Leitentscheidungsverfahren zu Ansprüchen aufgrund eines Scraping-Vorfalls bei Facebook (Beschluss des BGH 6. Zivilsenat)

BGH 6. Zivilsenat, Beschluss vom 31.10.2024, AZ VI ZR 10/24, ECLI:DE:BGH:2024:311024BVIZR10.24.0

§ 552b ZPO, Art 82 Abs 1 EUV 2016/679

Leitsatz

Zur Bestimmung eines Leitentscheidungsverfahrens gemäß § 552b ZPO in der Fassung des Gesetzes zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328).

Verfahrensgang

vorgehend OLG Köln, 7. Dezember 2023, Az: I-15 U 67/23, Urteil
vorgehend LG Bonn, 29. März 2023, Az: 13 O 125/22

Tenor

Das Verfahren VI ZR 10/24 wird zum Leitentscheidungsverfahren bestimmt.

Gründe

I.

1

Der Kläger macht Schadensersatz-, Feststellungs-, Unterlassungs- und Auskunftsansprüche wegen einer Verletzung der Datenschutz-Grundverordnung (DSGVO) durch die Beklagte geltend.

2

Die Beklagte, die ihren Sitz in Irland hat, betreibt das soziale Netzwerk Facebook, bei welchem der Kläger ein Nutzerkonto unterhält. Der Kläger hatte auf dem Netzwerk persönliche Daten eingestellt. Hierzu gehörte die für die Registrierung erforderliche und für alle Nutzer stets öffentlich einsehbare Angabe seines Namens, Geschlechts sowie der ihm zugewiesenen Nutzer-ID.

3

Neben den immer einsehbaren Pflichtangaben können die Nutzer in ihrem Profil weitere Daten zu ihrer Person angeben und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern („Freunde“, [auch] „Freunde von Freunden“, „öffentlich“) auf diese Daten zugreifen können. Die Beklagte stellt hierfür Privatsphäre-Einstellungen zur Verfügung, mit denen die Nutzer bestimmen können, inwieweit sie Informationen, die sie zur Verfügung stellen, öffentlich einsehbar machen möchten. Über Funktion und Bedeutung der Privatsphäre-Einstellungen informierte die Beklagte ihre Nutzer im sog. Hilfebereich des Nutzerkontos. Der Kläger hatte in diesem Zusammenhang seine Arbeitsstätte öffentlich einsehbar angegeben, die Datenschutzeinstellung betreffend die Sichtbarkeit seiner Mobiltelefonnummer jedoch so gesetzt, dass diese nur für ihn sichtbar war. Bei den Suchbarkeitseinstellungen seines Profils, bei denen unter anderem festgelegt werden konnte, wer ihn anhand seiner Telefonnummer finden kann, hatte der Kläger es bei der Standardvoreinstellung „alle“ belassen; diesen Kreis hätte er stattdessen auch auf „Freunde von Freunden“ oder „Freunde“ (ab Mai 2019 außerdem: „nur ich“) begrenzen können.

4

War die Suchbarkeits-Einstellung eines Nutzers – wie beim Kläger – im Hinblick auf die Telefonnummer auf „alle“ gestellt, erlaubte es die von der Beklagten implementierte sog. Kontakt-Import-Funktion bis September 2019 jedem Facebook-Nutzer, das Profil eines anderen Nutzers mit Hilfe der von diesem hinterlegten Telefonnummer zu finden. Hierzu konnten Nutzer Kontakte von Mobilgeräten auf Facebook hochladen, um mit Hilfe der Telefonnummern die jeweiligen Nutzer zu finden. Dies war auch dann möglich, wenn die Zielgruppenauswahl des jeweiligen Nutzers im Hinblick auf die Telefonnummer nicht auf „öffentlich“, sondern etwa – wie hier – auf „nur ich“ gestellt war.

5

Im Zeitraum von Januar 2018 bis September 2019 ordneten unbekannte Dritte durch die Eingabe randomisierter Nummernfolgen über die Kontakt-Import-Funktion des Netzwerks Telefonnummern zu Nutzerkonten zu und griffen die zu diesen Nutzern vorhandenen Daten ab (sog. Scraping). Die auf diese Weise erlangten und nunmehr mit einer Telefonnummer verknüpften Daten von ca. 533 Millionen Nutzern wurden im April 2021 im Internet öffentlich verbreitet. Hiervon waren auch persönliche Daten des Klägers (Telefonnummer in Verknüpfung mit den Daten seines Nutzerkontos, d.h. Nutzer-ID, Vorname, Nachname, Geschlecht und Arbeitsstätte) betroffen. Nach dem Vortrag des Klägers informierte die Beklagte weder die zuständige Datenschutzbehörde noch ihn selbst über den Vorfall.

6

Der Kläger begehrt die Leistung von immateriellen Schadensersatz, weil die Beklagte in mehrfacher Hinsicht gegen die Datenschutz-Grundverordnung verstoßen und seine Daten nicht ausreichend geschützt habe. Er habe einen spürbaren Kontrollverlust über seine Daten erlitten, der zu einem massiven Anstieg von betrügerischen Kontaktversuchen geführt habe. Darüber hinaus begehrt er die Feststellung, dass die Beklagte verpflichtet ist, ihm in diesem Zusammenhang alle künftigen Schäden zu ersetzen, und macht weitere Unterlassungs- und Auskunftsansprüche geltend. Mit Schreiben vom 23. August 2021 teilte die Beklagte dem Kläger mit, welche Daten sie über ihn gespeichert hat.

7

Das Landgericht hat der Klage teilweise stattgegeben und dem Kläger aus Art. 82 Abs. 1 DSGVO Schadensersatz in Höhe von 250 € sowie einen Teil der begehrten Rechtsverfolgungskosten zugesprochen. Im Übrigen hat es die Klage abgewiesen. Auf die vom Landgericht zugelassene Berufung der Beklagten hat das Oberlandesgericht die Entscheidung des Landgerichts unter Zurückweisung der Anschlussberufung des Klägers abgeändert und die Klage insgesamt abgewiesen. Mit seiner vom Oberlandesgericht zugelassenen Revision verfolgt der Kläger seine Ansprüche weiter.

II.

8

Die Revision wirft Rechtsfragen auf, die für eine Vielzahl anderer Verfahren von Bedeutung sind. Der Senat bestimmt das vorliegende Verfahren daher zum Leitentscheidungsverfahren im Sinne des § 552b ZPO in der Fassung des Gesetzes zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328; im Folgenden: § 552b ZPO nF).

9

1. Die formalen Voraussetzungen zur Bestimmung des vorliegenden Verfahrens zum Leitentscheidungsverfahren liegen vor. Das Gesetz zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 ist nach seinem Art. 7 am Tag nach der Verkündung, mithin am 31. Oktober 2024 in Kraft getreten. Die Revisionsbegründung des Klägers wurde der Beklagten am 8. April 2024 zugestellt, die Revisionserwiderung der Beklagten ist am 15. Oktober 2024 eingegangen (§ 552b Satz 1 ZPO nF). Eine Anhörung der Parteien im Rahmen der Bestimmung des Verfahrens zum Leitentscheidungsverfahren ist nicht erforderlich (arg e contr. § 148 Abs. 4 ZPO nF; vgl. ferner Allgayer, Stellungnahme als Sachverständiger zum [Regierungs-]Entwurf eines Gesetzes zur Einführung eines Leitentscheidungsverfahrens bei Bundesgerichtshof, BT-Rechtsausschuss vom 13. Dezember 2023, S. 4); etwas anderes würde auch die Zielsetzung des Gesetzes unterlaufen, eine zügige höchstrichterliche Klärung trotz der Rücknahme von Revisionen aus prozesstaktischen Gründen oder aufgrund eines Vergleiches zu ermöglichen (vgl. BT-Drs. 20/8762 S. 10).

10

2. Das Verfahren wirft die folgenden Rechtsfragen auf:

11

a) Liegt in der Implementierung der sog. Kontakt-Import-Funktion in Verbindung mit der Standardvoreinstellung „alle“ ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO?

12

b) Ist der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des Betroffenen verknüpften Daten geeignet, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen? Falls ja, wie wäre der Ersatz für einen solchen Schaden zu bemessen?

13

c) Welche Anforderungen sind an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen?

14

d) Reicht die bloße Möglichkeit des Eintritts künftiger Schäden in einem Fall wie dem vorliegenden aus, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen?

15

e) Genügen die vom Kläger gestellten Anträge, dass die Beklagte es unterlasse,

16

– personenbezogene Daten der Klägerseite unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, und

17

– die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf ‚privat‘ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird,

18

dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO?

19

3. Die Entscheidung dieser Rechtsfragen ist für eine Vielzahl anderer Verfahren von Bedeutung (§ 552b Satz 1 ZPO n.F.). Beim erkennenden Senat sind derzeit 25 weitere Revisionsverfahren zu dem Scraping-Vorfall bei der Beklagten anhängig. In den Tatsacheninstanzen sind bei unterschiedlichen Gerichten noch insgesamt mehrere tausend Verfahren anhängig (vgl. OLG Stuttgart, GRUR-RS 2023, 32883 Rn. 136: über 100 eigene und bundesweit mehr als 6.000 Parallelverfahren; OLG Hamm, GRUR-RS 2024, 16856 Rn. 23: Vielzahl eigener Parallelverfahren; OLG Köln, GRUR-RS 2023, 37347 Rn. 29: Vielzahl gleichgelagerter eigener Verfahren).

Seiters                   Oehler                   Müller

                Klein                    Böhm

Kategorien: Allgemein