiert seit April 2018 in der Anlage B 20) teilen mit, welche Nutzerinformationen öffentlich sind (Name, Geschlecht, Nutzername, Nutzer-ID), wie ein Nutzer festlegen kann, welche Informationen zugänglich gemacht werden können (Zielgruppenauswahl) und wie er aufgrund Mailadresse oder Telefonnummer aufgefunden werden kann (Suchbarkeits-Einstellungen). Wenn keine Zielgruppenauswahl erfolgt, können „Freunde“ das Profil auch über Telefon und Mailadresse finden. 2019 kam es zu einem Abgreifen persönlicher Daten des Klägers, wobei das Vorgehen im Detail zwischen den Parteien streitig ist. 2021 wurden Daten von etwa 533 Millionen Facebook-Nutzern im Internet verbreitet. Die Parteien haben insoweit übereinstimmend ausgeführt, dass die immer öffentlich zugänglichen Daten (Name, Geschlecht, Nutzer-ID) mit der Telefonnummer verknüpft wurden, indem über die Kontakt-Import-Funktion Telefonnummern hochgeladen wurden, die mit einem Konto verknüpft waren, diese Daten dann zusammengeführt wurden. Die Beklagte steht im Hinblick auf die seitens der Scraper vorgegebenen Telefonnummern auf dem Standpunkt, dass diese nicht von den Nutzerprofilen abgerufen wurden.

5

Der Kläger macht geltend, die Beklagte habe keinerlei Sicherheitsmaßnahmen (z.B. Capchas, Mechanismen zur Plausibilitätsprüfung von Anfragen) vorgehalten, um eine Ausnutzung des Tools zu verhindern und dass die Einstellungen zur Telefonnummer undurchsichtig und zu kompliziert gestaltet seien. Der Kläger macht im einzelnen folgende Verstöße gegen die DSGVO geltend:

6

– Verstoß gegen das Transparenzgebot (Art. 5 Abs. 1 lit. a),

7

– Keine ausreichenden Sicherungsmaßnahmen (Art. 5 Abs. 1 lit. f),

8

– Keine datenschutzfreundlichen Voreinstellungen (Art. 25 DSGVO),

9

– Verstoß gegen Informationspflichten (Art. 13, 14 DSGVO),

10

– wegen der vorgenannten Verstöße seien die Einwilligungen des Klägers unwirksam, die Verarbeitung ohne Rechtsgrundlage erfolgt,

11

– Verstoß gegen Melde- und Benachrichtigungspflichten (Art. 33,34 DSGVO),

12

– Keine Datenschutz-Folgenabschätzung (Art. 35 DSGVO),

13

– Unzureichende Auskunft (Art. 15 DSGVO).

14

Zwischen den Parteien besteht Streit, ob

15

– eine Pflichtverletzung für einen Schadensersatzanspruch nach Art. 82 DSGVO vorliegt, weil

16

* die Daten ohne Rechtsgrundlage verarbeitet wurden,

17

* die Daten unbefugt Dritten zugänglich gemacht wurden (Verstöße gegen Art. 5, 25, 32, 34),

18

* die Betroffenenrechte des Klägers verletzt wurden,

19

– der Kläger einen kausalen Schaden erlitten hat,

20

– er deshalb Feststellung einer weiteren Ersatzpflicht und Unterlassung verlangen kann.

21

2. Entscheidung des Landgerichts

22

Das Landgericht hat die Klage abgewiesen.

23

1. Zulässigkeit der Klage

24

Die Klage sei zulässig,

25

– das Landgericht Heilbronn international, sachlich und örtlich zuständig,

26

– der Zahlungsantrag sei zulässig, beruhe auf dem einheitlichen Vorwurf unzureichender Datenschutzvorkehrungen,

27

– ein Feststellungsinteresse sei hinreichend dargetan, denn bei verständiger Würdigung sei nicht ausgeschlossen, dass ein weiterer materieller oder immaterieller Schaden entstehe.

28

1. Begründetheit des Anspruchs auf Schadenersatz

29

1. Es fehle an der Anwendbarkeit der Norm, denn soweit der Kläger der Beklagten vorwerfe, sie habe

30

– ungenügend über die Verarbeitung der Daten aufgeklärt und informiert (Art. 5 Abs. 1 lit. a) DSGVO),

31

– gegen Informationspflichten verstoßen (Art. 13, 14 DSGVO),

32

– unvollständig Auskunft erteilt (Art. 15 DSGVO),

33

– gegen Art. 34, 24 und 25 DSGVO verstoßen,

34

seien diese Verstöße nicht vom Schutzzweck des Art. 82 DSGVO erfasst. Anknüpfungspunkt für eine Haftung sei eine der Verordnung nicht entsprechende Verarbeitung.

35

1. Ein Verstoß gegen Art. 5 Abs. 1 DSGVO sei nicht feststellbar, denn die Informationen der Beklagten enthielten alle relevanten Informationen zu Art und Umfang der Verarbeitung sowie die Möglichkeiten zur Begrenzung.

36

1. Es liege kein Verstoß gegen Art. 32 DSGVO vor. Die Beklagte sei nicht verpflichtet gewesen, die Erhebung der immer öffentlich zugänglichen Informationen des Klägerprofils aufgrund seiner selbst gewählten Einstellung zu verhindern. Die abgegriffenen Daten seien öffentlich zugänglich gewesen.

37

1. Ein Verstoß gegen Art. 24, 25 Abs. 2 DSGVO liege nicht vor. Die Voreinstellung sei zwar so, dass die Telefonnummer von jedermann gefunden werden könne (everyone by phone number), der Schutz des Art. 25 DSGVO reiche nicht so weit, den Nutzer vollends vor internetspezifischen Gepflogenheiten zu schützen. Der Nutzer, der beitreten wolle, müsse sich mit diesen Gepflogenheiten vertraut machen.

38

1. Es sei nicht ersichtlich, dass die unterlassene Folgeneinschätzung (Art. 35 DSGVO) ursächlich für den geltend gemachten Schaden war.

39

1. Der Kläger sei mit dem Schreiben B 16 hinreichend informiert worden, der Auskunftsanspruch aus Art. 15 DSGVO damit erfüllt. Es sei für die Beklagte unmöglich, mitzuteilen, wann die Daten abgegriffen wurden.

40

1. Der Kläger sei ausreichend aufgeklärt worden, die Informationen seien – wenn auch mehrschichtig – in einfach verständlicher Sprache abgefasst, weshalb von einer ausreichenden Aufklärung auszugehen sei. Ein Verstoß gegen Art. 6 Abs. 1, 13 DSGVO liege nicht vor.

41

1. Da der Kläger die Telefonnummer für jedermann sichtbar eingestellt hatte, sei diese öffentlich gewesen. Jeder, der einen Account unterhielt, habe diese in Erfahrung bringen können. Eine Kausalität sei deshalb nicht feststellbar.

42

1. Ein Schaden sei weder substantiiert vorgetragen noch ersichtlich. Der Kontrollverlust stelle keine spürbare Beeinträchtigung dar, dasselbe gelte für den Zustand des Unwohlseins und der Sorge über einen möglichen Missbrauch der Daten.

43

1. Feststellung, Unterlassung, Auskunft

44

Wegen des fehlenden Anspruchs und Verstoßes seien die weiteren Klageanträge nicht begründet.

45

1. Bezugnahme

46

Wegen der weiteren Einzelheiten des Sachverhalts und zu den Feststellungen des Landgerichts wird auf das Urteil des Landgerichts Heilbronn vom 13. Januar 2023 (Az. BU 8 O 131/22) Bezug genommen (Blatt 298 – 313; § 540 Abs. 1 Satz 1 Nr. 1 ZPO).

47

3. Berufungsvortrag des Klägers

48

Die Berufung des Klägers will weiter eine Verurteilung im erstinstanzlich beantragten Umfang erreichen.

49

1. Anwendungsbereich von Art 82 DSGVO eröffnet

50

Der sachliche Anwendungsbereich des Art. 82 DSGVO sei bei sämtlichen Verstößen gegen die DSGVO eröffnet, die Vorschrift erfasse nicht nur Pflichtverletzungen im Rahmen einer Datenverarbeitung:

51

– Der Wortlaut des Art. 82 Abs. 1 DSGVO erfasse sämtliche Verstöße, eine Eingrenzung des Anwendungsbereichs erfolge gerade nicht.

52

– Art. 82 Abs. 2 DSGVO bewirke keine Konkretisierung und Eingrenzung von Art. 82 Abs. 1 DSGVO, sondern regle den speziellen Fall der Beteiligung weiterer Personen, nicht die primäre Verantwortlichkeit der Beklagten.

53

– Die weite Auffassung sei herrschend, dieser sei zu folgen.

54

– Da auch der Schadensbegriff weit auszulegen sei (Erwägungsgrund 146 Satz 3), die Betroffenen einen vollständigen und wirksamen Schadenersatz erhalten sollen, eine besondere Wichtigkeit bezüglich des Schutzes personenbezogener bestehe, müsse auch ein weiter Anwendungsbereich bezüglich der Verstöße angenommen werden.

55

– Da ohne einen funktionierenden Kontrollmechanismus durch die Formvorschriften der DSGVO kein umfassender Datenschutz zu erreichen sei, löse auch ein Verstoß gegen bloße Formvorschriften den Anspruch auf Schadenersatz aus.

56

Selbst wenn man nur an eine Verarbeitung anknüpfen wolle, seien jedenfalls die Verstöße gegen Art. 13, 14, 15, 24, 25, 34 DSGVO erfasst.

57

1. Rechtswidrigkeit des Scraping

58

Das Abgreifen der Daten sei rechtswidrig erfolgt, da die Beklagte selbst vorgetragen habe, dass das Scraping unter Verstoß gegen die Nutzungsbedingungen der Beklagten erfolgte. Die Ausnutzung des Kontakt-Import-Tools könne nicht als rechtmäßige Datenverarbeitung angesehen werden, denn

59

– die Beklagte habe nachträglich weitere Sicherheitsvorkehrungen unternommen, für die sonst kein Anlass bestanden hätte,

60

– § 32 DSGVO hätte eine Absicherung der Telefonnummer gegen das Auslesen erfordert,

61

– auch § 25 Abs. 2 DSGVO verlange geeignete Voreinstellungen.

62

1. Verstöße gegen die DSGVO

63

Die Beklagte habe entgegen der Auffassung des Landgerichts mehrfach gegen die DSGVO verstoßen. Die Beweislast bezüglich der Einhaltung sämtlicher Vorgaben der DSGVO liege bei der Beklagten.

64

1. Die verschachtelten und mehrschichtig zur Verfügung gestellten Informationen der Beklagten genügten nicht den vorgegebenen Anforderungen an eine faire und transparente Verarbeitung, dies sei ein Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO (Transparenzgebot). Nach dem Erwägungsgrund 60 DSGVO sei insoweit erforderlich, dass

65

– die betroffene Person vom Verantwortlichen über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird,

66

– alle weiteren Informationen zur Verfügung gestellt werden, die im Rahmen der konkreten Umstände eine faire und transparente Verarbeitung sowie die Information des Betroffenen gewährleisten.

67

Aus den Erwägungsgründen 39 Satz 2 – 5, 58 und 60 der DSGVO ergäben sich insbesondere drei Anforderungen an die Verantwortlichen:

68

– Die Verarbeitung müsse erkennbar gemacht werden.

69

– Die Betroffenen seien über Risiken, Vorschriften, Garantien, Rechte sowie deren Geltendmachung zu informieren.

70

– Die erteilten Informationen zur Verarbeitung müssten leicht zugänglich, verständlich und in klarer und einfacher Sprache abgefasst sein.

71

Die vorliegende Flut an Informationen wirke einer Transparenz geradezu entgegen, zumal ein Nutzerkonto mit Billigung der Datenschutzinformationen mit wenigen Klicks erstellt werden könnte. Eine leichte und verständliche Aufbereitung der Informationen sei nicht erfolgt. Das Auffinden der Einstellungsmöglichkeiten über mehrere Links genüge insoweit nicht.

72

1. Die Beklagte habe entgegen Art. 5 Abs. 1 lit. f), 32 DSGVO keine ausreichenden Sicherheitsmaßnahmen vorgehalten, um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten, die Daten seien damit nicht ausreichend vor Zugriffen und Beeinträchtigungen geschützt worden. Das Landgericht habe die Beweislast verkannt und den Beklagtenvortrag übernommen, ohne den Klägervortrag zu berücksichtigen:

73

– Das Kontakt-Import-Tool habe keine ausreichenden technischen und organisatorischen Maßnahmen enthalten, um eine Sicherheit der personenbezogenen Daten zu gewährleisten, sondern einen unbefugten Zugang (Art. 32 Abs. 2 DSGVO) ermöglicht. Schon der streitgegenständliche Vorfall belege eindrucksvoll, dass die ergriffenen Maßnahmen ungeeignet waren. Das Urteil lege nicht dar, warum die Maßnahmen ausreichen sollten.

74

– Aus der Anlage B 9 (aktualisiert B 20) ergebe sich nicht klar genug, welche Auswirkungen diese auf die zu ergreifenden technischen und organisatorischen Maßnahmen haben sollte. Die Anlage B 9 (Datenrichtlinie) hätte eine – nicht vorhandene – Sicherheit suggeriert, weshalb der Kläger keinen Anlass gehabt habe, die (Sicherheits-) Einstellungen zu ändern.

75

– Auch die irische Datenschutzbehörde habe wegen des streitgegenständlichen Datenlecks ein hohes Bußgeld verhängt und das Fehlen technischer und organisatorischer Maßnahmen angenommen.

76

– Das Erfordernis einer Absicherung ergebe sich auch aus der Schutzrichtung der DSGVO. Wenn die Beklagte den Schutz persönlicher Daten nicht hinreichend gewährleisten könne, sei die Verarbeitung zu unterlassen beziehungsweise einzustellen.

77

– Obwohl der Kläger ein konkretes Informationsbedürfnis formuliert habe, habe die Beklagte nicht ausreichend substantiiert vorgetragen, welche konkreten Maßnahmen ergriffen worden seien, um einen Abgriff der Daten zu verhindern. Insbesondere die behaupteten Tätigkeiten des EDM-Teams seien nicht ausreichend dargelegt worden.

78

– Die Ausführungen zu den Hilfestellungen und zu Sicherungs- und Schutzmaßnahmen (B 9) hätten schon den Anforderungen nicht genügt, in präziser, transparenter und leicht zugänglichen Form zu unterrichten – es könne nicht nachvollzogen werden, weshalb das Landgericht dieses Pamphlet als übersichtlich bezeichne. Zudem müsse die Beklagte ausreichende Maßnahmen ergreifen, nicht über unzureichende Maßnahmen informieren.

79

– Die Hinweise und Richtlinien enthielten Widersprüche und seien intransparent (die Berufung verweist unspezifisch auf Klage und Replik), da es sich um nach §§ 309 Nr. 12b, 308 Nr. 6 BGB unwirksame AGB´s handle, könnten diese nicht zum Nachteil des Klägers geltend gemacht werden.

80

– Das Landgericht habe die Verteilung der Darlegungs- und Beweislast grob verkannt und ignoriert.

81

1. Die Möglichkeit der Einsehbarkeit der Daten habe nicht den Vorgaben aus Art. 24, 25 Abs. 2 DSGVO entsprochen, wonach durch geeignete technische und organisatorische Maßnahmen sicherzustellen sei, dass durch eine Voreinstellung nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Die standardmäßig verpflichtenden öffentlichen Daten und die Standardvoreinstellungen für die Suchbarkeit der Telefonnummer mit dem Erfordernis eines eigenen Tätigwerdens des Nutzers zur Sicherung hätten nicht den Vorgaben aus Art. 25 Abs. 2 Satz 1 und 3 DSGVO genügt.

82

Im Einzelnen:

83

– Die Feststellung des Landgerichts, die Telefonnummer werde zur einfacheren Auffindbarkeit benötigt, sei unrichtig, zumindest sehr vereinfachend, denn dem Nutzer werde suggeriert, er könne die Nummer im Rahmen einer Zwei-Faktor-Identifizierung hinterlegen, was nicht den Tatsachen entspreche, dem Unternehmenszweck der Beklagten zuwiderlaufe. Dem Nutzer werde angesichts der Voreinstellungen eine nicht vorhandene Sicherheit suggeriert.

84

– Die von der Beklagten gewählten standardmäßigen Voreinstellungen („Alle“) für eine Suchbarkeit mit der Telefonnummer entspreche nicht den Vorgaben aus Art. 25 Abs. 2 DSGVO, weil danach Voreinstellungen bereitzuhalten seien, die eine Verwendung der Nutzerdaten minimiere, eine möglichst datenschutzfreundliche Standardeinstellung vorzusehen sei. Die Einstellung, dass jeder Nutzer mit dem anderen über die Telefonnummer verbunden beziehungsweise aufgefunden werden kann, widerspreche diesem Grundsatz. Es ergebe sich auch aus Art. 25 Abs. 2 Satz 3 DSGVO, dass die Preisgabe an einen unbestimmten Personenkreis zu verhindern sei, dies erst durch aktives Eingreifen des Nutzers erfolgen könne.

85

– Die Möglichkeit, dass standardmäßig jedermann ein Profil mit Hilfe der hinterlegten Telefonnummer finden könne, führe zu einer reflexartigen Offenlegung.

86

– Die Ausführungen des Landgerichts zum nicht technikaffinen Nutzer seien unrichtig, es werde zudem nicht dargetan, woher das Gericht seine Sachkunde nehme und welche Hinweise nach welchen Kriterien ausreichend seien. Erforderlich seien klare, bestimmte und konkrete Informationen. Die Masse an Einstellungsmöglichkeiten und Informationen überforderten jedoch den technisch unkundigen Nutzer und seien nicht ausreichend transparent.

87

1. Die Beklagte habe die erforderliche Datenschutz-Folgenabschätzung nach Art. 35 DSGVO nicht vorgenommen. Ziel sei insoweit eine Verringerung der Risiken durch wirksame Maßnahmen und deren Dokumentation. Das Risikoszenario der datenschutzwidrigen Voreinstellungen sei nicht bewertet worden.

88

1. Die Beklagte sei dem Auskunftsverlangen des Klägers nicht nachgekommen, indem sie die Scraper nicht benannt habe, darin liege ein Verstoß gegen Art. 15 DSGVO. Nach der Rechtsprechung des Europäischen Gerichtshofs (C-154/21) bestehe die Pflicht, über die konkreten Empfänger der personenbezogenen Daten zu informieren. Die Beklagte habe nicht vorgetragen, warum sie nicht nachvollziehen konnte, wann und von wem die Telefonnummer mit den anderen Daten zusammengeführt wurden. Die gerichtliche Annahme einer Unmöglichkeit ohne den entsprechenden Vortrag grenze an Willkür.

89

1. Die Beklagte habe bereits im Rahmen der Datenerhebung gegen ihre Informations- und Aufklärungspflichten aus Art. 13, 14 DSGVO verstoßen (Information über die Zwecke, für die die Daten verarbeitet werden, Mitteilung der Rechtsgrundlage, Information über die mit der Verarbeitung zusammenhängenden Absichten). Die Beklagte habe bezüglich der Telefonnummer über den Zweck einer Zwei-Faktor-Authentifizierung informiert, über den Zweck der Verwendung für das Kontakt-Import-Tool sei jedoch keine Aufklärung erfolgt. Den Datenrichtlinien lasse sich nicht entnehmen, dass die Eingabe einer beliebigen Telefonnummer das dazugehörige Benutzerprofil anzeige, mit dem man sich verbinden könne, weshalb Art. 13 Abs. 1 lt. c) DSGVO verletzt sei.

90

Die Einwilligungen des Klägers nach Art. 6 Abs. 1 lit. a) DSGVO seien damit unwirksam.

91

1. Die Beklagte habe ihre Meldepflichten und Benachrichtigungspflichten aus Art. 33, 34 DSGVO verletzt, da nach Art. 4 Nr. 12 DSGVO die Sicherheit der Daten durch unbefugte Offenlegung beziehungsweise unbefugten Zugang verletzt worden sei, indem Name, ID, Geschlecht öffentlich waren und die Telefonnummer durch die Nutzung des Kontakt-Import-Tools mit diesen Daten verknüpft werden konnte.

92

Die zuständige Aufsichtsbehörde sei trotz des erheblichen Ausmaßes des Abgriffs nicht informiert worden sei.

93

Es liege ein Verstoß gegen Art. 34 DSGVO vor, der Kläger hätte unverzüglich nach dem Vorfall informiert werden müssen. Ausschlussgründe seien nicht ersichtlich.

94

1. Schadenersatzanspruch – Schaden – Höhe – Kausalität

95

1. Die Verneinung eines Schadens sei rechtsfehlerhaft erfolgt. Der Begriff des Schadens sei nach dem Erwägungsgrund 146 weit auszulegen, der Wortlaut erfasse materielle als auch immaterielle Schäden. Im Einzelnen:

96

– Vor dem Hintergrund des Effektivitätsprinzips sei eine abschreckende zivilrechtliche Haftung erforderlich, um dem Schutzzweck der DSGVO (Grundrechte und Grundfreiheiten, Schutz personenbezogener Daten) zu gewährleisten. Auch die (übertragbare) Rechtsprechung des Europäischen Gerichtshofs im europäischen Wettbewerbsrecht stelle auf eine abschreckende Funktion des Schadenersatzes ab (C-453/99; C-407/14).

97

– Ein Ausschluss von Bagatellfällen sei mit Art. 82 DSGVO nicht zu vereinbaren, es müsse keine Erheblichkeitsschwelle erreicht sein. Dies ergebe sich auch aus der Tatsache, dass die Verarbeitung grundsätzlich verboten sei, sofern keine Erlaubnis vorliege.

98

– Der irischen Datenschutzbehörde fehle es an den erforderlichen Ressourcen für eine effektive Durchsetzung, weshalb die Beklagte mit spürbaren zivilrechtliche Sanktionen zur Einhaltung des Datenschutzes anzuhalten sei.

99

– Nach dem Erwägungsgrund 85 sei schon der Verlust der Kontrolle über die personenbezogenen Daten als Beispiel für einen immateriellen Schaden aufgeführt, weshalb auch die Ausführungen des Generalanwalts im Verfahren C-300/21 zur Vermutung eines Schadens nicht überzeugten.

100

– Wenn man die Bedeutung von informationeller Selbstbestimmung ernst nehme, komme man nicht umhin, die Kontrolle über die eigenen Daten als absolut notwendig zu begreifen.

101

– Entgegen der Auffassung des Generalanwalts im Verfahren C-300/21 müsse auch schon bloßer Ärger über den Kontrollverlust genügen, um eine Divergenz der einzelstaatlichen Rechtsprechungen zu verhindern.

102

– Alleine mit der Verletzung datenschutzrechtlicher Normen werde ein immaterieller Schaden verursacht.

103

– Da wie bei der Verletzung von Persönlichkeitsrechten oft keine bilanzierungsfähige Vermögensminderung eintrete, sondern bloß seelischer oder moralischer Unbill und Aufwendung der Ressource Zeit, genüge die datenschutzwidrige Verarbeitung.

104

1. Die Verstöße gegen die DSGVO führten zu einer Schadensvermutung, denn

105

– der Verlust der Kontrolle über die personenbezogenen Daten sei nach dem Erwägungsgrund 85 gerade exemplarisch für einen Schaden,

106

– der Begriff der informationellen Selbstbestimmung müsse zu einem Bestimmungsrecht führen, wo die Daten verarbeitet werden,

107

– die Kompensation für den Kontrollverlust könne nur in einem Schadenersatzanspruch liegen, weil das Wissen um die Verwendung insoweit keinen Ausgleich schaffe.

108

26. Über den Ärger hinaus sei beim Kläger durch den irreversiblen Kontrollverlust auch ein konkreter immaterieller Schaden eingetreten, der angesichts der sensiblen Natur der Daten besonders schwer wiege (wegen des endgültigen Verlusts sei auch eine fehlende Änderung der Sicherheitseinstellungen ohne Relevanz). Auch das BAG (8 AZR 253/20 [A]) führe in seinem Vorlagebeschluss vom 26.08.2021 aus, dass bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden führe. Dies ergebe sich auch aus den Erwägungsgründen 75 und 85.

109

Der Kläger habe zudem Ängste, Stress, Komfort- und Zeiteinbußen erlitten, weil er sich mit dem Datenleak auseinandersetzen musste. Der Handel mit den Daten im Darknet habe die Ängste und den Stress vergrößert.

110

Der dazugehörige Vortrag der Beklagten sei unerheblich, weil bereits der Verstoß und der mögliche Kontrollverlust für einen Schaden genügten. Zudem könne sich die Beklagten nicht mit einem einfachen Bestreiten begnügen, weil die Beklagte beweisen müsse, dass kein Schaden eingetreten sei – hier müsse sich die deutsche Rechtsprechung aufgrund der europäischen Vorgaben von gewohnten Denkschemata verabschieden.

111

Die Beklagte habe unzutreffend behauptet, dass der Zugriff auf die Telefonnummer nicht zu einer Risikoerhöhung führe, denn die Telekommunikationsdaten gehörten zu den hoch sensiblen Daten, der Kläger mache diese nicht wahl- und grundlos der Öffentlichkeit zugänglich. Der Zugriff gehöre auch nicht zu einem allgemeinen – hinzunehmenden – Internetrisiko, denn es sei Aufgabe der Beklagten gewesen, die Abschöpfung und Verknüpfung zu verhindern

112

1. Der Schadensbegriff sei nach dem Unionsrecht und der Rechtsprechung des Europäischen Gerichtshofs auszulegen, eine Erheblichkeitsschwelle könne danach nicht verlangt werden.

113

1. Die klägerseits mitgeteilte Größenordnung von 1.000,00 € sei geradezu minimalistisch veranschlagt, denn

114

– es liege eine Vielzahl von Verstößen gegen die DSGVO vor,

115

– in Wahrheit seien die Verstöße Geschäftsgrundlage der Beklagten, diese agiere nach dem Prinzip so wenig wie möglich,

116

– auch die irische Datenschutzbehörde habe die Verstöße als schwerwiegend bezeichnet,

117

– die Bemessung müsse abschreckend sein und weitere Verstöße unattraktiv machen,

118

– der Kläger könne die veröffentlichten Daten nicht löschen.

119

Ergänzend verweist der Kläger auf einen Aufsatz eines Marco Blocher vom 14.11.2022.

120

1. Der Kläger müsse sich ein Mitverschulden nicht anrechnen lassen:

121

– Mangels ausreichender und gesetzeskonformer Informationen habe der Kläger keine Kenntnis gehabt, dass seine Telefonnummer suchbar ist.

122

– Er habe darauf auch keine Einflussmöglichkeit gehabt.

123

– Der Kläger habe in diesem Zusammenhang darauf vertrauen dürfen, dass sich die Beklagte gesetzeskonform verhält, dies gelte insbesondere für die Installation einer wirksamen Datenschutzvorrichtung.

124

– Selbst wenn der Kläger die Einstellung in dem verwirrenden Menü gefunden hätte, hätte dies nichts an der mangelhaften Programmierung geändert.

125

– Im Nachhinein lasse sich der Datenverlust nicht rückgängig machen.

126

1. Da die unzureichende Einrichtung eines Sicherungsmechanismus das Abgreifen der Daten ermöglicht habe, sei die Kausalität zwischen Pflichtverletzung und Schaden zu bejahen.

127

1. Feststellung weiterer Ersatzpflicht

128

Der Antrag auf Feststellung einer weiteren Ersatzpflicht sei begründet, denn es bestehe die Möglichkeit weiterer Schäden, weil

129

– SPAM-Anrufe, -SMS, oder-Mails es erforderlich machen könnten, dass der Kläger eine neue Handynummer benötige,

130

– der Kläger gegebenenfalls bei einer Antwort mit ja in einem Vertrag drinhänge,

131

– angesichts des langen Zeitraums zwischen dem Datenabgriff und der Veröffentlichung könnten auch zukünftig noch Schäden entstehen,

132

– es sei nicht sicher, ob die Beklagte das Leck nun geschlossen habe,

133

– nach Presseberichten habe es konkrete finanzielle Schäden wegen des Lecks gegeben (die Berufung verweist auf WhatsApp).

134

1. Unterlassung

135

Der Unterlassungsanspruch des Klägers ergebe sich im Hinblick auf die Vorgaben des Art. 79 DSGVO entweder über §§ 823 Abs. 2, 1004 BGB oder aus Art. 17 Abs. 1 lit. d) DSGVO. Der Kläger habe einen Anspruch auf Unterlassung der getätigten rechtswidrigen Datenverarbeitung (jedenfalls Verstöße gegen Art. 13, 25 DSGVO), weshalb er verlangen könne, dass es die Beklagte unterlässt,

136

– personenbezogene Daten (Telefonnummer, Facebook-ID, Familienname, Vorname, Geschlecht, Stadt, Beziehungsstatus) unbefugten dritten zugänglich zu machen,

137

– dass die Telefonnummer trotz einer Einstellung des Kontakt-Import-Tools verwendet werden kann.

138

Die Möglichkeit der Einstellungsänderung beseitige nicht die Wiederholungsgefahr, auch die getroffenen Sicherungsmaßnahmen änderten nichts am Weiterbestand der Wiederholungsgefahr. Die Änderung der Einstellungen habe die Suchbarkeit nicht verhindert, die Beklagte habe insoweit ihrer (sekundären) Darlegungs- und Beweislast nicht genügt.

139

1. Auskunft

140

Entgegen der Auffassung des Landgerichts sei die Beklagte verpflichtet, die konkrete Identität der Empfänger mitzuteilen, da nur so das Ziel eines möglichst hohen Datenschutzniveaus zu erreichen sei.

141

4. Anträge

142

Der Kläger beantragt (wie in erster Instanz):

143

Das Urteil des Landgerichts Heilbronn vom 13. Januar 2023 (Bu 8 O 131/22) wird abgeändert:

144

1. Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz wegen der Verstöße gegen die DSGVO vor und im Nachgang des streitgegenständlichen Scraping-Vorfalls in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

145

2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen materiellen und immateriellen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten im Zeitraum ab dem 25.05.2018 bis September 2019 entstanden sind und/oder noch entstehen werden.

146

3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

147

1. personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, FacebookID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

148

1. die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird.

149

4. Die Beklagte wird verurteilt der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.

150

5. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 354,62 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

151

Die Beklagte beantragt:

152

Die Berufung des Klägers wird zurückgewiesen.

153

5. Berufungserwiderung der Beklagten

154

Die Berufungserwiderung verteidigt das landgerichtliche Urteil. Die Beklagte macht insbesondere geltend,

155

– ein Verstoß gegen die Pflichten aus der DSGVO liege nicht vor,

156

– es fehle jedenfalls ein nachgewiesener kausaler Schaden,

157

– überwiegend hätten die befassten Landgerichte die Klagen abgewiesen.

158

1. Anwendungsbereich von Art. 82 DSGVO

159

Der Schutzbereich von Art. 82 DSGVO erfasse nicht

160

– die Verletzung von Aufklärungspflichten (Art. 5 Abs. 1 lit. a) DSGVO),

161

– einen Verstoß gegen die Vorgaben für die Sicherheit der Verarbeitung (Art. 24, 32 DSGVO),

162

– Verstöße gegen Art. 33, 34 DSGVO (Melde- und Benachrichtigungspflicht)

163

– einen Verstoß gegen Art. 35 DSGVO (Datenschutz-Folgenabschätzung).

164

Unter Art. 82 DSGVO könnten nur Verstöße erfasst werden, die im Rahmen einer Verarbeitung geschehen, dies ergebe sich auch aus dem Erwägungsgrund 146.

165

– Die Erteilung von Informationen (Art. 5 Abs. 1 lit. a) DSGVO) stelle keine Verarbeitung personenbezogener Daten dar.

166

– Art. 24 DSGVO enthalte nur eine Überblicks- und Generalnorm, begründe jedoch selbst keine konkreten Verpflichtungen, aus der Regelung lasse sich von vornherein kein subjektives Recht herleiten.

167

– Die Verletzung von Benachrichtigungs- und Informationspflichten (Art. 33, 34 DSGVO) falle nicht in den Schutzbereich, insoweit gehe es nicht um die Verarbeitung personenbezogener Daten.

168

– Da aus einer Verletzung von Art. 35 DSGVO kein Schaden für den Betroffenen resultieren, könne dieser keine Haftungsansprüche aus Art. 82 DSGVO geltend machen.

169

1. Verstöße gegen die DSGVO

170

Entgegen der klägerischen Auffassung könne kein Verstoß gegen die Regelungen der DSGVO festgestellt werden. Die Beweislast liege nach allgemeinen Grundsätzen beim Kläger, daran ändere auch die Entscheidung des EuGH nichts (C-175/20).

171

6. Die Beklagte habe keine Informations- oder Transparenzpflicht nach Art. 13, 14, 5 Abs. 1 lit. a) DSGVO verletzt, sondern alle Informationen über die Verwendung der Daten, insbesondere der Telefonnummer und der Funktion des Kontakt-Import-Tools ordnungsgemäß und transparent bereitgestellt. Die Berufungserwiderung zitiert insoweit wörtlich aus diversen landgerichtlichen Entscheidungen. Die Information ergebe sich aus der zum April 2018 geänderten Datenrichtlinie Anlage B 18, bezüglich der Mobilnummer aus der Anlage B 6. Die Datenschutzerklärung werde durch weitergehende Informationen im Hilfebereich ergänzt.

172

Die Beklagte sei nicht verpflichtet gewesen, weitere Informationen über einzelne Funktionen der Plattform zu erteilen, zumal der Europäische Datenschutzausschuss klargestellt habe, dass eine Datenschutzerklärung nicht zu viele rechtliche, technische oder fachbezogene Informationen enthalten solle.

173

1. Die Beklagte habe die Pflichten zur Implementierung angemessener technischer und organisatorischer Maßnahmen aus Art. 5 Abs. 1 lit. f) DSGVO nicht verletzt. Die Beklagte habe Anti-Scraping-Maßnahmen ergriffen, die regelmäßig überprüft und angepasst würden.

174

Eine unbefugte Offenlegung von Daten sei insoweit nicht erfolgt, weil der Abruf im Einklang mit den Privatsphäre-Einstellungen stand. Das Kontakt-Import-Tool ermögliche keinen unbefugten Zugriff im Sinne von Art. 32 Abs. 2 DSGVO, dies sei bereits mehrfach durch Landgerichte bestätigt.

175

Nachdem die abgegriffenen Daten öffentlich einsehbar waren, seien keine Pflichten aus Art. 32, 24, 5 Abs. 1 lit. f) DSGVO verletzt worden, es gelte allenfalls ein geringfügiges Risikopotential.

176

1. Eine Verpflichtung zur Meldung des Scraping-Vorfalls nach Art. 33 DSGVO habe nicht bestanden, da es an einer Verletzung des Schutzes personenbezogener Daten fehle, keines der Szenarien aus Art. 4 Nr. 12 DSGVO vorliege und auch kein zurechenbares Missbrauchspotential bestanden habe.

177

1. Da es an einer Verletzung des Schutzes personenbezogener Daten fehle, habe die Beklagte nicht gegen Art. 34 DSGVO verstoßen.

178

1. Angesichts der Zwecke der von der Beklagten betriebenen Plattform sei es im Hinblick auf den Zweck, Menschen zu verbinden, nicht zu beanstanden, dass die Telefonnummer standardmäßig suchbar gewesen sei, um eine leichtere Kontaktaufnahme unter den Nutzern zu ermöglichen. Es liege deshalb kein Verstoß gegen Art. 24, 25 DSGVO vor. Der Kläger hätte hier die Suchbarkeit einschränken können. Die Berufungserwiderung zitiert insoweit wiederum wörtlich aus diversen landgerichtlichen Entscheidungen.

179

1. Es entspreche der einhelligen Meinung aller bislang ergangenen Entscheidungen, dass die Beklagte ihre Pflichten aus Art. 35 DSGVO (Datenschutz-Folgenabschätzung) nicht verletzt habe.

180

1. Die Beklagte habe mit dem Schreiben B 16 das Auskunftsersuchen erfüllt (Art. 15 DSGVO). Die Beklagte sei nicht verpflichtet, über Verarbeitungstätigkeiten Dritter Auskunft zu erteilen. Die Auskunftserteilung über die Scraper sei jedenfalls unmöglich.

181

1. Schadenersatzanspruch

182

Es fehle an den Voraussetzungen eines Schadenersatzanspruchs.

183

1. Die Beklagte sei nicht für den eingetretenen Schaden verantwortlich, da Scraping nicht gänzlich verhindert werden könne, die Scraper keinen erkannten oder erkennbaren Angriffsweg genutzt hätten.

184

1. Es fehle an einem ersatzfähigen immateriellen Schaden. Hierfür sei

185

– eine tatsächliche Beeinträchtigung persönlichkeitsbezogener Belange von einigem Gewicht erforderlich,

186

– es müsse tatsächlich ein Nachteil festgestellt werden,

187

– negative Folgen wie negative Gefühle, Ärger und Verunsicherung würden nicht genügen,

188

– erforderlich sei, dass es sich nicht nur um eine bloß subjektive Wahrnehmung handle, sondern um eine objektive nachweisbare Beeinträchtigung der physischen oder psychischen Sphäre.

189

Die bloße Befürchtung eines Kontrollverlusts begründe keinen immateriellen Schaden, der EuGH habe hierzu auch noch keine Stellung bezogen. Auch der Erwägungsgrund 75 bezeichne den Kontrollverlust als schlichtes Risiko, also noch nicht als Schaden, erforderlich sei ein erheblicher Nachteil. Erwägungsgrund 146 Satz 6 belege, dass der Schaden tatsächlich erlitten, also spürbar und objektiv nachvollziehbar tatsächlich eingetreten sein müsse.

190

Aus dem Klägervortrag könne ein Kontrollverlust nicht hergeleitet werden, der Kläger habe keinen individuellen spürbaren Schaden dargelegt,

191

– die Sorge über einen möglichen Missbrauch sei in über 6.000 weiteren Schriftsätzen anderer Kläger so vorgetragen,

192

– die Veröffentlichung öffentlich sichtbarer Daten begründe keinen Kontrollverlust,

193

– der Kläger habe mit seinen Voreinstellungen die Suchbarkeit der Telefonnummer ermöglicht.

194

Das Oberlandesgericht Hamm habe in einem praktisch inhaltsgleichen Verfahren bestätigt, dass der Schaden nicht schlüssig dargelegt sei (Urteil vom 15.08.2023, I-7 U 19/23). Der Kläger habe seine Daten im Internet offengelegt, unter anderem auch seine Handynummer.

195

15. Es fehle an der erforderlichen Kausalität, zumal die Telefonnummer nicht preisgegeben worden sei (sondern von den Scrapern vorgegeben wurde). Die Berufungserwiderung zitiert insoweit wiederum wörtlich aus diversen landgerichtlichen Entscheidungen. Das Oberlandesgericht Hamm habe in einem praktisch inhaltsgleichen Verfahren bestätigt, dass die Kausalität fehle (Urteil vom 15.08.2023, I-7 U 19/23).

196

1. Die klägerseits vorgenommene Schadensberechnung sei offensichtlich rechtsfehlerhaft,

197

– bei der Bemessung könne nicht auf die Kriterien aus Art. 83 DSGVO abgestellt werden,

198

– eine Abschreckungswirkung dürfe nicht berücksichtigt werden, weil sonst ein überkompensatorischer Strafschadenersatz ausgeurteilt werde, Erwägungsgrund 146 Satz 6 nur vollständigen und wirksamen (keinen abschreckenden) Ersatz wolle (ebenso der EuGH in C-300/21 Rn. 58),

199

– maßgeblich sei danach alleine eine Kompensation.

200

Bei Zuerkennung eines Anspruchs sei allenfalls ein Schadenersatz im symbolischen Bereich angemessen,

201

– da der Kläger keine fühlbare Beeinträchtigung erlitten habe,

202

– die Beklagte Scraping-Maßnahmen ergriffen habe,

203

– der Schaden durch Dritte verursacht wurde,

204

– ein Kontrollverlust nur bei ohnehin öffentlichen Daten eingetreten sei.

205

1. Der Kläger habe die Suchbarkeit einschränken können, weshalb von einem Mitverschulden auszugehen sei.

206

1. Feststellung weiterer Ersatzpflicht

207

Der Antrag sei bereits unzulässig, denn die bloße Möglichkeit eines Schadenseintritts sei nicht ausreichend. Der Kläger habe nicht dargelegt, welche materiellen Schäden entstehen könnten und warum ein Schadenseintritt wahrscheinlich sei. Ein künftiger Schadenseintritt sei bei objektiver Betrachtung nicht ersichtlich, das Missbrauchspotential äußerst gering. Die Befürchtung, in dubiosen Verträgen drinzuhängen sei diffus und unsubstantiiert, auch die Kosten eines Wechsels der Telefonnummer begründeten keinen hinreichend wahrscheinlichen zukünftigen Schaden.

208

1. Unterlassung

209

Ein Unterlassungsanspruch bestehe nicht, denn

210

– Art. 17 DSGVO biete keine gesetzliche Grundlage für einen Unterlassungsanspruch, die Unterlassung zukünftiger Verarbeitung sei kein Minus, sondern ein aliud,

211

– die DSGVO sehe keine Unterlassungsansprüche vor,

212

– Art. 79 DSGVO sperre Unterlassungsansprüche aus nationalem Recht,

213

– jedenfalls lägen die Voraussetzungen für einen solchen Anspruch nicht vor.

214

Die Berufungserwiderung zitiert insoweit wiederum wörtlich aus diversen landgerichtlichen Entscheidungen.

215

1. Auskunft

216

Das Abrufen der Daten unterfalle nicht Art. 15 Abs. 1 DSGVO, mangels bewusster Datenweitergabe liege insbesondere keine Offenlegung vor.

217

1. Vorgerichtliche Rechtsanwaltskosten

218

Ein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten bestehe nicht.

219

6. Bemerkungen zum Verfahren

220

Wegen des weiteren Vortrags der Parteien wird auf die gewechselten Schriftsätze nebst den dazu vorgelegten Anlagen Bezug genommen. Hinsichtlich des Vortrags in der mündlichen Verhandlung und bezüglich der Angaben der Parteien wird außerdem auf das Protokoll der Sitzung vom 4. Oktober 2023 verwiesen.

221

1. Zulässigkeit der Berufung und Obersatz

222

Die Berufung ist zulässig, insbesondere innerhalb der vorgegebenen beziehungsweise verlängerten Fristen ordnungsgemäß eingelegt und begründet worden.

223

Die Berufung ist jedoch nur zu einem geringen Teil begründet (Feststellungsantrag), ansonsten zurückzuweisen, da ein immaterieller Schaden nicht dargelegt wurde, ein Unterlassungsanspruch nicht besteht und die Auskunft unmöglich ist.

224

III. Begründetheit der Berufung (Zulässigkeit der Anträge)

225

Die Anträge sind zulässig gestellt.

226

1. Unzulässigkeit (fehlende Klarheit, um welche Daten es geht)

227

Die Beklagte weist zutreffend darauf hin, dass hinsichtlich der Daten unterschiedlich bezüglich der abgegriffenen Daten vorgetragen wird. Dies führt jedoch nicht zur Unzulässigkeit der Klage. Denn der Kläger hat spezifiziert, dass es ihm um die Veröffentlichung seiner Mobilfunknummer und die erfolgte Verknüpfung der Daten von seinem Nutzerkonto geht (z.B. Blatt 182, 184, 189 AkteLG), weshalb ausreichend dargelegt wurde, welche Daten für den Fall relevant sein sollen.

228

2. Anspruch auf Schadensersatz (Antrag Ziffer 1)

229

1. Die Ansprüche werden nicht alternativ geltend gemacht (vergleiche hierzu BGH BeckRS 2023, 2055 Rn. 15), der Kläger verlangt einen angemessenen immateriellen Schadenersatz und stützt diesen auf mehrere Verstöße.

230

27. Die Tatsache, dass sich der Kläger beim Schadenersatzanspruch auf das kumulative Zusammenwirken mehrerer Verstöße beruft, führt nicht zur Unbestimmtheit des Antrags. Eine Mehrheit von Streitgegenständen kann zwar bei einem gleichen Antrag vorliegen, wenn die materiell-rechtliche Regelung die zusammentreffenden Ansprüche erkennbar unterschiedlich ausgestaltet (BGH, Beschluss vom 27.11.2013, III ZB 59/13, BeckRS 2013, 22405 Rn. 17). Der Kläger macht vorliegend jedoch einen einheitlichen Anspruch auf (immateriellen) Schadensersatz wegen unterschiedlicher Verstöße gegen die DSGVO geltend (ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 41), wobei er in der Sache auf das Abgreifen der Telefonnummer und die Verknüpfung mit seinen öffentlich zugänglichen Daten abstellt, einen einheitlichen Vorgang. Die Regelungen in der DSGVO, die dieses Verhalten betreffen, sind insoweit nicht erkennbar unterschiedlich ausgestaltet, sondern betreffen in der Sache jeweils den erforderlichen Schutz der persönlichen Daten des Klägers, regeln die Schutzanforderungen für unterschiedliche Phasen der Datenverarbeitung. So ist z.B. der Schutz vor unbefugter Verarbeitung (Art. 5 Abs. 1 lit. f) DSGVO eng verknüpft mit Art. 25 Abs. 2 DSGVO – in beiden Fällen geht es um eine Beschränkung der Zugriffsmöglichkeiten auf unbefugte Daten. Eine Mehrheit von Streitgegenständen kann deshalb nicht angenommen werden.

231

Aus diesen Gründen liegt auch keine verdeckte Teilklage vor (ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 42).

232

1. Im Übrigen würde die Auffassung der Beklagten im Ergebnis dazu führen, dass gegebenenfalls dann auch mehrere Ansprüche nebeneinander bestehen würden, also mehrfach Schadensersatz zuzusprechen wäre. Dieses Ergebnis ist von der Beklagten ersichtlich nicht gewollt.

233

3. Feststellungsinteresse (Antrag Ziffer 2 – weitergehende Ersatzpflicht)

234

1. § 256 Abs. 1 ZPO erlaubt die Erhebung einer Klage auf Feststellung des Bestehens oder Nichtbestehens eines gegenwärtigen Rechtsverhältnisses, wenn der Kläger ein rechtliches Interesse an einer entsprechenden alsbaldigen Feststellung hat. Unter einem Rechtsverhältnis im Sinne von § 256 Abs. 1 ZPO ist eine bestimmte, rechtlich geregelte Beziehung einer Person zu anderen Personen oder einer Person zu einer Sache zu verstehen. Dazu können einzelne auf einem umfassenderen Rechtsverhältnis beruhende Ansprüche oder Rechte gehören (BGH NJW 2017, 402 [403 Rn. 25]). Feststellungsfähig sind grundsätzlich Rechte aller Art.

235

Das Rechtsverhältnis der Parteien ist mit der begehrten Feststellung einer Ersatzpflicht der Beklagten gegenüber dem Kläger für weitere künftige Schäden aus dem unbefugten Datenabgriff ausreichend genau bezeichnet und ergibt sich aus Antrag und Begründung der Klage.

236

1. Für die Zulässigkeit einer Feststellungsklage bezüglich der Feststellung einer Ersatzpflicht bei künftigen Schäden wegen einer Persönlichkeitsrechtsverletzung genügt die bloße Möglichkeit eines durch die Pflichtverletzung verursachten Schadenseintritts, wovon auszugehen ist, wenn bei verständiger Würdigung mit einem Schaden wenigstens zu rechnen ist (BGH GRUR-RS 2021, 18696 Rn. 30; BGH NJW-RR 2014, 840 Rn. 18; BGH NJW-RR 2007, 601 Rn. 5). Diese Rechtsprechung ist auf Ansprüche aus Art. 82 DSGVO zu übertragen (OLG Hamm GRUR-RS 2023, 22505 Rn. 193). Für Vermögensschäden verwendet der Bundesgerichtshof auch die Formel, dass ausreichend ist, wenn nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann. Dagegen besteht ein Feststellungsinteresse für einen künftigen Anspruch auf Ersatz eines allgemeinen Vermögensschadens regelmäßig nicht, wenn der Eintritt irgendeines Schadens noch ungewiss ist (BGH NJW 2015, 1683 Rn. 15; BGH BeckRS 2014, 18681 Rn. 11).

237

Da die (endgültig) verlorene Kontrolle über die Telefonnummer einen weiteren Missbrauch der Nummer ermöglicht, z.B. für Spam-SMS o.ä., besteht die Möglichkeit weiterer immaterieller (gegebenenfalls auch materieller) Beeinträchtigungen.

238

Soweit das OLG Hamm (GRUR-RS 2023, 22505 Rn. 196 – 202) davon ausgeht, ein möglicher weiterer Schaden sei mit dem Vortrag drohender SPAM-Anrufe, SPAM-Mails und SPAM-SMS nicht hinreichend dargelegt, sei rein theoretischer Natur, knüpft die verneinende Argumentation an einen möglichen materiellen Schaden (der sich schon daraus ergeben kann, dass eine neue Handynummer beschafft werden muss) und lässt mögliche immaterielle Beeinträchtigungen nicht gelten (a.a.O. Rn. 201). Die Frage, ob in Zukunft eine immaterielle Beeinträchtigung eingetreten ist, ist jedoch erst im Rahmen der Geltendmachung weiterer Ansprüche zu betrachten, die bloße Möglichkeit künftiger Schäden kann nicht mit fehlenden Darlegungen für die Gegenwart verneint werden.

239

Auch die Veröffentlichung der Daten auf anderen Plattformen ändert daran nichts. Dies mag gegebenenfalls den künftigen Nachweis erschweren (oder unmöglich machen), ob die Beeinträchtigungen auf den Datenabgriff zurückzuführen sind, führt aber nicht zur Verneinung einer Möglichkeit künftiger Schäden.

240

4. Unterlassung (Antrag Ziffer 3)

241

1. § 253 Abs. 2 Nr. 2 ZPO verlangt einen bestimmten Antrag, der aus sich heraus verständlich ist. Ein Klageantrag ist grundsätzlich hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Antragstellers nicht durch vermeidbare Ungenauigkeiten auf den Gegner abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH NJW 2021, 1756 [1757 Rn. 15]; BGH NJW-RR 2019, 399 [400 Rn. 13]; BGH BeckRS 2018, 6447 Rn. 15 und ständig).

242

Für die Bestimmtheit einer Klage ist es im Allgemeinen ausreichend, wenn der geltend gemachte Anspruch als solcher identifizierbar ist. Wann diese Anforderungen erfüllt sind, kann nicht allgemein und abstrakt beantwortet werden. Vielmehr hängen Art und Umfang der erforderlichen Angaben von den Besonderheiten des anzuwendenden materiellen Rechts und den Umständen des Einzelfalls ab. Die Anforderungen an die Bestimmtheit eines Klageantrags sind danach in Abwägung des zu schützenden Interesses der Beklagtenseite, sich gegen die Klage erschöpfend verteidigen zu können, sowie seines Interesses an Rechtsklarheit und Rechtssicherheit hinsichtlich der Entscheidungswirkungen mit dem ebenfalls schutzwürdigen Interesse der Klägerseite an einem wirksamen Rechtsschutz festzulegen (BGH BeckRS 2018, 6447 Rn. 30 m.w.N.).

243

Während beim Antrag auf Vornahme einer Handlung nur der erstrebte Erfolg konkretisiert werden muss (BGH NJW 1996, 2725 [2726 zu einer Freistellungshandlung]; BGH NJW 1978, 1584 [1585]), sind Unterlassungsanträge zwar auslegungsfähig (BGHZ 124, 173 [175 f.]), müssen aber über den Wortlaut der Verbotsnorm hinaus möglichst genau die konkrete Verletzungsform wiedergeben, um nicht über den bestehenden materiellen Anspruch hinauszugehen. Die Rechtsprechung des Bundesgerichtshofs gestattet eine gewisse Verallgemeinerung von Antrag und Titel, wenn darin wenigstens das Charakteristische der konkreten Verletzungstatbestände zum Ausdruck kommt (sog. Kerntheorie; BGHZ 126, 287 [296] = NJW 1994, 2820; BGH NJW 2001, 3710 [3711]; BGH NJW 2000, 1792 [1794] – Gesetzeswiederholende Unterlassungsanträge).

244

3. Unabhängig davon, dass der Antrag auch einen Leistungsanteil enthalten mag, geht es dem Kläger mit der begehrten Rechtsfolge um ein Unterlassen. Er verlangt für die Zukunft die Unterlassung, seine personenbezogenen Daten über eine Software zum Importieren von Kontakten zugänglich zu machen (3.a.) und die Unterlassung einer Verarbeitung seiner Telefonnummer ohne hinreichende Informationen über deren Verwendungsmöglichkeiten (3.b.). Die Implementierung der erforderlichen Sicherheitsmaßnahmen und das Verlangen um transparente Informationen stellen sich danach lediglich als unselbständige Nebenpflichten dar, die untrennbar mit der primär begehrten Unterlassung verbunden sind. Dies ergibt sich jeweils aus der Formulierung der Anträge (3.a.: … ohne … Sicherheitsmaßnahmen vorzusehen; 3.b.: … namentlich ohne eindeutige Informationen …; a.A. OLG Hamm GRUR-RS 2023, 22505 Rn. 205 – 207, 224).

245

Die vom Kläger jeweils begehrten Unterlassungen sind hinreichend exakt bestimmt, denn er verlangt

246

– die Unterlassung der Zugänglichmachung seiner personenbezogenen Daten über eine Software zum Importieren von Kontakten ohne hinreichende Sicherheitsmaßnahmen und

247

– die Unterlassung der Verarbeitung seiner Telefonnummer ohne eindeutige Informationen, dass diese auch bei der Einstellung „privat“ ausgelesen werden kann.

248

Offen und unbestimmt ist das Verlangen nach einer Implementierung von „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen …, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern“, weil danach nicht einmal beispielhaft umschrieben ist, welche Sicherheitsmaßnahmen verlangt werden, diese also von der Beklagten vorzusehen sind. Dies führt jedoch nicht zur Unzulässigkeit, da die Maßnahmen der Beklagten überlassen bleiben müssen, weil es Sache des Verpflichteten ist, zu entscheiden, wie er das geschuldete Ergebnis herbeiführt (BAG NJW 2010, 1901 Rn. 8). Zudem ist das Rechtsschutzziel eindeutig umschrieben, indem verlangt wird, dass eine Ausnutzung des Systems für andere Zwecke als die Kontaktaufnahme verhindert werden soll. Die konkrete Verletzungshandlung – die Möglichkeit des Zugriffs auch ohne Kontaktaufnahme zum Nutzer – ist damit im Ergebnis eindeutig umschrieben.

249

Im Übrigen ist dem Kläger eine exakte Beschreibung der Sicherheitsmaßnahmen gar nicht möglich, eine Unbestimmtheit des Antrags darf deshalb nicht zu seinen Lasten gehen. In besonders gelagerten Fällen können bei der Bemessung der Anforderungen, die zur Sicherung der Bestimmtheit des Unterlassungsantrags und des entsprechenden Urteilsausspruchs aufzustellen sind, die Erfordernisse der Gewährung eines wirksamen Rechtsschutzes mit abzuwägen sein (BGH NJW 2004, 2080 [2084]; BGHZ 142, 388 [391] = NJW 2000, 2207 = GRUR 2000, 228 – Musical-Gala). Die Anforderungen an die Konkretisierung des Streitgegenstands in einem Unterlassungsantrag sind demgemäß auch abhängig von den Besonderheiten des jeweiligen Sachgebiets (BGH NJW 2004, 2080 [2084]; BGH, GRUR 2002, 1088 [1089] = WRP 2002, 1269 – Zugabenbündel). Da der Kläger mangels dezidierten Vortrags der Beklagten zu den ergriffenen Maßnahmen diese nicht konkreter definieren kann, die Beklagte insoweit auch keinen Einblick in entsprechende Geschäftsgeheimnisse gewähren muss (hierzu im Prozess nur ganz allgemein vorgetragen hat, dass sie eine Vielzahl von Maßnahmen zur Begrenzung ergriffen hat) und sich die Sicherheitsanforderungen zudem verändern können, erscheint es im Interesse einer wirksamen Rechtsschutzgewährung hinnehmbar, insoweit eine auslegungsbedürftige Formulierung zu verwenden.

250

Der Antrag Ziffer 3.b. ist hinreichend bestimmt formuliert, denn durch den Zusatz „namentlich“ wird eindeutig formuliert, um was es dem Kläger geht, die Unterlassung einer Verarbeitung seiner Telefonnummer ohne einen Hinweis darauf, dass diese auch bei einer von ihm eingeschränkten Zugänglichmachung auf „privat“ dennoch im Kontakt-Import-Tool und im Messenger verwendet werden kann.

251

1. Internationale Zuständigkeit, deutsches Recht

252

1. Internationale Zuständigkeit

253

27. Die von Amts wegen zu prüfende (BGH, Urteil vom 27.02.2018, VI ZR 489/16, NJW 2018, 2324 Rn. 15) internationale Zuständigkeit ergibt sich ab dem 25.05.2018 (vergleiche Art. 99 Abs. 2 DSGVO zum zeitlichen Anwendungsbereich) aus Art. 79 Abs. 2 Satz 2 DSGVO. Nach Art. 79 Abs. 2 Satz 1 DSGVO sind für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist (Art. 79 Abs. 2 Satz 2 DSGVO). Nachdem der Kläger an seinem Wohnsitzgericht Klage erhoben hat, besteht eine Vermutung dahingehend, dass er an seinem Aufenthaltsort geklagt hat (BGH BeckRS 2020, 23312 Rn. 16; vergleiche zur Unsicherheit bezüglich des Begriffs Mundil in BeckOK Datenschutzrecht, Stand 01.11.2021, Art. 79 Rn. 18).

254

1. Eine internationale Zuständigkeit folgt auch aus

255

– Art. 7 Nr. 2, 63 Abs. 1 lit. a), lit c. und 63 Abs. 2 der Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12. Dezember 2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (im folgenden Brüssel Ia-VO), da die Beklagte ihren satzungsmäßigen Sitz in Irland hat und das schädigende Ereignis aus einem deliktischen Tatbestand auch in Deutschland eingetreten ist (vergleiche BGHZ 217, 350 [354 ff. Rn. 15 – 19] zu § 32 ZPO; ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 36),

256

– Art. 17 Abs. 1 c, 18 Abs. 1 Brüssel Ia-VO, nachdem der Kläger als Verbraucher gehandelt hat,

257

– Art. 26 Abs. 1 Brüssel Ia-VO, weil sich die Beklagte – auch entsprechend Ziffer 4 ihrer Nutzungsbedingungen – in beiden Instanzen rügelos eingelassen hat (BGH BeckRS 2023, 17918 Rn. 15; BGH BeckRS 2023, 17516 Rn. 11; ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 36).

258

2. Sachliche und örtliche Zuständigkeit

259

Die vom Landgericht bejahte sachliche und örtliche Zuständigkeit ist im Berufungsverfahren ohne Relevanz, denn § 513 Abs. 2 ZPO untersagt dem Berufungsgericht die Prüfung der örtlichen, sachlichen und funktionellen Zuständigkeit (BGH, Beschluss vom 29.09.2021, XII ZB 495/20 Rn. 12 zu § 571 Abs. 2 Satz 2 ZPO; ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 37).

260

3. Deutsches Recht

261

Auf das Vertragsverhältnis ist deutsches Recht anzuwenden. Der Vertrag unterliegt nach Art. 3 Abs. 1, Art. 6 Abs. 2 der VO (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17.6.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I-VO; ABl. 2008 L 177, Seite 6) dem von den Parteien ausweislich der Ziffer 4 der Nutzungsbedingungen

262

Wenn du ein Verbraucher bist und deinen ständigen Wohnsitz in einem Mitgliedstaat der Europäischen Union hast, gelten die Gesetze dieses Mitgliedstaats für jeglichen Anspruch, Klagegegenstand oder Streitfall, den du uns gegenüber hast und der sich aus diesen Nutzungs-bedingungen oder aus den Facebook-Produkten oder im Zusammenhang damit ergibt („Anspruch“). Du kannst deinen Anspruch vor jedwedem Gericht in diesem Mitgliedsstaat klären lassen, dass für den Anspruch zuständig ist.

263

gewählten deutschen Recht (BGH, Urteil vom 12.07.2018, III ZR 183/17, NJW 2018, 3178 [3179 Rn. 20]).

264

1. Begründetheit der Berufung (Anspruch auf Schadenersatz)

265

Die Berufung des Klägers hat keinen Erfolg. Das Landgericht hat im Ergebnis zutreffend einen Anspruch auf Schadenersatz aus Art. 82 DSGVO verneint. Die (erneute) Anhörung des Klägers vor dem Senat hat die schon vom Landgericht festgehaltenen Zweifel bestätigt, ob durch den Datenabgriff Beeinträchtigungen hervorgerufen wurden, die einen immateriellen Schaden begründen.

266

Der Abgriff der Daten hat zwar einen (endgültigen) Kontrollverlust ausgelöst, aufgrund der Schilderungen des Klägers kann aber keine Überzeugung dahingehend gewonnen werden, dass der Kläger eine spürbare immaterielle Beeinträchtigung erlitten hat.

267

Der Anspruch auf Schadenersatz aus Art. 82 Abs. 1 DSGVO setzt voraus, dass

268

– der Anspruchssteller als betroffene Person anzusehen ist,

269

– ein Verstoß gegen die DSGVO vorliegt,

270

– ein materieller oder immaterieller Schaden entstanden ist,

271

– durch beziehungsweise wegen dieses Verstoßes, also der Schaden kausal auf die Pflichtverletzung zurückzuführen ist.

272

1. Vorgaben für einen Schaden

273

1. Art. 82 DSGVO erfasst materielle und immaterielle Schäden.

274

4. Der Europäische Gerichtshof hat mit Urteil vom 04.05.2023 vorgegeben, dass die Worte „materieller oder immaterieller Schaden“ nicht auf das Recht der Mitgliedstaaten verweisen, weshalb sie als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedstaaten einheitlich auszulegen sind, eine einheitliche unionsrechtliche Definition erhalten müssen (EuGH GRUR-RS 2023, 8972 Rn. 30, 44; ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 136; OLG Hamm GRUR-RS 2023, 1263 Rn. 98; OLG Koblenz BeckRS 2022, 11126 Rn. 59, Aliprandi, Datenschutzrechtlicher Schadensersatz nach Art. 82 DSG-VO, 2023, Seite 134, 261 f.). Da ein bloßer Verstoß gegen die DSGVO nicht ausreicht, muss konkret festgestellt werden, dass die (vom Anspruchssteller zu beweisenden) Folgen einen Schaden darstellen (EuGH GRUR-RS 2023, 8972 Rn. 32, 50).

275

Damit kann bezüglich des (immateriellen) Schadens nicht einfach auf das herkömmliche deutsche Verständnis abgestellt werden. Hier ist der immaterielle Schaden im Gegensatz zum materiellen Schaden (einem Vermögensschaden) einzuordnen. Der Vermögensschaden ist in Geld messbar und darf nicht der Persönlichkeitssphäre zuzuordnen sein. Der immaterielle Schaden ist demgegenüber nicht in Geld messbar, er betrifft ideelle Güter wie Gesundheit, körperliches Wohlbefinden, Möglichkeiten der Freizeitgestaltung, Lebensfreuden und –genüsse aller Art (Lange/Schiemann, Handbuch des Schuldrechts, Schadensersatz, 3. Aufl. 2003, § 2 I 2, Seite 52). Auch unionsrechtlich ist der immaterielle Schaden als Nichtvermögensschaden einzuordnen (Aliprandi, Datenschutzrechtlicher Schadensersatz nach Art. 82 DSG-VO, 2023, Seite 258, 295).

276

Der Europäische Gerichtshof hat im Urteil vom 04.05.2023 inhaltlich keine weiteren Ausführungen gemacht, wann ein Schaden nach unionsrechtlichem Verständnis vorliegt (ebenso Fuhlrott/Fischer, NZA 2023, 606 [609]; Bär EuZW 2023, 565 [566]). Es gibt bislang keine abstrakte Definition eines einheitlichen unionsrechtlichen Schadensbegriffs durch den Europäischen Gerichtshof (Aliprandi, Datenschutzrechtlicher Schadensersatz nach Art. 82 DSG-VO, 2023, Seite 253 m.w.N. in Fn. 1087).

277

3. Für – den hier relevanten – immateriellen Schaden (ein materieller Schaden ist nicht geltend gemacht) kann allgemein ausgeführt werden, dass auch insoweit Verletzungen und Beeinträchtigungen des Persönlichkeitsrechts gemeint sind (Gola/Piltz in Gola/Heckmann, DSGVO, 3. Aufl. 2022, Art. 82 Rn. 13; Paal MMR 2020, 14 [16 f.]; Aliprandi, Datenschutzrechtlicher Schadensersatz nach Art. 82 DSG-VO, 2023, Seite 258).

278

Der Erwägungsgrund 75 sieht als materielle oder immaterielle Schäden an, wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren. Auch im Erwägungsgrund 85 wird darauf abgestellt, dass die Verletzung einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen muss, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. Der Begriff des Schadens soll weit ausgelegt werden, die betroffene Person soll einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten (Erwägungsgrund 146 Satz 6; ebenso OLG Frankfurt NJW-RR 2022, 1608 [1611 Rn. 41]).

279

Art. 82 DSGVO kommt insoweit auch eine Kompensationsfunktion zu (Paal NJW 2022, 3673 [3675 m.w.N. in Fn. 31]).

280

Eine wirtschaftliche Betrachtung zur Ermittlung des immateriellen Schadens verbietet sich (OLG Frankfurt NJW-RR 2022, 1608 [1611 Rn. 43]; Dickmann r+s 2018, 345 [352]).

281

Da der Schaden ausdrücklich „erlitten“ werden muss (Erwägungsgrund 146), nach dem Wortlaut von Art. 82 Abs. 1 DSGVO verlangt wird, dass der Schaden „entstanden ist“, ist erforderlich, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (OLG Frankfurt GRUR 2022, 1252 [1255 Rn. 62]; OLG Hamm GRUR-RS 2023, 22505 Rn. 140, 142; OLG Hamm BeckRS 2023, 1263 Rn. 99; OLG Koblenz BeckRS 2022, 11126 Rn. 61).

282

Angesichts der weiten Formulierungen der Erwägungsgründe wonach bereits

283

– eine Diskriminierung,

284

– die Rufschädigung,

285

– der Verlust der Vertraulichkeit,

286

– der (eingetretene) Verlust der Kontrolle über die personenbezogenen Daten

287

einen (immateriellen) Schaden begründen können, kann gegebenenfalls beim tatsächlichen Vorliegen entsprechender immaterieller Beeinträchtigungen ein entsprechender Schaden anzunehmen sein (ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 140: „tatsächlich und sicher besteht“; OLG Hamm GRUR-RS 2023, 1263 Rn. 105; weitergehend OLG Koblenz BeckRS 2022, 11126 Rn. 68: ungutes Gefühl der Ungewissheit, ob personenbezogene Daten Unbefugten bekannt geworden sind, begründet immateriellen Schaden).

288

Dafür, dass in der mit dem (eingetretenen) Verlust der Datenkontrolle verbundenen seelisch belastenden Ungewissheit über das Schicksal ihrer Daten ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegt, spricht nicht nur Erwägungsgrund 75 DSGVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird. Hierzu ist weiter auszuführen, dass mit dem Begriff des immateriellen Schadens in den meisten Rechtsordnungen Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden (Schlussanträge des GA N. Wahl v. 25.07.2018 – verb. Rs. C-138/17 P und C-146/17 P Rn. 83) und der EuGH ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt. Der Gerichtshof verlangt zwar, dass ein Schaden tatsächlich und sicher sein muss (EuGH GRUR 2023, 713 Rn. 38, 46, 49; EuGH BeckRS 2018, 31923 Rn. 86; EuGH Urteil vom 04.04.2017 – C-337/15 Rn. 91; ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 140), auch ein lang anhaltender Zustand belastender Ungewissheit kann aber bereits einen immateriellen Schaden darstellen (EuGH Urteil vom 13.12.2018 – C-138/17 u.a. Rn. 61; EuG Urt. v. 17.12.1998 – T-203/96 Rn. 108; vergleiche dazu OLG Düsseldorf BeckRS 2021, 38036 Rn. 41; OLG Frankfurt NJW-RR 2022, 1608 [1611 Rn. 43], das ebenfalls den bloßen Kontrollverlust genügen lässt).

289

Im Verfahren C-340/21 führt der Generalanwalt in seinem Schlussantrag (GRUR-RS 2023, 8707) aus, dass

290

– der Europäische Gerichtshof bereits Ärgernisse und Unannehmlichkeiten als eigenständige Schadenskategorie anerkennt (GRUR-RS 2023, 8707 Rn. 80 m.w.N. in Fn. 38),

291

– schon dann, wenn ein Missbrauch von Daten nur möglich und nicht bereits eingetreten sei, für einen Schaden genüge, wenn nachgewiesen werde, dass die Befürchtung des Missbrauchs tatsächlich und konkret real einen sicheren emotionalen Schaden verursacht habe (GRUR-RS 2023, 8707 Rn. 82 m.w.N. in Fn. 39; ebenso Bergt in: Kühling/Buchner, 3. Aufl. 2020, Art. 82 DSGVO Rn. 18b und OLG Hamm GRUR-RS 2023, 1263 Rn. 105, wonach schon das ungute Gefühl der Ungewissheit genügt, ob personenbezogene Daten Unbefugten bekannt geworden sind),

292

– entscheidend seien die Objektivierung einer nachweisbaren Beeinträchtigung der physischen und psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen Daten und deren Bedeutung im Leben der betroffenen Person und vielleicht auch die Wahrnehmung der Gesellschaft von dieser spezifischen Beeinträchtigung (GRUR-RS 2023, 8707 Rn. 83).

293

Europarechtlich genügt danach eine immaterielle Beeinträchtigung, wozu auch der Verlust der Vertraulichkeit und (jedenfalls) der konkret eingetretene Verlust der Kontrolle bezüglich der relevanten personenbezogenen Daten gehört. Der Generalanwalt lässt die unspezifische Behauptung, durch den Kontrollverlust einen immateriellen Schaden erlitten zu haben, jedoch zu Recht nicht genügen, weil er die Objektivierung einer nachweisbaren Beeinträchtigung verlangt (GRUR-RS 2023, 8707 Rn. 83). Insbesondere stellt er klar, dass die bloße Beunruhigung aus seiner Sicht noch nicht genügt.

294

Ein bloß abstrakter Kontrollverlust genügt danach nicht. Das OLG Hamm hat in diesem Zusammenhang zutreffend darauf hingewiesen, dass mit der Realisierung der generellen Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten zwangsläufig ein Kontrollverlust verbunden ist, weil dieser bei jedem Verstoß in der Form einer Offenlegung oder Zugänglichmachung von Daten eintritt, weshalb eine tatsächliche materielle oder immaterielle Beeinträchtigung festzustellen ist (OLG Hamm GRUR-RS 2023, 22505 Rn. 143 – 144; weitergehend Bergt in Kühling/Buchner, DSGVO, 3. Aufl. 2020, § 82 Rn. 18b; Korch NJW 2021, 978 [980]). Auch wenn keine Erheblichkeitsschwelle gilt (dazu nachfolgend b.), muss eine über das allgemeine Lebensrisiko, alltägliche Lästigkeiten, ausgelöste negative Gefühle wie Ärger, subjektiv empfundene Unannehmlichkeiten, unspezifische Unlustgefühle, Sorgen und Ängste hinausgehende spürbare Beeinträchtigung vorliegen, muss ein tatsächlich entstandener immaterieller Nachteil festgestellt werden (vergleiche zum Streitstand Aliprandi, Datenschutzrechtlicher Schadensersatz nach Art. 82 DSG-VO, 2023, Seite 313 – 316). Dem entspricht, dass nach der Rechtsprechung des Europäischen Gerichtshofs ein zu ersetzender Schaden tatsächlich und sicher entstanden sein muss (EuGH GRUR 2023, 713 Rn. 38, 46, 49; EuGH BeckRS 2018, 31923 Rn. 86; EuGH Urteil vom 04.04.2017 – C-337/15 Rn. 91; OLG Hamm GRUR-RS 2023, 22505 Rn. 140 m.w.N.).

295

Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat (BGH NJW 1995, 2361; juris Rn. 17; zur Notwendigkeit konkreten Vortrags zum Beleg für innere Unruhe und Unbehagen; siehe auch EuG BeckRS 2017, 102499 Rn. 119, bestätigt durch EuGH BeckRS 2018, 31923 Rn. 111). Der Bundesgerichtshof hat mit Beschluss vom 26.09.2023 (VI ZR 97/22 Rn. 33) dem Europäischen Gerichtshof die Frage vorgelegt, ob derartige negative Gefühle, wie z.B. auch Ärger, Unmut, Unzufriedenheit, Sorge und Ängste vor weiteren Verstößen, Sorge vor einer Rufschädigung, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, bereits einen immateriellen Schaden im Sinne der Norm darstellen.

296

4. Der Europäische Gerichtshof (ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 138; OLG Hamm BeckRS 2023, 1263 Rn. 102; OLG Koblenz BeckRS 2022, 11126 Rn. 62) hat in seinem Urteil vom 04.05.2023 ausdrücklich festgehalten, dass für das Vorliegen eines Schadens keine Erheblichkeits- oder Bagatellschwelle gilt, weil

297

– der Wortlaut von Art. 82 Abs. 1 DSGVO keine entsprechende Einschränkung enthält (EuGH GRUR-RS 2023, 8972 Rn. 45),

298

– Satz 3 des 146. Erwägungsgrundes eine weite Auslegung des Schadensbegriffs verlange, die Beschränkung auf Schäden mit einer gewissen Erheblichkeit aber hierzu im Widerspruch stünde (EuGH GRUR-RS 2023, 8972 Rn. 46),

299

– nach Satz 3 des Erwägungsgrundes 146 den Zielen der DSGVO bei der Definition des Begriffs „Schaden“ „den Zielen dieser Verordnung in vollem Umfang“ zu entsprechen sei (EuGH GRUR-RS 2023, 8972 Rn. 47).

300

4. Der europäische Gerichtshof hat im Urteil vom 04.05.2023 vorgegeben, dass wegen fehlender unionsrechtlicher Vorschriften die Festlegung der Kriterien für die Ermittlung des Umfangs des im Rahmen von Art. 82 Abs. 1 DSGVO geschuldeten Schadensersatzes in der Aufgabe des jeweiligen Mitgliedsstaats liegt, wobei der Äquivalenz- und Effektivitätsgrundsatz zu beachten sind (EuGH GRUR-RS 2023, 8972 Rn. 54).

301

Der Äquivalenzgrundsatz ist unproblematisch, da er nur besagt, dass „diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen“ (EuGH GRUR-RS 2023, 8972 Rn. 53).

302

Was den Effektivitätsgrundsatz betrifft, ist es nach dem EuGH „Sache des vorlegenden Gerichts, festzustellen, ob die im [nationalen] Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadenersatzes, der aufgrund des in Art. 82 DS-GVO verankerten Schadenersatzanspruchs geschuldet wird, die Ausübung der durch das Unionsrecht und insbesondere durch diese Verordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren“ (EuGH GRUR-RS 2023, 8972 Rn. 56). Damit hat er den nationalen Gerichten insoweit weitgehende Freiheiten eingeräumt. Denn der österreichische OGH wollte wissen, ob seine Ansicht zutrifft, dass der unionsrechtliche Effektivitätsgrundsatz nur begrenzte Auswirkungen haben dürfe, da in der DSGVO für den Fall des Verstoßes gegen ihre Vorschriften bereits hohe Strafen vorgesehen seien und es daher nicht erforderlich sei, darüber hinaus einen hohen Schadenersatz zuzusprechen, um die praktische Wirksamkeit der DSGVO zu gewährleisten. Der aus diesem Grund geschuldete Schadenersatz müsse verhältnismäßig, wirksam und abschreckend sein, damit der zugesprochene Schadenersatz eine Ausgleichsfunktion erfüllen könne, darf aber keinen Strafcharakter haben, der dem Unionsrecht fremd sei (EuGH GRUR-RS 2023, 8972 Rn. 18; für eine wirkliche Abschreckung auch Bergt in: Kühling/Buchner, 3. Aufl. 2020, Art. 82 DSGVO Rn. 17, 18). Zur Konkretisierung des Effektivitätsgrundsatzes wird nur formuliert (EuGH GRUR-RS 2023, 8972 Rn. 57 f.):

303

In diesem Zusammenhang ist darauf hinzuweisen, dass der sechste Satz des 146. Erwägungsgrundes der DS-GVO besagt, dass dieses Instrument einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen soll.

304

Wie der Generalanwalt in den Nrn. 39, 49 und 52 seiner Schlussanträge im Wesentlichen ausgeführt hat, ist in Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs eine auf diese Bestimmung gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert.

305

Dies führt dazu, dass die nationalen Gerichte frei entscheiden können, mit welcher Geldentschädigung der immaterielle Schaden vollständig ausgeglichen wird, ohne eine darüber hinausgehende „Effektivität“ prüfen zu müssen.

306

Während der materielle Schaden nach dem Prinzip der Differenzhypothese durch einen Vermögensvergleich der Vermögensmassen vor und infolge der Rechtsverletzung zu berechnen ist, sind immaterielle Schäden mit einer „billigen Entschädigung“, also einer angemessenen Entschädigung auszugleichen, wobei neben dem Ausgleich der Beeinträchtigung auch Fragen der Genugtuung und Prävention berücksichtigt werden können (BGH NJW 2005, 215 [216]; BGH NJW 2000, 2195 [2197]; BGH NJW 1996, 984). Maßgeblich sind jeweils die Umstände des Einzelfalls.

307

Der Ausgleich immaterieller Schäden nach deutschem Recht stellt neben dem Ausgleich und der Genugtuungsfunktion auch auf präventive Aspekte ab:

308

– Ausgleichsfunktion: Für die Schäden nicht vermögensrechtlicher Art soll ein angemessener Ausgleich gefunden werden (BGH NJW 2022, 1443 [1444 Rn. 11]). Aus dem Erwägungsgrund 146 kann insoweit hergeleitet werden, dass der vollständige Schadenersatz die Kompensation, also den Ausgleich des entstandenen immateriellen Schadens erreichen will.

309

– Genugtuungsfunktion: Der zuerkannte Betrag soll dem Gedanken Rechnung tragen, dass der Schädiger dem Geschädigten für das, was er ihm angetan hat, Genugtuung schuldet (BGH NJW 2022, 1443 [1444 Rn. 11]). Die Genugtuungsfunktion bringt eine durch den Schadensfall hervorgerufene persönliche Beziehung zwischen Schädiger und Geschädigtem zum Ausdruck, die es aus der Natur der Sache heraus gebietet, alle Umstände des Falls in den Blick zu nehmen und, sofern sie dem einzelnen Schadensfall sein besonderes Gepräge geben, bei der Bestimmung der Leistung zu berücksichtigen (BGH NJW 2022, 1443 [1444 Rn. 12]).

310

– Präventionsfunktion: Die Höhe des Schadensersatzes muss dafür Sorge tragen, dass sich deliktisches und persönlichkeitsrechtverletzendes Verhalten nicht lohnt (Brand in BeckOGK BGB, Stand 01.03.2022, § 253 Rn. 16; Wagner NJW 2002, 1049 [1054 f.]) Der EuGH spricht dem Schadenersatz ebenfalls eine abschreckende Wirkung zu, die allerdings in einem angemessenen Verhältnis zum erlittenen Schaden stehen soll (EuGH GRUR-RS 2023, 8972 Rn. 18; EuGH NJW 2021, 2873 Rn. 38 f.; EuGH EuZW 2016, 183 Rn. 33, 37, 45).

311

Bezüglich der Höhe des Schadensersatzes sind bei Beachtung des Äquivalenz- und Effektivitätsgrundsatzes alle Umstände des Einzelfalles zu würdigen, wobei im Rahmen von § 287 ZPO ein weiter Ermessensspielraum besteht (BAG NJW 2022, 2779 [2780 Rn. 12, 13, 16]). Primärer Maßstab sind die erlittenen Beeinträchtigungen, die Bedeutung und Tragweite des Eingriffs sowie Anlass und Beweggrund des Handelnden (Gola/Piltz in Gola/Heckmann, DSGVO, 3. Aufl. 2022, Art. 82 Rn. 13).

312

In Rechtsprechung und Literatur wird auch ein differenzierter und eingeschränkter Rückgriff auf Art. 83 Abs. 2 DSGVO vorgeschlagen (LAG Hamm BeckRS 2022, 21866; Paal NJW 2022, 3673 [3678], das LG Saarbrücken hat diese Frage dem EuGH vorgelegt – vergleiche dazu ZD 2022, 162). Abzustellen ist danach darauf, welche Daten konkret abgeflossen sind und welche Folgen dies haben kann beziehungsweise hat. Je intimer, finanziell bedrohlicher, potentiell ehrverletzender oder kränkender und persönlich wichtiger (Eingriff in das Familienleben oder das berufliche Umfeld) die abgeflossenen Daten sind, desto höher ist der immaterielle Schaden zu bemessen (Dickmann r+s 2018, 345 [352]). Neben der Schwere des Eingriffs ist auch die Dauer des Verstoßes ein Bemessungskriterium (Quaas in BeckOK Datenschutzrecht, Stand 01.05.2023, Art. 82 Rn. 31a). Da das maßgebliche deutsche Recht für die Bemessung keinen Strafschadenersatz anerkennt, kann nicht auf einen Strafcharakter abgestellt werden. Eine wie auch immer geartete Sanktionswirkung darf deshalb für die Bemessung der Entschädigung keine Rolle spielen (ebenso OLG Hamm GRUR-RS 2023, 1263 Rn. 144; vergleiche auch EuGH GRUR 2023, 713 Rn. 37 zu Art. 94 der VO 2100/94). Schon allein deshalb kann – entgegen der Auffassung des Klägers – auch nicht an die Kriterien aus Art. 83 DSGVO angeknüpft werden.

313

Wegen der generalpräventiven Wirkung des immateriellen Schadenersatzes ist es im Hinblick auf die Ziele der DSGVO (Art. 1 DSGVO) geboten, auch kleinere Verstöße ohne Anerkennung einer Bagatellgrenze zu sanktionieren (ebenso OLG Hamm GRUR-RS 2023, 1263 Rn. 109).

314

4. Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt der Kläger als Anspruchsteller. Der Europäische Gerichtshof hat in seinem Urteil vom 04.05.2023 (C-300/21) insoweit ausdrücklich festgehalten, dass die von einem Verstoß gegen die DSGVO betroffene Person den Nachweis führen muss, dass die geltend gemachten Folgen einen immateriellen Schaden im Sinne der Verordnung darstellen (EuGH GRUR-RS 2023, 8972 Rn. 50).

315

2. Unzureichender schriftsätzlicher Vortrag

316

Die Klägervertreter haben inhaltlich identisch mit den anderen beim Senat anhängigen Verfahren (derzeit über 100 Verfahren, bundesweit laut Beklagter mehr als 6.000 Verfahren) lediglich abstrakt und damit nicht ausreichend substantiiert für den konkreten Einzelfall vorgetragen, es gebe unregelmäßig unbekannte und dubiose Kontaktversuche via SMS und Mail (Nachrichten mit offensichtlichen Betrugsversuchen und potentiellen Virenlinks), deshalb bestehe ein(e)

317

– erheblicher Kontrollverlust über die Daten mit großem Unwohlsein und großer Sorge über einen möglichen Missbrauch,

318

– verstärktes Misstrauen bezüglich Mails und Anrufen von unbekannten Nummern,

319

– Ungewissheit über die Verarbeitung der eigenen Daten,

320

– da eine Vielzahl von Personen und Daten betroffen sei, sei auch nach dem effet-utile-Grundsatz geboten, Schadenersatz zu gewähren (generell präventive und sanktionierende Wirkung des Schadenersatzanspruchs),

321

– Telekommunikationsdaten seien hoch sensibel.

322

Der Senat verkennt nicht, dass ein Sachvortrag bereits dann schlüssig und ausreichend substantiiert ist, wenn die vorgetragenen Tatsachen in Verbindung mit einem Rechtssatz geeignet sind, das geltend gemachte Recht zu begründen (BGH, Urteil vom 28.04.2023, V ZR 270/21 Rn. 22). Diese Definition gerät jedoch an eine natürliche Grenze, wenn – wie in den vorliegenden Verfahren – inhaltlich und wörtlich identisch vorgetragen wird, weil damit die erforderliche konkret-individuelle und tatsächliche Beeinträchtigung nicht mehr hinreichend dargelegt worden ist. Der Kontrollverlust oder die Sensibilität der Daten bewirken außerdem gerade noch kein Vorliegen einer immateriellen Beeinträchtigung. Ein eingetretener Kontrollverlust und die damit verbundenen Gefühle der Unsicherheit oder etwaige Unannehmlichkeiten geben gerade noch keine Auskunft über konkrete, spürbare persönliche Auswirkungen. Entsprechende Gefühle begründen danach noch keinen immateriellen Schaden.

323

Selbst wenn man unterstellt, Unwohlsein, Misstrauen oder eine Ungewissheit seien nicht messbare immaterielle Beeinträchtigungen, begründet der wortgleiche Vortrag in allen Verfahren zumindest Zweifel, ob diese tatsächlich auch beim Kläger vorgelegen haben. Schon das Landgericht hat hierzu richtig ausgeführt, dass der Vortrag nicht ausreichend substantiiert erfolgt ist und entsprechende SPAM-Nachrichten dem allgemeinen Lebensrisiko zuzurechnen sind.

324

Da auch das Berufungsgericht auf Schlüssigkeitsbedenken hinweisen muss, Gelegenheit zur Ergänzung des Sachvortrags geben muss, wenn – anders als das erstinstanzliche Gericht – ein Klagevorbringen nicht als ausreichend angesehen wird (BGH, Urteil vom 27.09.2006, VIII ZR 19/04 Rn. 19, NJW 2007, 2414; BGH NJW-RR 2003, 1718 [1719]), war der Kläger ergänzend anzuhören.

325

3. Anhörung des Klägers

326

Die Anhörung des Klägers vor dem Landgericht und dem Senat konnte nicht zu einer Überzeugungsbildung dahingehend führen, dass der Kläger tatsächlich immaterielle Beeinträchtigungen erlitten hat.

327

Der Kläger hat vor dem Landgericht geschildert, dass die plötzlich übersandten SMS lästig waren, weil es recht häufig vorkam, auch mitten in der Nacht:

328

Es wurden dann offenbar viele Daten abgegriffen, auch meine. Ich habe das so mitbekommen, dass ich plötzlich SMS bekommen habe und das war ungewöhnlich, weil heutzutage die meisten Leute die ich kenne nicht mit SMS kommunizieren, sondern per WhatsApp. Wenn ich SMS bekommen habe, war das meistens von Paketdiensten. Dann kamen aber plötzlich ungewöhnliche SMS, das ein Paket zur Abholung bereit liegt, wo aber vorgetäuscht wurde, dass es ein Dienst ist, den ich auch benutze. Ich hatte nichts bestellt zu diesem Zeitpunkt, deswegen kam mir das ungewöhnlich vor. Für jemanden, der etwas Ahnung hat, waren diese Betrugsversuche sehr offensichtlich, weil da waren Links zu Webadressen drinnen, wo die Domain nicht „.de“ war, sondern irgendwas mit Russland oder Bulgarien zum Beispiel, und irgendwelche Shopwebseiten verlinkt waren, wo ich nie etwas bestellen würde. Ich kenne mich da etwas aus, deswegen habe ich da auch glücklicherweise nicht drauf geklickt. Es ist ja auch jeder ein bisschen für seine Daten selbst verantwortlich und was man anklickt.

329

Es war lästig, weil es recht häufig vorkam. Es waren Dutzende von SMS. Auch zu jeder Tageszeit. Auch mitten in der Nacht. Es gab keine Anrufe, die ich direkt diesem Vorfall zuordnen könnte. Meine private E-Mail-Adresse, mit der ich auch bei Facebook angemeldet bin, da war das Postfach voll. Es gab und gibt auch immer noch Spam-Mails.

330

…

331

Andere Dinge sind nicht passiert aufgrund dieses Vorfalls.

332

Vor dem Senat hat der Kläger angegeben,

333

Ich hatte von diesem Datenleck zunächst nur am Rande mitbekommen. Man hört dies ja immer wieder. Über Nacht habe ich dann allerdings plötzlich Anrufe und SMS mit Spam ohne Ende bekommen. Ich war damals selbstständig, sodass ich nicht einfach meine Telefonnummer wechseln konnte. … Es waren teilweise 4 bis 5 SMS pro Tag. Teilweise habe ich diese dann am Anfang auch einfach nur gelöscht. Als das dann ständig wiedergekommen ist, habe ich gedacht, ich hebe es mal auf. Es kamen auch Anrufe, diese eigentlich immer zu ungelegener Zeit, auch mitten in der Nacht.

334

…

335

Ich habe auch Spam-Mails bekommen. Es ist allerdings normal, dass man immer wieder solche Mails bekommt. Ich bin bei Gmail. Google ist da richtig gut, die Mails kümmern einen nicht so. Die meisten Mails landeten direkt im Spam-Ordner. Wenn neue Adressen aufgetaucht sind, habe ich diese als Spam gekennzeichnet. Diese Möglichkeit gibt es leider auf dem Handy nicht. Erst gestern habe ich eine WhatsApp-Nachricht von einer unbekannten Quelle erhalten.

336

Auf Nachfrage und den Vorhalt, dass er beim Landgericht angegeben habe, dass es keine Anrufe gegeben habe, die er dem Vorfall zuordnen könne, der Kläger:

337

Ich war beim ersten Termin nervös und es ging etwas durcheinander. Wenn ich jetzt reflektiere, hat es Anrufe gegeben. Ob diese mit dem Vorfall zusammenhängen, kann ich nicht sagen. Es gab beispielsweise Anrufe, bei denen dann eine Bandansage kam, bei der es beispielsweise um das Thema Sicherheit und Microsoft gegangen ist. Manchmal hat man auch nur ein Knacken gehört und es hat sich angehört, als würde nun etwas „abgerechnet“.

338

…

339

In der Zwischenzeit sind die Vorfälle auch deutlich seltener geworden. Ab und zu kommt allerdings noch eine Nachricht.

340

…

341

Auf weitere Frage der Klägervertreter, ab wann dies mit den Anrufen begonnen habe: Ich meine, dies sei Anfang 2021 gewesen.

342

Danach waren die unerwünschten SMS lästig und kamen zu passend ungelegenen Zeiten, in der Anhörung vor dem Senat hat der Kläger jedoch nicht einmal mehr die Lästigkeit geltend gemacht, es vielmehr als normal angesehen, wenn man z.B. unerwünschte Mails bekommt. Negative Gefühle oder negative spürbare Beeinträchtigungen hat der Kläger nicht geschildert.

343

Selbst wenn man außer Betracht lässt, dass die Angaben bezüglich der Anrufe widersprüchlich und nicht stringent waren, lässt sich damit nicht feststellen, dass der Kläger tatsächlich spürbare immaterielle Beeinträchtigungen erlitten hat.

344

Der Kläger war im Rahmen seiner Anhörungen nicht in der Lage, tatsächliche und echte immaterielle Beeinträchtigungen zu schildern, etwa Angstgefühle, seelisches Leid, seelische Auswirkungen, psychische Beeinträchtigungen oder auch nur ein irgendwie geartetes Unwohlsein infolge der Belästigungen oder eine andere, irgendwie spürbare seelische Beeinträchtigung. Die Angaben des Klägers blieben mit Ausnahme der Schilderungen des objektiven Sachverhalts bezüglich der SMS insgesamt oberflächlich und inhaltsleer, weshalb Zweifel bleiben, ob der Kläger tatsächlich eine spürbare immaterielle Beeinträchtigung erlitten hat. Insoweit hat der Kläger auch persönlich keinen ausreichenden Vortrag zur konkreten immateriellen Beeinträchtigung gehalten, nicht ausreichend vorgetragen, wann, wie häufig und auf welchem Weg er konkret von Missbrauchsversuchen betroffen war und wie er darauf jeweils reagiert hat oder wie er unabhängig von diesen Versuchen allein durch die Veröffentlichung des Datensatzes und die folgenden SMS und Anrufe betroffen und beeinträchtigt war. Schon das Urteil erster Instanz hat hierzu festgehalten, dass eine spürbare Beeinträchtigung nicht nachzuvollziehen sei.

345

Der Kläger hat nach seinen Angaben die SMS lediglich als lästig empfunden. Er hat insoweit bloße Lästigkeiten und Unannehmlichkeiten geschildert, die als solche gerade noch keine immaterielle Beeinträchtigung begründen, sondern Teil des täglichen positiven und negativen Erlebens sind. Solche bloßen Lästigkeiten stellen keine Beeinträchtigungen dar, die eine Überzeugungsbildung dahingehend erlauben, dass tatsächlich eine spürbare immaterielle Beeinträchtigung erlitten und eingetreten ist. Auch wenn nach den Vorgaben des Europäischen Gerichtshofs eine Erheblichkeits- oder Bagatellschwelle nicht angenommen werden darf, genügen die klägerseits geschilderten Gefühle nicht zur Bejahung einer immateriellen Beeinträchtigung. Es handelt sich um (negative) Gefühle, die – wie früher unerwünschte Werbepost – Teil des allgemeinen Lebensrisikos und des täglichen Erlebens sind, die aber noch keine Beeinträchtigung des Seelenlebens oder der Lebensqualität darstellen, die einen immateriellen Schaden im Sinne des Art. 82 DSGVO begründen können (vergleiche dazu auch BGH, Beschluss vom 26.09.2023, VI ZR 97/22 Rn. 33).

346

Da der bloße Kontrollverlust nicht genügt (s.o.), kann eine spürbare immaterielle Beeinträchtigung nicht festgestellt werden.

347

1. Begründetheit der Berufung (Feststellung Ersatzpflicht)

348

Die Berufung des Klägers ist begründet.

349

Der Anspruch auf Feststellung einer Schadenersatzpflicht aus Art. 82 Abs. 1 DSGVO setzt voraus, dass

350

– der Anspruchssteller als betroffene Person anzusehen ist,

351

– ein Verstoß gegen die DSGVO vorliegt,

352

– die nicht eben entfernt liegende Möglichkeit besteht, dass in Zukunft ein materieller oder immaterieller Schaden entsteht, der kausal auf die Pflichtverletzung zurückzuführen wäre.

353

1. Zeitlicher, sachlicher und räumlicher Anwendungsbereich

354

Der sachliche und räumliche Anwendungsbereich der DSGVO ist eröffnet, in zeitlicher Hinsicht können Verstöße erst nach deren Inkrafttreten zum 25.05.2018 erfasst werden.

355

1. Zeitlicher Anwendungsbereich

356

25. Die DSGVO gilt seit dem 25.05.2018 (Art. 99 Abs. 2 DSGVO) unmittelbar in jedem Mitgliedstaat der europäischen Union (Art. 288 Abs. 2 AEUV; BGH BeckRS 2020 23312 = BGHZ 226, 285 [290 Rn. 12]).

357

1. Nach den für den Senat gemäß § 314 ZPO bindenden Feststellungen steht fest, dass der Abgriff bezüglich des Klägers im Jahr 2019 erfolgt ist. Das Urteil des Landgerichts führt im unstreitigen Teil des Tatbestands aus,

358

Im Jahr 2019 lasen und persistierten unbefugte Dritte Telefonnummern, Facebook-ID, Name, Vorname, Geschlecht und weitere Daten über das Tool „Contact-Import“ aus zum Teil öffentlich zugänglichen Daten bei der Beklagten aus („Scraping“). … Anfang April 2021 wurden Daten von ca. 533 Millionen Nutzern der Plattform der Beklagten aus 106 Ländern im Internet veröffentlicht.

359

Gemäß § 314 Satz 1 ZPO liefert der Tatbestand des Ersturteils den Beweis für das mündliche Vorbringen einer Partei im erstinstanzlichen Verfahren. Diese Beweiswirkung erstreckt sich auch darauf, ob eine bestimmte Behauptung bestritten ist oder nicht (BGHZ 140, 335 [339] = NJW 1999, 1339; BGH NJW 2000, 3007; BGH-Report 2005, 1618 = BeckRS 2005, 09472). Da sich die Beweisregel des § 314 Satz 1 ZPO auf das mündliche Parteivorbringen bezieht, ist davon auszugehen, dass die Parteien dasjenige in der mündlichen Verhandlung vorgetragen haben, was der Tatbestand ausweist. Zum Tatbestand in diesem Sinne gehören auch tatsächliche Feststellungen, die sich in den Entscheidungsgründen finden (BGH NJW 2003, 2158 [2159]; BGH NJW-RR 2008, 1566 [1567 Rn. 15]).

360

25. Unabhängig davon fallen die geltend gemachten Verstöße im Rahmen des Anmeldeprozesses aus dem Anwendungsbereich der DSGVO heraus, da das Nutzerkonto des Klägers bereits vor dem 25.05.2018 registriert worden ist.

361

(1) Der Kläger kann sich insoweit nicht auf einen Verstoß gegen die Informationspflichten aus Art. 13, 14 DSGVO berufen, da er sein Nutzerkonto bereits 2008 (so die Angaben beim LG), 2010 (so vor dem Senat) eingerichtet hat, zu diesem Zeitpunkt der Datenerhebung die DSGVO jedoch noch nicht in Kraft getreten war (Art. 99 Abs. 2 DSGVO). Die Informationspflichten aus Art. 13, 14 DSGVO beziehen sich nach dem ausdrücklichen Wortlaut auf den Zeitpunkt der Datenerhebung (ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 60).

362

Soweit angenommen wird, dass die Weiterverarbeitung der Daten ab dem 25.05.2018 in Einklang mit der DSGVO zu bringen war (so OLG Hamm GRUR-RS 2023, 22505 Rn. 61), ist eine differenziertere Sichtweise erforderlich. Satz 2 des Erwägungsgrundes 171 zur DSGVO bestimmt ausdrücklich, dass Verarbeitungen, die zum Zeitpunkt der Anwendung der Verordnung bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten mit ihr in Einklang gebracht werden sollen, bestimmt also gerade keine Umsetzung bis zum 25.05.2018. Nach Erwägungsgrund 171 Satz 3 sind neue Einwilligungen nur erforderlich, wenn die bestehenden Einwilligungen nicht mehr den Anforderungen der DSGVO entsprechen. Da insoweit eine Übergangsfrist eingeräumt worden ist, der Abgriff aber gerade innerhalb dieser Frist passiert ist, kann nicht auf Art. 13, 14 DSGVO abgestellt werden.

363

Dem OLG Hamm ist allerdings dahingehend zu folgen, dass die Frage hinreichender Informationen entscheidend ist für die Reichweite, Wirksamkeit und Fortgeltung einer Einwilligung über den 25.05.2018 hinaus (OLG Hamm GRUR-RS 2023, 22505 Rn. 62 und Rn. 101 – 111).

364

(2) Der Beklagten kann für die Zeit vor dem 25.05.2018 auch kein Verstoß gegen die Verpflichtung zur Datenschutz-Folgenabschätzung aus Art. 35 DSGVO zur Last gelegt werden, denn Art. 35 Abs. 1 Satz 1 DSGVO verlangt, dass diese „vorab“, also vor dem Beginn des allgemein vorgesehenen Datenverarbeitungsvorgangs zu erfolgen hat, also vor der Zurverfügungstellung des KIT, beziehungsweise des Facebookdienstes und damit vor dem 25.05.2018.

365

Allerdings bestimmt Art. 35 Abs. 11 DSGVO, dass der Verantwortliche erforderlichenfalls eine Überprüfung durchführt, um zu bewerten, ob die Verarbeitung weiter gemäß der Datenschutz-Folgenabschätzung durchgeführt wird. Dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind. Da der Datenabgriff als eine solche Änderung des Risikos anzusehen ist, war mit dem Bekanntwerden des Vorfalls eine Überprüfung vorzunehmen.

366

1. Sachlicher Anwendungsbereich

367

Der sachliche Anwendungsbereich der DSGVO ist eröffnet, denn der Betrieb eines sozialen Netzwerks mit der Sammlung und Speicherung von Nutzerdaten (Name, ID. Geschlecht, Telefonnummer etc.), die Vernetzung der Mitglieder und die Beschickung mit individualisierter Werbung ist Verarbeitung und Speicherung von personenbezogenen Daten gemäß Art. 2 Abs. 1 DSGVO (EuGH GRUR-RS 2023, 15772 Rn. 27; EuGH BeckRS 2018, 10155 Rn. 30; OLG Hamm GRUR-RS 2023, 22505 Rn. 67). Bei den genannten Daten handelt es sich um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO (OLG Hamm GRUR-RS 2023, 22505 Rn. 68).

368

Die Beklagte kann sich nicht darauf berufen, dass die im Urteil des Europäischen Gerichtshofs vom 04.07.2023 (GRUR-RS 2023, 15772) mitgeteilten Grundsätze nicht übertragbar sind. In der Sache besteht kein Zweifel daran, dass die Aussagen des Europäischen Gerichtshofs allgemeingültig sind (explizit EuGH GRUR-RS 2023, 15772 Rn. 98). Dafür, dass der EuGH insoweit eine differenzierende Begriffsbestimmung für geboten hielte, besteht keinerlei Anhaltspunkt (OLG Hamm GRUR-RS 2023, 22505 Rn. 88).

369

1. Räumlicher Anwendungsbereich

370

Die Beklagte ist Verantwortliche der Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO (EuGH GRUR-RS 2023, 15772 Rn. 27, 28, 86 ff.; EuGH BeckRS 2018, 10155 Rn. 30; OLG Hamm GRUR-RS 2023, 22505 Rn. 71; vergleiche auch BGH BeckRS 2020, 23312 Rn. 15), die für ihre Tätigkeit eine Niederlassung in Irland betreibt, also innerhalb der Union (OLG Hamm GRUR-RS 2023, 22505 Rn. 72).

371

2. Betroffene Person

372

Nach den im unstreitigen Tatbestand des landgerichtlichen Urteils getroffenen und damit für den Senat gemäß § 314 ZPO bindenden Feststellungen (s.o. unter 1.a.aa.) ist der Kläger von dem Verstoß gegen die DSGVO betroffen, da seine persönlichen Daten abgegriffen und mit seiner Telefonnummer verknüpft worden sind (Blatt 427, 428 AkteLG). Anspruchsberechtigt ist jede natürliche Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist.

373

3. Verstoß gegen Vorgaben der DSGVO (Pflichtverletzung)

374

Die Angriffe der Berufung bezüglich der Frage eines Verstoßes gegen die DSGVO sind erfolgreich, denn

375

– Art. 82 DSGVO erfasst jedweden Verstoß gegen die DSGVO,

376

– im Anwendungsbereich von Art. 5 DSGVO trägt die Beklagte die Beweislast, dass sie sich normgemäß verhalten hat, jedenfalls obliegt ihr eine sekundäre Darlegungslast, wobei dieser Punkt angesichts der festgestellten Verstöße offenbleiben kann,

377

– der Kläger hat ausreichend dargelegt, worum es ihm geht,

378

– es ist von Verstößen gegen die DSGVO auszugehen.

379

1. Erfasste Verstöße, Schutzbereich, Beweislast

380

3. Der Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO setzt nicht voraus, dass eine Schutznorm verletzt wird oder eine rechtswidrige Datenverarbeitung vorliegt, es genügt jede Verletzung materieller oder formeller Bestimmungen der DSGVO (ebenso OLG Köln GRUR-RS 2022, 17897 Rn. 14; Bergt in Kühling/Buchner, 3. Aufl. 2020, Art. 82 DSGVO Rn. 23).

381

In Rechtsprechung und Literatur ist umstritten, ob Art. 82 Abs. 1 DSGVO Verstöße auch jenseits einer unrechtmäßigen Datenverarbeitung erfasst oder im Hinblick auf den Erwägungsgrund 146 der DSGVO eine einschränkende Auslegung erforderlich ist (erforderlicher Schutzgegenstand der Verletzung muss wegen Art. 4 Nr. 12 DSGVO die Datenverarbeitung selbst sein, es erfolgt also eine Beschränkung auf Verstöße gegen eine rechtswidrige Datenverarbeitung).

382

(1) Die weite Auffassung nimmt an, dass nach dem Wortlaut von Art. 82 Abs. 1 DSGVO jeder Verstoß gegen die Verordnung selbst genügt, da Art 82 Abs. 1 DSGVO auf einen „Verstoß (es) gegen diese Verordnung“ abstellt. Aus dem Erwägungsgrund 146 Satz 5 DSGVO ergibt sich insoweit, dass der Verstoß gegen die Verordnung als nicht im Einklang mit der Verordnung stehend weit verstanden werden soll, also letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt (nach dem Erwägungsgrund 146 Satz 5, genügt sogar die Verletzung delegierter Rechtsakte und nationalen, die Verordnung konkretisierenden Rechts: Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten; englische Fassung: […] includes processing that infringes delegated and implementing acts adopted in accordance with this Regulation and Member State law specifying rules of this Regulation. / französische Fassung: […] comprend aussi un traitement effectué en violation des actes délégués et d’exécution adoptés conformément au présent règlement et au droit d’un État membre précisant les règles du présent règlement; vergleiche dazu OLG Köln GRUR-RS 2022, 17897 Rn. 14; OLG Stuttgart, BeckRS 2021, 6282 Rn. 25; Quaas in BeckOK Datenschutzrecht, Stand 01.05.2023; Art. 82 Rn. 14; Frenzel in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 82 Rn. Rn. 8 – 9; Bergt in Kühling/Buchner, 3. Aufl. 2020, Art. 82 DSGVO Rn. 23).

383

(2) Die Anhänger einer einschränkenden Auslegung verweisen auf den Einleitungssatz im Erwägungsgrund 146, der auf Schäden abstellt, die bei einer Verarbeitung entstehen, indem dort ausgeführt wird:

384

Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen.

385

Danach sei der Schadensersatzanspruch auf Verstöße gegen eine rechtswidrige Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO begrenzt, verspätete, falsche oder gar gänzlich unterbliebene Auskünfte an eine Person gem. Art. 15 Abs. 1 DS-GVO seien somit nicht haftungsauslösend. Art. 82 Abs. 1 DSGVO enthalte insoweit nur die Umschreibung beziehungsweise Klarstellung der Haftungsverpflichtung, hierfür spreche auch die Entstehungsgeschichte des Art. 82 DSGVO (LAG Nürnberg, Urteil vom 25.01.2023, 4 Sa 201/22, juris Rn. 21; Gola/Pitz in Gola/Heckmann, DSGVO, 3. Aufl. 2022, Art. 82 Rn. 5, allerdings in den Beispielen weitergehend).

386

(3) Im Hinblick auf den weiten Wortlaut der Vorschrift und die Ausführungen im Erwägungsgrund 146 Satz 5 DSGVO folgt der Senat der weiten Auslegung, zumal die in der Kommentierung von Gola/Pilz genannten Beispiele im Hinblick auf die weite Auslegung des Begriffs der Datenverarbeitung zum selben Ergebnis führen. Zudem erfolgt eine Begrenzung im Rahmen der Kausalität, weil erforderlich ist, dass wegen des Verstoßes ein Schaden entstanden ist (ebenso OLG Köln GRUR-RS 2022, 17897 Rn. 14; Bergt in Kühling/Buchner, DSGVO, 3. Aufl. 2020, Art. 82 Rn. 14).

387

Die Auffassung der Beklagten von einer nur eingeschränkten Anwendbarkeit (nur Pflichtverletzungen, die im Rahmen einer Verarbeitung personenbezogener Daten geschehen) kann der Senat danach nicht teilen. Soweit hier auf Art. 82 Abs. 2 DSGVO abgestellt wird, enthält diese Regelung neben Art. 82 Abs. 1 DSGVO einen eigenständigen Ersatztatbestand für sogenannte Auftragsverarbeiter.

388

4. Der Europäische Gerichtshof hat mit seinem Urteil vom 04.05.2023 vorgegeben, dass nicht jeder Verstoß gegen die Bestimmungen der DSGVO für sich genommen den Schadensersatzanspruch eröffnet, sondern gesondert ein Schaden festgestellt werden muss, weil der Wortlaut von Art. 82 Abs. 1 DSGVO drei kumulative Voraussetzungen formuliert, ansonsten die gesonderte Erwähnung eines Schadens überflüssig wäre und sich aus den Erwägungsgründen 75, 85 und 146 ergebe, dass der Eintritt eines Schadens im Rahmen einer Verarbeitung nur potenziell sei, zweitens ein Verstoß nicht zwangsläufig zu einem Schaden führe und drittens ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen (EuGH GRUR-RS 2023, 8972 Rn. 28 – 37).

389

Danach ist die Auffassung des Klägers unzutreffend, dass bereits die Verletzung der DSGVO (automatisch) zu einem auszugleichenden immateriellen Schaden führt.

390

1. Art 4 Abs. 12 DGSVO, der den Begriff der Verletzung des Schutzes personenbezogener Daten legal definiert (Verletzung der Sicherheit, die zu einer unbefugten Offenlegung führt), führt nicht zu einer Einschränkung der Schadenersatzpflicht (so aber die Beklagte). Denn nach dem Wortlaut von Art. 82 Abs. 1 DSGVO genügt der Verstoß gegen die Verordnung, die zu einem Schaden geführt hat, es muss also gerade keine Verletzung des Schutzes personenbezogener Daten oder eine Verletzung der Sicherheit erfolgt sein (ebenso Quaas in BeckOK Datenschutzrecht, Stand 01.05.2023, Art. 82 Rn. 14).

391

Die Beklagte kann sich insoweit auch nicht auf eine Beschränkung durch Art. 82 Abs. 2 DSGVO berufen, wonach nur solche Pflichtverstöße erfasst werden, die im Rahmen einer Verarbeitung geschehen. Die Vorschrift gilt für Auftragsverarbeiter, also nicht die Beklagte.

392

1. Beweislast

393

Es kann letzten Endes offenbleiben, wer die Beweislast für das Vorliegen eines Verstoßes trägt, denn nach dem nicht bestrittenen Klägervortrag und den Einräumungen der Beklagten sind entsprechende Verstöße festzustellen, jedenfalls hat die Beklagte der sie treffenden sekundären Darlegungslast nicht genügt.

394

1. Die Frage der Darlegungs- und Beweislast für das Vorliegen eines Verstoßes gegen die DSGVO wird vom Europäischen Gerichtshof nicht konsistent beantwortet.

395

(1) Hier kann zum einen mit dem Urteil vom 04.05.2023 (C-300/21) darauf abgestellt werden, dass es mangels einschlägiger unionsrechtlicher Vorschriften nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats ist, Verfahrensmodalitäten für Klagen zu regeln, die den Schutz der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen, wobei die betreffenden Anforderungen jedoch nicht ungünstiger sein dürfen als diejenigen, die gleichartige, dem innerstaatlichen Recht unterliegende Sachverhalte regeln (Äquivalenzgrundsatz), und die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren dürfen (Effektivitätsgrundsatz) (so EuGH GRUR-RS 2023, 8972 Rn. 52 – 56; BAG NJW 2022, 2779 [2780 Rn. 13]; BVerwG, Urteil vom 02.03.2022, 6 C 7.20 Rn. 48). Da die DSGVO keine Verfahrensmodalitäten zur Durchsetzung des Anspruchs enthält (Art. 79 Abs. 1 DSGVO sieht lediglich vor, dass jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die ihr aufgrund der DSGVO zustehenden Rechte infolge einer nicht mit ihr im Einklang stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden), gilt danach das deutsche nationale Prozessrecht. Eine Unmöglichkeit der Rechtsdurchsetzung ist damit nicht verbunden, zumal der Kläger über die Grundsätze der sekundären Darlegungslast geschützt ist, soweit er keinen Einblick in die jeweiligen Datenverarbeitungsprozesse hat (vergleiche OLG Stuttgart BeckRS 2021, 6282 Rn. 45 – 49; in der Sache wohl ebenso Gola/Piltz in Gola/Heckmann; DSGVO, 3. Aufl. 2022, Art. 82 Rn. 21, wonach der Anspruchssteller nur darzulegen hat, soweit ihm dies ohne Einblick in die Prozesse möglich ist).

396

(2) Andererseits führt der Europäische Gerichtshof im Urteil vom 24.02.2022 (C-175/20 Rn. 77, 78) zu Art. 5 DSGVO aus, dass der für die Verarbeitung Verantwortliche nach dem Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nachweisen muss, dass er die in Art. 5 Abs. 1 DSGVO festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält, weshalb insoweit die jeweilige Nachweispflicht beim Verarbeiter liegt (vergleiche auch EuGH GRUR-RS 2023, 15772 Rn. 95, 152, 154; EuGH BeckRS 2023, 8697 Rn. 53). Dem ist das Bundesverwaltungsgericht im Urteil vom 02.03.2022 (6 C 7.20 Rn. 48 – 50) gefolgt (ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 77). Generalanwalt Pitruzella hat im Verfahren C-340/21 im Schlussantrag vom 27.03.2023 (GRUR-RS 2023, 8707) die Beweislast bei Verstößen gegen Art. 5 Abs. 1 DSGVO und den daran anknüpfenden speziellen Vorschriften (dort konkret Art. 24, 32 DSGVO) wegen der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO ebenfalls beim für die Datenverarbeitung Verantwortlichen angesiedelt,

397

– weil sich aus der Formulierung verschiedener Bestimmungen (Erwägungsgrund 74, Art. 5 Abs. 2, 24 Abs. 1 DSGVO) ergibt, dass der Verantwortliche nachweisen können muss, dass er geeignete Maßnahmen ergriffen hat (GRUR-RS 2023, 8707 Rn. 48),

398

– weil die betroffene Person in der Regel weder über ausreichende Kenntnisse verfügt, keinen Zugang zu den maßgeblichen Informationen hat, zumal es sich um interne Angelegenheiten oder gar Berufsgeheimnisse des Verantwortlichen handelt (GRUR-RS 2023, 8707 Rn. 52),

399

– anderenfalls der Rechtsbehelf weitgehend an Bedeutung verlieren würde, was nicht den Absichten des Unionsgesetzgebers entspreche (GRUR-RS 2023, 8707 Rn. 53).

400

Für eine Beweislast bei der Beklagten spricht insoweit auch Art. 24 Abs. 1 Satz 1 DSGVO, wonach der Verantwortliche den Nachweis führen muss, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.

401

Da Art. 5 Abs. 1 DSGVO allgemeine Grundsätze enthält, die in den folgenden Vorschriften spezifiziert werden, erstreckt sich die Beweislast auch auf diese speziellen Vorschriften.

402

(3) Soweit in der Literatur ausgeführt wird, die Entscheidungen des Europäischen Gerichtshofs vom 24.02.2022 (C-175/20) und des BVerwG vom 01.03.2022 (6 C 7.20) führten nicht zu einer Änderung der Beweislast, da es nicht um den Nachweis gehe, ob die die Vorgaben aus Art. 5 Abs. 1 DSGVO eingehalten wurden, sondern um die Feststellung des Vorliegens eines Verstoßes gegen die DSGVO (Quaas in BeckOK Datenschutzrecht, Stand 01.05.2023, Art. 82 Rn. 52; a.A. Hense ZD 2022, 413 [414]; differenzierend aber Wybitul/Haß/Albrecht NJW 2018, 113 [117]; Geissler/Ströbel NJW 2019, 3414 [3415]) ist diese Argumentation nicht überzeugend. Denn die Einhaltung beziehungsweise Nichteinhaltung der Vorgaben aus Art. 5 Abs. 1 DSGVO (und der daran anknüpfenden speziellen Pflichten) beantwortet gleichzeitig auch die Frage, ob ein Verstoß gegen die Verpflichtungen aus der DSGVO vorliegt.

403

(4) Die Beweislast für eine rechtmäßige Datenverarbeitung liegt danach bei der Beklagten.

404

1. Die Beklagte trifft jedenfalls eine sekundäre Darlegungs- und Behauptungslast, denn der Kläger hat naturgemäß keinen Einblick in die Datenverarbeitungsvorgänge bei der Beklagten, die hierzu unschwer vortragen kann.

405

Grundsätzlich muss zwar der Anspruchsteller alle Tatsachen behaupten und beweisen, aus denen sich sein Anspruch herleitet. Dieser Grundsatz bedarf aber einer Einschränkung, wenn die primär darlegungsbelastete Partei außerhalb des maßgeblichen Geschehensablaufs steht und den Sachverhalt von sich aus nicht ermitteln kann, während dem Prozessgegner die erforderliche tatsächliche Aufklärung ohne weiteres möglich und auch zuzumuten ist. Dabei obliegt es dem Bestreitenden im Rahmen der sekundären Darlegungslast auch, zumutbare Nachforschungen zu unternehmen (BGH BeckRS 2020, 36575 Rn. 26; BGH NJW 2016, 3244 [3245 Rn. 18]; vergleiche auch BGH NJW 1997, 128 [129]; BGH NJW 1996, 315 [317]). Die „Last“ besteht in der Pflicht, das pauschale Vorbringen des darlegungsbelasteten Gegners ausnahmsweise mit weiteren Einzelheiten bestreiten zu müssen. Es ist also am Gegner, Einzelheiten zu einer Behauptung darzustellen. Der Umfang der sekundären Darlegungslast richtet sich nach den Umständen des Einzelfalls. Die Darlegungen müssen so konkret sein, dass der beweisbelasteten Partei eine Widerlegung möglich ist. Der (pauschale) Vortrag der beweisbelasteten Partei ist als zugestanden zu behandeln, wenn er nicht qualifiziert bestritten worden ist (BGH NJW 2012, 3774 [3776 Rn. 20]; BGH NJW 2008, 982 [984 Rn. 19]; BGHZ 163, 209 [214] = NJW 2005, 2614).

406

1. Da schon nach dem übereinstimmenden Parteivortrag von Verstößen gegen die DSGVO auszugehen ist, die Beklagte im Übrigen jeweils ihrer sekundären Darlegungslast nicht nachgekommen ist, kann dieser Streit im Ergebnis offenbleiben.

407

1. Klägerbegehren

408

Soweit die Beklagte rügt, der Kläger habe nicht hinreichend exakt vorgetragen, den Abgriff welcher Daten er rügt, sein Begehren sei zu weit gefasst, kann der Senat dieser Auffassung nicht folgen. Denn der Kläger macht geltend, er habe SPAM-SMS erhalten (Blatt 315 AkteLG), weshalb es ihm in der Sache um die Veröffentlichung seiner Mobilfunknummer (und die Verknüpfung mit seiner Facebook-ID geht).

409

Der Kläger hat umfangreich zum Ablauf der Registrierung, den Untereinstellungen zur Privatsphäre und den Einstellungsmöglichkeiten bezüglich der Handynummer vorgetragen (Blatt 8 – 22 AkteLG, darauf wird Bezug genommen). Er macht in diesem Zusammenhang insbesondere geltend:

410

– Der Abgriff über das Kontakt-Import-Tool sei möglich gewesen, weil dies nicht ausreichend abgesichert gewesen sei und die Einstellungen zur Telefonnummer undurchsichtig und intransparent gestaltet seien.

411

– Wegen der vielen Einstellungsmöglichkeiten sei zu erwarten, dass ein Nutzer die Standardeinstellungen beibehalte.

412

– Hinsichtlich der Handynummer werde der Eindruck erweckt, dass die Beklagte diese nur zu Sicherheitszwecken verwende, es werde jedoch mit keinem Wort erwähnt, dass die Nummer zur Identifikation des Nutzerprofils verwendet werden könne.

413

– Mit der Möglichkeit des Hochladens und einer Synchronisation der Smartphonekontakte habe die Möglichkeit bestanden, Profile zu identifizieren, ohne dass die Nummer freigegeben war.

414

– Die unterschiedlichen Einstellungsmöglichkeiten für die Telefonnummer seien intransparent und würden einen tatsächlich nicht vorhandenen Schutz vermitteln.

415

Hinsichtlich des Datenabgriffs trägt der Kläger vor

416

– es seien Telefonnummer, Name, Wohnort und Mailadresse abgegriffen worden,

417

– die Facebook-ID sei abgegriffen worden.

418

In der Sache geht es dem Kläger damit um die Veröffentlichung der Telefonnummer und die Verknüpfung mit seinen persönlichen Daten aufgrund des Abgriffs aus dem Kontakt-Import-Tool.

419

Auf der Grundlage der Feststellungen im unstreitigen Teil des Tatbestands, steht für den Senat gemäß § 314 ZPO bindend fest, dass jedenfalls die Telefonnummer, die Facebook-ID, der Name, der Vorname und das Geschlecht des Klägers („Scraping“) über das Kontakt-Import-Tool von Facebook aus zum Teil öffentlich zugänglichen Daten des Klägers bei Facebook ausgelesen wurden.

420

1. Verstoß gegen das Transparenzgebot (Art. 5 Abs. 1 lit. a) DSGVO)

421

Da die neue Datenrichtlinie und die Nutzungsbedingungen vom 19.04.2018 nicht den Anforderungen des DSGVO genügen, konnte die vorher erklärte Einwilligung keine Wirkung mehr entfalten, weshalb die Beklagte mit dem Inkrafttreten der DSGVO gegen das Transparenzgebot aus Art. 5 Abs. 1 lit. a) DSGVO verstoßen hat.

422

1. Art. 5 Abs. 1 lit. a) DSGVO verlangt, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Art. 5 Abs. 1 DSGVO regelt diverse Grundsätze für die Verarbeitung personenbezogener Daten und enthält insoweit (neben Zielsetzungen und Zielvorstellungen) auch verbindliche Regelungen (Schantz in BeckOK Datenschutzrecht, Stand 01.11.2021, Art. 5 Rn. 2). Jede Verarbeitung personenbezogener Daten muss mit den in Art. 6 der Richtlinie 95/46 also der Vorgängerregelung zur DSGVO beziehungsweise Art. 5 der Verordnung 2016/679 aufgestellten Grundsätzen in Bezug auf die Qualität der Daten und mit einem der in Art. 7 der Richtlinie bzw. Art. 6 der Verordnung aufgeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten im Einklang stehen (EuGH, Urteil vom 16.01.2019, C-496/17 Rn. 57).

423

Nachdem ein Verstoß gegen Art. 5 DSGVO sogar zur Ahndung mit einer Geldbuße führen kann (Art. 83 Abs. 5 lit. a) DSGVO), folgt schon daraus, dass ein Verstoß gegen das Transparenzgebot auch Ansprüche aus Art. 82 DSGVO auslösen kann.

424

Art. 5 Abs. 1 lit. a) DSGVO verbindet mehrere Grundsätze, die allerdings auch in Verbindung stehen:

425

– Die Verarbeitung auf rechtmäßige Weise – hier ist das Ob und das Wie der Datenverarbeitung betroffen, die Verarbeitung muss insoweit rechtlich legitimiert sein, auf der Basis gesetzlich geregelter legitimer Grundlagen erfolgen (Schantz in BeckOK Datenschutzrecht, Stand 01.11.2021, Art. 5 Rn. 5).

426

– Eine Verarbeitung nach Treu und Glauben, wobei in anderen Sprachfassungen insoweit auch der Begriff fair verwandt wird (englische Fassung: fairness).

427

– Eine Nachvollziehbarkeit der Datenverarbeitung, im Klammerzusatz mit Transparenz umschrieben. Im Erwägungsgrund 39 Satz 4 der DSGVO wird hierzu weiter festgehalten, dass dieser Grundsatz insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen betrifft, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten. Eine Erweiterung und Konkretisierung erfährt der Grundsatz der Transparenz in Art. 13 DSGVO.

428

Nachvollziehbarkeit und Transparenz bedeutet neben dem in Art. 13 DSGVO normierten Pflichtenkatalog, dass neben der Kenntnis über den Verantwortlichen und die Zwecke der Verarbeitung insoweit auch über die Risiken der Verarbeitung zu informieren ist, welche die betroffene Person kennen muss, um die Auswirkungen einer Verarbeitung auf sich einzuschätzen (Erwägungsgrund 39 Satz 5 DSGVO). Dazu gehören auch die Konsequenzen einer Verarbeitung (Schantz in BeckOK Datenschutzrecht, Stand 01.11.2021, Art. 5 Rn. 11).

429

Wenn eine Verletzung bezüglich der Transparenzvorgaben festzustellen ist, liegt gleichzeitig eine rechtswidrige Verarbeitung vor.

430

1. Entgegen der Auffassung der Beklagten, wonach ein Verstoß nicht schlüssig und substantiiert dargelegt wurde, ist von einem ausreichend schlüssigen Vortrag auszugehen. Der Kläger macht geltend,

431

– es fehle an ausreichend transparenten Hinweisen, wofür die Telefonnummer genutzt wird,

432

– es sei nicht ausreichend über die Tragweite der Privatsphäreeinstellungen informiert worden,

433

– die Konsequenzen und Auffindemöglichkeiten bei der Verwendung des Kontakt-Import-Tools seien nicht transparent genug dargestellt worden (keine genaue Beschreibung, wofür die Nummer verwendet wird, keine Hinweise, dass die Nummer gefunden werden kann, dies auch, wenn diese auf nicht öffentlich beziehungsweise privat gestellt wurde),

434

– die Beklagte habe keine ausreichenden Sicherheitsmaßnahmen vorgehalten, um ein Ausnutzen des Kontakt-Import-Tools zu verhindern,

435

– die Einstellungen zur Sicherheit der Telefonnummer seien so undurchsichtig gestaltet, dass keine sicheren Einstellungen möglich seien,

436

was hinsichtlich der Telefonnummer dann weiter spezifiziert wird,

437

– „Nur Du kannst deine Nummer sehen (Blatt 14 AkteLG)“,

438

– dass beim Hochladen der Kontakte Profile identifiziert werden konnten, ohne dass die im Profil hinterlegte Nummer für die Öffentlichkeit freigegeben war (Blatt 16 AkteLG), diesen Vortrag hat die Beklagte zwar einerseits bestritten (Blatt 84 AkteLG), andererseits aber ausdrücklich eingeräumt, dass die Nutzung des Kontakt-Import-Tools eine entsprechende Vorgehensweise ermöglicht hat (Blatt 90 – 91, 257 AkteLG). Damit ist der Vortrag zugestanden. Die Beklagte ist insoweit zumindest ihrer sekundären Darlegungslast nicht nachgekommen, warum dieses nicht möglich war, weshalb diese Tatsache als zugestanden zu bewerten ist (§ 138 Abs. 3 ZPO). Da der Kläger – im Gegensatz zur Beklagten – keinen Einblick in die Funktionsweise des Kontakt-Import-Tools hat, also nicht zu einem substantiierten Vorbringen in der Lage ist, für die Beklagte entsprechender Vortrag jedoch unschwer möglich und zuzumuten sind, wird das pauschale Vorbringen des Klägers als wahr fingiert (BGH NJW 1996, 315 [317]).

439

– die vielschichtigen Einstellungsmöglichkeiten hätten ein – nicht vorhandenes – Gefühl der Sicherheit vermittelt (Blatt 17 LG).

440

In den von den Parteien vorgelegten Anlagen B 1, B 2, B 4, B 5, B 6, B 7, B 8, B 9, B 20 (die auch von der Beklagten zitiert wurden) wird nicht darauf hingewiesen, dass bei einer Nutzung des Kontakt-Import-Tools auch bei einer Beschränkung der Telefoneinstellungen die Möglichkeit eines Zugriffs auf das Konto gegeben ist, weshalb objektiv keine ausreichende Information über diese Verarbeitungsmöglichkeit erfolgte. Da zur Verarbeitung auch jede andere Form der Bereitstellung von Daten gehört (Art. 4 Nr. 2 DSGVO), liegt insoweit eine rechtswidrige Verarbeitung vor.

441

Der Kläger hat in diesem Zusammenhang zutreffend ausgeführt, dass insgesamt nicht ausreichend transparent und vor allem übersichtlich dargestellt wird, unter welchen Bedingungen die Nummer von der Beklagten überhaupt verarbeitet wird. Die Beklagte hat zwar ausgeführt, sie stelle über die Zwecke der Verarbeitung der Telefonnummer und die Funktionsweise der Kontakt-Import-Funktion ausführliche Informationen zur Verfügung, dort ist aber gerade nicht dargestellt wie und unter welchen Bedingungen die Telefonnummer verarbeitet wird. Auch die in der Anlage B 16 (Schreiben an den Klägervertreter vom 17.11.2021) zitierte Datenrichtlinie gibt keine übersichtlichen und leicht verständlichen Hinweise, wofür die Telefonnummer Verwendung findet, weil diese z.B. nach dem Wortlaut schon dann Verwendung finden kann, um die Produkte der Beklagten darzustellen.

442

Da die Beklagte jedoch nach dem übereinstimmenden Vortrag der Parteien bis zu dem Scraping-Vorfall keine Kenntnis davon hatte, dass in ihrem Kontakt-Import-Tool eine Schwachstelle bestand, über die ein Auslesen und Verknüpfen der Daten möglich war, ist zwar objektiv ein Transparenzverstoß anzunehmen. Allerdings kann der für die Datenverarbeitung Verantwortliche nur über das informieren, was ihm tatsächlich positiv bekannt ist, weshalb im Ergebnis bezüglich der fehlenden Information über die Verarbeitungsmöglichkeit kein vorwerfbarer Verstoß festgestellt werden kann.

443

25. Allerdings ist mit dem OLG Hamm (GRUR-RS 2023, 22505) davon auszugehen, dass die Einwilligung vor dem 25.05.2018 ohne Relevanz bleibt und das spätere Schweigen des Klägers auf die unveränderte bloße opt-out-Möglichkeit bezüglich der Suchbarkeit unwirksam war (Art. 5 Abs. 1 lit a), 6 Abs. 1 Unterabs. 1 lit a) DSGVO).

444

Nach Art. 6 Abs. 1 Unterabs. 1 lit. a) DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO für einen oder mehrere bestimmte Zwecke erteilt hat (EuGH GRUR-RS 2023, 15772 Rn. 91 – 92; OLG Hamm GRUR-RS 2023, 22505 Rn. 101). Insoweit ist auch der Transparenzgrundsatz zu berücksichtigen (OLG Hamm GRUR-RS 2023, 22505 Rn. 101).

445

In den von den Parteien vorgelegten Anlagen B 1, B 2, B 4, B 5, B 6, B 7, B 8, B 9, B 20 (die auch von der Beklagten zitiert wurden) wird nicht darauf hingewiesen, dass bei einer Nutzung des Kontakt-Import-Tools auch bei einer Beschränkung der Telefoneinstellungen die Möglichkeit eines Zugriffs auf das Konto gegeben ist, weshalb die Einwilligung unwirksam ist (OLG Hamm GRUR-RS 2023, 22505 Rn. 105 – 110).

446

Der Europäische Gerichtshof hat zudem entschieden, dass bei Voreinstellungen mit einer sogenannten Abwahlmöglichkeit (Opt-out-Voreinstellung) nicht von einer wirksamen Einwilligung in die Datenverarbeitung ausgegangen werden kann, weil die Einwilligung ein aktives Verhalten erfordert (Art 4 Nr. 11 DSGVO), bei einer entsprechenden Voreinstellung die tatsächliche Einwilligung objektiv nicht geklärt werden kann, jedenfalls unklar bleibt, ob die Einwilligung in Kenntnis der Sachlage abgegeben wurde (EuGH MMR 2019, 732 [735 Rn. 50 – 58] – Planet49; EuGH BeckRS 2020, 30027 Rn. 35: „kann nur ein aktives Verhalten dieser Person zum Ausdruck ihrer Einwilligung in Betracht gezogen werden“; OLG Hamm GRUR-RS 2023, 22505 Rn. 103; vergleiche auch den Erwägungsgrund 32 Satz 3 DSGVO; Martini in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 25 Rn. 4; Martini/Weinzierl RW 2019, 287 [309 f.]).

447

Deshalb ergibt sich auch aus der Tatsache, dass die Suchbarkeit im Zeitpunkt der Änderung der AGB weiter aus „alle“ eingestellt war und nur eine opt-out-Lösung vorgesehen war, dass keine wirksame Einwilligung vorlag (OLG Hamm GRUR-RS 2023, 22505 Rn. 104).

448

1. Keine ausreichenden Sicherungsmaßnahmen (Art. 5 Abs. 1 lit. f) DSGVO)

449

Da eine Datenverarbeitung schon dann vorliegt, wenn ein automatisierter Zugriff auf Daten möglich ist, nach dem Schutzzweck der DSGVO insoweit auch kein willensgesteuertes Verhalten erforderlich ist (unbeabsichtigte Beeinträchtigungen genügen), hat die Beklagte keine ausreichenden Sicherungsmaßnahmen ergriffen. Der Datenschutzverstoß liegt insoweit in der ungeschützten Bereitstellung der Daten.

450

1. Art. 5 Abs. 1 lit. f) DSGVO verlangt, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit”). Der Begriff der Vertraulichkeit zielt auf den Schutz der Daten vor unbefugter Kenntnisnahme und damit unbefugter Verarbeitung. Die Daten sollen vor geplanten Zugriffen und unbeabsichtigten Beeinträchtigungen geschützt werden. Hierzu gehört nach Erwägungsgrund 39 Satz 12 DSGVO, dass unbefugte Personen weder Zugang zu den Daten, noch zu den Geräten haben, mit denen sie verarbeitet werden. Welche Maßnahmen zum Schutz der Daten ergriffen werden müssen, hängt insbesondere vom Risiko eines unberechtigten Zugriffs und der Art der Verarbeitung ab (EuGH NJW 2014, 2169 [2172 Rn. 53 – 55] – Digital Rights Ireland Ltd.; Schantz in BeckOK Datenschutzrecht, Stand 01.11.2021, Art. 5 Rn. 36).

451

Art. 32 Abs. 1 DSGVO konkretisiert (Jandt in Kühling/Buchner, DSGVO, 3. Aufl. 2020, Art. 32 Rn. 1; Martini in Paal/Pauly, DSGVO/BDSG, 3. Aufl. 2021, Art. 32 Rn. 2), dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zur danach geforderten Datensicherheit gehört auch der Schutz der Daten vor Verlust, Schädigung und Missbrauch (Paulus in BeckOK Datenschutzrecht; Stand: 01.11.2021, Art. 32 DS-GVO Rn. 4; Piltz in Gola/Heckmann, DS-GVO, 3. Aufl. 2022, Art. 32 Rn. 6), also auch davor, dass Dritte die Daten unbefugt oder unrechtmäßig verarbeiten (LG Paderborn, Urteil vom 13. Dezember 2022, 2 O 212/22, juris Rn. 80; Martini in Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 32 Rn. 2). Verantwortliche und Auftragsverarbeiter müssen die Risiken ihrer jeweiligen Verarbeitung reflektieren und risikoadäquate Maßnahmen ergreifen, um ein möglichst hohes Maß an Verarbeitungssicherheit zu erreichen (Martini in Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 32 Rn. 3; zum „risikobasierten Ansatz“ der DS-GVO auch BSG, Urteil vom 20. Januar 2021, B 1 KR 15/20 R, juris Rn. 79; Piltz in Gola/Heckmann, DS-GVO, 3. Aufl. 2022, Art. 32 Rn. 22).

452

Art. 4 Nr. 2 DSGVO definiert den Begriff der Verarbeitung personenbezogener Daten als Vorgang im Zusammenhang damit, wie

453

– das Erheben,

454

– das Erfassen,

455

– die Organisation,

456

– das Ordnen,

457

– die Speicherung,

458

– die Anpassung oder Veränderung,

459

– das Auslesen,

460

– das Abfragen,

461

– die Verwendung,

462

– die Offenlegung durch Übermittlung, Verbreitung oder

463

– eine andere Form der Bereitstellung,

464

– den Abgleich oder

465

– die Verknüpfung,

466

– die Einschränkung,

467

– das Löschen oder

468

– die Vernichtung.

469

Der Begriff „Verarbeitung“, wie er in Art. 4 Nr. 2 DSGVO definiert wird, ist nach dem Willen des Unionsgesetzgebers mit der Formulierung „jede[r] Vorgang“ weit zu fassen und stellt keine erschöpfende Aufzählung von Vorgängen im Zusammenhang mit personenbezogenen Daten oder Sätzen solcher Daten – wie etwa Erheben, Erfassen, Speicherung und Abfragen – dar (EuGH BeckRS 2023, 14515 Rn. 46). Verarbeitung von Daten ist danach jede Form der Bereitstellung, weshalb der Vortrag der Beklagten, der Abgriff sei keine Folge eines Datenverarbeitungsvorgangs in dieser Form nicht zutrifft.

470

1. Durch die (unstreitige) Möglichkeit eines Zugriffs auf die persönlichen Daten des Klägers im Kontakt-Import-Tool hat die Beklagte gegen Art. 5 Abs. 1 lit. f) DSGVO verstoßen, denn zur Verarbeitung von Daten zählt auch jede Form der gegebenenfalls auch nicht beabsichtigten Bereitstellung von Daten (Art. 4 Nr. 2 DSGVO), zumal nach der englischen Sprachfassung (otherwise making available) die bloße Zugriffsmöglichkeit genügt. Die Beklagte hat durch die standardmäßige Voreinstellung, dass die Telefonnummer von „jedermann“ aufgefunden werden kann, nicht den Vorgaben aus Art. 5 Abs. 1 lit. f) und 25 Abs. 2 DSGVO genügt (ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 117).

471

Durch die eingeräumte Möglichkeit des Hochladens von Telefonnummern für eine Verknüpfung der Kontakte wurden die persönlichen Daten des Klägers (Name, Facebook-ID etc.) für eine Verknüpfung bereitgestellt beziehungsweise zur Verfügung gestellt, weshalb eine Zugriffsmöglichkeit vorhanden war, die nach den Nutzungsbedingungen der Beklagten untersagt ist (ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 117). Insoweit ist kein ausreichender Schutz der persönlichen Daten des Klägers vorhanden gewesen.

472

Soweit die Beklagte auf dem Standpunkt steht, es fehle an einem Verstoß, da die Telefonnummern von den Scrapern bereitgestellt worden seien und nur Informationen eingesammelt wurden, die ohnehin öffentlich einsehbar waren, kann der Senat dieser Auffassung nicht folgen. Die Beklagte hat selbst ausdrücklich eingeräumt, dass nach ihren Nutzungsbedingungen der Abgriff untersagt war, weshalb sie selbst von einer Rechtswidrigkeit des Verhaltens ausgeht. Angesichts des Schutzzwecks der DSGVO, den Schutz personenbezogener Daten zu gewährleisten, kommt es nicht darauf an, dass die (fingierten) Telefonnummern von den Scrapern stammten, zumal ein Zugriff auf die übrigen Daten und eine Verknüpfung ermöglicht wurde, die gerade nicht erwünscht war. Die personenbezogenen Daten (Name etc.) hätten nicht abgefragt und zugeordnet werden können, wenn nicht diese Schwachstelle vorhanden gewesen wäre (ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 117 – 119).

473

Die Beklagte verneint das Vorliegen einer Schwachstelle, legt aber jedenfalls im Rahmen der sie treffenden sekundären Darlegungslast nicht ausreichend dar, warum dann dennoch ein Zugriff und die Verknüpfung möglich waren. Im Übrigen folgt der Senat insoweit den Ausführungen des OLG Hamm (GRUR-RS 2023, 22505), das zutreffend wie folgt ausgeführt hat:

121

474

(bb) Auch die weitere Argumentation der Beklagten verfängt nicht, soweit sie sich nämlich im Wesentlichen schlicht auf den Standpunkt stellt, ihre Pflichten zur Implementierung angemessener technischer und organisatorischer Maßnahmen gemäß Art. 32, Art. 24, Art. 5 Abs. 1 lit. f DSGVO im Zusammenhang mit der Kontaktimportfunktion nicht verletzt zu haben, weil sie ihre Anti-Scraping-Maßnahmen im relevanten Zeitraum regelmäßig überprüft und gegebenenfalls entsprechend den Marktgepflogenheiten zu den Sicherheitsstandards sukzessive aus der maßgeblichen ex-ante-Betrachtung in angemessener Weise angepasst habe, z. B. durch Übertragungsbegrenzungen, Boterkennung, Captchas („Completely Automated Public Turing Test to tell Computers and Humans Apart“ [auf Deutsch: Vollständig automatisierter öffentlicher Turing-Test, um Computer von Menschen zu unterscheiden]) und den „Social Connection Check“ (Anzeige von Personen, nur wenn diese sich zu kennen schienen).

122

475

Tatsächlich waren die im Zeitpunkt des Scraping-Vorfalls bestehenden Maßnahmen unter Zugrundelegung des unstreitigen und streitigen Vortrags der Beklagten technisch und organisatorisch ungeeignet im Sinne des Art. 32 Abs. 1 Hs. 1 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, obwohl es in Bezug auf die Kontaktimportfunktionen bei Facebook und im Facebook-Messenger geeignete Maßnahmen gab.

123

476

[1.] Der Senat verkennt insoweit zunächst nicht, dass allein die Tatsache, dass es zum Scraping-Vorfall gekommen ist, kein Beweis dafür ist, dass die Beklagte im Vorfeld ungeeignete Maßnahmen ergriffen hätte (vgl. GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 29-37).

124

477

Da Art. 32 DSGVO keine konkreten Vorgaben zu erforderlichen Maßnahmen enthält, ist es vielmehr ersichtlich eine Frage des konkreten und vom Gericht zu bearbeitenden Einzelfalls, ob die vom Verantwortlichen darzulegenden und zu beweisenden Maßnahmen das Risiko einer Datenverletzung Dritter – aus ex-ante-Sicht – hinreichend zu verhindern geeignet waren, wobei dem Verantwortlichen bei der Auswahl und Umsetzung der Maßnahmen ein gewisser subjektiver Beurteilungsspielraum zuzugestehen ist (vgl. GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 38-44).

125

478

[2.] Vorliegend hat die Beklagte bei einer ex-ante-Betrachtung trotz ihres Beurteilungsspiel-raums unter Abwägung der widerstreitenden Interessen spätestens ab April 2018 keine geeignete und gebotene Maßnahme gegen das Scraping getroffen.

126

479

Der Begriff „geeignet“ setzt voraus, dass die zur Sicherung der Informationssysteme gewählten Maßnahmen sowohl in technischer (Angemessenheit der Maßnahmen) als auch in qualitativer Hinsicht (Wirksamkeit des Schutzes) ein akzeptables Niveau erreichen. Um die Einhaltung der Grundsätze der Notwendigkeit, Angemessenheit und Verhältnismäßigkeit zu gewährleisten, muss die Verarbeitung nicht nur geeignet sein, sondern auch den Zwecken entsprechen, denen sie dienen soll. Dabei spielt der Grundsatz der Minimierung eine entscheidende Rolle, wonach auf allen Stufen der Datenverarbeitung stets darauf geachtet werden muss, dass Sicherheitsrisiken minimiert werden (GA Pitruzzella Schlussanträge v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 20).

127

480

Es ist weder von der Beklagten dargetan noch sonst ersichtlich, dass trotz ex-ante-Betrachtung wie geboten ab Geltung der DSGVO im Mai 2018 ausreichende Sicherheitsvorkehrungen gegen Scraping getroffen wurden. Konkret durfte die Beklagte, der ein Scraping bereits spätestens im März 2018 aufgefallen war, sich nicht auf die Deaktivierung der Suchfunktion der Plattform im April 2018 beschränken. Es war für sie ohne weiteres möglich und im Hinblick auf die Datensicherheit ihrer Nutzer geboten sowie zumutbar – auch wenn es ihrem wirtschaftlichen Interesse möglicherweise widersprach –, die Kontaktimportfunktion auf Facebook, im Friend Center und im Facebook-Messenger unverzüglich einzuschränken und somit einen massiven weiteren Datenverlust an Unbefugte zu unterbinden. Es ist nicht ersichtlich oder trotz Hinweises vom 30.06.2023 sowie auf Erörterung im Senatstermin vorgetragen, warum die Deaktivierung der Suchfunktion im April 2018 bereits nach nicht einmal ein bis vier Monaten seit der Kenntniserlangung vom Vorfall erfolgte, die vollständige Deaktivierung der Kontaktimport-funktionen aber noch weitere rund sechzehn Monate dauerte oder warum nicht wenigstens andere weniger einschneidende, aber wirkungsvolle Maßnahmen getroffen wurden.

128

481

Dass es eine, wenn auch im Vergleich zur „one-to-one“-Zuordnung über das Kontaktim-porttool nicht gleicheffektive, Funktion zur Verknüpfung der Nutzer gab, zeigt die aktuelle „Pe-ople-You-May-Know“-Funktion. Dass eine Umstellung auf diese erst nach und nach trotz erkannten fortgesetzten Scrapinggeschehens erfolgte, lässt sich mit den Vorgaben des Art. 32 DSGVO auch aus ex-ante-Perspektive und unter Berücksichtigung eines Beurteilungsspielraums nicht vereinbaren. Dass die zögerliche Vorgehensweise der Beklagten von der Hoffnung getragen gewesen sein mag, das Scrapen zu erschweren, reicht nicht aus, um das geforderte angemessene Schutzniveau zu erreichen. Dies gilt insbesondere vor dem Hintergrund, dass die Beklagte ihre Standardeinstellung „alle“ für die Suchbarkeit über die Telefonnummer nicht – wie geboten – geändert hatte.

129

482

Soweit die Beklagte vorträgt, sie habe für die Kontaktimportfunktion der Plattform zu einem – im vorliegenden Verfahren trotz Hinweises vom 30.06.2023 sowie auf Erörterung im Senats-termin nicht näher genannten Zeitpunkt (in anderen Verfahren wird Mai 2018 behauptet) – einen nicht näher konkretisierten, auch nicht zum Gegenstand der Entscheidung der DPC vom 28.11.2022 gemachten – „Social Connection Check“ eingeführt, war dieser im Hinblick auf die allein vorgesehene Ähnlichkeitskontrolle und die danach fortbestehende Notwendigkeit, die streitgegenständliche Kontaktimportfunktion im Rahmen der Plattform – wie schon im April 2018 die Suchfunktion der Plattform – gleichwohl im Oktober 2018 zu eliminieren, evident ungeeignet. Dass dieser Check für den Messenger eingeführt worden wäre, wird zudem schon nicht behauptet.

483

1. Geeignete Maßnahmen zur Umsetzung der Datenschutzgrundsätze

484

Nach Art. 25 Abs. 1 DSGVO ist der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um

485

– die Datenschutzgrundsätze (z.B. Datenminimierung) wirksam umzusetzen,

486

– die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen

487

– und die Rechte der betroffenen Personen zu schützen.

488

Aus den vorangegangenen Ausführungen unter A.VI.3.e. ergibt sich außerdem ein Verstoß gegen Art. 5 Abs. 1 lit. b), 25 Abs. 1 DSGVO (ebenso OLG Hamm GRUR-RS 2023, 22505 Rn. 130).

489

1. Datenschutzfreundliche Voreinstellungen (25 Abs. 2 DSGVO)

490

Die Voreinstellung einer Zugriffsmöglichkeit auf die Telefonnummer für jedermann hat gegen die Vorgaben aus Art. 25 Abs. 2 DSGVO verstoßen.

491

1. Neben der Verpflichtung aus Art. 25 Abs. 1 DSGVO, die Datenschutzgrundsätze wirksam umzusetzen (vergleiche auch Art. 5 Abs. 1 lit. b) DSGVO, wonach personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen) regelt Art. 25 Abs. 2 DSGVO die Verpflichtung des Verantwortlichen, datenschutzfreundliche Voreinstellungen vorzunehmen (Data-Protection-by-Default [Abs. 2] und Privacy-by-Design [Abs. 1]). Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch die Voreinstellung nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist (Art. 25 Abs. 2 Satz 1 DSGVO). Die Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit (Art. 25 Abs. 2 Satz 2 DSGVO). Diese Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Anzahl von natürlichen Personen zugänglich gemacht werden (Art. 25 Abs. 2 Satz 3 DSGVO).

492

Der Europäische Gerichtshof hat in diesem Zusammenhang entschieden, dass bei Voreinstellungen mit einer sogenannten Abwahlmöglichkeit (Opt-out-Voreinstellung) nicht von einer wirksamen Einwilligung in die Datenverarbeitung ausgegangen werden kann, weil die Einwilligung ein aktives Verhalten erfordert (Art 4 Nr. 11 DSGVO), bei einer entsprechenden Voreinstellung die tatsächliche Einwilligung objektiv nicht geklärt werden kann, jedenfalls unklar bleibt, ob die Einwilligung in Kenntnis der Sachlage abgegeben wurde (EuGH MMR 2019, 732 [735 Rn. 50 – 58] – Planet49; EuGH BeckRS 2020, 30027 Rn. 35; vergleiche auch den Erwägungsgrund 32 Satz 3 DSGVO; Martini in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 25 Rn. 4; Martini/Weinzierl RW 2019, 287 [309 f.]).

493

Art. 25 Abs. 2 DSGVO enthält damit nach Wortlaut und Systematik ein sogenanntes Opt-out-Verbot für nicht erforderliche Daten. Erforderlich sind Daten, wenn der Verarbeitungszweck ohne sie nicht zu erreichen ist. Diese Voraussetzung ist restriktiv auszulegen; Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten müssen sich auf das absolut Notwendige beschränken (EuGH GRUR 2021, 1067 Rn. 110; BGH Urteil vom 12.10.2021, VI ZR 488/19 Rn. 30). In der Wahl des Verarbeitungszwecks ist der Verantwortliche allerdings weitgehend frei. Art. 5 Abs. 1 lit. b) DSGVO gebietet es lediglich, einen eindeutigen und legitimen, rechtlich zulässigen Zweck zu wählen. Nicht erforderliche Daten sind demnach solche, die der Verantwortliche nicht notwendig verarbeiten muss. Hinsichtlich der Voreinstellungen ist die bloße Abwahlmöglichkeit insoweit dann nicht ausreichend (Martini in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 25 Rn. 45 – 46; Nolte/Werkmeister in Gola/Heckmann, DSGVO, 3. Aufl. 2022, Art. 25 Rn. 31). Danach ist durch die standardmäßige Konfiguration von (Privatsphäre-) Einstellungen zu gewährleisten, dass Nutzer eines sozialen Netzwerks die nicht erforderlichen Daten nur den Personenkreisen und nur in dem Umfang zugänglich machen, den sie vorab selbst festgelegt haben (Nolte/Werkmeister in Gola/Heckmann, DSGVO, 3. Aufl. 2022, Art. 25 Rn. 28). Die Verpflichtung gilt nach Art. 25 Abs. 2 Satz 3 DSGVO insbesondere auch für die Zugänglichkeit der Daten, also die tatsächliche Möglichkeit, auf die Daten zuzugreifen. Die auf soziale Netzwerke zugeschnittene Regelung soll es den betroffenen Nutzern ermöglichen, den Kreis der Empfänger ihrer Nachrichten oder sonstigen Aktivitäten selbst zu steuern. Als Voreinstellung ist der kleinstmögliche Empfängerkreis vorzusehen (Nolte/Werkmeister in Gola/Heckmann, DSGVO, 3. Aufl. 2022, Art. 25 Rn. 31). Deshalb kann der Auffassung der Beklagten nicht gefolgt werden, dass Art. 25 DSGVO keine Vorgaben für konkrete Datenverarbeitungsvorgänge macht – die Frage der möglichst engen Voreinstellungen betrifft konkret die Verarbeitung von Daten.

494

Die Bejahung dieses Verstoßes führt auch zu einer nicht rechtmäßigen Verarbeitung nach Art. 5 Abs. 1 lit. a) DSGVO.

495

Die DSGVO geht zudem im Ausgangspunkt davon aus, dass jede Verarbeitung personenbezogener Daten zunächst einmal unzulässig ist, wenn nicht ein Erlaubnistatbestand vorliegt. Art. 6 Abs. 1 Satz 1 DSGVO (soweit einschlägig) knüpft die Rechtmäßigkeit der Verarbeitung daran, dass

496

– eine Einwilligung zur Verarbeitung der Daten für einen oder mehrere bestimmte Zwecke vorliegt (Art. 6 Abs. 1 Satz 1 lit. a) DSGVO),

497

– die Verarbeitung zur Erfüllung eines Vertrages (Vertragspartei der Betroffene) erforderlich ist, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs. 1 Satz 1 lit. b) DSGVO), damit eine Verarbeitung personenbezogener Daten als für die Erfüllung eines Vertrags erforderlich im Sinne des Art. 6 Abs. 1 Unterabs. 1 lit. b) DSGVO angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist (EuGH GRUR-RS 2023, 15772 Rn. 98),

498

– die Verarbeitung der personenbezogenen Daten zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich und damit rechtmäßig ist (Art. 6 Abs. 1 Satz 1 lit. f) DSGVO).

499

Die Einwilligung muss nach dem Erwägungsgrund 32 DSGVO durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Eine wirksame Einwilligung liegt insbesondere nicht vor, wenn die Speicherung oder der Zugriff durch Voreinstellungen erlaubt wird, die der Nutzer abwählen muss (also keine opt-out-Einwilligung; EuGH MMR 2019, 732 [735 Rn. 50 – 58] – Planet49; EuGH BeckRS 2020, 30027 Rn. 35; ebenso KG MMR 2020, 239 Rn. 41). Eine Einwilligung in die Möglichkeit eines Datenabgriffs wurde nicht erklärt.

500

Das berechtigte Interesse im Sinne von Art. 6 Abs. 1 lit. f) DSGVO ist zwar grundsätzlich weit zu fassen. Als Interesse genügt zunächst jedes rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen. Es ist in der Literatur allerdings anerkannt, dass es sich um ein berechtigtes Interesse handeln muss, so dass solche Interessen an einer Verarbeitung ausscheiden, welche der Rechtsordnung im weitesten Sinne zuwiderlaufen (OLG Schleswig BeckRS 2021, 16986 Rn. 35, das Revisionsverfahren ist ausgesetzt, vergleiche dazu BGH BeckRS 2023, 7082).

501

1. Die Beklagte hat eingeräumt, dass mittels einer Telefonnummernaufzählung über die Kontakt-Import-Funktion die Nummern in Abhängigkeit von den Suchbarkeits-Einstellungen mit den dazugehörigen Facebookkonten verbunden werden konnten.

502

Es mag zwar zutreffen, dass angesichts des Zwecks der Plattform die (weitere) Möglichkeit des Auffindens des Nutzerkontos über die Handynummer wünschenswert oder nützlich gewesen ist, diese diente aber nicht der Wahrung berechtigter Interessen und war auch nicht erforderlich (Art. 6 Abs. 1 Satz 1 lit. b) und f) DSGVO).

503

Auch wenn hinsichtlich der Zwecke eine weitgehende Freiheit des Verantwortlichen bestehen mag, muss insbesondere sichergestellt sein, dass die Daten nicht ohne eine ausdrückliche Einwilligung des Betroffenen einer unbestimmten Anzahl von Person zugänglich gemacht werden, es sei denn, der Betroffene hat dies ausdrücklich so (vor-) eingestellt. Die Erfassung der Telefonnummer war und ist für die Nutzung der Plattform und für den Betrieb jedoch nicht unabdingbar notwendig, weil der Nutzer unter seinem Namen aufgefunden werden kann, auch wenn es dann gegebenenfalls mehrere Treffer geben mag. Das zeigt sich insbesondere auch daran, dass sämtliche Voreinstellungen, um die es hier geht, ohne weiteres abgewählt werden können, ohne dass dies ersichtlich der weiteren Vertragsdurchführung entgegensteht, weil sie ansonsten nicht für eine Abwahl vorgesehen wären (ebenso KG BeckRS 2019, 35233 Rn. 39).

504

Die Bereitstellung der Daten im Kontakt-Import-Tool war nicht zur Vertragserfüllung erforderlich, da diese nicht dazu diente, Gemeinschaften zu bilden und die Welt näher zusammenzubringen (so der von der Beklagten vorgetragene Unternehmenszweck), auch nicht dazu diente für den Kläger neue Kontakte und andere Nutzer zu finden. Jedenfalls erfolgte die Bereitstellung insoweit nicht auf ausdrückliche Anfrage des Klägers. Soweit die Beklagte insoweit auf den Zweck der Bereitstellung eines sozialen Netzwerks abstellt (z.B. Blatt 257 AkteLG) mag der Verarbeitungszweck die Öffentlichkeit des Namens erfordert haben, weil nur so eine Auffindbarkeit möglich ist, dies gilt aber gerade nicht für weitere Daten, insbesondere die Telefonnummer. Die fehlende Erforderlichkeit ergibt sich auch daraus, dass die Suchbarkeit seit 06.06.2019 vollständig deaktiviert worden ist (ebenso OLG Hamm GRUR-RS 2023, 2505 Rn. 98).

505

Die von der Beklagten vorgetragenen Zwecke – Ermöglichung der Verbindung von Menschen, Unterstützung bei der Suche und Auffindbarkeit anderer Nutzer – erlauben es der Beklagten nicht, den Umfang der zulässigen Datenverarbeitung auszuweiten. Der durch das Recht auf informationelle Selbstbestimmung gewährleistete Schutz würde ebenso wie die Bindung der Datenverarbeitung an die Erforderlichkeit zur Vertragserfüllung durch Art. 6 Abs. 1 lit. b) DSGVO erheblich beeinträchtigt, wenn ein marktbeherrschendes Unternehmen wie die Beklagte die Bedeutung des Zugangs zu seinem sozialen Netzwerk uneingeschränkt dazu ausnutzen könnte, durch die Definition seines Leistungsangebots den Umfang der zulässigen Datenverarbeitung unter Hintanstellung der Nutzerinteressen allein an seinem Interesse an der Vermarktung eines durch die Internetnutzung innerhalb und außerhalb von Facebook generierten Bestandes personenbezogener Daten seiner Nutzer auszurichten und über das für die Benutzung des sozialen Netzwerks erforderliche Maß auszuweiten (BGH GRUR-RS 2020, 20737 Rn. 110).

506

1. Verstoß gegen Informationspflichten (Art. 13, 14 DSGVO)

507

Ein Verstoß bei der Datenerhebung kann nicht festgestellt werden, da das Nutzerkonto bereits vor dem Inkrafttreten der DSGVO eingerichtet wurde. Unabhängig davon fehlte es an der erforderlichen Kenntnis der Beklagten.

508

1. Art. 13 Abs. 1 DSGVO begründet Informationspflichten zum Zeitpunkt der Erhebung von personenbezogenen Daten. Der betroffenen Partei sind unter anderem

509

– die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage (Art. 13 Abs. 1 lit. c) DSGVO)

510

– die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e) DSGVO)

511

mitzuteilen. Erforderlich ist eine aktive Information in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache (Paal/Hennemann in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 13 Rn. 5).

512

Art. 14 Abs. 1 DSGVO sieht eine gleichlautende Informationspflicht vor, wenn die Daten nicht bei der betroffenen Person erhoben werden (der Kläger hat hierzu keine Anknüpfungstatsachen vorgetragen bezüglich welcher Daten hiervon auszugehen ist).

513

1. Im Zeitpunkt der Datenerhebung bei Einrichtung des Kontos war die DSGVO noch nicht in Kraft getreten.

514

Unabhängig davon, ist objektiv nicht ausreichend über die Zwecke der Datenerhebung aufgeklärt worden. Die Beklagte hat in ihren Hinweisen und Belehrungen nicht darüber aufgeklärt, dass die Telefonnummer im Kontakt-Import-Tool einen Zugriff auf die persönlichen Daten ermöglicht, selbst wenn die Einstellungen beschränkt sind. Über den Zweck der Verwendung für das Kontakt-Import-Tool ist danach keine Aufklärung erfolgt. Den Datenrichtlinien lässt sich nicht entnehmen, dass die Eingabe einer beliebigen Telefonnummer, einen Zugriff auf das dazugehörige Benutzerprofil ermöglicht.

515

Durch den Hinweis in der Rubrik „Wozu verwendet Facebook meine Mobilnummer“ (B 6),

516

Möglicherweise verwenden wir deine Mobilnummer für diese Zwecke: …

517

Um dir Personen, die du kennen könntest, vorzuschlagen, damit du dich mit ihnen auf Facebook verbinden kannst.

518

wird die Frage der Auffindbarkeit anhand der Telefonnummer nicht thematisiert, sondern nur auf Vorschläge der Beklagten abgestellt. Auch die Datenrichtlinie (B 9) enthält keine Hinweise auf die Möglichkeit einer Suche mit der Telefonnummer.

519

Auch das Menü zu den Privatsphäreeinstellungen enthält keine entsprechenden Hinweise.

520

Da die Beklagte nach dem übereinstimmenden Vortrag der Parteien bis zu dem Scraping-Vorfall keine Kenntnis davon hatte, dass in ihrem Kontakt-Import-Tool eine Schwachstelle bestand, über die ein Auslesen und Verknüpfen der Daten möglich war, mag zwar objektiv ein Informationsverstoß anzunehmen sein. Allerdings kann der für die Datenverarbeitung Verantwortliche nur über das informieren, was ihm positiv bekannt ist, weshalb im Ergebnis bezüglich der fehlenden Information über die Verarbeitungsmöglichkeit kein Verstoß festgestellt werden kann.

521

1. Verstoß gegen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO)

522

Im Hinblick auf die Möglichkeit des Zugriffs ist zwar von einer unbefugten Offenlegung auszugehen, dieser Verstoß hat jedoch keinen (weiteren) Schaden ausgelöst, ist also mangels Kausalität ohne Relevanz.

523

3. Art. 33 Abs. 1 DSGVO begründet eine unverzügliche Meldepflicht gegenüber der zuständigen Aufsichtsbehörde, wenn es zur Verletzung des Schutzes personenbezogener Daten kommt, es sei denn, die Verletzung führt nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Die Meldepflicht soll auch den verfahrensrechtlichen Schutz der Rechte und Freiheiten des Betroffenen verbürgen, und trägt dem Umstand Rechnung, dass das informationelle Selbstbestimmungsrecht besonders verletzlich ist und dem Betroffenen nachhaltige immaterielle und materielle Schäden entstehen können (Martini in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 33 Rn. 19).

524

Der Begriff der Verletzung des Schutzes personenbezogener Daten ist in Art. 4 Nr. 12 DSGVO legal definiert. Erfasst wird nicht jeder Verstoß gegen das Recht auf informationelle Selbstbestimmung, sondern ausschließlich eine Verletzung der Sicherheit (engl.: „in case of a personal data breach“; franz.: „la violation des données à caractère personnel“). Eine Verletzung der Sicherheit liegt vor, wenn in Bezug auf die personenbezogenen Daten

525

– Vernichtung,

526

– Verlust oder

527

– Veränderungen eintreten,

528

– eine unbefugte Offenlegung oder

529

– ein unbefugter Zugang erfolgt (Erwägungsgrund 39 Satz 10: Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können; vergleiche auch Erwägungsgründe 49, 83).

530

Art. 34 Abs. 1 DSGVO begründet eine Benachrichtigungspflicht bezüglich der betroffenen Person: Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung (vergleiche auch Erwägungsgrund 86). Art. 34 DSGVO dient alleine dem Schutz der Rechte und Freiheiten des Betroffenen. Die Benachrichtigung soll es ihm ermöglichen, auf bestehende Risiken zu reagieren (Martini in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 34 Rn. 16).

531

Anders als bei Art. 13, 14, DSGVO geht es also nicht um Informationspflichten im Zusammenhang mit der Erhebung, sondern um die Verarbeitung der Daten.

532

3. Da der Abgriff der Daten möglich war, weil keine ausreichend datenschutzfreundlichen Voreinstellungen vorgenommen worden waren (oben unter IV.3.g.), die Daten auch nicht ausreichend geschützt waren (IV.3.f.), hat die Beklagte gegen die sie aus Art. 33, 34 DSGVO treffenden Melde- und Benachrichtigungspflichten verstoßen.

533

Da dieser Verstoß keinen (weiteren) Schaden ausgelöst hat, es also an der Kausalität fehlt, ist hierzu nichts weiter auszuführen.

534

1. Keine Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

535

Die Beklagte hat nicht ausreichend sekundär vorgetragen, welche Schutzmaßnahmen bezüglich des Kontakt-Import-Tools seit Mai 2018 vorgesehen waren, weshalb im Grundsatz von einem Verstoß auszugehen ist.

536

1. Art 35 Abs. 1 DSGVO verlangt vom Verantwortlichen eine sogenannte Datenschutz-Folgenabschätzung, wenn eine Form der Datenverarbeitung aufgrund Art, Umfang, Umständen und Zwecken der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der natürlichen Personen zur Folge haben kann.

537

Die Risikobewertung verlangt eine Prognose, mit welch hoher Wahrscheinlichkeit ein hoher oder im Ausmaß unbekannter physischer, materieller oder immaterieller Schaden eintritt oder ein erwarteter Vorteil ausbleibt (Martini in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 35 Rn. 15a, 25). Der Verantwortliche soll die Datenschutz-Folgenabschätzung vor der Verarbeitung durchführen, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere dieses hohen Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Garantien und Verfahren befassen, durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen der DSGVO nachgewiesen werden soll (Erwägungsgrund 90). Hinsichtlich der Schäden stellt Erwägungsgrund 85 der DSGVO ab auf den Verlust der Kontrolle über die personenbezogenen Daten, die Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.

538

Gegenstand der Abschätzung ist die Rechtmäßigkeit des geplanten Datenverarbeitungsverfahrens, weil nur so das Ziel der Abschätzung erreicht werden kann (Martini in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 35 Rn. 22).

539

Für langfristig angelegte Datenverarbeitungsvorgänge, die bereits vor der Geltung der DSGVO begonnen haben – also vor dem 25.05.2018 (Art. 99 Abs. 2 DSGVO), besteht grundsätzlich keine Pflicht zur Folgenabschätzung, soweit es sich um den gleichen Vorgang handelt (Martini in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 35 Rn. 22a – 22b).

540

1. Der Kläger hat bestritten, dass die Beklagte überhaupt eine Datenschutzfolgenabschätzung vorgenommen hat (Blatt 178 AkteLG), die Beklagte stellt insoweit auf die von ihr ergriffenen Sicherheitsmaßnahmen ab, um Scraping zu verhindern.

541

Da auch insoweit zumindest die Grundsätze der sekundären Darlegungs- und Behauptungslast gelten, weil der Kläger keinen Einblick in diese internen Vorgänge der Beklagten hat, der ein substantiierter Gegenvortrag unschwer möglich und zumutbar ist, genügt die pauschale Behauptung des Klägers, die insoweit gemäß § 138 Abs. 3 ZPO als unstreitig zu behandeln ist. Danach hat die Beklagte die notwendige Folgenabschätzung nicht vorgenommen.

542

1. Unzureichende Auskunft (Art. 15 DSGVO)

543

Da die (laut Kläger) unzureichende Auskunft keinen weiteren Schaden ausgelöst hat, erübrigen sich weitere Ausführungen. Zur Frage einer unzureichenden Auskunft wird ansonsten auf die nachfolgenden Ausführungen zum Auskunftsantrag unter VIII. Bezug genommen.

544

1. Zusammenfassung

545

Die Beklagte hat mit der Zugriffsmöglichkeit gegen folgende Pflichten aus der DSGVO verstoßen:

546

– Transparenzgebot (Art. 5 Abs. 1 lit. a) DSGVO),

547

– Keine ausreichenden Sicherungsmaßnahmen (Art. 5 Abs. 1 lit. f) DSGVO),

548

– keine ausreichenden datenschutzfreundlichen Voreinstellungen (Art. 25 DSGVO),

549

– Verstoß gegen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO),

550

– Keine Datenschutz-Folgenabschätzung (Art. 35 DSGVO).

551

4. Möglichkeit eines künftigen Schadens

552

1. Hinsichtlich der Frage einer Ersatzpflicht für künftige Schäden können die Grundsätze der höchstrichterlichen Rechtsprechung für Feststellungsanträge nach einem Gesundheitsschaden übertragen werden.

553

Der Anspruch auf Feststellung beim Schmerzensgeld als immaterieller Schaden ist begründet, bei einer nicht eben entfernt liegenden Möglichkeit künftiger Verwirklichung der Schadensersatzpflicht durch das Auftreten weiterer, bisher noch nicht voraussehbarer und erkennbarer Leiden oder bei einer noch nicht abschließend überschaubaren weiteren Entwicklung des Krankheitsverlaufs. Das trifft bei schweren Unfallverletzungen in aller Regel zu, es sei denn, es besteht überhaupt kein Grund, mit Spätschäden zu rechnen (BGH NJW-RR 1989, 1367 = VersR 1989, 1055; BGH NJW 1972, 198; BGH MDR 1974, 825 [826]; BGHZ 4, 133 [135]; RGZ 61, 164 [171]). Die Feststellungsklage ist bei noch nicht voraussehbaren und erkennbaren weiteren Beeinträchtigungen oder bei einer noch nicht abschließend überschaubaren weiteren Entwicklung begründet.

554

1. Das ist der Fall, denn es besteht die evidente Möglichkeit, dass mit einer weiteren Verbreitung der Telefonnummer weitere materielle oder immaterielle Beeinträchtigungen beim Kläger eintreten können (a.A. OLG Hamm GRUR-RS 2023, 22505 Rn. 189 – 202, das allerdings bereits ein Feststellungsinteresse verneint hat).

555

VII. Begründetheit der Berufung (Unterlassung)

556

Die Berufung des Klägers ist nicht begründet. Aus Art. 17 DSGVO kann der vom Kläger geltend gemachte Anspruch nicht hergeleitet werden, Ansprüche aus §§ 823, 1004 BGB sind gesperrt.

557

In Rechtsprechung und Literatur ist umstritten, ob und inwieweit bei einem Verstoß gegen die DSGVO Unterlassungsansprüche bestehen können und woran diese anknüpfen.

558

1. Eine Auffassung nimmt an, dass keine Unterlassungsansprüche geltend gemacht werden können, weder über Art. 17 DSGVO noch aus §§ 1004, 823 BGB. Insoweit wird auf den Wortlaut von Art. 79 Abs. 1 DSGVO abgestellt, der nur verwaltungsrechtliche und außergerichtliche Rechtsbehelfe einräumt („unbeschadet“), ansonsten aber eine sogenannte Sperrwirkung begründe. Weiter wird auf die Systematik der DSGVO hingewiesen, die die Rechte betroffener Personen im Kapitel III geregelt hat (Art. 12 – 22 DSGVO). Dort sind nur Auskunfts-, Berichtigungs-, Löschungsrechte und das Recht auf Einschränkung der Verarbeitung von personenbezogenen Daten normiert, jedoch gerade kein Recht auf Unterlassung einer rechtswidrigen Datenverarbeitung. Auch der Unterschied in den Formulierungen von Art. 77 Abs. 1 DSGVO (Beschwerderecht bei gegen die DSGVO verstoßender Verarbeitung personenbezogener Daten) und Art. 79 Abs. 1 DSGVO (Recht auf wirksamen gerichtlichen Rechtsbehelf bei Rechtsverletzung im Rahmen der Verarbeitung personenbezogener Daten) zeige, dass die bloß rechtswidrige Datenverarbeitung noch keinen Anspruch begründe (VG Regensburg ZD 2020, 601 [602 Rn. 16 – 18]; LG Wiesbaden ZD 2022, 238 f. Rn. 17 – 18).

559

2. Eine differenzierende Ansicht führt aus, dass aus Art. 17 DSGVO ein Anspruch auf Unterlassung der Speicherung von Daten hergeleitet werden kann (also z.B. kein Anspruch auf Unterlassung einer Übermittlung). Zwar wird in Art. 17 Abs. 1 DSGVO nur ein Löschungsrecht normiert, da jedoch Art. 79 DSGVO wirksame gerichtliche Rechtsbehelfe bei einer Verletzung der DSGVO garantiere, könne daraus zugleich ein Unterlassungsanspruch auf Speicherung hergeleitet werden. Aus der Verpflichtung zur Löschung von Daten ergebe sich implizit zugleich die Verpflichtung, diese Daten künftig nicht wieder zu speichern (BGH, Urteil vom 13.12.2022, VI ZR 60/21 Rn. 13 – jameda.de; BGH GRUR 2022, 258 [259 Rn. 10] – Ärztebewertung V; BGH GRUR 2020, 1331 [1333 Rn. 20, 23] – Recht auf Vergessenwerden; ausführlich OLG Frankfurt GRUR 2023, 904 [905 Rn. 44 – 45]; OLG Frankfurt GRUR-RS 2022, 4491 Rn. 29). Schadensersatzansprüche und Unterlassungsansprüche des nationalen Rechts – soweit diese auf Verstöße gegen Regeln zur Verarbeitung personenbezogener Daten und anderer Regelungen der DSGVO gestützt sind – finden danach keine Anwendung, weil die Vorschriften der DSGVO eine abschließende, weil voll harmonisierende europäische Regelung bilden (OLG Frankfurt GRUR 2023, 904 [906 Rn. 50]; Wolff/Brink in BeckOK Datenschutzrecht, Stand 01.02.2022, Einleitung Rn. 19). Wegen dieses Anwendungsvorrangs des unionsweit abschließend vereinheitlichten Datenschutzrechts kann ein (Unterlassungs-) Anspruch nicht auf Vorschriften des nationalen deutschen Rechts gestützt werden. Auf nationales Recht kann nur zurückgegriffen werden, wenn sich aus der DSGVO eine entsprechende Öffnungsklausel ergibt (OLG Frankfurt GRUR 2023, 904 [906 Rn. 50]).

560

Die zitierten Entscheidungen des Bundesgerichtshofs stellen ausdrücklich nur auf Art. 17 DSGVO ab, die Anwendung von §§ 1004, 823 BGB wird wegen des unionsweit abschließend vereinheitlichen Datenschutzrechts jeweils abgelehnt, der Anspruch kann also nicht auf Vorschriften des nationalen deutschen Rechts gestützt werden (BGH GRUR 2022, 258 [261 Rn. 22] – Ärztebewertung V; BGH, Urteil vom 12.10.2021, VI ZR 488/19 Rn. 69; BGH, Urteil vom 27.07.2020, VI ZR 405/18 GRUR 2020, 1331 [1338 Rn. 64] – Recht auf Vergessenwerden). Der Bundesgerichtshof hat im Beschluss vom 26.09.2023, VI ZR 97/22 Rn. 21 für eine über den Wortlaut des Art. 17 DSGVO hinausgehende Auslegung darauf hingewiesen, dass dies über eine systematische Auslegung von Art. 17, 18 DSGVO erreicht werden kann.

561

3. Weiter wird vertreten, dass neben dem aus Art. 17 DSGVO konstruierten Unterlassungsanspruch dem weiteren Eintritt eines Schadens durch Geltendmachung von Unterlassungs- und Beseitigungsansprüchen aus §§ 823, 1004 BGB begegnet werden kann (so OLG Schleswig BeckRS 2021, 16986 Rn. 52). Diese Auffassung stellt darauf ab, dass die Annahme einer Sperrwirkung dem allgemeinen Ziel der DSGVO entgegensteht, effektiven Rechtsschutz zu gewährleisten. Art. 79 DSGVO verlangt einen wirksamen gerichtlichen Rechtsbehelf, dazu gehört es auch, dass die Möglichkeit besteht, Rechtsverletzungen für die Zukunft abzustellen (Gola/Piltz in Gola/Heckmann, DSGVO, 3. Aufl. 2022, Art. 82 Rn. 42 [ohne inhaltliche Begründung]; Quaas in BeckOK Datenschutzrecht, Stand 01.05.2023, Art. 82 Rn. 9; Martini in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 79 Rn. 17; Frenzel in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 82 Rn. 20 [wiederum ohne inhaltliche Begründung]). Der Erwägungsgrund 146 Satz 4 DSGVO (Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten) gehe für Schadensersatzansprüche von einer Anwendbarkeit nationalen Rechts aus, das müsse erst recht für Unterlassungsansprüche gelten.

562

4. Entgegen der Auffassung des Klägers führt die Entscheidung des EuGH vom 28.04.2022 (C-319/20) nicht zu einer anderen Bewertung, denn das Urteil betrifft ausdrücklich nur die Öffnungsklausel aus Art. 80 Abs. 2 DSGVO, wonach die Mitgliedstaaten nach Art. 80 Abs. 2 DSGVO vorsehen können, dass jede Einrichtung, Organisation oder Vereinigung unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Art. 77 DSGVO zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Art. 78 und 79 DSGVO aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung von personenbezogenen Daten dieser Person verletzt worden sind (EuGH, Urteil vom 28.04.2022, C-319/20 Rn. 56). Es geht also gerade nicht um die unmittelbar auf die DSGVO zu stützenden Ansprüche des Betroffenen, sondern um eine Verbandsklage. Zudem lässt sich der Entscheidung des Europäischen Gerichtshofs entnehmen, dass nicht auf §§ 1004, 823 BGB, sondern auf UWG-Regelungen abgestellt wurde. Die Anwendbarkeit der §§ 1004, 823 BGB für private Individualklagen ist danach gerade nicht zugelassen worden.

563

5. Es ist der differenzierten Lösung des Bundesgerichtshofs und des OLG Frankfurt zu folgen, wonach Unterlassungsansprüche nicht auf nationales Recht, sondern lediglich auf Art. 17 DSGVO gestützt werden können. Im Hinblick auf die in Art. 17 DSGVO erfolgte Anknüpfung an das Löschungsrecht bezüglich personenbezogener Daten besteht jedoch nur ein Anspruch auf Unterlassung der Speicherung von Daten, es kann jedoch keine weitergehende Unterlassung begehrt werden, Daten nicht zugänglich zu machen. Art. 17 Abs. 1 DSGVO gibt einen Anspruch auf Löschung personenbezogener Daten, wenn

564

– sie für den Zweck der Erhebung oder Verarbeitung nicht mehr notwendig sind (Art. 17 Abs. 1 lit. a) DSGVO),

565

– die Einwilligung in eine Verarbeitung widerrufen wird und keine anderweitige Rechtsgrundlage für eine Verarbeitung gegeben ist (Art. 17 Abs. 1 lit. b) DSGVO),

566

– Widerspruch eingelegt wird und keine berechtigten Gründe für eine Verarbeitung vorliegen (Art. 17 Abs. 1 lit. c) DSGVO),

567

– die personenbezogenen Daten unrechtmäßig verarbeitet wurden (Art. 17 Abs. 1 lit. d) DSGVO),

568

– die Löschung zur Erfüllung von Pflichten nach EU-Recht oder dem nationalen Recht erforderlich ist (Art. 17 Abs. 1 lit. e) DSGVO),

569

– unzulässig Daten von Kindern erhoben wurden (Art. 8, 17 Abs. 1 lit. f) DSGVO).

570

Nachdem Art. 17 DSGVO lediglich ein Löschungsrecht bezüglich personenbezogener Daten einräumt, jedoch gerade keine weitergehenden Rechte bezüglich der Datenverarbeitungsvorgänge an sich normiert worden sind, können keine Unterlassungsansprüche geltend gemacht werden, die im Ergebnis die Verarbeitungsvorgänge des Verantwortlichen reglementieren können. Mit einem Unterlassungsantrag kann danach nicht verbunden werden, dem Verarbeiter der Daten bestimmte Verarbeitungsmethoden vorzugeben. Im Ergebnis geht es jeweils immer nur darum, bei Rechtsverletzungen ein effektives Rechtsfolgensystem zur Verfügung zu stellen.

571

Wegen der weiteren Argumente für diese Auffassung wird auf die obigen Ausführungen unter 2. Bezug genommen.

572

6. Der Kläger verlangt Unterlassung,

573

– seine personenbezogenen Daten im Rahmen einer Ausnutzung des Systems für andere Zwecke als eine Kontaktaufnahme gegenüber unbefugten Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen,

574

– der Verarbeitung seiner Telefonnummer ohne ausreichende Informationen über die Möglichkeit eines Abgriffs auch bei einer Einstellung auf „privat“.

575

Mangels einer ausreichenden Information über die vorhandene Sicherheitslücke fehlt es laut Kläger an der erforderlichen Einwilligung, weshalb die Verarbeitung rechtswidrig gewesen sei.

576

In der Sache geht es bei dem Unterlassungsanspruch nicht um die Unterlassung einer (erneuten) Speicherung, sondern der geltend gemachte Unterlassungsanspruch zielt unmittelbar darauf ab, dass die Beklagte nach dem Stand der Technik bestimmte Sicherheitsmaßnahmen vorzusehen hat, die Telefonnummer bei bestimmten Voreinstellungen nicht zugänglich gemacht wird, verlangt wird also neben der Unterlassung auch ein bestimmtes Verhalten der Beklagten. Unabhängig davon, ob damit nicht verdeckt eine (nicht näher bestimmte) Leistung verlangt wird, zielt der Antrag auf Unterlassung bestimmter Datenverarbeitungsvorgänge und ist daher nicht mehr vom Schutzumfang des Art. 17 DSGVO erfasst. Es geht nicht um die Unterlassung einer erneuten Speicherung, sondern der Unterlassungsantrag verlangt etwas Anderes. Da Art. 17 DSGVO lediglich ein Löschungsrecht bezüglich personenbezogener Daten einräumt, jedoch gerade keine weitergehenden Rechte bezüglich der Datenverarbeitungsvorgänge an sich normiert worden sind, können keine Unterlassungsansprüche geltend gemacht werden, die im Ergebnis die Verarbeitungsvorgänge des Verantwortlichen reglementieren können.

577

VIII. Begründetheit der Berufung (Auskunft)

578

Der Auskunftsantrag ist nicht begründet. Der Beklagten sind die Scraper namentlich nicht bekannt, weshalb über die mit dem Schreiben vom 17.11.2021 erteilten Auskünfte keine weiteren Auskünfte erteilt werden können.

579

1. Art. 15 DSGVO gibt der betroffenen Person einen Anspruch, vom Verantwortlichen eine Auskunft darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden (erste Stufe), dazu gehört nach Art. 15 Abs. 1 lit. c) DSGVO eine Information über die Empfänger oder Kategorien von Empfängern, denen gegenüber die Daten offengelegt worden sind (zweite Stufe). Die Vorschrift ist im Wesentlichen deckungsgleich mit Art. 13 Abs. 1 lit. e) DSGVO beziehungsweise Art. 14 Abs. 1 lit. e) DSGVO. Art. 15 DSGVO gewährt einen Anspruch auf umfassende Information hinsichtlich der personenbezogenen Daten der betroffenen Person sowie spezifischer Umstände der Datenverarbeitung.

580

Die zusätzliche Spezifizierung, dass Daten „offengelegt worden sind oder noch offengelegt werden“ macht deutlich, dass nicht nur abgeschlossene Transfers beauskunftet werden müssen, sondern auch solche, die in der Zukunft bevorstehen. Besteht lediglich die Möglichkeit, dass es in Zukunft zu einem solchen Transfer kommen könnte, greift Abs. 1 lit. c) DSGVO (noch) nicht (Franck in Gola/Heckmann, DSGVO, 3. Aufl. 2022, Art. 15 Rn. 10). Der europäische Gerichtshof hat mit Urteil vom 12.01.2023 (C-154/21) vorgegeben, dass das Auskunftsrecht bei einer Offenlegung der Daten gegenüber Dritten verpflichtet, die Identität der Empfänger mitzuteilen, es sei denn, es ist nicht möglich, den Empfänger zu identifizieren oder der Verantwortliche führt den Nachweis einer offensichtlichen Unbegründetheit oder Exzessivität (Art. 12 Abs. 5 DSGVO). Die Entscheidung verweist insoweit auf den Erwägungsgrund 63 (Anrecht auf Kenntnis der Empfänger), die Vorgaben aus Art. 5 DSGVO (Transparenzgebot), Art. 15 DSGVO insoweit ein Wahlrecht des Betroffenen begründet und nur so eine zulässige Verarbeitung beurteilt werden kann (EuGH, Urteil vom 12.01.2023, C-154/21 Rn. 32 – 40; vergleiche auch EuGH BeckRS 2023, 14515 Rn. 35).

581

Die Voraussetzungen einer Unmöglichkeit und des deshalb bestehenden Leistungsverweigerungsrechts sind von dem Schuldner darzulegen und zu beweisen, der das Recht zur Leistungsverweigerung in Anspruch nimmt (BGH NJW 2010, 2341 Rn. 9).

582

2. Dem Kläger geht es um Auskunft über den Datenschutzvorfall an sich, nach dem Klageantrag will er außerdem wissen, welche Daten durch welche Empfänger abgegriffen worden sind. Die Beklagte ist der Auffassung, dass sie die erforderliche Auskunft am 17.11.2021 individuell erteilt hat (B 16) und keine weitere Auskunft geben kann, weil sie keine Kenntnis hat, wie die Scraper im Detail vorgingen, diese daher auch selbst nicht kennt.

583

Das Schreiben vom 17.11.2021 erläutert den Vorfall und die (vermutete) Vorgehensweise der Scraper (erläutert also den Datenschutzvorfall an sich, wobei bestritten wird, dass es einen Datenschutzvorfall gegeben hat), zitiert außerdem umfangreich die Datenrichtlinie enthält aber keine konkreten Informationen, welche Daten abgegriffen wurden und wer diesen Abgriff durchgeführt hat, wer also Empfänger der Daten war. Damit ist keine Auskunft erfolgt, welche Daten durch wen abgegriffen wurden.

584

Nachdem zwischen den Parteien jedoch unstreitig ist, welche Daten abgegriffen wurden, ist die Auskunft insoweit erteilt, ein Auskunftsanspruch erfüllt.

585

Soweit sich die Beklagte bezüglich der Empfänger darauf beruft, diese seien ihr nicht bekannt, hat der Kläger diesen Vortrag nicht bestritten (Blatt 65, 165 AkteLG: „Die Klägerseite gesteht aber ein, dass sie die Unbekannten … nicht befragt hat und auch nicht befragen konnte.“), weshalb das Landgericht insoweit zu Recht eine Unmöglichkeit hinsichtlich der Benennung der Empfänger angenommen hat. Soweit die Berufung vorträgt, die gerichtliche Feststellung grenze an Willkür, ist dieses nicht nachvollziehbar. Auch im Berufungsverfahren ist die Frage einer Unmöglichkeit nicht bestritten worden.

586

Soweit die Beklagte insoweit auf Art. 4 Nr. 9 DSGVO abstellt (die Scraper seien keine Empfänger, Blatt 286 f. AkteLG), ändert dies nichts an den Verstößen, denn nach Art. 4 Nr. 2 DSGVO genügt für eine Datenverarbeitung bereits jede Art der Bereitstellung.

587

1. Begründetheit der Berufung (Rechtsanwaltskosten)

588

Ein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten besteht nicht.

589

1. Der Rechtsanwalt hat keinen eigenen originären Anspruch auf Bezahlung seiner außergerichtlichen Gebühren gegen den Gegner des Mandanten. Für einen entsprechenden Anspruch muss ein sogenannter materieller Kostenerstattungsanspruch der eigenen Partei gegen den Gegner auf Ersatz der außergerichtlichen Rechtsanwaltsgebühren bestehen. Erforderlich ist also eine materiell-rechtliche Anspruchsgrundlage des Mandanten, mit der auch die Kosten der Inanspruchnahme des eigenen Rechtsanwalts erfasst werden. Das bürgerliche Recht kennt keinen allgemeinen Anspruch auf Erstattung von Prozesskosten (vergleiche z.B. Bergmann AcP 2011, 823; Feldmann r+s 2016, 546; Bauerschmidt JuS 2011, 601).

590

1. Wenn sich der Schuldner bereits im Verzug befindet (§§ 280, 286 BGB) – also die dazugehörigen gesetzlichen Voraussetzungen vorliegen – kann der Mandant für die (weitere) Durchsetzung seiner Forderung anwaltliche Hilfe in Anspruch nehmen. Die außergerichtlichen Rechtsanwaltsgebühren sind dann adäquat kausal durch den eingetretenen Verzug verursacht worden.

591

Solange sich der Schuldner noch nicht im Verzug befindet, kann der Rechtsanwalt für eine von ihm verfasste (erste) Mahnung grundsätzlich noch keine Gebühren für die außergerichtliche Rechtsverfolgung verlangen, denn erst die Mahnung löst den Verzug und damit den Schadenersatzanspruch (§§ 280, 286 BGB) über die Erstattung von außergerichtlichen Rechtsanwaltskosten aus. Die Kosten der verzugsbegründenden Mahnung gehören also nicht zum Verzögerungsschaden, da sie nicht während des Verzugs entstehen (BGH, Urteil vom 18.01.2008, V ZR 174/06 NJW 2008, 1658 Rn. 27). In einem Beschluss vom 27.04.2006 (VII ZB 116/05, NJW 2006, 2560) wurde entschieden, dass die Kosten für ein Mahnschreiben (VV 2300) nicht zu den Kosten des Rechtsstreits zählen (dazu auch BGH, Beschluss vom 22.01.2008, VIII ZB 57/07, NJW 2008, 1323); BGH NJW 1985, 320 [VIII ZR 226/83]).

592

1. Da es sich bei Art. 82 DSGVO um einen eigenständigen deliktischen Schadenersatzanspruch handelt (Quaas in BeckOK Datenschutzrecht, Stand 01.05.2023, Vorbemerkung zu Art. 82, Art. 82 Rn. 1, 8, 10; Bergt in Kühling/Buchner, DSGVO, 3. Aufl. 2020, Art. 82 Rn. 12 m.w.N. in Fn. 7), nach den Vorgaben des Europäischen Gerichtshofs die Festlegung der Kriterien für die Ermittlung des Umfangs des im Rahmen von Art. 82 Abs. 1 DSGVO geschuldeten Schadensersatzes in der Aufgabe des jeweiligen Mitgliedsstaats liegt, wobei der Äquivalenz- und Effektivitätsgrundsatz zu beachten sind (EuGH GRUR-RS 2023, 8972 Rn. 54), können mit dem OLG Schleswig (BeckRS 2021, 16986 Rn. 53 [allerdings ohne ausdrückliche inhaltliche Begründung]) die Rechtsverfolgungskosten als Teil des nach Art. 82 DSGVO zu ersetzenden Schadens angesehen werden.

593

Ein Anspruch auf Erstattung außergerichtlicher Rechtsanwaltskosten kann sich auch aus einer deliktischen Haftung des Schädigers ergeben. Der Bundesgerichtshof führt insoweit in ständiger Rechtsprechung aus, dass

594

– der deliktische Schadenersatzanspruch auch die Rechtsverfolgungskosten erfasst,

595

– diese Kosten ex ante erforderlich und zweckmäßig waren,

596

– der Geschädigte im Innenverhältnis zu seinem Rechtsanwalt zur Zahlung der Kosten verpflichtet ist,

597

– zu klären ist, ob die Gebühr Nr. 2300 RVG VV überhaupt ausgelöst wurde.

598

Zu den ersatzpflichtigen Aufwendungen des Geschädigten zählen grundsätzlich auch die durch das Schadensereignis erforderlich gewordenen Rechtsverfolgungskosten. Nach der ständigen Rechtsprechung des Bundesgerichtshofs hat der Schädiger allerdings nicht alle durch das Schadensereignis adäquat verursachten Rechtsanwalts-kosten zu ersetzen, sondern nur solche, die aus der Sicht des Geschädigten zur Wahrnehmung seiner Rechte erforderlich und zweckmäßig waren (BGH NJW 2006, 1065 Rn. 5; BGHZ 127, 348 [350 ff.] = NJW 1995, 446). Maßgeblich ist die ex-ante-Sicht einer vernünftigen, wirtschaftlich denkenden Person. Hierbei sind keine überzogenen Anforderungen zu stellen. Es kommt darauf an, wie sich die voraussichtliche Abwicklung des Schadensfalls aus der Sicht des Geschädigten darstellt (BGH NJW-RR 2022, 707 [708 Rn. 18]). Für einfach gelagerte Fälle wird dies z.B. angenommen, wenn der Geschädigte geschäftlich ungewandt ist oder die Schadensregulierung verzögert wird (dazu BGH NZM 2012, 607).

599

Voraussetzung für einen Erstattungsanspruch im geltend gemachten Umfang ist grundsätzlich weiter, dass der Geschädigte im Innenverhältnis zur Zahlung der in Rechnung gestellten Kosten verpflichtet ist (BGH NJW 2019, 1522 [1523 Rn. 11]).

600

Außerdem ist zu klären, ob die Gebühr aus Nr. 2300 RVG VV überhaupt ausgelöst worden ist. Ob eine vorprozessuale anwaltliche Zahlungsaufforderung eine Geschäftsgebühr nach Nr. 2300 RVG VV auslöst oder als der Vorbereitung der Klage dienende Tätigkeit nach § 19 Abs. 1 Satz 2 Nr. 1 RVG zum Rechtszug gehört und daher mit der Verfahrensgebühr nach Nr. 3100 RVG VV abgegolten ist, ist eine Frage der Art und des Umfangs des im Einzelfall erteilten Mandats. Erteilt der Mandant den unbedingten Auftrag, im gerichtlichen Verfahren tätig zu werden (vgl. Vorbemerkung zu § 3 I 1 RVG VV), lösen bereits Vorbereitungshandlungen die Gebühren für das gerichtliche Verfahren aus, und zwar auch dann, wenn der Anwalt zunächst nur außergerichtlich tätig wird. Für das Entstehen der Geschäftsgebühr nach Nr. 2300 RVG VV ist dann kein Raum mehr. Anders liegt es, wenn sich der Auftrag nur auf die außergerichtliche Tätigkeit des Anwalts beschränkt oder der Prozessauftrag jedenfalls unter der aufschiebenden Bedingung erteilt wird, dass zunächst vorzunehmende außergerichtliche Einigungsversuche erfolglos bleiben. Ein lediglich (aufschiebend) bedingt für den Fall des Scheiterns des vorgerichtlichen Mandats erteilter Prozessauftrag steht der Gebühr aus Nr. 2300 RVG VV nicht entgegen (BGH NJW-RR 2022, 707 [709 Rn. 24]).

601

2. Ein Anspruch auf Erstattung von Rechtsanwaltskosten besteht nicht.

602

1. Aus der Anlage K 1 ergibt sich, dass die erste unmittelbare Kontaktaufnahme mit der Geltendmachung von Unterlassungs-, Schadenersatz- und Auskunftsansprüchen direkt durch die Prozessbevollmächtigten des Klägers erfolgte, weshalb sich die Beklagte zu diesem Zeitpunkt noch nicht im Verzug befunden hat, also nicht auf die §§ 286 ff. BGB abgestellt werden kann.

603

1. Der Kläger hat bezüglich der vorgerichtlichen Anwaltskosten lediglich auf die Anlage K 1 Bezug genommen, mit der sein Prozessvertreter entsprechende Ansprüche geltend gemacht hat, jedoch inhaltlich keinen weitergehenden Vortrag zu den oben dargestellten Anspruchsvoraussetzungen gehalten.

604

Die Anlage K 1 vom 21.10.2021 enthält zwar noch keine unmittelbare Ankündigung, dass nach Ablauf der bis zum 22.11.2021 gesetzten Frist Klage erhoben wird, die Vollmacht, die der Kläger bereits am 23.09.2021 unterzeichnet hat, erstreckt sich aber ausdrücklich bereits auf eine Prozessführung, weshalb das Mandat unbedingt und umfassend erteilt war und nach den oben dargestellten Grundsätzen die Mail als zur Vorbereitung der Klage dienende Tätigkeit nach § 19 Abs. 1 Satz 2 Nr. 1 RVG zum Rechtszug gehört und daher mit der Verfahrensgebühr nach Nr. 3100 RVG VV abgegolten ist.

605

Gegen einen Ersatzanspruch spricht auch die Tatsache, dass die Kanzlei des Klägers in einer Vielzahl von Verfahren systemisch mit praktisch gleichlautenden Schriftsätzen auftritt, die offensichtlich darauf beruhen, dass zunächst über die (nachfolgend abgedruckte) Homepage im Rahmen einer kostenlosen (!) Erstberatung nach Klärung, ob man vom Vorfall betroffen ist, ein Formular ausgefüllt werden muss (https://www.wbs.legal/i/dl-facebook/). Die Gebühr aus Nr. 2300 VV soll nicht die angebotene kostenlose Erstberatung erfassen.

606

Die Seite ist unter https://www.wbs.legal/i/dl-facebook/ wie folgt gestaltet:

Abbildung in Originalgröße in neuem Fenster öffnen

607

1. Nebenentscheidungen

608

Die Nebenentscheidungen beruhen auf §§ 92 Abs. 2, 97, 709 ZPO.

609

Die Revision ist zuzulassen, denn es handelt sich um einen Fall mit grundsätzlicher Bedeutung, nachdem alleine beim Senat mittlerweile über 100 Berufungen anhängig sind, bundesweit über 6.000 Verfahren geführt werden und grundsätzliche Rechtsfragen zu klären sind. Dies ergibt sich auch aus der Vorlage des Bundesgerichtshofs an den EuGH im Verfahren VI ZR 97/22. Zudem weicht der Senat in einzelnen Punkten von der Entscheidung des OLG Hamm ab (GRUR-RS 2023, 22505).