Das Oberlandesgericht Hamm hat ein erstes Urteil zu den zahlreichen bei ihm anhängingen „Facebook-Scraping“-Fällen gesprochen und eine Klage auf Zahlung von Schadensersatz nach der Datenschutz-Grundverordnung (DSGVO) abgewiesen. Nach dem Urteil liegen zwar Verstöße gegen datenschutzrechtliche Vorschriften vor, einen immateriellen Schaden konnte die Facebook-Nutzerin jedoch nicht ausreichend darlegen.
Im April 2021 veröffentlichten Unbekannte die Daten von etwa 500 Millionen Facebook-Nutzern im Darknet, darunter Namen und Telefonnummern. Die Daten hatten die Unbekannten zuvor über einen längeren Zeitraum zunächst unter Ausnutzung der seinerzeitigen Suchfunktionen von Facebook gesammelt, weshalb von „Scraping“ gesprochen wird (von engl. to scrape für zusammenkratzen). Auch dann, wenn die Anzeige der eigenen Telefonnummer bei Facebook nicht aktiviert war, war es über die Suchfunktion möglich, einen Nutzer über eine eingegebene Telefonnummer zu identifizieren. Dies nutzen die unbekannten „Scraper“ aus, indem sie millionenfach Telefonnummern mit dem Computer generierten und hierzu Daten abriefen. Facebook deaktivierte die Suchfunktion für Telefonnummern im April 2018. Auf ein daraufhin angepasstes Scraping-Verfahren, das die Kontaktimportfunktion von Facebook ausnutzte, wurden weitere Daten abgegriffen, bis Facebook auch diese Funktion auf der Plattform im Oktober 2018 und im Facebook-Messenger im September 2019 deaktivierte. Im Hinblick auf dieses „Datenleck“ sind bundesweit zahlreiche Klagen gegen Meta als Betreiberin der Plattform anhängig, so auch im Bezirk des Oberlandesgerichts Hamm, für den nunmehr die erste Entscheidung vorliegt.
Inhaltsübersicht
Der Ausgangssachverhalt
Auch die hier klagende Facebook-Nutzerin im nun entschiedenen Verfahren war von dem Scraping betroffen. In dem im Darknet veröffentlichten Datensatz fanden sich ihre Mobiltelefonnummer, ihr Vor- und Nachname sowie die Angabe ihres Geschlechts. Die Facebook-Nutzerin hat von Meta als Betreiberin der Plattform unter anderem eine Entschädigung für immaterielle Schäden ähnlich einem Schmerzensgeld in Höhe von mindestens 1.000 € verlangt. Sie hat die Auffassung vertreten, die Betreiberin der Plattform habe sowohl im Zusammenhang mit dem Scraping als auch unabhängig davon gegen verschiedene Vorschriften des Datenschutzes aus der DSGVO verstoßen. Dem ist Meta entgegengetreten.
Das erstinstanzlich hiermit befasste Landgericht Bielefeld hatte die Klage zurückgewiesen1. Die von der Facebook-Nutzerin eingelegte Berufung ist nun vor dem Oberlandesgericht Hamm ohne Erfolg geblieben. Zwar hat das Oberlandesgericht Verstöße gegen die DSGVO festgestellt. Von einem immateriellen Schaden der Facebook-Nutzerin konnte es sich jedoch nicht überzeugen.
Die Entscheidung des OLG Hamm im Überblick
Zu den festgestellten Verstößen gegen die DSGVO geht das Oberlandesgericht im Ausgangspunkt davon aus, dass es auch im Zivilprozess Aufgabe des für die Datenverarbeitung Verantwortlichen – hier Meta – ist, die zulässige Verarbeitung dieser Daten nach der DSGVO nachzuweisen. Auch die Weitergabe von Daten an Dritte auf eine Suchfunktion oder eine Kontaktimportfunktion ist dabei Datenverarbeitung im Sinne der DSGVO. Meta konnte hier nicht nachweisen, dass die Weitergabe der Mobiltelefonnummer der Facebook-Nutzerin im Rahmen der Such- oder Kontaktimportfunktion nach der DSGVO gerechtfertigt war. Auf die Erfüllung des Vertragszwecks als Rechtfertigungsgrund nach der DSGVO kann sich Meta dabei nicht berufen, da die Verarbeitung der Mobiltelefonnummer für die Vernetzung der Nutzerinnen und Nutzer von Facebook untereinander unter Berücksichtigung des Grundsatzes der Datensparsamkeit nicht zwingend erforderlich ist. Für die Verarbeitung der Mobiltelefonnummer bedarf es daher einer Einwilligung der Nutzerin oder des Nutzers. Eine solche wurde hier schon deswegen nicht wirksam erteilt, weil bei der seinerzeit erteilten Einwilligung der Facebook-Nutzerin in unzulässiger Weise mit von der Nutzerin auf Wunsch abwählbaren Voreinstellungen gearbeitet wurde („opt-out“) und die Informationen über die Such- und Kontaktimportfunktion unzureichend und intransparent waren.
Auch eine grundsätzlich zum Schadensersatz führende Pflichtverletzung hat das Oberlandesgericht bejaht, da Meta trotz der konkreten Kenntnis von dem Datenabgriff im vorliegenden Fall naheliegende Maßnahmen zur Verhinderung weiteren unbefugten Datenabgriffs nicht ergriffen hatte. Das Oberlandesgericht hat der Facebook-Nutzerin im Ergebnis aber dennoch keinen Schadensersatz zuerkannt. Die Facebook-Nutzerin hat hier lediglich immaterielle Schäden geltend gemacht, was nach der DSGVO grundsätzlich möglich ist und zu einer Entschädigung ähnlich einem Schmerzensgeld führen kann. Allerdings ist es der Facebook-Nutzerin nicht gelungen, einen konkreten immateriellen Schaden darzulegen. Dabei geht das Oberlandesgericht davon aus, dass der immaterielle Schaden nicht in dem bloßen Verstoß gegen die DSGVO selbst liegen kann, sondern darüberhinausgehende persönliche bzw. psychologische Beeinträchtigungen eingetreten sein müssen. Solche hat die Facebook-Nutzerin jedoch nicht individuell dargelegt. Der zu einer Vielzahl an ähnlich gelagerten Verfahren identische, pauschale Vortrag, die „Klägerpartei“ habe Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt und Aufwand an Zeit und Mühe gehabt, reicht zur Darlegung einer konkret-individuellen Betroffenheit der Facebook-Nutzerin nicht aus. Auch ist der hier in Rede stehende Datenmissbrauch, der zur ungewollten Veröffentlichung von Name und Mobiltelefonnummer geführt hat, nicht so schwerwiegend, dass der Eintritt eines immateriellen Schadens ohne weiteres naheliegt. Hinzu kommt, dass die Facebook-Nutzerin in ihrer persönlichen Anhörung vor dem Landgericht lediglich ausgeführt hatte, sie habe ein „Gefühl der Erschrockenheit“ erlitten.
Das Oberlandesgericht hat den Streitwert für das gesamte Verfahren – in dem auch erfolglos weitere Anträge auf Feststellung, Unterlassung und Auskunft geltend gemacht worden waren – mit lediglich 3.000 € bewertet. Es hat keinen Anlass gesehen, das Verfahren dem Europäischen Gerichtshof zur Vorabentscheidung vorzulegen oder die Revision zuzulassen, da die entscheidenden Rechtsfragen jüngst durch den Europäischen Gerichtshof geklärt wurden.
Der Verantwortliche für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO muss generell – und damit auch im Zivilprozess – nach dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können, dass er die in Art. 5 Abs. 1 DSGVO festgelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat2.
Die automatisierte Ausführung eines Datenabrufs über eine Such- oder Kontaktimportfunktion durch einen Dritten in einem sozialen Netzwerk ist eine Datenverarbeitung des Netzwerkbetreibers als Verantwortlichem in Form der Offenlegung durch Übermittlung im Sinne des Art. 4 Nr. 2 DSGVO3.
Die Verarbeitung auch der Mobilfunktelefonnummer eines Nutzers im Rahmen einer Such- und Kontaktimportfunktion durch das soziale Netzwerk Facebook kann nicht auf den Rechtfertigungsgrund der Vertragszweckerfüllung im Sinne von Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO gestützt werden4.
Für die Verarbeitung der Mobilfunktelefonnummer eines Nutzers durch das soziale Netzwerk Facebook im Rahmen einer Such- und Kontaktimportfunktion ist eine Einwilligung im Sinne von Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7 DSGVO erforderlich, die – wie hier – bei unzulässiger Voreinstellung („opt-out“) und unzureichender sowie intransparenter Information über die konkrete Funktionsweise der Such- und Kontaktimportfunktion nicht vorliegen kann5.
Der für die Datenverarbeitung Verantwortliche verletzt seine Pflichten aus Art. 32 und Art. 25 Abs. 1 DSGVO, wenn er – wie hier – bereits konkrete Kenntnis von einem Datenabgriff durch unbefugte Dritte hat und trotzdem – im Einzelfall – bei ex-ante-Betrachtung naheliegende Maßnahmen zur Verhinderung des weiteren unbefugten Datenabgriffs nicht ergreift6.
Ein Schadensersatzanspruch wegen einer solchen der DSGVO nicht entsprechenden Datenverarbeitung scheidet gleichwohl aus, wenn – wie hier – bei der betroffenen Person ein konkreter (tatsächlicher), über den durch die unrechtmäßige Datenverarbeitung ohnehin eintretenden Kontrollverlust hinausgehender (immaterieller) Schaden nicht eingetreten ist7.
Die Darlegungslast für den Eintritt des konkreten immateriellen Schadens liegt beim Betroffenen und kann bei behaupteten persönlichen /psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller – und nicht wie hier in einer Vielzahl von Fällen gleichartiger, dem Beweis zugänglicher Indizien erfüllt werden8.
Die Beweislast für den Eintritt des konkreten immateriellen Schadens liegt beim Betroffenen. Der Beweis ist nach dem Maßstab des § 286 ZPO9, gegebenenfalls allein durch eine Parteianhörung nach § 141 ZPO zu führen10.
Für die Zulässigkeit einer Klage auf Feststellung der Ersatzpflicht hinsichtlich materieller oder immaterieller Schäden im Sinne des Art. 82 DSGVO genügt – solange nicht reine Vermögensschäden geltend gemacht werden – die Möglichkeit eines Schadenseintritts, die nur zu verneinen ist, wenn bei verständiger Würdigung – wie im vorliegenden Einzelfall – kein Grund besteht, mit dem Eintritt eines derartigen Schadens wenigstens zu rechnen11.
Liegt der Schwerpunkt eines Unterlassungsantrages auf einem aktiven Tun und kann dem Unterlassungsbegehren nicht ausschließlich durch das aktive Tun nachgekommen werden, ist ein Antrag auf Androhung nach § 890 Abs. 2 ZPO unzulässig12.
Eine verdeckte, auf aktives Tun gerichtete Leistungsklage ist anders als eine Unterlassungsklage an § 259 ZPO zu messen, dessen Voraussetzung der Besorgnis nicht rechtzeitiger Leistung sich nicht aus einem zurückliegenden Verstoß gegen Art. 25 Abs. 1, Art. 32 DSGVO ergibt, wenn ein solcher im Hinblick auf den konkreten Verarbeitungsvorgang wegen der Deaktivierung der zugrundliegenden Funktionalität zukünftig nicht mehr eintreten wird.
Ein Auskunftsanspruch nach Art. 15 Abs. 1 Hs. 2 DSGVO ist im Sinne von § 362 Abs. 1 BGB grundsätzlich erfüllt, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen13.
Der Streitwert für eine nichtvermögensrechtliche Streitigkeit richtet sich gemäß § 3 ZPO, § 48 Abs. 2 GKG u. a. nach dem Interesse des Klägers und damit seiner aufgrund des zu beanstandenden Verhaltens zu besorgenden persönlichen /wirtschaftlichen Beeinträchtigung, nach der Stellung der Beteiligten sowie nach Art, Umfang und Gefährlichkeit der zu unterlassenden /begehrten Handlung14.
b)) Das Gericht ist bei der Streitwertbemessung nicht an die subjektiven Wertangaben in der Klageschrift gebunden15. Insbesondere kommt ihnen keine indizielle Bedeutung zu, wenn sie – wie hier – das tatsächliche Interesse offensichtlich unzutreffend widerspiegelt16.
c)) Außer Betracht zu lassen ist insbesondere die über die konkret-individuellen Interessen hinausgehende gesamtgesellschaftliche oder general-präventive sowie die abstrakt-generelle Bedeutung für andere potentiell betroffene Personen17.d)) Bei einer auf eine Wiederholungsgefahr gestützten Klage kann – so auch hier – die bereits erlittene Beeinträchtigung eine Obergrenze für die Bemessung des Interesses des Klägers darstellen.
Zulässigkeit der Leistungsklage
Die Leistungsklage ist zulässig.
Die internationale Zuständigkeit der deutschen Gerichte folgt vorliegend im zeitlichen Anwendungsbereich der DSGVO nach Art. 99 Abs. 2 DSGVO ab dem 25.05.2018 aus Art. 79 Abs. 2 Satz 1 DSGVO in Verbindung mit Erwägungsgrund 22 DSGVO sowie aus Art. 79 Abs. 2 Satz 2 Hs. 1 DSGVO, jeweils als unmittelbar geltendes Recht (Art. 288 Abs. 2 AEUV), und § 44 Abs. 1 Satz 2 BDSG, da die Meta Platforms, Inc. in Deutschland eine Niederlassung und die Facebook-Nutzerin als betroffene Person im Sinne von Art. 4 Nr. 1 DSGVO ihren gewöhnlichen Aufenthalt in Deutschland hat18.
Soweit es darauf ankommen sollte, folgt die internationale Zuständigkeit der deutschen Gerichte vorliegend vor dem zeitlichen Anwendungsbereich der DSGVO ab dem 25.05.2018 aus Art. 7 Nr. 2, Art. 63 Abs. 1 lit a, lit. c und Abs. 2 EuGVVO, da die Meta Platforms, Inc. ihren satzungsgemäßen Sitz, jedenfalls ihre Hauptniederlassung in Ir-land hat, das schädigende Ereignis aus unerlaubter Handlung auch in Deutschland eingetreten ist (vgl. im Verhältnis zu den USA über § 32 ZPO19) und das vorgeworfene Verhalten auch nicht – Vorrang begründend – als Verstoß gegen die vertraglichen Verpflichtungen angesehen werden kann, wie sie sich anhand des Vertragsgegenstands ermitteln lassen20. Jedenfalls greift Art. 26 Abs. 1 Satz 1 EuGVVO, da sich die Meta Platforms, Inc. bereits erstinstanzlich, aber auch zweitinstanzlich – zudem Ziff. 4.4 der seit April 2018 geltenden Nutzungsbedingungen entsprechend – rügelos eingelassen hat21.
Die Zuständigkeit im Übrigen ist im Hinblick auf § 513 Abs. 2 ZPO und § 17a Abs. 5 GVG nicht zu prüfen, wenn auch – unter Berücksichtigung aller Klageanträge – die sachliche Eingangszuständigkeit des Landgerichts aufgrund des Streitwerts von 3.000 € nicht eröffnet war.
Der Klageantrag ist im vorliegenden Fall auch hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO.
Nach § 253 Abs. 2 Nr. 2 ZPO muss die Klageschrift neben einem bestimmten Antrag eine bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs enthalten. Damit werden der Streitgegenstand abgegrenzt und die Grenze der Rechtshängigkeit und der Rechtskraft festgelegt sowie Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts bestimmt. Eine ordnungsgemäße Klageerhebung erfordert eine Individualisierung des Streitgegenstandes. Der Kläger muss die gebotene Bestimmung des Streitgegenstandes vornehmen und kann sie nicht zur Disposition des Gerichts stellen. Der Mangel der Bestimmtheit des Klageantrages wie des Klagegrundes ist von Amts wegen zu beachten. Eine an sich schon in der Klage gebotene Klarstellung kann von der Partei noch im Laufe des Verfahrens nachgeholt werden22.
Der im Verhandlungstermin gestellte Antrag stellt zweifelsfrei klar, dass das klägerische Begehren einer Entschädigungszahlung von mindestens insgesamt 1.000,00 € nicht auf einer unzulässigen Häufung alternativer Klagegründe /Streitgegenstände beruht23.
Soweit die Facebook-Nutzerin ihr Entschädigungsbegehren auf Verstöße gegen die DSGVO vor und nach dem Scraping-Vorfall stützt, kann dahinstehen, ob es sich – in Anbetracht der einschlägigen Rechtsprechung zum Streitgegenstandsbegriff24 – nicht ohnehin nur um einen einheitlichen Streitgegenstand handelt und zwar deshalb, weil die Facebook-Nutzerin objektiv betrachtet erkennbar von einem einheitlichen durch das Scraping und die Veröffentlichung des Leak-Datensatzes verursachten immateriellen Schaden ausgeht, der durch die nach ihrer Ansicht bereits vor dem Scraping-Vorfall begangenen Verstöße gegen die DSGVO eingetreten und durch die Verstöße gegen die DSGVO im Nachgang zum Scraping-Vorfall (Art. 33, 34 DSGVO einerseits und Art. 15 DSGVO andererseits) vertieft worden sein soll und keinen eigenständigen Schaden darstelle. Teilt man diese Auffassung nicht, so liegt jedenfalls eine im Hinblick auf § 260 ZPO zulässige Kumulation von Klagegründen /Streitgegenständen vor.
Es besteht im Hinblick auf die Grenze der Rechtshängigkeit und der Rechtskraft keinerlei Zweifel daran, dass sämtliche auf Grund des Scraping-Vorfalls gerügten Datenschutzverstöße und Persönlichkeitsverletzungen der Facebook-Nutzerin und der dadurch bis zum Schluss der letzten mündlichen Verhandlung entstandene immaterielle (Gesamt-)Schaden umfassend und abschließend – also auch nicht etwa als verdeckte Teilklage25 – rechtshängig geworden sind und abschließend einer rechtskräftigen Entscheidung zugeführt werden sollen.
Da es bei Klagen auf Ausgleich immaterieller Schäden im Hinblick auf die Bemessung durch das Gericht nach billigem Ermessen grundsätzlich – und wie hier – keiner Bezifferung der Leistungsklage bedarf26, ist es auch ausreichend, dass die Facebook-Nutzerin ihre Vorstellung des auszusprechenden Entschädigungsbetrages einheitlich auf einen Gesamtbetrag von mindestens 1.000,00 € veranschlagt.
Kein Anspruch auf Ersatz eines immateriellen Schadens
Die zulässige Leistungsklage ist aber unbegründet. Die Facebook-Nutzerin hat keinen Anspruch auf Ersatz eines immateriellen Schadens. Ein Anspruch aus Art. 82 Abs. 2, Abs. 1 DSGVO (in Verbindung mit Art. 288 Abs. 2 AEUV) besteht nicht.
Allerdings ist dessen zeitlicher (überwiegend), sachlicher und räumlicher Anwendungsbereich eröffnet; auch lassen sich Verstöße der Meta Platforms, Inc. gegen die DSGVO im Zuge der Datenverarbeitung feststellen. Die Facebook-Nutzerin hat indes das Vorliegen eines immateriellen Schadens bereits nicht schlüssig dargelegt, jedenfalls aber nicht bewiesen, und zudem auch die Verursachung eines vermeintlichen immateriellen Schadens durch die nicht der DSGVO entsprechende Datenverarbeitung seitens der Meta Platforms, Inc. nicht dargelegt und bewiesen.
Im Einzelnen:
62Ein Anspruch aus Art. 82 Abs. 2, Abs. 1 DSGVO setzt zunächst voraus, dass diese Regelung zeitlich, sachlich und räumlich anwendbar ist. Im Übrigen hat Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, drei Voraussetzungen für die Entstehung des Schadensersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, einen der betroffenen Person entstandenen Schaden und einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden27.
Der zeitliche, sachliche und räumliche Anwendungsbereich der DSGVO ist vorliegend teilweise eröffnet.
Der zeitliche Anwendungsbereich der DSGVO ist (nur) teilweise eröffnet. Die DSGVO gilt seit dem 25.05.2018 (Art. 99 Abs. 2 DSGVO) unmittelbar in jedem Mitgliedstaat der Europäischen Union28, Art. 288 Abs. 2 AEUV. Es ist – der Behauptung der klagenden Facebook-Nutzerin folgend – davon auszugehen, dass das Scraping konkret bezüglich der Daten der Facebook-Nutzerin nach dem 24.05.2018 erfolgte, da die Meta Platforms, Inc. ihrer aus § 138 Abs. 2 ZPO abgeleiteten sekundären Darlegungslast bezüglich des genauen Zeitpunkts dieses Scraping-Vorgangs trotz entsprechenden Hinweises des Oberlandesgerichts nicht genügt hat.
Eine sekundäre Darlegungslast trifft den Prozessgegner der primär darlegungsbelasteten Partei, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hat, während der Bestreitende alle wesentlichen Tatsachen kennt und es ihm unschwer möglich und zumutbar ist, nähere Angaben zu machen. Genügt der Anspruchsgegner seiner sekundären Darlegungslast nicht, gilt die Behauptung des Anspruchstellers nach § 138 Abs. 3 ZPO als zugestanden29.
Die sekundäre Darlegungslast der Meta Platforms, Inc. ergibt sich nicht nur daraus, dass die Offenlegung gegenüber /die Zugänglichmachung für die Scraper der Daten ausschließlich der Sphäre der Meta Platforms, Inc. zuzuordnen ist. Sie folgt vor allem daraus, dass die Meta Platforms, Inc. nach Art. 5 Abs. 2, Art. 15 DSGVO umfassende Rechenschafts- und Auskunftspflichten zu Verarbeitungszweck, -art und insbesondere auch zur Offenlegung /Zugänglichmachung der Daten gegenüber Dritten treffen. Nach Art. 30 DSGVO muss sie dementsprechend ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen. Insbesondere aber trägt die Meta Platforms, Inc. nach Art. 5 Abs. 2 DSGVO als Verantwortliche die Beweislast dafür, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden30.
Für die zeitliche Verortung des Scraping-Vorfalls nach dem 24.05.2018 streitet zudem nicht zuletzt der Umstand, dass die Deaktivierung der Suchbarkeit über die Mobilfunktelefonnummer über die Kontaktimportfunktion im Facebook-Messenger erst im September 2019 erfolgt ist, so dass also bis September 2019 ein Scraping möglich war. Dass die Daten der Facebook-Nutzerin vor dem 25.05.2018 den Scrapern offengelegt wurden, ist weder von der Meta Platforms, Inc. konkret dargetan noch sonst ersichtlich.
Entsprechend hatte die Meta Platforms, Inc. den Scraping-Vorfall generell in ihrer Pressemitteilung vom 06.04.2021 noch selbst in das Jahr 2019 und den Vorfall im explizit die Facebook-Nutzerin betreffenden Auskunftsschreiben vom 28.10.2021 selbst auf den Zeitraum bis September 2019 verlegt. Erst später hat sie den in Betracht kommenden Zeitraum ohne Darlegung abweichender neuer Erkenntnisse auf denjenigen vor dem 25.05.2018 ausgedehnt.
Die Meta Platforms, Inc. kann sich auch nicht darauf zurückziehen, sie habe die für die Ermittlung des Scraping-Zeitpunkts maßgeblichen Daten aufgrund der Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und Speicherbegrenzung /Datensparsamkeit in zeitlicher Hinsicht (Art. 5 Abs. 1 lit. e DSGVO) mittlerweile gelöscht. Abgesehen davon, dass die Meta Platforms, Inc. im Verhandlungstermin im Hinblick auf Art. 30 Abs. 1 Satz 2 lit. f DSGVO nicht erklären konnte, nach welchem Zeitraum sie die maßgeblichen Daten im Allgemeinen löscht oder hier konkret gelöscht hat, war ihr das Scraping jedenfalls bereits seit spätestens März 2018 bekannt, so dass im Hinblick auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) gerade kein Anlass dafür bestand, die Daten zu löschen, sondern im Gegenteil ein Anlass dafür bestand, die Daten weiter zu sichern. Nur so konnte die Meta Platforms, Inc. den Datenschutzverstößen in jedem Einzelfall – und nicht nur in den auch von der DPC gerügten 2.000 von knapp einer halben Milliarde Fällen – selbstständig nachgehen. Nur so hätten auch die zuständige Datenschutzbehörde (§ 30 Abs. 4 DSGVO) nach (wie hier nicht) rechtzeitiger Anzeige im Sinne des Art. 33 DSGVO oder der einzelne Nutzer nach (wie hier nicht) rechtzeitiger Anzeige im Sinne des Art. 34 DSGVO und entsprechender Auskunft nach Art. 15 DSGVO den Datenschutzverstößen nachgehen können.
Nichtsdestotrotz liegen einige der von der Facebook-Nutzerin gerügten Verstöße der Meta Platforms, Inc. gegen die DSGVO zeitlich vor dem 25.05.2018 und damit außerhalb des Anwendungsbereiches.
So fallen Verstöße im Rahmen des Anmeldeprozesses aus dem zeitlichen Anwendungsbereich der DSGVO heraus, da die Facebook-Nutzerin den Registrierungsprozess bereits im Jahr 2011 vorgenommen hat. Auch die Datenerhebung war vor dem 25.05.2018 abgeschlossen. Die maßgebliche (letzte) Eintragung zur Suchbarkeit der Mobilfunktelefonnummer erfolgte am 25.12.2017.
Dementsprechend kann der Meta Platforms, Inc. kein Verstoß gegen Art. 13 DSGVO (Art. 14 DSGVO ist im Hinblick auf die Datenerhebung bei der Facebook-Nutzerin selbst ohnehin nicht einschlägig) zur Last gelegt werden. Die Informationspflicht nach Art. 13 Abs. 1 und Abs. 2 DSGVO bezieht sich nämlich nach dem ausdrücklichen Wortlaut der Norm allein auf den Zeitpunkt der Datenerhebung31, die im vorliegenden Streitfall im Jahr 2011 bzw.2017, also vor dem nach Art. 99 Abs. 2 DSGVO maßgeblichen 25.05.2018, abgeschlossen war.
In diesem Fall einer Datenerhebung vor dem 25.05.2018 unterfällt ausschließlich die Weiterverarbeitung der Daten ab dem 25.05.2018 den Anforderungen der DSGVO; denn aus Erwägungsgrund 171 Satz 2 DSGVO, aus Art. 4 Nr. 2 DSGVO und Art. 24 Abs. 1, insbesondere Satz 2 DSGVO ergibt sich die Pflicht, die Datenverarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO bereits begonnen hatten, bis zum 25.05.2018 in Einklang mit der Verordnung zu bringen32.
Zudem folgt aus Erwägungsgrund 171 Satz 3 DSGVO, dass die Meta Platforms, Inc. zum 25.05.2018 zur Einholung neuer Einwilligungen verpflichtet war, soweit bereits bestehende Einwilligungen nicht den Anforderungen an diese Verordnung entsprachen.
Daher ist die Frage einer hinreichenden Information – ganz oder teilweise deckungsgleich mit der nach Art. 13 DSGVO – (nur) entscheidend für die Frage der Wirksamkeit einer ursprünglich erteilten Einwilligung und deren Fortgeltung über den 25.05.2018 hinaus.
Ebenso fällt der von der Facebook-Nutzerin gerügte Verstoß der Meta Platforms, Inc. gegen Art. 35 DSGVO, die unstreitig keine Datenschutz-Folgenabschätzung vorgenommen hat (etwas Anderes hat sie trotz Hinweises des Oberlandesgerichts nicht vorgetragen), nicht in den zeitlichen Anwendungsbereich der DSGVO; denn nach Art. 35 Abs. 1 Satz 1 DSGVO geht es um eine „vorab“ – also vor dem Beginn des allgemein vorgesehenen und damit nicht vor jedem konkret-individuellen Datenverarbeitungsvorgang – durchzuführende Datenschutz-Folgenabschätzung. Da die hier streitgegenständlichen zum Scraping genutzten Funktionen unstreitig bereits vor der Einführung der DSGVO vorhanden waren, können diese von Art. 35 DSGVO ersichtlich nicht erfasst sein.
Ob die Meta Platforms, Inc. jedenfalls im Hinblick auf Art. 35 Abs. 11 DSGVO nach der Feststellung der ersten Scraping-Vorfälle spätestens im März 2018 zur Erstellung einer Datenschutz-Folgenabschätzung ab dem 25.05.2018 verpflichtet war, kann vorliegend offen bleiben, weil im Hinblick auf die Verstöße der Meta Platforms, Inc. gegen Art. 5 Abs. 1 lit. f, Art. 32 DSGVO und gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 DSGVO durch einen etwaigen Verstoß gegen Art. 35 Abs. 11 DSGVO kein zusätzlicher Schaden entstehen oder ein entstandener Schaden vertieft werden konnte.
Der sachliche Anwendungsbereich der DSGVO ist eröffnet.
Der Betrieb eines sozialen Netzwerkes durch Sammlung /Speicherung jedenfalls des Namens und Geschlechts von Mitgliedern und die automatisierte Vernetzung der Mitglieder sowie deren Beschickung mit individualisierter Werbung fällt in den sachlichen Anwendungsbereich der DSGVO im Sinne des Art. 2 Abs. 1 DSGVO; die Tätigkeit unterfällt – was die Meta Platforms, Inc. aber auch schon nicht in Anspruch nimmt – keinem Ausnahmetatbestand im Sinne von Art. 2 Abs. 2 bis Abs. 4 DSGVO oder der Öffnungsklausel nach Art. 85 Abs. 2 DSGVO33.
Bei den hier in Rede stehenden Daten (Telefonnummer, Facebook-ID, Familienname, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus) handelt es sich unzweifelhaft um personenbezogene Daten im Sinne der Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7, Art. 2 Abs. 1 in Verbindung mit Art. 4 Nr. 1 DSGVO.
Die personenbezogenen Daten (konkret jedenfalls Telefonnummer, Facebook-ID, Familienname, Vorname sowie Geschlecht) hat die Meta Platforms, Inc. auch unzweifelhaft im Sinne von Art. 2 Abs. 1 in Verbindung mit Art. 4 Nr. 2 DSGVO automatisiert verarbeitet.
Der räumliche Anwendungsbereich der DSGVO ist eröffnet.
Die Meta Platforms, Inc. ist unzweifelhaft Verantwortliche der Verarbeitung im Sinne von Art. 4 Nr. 7 DSGVO34.
Sie hat ihren Sitz in Irland, betreibt jedenfalls für die Tätigkeit ihrer Datenverarbeitung eine Niederlassung in Irland, also innerhalb der Union35.
Soweit die Meta Platforms, Inc. in erster Instanz auch eine Betroffenheit der Facebook-Nutzerin durch den Scraping-Vorfall mit Nichtwissen bestritten hat, hat sie ihr Bestreiten im Verhandlungstermin nach einer Inaugenscheinnahme des Leak-Datensatzes fallen lassen und die Betroffenheit unstreitig gestellt. Damit traf die Meta Platforms, Inc. die Darlegungslast dahin, die betroffenen personenbezogenen Daten der Facebook-Nutzerin entsprechend der DSGVO verarbeitet zu haben.
Obwohl es sich bei dem für die Haftung nach Art. 82 DSGVO erforderlichen Verstoß gegen die DSGVO im Zuge der Datenverarbeitung um eine anspruchsbegründende Voraussetzung handelt, ist nicht die Facebook-Nutzerin für einen solchen Verstoß darlegungs- und beweisbelastet:
Nach der Rechtsprechung des EuGH ist es nur, soweit der jeweils maßgebliche unionsrechtliche Rechtsakt keine spezifischen Bestimmungen hierzu enthält, Sache des nationalen Gerichts, die Beweislastregelungen der nationalen Rechtsordnung anzuwenden, sofern damit die Wirksamkeit des Unionsrechts nicht beeinträchtigt und die Einhaltung der sich aus dem Unionsrecht ergebenden Verpflichtungen sichergestellt wird36.
Die DSGVO enthält indes in Art. 5 Abs. 2 DSGVO eine spezifische Beweislastregelung. Danach ist nämlich der für die Datenverarbeitung Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO enthaltenen Grundsätze der Datenverarbeitung verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“).
Er muss damit also generell – und entgegen dem Ansatz der Meta Platforms, Inc. auch im Zivilprozess – nach dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält37.
Gemessen daran hat die Meta Platforms, Inc. als die für die Datenverarbeitung Verantwortliche trotz entsprechender Hinweise des Oberlandesgerichts weder schlüssig dargelegt noch gar bewiesen, dass ihre streitgegenständliche, zum Scraping-Vorfall bei der Facebook-Nutzerin führende Verarbeitung entgegen dem klägerischen Vorbringen nicht gegen die in Art. 5 Abs. 1 DSGVO normierten Grundsätze verstoßen hat.
Namentlich hat sie insbesondere nicht schlüssig dargelegt, dass sie die personenbezogenen Daten der Facebook-Nutzerin rechtmäßig im Sinne des Art. 6 Abs. 1 DSGVO verarbeitet hat.
Unzweifelhaft hat die Meta Platforms, Inc. mit Telefonnummer, Facebook-ID, Familienname, Vorname sowie Geschlecht (und hätte, woran es aber trotz entsprechenden Vortrages vorliegend tatsächlich fehlt, mit Bundesland, Land, Stadt sowie Beziehungsstatus) personenbezogene Daten der Facebook-Nutzerin im Sinne des Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 1 DSGVO als Verantwortliche im Sinne von Art. 82 Abs. 1, Abs. 2, Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 7 DSGVO ab dem 25.05.2018 fortgesetzt verarbeitet im Sinne von Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 2 DSGVO. Die (weitere) Datenverarbeitung war deshalb nur dann rechtmäßig, wenn ab diesem Zeitpunkt ein Rechtfertigungsgrund nach Art. 6 Abs. 1 Unterabs. 1 DSGVO vorlag. Daran fehlt es.
Konkret nicht ausgeräumt hat die Meta Platforms, Inc. neben Verstößen gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 Unterabs. 1 DSGVO zudem auch solche gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 und Abs. 2 DSGVO und Art. 5 Abs. 1 lit. f, Art. 32 DSGVO.
Im Einzelnen:
Zunächst war die Datenverarbeitung mit Blick auf die Suchbarkeit eines Nutzerprofils über die Mobilfunktelefonnummer per Such- und Kontaktimportfunktion und insbesondere die diesbezügliche Voreinstellung der Suchbarkeit für „alle“ – entgegen der Ansicht der Meta Platforms, Inc. – nicht zur Vertragszweckerfüllung erforderlich und damit nicht gemäß Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO gerechtfertigt.
Soweit die Meta Platforms, Inc. die streitgegenständliche, mittlerweile deaktivierte Suchbarkeit des Nutzerprofils über die Telefonnummer für „alle“ unter Nutzung der Such- oder Kontaktimportfunktion als für die Vertragserfüllung essentiell, da zur Vernetzung der Nutzer untereinander erforderlich, erachtet, vermag sich das Oberlandesgericht dem nicht anzuschließen:
Damit eine Verarbeitung personenbezogener Daten als für die Erfüllung eines Vertrags erforderlich im Sinne des Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte38.
Der etwaige Umstand, dass eine solche Verarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist insoweit für sich genommen unerheblich. Entscheidend für die Anwendung des in Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO genannten Rechtfertigungsgrundes ist nämlich, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen39.
Dabei ist im Fall eines Vertrages, der mehrere Dienstleistungen oder mehrere eigenständige Elemente einer Dienstleistung umfasst, die unabhängig voneinander erbracht werden können, die Anwendbarkeit von Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO für jede dieser Dienstleistungen gesondert zu beurteilen40.
Demzufolge ergibt sich schon allein aus dem Umstand, dass die Meta Platforms, Inc. nur hinsichtlich bestimmter personenbezogener Daten vorgab und -gibt, dass diese „immer öffentlich“, also zwecks Vernetzung sichtbar und damit suchbar sein müssen, und dem Umstand, dass sie den Nutzern im Rahmen der Zielgruppenauswahl und der Suchbarkeitseinstellungen freistellt, ob und wem die nicht „immer öffentlichen“ Daten gezeigt werden bzw. ob und wer nach ihnen suchen kann, dass diese Daten nicht objektiv unerlässlich waren und sind, um eine (hinreichende) Verknüpfung der Nutzer der Meta Platforms, Inc. zu ermöglichen. Dass dies (unter Umständen) für die Nutzer (und vor allem im Hinblick auf die Werbezweckrichtung und damit das Geschäftsmodell der Meta Platforms, Inc.) wünschenswert gewesen sein mag, reicht gerade nicht. Ob der einzelne Nutzer (sich) diesen Wunsch erfüllen mochte, musste ihm vielmehr im Rahmen einer informierten Einwilligung selbst überlassen bleiben.
Ohne Erfolg beruft sich die Meta Platforms, Inc. in rechtlicher Hinsicht darauf, die vorgenannten Vorgaben des EuGH, die das Oberlandesgericht zugrunde legt, bezögen sich nur auf die vom Vorabentscheidungsersuchen betroffenen Off-Facebook-Daten und beträfen einen anderen Verarbeitungszweck und ließen sich deshalb auf den vorliegenden Fall nicht übertragen. Wenn auch der Kontext, zu dem sich der EuGH zur Auslegung der geforderten Erforderlichkeit für die Vertragserfüllung geäußert hat, ein anderer war, so besteht jedoch keinerlei Zweifel daran, dass diese Aussagen des EuGH allgemeingültig sind41. Dafür, dass der EuGH insoweit eine differenzierende Begriffsbestimmung für geboten hielte, besteht keinerlei Anhaltspunkt.
Ebenso wenig lässt sich – entgegen der im Verhandlungstermin ins Feld geführten Argumentation der Meta Platforms, Inc. – in Anwendung der Begriffsbestimmung durch den EuGH eine Erforderlichkeit der streitgegenständlichen Suchbarkeit des Profils per Suchbarkeits- oder Kontaktimportfunktion über eine künstliche Aufspaltung des einheitlichen Nutzungsvertrags in mehrere gesonderte Verträge oder eigenständige Elemente, jeweils in sich geschlossen auf bestimmte Funktionen des Online-Netzwerks, annehmen.
Zwar sind mehrere Dienstleistungen oder mehrere eigenständige Elemente einer Dienstleistung, die unabhängig voneinander erbracht werden können, im Hinblick auf die Anwendbarkeit von Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO für jede dieser Dienstleistungen gesondert zu beurteilen42.
Jedoch können vorliegend die Such- oder die Kontaktimportfunktion gerade nicht als eigenständige Elemente einer Dienstleistung betrachtet werden; denn sie dienen schlicht dem von der Meta Platforms, Inc. beschriebenen Hauptnutzungszweck der Plattform einer möglichst einfachen Vernetzung der Nutzer untereinander. Ihnen fehlt folglich jeglicher eigenständige Charakter, sie sind Mittel zum Zweck, aber eben kein unerlässliches mit Blick auf die Vernetzung der Nutzer.
Auch wenn sich die Meta Platforms, Inc. im vorliegenden Rechtsstreit nicht explizit auf eine Rechtfertigung über Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO beruft, so hat sie doch zugleich einen Auszug von ihrer Webseite zur Akte gereicht, in dem dieser Rechtfertigungsgrund behandelt wird. Aus Rechtsgründen sah sich das Oberlandesgericht deshalb gehalten, eine mögliche Rechtfertigung über Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO in den Blick zu nehmen; denn Art. 6 Abs. 1 Unterabs. 1 DSGVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann43. Die dort genannten Möglichkeiten einer Rechtfertigung bestehen dabei grundsätzlich alternativ nebeneinander44.
Eine Rechtfertigung über Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO scheidet vorliegend jedoch aus:
Verarbeitungen personenbezogener Daten sind nach Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO unter drei kumulativen Voraussetzungen rechtmäßig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen45.
Jedenfalls das Vorliegen der zweiten Voraussetzung der Erforderlichkeit lässt sich nicht feststellen.
Entscheidend hierfür ist, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere die durch die Art. 7 und 8 der Charta garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen46.
Zudem ist die Voraussetzung der Erforderlichkeit der Datenverarbeitung gemeinsam mit dem sogenannten Grundsatz der „Datenminimierung“ zu prüfen, der in Art. 5 Abs. 1 lit. c DSGVO verankert ist und verlangt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sind47.
Dass die Suchbarkeit über die Telefonnummer auf den verschiedenen Ebenen, insbesondere per Kontaktimportfunktion von Facebook oder im Facebook-Messenger, nicht erforderlich ist und war, wird dadurch belegt, dass diese Funktion zum 06.09.2019 endgültig und vollständig aus allen Anwendungsbereichen eliminiert wurde.
Die Meta Platforms, Inc. beruft sich zudem zu Recht zur Rechtfertigung ihrer Verarbeitung der personenbezogenen Daten nicht auf eine Einwilligung der Facebook-Nutzerin im Sinne des Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a DSGVO. Aus Rechtsgründen (iura novit curia) sah sich das Oberlandesgericht ebenfalls gleichwohl gehalten, sich mit der Frage einer wirksam erteilten Einwilligung zu befassen; denn auch wenn die in Art. 6 Abs. 1 Unterabs. 1 lit. b bis lit. f DSGVO vorgesehenen Rechtfertigungsgründe nicht greifen, kann die Verarbeitung personenbezogener Daten infolge einer wirksamen Einwilligung der betroffenen Person rechtmäßig sein48.
Eine wirksame Einwilligung der Facebook-Nutzerin im Sinne von Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7 DSGVO in die Suchbarkeit ihres Nutzerprofils über die Mobilfunktelefonnummer lag allerdings nicht vor.
Nach Art. 6 Abs. 1 Unterabs. 1 lit. a DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke freiwillig in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt hat49. Dabei gilt es, auch den Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a Var. 3 DSGVO zu berücksichtigen.
Soweit die Facebook-Nutzerin möglicherweise vor dem 25.05.2018 in die Suchbarkeit ihres Profils über die Mobilfunknummer eingewilligt hat, konnte eine solche Einwilligung unter Geltung der DSGVO jedenfalls keine rechtfertigende Wirkung mehr entfalten; denn nach Erwägungsgrund 171 Satz 3 DSGVO musste eine vorab erteilte Einwilligung bereits den Bedingungen der DSGVO entsprechen, um fortzugelten. Daran fehlt es vorliegend, weil auch die im April 2018 von der Meta Platforms, Inc. der Facebook-Nutzerin mit Blick auf den Geltungsbeginn der DSGVO zur Verfügung gestellten neuen Nutzungsbedingungen vom 19.04.2018 und die zur Verfügung gestellte neue Datenrichtlinie vom 19.04.2018 den Anforderungen der DSGVO nicht genügen. Hierauf ist allein abzustellen, da die Meta Platforms, Inc. zu Änderungen ihrer allgemeinen Nutzungsbedingungen nach dem 19.04.2018, etwa zum 31.07.201950, die noch Relevanz haben könnten, nichts vorgetragen hat.
Unter Berücksichtigung der historischen Entwicklung von der Datenschutz-Richtlinie (im Folgenden: DSRL) zur DSGVO und bei klassischer europarechts-autonomer Auslegung erfordert eine wirksame Einwilligung seit dem 25.05.2018 ein aktives Verhalten des Einwilligenden. Entsprechend Erwägungsgrund 32 Satz 3 DSGVO folgt aus Stillschweigen, bereits angekreuzten Kästchen oder Untätigkeit der betroffenen Person keine Einwilligung mehr51.
Gemessen daran kann die Meta Platforms, Inc. schon allein auf Grund des Umstandes, dass sie mit ihrer Voreinstellung „alle“ zur Suchbarkeit zum Zeitpunkt der Bedingungsänderungen am 19.04.2018 unverändert eine „Opt-Out-Einwilligung“ vorsah, keine wirksame Einwilligung vorweisen.
Zudem steht der Annahme einer wirksamen Einwilligung auch entgegen, dass die Meta Platforms, Inc. nicht transparent und ausreichend über die Bedeutung der Suchbarkeitseinstellung informiert hat. Es erfolgten nur pauschale Hinweise im ersten Schritt des (Bestätigungs-)Verfahrens zur Anpassung des Nutzungsvertrages an die DSGVO:
Im zweiten Schritt – nach dem Klick auf „Los geht`s“ – folgte ebenfalls keine transparente Information:
Eine ausreichende Information über die (weiterhin, also ohne individuelle Änderung unverändert voreingestellte) Suchbarkeit hätte sich nur in dem Link zu Nutzungsbedingungen „verbergen“ können, da nur zu diesen eine Zustimmung („Ich stimme zu“) abgefragt wurde; so heißt es in der Anmerkung zum Zustimmungsfeld nur „Indem du auf „Ich stimme zu“ klickst, akzeptierst du die aktualisierten Nutzungsbedingungen“. Die Zustimmung „Ich stimme zu“ bezieht sich damit ausdrücklich nicht auch auf die Datenrichtlinie, die Cookie-Richtlinie oder die bisherigen Einstellungen hinsichtlich der Daten, der Privatsphäre und der Sicherheit.
Allein unter Ziffer 2 der Nutzungsbedingungen, wobei Datenrichtlinie und Einstellung verlinkt sind, heißt es wie folgt:
„2. Unsere Datenrichtlinie und deine Privatsphäre-Einstellungen
Wir erfassen und verwenden deine personenbezogenen Daten, um die oben beschrieben Dienste für dich bereitzustellen. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen und verwenden.
Wir empfehlen dir außerdem, deine Privatsphäre-Einstellungen in deinen Einstellungen zu überprüfen. Diese legen die Art und Weise fest, wie wir Daten verwenden.“
Auch im Übrigen lassen sich den Nutzungsbedingungen vom 19.04.2018 keinerlei Angaben zu Suchbarkeitseinstellungen entnehmen, worauf die Meta Platforms, Inc. bereits hingewiesen worden ist, ohne dass sie maßgebliche Passagen aufgezeigt hätte.
Es wurde somit in keiner Weise überhaupt darauf hingewiesen, dass eine (erneute) Zustimmung zur Datenrichtlinie oder erst recht zu den bisherigen Privatsphäre-Einstellungen erforderlich war. Dies widersprach Erwägungsgrund 42 Satz 2 DSGVO, wonach eine betroffene Person wissen soll, dass und in welchem Umfang eine Einwilligung erteilt wird.
Folglich hat die Meta Platforms, Inc. nicht wie geboten sichergestellt, dass das – wie auch bei der Facebook-Nutzerin – voreingestellte und ab dem 25.05.2018 unzulässige Opt-Out entfiel und die fortgesetzte Datenverarbeitung durch eine der DSGVO entsprechende Einwilligung gedeckt wurde. Da – wie bereits ausgeführt – zudem ab dem 25.05.2018 eine Einwilligung nur durch ein aktives Tun und nicht durch stillschweigendes Akzeptieren von Voreinstellungen erfolgen kann, hätte die Meta Platforms, Inc. die Nutzer im Rahmen der Änderung der Nutzungsbedingungen etc. mithin sämtliche bisherigen Voreinstellungen durchlaufen lassen müssen, diese – wie erst seit Mai 2019 möglich – auf „nur ich“ voreinstellen und ihre aktive Einwilligung nach umfassender Information zu hiervon abweichenden neuen Einstellungen einholen müssen.
Die Meta Platforms, Inc. hat zudem oder zugleich einen Verstoß gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 2 DSGVO – entsprechend den nicht bindenden Feststellungen der nicht rechtskräftigen Entscheidung der Irischen Datenschutzbehörde (DPC) vom 28.11.2022 – nicht ausgeräumt.
Da die Facebook-Nutzerin am 25.05.2018, also zum Geltungsbeginn der DSGVO, bereits registriert war, es aber zuvor entgegen Art. 25 Abs. 2 DSGVO („privacy by default“) die nicht datenschutzfreundliche Grund- /Voreinstellung der Suchbarkeitseinstellung auf „alle“ gab, musste die Meta Platforms, Inc. sicherstellen, dass nicht geänderte unfreundliche Voreinstellungen zum 25.05.2018 unter Abkehr vom „Opt-Out“-System geändert wurden. Wie dargelegt lässt sich insoweit ein Rechtfertigungsgrund nicht feststellen.
Weiterhin hat die Meta Platforms, Inc. nicht dargelegt, dass ihre Datenverarbeitung den Anforderungen der Art. 5 Abs. 1 lit. f, Art. 32 DSGVO entsprach.
Die Meta Platforms, Inc. hat trotz der sie treffenden Darlegungs- und Beweislast konkret weder substantiiert dargelegt noch bewiesen, dass sie den Vorgaben des Art. 32 DSGVO zur Sicherheit der Verarbeitung genügt hätte, worauf sie bereits hingewiesen worden ist.
Die Argumentation der Meta Platforms, Inc. verfängt zunächst insoweit nicht, als sie sich auf den Rechtsstandpunkt einer als solchen schon fehlenden, aber jedenfalls rechtmäßigen Datenverarbeitung durch sie stellt – mit der Begründung, die Daten gar nicht unbefugt Dritten, den Scrapern, offen gelegt zu haben, weil unter Verstoß gegen die Meta-Nutzungsbedingungen nur die Art des Abrufs der Daten durch die Scraper, nicht aber der Zugang zu den abgerufenen, ohnehin öffentlichen Daten unberechtigt gewesen sei.
Entgegen ihrer Rechtsansicht hat die Meta Platforms, Inc. die geleakten Daten den Scrapern offengelegt; denn in der (seitens der Meta Platforms, Inc. automatisierten) Ausführung des Abrufs über die Such- oder Kontaktimportfunktionen liegt unzweifelhaft eine Datenverarbeitung im Sinne des Art. 4 Nr. 2 DSGVO in Form der Offenlegung durch Übermittlung. Der Begriff „Verarbeitung“, wie er in Art. 4 Nr. 2 DSGVO definiert wird, ist nach dem Willen des Unionsgesetzgebers mit der Formulierung „jede[r] Vorgang“ weit zu fassen und stellt keine erschöpfende Aufzählung von Vorgängen im Zusammenhang mit personenbezogenen Daten oder Sätzen solcher Daten – wie etwa Erheben, Erfassen, Speicherung und Abfragen – dar52.
Ohne die automatisierte Datenverarbeitung der Meta Platforms, Inc. hätten die Scraper die Nutzerinformationen nicht zusammenstellen und veröffentlichen können.
Offenlegung und Zugangsgewährung geschahen auch unbefugt. Das ergibt sich schon – unabhängig von deren genauer rechtlicher Einordnung – aus den Nutzungsbedingungen der Meta Platforms, Inc., die ein Vorgehen wie das der Scraper, die als Nutzer registriert sein mussten, explizit untersagen:
„Du darfst (ohne unsere vorherige Genehmigung) nicht mittels automatisierter Methoden auf Daten unserer Produkte zugreifen, solche Daten erfassen oder versuchen, auf Daten zuzugreifen, für die du keine Zugriffsberechtigung hast.“
Das galt erst recht für Personen, die sich – wie die Scraper unter Vorgabe fremder oder nicht existierender Identitäten – bereits unrechtmäßig im Netzwerk der Meta Platforms, Inc. angemeldet hatten.
Auch die weitere Argumentation der Meta Platforms, Inc. verfängt nicht, soweit sie sich nämlich im Wesentlichen schlicht auf den Standpunkt stellt, ihre Pflichten zur Implementierung angemessener technischer und organisatorischer Maßnahmen gemäß Art. 32, Art. 24, Art. 5 Abs. 1 lit. f DSGVO im Zusammenhang mit der Kontaktimportfunktion nicht verletzt zu haben, weil sie ihre Anti-Scraping-Maßnahmen im relevanten Zeitraum regelmäßig überprüft und gegebenenfalls entsprechend den Marktgepflogenheiten zu den Sicherheitsstandards sukzessive aus der maßgeblichen ex-ante-Betrachtung in angemessener Weise angepasst habe, z. B. durch Übertragungsbegrenzungen, Boterkennung, Captchas („Completely Automated Public Turing Test to tell Computers and Humans Apart“ [auf Deutsch: Vollständig automatisierter öffentlicher Turing-Test, um Computer von Menschen zu unterscheiden]) und den „Social Connection Check“ (Anzeige von Personen, nur wenn diese sich zu kennen schienen)).
Tatsächlich waren die im Zeitpunkt des Scraping-Vorfalls bestehenden Maßnahmen unter Zugrundelegung des unstreitigen und streitigen Vortrags der Meta Platforms, Inc. technisch und organisatorisch ungeeignet im Sinne des Art. 32 Abs. 1 Hs. 1 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, obwohl es in Bezug auf die Kontaktimportfunktionen bei Facebook und im Facebook-Messenger geeignete Maßnahmen gab.
Das Oberlandesgericht verkennt insoweit zunächst nicht, dass allein die Tatsache, dass es zum Scraping-Vorfall gekommen ist, kein Beweis dafür ist, dass die Meta Platforms, Inc. im Vorfeld ungeeignete Maßnahmen ergriffen hätte53.
Da Art. 32 DSGVO keine konkreten Vorgaben zu erforderlichen Maßnahmen enthält, ist es vielmehr ersichtlich eine Frage des konkreten; und vom Gericht zu bearbeitenden Einzelfalls, ob die vom Verantwortlichen darzulegenden und zu beweisenden Maßnahmen das Risiko einer Datenverletzung Dritter – aus ex-ante-Sicht – hinreichend zu verhindern geeignet waren, wobei dem Verantwortlichen bei der Auswahl und Umsetzung der Maßnahmen ein gewisser subjektiver Beurteilungsspielraum zuzugestehen ist54.
Vorliegend hat die Meta Platforms, Inc. bei einer ex-ante-Betrachtung trotz ihres Beurteilungsspielraums unter Abwägung der widerstreitenden Interessen spätestens ab April 2018 keine geeignete und gebotene Maßnahme gegen das Scraping getroffen.
Der Begriff „geeignet“ setzt voraus, dass die zur Sicherung der Informationssysteme gewählten Maßnahmen sowohl in technischer (Angemessenheit der Maßnahmen) als auch in qualitativer Hinsicht (Wirksamkeit des Schutzes) ein akzeptables Niveau erreichen. Um die Einhaltung der Grundsätze der Notwendigkeit, Angemessenheit und Verhältnismäßigkeit zu gewährleisten, muss die Verarbeitung nicht nur geeignet sein, sondern auch den Zwecken entsprechen, denen sie dienen soll. Dabei spielt der Grundsatz der Minimierung eine entscheidende Rolle, wonach auf allen Stufen der Datenverarbeitung stets darauf geachtet werden muss, dass Sicherheitsrisiken minimiert werden55.
Es ist weder von der Meta Platforms, Inc. dargetan noch sonst ersichtlich, dass trotz ex-ante-Betrachtung wie geboten ab Geltung der DSGVO im Mai 2018 ausreichende Sicherheitsvorkehrungen gegen Scraping getroffen wurden. Konkret durfte die Meta Platforms, Inc., der ein Scraping bereits spätestens im März 2018 aufgefallen war, sich nicht auf die Deaktivierung der Suchfunktion der Plattform im April 2018 beschränken. Es war für sie ohne Weiteres möglich und im Hinblick auf die Datensicherheit ihrer Nutzer geboten sowie zumutbar – auch wenn es ihrem wirtschaftlichen Interesse möglicherweise widersprach, die Kontaktimportfunktion auf Facebook, im Friend Center und im Facebook-Messenger unverzüglich einzuschränken und somit einen massiven weiteren Datenverlust an Unbefugte zu unterbinden. Es ist nicht ersichtlich oder trotz Hinweises vom 30.06.2023 sowie auf Erörterung im Verhandlungstermin vorgetragen, warum die Deaktivierung der Suchfunktion im April 2018 bereits nach nicht einmal ein bis vier Monaten seit der Kenntniserlangung vom Vorfall erfolgte, die vollständige Deaktivierung der Kontaktimportfunktionen aber noch weitere rund sechszehn Monate dauerte oder warum nicht wenigstens andere weniger einschneidende, aber wirkungsvolle Maßnahmen getroffen wurden.
Dass es eine, wenn auch im Vergleich zur „one-to-one“-Zuordnung über das Kontaktimporttool nicht gleicheffektive, Funktion zur Verknüpfung der Nutzer gab, zeigt die aktuelle „People-You-May-Know“-Funktion. Dass eine Umstellung auf diese erst nach und nach trotz erkannten fortgesetzten Scrapinggeschehens erfolgte, lässt sich mit den Vorgaben des Art. 32 DSGVO auch aus ex-ante-Perspektive und unter Berücksichtigung eines Beurteilungsspielraums nicht vereinbaren. Dass die zögerliche Vorgehensweise der Meta Platforms, Inc. von der Hoffnung getragen gewesen sein mag, das Scrapen zu erschweren, reicht nicht aus, um das geforderte angemessene Schutzniveau zu erreichen. Dies gilt insbesondere vor dem Hintergrund, dass die Meta Platforms, Inc. ihre Standardeinstellung „alle“ für die Suchbarkeit über die Telefonnummer nicht – wie geboten – geändert hatte.
Soweit die Meta Platforms, Inc. vorträgt, sie habe für die Kontaktimportfunktion der Plattform zu einem – im vorliegenden Verfahren trotz Hinweises vom 30.06.2023 sowie auf Erörterung im Verhandlungstermin nicht näher genannten Zeitpunkt (in anderen Verfahren wird Mai 2018 behauptet) – einen nicht näher konkretisierten, auch nicht zum Gegenstand der Entscheidung der DPC vom 28.11.2022 gemachten – „Social Connection Check“ eingeführt, war dieser im Hinblick auf die allein vorgesehene Ähnlichkeitskontrolle und die danach fortbestehende Notwendigkeit, die streitgegenständliche Kontaktimportfunktion im Rahmen der Plattform – wie schon im April 2018 die Suchfunktion der Plattform – gleichwohl im Oktober 2018 zu eliminieren, evident ungeeignet. Dass dieser Check für den Messenger eingeführt worden wäre, wird zudem schon nicht behauptet.
Damit einher geht, dass die Meta Platforms, Inc. auch einen Verstoß im Rahmen ihrer Datenverarbeitung gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 DSGVO („privacy by design“) nicht ausgeräumt hat – was im Übrigen auch den, wenn gleich nicht bindenden Feststellungen der nicht rechtskräftigen Entscheidung der Irischen Datenschutzbehörde (DPC) vom 28.11.2022 entspricht.
Ob die Meta Platforms, Inc. ihrer Darlegungslast mit Blick auf mögliche weitere Verstöße gegen die DSGVO zeitlich nach dem Scraping-Vorfall und der Veröffentlichung im Darknet nachgekommen ist, kann dahinstehen; denn hinsichtlich der seitens der Facebook-Nutzerin gerügten Verstöße gegen die Meldepflicht nach Art. 33 DSGVO, die Benachrichtigungspflicht nach Art. 34 DSGVO sowie die Nicht- bzw. Schlechterfüllung des Auskunftsrechts nach Art. 15 DSGVO hat die Facebook-Nutzerin – auch nach der Erörterung im Verhandlungstermin – keinen konkreten auf die fehlenden Informationen zurückzuführenden Schaden dargelegt noch ist ein solcher sonst ersichtlich.
Dass das Scrapen aufgrund einer rechtzeitigen Information noch konkret bezüglich der Facebook-Nutzerin hätte verhindert oder die Veröffentlichung des Leak-Datensatzes mitsamt den Daten der Facebook-Nutzerin hätte verhindert werden können, ist schon nicht ersichtlich, hätte aber auch allenfalls zum Entfallen des aus Sicht der Facebook-Nutzerin erst auf Grund der Veröffentlichung entstandenen Schadens und gerade nicht zu einer Vertiefung oder Begründung desselben geführt.
Dasselbe gilt für eine gerügte Verletzung von Art. 17 und 18 DSGVO.
Obwohl die Meta Platforms, Inc. – wie gezeigt – mit Blick auf eine DSGVO-konforme Datenverarbeitung vor dem Scrapingvorfall darlegungsfällig geblieben ist, steht der Facebook-Nutzerin die begehrte Entschädigung nicht zu; denn sie hat einen erlittenen immateriellen Schaden bereits nicht schlüssig dargelegt, jedenfalls aber auch nicht bewiesen.
Es oblag der Facebook-Nutzerin, einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen /psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Der von der Facebook-Nutzerin ins Feld geführte „völlige Kontrollverlust“ rechtfertigt als solcher keine Entschädigungsverpflichtung.
Die von der DSGVO verwandten Begriffe „immaterieller“ und „materieller“ Schaden sind unionsautonom auszulegen und setzen – entgegen dem Ansatz der Facebook-Nutzerin – nach dem Wortlaut der Norm, der Systematik und Telos des Art. 82 Abs. 2, Abs. 1 DSGVO sowie der Art. 77-84 DSGVO und den Erwägungsgründen 75, 85 und 146 DSGVO einen über den schlichten Verstoß gegen die DSGVO hinausgehenden Schaden voraus56.
Das heißt, dass im Rahmen des haftungsbegründenden Tatbestands des Art. 82 Abs. 2, Abs. 1 DSGVO zunächst zwischen einem haftungsrelevanten Datenschutzverstoß einerseits und einem – materiellen oder immateriellen – Schaden andererseits zu differenzieren ist. Beide sind nicht deckungsgleich, sondern selbständige Voraussetzungen im Rahmen des Art. 82 DSGVO, die kumulativ vorliegen müssen.
Ein solcher Schaden setzt jedoch – entgegen möglicherweise bestehendem innerstaatlichen Recht57 – nach Wortlaut, Erwägungsgründen 10, 146 DSGVO und Telos nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat58.
Auch wenn es keine Erheblichkeitsschwelle gibt, so bedeutet dies indes nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat; vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen [Hervorhebungen hinzugefügt]“59. Entsprechend stellt der EuGH auch darauf ab, dass die „konkret erlittenen Schäden“ vollständig ausgeglichen werden müssen60.
Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rechtsprechung des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht61.
Entsprechend sieht der die Frage des Schadensersatzes allein betreffende Erwägungsgrund 75 DSGVO auch nur vor, dass ein Schaden entstehen „könnte“, nicht aber in jedem Fall eintritt, „wenn“ u. a. „die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren“. In Erwägungsgrund 85 DSGVO hingegen geht es im Kern um die Informationspflichten und nicht um den Schadensersatzanspruch.
Etwas anderes gebietet auch Erwägungsgrund 146 Satz 6 DSGVO nicht, der „nur“ einen vollständigen und wirksamen Schadensersatz für den – konkret-individuell -„erlittenen“ Schaden fordert, während Art. 83 Abs. 1 und Art. 84 Abs. 1 Satz 2 DSGVO aus generell-abstrakter Perspektive nicht nur eine wirksame und verhältnismäßige, sondern auch abschreckende Maßnahmen einfordern.
Ein Kontrollverlust durch Scraping, also bei unbefugter Offenlegung /unbefugtem Zugänglichmachen, betraf als generelles Risiko der (unrechtmäßigen) Verarbeitung alle Personen, deren Daten ohne Rechtfertigungsgrund suchbar waren, gleichermaßen62.
Einem solchen generellen Risiko soll im Hinblick auf die Zielsetzung der DSGVO, den unionsweiten Schutz personenbezogener Daten sicherzustellen63, durch die Minimierung der Verarbeitungsrisiken entgegengewirkt werden, um ein möglichst hohes Schutzniveau zu erreichen. Dem Einzelnen die Kontrolle über seine Daten möglichst umfassend zu belassen bzw. dies zu gewährleisten, ist hierfür von grundlegender Bedeutung. Realisiert sich das generelle Risiko, dessen Eintritt verhindert werden soll, kommt es zwangsläufig zum Kontrollverlust. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, wenn bzw. – hier eben – weil dieser automatisch bei jedem vom festgestellten Verstoß gegen die DSGVO Betroffenen in Form der Offenlegung /Zugänglichmachung von Daten eintritt64. Der Kontrollverlust in Form des unkontrollierten Abrufs der Daten durch die Scraper und der anschließenden Veröffentlichung des Leak-Datensatzes im Darknet waren lediglich die zwangsläufige und generelle Folge der unrechtmäßigen bzw. unzureichend geschützten Datenverarbeitung durch die Meta Platforms, Inc. Daraus folgt, dass es über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall bedarf. Damit deckt sich, dass der völlige Kontrollverlust als solcher nicht per se ein immaterieller Schaden ist; denn stellt ein unkontrollierter Datenverlust im konkreten Einzelfall wegen des Werts der Daten eine in Geld messbare Einbuße dar, so ist dies unzweifelhaft ein Vermögensschaden.
Abgesehen davon ist weder dargetan noch sonst ersichtlich, worin der von der Facebook-Nutzerin reklamierte „völlige Kontrollverlust“ durch die Zuordnung ihrer Mobilfunktelefonnummer zu ihren immer öffentlichen Daten konkret überhaupt liegen sollte. Insbesondere hat sich die Facebook-Nutzerin wegen des Kontrollverlustes bis heute nicht gehalten gesehen, ihre Mobilfunktelefonnummer zu wechseln. Das belegt, dass die unkontrollierte Zuordnung ihrer Mobilfunktelefonnummer nicht dazu führte, dass eine weitere kontrollierte Verwendung durch die Facebook-Nutzerin dadurch faktisch ausgeschlossen war.
Einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen /psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes hat die Facebook-Nutzerin bereits nicht schlüssig dargelegt.
Bei persönlichen /psychologischen Beeinträchtigungen handelt es sich, soweit – wie hier – keine krankhaften Störungen behauptet werden, um innere Vorgänge.
Auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen kann nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden65.
Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat66.
Obwohl bereits die Gegenseite mehrfach und schon seit der Klageerwiderung die fehlende Individualisierung gerügt und darauf hingewiesen hat, dass der Klagevortrag in allen von den klägerischen Prozessbevollmächtigten geführten Rechtsstreiten nahezu wortgleich sei, hat die Facebook-Nutzerin an ihrer (pauschalen) Sichtweise, ihr Vortrag reiche aus, festgehalten67. Eine Ergänzung erfolgte auch nicht in der Berufungsinstanz, obwohl die Urteilsgründe erster Instanz explizit ebenfalls auf die nur formelhaft und in einer Vielzahl von Verfahren gleichlautend vorgetragenen Ängste und Sorgen abstellen. Die gleichwohl im Verhandlungstermin eröffnete Möglichkeit, ihre Ansicht einer ausreichenden Individualisierung zu präzisieren, wurde nicht genutzt. Es wurde im Gegenteil nicht in Abrede gestellt, dass der Vortrag zum jeweils erlittenen immateriellen Schaden in allen geführten Verfahren gleichlautend ist. Das kann damit als „unstreitig“ behandelt werden.
Dieser nicht näher konkretisierte Klagevortrag in erster und zweiter Instanz dazu, die jeweilige (bezeichnender Weise nur pauschal bezeichnete) „Klägerpartei“ habe Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt und Aufwand an Zeit und Mühe gehabt, reicht zur Darlegung persönlich belastender Folgen der Datenschutzverletzung nicht aus, weil hiermit nicht genug Beweisanzeichen objektiver Art vorgetragen sind, in denen sich solche Gefühle bzw. der Aufwand widerspiegeln, und zwar bezogen auf den konkreten Einzelfall.
Es fehlt jeglicher konkret-individuelle Vortrag dazu, wann, wie häufig und auf welchem Weg die hiesige Facebook-Nutzerin konkret von Missbrauchsversuchen betroffen war und vor allem wie sie darauf jeweils reagiert hat oder wie sie unabhängig von diesen Versuchen allein durch die Veröffentlichung des Leak-Datensatzes betroffen war.
In das Bild des unzureichenden Vortrags zur persönlichen Schädigung der Facebook-Nutzerin passt, dass erstinstanzlich ebenso pauschal vorgetragen wurde, Telefonnummer, Name, Wohnort und Mail-Adresse seien abgegriffen worden, obwohl ihr Wohnort und ihre Emailadresse unstreitig im Leak-Datensatz gar nicht enthalten sind.
Demnach lässt sich mangels Darlegung der konkreten Missbrauchsfolgen gerade nicht einzelfallbezogen beurteilen, ob nach der Lebenserfahrung eine durchschnittlich im Datenschutz sensibilisierte Person solch negative Gefühle entwickeln würde, die nach klägerischer Behauptung über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird.
Das tatsächliche Vorliegen eines immateriellen Schadens ist auch sonst nicht ersichtlich.
Nach der Rechtsprechung des EuGH muss ein Kläger, wenn er – wie hier – keine Angaben gemacht hat, mit denen das Vorliegen seines immateriellen Schadens belegt und dessen Umfang bestimmt werden könnte, zumindest nachweisen, dass das gerügte Verhalten so schwerwiegend war, dass ihm dadurch ein derartiger Schaden entstehen konnte68.
Es entspricht indes schon nicht der allgemeinen Lebenserfahrung, dass das öffentliche Bekanntwerden der eigenen Mobilfunktelefonnummer, auch wenn es ungewollt erfolgt ist, regelmäßig /erfahrungsgemäß zu persönlichen /psychologischen Beeinträchtigungen führt.
Hinzu kommt, dass die Meta Platforms, Inc. die Veröffentlichung durch Datenschutzverstöße lediglich mitverursacht hat. Konsequent wäre daher zunächst darauf abzustellen, ob unbefugten Abrufen der Mobilfunktelefonnummer ein immanentes Missbrauchsrisiko zukommt, das dann in der Veröffentlichung (mitsamt anderer Daten) mündet, die wiederum zu persönlichen /psychologischen Beeinträchtigungen führt. Dafür besteht kein Anhaltspunkt. Zudem relativieren sich das individuelle Missbrauchsrisiko und damit auch die hiermit einhergehenden Empfindungen nicht unerheblich dadurch, dass die klägerische Mobilfunktelefonnummer nur eine von rund einer halbe Milliarde war, die durch den streitgegenständlichen Scraping-Vorfall offengelegt wurde.
Einen schlüssigen Vortrag der Facebook-Nutzerin unterstellt, wäre dieser jedenfalls nicht bewiesen.
Das Oberlandesgericht fühlt sich insoweit an die landgerichtliche Würdigung der – hier trotz Unschlüssigkeit im Kammertermin erfolgten – persönlichen Anhörung der Facebook-Nutzerin nach § 141 ZPO gemäß § 529 Abs. 1 Nr. 1 ZPO gebunden.
Nach § 529 Abs. 1 Nr. 1 ZPO hat das Berufungsgericht seiner Verhandlung und Entscheidung die vom Gericht des ersten Rechtszuges festgestellten Tatsachen zugrunde zu legen, soweit nicht konkrete Anhaltspunkte Zweifel an der Richtigkeit oder Vollständigkeit der entscheidungserheblichen Feststellungen begründen und deshalb eine erneute Feststellung gebieten. Konkrete Anhaltspunkte, die die in dieser Bestimmung angeordnete Bindung des Berufungsgerichts an die erstinstanzlichen Feststellungen entfallen lassen, können sich insbesondere aus Verfahrensfehlern ergeben, die dem erstinstanzlichen Gericht bei der Feststellung des Sachverhalts unterlaufen sind. Ein solcher Verfahrensfehler liegt namentlich vor, wenn die Beweiswürdigung in dem erstinstanzlichen Urteil den Anforderungen nicht genügt, die von der Rechtsprechung zu § 286 Abs. 1 ZPO entwickelt worden sind. Dies ist der Fall, wenn die Beweiswürdigung unvollständig oder in sich widersprüchlich ist, oder wenn sie gegen Denkgesetze oder Erfahrungssätze verstößt. Zweifel an der Richtigkeit und Vollständigkeit der erstinstanzlichen Feststellungen können sich ferner aus der Möglichkeit unterschiedlicher Wertung ergeben, insbesondere daraus, dass das Berufungsgericht das Ergebnis einer erstinstanzlichen Beweisaufnahme anders würdigt als das Gericht der Vorinstanz69. Besteht aus der für das Berufungsgericht gebotenen Sicht eine gewisse – nicht notwendig überwiegende – Wahrscheinlichkeit dafür, dass im Fall der Beweiserhebung die erstinstanzliche Feststellung keinen Bestand haben wird, ist es zu einer erneuten Tatsachenfeststellung verpflichtet70.
Nach dem Grundsatz der Verfahrensautonomie unter Berücksichtigung des Äquivalenz- und Effektivitätsgrundsatzes71 gilt mit Blick auf den haftungsbegründenden – hier immateriellen – Schaden das strenge Beweismaß des § 286 ZPO, das die volle Überzeugung des Gerichts verlangt.
Diese erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet72. Der Tatrichter muss aufgrund der Beweisaufnahme entscheiden, ob er die Behauptung für wahr oder nicht für wahr hält; er darf sich nicht mit einer bloßen, wenn auch erheblichen Wahrscheinlichkeit begnügen73.
Mit Anlegung dieses Maßstabs wird auch der Äquivalenzgrundsatz eingehalten, da § 286 ZPO gleichermaßen im deutschen Recht angewandt wird74 und die Situation der vermeintlich geschädigten Partei im Anwendungsbereich der DSGVO damit nicht ungünstiger ist75.
Dies gilt insbesondere vor dem Hintergrund, dass der Schaden im Einzelfall nach der gefestigten Rechtsprechung des EuGH eben nicht nur tatsächlich, sondern auch „sicher“ sein muss76.
Erst für die Bestimmung des Ausmaßes des einmal festgestellten Schadens kommt § 287 ZPO zur Anwendung77, wonach für die Überzeugungsbildung eine hinreichende bzw. überwiegende Wahrscheinlichkeit genügen kann78.
Ebenso wenig wird mit Anlegung dieses Maßstabs gegen den Effektivitätsgrundsatz verstoßen. Denn der vermeintlich geschädigten Partei stehen nicht nur die Strengbeweismittel der ZPO zur Beweisführung nach § 286 ZPO offen. Vielmehr kann eine Partei diesen Beweis auch durch ihre Angaben im Rahmen einer Parteianhörung nach § 141 ZPO außerhalb einer förmlichen Parteivernehmung führen79. Damit wird gewährleistet, dass ein aufgrund des Verstoßes gegen die DSGVO konkret erlittener Schaden in vollem Umfang ausgeglichen werden kann80.
Vor diesem Hintergrund gibt es auch keine unionsautonome Schadensvermutung noch erfordert der Grundsatz der Effektivität eine solche – im deutschen Recht nicht existente – Schadensvermutung81.
Damit hat der Tatrichter gemäß § 286 ZPO die vorgetragenen Beweisanzeichen /Indizien unter Würdigung aller maßgeblichen Umstände des Einzelfalls auf der Grundlage des Gesamtergebnisses der Verhandlung und einer etwaigen Beweisaufnahme zu prüfen. Entscheidend ist die Werthaltigkeit der Beweisanzeichen in der Gesamtschau, nicht die isolierte Würdigung der einzelnen Umstände82.
Die Facebook-Nutzerin schildert in ihrer persönlichen Anhörung vor dem Landgericht, die – wie ausgeführt – den Darlegungsmangel hätte „heilen“ und für eine Überzeugungsbildung nach § 286 ZPO hätte ausreichen können, sie habe nach der Kenntniserlangung vom Scraping-Vorfall ein „Gefühl der Erschrockenheit“ erlitten. Sie habe geprüft, ob noch weitere Daten betroffen gewesen seien. Sie habe Spam-SMS erhalten, die sie später mit dem Datenleck verbunden habe. Einmal habe sie auf einen Link in einer solchen SMS gedrückt, ohne eine Reaktion zu erhalten, wobei sie später erfahren habe, dass durch den Link „wohl“ ein Programm installiert werde, welches dann SMS an ihre Kontakte schicke. Sie vermochte – entgegen ihrem schriftsätzlichen Vortrag – nicht mehr zu sagen, ob ihre Email-Adresse auch betroffen gewesen sei; angemerkt sei insoweit erneut, dass diese nach dem eigenen Vortrag der Facebook-Nutzerin nicht zu den veröffentlichten Daten gehört hat, sie den Schaden dennoch auch auf deren Veröffentlichung zurückführt.
Mit dieser Einlassung hat die Facebook-Nutzerin ihre Behauptungen zu einem konkreten Schaden aufgrund eines Kontrollverlustes auch aus Sicht des Oberlandesgerichts ersichtlich weder schlüssig gemacht noch bewiesen. Die Beweiswürdigung des Landgerichts, das sogar vom „milderen“ Beweismaß des § 287 ZPO ausgegangen ist, ist nicht in Zweifel zu ziehen.
Eine erneute persönliche Anhörung der Facebook-Nutzerin durch das Oberlandesgericht war vor diesem Hintergrund nicht veranlasst. Im Rahmen der zu anderen Fragen erfolgten persönlichen Anhörung der Facebook-Nutzerin ergaben sich zudem ebenfalls keine Anhaltspunkte, die Zweifel an der Feststellung des Landgerichts im Sinne von § 529 Abs. 1 Nr. 1 ZPO begründen könnten. Im Gegenteil hat der persönliche Eindruck von der Facebook-Nutzerin die Feststellungen des Landgerichts untermauert. Sie hat dem Oberlandesgericht im Gegenteil durch ihr selbstbewusstes Auftreten keinen Anhaltspunkt für die Annahme geboten, durch den unkontrollierten Abruf ihrer Daten persönlich /psychologisch beeinträchtigt worden zu sein.
Schließlich hat die Facebook-Nutzerin auch die erforderliche Kausalität zwischen Verarbeitungsverstoß und vermeintlich immateriellem Schaden nicht dargelegt und bewiesen.
Bei der Kausalität zwischen der Datenverarbeitung unter Verstoß gegen die DSGVO und dem (hier nunmehr unterstellten) Schaden in Form persönlicher /psychologischer Beeinträchtigungen durch den Kontrollverlust geht es entscheidend darum, ob die persönlichen /psychischen Folgen, die bei der Facebook-Nutzerin eingetreten sind, auf die Datenschutzverstöße der Meta Platforms, Inc. zurückzuführen sind, und zwar entweder mittelbar durch die negative Folge eines Kontrollverlustes oder erst weiter mittelbar durch verdächtige Kontaktversuche etc.
Voraussetzung dafür ist zunächst die Kausalität der festgestellten Datenschutzverstöße für das Scraping. Unstreitig ist (mittlerweile), dass die Facebook-Nutzerin vom Scraping betroffen war.
Ermöglicht wurde das Scraping durch die voreingestellte Suchbarkeit des Nutzerprofils über die Mobilfunktelefonnummer für „alle“.
Da – wie zuvor gezeigt – jedenfalls ab dem 25.05.2018 das „opt-out“ zwingend zu beseitigen war, lässt sich dies nicht hinwegdenken, ohne dass der Scraping-Vorfall entfiele; denn hätte die Meta Platforms, Inc. wie geboten entweder die Voreinstellung auf „nur ich“ geändert oder die Einwilligung der Facebook-Nutzerin mit Blick auf die Suchbarkeit für „alle“ eingeholt, hätte es im ersten Fall gar nicht zum konkreten Scraping-Vorfall kommen können und im zweiten Fall fehlte bereits ein Verstoß gegen die DSGVO wegen einer Einwilligung der Facebook-Nutzerin in die konkrete Zugänglichmachung für „alle“.
Zudem haben die ungenügenden Vorkehrungen im Sinne von Art. 32 und Art. 25 Abs. 1 DSGVO das Scraping ermöglicht.
Damit ist entscheidend, ob die – hier unterstellten – persönlichen /psychischen Folgen mittelbar ursächlich auf die Datenschutzverstöße zurückzuführen sind, und zwar entweder mittelbar durch die negative Folge eines Kontrollverlustes oder erst weiter mittelbar durch verdächtige Kontaktversuche etc.
Auch insoweit trifft die Facebook-Nutzerin die volle Darlegungs- und Beweislast. Es gilt für die hier betroffene Frage der haftungsbegründenden Kausalität § 286 ZPO. Diese erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet72. Der Tatrichter muss aufgrund der Beweisaufnahme entscheiden, ob er die Behauptung für wahr oder nicht für wahr hält; er darf sich nicht mit einer bloßen, wenn auch erheblichen Wahrscheinlichkeit begnügen73.
Der klägerische Vortrag reicht für die Annahme einer Mitursächlichkeit der Datenschutzverstöße für die (hier unterstellten) persönlichen /psychischen Beeinträchtigungen bereits nicht aus.
Darzulegen war, warum der Kontrollverlust allein oder auf nächster Stufe die dadurch ermöglichten verdächtigen Kontaktaufnahmen etc. mitursächlich geworden sind.
Mit Blick auf den Kontrollverlust als solchen hätte es konkreter Darlegung bedurft, dass bzw. warum die Facebook-Nutzerin welche Beeinträchtigungen hierdurch entwickelt hat. Insoweit geht es im Wesentlichen erneut um innere Vorgänge – mit der Folge, dass Beweisanzeichen objektiver Art darzulegen sind. Ein solches Beweisanzeichen könnte z. B. sein, dass der Facebook-Account gelöscht wurde oder zumindest Such- und Sichtbarkeit auf die „immer öffentlichen“ Daten beschränkt wurden, um jeglichem weiteren schädigenden Kontrollverlust vorzubeugen. Zu einer Löschung des Accounts kam es vorliegend nach der erstinstanzlichen Anhörung der Facebook-Nutzerin gar nicht, zu einer Beschränkung der Suchbarkeitsfunktion erst nach Erhalt der Klageerwiderung.
Mit Blick darauf, dass der Kontrollverlust zunächst ursächlich für die verdächtigen Kontaktaufnahmen etc. gewesen sein muss, fehlt jeglicher Umstand, der hierfür spräche; denn es ist allgemein bekannt und betrifft auch die Oberlandesgericht-Richter, die nicht als Nutzer bei der Meta Platforms, Inc. registriert sind, dass auch auf anderer Weise beschaffte Telefonnummern hierfür verwendet werden. Es ist insoweit weder konkret dargetan noch sonst ersichtlich, dass die Kontaktaufnahmen erst erstmals oder gehäuft nach dem Kontrollverlust auftraten. Im Gegenteil hat die Facebook-Nutzerin auf Nachfrage im Verhandlungstermin – wenn auch nur, jedenfalls Zweifel an ihrer Glaubwürdigkeit aufkommen lassend zögerlich – angegeben, sie habe ihre Mobilfunktelefonnummer auch in anderem Zusammenhang im Internet angegeben.
Mangels feststellbaren Schadens kann dahinstehen, dass die Meta Platforms, Inc. den Entschuldigungsnachweis nach Art. 82 Abs. 3 DSGVO bereits mangels hinreichender Darlegung nicht geführt hätte. Denn wie die vorstehenden Ausführungen zu den Verstößen gegen die DSGVO zeigen, hätte die Meta Platforms, Inc. in jedem dieser Fälle vermeidend tätig werden können.
Unterstellt, dass das Scraping konkret bezüglich der Facebook-Nutzerin vor dem 25.05.2018 stattgefunden hat, besteht der geltend gemachte Anspruch ebenfalls nicht.
Ein Anspruch auf Ersatz des hier geltend gemachten immateriellen Schadens folgt auch bei richtlinienkonformer Auslegung nicht aus § 7 BDSG a. F., der nur einen Ausgleich materieller Schäden vorsieht83.
Ein Anspruch aus § 823 Abs. 1 BGB in Verbindung mit Art. 2 Abs. 1, Art. 1 Abs. 1 GG, der regelmäßig eine schwerwiegende Persönlichkeitsrechtsverletzung voraussetzt84, ist trotz entsprechenden Hinweises vom 30.06.2023, dass sonstige Ansprüche nicht hinreichend dargelegt sind, weiterhin nicht darlegt oder auch nur im Ansatz ersichtlich.
Unzulässigkeit des Feststellungsantrags
Die vorliegend mit dem Antrag zu 2 verfolgte Feststellungsklage ist bereits unzulässig.
Die erforderliche hinreichende Bestimmtheit im Sinne des § 253 Abs. 2 Nr. 2 ZPO im Hinblick auf die notwendige Differenzierung von materiellen und immateriellen Schäden, die bis zur letzten mündlichen Verhandlung und danach eintreten85, ist durch die im Verhandlungstermin erfolgte Anpassung des Antrags hergestellt.
Es fehlt jedoch am notwendigen Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO.
Entgegen dem Ansatz der Meta Platforms, Inc. ist die Zulässigkeit der Feststellungsklage nur bei reinen Vermögensschäden von der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts abhängig. Geht es jedoch nicht um reine Vermögensschäden, sondern um Schäden, die aus der behaupteten Verletzung des allgemeinen Persönlichkeitsrechts, also eines sonstigen absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB, resultieren, reicht bereits die Möglichkeit materieller oder weiterer immaterieller Schäden für die Annahme eines Feststellungsinteresses aus86.
Diese Rechtsprechung zum allgemeinen Persönlichkeitsrecht ist unter dem Gesichtspunkt von Äquivalenz und Effektivität87 auf den vorliegenden Fall der Verletzung des nach Art. 82 DSGVO absolut geschützten Rechtsguts Datenschutz als (abschließende) europarechtliche Ausformung des deutschen allgemeinen Persönlichkeitsrechts88 zu übertragen.
Ein Feststellungsinteresse ist also nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines derartigen Schadens wenigstens zu rechnen89.
Damit steht das deutsche Zivilprozessrecht mit den europäischen Vorgaben in Einklang, wenn es diese nicht sogar mit vorstehenden Vorgaben übererfüllt; denn der wirksame Schutz des Rechts auf Ersatz der Schäden, die dem Einzelnen durch Verstöße gegen das Unionsrecht entstehen, muss (nur) eine Haftungsklage ermöglichen, die auf unmittelbar bevorstehende und mit hinreichender Sicherheit vorhersehbare Schäden gestützt ist, auch wenn der Schaden noch nicht genau beziffert werden kann90.
Gemessen daran ist hier die Möglichkeit eines Schadenseintritts durch die Facebook-Nutzerin, entsprechend dem Hinweis des Landgerichts im angefochtenen Urteil, dem insoweit ohne konkrete Reaktion gebliebenen Hinweis vom 30.06.2023 und dem erneuten Hinweis im Verhandlungstermin, nicht hinreichend dargelegt.
Die Facebook-Nutzerin meint, die Möglichkeit eines Schadenseintritts ergebe sich – dem Landgericht fehle schlicht die Vorstellungskraft – aus drohenden Spam-Anrufen, Spam-SMS oder Spam-Emails. Zum Schutz dagegen müsse sie sich eine neue Handynummer zulegen oder den Anbieter wechseln. Sie könne sich (versehentlich) auch mit ihrem Namen melden und hänge dann in irgendwelchen dubiosen Verträgen drin. Entsprechendes gelte wegen Links in SMS oder Emails. Dies zeigten auch allgemein die durch WhatsApp-Betrug, Enkeltrick und das Vortäuschen einer Bank- oder Behördenmitarbeiterstellung entstandenen Schäden. Diese seien direkte Folge des Facebook Datenlecks.
Dieser Vortrag genügt ersichtlich nicht.
Mangels jedweder konkreter Anhaltspunkte dafür, dass der Facebook-Nutzerin bis heute aufgrund des „unbefugten Zugriffs Dritter auf das Datenarchiv der Meta Platforms, Inc.“ ein kausaler materieller Schaden entstanden ist und dem Umstand, dass die Facebook-Nutzerin im Rahmen ihrer persönlichen Anhörung vor dem Oberlandesgericht selbst angegeben hat, dass ihr bis heute kein Schaden entstanden ist, ist davon auszugehen, dass mit dem Eintritt eines materiellen Schadens nicht zu rechnen ist. Ein solcher Schaden in der von der Facebook-Nutzerin beschriebenen Art und Weise ist rein theoretischer Natur und begründet kein Feststellungsinteresse, worauf bereits vom OLG hingewiesen worden ist.
Hier kommt hinzu, dass die Facebook-Nutzerin mit voller Adresse und Mobilfunktelefonnummer öffentlich auf einer anderen Plattform vertreten ist und zudem um die Verfügbarkeit ihrer Mobilfunktelefonnummer weiß; dies verpflichtet sie jedenfalls zu erhöhter Vorsicht. Sie ist gewarnt und hat, um ihrer Obliegenheit aus § 254 Abs. 2 Var. 2 BGB zu genügen, besonders vorsichtig zu sein.
Entsprechendes gilt für den immateriellen Schaden. Ein solcher ist bislang nicht dargetan, und es ist mit Blick auf die vergangene Zeit auch nicht damit zu rechnen, dass ein solcher – ohne materiellen Schaden – noch eintritt.
Begründet werden kann der Feststellungsanspruch auch nicht mit entstandenen Anwaltskosten. Zum einen sind diese Gegenstand eines gesonderten Leistungsantrages (Antrag 5). Zum anderen sind diese, wenn sie entstanden sind, vor Klageerhebung entstanden und damit nicht vom Feststellungsantrag umfasst.
Unzulässigkeit der Unterlassungsanträge
Die vorliegend mit dem Antrag zu 3a verfolgte Unterlassungsklage, bei der es sich tatsächlich um eine verdeckte Leistungsklage handelt, ist ebenfalls bereits unzulässig.
Der Antrag zu 3a enthält mit der geforderten Androhung nach § 890 Abs. 2 ZPO ein unzulässiges Antragsbegehren, worauf bereits vom OLG hingewiesen worden ist.
Die Titulierung einer Unterlassungsverpflichtung kann – auch unter Berücksichtigung der Grundsätze der Effektivität und Äquivalenz – eine gleichfalls nach § 890 ZPO vollstreckbare Verpflichtung zur Handlung nur beinhalten, wenn der Schuldner der Pflicht zur Unterlassung ausschließlich genügen kann, indem er die hierfür erforderliche positive Handlung vornimmt. Ob ein Titel Handlungspflichten auferlegt oder Unterlassung fordert, ist im Wege der Auslegung mit Blick auf den Schwerpunkt der jeweils in Rede stehenden Verpflichtung zu beurteilen91.
Vorliegend fordert die Facebook-Nutzerin mit dem Antrag zu 3a im Schwerpunkt ein aktives Tun, das nicht nach § 890 ZPO, sondern als vertretbare Handlung nach § 887 ZPO zu vollstrecken ist – nämlich zukünftig Kontaktimportfunktionen nur im Einklang mit den einzuhaltenden Sicherheitsvorkehrungen „freizuschalten“, um Zugriffe unbefugter Dritter nach Möglichkeit von vorneherein zu verhindern – so wie es die DSGVO verlangt.
Die Facebook-Nutzerin will gar kein Unterlassen der Nutzung der Kontaktimportfunktion, was sie durch eine schlichte Umstellung der Suchbarkeitseinstellungen hätte erreichen können und tatsächlich inzwischen erreicht hat, sondern sie will, dass sie die bzw. zukünftig irgendeine andere Kontaktimportfunktion unter Wahrung der Sicherheitsanforderungen nutzen kann.
Die Klage ist aber auch im Übrigen im Hinblick auf § 259 ZPO insgesamt unzulässig. Da der Antrag tatsächlich auf ein zukünftiges aktives Tun gerichtet ist, ist er an § 259 ZPO zu messen, dessen Voraussetzung der Besorgnis nicht rechtzeitiger Leistung, worauf unter dem 02.08.2023 hingewiesen worden ist, nicht gegeben ist.
Die Facebook-Nutzerin hat einen gesetzlichen Anspruch gegen die Meta Platforms, Inc. aus Art. 25 Abs. 1 und Art. 32 DSGVO auf Wahrung der Sicherheitsanforderungen. Dieser ist aber nach ihrem eigenen erstinstanzlichen Vortrag und auch nach ihren Angaben im Rahmen der persönlichen Anhörung erfüllt. Er ist auch tatsächlich allein deshalb erfüllt, weil es die Such- und Kontaktimportfunktion hinsichtlich der Mobilfunktelefonnummer seit dem 06.09.2019 gar nicht mehr gibt, sondern nur noch die „People-You-May-Know“-Funktion. Die Klage ist also auf zukünftige Leistung der Meta Platforms, Inc. für den Fall gerichtet, dass es droht, dass die Scraper Wege finden, die neue Funktion zu umgehen.
Insoweit besteht bis heute und bestand auch bei Klageerhebung Mitte 2022 aber den Umständen nach keine Besorgnis nicht rechtzeitiger Leistung im Sinne des § 259 ZPO. Die Meta Platforms, Inc. hat nach (interner) Aufdeckung des Scraping-Vorfalls am 06.09.2019 die streitgegenständliche Funktion eliminiert. Es ist seitdem nicht wieder zu einem Vorfall gekommen. Sie hat innerhalb ihres subjektiven Beurteilungsspielraums zur Umsetzung der Schutzmaßnahmen92 ein hohes Eigeninteresse daran, die gesetzlichen Vorgaben auch zukünftig zu erfüllen. Sie hat nie – und schon gar nicht ernsthaft – geltend gemacht, sie brauche nicht zu leisten oder sie wolle den gegen sie erhobenen, gesetzlichen Anspruch nicht erfüllen93. Es ist nicht ersichtlich oder trotz entsprechenden Hinweises des Oberlandesgerichts vorgetragen, warum dennoch zu besorgen wäre, dass sie die gesetzlichen Vorgaben nicht umsetzen werde. Insbesondere ist angesichts der Feststellungen der Irischen Datenschutzbehörde (DPC) in der Entscheidung vom 28.11.2022 und der dort festgesetzten Geldbuße und angesichts der obigen Feststellungen nicht davon auszugehen, dass die Meta Platforms, Inc. zukünftig erneut verspätet auf ein festgestelltes Scraping im Rahmen der nur noch bestehenden, neuen – also gerade keine konkrete „Wiederholungsgefahr“ begründenden – „People-You-May-Know“-Funktion reagiert.
Ob und wann eine Umdeutung der Leistungsklage in eine Feststellungsklage nach § 256 Abs. 1 ZPO in Betracht kommt, kann hier offen bleiben, weil für eine Feststellungsklage jedenfalls kein Rechtsschutzinteresse besteht. Die Meta Platforms, Inc. ist ohnehin an die gesetzlichen Vorgaben der Art. 25 Abs. 1 und Art. 32 DSGVO gebunden, was nicht weiter festgestellt werden muss, zumal eine Vollstreckung aus einem entsprechenden Feststellungsurteil nicht möglich ist.
Im Übrigen ist der Antrag zu 3a auch unbestimmt (§ 253 Abs. 2 Nr. 2 ZPO), worauf bereits vom OLG hingewiesen worden ist.
Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Meta Platforms, Inc. abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem (Unterlassungs-)Antrag regelmäßig der Fall, wenn die konkret angegriffene Verletzungsform antragsgegenständlich ist. Wird demgegenüber wie im Streitfall ein auf Erstbegehungsgefahr gestützter (Unterlassungs-)Anspruch vorbeugend geltend gemacht, kommt es – soweit die konkret erwartete Verletzungsform im Einzelfall ungewiss bleibt – maßgeblich darauf an, ob das Klagebegehren im Rahmen des dem Kläger Möglichen und zur Gewährleistung effektiven Rechtsschutzes für beide Seiten Gebotenen hinlänglich eindeutig formuliert ist und als Urteilstenor vollstreckbar wäre94.
Die Entscheidung darüber, was dem Meta Platforms, Inc. verboten ist, darf zudem letztlich nicht dem Vollstreckungsgericht überlassen bleiben. Aus diesem Grund sind (Unterlassungs-)Anträge, die lediglich den Wortlaut eines Gesetzes – hier verkürzt und ungenau – wiederholen, grundsätzlich als zu unbestimmt und damit unzulässig anzusehen. Abweichendes kann gelten, wenn entweder bereits der gesetzliche Verbotstatbestand selbst entsprechend eindeutig und konkret gefasst oder der Anwendungsbereich einer Rechtsnorm durch eine gefestigte Auslegung geklärt ist, sowie auch dann, wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem (Unterlassungs-)Begehren an der konkreten Verletzungshandlung orientiert. Die Bejahung der Bestimmtheit setzt in solchen Fällen allerdings grundsätzlich voraus, dass sich das mit dem selbst nicht hinreichend klaren Antrag Begehrte im Tatsächlichen durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht in Frage gestellt ist, sondern sich der Streit der Parteien ausschließlich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt95. Eine auslegungsbedürftige Antragsformulierung kann im Übrigen hinzunehmen sein, wenn eine weitergehende Konkretisierung nicht möglich und die gewählte Antragsformulierung zur Gewährung effektiven Rechtsschutzes erforderlich ist96.
Gemessen daran ist die verdeckte Leistungsklage im Antrag zu 3a zu unbestimmt, weil sie keinerlei Konkretisierung des verlangten Tuns für den vermeintlich drohenden Fall der Erstbegehung im Hinblick auf die derzeit nur bestehende „People-You-May-Know“-Funktion – auch unter Berücksichtigung des subjektiven Beurteilungsspielraums der Meta Platforms, Inc. zur Umsetzung der Schutzmaßnahmen92 – benennt.
Im Übrigen fehlt ohnehin das Rechtsschutzbedürfnis für die Klage.
Ein Rechtsschutzbedürfnis der Facebook-Nutzerin ist insoweit abzulehnen, als dass die Facebook-Nutzerin das Unterlassen der Zugänglichmachung fordert hinsichtlich „Telefonnummer, Facebook-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus“, obwohl sie Bundesland, Land, Stadt und Beziehungsstatus gar nicht gegenüber der Meta Platforms, Inc. angegeben hat. Das Rechtsschutzbedürfnis fehlt ebenfalls mit Blick auf die „immer öffentlichen“ Nutzerdaten.
Im speziellen Fall fehlt aber das Rechtsschutzbedürfnis insgesamt, weil die Facebook-Nutzerin ausführt, die Sache habe sich für sie eigentlich erledigt, es ginge ihr also gar nicht um ihren Individualrechtsschutz, sondern sie wolle die Allgemeinheit vor der Meta Platforms, Inc. schützen.
Die vorliegend mit dem Antrag zu 3b verfolgte Unterlassungsklage ist ebenfalls bereits unzulässig.
Soweit der Antrag tatsächlich als Unterlassungsantrag dahin, die fortgesetzte Verarbeitung ohne informierte Einwilligung zu unterlassen, zu interpretieren wäre, ist die Klage bereits wegen fehlenden Rechtsschutzbedürfnisses unzulässig.
Die Facebook-Nutzerin, auch wenn sie es erst mit der Klageerwiderung verstanden haben will, war jedenfalls über die ihr zurechenbare Kenntnis ihrer Prozessbevollmächtigten bereits seit der Mandatierung oder spätestens seit Zugang des Auskunftsschreibens der Meta Platforms, Inc. vom 28.10.2021 über die Sichtbarkeit- und Suchbarkeitsfunktion informiert (oder hätte von ihren Prozessbevollmächtigten informiert werden müssen); nach ihren Angaben im Verhandlungstermin hat sie das Auskunftsschreiben tatsächlich erhalten. Spätestens damit war sie über die Suchbarkeit ihres Profils über die Mobilfunktelefonnummer vollständig informiert und hat von der Meta Platforms, Inc. wegen der damit einhergehenden Unrechtmäßigkeit der Datenverarbeitung eine Entschädigung verlangt. Dann hätte sie die Suchbarkeit – wie später erfolgt – tatsächlich umstellen können. Soweit sie gleichwohl die Funktion ihrer Suchbarkeit trotz ausreichender Information mangels Änderung der Suchbarkeitseinstellung „alle“ weitergenutzt hat, hat sie objektiv betrachtet aktiv unter Berücksichtigung von Erwägungsgrund 62 Satz 1 Var. 1 DSGVO bereits vor Klageerhebung eine Einwilligung erteilt.
Soweit der Antrag tatsächlich erneut als Antrag auf zukünftige Leistung gerichtet ist, weil eine Wiederholung befürchtet wird (und die Allgemeinheit geschützt werden soll), ist die Klage ebenfalls unzulässig.
Zunächst liegt nach dem Schwerpunkt des Rechtsschutzbegehrens in der Sache erneut kein Unterlassen, das nach § 890 Abs. 2 ZPO vollstreckt werden könnte, sondern eine Leistungsklage, gerichtet auf ein aktives Tun, vor. Denn die Klage ist dahin auf ein aktives Tun gerichtet, zukünftig die Mobilfunktelefonnummer nur nach Maßgabe einer infolge ausreichender Information wirksam erteilten Einwilligung im Rahmen einer Suchfunktion zu verarbeiten.
Diese verdeckte Leistungsklage wahrt auch nicht die Grenzen des § 259 ZPO. Auch insoweit gilt – wie bezüglich des Antrags zu 3a (siehe ausführlich oben) -, dass wegen der endgültigen Abschaffung der Such- /Kontaktimportfunktionen am 06.09.2019 bereits seit Klageerhebung Mitte 2022 schon keine Besorgnis der Leistungsverweigerung mehr bestand und mangels anderer Anhaltspunkte auch heute nicht besteht.
Kein Auskunftsanspruch
Die vorliegend mit dem Antrag zu 4 verfolgte Auskunftsklage, die ausschließlich darauf gerichtet ist, wissen zu wollen, welche Daten von wem zu welchem Zeitpunkt während des streitgegenständlichen Scraping-Vorfalls gescrapt worden sind, ist zulässig, aber unbegründet.
Bedenken gegen die Zulässigkeit sind weder dargelegt noch sonst ersichtlich.
Die Leistungsklage ist aber unbegründet.
Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Gemäß Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung97.
15 Abs. 1 DSGVO verleiht ein verfahrensmäßiges Recht, Informationen über die Verarbeitung personenbezogener Daten zu verlangen98.
Nach Art. 15 Abs. 1 DSGVO kann Auskunft über die erfolgten Abfragen personenbezogener Daten einschließlich Identität der Abrufenden, Zeitpunkt und Zwecke der Abrufe verlangt werden99.
Konkret bedingt das in Art. 15 Abs. 1 Hs. 2 lit. c) DSGVO vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen100.
Wie bereits zu Art. 32 DSGVO ausgeführt, hat die Meta Platforms, Inc. durch die automatisierte Verarbeitung der Such- und Kontaktimportfunktionsabfragen die Daten der Facebook-Nutzerin, insbesondere deren Mobilfunktelefonnummer unzweifelhaft offengelegt (Art. 4 Nr. 2 DSGVO), so dass die Meta Platforms, Inc. gemäß Art. 15 Abs. 1 Hs. 2 lit. c DSGVO grundsätzlich zur gewünschten Auskunft verpflichtet war.
Dieses Auskunftsbegehren hat die Meta Platforms, Inc. jedoch entgegen der Auffassung der Facebook-Nutzerin schriftlich erfüllt, § 362 Abs. 1 BGB.
Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen101.
Gemessen daran, ist Erfüllung eingetreten.
Das zur Akte gereichte anwaltliche Antwortschreiben der Meta Platforms, Inc. enthält insbesondere – und teils über den jetzt überhaupt noch geltend gemachten Auskunftsanspruch hinausgehend – eine Auflistung der Datenpunkte und der Telefonnummer, eine Erläuterung des Datenabrufs über die immer öffentlichen Daten, das Facebook-Profil und die Kontaktimportfunktion, die zeitliche Angabe „im Zeitraum bis September 2019“, den Hinweis, dass der Meta Platforms, Inc. keine Rohdaten zu den abgerufenen Daten vorliegen, und den Hinweis auf das Handeln mehrerer Scraper, nicht eines Scrapers mit Blick auf die Frage nach der konkreten Person.
Auch wenn sich die Meta Platforms, Inc. prozessual (hilfsweise) schon in rechtlicher Hinsicht nicht für verpflichtet hält, Auskunft zu erteilen, weil bereits – entgegen obigen Feststellungen – keine „Verarbeitung“ vorliege, hat die Meta Platforms, Inc. gleichwohl Auskunft erteilt und hinreichend deutlich gemacht, dass sie keine weiteren Auskünfte zur Identität der Scraper und zum genauen, die Facebook-Nutzerin betreffenden Scraping-Zeitpunkt machen kann. Die konkreten Logdaten der Facebook-Nutzerin seien zudem bereits im Hinblick auf den Grundsatz der Datenminimierung gelöscht gewesen.
Dies hat sie erneut zuletzt im Verhandlungstermin bestätigt, was – ohne dass es darauf ankäme – auch plausibel ist. Denn die Scraper hatten sich unter Vorgabe fremder oder nicht existierender Identitäten als Nutzer bei der Meta Platforms, Inc. registriert. Der in der DPC, Entscheidung erwähnte „Ukrainer“ konnte nach den glaubhaften Angaben der Meta Platforms, Inc. im Verhandlungstermin nur ermittelt werden, weil er anderweitig aufgefallen und verklagt worden war.
Zudem ist das Auskunftsbegehren der Facebook-Nutzerin auch exzessiv im Sinne von Art. 12 Abs. 5 Satz 2 lit. b, Satz 3 DSGVO.
Die nationalen Gerichte können missbräuchliches Verhalten des Betroffenen auf der Grundlage objektiver Kriterien in Rechnung stellen, um ihm gegebenenfalls die Berufung auf die geltend gemachte Bestimmung des Gemeinschaftsrechts zu verwehren. Dabei müssen sie jedoch die mit dieser Bestimmung verfolgten Zwecke beachten102.
Nach Erwägungsgrund 63 Satz 1 DSGVO sollte eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.
Durch die erteilten Auskünfte zum Ablauf des Scrapings und zum, wenn auch nur groben Zeitraum war und ist die Facebook-Nutzerin problemlos in der Lage, sich ihrer Betroffenheit bzw. deren Umfangs bewusst zu werden und die Unrechtmäßigkeit des Scrapings zu beurteilen. Der Auskunftsanspruch ist insoweit ausreichend erfüllt. Der konkrete Zeitpunkt ist ersichtlich ohne jede weitere Relevanz, da jedenfalls der maßgebliche Zeitpunkt für die Veröffentlichung des Leak-Datensatzes feststeht. Auch die konkrete Identität der Scraper ist für die Facebook-Nutzerin ohne jede weitere Relevanz, da ihr weder ein immaterieller noch materieller Schaden entstanden ist und die Verbreitung des einmal im Darknet veröffentlichten Leak-Datensatzes ohnehin nicht mehr gestoppt werden kann. Eine Präzisierung ist ohne jeden Nutzen für die Facebook-Nutzerin; sie konnte einen solchen auch im Rahmen ihrer persönlichen Anhörung vor dem Oberlandesgericht nicht erklären. Da sie keinerlei Ziele, Zwecke mit der weiteren Information verfolgt, ist das Verlangen schikanös. Damit kommt es auch nicht darauf an, welche Motivation einem Auskunftsverlangen zugrunde liegen muss bzw. darf103.
Keine Vorlage an den EuGH
Die Durchführung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV zur Klärung einer der geprüften und festgestellten Gesichtspunkte ist nicht geboten. Jedenfalls soweit entscheidungserheblich, ist die Auslegung der maßgeblichen unionsrechtlichen Begriffe durch die – insbesondere jüngste – Rechtsprechung des EuGH eindeutig geklärt, „acte éclairé“, oder von vornherein eindeutig, „acte clair“104.
Deshalb ist auch die Revision nicht zuzulassen (§ 543 Abs. 2 ZPO).
Aufgrund der – insbesondere jüngsten – Rechtsprechung des EuGH sowie der eindeutigen Rechtsprechung des BGH sowie fehlender abweichender Rechtsprechung anderer Oberlandesgerichte hat der Rechtsstreit keine grundsätzliche Bedeutung (§ 543 Abs. 2 Satz 1 Nr. 1 ZPO); wegen dieser Rechtsprechung ist auch die Zulassung der Revision nicht zur Rechtsfortbildung (§ 543 Abs. 2 Satz 1 Nr. 2 Alt. 1 ZPO) oder zur Sicherung einer einheitlichen Rechtsprechung (§ 543 Abs. 2 Satz 1 Nr. 2 Alt. 2 ZPO) geboten105.
Streitwert
Der Streitwert wird sowohl für das Berufungsverfahren als auch unter Abänderung der Streitwertfestsetzung im angefochtenen Urteil gemäß § 63 Abs. 3 Satz 1 Nr. 2, Satz 2 GKG für das erstinstanzliche Verfahren auf insgesamt 3.000,00 € (§ 5 ZPO) festgesetzt.
- Der Streitwert für den Antrag zu 1 ist gemäß § 3 ZPO, da insoweit keine offensichtlich übertriebene Einschätzung des Streitwerts seitens der Facebook-Nutzerin vorliegt106, auf 1.000,00 € festzusetzen.
- Der Streitwert für den Antrag zu 2 ist gemäß § 3 ZPO auf 500,00 € festzusetzen.
- Der Streitwert für den Antrag zu 3a und 3b ist gemäß § 3 ZPO und § 48 Abs. 2 Satz 1 GKG unter Berücksichtigung von § 23 Abs. 3 Satz 2 Hs. 2 RVG auf jeweils 500,00 € festzusetzen.
Der Streitwert für nichtvermögensrechtliche Ansprüche wird gemäß § 48 Abs. 2 GKG unter Berücksichtigung aller Umstände des Einzelfalls – insbesondere des Umfangs und der Bedeutung der Sache sowie der Vermögens- und Einkommensverhältnisse der Parteien – nach Ermessen bestimmt; es kann dann im konkreten Einzelfall von dem in § 23 Abs. 3 Satz 2 Hs. 2 RVG vorgesehenen Regelstreitwert erheblich abzuweichen sein107.
Dabei ist insbesondere das Interesse der Facebook-Nutzerin und damit ihre aufgrund des zu beanstandenden /gewünschten Verhaltens zu besorgende wirtschaftliche /persönliche Beeinträchtigung zu berücksichtigen108. Zu berücksichtigen ist zudem die Stellung der Beteiligten sowie Art, Umfang und Gefährlichkeit der zu unterlassenden /begehrten Handlung109. Das Gericht ist bei der Streitwertbemessung nicht an die subjektiven Wertangaben in der Klageschrift gebunden110. Insbesondere kommt ihnen keine indizielle Bedeutung zu, wenn sie – wie hier – das tatsächliche Interesse offensichtlich unzutreffend widerspiegelt111.
Außer Betracht zu lassen ist insbesondere die über die konkret-individuellen Interessen hinausgehende gesamtgesellschaftliche oder general-präventive sowie die abstrakt-generelle Bedeutung für andere potentiell betroffene Personen112. Die Verfolgung der insoweit bestehenden Interessen obliegt gemäß Art. 83, 84 DSGVO allein der zuständigen Datenschutzbehörde.
Gemessen daran gilt im vorliegenden Fall:
Die Facebook-Nutzerin hat ihre vermeintlich stattgehabte Beeinträchtigung durch den Scraping-Vorfall selbst mit 1.000,00 € (Antrag zu 1) und die noch drohende Beeinträchtigung durch den Scraping-Vorfall selbst mit 500,00 € (Antrag zu 2), also ihre Beeinträchtigung insgesamt mit 1.500,00 € bemessen.
Die Anträge zu 3a und 3b stützen sich im Wesentlichen auf eine Wiederholungsgefahr bezüglich nur eines Teils der vermeintlich und tatsächlich vorliegenden Datenschutzverstöße der Meta Platforms, Inc.
Der Streitwert für die Anträge zu 3a und 3b kann deshalb jedenfalls nicht oberhalb der vermeintlich insgesamt bereits erlittenen Beeinträchtigung liegen.
Vor diesem Hintergrund hält das Oberlandesgericht, da mit den Anträgen letztlich auch nur nicht vollstreckbare gesetzlichen Vorgaben der DSGVO aufgegriffen werden und die Daten der Facebook-Nutzerin bereits ohnehin abgegriffen und veröffentlicht worden sind, einen Gesamtstreitwert der Anträge 3a und 3b von 1.000, 00 EUR, konkret von jeweils 500, 00 EUR, für ausreichend, aber auch erforderlich, um das Klagebegehren der Facebook-Nutzerin individuell zu bemessen.
- Der Streitwert für den Antrag zu 4 ist gemäß § 3 ZPO auf 500,00 € festzusetzen.
- Der Antrag zu 5 ist nicht streitwertrelevant (§ 4 Abs. 1 Hs. 2 Var. 4 ZPO).
Oberlandesgericht Hamm, Urteil vom 15. August 2023 – 7 U 19/23
- LG Bielefeld, Urteil vom 19.12.2022 – 8 O 157/22[↩]
- im Anschluss an EuGH Urteil vom 4.07.2023 – C-252/21, GRUR 2023, 1131 Rn. 95, 152, 154[↩]
- in Anwendung von EuGH Urteil vom 22.06.2023 – C-579/21, BeckRS 2023, 14515 Rn. 46 ff.; EuGH Urteil vom 4.05.2023 – C-487/21, NJW 2023, 2253 Rn. 27[↩]
- in Anwendung von EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 98 ff.[↩]
- in Anwendung von EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 91 f. und EuGH Urteil vom 11.11.2020 – C-61/19, NJW 2021, 841 Rn. 35 f.[↩]
- im Ergebnis wie Irish Data Protection Commission Entsch. vom25.11.2022 – IN-21-4-2; siehe auch EuGH, Schlussanträge des Generalanwalts vom 27.04.2023 – C-340/21, BeckRS 2023, 8707 Rn.20, 29 ff., 38 ff.[↩]
- in Anwendung von EuGH Urteil vom 4.05.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 29 ff.; EuGH Urteil vom 16.03.2023 – C-522/21, GRUR 2023, 713 Rn. 38; EuGH Urteil vom 25.03.2021 – C-501/18, BeckRS 2021, 5310 Rn. 112; EuGH Urteil vom 13.12.2018 – C-150/17 P, BeckRS 2018, 31923 Rn. 86; im Nachgang zu BVerfG Beschluss vom 14.01.2021 – 1 BvR 2853/19, NJW 2021, 1005 Rn.19 ff.[↩]
- im Anschluss an BGH Urteil vom 3.03.2022 – IX ZR 53/19, NJW 2022, 1457 Rn. 9; BGH Urteil vom 12.05.1995 – V ZR 34/94, NJW 1995, 2361 17; EuG Urteil vom 1.02.2017 – T-479/14, BeckRS 2017, 102499 Rn. 118, EuGH Urteil vom 13.12.2018 – C-150/17 P, IWRZ 2019, 82 Rn. 111, 121[↩]
- in Anwendung von EuGH Urteil vom 4.05.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 53; EuGH Urteil vom 16.03.2023 – C-522/21, GRUR 2023, 713 Rn. 38, 46, 49, EuGH Urteil vom 25.03.2021 – C-501/18, BeckRS 2021, 5310 Rn. 112, 122, 127; im Anschluss an BGH Urteil vom 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 14, 17, 19[↩]
- im Anschluss an BGH Urteil vom 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn.19[↩]
- in Anwendung von EuGH Urteil vom 4.05.2023 – C-300/21, NZA 2023, 621 Rn. 53, 54; EuGH Urteil vom 25.03.2021 – C-501/18, BeckRS 2021, 5310 Rn. 126; im Anschluss an BGH Urteil vom 5.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28; BGH Urteil vom 29.06.2021 – VI ZR 52/18, NJW 2021, 3130 Rn. 30[↩]
- im Anschluss an BGH Beschluss vom 09.07.2020 – I ZB 79/19, WM 2020, 1826 Rn.20; BGH Beschluss vom 17.06.2021 – I ZB 68/20, NJW-RR 2021, 1146 Rn. 11 f.[↩]
- im Anschluss an BGH Urteil vom 15.06.2021 – VI ZR 576/19, r+s 2021, 525 Rn.19 f.[↩]
- im Anschluss an BGH Beschluss vom 25.04.2023 – VI ZR 111/22, GRUR 2023, 1143 Rn. 13; OLG Hamm Beschluss vom 8.11.2013 – 9 W 66/13, NJW-RR 2014, 894 5[↩]
- im Anschluss an BGH Beschluss vom 8.10.2012 – X ZR 110/11, GRUR 2012, 1288 Rn. 4; BGH Beschluss vom 12.06.2012 – X ZR 104/09, MDR 2012, 875 Rn. 5[↩]
- im Anschluss an OLG München Beschluss vom 5.02.2018 – 29 W 1855/17, NJW-RR 2018, 575 16[↩]
- im Anschluss an BGH Beschluss vom 30.11.2004 – VI ZR 65/04, BeckRS 2004, 12785 2; BGH Urteil vom 12.05.2016 – I ZR 1/15, MDR 2016, 1344 Rn. 42[↩]
- vgl. BGH Urteil vom 27.07.2020 – VI ZR 405/18, BGHZ 226, 28 Rn. 16 m. w. N.; BGH Urteil vom 23.05.2023 – VI ZR 476/18, GRUR-RS 2023, 16479 Rn. 27[↩]
- BGH Urteil vom 27.02.2018 – VI ZR 489/16, BGHZ 217, 350-374 Rn. 15-19 m. w. N.[↩]
- vgl. dazu EuGH Urteil vom 13.03.2014 – C-548/12, NJW 2014, 1648 Rn.20 ff., insbesondere Rn. 24 f.; BGH Urteil vom 24.06.2014 – VI ZR 315/13, BeckRS 2014, 15813 Rn.20[↩]
- vgl. BGH Urteil vom 21.07.2023 – V ZR 112/22, BeckRS 2023, 17918 Rn. 15; BGH Urteil vom 5.07.2023 – IV ZR 375/21, BeckRS 2023, 17516 Rn. 11; BGH Urteil vom 15.02.2018 – I ZR 201/16, GRUR 2018, 935 Rn.20[↩]
- vgl. BGH Urteil vom 17.01.2023 – VI ZR 203/22, r+s 2023, 265 Rn. 14 m. w. N.[↩]
- vgl. dazu zuletzt etwa BGH Urteil vom 17.01.2023 – VI ZR 203/22, r+s 2023, 265 Rn. 15; BGH Urteil vom 29.06.2021 – VI ZR 566/19, VersR 2021, 1251 Rn. 8; grundlegend BGH Urteil vom 24.03.2011 – I ZR 108/09, BGHZ 189, 56 Rn. 6 ff.[↩]
- vgl. BGH Urteil vom 31.05.2022 – VI ZR 804/20, NJW-RR 2022, 1071 Rn. 10 f.; BGH Beschluss vom 15.12.2020 – VIII ZR 304/19, BeckRS 2020, 42398 Rn. 10 f. m. w. N.; BGH Urteil vom 11.07.2018 – IV ZR 243/17, r+s 2018, 539 Rn. 36 ff.[↩]
- vgl. dazu nur BGH Urteil vom 15.06.1994 – XII ZR 128/93, NJW 1994, 3165 11 m. w. N.; BGH Beschluss vom 13.04.2016 – XII ZB 578/14, NJW-RR 2016, 1217 Rn. 22[↩]
- vgl. ständige Rechtsprechung seit BGH Urteil vom 13.12.1951 – III ZR 144/50, BGHZ 4, 138 6 ff.[↩]
- EuGH Urteil vom 4.05.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 36[↩]
- BGH Urteil vom 27.07.2020 – VI ZR 405/18, BGHZ 226, 28 Rn. 11[↩]
- vgl. zur ständigen Rechtsprechung etwa BGH Urteil vom 25.05.2020 – VI ZR 252/19, NJW 2020, 1962 Rn. 37 m. w. N.[↩]
- so EuGH Urteil vom 4.07.2023 – C-252/21, GRUR 2023, 1131 Rn. 95[↩]
- siehe auch Erwägungsgrund 62 Satz 1 Var. 1 DSGVO[↩]
- vgl. auch EuGH, Schlussanträge des GA Pitruzzella vom27.04.2023 – C-340/21, BeckRS 2023, 8707 Rn. 43; LAG Baden-Württemberg Urteil vom 25.02.2021 – 17 Sa 37/20, ZD 2021, 436 63, nachgehend BAG Vorlagebeschl. vom22.09.2022 – 8 AZR 209/21 (A), NZA 2023, 363 [nicht zu dieser Frage][↩]
- vgl. konkret zur Meta Platforms, Inc.:: EuGH Urteil vom 4.07.2023 – C-252/21, GRUR 2023, 1131 Rn. 27; EuGH Urteil vom 5.06.2018 – C-210/16, NJW 2018, 2537 Rn. 30; siehe zu einer Internetsuchmaschine auch BGH Urteil vom 27.07.2020 – VI ZR 405/18, BGHZ 226, 28 Rn. 13 f.[↩]
- vgl. konkret zur Meta Platforms, Inc.:: EuGH Urteil vom 4.07.2023 – C-252/21, GRUR 2023, 1131 Rn. 86 ff.; EuGH Urteil vom 28.04.2022 – C-319/20, NJW 2022, 1740 Rn. 34; EuGH Urteil vom 5.06.2018 – C-210/16, NJW 2018, 2537 Rn. 30; siehe auch BGH Urteil vom 27.07.2020 – VI ZR 405/18, BGHZ 226, 28 Rn. 13[↩]
- vgl. auch BGH Urteil vom 27.07.2020 – VI ZR 405/18, BGHZ 226, 28 Rn. 15[↩]
- so BVerwG Urteil vom 2.03.2022 – 6 C 7/20, BVerwGE 175, 76 Rn. 48 m. w. N.; siehe im Kontext zur Bemessung des Schadensersatzes nach Art. 82 Abs. 2 DSGVO EuGH Urteil vom 4.05.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 53 ff., insbesondere auch zum Grundsatz der Effektivität und Äquivalenz[↩]
- vgl. EuGH Urteil vom 4.07.2023 – C-252/21, GRUR 2023, 1131 Rn. 95, 152, 154; EuGH Urteil vom 4.05.2023 – C-60/22, BeckRS 2023, 8967 Rn. 53; EuGH Urteil vom 24.02.2022 – C-175/20, BeckRS 2022, 2616 Rn. 77, siehe auch Rn. 78; EuGH Urteil vom 24.02.2024 – C-175/20, EuZW 2022, 527 Rn. 77 f., 81; vgl. zu Art. 32, 24 DSGVO speziell auch EuGH, Schlussanträge des GA Pitruzzella vom27.04.2023 – C-340/21, BeckRS 2023, 8707 Rn. 45-53; siehe auch BVerwG Urteil vom 1.03.2022 – 6 C 7 /20, BVerwGE 175, 76 Rn. 49 f.[↩]
- EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 98[↩]
- EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 99[↩]
- EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 100 m. w. N.[↩]
- vgl. explizit EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 98[↩]
- vgl. EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 100 m. w. N.[↩]
- EuGH Urteil vom 4.07.2023 – C-252/21 GRUR-RS 2023, 15772 Rn. 90 m. w. N.; EuGH Urteil vom 11.11.2020 – C-61/19, NJW 2021, 841 Rn. 34[↩]
- EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 92 m. w. N.[↩]
- EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 106 m. w. N.[↩]
- EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 108 m. w. N.[↩]
- EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 109[↩]
- vgl. EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 93 f.[↩]
- vgl. EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 91 f.; EuGH Urteil vom 11.11.2020 – C-61/19, NJW 2021, 841 Rn. 35 f.[↩]
- vgl. EuGH Urteil vom 4.07.2023 – C-252/21, GRUR-RS 2023, 15772 Rn. 32[↩]
- vgl. EuGH Urteil vom 11.11.2020 – C-61/19, NJW 2021, 841 Rn. 35 f.; siehe auch EuGH Urteil vom 1.10.2019 – C-673/17, NJW 2019, 3433 Rn. 51 ff., insbesondere Rn. 61 f.[↩]
- vgl. EuGH Urteil vom 22.06.2023 – C-579/21, BeckRS 2023, 14515 Rn. 46 ff. m. w. N. zu Abfragen von Mitarbeitern des datenverarbeitenden Unternehmens; EuGH Urteil vom 4.05.2023 – C-487/21, NJW 2023, 2253 Rn. 27 m. w. N.[↩]
- vgl. EuGH, Schlussanträge des GA Pitruzzella vom27.04.2023 – C-340/21, BeckRS 2023, 8707 Rn. 29-37[↩]
- vgl. EuGH, Schlussanträge des GA Pitruzzella vom27.04.2023 – C-340/21, BeckRS 2023, 8707 Rn. 38-44[↩]
- EuGH, Schlussanträge des GA Pitruzzella vom27.04.2023 – C-340/21, BeckRS 2023, 8707 Rn.20[↩]
- so EuGH Urteil vom 4.05.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 29-42; EuGH, Schlussanträge des GA Campos Sánchez-Bordona v.06.10.2022 – C-300/21, GRUR-RS 2022, 26562 Rn. 117[↩]
- vgl. für das deutsche Deliktsrecht zuletzt etwa BGH Urteil vom 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 18 m. w. N.[↩]
- so EuGH Urteil vom 4.05.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 44-51; vgl. auch BAG Beschluss vom 26.08.2021 – 8 AZR 253/20 (A), NZA 2021, 1713 Rn. 33; offen gelassen BVerfG Beschluss vom 14.01.2021 – 1 BvR 2853/19, NJW 2021, 1005 Rn.19 ff.; siehe zu Störungen und Belästigungen sowie Zorn und Ärger in Abgrenzung gegenüber Schäden EuGH, Schlussanträge des GA Campos Sánchez-Bordona v.06.10.2022 – C-300/21, GRUR-RS 2022, 26562 Rn. 111 ff.; EuGH, Schlussanträge des GA Pitruzzella vom27.04.2023 – C-340/21, BeckRS 2023, 8707 Rn. 79 ff. und insbesondere Rn. 83 zur von den nationalen Gerichten zu beantwortenden Frage des Schadens im Einzelfall[↩]
- EuGH Urteil vom 4.05.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 50 und das in dem Bewusstsein der konkret vom ÖOGH zum Kontrollverlust aufgeworfenen Frage, vgl. Rn. 17[↩]
- vgl. EuGH Urteil vom 4.05.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 58[↩]
- vgl. etwa zur Haftung der Union im Sinne von Art. 340 Abs. 2 AEUV jeweils m. w. N. hier nur EuGH Urteil vom 13.12.2018 – C-150/17 P, BeckRS 2018, 31923 Rn. 86; EuGH Urteil vom 30.05.2017 – C-45/15 P, BeckRS 2017, 111224 Rn. 61; EuGH Urteil vom 4.04.2017 – C-337/15 P, BeckRS 2017, 105868 Rn. 91-94; zur Haftung von Privatpersonen im Sinne von Art. 94 VO/2100/94 EuGH Urteil vom 16.03.2023 – C-522/21, GRUR 2023, 713 Rn. 38, 46, 49, wobei unter Rn. 37 dargestellt wird, dass ein pauschal festzusetzender Strafschadensersatz wie bei Art. 82 DSGVO ausscheidet; zur Haftung von Mitgliedstaaten nach nationalem Recht wegen Verstoßes gegen Unionsrecht EuGH Urteil vom 25.03.2021 – C-501/18, BeckRS 2021, 5310 Rn. 112, 122, 127[↩]
- vgl. allgemein Erwägungsgrund 7 Satz 2 DSGVO[↩]
- vgl. Erwägungsgrund 10 DSGVO[↩]
- vgl. EuGH Urteil vom 4.04.2017 – C-337/15 P, BeckRS 2017, 105868 Rn. 91-94, zur mangelnden Schadensqualität eines Vertrauensverlustes, der generell mit der Sorgfaltspflichtverletzung eines Amtsträgers einhergeht[↩]
- ständige Rspr., vgl. z. B. zur Vorsatzanfechtung nach § 133 Abs. 1 InsO: BGH Urteil vom 3.03.2022 – IX ZR 53/19, NJW 2022, 1457 Rn. 9; zum Nachweis der Kausalität einer arglistigen Täuschung BGH Urteil vom 12.05.1995 – V ZR 34/94, NJW 1995, 2361 17; Oberlandesgericht Urteil vom 17.03.2020 – 7 U 86/19, BeckRS 2020, 31993 65[↩]
- vgl. hierzu BGH Urteil vom 12.05.1995 – V ZR 34/94, NJW 1995, 2361 17; siehe auch zur Notwendigkeit konkreten Vortrags zum Beleg für innere Unruhe und Unbehagen EuG Urteil vom 1.02.2017 – T-479/14, BeckRS 2017, 102499 Rn. 119, nachfolgend bestätigt durch EuGH Urteil vom 13.12.2018 – C-150/17 P, BeckRS 2018, 31923 Rn. 111[↩]
- vgl. zur Befreiung des Gerichts von seiner Hinweispflicht nach § 139 ZPO aufgrund von Hinweisen der Gegenseite zuletzt etwa BGH Beschluss vom 15.05.2023 – VIa ZR 1332/22, BeckRS 2023, 17046 Rn. 9 f. m. w. N.[↩]
- vgl. EuG Urteil vom 1.02.2017 – T-479/14, BeckRS 2017, 102499 Rn. 121 m. w. N., nachfolgend bestätigt durch EuGH Urteil vom 13.12.2018 – C-150/17 P, BeckRS 2018, 31923 Rn. 111[↩]
- BGH Urteil vom 23.06.2020 – VI ZR 435/19, VersR 2021, 1497 Rn. 18; siehe auch BGH Urteil vom 16.11.2021 – VI ZR 100/20, r+s 2022, 48 Rn. 15 f.[↩]
- st. Rspr.: vgl. nur OLG Hamm, Urteil vom 28.10.2022 – 7 U 25/22, BeckRS 2022, 38552 55; OLG Hamm, Beschluss vom 7.01.2021 – 7 U 53/20, BeckRS 2021, 2530 21 m. w. N. [u. a. Oberlandesgericht Beschluss vom 4.05.2020 – 7 U 29/19 18]; siehe auch Oberlandesgericht Beschluss vom 28.05.2019 – 7 U 85/18 24[↩]
- vgl. dazu nur EuGH Urteil vom 4.05.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 53[↩]
- BGH Urteil vom 23.06.2020 – VI ZR 435/19, VersR 2021, 1497 Rn. 13[↩][↩]
- vgl. BGH Urteil vom 1.10.2019 – VI ZR 164/18, NJW 2020, 1072 Rn. 9 m. w. N.[↩][↩]
- vgl. zum Nachweis psychischer Störungen BGH Urteil vom 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 14, 17, 19; siehe auch zur Richtlinienkonformität im Zusammenhang mit der Kraftfahrzeughaftpflichtversicherungsrichtlinie EuGH Urteil vom 15.12.2022 – C-577/21, DAR 2023, 73 Rn. 35 f., 38, 44 f., 49[↩]
- vgl. EuGH Urteil vom 4.05.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 53, 55[↩]
- siehe schon oben; vgl. erneut jeweils m. w. N. nur EuGH Urteil vom 13.12.2018 – C-150/17 P, BeckRS 2018, 31923 Rn. 86; EuGH Urteil vom 30.05.2017 – C-45/15 P, BeckRS 2017, 111224 Rn. 61; EuGH Urteil vom 4.04.2017 – C-337/15 P, BeckRS 2017, 105868 Rn. 91-94; EuGH Urteil vom 16.03.2023 – C-522/21, GRUR 2023, 713 Rn. 38, 46, 49, EuGH Urteil vom 25.03.2021 – C-501/18, BeckRS 2021, 5310 Rn. 112, 122, 127[↩]
- siehe zum „genauen Nachweis“ und zur Schadensschätzung: EuGH Urteil vom 16.03.2023 – C-522/21, GRUR 2023, 713 Rn. 43[↩]
- BGH Urteil vom 23.06.2020 – VI ZR 435/19, VersR 2021, 1497 Rn. 13; vgl. zur mehr oder minder hohen (mindestens aber überwiegenden) Wahrscheinlichkeit BGH Urteil vom 17.09.2019 – VI ZR 396/18, r+s 2020, 50 Rn. 13[↩]
- vgl. BGH Urteil vom 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn.19[↩]
- vgl. EuGH Urteil vom 4.05.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 53, 58, wobei ausdrücklich darauf hingewiesen wird, dass es keines im nationalen Recht nicht vorgesehenen Strafschadensersatzes bedarf[↩]
- vgl. eine solche ausdrücklich verneinend EuGH, Schlussanträge des GA Campos Sánchez-Bordona v.06.10.2022 – C-300/21, GRUR-RS 2022, 26562 Rn. 56 ff., was der EuGH in seiner nachfolgenden Entscheidung nicht beanstandet hat[↩]
- vgl. OLG Hamm, Urteil vom 17.03.2020 – 7 U 86/19, BeckRS 2020, 31993 65 m. w. N.[↩]
- vgl. BGH Urteil vom 29.11.2016 – VI ZR 530/15, NJW 2017, 800 Rn. 11 ff. m. w. N.; LAG Baden-Württemberg Urteil vom 25.02.2021 – 17 Sa 37/20, ZD 2021, 436 81, nachgehend BAG Vorlagebeschl. vom22.09.2022 – 8 AZR 209/21 (A), NZA 2023, 363 [nicht zu dieser Frage]; Quaas in BeckOK-Datenschutzrecht, Wolff/Brink, 42. Edition, Stand: 01.08.2022, Art. 82 DSGVO Rn. 1a[↩]
- vgl. LAG Baden-Württemberg Urteil vom 25.02.2021 – 17 Sa 37/20, ZD 2021, 436 81, nachgehend BAG Vorlagebeschl. vom22.09.2022 – 8 AZR 209/21 (A), NZA 2023, 363 [nicht zu dieser Frage]; siehe auch BGH Urteil vom 29.11.2016 – VI ZR 530/15, NJW 2017, 800 Rn. 8[↩]
- vgl. BGH Urteil vom 10.07.2018 – VI ZR 259/15, r+s 2018, 678 Rn. 6 m. w. N.; BGH Urteil vom 16.01.2001 – VI ZR 381/99, r+s 2001, 147 12 f.[↩]
- vgl. zum absoluten Recht BGH Urteil vom 29.06.2021 – VI ZR 52/18, NJW 2021, 3130 Rn. 30; zum reinen Vermögensschaden mit und ohne bereits eingetretenem Vermögensteilschaden BGH Urteil vom 5.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28; siehe auch Oberlandesgericht Urteil vom 28.10.2022 – 7 U 25/22, BeckRS 2022, 38552 102[↩]
- vgl. dazu nur EuGH Urteil vom 4.05.2023 – C-300/21, NZA 2023, 621 Rn. 53, 54[↩]
- vgl. BVerfG Beschluss vom 6.11.2019 – 1 BvR 276/17, BVerfGE 152, 216 Rn. 42 f. zur alleinigen Maßgeblichkeit von Unionsgrundrechten[↩]
- vgl. BGH Urteil vom 5.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28; BGH Beschluss vom 9.01.2007 – VI ZR 133/06, r+s 2007, 350 Rn. 5 f.; BGH Urteil vom 16.01.2001 – VI ZR 381/99, r+s 2001, 147 7: Oberlandesgericht Urteil vom 28.10.2022 – 7 U 25/22, BeckRS 2022, 38552 102; Oberlandesgericht Urteil vom 29.10.2019 – 7 U 4/19, BeckRS 2019, 56097 35 m. w. N.; siehe auch Gerlach, VersR 2000, 525, 531[↩]
- vgl. EuGH Urteil vom 25.03.2021 – C-501/18, BeckRS 2021, 5310 Rn. 126[↩]
- vgl. m. w. N. BGH Beschluss vom 9.07.2020 – I ZB 79/19, WM 2020, 1826 Rn.20; BGH Beschluss vom 17.06.2021 – I ZB 68/20, NJW-RR 2021, 1146 Rn. 11 f.[↩]
- vgl. dazu EuGH, Schlussanträge des GA Pitruzzella vom27.04.2023 – C-340/21, BeckRS 2023, 8707 Rn. 38-44[↩][↩]
- vgl. insoweit BGH Beschluss vom 25.10.2022 – VIII ZB 58/21, NJW 2022, 3778 Rn.19 m. w. N.[↩]
- BGH Urteil vom 9.03.2021 – VI ZR 73/20, NJW 2021, 1756 Rn. 15 m. w. N.[↩]
- BGH Urteil vom 12.03.2020 – I ZR 126/18, BGHZ 225, 59 Rn. 39 m. w. N.; BGH Urteil vom 26.01.2017 – I ZR 207/14, MDR 2017, 589 Rn. 18 m. w. N.[↩]
- BGH Urteil vom 26.01.2017 – I ZR 207/14, MDR 2017, 589 Rn. 18 m. w. N.[↩]
- BGH Urteil vom 15.06.2021 – VI ZR 576/19, r+s 2021, 525 Rn. 17[↩]
- EuGH Urteil vom 22.06.2023 – C-579/21, BeckRS 2023, 14515 Rn. 35[↩]
- vgl. EuGH Urteil vom 22.06.2023 – C-579/21, BeckRS 2023, 14515 Rn. 37 ff.[↩]
- EuGH Urteil vom 12.01.2023 – C-154/21, NJW 2023, 973, Ls.[↩]
- vgl. BGH Urteil vom 15.06.2021 – VI ZR 576/19, r+s 2021, 525 Rn.19 f. m. w. N.; dem folgend OLG Düsseldorf Urteil vom 9.03.2023 – 16 U 154/21, BeckRS 2023, 4182 29[↩]
- EuGH Urteil vom 23.03.2000 – C-373/97, NZG 2000, 534 Rn. 34[↩]
- vgl. insoweit die Vorlagefrage 1 bei BGH, Beschluss vom 29.03.2022 – VI ZR 1352/20, GRUR-RS 2022, 9584[↩]
- vgl. EuGH, Urteil vom 6.10.1982 – C-283/81, NJW 1983, 1257, 1258; BVerfG Beschluss vom 28.08.2014 – 2 BvR 2639/09, NVwZ 2015, 52 Rn. 35[↩]
- vgl. zu den ersten beiden Zulassungsgründen zuletzt etwa BGH, Beschluss vom 31.05.2023 – IV ZR 299/22, BeckRS 2023, 17971 Rn. 12 f. m. w. N.[↩]
- vgl. dazu BGH Beschluss vom 12.06.2012 – X ZR 104/09, MDR 2012, 875 Rn. 5; siehe auch BGH Beschluss vom 8.10.2012 – X ZR 110/11, GRUR 2012, 1288 Rn. 4[↩]
- vgl. zu einer Herabsetzung auf 500,00 € jeweils nur BGH Beschluss vom 17.01.2023 – VI ZB 114/21, NJW-RR 2023, 959 Rn. 11; BGH Beschluss vom 28.01.2021 – III ZR 162/20, GRUR-RS 2021, 2286 Rn. 9[↩]
- vgl. OLG Hamm Beschluss vom 8.11.2013 – 9 W 66/13, NJW-RR 2014, 894 5 m. w. N.[↩]
- vgl. BGH Beschluss vom 25.04.2023 – VI ZR 111/22, GRUR 2023, 1143 Rn. 13 m. w. N.[↩]
- so explizit BGH Beschluss vom 8.10.2012 – X ZR 110/11, GRUR 2012, 1288 Rn. 4, sogar für übereinstimmende Angaben der Parteien; siehe auch BGH Beschluss vom 12.06.2012 – X ZR 104/09, MDR 2012, 875 Rn. 5[↩]
- so auch OLG München Beschluss vom 5.02.2018 – 29 W 1855/17, NJW-RR 2018, 575 16[↩]
- vgl. BGH Beschluss vom 30.11.2004 – VI ZR 65/04, BeckRS 2004, 12785 2; BGH Urteil vom 12.05.2016 – I ZR 1/15, MDR 2016, 1344 Rn. 42[↩]
