- Landgericht Paderborn entschied, dass Facebook für Datenmissbrauch 500,00 Euro Schadensersatz zahlen muss.
- Im Zeitraum 2018-2019 kam es zu massivem Datenscraping mit persönlichen Daten von 533 Millionen Nutzern.
- Facebook informierte die zuständige Datenschutzbehörde nicht über den Vorfall, was als Verstoß gilt.
- Gericht befand Facebook für verantwortlich aufgrund unzureichender Sicherheitsmaßnahmen im Umgang mit personenbezogenen Daten.
- Verstoß gegen Art. 33 DSGVO aufgrund unterlassener Meldepflichten an die Aufsichtsbehörde festgestellt.
- Entscheidung gilt als wegweisend für die Umsetzung von Privacy by Design in sozialen Netzwerken.
- Gericht schloss anhand des Kontrollverlusts über Daten auf einen immateriellen Schaden des Klägers.
Das Landgericht Paderborn hat in den Fällen des „Datenklaus“ bei Facebook faktisch eine Bombe platzen lassen und einem „Geschädigten“ nicht nur den Unterlassungsanspruch gewährt, sondern auch noch 500,00 Euro Schadensersatz zugesprochen. Das könnte nicht nur Folgen für Facebook haben, sondern auch Handlungspflichten für alle sonstigen Anbieter von Foren, Community etc. nach sich ziehen.
Worum geht es?
Im Zeitraum von Januar 2018 bis September 2019 kam es zu einem sogenannten „Datenscraping“, also dem massenhaften, automatisierten Sammeln der persönlichen Daten von Facebook-Nutzern. „Scraping“ ist eine weitverbreitete Methode, um Daten, die typischerweise öffentlich einsehbar sind, von Internetseiten durch automatisierte Softwareprogramme abzurufen. Dieses Sammeln von Daten mittels automatisierter Tools und Methoden war und ist nach den Nutzungsbedingungen von Facebook untersagt. Unbekannten gelang es durch die Nutzung von Telefonnummern der Facebook-Mitglieder, und dem Kontaktimporter aus 2019, Daten zu sammeln und veröffentlichten Anfang April 2021nach Angaben eines Artikels des „Business Insider“ vom 03.04.2021 die Daten von ca. 533 Millionen Nutzern aus 106 Ländern im Internet.
Facebook veröffentlichte daraufhin, dass die Daten nicht durch einen Hack erlangt worden seien, sondern es sich um öffentlich einsehbare Informationen handele. Die zuständige Datenschutzbehörde wurde von Facebook nicht über den Vorfall informiert. Stattdessen ergriff die Beklagte als Reaktion auf die Medienberichterstattung Maßnahmen, um Nutzern Informationen über das „Scraping“ sowie die Möglichkeiten zur Änderung ihrer Privatsphäre-Einstellungen zur Verfügung zu stellen.
Der in diesem Verfahrende betroffene Kläger, machte aufgrund des Aufbau der Privatsphäre-Einstellungen und der sonstigen Umstände, nun nicht nur einen Unterlassungsanspruch geltend, sondern verlange auch einen auf der DSGVO beruhenden Schadensersatzanspruch.
Die Entscheidung des Landgericht Paderborn
Das Landgericht entschied, dass dem Kläger gegen Facebook ein Anspruch auf Schadensersatz i.H.v. 500,00 € aus Art. 82 Abs. 1 DSGVO zustehen würde. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Ein Schadensersatzanspruch nach Art. 82 DSGVO kann nur dann begründet werden, wenn nach dessen Absatz 2 Satz 1 ein Schaden durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Entsprechend der Legaldefinition des Art. 4 Ziffer 2 DSGVO entstehen die Informations- und Aufklärungspflichten des Art. 13 DSGVO bereits mit der Erhebung personenbezogener Daten. Bereits zu diesem Zeitpunkt hat der Verantwortliche gegenüber dem Betroffenen umfangreiche Informationspflichten zu erfüllen. Bildet die Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a) DSGVO die Grundlage des Datenerhebungs- und somit auch des Datenverarbeitungsvorganges, kann eine solche Einwilligung unter Berücksichtigung der in der DSGVO vorherrschenden Grundsätze einer fairen und transparenten Verarbeitung von personenbezogenen Daten keinen Bestand haben, wenn dem Betroffenen nicht bereits bei Datenerhebung sämtliche nach Art. 13 DSGVO erforderlichen Informationen mitgeteilt werden.
Spannend ist, dass das Gericht zunächst ausführt:
Eine Verletzung der Informations- und Aufklärungspflichten des Art. 13 Abs. 1 lit. c) DSGVO kann nicht schon darin gesehen werden, dass seitens der Beklagten kein Hinweis bei Erhebung der Daten der Mobilfunknummer des Klägers erfolgt ist, dass bei der voreingestellt für „Alle“ freigegebenen Mobilfunknummer die Möglichkeit einer missbräuchlichen Datenabgreifung besteht. Es besteht schon nicht eine dahingehende Informations- und Aufklärungspflicht auf Seiten der Beklagten. Diese Möglichkeit ist der Risikosphäre der betroffenen Person zuzuordnen, da dem Risiko einer missbräuchlichen Verwendung von persönlichen Daten zwangsläufig jede Person ausgesetzt ist, die ihre persönlichen Daten im Internet preisgibt bzw. diese in sozialen Netzwerken teilt.
Allerdings erfolgte durch Facebook keine hinreichende Aufklärung darüber, dass die Telefonnummer nicht nur für eine Zwei-Faktor-Anmeldung verwendet werden kann, sondern auch dazu dient, dass andere Mitglieder nach dieser Nummer suchen können und diese mit den eigenen gespeicherten Telefonnummer abgleichen können, um „neue Freund“ hinzuzufügen.
Das Gericht kam daher zu dem Schluss, dass Facebook als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO aufgrund unzureichender Sicherheitsmaßnahmen bezüglich der Nutzung des Kontakt-Import-Toolsauch gegen Art. 32, 24, 5 Abs. 1 f) DSGVO verstieß. Gemäß Art. 32 Abs. 1 Hs. 1 DSGVO haben der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diesen Anforderungen genügten die beklagtenseits behaupteten Schutzmaßnahmen nicht.
Exkurs des Landgericht zu TOM
Artikel 32 DSGVO ist immer noch eine vielen Anbietern kaum bekannte Norm. Er regelt die Pflicht des Verantwortlichen und des Auftragsverarbeiters, bestimmte technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau im Hinblick auf die verarbeiteten personenbezogenen Daten zu gewährleisten. Er konkretisiert die als Generalauftrag gestalteten Datensicherheitsmaßnahmen des Art. 24 DSGVO und dient damit u.a. der Gewährleistung der Absicherung der Datenschutzgrundsätze der Vertraulichkeit und Integrität nach Art. 5 Abs. 1 f) DSGVO. Zielrichtung ist ein umfassender Schutz der für die Verarbeitung von personenbezogenen Daten genutzten Systeme, also im Kern die Datensicherheit. Das Gebot soll insbesondere personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten oder es unbeabsichtigt zu einem Verlust, einer Zerstörung oder Schädigung der Daten kommt. Bei der Implementierung von geeigneten technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO sind dabei der Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen als Faktoren zu berücksichtigen. Dies bedeutet allerdings nur, dass sie in die Verhältnismäßigkeitsprüfung einzustellen, jedoch nicht notwendigerweise absolut zu befolgen sind
Die DSGVO legt zur Bemessung der Geeignetheit der Maßnahmen insbesondere weiter fest, dass diese ein dem Risiko der Verarbeitung angemessenes Schutzniveau bieten müssen. Dabei kommt es letztlich darauf an, wie groß die Risiken sind, die den Rechten und Freiheiten der betroffenen Person drohen und wie hoch die Wahrscheinlichkeit eines Schadenseintritts ist. Damit ergibt sich, dass die Maßnahmen umso wirksamer sein müssen, je höher die drohenden Schäden sind. Dies wird vor allem anhand der Sensibilität der Daten und der Wahrscheinlichkeit eines Schadeneintritts bestimmt.
Art. 32 Abs. 1 DSGVO verpflichtet den Verantwortlichen und Auftragsverarbeiter aber nicht zu einem absoluten Schutz(niveau) der Daten. Das Schutzniveau muss vielmehr, je nach Verarbeitungskontext, dem Risiko bezüglich der Rechte und Freiheiten der betroffenen Personen im Einzelfall angemessen sein. Dies bedeutet gleichzeitig, dass das Risiko nicht völlig ausgeschlossen werden kann und dies auch nicht Ziel der umzusetzenden Maßnahmen ist. Zur Bestimmung des angemessenen Schutzniveaus sind gem. Art. 32 Abs. 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. Diese sind laut dem Landgericht Paderborn zwingend in die Risikobetrachtung einzubeziehen.
Ausweislich des Erwägungsgrunds 76 zur DSGVO sollten die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten des betroffenen Person in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.
PR-Fehler von Facebook?
Interessant ist ebenfalls die Ausführung des Gerichts, die man durchaus einen PR-Fehler von Facebook nennen könnte. Das Gericht folgert nämlich:
Dies war auch der Beklagten bekannt. Für sie ist ausweislich ihres Artikels „Die Fakten zu Medienberichten über G-Daten“ vom 06.04.2021 Scraping „eine gängige Taktik.“ Die Beklagte musste sich daher darüber bewusst sein, dass Maßnahmen für ein angemessenes Schutzniveau für die personenbezogenen Daten hinsichtlich des Risikos von Scraping zu treffen waren.
Soweit die Beklagte nun darauf abstellt, dass sie gegen Scraper mittels Unterlassungsaufforderungen, Kontosperrungen und Gerichtsverfahren vorgehe, kommt diese Maßnahme bereits erst dann zu tragen, wenn ein Datenscraping tatsächlich eingetreten ist. Die Daten sind in diesem Stadium bereits entwendet worden. Eine Veröffentlichung oder anderweitiger Missbrauch kann in diesem Stadium praktisch nicht mehr verhindert werden. Des Weiteren ist die behauptete teilweise Einschränkung des CIT auch nach dem Beklagtenvorbringen erst nach dem streitgegenständlichen Vorfall eingeführt worden.
Auch die Ausführungen im Verfahren waren wohl nicht besser, denn das Landgericht weist darauf hin:
Auch die Beschäftigung eines Teams von Datenwissenschaftlern, -analysten und Softwareingenieuren zur Bekämpfung von Scraping, Übertragungsbeschränkungen sowie CAPTCHA-Abfragen genügen den Anforderungen des Art. 32 DSGVO im vorliegenden Fall allein nicht. Die Beklagte legt diesbezüglich bereits nicht dar, wie es bei den – aus ihrer Sicht im hiesigen Verfahren ausreichenden – Sicherheitsmaßnahmen dennoch zum streitgegenständlichen Datenscraping kommen konnte.
Aufgrund all dieser Punkte erkennt das Gericht ein Verstoß gegen Art. 32, 24, 5 Abs. 1 f) DSGVO, der bei Vorliegen der übrigen Anspruchsvoraussetzungen einen Anspruch nach Art. 82 DSGVO zur Folge habe.
Weitere Ansprüche auf Schadensersatz
Erschwerend kommt hinzu:
Die Beklagte hat zudem ihre Meldepflicht aus Art. 33 DSGVO verletzt.
Den gemäß Art. 33 Abs. 1 DSGVO hat der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der gem. Art. 55 DSGVO zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Der Mindestinhalt der Meldung ist in Art 33 Abs. 3 DSGVO festgelegt. Das ist brisant, denn wie schon das Landgericht Essen letztes Jahr entschied, kann auch ein Verstoß gegen die Meldepflicht geeignet sein, für den Verantwortlichen eine Haftung und eine Schadensersatzpflicht gem. Art. 82 DSGVO zu begründen. Die Vorschrift dient sowohl dem Schutz des Betroffenen, als auch der Ermöglichung von Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung durch die Aufsichtsbehörde. Insofern genüge laut dem Gericht bereits ein solch formeller Verstoß gegen die DSGVO zur Begründung eines Schadensersatzanspruchs dem Grunde nach.
Auch ein Verstoß gegen Art. 34 Abs. 1 DSGVO liegt vor und ist geeignet, einen Schadensersatzanspruch zu begründen. Nach dieser Vorschrift benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten, wenn diese voraussichtlich ein hohes Risiko für seine persönlichen Rechte und Freiheiten zur Folge hat. Die Benachrichtigung muss grundsätzlich gegenüber der betroffenen Person i.S.v. Art. 4 Nr. 1 DSGVO erfolgen. Der in Art. 34 Abs. 1 Hs. 2 DSGVO gewählte Singular „Person“ verdeutliche laut dem LG Paderborn, dass in den Fällen des Art. 34 regelmäßig eine individuelle Information bezüglich des Datenschutzvorfalls erfolgen müsse. Eine solche individualisierte Information des Klägers ohne schuldhaftes Verzögern nach Offenbarung der Verletzung des Schutzes personenbezogener Daten im Jahr 2019 habe Facebook aber nicht vorgenommen.
Die hier vorliegende Verletzung des Schutzes personenbezogener Daten hat voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen zur Folge. Ein solches Risiko besteht dann, wenn zu erwarten ist, dass bei ungehindertem Geschehensablauf mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten des Betroffenen eintritt. In einem solchen Fall ist es nicht maßgeblich, ob die Datenschutzverletzung auch zu einen besonders hohen Schadensumfang führt. Ein solcher Schaden ist durch den dadurch begründeten Kontrollverslust des Klägers über seines Daten bereits eingetreten.
Exkurs des Landgericht zu „Privacy by Design“
Das hochinteressante Urteil vom Dezember 2022 liest sich fast wie ein Leitpfaden für Datenschutzbeauftragte. So beinhaltet es auch sehr spannende Ausführungen zum Thema „Privacy by Design“.
Facebook verstoße laut dem Gericht mit seinen Grundeinstellungen zur Sichtbarkeit zumindest hinsichtlich der E-Mail-Adresse und zur Suchbarkeit über die Telefonnummer der Benutzer der G-Plattform gegen Art. 25 DSGVO.
Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen bereits bei der Entwicklung von Produkten, Diensten und Anwendungen sicherzustellen, dass die Anforderungen der DSGVO erfüllt werden („Privacy by Design“). Abs. 2 konkretisiert diese allgemeine Verpflichtung und verlangt, vorhandene Einstellungsmöglichkeiten standardmäßig auf die „datenschutzfreundlichsten“ Voreinstellungen („Privacy by default“) zu setzen. „Datenschutz durch Voreinstellungen“ soll insbesondere diejenigen Nutzer schützen, welche die datenschutztechnischen Implikationen der Verarbeitungsvorgänge entweder nicht zu erfassen in der Lage sind oder sich darüber keine Gedanken machen und sich deshalb auch nicht dazu veranlasst sehen, aus eigenem Antrieb datenschutzfreundliche Einstellungen vorzunehmen, obwohl der Telemediendienst ihnen diese Möglichkeit prinzipiell eröffnet. Die Nutzer sollen keine Änderungen an den Einstellungen vornehmen müssen, um eine möglichst „datensparsame“ Verarbeitung zu erreichen. Vielmehr soll umgekehrt jede Abweichung von den datenminimierenden Voreinstellungen erst durch ein aktives „Eingreifen“ der Nutzer möglich werden. Die Regelung soll die Verfügungshoheit der Nutzer über ihre Daten sicherstellen und sie vor einer unbewussten Datenerhebung schützen. Abs. 2 verlangt aber nicht, dass der Verantwortliche stets die jeweils denkbar datenschutzfreundlichste Voreinstellung trifft. Der Verantwortliche entscheidet vielmehr durch die Festlegung eines bestimmten Verarbeitungszweckes auch über den Umfang der dafür erforderlichen Daten. Dem Wortlaut nach ist daher auch eine besonders datenintensive Voreinstellung mit Abs. 2 vereinbar, wenn der Zweck der Verarbeitung dies erfordert. Vor dem Hintergrund der Schutzrichtung des Abs. 2, den Nutzer vor einer Überrumpelung oder dem Ausnutzen seiner Unerfahrenheit zu schützen, muss der Verantwortliche aber stets sicherstellen, dass die geplante Datennutzung auch für einen nicht-technikaffinen Nutzer hinreichend transparent ist.
Allerdings können Anbieter kurz aufatmen, denn
Dies verhilft der Klägerin indes jedoch nicht zu einem Anspruch gem. Art. 82 Abs. 1 DSGVO.
Allein aus einem Verstoß gegen Art. 25 DSGVO könne wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DSGVO jedoch nicht begründet werden. Die Vorschrift entfalte bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt entfalte die DSGVO jedoch nach Art. 2 Abs. 1 DSGVO noch keine Wirkung. Die Anwendbarkeit der DSGVO setze vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus
Schadensersatz also gegeben?
Dem Kläger ist nach Auffassung des Gerichts dajer immaterieller Schaden im Sinne des Art. 82 DSGVO entstanden. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen des Schadensersatzanspruches jedoch nicht. Vielmehr folge bereits aus dem Wortlaut der Vorschrift, dass der Verordnungsgeber keine allein an den Rechtsverstoß anknüpfende Zahlungspflicht begründen wollte. Der Generalanwalt des EuGH stellte in seinen Schlussanträgen im Rahmen des Vorabentscheidungsersuchens des österreichischen Obersten Gerichtshofs vom 12.05.2021 auf das Erfordernis eines konkreten Schadens ab. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 S. 3 im Lichte der Rechtsprechung des Europäischen Gerichtshofs weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DS-GVO bestehen dabei u.a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können.. In den Erwägungsgründen 75 und 85 wird der Kontrollverlust über die personenbezogenen Daten gerade als ein Beispiel für das Vorliegen eines solchen Schadens aufgeführt.
Und jetzt kommt das wirkliche „Bäm“ dieser Entscheidung, denn
Im Übrigen tritt der Kontrollverlust– unabhängig von der Veröffentlichung im „Darknet“ – bereits durch den „Scraping“-Vorfall und das damit verbundene Abschöpfen der Daten ein. Unerheblich ist, dass der Name, das Geschlecht und die G-ID nach den Nutzereinstellungen des Klägers öffentlich waren. Denn jedenfalls die Verknüpfung mit seiner Telefonnummer war bis dahin nicht hergestellt. Darüber hinaus sieht Erwägungsgrund 75 vor, dass ein immaterieller Schaden auch dann anzunehmen ist, wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von Personen betrifft. Auch dies ist aufgrund der Tatsache, dass im Rahmen des „Scraping“-Vorfall die Daten von Millionen von G-Nutzern veröffentlicht wurden, anzunehmen.
Ob eine erhebliche Beeinträchtigung etwa in Form eines schwerwiegenden Persönlichkeitseingriffs vorliegen muss ist umstritten (pro: OLG Dresden NJW-RR 2020, 1370; LG München I GRUR-RS 2021, 33318; LG Karlsruhe BeckRS 2021, 20347; contra: OLG Frankfurt GRUR 2022, 1252 Rn. 63; LAG Hannover, ZD 2022, 61; LG München I GRUR-RS 2021, 41707; LG Lüneburg BeckRS 2020, 36932; Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DS-GVO Art. 82 Rn. 18), kann aber im Ergebnis dahinstehen. Zwar geht auch der Generalanwalt in seinen Schlussanträgen davon aus, dass es den nationalen Gerichten obliegt herauszuarbeiten, wann ein subjektives Unmutsgefühl die Grenze zwischen bloßem nicht ersatzfähigem Ärger und echtem ersatzfähigen immateriellen Schaden überschreitet (Generalanwalt beim EuGH Schlussantrag v. 6.10.2022 – C-300/21, BeckRS 2022, 26562). Vorliegend handelt es jedoch nicht um einen bloßen Bagatellschaden. Denn durch die Veröffentlichung der personenbezogenen Daten des Klägers im „Darknet“ ist die Weiterverarbeitung durch einen unbegrenzten und unbestimmten Personenkreis, insbesondere auch für den gezielten Missbrauch etwa in Form von Betrugsanrufen, ermöglicht.
Auch die sonstigen Anforderungen an einen Schadensersatzanspruch, beispielsweise die Kausalität, waren für das Gericht unproblematisch, weswegen dieses ein Schmerzensgeld von 500,00 Euro als angemessen ansah. Grund dafür war vor allem, dass sich Facebook mehrere Verstöße gegen die DSGVO vorwerfen lassen musste, die einen sehr weitgehenden Kontrollverlust der personenbezogenen Daten des Klägers ermöglicht und begünstigt haben. Allerdings reduzierte das Gericht den Schadensersatz von den mindestens geforderten 1000,00 Euro auf 500,00 Euro. Die Kammer konnten nämlich keine besondere persönliche Betroffenheit feststellen. Weder hat der Kläger sein Facebook-Profil gelöscht und seine Handynummer geändert, noch sonstige Maßnahmen ergriffen, um seine Daten zu schützen. Zudem ist das Vorbringen der Beklagten, die „Suchbarkeits-Einstellung“ sei bei dem Kläger seit dem 07.10.2016 auf „Alle“ eingestellt (Anlage B17), auf Klägerseite unwidersprochen geblieben, sodass die Kammer davon ausgehen musste, dass eine Änderung der „Suchbarkeits-Einstellung“ nicht stattgefunden hat. Diese Umstände verdeutlichen, dass der objektive Kontrollverlust der personenbezogenen Daten den Kläger jedenfalls subjektiv nicht so stark getroffen hat, da der streitgegenständliche „Scraping-Vorfall“ den Kläger offenbar nicht dazu angehalten habe, selbst Konsequenzen zu ziehen und einem möglichen Missbrauch der Daten in Zukunft aktiv entgegenzutreten.
