European Case Law Identifier: ECLI:AT:OGH0002:2021:E132244
Rechtsgebiet: Zivilrecht
Spruch:
Der Revision des Klägers wird, soweit sie sich gegen die Bestätigung der Punkte III 1 bis 4 des Ersturteils richtet, nicht Folge gegeben.
Der Revision der Beklagten wird, soweit sie sich gegen die Bestätigung von Punkt II des Ersturteils richtet, nicht Folge gegeben.
Hinsichtlich des Auskunftsbegehrens (Punkt I des Ersturteils) wird das Verfahren bis zum Vorliegen der Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen des Obersten Gerichtshofs vom 18. Februar 2021 (6 Ob 159/20f) unterbrochen.
Die Entscheidung über die Kosten des Revisionsverfahrens wird der Endentscheidung vorbehalten.
Entscheidungsgründe:
[1] Die Beklagte ist eine nach dem Recht der Republik Irland eingerichtete Gesellschaft mit Sitz in Dublin, Irland. Sie hat in Österreich keine Zweigniederlassung. Ein erheblicher Teil der Weltbevölkerung (ausgenommen vor allem China und Russland) kommuniziert regelmäßig über das „geschlossene“ Kommunikationsnetzwerk der Beklagten bzw ihrer Muttergesellschaft F* Inc., wobei den Nutzern in der Europäischen Union die Beklagte den F*-Dienst zur Verfügung stellt.
[2] Der F*-Dienst ist eine Online-Plattform und ein soziales Netzwerk zum Teilen von Inhalten. Er ermöglicht Nutzern, diverse Inhalte (zB Textbeiträge, Bilder, Videos, Veranstaltungen, Notizen oder persönliche Informationen) hochzuladen und je nach den gewählten Einstellungen mit anderen Nutzern auszutauschen. Diese Inhalte können auch von anderen Nutzern mit weiteren Inhalten angereichert werden (zB durch Hinzufügen von Kommentaren, „Likes“ oder Markierungen in Fotos oder anderen Inhalten). Nutzer können auch direkt mit anderen Nutzern kommunizieren und mit diesen „chatten“ bzw auch Daten über Direktnachrichten und E-Mails austauschen.
[3] Jeder Nutzer kann andere Nutzer als „Freunde“ hinzufügen. Diese „Freundschaften“ liegen üblicherweise in sehr hoher Zahl vor (500 oder sogar 1.000 „Freunde“ sind nicht selten) und sind daher eher als „lose Bekanntschaften“, nach üblichem Sprachgebrauch, einzuordnen. Es ist auch durchaus üblich, dass Nutzer nicht alle ihre „Freunde“ persönlich kennen oder wieder vergessen haben, um wen es sich eigentlich handelt. Die Funktion der „Freundschaften“ stellt ein wesentliches Unterscheidungsmerkmal der Dienstleistung der Beklagten zu anderen Diensten dar.
[4] Viele der von der Beklagten bereitgestellten Funktionen interagieren stark mit dem Netzwerk an „Freundschaften“ des einzelnen Nutzers. Durch die „Freundschaften“ wird die soziale Umgebung der Nutzer und deren Kommunikation innerhalb dieses „Netzwerks“ erfasst.
[5] Praktisch alle Informationen von allen Nutzern werden somit verknüpft. Diese Verknüpfung von unzähligen Daten mit den Nutzern wird von der Beklagten als „Social Graph“ bezeichnet und erlaubt eine Auswertung von Informationen über den einzelnen Nutzer über die von diesem selbst bereitgestellten Daten hinweg. So können zB durch Informationen über den Umkreis des Nutzers auch Informationen über einen Nutzer hochgerechnet werden, die dieser nicht angegeben hat. Hierfür wertet die Beklagte Daten über jeden Nutzer aus und versucht so, die Interessen, Vorlieben und Verhältnisse der Nutzer zu erkunden. In die Erforschung der „Vorlieben“ und des „Profils“ der Nutzer fließen nicht nur vom Nutzer selbst angegebene Interessen oder Informationen ein, sondern alle personenbezogenen Daten, über welche die Beklagte verfügt.
[6] Die Beklagte generiert selbst keine Inhalte, sondern erhält diese für ihre Dienste ohne direkten Kostenersatz bzw ohne dafür ein bestimmtes „Entgelt“ zu leisten von privaten und kommerziellen Nutzern. Sie beschränkt sich auf die Bereitstellung und Administration der Infrastruktur und bietet Funktionen zur automatischen Aggregation von Nutzerdaten. Das wirtschaftliche Modell der Beklagten besteht darin, Einnahmen durch maßgeschneiderte Werbung und kommerzielle Inhalte zu generieren, die auf den gleichen Vorlieben und Interessen beruhen. Sie erwirtschaftet ihren Gewinn primär durch Werbung,welche in verschiedenster Form in den Diensten der Beklagten untergebracht wird. Sie stellt ihren Nutzern ihre Dienste unentgeltlich zur Verfügung und erzielt Einkünfte, indem die Nutzerdaten verarbeitet werden, um Werbetreibenden die Möglichkeit der maßgeschneiderten und zielgerichteten Werbung zu verkaufen. Neben relativ statischer Werbung (die jedem Nutzer gleichermaßen angezeigt wird) bietet die Beklagte „personalisierte“ Werbung an, welche dem Werbetreibenden eine genaue Ausrichtung auf individuelle Personengruppen (zB nach Ort, Alter, Geschlecht, Interessen) oder sogar einzelne Personen erlaubt. Sie bietet Werbetreibenden daher die Möglichkeit an, ihre Anzeigen einem maßgeschneiderten Publikum zu präsentieren. Mehr als 2,2 Milliarden Nutzer weltweit (Stand 11/2018) haben sich bei F* angemeldet. Unternehmen können auch ihre Inhalte finanziell unterstützen („Sponsoring“) und so dafür sorgen, dass diese Inhalte mehr Nutzern angezeigt werden.
[7] Die Beklagte stellt dafür kommerziellen Nutzern F* Business Tools zur Verfügung. Bewertungs- und Analysedienste der Beklagten erlauben es den Werbetreibenden, die Effektivität ihrer Werbung zu ermitteln oder festzustellen, wie die Webseiten-Nutzer mit Inhalten auf ihren Websites umgehen. Die Analysesysteme untersuchen durch Algorithmen große Datenmengen, suchen Korrelationen und Muster und ziehen daraus entsprechende Schlüsse.
[8] Die Business Tools ermöglichen Werbetreibenden, Werbeanzeigen zu erstellen und die relevanten Zielgruppen zu erreichen. Es gibt drei Möglichkeiten, das Publikum zu definieren: das „Custom Audience Tool“, das „Look-A-Like Audience Tool“ oder die „Kernzielgruppenfunktion“. Für die Verwendung dieser Tools gelten die Nutzungsbedingungen für F* Business Tools, die Nutzungsbedingungen für Custom Audiences, die Bedingungen für die Datenverarbeitungund die Werberichtlinie.
[9] Mit dem „Custom Audience Tool“ können Unternehmer Nutzer erreichen, die bereits mit dem Unternehmen interagiert haben. Das Unternehmen kann eine gehashte Liste mit Informationen über seine aktuellen Kunden (zB E‑Mail-Adresse, Telefonnummer) hochladen. F* gleicht diese Hashwerte mit Nutzerkonten ab, womit Unternehmen Kunden mit übereinstimmenden Identifizierungen erreichen können.
[10] Mit dem „Look-A-Like Audience Tool“ erstellt der Werbetreibende ein Ausgangspublikum und wählt dann den Ort und die Anzahl der Personen aus, die er erreichen möchte. F* verwendet Algorithmen, um das Ausgangspublikum mit anderen F*-Nutzern zu vergleichen und um Personen mit ähnlichen Interessen zu finden.
[11] Der Werbetreibende kann auch wählen, ob Anzeigen den betreffenden Personen aufgrund des Alters, des Ortes, der Sprache oder möglicher Interessen (etwa an bestimmten Produkten) gezeigt werden sollen. Um die Zielgruppe bestimmen zu können, stellt F* ein Tool zur Verfügung, das die potenzielle Reichweite der Anzeige und eine Schätzung der Anzahl der Nutzer, die die Anzeige pro Tag erreichen könne, erklärt.
[12] Die Werbetreibenden müssen vor Verwendung dieser Business Tools die genannten Bedingungen akzeptieren. Dies wird von der Beklagten als Garantie dafür angesehen, dass die Werbetreibenden alle rechtlichen Auflagen erfüllen, den Nutzern alle relevanten Informationen zur Verfügung gestellt haben und die Interaktionen, die Gegenstand dieser Informationen waren, an die Beklagte gesendet werden.
[13] Der Klägernutzt seinen F*‑Account seit 8. 6. 2008 für private Zwecke. Er entscheidet dabei selbst, mit wem er in Kontakt steht, ob und wem er Nachrichten sendet, welche Informationen er in seinem F*‑Profil einträgt und wer diese sehen kann (Profilfotos, Ausbildung, Beziehungsstatus, Arbeitgeber usw), welche Beiträge und Status-Updates er postet oder teilt, welche Veranstaltungen er anlegt, wen er dazu einlädt, an welchen Veranstaltungen anderer Personen er teilnimmt, welche Fotos und Videos er teilt, wer (nur er selbst, Freunde, bestimmte Listen, alle User) sie sehen darf, welche Gruppen er anlegt, wen er dazu einlädt und an welchen Gruppen er teilnimmt. Der Kläger ist mit zahlreichen Personen auf F* befreundet. Diese Personen speichern regelmäßig auch Daten über den Kläger.
[14] Das „Profil“ ist der Ausgangspunkt des Nutzers und es gibt dort mehrere Möglichkeiten zur Personalisierung. Beispielsweise gibt es die Möglichkeit, ein „Profil-Bild“ und ein „Titelbild“ einzustellen. Die Nutzer haben auch die Möglichkeit, Informationen über sich zu teilen, zB wo sie arbeiten, wo sie wohnen, wo sie die Schule besucht haben und welche Interessen sie haben. Nutzer verwenden ihre Profile um auszudrücken, wer sie sind und was in ihrem Leben vor sich geht. Das Profil ist der Zugang zu vielen Funktionen, die auf F* verfügbar sind (zB Chronik, Freundesliste etc), und ist der Hauptmechanismus, um sich mit Menschen, Unternehmen, Organisationen und Themen, die für den Nutzer von Bedeutung sind, im F*‑Dienst zu verbinden.
[15] Der „News Feed“ ist die erste, regelmäßig aktualisierte Seite, die die Nutzer sehen, wenn sie F* öffnen. Es ist eine personalisierte und regelmäßig aktualisierte Auflistung von Beiträgen, Fotos, Videos und kommerziellen Inhalten. Der News Feed jedes Benutzers ist personalisiert, basierend auf seinen Interessen und den geteilten Aktivitäten seiner Freunde. Um dem Nutzer einen personalisierten „News Feed“ zur Verfügung zu stellen, verarbeitet die Beklagte Daten, um Vorhersagen zu treffen, welche Inhalte für den jeweiligen Nutzer wahrscheinlich am sinnvollsten sind. Man sieht im „News Feed“ Ereignisse, die von Freunden geteilt wurden, und auch personalisierte Werbung. Man kann im „News Feed“ Inhalte, auch Beiträge von „Freunden“, mit „gefällt mir“ markieren. Dies beeinflusst, welche Inhalte in Zukunft gezeigt werden. Veranstaltungsvorschläge kommen zu Arten von Veranstaltungen, auf die der Nutzer schon einmal reagiert hat, die sich an seinem allgemeinen Standort befinden oder an denen seine Freunde teilnehmen oder diese mit ihm teilen.
[16] Die „Chronik“ bietet jedem Nutzer einen Ort um zu teilen, „was ihm durch den Kopf geht“. Die Nutzer können dort Inhalte wie einen Status, ein Foto oder Video, einen Link zu einem Artikel oder eine Grafik teilen. Die Chronik ist auch ein Ort für andere, um Inhalte mit dem Nutzer zu teilen. So kann etwa ein Nutzer Inhalte in der Chronik eines anderen Nutzers veröffentlichen.
[17] „Seiten“ sind öffentliche Seiten (ähnlich wie Webseiten), mit denen Künstler, Persönlichkeiten des öffentlichen Lebens, Unternehmen, Marken, Organisationen und gemeinnützige Organisationen eine Präsenz auf F* aufbauen und sich mit der „F*‑Community“ verbinden können. Jeder Nutzer kann mit Seiten interagieren, indem er der Seite „folgt“ oder den Inhalt einer Seite „liked“ oder kommentiert. Eine Seite kann etwa für Unternehmen, Markeninhaber, Gemeinden oder bekannte Personen eingerichtet werden. Wenn ein Benutzer eine Seite „liked“, kann er Updates von dieser Seite in seinem „News Feed“ sehen.
[18] „Gruppen“ sind ein Ort für die Kommunikation in kleineren Gruppen, um gemeinsame Interessen und Meinungen zu teilen. „Gruppen“ bieten einen öffentlichen oder privaten Raum, um bestimmte Inhalte mit anderen Menschen, wie Familie, Teamkollegen, Freunden oder anderen zu teilen. Innerhalb einer Gruppe können Benutzer Updates veröffentlichen, Fotos und Dateien freigeben und Ereignisse organisieren. Gruppen ermöglichen es, sich zu einem gemeinsamen Anlass, Thema oder zur Organisation von Aktivitäten zusammenzufinden, Ziele zu formulieren, zu diskutieren, Updates zu veröffentlichen, Fotos und Dateien auszutauschen und Veranstaltungen zu organisieren. Die Datenschutzeinstellungen können für jede Gruppe separat angepasst werden.
[19] Mit „Veranstaltungen“ können Nutzer Veranstaltungen organisieren, Einladungen verwalten und Benachrichtigungen sowie Erinnerungen zu Veranstaltungen an ihre Freunde senden. Durch „Veranstaltungen“ können Freunde und andere zu jedem Anlass eingeladen werden, von der Dinnerparty bis zur Spendenaktion.
[20] Die „Freundesliste“ ist im Profil abrufbar. Die F* „Freunde“ sind andere Nutzer, die der Nutzer zu seinem Netzwerk hinzugefügt hat. Abhängig von den Zugriffseinstellungen eines Nutzers können „Freunde“ das Profil des Nutzers, Inhalte, die der Nutzer veröffentlicht hat und andere Informationen über ihn sehen, wie etwa Seiten, die der Nutzer „likt“, Gruppen, denen er angehört, und Ereignisse, an denen er teilnehmen wird.
[21] „Messenger“ ist eine mobile Messaging‑App, die es Benutzern ermöglicht, sich gegenseitig über ihr Handy sofort zu erreichen. Mit Messenger können Benutzer private Nachrichten versenden, mit Gruppen chatten und kostenlose Anrufe tätigen, auch in andere Länder.
[22] Mit „Fotos“ können Benutzer eine unbegrenzte Anzahl von Fotos hochladen und mit ihren Freunden auf F* teilen. Benutzer können Alben erstellen und ihr Publikum festlegen. Sie können auch Details wie Beschriftung und Standort hinzufügen.
[23] Mit „Video“ können Benutzer Videos im News Feed hochladen und solche anderer ansehen. Wie bei Fotos können Benutzer Alben erstellen und organisieren, Freunde markieren und ihr Publikum festlegen.
[24] Die Personalisierung bzw das personalisierte Erlebnis unterscheidet F* von anderen sozialen Netzwerken. Die Beklagte verwendet die Daten der Nutzer, um die Inhalte, die sie ansehen und mit denen sie interagieren, zu personalisieren. Die Datenverarbeitung der Beklagten unterstützt alle Aspekte der Personalisierung des F*‑Dienstes, nicht nur Werbeanzeigen. Die Personalisierung von Inhalten erfolgt in allen Aspekten des Dienstes, seien es Beiträge, Artikel, Empfehlungen, Gruppen, Events oder Werbeanzeigen.
[25] In der Datenrichtlinie ist unter dem Punkt „Wie verwenden wir diese Information“ wie folgt festgehalten: „Bereitstellung, Personalisierung und Verbesserung unserer Produkte. Wir verwenden die uns zur Verfügung stehenden Informationen, um unsere Produkte bereitzustellen, also auch um Funktionen und Inhalte (u. a. deinen News Feed, deinen Instagram Feed, deine Instagram Stories und deine Werbeanzeigen) zu personalisieren und dir auf und außerhalb von unseren Produkten Vorschläge zu unterbreiten (wie z. B. Gruppen oder Veranstaltungen, an denen du möglicherweise interessiert bist, oder Themen, die du eventuell abonnieren möchtest).“
[26] Die Beklagte erfasst drei grundlegende Kategorien von Daten über Nutzer:
• Daten über Dinge, die Nutzer auf den Diensten und Produkten der Beklagten tun oder teilen (und mit wem sie sich verknüpfen);
• Daten über Geräte, die Personen für den Zugriff auf die Dienste und Produkte der Beklagten verwenden; und
• Daten, die von Partnern empfangen werden, einschließlich der Websites und Apps, die die Business Tools der Beklagten nutzen. Beispielsweise verwendet die Beklagte die Daten,
a. welche die Nutzer auf ihrem Profil über ihr Alter oder Geschlecht zur Verfügung stellen, um zu helfen, die Pronomen auf der Website anzupassen und den Nutzern relevante Erlebnisse zu übermitteln;
b. über Dinge, die Menschen auf F* tun (zB Seiten, die sie „geliked“ haben, Gruppen denen sie beigetreten sind, Beiträge, mit denen sie interagieren), um Vorschläge und Empfehlungen zu geben; etwa wenn eine Person eine Seite über Fußball „liked“, kann die Beklagte „Fußball“ oder „Sport“‑Seiten, Gruppen, Veranstaltungen, Werbeeinschaltungen usw anzeigen, vorschlagen oder empfehlen;
c. vom Beitrag eines Nutzers, der einen bestimmten Standort (zB ein Restaurant) markiert, um dem Nutzer Beiträge, die mit diesem Standort verbunden sind, anzuzeigen;
d. von der Freundesliste des Nutzers, um Gruppen zum Beitritt vorzuschlagen, die für den Nutzer relevant sind (zB Gruppen, denen Freunde beigetreten sind);
e. von der Interaktion mit einem bestimmten Inhalt (zB Fotos oder Videos) bis hin zur Art und Weise, wie der Nutzer mit diesen Inhalten interagiert (zB posten, teilen, kommentieren usw), um die Anzeige von Inhalten im News Feed dieses Nutzers zu ordnen;
f. über Seiten, welche der Nutzer „geliked“ hat, in welche Standorte er „eingecheckt“ hat, und Künstler, an denen der Nutzer im Profil Interesse bekundet hat, um Veranstaltungen vorzuschlagen;
g. über das Gerät des Nutzers, um beispielsweise zu verstehen, welchen Gerätetyp er verwendet oder wie schnell die aktuelle Internetverbindung eines Nutzers ist, mit dem Ziel der geeignetsten Art von Inhalten, die im News Feed zu einem beliebigen Zeitpunkt angezeigt werden sollen (zB einen Link, ein Foto oder ein Video).
[27] Der Grad der Personalisierung, den die Beklagte vornehmen kann, hängt von den Daten ab, die sie hat. Wenn ein Nutzer sich entscheidet, sich mit mehr Produkten und Funktionen des F*‑Dienstes zu beschäftigen, erhält die Beklagte mehr Daten und kann relevantere Inhalte bereitstellen, die auf der Nutzung des Dienstes durch den Nutzer basieren. Im Laufe der Zeit kann die Beklagte zusätzliche Daten erhalten, die Unternehmen und Organisationen mit der Beklagten über die Interaktionen der Nutzer außerhalb von F* teilen, wenn sie Apps oder Websites besuchen. Daten, die gesammelt und verwendet werden, um den „News Feed“ zu personalisieren, Vorschläge für Veranstaltungen oder Seiten usw, die den Nutzern gefallen und die sie schätzen, werden ebenfalls verwendet, um die Werbung anzupassen.
[28] „Interessen“ sind Schlüsselwörter, die einem Nutzer zugeordnet sind, basierend auf Aktivitäten wie dem „Liken“ von Seiten und dem Anklicken von Werbeanzeigen.
[29] Der Kläger erhebt folgende Begehren:
„1. Es wird mit Wirkung zwischen der Beklagten und dem Kläger festgestellt, dass der Kläger 'Verantwortlicher' iSd Art 4 Z 7 DSGVO der von ihm selbst über das Portal f*.com zu seinen persönlichen Zwecken betriebenen Datenanwendungen (Profil, Chronik – inklusive Likes und Kommentare – Veranstaltungen, Fotos, Videos, Gruppen, persönliche Nachrichten, Freundesliste und Anwendungen) ist, während der Beklagten diesbezüglich nur die Funktion der 'Auftragsverarbeiterin' iSd Art 4 Z 8 DSGVO zukommt.
2. Es wird mit Wirkung zwischen der Beklagten und dem Kläger festgestellt, dass die Beklagte 'Verantwortlicher' iSd Art 4 Z 7 DSGVO der Datenanwendungen im Portal f*.com ist, welche über die vom Kläger selbst über das Portal f*.com zu seinen persönlichen Zwecken betriebenen Datenanwendungen (insbesondere Profil, Chronik – inklusive Likes und Kommentare – Veranstaltungen, Fotos, Videos, Gruppen, persönliche Nachrichten, Freundesliste und Anwendungen) hinausgehen und dabei personenbezogene Daten des Klägers oder von ihm in seinen Datenanwendungen gespeicherte personenbezogene Daten Dritter betreffen, und für die die Beklagte Mittel und Zwecke selbst bestimmt (insbesondere der Zusammenstellung und Aggregation von Inhalten, der Suchfunktion, der Werbung, der Nutzeradministration und ähnlicher Datenanwendungen).
3. Die Beklagte ist schuldig, es bei sonstiger Exekution zu unterlassen, dass personenbezogene Daten des Klägers und/oder von Dritten, die vom Kläger zu seinen Zwecken über das Portal f*.com in Datenanwendungen zu seinen persönlichen Zwecken gespeichert und übermittelt werden (Profil, Chronik – inklusive Likes und Kommentare – Veranstaltungen, Fotos, Videos, Gruppen, persönliche Nachrichten, Freundesliste und Anwendungen), ohne oder entgegen der Weisung des Klägers zu verarbeiten.
4. Die Beklagte ist schuldig, binnen 28 Tagen bei sonstiger Exekution mit dem Kläger einen den Anforderungen des Art 28 Abs 3 DSGVO entsprechenden schriftlichen Vertrag zwischen dem Kläger als Verantwortlichem und der Beklagten als Auftragsverarbeiter hinsichtlich der vom Kläger selbst über das Portal f*.com zu seinen persönlichen Zwecken betriebenen Datenanwendungen (Profil, Chronik – inklusive Likes und Kommentare – Veranstaltungen, Fotos, Videos, Gruppen, persönliche Nachrichten, Freundesliste und Anwendungen) zu schließen.
4.1. In eventu: Es wird mit Wirkung zwischen der Beklagten und dem Kläger festgestellt, dass ein wirksamer, Art 28 Abs 3 DSGVO entsprechender Vertrag zwischen dem Kläger als Verantwortlichem und der Beklagten als Auftragsverarbeiter hinsichtlich der vom Kläger selbst über das Portal f*.com zu seinen persönlichen Zwecken betriebenen Datenanwendungen (Profil, Chronik – inklusive Likes und Kommentare – Veranstaltungen, Fotos, Videos, Gruppen, persönliche Nachrichten, Freundesliste und Anwendungen) nicht besteht.
5. Es wird mit Wirkung zwischen der Beklagten und dem Kläger festgestellt, dass die Zustimmung des Klägers zu den Nutzungsbedingungen der Beklagten in der Fassung vom 19. 04. 2018 sowie in der Fassung vom 31. 07. 2019 samt der damit verbundenen Datenverwendungsrichtlinien (Datenrichtlinie, Cookie‑Richtlinie), sowie die Zustimmung zu (künftigen) sinngleichen Klauseln in Nutzungsbedingungen der Beklagten (gekoppelte Einwilligungserklärungen) keine wirksame Einwilligung zur Verarbeitung von personenbezogenen Daten gem. Art 6 Abs 1 iVm Art 7 DSGVO an die Beklagte als Verantwortliche ist.
5.1. In eventu: Es wird mit Wirkung zwischen der Beklagten und dem Kläger festgestellt, dass die Zustimmung des Klägers zu den Nutzungsbedingungen der Beklagten in der Fassung vom 19. 04. 2018 sowie in der Fassung vom 31. 07. 2019 (in eventu: in der Fassung vom 19. 04. 2018) samt der damit verbundenen Datenverwendungsrichtlinien (Datenrichtlinie, Cookie-Richtlinie) keine wirksame Einwilligung zur Verarbeitung von personenbezogenen Daten gem. Art 6 Abs 1 iVm Art 7 DSGVO an die Beklagte als Verantwortliche ist.
6. Die Beklagte ist schuldig, es bei sonstiger Exekution zu unterlassen, personenbezogene Daten des Klägers für personalisierte Werbung, Aggregation und Analyse von Daten für Zwecke der Werbung zu verarbeiten.
7. Es wird mit Wirkung zwischen der Beklagten und dem Kläger festgestellt, dass keine wirksame Einwilligung des Klägers zur Verarbeitung von personenbezogenen Daten des Klägers, welche die Beklagte von Dritten erhalten hat, zu den eigenen Zwecken der Beklagten, wie sie in der Datenrichtlinie/AN in
• Zeile 69–74 ('Aktivitäten anderer und von ihnen über dich bereitgestellte Informationen. Außerdem erhalten und analysieren wir Inhalte, Kommunikationen und Informationen, die andere Personen bereitstellen, wenn sie unsere Produkte nutzen. Dies können auch Informationen über dich sein, beispielsweise, wenn andere ein Foto von dir teilen oder kommentieren, dir eine Nachricht senden bzw. deine Kontaktinformationen hochladen, synchronisieren oder importieren.'),
• Zeile 126–143 ('Werbetreibende, App-Entwickler und Publisher können uns über die von ihnen genutzten F* Business-Tools, u. a. unsere sozialen Plugins [wie den <Gefällt mir>‑Button], F* Login, unsere APIs und SDKs oder das F*‑Pixel, Informationen senden.' und 'Wir erhalten außerdem Informationen über deine Online- und Offline-Handlungen und Käufe von Dritt-Datenanbietern, die berechtigt sind, uns deine Informationen bereitzustellen.') und
• Zeile 166–168 ('Dies basiert auf den Daten, die wir von dir und anderen erfassen und erfahren [einschließlich jedweder von dir bereitgestellten Daten mit besonderem Schutz, für die du uns deine ausdrückliche Einwilligung gegeben hast]')
beschrieben wird, vorliegt.
8. Die Beklagte ist bei sonstiger Exekution schuldig, in Hinkunft die Verwendung der Daten des Klägers bezüglich des Besuchs bzw der Nutzung von Drittseiten (insbesondere durch den Einsatz von 'Social Plugins' und ähnlicher Techniken) zu unterlassen, sofern technische Daten nicht alleine zum Zweck der Anzeige von Webseitenelementen verarbeitet werden, und soweit der Kläger nicht ohne jeden Zweifel, frei, informiert und eindeutig vorab einem spezifischen Verarbeitungsvorgang zugestimmt hat ('Opt-In'; zB durch Anklicken eines 'Social Plugins').
9. Die Beklagte ist bei sonstiger Exekution schuldig, in Hinkunft die für eigene Zwecke der Beklagten erfolgende Verarbeitung von personenbezogenen Daten des Klägers, welche die Beklagte von Dritten erhalten hat, zu unterlassen, soweit der Kläger nicht ohne jeden Zweifel, frei, informiert und eindeutig einem spezifischen Verarbeitungsvorgang vorab zugestimmt hat ('Opt‑In').
10. Die Beklagte ist bei sonstiger Exekution schuldig, in Hinkunft die Verwendung der Daten des Klägers im Rahmen der Datenanwendung 'Graph Search' sowie durch ähnliche Techniken zu unterlassen, soweit der Kläger nicht ohne jeden Zweifel, frei, informiert und eindeutig vorab zugestimmt hat ('Opt‑In').
11. Die Beklagte ist schuldig, dem Kläger binnen 14 Tagen bei sonstiger Exekution schriftlich und kostenlos vollständig Auskunft über alle von ihr verarbeiteten personenbezogenen Daten des Klägers unter Angabe des genauen jeweiligen Zwecks, wenn immer möglich der genauen Herkunft und gegebenenfalls der genauen Empfänger der Daten, zu erteilen.
12. Die Beklagte ist schuldig, dem Kläger binnen vierzehn Tagen bei sonstiger Exekution zu Handen der Klagevertretung einen Betrag von 500,00 EUR zu bezahlen.“
[30] DerKlägerbrachte dazu zusammengefasst vor, er habe ein rechtliches Interesse an der Feststellung, dass er „Verantwortlicher“ im Sinne der DSGVO sei. Daraus ergebe sich auch der Anspruch laut Klagebehren Punkte 3 und 4. Auch wenn die Beklagte nunmehr zugestehe, dass er keine Einwilligung iSd Art 6f DSGVO zur Datenverarbeitung erteilt habe und sich auf die vertragliche Notwendigkeit der Verarbeitung stütze, bestehe vor allem aufgrund der gekoppelten Einwilligungserklärungen in den Nutzungsbedingungen ein Feststellungsinteresse an der Feststellung laut Klagebehren Punkte 5 und 7. Die Datenverarbeitung der Beklagten verstoße in mehreren Bereichen gegen die DSGVO. Es bestehe Wiederholungsgefahr und daher ein Unterlassungsanspruch wie Klagebehren 6, 8 bis 10. Insbesondere würden Daten trotz Einleitung eines Löschvorgangs nicht wirklich gelöscht werden, eine Suche nach Daten des Klägers sei ohne seine Einwilligung möglich und es würden Daten iSd Art 9 DSGVO ohne eine Einwilligung iSd Art 7 DSGVO verarbeitet werden. Es werde bezweifelt, dass früher angekaufte Daten des Klägers mittlerweile gelöscht worden seien und die Beklagte nicht über die biometrischen Daten des Kläger verfüge und dessen Mausbewegungen verfolge.
[31] Die Partner der Beklagten hätten keine Einwilligung des Klägers für die Übermittlung von Daten an und/oder weitere Verwendung durch die Beklagte eingeholt. Die Beklagte sei auch ihrer Auskunftspflicht nicht nachgekommen.
[32] Der Schaden des Klägers fuße auf einem emotionalen Ungemach aufgrund der bereits jahrelang andauernden Unsicherheit in Bezug auf die immense Verarbeitung seiner Daten. Der Kläger habe bis heute keinen abschließenden Überblick, wofür seine Daten tatsächlich verwendet bzw an wen sie weitergegeben wurden. Er habe unwiederbringlich die Kontrolle über seine Daten verloren. Hinzu komme die Verarbeitung von Daten nach Art 9 DSGVO, die sich beispielsweise in der unaufgeforderten Übermittlung von Einladungen zu Events für Homosexuelle widerspiegle. Durch die unvollständige Beauskunftung werde der Kläger auch an einer Kontrolle seiner Daten gehindert. Er könne nicht einmal abschätzen, an wen seine Daten weitergegeben werden. All dies führe zu einer enormen Beeinträchtigung des Klägers in seinem Grundrecht auf Datenschutz und seinen damit verbundenen Freiheiten. Darüber hinaus liege unter anderem ein Verstoß gegen den Grundsatz der Datenminimierung und Speicherbegrenzung vor.
[33] Die Beklagte bestritt. Der Kläger sei nicht „Verantwortlicher“ im Sinne der DSGVO. Es gelte die Haushaltsausnahme. Die Verarbeitung der Daten des Klägers erfolge entsprechend den vereinbarten Richtlinien und Bedingungen, die mit der DSGVO in Einklang stünden. Die Datenverarbeitung sei rechtmäßig und stützte sich nicht auf die Einwilligung des Klägers iSd Art 6f DSGVO, sondern auf andere Rechtfertigungsgründe, überwiegend auf vertragliche Notwendigkeit.
[34] Hinsichtlich des bisherigen Verfahrensgangs kann auf die Entscheidungen des Obersten Gerichtshofs zu 6 Ob 23/18b und 6 Ob 91/19d verwiesen werden.
[35] Das Erstgericht gab den Punkten 11 und 12 des Klagebegehrens statt (Punkte I und II des Urteils). Die übrigen Begehren wies es ab (Punkt III des Urteils).
[36] Dabei traf es – zusätzlich zu dem eingangs wiedergegebenen Sachverhalt – folgende Feststellungen:
[37] Vor Inkrafttreten der DSGVO erteilten die Nutzer von F* eine ausdrückliche Einwilligung in die Verarbeitung ihrer Daten in Übereinstimmung mit den damaligen Nutzungsbedingungen der Beklagten (mit dem Titel „Erklärung der Rechte und Pflichten“). Potenzielle neue Nutzer wurden vor der Übermittlung personenbezogener Daten darüber informiert, dass sie mit der Registrierung, der Erklärung der Rechte und Pflichten zustimmen und sie die Datenrichtlinie, einschließlich der Cookie-Richtlinie, gelesen haben. Sie konnten die Einwilligung jederzeit ändern oder widerrufen, indem sie ihre Privatsphäre-Einstellungen änderten, ihre personenbezogenen Daten löschten oder ihr Konto schlossen. Ein Nutzer konnte beispielsweise jederzeit seine Privatsphäre-Einstellungen so einstellen, dass die Beklagte die Aktivitäten des Nutzers am F*-Dienst nicht zur Optimierung personalisierter Werbeanzeigen nutzen konnte.
[38] Aufgrund der vollen Wirksamkeit der DSGVO mit 25. 5. 2018 hat die Beklagte ihre früheren Nutzungsbedingungen („Erklärung der Rechte und Pflichten“ vom 15. 11. 2013) und ihre früheren Datenverwendungsrichtlinien vom 15. 11. 2013 komplett neu erstellt und den Nutzern von F* zur Zustimmung vorgelegt. Der Kläger hat, nachdem sein Konto zuvor gesperrt worden war, die neuen Nutzungsbedingungen vom 19. 4. 2018 durch Anklicken (aktiv) in Kenntnis der verlinkten Daten‑Richtlinie, der Cookie‑Richtlinie und der Rechtsgrundlage-Information akzeptiert, damit er F* weiter nutzen kann. Die Einwilligung war erforderlich, um weiterhin Zugang zum Konto zu erhalten und die Dienste zu nutzen. Die Nutzungsbedingungen wurden in der Folge aktualisiert (Nutzungsbedingung vom 31. 7. 2019). Der Kläger nutzte F* auch in Kenntnis der aktualisierten Nutzungsbedingungen weiter. Ein neuerliches „aktives Akzeptieren“ dieser Aktualisierung war nicht erforderlich. Die Beklagte aktualisierte die Nutzungsbedingungen einseitig und informierte darüber.
[39] Der Klägerhat ungefähr 400 F*‑Freunde. Um mit diesen in gewohnter Weise zu kommunizieren, wollte und will er sein Konto bei der Beklagten beibehalten. Seine F*‑Freunde wären zum Teil gar nicht, zum Teil nur auf unterschiedlichen anderen Plattformen verfügbar. Soweit sie auf anderen Plattformen sind, stellen sie dort nicht die selben Informationen bereit. Es werden Nachrichten, Updates und Veranstaltungen oft nur auf der Plattform der Beklagten geteilt, und es besteht für den Kläger, der darüber laufend informiert sein will, keine realistische Möglichkeit, die Dienste der Beklagten zu umgehen und trotzdem im gewünschten Umfang informiert zu sein. Im Profil des Klägers sind viele persönliche Erinnerungen sowie Korrespondenzen und diverse Freunde gespeichert und abrufbar. Es ist für ihn auch wesentlich einfacher, mit seinen Freunden im Ausland, die ständig Telefonnummern und E‑Mail-Adressen ändern, über F* Kontakt zu halten.
[40] Die Beklagte hat die, in Folge näher beschriebenen Werkzeuge (Tools) eingerichtet, um den Nutzern einen Einblick und eine Kontrolle über deren gespeicherte Daten zu ermöglichen. In diesen Tools sind nicht alle verarbeiteten Daten ersichtlich, sondern nur die, die nach Ansicht der Beklagten für die Nutzer interessant und relevant sind. So sieht der Kläger dort beispielsweise, dass er auf F* eine App aufgemacht, eine Website besucht, etwas gesucht, etwas gekauft, etwas auf eine Wunschliste hinzugefügt oder eine Werbeeinschaltung angeklickt hat. Die Tools wurden erstellt, um Nutzern Zugang zu aktuellen Daten in einem – nach Einschätzung der Beklagten – vernünftigen Rahmen zu geben. Personen mit Auskunftsersuchen werden auf diese Tools verwiesen. Im Jahr 2010 gab es eine erste Version des Tools „Download deine Informationen“. Mit dem Inkrafttreten der DSGVO wurde das Tool „Zugriff auf deine Informationen“ erstellt und danach das Aktivitäten-Protokoll. Die Beantwortung der Auskunftsersuchen in der alten, früheren Papierform dauerte lange, abhängig von diversen Variablen, vor allem auch welche Datenmengen generiert wurden. Mit dem neuen System kann sich der User selbst und schneller Informationen beschaffen, wobei er auf Nachfrage durch dieses System geführt wird.
[41] Das „AYI‑Tool“ („Access Your Information Tool“, „Zugriff auf deine Informationen Tool“ bzw „Zugriff auf deine Daten Tool“) ermöglicht den Zugriff auf Daten, gegliedert in „Deine Informationen“, die aus Informationen bestehen, die der Nutzer hochgeladen und weitergegeben hat, wie zB Profil, Beiträge und Kommentare, und „Informationen über Dich“, wie Informationen über den Nutzer, zB welche Geräte er verwendet hat, der Standort, die IP‑Adressen, von denen er sich angemeldet hat. Unter der Kategorie „Freunde“ sieht man auch die gelöschten Freunde und wann sie gelöscht wurden. Es ist dort möglich Werbeanzeigen und Unternehmen anzuklicken; man hat dort Zugang zu seinen Werbeinteressen und die Möglichkeit, die mit dem Konto verbundenen Werbeinteressen einzusehen und zu verbergen. Es informiert auch darüber, dass es ein separates Tool zum Herunterladen („DYI Tool“ „Download deiner Informationen Tool“) dieser Informationen gibt, und leitet zu diesem Tool weiter. Insgesamt gibt es 60 Datenkategorien wie im Detail aus Beilage ./151ersichtlich. Das Tool ermöglicht zu sehen, welche Kategorien von personenbezogenen Daten die Beklagte speichert, gegliedert nach Jahren und Tagen. Wenn man etwas zum Zweck und der Dauer der Speicherung dieser Daten wissen will, muss man die Datenrichtlinie lesen, die dazu eine allgemeine Auskunft gibt. Dort finden sich allgemeine Informationen zur Verarbeitung, Personalisierung, Empfängern, Herkunft, Aufbewahrungsfrist und Speicherdauer.
[42] Das „Download deiner Informationen-Tool“ („DYI Tool“) ermöglicht, Daten aus dem F*-Dienst abzuziehen und woanders einzubringen. Der Nutzer kann die personenbezogenen Daten auf einmal herunterladen oder er kann nur die Informationsarten und Datumsbereiche auswählen, innerhalb derer er herunterladen möchte. Für das Öffnen und Laden sämtlicher Links und Unterverlinkungen, würde der Kläger viele Stunden brauchen. Die Beklagte stellt seit einigen Monaten das Tool „Aktivitäten außerhalb von F*“ („Your Off-F* Activity“) zur Verfügung. Dort werden die Partner aufgelistet, die der Beklagten Daten über Nutzer übermitteln. Der Kläger konnte dort erstmals eine Liste von Dritten herunterladen, die Informationen über ihn an die Beklagte weitergegeben hatten. Er erhält aber keine Informationen darüber, welche konkreten Daten übermittelt wurden. Es erfolgt keine Bekanntgabe der Rohdaten. Dieses Tool ermöglicht dem Nutzer auch, die dort ersichtlichen Daten zu löschen, was zur Folge hat, dass sie nach 48 Stunden „entknüpft“ werden. Die gelöschten Daten werden hauptsächlich für Analyse- und Messzwecke 48 Stunden verknüpft aufbewahrt.
[43] Das „Aktivitäten-Protokoll“ (das mit dem „AYI‑Tool“ verlinkt ist) zeigt eine Verlaufshistorie der Aktivitäten auf F*, wie zB Beiträge, die ein Nutzer kommentiert oder mit „gefällt mir“ markiert hat, Apps, die der Nutzer verwendet hat, oder die Suchanfragen des Nutzers; es bietet die Möglichkeit, Informationen über Aktivitäten zu löschen und ist dynamisch, um aktuell zu sein, weil laufend und permanent neue Informationen generiert werden, vor allem durch die diversen Aktivitäten der User.
[44] Die Seite „Privatsphäre-Grundlagen“ erklärt Aspekte des Datenschutzes und ist mit zwei Klicks von jeder F*‑Desktopseite aus zugänglich, indem man auf den Link Datenschutz klickt und dann Privatsphäre-Grundlagen auswählt. Diese enthalten eine Erklärung über Aspekte der Privatsphäre im F*‑Dienst und bieten interaktive Anleitungen, die die häufigsten Fragen beantworten, wie Nutzer ihre Informationen auf F* kontrollieren können.
[45] Die Beklagte erklärt dort unter anderem zu „Standort“: „Mithilfe von Verbindungsinformationen wie deiner IP‑Adresse oder deinem WLAN‑Netz sowie spezifische Standortinformationen wie dem GPS-Signal deines Gerätes können wir erfahren, wo du dich befindest“
[46] Der „Privatsphäre-Check“,den es seit vielen Jahren gibt, dient der Überprüfung und Anpassung der Datenschutzeinstellungen. Er ermöglicht zu überprüfen, wer Beiträge und Informationen aus dem Profil sehen kann, wie etwa Telefonnummer und E‑Mail‑Adresse. Nutzer können dort überprüfen, welche Anwendungen und Websites mit ihrem Konto verbunden sind. Er zeigt die Einstellungen für Apps an, bei denen sich Nutzer mit ihrem F*‑Konto angemeldet haben, und ist über zahlreiche Stellen verfügbar. Dort kann ein Nutzer überprüfen, wer seine Beiträge oder andere Informationen aus seinem Profil, wie zB die E‑Mail‑Adresse oder das Geburtsdatum, sehen kann, ob nur der Nutzer oder auch Freunde oder Freunde von Freunden oder bestimmte Freunde oder jeder auf und abseits des F*‑Dienstes. Auf „Graph Search“ kann man nur entsprechend diesen Einstellungen gefunden werden. Die Einstellungen, wer die Beiträge sehen kann, haben keinen Einfluss darauf, ob die Beklagte diese Informationen zur Personalisierung von Inhalten (oder Werbeanzeigen) verwendet.
[47] In einem „Control-Centre“ werden die Privatsphäre-Einstellungen gebündelt. Von dort können Nutzer auf ihre Werbepräferenzen, Sicherheits- und Anmelde- sowie andere Privatsphäre-Einstellungen zugreifen und diese ändern. Nutzer können mit zwei Klicks von jeder F*-Desktopseite aus auf das Control-Centre zugreifen, indem sie auf das Fragezeichen oben rechts klicken und dann „Privatsphäre auf einen Blick“ auswählen. Das „Control-Centre“ bietet eine Übersicht für die Überprüfung und/oder Verwaltung der für die Privatsphäre-Einstellungen verfügbaren Kontrollen, welche in einem Menü „Privatsphäre auf einen Blick“ zusammengefasst sind. Benutzer können dort ihre Werbeanzeigeneinstellungen verwalten, sich die F*‑Dienst‑Informationen ansehen oder herunterladen, das Konto löschen bzw sich über die Richtlinien und Praktiken der Beklagten informieren.
[48] In einem Bereich „Deine Dateneinstellungen auf F*“ werden die Dateneinstellungen und möglichen Optionen gezeigt. Nutzer können einstellen, welche Informationen über ihre Geräteeinstellungen mit der Beklagten geteilt werden. Die Geräteeinstellungen können aktiviert oder deaktiviert werden.
[49] Das Tool „Warum sehe ich diese Werbeanzeige?“ listet bei jeder Werbeanzeige durch Auswahl des Drop‑Menüs in der oberen rechten Ecke die Auswahlkriterien (etwa Alter/Standort) auf. Es gibt einen Link zu den „Werbepräferenzen“. „Über F* Werbeanzeigen“ erklärt das Werbesystem und die verfügbaren Benutzerkontrollen zur Verwaltung der Werbeeinstellungen. „Werbepräferenzen“ ermöglicht Nutzern zu sehen, welche Interessenkategorien mit ihnen verbunden sind und warum. Dieses Werkzeug informiert die Nutzer auch darüber, mit welchen Werbetreibenden sie interagiert haben. Nutzer können sich aus einer Interessenkategorie entfernen.
[50] Die Beklagte verwendet Cookies, Social Plugins und Pixels wie in ihren Bedingungen/Richtlinien festgehalten.
[51] Ein Cookie ist eine kleine Datendatei, die ein Webserver an den Browser (zB Internet Explorer oder Firefox) sendet und speichert. Das Cookie speichert und übermittelt bestimmte Informationen zwischen dem Webserver und dem Browser. Wenn ein Internet-Nutzer bestimmte Optionen auswählt, nimmt ein Cookie diese Informationen auf und speichert sie für eine bestimmte Zeitperiode. Wenn der Browser das nächste Mal eine Anfrage an dieselbe Website sendet, erhält die Website diese Optionen, die im Cookie registriert sind (zB Sprache oder Einstellungen). Cookies werden auch verwendet, um Sicherheitsprobleme zu lösen, weil sie helfen können, nicht authentifizierte Einträge in einem Nutzerkonto oder eine Cyberattacke zu identifizieren. Die Beklagte kann durch die Cookies die Quelle der Aufrufe zuordnen. Ohne Aktivierung der Cookie-Funktion sind viele Dienste der Beklagten nicht nutzbar.
[52] Die „Social Plug‑ins“ der Beklagten werden von Webseiten-Betreibern in ihre Seiten „eingebaut“. Am weitesten verbreitet ist der sogenannte „Like Button“ der Beklagten. Dabei wird technisch ein „Fenster“ (iframe) in eine Webseite geschnitten, und dieses Fenster wird sodann von der Beklagten mit dem „Social Plug-in“ gefüllt. Bei jedem Abruf solcher Webseiten, die einen „Like Button“ der Beklagten enthalten, werden an die Beklagte die hinterlegten Cookies, die URL der besuchten Seite und diverse Protokolldaten (zB IP‑Adressen, Zeitangaben) übertragen. Es ist dabei nicht notwendig, dass der Nutzer mit dem „Like Button“ interagiert (zB durch Klicken oder Ähnliches) oder diesen wahrgenommen hat. Das Laden einer Seite mit einem solchen „Social Plug-in“ reicht aus, um diese Daten an die Beklagte zu übermitteln. „Plug‑ins“ befinden sich auch auf Seiten von politischen Parteien, auf medizinischen Seiten oder auf Seiten für Homosexuelle, die der Kläger besucht hat. Aufgrund des „Plug‑in“ auf f*.at konnte die Beklagte das konkrete Surfverhalten des Klägers verfolgen, und es wurde ein Datenfluss an die Beklagte ausgelöst. Wie Social Plug-ins sind Pixels eine Software, die ein Webseiten-Betreiber in die Webseite integrieren kann und ermöglicht, relevante Informationen über die Webseitennutzer zu sammeln. Pixels werden häufig verwendet, um Webseiten bei der Messung und Optimierung von Werbung zu unterstützen. Beispielsweise beim Integrieren eines F*-Pixel in die eigene Webseite können Webseitenbetreiber von der Beklagten Berichte darüber erhalten, wie viele Personen ihre Werbung auf F* gesehen haben und dann anschließend auf seine eigene Webseite gingen, um einen Kauf zu tätigen oder eine bestimmte vordefinierte Handlung durchzuführen.
[53] Social Plug‑ins und Pixels arbeiten Hand in Hand mit Cookies, um Informationen an den Webserver zu übermitteln. Sie sind Bausteine der Internetwerbung, wobei die große Mehrheit der heute im Internet verfügbaren Inhalte über Werbung finanziert wird. Internetwerbung ermöglicht es, dass Milliarden von Nutzern auf der ganzen Welt zum Nulltarif online kommunizieren und auf Nachrichten, Informationen, Bildung, Unterhaltung und weitere Dienste zugreifen können. Der Einsatz von Cookies ist weit verbreitet. So gut wie jede Website verwendet Cookies. Sie tragen auch zu einer wesentlichen Verbesserung der Benutzerfreundlichkeit von Websites bei. Sie sind hilfreich, wenn der Benutzer eine bestimmte Seite, die eine Benutzer- Authentifizierung verlangt, häufig besucht, weil benutzerspezifische Einstellungen gespeichert werden. Cookies spielen auch bei der Förderung der Internetsicherheit eine Rolle, weil sie helfen, Angriffe zu identifizieren und zu blockieren. Gemeinsam mit sozialen Plug‑ins dienen sie der Bereitstellung von relevanten Anzeigen an die Benutzer. Pixels spielen in der Internetwerbung inzwischen eine wichtige Rolle, weil sie Werbetreibenden die Messung von Kampagnenleistung und Konversationsereignissen sowie die Gewinnung von Zielgruppenwissen ermöglichen.
[54] Die Beklagte verwendet auch sogenannte „Datr‑Cookies“, die etwa auch auf der Seite www.f*.at, die der Kläger besuchte, zum Einsatz kamen. Dieses Cookie beinhaltet die Nutzer‑ID des Klägers und wird zur Authentifizierung der Identität gegenüber F* verwendet.
[55] Der Kläger löscht auf seinem Browser regelmäßig Cookies, die allerdings bei Nutzung immer wieder neu gesetzt werden. Er kann sie nicht generell blockieren, weil er dann F* faktisch nicht nutzen könnte. Beim Kläger verwendete Cookie-Banner sahen weder eine Auswahlmöglichkeit vor noch ein aktives („Opt‑In“) Erfordernis.
[56] Der Kläger erhielt über das DYI‑Tool Auskunft über ein verwendetes Datr‑Cookie. Es steht nicht fest, ob diese Urkunde die erteilte Auskunft vollständig wiedergibt.
[57] Wie die meisten Websites verfügt auch F* über eine Suchfunktion („Suche“), die es Nutzern ermöglicht, für sie wichtige Personen, Beiträge, Fotos, Videos, Orte, Seiten, Gruppen, Apps und Veranstaltungen zu finden. Die Suchergebnisse beruhen ausschließlich auf den Aktivitäten eines Nutzers im Rahmen des F*‑Dienstes. Die Suchergebnisse zeigen beispielsweise Inhalte, die Freunde mit einem Nutzer geteilt haben, Beiträge von Freunden eines Nutzers, Orte, an denen ein Nutzer markiert wurde oder Orte, basierend auf jenen Dingen, die ein Nutzer „liked“ (zB Seiten, denen er folgt oder die in seinem Profil angegeben sind), Gruppen, denen er angehört, Veranstaltungen, die einem Nutzer gefallen haben, und Inhalte, mit denen der Nutzer im News Feed interagiert hat.
[58] Seit 2013 die Suchfunktion „Graph Search“ eingeführt wurde, ist es möglich Daten dynamisch zu durchsuchen. Zunächst konnte man beispielsweise Männer mit Interesse an anderen Männern im Iran oder Falun Gong Sympathisanten in China abrufen. Derartige Abfragen sind nicht mehr möglich.
[59] Vor Einführung von „Graph Search“ gab die Beklagte den Nutzern die Option, in allen Suchmaschinen „auf und außerhalb von F*“ nicht aufzuscheinen. Der Kläger wählte diese Option. Er gab bei seiner Privatsphäre‑Einstellung an, dass er in gar keiner öffentlichen Suche aufscheinen möchte. Nach der Einführung von „Graph Search“ änderte die Beklagte den Text, und es gab (und gibt) nur mehr die Möglichkeit, in „anderen Suchmaschinen“ nicht aufzuscheinen. Der Kläger scheint damit entgegen seiner früheren Einstellungsauswahl in Suchergebnissen auf F* auf. Damit ist es für seine „Freunde“ möglich, Daten über ihn zu suchen und zu finden, die bereits sehr alt sind, sonst schwer auffindbar wären und die dem Kläger selbst gar nicht mehr bewusst sind.
[60] Bei der Suche eines „Freundes“ des Klägers nach „Obertauern“ wurde diesem ein Beitrag des Klägers, und zwar ein Video aufgenommen in Obertauern Dezember 2018 samt Kommentar des Klägers im Jänner 2019 und die erlangten „Reaktionen“ auf den Beitrag, angezeigt.
[61] Die Suche achtet die Privatsphäre-Einstellungen eines Nutzers. Ist beispielsweise ein Beitrag oder eine Information mit der Zielgruppe „Nur ich“ eingestellt, scheint dieser Beitrag oder diese Information nicht als Suchergebnis für andere Nutzer auf. Mittels Einstellung kann ein Nutzer entscheiden, ob er nach E‑Mail-Adresse (falls angegeben), Telefonnummer (falls angegeben) oder über Suchmaschinen hinweg zu finden sein möchte.
[62] Die Beklagte stützt sich in der Datenrichtlinie in folgenden Fällen auf die Einwilligung ihrer Nutzer zur Datenverarbeitung:
„• Für die Verarbeitung von Daten mit besonderem Schutz (z.B. deine religiösen Ansichten, deine politische Meinung, an wem du 'interessiert' bist oder deine Gesundheit, wenn du diese Informationen in deinen F*-Profilfeldern oder unter Lebensereignisse teilst), damit wir diese mit den von dir ausgewählten Personen teilen und deine Inhalte personalisieren können.
• Für die Verwendung von Gesichtserkennungstechnologie.
• Für die Verwendung von Daten, die Werbetreibende und andere Partner uns bezüglich deiner Aktivität außerhalb der Produkte der F*-Unternehmen bereitstellen, damit wir die Werbeanzeigen personalisieren können, die wir dir auf Produkten der F*-Unternehmen sowie auf Webseiten, Apps und Geräten, die unsere Werbedienste nutzen, zeigen. • Für das Teilen von personenbezogenen Daten, die dich persönlich identifizieren (Informationen wie dein Name oder deine E‑Mail‑Adresse, die für sich genommen verwendet werden können, um dich zu kontaktieren oder zu identifizieren) mit Werbetreibenden; beispielsweise wenn du uns anweist, deine Kontaktinformationen mit einem Werbetreibenden zu teilen, damit dieser dich kontaktieren kann, etwa um dir zusätzliche Informationen über ein hervorgehobenes Produkt bzw. eine hervorgehobene Dienstleistung zu senden.
• Zum Erfassen von Informationen, deren Erhalt du uns durch die von dir aktivierten gerätebasierten Einstellungen gestattest (wie den Zugriff auf deinen GPS-Standort, deine Kamera oder Fotos), damit wir die beschriebenen Funktionen und Dienste bereitstellen können, wenn du die Einstellungen aktivierst.“
[63] Der Kläger hat keine Einwilligung zu den genannten Datenverarbeitungen gegeben. Die Beklagte erfasste Informationen über den Aufenthalt des Klägers bei Aufnahme eines später hochgeladenen Fotos, weil er die diesbezüglichen gerätebasierenden Einstellungen des Aufnahmegeräts eingestellt hatte.
[64] Nutzer können daher wählen, ob es der Beklagten gestattet ist, Daten, die sie von Werbetreibenden und anderen Partnern über Aktivität außerhalb von F*-Produkten erhalten, zum Zweck der Anpassung von Anzeigen zu verwenden („Werbeanzeigen auf Basis von Partnerdaten“). Weil der Kläger dem nicht zugestimmt hat, verarbeitet die Beklagte keine personenbezogenen Daten des Klägers, die sie von Partnern über Aktivitäten außerhalb von F*‑Produkten erhalten hat, zum Zweck der Darstellung personalisierter Werbung für den Kläger. Die Daten des Klägers, die über Cookies, Social Plug‑ins und vergleichbare Technologien auf Webseiten Dritter erlangt werden, werden aber von der Beklagten gespeichert und auch zum Zwecke der Personalisierung, der Verbesserung der F*‑Produkte, „zur Förderung von Schutz, Integrität und Sicherheit“ verwendet und auch, um dem Kläger Veranstaltungen anzubieten.
[65] Die Beklagte erläutert dazu bei den Einstellungen für Werbeanzeigen auf Basis von Partnerdaten, die die Möglichkeit „nicht zulassen“ geben: „Wir löschen keine Daten, wenn du die Verwendung dieser Daten für Werbung nicht zulässt. Du wirst auch weiterhin genauso viele Werbeanzeigen sehen. Diese basieren allerdings auf deinen Aktivitäten in Produkten der F*‑Unternehmen oder können von bestimmten Unternehmen stammen, mit denen du deine Kontaktdaten geteilt hast (falls wir dein Profil mit deren Kundenliste abgeglichen haben).“
[66] Die Beklagte verwendet auch die Daten, die der Kläger der Beklagten zur Verfügung stellt, und die Daten, die die Beklagte aufgrund seiner Handlungen über ihn erhält, um dem Kläger die nach ihrer Einschätzung relevanten, personalisierten Inhalte, einschließlich personalisierter Werbung, anzuzeigen. Dies umfasst die Verwendung des Alters, der Interessen und die F*‑Nutzung des Klägers. Dazu gehört auch die Verwendung von Informationen zum Standort des Klägers um abzuschätzen, wo sich der Kläger möglicherweise befindet, um Inhalte anzuzeigen, die für den Standort des Klägers relevant sind (zB eine Anzeige, die für ein bevorstehendes Konzert in seiner Stadt wirbt).
[67] Dem Kläger wird personalisierte Werbung auch aufgrund des (oben beschriebenen) Tools „Custom Audience“ gezeigt. Die gehashten Daten werden nach maximal 48 Stunden, nach der Durchführung des Abgleichs, gelöscht. Um Custom Audience nutzen zu dürfen, muss ein Werbetreibender die Nutzungsbedingungen für Custom Audience annehmen, worin erläutert wird, dass der Werbetreibende als „Verantwortlicher“ (im Sinne der DSGVO) und die Beklagte als „Auftragsverarbeiterin“ (im Sinne der DSGVO) des Werbetreibenden fungieren.
[68] Ob, wann, auf welche Weise Werbetreibende, die „Custom Audience“ oder die anderen Business-Tools nutzten, vom Kläger eine Einwilligung zur Übermittlung der Daten an die Beklagte im Rahmen dieser Tools einholten, steht nicht fest.
[69] F* verfolgt das „Klick-Verhalten“ des Klägers wie in der Datenrichtlinie geregelt und „weiß“ daher, wenn er mit einer Werbung, einem Video udgl interagiert. Die Beklagte verfolgt die Mausbewegungen des Klägers zu Integritätszwecken, um beispielsweise sicherzustellen, dass ein Mensch und kein Bot den F*‑Dienst nutzt. So hat der Kläger die Nachricht „Du wurdest vorübergehend blockiert“ erhalten und wurde auch kurzfristig blockiert, weil er schnell und/oder wiederholt auf die Funktion „Why Am I Seeing This Ad“ geklickt hat. Die Beklagte unterbindet übermäßiges Klicken auf bestimmte Funktionen, weil sie das für die Gewährleistung der Sicherheit der Daten für erforderlich erachtet. Die Beklagte verwendet Mausbewegungen nicht, um Werbung zu personalisieren. Der Inhalt der Nachrichten wird nicht für Zwecke der personalisierten Werbung analysiert.
[70] Der Kläger hat seinem Profil keine sensiblen Daten zugefügt. Nur seine „Freunde“ können seine zukünftigen Beiträge oder Beiträge auf seiner Timeline sehen; seine „Freundschaftsliste“ ist nicht öffentlich. Der Kläger hat sich auch dagegen entschieden, der Beklagten die Verwendung von Informationen zu den Profil-Feldern Beziehungsstatus, Arbeitgeber, Berufsbezeichnung und Ausbildung für gezielte Werbung zu gestatten.
[71] Die Beklagte verarbeitete personenbezogene Daten des Klägers (zB die IP‑Adresse), um seinen Aufenthaltsort möglichst genau festzustellen und zu verarbeiten („Last Location“). Die Beklagte speicherte im Jahr 2011 im Rahmen der Berechnung der „Last Location“ des Klägers den genauen Längen- und Breitengrad.
[72] Die Beklagte hat die Gesichtserkennungsvorlagen des Klägers nicht gespeichert und verwendet diese daher auch nicht. Die Beklagte gibt keine Daten, die den Kläger direkt identifizieren, an Werbetreibende weiter. Es steht in dieser Allgemeinheit nicht fest, dass keine Daten weitergegeben werden, die die Identität des Klägers offenbaren.
[73] Partnerkategorien war ein Produkt, das es Werbetreibenden ermöglichte, Zielgruppen mithilfe von Daten von Marketingpartnern, wie zB LiveRamp, zu erreichen. Dieses Produkt wurde in der Europäischen Union im Mai 2018 eingestellt. Ob alle Daten des Klägers, die die Beklagte im Zuge dieses Produkts verarbeitet hatte, unwiederbringlich gelöscht wurden, steht nicht fest.
[74] Die Datenverarbeitung der Beklagten unterscheidet insofern nicht zwischen „einfachen“ personenbezogenen Daten und „sensiblen“ Daten (besondere Kategorien personenbezogener Daten), als sie keine Daten zuordnet, sie extrahiert also nicht heraus, ob Daten sensibel sind oder nicht.
[75] Die Beklagte verarbeitete (auch beim Kläger) das Interesse an „sensiblen Themen“ wie etwa an Gesundheitsthemen, sexueller Orientierung, ethnischen Gruppen und politischen Parteien. Es ist möglich, eine Zielgruppe für Werbung auch nach diesen Interessen festzulegen. Die Beklagte erlaubt daher, Männer anhand des Interesses an Männern zu bewerben, weiters Menschen anhand des Interesses an Homosexualität, an politischen Parteien oder an Krankheiten und erlaubt auch, als Zielgruppe Personen auszuwählen, die nicht in ihrem Heimatland leben.
[76] Die „Interessenliste“ des Klägers umfasste Ende Juni 2018 folgende Interessen: „A*, Anleger, Ar*, Ausbildung, Autos, Banksy, Baugewerbe, Bell Canada, Berater, Coaching, Community-Themen, Computermonitore, Dankbarkeit, Denken, Die (musician), Die G*, Don Giovanni, Dorf, Einkaufen und Mode, Elektronik, Europa, Familie, Fernseher, Finanzen, Flughafen, Forbes, Forschung, Futur, Gander, Gesetzloser, Glaube, Gleis, Globalisierung, Glücksspiele, Golfplatz, Gott, Gründerzentrum, Handel, Handlungswissen, Haus, Hobby, Homo sapiens, Informationen, Innsbruck, Investitionen, IP‑Telefonie, Italien, Jahr, Judi, Kapital, Kar (Talform), Kobuk, Alaska, K*, * Zeitung, Las Vegas, Last Week Tonight with John Oliver, Leben, Leuchtturm, Lokomotive, Marketing, Marktnische, Menschen, Mobile App, Moral, Nationalismus, Neos, Non-metropolitan district, Offizier, Omnibus, ORF eins, Panoramabild, Park, Parken, Personal Trainer, Politik, Polizei, Provinz Entre Ríos, Rechtsanwalt, Reichtum, Reisen, Richard Wagner, Ringe des Saturn, Salz.B.urg, S*, Seele, Selbstständigkeit, Si*, Smartphone, Sozialer Status, Stammtisch, Startup-Unternehmen, Strategy, Straßenbahn, Student/in, Stunde, Tablet-Computer, Tag, Taxi, Technologie, TV-Talkshows, UFO, Ufologie, Universität, Unternehmen, Unternehmensleitung, Vorfeldbus, Vorsitz im Rat der Europäischen Union, Wi-Fi, Wien, Wiener Staatsoper, Woche, Wunsch, Zeit, Öffentlicher Verkehr, Österreich, Österreichische Schule, Österreichischer Rundfunk und Švyturys.“
[77] Der Umstand, dass sich auf dieser Interessenliste des Klägers der Begriff „Kobuk“ (= ein Ort in Alaska) befand, ist darauf zurückzuführen, dass der Kläger eine Web-Seite mit diesem Namen, die Kritik zu journalistischen Fehlgriffen zum Inhalt hat, besucht hatte. Das „Interesse“ (im Jahr 2013) an „electronic viewfinder“ war auf den Besuch der Website Europe versus F*, abgekürzt „evf“, zurückzuführen.
[78] Dem Kläger wurde aufgrund seiner „Freunde“ bei jeweils noch zwei anderen Auswahlmöglichkeiten als Wohnort Wien, als Geburtsort seine Heimatstadt Salzburg, als Schule sein Gymnasium in Salzburg und als Universität die Universität Wien vorgeschlagen.
[79] Dem Kläger wurde eine Werbung für die N*‑Politikerin B* angezeigt, die auf der Analyse basierte, dass er anderen „Kunden“ ähnelt, die diese Politikerin mit „gefällt mir“ markiert haben. Der Kläger erhielt regelmäßig Werbung, die auf homosexuelle Personen abzielte, und Einladungen zu entsprechenden Veranstaltungen, obwohl er sich davor für die konkrete Veranstaltung nicht interessiert hatte und den Veranstaltungsort nicht kannte. Diese Werbung bzw diese Einladungen orientierten sich nicht unmittelbar an der sexuellen Orientierung des Klägers oder seiner „Freunde“, sondern an der Analyse deren Interessen.
[80] Es wird dem Kläger angezeigt, dass ein Freund des Klägers ein Produkt mit „gefällt mir“ markiert hat und umgekehrt.
[81] Der Kläger hat eine Analyse in Auftrag gegeben, aus welcher Rückschlüsse aus seiner Freundesliste herausgerechnet werden können; diese ergab, dass er Zivildienst beim Roten Kreuz in Salzburg gemacht hat und dass er homosexuell ist.
[82] Auf der Liste seiner Aktivitäten außerhalb von F* scheinen ua Apps oder Websites von [Apps oder Webseiten für Onlinedating für eine homosexuelle Zielgruppe] und der F* auf. Es sind bei seinen Daten einerseits die E‑Mail-Adresse m*@*.at gespeichert, die es nicht gibt und seine E‑Mail-Adresse m*@*.at, die er nicht in seinem Profil angegeben, allerdings bei Anfragen an die Beklagte verwendet hatte.
[83] Der Kläger konnte und kann (auch bei der gewünschten Beibehaltung des Kontos) bestimmte Inhalte, etwa Nachrichten und Fotos, von seinem Konto löschen, indem er einen Löschvorgang auslöst. Ausgenommen davon sind beispielsweise Name und E‑Mail-Adresse und abgelehnte Freundschaftsanfragen und entfernte Freunde, die erst gelöscht werden, wenn das Konto gelöscht wird. Alte Pokes werden, wenn sie vom Nutzer gelöscht werden, nur verborgen, um weitere Belästigungen zu vermeiden. Auch alte Passwörter und alte Namen werden – jedenfalls vor Löschung des Kontos – nicht gelöscht.
[84] Mit „Löschung“ (bei aufrechtem Konto) meint die Beklagte, dass die Daten vom Konto losgelöst, dh entknüpft werden. Die Daten werden „entpersonalisiert“. Es gibt neben der Möglichkeit des Löschens auch die Möglichkeit des Entfernens und des Verbergens. Wenn man eine Nachricht über Messenger sendet, kann man innerhalb von zehn Minuten diese Nachricht wieder entfernen. Damit wird diese Nachricht für alle unsichtbar, auch für den Empfänger. Nach Ablauf dieser zehn Minuten kann man diese Nachricht aus den eigenen Nachrichten entfernen, beim Empfänger bleibt die Nachricht. Einen Beitrag, den jemand anderer gepostet hat, kann man nicht löschen, sondern nur verbergen.
[85] Bei alten Nachrichten oder Postings ist nur die Einzellöschung jedes Elements oder eine Deaktivierung des gesamten Kontos möglich. Von der Möglichkeit, sein Konto dauerhaft zu löschen, möchte der Kläger nicht Gebrauch machen, weil er F* weiter nutzen will.
[86] In einer Studie von Studenten betreffend die nach dem Auskunftsersuchen 2011 übermittelten Daten des Klägers wurden vom Kläger Passagen gelb markiert. Soweit dort als „true“ (richtig) markiert wird, bedeutet das, dass der Kläger diese Daten (durch Anklicken „Löschen“) gelöscht hat. Die Beklagte hat daraufhin die Markierung „deleted true“ gesetzt. Die „deleted false“ bezeichneten Daten wurden nicht gelöscht, sondern nur als gelöscht markiert. Bei den Freundschaftsanfragen bedeutet das Feld „rejected true“, dass der Kläger die Freundschaftsanfragen abgelehnt hat. Dennoch werden diese von der Beklagten gespeichert und auch entfernte Freunde nur in eine Liste mit gelöschten Freunden verschoben. Gelöschte Markierungen in Fotos wurden von der Beklagten nur unsichtbar gesetzt. Bei den aufgrund des Auskunftsbegehrens 2011 übermittelten Daten befanden sich Postings aus dem Jahr 2009, die der Kläger spätestens ein halbes Jahr vor dem Auskunftsbegehren gelöscht hatte.
[87] Zum Löschen von Daten erklärt die Beklagte in ihren Nutzungsbedingungen Punkt 3.1.:
„Du kannst Inhalte einzeln oder alle gleichzeitig (durch Löschung deines Kontos) löschen. … Wenn du einen Inhalt löschst, ist er für andere Nutzer nicht mehr sichtbar. Es ist jedoch möglich, dass er an anderer Stelle in unseren Systemen noch vorhanden ist wenn
. eine sofortige Löschung aufgrund technischer Beschränkungen nicht möglich ist (in dem Fall wird dein Inhalt innerhalb von max. 90 Tagen nach der Löschung durch dich gelöscht);
. dein Inhalt in Einklang mit dieser Lizenz bereits von anderen genutzt wurde und sie ihn nicht gelöscht haben (in diesem Fall findet diese Lizenz solange Anwendung, bis der Inhalt gelöscht wird); oder
. die sofortige Löschung uns bei folgenden Maßnahmen einschränken würde:
. Untersuchung oder Erkennung illegaler Aktivitäten oder Verstößen gegen unsere Nutzungsbedingungen und Richtlinien (z.B. Zuerkennung oder Untersuchung von Missbrauch unserer Produkte oder Systeme);
. Erfüllung einer gesetzlichen Pflicht, z.B. Aufbewahrung von Beweisen; oder
. Erfüllung einer Anforderung seitens einer Gerichts- oder Verwaltungsstelle, einer Strafverfolgungsbehörde oder einer Behörde; in einem solchen Fall wird der Inhalt nur so lange aufrechterhalten, wie es für die Zwecke erforderlich ist, die der Aufrechterhaltung zugrunde liegen (die genaue Dauer hängt vom Einzelfall ab).
In allen oben genannten Fällen gilt diese Lizenz solange weiter, bis der Inhalt vollständig gelöscht worden ist.“
[88] Die Beklagte erklärt (in ihren aktuellen Bedingungen), dass sie ein dauerhaftes Löschen von Daten von den Servern erst 30 Tage nach Löschung eines Kontos einleitet. Sie begründet dies damit, dass ein gelöschtes Konto nicht reaktiviert werden könne und dies zum dauerhaften Verlust von Inhalten, die der Nutzer auf F* hochgeladen hat, führe, weshalb sie dem Nutzer eine 30‑tägige Wartezeit (dh eine „cooling‑off Zeit“) gewährt, um seine Meinung zu ändern und seine Anfrage zu stornieren, wobei mit dem Löschauftrag die personenbezogenen Daten des Nutzers jedoch für andere Nutzer nicht mehr erreichbar seien. Dann beginne die Beklagte nach Ablauf der 30‑tägigen Wartezeit mit dem Löschvorgang, und die personenbezogenen Daten des Nutzers würden innerhalb von 90 Tagen dauerhaft von den Servern der Beklagten gelöscht, wobei die personenbezogenen Daten dauerhaft gelöscht, die verbleibenden Metadaten jedoch nur de‑identifiziert und anonymisiert würden. Einige Daten könnten nach 90 Tagen in unzugänglichen Backups, die für Zwecke der Wiederherstellung im Falle einer Katastrophe dienen, für einen begrenzten Zeitraum bestehen bleiben.
[89] Der Kläger hat persönliche Daten auf der Website Europe versus F* als Musterdaten öffentlich gemacht, etwa als Beispiel für die Funktion „Last Location“, die GPS‑Daten seiner Universität, woraus er sich eingeloggt hat. Der Kläger ist homosexuell und kommuniziert dies auch gegenüber der Öffentlichkeit. Er hat seine sexuelle Orientierung aber nicht in seinem Profil angegeben.
[90] Der Kläger stellte 2011, 2012, 2013, 2015 und zuletzt 2019 ein Auskunftsbegehren an die Beklagte.
[91] Im Rahmen eines umfangreichen E‑Mail-Verkehrs erhielt er am 9. 6. 2011 eine erste PDF‑Datei mit 18 Seiten. Nach weiteren Interventionen übermittelte das Mutterunternehmen der Beklagten (F* Inc.) im Juli 2011 eine CD‑Rom mit einer weiteren PDF‑Datei im Umfang von 1.222 A4‑Seiten. Danach erhielt er keine weiteren Daten mehr und wurde in der Beantwortung seines letzten Begehrens auf die Auskunft‑ und Download-Tools verwiesen.
[92] Die Beklage stellt in ihren Tools nur einen Teil der von ihr über den Kläger verarbeiteten Daten zur Verfügung, nämlich nur die, die sie für den Nutzer für relevant und interessant hält. Im Download-Tool sieht man wesentlich weniger Daten als über die Entwicklerschnittstelle API. In den Tools sind keine Metadaten wie Empfänger oder Herkunftszweck und keine Löschfristen oder Profiling‑Daten ersichtlich. Die Beklagte erteilte dem Kläger keine individuelle Information zu Zweck, Quelle, konkrete Verwendung seiner Daten. Auch die Existenz oder Logik etwaiger Analysen werden von der Beklagten nicht bekannt gegeben. Die Beklagte verweist diesbezüglich auf die allgemeinen Angaben in ihren Richtlinien und Bedingungen. Auskunft über das erwähnte wiederholte Anklicken, das zu einer vorübergehenden Blockierung des Klägers geführt hatte, wurde in den Tools nicht gegeben.
[93] In dem Tool „Aktivitäten außerhalb von F*“ sieht man die Unternehmen, die Daten geschickt haben, aber nicht welche Daten die Unternehmen geschickt haben; man sieht auch die Rohdaten nicht.
[94] In dem Download-Tool des Klägers ist ein Foto ersichtlich, auf dem vier Menschen zu sehen sind. Einer davon ist der Kläger. Wenn man dieses Foto in Firefox untersucht, ergibt sich, dass mehr Daten gespeichert sind, als in den Tools der Beklagten ersichtlich sind, und zwar ein Kasten rund um das Gesicht des Klägers mit einer ID und die Information „vier Personen, Personen, die lachen“.
[95] In dem Download-Tool des Klägers sind Fotos („RIO“, „Spring Break“) ersichtlich, die 2015 von Geräten mit einer IP-Adresse in Österreich (Foto „RIO“) bzw in Kalifornien (Foto „Spring Break“) hochgeladen wurden. Der Kläger hatte die GPS‑Einstellung auf den Aufnahmegeräten (seinem Blackberry, auf dem F* nicht installiert ist, bzw einer Canon EOS) nicht deaktiviert. Im Zuge des Hochladevorgangs (auf F*) musste man nicht ausdrücklich zustimmen, dass die GPS‑Daten mitgeladen werden, und konnte dies auch nicht verbieten. Die Fotos teilte der Kläger in Folge mit „Freunden“. Im Oktober 2019 waren in dem Download-Tool jeweils nur die IP-Adresse, der Ort und die Zeit des Hochladens, nicht aber die EFIX‑Daten des Fotos wie Aufnahmegerät und Speicherort ersichtlich.
[96] Über die Speicherfristen von EFIX‑Daten informiert die Beklagte in den Tools nicht, sondern gibt in der Dateirichtlinie nur allgemein Auskunft über die Kriterien, die angewendet werden.
[97] Der Kläger ist durch die Datenverarbeitung der Beklagten „massiv genervt“, aber nicht psychisch beeinträchtigt. Es gibt über ihn von der Beklagten gespeicherte und verarbeitete Daten, über die er keine Kontrolle hat, weil sie in den Tools nicht angezeigt werden. Für ihn ist bei der Nutzung von F* weder die Werbung noch der Faktor Forschung relevant. Er hält es für problematisch, dass seine Daten für die Forschung verwendet werden, und ihm ist es nicht recht, dass seine Daten gesammelt werden und von seinen „Freunden“ eingesehen werden können.
[98] Das Ausmaß des erforderlichen technischen und wirtschaftlichen Aufwands um Tools zu entwickeln, die die personenbezogenen Daten eines Nutzers erkennen, herausfiltern und blockieren, damit die Algorithmen der Beklagten diese nicht für personalisierte Werbung oder für Marketingzwecke verwenden, steht nicht fest, ebensowenig allerdings auch, dass derartige Tools nicht entwickelt werden könnten.
[99] Die Beklagte verstößt bei der Verarbeitung der Daten des Klägers nicht gegen ihre Richtlinien, Bedingungen und Informationen.
[100] Rechtlich würdigte das Erstgericht diesen Sachverhalt dahingehend, dass der Kläger aufgrund seiner privaten Nutzung nicht „Verantwortlicher“ im Sinne der DSGVO sei, weil diese auf ihn nicht anzuwenden sei. Da sich das Weisungsrecht laut Punkt 3 des Klagebegehrens und das Recht auf Abschluss eines Vertrags laut Punkt 4 des Klagebegehrens aus der Position des Klägers als „Mitverantwortlicher“ ergebe, seien die Klagebegehren Punkte 1 bis 4 abzuweisen. Für die Klagebegehren Punkte 5 und 7 fehle dem Kläger das rechtliche Interesse an der begehrten Feststellung.
[101] Das Unterlassungsbegehren (Klagebegehren Punkte 6 und 8 bis 10) sei nicht berechtigt. Die Personalisierung und auch die personalisierte Werbung als ein wesentlicher Bestandteil des von der Beklagten angebotenen Dienstes ergebe sich aus den Nutzungsbedingungen und den verlinkten Richtlinien, die zum Vertrag gemacht worden seien. Zwar sei richtig, dass die Beklagte diesen Vertragszweck selbst vorgegeben habe. Der Kläger habe aber trotzdem einen Vertrag mit diesem Inhalt abgeschlossen, weshalb die Beklagte die festgestellten Datenverarbeitungen durchführen dürfe, solange der Kläger sein Konto nicht lösche und damit den Vertrag mit der Beklagten beende.
[102] Eine Verletzung von Art 9 DSGVO liege nicht vor. Dabei könne dahingestellt bleiben, ob die festgestellten Einladungen zu Veranstaltungen und Werbungen die Homosexualität des Klägers offenbarten, weil der Kläger diese selbst öffentlich gemacht habe, sodass ein Ausnahmegrund von dem Erfordernis einer ausdrücklichen Einwilligung (Art 9 Abs 2 lit e DSGVO) vorliege. Das „Interesse“ des Klägers an verschiedenen Parteien und Politikern offenbare nur sein Interesse an Politik, aber keine politische Meinung.
[103] Allerdings habe die Beklagte gegenüber dem Kläger ihre Auskunftspflicht gemäß Art 15 DSGVO verletzt. Dadurch habe der Kläger keinen Überblick über sämtliche über ihn gespeicherte Daten und könne auch nicht sein Recht auf Berichtigung ausüben. Aus ErwGr 85 zu Art 82 DSGVO ergebe sich, dass der Verlust des Klägers über die Kontrolle seiner Daten und die damit verbundene Unsicherheit ihn berechtige, Schadenersatz zu fordern. Der begehrte Betrag sei angemessen.
[104] Das Berufungsgericht gab den von beiden Streitteilen gegen dieses Urteil erhobenen Berufungen nicht Folge und bestätigte das Urteil des Erstgerichts mit der Maßgabe, dass Spruchpunkt I wie folgt zu lauten habe:
„Die beklagte Partei ist schuldig, der klagenden Partei binnen 14 Tagen schriftlich und kostenlos Auskunft zu erteilen über alle von ihr verarbeiteten personenbezogenen Daten der klagenden Partei unter Angabe der Verarbeitungszwecke, der Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, und – soweit die personenbezogenen Daten nicht bei der klagenden Partei erhoben werden – über die Herkunft.“
[105] Das Berufungsgericht übernahm die Feststellungen zur Sichtbarkeit von Profiling‑Daten in den Tools nicht, verwarf im Übrigen jedoch die erhobenen Beweis‑ und Mängelrügen. Rechtlich führte es aus, die „datenschutzrechtliche Rollenverteilung“ zwischen den Streitteilen sei ein Hauptstreitpunkt. Aus der Judikatur des EuGH lasse sich unmissverständlich ableiten, dass ein F*‑Nutzer nur in Ansehung der personenbezogenen Daten Dritter unter bestimmten Voraussetzungen als Mitverantwortlicher iSd Art 4 Z 7 DSGVO eingestuft werden könne. Hingegen sei er in Ansehung seiner eigenen personenbezogenen Daten nur Betroffener. In beiden Konstellationen bleibe F* Mitverantwortlicher bzw einziger Verantwortlicher. Daher seien die Klagebegehren Punkte 1, 2, 3, 4 und 4.1 abzuweisen.
[106] Das Begehren auf Feststellung, dass näher bezeichnete Zustimmungserklärungen des Klägers nicht als wirksame Einwilligung iSd Art 6 Abs 1 und 7 DSGVO einzustufen seien und dass keine wirksame Einwilligung des Klägers zu näher konkretisierten, von der Beklagten durchgeführten Datenverarbeitungen vorliege, sei nicht berechtigt, weil eine Rechtshandlung nicht Gegenstand eines Feststellungsbegehrens gemäß § 228 ZPO sein könne.
[107] Beim Vertrag zwischen den Streitteilen handle es sich um ein in der österreichischen Rechtsordnung nicht ausdrücklich geregeltes, also atypisches Schuldverhältnis. Sein Inhalt bestehe im Wesentlichen darin, dass die Beklagte dem F*‑Nutzer eine „personalisierte“, also auf seine Interessen und Einstellungen individuell zugeschnittene Plattform eröffne, auf der er mit anderen F*‑Nutzern kommunizieren kann. Zwar schulde der F*‑Nutzer für den Zutritt zu diesem Forum kein Geld, doch dulde er, dass die Beklagte alle ihr zur Verfügung stehenden personenbezogenen Daten des Nutzers verwerte. Die Verarbeitung dieser Daten diene dazu, dem Nutzer personalisierte Werbung zu senden. Zu diesem Zweck gebe die Beklagte die Daten ihrer Nutzer ohne deren ausdrückliche Zustimmung nicht an Dritte weiter, sondern sende Werbung im Auftrag von Werbekunden an bestimmte, gegenüber den Werbetreibenden anonym bleibende Zielgruppen, die sie aus den Daten herausfiltere. Das Wesen dieses F*‑Geschäftsmodells werde in den Bedingungen in einer Weise erläutert, die für jeden auch nur durchschnittlich aufmerksamen Leser leicht verständlich sei. Dieses Modell sei weder sittenwidrig noch ungewöhnlich. Die Verarbeitung der personenbezogenen Nutzerdaten sei eine tragende Säule des zwischen den Streitteilen geschlossenen Vertrags. Daher sei die Verarbeitung der personenbezogenen Daten des Klägers für die Vertragserfüllung „erforderlich“ iSd Art 6 Abs 1 lit b DSGVO.
[108] Der Kläger habe zuletzt 2019 ein auf Art 15 DSGVO gestütztes Auskunftsbegehren an die Beklagte gerichtet, mit dem er auf einschlägige Online‑Tools verwiesen wurde. Allerdings stellte die Beklagte darin nur einen Teil der von ihr über den Kläger verarbeiteten (gemeint: personenbezogenen) Daten zur Verfügung. Damit sei der dem Klagebegehren Punkt 11 stattgebende Spruchpunkt I des Ersturteils mit der Maßgabe zu bestätigen, dass eine von diesem Begehren geringfügig abweichende Formulierung gewählt werde, die sich enger am Verordnungswortlaut orientiere.
[109] Der geltend gemachte immaterielle Schadenersatzanspruch sei berechtigt. Der Kläger habe einen immateriellen Schaden behauptet, der durch die Verletzung der Auskunftspflicht verursacht worden sei. Dieses Ungemach spiegle sich auch in den Feststellungen wider. Die geforderten 500 EUR harmonierten mit dem geringen Ausmaß dieses Unwohlseins.
[110] Die ordentliche Revision ließ das Berufungsgericht zu, weil die zu lösenden Rechtsfragen auch für viele andere, gleichartige Vertragsverhältnisse bedeutsam sein könnten, die die Beklagte mit F*‑Nutzern in Österreich geschlossen habe. Dies gelte insbesondere für die Rechtsfrage, ob sich die Beklagte mit Erfolg auf den Rechtfertigungstatbestand des Art 6 Abs 1 lit b DSGVO berufen könne, wenn sie personenbezogene Daten ihrer Vertragspartner (F*‑Nutzer) verarbeite, um aus der dadurch ermöglichten personalisierten Werbung Einkünfte zu erzielen.
[111] Gegen dieses Urteil richten sich die Revisionen beider Streitteile, wobei der Kläger die Bestätigung der Abweisung von Punkt 10 seines Begehrens nicht bekämpft. Sie sind aus dem vom Berufungsgericht angeführten Grund zulässig.
Rechtliche Beurteilung
[112] Zur Revision des Klägers:
[113] I. Zur Haushaltsausnahme
[114] 1.1. Gemäß Art 2 Abs 2 lit c DSGVO ist die Verordnung auf die Verarbeitung personenbezogener Daten zur Ausübung privater oder familiärer Tätigkeiten („Haushaltsausnahme“) nicht anzuwenden. Nach ErwGr 18 der DSGVO gilt die Verordnung nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu ihrer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten nennt ErwGr 18 explizit auch […] die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten.
[115] 1.2. Mit der Haushaltsausnahme (auch: „Haushaltsprivileg“ oder „Bagatellklausel“) soll ein unnötiger Aufwand für Einzelne vermieden werden (Heißl in Knyrim, DatKomm Art 2 DSGVO Rz 66). Die staatliche Regelungsbefugnis in Bezug auf den Schutz personenbezogener Daten soll dann enden, wenn diese im privaten Rahmen und damit in Ausprägung des allgemeinen Persönlichkeitsrechts verarbeitet werden (Ennöckl in Sydow, Europäische Datenschutzgrundverordnung2 [2018] Art 2 Rz 10). Durch die ausdrückliche Bezugnahme im Wortlaut („ausschließlich“) wird auch die gemischte Verwendung (privat und beruflich) von der DSGVO erfasst (Heißl in Knyrim, DatKomm Art 2 DSGVO Rz 75). Dabei kommt es darauf an, ob der Zweck der Datenanwendung im beruflichen oder privaten Kontext des für die Datenverarbeitung Verantwortlichen liegt. Ob dem Verwendungszweck nach eine private oder berufliche Nutzung von Daten vorliegt, ist einzelfallbezogen nach objektiven Kriterien und der allgemeinen Verkehrsanschauung zu beurteilen (Ennöckl in Sydow, Europäische Datenschutzgrundverordnung2 [2018] Art 2 Rz 11).
[116] 1.3. Die Nutzung sozialer Netze und Online-Tätigkeit fällt nur unter die Haushaltsausnahme, wenn diese auf einen bestimmten Benutzerkreis eingeschränkt wird (Heißl in Knyrim, DatKomm Art 2 DSGVO Rz 70). Für die Anwendbarkeit der Haushaltsausnahme ist vor allem auf den Adressatenkreis abzustellen, sodass bei allgemein zugänglicher Veröffentlichung ohne jegliche Beschränkung dieses Privileg nicht in Anspruch genommen werden kann: Werden somit auf einer privaten F*‑Seite einer überschaubaren Anzahl von Freunden Fotos und Videos zugänglich gemacht, greift das Haushaltsprivileg; der gleiche Inhalt auf öffentlich zugänglichen Accounts fällt hingegen nicht mehr darunter (Heißl in Knyrim, DatKomm Art 2 DSGVO Rz 71).
[117] 1.4. Nach Ennöckl (in Sydow, Europäische Datenschutzgrundverordnung2 Art 2 Rz 13) gilt die Ausnahme für soziale Netzwerke (ErwGr 18) nur insoweit, als die Nutzer in geschlossenen Gruppen Daten austauschen, die keinen Bezug zu ihren beruflichen oder wirtschaftlichen Tätigkeiten haben. Die Veröffentlichung von Daten über das Internet falle hingegen stets unter die Regelungen der DSGVO. Sie überschreite nämlich aufgrund der damit verbundenen Entkoppelung der Informationen von einem bestimmten Verarbeitungszweck stets den Bereich persönlicher Informationsverwendung, ohne dass es auf den vom Betreiber der Website intendierten Empfängerkreis ankomme.
[118] 1.5. Auch nach Kühling/Raab (in Kühling/Buchner, DS‑GVO BDSG3 [2020] Art 2 DSGVO Rz 25) ist die Ausnahme nur dann einschlägig, solange die Nutzung dergestalt erfolgt, dass ein lediglich begrenzter Personenkreis Kenntnis von Informationen erlangt, wie etwa im Rahmen von Einzel- oder Gruppennachrichten. Jedoch greife sie nicht für die Veröffentlichung von Informationen an einen unbestimmten Personenkreis. Auch eine Begrenzung auf einzelne Gruppen sei nicht ausreichend, da sich dort der Zugriff durch Funktionen wie „Teilen“ potenzieren könne.
[119] 2. Der erkennende Senat setzte sich bereits in der Entscheidung 6 Ob 131/18k mit der Haushaltsausnahme auseinander. Dabei sprach er aus, dass eine persönliche oder familiäre Tätigkeit öffentlichkeitsfeindlich sei, weshalb etwa das Online-Stellen von eigentlich privaten Familien-Stammbäumen oder von personenbezogenen Informationen über andere Personen, seien sie verwandt oder befreundet, von der Ausnahme nicht erfasst seien. Jegliche öffentlich online zugänglichen Daten seien nicht privilegiert und unterfielen daher der Anwendbarkeit der DSGVO (ErwGr 7.2.3.).
[120] 3.1. Der Gerichtshof der Europäischen Union (EuGH) entschied zum im Wesentlichen identen Art 3 Abs 2 zweiter Gedankenstrich der RL 96/46 („Datenschutzrichtlinie“), die Haushaltsausnahme sei dahin auszulegen, dass mit ihr nur Tätigkeiten gemeint seien, die zum Privat- oder Familienleben von Einzelpersonen gehörten, was offensichtlich nicht der Fall sei bei der Verarbeitung personenbezogener Daten, die in deren Veröffentlichung im Internet bestehe, so dass diese Daten einer unbegrenzten Zahl von Personen zugänglich gemacht würden (EuGH C‑101/01 , Lindqvist, Rz 47).
[121] 3.2. In einer Folgeentscheidung bestätigte der EuGH diese Rechtsprechung und normierte, eine Tätigkeit könne nicht als ausschließlich persönlich oder familiär im Sinne dieser Vorschrift angesehen werden, wenn sie zum Gegenstand habe, personenbezogene Daten einer unbegrenzten Zahl von Personen zugänglich zu machen, oder wenn sie sich auch nur teilweise auf den öffentlichen Raum erstrecke und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet sei, der die Daten verarbeite (EuGH C‑25/17 , Jehovan todistajat, Rz 42).
[122] 3.3. Zur Rechtslage nach Inkrafttreten der DSGVO wird teilweise vertreten, dass auch die Veröffentlichung von personenbezogenen Daten in sozialen Netzwerken von der Haushaltsausnahme erfasst sei. Dafür spreche, dass der europäische Gesetzgeber die Haushaltsausnahme in Kenntnis der technischen Ausgestaltung des Internets und sozialer Netzwerke ausdrücklich auf Online‑Tätigkeiten und Tätigkeiten in sozialen Netzwerken erstreckt habe (Schmidt in Taeger/Gabel, DSGVO BDSG3 [2019] Art 2 DSGVO Rz 18 mwN).
[123] 3.4. In diese Richtung weist die Entstehungsgeschichte der DSGVO insofern, als das Europäische Parlament klarstellen wollte, dass die Haushaltsausnahme nur greift, wenn der Kreis der Empfänger voraussichtlich begrenzt ist. Auch wenn dieser Vorschlag keinen Eingang in den Text gefunden hat, gibt es nach Schantz wenig Anzeichen, dass der Gesetzgeber den Anwendungsbereich des Datenschutzrechts in diesem Punkt zurücknehmen wollte (Schantz, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, 1841 [1843]).
[124] 4.1. Die Frage, ob es sich um eine private Nutzung handelt, stellt in der Regel eine Einzelfallentscheidung dar (Zukic in JB Datenschutzrecht 2019, 61 [83 ff]). Die Haushaltsausnahme ist grundsätzlich restriktiv auszulegen (siehe nur Ennöckl in Sydow, Europäische Datenschutzgrundverordnung2 [2018] Art 2 Rz 10). Dabei kommt es vor allem darauf an, ob es sich um einen begrenzten Personenkreis handelt oder ob die Information öffentlich zugänglich ist bzw gemacht werden kann. Entscheidend ist somit, ob der potentiell zugriffsfähige Personenkreis von Vornherein absehbar ist und nicht etwa durch Teilen exponentiell vergrößert werden könnte (Kühling/Raab in Kühling/Buchner, DS‑GVO BDSG3 [2020] Art 2 DSGVO Rz 25).
[125] 4.2. Nach den erstinstanzlichen Feststellungen ist das F*‑Profil des Klägers „privat“, sodass nur dessen Freunde seine Beiträge sehen können. Es wurde gerade nicht festgestellt, dass der Kläger seinen F*‑Account auch für berufliche Zwecke verwendet. Nach Zukic (in JB Datenschutzrecht 2019, 61 [76]) erfüllt ein tatsächlich nur dem persönlichen oder familiären Umfeld zugängliches (F*‑)Profil die Haushaltsausnahme; lediglich Profile mit Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit seien nicht vom Anwendungsbereich der DSGVO auszunehmen. Zwar wäre theoretisch möglich, dass Freunde des Klägers dessen Inhalte teilen und damit auch Dritte Zugriff auf diese Inhalte erhalten. Dies müsste allerdings vom jeweiligen Benutzer aktiv ermöglicht werden (siehe dazu den Punkt „Wer kann sehen, wenn jemand etwas teilt, das ich gepostet habe“). Will einer der ursprünglichen Adressaten einen Beitrag teilen, welcher auf einen bestimmten Adressatenkreis beschränkt ist, kann er diesen grundsätzlich nur mit Personen teilen, die schon im ursprünglichen Adressatenkreis inkludiert waren, den Adressatenkreis also nicht erweitern (Zukic in JB Datenschutzrecht 2019, 61 [79]). Es wurde nicht festgestellt, dass der Kläger ein Verbreiten ermöglicht hat und seine Inhalte demnach potentiell öffentlich zugänglich waren.
[126] 4.3. Bei dieser Sachlage ist die Haushaltsausnahme erfüllt und die DSGVO daher insoweit gar nicht anwendbar. Die grundsätzliche Anwendbarkeit der Haushaltsausnahme wurde vom Kläger in seinem Rechtsmittel auch nicht bestritten. Daher stellt sich die Frage, ob der Kläger „Verantwortlicher“ iSd Art 4 DSGVO ist, nicht. Die Abweisung der Klagebegehren Punkte 1–4 ist daher schon aus diesem Grund nicht zu beanstanden. Im Hinblick auf die bereits vorliegende Rechtsprechung des EuGH war die neuerliche Befassung des EuGH – entgegen der Anregung des Klägers – insoweit nicht erforderlich.
[127] II. Zur Person des „Verantwortlichen“ iSd Art 4 DSGVO
[128] 1.1. Lediglich der Vollständigkeit halber ist auf die – vom Berufungsgericht zutreffend als Hauptstreitpunkt hervorgehobene – Frage der „datenschutzrechtlichen Rollenverteilung“ zwischen den Streitteilen einzugehen.
[129] 1.2. Der Kläger ist jedenfalls Betroffener, weil seine Daten verarbeitet werden. Dies bestritt er zu keinem Zeitpunkt des Verfahrens. Allerdings vertritt er die Auffassung, er sei zugleich auch (fiktiver) Verantwortlicher, zumal er etwa durch Hochladen von Inhalten den Verarbeitungszweck der Daten selbst bestimme. In Bezug auf eigene Daten sei der Kläger demnach Betroffener und Verantwortlicher zugleich, die Beklagte sei Auftragsverarbeiterin. Soweit der Kläger fremde Daten verarbeite (etwa durch das Posten eines Fotos, auf dem auch ein Dritter zu sehen ist), sei er nur Verantwortlicher. Nach Auffassung des Klägers ist er selbst für alle zu seinen persönlichen Zwecken betriebenen Datenanwendungen (Profil, Chronik – inklusive Likes und Kommentare – Veranstaltungen, Fotos, Videos, Gruppen, persönliche Nachrichten, Freundesliste und Anwendungen) der Verantwortliche und die Beklagte damit nur weisungsgebundene Auftragsverarbeiterin (vgl dazu auch Feiler/Forgó, EU‑DSGVO [2016] Art 4 DSGVO Rz 13).
[130] 1.3. Die vom Kläger behauptete Konstellation ist in Literatur und Judikatur soweit ersichtlich bisher nicht näher behandelt worden. Nach Feiler/Forgó lässt der Wortlaut der Definition des Begriffs „Verantwortlicher“ zu, dass eine natürliche Person Verantwortlicher ihrer eigenen personenbezogenen Daten ist. Wenn eine betroffene Person ihre eigenen personenbezogenen Daten einem Dritten (zB einem Hosting Provider) anvertraue, damit dieser die personenbezogenen Daten ausschließlich auf Anweisung der betroffenen Person und ausschließlich für ihre Zwecke verarbeite, so würden den Dritten nur dann Pflichten zur Gewährleistung der Sicherheit der personenbezogenen Daten treffen, wenn der Dritte ein Auftragsverarbeiter ist, was wiederum begrifflich voraussetze (vgl Art 4 Nr 8 DSGVO), dass die betroffene Person als Verantwortlicher einzustufen sei. Behandle man die betroffene Person in dieser Konstellation als Verantwortliche ihrer eigenen Daten, so sei der Dritte als Auftragsverarbeiter zu beurteilen und unterliege den Regelungen der DSGVO. Die betroffene Person (= Verantwortliche) könne sich hingegen – soweit nur ihre eigenen personenbezogenen Daten verarbeitet werden – auf die Ausnahmeregelung des Art 2 Abs 2 lit c berufen, weshalb sie keine Pflichten nach der DSGVO treffen, die auch nicht erforderlich seien, weil keine Interessen Dritter berührt seien (Feiler/Forgó, EU‑DSGVO [2016] Art 4 DSGVO Rz 13).
[131] 2.1. Nach Art 4 Z 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. Nach Art 4 Z 8 DSGVO ist „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
[132] 2.2. Verantwortlicher ist somit jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle (personenbezogener Aspekt), die allein oder gemeinsam mit anderen (pluralistische Kontrolle), über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Entscheidungsfunktion [dazu Hödl in Knyrim, DatKomm Art 4 DSGVO Rz 80]). Beim Verantwortlichen handelt es sich um jene Person oder Einrichtung, die dafür zu sorgen hat, dass die Datenschutzbestimmungen der DSGVO eingehalten werden. Damit gilt der Verantwortliche als Adressat der Pflichten aus der DSGVO; der Begriff dient der Zuweisung von Verantwortlichkeiten (Hödl in Knyrim, DatKomm Art 4 DSGVO Rz 77).
[133] 2.3. Zur Auslegung des Begriffs „Verantwortlicher“ iSd Richtlinie 95/46 entschied der EuGH (C‑210/16 , Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Wirtschaftsakademie Schleswig‑Holstein GmbH), es sei zu prüfen, ob und inwieweit der Betreiber einer auf F* unterhaltenen öffentlich zugänglichen Fanpage (gegenständlich die Wirtschaftsakademie) im Rahmen dieser Fanpage gemeinsam mit F* Ireland und der F* Inc. einen Beitrag zur Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher dieser Fanpage leistet und somit ebenfalls als „für die Verarbeitung Verantwortlicher“ iSv Art 2 lit d der RL 95/46 angesehen werden könne (EuGH C‑210/16 , Rz 31). Auch wenn der bloße Umstand der Nutzung eines sozialen Netzwerks wie F* für sich genommen einen F*‑Nutzer nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten mitverantwortlich mache, gebe der Betreiber einer auf F* unterhaltenen Fanpage mit der Einrichtung einer solchen Seite F* die Möglichkeit, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein F*‑Konto verfügt (EuGH C‑210/16 , Rz 35). Deshalb qualifizierte der EuGH den Betreiber einer Fanpage gemeinsam mit F* als „Verantwortlichen“ iSd Art 2 der RL 95/46 (EuGH C‑210/16 , Rz 39).
[134] 2.4. In einer Folgeentscheidung (C‑40/17 , Fashion ID GmbH & Co KG) hatte der EuGH einen Fall zu beurteilen, in dem der Betreiber einer F*‑Seite dadurch, dass er den „Gefällt mir“‑Button von F* Ireland in seine Website eingebunden hat, ermöglicht, personenbezogene Daten der Besucher ihrer Website zu erhalten. Diese Möglichkeit entstehe ab dem Zeitpunkt des Aufrufens einer solchen Seite, und zwar unabhängig davon, ob diese Besucher Mitglieder des sozialen Netzwerks F* sind, ob sie den „Gefällt mir“-Button von F* angeklickt haben oder auch ob sie von diesem Vorgang Kenntnis haben (EuGH C‑40/17 , Rz 75). Unter Berücksichtigung dieser Informationen handle es sich bei den Vorgängen der Verarbeitung personenbezogener Daten, für die Fashion ID gemeinsam mit F* Ireland über die Zwecke und Mittel entscheiden kann, im Rahmen der Definition des Begriffs „Verarbeitung personenbezogener Daten“ in Art 2 Buchstabe b der Richtlinie 95/46 um das Erheben der personenbezogenen Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung. Dagegen sei nach diesen Informationen auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel der Vorgänge der Verarbeitung personenbezogener Daten entscheide, die F* Ireland nach der Übermittlung dieser Daten an sie vorgenommen hat, sodass Fashion ID für diese Vorgänge nicht als verantwortlich iSv Art 2 Buchstabe d angesehen werden könne.
[135] 3.1. Damit ist der Beurteilung des Berufungsgerichts beizupflichten (§ 510 Abs 3 ZPO). Aus den zitierten Entscheidungen des EuGH ergibt sich, dass die bloße Nutzung eines sozialen Netzwerks wie F* für sich genommen einen F*-Nutzer nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten mitverantwortlich macht. Anders ist jedoch der Betreiber einer auf F* eingerichteten Fanpage zu beurteilen, zumal die Einrichtung einer solchen Seite F* die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die die Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein F*-Konto verfügt. Der Betreiber einer solchen Fanpage trägt daher zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei und genießt somit in Ansehung dieser Daten Verantwortlichenstellung. Gleiches gilt für den Betreiber einer F*-Seite, der einen „Gefällt mir“-Button in diese (Webseite) einbindet. Da F* durch ein solches „Social Plugin“ personenbezogene Daten jedes Dritten erlangt, der diese Seite bloß aufruft, ist (auch) der Betreiber einer derartigen Seite hinsichtlich dieser Daten als für die Datenverarbeitung Verantwortlicher einzustufen.
[136] 3.2. Daraus ergibt sich aber, dass ein F*‑Nutzer nur in Ansehung der personenbezogenen Daten Dritter unter bestimmten Voraussetzungen als Mitverantwortlicher iSd Art 4 Z 7 DSGVO eingestuft werden kann. Hingegen ist er in Ansehung seiner eigenen personenbezogenen Daten – nur – Betroffener. In beiden Konstellationen bleibt F* Mitverantwortlicher bzw einziger Verantwortlicher.
[137] 3.3. Soweit der Kläger in dieser Auffassung einen „rechtlich unrichtigen Umkehrschluss“ erblickt, kann dem nicht gefolgt werden. Nach Ansicht des Klägers unterscheidet sich die bisherige Judikatur des EuGH vom gegenständlichen Fall dadurch, dass es sich hier um die Rollenverteilung zwischen der Beklagten und privaten Nutzern von privaten F*‑Seiten handle. Es liege im Gegensatz zu den EuGH-Entscheidungen keine Zweckgemeinschaft vor, weil in diesen Fällen die Beklagten und die Unternehmer jeweils einen gemeinsamen Zweck verfolgt haben. Gegenständlich sei jedoch der Kläger Verantwortlicher, weil er den Zweck alleine festlege.
[138] Tatsächlich ist nach der Judikatur des EuGH für eine Verantwortlichenstellung insbesondere entscheidend, ob eine natürliche oder juristische Person es F* ermöglicht, nicht unbeträchtliche Datenmengen der Besucher (insbesondere auch Dritter, die F* gar nicht benutzen) zu erhalten. Dabei ist es unerheblich, ob die jeweilige Person Zugriff auf die von F* erhobenen Daten hat (vgl EuGH C‑40/17 , Rz 82). Diese Voraussetzung ist im vorliegenden Fall aber gerade nicht erfüllt. Der Kläger hat es durch sein privates Profil F* nicht ermöglicht, personenbezogene Daten Dritter zu erhalten. Die reine Nutzung des F*‑Dienstes macht den Kläger nicht zum Verantwortlichen iSd Art 4 Z 7 DSGVO. Andernfalls wäre jeder F*-Benutzer Verantwortlicher iSd DSGVO. Dass dies nicht in Einklang mit der Intention der DSGVO steht, liegt auf der Hand.
[139] Zutreffend hat auch schon das Berufungsgericht darauf hingewiesen, dass eine Person nicht gleichzeitig mehrere Rollen (Betroffener und Verantwortlicher) haben kann.
[140] 3.4. Zusammenfassend ist daher der Auffassung der Vorinstanzen zuzustimmen, wonach der Kläger Betroffener, die Beklagte Verantwortlicher iSd DSGVO ist. Damit hat nur die Beklagte dafür zu sorgen, dass die Datenschutzbestimmungen der DSGVO eingehalten werden und ist somit Adressat der Pflichten aus der DSGVO. Die Beklagte ist Verantwortlicher und nicht bloß Auftragsverarbeiter. Die Abweisung der Klagebegehren Punkte 1, 3, 4 und 4.1 durch die Vorinstanzen ist somit nicht zu beanstanden.
[141] III. Zum rechtlichen Interesse am Klagebegehren Punkt 2
[142] 1. Dieses Klagebegehren wurde vom Berufungsgericht (auch) mit der Begründung des fehlenden rechtlichen Interesses abgewiesen, zumal die Beklagte ihre Verantwortlichenstellung ohnehin nie bestritten habe. Dazu führt die Revision aus, es bestehe ein rechtliches Interesse, weil dadurch die Rechtsposition des Klägers gegenüber Dritten günstiger gestaltet werde; aus seiner Betroffenenstellung ergäben sich die Betroffenenrechte.
[143] 2.1. Das Feststellungsurteil erwächst grundsätzlich nur im Verhältnis der Parteien, nicht jedoch gegenüber Dritten in Rechtskraft (RS0039068). Daraus folgt regelmäßig das Fehlen des notwendigen Feststellungsinteresses (RS0039068 [T2]; siehe auch Frauenberger-Pfeiler in Fasching/Konecny³ III/1 § 228 ZPO Rz 64). Damit kann sich die Rechtsposition des Klägers gegenüber Dritten durch die hier gegen die Beklagte begehrte Feststellung nicht verbessern.
[144] 2.2. Zudem muss das zum Gegenstand einer Feststellungsklage gemachte Rechtsverhältnis eine unmittelbare rechtliche Wirkung auf die Rechtsstellung des Klägers ausüben; es muss also geeignet sein, die Beeinträchtigung der Rechtssphäre durch den Gegner zu beenden und einen künftigen weiteren Rechtsstreit zu vermeiden. Dieser vorbeugenden Wirkung können Feststellungsklage und Feststellungsurteil indes nur dann gerecht werden, wenn ein aktueller Anlass zu einer solchen vorbeugenden Klärung überhaupt gegeben ist (RS0039071).
[145] 2.3. Offenbar soll das Begehren Punkt 2 aus Sicht des Klägers gewissermaßen komplementär zu Begehren Punkt 1 klarstellen, dass die Beklagte nur für die in Begehren Punkt 2 genannten Datenverarbeitungen Verantwortliche sei, während der Kläger das für die in Begehren Punkt 1 genannten Datenverarbeitungen selbst sei. Die Beklagte hingegen vertritt die Auffassung, dass stets nur sie selbst „Verantwortliche“ für die relevanten Verarbeitungsaktivitäten sei, sodass in Bezug auf die in Begehren Punkt 2 genannten Datenverarbeitungen gar kein Widerspruch zwischen den Rechtsstandpunkten der Streitteile besteht.
[146] IV. Zum Auskunftsbegehren (Art 15 DSGVO)
[147] 1.1. Die Vorinstanzen bejahten eine Verletzung der Auskunftspflicht der Beklagten. Nach Auffassung des Erstgerichts verletzte die Beklagte gegenüber dem Kläger, der nach Übermittlung einer PDF‑Datei vor mehreren Jahren wiederholt neuerliche Auskunft begehrte, ihre Auskunftspflicht gemäß Art 15 DSGVO. Daraus ergebe sich die Verpflichtung, in angemessenen Abständen über sämtliche personenbezogenen Daten, die Gegenstand der Verarbeitung sind, Auskunft zu erteilen und nicht nur über die, die die Beklagte für den Nutzer für relevant und interessant hält. Durch die Verletzung dieser Auskunftspflicht habe der Kläger keinen Überblick über sämtliche über ihn gespeicherten Daten und könne etwa auch nicht sein Recht auf Berichtigung (ErwGr 65) ausüben.
[148] 1.2. Dagegen macht die Beklagte geltend, das Auskunftsrecht sei weder unbegrenzt noch absolut. Das Berufungsgericht habe nicht geprüft, ob es sich bei den angeblich fehlenden Daten um „personenbezogene Daten“ des Klägers handle. Das Auskunftsrecht erstrecke sich nur auf „personenbezogene Daten“ des Betroffenen, der Auskunft verlangt, wie in Art 4 Z 1 DSGVO definiert. Zudem habe das Berufungsgericht durch die falsche Anwendung von Art 15 DSGVO der Beklagten eine zu weitgehende Auskunftsverpflichtung auferlegt.
[149] 2.1. Nach ErwGr 63 DSGVO soll eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.
[150] 2.2. Nach der Rechtsprechung des EuGH zur Wahrung des Auskunftsrechts reicht es, wenn der Antragsteller eine vollständige Übersicht dieser Daten in verständlicher Form erhält, somit in einer Form, die es ihm ermöglicht, von diesen Daten Kenntnis zu erlangen und zu prüfen, ob sie richtig sind und richtliniengemäß verarbeitet werden, sodass er gegebenenfalls die ihm in den Art 12 der Richtlinie verliehenen Rechte ausüben kann (EuGH C‑141/12 , Rz 59). Diese Rechtsprechung erging zwar zur Datenschutzrichtlinie (RL 95/46 ), kann aber auch auf die neue Rechtslage übertragen werden, weil der Normtext im Wesentlichen ident ist.
[151] 2.3. Soweit die Beklagte rügt, die Vorinstanzen hätten sich nicht mit der Frage auseinandergesetzt, ob die Beklagte die Auskunftspflicht unter Zugrundelegung der von Art 15 DSGVO anerkannten Ausnahmen bzw Beschränkungen erfüllt habe, ist dem entgegenzuhalten, dass es Sache der Beklagten wäre, die Erfüllung der sie treffenden Auskunftspflicht darzulegen.
[152] 2.4. Die Beklagte steht offenbar auf dem Standpunkt, die festgestellten Auskünfte (PDF‑Datei und CD mit weiteren PDF‑Dateien im Umfang von 1.222 Seiten im Jahr 2011, danach Verweis auf Auskunft- und Download-Tools) seien ausreichend. Dabei übersieht sie aber, dass nach den Feststellungen der Vorinstanzen die erteilten Auskünfte unvollständig waren. Die Beklagte hat vielmehr nur jene personenbezogenen Daten beauskunftet, die sie selbst für „relevant“ erachtete. Nicht beauskunftet wurden etwa (jeweils den Kläger betreffende) Klickdaten, weiters welche Unternehmen Daten mit der Beklagten geteilt haben und EFIX‑Daten. Dass die Auskunftspflicht nicht von der bloßen Eigeneinschätzung der Beklagten („relevant“) abhängen kann, bedarf keiner näheren Ausführungen.
[153] 2.5. Nicht ausreichend ist auch, dass der Kläger Teile der zu beauskunftenden Daten über von der Beklagten bereitgestellte Online-Tools erlangen könnte. Dazu müsste der Kläger nach den Feststellungen mindestens 60 Datenkategorien mit Hunderten, wenn nicht Tausenden von Datenpunkten durchsuchen, was mehrere Stunden Arbeit erfordern würde. Auch damit kann der Kläger somit keine vollständige Auskunft erreichen. Zutreffend verweist der Kläger darauf, dass die DSGVO von einem einmaligen Auskunftsersuchen, nicht von einer „Ostereier-Suche“ ausgeht.
[154] 2.6. Zu Recht beanstandet der Kläger weiters die fehlende Auskunft über die Verarbeitungszwecke. Soweit sich die Beklagte darauf beruft, dass die Auskunftserteilung in Rechte Dritter eingreifen könnte, ist dem entgegenzuhalten, dass die Beklagte nicht aufgezeigt hat, um welche konkreten Rechte es sich dabei handeln würde. Soweit es sich dabei um die Werbekunden der Beklagten handeln sollte, läge es an der Beklagten, mit diesen Kunden Vereinbarungen dahin zu treffen, dass der Beklagten eine vollständige Erfüllung ihrer Auskunftspflichten gegenüber den Nutzern möglich ist.
[155] 2.7. Soweit die Beklagte Bedenken gegen den Umfang der begehrten Auskunft erhebt, ist ihr entgegenzuhalten, dass bei aktuellen Daten kaum ein Fall denkbar ist, wo der Verantwortliche einen Auskunftsantrag wegen eines zu großen Umfangs („Exzessivität“ iSd Art 12 Abs 5) ablehnen könnte, zumal eine bloße Obliegenheit der betroffenen Person besteht, ihren Auskunftsantrag zu präzisieren (Haidinger in Knyrim, DatKomm Art 15 DSGVO Rz 48). Entgegen der Rechtsansicht der Beklagten ist es auch keineswegs als „exzessiv“ einzustufen, wenn der Kläger innerhalb von neun Jahren fünf Auskunftsersuchen an die Beklagte stellte. Dies entspricht vielmehr den in ErwGr 63 angesprochenen „angemessenen Abständen“.
[156] 3.1. Das Berufungsgericht verpflichtete die Beklagte, Auskunft über „Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“, zu erteilen.
[157] 3.2. Diese Formulierung könnte auch im Sinne einer in die Zukunft gerichteten Auskunftsverpflichtung verstanden werden. Mögliche Datenverarbeitungen in der Zukunft unterliegen jedoch nicht der Auskunft (Haidinger in Knyrim, DatKomm Art 15 DSGVO Rz 28). Eine solche Auskunft in Bezug auf zukünftige Daten wurde vom Kläger auch gar nicht begehrt.
[158] 3.3. Zwar ist auch das Gericht in höherer Instanz berechtigt und sogar verpflichtet, dem Urteilsspruch eine klare und deutlichere, vom Begehren abweichende Fassung zu geben, sofern diese in den Behauptungen des Klägers ihre eindeutige Grundlage findet und sich im Wesentlichen mit dem Begehren deckt (RS0038852 [insb T16]). Gleichwohl ist die Sache insofern noch nicht entscheidungsreif:
[159] 3.4. Die vom Berufungsgericht gewählte Formulierung orientiert sich offenbar am Verordnungswortlaut, ohne jedoch die in Art 15 DSGVO verwendete Formulierung „Kategorien von Empfängern“ aufzugreifen. Nach Art 15 lit f DSGVO hat der Betroffene im Fall der Verarbeitung personenbezogener Daten das Recht auf Auskunft über „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“.
[160] 3.5. In der Literatur herrscht Uneinigkeit darüber, ob dem Verantwortlichen ein Wahlrecht zukommt oder ob der Betroffene über die Art der Auskunft entscheiden kann. Aus diesem Grund hat der erkennende Senat diese Frage am 18. 2. 2021 dem EuGH vorgelegt (6 Ob 159/20f). Infolge des insoweit vergleichbaren Sachverhalts stellen sich auch hier dieselben Rechtsfragen:
[161] Würde nämlich ein Wahlrecht des Verantwortlichen bejaht, so könnte der Verantwortliche (und damit im vorliegenden Fall die Beklagte) seine Verpflichtung nach Art 15 DSGVO auch durch die bloße Bekanntgabe von Empfängergruppen erfüllen. Würde demgegenüber ein diesbezügliches Wahlrecht des Verarbeiters verneint, so hat die Beklagte ihre Auskunftsverpflichtung jedenfalls nicht ausreichend erfüllt.
[162] 3.6. Der Oberste Gerichtshof hat von einer allgemeinen Wirkung der Vorabentscheidung des Europäischen Gerichtshofs auszugehen und diese auch für andere Fälle als den unmittelbaren Anlassfall anzuwenden. Aus prozessökonomischen Gründen ist daher das vorliegende Verfahren insoweit zu unterbrechen (RS0110583; Kohlegger in Fasching/Konency³ Anh § 190 ZPO Rz 262).
[163] V. Zum Schadenersatzbegehren
[164] 1. Die Vorinstanzen sprachen dem Kläger gestützt auf Art 82 Abs 1 DSGVO Schadenersatz von 500 EUR zu. Die Revision der Beklagten bestreitet insbesondere das Vorliegen eines Schadens. In einem solchen Zusammenhang hat der erkennende Senat erst jüngst (6 Ob 35/21x) ausgeführt:
„1. Nach Art 82 Abs 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Damit wird eine eigenständige – das heißt neben das innerstaatliche Schadenersatzregime tretende – datenschutzrechtliche Haftungsnorm statuiert. Folglich ist nicht nur der Begriff des „immateriellen Schadens“ in Art 2 Abs 1 DSGVO unionsautonom zu bestimmen. Vielmehr hat sich auch die Ausgestaltung der sonstigen Haftungsvoraussetzungen nach Abs 2 leg cit, ebenso wie Fragen der Bemessung des Ersatzanspruchs, in erster Linie nach Unionsrecht zu richten; das mitgliedstaatliche Haftungsregime wird insoweit überlagert (siehe ErwGr 146 S 4 und 5 zur DSGVO; vgl weiters Frenzel in Paal/Pauly, DSGVO‑BDSG3 Art 82 DSGVO Rz 1; Wybitul/Haß/Albrecht, Abwehr von Schadensersatzansprüchen nach der Datenschutz-Grundverordnung, NJW 2018, 113; Paal, Schadensersatz-ansprüche bei Datenschutzverstößen – Voraussetzungen und Probleme des Art 82 DS‑GVO, MMR 2020, 14). Schon aus diesem Grund kann auf die zum Ersatz immaterieller Schäden im nationalen Schadenersatzregime entwickelten Rechtsprechungsgrundsätze nicht ohne weiteres zurückgegriffen werden (aA Schweiger in Knyrim, DatKomm Art 82 DSGVO Rz 2).
2. Nach ErwGr 146 S 3 zur DSGVO soll der Begriff des Schadens im Lichte der Rechtsprechung des EuGH ′weit und auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung entspricht′. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten (ErwGr 146 S 6 zur DSGVO). Daraus wird im Hinblick auf die Rechtsprechung des EuGH zu Entschädigungszahlungen wegen Verstößen gegen das Unionsrecht primär abgeleitet, dass die Ersatzpflicht unter Berücksichtigung des unionsrechtlichen Effektivitätsgrundsatzes so bemessen werden muss, dass sie verhältnismäßig, wirksam und abschreckend ist (vgl Schweiger in Knyrim, DatKomm Art 82 DSGVO Rz 13 mwN; eingehend Wybitul/Haß/Albrecht, NJW 2018, 115).
Der zugesprochene Betrag muss über eine rein symbolische Entschädigung hinausgehen (vgl Frenzel in Paal/Pauly, DSGVO‑BDSG3 Art 82 DSGVO Rz 12a, der allerdings zugleich die gebotene Zurückhaltung bei der Bezifferung immaterieller Schäden hervorhebt). Mit Blick auf die solcherart angesprochene Ausgleichsfunktion der Haftung wird teilweise betont, dass hinsichtlich der erlittenen ideellen Nachteile eine Entschädigung als Genugtuung zur Linderung bezweckt sei, die gleichrangig neben den Ausgleich für materielle Verluste trete (vgl Dickmann, Nach dem Datenabfluss: Schadenersatz nach Art 82 der Datenschutz-Grundverordnung und die Rechte des Betroffenen an seinen personenbezogenen Daten, r+s 2018, 345 [352 f] mwN).
3. Einigkeit besteht darin, dass ungeachtet des unionsrechtlichen Effektivitätsgrundsatzes Ersatz nach Art 82 DSGVO aufgrund des soeben angesprochenen zentralen Ausgleichsgedankens hinter der Haftung nur dann gebührt, wenn ein (ideeller) Schaden tatsächlich eingetreten ist (vgl ErwGr 146 S 6: ′für den erlittenen Schaden′).
4. Im Zusammenhang mit der Frage eines Schadenersatzanspruchs bei einer nicht vollständig erteilten Auskunft hielt der Oberste Gerichtshof fest, dass ein ideeller Schaden jedenfalls nur dann angenommen werden kann, wenn der Betroffene einen Nachteil erlitten hat (6 Ob 9/88). Der Umstand, dass der Auskunftspflichtige seiner gesetzlichen Pflicht zur Bekanntgabe der Herkunft von Daten nicht nachkommt, stelle für sich allein noch keinen ideellen Schaden des Betroffenen dar (6 Ob 9/88; 1 Ob 318/01y). Die Rechtsverletzung per se stellt daher keinen immateriellen Schaden dar, sondern es muss eine Konsequenz oder Folge der Rechtsverletzung gegeben sein, die als immaterieller Schaden qualifiziert werden kann und die über den an sich durch die Rechtsverletzung hervorgerufenen Ärger bzw Gefühlsschaden hinausgeht (Schweiger in Knyrim, DatKomm Art 82 DSGVO Rz 26; G. Kodek, Schadenersatz- und Bereicherungsansprüche bei Datenschutzverletzungen, in Leupold, Forum Verbraucherrecht 2019 [2019], 97).“
[165] 2.1. In dem der Entscheidung 6 Ob 35/21x zugrundeliegenden Fall stützte der Kläger seinen Anspruch ausschließlich auf den „Verlust der Kontrolle über die personenbezogenen Daten“ bzw die „Verarbeitung von politischen Meinungen“ als solche. Bei dieser Sachlage entschied der erkennende Senat, dass der vom Kläger auch noch im Revisionsverfahren unter Verweis auf einen „Kontrollverlust“ behauptete immaterielle Schaden gänzlich unbestimmt sei. Aus diesem Grund legte er dem EuGH die Frage vor, ob Voraussetzung für einen Schadenersatzanspruch nach Art 82 DSGVO ist, dass der Kläger einen Schaden erlitten hat oder ob bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz ausreicht.
[166] 2.2. Im vorliegenden Fall hat das Erstgericht demgegenüber ausdrückliche Feststellungen zum (immateriellen) Schaden des Klägers getroffen. Demnach ist der Kläger durch die Datenverarbeitung der Beklagten „massiv genervt“, aber nicht psychisch beeinträchtigt. Es gibt über ihn von der Beklagten gespeicherte und verarbeitete Daten, über die er keine Kontrolle hat, weil sie in den Tools nicht angezeigt werden. Für ihn sind bei der Nutzung von F* weder die Werbung noch der Faktor Forschung relevant. Er hält es für problematisch, dass seine Daten für die Forschung verwendet werden, und ihm ist es nicht recht, dass seine Daten gesammelt werden und von seinen „Freunden“ eingesehen werden können. Im Hinblick auf diese Unterschiede zu dem der Entscheidung 6 Ob 35/21x zugrunde liegenden Sachverhalt hängt die Entscheidung im vorliegenden Fall nicht von der dem EuGH vorgelegten Frage ab, ob bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz ausreicht.
[167] 3.1. Aus der Rechtsverletzung resultierende Gefühlsbeeinträchtigungen wie Ängste, Stress oder Leidenszustände aufgrund einer erfolgten oder auch nur drohenden Bloßstellung, Diskriminierung oder Ähnlichem können als immaterielle Schäden zu einem Schadenersatzanspruch nach Art 82 DSGVO führen (6 Ob 35/21x [ErwGr 7]). Mit Recht wird in diesem Zusammenhang betont, dass eine besonders schwerwiegende Beeinträchtigung der Gefühlswelt nicht zu fordern sein wird (Paal, MMR 2020, 16), und zwar allein schon deshalb nicht, weil ErwGr 146 S 3 zur DSGVO eine weite Auslegung des Begriffs „des Schadens“ fordert, ohne dabei zwischen materiellen und immateriellen Nachteilen zu differenzieren (Frenzel in Paal/Pauly, DSGVO‑BDSG3 Art 82 DSGVO Rz 10, demzufolge der nach Art 82 Abs 1 DSGVO „bereits weite Schadensbegriff im Zweifel weit ausgelegt wird“).
[168] 3.2. Die Pauschalreise‑Richtlinie und die dazu ergangene Rechtsprechung betreffend den Ersatz der „entgangenen Urlaubsfreude“ bieten im vorliegenden Zusammenhang demgegenüber keine Orientierung. In der (neuen) Pauschalreise‑Richtlinie (2015/2302/EU ) ist nämlich der Ersatz ausdrücklich auf „erhebliche Auswirkungen“ der Vertragswidrigkeit bzw „entgangene Urlaubsfreuden infolge erheblicher Probleme“ beschränkt (vgl Art 13 Abs 6 und ErwGr 34 leg cit; so bereits zutreffend Fritz/Hofer, MR 2020, 83 f; kritisch auch Wirthensohn, jusIT 2020/56). Eine entsprechende Einschränkung findet sich im Bereich der DSGVO aber gerade nicht. Der zuvor angesprochene Umstand, dass der Unionsgesetzgeber bewusst auf einer weiten Auslegung des (ohnedies schon weit ausgestalteten) Schadensbegriffs nach Art 82 Abs 1 DSGVO bestanden hat, legt vielmehr den Schluss nahe, dass hier grundsätzlich auch ideelle Nachteile von eher geringerem Gewicht Berücksichtigung finden sollen. Ein Rückgriff auf die Pauschalreise‑Richtlinie zur Auffüllung des Begriffs des immateriellen Schadens kommt daher nicht in Betracht (6 Ob 35/21x [ErwGr 8]).
[169] 3.3. Bei der Bemessung des Schadens kommt es nicht auf das Verhalten des Schädigers, sondern ausschließlich auf die Auswirkungen bei der geschädigten Person an, wobei diese mit der Kategorie der Daten, der Schwere und Dauer des Verstoßes sowie etwaigen Dritten, denen Daten übermittelt wurden, in direktem Zusammenhang stehen werden (Schweiger in Knyrim, DatKomm Art 82 DSGVO Rz 32 und 37).
[170] 3.4. Im Fall 6 Ob 247/08d wurden – noch vor Inkrafttreten der DSGVO – wegen der rechtswidrigen Aufnahme in eine öffentlich zugängliche Bonitätsdatenbank 750 EUR an immateriellem Schadenersatz zuerkannt.
[171] 3.5. ErwGr 146 der DSGVO, wonach die betroffenen Personen einen „vollständigen und wirksamen Schadenersatz“ erhalten sollten, spricht dafür, dass der Schadenersatz nicht zu knapp zu bemessen ist; ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung reicht nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl Frenzel in Paal/Pauly, DS‑GVO BDSG³ Art 82 DS‑GVO Rz 12a). Der Schadenersatz muss spürbar sein, um eine präventive und abschreckende Wirkung enthalten zu können (vgl Boehm in Simitis/Hornung/Spiecker gen Döhmann, Datenschutzrecht Art 82 DSGVO Rz 26; Bergt in Kühling/Buchner, DS‑GVO/BDSG³ Art 82 DS‑GVO Rz 17 f).
[172] 3.6. Das Effektivitätskriterium ist im vorliegenden Zusammenhang jedoch nur beschränkt aussagekräftig, weil in der DSGVO ohnedies hohe Strafen vorgesehen sind. Gerade diese hohen Strafen haben die Diskussion und jedenfalls die öffentliche Wahrnehmung über die DSGVO geprägt. Daher lässt sich nicht ohne weiteres argumentieren, dass die Effektivität der DSGVO zusätzlich auch hohen Schadenersatz für ideelle Schäden erfordere (Kodek, Schadenersatz- und Bereicherungsansprüche bei Datenschutzverletzungen, in Leupold, Forum Verbraucherrecht 2019, 97 [103]; Spitzer, Schadenersatz für Datenschutzverletzungen, ÖJZ 2019, 629). Hier bestünde die Gefahr einer „Effektivitätsspirale“ (Spitzer, aaO 635 f mwN).
[173] 4.1. Nach den Feststellungen ist der Kläger im vorliegenden Fall durch die Datenverarbeitung der Beklagten „massiv genervt“, aber nicht psychisch beeinträchtigt. Die Beurteilung der Vorinstanzen, dass dies ausreicht, um einen Schadenersatzanspruch zu begründen, erscheint nicht korrekturbedürftig, sondern mit den unionsrechtlichen Vorgaben in Einklang. Entgegen dem Standpunkt der Revision wird der Schadenersatzanspruch nicht mit dem bloßen Rechtsverstoß begründet, sondern damit, dass der Kläger „massiv genervt“ ist, wobei mit dem Wort „massiv“ auch zum Ausdruck gebracht wird, dass tatsächlich ein spürbarer und objektiv nachvollziehbarer immaterieller Schaden vorliegt. Dass keine psychische Beeinträchtigung und keine „tiefe Verunsicherung“ vorliegen, schadet nicht, weil solche Umstände von Art 82 DSGVO nicht verlangt werden (siehe auch Gola/Piltz in Gola, DSGVO² Art 82 Rz 12 f).
[174] 4.2. Was die Kausalität betrifft, hat das Erstgericht festgestellt, dass der Kläger „durch die Datenverarbeitung“ der Beklagten „massiv genervt“ ist. Das Erstgericht hat in diesem Zusammenhang auch festgestellt, dass es den Kläger stört, dass er über einen Teil der Daten „keine Kontrolle hat, weil sie in den Tools nicht angezeigt werden“. Damit ist (arg „weil“) auch ein deutlicher Konnex zur Nichtbeantwortung der Auskunftsersuchen hergestellt. In diesem Zusammenhang ist auch auf ErwGr 85 der DSGVO zu verweisen, wonach der Kontrollverlust über die eigenen Daten und damit einhergehend die Einschränkung der Betroffenenrechte einen immateriellen Schaden darstellen können; genau dieser Fall wird auch in der Literatur als Beispiel für einen immateriellen Schadenersatz genannt (Bergt in Kühling/Buchner, DS‑GVO/BDSG³ Art 82 DS‑GVO Rz 18b f).
[175] 4.3. Auch die Höhe (vgl dazu Kerschbaumer‑Gugu, Schadenersatz bei Datenschutzverletzungen [2019] 60 ff) begegnet mit 500 EUR keinen Bedenken. Ausgehend davon, dass der Kläger aufgrund des nicht vollständig erfüllten Auskunftsbegehrens über längere Zeit keine Kontrolle über seine Daten hatte, besteht hier für eine Herabsetzung kein Raum. Ein (noch) niedrigerer Betrag würde dem durch das Unionsrecht gebotenen Effektivitätsgrundsatz nicht mehr gerecht werden. Damit kann über das Schadenersatzbegehren bereits unabhängig von der Beantwortung der Frage abgesprochen werden, ob die Verarbeitung von Daten des Klägers durch die Beklagte mangels Einwilligung rechtswidrig war.
[176] VI. Ergebnis und Kostenentscheidung
[177] Zusammenfassend erweist sich sohin die Revision des Klägers gegen die Bestätigung der Abweisung von Punkt 1 bis 4 seiner Klagebegehren und die Revision der Beklagten gegen die Bestätigung der Stattgebung des Schadenersatzbegehrens (Punkt II des Ersturteils) als nicht berechtigt. Insoweit war daher über die Revisionen mit Teilurteil zu entscheiden (vgl 6 Ob 35/21x). Im Übrigen war das Verfahren bis zur Entscheidung des EuGH über das zu 6 Ob 159/20f gestellte Vorabentscheidungsersuchen zu unterbrechen.
[178] Der Kostenvorbehalt gründet auf § 52 Abs 4 ZPO.