OLG Hamm: Umfangreiche Entscheidung zu Ansprüchen aus Datenschutzrecht wegen Scraping von personenbezogen Daten aus Account in Sozialem Netzwerk

Mit 13 aufgestellten Leitzsätzen beschäftigt und entscheidet das Berufungsgericht in seinem Urteil vom 15. August 2023 (Az.: 7 U 19/21) umfangreich zu wesentlichen Rechtsfragen rund um Ansprüche auf Basis der DSGVO, die auf dem Scraping von personenbezogen Daten aus Account in Sozialem Netzwerk und einem entsprechenden Vorfall aus April 2021 beruhen.

Dabei setzt das Gericht konsequent alle jüngsten Entscheidungen des EuGH und des BGH in der Rechtsanwendung auf den konkreten Fall um.

An dieser Stelle für den Autor die wichtigsten Aussagen der Entscheidung:

A. kein Schadensersatzanspruch, wenn kein konkreter (tatsächlicher), über den durch die unrechtmäßige Datenverarbeitung ohnehin eintretenden Kontrollverlust hinausgehender (immaterieller), Schaden eingetreten ist

So entschieden in Leitsatz 6 und begründet unter anderem wie folgt:

„…Ein Kontrollverlust durch Scraping, also bei unbefugter Offenlegung / unbefugtem Zugänglichmachen, betraf als generelles Risiko der (unrechtmäßigen) Verarbeitung alle Personen, deren Daten ohne Rechtfertigungsgrund suchbar waren, gleichermaßen (vgl. allgemein Erwägungsgrund 7 Satz 2 DSGVO).

Einem solchen generellen Risiko soll im Hinblick auf die Zielsetzung der DSGVO, den unionsweiten Schutz personenbezogener Daten sicherzustellen (vgl. Erwägungsgrund 10 DSGVO), durch die Minimierung der Verarbeitungsrisiken entgegengewirkt werden, um ein möglichst hohes Schutzniveau zu erreichen. Dem Einzelnen die Kontrolle über seine Daten möglichst umfassend zu belassen bzw. dies zu gewährleisten, ist hierfür von grundlegender Bedeutung. Realisiert sich das generelle Risiko, dessen Eintritt verhindert werden soll, kommt es zwangsläufig zum Kontrollverlust. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, wenn bzw. – hier eben – weil dieser automatisch bei jedem vom festgestellten Verstoß gegen die DSGVO Betroffenen in Form der Offenlegung / Zugänglichmachung von Daten eintritt (vgl. EuGH Urt. v. 4.4.2017 – C-337/15 P, BeckRS 2017, 105868 Rn. 91-94, zur mangelnden Schadensqualität eines Vertrauensverlustes, der generell mit der Sorgfaltspflichtverletzung eines Amtsträgers einhergeht). Der Kontrollverlust in Form des unkontrollierten Abrufs der Daten durch die Scraper und der anschließenden Veröffentlichung des Leak-Datensatzes im Darknet waren lediglich die zwangsläufige und generelle Folge der unrechtmäßigen bzw. unzureichend geschützten Datenverarbeitung durch die Beklagte. Daraus folgt, dass es über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall bedarf. Damit deckt sich, dass der völlige Kontrollverlust als solcher nicht per se ein immaterieller Schaden ist; denn stellt ein unkontrollierter Datenverlust im konkreten Einzelfall wegen des Werts der Daten eine in Geld messbare Einbuße dar, so ist dies unzweifelhaft ein Vermögensschaden.

Abgesehen davon ist weder dargetan noch sonst ersichtlich, worin der von der Klägerin reklamierte „völlige Kontrollverlust“ durch die Zuordnung ihrer Mobilfunktelefonnummer zu ihren immer öffentlichen Daten konkret überhaupt liegen sollte. Insbesondere hat sich die Klägerin wegen des Kontrollverlustes bis heute nicht gehalten gesehen, ihre Mobilfunktelefonnummer zu wechseln. Das belegt, dass die unkontrollierte Zuordnung ihrer Mobilfunktelefonnummer nicht dazu führte, dass eine weitere kontrollierte Verwendung durch die Klägerin dadurch faktisch ausgeschlossen war…“

B. Zur Darlegungslast

In Leitsatz 7 heißt es:

„Die Darlegungslast für den Eintritt des konkreten immateriellen Schadens liegt beim Betroffenen und kann bei behaupteten persönlichen / psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller – und nicht wie hier in einer Vielzahl von Fällen gleichartiger –, dem Beweis zugänglicher Indizien erfüllt werden (im Anschluss an BGH Urt. v. 3.3.2022 – IX ZR 53/19, NJW 2022, 1457 Rn. 9; BGH Urt. v. 12.5.1995 – V ZR 34/94, NJW 1995, 2361 = juris Rn. 17; EuG Urt. v. 1.2.2017 – T-479/14, BeckRS 2017, 102499 Rn. 118, EuGH Urt. v. 13.12.2018 – C-150/17 P, IWRZ 2019, 82 Rn. 111, 121).“

Dies wird in den Entscheidungsgründen wie unter anderem folgt begründet:

„…Obwohl bereits die Gegenseite mehrfach und schon seit der Klageerwiderung die fehlende Individualisierung gerügt und darauf hingewiesen hat, dass der Klagevortrag in allen von den klägerischen Prozessbevollmächtigten geführten Rechtsstreiten nahezu wortgleich sei, hat die Klägerin an ihrer (pauschalen) Sichtweise, ihr Vortrag reiche aus, festgehalten (vgl. zur Befreiung des Gerichts von seiner Hinweispflicht nach § 139 ZPO aufgrund von Hinweisen der Gegenseite zuletzt etwa BGH Beschl. v. 15.5.2023 – VIa ZR 1332/22, BeckRS 2023, 17046 Rn. 9 f. m. w. N.). Eine Ergänzung erfolgte auch nicht in der Berufungsinstanz, obwohl die Urteilsgründe erster Instanz explizit ebenfalls auf die nur formelhaft und in einer Vielzahl von Verfahren gleichlautend vorgetragenen Ängste und Sorgen abstellen. Die gleichwohl im Senatstermin eröffnete Möglichkeit, ihre Ansicht einer ausreichenden Individualisierung zu präzisieren, wurde nicht genutzt. Es wurde im Gegenteil nicht in Abrede gestellt, dass der Vortrag zum jeweils erlittenen immateriellen Schaden in allen geführten Verfahren gleichlautend ist. Das kann damit als „unstreitig“ behandelt werden.

Dieser nicht näher konkretisierte Klagevortrag in erster und zweiter Instanz dazu, die jeweilige (bezeichnender Weise nur pauschal bezeichnete) „Klägerpartei“ habe Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt und Aufwand an Zeit und Mühe gehabt, reicht zur Darlegung persönlich belastender Folgen der Datenschutzverletzung nicht aus, weil hiermit nicht genug Beweisanzeichen objektiver Art vorgetragen sind, in denen sich solche Gefühle bzw. der Aufwand widerspiegeln, und zwar bezogen auf den konkreten Einzelfall.

Es fehlt jeglicher konkret-individuelle Vortrag dazu, wann, wie häufig und auf welchem Weg die hiesige Klägerin konkret von Missbrauchsversuchen betroffen war und vor allem wie sie darauf jeweils reagiert hat oder wie sie unabhängig von diesen Versuchen allein durch die Veröffentlichung des Leak-Datensatzes betroffen war.

In das Bild des unzureichenden Vortrags zur persönlichen Schädigung der Klägerin passt, dass erstinstanzlich ebenso pauschal vorgetragen wurde, Telefonnummer, Name, Wohnort und Mail-Adresse seien abgegriffen worden, obwohl ihr Wohnort und ihre Emailadresse unstreitig im Leak-Datensatz gar nicht enthalten sind.

Demnach lässt sich mangels Darlegung der konkreten Missbrauchsfolgen gerade nicht einzelfallbezogen beurteilen, ob nach der Lebenserfahrung eine durchschnittlich im Datenschutz sensibilisierte Person solch negative Gefühle entwickeln würde, die nach klägerischer Behauptung über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird…“

C. Zur Beweislast

In Leitsatz 8 heißt es:

„Die Beweislast für den Eintritt des konkreten immateriellen Schadens liegt beim Betroffenen. Der Beweis ist nach dem Maßstab des § 286 ZPO (in Anwendung von EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 53; EuGH Urt. v. 16.3.2023 – C-522/21, GRUR 2023, 713 Rn. 38, 46, 49, EuGH Urt. v. 25.3.2021 – C-501/18, BeckRS 2021, 5310 Rn. 112, 122, 127; im Anschluss an BGH Urt. v. 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 14, 17, 19), gegebenenfalls allein durch eine Parteianhörung nach § 141 ZPO zu führen (im Anschluss an BGH Urt. v. 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 19).“

Dies wird in den Entscheidungsgründen unter anderem wie folgt begründet:

„…Ebenso wenig wird mit Anlegung dieses Maßstabs gegen den Effektivitätsgrundsatz verstoßen. Denn der vermeintlich geschädigten Partei stehen nicht nur die Strengbeweismittel der ZPO zur Beweisführung nach § 286 ZPO offen. Vielmehr kann eine Partei diesen Beweis auch durch ihre Angaben im Rahmen einer Parteianhörung nach § 141 ZPO außerhalb einer förmlichen Parteivernehmung führen (vgl. BGH Urt. v. 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 19). Damit wird gewährleistet, dass ein aufgrund des Verstoßes gegen die DSGVO konkret erlittener Schaden in vollem Umfang ausgeglichen werden kann (vgl. EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 53, 58, wobei ausdrücklich darauf hingewiesen wird, dass es keines im nationalen Recht nicht vorgesehenen Strafschadensersatzes bedarf).

Vor diesem Hintergrund gibt es auch keine unionsautonome Schadensvermutung noch erfordert der Grundsatz der Effektivität eine solche – im deutschen Recht nicht existente – Schadensvermutung (vgl. eine solche ausdrücklich verneinend GA Campos Sánchez-Bordona Schlussantr. v. 6.10.2022 – C-300/21, GRUR-RS 2022, 26562 Rn. 56 ff., was der EuGH in seiner nachfolgenden Entscheidung nicht beanstandet hat).

Damit hat der Tatrichter gemäß § 286 ZPO die vorgetragenen Beweisanzeichen / Indizien unter Würdigung aller maßgeblichen Umstände des Einzelfalls auf der Grundlage des Gesamtergebnisses der Verhandlung und einer etwaigen Beweisaufnahme zu prüfen. Entscheidend ist die Werthaltigkeit der Beweisanzeichen in der Gesamtschau, nicht die isolierte Würdigung der einzelnen Umstände (vgl. Senat Urt. v. 17.3.2020 – 7 U 86/19, BeckRS 2020, 31993 = juris Rn. 65 m. w. N.)…“