Titel:
Dsgvo, Personenbezogene Daten, Vorgerichtliche Rechtsanwaltskosten, Datenschutzgrundverordnung, Elektronisches Dokument, Personalisierte Werbung, Klagepartei, Vorläufige Vollstreckbarkeit, Klageantrag, Immaterieller Schadensersatz, Elektronischer Rechtsverkehr, Schmerzensgeldansprüche, Rechtshängigkeit, Spürbare Beeinträchtigung, Datenweitergabe, Streitwert, Wert des Beschwerdegegenstandes, Kostenentscheidung, Löschungsanspruch, Anderweitige Erledigung
Schlagworte:
Schadensersatzanspruch, Immaterieller Schaden, Kausalzusammenhang, Datenverarbeitung, Personalisierte Werbung, Löschungsanspruch, Einwilligung
Fundstelle:
GRUR-RS 2025, 11875
Tenor
1. Die Klage wird abgewiesen.
2. Der Kläger hat die Kosten des Rechtsstreits zu tragen.
3. Das Urteil ist vorläufig vollstreckbar.
Der Streitwert wird auf 4.500,00 € festgesetzt.
Tatbestand
1
Die Klagepartei macht gegen die Beklagte Ansprüche auf Schadensersatz, Löschung und Einschränkung auf andere Verarbeitungszwecke als Werbezwecke, soweit die Daten zur Plattformnutzung notwendig sind, wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung (DSGVO) geltend.
2
Die Beklagte ist die Betreiberin der Webseite www.facebook.com und der Dienste auf dieser Seite für Nutzer in der Europäischen Union (nachfolgend: Facebook). Die Klagepartei nutzt die Dienste der Beklagten seit mehreren Jahren und hat ist auf Facebook registrierter Nutzer unter der E-Mail-Adresse ….
3
Den Nutzern dient das Online-Netzwerk dazu, sich untereinander zu vernetzen, Kontakt zu Freunden zu halten und herzustellen sowie neue Menschen, Gruppen, Unternehmen, Organisationen usw. kennenzulernen. Die Nutzer erhalten zudem eine Plattform, über die sie sich austauschen und ihre Erlebnisse sowie Meinungen kundtun können.
4
Hierbei finanziert sich die Beklagte unter anderem mit Werbeeinnahmen, welche aus der Schaltung personalisierter Werbeanzeigen, die auf das Nutzungsverhalten der Netzer abgestimmt sind, generiert werden.
5
Im Rahmen einer Registrierung bei Facebook gibt der angehende Nutzer Vornamen und Nachnamen, Geburtsdatum und Geschlecht an. Zusätzlich wird er aufgefordert, Handynummer oder E-Mail-Adresse anzugeben.
6
Auf der Registrierungsseite findet sich außerdem folgender Passus: „Indem du auf „Registrieren“ klickst, stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen“.
7
Sowohl die Nutzungsbedingungen als auch die Datenrichtlinie waren auf der Registrierungsmaske verlinkt und einsehbar, bevor der Registrierungsvorgang abgeschlossen wurde (vgl. zur Registrierungsmaske S. 16 der Klageerwiderung = Bl. 48 d.A., Anlage B 6). Im Hilfebereich bzw. in der Datenrichtlinie werden die Nutzer von Facebook darüber informiert, dass sie Steuerelemente nutzen können, um ihre Konten sicherer zu machen, ihre Werbepräferenzen einzustellen, ihre Facebook-Daten anzuzeigen oder herunterzuladen oder ihr Konto jederzeit zu löschen (vgl. S. 18/19 der Klageerwiderung = Bl. 50/51 d.A., Anlage B 9). Der Kläger stimmte diesen Nutzungsbedingungen zu. Die Beklagte teilte ihren Nutzern im Zuge des Inkrafttretens der DSGVO zunächst mit, die Verarbeitung personenbezogener Daten zur Schaltung personalisierter Werbung erfolge auf Grundlage des Art. 6 Abs. 1b) DSGVO, da sie zur Vertragserfüllung erforderlich sei (Anlage B 13). Seit dem 05.04.2023 wies die Beklagte ihre Nutzer darauf hin, die Datenverarbeitung erfolge auf Grundlage des Art. 6 Abs. 1f) DSGVO und bot den Nutzern eine Möglichkeit zur Erklärung eines Widerspruchs gegen die Datenverarbeitung (Anlage B 14, 15).
8
Die Beklagte begann ab dem 03.11.2023 mit der Einführung des Einwilligungsmodells in Europa. Die Nutzer wurden über produktinterne Hinweise aufgefordert, entweder (i) in die Verwendung ihrer Daten für Werbeanzeigen auf Facebook/Instagram durch die Beklagte einzuwilligen oder (ii) die werbefreie Facebook/Instagram Version zu abonnieren. Im zweiten Fall verwendet die Beklagte die Nutzerdaten nicht für Werbung. Zuletzt steht es Nutzern frei, sich für keine der beiden Optionen zu entscheiden und stattdessen Facebook zu verlassen. Die Datenschutzrichtlinie wurde entsprechend aktualisiert und eine Zustimmungsmaske generiert (Anlage B 18).
9
Die Klagepartei hat diese Einwilligung dahingehend, dass die Beklagte weiterhin Informationen der Klagepartei zu Werbezwecken verwenden darf, erteilt.
10
Mit Schreiben vom 18.01.2024 (Anlage KGR 4) forderte die Klagepartei außergerichtlich Schadensersatz und Löschung bzw. Einschränkung der personenbezogenen Daten der klagenden Partei und zur Freistellung außergerichtlicher Rechtsanwaltskosten. Die Beklagte reagierte darauf nicht.
11
Die Klagepartei meint, die Beklagte habe durch die Nutzung der klägerischen personenbezogenen Daten gegen die Vorgaben der DSGVO verstoßen. So habe die Beklagte die klägerischen personenbezogenen Daten ohne Rechtfertigungsgrund zur Schaltung personalisierter Werbung genutzt. Insbesondere sei die Personalisierung von Werbung nicht zur Vertragserfüllung erforderlich oder zur Wahrung von berechtigten Interessen der Beklagten oder Dritter geboten.
12
Auch habe die Klagepartei vor dem 06.11.2023 nicht in die entsprechende Datenverarbeitung eingewilligt. Die Beklagte habe die klagende Partei zu keinem Zeitpunkt ihrer Vertragsbeziehungen offen gefragt, ob sie in die Zuspielung personalisierter Werbung einwillige. Eine Auswahlmöglichkeit zwischen Ja und Nein sah die Programmierung der Nutzungsoberfläche der Dienste der Beklagten zu keinem Zeitpunkt vor. Vielmehr habe die Beklagte das asymmetrische Rechtsverhältnis bewusst dahingehend aus, dass sie in ihren Nutzungsbedingungen, die nicht im Interesse der klagenden Partei stehende personalisierte Werbung zu einer Dienstleistung für diese erklärte, um die Vorschriften der DSGVO zu umgehen.
13
Vor diesem Hintergrund stehe der Klagepartei ein Schadensersatzanspruch in Höhe von 1.000,00 € zu. Dieser ergebe sich aus den aufgrund der rechtswidrigen Datenverarbeitung erlittenen Nachteilen. Insoweit sei dem Kläger erst später aufgefallen, wie unangenehm es sei, wenn man sich etwas anschaut und dann auf der nächsten Seite personalisierte Werbung zu dem gleichen Thema zu bekommt. Weiter sei es für den Kläger erschreckend, was alles getrackt wird und was an Inhalten dann wieder kommt.
14
Die Klagepartei habe wegen Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO und aufgrund der fehlenden Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO einen Anspruch aus Art. 82 DSGVO gegen die Beklagte.
15
Die Klagepartei beantragt:
1. Die Beklagte wird verurteilt, an die klagende Partei einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.000,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen.
2. Die Beklagte wird verurteilt, die im Zeitraum zwischen dem 25.05.2018 und dem 2.11.2023 zum Nutzungsverhalten der klagenden Partei erfassten personenbezogenen Daten
a. zu löschen, soweit die Daten ausschließlich zu Werbezwecken verarbeitet werden,
b. auf andere Verarbeitungszwecke als Werbezwecke einzuschränken, soweit die Daten zur Plattformnutzung notwendig sind.
16
Ferner wird beantragt, die Beklagte wird verurteilt, die Klägerseite von vorgerichtlichen Rechtsanwaltskosten in Höhe von 540,50 € zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz gegenüber den Prozessbevollmächtigten der Klägerseite freizustellen,
Die Beklagte beantragt Klageabweisung.
17
Die Beklagte ist der Ansicht, dem Klageantrag zu Ziffer 2) fehle es an der gemäß § 253 Abs. 2 Nr. 2 ZPO erforderlichen Bestimmtheit. Es handle sich um einen Alternativantrag, der gemäß § 253 Abs. 2 Nr. 2 ZPO mangels fehlender Bestimmtheit unzulässig zu. Ein Schadensersatzanspruch bestehe nicht, da schon keine Verstöße gegen die DSGVO erfolgt seien. Es sei kein tatsächlicher ersatzfähiger Schaden dargelegt worden. Der Löschungsanspruch sei unbegründet, zumal der Kläger in die streitgegenständliche Verarbeitung eingewilligt habe.
18
Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird vollumfänglich auf die Akte, insbesondere auf die gewechselten Schriftsätze nebst Anlagen und – hinsichtlich der durchgeführten Anhörung des Klägers – auf das Protokoll der mündlichen Verhandlung vom 07.11.2024 (Bl. 165 f. d.A.) Bezug genommen.
Entscheidungsgründe
19
Die Klage hat keinen Erfolg.
20
Die zulässige Klage ist unbegründet.
I. Klageantrag zu 1) – Schadensersatz
21
Der Klagepartei steht gegen die Beklagte kein Anspruch auf immateriellen Schadensersatz in Höhe von mindestens 1.050,- € aus Art. 82 Abs. 1 DSGVO sowie aus §§ 823 Abs. 2 i.V.m. Art. 2 GG, § 1004 BGB, Art. 13 f. DSGVO zu.
22
Insoweit liegt ein auf einem solchen Verstoß beruhender Eintritt eines (immateriellen) Schadens nicht vor.
23
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat gemäß Art. 82 Abs. 1 DSGVO Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
24
1. Der Streit darüber, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf (für ein Ausreichen des Eingriffs in das allgemeine Persönlichkeitsrecht: z.B. OLG München, Urteil vom 4.2.2019 – 15 U 3688/18 –, juris, Rn. 19 ff., Ehmann/Selmayr/Nemitz, Datenschutz-Grundverordnung, 2. Aufl., Art. 82 DS-GVO Rn. 11-13; für das Erfordernis eines nachgewiesenen Schadens z.B. LAG Baden-Würt...-2021, 17 Sa 37/20, zit. nach juris, Rn. 96, LG Karlsruhe, Urt. v. … zit. nach juris, Rn. 19, Ernst, juris PR-ITR 1/2021 Anm. 6 in einer Anmerd angefochtenen Urteil des Landgerichts Darmstadt v. 26.05.2020, 13 O 244/19, m.w.N.) ist nunmehr durch den EuGH in seinem Urteil vom 04.05.2023 (Az. C-300/21, juris) entschieden.
25
Demnach ist Art. 82 Abs. 1 DSGVO so auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Zum einen gehe aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstelle, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ seien. Daher könne nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffne. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider. Zum anderen sei hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DS-GVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen. Diese Auslegung werde auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Einerseits beziehe sich der 146. Erwägungsgrund der DSGVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Andererseits heiße es in den Erwägungsgründen 75 und 85 der DSGVO, dass „die Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“.
26
Daraus ergebe sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell sei, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führe, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen müsse, um einen Schadenersatzanspruch zu begründen.
27
Der bloße Verstoß gegen Art. 82 Abs. 1 DSGVO reicht nach alledem nicht aus, um einen immateriellen Schadensersatzanspruch zu begründen. Vielmehr ist ein konkret eingetretener Schaden darzulegen und zu beweisen.
28
An diesem Rechtsbefund ändert auch das weitere Urteil des EuGH vom 14.12.2023 (C-340/21 – juris) nichts (so etwa auch OLG Hamm, Urt. v. 21.12.2023, 7 U 137/23 – juris). Hierin hat der EUGH zwar ausgeführt, dass Art. 82 Abs. 1 der Verordnung 2016/679 dahin auszulegen sei, dass der Umstand, dass eine betroffene Person infolge des Verstoßes gegen diese Verordnung befürchte, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Verordnung darstellen kann. Jedoch müsse eine Person, die von einem solchen Verstoß betroffen sei, nachweisen, dass diese Folgen einen immateriellen Schaden i.S.v. Art. 82 DSGVO darstellten. Das angerufene nationale Gericht müsse, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordere, auf die Befürchtung berufe, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne.
29
Weiter sei der Ersatz eines immateriellen Schadens sei zwar nicht von einer Erheblichkeitsschwelle abhängig zu machen, vgl. EuGH Urteil vom 04.05.2023 (Az. C-300/21 a.a.O.). Jedoch sei Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegenstehe, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig mache, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht habe. Allerdings bedeute diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.
30
In den Erwägungsgründen Nr. 75 und 85 werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl und Rufschädigung, aber auch finanzielle Verluste, der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Zudem nennt Erwägungsgrund 75 auch die bloße Verarbeitung einer großen Menge personenbezogener Daten einer großen Anzahl von Personen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund Nr. 146 S. 6), das heißt „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein, um bloße Unannehmlichkeiten auszuschließen (vgl. LG Essen a.a.O.).
31
2. Dieser Rechtsprechung folgt das Gericht vollumfänglich. Nach den dargestellten Grundsätzen hat der Kläger schon keine spürbare Beeinträchtigung von persönlichen Belangen, welche durch die ihm von der Beklagten zugeleitete personalisierte Werbung hervorgerufen wurde, dargelegt.
32
Die klägerseits vorgetragenen Beeinträchtigungen sind nicht zur Begründung eines Schmerzensgeldanspruchs geeignet.
33
Soweit die Klagepartei darlegt, sie befürchte eine Weitergabe der über sie durch die Beklagte erhobenen Daten an werbetreibende Dritte, folgt hieraus kein Schmerzensgeldanspruch. Dies gilt bereits deshalb, weil das von der Klagepartei befürchtete Verhalten der Beklagten nicht vorgenommen wird. So ist zwischen den Parteien unstreitig, die Beklagte gebe keine individualisierbaren Nutzerdaten an Werbetreibende weiter. Die bloße – tatsächlich unbegründete – Vorstellung einer Datenweitergabe vermag mangels Anknüpfung an ein etwaig der Beklagten vorwerfbares Verhalten keinen Schadensersatz zu begründen.
34
Der weitere Vortrag des Klägers, es sei ihm erst später aufgefallen, wie unangenehm es sei, wenn man sich etwas anschaut und dann auf der nächsten Seite personalisierte Werbung zu dem gleichen Thema bekommt sowie der Vortrag, es sei für ihn erschreckend, was alles getrackt wird und was an Inhalten dann wieder kommt, ist nicht geeignet eine spürbare Beeinträchtigung des Klägers zu belegen. Aus derartig allgemeinen Ausführungen lässt sich nichts schmerzensgeldrelevantes ableiten.
35
3. Ferner kann im Ergebnis dahinstehen, ob neben Art. 82 Abs. 1 DSGVO auch nationales Recht anwendbar ist, oder das nationale Recht von den europarechtlichen Vorschriften der DS-GVO verdrängt wird (vgl. hierzu etwa Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 67). Denn auch bei der Annahme eines Nebeneinanders hat die Klagepartei mangels restitutionsfähigen Schadens keinen Schadensersatzanspruch gegen die Beklagte, weder aus §§ 280 Abs. 1, 253 Abs. 2 BGB noch aus einer anderen nationalen Schadensersatznorm (vgl. LG Aachen Urt. v. 10.2.2023 – 8 O 177/22, GRUR-RS 2023, 2621 Rn. 87). Auf die obigen Ausführungen wird Bezug genommen.
II. Klageantrag zu 2) – Löschungs- und Nutzungseinschränkungsanspruch
36
Soweit der Kläger gegenüber der Beklagten eine Löschung jener Daten begehrt, die ausschließlich zu Werbezwecken verarbeitet werden, steht dem entgegen, dass die Beklagte nach unwidersprochen gebliebenem Vortrag die personenbezogenen Daten, die sie für die Schaltung personalisierter Werbung verwendet hat, für andere zulässige Zwecke verarbeiten kann und dies auch tut. Daten, welche allein zu Werbezwecken verarbeitet werden, verbleiben bei der Beklagten mithin nicht.
37
Der begehrten Beschränkung der Verwendung personenbezogener Daten auf andere Verarbeitungszwecke als Werbezwecke steht die Einwilligung des Klägers in die weitere Nutzung entgegen, denn der Kläger hat damit auch darin eingewilligt, dass die Informationen aus seinem Konto weiterhin genutzt werden dürfen.
38
III. Klageantrag zu 3) – Rechtsanwaltskosten
39
Mangels Hauptanspruchs besteht auch kein Anspruch auf Freistellung von vorgerichtlichen Rechtsanwaltskosten.
40
Die Kostenentscheidung beruht auf § 91 ZPO.
41
Der Ausspruch über die vorläufige Vollstreckbarkeit richtet sich nach § 708 Nr. 11 ZPO.