DSGVO-Verstöße können nicht nur die Datenschutzbehörden auf den Plan rufen. Auch Betroffene gehen immer öfter gegen DSGVO-Verstöße vor und fordern immer öfter auch immateriellen Schadensersatz nach Art. 82 DSGVO. Wann Betroffenen ein solcher Schadensersatz zusteht, ist in der Rechtsprechung nach wie vor umstritten. Insbesondere, ob bereits (behauptete) Ängste, Unwohlsein und Kontrollverlust genügen. Das LG Gießen hat sich in einem Urteil mit dem „Vortrag“ eines Betroffenen näher befasst - und die Klage auf Schadensersatz nach Art. 82 DSGVO abgewiesen. Der Betroffene erschien trotz Ladung nicht in der Verhandlung. Das Gericht konnte sich daher nicht selbst von der behaupteten „Betroffenheit“ des Klägers überzeugen. Zudem handelte es sich bei der eingereichten Klage offenkundig um eine standardisierte Klage, die überdies für diesen Fall unpassende Textbausteine enthielt. Auch die Klägervertreter bekamen daher eine "Klatsche" vom Gericht. Ein überaus lesenswertes Urteil. Schon, um es besser zu machen!
Sachverhalt: Facebook Nutzer verlangt Schadensersatz von Facebook wegen Daten-Scrapings
Der Kläger ist Facebook Nutzer. Die Beklagte ist verantwortliche Betreiberin der Facebook-Plattform in der EU.
Der Kläger gab im Rahmen seiner Registrierung auf Facebook seinen Vornamen, Nachnamen, sein Geburtsdatum und Geschlecht an. Die Mitteilung einer Handynummer ist bei Facebook freiwillig, der Kläger gab auch diese an.
Auf der Registrierungsseite fand sich folgender Passus: „Indem du auf Registrieren klickst, … stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen“.
Von Januar 2018 bis September 2019 sammelten Dritte unter Nutzung automatisierter Verfahren eine Vielzahl der auf Facebook verfügbaren öffentlichen Informationen (sog. Scraping). Im April 2021 wurden die gescrapten Datensätze von über 500 Mio. Nutzern sowie die mit diesen Datensätzen verknüpften Telefonnummern frei zum Download bereitgestellt.
Hierzu gehörten auch die immer öffentlich zugänglichen Informationen des Profils des Klägers und die mit seinem Konto verknüpfte Telefonnummer.
Der Kläger verlangte von Facebook Schadensersatz nach Art. 82 DSGVO. Zur Begründung führte er an, Facebook habe keinerlei Sicherheitsvorkehrungen getroffen, um ein Abgreifen seiner Daten zu verhindern. Dass eine automatisierte Massenabfrage möglich war, stelle ebenfalls eine Sicherheitslücke dar. Er habe durch das Scraping einen erheblichen Kontrollverlust über seine Daten erlitten. Zudem leide er unter großem Unwohlsein und Sorgen, da er einen Missbrauch befürchte.
LG Gießen: Pauschaler Textbaustein-Vortrag genügt nicht für Schadensersatz nach Art. 82 DSGVO
Das LG Gießen wies die Klage ab, da es bereits an dem nach Art. 82 DSGVO erforderlichen Schaden fehle. Auf die Frage, ob und inwieweit Facebook gegen die DSGVO verstoßen hat, kam es daher nicht an.
Nach Ansicht des Gerichts hatte der Kläger das Vorliegen eines konkreten, materiellen Schaden nicht hinreichend dargelegt. Bei der Klage handelte es sich offenkundig um eine standardisierte Klageschrift, die nicht nur upassende Textbausteine enthielt, sondern auf den konkreten Fall überhaupt nicht einging. Zudem erschien der Kläger auch nicht in der mündlichen Verhandlung, legte seine Betroffenheit also auch nicht persönlich dar. Im übrigen wies das Gericht daraufhin, dass die betroffenen Daten des Klägers (mit Ausnahme der Mobilfunknummer) auf Facebook für jedermann einsehbar waren und er die Mobilfunknummer frewillig bei Facebook angegeben hatte. An seinen Ängsten und seinem Kontrollverlust hatte das Gericht daher erhebliche Zweifel.
Immaterieller Schadensersatz setzt Vortrag voraus
"Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kläger nicht hinreichend dargetan.
Er hat zwar im Rahmen der Klageschrift ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte; der Anordnung zum persönlichen Erscheinen (zur Sachverhaltsaufklärung) ist er gleichwohl nicht nachgekommen, was das Gericht frei zu würdigen hatte.
Weiterveröffentlichung von auf Facebook veröffentlichten Daten kein Schaden
Letztlich kann die Kammer nicht mit hinreichender Wahrscheinlichkeit davonausgehen, dass der Kläger unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet.
Dagegen spricht bereits der Umstand, dass es sich bei den „gescrapten“ Daten des Klägers mit – Ausnahme der Mobilfunknummer – um Daten handelt, die immer (!) öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich zu sind."
"Auf diesen Umstand weist die Beklagte ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei dem Kläger zu einem unguten Gefühl geführt haben sollte.
Standardklageschrift
Dagegen spricht weiterhin der Umstand, dass es sich offensichtlich um eine standardisierte Klageschrift handelt, die für eine Vielzahl von betroffenen Nutzern eingereicht wird. So ist beispielsweise vorgetragen, dass sich der hiesige Kläger aufgrund des Vorfalles mit betrügerischen E-Mails auseinandersetzen müsse, obwohl die E-Mailadresse – nach dem Vortrag der Klägerseite (Schriftsatz vom 05.10.2022Bl. 11) – gar nicht „gescrapt“ worden ist; sprich seine E-Mailadresse durch den Vorfall überhaupt nicht öffentlich verbreitet worden ist.
Freiwillige Angabe der Mobilfunknummer auf Facebook
„Ebenso kann die Kammer keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Erhebliche Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand des Klägers ergeben sich für das Gericht diesbezüglich bereits aus dem Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte, mithin für die Registrierung nicht erforderlich ist.
Dass der Kläger diese gleichwohl trotzdem angab, spricht eher dafür, dass er kein besonderes Interesse daran hatte, die Möglichkeit einer Verbreitung seiner Mobilfunknummer zu kontrollieren; zumal auch diesbezüglich die Beklagte in ihren Einstellungen entsprechende Einschränkungsmöglichkeiten bereithält. Ein anderes Bild hätte sich lediglich im Rahmen seiner persönlichen Anhörung ergeben können.
Aufgrund der vorgenannten Ausführungen kam es auf die Frage, ob und inwieweit die Beklagte gegen die DSGVO verstoßen hat, nicht an."
LG Gießen, Urteil vom 05.11.2022, Az.: 5 O 195/22
Praxishinweis:
Einig ist man sich, dass Betroffenen bei einem Datenschutzverstoß ein Unterlassungsanspruch zusteht, der grundsätzlich nur durch Abgabe einer strafbewehrten Unterlassungserklärung erfüllt werden kann. Hat der Betroffene durch den Datenschutzverstoß einen materiellen Schaden erlitten, kann er nach Art. 82 DSGVO auch Ersatz dieses Schadens verlangen.
Umstritten ist dagegen, wann Betroffenen ein immaterieller Schadensersatz nach Art. 82 Abs. 1 DSGVO zusteht. Einige Gerichte in Deutschland vertreten die Ansicht, dass grundsätzlich jeder DSGVO-Verstoß einen immateriellen Schaden begründet.
Daher sprechen Gerichte Betroffenen z.B. auch wegen der Zusendung von Werbe-E-Mails immateriellen Schadensersatz (wenn auch in geringer Höhe) zu. Andere Gerichte verneinen einen Anspruch auf immateriellen Schadensersatz für Spam, da eine bloße Belästigung nicht genüge (z.B. AG Hamburg-Bergedorf, Urt. v. 7.12.2020, 410d C 197/20; AG Goslar Urt. v. 27.7.2019, 28 C 7/19; AG Diez, Urt. v. 7.11.2018, 8 C 130/18). Der letzten Ansicht scheint auch der EuGH-Generalanwalt in seinen Schlussanträgen vom 06.10.2022 (C‑300/21 UI gegen Österreichische Post AG) zu folgen. Nach seiner Auffassung genügt bloßer „Ärger“ und "Unwohlsein" nicht, um einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO zu begründen.
Das Urteil des LG Gießen belegt, dass Schadensersatzklagen nach Art. 82 DSGVO kein Selbstläufer sind. In der Klage muss (selbststverständlich) auf den konkreten Einzelfall eingegangen werden. Zudem darf nicht widersprüchlich vorgetragen werden. Im vorliegenden Fall haben sich die Klägervertreter jedenfalls nicht mit Ruhm bekleckert. Ob die Sache ohne "Standardklage" anders ausgegangen wäre, kann nicht gesagt werden. Man sollte sich jedoch "Mühe" geben.
Wurden auch Ihre personenenbezogenen Daten von Dritten unzulässig genutzt? Wurde Ihr Recht am eigenen Bild oder Ihr Persönlichkeitsrecht auf andere Weise verletzt?
Oder machen Dritte Ansprüche gegen Sie wegen Verstöße gegen die DSGVO oder anderer Persönlichkeitsrechtsverletzungen geltend?
Ich berate und vertrete auch Sie gerne. Nutzen Sie auch gerne die kostenlose Ersteinschätzung!