Leitsatz: Allein mit der Vorlage eines screenshots der website www.haveibeenpwnde.com, die keinen Rückschluss darauf zulässt, dass der Anspruchsteller von einem konkreten Datenabfluss in einem sozialen Netzwerk individuell betroffen ist, wird eine Aktivlegitimation für datenschutzrechtliche Ansprüche gegen den Netzwerkbetreiber nicht schlüssig darlegt. OLG Dresden, 4. Zivilsenat, Beschluss vom 18. Juni 2024, Az.: 4 U 156/24

    Oberlandesgericht Dresden Zivilsenat Aktenzeichen: 4 U 156/24 Landgericht Dresden, 3 O 1047/23 BESCHLUSS In dem Rechtsstreit D. - Kläger und Berufungskläger - Prozessbevollmächtigter und Beschwerdeführer: D...... & B...... Rechtsanwaltsgesellschaft mbH, ...... gegen A. vertreten durch den Vorstand, dieser vertr. d. d. Vorstandsvorsitzenden - Beklagte und Berufungsbeklagte - Prozessbevollmächtigte: Rechtsanwälte R...... S......, wegen Persönlichkeitsrechtsverletzung hat der 4. Zivilsenat des Oberlandesgerichts Dresden durch Vorsitzenden Richter am Oberlandesgericht S......, Richterin am Oberlandesgericht R...... und Richterin am Oberlandesgericht P...... ohne mündliche Verhandlung am 18.06.2024 beschlossen: 1. Der Senat beabsichtigt, die Berufung des Klägers ohne mündliche Verhandlung durch Beschluss zurückzuweisen. 2. Der Kläger hat Gelegenheit, innerhalb von zwei Wochen Stellung zu nehmen. Er sollte allerdings auch die Rücknahme der Berufung in Erwägung ziehen. 3. Der Termin zur mündlichen Verhandlung vom 16.07.2024 wird aufgehoben.

    4. Es ist beabsichtigt, den Streitwert für das Berufungsverfahren auf 8.000 Eur festzusetzen (vgl. Beschluss des Senates vom 06.02.2024 - 4 W 68/24 - in dieser Sache). Gründe: I. Die Klagepartei macht Schadensersatz-, Unterlassungs- und Auskunftsansprüche aufgrund einer behaupteten Verletzung von Persönlichkeitsrechten und Datenschutzbestimmungen durch die Beklagte geltend. Die Beklagte ist die irische Tochtergesellschaft der A., die den Dienst G. für Nutzer in der EU betreibt. Auf G. können sich Nutzer mit ihrer e-mail Adresse registrieren und öffentliche Profile, insbesondere Avatare, anlegen, die - auf Wunsch des Nutzers - internetweit verfügbar sind. G. dient als „öffentliche Visitenkarte“ für Nutzer. Diese öffentliche Verfügbarmachung der G.daten stellt den Zweck von G. dar. Um die Einsicht von „Visitenkarten“ (also G.profilen) zu ermöglichen, kann auf G. nach e-mail Adressen gesucht werden. Wenn Nutzer bei entsprechenden anderen Diensten dieselbe e-mail-Adresse wie bei G. verwenden, importiert der andere Onlinedienst den Avatar und ggf. weitere G.daten für die Profildaten auf diesem Onlinedienst. G.daten sind bestimmungsgemäß öffentlich verfügbar. Der Kläger ist nicht bei G. registriert. Er ist mit der e-mail Adresse [email protected] und dem Nutzernamen “xxx“ als Nutzer bei W...com, einem anderen Dienst der A., registriert. Nutzer von W...com können u.a. mit den angebotenen Funktionen eine Webseite entwerfen. Der Kläger hat eine Webseite „music........eu“, die er u.a. mit seinen facebook, instagram, und tiktok Konten verlinkt hat. Wenn ein Nutzer ein W...com Nutzerkonto erstellt hat, „reserviert“ A. diesem Nutzer automatisch ein G. Nutzerkonto für den Nutzernamen, der für die Anmeldung auf WordPress.com genutzt wurde. Im Oktober 2020 kam es bei G. zu einem Scraping. Der Kläger hat behauptet, er sei vom Datenvorfall bei der Beklagten ausweislich des vorgelegten Betroffenheitsnachweises mit seinen e-mail-Adressen [email protected] und [email protected] betroffen (Anlage DB 1). Seine Daten seien durch die DSGVO-Verstöße der Beklagten im darknet abrufbar und stünden so Unberechtigten zur Verfügung, was er über die Internetseite „haveIbeenpwned.com“ heraus gefunden habe. Die Beklagte habe keine ausreichenden Sicherheitsmaßnahmen ergriffen. Die Verarbeitung seiner Daten sei rechtswidrig und ohne Einwilligung erfolgt. Die Beklagte habe weder ihn noch die Aufsichtsbehörde über das Datenleck informiert. Des Weiteren habe sie keine Auskunft erteilt. Dadurch habe er einen Kontrollverlust über seine Daten und einen kausalen Schaden erlitten, wie z.B. in Form von Werbeanrufen, Werbemails und einem erhöhten spam-Aufkommen. Auch als Nutzer des Partnerdienstes sei er von dem Datenleck betroffen. Er sei in Sorge um den Verbleib seiner Daten. Die Beklagte hat behauptet, der Kläger sei schon nicht aktivlegitimiert, da er nicht Nutzer von G. sei. Ein Verstoß gegen die Datenschutzgrundverordnung liege nicht vor, der Kläger habe keinen kausalen Schaden erlitten. Das Auskunftsersuchen sei per e-mail vom 31.08. und

    01.09.2023 beantwortet worden. Der screenshot von „haveIbeenpwnd.com“ sei kein geeignetes Beweismittel. Im Übrigen sei es auch nicht zu einem Datenleck gekommen. Ein Artikel des online Magazins „Der Spiegel“ genüge zum Beweis nicht. Das Scraping habe nicht zur Offenlegung von nicht öffentlichen G. Daten geführt. Welche Daten von welchen Nutzern gescrapet worden seien, lasse sich technisch nicht nachvollziehen. G. nutze zur Nummerierung der Nutzerprofile eine fortlaufende Identifikationsnummer („ID“). Diese ID sei im Oktober 2020 in der öffentlichen Programmierschnittstelle, der API, von G. einsehbar gewesen und habe das Scraping von öffentlich verfügbaren G.daten, konkret von öffentlich gemachten G. Nutzernamen und MD5-Hashwerten von e-mail-Adressen der Nutzer ermöglicht. Die API für G. sei sofort angepasst worden. Im Übrigen seien die Klageanträge Ziffer 1, 2 und 5 zu unbestimmt und damit unzulässig. Das Landgericht hat mit Urteil vom 09.01.2024 die Klage wegen Fehlens der Aktivlegitimation abgewiesen. Hiergegen richtet sich die Berufung des Klägers. Er meint, aus einem screenshot der G.-Website ergebe sich, dass eine Datenübermittlung stattfinde und G. auch die Daten verarbeite. Zum Vorliegen eines Datenlecks sei ein Sachverständigengutachten einzuholen. „haveIbeenpwndcom“ sei eine seriöse Seite, die auch von Stiftung Warentest und der Verbraucherzentrale empfohlen werde. Der Kläger beantragt: 1. Die Beklagte wird verurteilt, an den Kläger als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Erlangung persönlicher Daten einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 3.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz der EZB zu zahlen. 1. Die Beklagte wird verurteilt, an den Kläger für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz der EZB zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, dem Kläger alle materiellen künftigen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft, oder einer an ihrem Vertreter zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten des Klägers Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen. 4. Die Beklagte wird verurteilt, dem Kläger Auskunft über personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, insbesondere welche Daten durch welche Empfänger zu welchem Zeitpunkt auf welche Art und Weise und aufgrund welcher Sicherheitslücke, soweit vorhanden, bei der Beklagten oder Partnerunternehmen, an die die Beklagte die Daten weitergeleitet hat, unbefugt erlangt werden konnten. 5. Die Beklagte wird verurteilt, den Kläger von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 1.054,00 EUR freizustellen.

    II. Der Senat beabsichtigt, die zulässige Berufung nach § 522 Abs. 2 ZPO ohne mündliche Verhandlung durch - einstimmig gefassten - Beschluss zurückzuweisen. Die zulässige Berufung des Klägers bietet in der Sache offensichtlich keine Aussicht auf Erfolg. Die Rechtssache hat auch weder grundsätzliche Bedeutung noch erfordert die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts durch Urteil. Auch andere Gründe gebieten eine mündliche Verhandlung nicht. 1. Zu Recht hat das Landgericht die Klage abgewiesen. Dem Kläger stehen die geltend gemachten Ansprüche nicht zu. Der Kläger ist unstreitig nicht Nutzer der von der Beklagten betriebenen Webseite G.. Er ist nicht aktivlegitimiert. Eine Betroffenheit von dem Scraping Ereignis im Oktober 2020 bei G. ist schon nicht schlüssig dargetan. Aus dem von dem Kläger vorgetragenen Auszug aus der Webseite von G. ergibt sich nicht, dass ein Datenaustausch zwischen G. und der vom Kläger genutzten Webseite W...com stattfindet. Dort heißt es wie folgt: „If you have registered for an account on W...com, you will also have a G. URL reserved for you based on your W...com username. You can create your G. account by uploading a photo to your W...com profile or by logging in to G. at any time using your W...com credentials. If you don’t yet have a W...com account, you’ll need to sign up for one to use G..“ Daraus ergibt sich lediglich, dass eine G. URL basierend auf dem Nutzernamen von W...com reserviert ist. Dies hatte die Beklagte in erster Instanz bereits vorgetragen. Eine Datenübermittlung von W... ist diesem Hinweis nicht zu entnehmen. Die Beklagte hat vorgetragen, dass keine Daten eines Nutzers von W...com an den Dienst G. übermittelt werden. Vielmehr werde das Nutzerkonto und die zugehörige URL „ichglaubichspinne“ lediglich bei der Beklagten intern reserviert, jedoch nicht im Internet „veröffentlicht“. Das reservierte Nutzer-Profil des Klägers mit dem Nutzernamen „xxx“ sei nicht im Internet abrufbar gewesen. Im Übrigen hat die Beklagte zwar das Scraping im Oktober 2020 eingeräumt, aber mitgeteilt, nicht sagen zu können, wann welche Nutzerdaten abgegriffen worden sind. Unabhängig von der fehlenden Aktivlegitimation des Klägers hat er auch nicht schlüssig vorgetragen, von einem Scarping bei der Beklagten betroffen zu sein. Ob eine positive Meldung hinsichtlich der e-mail Adresse auf der website „haveIbeenpwnd.com„ ausreicht, kann hier offenbleiben, jedenfalls lässt die Vorlage des screen shots der Seite „haveIbeenpwnd.com“, keinerlei Rückschlüsse darauf zu, wo und wann ein Datenleck aufgetreten ist. Der Kläger ist schließlich bei zahlreichen anderen sozialen Medien - wie facebook, instagram, tiktok, twitter und pinterest - registriert. Die Vorlage eines Artikels aus der online Zeitschrift „Der Spiegel“ stellt ebenfalls kein taugliches Beweismittel für die Betroffenheit des Klägers dar. Zumal in dem Artikel darauf hingewiesen wird, dass man von einem Datenleck betroffen sein „könnte“, wenn man sich auf einer der Seiten registriert hat.

    2. Es wird die Berufungsrücknahme empfohlen, die zwei Gerichtsgebühren erspart. S...... R...... P......