Urteil : Kein Schadenersatz wegen Kontrollverlust ohne Schaden : aus der RDV 4/2024, Seite 246 bis 249
(OLG Dresden, Urteil vom 16. April 2024 – 4 U 213/24 –)
- Voreinstellungen eines sozialen Netzwerks sind nach dem Grundsatz der „Datenschutzfreundlichkeit“ so auszugestalten, dass nur die Verarbeitung standardmäßig ausgeführt wird, die unbedingt erforderlich ist, um den vorgesehenen rechtmäßigen Zweck zu erreichen; eine Suchbarkeitsvoreinstellung aus „alle“ steht hiermit nicht im Einklang (Festhaltung Senat, Urt. v. 05.12.2023, 4 U 709/23 und 4 U 1094/23).
- Ein „Kontrollverlust“ reicht allein für einen immateriellen Schaden im Sinne des Art. 82 DS-GVO nicht aus, wenn die hierauf abzielende Befürchtung unter Berücksichtigung der Umstände des Einzelfalls nicht glaubhaft ist; für die eine solche Befürchtung tragenden Umstände, liegt die Beweislast beim Anspruchsteller. […]
Aus den Gründen:
II- Die zulässige Berufung der Klagepartei ist nicht begründet.
[…]
1.2 Der Klagepartei steht kein Anspruch auf immateriellen Schadenersatz gem. Art. 82 DS-GVO zu. Die Beklagte hat zwar bei der Verarbeitung der Daten gegen die Bestimmungen der DS-GVO verstoßen
(a), jedoch ist der Klagepartei daraus kein kausaler Schaden entstanden (b). a) Die Beklagte hat in mehrfacher Hinsicht bei der Datenverarbeitung gegen die DS-GVO verstoßen. Sie hat gegen das Gebot der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DS-GVO verstoßen (aa). Die Handynummer wurde ohne rechtfertigenden Grund nach Art. 6 DS-GVO verarbeitet (bb). Offenbleiben kann, ob sie ausreichende technische und organisatorische Maßnahmen nach Artt. 24, 32 DS-GVO ergriffen hat (cc) und ob sie ihrer Benachrichtigungspflicht aus Artt. 34, 25 DS-GVO und ihrer Auskunftspflicht aus Art. 15 DS-GVO nachgekommen ist (dd).
[…]
aa) Die Beklagte hat gegen Art. 25 Abs. 2 DS-GVO verstoßen, denn in dem relevanten Zeitraum war die Standardeinstellung für die Suchbarkeit nach der Telefonnummer auf „alle“ und damit nicht datenschutzfreundlich (data protection by default) auf „nur ich“ eingestellt. Dies hat die Beklagte eingeräumt. Nach Art. 25 Abs. 2 DS-GVO muss die Beklagte geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch die Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Bei der Registrierung soll dem Betroffenen nämlich gewährleistet werden, dass er nur in eine solche Verarbeitung einwilligt, die die Veröffentlichung seiner Daten ohne sein Eingreifen kategorisch ausschließt (vgl. LG Freiburg (Breisgau), Urt. v. 15.09.2023 – 8 O 21/23, Rn 122 – juris). Der Betreiber eines sozialen Netzwerks soll damit verpflichtet werden, die Default-Einstellungen so zu treffen, dass Inhalte der Nutzer nicht standardmäßig mit anderen Nutzern oder Dritten geteilt werden (vgl. LG Freiburg a.a.O.). Als Voreinstellung ist daher der kleinstmögliche Empfängerkreis vorzusehen (vgl. LG Freiburg (Breisgau), Urt. v. 15.09.2023 – 8 O 21/23, Rn 122 – juris). Da der Kläger sich bereits vor dem 25.05.2018 registriert hat, hatte die Beklagte sicherzustellen, dass die datenschutzunfreundliche Voreinstellung zum 25.05.2018 unter Abkehr des „opt-out“ Systems geändert wird (vgl. OLG Hamm, Urt. v. 15.08.2023 – 7 U 19/23, Rn 128 – juris). Hierfür ist nichts ersichtlich. Die gewählte Voreinstellung war zur Erfüllung des Vertragszweckes nicht erforderlich, denn der Nutzer konnte auch ohne die Einstellung der Suchbarkeit auf „alle“ nach der Telefonnummer mit anderen in Kontakt treten und sich austauschen. Personen, die bereits über die Telefonnummer eines anderen Nutzers verfügen, können ohne Weiteres mit ihm in Kontakt treten und sich auf Facebook vernetzen. Es ist auch nicht ersichtlich, dass für den Geschäftszweck des Netzwerkes, personalisierte online Werbung zu platzieren, eine solche Sucheinstellung erforderlich war, zumal der Nutzer die Einstellung auch auf „nur ich“ setzen und die Plattform gleichwohl nutzen konnte.
Die Verletzung dieser Regelung hat auch dazu geführt, dass die Klagepartei es bei der Voreinstellung belassen hat und ihre Telefonnummer von den Scrapern ihrem Profil zugeordnet werden konnte.
bb) Die Beklagte hat die Handynummer der Klagepartei mit der ab dem 25.05.2018 fortgesetzten Verarbeitung in der Suchbarkeitsfunktion ohne ausreichenden Rechtfertigungsgrund gem. Art. 6 DS-GVO verarbeitet. Die weitere Datenverarbeitung ist nur dann rechtmäßig, wenn ab diesem Zeitpunkt mindestens einer der Bedingungen des Art. 6 DS-GVO vorliegt. Dies ist nicht der Fall.
(a) Die Verarbeitung war zur Erfüllung des Vertragszweckes nicht erforderlich i.S.d. Art. 6 Abs.1 b) DS-GVO. Damit eine Verarbeitung personenbezogener Daten als für die Erfüllung eines Vertrags erforderlich im Sinne von Art. 6 Abs.1 b) DS-GVO angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, dass der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte (vgl. EuGH, Urt. v. 04.07.2023 – C – 252/21, Rn 98 – juris; vgl. OLG Hamm Urt. v. 15.08.2023 – 7 U 19/23, Rn 97 – juris). Dafür ist nichts ersichtlich. Der Contact Import Tool mag zwar für den Nutzer praktisch sein, aber zur Nutzung der Plattform ist die Funktion nicht notwendig. Der Nutzer kann Facebook auch nutzen, ohne seine Telefonnummer in der Suchbarkeitsfunktion auf „alle“ zu setzen. Die Beklagte hat jedenfalls nicht dargetan, dass die Funktion unerlässlich für die Vertragsdurchführung gewesen ist. Die fehlende Erforderlichkeit der Auffindbarkeit über das CIT Tool ergibt sich schon daraus, dass die Angabe der Telefonnummer bei der Anmeldung bei Facebook nicht zwingend ist und das CIT im Jahr 2018 für den PC und 2019 für den Messenger Dienst ausgeschaltet wurde, ohne dass die Nutzbarkeit der Plattform wesentlich gelitten hätte. Auf die Ausführungen unter aa) wird im Übrigen Bezug genommen.
(b) Die Beklagte konnte sich ab dem 25.05.2018 nicht auf eine wirksame Zustimmung der Klagepartei stützen, Art. 6 Abs. 1 a), Art. 5 Abs.1 a), Art. 13 Abs.1 DS-GVO, da sie diese über die Zwecke der Verarbeitung der Telefonnummer nicht transparent informiert hat. Die Beklagte kann sich insoweit nicht auf die vor dem 25.05.2018 erklärte Einwilligung stützen, denn diese konnte unter der Geltung der DS-GVO keine rechtfertigende Wirkung mehr entfalten (vgl. OLG Hamm, Urt. v. 15.08.2023 – 7 U 19/23, Rn 114 – juris). Nach Erwägungsgrund Nr. 171 DS-GVO musste eine vorab erteilte Einwilligung bereits den Bedingungen der DS-GVO entsprechen, um fortzugelten. Daran fehlt es. Denn auch die im April 2018 von der Beklagten zur Verfügung gestellten Bedingungen genügen den Anforderungen der DS-GVO nicht (vgl. OLG Hamm, Urt. v. 15.08.2023 – 7 U 19/23, Rn 114 – juris). Auf eine wirksame Zustimmung beruft sich die Beklagte letztendlich nicht, sie liegt auch nicht vor.
Die wirksame Zustimmung setzt die Information des Nutzers nach Art. 5 Abs.1 a) DS-GVO und Art. 13 Abs. 1 DS-GVO voraus. Es ist bei der Einwilligung eine Voraussetzung ihrer Wirksamkeit, dass über die Datenverarbeitungsvorgänge Transparenz hergestellt wird, bevor die betreffende Person die Einwilligung erteilt (vgl. Taeger, in: Taeger/Gabel (Hrsg.) DS-GVO, 2022, Art. 6 Rn. 37; vgl. OLG Hamm, Urt. v. 25.08.2023 – 7 U 19/23, Rn. 113 – juris).
Art. 13 Abs. 1 c) DS-GVO verlangt bei der Erhebung personenbezogener Daten bei der betroffenen Person, dass der Verantwortliche der Person zum Zeitpunkt der Erhebung der Daten die Zwecke mitteilt, für die die personenbezogenen Daten verarbeitet werden sollen. Dabei sind alle Zwecke anzugeben, die die verantwortliche Stelle im Zeitpunkt der Erhebung verfolgt (vgl. LG Freiburg, Urt. v. 15.09.2023 – 8 O 21/23, Rn 88 – juris). Die Informationspflicht aus Art. 13 DS-GVO soll die betroffenen Personen von Beginn an in die Lage versetzen, bestimmen und einschätzen zu können, wer was wann über sie weiß (vgl. LG Freiburg, Urt. v. 15.09.2023 – 8 O 21/23, Rn 88 – juris). Nach ihrem Zweck müssen die Informationspflichten (ggf. unmittelbar) vor Beginn der Datenerhebung erfüllt werden. Denn die Informationen sollen der betroffenen Person auch ermöglichen, darüber zu entscheiden, ob sie in die Verarbeitung ihrer Daten einwilligt bzw. ob sie hiergegen Einwände erhebt. Dieser Zweck würde bei einer Information nach Beginn der Datenerhebung verfehlt oder zumindest beeinträchtigt (LG Freiburg a.a.O.).
Aus der von der Beklagten vorgelegten Anlage B 5 (Wie kann ich festlegen, wer mich über meine E-Mail-Adresse oder Handynummer auf Facebook finden kann) wird nicht hinreichend klar, dass der Nutzer auch ohne seine Telefonnummer in der Zielgruppenauswahl auf „öffentlich“ zu stellen über seine Handynummer gefunden werden kann. Vielmehr erweckt der folgende Hinweis den Eindruck, dass der Nutzer nur dann anhand der Telefonnummer gefunden werden kann, wenn er festlegt, wer seine Telefonnummer sehen kann:
„Beachte bitte, dass du separat festlegen kannst, wer deine Telefonnummer und deine E-Mail-Adresse in deinem Profil sehen kann. Wenn du deine Telefonnummer oder deine E-Mail-Adresse in deinem Profil mit jemandem teilst, kann diese Person dich anhand dieser Informationen finden…“
Die von der Beklagten vorgelegte Anlage B 6 (Wozu verwendet Facebook meine Mobilnummer) enthält keinen Hinweis darauf, dass die Klagepartei allein anhand der angegebenen Telefonnummer, die nicht „öffentlich“ sichtbar ist, gefunden werden kann. Wörtlich weist die Beklagte zur Verwendung der Handynummer auf folgendes hin: „Um dir Personen, die du kennen könntest, vorzuschlagen, damit du dich mit ihnen auf Facebook verbinden kannst.“ Damit ist die Suchbarkeit mittels CIT nicht ausreichend klar umschrieben. Aus der Datenrichtlinie (B 9) ist dazu ebenfalls nichts zu entnehmen.
Die Registrierungsseite von Facebook weist auf die – verlinkte – Datenrichtlinie hin. Dort wurde der Nutzer jedoch nicht darüber aufgeklärt, dass und wie seine Telefonnummer im Rahmen des Einsatzes des CIT verwendet wird. Insbesondere wurde ihm nicht verdeutlicht, dass die Telefonnummer ohne Veränderungen der Einstellungen angesichts der Standardvoreinstellung für die Suchbarkeit über die Telefonnummer auf „für alle“ bereits mit deren Angabe genutzt werden kann, um ihn auf Facebook und insbesondere auch über das CIT zu finden. Dazu hätte dem Nutzer erläutert werden müssen, dass die Verwendung des CIT der Messenger App es anderen Benutzern ermöglicht, mittels Abgleichs von in deren Smartphone gespeicherten Telefonkontakten mit der Mobilfunknummer des Nutzers im Falle eines „Treffers“ dessen Benutzerprofil als „Freund“ hinzufügen und auf die entsprechenden Daten zuzugreifen (so LG Freiburg (Breisgau); Urt. v. 15.09.2023 – 8 O 21/23, Rn. 90 – juris). […]
b) Aus den aufgeführten Verstößen gegen die DS-GVO ist der Klagepartei aber kein kausaler immaterieller Schaden gem. Art. 82 DS-GVO entstanden. Ihr obliegt die Darlegungsund Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und dem Schaden. Dieser Beweis ist nicht erbracht worden.
Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (so EuGH Urt. v. 04.05.2023 – C – 300/21, Rn 36 – juris). Der europäische Gerichtshof stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person (vgl. EuGH, Urt. v. 04.05.2023 – C – 300/21, 49, 50 – juris). Allerdings muss der Schaden tatsächlich und sicher entstanden sein (vgl. EuGH, Urt. v. 04.04.2017 – C – 337/15, Rn. 91 – juris). Hierbei hat der Europäische Gerichtshof in einem behaupteten Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden gesehen (vgl. EuGH, Urt. v. 04.04.2017 – C – 337/15, Rn 95 – juris).
aa) Durch den Kontrollverlust der Mobiltelefonnummer und deren missbräuchliche Verwendung ist kein materieller Schaden eingetreten. Dies behauptet die Klagepartei auch nicht.
bb) Der Kontrollverlust der Daten hat im vorliegenden Fall aber auch zu keinem immateriellen Schaden im Sinne von Art. 82 DS-GVO bei der Klagepartei geführt.
Soweit die Daten der Klagepartei ohnehin öffentlich einsehbar sind – wie Vor- und Nachname und Nutzer ID – liegt schon objektiv kein Kontrollverlust vor. Denn diese Daten sind mit der Registrierung anzugeben und zwingend stets öffentlich und für jedermann weltweit einsehbar. Auch ohne Scraping ist ein Auslesen dieser Daten und deren Verbreitung im Internet jederzeit möglich. Mit der Registrierung bei der Beklagten standen diese stets öffentlichen Daten nicht mehr unter der ausschließlichen Kontrolle der Klagepartei. Sie hat vielmehr bewusst auf die Kontrolle verzichtet. Dem Erfordernis eines konkreten Schadens liefe es zuwider, würde man in Bezug auf diese Daten bereits einen abstrakten „Kontrollverlust“ des – im Ergebnis sogar eines jeden – Plattformnutzers ausreichen lassen. Durch das Scraping dieser vom Nutzer freiwillig zur Verfügung gestellten Daten wird der bereits durch die Anmeldung eingetretene Kontrollverlust nach Auffassung des Senats nicht in einer Weise vertieft, dass hieraus ein konkreter immaterieller Schaden abgeleitet werden könnte.
Aber auch der Kontrollverlust der Mobilnummer begründet im vorliegenden Fall für die Klagepartei keinen Schadenersatzanspruch.
Nach der Rechtsprechung des EuGH (Urt. v. 14.12.2023 C – 340/21 – juris) kann der Kontrollverlust grundsätzlich einen immateriellen Schaden begründen. Aus dieser beispielhaften Aufzählung im Erwägungsgrund Nr. 85 der „Schäden“, die den betroffenen Personen entstehen können geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urt. v. 14.12.2023 – C – 340/21, Rn. 82 – juris). Allerdings muss eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DS-GVO darstellen (vgl. EuGH, a.a.O. Rn. 84). Wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist aber gleichwohl zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH a.a.O., Rn 85). An dem Erfordernis eines kausalen Schadens hat der Europäische Gerichtshof festgehalten.
Die betroffene Person muss die Tatsachen, die dazu führen können, dass ein „tatsächlich erlittener immaterieller Schaden“ infolge der Verletzung des Schutzes personenbezogener Daten anerkannt werden kann, genau und nicht nur allgemein darlegen, auch wenn er nicht eine im Voraus festgelegte Schwelle von besonderer Schwere erreicht. Entscheidend ist, dass es sich nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und auch vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen personenbezogenen Daten und die Bedeutung, die sie im Leben der betroffenen Person haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen, mit der Datenverletzung verbundenen Beeinträchtigung hat (vgl. Schlussanträge des GA Pitruzella vom 27.04.2023 – C 340/21, Rn 83 – juris).
Unter Berücksichtigung der Umstände kann aber die Befürchtung der Klagepartei, dass die Daten missbräuchlich verwendet werden, nicht als begründet angesehen werden. Zu den besonderen Umständen gehört die Art des Datums. Wird die Kontrolle über sensible Daten, wie z.B. Gesundheitsdaten, Daten über die sexuelle Orientierung, Daten über rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, Daten über Bankverbindungen, Vermögenswerte, Einkommen, Beruf oder Berufsgeheimnisse verloren, liegt eine missbräuchliche Verwendung nicht fern (vgl. Art. 9 Abs. 1 DS-GVO). Insbesondere bei Daten, die den persönlichen Lebensbereich betreffen, besteht die Gefahr einer Rufschädigung oder Diskriminierung. Ebenso geht der Verlust der Kontrolle von Daten über Vermögenswerte, Bankverbindungen und Berufsgeheimnisse mit dem Risiko eines materiellen Schadens einher
Im vorliegenden Fall wurde die Kontrolle nur über die Telefonnummer und die – hier nicht problematisierte – E-MailAdresse verloren. Mit der Telefonnummer und der durch das Scraping erfolgten Verknüpfung mit einem bestimmten Namen ist lediglich eine Kontaktaufnahme mit der betroffenen Person möglich. Ein Missbrauch drängt sich unter den gegebenen Umständen nicht auf. Die Telefonnummer kann zwar auch missbräuchlich zur Übersendung von Spam SMS oder betrügerischen Anrufen genutzt werden, jedoch kann ein materieller Schaden erst dann entstehen, wenn bei einer Spam SMS der mitgesendete Link verwendet wird oder die betroffene Person auf den Anruf reagiert, dem betrügerischen Anrufer Auskunft gibt oder auf dessen Aufforderung Geld überweist. Die Lästigkeit, die mit den ungebetenen Anrufen von angeblichen Bankmitarbeitern, von automatischen Ansagen sowie mit der Zusendung von angeblichen Sendungsbenachrichtigungen oder anderen Spam SMS einhergeht, kann aber grundsätzlich schon deshalb nicht als begründete Befürchtung eines Missbrauches der Daten angesehen werden, weil davon Personen, deren Daten nicht gescrapt wurden, in vergleichbarer Weise betroffen sind. Es ist allgemein – und auch den Senatsmitgliedern aus eigener Erfahrung – bekannt, dass Personen, die keine sozialen Netzwerke nutzen, ebenfalls viele Spam SMS mit angeblichen Sendungsbenachrichtigungen und betrügerische Anrufe auf ihren Mobiltelefonen erhalten. Ein Zusammenhang der gehäuften Kontaktaufnahmen ab dem Jahr 2021 mit dem Scraping Ereignis aus dem Jahr 2018, ist nicht nachweisbar. Soweit die Klagepartei in den Schriftsätzen Sorgen, Unwohlsein und Ängste wegen der Anrufe von unbekannten Nummern oder infolge von Spam SMS oder Spam E-Mails erlitten haben will, hat sie lediglich angegeben, vermehrt Spam SMS (z.B. falsche Sendungsbenachrichtigungen) und Anrufe von unbekannten Nummern erhalten zu haben. Inwiefern eine Verbindung zu dem in den Jahren 2018 und 2019 stattgefundenen Scraping-Vorfall bestehen soll, ist weder dem Vorbringen der Klagepartei zu entnehmen, noch anderweitig ersichtlich, schon weil gerichtsbekannt – wie bereits ausgeführt – nicht nur Facebook Nutzer, deren Daten gescraped wurden, sondern auch Personen, die überhaupt keine sozialen Medien benutzen, von derartigen Belästigungen betroffen sind. Die Sorge vor einem Missbrauch, der allgemein bei jeder Nutzung eines internetfähigen Mobiltelefons auftreten kann und alle Nutzer in ähnlicher Weise trifft, ist aber nach Art. 82 DS-GVO nicht ersatzfähig.
[…]