Das LG Passau hat in seinem Urteil vom 16.02.2024 (Az. 1 O 616/23) eine Entscheidung zugunsten von facebook getroffen. Es gab offenbar einen Datenschutzvorfall, jedoch wurden die Schadensersatzansprüche des Nutzers zurückgewiesen.
Was passiert ist
Der Sachverhalt ist relativ lang und kann hier nachgelesen werden.
Zusammenfassung des Sachverhalts
Die Klagepartei behauptete, infolge einer Sicherheitslücke seien ihre Daten (Telefonnummer, F.-ID, Name, Vorname, Geschlecht, Bundesland, Land, Stadt sowie Beziehungsstatus u.a.) öffentlich zugänglich gemacht worden.
Dies sei möglich gewesen, so die Klagepartei, weil die Datenschutzeinstellungen auf facebook unübersichtlich und intransparent seien und die Voreinstellungen nicht datenschutzfreundlich seien. Insbesondere sei voreingestellt, dass man den Nutzer anhand seiner Telefonnummer „finden“ könne. Zudem habe die Beklagte nicht die erforderlichen Vorsichtsmaßnahmen (z.B. Einsatz von „Captchas“, Blockierung einer Vielzahl von Anfragen über dieselbe IP-Adresse bzw. von systematischen Zahlenreihen) ergriffen, um das „Scraping“ der Daten zu verhindern.
Daten, die Aktivitäten außerhalb des sozialen Netzwerks betreffen („Off-F.-Daten“), würden durch facebook massenhaft gesammelt, gespeichert und ausgewertet und innerhalb des M.-Konzerns weitergegeben.
Was von der Klagepartei gefordert wurde
Gefordert wird unter anderem ein Schadensersatz in Höhe von mindestens 2.000 € für den Datenschutzverstoß bezüglich der Telefonnummer, mindestens weitere 1.500 € für die anlasslose Überwachung und Sammlung der Daten sowie weitere mindestens 1.500 € für die Weitergabe und Übermittlung der Daten in die USA, insbesondere an die dortige NSA.
Ebenfalls beantragt wurde ein Schadensersatz für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft nach Art. 15 DSGVO. Es folgen dann noch Unterlassungsanträge und vorgerichtliche Rechtsanwaltskosten.
Entscheidung des LG Passau
Kurz und knackig: Die teilweise unzulässige Klage ist vollumfänglich unbegründet.
Warum die Klage teilweise unzulässig ist
Die Klage umfasst Feststellungsanträge und Unterlassungsansprüche bezüglich möglicher Verstöße und Schäden durch Datenschutzverstöße. Jedoch sind diese Anträge unzureichend bestimmt und es besteht kein ausreichendes Feststellungsinteresse, da keine plausible Schadensdarlegung erfolgt. Zudem sind einige Unterlassungsanträge aufgrund mangelnder Bestimmtheit oder fehlendem Rechtsschutzinteresse unzulässig.
Warum die Klage vollumfänglich unbegründet ist
1. Es liegt eine transparente und informierte Einwilligung vor
Das Gericht stellt fest, dass in Hinblick auf die Datenverarbeitung durch facebook eine Einwilligung der Klagepartei eingeholt wurde. Soweit die Klagepartei vorträgt, dass die Datenschutzerklärungen von facebook intransparent und irreführend seien, so kann das Gericht dem nicht beipflichten. Die Klagepartei hätte erkennen können, dass andere Nutzer sie anhand ihrer Telefonnummer finden könnten. Die Klagepartei hat die Telefonnummer offenbar freiwillig in das Contact-Import-Tool eingestellt. Daher war die Verarbeitung hier rechtmäßig. Die Einwilligung in die Datenverarbeitung durch facebook erfolgte somit freiwillig und informiert. Die Bereitstellung umfangreicher Hinweise und Bedienungshilfen auf facebook ermöglicht es dem Nutzer, sich über sämtliche Datenschutzeinstellungen zu informieren.
2. Datenschutzhinweise von facebook verstoßen nicht gegen das Transparenzgebot
Aus den oben genannten Gründen sind die Datenschutzhinweise transparent. Insbesondere werden umfangreiche Hinweise und Bedienungshilfen bereitgestellt, mittels derer sich der Nutzer über sämtliche Einstellungsmöglichkeiten und deren Datenschutzrelevanz informieren kann. Hierbei stehen laut klägerischem Vortrag insbesondere im Rahmen der Seite „Privatsphäre auf einen Blick“ Informationen darüber bereit, wie andere Personen den Nutzer auf facebook finden können.
3. Kein Verstoß gegen das Gebot der datenschutzfreundlichen Voreinstellung
Das LG Passau erläutert zunächst das Gebot der datenschutzfreundlichen Voreinstellung. Dies muss nicht per se stets die datenschutzfreundlichste Voreinstellung sein. Nach Art. 25 Abs. 2 DSGVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
Maßstab für die Auswahl der Maßnahmen ist die Erforderlichkeit für den Verarbeitungszweck. Der Verarbeitungszweck kann dabei im Rahmen der Vorgaben des Art. 5 Abs. 1 Buchst. b DSGVO frei gewählt werden. Der Verantwortliche entscheidet also durch die Festlegung eines bestimmten Verarbeitungszweckes auch über den Umfang der dafür erforderlichen Daten.
Soweit die Suchbarkeitseinstellungen anhand der Telefonnummer als Voreinstellung im maßgeblichen Zeitpunkt (2018/2019) „Alle“ vorgesehen haben, war dies nicht zu beanstanden. Denn der Zweck eines „sozialen Netzwerks“ kann generell und insbesondere durch das „Contact-Import-Tools“ nur dadurch erreicht werden, dass Nutzer dieses Netzwerks von anderen auch gefunden werden können. Gemäß Art. 25 Abs. 2 S. 3 DSGVO muss gewährleistet sein, dass Daten nicht ohne Zustimmung zugänglich sind, was jedoch auf Telefonnummern nicht zutrifft, da der Suchende die Nummer bereits kennen muss. Die Klagepartei hätte einen Missbrauch durch Änderung der Einstellungen verhindern können.
Insgesamt, so das LG Passau, ist der Klagepartei kein kausaler Schaden entstanden. Hierzu hat sie den Beweis nicht erbracht.
4. Kein Verstoß gegen die Auskunftspflicht nach Art. 15 DSGVO
Die Klagepartei hat keinen weiteren Auskunftsanspruch gemäß Art. 15 DSGVO gegen die Beklagte, da sie bereits die Möglichkeit hatte, ihre gespeicherten Daten herunterzuladen und die Beklagte die relevanten Informationen bezüglich des „Scraping“-Vorfalls übermittelt hat.
5. Kein Verstoß bzgl. des Messenger Dienstes
Auch die Weitergabe in die USA sieht das LG Passau als unproblematisch. Es wurde nicht überzeugend dargelegt, dass facebook ihren Messenger-Dienst systematisch automatisiert überwacht. Die Beklagte hat dargelegt, dass sie die Inhalte entsprechend gesetzlicher Vorgaben behandelt und CSAM-Scanning zur Identifikation kinderpornografischer Inhalte durchführt. Die Datenschutzrichtlinie der Beklagten erfüllt die Anforderungen der DSGVO, und die Nutzung des Messenger-Dienstes bleibt den Nutzern überlassen.
6. Kein Verstoß bei Verarbeitung der Off-Daten (Cookies)
Das Gericht sieht in dem Cookie-Banner von facebook keinen Verstoß gegen die DSGVO. Hier wird in zulässiger Weise die Einwilligung eingeholt. Interessant ist, dass die Hervorhebung der Schaltfläche „Alle Cookies erlauben“ durch eine Blaufärbung kein Verstoß gegen das Gebot der datenschutzfreundlichen Voreinstellung darstellen soll. Denn, so das LG Passau:
Es handele sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt. Soweit die Beklagte Informationen von Cookies und ähnlichen Technologien von Dritten erhalte, verarbeitet sie sie nach eigenen Angaben ohne Zustimmung des Nutzers nur zu Sicherheits- und Integritätszwecken, was durch Art. 6 Abs. 1 Buchst. b ff. DSGVO bzw. Art. 9 Abs. 2 Buchst. b ff. DSGVO gedeckt sei.
7. Kein Verstoß durch Übermittlung der Daten in die USA
Kurz und knapp zusammengefasst: Die Datenübermittlung von facebook in die USA sei zur Aufrechterhaltung des weltweiten Netzwerks notwendig und könne nicht als rechtswidrig angesehen werden. Es gebe keine hinreichenden Beweise dafür, dass facebook Daten an US-Geheimdienste weitergebe, und facebook erfülle die Anforderungen der DSGVO für Datenübermittlungen in Drittländer. Sowohl der Angemessenheitsbeschluss der Kommission als auch die Standardvertragsklauseln bieten eine ausreichende rechtliche Grundlage für die Datenübermittlung. Abweichende Meinungen von Datenschutzbehörden sind für das Gericht nicht bindend, so das LG Passau.
Fazit
Es handelt sich hierbei um eine Entscheidung eines Landgerichts. Zum einen kann die Klagepartei Rechtsmittel einlegen. Zum anderen sind andere Gerichte an diese Entscheidung nicht gebunden. In einigen Punkten argumentiert das LG Passau gut und nachvollziehbar. In anderen Punkten wiederum ist es meiner Auffassung nach zu schnell zu einem Entschluss gekommen, ohne eine konkrete Abwägung zu treffen. Ich halte es daher für möglich, dass die Entscheidung angegriffen wird.
Ein persönliches Fazit möchte ich auch noch treffen: Achten Sie stets darauf, welche Einstellungen Sie bei facebook, Google und co. treffen. Aktualisieren Sie diese Einstellungen regelmäßig. Ich habe schon erlebt, dass Einstellungen sich im Laufe der Zeit „wie von Geisterhand“ zu Gunsten einer umfassenderen Verarbeitung der Daten ändern.
