Tenor

Die Klage wird abgewiesen.

              Die Kosten des Rechtsstreits trägt die Klägerin.

              Das Urteil ist vorläufig vollstreckbar gegen Sicherheitsleistung in Höhe von

              120 % des jeweils zu vollstreckenden Betrages.

1

T a t b e s t a n d :

2

Mit der Klage macht die Klägerin Ansprüche auf Schadensersatz, Unterlassung und Auskunft sowie Erstattung der Rechtsverfolgungskosten geltend, die sie auf behauptete Verletzungen seitens der Beklagten von Persönlichkeitsrechten und Grundrechten sowie Grundfreiheiten der Klägerin, insbesondere deren Recht auf den Schutz personenbezogener Daten stützt.

3

Die Klägerin ist Nutzerin der von der Beklagten betriebenen Social Media Plattform facebook.com. Die Beklagte ist Betreiberin der Webseite www.facebook.com (im Folgenden: Facebook). Die Dienste der Beklagten ermöglichen es den Nutzern, persönliche Profile sich zu erstellen und diese mit Freunden zu teilen. Auf diesen persönlichen Profilen können sie Angaben zu verschiedenen Daten zu ihrer Person machen und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf ihre Daten zugreifen können.

4

Anfang April 2021 wurden Daten von ca. 533 Mio. Facebook-Nutzern aus 106 Ländern im Internet durch Unbekannte verbreitet und für Interessenten bereitgestellt. Dies war dadurch möglich, dass die von den Nutzern bei facebook öffentlich zugänglichen Daten ausgelesen wurden und mit nicht öffentlichen Daten der einzelnen Benutzer verknüpft werden konnten. Die Telefonnummern der Benutzer konnten dadurch mit deren restlichen Personendaten zusammen gebracht werden. Dies erfolgte durch die Nutzung des Contact-Import-Tool, das die Beklagte bereitstellte, damit Verbindungen der Beklagten intern mit anderen Nutzern hergestellt werden können. Das Contact-Import-Tool wurde zur Bestimmung der Telefonnummern der einzelnen Benutzer genutzt, und zwar in der Form, dass eine große Anzahl fiktiver Telefonnummern erzeugt wurde, woraufhin die zugehörigen Facebook-Nutzer angezeigt wurden. Anschließend wurde das Profil des Nutzers besucht, von dort wurden die öffentlichen Daten abgeschöpft (gescrapt) und mit den fiktiven Telefonnummern verbunden, von denen man nun wusste, dass es sich um die nicht öffentlich eingestellte Telefonnummer des Nutzers handelte.

5

Die Klägerin ist der Ansicht die Beklagte habe gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Hierzu führt sie Folgendes aus:

6

Die Nutzer müssten bei der Einrichtung des Nutzerkontos unstreitig eine Vielzahl von Entscheidungen treffen, welche Daten öffentlich sein sollen. Aufgrund der Vielzahl an Einstellungsmöglichkeiten sei mit hoher Wahrscheinlichkeit zu erwarten, dass ein Nutzer die voreingestellten Standardeinstellungen beibehalte und nicht selbständig ändere. So könnten beispielsweise unmittelbar nach der Anmeldung alle Personen sehen, welche Seiten der Nutzer abonniert und mit wem er befreundet sei. Außerdem könnten alle den neuen Nutzer über seine Email-Adresse oder seine Telefonnummer finden. Diese Informationen seien also standardmäßig „öffentlich“ verfügbar.

7

Soweit die Beklagte hinsichtlich der Telefonnummer darauf hinweise, zu welchem Zweck diese verwandt wird, werde mit keinem Wort erwähnt, dass die angegebene Nummer wie im vorliegenden Fall auch dazu verwendet werden könne, in irgendeiner Art das Profilbild des Nutzers zu identifizieren. So werde dem Nutzer wie der Klägerin durch eine oberflächlich sichere Einstellung ein Gefühl der Sicherheit vermittelt, während für einen tatsächlich wirksamen Schutz viele Einstellungen gleichzeitig hätten geändert werden müssen, ohne ausreichende Informationen hierzu oder in den Voreinstellungen zu erteilen.

8

Die Klägerin betrachtet dies als eine offensichtliche Sicherheitslücke, die unstreitig im Jahr 2019 gezielt ausgenutzt worden sei, indem Millionen von Telefonnummern generiert und über die von Facebook zur Verfügung gestellte Software synchronisiert worden sei, was Unbekannten ermöglicht hätten, die von ihnen wahllos erstellten Telefonnummern den Profilen von Facebook-Nutzern zuzuordnen. Sie ist der Ansicht, ein Verstoß gegen die Datenschutzgrundverordnung liege darin, dass die Beklagte keinerlei Sicherheitsvorkehrung gegen die Ausnutzung dieses Programms und die vorstehend geschilderte Vorgehensweise treffen. So seien unstreitig keine Sicherheitscapchas verwendet worden, um sicherzustellen, dass es sich bei der Anfrage zur Synchronisierung um die Anfrage eines Menschen und nicht um eine automatisch generierte handele.

9

Außerdem sei sie allenfalls verspätet benachrichtigt worden.

10

Die Klägerin einen erheblichen Kontrollverlust über ihre Daten erlitten und sei in einem Zustand großen Unwohlseins verblieben und in großer Sorge über möglichen Missbrauch ihrer sie betreffenden Daten. Dies manifestiere sich u. a. in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Darüber hinaus erhalte die Klägerseite seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und potentiellen Virenlinks. Dies habe dazu geführt, dass die Klägerseite nur noch mit äußerster Vorsicht auf jegliche E-Mails und Nachrichten reagieren könne und jedes Mal einen Betrug befürchte und Unsicherheit verspüre.

11

Die Klägerin stellt folgende Anträge:

12

• 13

  1.                  Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

• 14

  2.                  Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

• 15

  3.                  Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

16

a)          personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, FacebookID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

17

b)       die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird.

18

• 19

  4.                  Die Beklagte wird verurteilt der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.

20

• 21

  5.                  Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit dem 22.08.2022 in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

22

Die Beklagte beantragt,

23

              die Klage abzuweisen.

24

Sie ist der Ansicht, ein Verstoß gegen die Datenschutzgrundverordnung läge nicht vor, weil lediglich automatisch gesammelte öffentlich einsehbare Daten gesammelt und damit „gescrapt“ worden seien. Dabei seien unstreitig öffentlich einsehbare Daten abgerufen worden und an anderer Stelle mit nicht öffentlich einsehbaren Daten wie der Telefonnummer verknüpft worden. So seien speziell im Fall der Klägerin Name, Geschlecht und Nutzer - ID - der Klägerin während des relevanten Zeitraums öffentlich auf dem klägerischen Nutzerkonto einsehbar und seien es unstreitig auch weiterhin. Denn bei diesen Informationen handele es sich immer um öffentliche Nutzerinformationen. Das sogenannte Scraping könne auch durch hochentwickelte Gegenmaßnahmen nur begrenzt, aber nicht völlig verhindert werden.

25

Wegen des weiteren Vorbringens der Parteien wird auf die zwischen den Parteien gewechselten Schriftsätze sowie auf das Protokoll vom 30.01.2023 Bezug genommen.

26

Entscheidungsgründe:

27

Die zulässige Klage ist nicht begründet.

28

I. Die Klägerin hat keinen Schmerzensgeldanspruch aus Art. 5 Abs. 1 f DSGVO. Die Beklagte hat nicht gegen die ihr dort auferlegte Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen. Soweit es um das Abrufen der immer öffentlich zugängigen Informationen des Facebook-Profils der Klägerin geht, sind diese zwar von Dritten erhoben (gescrapt) und damit verarbeitet worden im Sinne des Art. 4 Nr. 2 DSGVO. Allerdings war die Beklagte nicht verpflichtet, diese Daten vor der Verarbeitung durch Dritte zu schützen, da diese Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den gescapten personenbezogenen Daten der Klägerin um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen abrufbar sind. Damit erfolgte die Erhebung der Daten als solche nicht unbefugt bzw. unrechtmäßig. Auch soweit der Klägerin im Zeitpunkt der Registrierung die Standarteinstellungen auf der Facebook-Plattform nicht bekannt gewesen sein sollten, weil sie diese nicht umfassend gewertet hat, rechtfertigt dies nicht die Annahme, die Beklagte habe gegen ihr obliegende Schutzpflichten verstoßen. Denn die Beklagte durfte davon ausgehen, dass die Nutzerin die ihr zur Verfügung gestellten Informationen zur Kenntnis nimmt. Unstreitig hat die Beklagte die Klägerin, bevor sich diese auf der Facebook-Plattform registrieren konnte, auf ihre Datenverwendungsrichtlinien hingewiesen. Sie hätte die Standardeinstellungen ändern können.

29

Der von den Scapern unter Nutzung des Contect-Import-Pools hergestellte Abgleich zwischen der von ihnen manipulativ hergestellten unzähligen hochgeladenen Telefonnummern und dem Nutzerkonto der Klägerin stellte zwar eine Verarbeitung im Sinne der Datenschutzgrundverordnung dar. Dieser Verstoß ist jedoch nicht der Beklagten zuzurechnen. Die war nicht verpflichtet, das Facebook-Konto der Klägerin vor deren Auffinden über die Telefonnummer des Klägers zu schützen, da der von den Scrapern hergestellte Abgleich als solcher nicht unbefugt bzw. unrechtmäßig war. Allein die Tatsache, dass der Klägerin nach ihrem Vorbringen nicht bekannt war, dass alle Personen über ihre Telefonnummer ihr Facebook-Konto finden könnten, hat nicht zur Folge, dass die Beklagte verpflichtet war, Schutzmaßnahmen zu ergreifen, die das Facebook-Konto der Klägerin vor einem Auffinden über ihre Telefonnummer schützen. Denn die Beklagte musste annehmen, dass der Klägerin bekannt ist, dass ihr Facebook-Konto über ihre Telefonnummer für jedermann aufzufinden ist. Denn sie musste vor der Registrierung bestätigen, die Datenverwendungsrichtlinien der Beklagten gelesen zu haben. Diese enthalten die Information, dass es die Beklagte allen Personen, die über ihre Telefonnummer verfügen, gestattet, den Nutzer auf Facebook zu finden. Weiter heißt es, dass der Nutzer über seine Privatsphäre Einstellungen auswählen kann, wer mit Hilfe der Telefonnummer des Nutzers nach diesem suchen kann. Die Klägerin hatte es also in der Hand, über die Privatsphäre Einstellungen auszuwählen, wer mit Hilfe der Telefonnummer des Nutzers nach diesem suchen kann.

30

2. Ein Schadensersatzanspruch der Klägerin folgt auch nicht aus Art. 32 Abs. 1 i. V. m. Abs. 2 der DSGVO. In Art. 32 Abs 1 i. V. m. Abs. 2 DSGVO wird der allgemeine Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 f DSGVO näher definiert. Hiernach wird verlangt, dass Verarbeitungsprozesse ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Hierdurch sollen personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u. a. davor geschützt werden, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten. Gegen diese sich hieraus ergebene Verpflichtung hat die Beklagte nicht verstoßen. Insbesondere war sie aus den vorgenannten Gründen nicht verpflichtet, weitere Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Information des Facebook-Profils der Klägerin durch Dritte und eine Verknüpfung mit der von ihr hochgeladenen Telefonnummer u. a. zu dem Zweck, sie auffindbar zu machen, zu verhindern.

31

3. Der Kläger hat keinen Anspruch gegen die Beklagte auf Schadensersatz in Form eines Schmerzensgeldes aus § 82 DSGVO. Eine schadensersatzauslösende Pflichtverletzung der Beklagten im Sinne der DSGVO liegt nicht vor. Gemäß Art. 82 Abs. 1 DSGVO steht jeder Person, der wegen eines Verstoßes gegen die Datenschutzgrundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter vor. Danach haftet jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Abzustellen ist daher auf eine der Verordnung nicht entsprechende Verarbeitung im Sinne des Art. 4 Abs. 2 DSGVO. Die verspätete Erteilung einer Datenauskunft ist aber keine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 2 DSGVO. Datenverarbeitung bezeichnet gemäß Art. 4 Nr. 2 DSGVO nur den Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die Verletzung von Benachrichtigungspflichten ist hierdurch jedoch nicht erfasst.

32

4. Die Klägerin hat auch keinen Anspruch gegen die Beklagte auf Schadensersatz in Form eines Schmerzensgeldes aus § 82 DSGVO. Eine schadensersatzauslösende Pflichtverletzung der Beklagten im Sinne der DSGVO liegt nicht vor. Gemäß Art. 82 Abs. 1 DSGVO steht jeder Person, der wegen eines Verstoßes gegen die Datenschutzgrundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter vor. Danach haftet jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Abzustellen ist daher auf eine der Verordnung nicht entsprechende Verarbeitung im Sinne des Art. 4 Abs. 2 DSGVO. Die verspätete Erteilung einer Datenauskunft ist aber keine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 2 DSGVO. Datenverarbeitung bezeichnet gemäß Art. 4 Nr. 2 DSGVO nur den Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die Verletzung von Benachrichtigungspflichten ist hierdurch jedoch nicht erfasst.

33

5. Außerdem hat die Kläger auch keinen ersatzfähigen Schaden oder eine schmerzensgeldauslösende Beeinträchtigung substantiiert vorgetragen. Ihr Vortrag, aufgrund des erlittenen Kontrollverlusts über ihre Daten sei sie in einem Zustand großen Unwohlseins verblieben und in großer Sorge über möglichen Missbrauch ihrer sie betreffenden Daten, reicht nicht aus für die Zuerkennung von Schadensersatz und Schmerzensgeld in der geltend gemachten Höhe. Sie hat hierzu lediglich vorgetragen, dies manifestiere sich u. a. in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Wieweit dieses Misstrauen über dasjenige Misstrauen hinausgeht, das gegenüber E-Mails und Anrufern von unbekannten Kontakten ohnehin angemessen ist, hat sie nicht dargelegt. Soweit sie behauptet, sie erhalte seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail, mag dies ein zeitlicher Zusammenhang sein. Einen kausalen Zusammenhang mit ihren bei Facebook „gescrapten“ Daten hat sie nicht herstellen können. Ihr Vortrag, diese Kontaktaufnahmen enthielten Nachrichten mit offensichtlichen Betrugsversuchen und potentiellen Virenlinks ist ebenfalls pauschal und ersetzt keinen substantiierten Sachvortrag. Schließlich hat sie nicht einmal konkret dazu vorgetragen, welche ihrer Daten konkret auf den entsprechenden Portalen veröffentlicht wurden.

34

II. Da bereits kein Verstoß der Beklagten gegen die DSGVO vorliegt, steht der Klägerin auch nicht die Feststellung zu, dass die Beklagte verpflichtet ist, der Klägerseite weitere künftige Schäden zu ersetzen.

35

III. Die Beklagte hat aus den vorgenannten Gründen auch keinen Anspruch auf Unterlassung sowie auf Festsetzung eines Ordnungsgeldes für den Wiederholungsfall.

36

IV. Soweit die Beklagte mit dem Antrag zu 4) Auskunft verlangt über die betreffenden personenbezogenen Daten, welche die Beklagte verarbeitet, läuft der Anspruch ins Leere, weil diese Daten auf ihr Auskunftsbegehren vom 06.07.2021 bereits erhalten hat und die Klägerin durch die vorhandenen Selbstbedienungstools, über das Facebook jederzeit Zugriff auf die dort gespeicherten personenbezogenen Daten gemäß Art. 15 DSGVO verlangen kann.

37

V. Da der Anspruch der Hauptsache nicht begründet ist, hat die Klägerin auch keinen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten.

38

VI. Die prozessualen Nebenentscheidungen folgen §§ 91, 709 ZPO.

39

VII. Der Streitwert wird auf 11.000 € festgesetzt.

40

Unterschrift

41

Rechtsbehelfsbelehrung:

42

Hinweis zum elektronischen Rechtsverkehr:

43

Die Einlegung ist auch durch Übertragung eines elektronischen Dokuments an die elektronische Poststelle des Gerichts möglich. Das elektronische Dokument muss für die Bearbeitung durch das Gericht geeignet und mit einer qualifizierten elektronischen Signatur der verantwortenden Person versehen sein oder von der verantwortenden Person signiert und auf einem sicheren Übermittlungsweg gemäß § 130a ZPO nach näherer Maßgabe der Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (BGBl. 2017 I, S. 3803) eingereicht werden. Auf die Pflicht zur elektronischen Einreichung durch professionelle Einreicher/innen ab dem 01.01.2022 durch das Gesetz zum Ausbau des elektronischen Rechtsverkehrs mit den Gerichten vom 10. Oktober 2013, das Gesetz zur Einführung der elektronischen Akte in der Justiz und zur weiteren Förderung des elektronischen Rechtsverkehrs vom 5. Juli 2017 und das Gesetz zum Ausbau des elektronischen Rechtsverkehrs mit den Gerichten und zur Änderung weiterer Vorschriften vom 05.10.2021 wird hingewiesen.

44

Weitere Informationen erhalten Sie auf der Internetseite www.justiz.de.