Urteil : Informationen innerhalb allg. Hinweise und Hilfestellungen als hinreichende Schutzmaßnahmen gegen Scraping : aus der RDV 2/2023, Seite 122 bis 125
(LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –)
Hinweis: Wegen des besonderen Umfangs der Entscheidung wird das Urteil nachfolgend nur auszugsweise dargestellt. Einige vom Gericht behandelten Punkte bleiben daher unberücksichtigt.
- Plattformbetreiber sind nach Art. 32 DS-GVO nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung von Informationen zu verhindern, die aufgrund von vom Nutzer selbst gewählten Einstellung immer öffentlich zugänglichen sind.
- Aufgrund der Fülle an personenbezogenen Daten müssen Plattformbetreiber dafür sorgen, dass gerade sensiblere Daten wie E-Mail-Adressen oder Telefonnummern nicht einfach und schnell zu erlangen sind. Dies tun sie aber bereits dann, wenn die Freigabe der Telefonnummer lediglich eine Komfortfunktion für den Fall ist, dass ein User besser gefunden werden will, und der User bei Inanspruchnahme dieser Funktion über Hinweise und Hilfestellungen auf Schutzmöglichkeiten aufmerksam gemacht wird.
- Das Risiko, dass über technische Programme selbst gewählte Freigaben ausgenutzt und missbraucht werden, ist vom Nutzer einer Plattform zu tragen, wenn er sich eigenverantwortlich zur Nutzung entschlossen hat und nach Zustimmung zur Datenschutzrichtlinie und nach Bereitstellung von Hilfestellungsmöglichkeiten selbst entscheiden konnte, wie weit er potenziell risikoreiche Angebote nutzt. 4. Das Abschöpfen von Daten durch Scraping begründet weder einen erheblichen Kontrollverlust über die betroffenen Daten noch die Gefahr eines Identitätsmissbrauchs und damit keinen immateriellen Schaden im Sinne des Art. 82 DS-GVO.
(Nicht amtliche Leitsätze)
Aus den Gründen:
bb. Pflichtverletzung aus der DS-GVO
Es fehlt […] an Pflichtverstößen der Beklagten gegen Normen der DS-GVO, soweit man den Anwendungsbereich – entgegen der hier vertretenen Auffassung – für eröffnet erachtet.
(2) Kein Verstoß gegen Art. 5 Abs. 1 DS-GVO
Selbst wenn man hinsichtlich der Informationspflichten den Anwendungsbereich des Art. 82 DS-GVO entgegen der hier vertretenen Ansicht für eröffnet hält, fehlt es schon deshalb an einem Verstoß, weil es auch bei Informationspflichten der Rücksichtnahme auf den Grundsatz des Art. 5 Abs. 1 DS-GVO bedarf. Demnach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Dieser Grundsatz der Transparenz überträgt sich dann in die Informations- und Aufklärungspflicht nach Art. 13 DS-GVO. Die Aufklärung über die Zwecke der Verarbeitung muss insbesondere für den Nutzer klar verständlich und nachvollziehbar sein. Dies ist vorliegend der Fall. Der Kläger selbst hat Screenshots zu den Abläufen und jeweiligen Unterseiten zur Akte gereicht (vgl. BI. 9 bis 21 der Klageschrift und die dortigen Screenshots). Diese Screenshots bilden die tatsächlichen Inhalte der X. -Seite ab. Diese Inhalte der Website als offenkundige Tatsachen gemäß § 291 ZPO, die jedem Nutzer zugänglich sind, enthalten alle relevanten Informationen zu Art und Umfang der Verarbeitung und Hinweise zu Möglichkeiten der Begrenzung. Zuzugestehen ist dem Kläger, dass es sich um mehrschichtige Informationen handeln mag. Die Mehrschichtigkeit schließt aber die Übersichtlichkeit und Transparenz nicht aus. Vergleichbar mit Allgemeinen Geschäftsbedingungen in Papierform können diese durchaus umfangreich sein. Maßgeblich ist einzig, dass sie verständlich sind, was vorliegend der Fall ist. Insoweit hat die Kammer die zur Akte gereichten Screenshots in Augenschein genommen und ist zu diesem Ergebnis gelangt. Insoweit verfängt der Kläger dann auch nicht mit dem Argument, dass die Vielzahl der Einstellungsmöglichkeiten dazu führe, dass ein Nutzer es im Zweifel bei den Voreinstellungen belasse. Die internetspezifischen Gepflogenheiten und gerade die DS-GVO verlangen vielfältige Einstellungsmöglichkeiten, damit der jeweilige Nutzer die Einstellungen entsprechend seiner spezifischen Bedürfnisse individuell vornehmen kann.
Einzubeziehen in diese Entscheidung ist auch gewesen, dass die Nutzung der Plattform als solche freiwillig ist. Die Preisgabe der Mobilfunknummer ist selbst für die Nutzung der Plattform, so man sich zu einer solchen entschließt, nicht erforderlich. Vielmehr handelt es sich um ein Zusatzangebot der Beklagten, dass der jeweilige Nutzer – so auch der Kläger – auf weitere Funktionen und Informationen nutzen kann, wenn er diese nach Eingabe entsprechender Angaben nutzen will. Dies umfasst die Möglichkeit, „interessante Menschen und Themen auf unseren Plattformen vorzustellen, beispielsweise über die Funktion Personen, die du kennen könntest“. Im Übrigen wird ausgeführt, dass man als Nutzer festlegen kann, „ wer deine Telefonnummer sehen kann und wer auf X. nach dir suchen kann.“ Es wird unter anderem darauf hingewiesen, dass auch in der M.-App eine Suche über die Telefonnummer möglich ist. Abgestellt auf den objektiven Empfängerhorizont gemäß §§ 133, 157 BGB ist es sicherlich mit einem gewissen Aufwand, einer gewissen Geduld und gewissem zeitlichem Aufwand verbunden, sich durch die Seiten und Hinweise zu klicken und sie sorgfältig zu lesen. Dies verkennt die Kammer nicht. Die Hinweise sind, soweit sie der Kläger selbst zur Akte reicht, bei genauem Lesen aber verständlich. Auch schriftlich abgefasste AGB können – siehe oben – umfangreich sein. Der Umfang von AGB mag auch mit dem zugrunde liegenden Rechtsverhältnis zu tun haben. Im Rahmen der internetspezifischen Gepflogenheiten und damit einhergehenden datenschutzrechtlichen Fragestellungen führen deren Umfang dann auch zu entsprechend umfangreichen Hilfethemen und Einstellungshinweisen. Die Reichweite des Schutzes der DS-GVO ist dabei aber im Lichte der jeweiligen konkreten Nutzung (beispielsweise des Internets) zu sehen; mithin ist vorliegend zu berücksichtigen, dass es sich bei X. um ein soziales Netzwerk handelt, das auf Kommunikation, Finden von Personen und Teilen von Informationen angelegt ist. In diesem Lichte sind dann die von der Beklagten gewählten Voreinstellungen nicht zu beanstanden, da der jeweilige Nutzer umfassend und verständlich über Änderungsmöglichkeiten informiert wird. Insoweit kann dahinstehen, wie es der Kläger mit der Replik ausführt, dass X. etwaig auch andere Zwecke verfolgt, wie die Finanzierung über Werbung, denn jedenfalls ist ein Zweck der der Kommunikation auf einer sozialen Plattform. Unstreitig ist zudem, dass es der Angabe der Telefonnummer zur Nutzung von X. als solcher nicht bedarf, sondern insoweit genügt, dass Name, Geschlecht und ID hinterlegt sind. Entschließt sich ein User jedoch diese Komfortfunktion – freiwillig – zu nutzen, erhält er in verständlicher Sprache und übersichtlich sämtliche Informationen, was mit der Telefonnummer passieren kann und wie er begrenzen kann, wer diese aufzufinden vermag. Insoweit hat auch die persönliche Anhörung des Klägers in der mündlichen Verhandlung vom 10.11.2022 ergeben, dass dieser zwar seine „Zielgruppenauswahl“ etwa durch Einstellung, dass die Telefonnummer nur ihm selbst angezeigt werde, begrenzt haben mag, die Funktion „Suchbarkeits-Einstellungen“ aber seit Anmeldung 2013 bis heute unverändert gelassen hat.
Die Einstellungsmöglichkeiten sind gesammelt über mehrere Links und Unterlinks zu erreichen, und es wurde seitens der Beklagten über die Nutzungs- und Findungsmöglichkeiten aufgeklärt. Insbesondere wird deutlich, dass man das Profil eines Nutzers über die Mobilfunknummer als solches finden kann, wenn man – wie der Kläger – die Suchbarkeitsfunktion über die Mobilfunknummer überhaupt und überdies für jedermann eröffnet. Auch darf man bei der Auslegung – worauf die Beklagte zutreffend verweist – nicht vergessen, dass die Seite ….com – wie ausgeführt – dem Finden und dem Austausch von Informationen in Form eines sozialen Netzwerkes dient. Dann aber ist es auch im Lichte der internetspezifischen Gepflogenheiten umso wichtiger, dass der Nutzer sich sorgfältig mit den Hinweisen auseinandersetzt, um für sich eine Entscheidung zu treffen, ob und welche Informationen er in welchem Umfang freigibt und wie weitgehend er die Kommunikationsplattform der Beklagten nutzen will.
(3) Kein Verstoß nach Art. 32 DS-GVO
[…] Die Beklagte hat gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, nicht verstoßen. Insbesondere war die Beklagte nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils des Klägers aufgrund seiner selbst gewählten Einstellung zu verhindern. Diese lautete, dass ihn alle („everyone“) über seine Telefonnummer („by phone number“) finden können. Diese Einstellung beinhaltet dann aber auch das Finden des Klägers durch Dritte über seine Mobilfunknummer, die Dritte etwaig auch unter Zuhilfenahme elektronischer Möglichkeiten zufällig erzeugt haben und so einen Abgleich von in den Kontakt-Importer der Plattform von X. hochgeladenen und etwaig generierten Telefonnummern mit der mit dem dort eingerichteten Konto des Klägers verknüpften Telefonnummer vornehmen. Denn auch Dritte fallen unter den Begriff „everyone“. Unstreitig sind die Daten des Klägers von Dritten gescrapt, mithin verarbeitet worden i.S.d. Art. 4 Nr. 2 DS-GVO. Allerdings war die Beklagte nicht verpflichtet, diese Daten vor der Verarbeitung durch die Scraper zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des Klägers, nämlich seinen Namen, sein Geschlecht und seinen Benutzernamen, um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnliches abrufbar sind, was dem Kläger bereits durch die Anmeldung bekannt war. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig. […]
Zuzugestehen ist dem Kläger insoweit lediglich, dass die Beklagte aufgrund der Fülle an personenbezogener Daten dafür sorgen muss, dass gerade sensiblere Daten wie E-MailAdressen oder Telefonnummern nicht einfach und schnell zu erlangen sind. Dies tut sie aber bereits dadurch, dass die Freigabe der Telefonnummer lediglich eine Komfortfunktion für den Fall ist, dass ein User – so auch der Kläger – besser gefunden werden will. Bei Inanspruchnahme dieser Funktion – wie bereits dargestellt – über Hinweise und Hilfestellungen auf die jeweiligen Schutzmöglichkeiten aufmerksam gemacht. […]
Der Kläger selbst hat seine Suchbarkeitsfunktion auf „everyone“ belassen, nachdem er sich entschlossen hat, die Komfortfunktion „Angabe der Telefonnummer“ zum komfortableren Finden von etwaigen Kontakten zu nutzen. Es widerspricht dem Zweck von X. , einerseits eine Social Media Plattform zur leichten Kontaktaufnahme und Kommunikation einzurichten, die der jeweilige User durch Hinweis und Zustimmung auf die Datenrichtlinien freiwillig nutzen kann und selbst nach Aufklärung bestimmen kann, ob und in welchem Umfang er Daten dort hinterlegt, um andererseits der Beklagten solche technischen Hürden abzuverlangen, die dem o.g. Nutzungszweck diametral entgegenstehen. Ein gewisses Risiko, dass über technische Programme selbst gewählte Freigaben ausgenutzt und missbraucht werden, verbleibt bei der Internetnutzung stets, ist aber nicht von der Beklagten, sondern vom Kläger zu tragen, der sich eigenverantwortlich zur Nutzung entschlossen hat und nach Zustimmung zur Datenschutzrichtlinie und nach Bereitstellung von Hilfestellungsmöglichkeiten selbst entscheiden konnte, wie weit er die Angebote nutzt. Scraping komplett zu unterbinden ist – unstreitig – nicht möglich, denn es nutzt die Möglichkeiten einer Website als Datensammlung gezielt aus. Wie auch bei X. ist das Scraping in den AGB der jeweiligen Websites oftmals untersagt, es zu kontrollieren fällt allerdings schwer und wird meist erst entdeckt, wenn die erlangten Daten (-sätze) auf anderen Websites veröffentlicht werden.
Zudem leitet sich aus der DS-GVO kein Anspruch auf bestimmte konkrete Sicherungsmaßnahmen ab, sondern die Beklagte muss allenfalls für ein hinreichendes Schutzniveau sorgen, was vorliegend geschehen ist. Die Beklagte beschäftigt nach eigenen Angaben ein EDM-Team (External-Data-Misuse-Team) und verfügt nach eigenen Angaben auch über Datenübertragungsbeschränkungen, wenn von einer bestimmten IP-Adresse in einem bestimmten Zeitraum eine bestimmte Anzahl von Anfragen gestellt werden. Schließlich veröffentlichte sie am 19.04.2019 einen Artikel zu diesem Vorfall und weitere Artikel am 15. und 16.04.2021. Dies steht schon aufgrund der zur Akte gereichten veröffentlichten und mit einem Link angegebenen Artikel zur Überzeugung der Kammer i.S.d. § 286 ZPO fest. Einer Zeugeneinvernahme bedurfte es insoweit nicht. Selbst bei Wahrunterstellung dieser Maßnahmen durch die Beklagte ist – wie ausgeführt – unstreitig, dass Scraping sich nicht vollständig vermeiden lässt, da externe Dritte – d.h. sog. Scraper – gerade bemüht sind, etwa unter Verwendung einer Vielzahl von IP-Adressen und „gestaffelten“ Abfragen, diese Barrieren zu überwinden. […]
cc. kein restitutionsfähiger Schaden
[…] Der Kläger hat schon keine spürbare Beeinträchtigung – hervorgerufen durch Datenverlust – von persönlichen Belangen dargelegt. Der Kläger trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 auf der eingangs benannten Seite sei es zu einem Anstieg von SMS und Mails gekommen. Zugleich hat er aber im Rahmen seiner Anhörung gemäß § 141 ZPO bekundet, seit Entdeckung des Scraping-Vorfalls im April 2021 nichts an seinen Profileinstellungen bei X. geändert zu haben. Schon dieser Umstand lässt die Angabe, Furcht vor einem Kontrollverlust über seine Daten zu haben, unplausibel erscheinen. Unabhängig davon genügt aber selbst die Annahme nicht, dass der Kläger unter einer Furcht vor einem Kontrollverlust leidet, um einen Schaden im Sinne der DS-GVO zu bejahen. Der Kläger spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-Mails und Nachrichten. Unerwünschte E-Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen X.-Account haben und dort ihre Telefonnummer hinterlegt haben.
Der Hinweis des Klägers darauf, dass nur den Wenigsten eine konkrete (und wohl auch erhebliche) Schadendarstellung gelingen dürfte und er wegen der Reichweite und der Größe des behaupteten Datenlecks schon aufgrund einer bloßen Gefährdung einen Schaden unter Bezugnahme auf LG München (Urt. v. 09.12.2021 – 31 O 16606/20, BeckRS 21/41707 und Urt. v. 20.01.2022 – 3 O 17493/20 – BeckRS 6105) bejahen will, ist diese Rechtsprechung nicht ohne Weiteres auf die vorliegende Konstellation übertragbar. Das LG München hat Schadensersatz aufgrund einer Gefährdung eines Identitätsmissbrauchs zugesprochen. In dem zugrunde liegenden Fall wurden Daten veröffentlicht, nämlich „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/ oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“. Vorliegend geht es um ein öffentliches Profil nebst Telefonnummer und damit deutlich weniger sensible Daten. Eine Telefonnummer kann man wechseln. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich (so auch: LG Karlsruhe, Urt. v. 09.02.2021, Az.: 4 O 67/20, ZD 2022, 55). Insbesondere würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem ErwG Nr. 75. Der ErwG Nr. 75 stützt die bisher vertretene Auffassung der Kammer (s. Urt. der Kammer v. 23.09.2021, Az.: 6 O 190/21, ZD 2022, 50), da aus Risiken für die Rechte und Freiheiten natürlicher Personen physische, materielle oder immaterielle Schäden entstehen können. Insoweit sind Schäden aber kein zwangsweise Produkt aus einem Risiko für die Rechte und Freiheiten natürlicher Personen aus einer Verarbeitung personenbezogener Daten, vielmehr sind diese nur fakultativ. Der Sinn der Verordnung wird aber nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes Risiko bestehen, dass die Daten missbraucht werden. Dies konnte die Kammer im Lichte der Angaben des persönlich gehörten Klägers nicht feststellen, der bis heute seine Suchbarkeitseinstellungen trotz behaupteten Unwohlseins nicht verändert hat.