Die Irische Datenschutzbehörde (IDPC) hat ein Bußgeld in Höhe von 530 Millionen EURO gegen TikTok / Bytedance wegen Übermittlung personenbezogener Daten der Nutzer nach China verhängt.
Die Pressemitteilung der IDPC: Irish Data Protection Commission fines TikTok €530 million and orders corrective measures following Inquiry into transfers of EEA User Data to China
The Irish Data Protection Commission has today announced its final decision following an Inquiry into TikTok Technology Limited (“TikTok”). This Inquiry was launched by the DPC, in its role as the Lead Supervisory Authority for TikTok, to examine the lawfulness of TikTok’s transfers of personal data [1] of users of the TikTok platform in the EEA to the People’s Republic of China (“China”). In addition, the Inquiry examined whether the provision of information to users in relation to such transfers met TikTok’s transparency requirements as required by the GDPR.
The decision, which was made by the Commissioners for Data Protection, Dr Des Hogan and Mr Dale Sunderland, and has been notified to TikTok, finds that TikTok infringed the GDPR regarding its transfers of EEA User Data to China [2] and its transparency requirements [3]. The decision includes administrative fines totalling €530 million and an order requiring TikTok to bring its processing into compliance within 6 months. The decision also includes an order suspending TikTok’s transfers to China if processing is not brought into compliance within this timeframe.
DPC Deputy Commissioner Graham Doyle commented:
“The GDPR requires that the high level of protection provided within the European Union continues where personal data is transferred to other countries.
TikTok’s personal data transfers to China infringed the GDPR because TikTok failed to verify, guarantee and demonstrate that the personal data of EEA users, remotely accessed by staff in China, was afforded a level of protection essentially equivalent to that guaranteed within the EU.
As a result of TikTok’s failure to undertake the necessary assessments, TikTok did not address potential access by Chinese authorities to EEA personal data under Chinese anti-terrorism, counter-espionage and other laws identified by TikTok as materially diverging from EU standards.”
The DPC submitted a draft decision to the GDPR cooperation mechanism on 21 February 2025, as required under Article 60 of the GDPR. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
Erroneous information submitted to Inquiry
Throughout the Inquiry, TikTok informed the DPC that it did not store EEA User Data on servers located in China. However, in April 2025, TikTok informed the DPC of an issue that it had discovered in February 2025 where limited EEA User Data had in fact been stored on servers in China, contrary to TikTok’s evidence to the Inquiry. TikTok informed the DPC that this discovery meant that TikTok had provided inaccurate information to the Inquiry.
Deputy Commissioner Doyle added that
“The DPC is taking these recent developments regarding the storage of EEA User Data on servers in China very seriously. Whilst TikTok has informed the DPC that the data has now been deleted, we are considering what further regulatory action may be warranted, in consultation with our peer EU Data Protection Authorities.”
The DPC will publish the full decision and further related information in due course.
[1] The Law on Data Transfers outside the EU
The GDPR provides a high level of protection of personal data throughout the EEA and provides data protection rights to individuals. When personal data is transferred outside of the EEA this can impede the ability of individuals to exercise rights and can circumvent that high level of protection. Therefore, it is crucial that the level of protection ensured by the GDPR should not be undermined in the case of such transfers. Accordingly, transfers of personal data can take place only if the conditions laid down in Chapter V of the GDPR are complied with. This ensures that the high level of protection provided within the European Union continues where personal data is transferred to a third country.
Article 45(1) GDPR provides that a transfer of personal data to a third country may be authorised by a decision of the European Commission to the effect that the third country, a territory or one or more specified sectors within that third country, ensures an adequate level of protection (“Adequacy Decision”).
To-date, the European Commission has made Adequacy Decisions in respect of Andorra, Argentina, Canada, Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Republic of Korea, Switzerland, the United Kingdom, USA and Uruguay.
Under the GDPR where an organisation (“Data Controller”) intends to transfer personal data outside the EU/ EEA to a third country and where no Adequacy Decision exists between the EU and that third country, such transfers can only occur if other applicable provisions of the GDPR (Chapter V) are met such as Standard Contractual Clauses. These provisions place the responsibility on the organisation to verify, guarantee and demonstrate that the law and practices of that country guarantees a level of protection essentially equivalent to that guaranteed within EU.
[2] The DPC’s Findings regarding the lawfulness of the Transfers
In this Inquiry TikTok Ireland was required to assess if Chinese law guaranteed an essentially equivalent level of protection to EU law. The Decision finds that TikTok’s transfers to China infringed Article 46(1) GDPR because it failed to verify, guarantee and demonstrate that the supplementary measures and the Standard Contractual Clauses (“SCCs”) were effective to ensure that the personal data of EEA users transferred via remote access were afforded a level of protection essentially equivalent to that guaranteed within the EU. While TikTok maintains that transfers via remote access are not subject to the laws and practices in question, TikTok’s own assessment of Chinese law provided to the DPC during the Inquiry set out how aspects of the Chinese legal framework preclude a finding of essential equivalence to EU law. The DPC had regard to this assessment and to the Chinese laws identified by TikTok which materially diverge from EU standards such as the Anti-Terrorism Law, the Counter-Espionage Law, the Cybersecurity Law and the National Intelligence Law. In particular, the DPC found that TikTok’s failure to adequately assess the level of protection provided by Chinese law and practices to the personal data of EEA users the subject of transfers, which said personal data is processed in China, not only directly impacted TikTok’s ability to select appropriate safeguards and supplementary measures, but also prevented TikTok from verifying and guaranteeing an essentially equivalent level of protection.
In exercising corrective powers, the DPC also considered ongoing changes brought about by TikTok under “Project Clover”. Notwithstanding these changes, the DPC found that it is appropriate, necessary and proportionate to order the suspension of the Data Transfers and to order TikTok to bring its processing operations into compliance with Chapter V of the GDPR following a period of 6 months from the period allowed for an appeal against the DPC’s final Decision. The DPC considers 6 months to being a reasonable period to provide TikTok to put an end to the transfers in the circumstances.
[3] The DPC’s Findings regarding Transparency
Article 13(1)(f) GDPR requires data controllers to provide data subjects with information on that controller’s transfers of personal data to a third country. The DPC considered TikTok’s October 2021 EEA Privacy Policy and found that this policy was inadequate in two key respects for the purposes of Article 13(1)(f) GDPR.
First, TikTok’s 2021 Privacy Policy did not name the third countries, including China, to which personal data was transferred. Second, the 2021 Privacy Policy did not explain the nature of the processing operations that constitute the transfer. Specifically, the 2021 Privacy Policy failed to specify that the processing included remote access to personal data stored in Singapore and the United States by personnel based in China.
TikTok updated its Privacy Policy during the course of the Inquiry and provided its December 2022 EEA Privacy Policy to the DPC. That Privacy Policy did identify the third countries to which EEA user data was transferred. That Privacy Policy also informed EEA Users that personal data was stored on servers in the United States and Singapore, and was the subject of remote access by entities in TikTok’s corporate group located in Brazil, China, Malaysia, Philippines, Singapore, and the United States.
The DPC assessed TikTok’s December 2022 EEA Privacy Policy as compliant with the requirements of Article 13(1)(f) GDPR in terms of the Data Transfers subject to the material scope of the Decision. Therefore, the duration of the infringement of Article 13(1)(f) GDPR in the Decision relates to the period from 29 July 2020 to 1 December 2022.
The DPC imposes administrative fines totalling €530 million in this Decision, consisting of a fine of €45 million for its infringement of Article 13(1)(f) GDPR, and a fine of €485 million for its infringement of Article 46(1) GDPR.
LG Berlin II
Urteile vom 04.04.2025 39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24
Das LG Berlin II hat in mehreren Fällen Facebook / Meta zur Auskunftserteilung, Löschung und Zahlung von Schadensersatz an die jeweiligen Betroffenen wegen datenschutzwidriger Erhebung und Verarbeitung personenbezogener Daten über die Meta Buisness Tools verurteilt.
Die Pressemitteilung des Gerichts: Landgericht Berlin II verpflichtet Meta in sechs Fällen unter anderem zur Auskunft, Löschung von Daten und Schadensersatz
Das Landgericht Berlin II hat in sechs Urteilen vom 4. April 2025 den Klagen mehrerer Personen gegen Meta unter anderem auf Auskunft über und Anonymisierung bzw. Löschung ihrer über die Meta Business Tools erhobenen personenbezogenen Daten stattgegeben und ihnen zudem eine Schadensersatzzahlung in Höhe von jeweils 2.000 € zugesprochen.
Die Kläger*innen machen jeweils geltend, dass die Beklagte alle digitalen Bewegungen auf Webseiten und mobilen Apps sämtlicher Nutzer*innen von Facebook und Instagram auslese und aufzeichne, wenn die Dritt-Webseiten und Apps die Meta Business Tools installiert haben. Die Meta Business Tools erlauben die so gesammelten Daten mit einem einmal angelegten Nutzerkonto zu verbinden und so ein Profil über Personen anzulegen, das etwa ihre politische und religiöse Einstellung, ihre sexuelle Orientierung oder etwa Erkrankungen erfassen kann. So könnten z. B. Informationen über Bestellungen bei Apotheken, Angaben zu problematischem Suchtverhalten oder bei dem Wahl-O-Mat ausgelesen werden. Es sei unklar, mit wem die Beklagte die so erstellten Profile teile.
Der Einsatz der Meta Business Tools auf Webseiten und Apps ist dabei nur eingeschränkt erkennbar. Schätzungen gehen davon aus, dass diese bei mindestens 30 bis 40 Prozent der Webseiten weltweit und auf der überwiegenden Mehrzahl der meistbesuchten 100 Webseiten in Deutschland zum Einsatz kommen. Dies erfolge nicht nur ohne, sondern auch gegen den ausdrücklichen Willen der Nutzer*innen.
Die Beklagte wendet dagegen ein, die Drittunternehmen seien für die Installation und Nutzung der Business Tools und somit für die Offenlegung der Daten verantwortlich. Sie selbst nehme eine Datenverarbeitung jedenfalls zur Bereitstellung personalisierter Werbung nur vor, wenn die Nutzer*innen ausdrücklich hierin einwilligen. Anderenfalls würden übermittelte Daten nur für begrenzte Zwecke, wie Sicherheits- und Integritätszwecke, genutzt.
In der mündlichen Verhandlung wies das Gericht darauf hin, dass den Kläger*innen der Auskunftsanspruch aus Art. 15 Abs. 1 Datenschutzgrundverordnung (DSGVO) zustehe, da die Beklagte die über die Meta Business Tools erhaltenen personenbezogenen Daten der Kläger*innen zur Erstellung von Persönlichkeitsprofilen verarbeitet und gespeichert habe. Der Löschungs- bzw. Anonymisierungsanspruch bestehe nach Art. 17 Abs. 1 DSGVO, da für die Datenverarbeitung keine Rechtsgrundlage bestehe. Hierfür lägen keine Einwilligungen der Kläger*innen vor. Wegen der Verstöße gegen die DSGVO stünden den Kläger*innen zudem Ansprüche auf Schadensersatz nach Art. 82 DSGVO zu. Für die weiteren Einzelheiten müssen die schriftlichen Urteilsgründe abgewartet werden.
Die Urteile sind noch nicht rechtskräftig. Es kann dagegen Berufung beim Kammergericht innerhalb eines Monats nach Zustellung der schriftlichen Urteilsgründe eingelegt werden.
Landgericht Berlin II: Urteile vom 4. April 2025, Aktenzeichen 39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24
Das LG Stuttgart hat entschieden, dass die Speicherung von Meta Business Tools Off-Site-Daten durch Facebook datenschutzwidrig ist, wenn dies ohne Einwilligung des Nutzers erfolgt.
Aus den Entscheidungsgründen: Soweit die Klage zulässig ist, ist sie teilweise begründet.
1. Der Klageantrag Ziffer 3 ist unbegründet. Der Kläger hat keinen Anspruch darauf, dass die Beklagte seine personenbezogenen Daten unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert.
a) Soweit der Kläger sich zur Begründung dieses Anspruchs darauf stützt, dass nach Art. 18 Abs. 2 DSGVO Daten nur mit seiner Einwilligung verarbeitet werden dürfen, wobei unter Verarbeitung gemäß Art. 4 Nr. 2 DSGVO auch die Löschung falle, greift das nicht durch.
Tatbestandlich setzt ein Anspruch nach Art. 18 Abs. 2 DSGVO voraus, dass die Verarbeitung gemäß Art. 18 Abs. 1 DSGVO eingeschränkt wurde. Dabei kann vorliegend dahinstehen, ob die Voraussetzungen des Art. 18 Abs. 1 Buchst b DSGVO vorliegen und der Kläger deshalb von der Beklagten eine Einschränkung der Verarbeitung verlangen kann. Denn unabhängig davon ist die Verarbeitung jedenfalls derzeit nicht eingeschränkt im Sinne von Art. 4 Nr. 3 DSGVO. Denn gemäß Art. 4 Nr. 3 DSGVO ist eine Einschränkung der Verarbeitung die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Wie sich aus Erwägungsgrund 67 der DSGVO ergibt, muss für eine Einschränkung der Verarbeitung durch Einrichtung geeigneter Verfahren bzw. technische Maßnahmen ferner sichergestellt sein, dass die markierten Daten nur noch für eingeschränkte Zwecke nach Art. 18 Abs. 2 DSGVO verarbeitet werden (vgl. Herbst in Kühling/Buchner DSGVO/BDSG, 4. Aufl., Art. 18 DSGVO Rn. 29). Die bei der Beklagten gespeicherten personenbezogenen Daten des Klägers erfüllen diese Anforderungen nicht und sind somit nicht in der Verarbeitung eingeschränkt.
Selbst wenn dem Kläger ein Anspruch auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 Buchst b DSGVO zustehen sollte, hat er derzeit keinen Anspruch nach Art. 18 Abs. 2 DSGVO, da dies voraussetzen würde, dass die Verarbeitung der Daten zuvor bereits eingeschränkt wurde. Dies ergibt sich sowohl aus dem Wortlaut der Norm („Wurde die Verarbeitung eingeschränkt…“) als auch der systematischen Unterscheidung in Art. 18 Abs. 1 und Abs. 2 DSGVO zwischen den zeitlich und inhaltlich aufeinander aufbauenden Ansprüchen des Betroffenen. Die Rechte aus Art. 18 Abs. 2 DSGVO stehen dem Betroffenen daher erst dann zu, nachdem die Verarbeitung nach Art. 18 Abs. 1 DSGVO eingeschränkt wurde (Herbst in Kühling/Buchner DSGVO/BDSG, 4. Aufl., Art. 18 DSGVO Rn. 34), woran es im Streitfall gerade fehlt.
b) Dem Kläger steht auch nicht aus § 1004 BGB iVm § 823 Abs. 1 BGB ein Anspruch darauf zu, dass die Beklagte seine personenbezogenen Daten ab sofort unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert.
Dabei kann vorliegend dahinstehen, ob ein Unterlassungsanspruch des nationalen Rechts neben der DSGVO anwendbar ist oder ob diese insoweit Sperrwirkung entfaltet. Wird die Anwendbarkeit eines Unterlassungsanspruchs im rechtlichen Ausgangspunkt zu Gunsten des Klägers unterstellt, so besteht ein Unterlassungsanspruch jedenfalls in der Sache nicht. Denn die Beklagte ist gerade nach dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 Buchst e DSGVO verpflichtet, die Speicherung personenbezogener Daten zeitlich auf das notwendige Mindestmaß zu begrenzen. Außerhalb des Anwendungsbereichs des Art. 18 Abs. 2 DSGVO stünde es in Widerspruch zu diesem gesetzlichen Grundsatz, wenn man dem Verantwortlichen die Löschung der Daten verbieten würde.
2. Der Klageantrag Ziffer 4 ist begründet.
a) In tatsächlicher Hinsicht steht auf der Grundlage der Parteianhörung des Klägers zur vollen Überzeugung des Gerichts (§ 286 ZPO) fest, dass die Beklagte auf Drittwebseiten oder Apps angefallene Daten des Klägers speichert.
Wie der Kläger im Rahmen der Parteianhörung glaubhaft angegeben hat, besucht er regelmäßig die Internetseite bild.de. Überdies hat er den Vorhalt seines Prozessbevollmächtigten auf der Grundlage der diesem gegenüber schriftlich gemachten Angaben des Klägers bestätigt, dass er gelegentlich die Websites PayPal.com, jameda.de, shop-apotheke.de, eventim.de, ikea.de, zalando.de und netflix.com nutze. Es handelt sich hierbei sämtlich um Internetseiten, welche Facebook Business Tools installiert haben. Damit steht fest, dass es in der Vergangenheit zur Übermittlung von auf diesen Seiten angefallenen Daten des Klägers an die Beklagte gekommen ist.
b) Es kann dahinstehen, ob die bloße Entgegennahme von Daten, welche Drittunternehmen der Beklagten im Rahmen der Facebook Business Tools übermittelt haben, als „Erheben“ von Daten durch die Beklagte im Sinne von Art. 4 Nr. 2 DSGVO anzusehen ist und ob im Hinblick auf die Übermittlung personenbezogener Daten des Klägers die Betreiber der Drittwebseiten oder Apps hierzu die Einwilligung des Klägers eingeholt haben. Denn jedenfalls speichert die Beklagte die Daten, wofür sie sich nicht auf eine vom Anbieter der Drittwebseite oder App eingeholte Einwilligung berufen kann.
aa) Social-Media-Anbieter wie die Beklagte sind bei der Erhebung von Off-Site-Daten gemeinsam mit Drittunternehmen Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO für den Datenerhebungsvorgang (EuGH, Urteil vom 29.07.2019 – C-40/17, GRUR 2019, 977 Rn. 81 ff.). Es obliegt jedoch nicht dem Social-Media-Anbieter, sondern (nur) dem Drittunternehmen als Initiator des Datenverarbeitungsprozesses, die Einwilligung der betroffenen Person einzuholen (EuGH, aaO Rn. 102). Dieser Differenzierung liegt die Vorstellung zugrunde, dass die gemeinsame Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit zur Folge hat, und dass der Grad der Verantwortlichkeit jedes Mitverantwortlichen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (EuGH, aaO Rn. 70). Sollten die vom Kläger besuchten Drittwebseiten sowie Apps die Einwilligung des Klägers zur Weiterleitung von Daten an die Beklagte eingeholt haben, so rechtfertigte dies die Entgegennahme der Daten durch die Beklagte folglich auch dann, wenn dieser Vorgang auch in der Person der Beklagten als „Erheben“ von Daten zu qualifizieren sein sollte.
bb) Ob der Kläger beim Besuch von Drittwebsites oder der Benutzung von Apps, die Meta Business Tools eingebunden haben - namentlich der regelmäßigen Nutzung von bild.de sowie der gelegentlichen Nutzung von PayPal.com, jameda.de, shop-apotheke.de, eventim.de, ikea.de, zalando.de und netflix.com - seine Einwilligung erteilt hat, dass Daten über seine „Events“ an die Beklagte weitergeleitet werden, ist offen.
Soweit die Beklagte vorbringt, dass nach der mit ihrem jeweiligen Vertragspartner der Meta Business Tools getroffenen Vereinbarung es diesem obliege, die für die Weiterleitung von Daten erforderliche Einwilligung beim jeweiligen Nutzer der Website oder App einzuholen, bestehen erhebliche Zweifel, ob die Beklagte mit der Bereitstellung der Meta Business Tools tatsächlich das Ziel verfolgt, nur im Falle positiv erteilter Einwilligung Daten übermittelt zu erhalten. Die technische Ausgestaltung der Meta Business Tools legt eher die Annahme nahe, dass die Datenübermittlung in jedem Fall stattfinden solle. Denn ihren Vertragspartnern der Meta Business Tools stellt die Beklagte Cookies („fbc“ und „fbc“) zur Verfügung, welche auf den Websites der Vertragspartner als eigene Cookies („First Party Cookies“) installiert werden können. Blockiert ein Nutzer in seinem Browser Drittanbietercookies („Third Party Cookies“), so können diese von der Beklagten bereitgestellten Cookies gleichwohl gesetzt werden, weil es sich nicht in diesem Sinne um Drittanbietercokies handelt. Damit erfüllen die Meta Business Tools ihre Funktion der Weiterleitung von Daten auch dann, wenn beim Surfen im Internet sensibilisierte Einstellungen zum Schutz der Privatsphäre vorgenommen werden, was typischerweise keine Einwilligung zur Weiterleitung von Daten vermuten lässt. Auch bewirbt die Beklagte ihre sog. Conversions API gerade damit, dass dieses Tool Events von Nutzern aggregieren kann, die sich gegen die Nutzung ihrer Daten entscheiden haben (sog. Meta Playbook der Beklagten, Anlage K 11, S. 23).
cc) Entscheidend kommt es nicht darauf an, ob der Beklagten Daten des Klägers ohne seine Einwilligung weitergeleitet worden sind. Denn jedenfalls fehlt die erforderliche Einwilligung des Klägers in die Speicherung der Daten durch die Beklagte.
(1) Wird unterstellt, dass die Vertragspartner der Beklagten im Rahmen der Meta Business Tools auf allen vom Kläger besuchten Websites oder verwendeten Apps die Einwilligung des Klägers in die Weiterleitung von Daten an die Beklagte eingeholt haben, so bedarf die Speicherung dieser Daten gleichwohl einer gesonderten Rechtfertigung. Denn die Speicherung von Daten als Aufbewahrung zum Zweck weiterer Verarbeitung oder Nutzung stellt nach Art. 4 Nr. 2 DSGVO einen eigenständigen Fall der Datenverarbeitung dar, wobei im Hinblick auf die Speicherung die Beklagte nicht mehr gemeinsam mit dem Drittunternehmen handelt, sondern die Speicherung allein durch die Beklagte erfolgt. Auch die Beklagte selbst bringt zutreffend vor, dass es nach der Übermittlung von Daten durch Drittunternehmen an die Beklagte der Beklagten obliege, für die anschließende Verarbeitung dieser Daten eine eigene Rechtsgrundlage nach Art. 6 DSGVO herzustellen (Duplik vom 03.12.2024 Rn. 40 = eAkte Bl. 365).
Soweit die Beklagte in der Klageerwiderung und in der Duplik die Auffassung vertreten hat, die vom Kläger beanstandete Datenverarbeitung finde gar nicht statt, weil die Beklagte aufgrund der vom Kläger verweigerten Einwilligung beim Kläger Off-Site-Daten nicht für personalisierte Werbung nutze, geht dies jedoch am Klägervortrag vorbei. Denn der Kläger hat der Beklagten bereits in der Klageschrift (S. 27 = eAkte Bl. 27) vorgeworfen, dass die Beklagte lediglich die Möglichkeit biete, der Nutzung der Daten für personalisierte Werbung zu widersprechen, jedoch der Sammlung und Speicherung der Daten nicht widersprochen werden könne. Dass die Beklagte die ihr übermittelten Off-Site-Daten speichert, auch wenn ein Facebook-Nutzer - wie der Kläger - in deren Nutzung für die Anzeige personalisierter Werbung nicht eingewilligt hat, ist in tatsächlicher Hinsicht jedenfalls zuletzt unstreitig (Schriftsatz der Beklagten vom 17.01.2025 = eAkte Bl. 544).
(2) Es liegt weder eine Einwilligung des Klägers in die Datenspeicherung vor (Art. 6 Abs. 1 Buchst a DSGVO), noch ist die Speicherung durch eine der in Art. 6 Abs. 1 Buchst b bis f DSGVO genannten Tatbestände gerechtfertigt.
Die Notwendigkeit für die Erfüllung eines Vertrags oder vorvertragliche Maßnahmen gemäß Art. 6 Abs. 1 Buchst b DSGVO kommt schon deshalb nicht in Betracht, weil die Beklagte es ihren Nutzern gerade freistellt, ob die Off-Site-Daten für nutzerspezifische Werbung verwendet werden dürfen. Damit ist die Nutzung von Off-Site-Daten kein notwendiger Bestandteil des Vertragsverhältnisses, was die Beklagte auch nicht behauptet hat. Dass eine Ansammlung der Daten, welche bei - wie im Streitfall - verweigerter Einwilligung für personalisierte Werbung gar nicht zur Verfügung stehen, zur Erfüllung des Vertragsverhältnisses über ein Facebook-Konto aus anderen Gründen notwendig wäre, hat die Beklagte nicht dargelegt.
Die Speicherung ist auch nicht zur Wahrung der berechtigten Interessen der Beklagten erforderlich (Art. 6 Abs. 1 Buchst f DSGVO). Soweit die Beklagte vorgebracht hat, sie speichere die Off-Site-Daten, um die Sicherheit ihrer Server zu schützen und um sicherzustellen, dass Kriminelle die streitgegenständlichen Business Tools nicht ausnutzen, um über diese Produkte Spam, Scraping oder andere Cyberangriffe durchzuführen, wird der Rechtfertigungstatbestand berechtigter Interessen nicht schlüssig dargelegt. Es erscheint geradezu widersinnig, dass die Beklagte deshalb über bei ihr gespeicherte Daten verfügen müsste, um die missbräuchliche Verwendung eben dieser Daten zu bekämpfen, welche die Beklagte im Übrigen überhaupt nicht benötigt und mit welchen sie - da es sich um auf Drittwebseiten und Apps angefallene Daten handelt - auch überhaupt nichts zu schaffen hat, sofern sie die Daten nicht für personalisierte Werbung nutzen darf.
Verweigert ein Facebook-Nutzer die Einwilligung, Off-Site-Daten für personalisierte Werbung zu nutzen, so liegt der einzig rechtmäßige Umgang mit aufgrund der Meta Business Tools der Beklagten übermittelten Daten dieses Nutzers darin, die Daten zu löschen. Weshalb die Beklagte die Daten gleichwohl nicht löscht, bleibt im Dunkeln. Entscheidend kommt es auf die von der Beklagten mit der Datenakkumulation verfolgten Zwecke nicht an. Da die Beklagte als Verantwortliche für die Datenspeicherung nach Art. 5 Abs. 2 DSGVO die Beweislast für einen Rechtfertigungstatbestand trägt (vgl. EuGH, Urteil vom 24.02.2022 - C-175/20, EuZW 2022, 527 Rn. 77, 81) und ein Rechtfertigungstatbestand schon nicht schlüssig vorgetragen ist, ist die Speicherung rechtswidrig.
c) Nachdem die Beklagte die von Drittwebseiten oder Apps im Rahmen der Facebook Business Tools ihr übermittelten Daten rechtswidrig speichert, kann der Kläger nach Art. 17 Abs. 1 DSGVO die Löschung verlangen.
3. Der Klageantrag Ziffer 5 ist dem Grunde nach, aber nicht in der geltend gemachten Höhe begründet.
a) Wie ausgeführt, steht zur Überzeugung des Gerichts fest, dass im Rahmen von Facebook Business Tools auf Drittwebseiten oder Apps angefallene Daten des Klägers an die Beklagte übermittelt worden sind und von dieser gespeichert werden, ohne dass hierfür ein Rechtfertigungstatbestand vorläge. Der Kläger hat auch nachgewiesen, dass ihm ein immaterieller Schaden erwachsen ist (Art. 82 Abs. 1 DSGVO).
Der Betroffene eines Datenschutzrechtsverstoßes muss nachweisen, dass ihm über den bloßen Verstoß hinaus ein immaterieller Schaden entstanden ist (EuGH, Urteil vom 25.01.2024 – C-687/21, EuZW 2024, 278 Rn. 60; vom 11.04.2024 – C-741/21, NJW 2024, 1561 Rn. 36). Dabei kann aber selbst ein nur kurzzeitiger Verlust der Kontrolle des Betroffenen über seine personenbezogenen Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher negativer Folgen erforderte (EuGH, Urteil vom 04.10.2024 – C-200/23, NJW 2025, 40 Rn. 156). Der Betroffene muss aber jedenfalls nachweisen, dass er einen Schaden in Form des Kontrollverlusts erlitten habe (EuGH, Urteil vom 20.06.2024 - C-590/22, ZIP 2024, 2035 Rn. 33; BGH, Urteil vom 18.11.2024 – VI ZR 10/24, NJW 2025, 298 Rn. 31 f.).
Gemessen hieran ist dem Kläger ein Schaden erwachsen. Es steht fest, dass der Kläger Webseiten besucht hat, welche Facebook Business Tools nutzen und daher Daten an die Beklagte übermittelt hat. Diese Daten kann der Kläger zwar von seinem Nutzerkonto trennen, so dass sie diesem nicht mehr zugeordnet werden können, er kann sie jedoch nicht durch Konfiguration seines Kontos löschen. Welchen Zweck die Beklagte mit diesen angesammelten Daten verfolgt, bleibt im Dunkeln. Dadurch hat der Kläger keine Kontrolle damit, was mit den auf Drittwebseiten angefallenen Eventdaten bei der Beklagten geschieht.
b) Bei der Höhe des dem Kläger zuzuerkennenden Schadensersatzes berücksichtigt das Gericht, dass einerseits eine Mehrzahl von Datenübertragungen gegenständlich ist, weil der Kläger mehrere Webseiten unter Einbindung von Facebook Business Tools besucht hat, namentlich bild.de regelmäßig. Andererseits hat der Kläger im Rahmen der Parteianhörung nicht den Eindruck erweckt hat, als verursache dieser Umstand ihm größeren seelischen Schmerz, vielmehr gab er lediglich an, es wäre ihm lieber, die Daten würden gelöscht. Unter Abwägung dieser Gesichtspunkte erachtet das Gericht einen Anspruch auf immateriellen Schadensersatz in Höhe von 300 € als angemessen.
Soweit der Kläger vorgebracht hat, es müsse auch der Gesichtspunkt der Prävention gegen künftige Verstöße sowie der Vergeltung zu berücksichtigen sein, handelt es sich hierbei um Umstände, welche im Rahmen von Art. 82 Abs. 1 DSGVO nicht von Bedeutung sind, nachdem diese Regelung ausschließlich eine Ausgleichsfunktion erfolgt (EuGH, Urteil vom 11.04.2024 - C-741/22, NJW 2024, 1561 Rn. 59 f., 64 f.). Der Kläger kann sich auch nicht mit Erfolg darauf berufen, unter dem Gesichtspunkt der Verletzung des aus Art. 1 und 2 GG abgeleiteten allgemeinen Persönlichkeitsrechts sei ein höherer immaterieller Schadensersatz zuzuerkennen. Unabhängig von der Frage, inwieweit neben Art. 82 Abs. 1 DSGVO der Rückgriff auf weitergehende Schadensersatznormen nach nationalem Recht überhaupt eröffnet ist, liegt jedenfalls kein solcher Sachverhalt vor, bei welchem der Rechtsschutz von Würde und Ehre des Menschen als verkümmert anzusehen wäre, wenn nicht eine Sanktion in Form einer Geldentschädigung verhängt würde (vgl. zu diesem Maßstab BGH, Urteil vom 17.12.2013 - VI ZR 211/12, BGHZ 199, 237 Rn. 40 mwN). Immerhin lassen sich die von der Beklagten gesammelten Daten vom Nutzerkonto trennen. Auch wenn sich diese Trennung für den Nutzer wie den Kläger nicht kontrollieren lässt und er sich auf deren Unumkehrbarkeit jedenfalls nicht verlassen kann, so gibt es doch keinen Anhaltspunkt für eine nennenswert fühlbare Beeinträchtigung des Klägers durch die rechtswidrige Datenspeicherung bei der Beklagten.
Die Pressemitteilung des BGH:
Bundesgerichtshof: Aussetzung des Verfahrens zur Haftung des Betreibers eines sozialen Netzwerks
für von seinen Nutzern eingestellte rechtswidrige Inhalte
Der VI. Zivilsenat hat am 18. Februar 2025 über wechselseitige Revisionen verhandelt, in denen sich die Frage stellt, welche Ansprüche gegen den Betreiber eines sozialen Netzwerks Betroffenen zustehen, über die auf der Plattform dieses Netzwerks falsche Tatsachenbehauptungen verbreitet werden. Hinsichtlich des Sachverhalts und des bisherigen Prozessverlaufs wird auf die Pressemitteilung Nr. 027/2025 vom 6. Februar 2025 hingewiesen.
Nach ausführlicher Erörterung in der mündlichen Verhandlung hat der VI. Zivilsenat am Ende der Sitzung das Verfahren analog § 148 ZPO bis zu der Entscheidung des Gerichtshofs der Europäischen Union in dem dort anhängigen Verfahren C-492/23 ausgesetzt.
Vorinstanzen:
LG Frankfurt a.M. - Entscheidung vom 8. April 2022 - 2-03 O 188/21
OLG Frankfurt a.M. - Entscheidung vom 25. Januar 2024 - 16 U 65/22
Die Irische Datenschutzbehörde hate eine Bußgeld in Höhe von 251 Millionen EURO gegen Meta wegen Datenschutzverstößen im Zusammenhang mit einem Facebook-Datenleck verhängt.
Die Pressmeitteilung der Irischen Datenschutzbehörde: Irish Data Protection Commission fines Meta €251 Million
The Irish Data Protection Commission (DPC) has today announced its final decisions following two inquiries into Meta Platforms Ireland Limited (‘MPIL’). These own-volition inquiries were launched by the DPC following a personal data breach, which was reported by MPIL in September 2018.
This data breach impacted approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. The categories of personal data affected included: user’s full name; email address; phone number; location; place of work; date of birth; religion; gender; posts on timelines; groups of which a user was a member; and children’s personal data. The breach arose from the exploitation by unauthorised third parties of user tokens[1] on the Facebook platform. The breach was remedied by MPIL and its US parent company shortly after its discovery.
The decisions, which were made by the Commissioners for Data Protection, Dr. Des Hogan and Dale Sunderland, included a number of reprimands and an order to pay administrative fines totalling €251 million.
The DPC submitted a draft decision to the GDPR cooperation mechanism in Sept 2024, as required under Article 60 of the GDPR[2]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
The DPC’s final decisions record the following findings of infringement of the GDPR:
Decision 1
Article 33(3) GDPR - By not including in its breach notification all the information required by that provision that it could and should have included. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €8 million.
Article 33(5) GDPR - By failing to document the facts relating to each breach, the steps taken to remedy them, and to do so in a way that allows the Supervisory Authority to verify compliance. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €3 million.
Decision 2
Article 25(1) GDPR - By failing to ensure that data protection principles were protected in the design of processing systems. The DPC found that MPIL had infringed this provision, reprimanded MPIL, and ordered it to pay administrative fines of €130 million.
Article 25(2) - By failing in their obligations as controllers to ensure that, by default, only personal data that are necessary for specific purposes are processed. The DPC found that MPIL had infringed these provisions, reprimanded MPIL, and ordered it to pay administrative fines of €110 million.
DPC Deputy Commissioner Graham Doyle commented:
“This enforcement action highlights how the failure to build in data protection requirements throughout the design and development cycle can expose individuals to very serious risks and harms, including a risk to the fundamental rights and freedoms of individuals. Facebook profiles can, and often do, contain information about matters such as religious or political beliefs, sexual life or orientation, and similar matters that a user may wish to disclose only in particular circumstances. By allowing unauthorised exposure of profile information, the vulnerabilities behind this breach caused a grave risk of misuse of these types of data.”
The DPC will publish the full decision and further related information in due course.
Das OLG Frankfurt hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass der Auskunftsanspruch aus Art. 15 DSGVO gegen ein soziales Netzwerk (hier: X / Twitter) auch durch ein Self-Service-Tool vollständig erfüllt werden kann.
Aus den Entscheidungsgründen: 1. Das Landgericht ist zutreffend davon ausgegangen, dass die Beklagte durch die Bereitstellung eines Self-Service-Tool sowie das Schreiben vom 18.04.2023 (Anlage K 3) den Auskunftsanspruch des Klägers nach § 15 II DSGVO erfüllt hat.
Die Bereitstellung des Selbstbedienungstools führt dazu, dass der Kläger die Auskünfte an seinem Wohnsitz abrufen kann, wenn er dies will. Der Auskunftserfolg tritt damit auch dann am rechten Ort ein, wenn man - mit der Berufungsbegründung - zugrunde legt, dass Erfüllungsort der Sitz des Klägers ist.
Anderes ergibt sich (entgegen der Berufungsbegründung) auch nicht aus Erwägungsgrund 63 zur DSGVO. Dieser lautet:
„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“
Der Erwägungsgrund 63 besagt somit nirgends, dass der Fernzugang (hier: Selbstbedienungstool) nur dann erfüllungstauglich wäre, wenn der Nutzer mit dieser Art der Erfüllung einverstanden ist. Auch gebietet er keine solche Folgerung. Die Bereitstellung eines angemessenen Fernzugangs über ein Self-Service-Tool wird daher als ausreichend angesehen, um den Anspruch auf Bereitstellung einer Kopie der personenbezogenen Daten gemäß Art. 15 Abs. 3 Satz 1 DSGVO zu erfüllen (OLG Dresden, Urteil vom 5. Dezember 2023, Az. 4 U 1094/23, Rn. 65, juris; OLG München, Vfg. vom 29.01.2024, 14 U 4826/23 - nicht veröffentlicht; LG Bonn, Urteil vom 8. März 2023, Az.: 17 O 165/22, GRUR-RS 2023, 3854 Rn. 59 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 2 O 170/22, GRUR-RS 2023, 4566, Rn. 54 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 18 O 127/22, GRUR-RS 2023, 4565, Rn. 56 f.; LG Paderborn, Urteil vom 19. Dezember 2022, Az.: 3 O 99/22, GRUR-RS 2022, 39349, Rn. 162 ff.; LG Paderborn, Urteil vom 13. Dezember 2022, Az.: 2 O 212/22, GRUR-RS 2022, 41028 Rn. 176 ff.; LG München I, Urteil vom 2. September 2021, Az.: 23 O 10931/20, juris Rn. 23 f.; Krämer/Burghoff, ZD 2022, 428, 432; Paal, in: Paal/Pauly DSGVO, 3. Aufl. 2021, Art. 15 Rn. 38 iVm Rn. 14; Franck, in: Gola/Heckmann DSGVO, 3. Aufl. 2022, Art. 15 Rn. 40.), sie ist sogar die gewünschte Form der Übermittlung
Soweit eine einzelne Stimme (Schmidt-Wudy, BeckOK Datenschutzrecht, Art. 15 DS- GVO Rn. 84) der Auffassung ist, ein Fernzugriffssystem ersetze nur dann die Übersendung der Auskunft bzw. Datenkopie im Wege der Schickschuld per Post oder auf elektronischem Wege, wenn sich der Anspruchsteller hiermit einverstanden erkläre, fehlt es hierfür ebenso an einer tragfähigen Begründung wie in der Entscheidung des LAG Niedersachsen (NZA-RR 2020, 571, Rnr. 46), die ohne Begründung diese Literaturstelle zitiert.
Die Verweisung auf den Fernzugang kann im Einzelfall zwar dazu führen, dass der betroffenen Person faktisch die Auskunft verweigert wird: Beispielsweise haben auch Menschen, die „analog leben“ oder/und keine nennenswerten Fähigkeiten im Umgang mit IT-gestützten Portalen haben, ein Recht auf Auskunft nach Art. 15 DSGVO, dieses könnte untergraben werden, wenn man sie auf das ihnen unzugängliche Selbstbedienungstool verwiese. Darüber muss vorliegend jedoch nicht entschieden werden, denn wer sich bei der Beklagten registriert, lebt denknotwendig nicht (mehr) analog und lässt auch nicht erwarten, im Umgang mit IT-gestützten Portalen unbeschlagen zu sein.
2. Es kann dahinstehen, ob der Anwendungsbereich von Art. 82 Abs. 1 DSGVO auf Schäden infolge der reinen Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO begrenzt ist und daher ein Verstoß gegen Art. 15 (oder Art. 34) DSGVO überhaupt einen Schadensersatzanspruch zur Folge hat. Der Kläger hat das Vorliegen eines Schadens nämlich nicht substantiiert vorgetragen.
a) Auch wenn - wie Erwägungsgrund 146 unterstreicht - der Schadensbegriff im Ansatz weit zu verstehen ist, ergibt schon die Zählung der Tatbestandsmerkmale des Art. 82 Abs. 1 DSGVO eine Anzahl von drei (so auch EuGH C-300/21), nämlich (1) Verstoß, (2) Schaden, (3) Kausalität.
Der Verstoß (Herbeiführung des Kontrollverlustes an den Daten) ist schon deshalb nicht bereits der Schaden und führt auch nicht „automatisch“ zu einem Schaden (EuGH, Urt. v. 04.05.2023, C-300/21 - Österreichische Post). Da die Erwägungsgründe besagen, dass der Schaden "erlitten" sein muss, kann der Kontrollverlust (als rein objektiver Befund) nicht für sich allein bereits der Schaden sein (OLG Hamm, 7 U 19/23 Rn 72 ff).
Dergleichen hat insbesondere der Gerichtshof der Europäischen Union nicht postuliert, sondern im Gegenteil (EuGH 5.12.2023, C-807/21 Rn 82) den „Verlust der Kontrolle“ in Erwägungsgrund 85 als Beispiel für Umstände gesehen, die „erhebliche wirtschaftliche oder gesellschaftliche Nachteile“ darstellen können. Daraus leitet der EuGH aber gerade nicht her, dass schon der Kontrollverlust ohne weiteres der Schaden „sei“, sondern lediglich: dass der Schaden nicht eine bereits eingetretene „missbräuchliche Verwendung der betreffenden Daten zum Nachteil“ der betroffenen Person voraussetzt, sondern die Befürchtung (Rn 81) zukünftiger missbräuchlicher Verwendung ausreichen kann (vgl. auch EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 32 f.). Ein Schadensersatzanspruch besteht auch bei einem Kontrollverlust über personenbezogenen Daten nur, sofern die betroffene Person darlegt und bei Bedarf nachweist, dass sie tatsächlich einen Schaden - so geringfügig er auch sein mag - erlitten hat (EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 33 mwN), Die Fokussierung des EuGH auf den Begriff der „Befürchtung“ (englisch: „fear“, französisch: „crainte“) wäre überflüssig, wenn in dem objektiven Vorgang des Kontrollverlustes bereits ein Schaden im Sinne von § 82 Abs. 1 DSGVO läge.
Vorliegend ist das Landgericht zutreffend zum Schluss gelangt, dass nach dem Klägervortrag ein (hier unterstellter) Verstoß der Beklagten in keiner Weise irgendeine persönlich erlebte belastende Folge kausal verursacht hat. Wie gezeigt, ist der bloße Kontrollverlust als solcher nicht „der“ Schaden des Art. 82 Abs. 1 DSGVO. Er führt auch nicht etwa gleichsam „automatisch“ zu „einem Zustand, in dem sich die Klägerseite berechtigt wie nachvollziehbar in Sorge um den Verbleib sowie einen möglichen Missbrauch ihrer Daten“ befinden würde: Die für Art. 82 Abs. 1 DSGVO erforderliche Befürchtung (deutlicher englisch „fear“ und französisch „crainte“, also blanke „Furcht“) besteht nicht allein in einer logischen Gedankenoperation des Betrachters oder der Klagepartei, sondern wäre ein (negatives) Gefühl der Klagepartei, das bestritten und von dieser zu beweisen war - und anhand objektiver Umstände nachvollziehbar sein muss.
Jedenfalls hat das Landgericht zu Recht den klägerischen Vortrag als pauschal und substanzlos angesehen (“Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“). Das ist angesichts des formelhaften und erkennbar nicht individualisierten Zuschnitts dieses Vorbringens nicht zu beanstanden; hiergegen erinnert die Berufungsbegründung auch nichts. Hinzu kommt, dass nicht nachvollziehbar ist, wieso im Fall einer mutmaßlichen Verletzung der Auskunftspflicht - in der bisher überhaupt kein Indiz für einen Datenabfluss bestanden hat - der „Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“ gegeben sein kann.
3. Da sich die Bemessung der Höhe des Schadensersatzes nach nationalem Recht richtet (vgl. z.B. EuGH, U. v.26.2024 - C-182/22, juris Rn. 33), ist ein Anspruch auf Schadensersatz insoweit auch wegen überwiegenden Mitverschuldens (§ 254 BGB) ausgeschlossen, da der Kläger von der naheliegenden Möglichkeit, sich über das Selbstbedienungstool zu informieren, keinen Gebrauch gemacht hat. Eine Rechtsgrundlage für den Ersatz der außergerichtlichen Kosten ist nicht ersichtlich. Insbesondere lag kein Verzug vor. Die Beauftragung des Prozessbevollmächtigten des Klägers erfolgt vor der erstmaligen Geltendmachung des Rechts aus Art. 15 DSGVO gegenüber der Beklagten.
Ein möglicher Verzug der Beklagten - der wegen Art. 12 III DSGVO vor Ablauf einer Monatsfrist wegen der von der Beklagten geschilderten Vielzahlt von Anfragen schwer zu begründen ist - wäre daher nicht kausal für den geltend gemachten Schaden in Form der Beauftragung des Prozessbevollmächtigten des Klägers.
4. Der Senat beabsichtigt, den Streitwert entgegen der Angabe des Klägers in der Klageschrift (8.000,-- €) auf 2.000 € festzusetzen.
Zwar sind die Angaben des Klägers in der Klageschrift bei der Ermessensausübung nach § 3 ZPO regelmäßig ein ganz erhebliches Indiz, da die Angabe unbeeinflusst vom Ausgang des Rechtsstreits erfolgt und damit eine erhöhte Richtigkeitsgewähr einhergeht. Anderes gilt jedoch dann, wenn der Wert offensichtlich über- oder untersetzt ist.
Dies ist hier der Fall. Der Senat hält die Schmerzensgeldangabe von 3.000 € als um ein Vielfaches übersetzt an; der Kläger selbst hat schriftsätzlich einen Betrag von 1.500 € als angemessen angegeben.
Den Wert des Klagantrags zu 1.) und 2.) hingegen setzt der Senat nicht mit zusammen 5.000 €, sondern mit 500 € fest. Auskunftsansprüche bewegen im Regel im Bereich eines Bruchteils des Hauptanspruchs, wenn sie diesen unterstützen. Der Anspruch nach § 15 DSGVO ist zwar ein selbständiger Anspruch, bewegt sich jedoch wertmäßig in einer vergleichbaren Höhe. Hinzu kommt, dass der Anspruch keinen wirtschaftlichen Interessen des Klägers dient. Weiterhin ist zu berücksichtigen, dass Anhaltspunkte für eine Rechtsverletzung nicht bestehen. Der Senat hält daher einen Wert von 500 € für angemessen (vgl. z.B. OLG Köln ZD 2018, 268; OLG Köln ZD 2019, 463)
5. Einer Entscheidung nach § 522 II ZPO steht auch nicht ein etwaiger Revisionszulassungsgrund der Divergenz oder der grundsätzlichen Bedeutung entgegen. Soweit das LAG Niedersachen (NZA-RR 2020, 571, Rnr. 46) eine Datenübersendung in elektronischer Form als zur Erfüllung ungeeignet ansieht, kann dies eine Revisionszulassung nicht begründen.
Eine Rechtssache hat grundsätzliche Bedeutung, wenn sie eine entscheidungserhebliche, klärungsbedürftige und klärungsfähige Rechtsfrage aufwirft, die sich in einer Vielzahl von Fällen stellen kann und deswegen das abstrakte Interesse der Allgemeinheit an der einheitlichen Entwicklung und Handhabung des Rechts berührt, d.h. allgemein von Bedeutung ist (st Rspr; BGH NJW 2002, 3029). Klärungsbedürftig in diesem Sinne ist eine Rechtsfrage, wenn sie vom BGH nicht entschieden und von Oberlandesgerichten oder in der Literatur unterschiedlich beantwortet wird (BGH NZG 2010, 625 Rn. 3; DStR 2014, 383 Rn. 2). Der Klärungsbedarf entfällt, wenn abweichende Ansichten im Schrifttum vereinzelt geblieben und nicht oder nicht nachvollziehbar begründet sind (NZG 2024, 249 Rn. 9; BGH NZG 2010, 625). So verhält es sich hier.
Die EU-Kommission hat eine Geldbuße gegen Meta in Höhe von 797,72 Mio. EUR wegen missbräuchlicher Praktiken im Zusammennhang mit Facebook Marketplace verhängt.
Die Pressemitteilung der EU-Kommission: Kommission verhängt Geldbuße in Höhe von 797,72 Mio. EUR gegen Meta wegen missbräuchlicher Praktiken zugunsten von Facebook Marketplace
Die Europäische Kommission hat eine Geldbuße in Höhe von 797,72 Mio. EUR gegen Meta verhängt, weil das Unternehmen gegen die EU-Kartellvorschriften verstößt, indem es seinen Online-Kleinanzeigendienst Facebook Marketplace mit seinem persönlichen sozialen Netzwerk Facebook verknüpft und anderen Anbietern von Online-Kleinanzeigendiensten unfaire Handelsbedingungen auferlegt hat.
Die Zuwiderhandlung
Meta ist ein multinationales Technologieunternehmen mit Sitz in den USA. Wichtigstes Geschäftsfeld ist sein persönliches soziales Netzwerk Facebook. Darüber hinaus bietet das Unternehmen auch den Online-Kleinanzeigendienst „Facebook Marketplace“ an, über den Nutzer Waren kaufen und verkaufen können.
Die Untersuchung der Kommission hat ergeben, dass Meta auf dem Markt für persönliche soziale Netzwerke, der zumindest den Europäischen Wirtschaftsraum (EWR) umfasst, sowie auf den nationalen Märkten für Online-Display-Werbedienste in sozialen Medien eine beherrschende Stellung innehat.
Konkret hat die Kommission festgestellt, dass Meta mit den folgenden Maßnahmen seine marktbeherrschende Stellung missbraucht und gegen Artikel 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) verstößt:
Verknüpfung seines Online-Kleinanzeigendienstes Facebook Marketplace mit seinem persönlichen sozialen Netzwerk Facebook: Aufgrund dieser Verknüpfung haben alle Facebook-Nutzer automatisch Zugang zu Facebook Marketplace, der ihnen – ob sie dies wünschen oder nicht – auch regelmäßig angezeigt wird. Die Kommission hat festgestellt, dass Wettbewerber von Facebook Marketplace auf diese Weise vom Markt ausgeschlossen werden könnten, da Facebook Marketplace durch die Verknüpfung von einem wesentlichen Vertriebsvorteil profitiert, den andere Anbieter nicht ausgleichen können.
Einseitiges Auferlegen unfairer Handelsbedingungen für andere Anbieter von Online-Kleinanzeigendiensten, die auf den Plattformen von Meta, insbesondere den sehr beliebten sozialen Netzwerken Facebook und Instagram, Werbung treiben: So kann Meta Werbedaten, die von anderen Werbetreibenden erzeugt werden, ausschließlich zugunsten von Facebook Marketplace nutzen.
Geldbuße
Die Kommission hat Meta angewiesen, diese Verhaltensweisen wirksam einzustellen und davon abzusehen, dieses missbräuchliche Verhalten in der Zukunft erneut aufzunehmen oder Praktiken mit gleichem Ziel bzw. gleicher Wirkung einzuführen.
Die Geldbuße in Höhe von 797,72 Mio. EUR wurde auf der Grundlage der Leitlinien der Kommission zur Festsetzung von Geldbußen aus dem Jahr 2006 (siehe Pressemitteilung und MEMO) festgesetzt.
Bei der Festsetzung der Geldbuße wurden die Dauer und die Schwere der Zuwiderhandlung sowie der mit den Zuwiderhandlungen in Zusammenhang stehende Umsatz von Facebook Marketplace, von dem ausgehend der Grundbetrag bestimmt wird, berücksichtigt. Die Kommission hat auch den Gesamtumsatz von Meta berücksichtigt, um eine ausreichende Abschreckungswirkung auf ein Unternehmen zu erzielen, das über so große Ressourcen wie Meta verfügt.
Hintergrund
Im Juni 2021 leitete die Kommission ein förmliches Verfahren wegen möglicher wettbewerbswidriger Verhaltensweisen von Facebook ein. Im Dezember 2022 richtete die Kommission eine Mitteilung der Beschwerdepunkte an Meta, auf die das Unternehmen im Juni 2023 antwortete.
Artikel 102 AEUV und Artikel 54 des EWR-Abkommens verbieten den Missbrauch einer beherrschenden Stellung.
Eine marktbeherrschende Stellung ist nach dem EU-Kartellrecht nicht grundsätzlich verboten. Allerdings tragen marktbeherrschende Unternehmen eine besondere Verantwortung, denn sie dürfen ihre starke Marktstellung nicht missbrauchen, indem sie den Wettbewerb auf dem beherrschten Markt oder auf anderen Märkten einschränken.
Geldbußen für Unternehmen, die gegen die EU-Kartellvorschriften verstoßen, werden in den Gesamthaushaltsplan der EU eingestellt. Diese Einnahmen sind nicht für bestimmte Ausgaben vorgesehen. Stattdessen werden die Beiträge der Mitgliedstaaten zum EU-Haushalt für das Folgejahr entsprechend gekürzt. Somit tragen die Geldbußen zur Finanzierung der EU bei und entlasten die Steuerzahler.
Sobald alle Fragen im Zusammenhang mit dem Schutz vertraulicher Daten geklärt sind, werden weitere Informationen zu diesem Kartellfall unter der Nummer AT.40684 im öffentlich zugänglichen Register der Kommission auf der Website der Generaldirektion Wettbewerb veröffentlicht.
Das OLG Hamburg hat in einem Rechtsstreit um ein rechtswidriges X-Profil entschieden, dass ein auf einer deutschen Norm beruhender Unterlassungsanspruch nur in der Bundesrepublik Deutschland und nicht in der gesamten EU gilt.
Aus den Entscheidungsgründen: Das Landgericht hat mit Beschluss vom 11.09.2024 der Antragsgegnerin bei Androhung der gesetzlichen Ordnungsmittel untersagt,
im Gebiet der Bundesrepublik Deutschland den Namen „… G…" als Inhaber eines Profils und/oder als Verfasser von Posts zu veröffentlichen, zu verbreiten und/oder veröffentlichen oder verbreiten zu lassen,
wie in dem „X"- Profil „@ …" geschehen.
Es hat ausgeführt, dass dem Antragsteller ein Unterlassungsanspruch zustehe. Die angegriffene Nutzung des Namens des Antragstellers verletze dessen Namensrecht als Ausprägung des allgemeinen Persönlichkeitsrechts. Die Antragsgegnerin habe die ihr obliegenden Pflichten als Hostproviderin verletzt. Die Untersagung sei jedoch auf das Gebiet der Bundesrepublik Deutschland zu beschränken.
Hiergegen hat der Antragsteller Beschwerde eingelegt und verfolgt sein Begehren, dass das Verbot auch das übrige Gebiet der Europäischen Union zu erstrecken sei, weiter. Er beruft sich hierzu insbesondere auf das Urteil des EuGH vom 17.10.2017, C-194/16 (Bolagsupplysningen OÜ ua/Svensk Handel AB), NJW 2017, 3433.
Die Beschwerde des Antragstellers ist zulässig, aber unbegründet.
Das Landgericht hat mit zutreffender Begründung eine Pflichtverletzung der Antragsgegnerin festgestellt. Das von ihr vorgenommene Geo-Blocking ist unzureichend. Der Antragsteller hat anwaltlich versichert, dass das in Rede stehende Profil weiterhin in Deutschland unter Verwendung eines VPN-Dienstes abrufbar ist. Die Antragsgegnerin hätte jedenfalls aufgrund einer sekundären Darlegungslast begründen müssen, warum ihr ein anderes Mittel als das vorgenommene Geo-Blocking nicht möglich und zumutbar ist (vgl. hierzu Urteil des Landgerichts Hamburg vom 30.04.2018, 324 O 51/18, AfP 2018, 543, 543).
Der Antragsteller hat jedoch keinen Anspruch darauf, dass die Untersagung auf weitere Gebiete der EU erstreckt wird.
Die von ihm in Bezug genommene „eDate“-Entscheidung des EuGH, ZUM-RD 2011, 657, betrifft nach einhelliger Ansicht Schadensersatzansprüche und keinen Unterlassungsanspruch, wie er hier geltend gemacht wird.
Anderes folgt auch nicht aus der Entscheidung des EuGH vom 17.10.2017, C-194/16 (Bolagsupplysningen OÜ ua/Svensk Handel AB), NJW 2017, 3433.
Dieses hatte zwar u.a. die Entfernung von Äußerungen zum Gegenstand. Kläger waren auch eine natürliche Person – wie hier ebenfalls – und eine juristische Person. Der EuGH führt am Ende der Entscheidung zudem aus:
„In Anbetracht der umfassenden Abrufbarkeit der auf einer Website veröffentlichten Angaben und Inhalte und des Umstands, dass die Reichweite ihrer Verbreitung grundsätzlich weltumspannend ist (vgl. i. d. S. EuGH, ECLI:EU:C:2011:685 = EuZW 2011, 962 Rn. 46 – eDate Advertising ua), ist ein auf die Richtigstellung dieser Angaben und die Entfernung dieser Inhalte gerichteter Antrag jedoch einheitlich und untrennbar und kann somit nur bei einem Gericht erhoben werden, das nach der Rechtsprechung, die sich aus den Urteilen Shevill ua (EuGH, ECLI:EU:C:1995:61 = NJW 1995, 1881 Rn. 25 f. u. 32) und eDate Advertising ua (EuGH, ECLI:EU:C:2011:685 = EuZW 2011, 962 Rn. 42 u. 48) ergibt, für die Entscheidung über einen Antrag auf Ersatz des gesamten Schadens zuständig ist, und nicht bei einem Gericht, das nicht über eine solche Zuständigkeit verfügt.
Nach alledem ist auf die erste Frage zu antworten, dass Art. 7 Nr. 2 der VO Nr. 1215/2012 dahin auszulegen ist, dass eine Person, deren Persönlichkeitsrechte durch die Veröffentlichung unrichtiger Angaben über sie im Internet und durch das Unterlassen der Entfernung sie betreffender Kommentare verletzt worden sein sollen, nicht vor den Gerichten jedes Mitgliedstaats, in dessen Hoheitsgebiet die im Internet veröffentlichten Informationen zugänglich sind oder waren, eine Klage auf Richtigstellung der Angaben und Entfernung der Kommentare erheben kann.“.
Danach könnte das Begehren des Antragstellers, dessen Mittelpunkt seiner Interessen nach seinem Vorbringen in Deutschland liegt, eine Grundlage haben. Wenn er nur an einem Gerichtsstand seinen Anspruch geltend machen kann, spricht einiges dafür, dass das danach zuständige Gericht ein Verbot nicht auf seinen Bezirk beschränkt, da der Verletzte, dem kein anderer Gerichtsstand zur Verfügung steht, ansonsten weitestgehend schutzlos wäre.
Dem Senat ist auch die Entscheidung des supreme court of canada vom 28.06.2018, Google Inc..v. Equustek Solutions (2017 SCC 34) bekannt, welche ein weltweites Verbot betrifft, was allerdings nachfolgend von einem US-Bezirksgericht nicht akzeptiert wurde.
Gegen eine solche Konsequenz der Entscheidung des EuGH spricht jedoch, dass nach – soweit feststellbar – einhelliger Ansicht der EuGH mit seiner Ansicht die sog. Mosaiktheorie hinsichtlich der internationalen Zuständigkeit nicht aufgegeben hat, sondern diese weiterhin anwendet (vgl. hierzu Stein/Schnichels/Lenzing, Die Entwicklung des Europäischen Zivilprozessrechts im Bereich der EuGVVO im Jahr 2021, EuZW 2022, 1094).
Der Generalstaatsanwalt hat außerdem in seinem Schlussantrag zum vor dem EuGH geführten Verfahren zum Az. C-194/16 für die Aufhebung der Mosaik-Theorie gerade mit dem Argument, dass die nationalen Staaten auf ihr Hoheitsgebiet beschränkt seien, geworben (Schlussantrag vom 13.07.2017, C-194-16, BeckRS 2017, 116694, Rn 80). Der EuGH hat indes an der Mosaik-Theorie letztlich festgehalten.
Es ist weiterhin zu berücksichtigen, dass die fragliche Entscheidung des EuGH die internationale Zuständigkeit betrifft und nicht welches Recht das danach zuständige Gericht anzuwenden hat. Dieses ist hier nach Art. 40 Abs. 1 EGBGB das deutsche Recht. Das deutsche Recht sieht jedoch bei den hier in Rede stehenden Normen für den Unterlassungsanspruch, nämlich das Namensrecht nach § 12 BGBG und das allgemeine Persönlichkeitsrecht nach Artt. 1 und 2 GG, keine über das Gebiet der Bundesrepublik Deutschland hinausgehende Geltung vor.
Anerkannt ist zwar im Rahmen der DSGVO ein Verbot, welches für das gesamte Gebiet der EU Wirkung entfaltet. Aber dieser europaweite Verbotsanspruch folgt unmittelbar aus der DSGVO und wird aus deren Vollharmonisierung innerhalb der EU abgeleitet (vgl. EuGH, Urteil vom 24.09.2019 – C-507/17).
An einer Vollharmonisierung fehlt es hier indes, und zwar auch dann, wenn der Antragsteller die Untersagung auf die EMRK stützen könnte, welche innerhalb des gesamten Gebietes der EU gilt. Denn ein solcher Anspruch folgt nicht unmittelbar aus der EMRK, sondern aus § 823 Abs. 2 BGB i.V.m. der EMRK, also wiederum einer deutschen (nicht harmonisierten) Norm.
Es erscheint auch zweifelhaft, dass der hier geltend gemachte Unterlassungsanspruch ein unteilbarer Anspruch ist, was nach der fraglichen EuGH-Entscheidung Voraussetzung wäre. Es ist vorstellbar, dass die Antragsgegnerin ihn nur in einzelnen Ländern der EU umsetzt.
Es kann auch nicht unberücksichtigt bleiben, dass in anderen Rechtsgebieten wie dem Markenrecht, welches zum Teil harmonisiert ist, nur dann eine Untersagung für das gesamte Gebiet der EU ausgesprochen wird, wenn das Verbot auf einer harmonisierten Norm beruht.
Nach alledem kann dahinstehen, ob der Antragsteller zu dem in den anderen Staaten der EU geltendem Recht hätte vortragen müssen oder inwieweit sein Interesse auch diese Staaten berührt. Letzteres ist nicht ersichtlich, da der Inhalt auf Deutsch verfasst ist, sich mit deutschen Vorgängen befasst und nicht erkennbar ist, dass der Antragsteller außerhalb von Deutschland bekannt oder geschäftlich tätig ist.
Die Irische Datenschutzbehörde hat ein Bußgeld in Höhe von 310 Millionen EURO gegen LinkedIn wegen DSGVO-Verstößen im Zusammenhang mit der Analyse des Nutzerverhaltens und zielgerichteter Werbung verhängt.
Die Pressemitteilung der Irischen Datenschutzbehörde: Irish Data Protection Commission fines LinkedIn Ireland €310 million
The Irish Data Protection Commission (DPC) has today announced its final decision following an inquiry into LinkedIn Ireland Unlimited Company (LinkedIn). This inquiry was launched by the DPC, in its role as the lead supervisory authority for LinkedIn, following a complaint initially made to the French Data Protection Authority.
The inquiry examined LinkedIn’s processing of personal data for the purposes of behavioural analysis[1] and targeted advertising[2] of users who have created LinkedIn profiles (members). The decision, which was made by the Commissioners for Data Protection, Dr Des Hogan and Dale Sunderland, and notified to LinkedIn on 22 October 2024, concerns the lawfulness, fairness and transparency of this processing. The decision includes a reprimand, an order for LinkedIn to bring its processing into compliance, and administrative fines totalling €310 million.
The DPC submitted a draft decision to the GDPR cooperation mechanism in July 2024, as required under Article 60 of the GDPR[3]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
The DPC’s final decision records the following findings of infringement of the GDPR:
Article 6 GDPR and Article 5(1)(a) GDPR, insofar as it requires the processing of personal data to be lawful, as LinkedIn:
Did not validly rely on Article 6(1)(a) GDPR (consent) to process third party data of its members for the purpose of behavioural analysis and targeted advertising on the basis that the consent obtained by LinkedIn was not freely given, sufficiently informed or specific, or unambiguous.
Did not validly rely on Article 6(1)(f) GDPR (legitimate interests) for its processing of first party personal data of its members for behavioural analysis and targeted advertising, or third party data for analytics, as LinkedIn’s interests were overridden by the interests and fundamental rights and freedoms of data subjects.
Did not validly rely on Article 6(1)(b) GDPR (contractual necessity) to process first party data of its members for the purpose of behavioural analysis and targeted advertising.
Articles 13(1)(c) and 14(1)(c) GDPR, in respect of the information LinkedIn provided to data subjects regarding its reliance on Article 6(1)(a), Article 6(1)(b) and Article 6(1)(f) GDPR as lawful bases.
Article 5(1)(a) GDPR, the principle of fairness.
DPC Deputy Commissioner Graham Doyle commented:
“The lawfulness of processing is a fundamental aspect of data protection law and the processing of personal data without an appropriate legal basis is a clear and serious violation of a data subject's fundamental right to data protection.”
The DPC will publish the full decision and further related information in due course.
Summary of LinkedIn Decision Infographic
Further information
This decision relates to a complaint-based inquiry, which was commenced on 20 August 2018, following a complaint made by the French non-profit organisation, La Quadrature Du Net. The complaint was initially made to the French Data Protection Authority and thereafter provided to the DPC in its role as the lead supervisory authority for LinkedIn, which acts as the controller for the processing of personal data at issue.
This inquiry examined the lawfulness, fairness and transparency of the processing of the personal data of users of the LinkedIn platform for the purposes of behavioural analysis and targeted advertising. The personal data in question encompassed data provided directly to LinkedIn by its members (first-party data) and data obtained via its third-party partners relating to its members (third-party data).
The GDPR requires processing of personal data to be based on one of the legal bases outlined in Article 6(1) GDPR, such as consent, contractual necessity or legitimate interests. Depending on the lawful basis selected by controllers, certain conditions must to be met. For example, any consent obtained must meet the standard required by the GPDR of being a freely given, specific, informed, and an unambiguous indication of the data subject’s wishes.
The GDPR also requires that processing is carried out in a fair manner. Fairness is an overarching principle, which requires that personal data may not be processed in a way that is detrimental, discriminatory, unexpected or misleading to the data subject. An absence of fairness can result in a loss of autonomy of data subjects over their personal data, put them in a position where they may be unable to exercise other GDPR rights, and impact their fundamental rights to privacy and personal data protection.
Transparency is another crucial aspect of data protection, and gives data subjects control over the processing of their personal data. Compliance with transparency provisions by controllers ensures that data subjects are fully informed of the scope and consequences of the processing of their personal data in advance and in a positon to exercise their rights.
The DPC’s final decision exercised the following corrective powers:
a reprimand pursuant to Article 58(2)(b) GDPR;
three administrative fines totalling €310 million pursuant to Articles 58(2)(i) and 83 GDPR; and
an order to LinkedIn to bring its processing into compliance with the GDPR pursuant to Article 58(2)(d).
Das Bundeskartellamt hat das Verfahrens gegen Facebook / Meta hinsichtlich der Zusammenführung von Nutzerdaten aus verschiedenen Angeboten und Diensten abgeschlossen.
Die Pressemitteilung des Bundeskartellamts: Abschluss des Facebook-Verfahrens
Das Bundeskartellamt hat sein Facebook-Verfahren abgeschlossen. Ergebnis des Verfahrens ist ein Gesamtpaket von Maßnahmen, das den Nutzenden des sozialen Netzwerkes Facebook deutlich verbesserte Wahlmöglichkeiten hinsichtlich der Verknüpfung ihrer Daten einräumt.
Im Februar 2019 hatte das Bundeskartellamt Meta (vormals Facebook) untersagt, personenbezogene Daten der Nutzenden ohne Einwilligung aus verschiedenen Quellen zusammenzuführen. Gegen die Entscheidung hatte Meta Beschwerde eingelegt. Neben einer jahrelangen gerichtlichen Auseinandersetzung und der Bestätigung des Bundeskartellamtes in Grundsatzfragen durch den Bundesgerichtshof (2020) sowie den Europäischen Gerichtshof (2023) haben Meta und das Bundeskartellamt intensiv über konkrete Maßnahmen zur Umsetzung der Entscheidung verhandelt. Nun wurden die Einzelmaßnahmen Metas als hinreichend wirkungsvolles Gesamtpaket angesehen, um das Verfahren abzuschließen. Meta hat seinerseits die vor dem Oberlandesgericht Düsseldorf (OLG Düsseldorf) anhängige Beschwerde gegen die Entscheidung des Bundeskartellamtes zurückgenommen. Die Entscheidung ist damit bestandskräftig.
Andreas Mundt, Präsident des Bundeskartellamtes: „Die Facebook-Entscheidung aus dem Jahr 2019 kann bis heute als bahnbrechend gelten. Auf Grundlage unserer seinerzeitigen Entscheidung hat Meta ganz wesentliche Anpassungen beim Umgang mit Nutzerdaten vorgenommen. Zentral ist dabei, dass die Nutzung von Facebook nicht mehr voraussetzt, dass man in eine grenzenlose Sammlung und Zuordnung von Daten zum eigenen Nutzerkonto einwilligt, auch wenn die Daten gar nicht im Facebook-Dienst anfallen. Das betrifft etwa Konzerndienste wie Instagram oder Drittseiten und -Apps. Das bedeutet, dass Nutzende nun deutlich bessere Kontrollmöglichkeiten hinsichtlich der Zusammenführung ihrer Daten haben. Neben diesen ganz konkreten Verbesserungen hat die Entscheidung des Bundeskartellamtes darüber hinaus zu einer wichtigen Leitentscheidung des Europäischen Gerichtshofes geführt und auf der nationalen wie europäischen Ebene Gesetzgebungsinitiativen inspiriert. Dies bedeutet auch, dass wir im Hinblick auf die Rechtsklarheit und die Eingriffsinstrumente in diesem Bereich heute einen ganz anderen Stand haben als noch vor fünf Jahren.“
Vor der Entscheidung des Bundeskartellamtes konnte das soziale Netzwerk Facebook nur unter der Voraussetzung genutzt werden, dass Facebook die Möglichkeit eingeräumt wurde, Daten über die Nutzenden auch außerhalb des Facebook-Angebots zu erheben und dem jeweiligen Facebook-Nutzerkonto zuzuordnen. Dies betraf zum einen Daten aus anderen unternehmenseigenen Diensten (wie Instagram) und zum anderen Daten, die in Apps und auf Websites von Drittanbietern erhoben wurden. Nutzende hatten insoweit nur die Wahl, entweder einer nahezu unbegrenzten Datenzusammenführung zuzustimmen oder auf die Nutzung des sozialen Netzwerks zu verzichten. Das Bundeskartellamt hatte diese Geschäftsbedingungen untersagt und verlangt, dass eine Zusammenführung der Daten nur nach gesonderter Einwilligung erfolgt, die gerade nicht zur Voraussetzung für die Nutzung von Facebook gemacht werden darf (vgl. Pressemitteilung vom 7. Februar 2019).
Der Beendigung des Verfahrens war ein intensiver Diskussionsprozess zwischen Meta und dem Bundeskartellamt vorausgegangen, innerhalb dessen Meta schrittweise folgende Maßnahmen zur Umsetzung der Entscheidung ergriffen bzw. zugesagt hat:
Einführung einer Kontenübersicht (vgl. Pressemitteilung vom 7. Juni 2023) zur Datentrennung zwischen einzelnen Meta-Diensten: Die Kontenübersicht erlaubt es Nutzenden, selbst zu entscheiden, welche Meta-Dienste (z. B. Facebook und Instagram) sie miteinander verknüpfen und damit einen Datenaustausch auch zu Werbezwecken erlauben wollen. Eine getrennte Nutzung der Dienste bleibt ohne wesentliche Qualitätseinbußen möglich.
Einführung von „Cookie“-Einstellungen zur Trennung von Facebook-Daten und anderen Daten: Im Hinblick auf Daten, die Meta über seine sog. Business Tools von Webseiten oder Apps anderer Unternehmen erhält, können Nutzende jetzt im Rahmen der „Cookie“-Einstellungen von Facebook entscheiden, ob sie eine Verknüpfung mit ihren in dem Dienst gespeicherten Daten erlauben möchten. Gleiches gilt für Instagram.
Sonderstellung des Facebook-Logins: Wer sich dafür entscheidet, seine Facebook-Daten nicht mit seinen Nutzungsdaten von anderen Websites oder Apps zusammenzuführen, kann hiervon für das Facebook-Login eine Ausnahme machen, wenn er diese Anmeldemöglichkeit in Apps oder auf Websites von Dritten benutzen möchte. Zuvor mussten Nutzende Meta sämtliche Datenzusammenführungen mit Daten aus Drittapps bzw. von Drittwebsites erlauben, wenn sie auf das Facebook-Login nicht verzichten wollten.
Prägnante Kundeninformation: Damit Metas Kundinnen und Kunden schnell zu den einschlägigen Einstellungen gelangen, mit denen ungewollte Datenverknüpfungen unterbunden werden können, werden Nutzende, die einer Datenverknüpfung in der Vergangenheit zugestimmt haben, beim Aufruf von Facebook auffällig gestaltete Benachrichtigungen erhalten, die jeweils direkte Verlinkungen zu den neu gestalteten Auswahlinstrumenten enthalten.
Vorgeschalteter Wegweiser: Meta hat am Anfang seiner Datenrichtlinie einen deutlichen Hinweis auf die Wahlmöglichkeiten der Nutzenden eingeführt (https://de-de.facebook.com/privacy/policy/ „So verwaltest du die Informationen, die wir verwenden“). Dieser enthält einen kurzen Erläuterungstext und Links zur Kontenübersicht und den „Cookie“-Einstellungen.
Eingeschränkte Datenverknüpfung für Sicherheitszwecke: Unabhängig von den von den Nutzenden vorgenommenen Einstellungen in Facebook oder Instagram speichert und verknüpft Meta Nutzungsdaten zu Sicherheitszwecken. Dies geschieht indessen nur vorübergehend und – sofern sich kein Verdacht auf unzulässiges Verhalten ergibt – längstens für einen vorab einheitlich festgelegten Zeitraum.
Andreas Mundt: „In der Gesamtschau ermöglichen diese Instrumente den Nutzenden eine erheblich verbesserte Kontrolle über das Ausmaß der Zuordnung von persönlichen Daten aus anderen Meta-Diensten sowie von Webseiten oder Apps anderer Unternehmen zu ihrem jeweiligen Facebook-Konto.“
Die oben beschriebenen Maßnahmen sind bereits umgesetzt oder werden in den nächsten Wochen realisiert.
Der Abschluss des Verfahrens bedeutet nicht, dass alle kartellrechtlichen Bedenken restlos ausgeräumt worden wären. Vielmehr wurden die Maßnahmen Metas als hinreichend geeignetes Gesamtpaket angesehen, um auf Vollstreckungsmaßnahmen zu verzichten und das Verfahren im Ermessenswege abzuschließen. Dies gilt auch vor dem Hintergrund, dass andere Behörden über wirksame und gut geeignete Instrumentarien verfügen, um ggf. weiterreichende Verbesserungen für die Nutzenden von Meta-Diensten in der Europäischen Union zu erreichen. Der Abschluss des Verfahrens auf der Basis des oben beschriebenen Maßnahmenpakets enthält daher keine Wertung, ob Meta die sich aus diesen Instrumentarien ergebenden Pflichten erfüllt. So hat die Europäische Kommission inzwischen die Befugnis, auf der Grundlage von Art. 5 Abs. 2 des Digital Markets Act (DMA), welcher die Problematik der Facebook-Entscheidung des Bundeskartellamtes aufgreift und weiterentwickelt, gegen Datenzusammenführungen zwischen verschiedenen Diensten von sog. Torwächtern vorzugehen, sofern keine wirksame Einwilligung vorliegt. Die Datenschutzbehörden können in Anwendung der Datenschutzgrundverordnung prüfen, inwieweit Einwilligungen tatsächlich freiwillig erfolgt sind und ob Datenverarbeitungen – auch innerhalb einzelner Dienste – ggf. exzessiv sind. Auch könnten hinsichtlich Metas Gestaltung der Nutzerdialoge verbraucherschützende Vorschriften zum Zug kommen.
Aufgrund z. T. ähnlicher Fragestellungen in Kartell- und Datenschutzrecht hat sich das Bundeskartellamt während des Verfahrens regelmäßig mit Datenschutzbehörden ausgetauscht. Zudem wurde das Bundeskartellamt in technischen Fragen vom Bundesamt für Sicherheit in der Informationstechnik unterstützt. Ferner war der Verbraucherzentrale Bundesverband (vzbv) als Beigeladene an dem Verfahren beteiligt.
Hintergrund:
Am 6. Februar 2019 untersagte das Bundeskartellamt Meta (vormals Facebook) per Beschluss, Daten ohne Einwilligung der Nutzenden aus verschiedenen Quellen zusammenzuführen. Hiergegen legte Meta Beschwerde beim OLG Düsseldorf ein. Dieses ordnete auf Antrag Metas am 26. August 2019 die aufschiebende Wirkung der Beschwerde an. Diese Anordnung hob der Bundesgerichtshof auf Antrag des Bundeskartellamtes mit Beschluss vom 23. Juni 2020 auf und lehnte Metas Antrag auf Anordnung der aufschiebenden Wirkung der Beschwerde ab. Am 24. März 2021 legte das OLG Düsseldorf dem Europäischen Gerichtshof (EuGH) diverse Fragen vor und setzte das Verfahren bis zur Entscheidung des EuGH aus. Der EuGH sollte u. a. klären, ob das Bundeskartellamt im Rahmen von kartellrechtlichen Abwägungsentscheidungen auch DSGVO-Normen auslegen darf. Der Europäische Gerichtshof hat dies in seiner Entscheidung am 4. Juli 2023 (Rechtssache C-252/21) bejaht. Der Rechtsstreit vor dem OLG Düsseldorf wurde angesichts der Gespräche zwischen den Parteien zuletzt nicht aktiv betrieben und ist jetzt mit der Rücknahme der Beschwerde durch Meta beendet.
Aktuell wird die Rechtmäßigkeit von Metas „Pay or consent“-Modell diskutiert, welches eine werbefreie Nutzung von Facebook bzw. Instagram gegen Gebühr ermöglicht. Mehrere europäische Verbraucherverbände haben hiergegen Beschwerde bei ihren jeweiligen nationalen Datenschutzbehörden eingelegt (siehe https://www.beuc.eu/press-releases/consumer-groups-launch-complaints-against-metas-massive-illegal-data-processing). Auch der Europäische Datenschutzausschuss hat entsprechende Modelle in einer Stellungnahme vom 17. April 2024 kritisiert (siehe https://www.edpb.europa.eu/system/files/2024-04/edpb_opinion_202408_consentorpay_en.pdf). Die Europäische Kommission sieht im „Pay or consent“-Modell von Meta einen möglichen Verstoß gegen den seit 7. März 2024 durchsetzbaren Digital Markets Act (DMA) und hat Meta hierzu am 1. Juli 2024 ihre vorläufigen Feststellungen mitgeteilt (siehe https://ec.europa.eu/commission/presscorner/detail/de/ip_24_3582).
Den Fallbericht des Bundeskartellamts finden Sie hier:
Das LG Traunstein hat entschieden, dass der Nutzer eines weltweit agierenden sozialen Netzwerks nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA hat.
Aus den Entscheidungsgründen: Die Klage ist nur teilweise zulässig.
I. Das Landgericht Traunstein ist sachlich nach §§ 1 ZPO, 71 Abs. 1, 23 GVG, international nach Art. 79 Abs. 2 S. 2, 82 Abs. 6 DSGVO und örtlich nach § 44 Abs. 1 S. 2 BDSG zuständig.
II.Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der Antrag bezieht sich auf „künftige Schäden“, „die der Klägerseite (…) entstanden sind und/oder noch entstehen werden.„Auch unter Berücksichtigung des gesamten klägerischen Vorbringens ist für das Gericht nicht zu erkennen, ob sich der Antrag nur auf künftige Schäden oder auch bereits entstandene, aber ggfs. noch nicht bekannte Schäden erstrecken soll.
III. Hinsichtlich des Feststellungsantrags besteht auch kein ausreichendes Feststellungsinteresse (§ 256 Abs. 1 ZPO). Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH NJW-RR 2007, 601). Welcher Schaden der Klagepartei dadurch entstehen soll, dass die Beklagte rechtswidrig ihre MessengerNachrichten überwacht, OffF Daten verarbeitet und Daten in die USA übermitteln sollte, ist für das Gericht nicht ersichtlich und wird auch nicht plausibel dargelegt.
IV. Der Unterlassungsantrag zu Ziff. 4 a) der Klageanträge ist nicht hinlänglich bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Das Wort „anlasslos“ schränkt das Unterlassungsbegehren in objektiv nicht abgrenzbarer Weise ein. Ein entsprechender Ausspruch wäre nicht vollstreckungsfähig.
V. Hinsichtlich des Unterlassungsantrags zu Ziff. 4b) fehlt der Klagepartei das Rechtsschutzbedürfnis. Die Klagepartei hat die Möglichkeit, über die Einstellungen die Behandlung der „Off-...- Daten“ bzw. „Aktivitäten außerhalb der ...-Technologien“ selbst zu steuern. Dies muss der Klagepartei spätestens aufgrund des Beklagtenvortrags im Rechtsstreit auch bekannt sein. Da ihr ein einfacherer Weg zur Erreichung ihres Rechtsschutzziels zur Verfügung steht, fehlt ihr für eine Unterlassungsklage das Rechtsschutzbedürfnis.
VI. Der Antrag auf Löschung „anlasslos gespeicherter“ Daten (Ziff. 5a und b der Klageanträge) ist aus den oben unter Ziff. IV genannten Erwägungen wegen Unbestimmtheit unzulässig.
VII. Im Übrigen ist die Klage zulässig.
B.
Die Klage ist – soweit sie unzulässig ist, jedenfalls auch – unbegründet.
23
I. Der Klagepartei stehen keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich des ...-Messenger-Dienstes zu. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO.
Die Klagepartei hat nicht schlüssig dargelegt, woraus sich ergeben soll, dass die Beklagte die über den ...-Messenger-Dienst ausgetauschten Inhalte systematisch automatisiert überwacht im Sinne eines „crawlings“ der Inhalte. Aus der Datenschutzrichtlinie der Beklagten ergibt sich solches jedenfalls nicht. Die Beklagte hat vielmehr plausibel dargelegt, dass sie die übertragenen Nachrichten entsprechend der gesetzlichen Vorgaben, insbesondere der ePrivacy-Richtlinie, behandelt und ein zulässiges CSAM (child sexual abuse material)-Scanning zur Identifikation kinderpornographischer Inhalte durchführt. Soweit die Klagepartei die Länge und Unübersichtlichkeit der Datenschutzrichtlinie der Beklagten rügt, lässt sich kein Verstoß gegen Art. 13, 14 DSGVO erkennen. Die umfangreichen datenschutzrechtlichen Anforderungen, die von Rechts wegen an die Beklagte gestellt werden, in Verbindung mit der Komplexität der von der Beklagten zur Verfügung gestellten Dienstleistungen lassen keine knappere oder einfachere Darstellung der datenschutzrechtlichen Rahmenbedingungen zu. Dass die Beklagte die über den MessengerDienst ausgetauschten Inhalte als solche speichert und an den Adressaten übermittelt, ist zur Bereitstellung dieser Dienstleistung unumgänglich, Art. 6 Abs. 1 Buchst. B DSGVO. Für einen Verstoß gegen das Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sieht das Gericht deswegen ebenfalls keine Anhaltspunkte. Das CSAM-Scanning ist von Art. 6 Abs. 1 Buchst. f DSGVO gedeckt. Im Übrigen ist es der Klagepartei – wie jedem „f-Nutzer selbst überlassen, ob sie den MessengerDienst überhaupt verwenden will oder nicht.
II. Der Klagepartei stehen auch keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich der “Off-...-Daten“ zu.
1. Auch insoweit ist kein datenschutzrechtlicher Verstoß ersichtlich. Die Verarbeitung von Daten im Zusammenhang mit „Aktivitäten außerhalb der ...-Technologien“ („Off-...-Daten“) ist durch die Einwilligung des Nutzers gedeckt, Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO. Nach dem Vortrag der Beklagten, an dessen Richtigkeit das Gericht keine Zweifel hat, holt sie die Einwilligung der Nutzer mittels eines im Schriftsatz vom 04.03.2024 auf S. 11 abgebildeten CookieBanners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden. Die Klagepartei ist bei „...“ angemeldet, so dass sie selbst die entsprechenden Einstellungen vornehmen kann. Wie es sich bei Personen verhält, die nicht bei „...“ angemeldet sind, kann dahinstehen, weil die Klagepartei nicht zu diesem Personenkreis gehört. Dass die Schaltfläche „Alle Cookies erlauben“ blau eingefärbt ist, stellt keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (datenschutzfreundliche Voreinstellung) dar. Denn es handelt sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt. Soweit die Beklagte Informationen von Cookies und ähnlichen Technologien von Dritten erhält, verarbeitet sie diese nach eigenen Angaben ohne Zustimmung des Nutzers nur zu Sicherheits- und Integritätszwecken, was durch Art. 6 Abs. 1 Buchst. b ff. DSGVO bzw. Art. 9 Abs. 2 Buchst. B ff. DSGVO gedeckt ist. Substanziell Entgegenstehendes wurde durch die Klagepartei nicht in den Rechtsstreit getragen.
2. Soweit die Beklagte bis zum Beschluss des Bundeskartellamts vom 06.02.2019 (s. Pressemitteilung vom 07.02.2019, Anlage KE-4) die „Off-...-Daten“ ohne eine erforderliche Einwilligung verarbeitet haben sollte, wird schon nicht vorgetragen, dass die Beklagte „Off ... Daten“ aus diesem Zeitraum bezogen auf die Klagepartei überhaupt noch vorhält. Im Übrigen wären daraus resultierende Ansprüche der Klagepartei jedenfalls verjährt, §§ 195, 199 Abs. 1, 214 Abs. 1 BGB. Die Klagepartei musste jedenfalls infolge der vorgenannten Pressemitteilung die tatsächlichen Anspruchsvoraussetzungen kennen oder sich dem Vorwurf grob fahrlässiger Unkenntnis aussetzen. Verjährung wäre somit zum Ende des Jahres 2022 eingetreten.
III. Der Klagepartei stehen schließlich keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen im Zusammenhang mit der Datenübermittlung in die USA zu.
1. Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. Die Plattform „...“ und der MKonzern stammen aus den USA. „...“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. Dieses Erfordernis ist auch unabhängig davon, ob die Klagepartei mit USamerikanischen „...“-Nutzern „befreundet“ ist oder nicht. Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „..."-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „...“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „...“. Die unternehmerische Entscheidung des Betreibers der Plattform „...“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „...“ zu nutzen.
2. Die Datenübermittlung ist daher grundsätzlich zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 Buchst. b DSGVO. Dafür dass die Beklagte, was die Klagepartei letztlich behauptet, darüber hinaus ihren gesamten Datenbestand dem amerikanischen Auslandsgeheimdienst voraussetzungslos zur freien Verfügung stellt, gibt es keine hinreichenden tatsächlichen Anhaltspunkte. Was die USamerikanische Regierung insoweit „zugegeben“ haben soll, wird klägerseits nicht konkret dargelegt. Die Beklagte jedenfalls hat solches bestritten und Beweis wurde klägerseits nicht geführt.
3. Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden von der Beklagten eingehalten.
a) Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.
b) Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. Nach Art. 46 Abs. 1 DSGVO müssen den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, um ein dem EURecht gleichwertiges Schutzniveau zu gewährleisten. Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.
c) Schließlich ist die Datenübermittlung, wie bereits oben ausgeführt, zur Vertragserfüllung erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 b DSGVO zulässig.
d) Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend.
4. Für eine Verletzung von Art. 5 Abs. 1 Buchst. f bzw. Art. 32 DSGVO ist schlüssig nichts vorgetragen. Wieso Anlass zur Annahme bestehen sollte, dass die Beklagte die Daten der Klagepartei in technischer oder organisatorischer Hinsicht nicht hinlänglich schützt, ergibt sich aus dem Klagevortrag nicht.
5. Eine Verletzung von Art. 13 DSGVO kann das Gericht ebenfalls nicht erkennen. Die Beklagte hat die Fundstellen genannt, unter denen sich der Nutzer über die Notwendigkeit der Datenübermittlung an ausländische Unternehmen, namentlich die .., Inc., wie auch über die Beauskunftung von Regierungsanfragen informieren kann. Dass die Beklagte ihrer Informationspflicht nicht nachgekommen wäre, ist nicht ersichtlich.
6. Soweit US-Regierungsbehörden einschließlich der Geheimdienste von .., Inc., nach USamerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 Buchst. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre.
IV. Für einen Schadensersatzanspruch aus Art. 82 DSGVO fehlt es zudem an einem kausalen Schaden der Klagepartei. Diese gab im Rahmen ihrer informatorischen Anhörung lediglich an, dass sie erst durch die Klägervertreter auf etwaige Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten bzw. dem Messenger gebracht worden sei. Erst auf Hinweis des Gerichtes wurde ihr offenbar, dass die hiesige Klage sich nicht auf die Scraping-Fälle bezieht. Schließlich wird Bezug genommen auf die Entscheidung des OLG München, Az. 14 U 3359/23 e, Verfügung vom 19.12.23, in welcher folgendes ausgeführt wird:
„Die Befürchtung (noch deutlicher: englisch „fear“ und französisch „crainte“), in der der EuGH einen materiellen Schaden erblickt, kann nur etwas sein, was der Geschädigte (a) persönlich erlebt und was ihn (b) seelisch belastet, mithin psychisch beeinträchtigt. Vermag das Tatgericht nichts dergleichen zu erkennen, so ist der Eintritt des immateriellen Schadens nicht überwiegend wahrscheinlich im Sinne von § 287 Abs. 1 ZPO.“
So liegt der Fall hier: allein die im Rahmen der informatorischen Anhörung (erst) auf Vorhalt ihres Prozessbevollmächtigten angegebene „große Sorge“ (nachdem zunächst angegeben wurde, dass man es „auch schlimm findet“) stellt keinen immateriellen Schaden dar.
V. Auskunftsansprüche nach Art. 15 DSGVO stehen der Klagepartei gegen die Beklagte nicht zu.
1. Soweit begehrt wird Auskunft bezüglich der Daten „aus der Überwachung des FMessengers“ zu erteilen, „ChatProtokolle vorzulegen und deren interne Bewertung offenzulegen“, können die Chat-Verläufe durch die Klagepartei selbst heruntergeladen werden. Der Auskunftsanspruch ist dadurch erfüllt, § 362 Abs. 1 BGB. Was unter einer „internen Bewertung“ zu verstehen sein soll, erschließt sich dem Gericht nicht; eine Subsumtion unter eine der Kategorien des Art. 15 Abs. 1 DSGVO ist insoweit nicht möglich.
2. Soweit Auskunft begehrt wird, welche „Off-...-Daten“ durch die Beklagte an der IP-Adresse der Klägerseite gesammelt und zu welchem Zweck sie gespeichert und verwendet wurden, verweist die Beklagte zu Recht auf die von ihr zur Verfügung gestellte Selbstauskunftsmöglichkeit und hinsichtlich der Verarbeitungszwecke auf eine bestimmte Seite im Hilfebereich. Die Auskunft ist damit erteilt, § 362 Abs. 1 BGB.
3. Hinsichtlich etwaiger an die NSA übermittelter Daten kann die Beklagte die Auskunft verweigern, weil zum einen eine Geheimhaltungspflicht nach USamerikanischem Rechts besteht und es sich zum anderen um ihrem Wesen nach geheimhaltungsbedürftige Informationen handelt, Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG, wobei sich letztgenannte Vorschrift entgegen der Auffassung der Klagepartei schon dem Wortlaut nach nicht auf Berufsgeheimnisträger beschränkt. Es versteht sich von selbst, dass die Information, ob und welche Auskünfte an Geheimdienste erteilt werden, ihrem Wesen nach geheimhaltungsbedürftig ist. Im Übrigen erfolgt die Beauskunftung an die NSA nicht durch die Beklagte, sondern durch die .., Inc., so dass die Beklagte hinsichtlich eines Auskunftsanspruchs auch nicht passivlegitimiert wäre.
VI. Die Löschungsanträge nach Art. 17 DSGVO (Ziff. 5 b und c der Klageanträge) gehen ins Leere, weil sie unter der Voraussetzung gestellt sind, dass die Datenverarbeitung „anlasslos“ erfolgt. Selbst wenn man diesem Begriff die Bedeutung „nicht notwendig“ (Art. 17 Abs. 1 Buchst. a DSGVO), „ohne Rechtsgrundlage“ (Art. 17 Abs. 1 Buchst. b DSGVO), oder „unrechtmäßig“ (Art. 17 Abs. 1 Buchst. d DSGVO) beimessen wollte, liegen diese Voraussetzungen, wie unter Ziffer I. bis II. ausgeführt, nicht vor.
VII. Sämtliche Unterlassungsansprüche scheitern am Fehlen eines Verstoßes gegen die DSGVO, s.o. Ziff. I bis III. Bezüglich der „Off-...-Daten“ tritt hinzu, dass es der Nutzer selbst in der Hand hat, die diesbezüglichen Einstellungen zu verwalten. Die Klagepartei handelt widersprüchlich, wenn sie die Einstellungen so belässt, wie sie sind, und andererseits von der Beklagten verlangt, die Daten nicht auf Grundlage dieser Einstellungen zu verarbeiten.
Die EU-Kommission kommt nach vorläufiger Einschätzung zu dem Ergebnis, dass die Kontoverifizierung durch X / Twitter allein durch Abschluss eines kostenpflichtigen Abos gegen den Digital Services Act (DSA) verstößt.
Die Pressemitteilung der EU-Kommission: Kommission übermittelt X vorläufige Feststellungen wegen Verstoßes gegen das Gesetz über digitale Dienste
Die Kommission hat X heute von ihrer vorläufigen Auffassung in Kenntnis gesetzt, dass sie in Bereichen im Zusammenhang mit Dark Patters, Transparenz der Werbung und Datenzugang für Forscher gegen das Gesetz über digitale Dienste verstößt.
Transparenz und Rechenschaftspflicht in Bezug auf die Moderation von Inhalten und Werbung stehen im Mittelpunkt des Gesetzes über digitale Dienste. Auf der Grundlage einer eingehenden Untersuchung, die unter anderem die Analyse interner Unternehmensunterlagen, Befragungen von Sachverständigen und die Zusammenarbeit mit den nationalen Koordinatoren für digitale Dienste umfasste, hat die Kommission in drei Fällen vorläufig festgestellt, dass die Vorschriften nicht eingehalten wurden:
Erstens gestaltet und betreibt X seine Schnittstelle für die „verifizierten Konten“ mit dem „Blue Checkmark“ in einer Weise, die nicht der Branchenpraxis entspricht und die Nutzer täuscht. Da jedermann einen solchen „überprüften“ Status abonnieren kann, beeinträchtigter die Fähigkeit der Nutzer, freie und fundierte Entscheidungen über die Authentizität der Konten und die Inhalte, mit denen sie interagieren, zu treffen. Es gibt Belege für motivierte böswillige Akteure, die das „verifizierte Konto“ missbrauchen, um Nutzer zu täuschen.
Zweitens hält X nicht die erforderliche Transparenz in Bezug auf Werbung ein, da es kein durchsuchbares und zuverlässiges Werbearchiv bietet, sondern Gestaltungsmerkmale und Zugangsbarrieren einrichtet, die das Repository für seine Transparenzzwecke gegenüber den Nutzern ungeeignet machen. Insbesondere ermöglicht das Design nicht die erforderliche Überwachung und Erforschung neu auftretender Risiken, die sich aus dem Online-Vertrieb von Werbung ergeben.
Drittens gewährt X Forschern keinen Zugang zu seinen öffentlichen Daten gemäß den im Gesetz über digitale Dienste festgelegten Bedingungen. Insbesondere untersagt X förderfähigen Forschern, unabhängig auf seine öffentlichen Daten zuzugreifen, z. B. durch Verschrotten, wie in seinen Nutzungsbedingungen angegeben. Darüber hinaus scheint das Verfahren von X, förderfähigen Forschern Zugang zu seiner Anwendungsprogrammierschnittstelle (API) zu gewähren, Forscher von der Durchführung ihrer Forschungsprojekte abzuhalten oder ihnen keine andere Wahl zu lassen, als unverhältnismäßig hohe Gebühren zu zahlen.
Mit der Übermittlung der vorläufigen Feststellungen teilt die Kommission X ihren vorläufigen Standpunkt mit, dass sie gegen das Gesetz über digitale Dienste verstößt. Dies greift dem Ergebnis der Untersuchung nicht vor, da X nun die Möglichkeit hat, seine Verteidigungsrechte auszuüben, indem sie die Unterlagen in der Untersuchungsakte der Kommission prüft und schriftlich auf die vorläufigen Feststellungen der Kommission antwortet. Parallel dazu wird das Europäische Gremium für digitale Dienste konsultiert.
Sollte sich die vorläufige Auffassung der Kommission letztlich bestätigen, würde die Kommission einen Verstoßbeschluss erlassen, in dem sie feststellt, dass X gegen die Artikel 25, 39 und 40 Absatz 12 des Gesetzes über digitale Dienste verstößt. Eine solche Entscheidung könnte zu Geldbußen von bis zu 6 % des weltweiten Jahresumsatzes des Anbieters führen und den Anbieter anweisen, Maßnahmen zu ergreifen, um den Verstoß zu beheben. Eine Entscheidung wegen Nichteinhaltung kann auch einen erweiterten Überwachungszeitraum auslösen, um die Einhaltung der Maßnahmen sicherzustellen, die der Anbieter zu ergreifen beabsichtigt, um den Verstoß zu beheben. Die Kommission kann auch Zwangsgelder verhängen, um eine Plattform zur Einhaltung der Vorschriften zu zwingen.
Hintergrund
X, vormals Twitter, wurde am 25. April 2023 im Rahmen des EU-Gesetzes über digitale Dienste als sehr große Online-Plattform (VLOP) benannt, nachdem sie erklärt hatte, monatlich mehr als 45 Millionen aktive Nutzer in der EU zu erreichen.
Am 18. Dezember 2023 leitete die Kommission ein förmliches Verfahren ein, um zu prüfen, ob X möglicherweise gegen das Gesetz über digitale Dienste in Bereichen verstoßen hat, die mit der Verbreitung illegaler Inhalte und der Wirksamkeit der zur Bekämpfung der Informationsmanipulation ergriffenen Maßnahmen zusammenhängen, für die die Untersuchung fortgesetzt wird, sowie Dark Patterns, Transparenz der Werbung und Datenzugang für Forscher, die Gegenstand der heute angenommenen vorläufigen Feststellungen sind.
Die Kommission hat auch ein Whistleblower-Tool eingerichtet, das es Mitarbeitern und anderen Personen mit Wissen ermöglicht, sich anonym mit der Kommission in Verbindung zu setzen, um zur Überwachung der Einhaltung durch die Kommission durch benannte sehr große Online-Plattformen/VLOSE beizutragen.
Darüber hinaus hat die Kommission im Februar und April 2024 ein förmliches Verfahren gegen TikTok, AliExpress im März 2024 und Meta im April und Mai 2024 eingeleitet.
Das OLG Frankfurt hat entschieden, dass die Bezeichnung einer Transfrau als "Transe" ausschließlich abwertend zu verstehen ist und das Wort ein diskriminierendes Schimpfwort darstellt. Daher hat der Betroffene einen Unterlassungsanspruch.
Die Pressmeitteilungd es Gerichts: Diskriminierung - Wort „Transe“ ist ausschließlich abwertend und ein diskriminierendes Schimpfwort
Eine klagende Transfrau kann u.a. verlangen, nicht als „Transe“ bezeichnet zu werden. Dem Wort kommt ausschließlich eine abwertende Bedeutung zu. Der diskriminierende Verletzungsgehalt steht auf einer Stufe mit dem Schimpfwort „Schwuchtel“. Das Oberlandesgericht Frankfurt am Main hat mit gestern verkündeter Entscheidung den vom Landgericht zugesprochenen Unterlassungsanspruch bestätigt.
Die Klägerin ist seit etwa 40 Jahren eine Transfrau. Ihr Geschlechtseintrag lautet „weiblich“. Sie setzt sich gegen Transfeindlichkeit ein und veröffentlicht dazu Beiträge u.a. auf der Plattform X. Der Beklagte betreibt einen Blog. Dort veröffentlichte er einen Artikel mit der Überschrift „Versuchte Abmahnung gegen Ansage: Totalitär tickende Transe zieht den Schwanz ein“.
Hintergrund dieses Artikels war eine vorausgegangene erfolglose Abmahnung des Beklagten durch die Klägerin wegen eines anderen Artikels. Im Rahmen der dortigen anschließenden gerichtlichen Auseinandersetzung hatte die Klägerin nach einem Hinweisbeschluss auf ihre Ansprüche verzichtet. Sie begehrt nun vom Beklagten, es zu unterlassen, in Bezug auf sie die Äußerung „Totalitär tickende Transe zieht den Schwanz ein“ zu tätigen. Das Landgericht hatte dem im Eilverfahren geltend gemachten Unterlassungsanspruch stattgegeben.
Die hiergegen eingelegte Berufung hat nun auch vor dem zuständigen Pressesenat keinen Erfolg. Der Klägerin stehe unter Abwägung der widerstreitenden Grundrechtspositionen ein Unterlassungsanspruch zu. Es liege eine Meinungsäußerung vor, die zwar nicht die Grenze zur Schmähkritik überschreite. Die angegriffene Äußerung verstehe ein Durchschnittsleser aber als gezielte Herabsetzung der Klägerin. Dem Wort „Transe“ komme nach dem allgemeinen Sprachgebrauch ausschließlich eine abwertende Bedeutung zu. Es handele sich um ein Schimpfwort, das in hohem Maße verletzend und diskriminierend sei. Durch dieses Schimpfwort erlange „auch die nachgestellte Wendung ‚zieht den Schwanz ein‘ für den Durchschnittsleser eine notwendig sexuelle Konnotation, die gerade im Zusammenhang mit einer als ‚Transfrau‘ bezeichneten Person in besonderem Maße herabsetzend ausfällt“, begründete das OLG weiter. Da der Durchschnittsleser die Möglichkeit in Betracht ziehe, dass die Klägerin ihr männliches Geschlechtsteil habe entfernen lassen, werde sie im Sinne eines Sprachspiels in menschenverachtender Weise ins Lächerliche gezogen, „da nichts eingezogen werden kann, was nicht vorhanden ist“. Diese drastische Herabsetzung werde durch die Formulierung „totalitär tickend“ ein weiteres Mal verschärft.
Die Äußerung könne auch nicht als satirisch eingekleidete Wendung gewertet werden. Denn sie enthalte weder Signale, die auf Satire hindeuteten, noch solche, die sie auch nur ironisch erscheinen ließen.
Das auf Seiten des Beklagten in die Abwägung einzustellende Recht der Meinungsfreiheit überwiege das allgemeine Persönlichkeitsrecht der Klägerin nicht. Auch vor dem Hintergrund der rechtlichen Auseinandersetzung zwischen den Parteien sei eine derart menschenverachtende Herabwürdigung der Klägerin nicht zu rechtfertigen. Sie trage vielmehr Züge einer „öffentlich ausgetragenen Privatfehde“, bei der der sachliche Kontext weitgehend in den Hintergrund rücke und damit auch ein etwaiges Informationsinteresse des Beklagten. Der grundrechtliche Schutz der Meinungsfreiheit impliziere zwar die rechtliche Anerkennung menschlicher Subjektivität und damit zugleich von Emotionalität und Erregbarkeit, „dies jedoch nur in den Grenzen zumutbarer Selbstbeherrschung“, unterstreicht der Senat.
Soweit die Klägerin im Vorprozess auf Ansprüche gegen die Äußerung „Totalitär tickende Trans-Furie“ verzichtet habe, stehe dies dem neuerlichen Unterlassungsbegehren der Klägerin nicht entgegen. Es lägen Formulierungen mit „völlig unterschiedliche(m) Bedeutungsgehalt“ vor, weshalb die nun angegriffene Äußerung von dem vorherigen Verzicht nicht erfasst werde.
Die im Eilverfahren ergangene Entscheidung ist nicht anfechtbar.
Oberlandesgericht Frankfurt am Main, Urteil vom 9.7.2024, Az. 16 U 92/23
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 6.7.2023, Az.: 2-03 O 204/23
Das OLG Frankfurt hat entschieden, dass Plattformbetreiber wie Facebook / Meta bei ehrverletzenden Inhalten auch kerngleiche Inhalte und Memes ohne erneute Inkenntnissetzung automatisch löschen muss.
Die Pressemitteilung des Gerichts: Facebook - Löschverpflichtung von rechtswidrig geposteten Inhalten
Nach Kenntnis rechtswidriger geposteter Inhalte muss Plattformbetreiber auch sinn- bzw. kerngleiche Posts löschen.
Die konkrete Kenntnis eines rechtsverletzenden Posts (hier: Falschzitat) verpflichtet einen Plattformbetreiber - hier Meta -, auch andere sinngleiche Äußerungen zu löschen. Der Umstand, dass die Bewertung automatisiert aufgefundener sinngleicher Äußerungen teilweise einer kontextgebundenen menschlich-händischen Überprüfung bedarf, führt nicht zur Unzumutbarkeit. Das Oberlandesgericht Frankfurt am Main (OLG) bestätigte mit heute verkündeter Entscheidung den eingeklagten Unterlassungsanspruch.
Die Klägerin ist Politikerin und für die Fraktion Bündnis90/Die Grünen im Bundestag. Sie wendet sich u.a. gegen ein sog. Meme, das über die von der Beklagten betriebene Plattform Facebook gepostet wurde. Es zeigt die Klägerin mit Bild und unter Nennung ihres Vor- und Zunamens sowie der als Zitat gekennzeichneten Äußerung: „Integration fängt damit an, dass Sie als Deutscher mal türkisch lernen!“. Diese Äußerung hat die Klägerin unstreitig nie getätigt.
Das Landgericht hatte die Beklagte hinsichtlich dieses Meme verpflichtet, es zu unterlassen, identische oder kerngleiche Inhalte auf der Plattform öffentlich zugänglich zu machen und sie zudem zur Zahlung einer Geldentschädigung in Höhe von 10.000,00 € verurteilt.
Die hiergegen eingelegte Berufung der Beklagten hatte nur hinsichtlich der Verurteilung zur Zahlung einer Geldentschädigung, nicht aber hinsichtlich der Unterlassungsverpflichtung Erfolg.
Das Landgericht habe der Klägerin zutreffend einen Unterlassungsanspruch zuerkannt, bestätigte das OLG. Das Falschzitat stelle einen rechtswidrigen Eingriff in das allgemeine Persönlichkeitsrecht der Klägerin dar. Es verletze sie in ihrem Recht am eigenen Wort.
Die Beklagte hafte als so genannte mittelbar verantwortliche Störerin auch dafür, dass sie es zu unterlassen habe, alle weiteren identischen oder kern- bzw. sinngleichen Posts zu diesem Post zu löschen, betonte das OLG. Durch die mit anwaltlichem Schreiben erfolgte Übermittlung der konkreten URLs hinsichtlich der von der Klägerin angegriffenen Posts habe die Beklagte unmittelbar Kenntnis von der Rechtsverletzung erlangt. Zudem werde in dem Schreiben definiert, was die Klägerin unter sinngleich verstehe. Diese Kenntnis und Information habe eine Prüf- und Verhaltenspflicht hinsichtlich der Existenz sinngleicher Inhalte ausgelöst, die ebenfalls zu löschen gewesen wären.
Die Beklagte treffe - nach der E-Commerce-Richtlinie - zwar keine allgemeine Überwachungs- und aktive Nachforschungspflicht hinsichtlich rechtswidriger Inhalte. Die konkrete Kenntnis der Rechtsverletzung verpflichte die Beklagte jedoch, künftig derartige Störungen zu verhindern. Dies gelte nicht nur für wortgleiche Inhalte, sondern auch dann, wenn die darin enthaltenen Mitteilungen sinngemäß ganz oder teilweise Gegenstand einer erneuten Äußerung seien.
Bei der Nachforschung nach derartigen sinngleichen Äußerungen müsse zwar nach der Rechtsprechung des EuGH aus Gründen der Zumutbarkeit auf „automatisierte Techniken und Mittel“ zurückgegriffen werden können. Dies sei hier jedoch auch grundsätzlich der Fall. Der Umstand, dass es in Fällen der Wiedergabe des Meme mit eigenen Zusätzen (sog. Caption) einer Sinndeutung bedürfe, so dass nicht rein automatisiert vorgegangen werden könne, stehe dem nicht entgegen. Der Senat fordere keine - europarechtswidrige - autonome rechtliche Prüfung des Inhalts solcher Posts, die sich vom Ursprungspost lösen. Der Beklagten werde nur die Beurteilung auferlegt, ob die Unterschiede aufgrund der abweichenden Gestaltung gegenüber dem Meme nach dem Verständnis eines durchschnittlichen Empfängers bewirkten, dass erkennbar werde, dass ein Falschzitat vorliege oder nicht. Diese menschlich-händische Einzelfallbewertung sei in Kombination mit technischen Verfahren automatisch erkannter bereits hochgeladener Inhalte zumutbar. Im Übrigen könne mithilfe des Einsatzes sog. KI-Systeme eine weitere automatische Vorfilterung erfolgen.
Der Klägerin stehe jedoch kein Anspruch auf Geldentschädigung zu. Dabei könne offenbleiben, ob bei einer hartnäckigen Verweigerung, einem Unterlassungsanspruch nachzukommen, ein solcher Anspruch begründet sei. Hier fehle es jedenfalls an einer solchen hartnäckigen Verweigerung.
Die Entscheidung ist nicht rechtskräftig. Der Senat hat wegen der grundsätzlichen Bedeutung der Frage, ob und unter welchen Voraussetzungen die Beklagte als sog. Hostprovider eine Prüf- und Verhaltenspflicht in Bezug auf sinngleiche Inhalte treffe, die Revision zugelassen.
Oberlandesgericht Frankfurt am Main, Urteil vom 25.1.2024, Az. 16 U 65/22
(vorausgehend LG Frankfurt am Main, Urteil vom 8.4.2022, Az. 2-03 O 188/21)