LG Duisburg: : kein Anspruch gegen Social Media Netzwerk-Anbieter auf Schadensersatz nach Art.82 DSGVO wegen Datenerhebung per Scraping

So das Gericht in seinem Urteil vom 14. Juni 2023 (Az.: 10 O 126/22) keinen Anspruch nach Art.82 DSGVO.  Das Gericht führt in den Entscheidungsgründen aus, dass unabhängig von der Frage, ob ein Verstoß gegen die DSGVO vorlag oder nicht, kein ersatzfähiger Schaden bestehen bzw. dieser nicht dargelegt und bewiesen sei. Das Gericht führt unter anderem in den Entscheidungsgründen aus:

„…Darüber hinaus fehlt es an einem ersatzfähigen immateriellen Schaden der Klagepartei.

Nach Auffassung der Kammer setzt ein Anspruch auf Schadensersatz nach Art. 82 DSGVO neben der Verletzung einer Vorschrift der DSGVO auch einen hierauf beruhenden Schaden voraus, der durch den Anspruchsteller darzulegen und notfalls zu beweisen ist (so auch OLG Frankfurt a. M., Urteil vom 02.03.2022 – 13 U 206/20, GRUR-RS 2022, 4491; LG Essen, aaO; AG Strausberg, aaO; LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22, juris; LG München, Urteil vom 09.12.2021 – 31 O 16606/20, GRUR-RS 2021, 41707; LG Düsseldorf, Urteil vom 28.10.2021 – 16 O 128/20, ZD 2022, 48; LG Karlsruhe, Urteil vom 09.02.2021 – 4 O 67/20, ZD 2022, 55; LG Hamburg, Urteil vom 05.09.2020 – 324 S 9/19, ZD 2021, 9; andere Ansicht BAG, Beschluss vom 26.08.2021 – 8 AZR 253/20, NZA 2021, 1713).

Aus dem Wortlaut des Art. 82 Abs. 1 DSGVO geht hervor, dass der betroffenen Person ein materieller oder immaterieller Schaden entstanden sein muss. Auch der Erwägungsgrund 146 der DSGVO sieht insoweit vor, dass solche Schäden ersetzt werden sollen, die einer Person aufgrund einer Verarbeitung entstehen. Des Weiteren ergibt sich aus den im Erwägungsgrund 75 der DSGVO aufgezählten möglichen immateriellen Schäden, dass der Verordnungsgeber den Datenschutzverstößen unterschiedliche Schadensfolgen zuschreibt, was denknotwendig ebenfalls gegen die Gleichsetzung eines Datenschutzverstoßes mit einem Schadenseintritt spricht.

Der Begriff des Schadens ist nach dem Erwägungsgrund 146 der DSGVO unter Berücksichtigung der Ziele der DSGVO weit auszulegen. Danach soll der Anspruch einen vollständigen und wirksamen Ersatz des erlittenen Schadens sicherstellen. Schadensersatzforderungen sollen abschrecken und weitere Verstöße der Verantwortlichen unattraktiv machen (Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 17). Der Schadensbegriff ist autonom auszulegen; es kommt nicht darauf an, ob bestimme Schadenspositionen im nationalen Recht als Schaden anerkannt sind (Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 17). Insofern ist auch die bisherige deutsche Rechtsprechung zu immateriellen Schäden nicht anwendbar, wonach nur schwerwiegende Persönlichkeitsverletzungen zu einem ersatzfähigen Schadensersatz führen (LG Karlsruhe, Urteil vom 02.08.2019 – 8 O 26/19, ZD 2019, 511). Der Erwägungsgrund 75 der DSGVO nennt als mögliche immaterielle Schäden eine Diskriminierung, den „Identitätsdiebstahl“ oder -betrug, eine Rufschädigung, einen Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten. Als Bewertungskriterien können zudem die in Art. 83 DSGVO genannten Kriterien der Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten herangezogen werden.

Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, da nur so eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DSGVO erzielt werden könne (LG Essen, aaO; LG München I, Urteil vom 09.12.2021 – Az.: 31 O 16606/20, GRUR-RS 2021, 41707).

Der Schaden ist demnach zwar weit zu verstehen, er muss jedoch auch wirklich erlitten, das heißt spürbar, objektiv nachvollziehbar und von gewissem Gewicht sein (LG Essen, aaO).

Diese Auslegung wird bestätigt durch die aktuelle Entscheidung des EuGH vom 04.05.2023, C-30021, wonach Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung gerade nicht ausreicht, um einen Schadenersatzanspruch zu begründen.

Die Klagepartei hat einen solchen erlittenen und spürbaren immateriellen Schaden nicht hinreichend dargelegt.

Die Klagepartei trägt vor, dass die unstreitig erfolgte Veröffentlichung weitreichende Folgen gehabt habe, so würde die Zuordnung von Telefonnummern zu weiteren Daten wie E-Mail-Adresse oder Anschrift Kriminellen eine weite Bandbreite an Möglichkeiten eröffnen, wie z.B. den „Identitätsdiebstahl“, die Übernahme von Accounts und gezielte Phishing-Nachrichten. Die Klagepartei habe daher einen erheblichen Kontrollverlust erlitten und es verbleibe ein Zustand des Unwohlseins und der Sorge über möglichen Missbrauch der abgeschöpften Daten. Diese Darlegungen sind nicht ausreichend.

Soweit die Klagepartei auf die mögliche Zuordnung ihrer Telefonnummer zu weiteren Daten wie ihrer E-Mail-Adresse oder der Wohnanschrift verweist, hat die Klagepartei bereits nicht schlüssig dargelegt, dass solche Daten überhaupt abgeschöpft bzw. veröffentlicht wurden. Eine diesbezügliche Gefahr ist demnach nicht festzustellen und kann jedenfalls nicht auf die geltend gemachten Verstöße zurückgeführt werden.

Der darüber hinaus geltend gemachte Kontrollverlust und der vermehrte Anfall von unbekannten Anrufen und Nachrichten stellen ebenfalls keine Umstände dar, aus denen auf einen spürbaren Schaden der Klagepartei geschlossen werden kann. Dabei ist in die Bewertung – entsprechend des Art. 85 DSGVO – einzubeziehen, dass die hier betroffenen Daten nach Art und Umfang solche Daten darstellen, die nicht als besonders sensible Daten zu kategorisieren sind und deren Veröffentlichung kein besonderes Gefahrenpotential für einen möglichen Identitätsmissbrauch oder Ähnliches bärgen (zur Gefährdung eines Identitätsmissbrauch bei der Veröffentlichung von Ausweis- und Kontodaten, LG München I, Urteil vom 09.12.2021 – Az.: 31 O 16606/20, GRUR-RS 2021, 41707).

Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich (so auch LG Essen, aaO; LG Karlsruhe, Urteil vom 09.02.2021 – Az.: 4 O 67/20, ZD 2022, 55).

Der Sinn der DSGVO wird aber nicht gewahrt, wenn man jeglichem „Unwohlsein“ ene Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes Risiko bestehen, dass die Daten missbraucht werden (LG Essen, aaO). Ein derartiges Risiko ist weder vorgetragen noch sonst ersichtlich.

Zudem ist zu beachten, dass gewissenhafte Nutzer digitaler Inhalte und Medien ohnehin gehalten sind, Nachrichten und Anrufe von unbekannten Absendern kritisch zu hinterfragen. Ein daraufhin gerichtetes „Unwohlsein“ besteht damit ohnehin nicht.

Im Hinblick auf den klägerischen Vortrag zu einer Intensivierung des Schadens infolge einer fehlenden Auskunft bzw. Meldung der Datenschutzverstöße ist nicht ersichtlich, worin hier der immaterielle Schaden begründet sein soll. Die abgeschöpften Daten waren zu diesem Zeitpunkt bereits abgeschöpft; davon, dass durch die Auskunft eine Veröffentlichung hätte verhindert werden können, ist nach allgemeinen Lebensbetrachtung nicht auszugehen.

Schließlich kann von einer konkreten Betroffenheit, die einen immateriellen Schadensersatzanspruch begründen würde, auch deshalb nicht ausgegangen werden, weil die Klagepartei gerade keine individuellen Folgen vorträgt. Die angeblichen Beeinträchtigungen finden sich vielmehr als identische Textbausteine in einer Vielzahl der von den Klägervertretern angestrengten – im Wesentlichen wortgleichen – Klagen…“