LG Ellwangen, Urteil vom 25.01.2023, Az. 2 O 198/22

Die Parteien streiten um Ansprüche auf Schadensersatz, Unterlassung, Auskunft wegen behaupteter Verletzung von Persönlichkeitsrechten, Grundrechten und Grundfreiheiten, insbesondere um Rechte auf Schutz personenbezogener Daten.

Der Kläger nutzt die von der [[[[[[X.]]]]]] betriebene [[[[[[X.]]]]]] f..com insbesondere, um mit Freunden zu kommunizieren, private Fotos zu teilen und mit anderen Nutzern im Netz zu diskutieren. Die Beklagte betreibt die Website www.f....com und der darauf enthaltenen Dienste (nachfolgend auch „[[[[[X.]]]]] “ genannt). Die Dienste der [[[[[[X.]]]]]] ermöglichen es den Nutzern, persönliche Profile für sich zu erstellen und diese mit Freunden zu teilen. Die Nutzer können auf den persönlichen Profilen Angaben zu verschiedenen Daten zu ihrer Person machen und im von der [[[[[[X.]]]]]] vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf ihre Daten zugreifen können.

Anfang April 2021 wurden Daten von ca. 533 Millionen [[[[[X.]]]]] -Nutzern aus 106 Ländern im [[[[[[X.]]]]]] öffentlich verbreitet. Bei den Datensätzen handelt es sich um Telefonnummer, [[[[[X.]]]]] ID, Name, Vorname, Geschlecht und weitere korrelierende Daten, wobei streitig ist, ob hierzu auch Bundesland, Land, Stadt, Beziehungsstatus gehörten. Die Beklagte geht davon aus, dass das [[[[[[X.]]]]]] zur Bestimmung der Telefonnummern der einzelnen Benutzer genutzt wurde. Indem eine Vielzahl von Kontakten in ein virtuelles Adressbuch eingegeben wurde, gelang es Unbekannten, die Telefonnummern konkreten [[[[[X.]]]]] -Profilen zuzuordnen, ohne dass in den entsprechenden Profilen die hinterlegten Telefonnummern öffentlich freigegeben waren. Um die Telefonnummer jeweils zu korrelieren, wurden mit Hilfe des [[[[[[X.]]]]]]s fiktive Nummern erzeugt und geprüft und die zugehörigen [[[[[X.]]]]] -Nutzer wurden angezeigt. Auf dem Profil des Nutzers wurde dieser dann besucht und von dort wurden die öffentlichen Daten gescrapt („abgeschöpft“).

Daraus resultierend wurden den Kläger betreffende Daten abgegriffen und im [[[[[[X.]]]]]] auf Seiten veröffentlicht, die illegale Aktivitäten begünstigen sollen, z.B. auf der Seite r....com. Dies ist ein Hackerforum, das unter anderem dafür verrufen ist, dass dort illegal abgeschöpfte Daten hinterlegt und ausgetauscht werden.

Beim Anlegen eines [[[[[X.]]]]] -Profils muss der künftige Nutzer Datenschutz- und Cookie Richtlinien zustimmen. Diese sind durch eine Verlinkung getrennt abrufbar. Nach der Anmeldung sind zunächst die Vor- bzw. Standarteinstellungen aktiv. Demnach können „alle“ Personen sehen, welche Seiten der Nutzer abonniert oder mit wem er befreundet ist. Ebenso können „alle“ den neuen Nutzer über seine E-Mail-Adresse „finden“. Ebenso ist für alle Informationen, die ein Nutzer in sein Profil einträgt, standardmäßig „öffentlich“ als Voreinstellung ausgewählt. Der Nutzer kann diese Einstellungen individuell verändern und im Hilfebereich einlesen, wie [[[[[X.]]]]] insbesondere die Mobilfunknummer verwendet. Die Angabe der Mobilfunknummer ist nicht zwingend. Entscheidet sich ein Nutzer aber diese anzugeben, kann er in den Suchfunktionen einstellen, in welchem Umfang er über diese gefunden werden will. Die Grundeinstellung lautet auch insoweit zunächst „alle“.

Neben den gewöhnlichen Funktionen auf der [[[[[X.]]]]] -Website wird von der [[[[[[X.]]]]]] noch eine [[[[[X.]]]]] betrieben, die als Schnittstelle für die [[[[[X.]]]]] -Applikation auf Mobilgeräten arbeitet und eine Messenger-Funktion für Nutzer darstellt. Nutzer melden sich dafür mit ihren bestehenden [[[[[X.]]]]] -Profilen an. Die [[[[[X.]]]]] und die gewöhnlichen Funktionen von [[[[[X.]]]]] sind über denselben Zugang zum Account verknüpft. Auch in dieser App können separate Sicherheitseinstellungen vorgenommen werden. Diese Einstellungen werden unabhängig von den Einstellungen des Accounts im sonstigen [[[[[X.]]]]] -Dienst vorgenommen. Es kann separat eingestellt werden, ob Telefonkontakte mit dem [[[[[X.]]]]] -Dienst synchronisiert werden sollen.

Inhalt und Bedeutung des Scraping werden von den Parteien unterschiedlich bewertet.

Mit außergerichtlicher E-Mail vom 27. Oktober 2021 wurde die Beklagte vergeblich zur Zahlung von 500,00 € und Unterlassung künftiger Zugänglichmachung der Daten des [[[[X.]]]] sowie Erteilung einer Auskunft, welche konkreten Daten im April 2021 abgegriffen und veröffentlicht wurden, bis zum 9. August 2021 aufgefordert (Anlage [[[[X.]]]], [[[[X.]]]] ff. im Anlagenheft Kläger). Die nunmehrigen Prozessbevollmächtigten der [[[[[[X.]]]]]] haben sowohl den Schadensersatz in Höhe von 500,00 € als auch den Unterlassungsanspruch zurückgewiesen (Anlage [[[[X.]]]], [[[[X.]]]]6 ff. im Anlagenheft Kläger)

Der Kläger ist der Ansicht,

die Beklagte verstoße gegen die [[[[X.]]]], indem sie ohne ausreichende Grundlage im Sinne der Art. 6 und 7 [[[[X.]]]] Informationen im Sinne von Art. 13, 14 [[[[X.]]]] verarbeite, Daten unbefugten [[X.]] zugänglich mache und hierbei die Pflichten aus Art. 5 Abs. [[[[X.]]]] a, [[[[X.]]]] b, [[[[X.]]]] c, [[[[X.]]]] f, 25 Abs. 1, Abs. 2, 32, 34 Abs. 1, Abs. 2 verletze sowie seine Betroffenenrechte gemäß Art. 15, 17 und 18 [[[[X.]]]] verletzte.

Der Kläger behauptet, das „scrapen“ sei nur möglich gewesen, weil die Beklagte keinerlei Sicherheitsmaßnahmen vorgehalten habe, um ein Ausnutzen des bereitgestellten Tools zu verhindern und weil die Einstellungen zur Sicherheit der Telefonnummer auf [[[[[X.]]]]] so undurchsichtig und kompliziert gestaltet seien, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne. Nur so hätten auch seine Daten auf sog. Hackerforen wie „r....com“ geraten können.

[[[[[X.]]]]] sei „datenschutzunfreundlich“ eingestellt, es werde unnötig zwischen Datenschutzrichtlinien und Cookie-Verwendung differenziert, obwohl die Verwendung von Cookies ein inhärent datenschutzrechtliches Thema sei. Der gesamte [[[X.]]] sei intransparent und für den Anwender verwirrend. Dies führe letztlich dazu, dass Nutzer im Vertrauen und mit dem Ziel, mehr persönliche Sicherheit zu erreichen, ihre Telefonnummern auf [[[[[X.]]]]] preisgäben. Die neben der von der [[[[[[X.]]]]]] betriebene Website noch betriebene [[[[[X.]]]]] als Schnittstelle für die [[[[[X.]]]]] -Applikation auf Mobilgeräten und die besagte Website seien miteinander verknüpft. Bei erster Anmeldung frage der [[[X.]]] die Synchronisierung bereits an, ohne über die Risiken der Verwendung aufzuklären. Es könne separat auf der App eingestellt werden, ob eine Synchronisierung erfolgen solle, ohne über Risiken aufzuklären. Insgesamt gebe es drei verschiedene Einstellungsmöglichkeiten zur Verwendung der Telefonnummer, über die ein Nutzer keine transparenten Informationen für eine Gewährleistung einer effektiven digitalen Sicherheit erhalte. Diese Sicherheitslücke werde seit 2019 ausgenutzt, ohne dass die Beklagte etwas dagegen unternehme. Er habe so ungewollt die Kontrolle über seine Daten verloren und werde bis heute wiederholt ungewollt von Unbekannten via E-Mail und [[[X.]]] kontaktiert. Auch nach dem Vorfall 2019 habe die Beklagte nicht adäquat reagiert. Sie habe versäumt, die zuständige Datenschutzbehörde, die „[[[X.]]]“ unverzüglich zu informieren. Auch der Kläger sei nicht informiert worden. Soweit vorgerichtlich Auskünfte über abgegriffene Daten mitgeteilt worden seien, sei diese Auskunft ungenügend.

Die Datenschutzeinstellungen der [[[[[[X.]]]]]] seinen undurchsichtig und kompliziert gestaltet, denn es bestehe eine Flut an Einstellungsmöglichkeiten allein für die Sicherheit der Mobilnummer. Aufgrund der Vielzahl an Einstellungsmöglichkeiten sei mit hoher Wahrscheinlichkeit zu erwarten, dass ein Nutzer die voreingestellten Standardeinstellungen beibehalte und nicht selbstständig ändere. Dies widerspräche allerdings den Grundsätzen eines nutzerfreundlichen Datenschutzes und dem in der [[[[X.]]]] niedergelegten Prinzips der „[[[X.]]]“ (= datenschutzfreundliche Voreinstellungen).

Die Auskunft, die er von der [[[[[[X.]]]]]] erhalten habe, sei unzureichend. Das Antwortschreiben der [[[[[[X.]]]]]] enthalte lediglich allgemein gehaltene Informationen zu den auf [[[[[X.]]]]] verarbeiteten Daten sowie einen Link zur Seite der [[[[[[X.]]]]]], auf der die Daten über einen individuellen Nutzer gespeicherten Daten eingesehen werden können. Dieses Vorgehen allein sei schon nicht geeignet, dem nach Art. 15 [[[[X.]]]] umfassenden Auskunftsanspruch gerecht zu werden. Unabhängig davon enthalte das „Auskunftsschreiben“ der [[[[[[X.]]]]]] aber auch keinerlei konkrete Aussagen dazu, welche Daten der [[[[X.]]]]eite im Wege des Scrapings von unbekannten [[X.]] abgegriffen wurden. So bleibe offen, wann genau die Daten entwendet worden seien oder wie viele verschiedene Beteiligte diese Funktion hinsichtlich seiner Daten ausgenutzt hätten.

Der Kläger beantragt:

1. Die Beklagte wird verurteilt, an die [[[[X.]]]]eite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das [[X.]] Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 [[X.]] nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der [[[[X.]]]]eite alle künftigen Schäden zu ersetzen, die der [[[[X.]]]]eite durch den unbefugten Zugriff Dritter auf das Datenarchiv der [[[[[[X.]]]]]], der nach Aussage der [[[[[[X.]]]]]] im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu [[X.]] 250.000,00 [[X.]], ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

personenbezogenen Daten der [[[[X.]]]]eite, namentlich Telefonnummer, [[[[[X.]]]]] ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten [[X.]] über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

die Telefonnummer der [[[[X.]]]]eite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der [[[[[X.]]]]] -Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird.

4. Die Beklagte wird verurteilt der [[[[X.]]]]eite Auskunft über die [[[[X.]]]]eite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der [[[[[[X.]]]]]] durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.

5. Die Beklagte wird verurteilt, an die [[[[X.]]]]eite vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte meint,

der Sachverhalt und Vorgang zum sog. Scraping sei falsch wiedergeben. Der klägerische Vortrag beruhe auf einem Missverständnis zum Scraping als solchen. Es sei unschlüssig und unsubstantiiert, welche Daten des [[[[X.]]]] genau gescrapt worden sein sollen. Sie bestreitet die Begehung eines Datenschutzverstoßes und eines Unterlassens des Schließens einer technischen Schwachstelle. Vielmehr seien lediglich automatisch gesammelte öffentlich einsehbare Daten entweder von der App oder der Website [[[[[X.]]]]] gescraped worden. Es seien lediglich öffentlich einsehbare Daten durch Dritte in Form des Scraping abgerufen worden, was nach den Nutzungsbedingungen von [[[[[X.]]]]] untersagt gewesen sei und noch untersagt sei. Das Abrufen habe im Einklang mit den jeweiligen Privatsphäre-Einstellungen „öffentlich“ auf der [[[[[X.]]]]] -Plattform gestanden. Es seien allenfalls öffentlich einsehbare Daten abgerufen und an anderer Stelle erneut zugänglich gemacht worden. Sie stelle allen Nutzern, also auch dem Kläger, alle in Art. 13 und 14 [[[[X.]]]] festgelegten Informationen zur Datenverarbeitung zur Verfügung, die sie zum Zeitpunkt der Datenerhebung im Anwendungsbereich der Datenrichtlinie durchführe. Sie ist daher der Ansicht, nicht gegen die Transparenzpflichten der [[[[X.]]]] verstoßen zu haben. Es habe zudem eine umfassende und transparente Information über die Möglichkeit der Anpassung ihrer [X.] und [X.] gegeben, woraus sich nachvollziehbar ergebe, wer bestimmte persönliche Informationen, die der Nutzer in seinem [[[[[X.]]]]] -Profil hinterlegt habe, einsehen könne. Diese Einstellungen habe der Kläger jederzeit anpassen können.

Die Beklagte ist der Ansicht, nicht gegen Art. 24, 32 [[[[X.]]]] verstoßen zu haben, sondern vielmehr angemessene technische und organisatorische Maßnahmen ergriffen zu haben, das Risiko von Scraping zu unterbinden und Maßnahmen zur Bekämpfung von Scraping zu ergreifen. Es fehle konkreter Vortrag, welche Maßnahmen in welchem Umfang nicht genügen würden. Außerdem müsse eine solche Beurteilung ex ante und nicht ex post erfolgen. Den Anforderungen des Art. 25 [[[[X.]]]] sei genügt. Es dürfe dabei der zentrale Zweck von [[[[[X.]]]]] , mit Freunden, Familien und Gemeinschaften sich zu verbinden nicht außer Betracht bleiben. Es bestehe keine Melde- oder Benachrichtigungspflicht, da es an einer Verletzung der Sicherheit i.S.d. Art. 4 Nr. 12 [[[[X.]]]] und an einer unbefugten Offenlegung von Daten fehle. Unabhängig davon habe sie wegen der Medienberichterstattung freiwillig eine Vielzahl von Maßnahmen ergriffen, über Scraping und [X.] einschließlich einer Änderung von Privatsphäre-Einstellungen zu informieren.

Schließlich fehle es an einem immateriellen Schaden. Art. 82 [[[[X.]]]] umfasse keine Verstöße gegen Art. 13-15, 24, 25 [[[[X.]]]]. Zudem fehle es an einem Verstoß gegen Art. 82 [[[[X.]]]]. Ein kompensationsgeeigneter messbarer Schaden sei auch nicht dargelegt. Selbst bei einem angenommenen vorübergehenden Kontrollverlust über personenbezogene Daten des [[[[X.]]]] wäre dies nicht ihr zuzurechnen, weil die öffentliche Einsehbarkeit den Privatsphäre-Einstellungen des [[[[X.]]]] entsprochen habe. Schließlich fehle es an einer schlüssigen Darlegung der Kausalität.

Mangels Verstoßes gegen die [[[[X.]]]] sei der ohnehin unzulässige Feststellungsantrag unbegründet. Der Unterlassungsanspruch scheitere an einer Erstbegehungs- und einer Wiederholungsgefahr. Anwaltskosten seien mangels Verzuges unbegründet.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie das Protokoll der öffentlichen Sitzung vom 25. Januar 2023 Bezug genommen und verwiesen.

Die zulässige Klage ist unbegründet.

Die Klage ist zulässig. Das [[[[[[[[[[[[X.]]]]]]]]]]]] ([[[[[[[[[[[[X.]]]]]]]]]]]]) international, sachlich und örtlich zuständig (dazu nachstehend unter [[[[[[[[[[[[X.]]]]]]]]]]]]). Der Klageanträge zu 1., 2. und 3. sind hinreichend bestimmt, es besteht ein Feststellungsinteresse (dazu nachstehend unter I[[[[[[[[[[[[X.]]]]]]]]]]]]).

Das [[[[[[[[[[[[X.]]]]]]]]]]]] ([[[[[[[[[[[[X.]]]]]]]]]]]]) international, sachlich und örtlich zuständig.

1. Die internationale Zuständigkeit [[[[[[[[[[[[X.]]]]]]]]]]]] Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 Alt. 2 [[[[[[[[[[[[X.]]]]]]]]]]]] ([[[[[[[[[[[[X.]]]]]]]]]]]] Ia-VO).

1.1 Gemäß Art. 1 Abs. 1 [[[[[[[[[[[[X.]]]]]]]]]]]] ist die [[[[[[[[[[[[X.]]]]]]]]]]]] sachlich anwendbar auf Zivil- und Handelssachen. Vorliegend handelt es sich um eine Zivilsache.

1.2 Die Zuständigkeit der [[[[[[[[[[[[X.]]]]]]]]]]]] Gerichtsbarkeit folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 Alt. 2 [[[[[[[[[[[[X.]]]]]]]]]]]]. Ein ausschließlicher Gerichtstand gemäß Art. 24 [[[[[[[[[[[[X.]]]]]]]]]]]] ist hier nicht ersichtlich. Gemäß Art. 18 Abs. 1 Alt. 2 [[[[[[[[[[[[X.]]]]]]]]]]]] kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat.

[[[[[[[[[[[[X.]]]]]]]]]]]] ist gemäß Art. 17 Abs. 1 [[[[[[[[[[[[X.]]]]]]]]]]]] Verbraucher. Er gibt an, einen Nutzungsvertrag mit der [[[[[[[X.]]]]]]] über die Nutzung der Social-Media-Plattform [[[[[[[[[[[X.]]]]]]]]]]] mittels eines Benutzerkontos zu privaten Zwecken geschlossen zu haben. Als doppelrelevante Tatsache reicht in der Zulässigkeit das Behaupten von Tatsachen, aus denen sich ein solcher vertraglicher Anspruchs ergeben kann.

1.3 [[[[[[[[[[[[X.]]]]]]]]]]]] hat seinen Wohnort in ... in [[[[[[[[[[[[X.]]]]]]]]]]]], sodass insoweit die [[[[[[[[[[[[X.]]]]]]]]]]]] Gerichtsbarkeit zuständig ist.

2. Die internationale Zuständigkeit [[[[[[[[[[[[X.]]]]]]]]]]]] Gerichte ergibt sich ferner aus Art. 79 Abs. 2 [[[[[[[[[[[[X.]]]]]]]]]]]]. Danach können Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

Gemäß Art. 4 Nr. 7, 8 [[[[[[[[[[[[X.]]]]]]]]]]]] sind Verantwortliche natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. [[[[[[[[[[[[X.]]]]]]]]]]]] sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

Die [[[[[X.]]]]] selbst erklärt, dass sie in den meisten Fälle die Rolle als Verantwortliche bekleide. Lediglich, wenn sie Werbekunden bediene, könne sie ausnahmsweise als Auftragsverarbeitende fungieren.

[[[[[[[[[[[[X.]]]]]]]]]]]] als betroffene Person hat seinen Wohnsitz in [[[[[[[[[[[[X.]]]]]]]]]]]]. Mithin ist die [[[[[[[[[[[[X.]]]]]]]]]]]] Gerichtsbarkeit international zuständig.

3. Das [[[[[[[[[[[[X.]]]]]]]]]]]] ([[[[[[[[[[[[X.]]]]]]]]]]]]) ist gemäß §§ 23 Nr. 1, 71 Abs. 1 GVG für die vorliegende Klage sachlich zuständig, da der Streitwert bei 7.000,00 € liegt. Zur Vermeidung von Wiederholungen wird auf die nachstehenden Ausführungen unter C. II[[[[[[[[[[[[X.]]]]]]]]]]]] verwiesen.

4. Die örtliche Zuständigkeit des Landgerichte [[[[[[[[[[[[X.]]]]]]]]]]]] ([[[[[[[[[[[[X.]]]]]]]]]]]]) folgt aus Art. 18 Abs. 1 Alt. 2 [[[[[[[[[[[[X.]]]]]]]]]]]]. Danach kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat.

Das [[[[[[[[[[[[X.]]]]]]]]]]]] ([[[[[[[[[[[[X.]]]]]]]]]]]]) ist unabhängig davon nach Art. 79 Abs. 2 Satz 2 [[[[[[[[[[[[X.]]]]]]]]]]]], § 44 Abs. 1 S. 2 BDSG örtlich zuständig (besonderer Gerichtsstand). [[[[[[[[[[[[X.]]]]]]]]]]]] hat seinen Wohnsitz in und damit im Bezirk des angerufenen Gerichts.

Der Klageanträge zu 1. und 3. sind hinreichend bestimmt, es besteht ein Feststellungsinteresse für den Klageantrag Ziffer 2.

1. [[[[[[[[[[[[X.]]]]]]]]]]]] ist hinreichend bestimmt.

Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten [[[[[[[[[[[[X.]]]]]]]]]]]] ausnahmsweise zulässig. Ein Verstoß gegen den in § 253 Abs. 2 Nr. 2 ZPO normierten Bestimmtheitsgrundsatz liegt dann nicht vor, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 ZPO oder vom billigen Ermessen des Gerichts abhängig ist ([[[[[[[[[[[[X.]]]]]]]]]]]], Urteil vom 1. Februar 11966 – [[[[[[[[[[[[X.]]]]]]]]]]]], juris Rn. 12). Die nötige Bestimmtheit soll hier dadurch erreicht werden, dass der Kläger in der Klagebegründung die Berechnungs- bzw. Schätzgrundlagen umfassend darzulegen und die Größenordnung seiner Vorstellungen anzugeben hat ([[[[[[[[[[[[X.]]]]]]]]]]]]/[[[[[[[[[[[[X.]]]]]]]]]]]], ZPO, 34. Aufl. 2022, § 253 ZPO Rn. 14).

Diese Voraussetzungen liegen hier vor. [[[[[[[[[[[[X.]]]]]]]]]]]] hat sowohl in der Klagebegründung als auch im Klageantrag Ziffer 1.) einen Mindestbetrag von 1.000,00 € angegeben.

Soweit die [[[[[X.]]]]] meint, der Antrag Ziffer 1. deshalb unbestimmt sei, weil er auf zwei Lebenssachverhalten beruhe und damit zwei Streitgegenstände betreffe, deren Verhältnis zueinander nicht hinreichend bestimmt sei, ist dies unzutreffend. Es ist nur ein Lebenssachverhalt zu beurteilen, nämlich derjenige, ob die [[[[[X.]]]]] vor dem Scraping durch Dritte im April 2021 hinreichende [[[[[[[[[[[[X.]]]]]]]]]]]] getroffen hatte und danach etwaige Lücken geschlossen hat bzw. ihre Nutzer unzureichend bzw. intransparent informiert hat.

2. Hinsichtlich des Klageantrags Ziffer 2., der hinreichend bestimmt ist, liegt ein Feststellungsinteresse vor.

2.1 Der Klageantrag Ziffer 2. ist ebenfalls hinreichend bestimmt [[[[[[[[[[[[X.]]]]]]]]]]]]. § 253 Abs. 2 Nr. 2 ZPO.

Aus dem Inhalt des Klageantrags ersichtlich, dass es dem Kläger um den Ersatz „künftiger“ Schäden geht, die aus dem [[[[[[[[[[[[X.]]]]]]]]]]]] resultieren. Die Verwendung der Vergangenheitsform „entstanden sind“ mag missverständlich sein und einer Auslegung offen stehen, führt aber nicht zur Unbestimmtheit des Klageantrags. [[[[[[[[[[[[X.]]]]]]]]]]]] hat ebenfalls die Zukunftsform „noch entstehen werden“ verwendet, die offensichtlich mit dem Ersatz „künftiger“ Schäden vereinbar ist.

2.2 [[[[[[[[[[[[X.]]]]]]]]]]]] hat sein Feststellungsinteresse gemäß § 256 Abs. 2 ZPO hinreichend dargelegt. Ein Feststellungsantrag ist schon zulässig, wenn die Schadensentwicklung noch nicht abgeschlossen ist und der Kläger seinen Anspruch deshalb ganz oder teilweise nicht beziffern kann ([[[[[[[[[[[[X.]]]]]]]]]]]], Urteil vom 21. Mai 2019 - 9 U 56/18, juris Rn. 22). Ein Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen ([[[[[[[[[[[[X.]]]]]]]]]]]], Beschluss vom 9. Januar 2007 - [[[[[[[[[[[[X.]]]]]]]]]]]], juris; [[[[[[[[[[[[X.]]]]]]]]]]]], Urteil vom 16. Januar 2001 - [[[[[[[[[[[[X.]]]]]]]]]]]], juris).

Bei den behaupteten Verstößen gegen die [[[[[[[[[[[[X.]]]]]]]]]]]] mit der behauptet dargelegten unkontrollierten Nutzung gescrapter Daten ist bei verständiger Würdigung zumindest nicht ausgeschlossen, dass irgendein materieller oder immaterieller Schaden entstehen könnte. Denn der Kläger gibt an, ein solches Feststellungsinteresse wegen der behauptet einmal gescrapten Daten und damit behauptet einhergehenden unbefugten und unkontrollierten Datenverwendung zu haben, die auch zu künftigen Schäden führen könne, deren Art und Umfang noch unbekannt sind. Es ist daher nicht völlig ausgeschlossen, dass der Kläger infolge der [[[[X.]]]] seiner Daten einen irgendwie gearteten Schaden erleidet.

3. Der Klageantrag Ziffer 3. ist hinreichend bestimmt.

Auch wenn die Formulierung „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ auslegungsbedürftig ist und Vollstreckungsprobleme denkbar sind, ist nach höchstrichterlicher Rechtsprechung eine gewisse Auslegungsbedürftigkeit zur Gewährleistung effektiven Rechtsschutzes hinzunehmen ([[[[[[[[[[[[X.]]]]]]]]]]]], Urteil vom 21. Mai 2015 – [[[[[[[[[[[[X.]]]]]]]]]]]], juris Rn. 13). Je nach dem Stand der Technik sind dabei verschiedene, aufeinander aufbauende Sicherheitsmaßnahmen möglich, die nicht näher konkretisiert werden können. [[[[[[[[[[[[X.]]]]]]]]]]]] kann nämlich nicht einschätzen, was die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen beinhalten. Dies führt dann dazu, dass das Vollstreckungsorgan gegebenenfalls Wertungen vornehmen muss. Vom Kläger kann nach Auffassung des Gerichts nicht verlangt werden, für eine hinreichend konkrete Antragstellung den aktuellen Stand der Technik selbst zu ermitteln.

Die Klage ist unbegründet. Dem Kläger stehen gegen die [[[[[X.]]]]] unter keinem rechtlichen Gesichtspunkt die geltend gemachten Ansprüche zu.

Im Einzelnen:

Dem Kläger steht unter keinem rechtlichen Gesichtspunkt einen Anspruch auf immateriellen Schadenersatz zu. Ein Anspruch gegen die [[[[[X.]]]]] ergibt sich weder aus nationalen Vorschriften noch aus Art. 82 [[[[[[[[[[[[X.]]]]]]]]]]]].

1. Dem Kläger steht Anspruch auf immateriellen Schadenersatz aus Art. 82 [[[[[[[[[[[[X.]]]]]]]]]]]] zu.

Es fehlt an einer schadenersatzauslösenden Pflichtverletzung der [[[[[[[X.]]]]]]] im Sinne der [[[[[[[[[[[[X.]]]]]]]]]]]]. Soweit der Kläger der [[[[[[[X.]]]]]]] mehrere Verstöße vorwirft, nämlich

- ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 a [[[[[[[[[[[[X.]]]]]]]]]]]]),

- einen unmittelbaren Verstoß gegen Art. 13, 14 [[[[[[[[[[[[X.]]]]]]]]]]]], die konkrete Informationspflichten enthielten, die seitens der [[[[[[[X.]]]]]]] nicht eingehalten worden seien,

- einen ungenügenden Schutz der personenbezogenen Daten der Nutzer von [[[[[[[[[[[X.]]]]]]]]]]] (Art. 24, 32 [[[[[[[[[[[[X.]]]]]]]]]]]]),

- eine unvollständige Auskunftserteilung nach Art. 15 [[[[[[[[[[[[X.]]]]]]]]]]]], da nicht mitgeteilt worden sei, welchen Empfängern die Daten des [[[[[[[[[[[[X.]]]]]]]]]]]] durch Ausnutzung des [[[[[[[[[[[[X.]]]]]]]]]]]] Tools zugänglich gemacht worden seien (Art. 33, 34 [[[[[[[[[[[[X.]]]]]]]]]]]]),

sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 [[[[[[[[[[[[X.]]]]]]]]]]]] umfasst. Es kann daher auch offenbleiben, ob sich der Kläger im Rahmen der Geltung der [[[[[[[[[[[[X.]]]]]]]]]]]] ein anspruchsausschließendes Mitverschulden gemäß § 254 Abs. 2 [[X.]] analog entgegenhalten lassen muss.

1.1 Der Anwendungsbereich der [[[[[[[[[[[[X.]]]]]]]]]]]] ist eröffnet.

1.1.1 Der räumliche Anwendungsbereich der [[[[[[[[[[[[X.]]]]]]]]]]]] ist eröffnet. Er umfasst gemäß Art. 3 Abs. 1 [[[[[[[[[[[[X.]]]]]]]]]]]] die Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der [[[[[[[[[[[[X.]]]]]]]]]]]], unabhängig davon, ob die Verarbeitung in der [[[[[[[[[[[[X.]]]]]]]]]]]] stattfindet. Die [[[[[X.]]]]] als Verantwortliche hat ihren Sitz in [[[[[[[[[[[[X.]]]]]]]]]]]]. [[[[[[[[[[[[X.]]]]]]]]]]]] ist Mitglied der europäischen [[[[[[[[[[[[X.]]]]]]]]]]]].

1.1.2 Der sachliche Anwendungsbereich des Art. 82 [[[[[[[[[[[[X.]]]]]]]]]]]] ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gemäß Art. 15 [[[[[[[[[[[[X.]]]]]]]]]]]] und Art. 34 [[[[[[[[[[[[X.]]]]]]]]]]]] nicht eröffnet.

Art. 82 Abs. 1 [[[[[[[[[[[[X.]]]]]]]]]]]] legt fest, dass jeder Person, der wegen eines Verstoßes gegen die [[[[[[[[[[[[X.]]]]]]]]]]]] ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den [[[[[[[[[[[[X.]]]]]]]]]]]] hat. Art. 82 Abs. 2 [[[[[[[[[[[[X.]]]]]]]]]]]] regelt den anspruchsbegründenden Sachverhalt. Gemäß Art. 82 Abs. 2 Satz 1 [[[[[[[[[[[[X.]]]]]]]]]]]] haftet danach jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Gemäß Art. 2 [[[[[[[[[[[[X.]]]]]]]]]]]] umfasst der sachliche Anwendungsbereich die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung i.S.d. Art. 4 Nr. 2 [[[[[[[[[[[[X.]]]]]]]]]]]]. Gemäß Art. 4 Nr. 1 [[[[[[[[[[[[X.]]]]]]]]]]]] sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder [[[[[[[[[[[[X.]]]]]]]]]]]] Identität dieser natürlichen Person sind, identifiziert werden kann.

Die in jedem Fall veröffentlichten Informationen des [[[[[[[[[[[[X.]]]]]]]]]]]] umfassen den Namen, die [[[[[[[[[[[[X.]]]]]]]]]]]] sowie das Geschlecht, ohne die die Nutzung der Plattform [[[[[[[[[[[X.]]]]]]]]]]] nicht möglich ist, worauf direkt bei der Anmeldung hingewiesen wird. Damit ist es möglich, den Kläger zu identifizieren. Es handelt sich mithin um personenbezogene Daten. Die übrigen Daten wie Telefonnummer und E-Mail-Adresse sind ebenfalls personenbezogen, aber nicht in jedem Fall öffentlich.

Gemäß Art. 4 Nr. 2 [[[[[[[[[[[[X.]]]]]]]]]]]] ist Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, durch den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte ist hingegen nicht erfasst ([[[[[[[[[[[X.]]]]]]]]]]], Urteil vom 13. Oktober 2022 - 25 [[[[[[[[X.]]]]]]]]/21, BeckRS 2022, 27811, Rn. 17).

Der Schutzbereich des Art. 82 [[[[[[[[[[[[X.]]]]]]]]]]]] umfasst ebenso wenig Verstöße gegen Art. 34 [[[[[[[[[[[[X.]]]]]]]]]]]] ([[[[[[[[[[[X.]]]]]]]]]]], Urteil vom 31. März 2021, 9 U 34/21, juris Rn. 61; [[[[[[[[[[[X.]]]]]]]]]]], Urteil vom 1. Juli 2021, 15 [[[[[[[[[[[X.]]]]]]]]]]], juris Rn. 41). Schließlich lässt sich auch von vornherein aus Art. 24 [[[[[[[[[[[[X.]]]]]]]]]]]] kein subjektives Recht herleiten ([[[[[[[[[[[X.]]]]]]]]]]]/[[[[[[[[[[[X.]]]]]]]]]]]/Raschauer, 3. Aufl. 2022, [[[[[[[[[[[X.]]]]]]]]]]] Art. 24 Rn. 15). Selbiges gilt für Art. 25 [[[[[[[[[[[[X.]]]]]]]]]]]] ([[[[[[[[[[[X.]]]]]]]]]]][[[[[[[[[[[X.]]]]]]]]]]]/Werkmeister, 3. Aufl. 2022, DS-GVO Art. 25 Rn. 34).

Daher kann auch offenbleiben, ob Verstöße etwa gegen Art. 13, 14 und 34 [[[[[[[[[[[[X.]]]]]]]]]]]] durch die [[[[[X.]]]]] erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 [[[[[[[[[[[[X.]]]]]]]]]]]] fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben.

1.2 Unabhängig von den vorstehenden Ausführungen unter 1.1 fehlt es aber ohnehin an entsprechenden Pflichtverstößen der [[[[[[[X.]]]]]]] gegen Normen der [[[[[[[[[[[[X.]]]]]]]]]]]], wenn man den Anwendungsbereich für eröffnet erachten sollte.

1.2.1 Es ist kein Verstoß gegen Art. 5 Abs. 1 [[[[[[[[[[[[X.]]]]]]]]]]]] gegeben, weil es auch bei Informationspflichten der Rücksichtname auf den Grundsatz des Art. 5 Abs. 1 [[[[[[[[[[[[X.]]]]]]]]]]]] bedarf.

Personenbezogene Daten müssen auf rechtmäßige Weise, nach [[[[[[[[[[[X.]]]]]]]]]]] und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach [[[[[[[[[[[X.]]]]]]]]]]] und Glauben, Transparenz“), Art. 5 Abs. 1 lit. a) [[[[[[[[[[[[X.]]]]]]]]]]]]. Dieser Grundsatz der Transparenz überträgt sich dann in die Informations- und Aufklärungspflicht nach Art. 13 [[[[[[[[[[[[X.]]]]]]]]]]]]. Die Aufklärung über die Zwecke der Verarbeitung muss insbesondere für den Nutzer klar verständlich und nachvollziehbar sein. Dies ist vorliegend der Fall. [[[[[[[[[[[[X.]]]]]]]]]]]] selbst hat Screenshots zu den Abläufen und jeweiligen Unterseiten zur Akte gereicht. Diese Screenshots bilden die tatsächlichen Inhalte der [[[[[[[[[[[X.]]]]]]]]]]] -Seite ab. Diese Inhalte der Website enthalten alle relevanten Informationen zu Art und Umfang der Verarbeitung und Hinweise zu Möglichkeiten der Begrenzung. Es mag sich zwar um mehrschichtige Informationen handeln, was aber die Übersichtlichkeit und Transparenz nicht ausschließt. Auch Allgemeine Geschäftsbedingungen in Papierform können durchaus umfangreich sein. Maßgeblich ist einzig, dass sie verständlich sind, was vorliegend nach Auffassung des Gerichts der Fall ist. Es überzeugt das Gericht insbesondere nicht, dass die Vielzahl der Einstellungsmöglichkeiten dazu führen soll, dass ein Nutzer es im Zweifel bei den Voreinstellungen belasse. Die internetspezifischen Gepflogenheiten und gerade die [[[[[[[[[[[[X.]]]]]]]]]]]] verlangen vielfältige Einstellungsmöglichkeiten, damit der jeweilige Nutzer die Einstellungen entsprechend seiner spezifischen Bedürfnisse individuell vornehmen kann.

[X.] hat bei seiner Entscheidung auch berücksichtigt, dass die Nutzung der Plattform als solche freiwillig ist. Die Preisgabe der Mobilfunknummer ist für die Nutzung der Plattform nicht erforderlich. Vielmehr handelt es sich um ein Zusatzangebot der [[[[[[[X.]]]]]]], dass der jeweilige Nutzer - so auch der Kläger - auf weitere Funktionen und Informationen nutzen kann, wenn er diese nach Eingabe entsprechender Angaben nutzen will. Dies umfasst die Möglichkeit „interessante Menschen und Themen auf unseren Plattformen vorzustellen, beispielsweise über die Funktion Personen, die du kennen könntest“. Im Übrigen wird ausgeführt, dass man als Nutzer festlegen kann „wer deine Telefonnummer sehen kann und wer auf [[[[[[[[[[[X.]]]]]]]]]]] nach dir suchen kann“. Es wird unter anderem darauf hingewiesen, dass auch in der [[[[[[[[[[X.]]]]]]]]]] eine Suche über die Telefonnummer möglich ist.

Abgestellt auf den objektiven [[[[[[[[[[X.]]]]]]]]]] gemäß §§ 133, 157 [[X.]] ist es sicherlich mit einem gewissen Aufwand, einer gewissen Geduld und gewissem zeitlichem Aufwand verbunden, sich durch die Seiten und Hinweise zu klicken und sie sorgfältig zu lesen. Die Hinweise sind bei genauem Lesen aber verständlich. Auch schriftlich abgefasste Allgemeine Geschäftsbedingungen können umfangreich sein. Der Umfang von Allgemeinen Geschäftsbedingungen mag auch mit dem zu Grunde liegenden Rechtsverhältnis zu tun haben. Im Rahmen der internetspezifischen Gepflogenheiten und damit einhergehenden datenschutzrechtlichen Fragestellungen führen deren Umfang dann auch zu entsprechend umfangreichen Hilfethemen und Einstellungshinweisen. Die Reichweite des Schutzes der [[[[[[[[[[[[X.]]]]]]]]]]]] ist dabei aber im Lichte der jeweiligen konkreten Nutzung (beispielsweise des [[[[[[[[[[X.]]]]]]]]]]) zu sehen. Vorliegend ist zu berücksichtigen, dass es sich bei [[[[[[[[[[[X.]]]]]]]]]]] um ein soziales Netzwerk handelt, das auf Kommunikation, Finden von Personen und Teilen von Informationen angelegt ist. In diesem Lichte sind dann die von der [[[[[[[X.]]]]]]] gewählten Voreinstellungen nicht zu beanstanden, da der jeweilige Nutzer umfassend und verständlich über [[[[[[[[[X.]]]]]]]]] informiert wird. Unstreitig ist zudem, dass es der Angabe der Telefonnummer zur Nutzung von [[[[[[[[[[[X.]]]]]]]]]]] als solcher nicht bedarf.

1.2.2 Es ist kein Verstoß der [[[[[[[X.]]]]]]] gegen ihre Pflicht, die personenbezogenen Daten der Nutzer, inklusive der des [[[[[[[[[[[[X.]]]]]]]]]]]], ausreichend gemäß Art. 32 [[[[[[[[[[[[X.]]]]]]]]]]]] zu schützen, gegeben.

Nach Art. 32 [[[[[[[[[[[[X.]]]]]]]]]]]] haben der Verantwortliche und der [[[[[[[[[[[[X.]]]]]]]]]]]] geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) [[[[[[[[[[[[X.]]]]]]]]]]]] müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung, und zwar durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Art. 32 [[[[[[[[[[[[X.]]]]]]]]]]]] verlangt Verarbeitungsprozessen ab, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u.a. davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten ([[[[[[[[X.]]]]]]]], Urteil vom 13. Oktober 2022, 25 [[[[[[[[X.]]]]]]]]/21, juris Rn. 28).

Unter Berücksichtigung der vorstehenden Ausführungen hat die [[[[[X.]]]]] gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, nicht verstoßen. Insbesondere war die [[[[[X.]]]]] nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils des [[[[[[[[[[[[X.]]]]]]]]]]]] aufgrund seiner selbst gewählten Einstellung zu verhindern. Unstreitig sind die Daten des [[[[[[[[[[[[X.]]]]]]]]]]]] von [[[[[X.]]]]] gescrapt, mithin verarbeitet worden i.S.d. Art. 4 Nr. 2 [[[[[[[[[[[[X.]]]]]]]]]]]]. Allerdings war die [[[[[X.]]]]] nicht verpflichtet, diese Daten vor der Verarbeitung durch die [[[[[[[[X.]]]]]]]] zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des [[[[[[[[[[[[X.]]]]]]]]]]]], nämlich seinen Namen, sein Geschlecht und seinen Benutzernamen, um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie [[[[[[[[X.]]]]]]]] oder ähnliches abrufbar sind, was dem Kläger bereits durch die Anmeldung bekannt war. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig. Diese Verarbeitung in Form des Scrapens erfolgt auch durch Dritte und nicht durch die [[[[[X.]]]]].

Dass nicht öffentlich zugängliche Informationen von [[[[[X.]]]]] erhoben worden sind, kann nicht festgestellt werden. Die Inaugenscheinnahme der von ihm angegebenen Webseite r....com ist als Beweismittel ungeeignet, da dort die durch das Scraping abgerufenen Daten lediglich abstrakt beschrieben werden; welche konkreten personenbezogenen Daten des [[[[[[[[[[[[X.]]]]]]]]]]]] - neben den immer öffentlich zugänglichen Informationen erhoben worden sind, wird dort nicht angegeben.

Der von den [[[[[[[[X.]]]]]]]]n unter Nutzung des [[[[[[[[[[[[X.]]]]]]]]]]]]ers der Plattform [[[[[[[[[[[X.]]]]]]]]]]] hergestellte Abgleich zwischen der von ihnen hochgeladenen Telefonnummer des [[[[[[[[[[[[X.]]]]]]]]]]]] mit seinem Konto stellt zwar eine Verarbeitung i.S.d. [[[[[[[[[[[[X.]]]]]]]]]]]] dar. Jedoch war die [[[[[X.]]]]] nicht verpflichtet, das Konto des [[[[[[[[[[[[X.]]]]]]]]]]]] vor dessen Auffinden über die Telefonnummer zu schützen, da der von den [[[[[[[[X.]]]]]]]]n hergestellte Abgleich als solcher nicht unbefugt bzw. unrechtmäßig war. Auch wenn die [[[[[X.]]]]] aufgrund der Fülle an personenbezogener Daten dafür sorgen muss, dass gerade sensiblere Daten wie Email-Adressen oder Telefonnummern nicht einfach und schnell zu erlangen sind, tut sie dies bereits dadurch, dass die Freigabe der Telefonnummer lediglich eine Komfortfunktion für den Fall ist, dass ein User besser gefunden werden will. Bei Inanspruchnahme dieser Funktion wird über Hinweise und Hilfestellungen auf die jeweiligen Schutzmöglichkeiten aufmerksam gemacht.

Ein gewisses Risiko, dass über technische Programme selbst gewählte Freigaben ausgenutzt und missbraucht werden, verbleibt bei der [[[[[X.]]]]]nutzung stets, ist aber nicht von der [[[[[[[X.]]]]]]], sondern vom Kläger zu tragen, der sich eigenverantwortlich zur Nutzung entschlossen hat und nach Zustimmung zur Datenschutzrichtlinie und nach Bereitstellung von [[[[[[[X.]]]]]]] selbst entscheiden konnte, wie weit er die Angebote nutzt. Scraping komplett zu unterbinden ist nicht möglich, denn es nutzt die Möglichkeiten einer Website als Datensammlung gezielt aus. Wie auch bei [[[[[[[[[[[X.]]]]]]]]]]] ist das Scraping in den Allgemeinen Geschäftsbedingungen der jeweiligen Websites oftmals untersagt.

Aus der [[[[[[[[[[[[X.]]]]]]]]]]]] leitet sich auch kein Anspruch auf bestimmte konkrete Sicherungsmaßnahmen ab, sondern die [[[[[X.]]]]] muss allenfalls für ein hinreichendes Schutzniveau sorgen, was vorliegend geschehen ist.

1.2.3 Es ist kein Verstoß der [[[[[[[X.]]]]]]] gegen das in Art. 24, 25 Abs. 2 [[[[[[[[[[[[X.]]]]]]]]]]]] verankerte Prinzip „Privacy by default“ gegeben.

Demnach muss der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Dies soll vor allem den technisch unversierten Nutzer schützen. Die Voreinstellungen sollen möglichst datenschutzfreundlich eingestellt werden, um die Privatsphäre der Nutzer zu gewährleisten. Der Nutzer kann dann noch individuell Anpassungen nach seinen Wünschen vornehmen. Unstreitig sind für die Registrierung nur der Name, das Geschlecht und die ID sichtbar, die auch stets öffentlich sichtbar sind, wozu jeder User aber durch Akzeptieren der Datenschutzbestimmungen zustimmt. Soweit jemand sich dann noch entschließt seine Telefonnummer zu hinterlegen, was für die Registrierung bei [[[[[[[[[[[X.]]]]]]]]]]] nicht erforderlich ist, sondern es lediglich einfacher machen soll, gefunden zu werden, ist diese Einstellung zwar zunächst auf „everyone“ „by phone number“ gestellt. Ändert man diese Einstellung nicht, so kann der jeweilige Nutzer über seine E-Mail-Adresse und Mobilnummer gefunden werden und ihm eine Freundschaftsanfrage geschickt werden. Der technisch unkundige Nutzer wird gleichwohl über die entsprechenden Hinweise hinreichend informiert und über Einstellungsmöglichkeiten und deren [[[[[X.]]]]] in Kenntnis gesetzt. Zudem muss sich jeder [[[[[X.]]]]]nutzer, der insbesondere eine Plattform eines [[[[[[[[[[[[X.]]]]]]]]]]]] Netzwerkes wie das der [[[[[[[X.]]]]]]] nutzt, bewusst sein, dass es [[[[[X.]]]]] gibt, mit denen man sich vertraut zu machen hat, will man solche Kommunikationsplattformen gebrauchen. Der Schutz des Art. 25 [[[[[[[[[[[[X.]]]]]]]]]]]] reicht nicht so weit, dass er den jeweiligen Nutzer vor den internetspezifischen Gepflogenheiten vollends schützt; vielmehr muss sich der jeweilige Nutzer, der einer Plattform eines [[[[[[[[[[[[X.]]]]]]]]]]]] Netzwerks beitreten will, mit den geltenden Gepflogenheiten vertraut sein. Bei einer Plattform, die auf Kontaktsuche und das Finden von Kontakten ausgerichtet ist und auf der die [[[[[X.]]]]] angibt, dass das nicht zwingend erforderliche Hinterlegen der Telefonnummer es ermöglicht, leichter gefunden zu werden und die Zwecke der Plattform besser zu nutzen, muss der jeweilige Nutzer eigenverantwortlich entscheiden, in welchem Umfang er diese Möglichkeiten nutzt und entsprechende Daten freigibt.

Auch hat die [[[[[X.]]]]] in der Klageerwiderung im Rahmen einer sekundären Darlegungslast substantiiert dargelegt, dass sie entgegen der pauschalen Behauptung des [[[[[[[[[[[[X.]]]]]]]]]]]] technische Maßnahmen ergriffen hat, um Scraping zu erschweren, indem sie nämlich eine Hürde implementiert hat, wonach Abfragen in gewissem Umfang von ein- und derselben IP-Adresse in einem bestimmten [X.]raum nicht möglich sind bzw. gestoppt werden, ebenso wie sie auch unter Verweis auf diverse Artikel, deren [[[[[X.]]]]] sie ebenfalls bekannt gegeben hat, die User informiert hat und schließlich über ein Team verfügt, das sich einzig mit der Verhinderung von Missbrauch von Daten ihrer User beschäftigt. Angesichts dieser konkreten Ausführungen wäre von dem Kläger zu erwarten gewesen, dass er im Lichte dieses Vortrags weiter ausführt, warum er trotzdem von einem Verstoß gegen Art. 25 [[[[[[[[[[[[X.]]]]]]]]]]]] ausgeht. Der bloße Verweis auf den [[[[[X.]]]]] 2019 allein genügt angesichts des Umstandes, dass Unbekannte im [[[[[X.]]]]] stets bestrebt sind, Sicherheitsvorkehrungen von [[[[[X.]]]]] zu überwinden, nicht. Einen Anspruch auf konkrete Sicherheitsmaßnahmen hat er hingegen nicht. Insoweit kommt es dann nicht darauf an, ob konkrete Einzelmaßnahmen im Sinne der Wunschvorstellungen einer [[[[[X.]]]]] ergriffen wurden, sondern darauf, ob die gesamten Schutzmaßnahmen ein angemessenes Schutzniveau aufweisen, welches ex-ante zu bestimmen ist ([[[[[X.]]]]]/[[[[[[[[[[[[X.]]]]]]]]]]]]/[[[[[X.]]]]], 3. Aufl. 2020, DS-GVO Art. 32 Rn. 5 und Rn. 8; [[[[[[[[[[[X.]]]]]]]]]]][[[[[[[[[[[X.]]]]]]]]]]]/Werkmeister, 3. Aufl. 2022, DS-GVO Art. 25 Rn. 2). Angesichts der im Rahmen der sekundären Darlegungslast aufgezeigten vielfältigen Schutzmaßnahmen genügt der pauschale Verweis auf den [[[[[X.]]]]] als solchen und die Benennung einzelner Maßnahmen, etwa eine Captcha-Abfrage, nicht. Auch wenn man die Darlegungslast im Lichte der Rechtsprechung des [[[[[X.]]]]] anders sehen sollte, so wäre die [[[[[X.]]]]] dieser nachgekommen, und der Kläger hätte dies nicht erheblich bestritten, so dass es auch insoweit keiner Beweisaufnahme bedurfte.

1.2.4 Die [[[[[X.]]]]] hat ihre Pflicht gemäß Art. 33 [[[[[[[[[[[[X.]]]]]]]]]]]], der zuständigen Aufsichtsbehörde den Datenschutzverstoß zu melden, nicht verletzt.

Gemäß Art. 33 [[[[[[[[[[[[X.]]]]]]]]]]]] meldet der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Meldung gegenüber der Aufsichtsbehörde ermöglicht es dieser über Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung zu entscheiden ([[[[[X.]]]]], Urteil vom 23. September 2021, 6 [[[[[X.]]]]]/21, [[[[[X.]]]]], 50). Der zuständigen Aufsichtsbehörde, der [[[[[X.]]]]] wurde kein solcher Vorfall gemeldet. Da der [[[[[[[X.]]]]]]] aber kein Datenschutzverstoß anzulasten ist (s. vorstehend), musste sie diesen auch nicht melden.

1.2.5 Es ist kein Verstoß gegen Art. 35 [[[[[[[[[[[[X.]]]]]]]]]]]] gegeben mit der Behauptung, die [[[[[X.]]]]] habe keine Datenschutz-Folgeabschätzung im Sinne dieser Vorschrift durchgeführt.

Selbst wenn die [[[[[X.]]]]] Datenschutzaufsichtsbehörde Ermittlungen gegen die [[[[[X.]]]]] aufgenommen haben sollte, kann hieraus nicht geschlossen werden, dass die [[[[[X.]]]]] im maßgeblichen [X.]raum gegen Art. 35 [[[[[[[[[[[[X.]]]]]]]]]]]] verstoßen hat. Selbst wenn man annähme, dass die [[[[[X.]]]]] in diesem [X.]raum eine Folgenabschätzung trotz hohen Risikos für die Rechte und Freiheiten der Nutzer der Plattform [[[[[[[[[[[X.]]]]]]]]]]] nicht durchgeführt hat, ist nicht ersichtlich, dass die unterlassene Folgeneinschätzung (mit-)ursächlich für den vom Kläger geltend gemachten Schaden war, nämlich den Verlust über die Kontrolle seiner gescrapten Daten. Hiergegen spricht bereits, dass es sich bei den gescrapten Daten um immer öffentlich zugängliche Informationen des Profils des [[[[[[[[[[[[X.]]]]]]]]]]]] auf der Plattform [[[[[[[[[[[X.]]]]]]]]]]] handelt.

1.2.6 Die [[[[[X.]]]]] hat auch nicht gegen Art. 15 [[[[[[[[[[[[X.]]]]]]]]]]]] verstoßen, indem sie dem Kläger keine bzw. unvollständige Auskünfte erteilt hat.

Der Anspruch auf Auskunftserteilung ergibt sich aus Art. 15 Abs. 1 lit a) und [[[[X.]]]]) [[[[[[[[[[[[X.]]]]]]]]]]]]. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und über die Verarbeitungszwecke (lit. a)) sowie über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in [[[[X.]]]] oder bei internationalen Organisationen ([[[[X.]]]])). Da das Schreiben der [[[[[[[X.]]]]]]] Nutzer ID, Vorname, Nachname, Land und Geschlecht enthält, ist der Anspruch insoweit nach § 362 Abs. 1 [[X.]] erfüllt und erloschen. Nicht beantwortet wird durch die [[[[[X.]]]]] in dem außergerichtlichen Schreiben, welchen Empfängern die Daten des [[[[[[[[[[[[X.]]]]]]]]]]]] durch Ausnutzung des [[[[[[[[[[[[X.]]]]]]]]]]]] Tools im Sinne des Art. 15 Abs. 1 [[[[X.]]]]) [[[[[[[[[[[[X.]]]]]]]]]]]] zugänglich gemacht wurden. Das Scraping ist allerdings von außen erfolgt und es nicht erkennbar, wer diese Daten gescrapt hat. Die begehrte Auskunftserteilung ist aufgrund des Vorganges des Scrapings unmöglich. Ebenso ist im Rechtssinne unmöglich (und es wird auch nicht näher dargelegt, wie die [[[[[X.]]]]] mitteilen können soll), zu informieren, wann die Daten gescrapt wurden. [[[[[[[[[[[[X.]]]]]]]]]]]] geht selbst von 2019 aus bzw. von der [[[[X.]]]] dann im April 2021. Dieser [X.]rahmen ist dem Kläger bekannt; eine genaue Eingrenzung in Bezug auf seine Daten ist nicht möglich. Die [[[[[X.]]]]] hat dem Kläger im Ergebnis also alle Informationen mitgeteilt, die ihr im Zuge des [[[[[[[[[[[[X.]]]]]]]]]]]]s zur Verfügung standen. Weitere Angaben kann sie nicht machen. Sie ist folglich hierzu auch nicht verpflichtet.

1.3 Unabhängig von den vorstehenden Ausführungen fehlt es (auch) an einem ersatzfähigen Schaden des [[[[[[[[[[[[X.]]]]]]]]]]]] im Sinne des Art. 82 Abs. 1 [[[[[[[[[[[[X.]]]]]]]]]]]].

Für den immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 [[X.]] entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO ([[[[X.]]]] [[[[X.]]]]/[[[[X.]]]], 42. [[[[[[[[[[[[X.]]]]]]]]]]]] 1.8.2022, DS-GVO Art. 82 Rn. 31). Für die Bemessung können die Kriterien des Art. 83 Abs. 2 [[[[[[[[[[[[X.]]]]]]]]]]]] herangezogen werden, beispielsweise die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten ([[[[X.]]]], Urteil vom 9. Dezember 2021 – 31 O 16606/20, [[[[[X.]]]]], 242). Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den [[[[X.]]]] empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von [[[[X.]]]] ist damit nicht zu vereinbaren ([[[[X.]]]] [[[[X.]]]]/[[[[X.]]]], 42. [[[[[[[[[[[[X.]]]]]]]]]]]] 1.8.2022, DS-GVO Art. 82 Rn. 31). Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt ([[[[X.]]]], Urteil vom 6. November 2020 – 51 O 513/20, [[[[X.]]]], 161).

Nach den Erwägungsgründen der [[[[X.]]]] ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund Nr. 146, auch wenn er in der [[[[[[[[[[[[X.]]]]]]]]]]]] nicht näher definiert wird). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen ([[[[[X.]]]]]/[[[[[[[[[[[[X.]]]]]]]]]]]]/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 17). Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insbesondere durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen Nr. 75 kann ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verluste der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten.

Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar ([[[[X.]]]], Urteil vom 18. Mai 2022 - 28 O 328/21, BeckRS 2022, 11236). Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der [[[[[[[[[[[[X.]]]]]]]]]]]] erzielen ([[[[X.]]]], Urteil vom 9. Dezember 2021 – 31 O 16606/20, [[[[[X.]]]]], 242).

Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben ([[[[X.]]]], Urteil vom 4. September 2020 – 324 S 9/19, [[[[X.]]]], 99). Verletzung und Schaden sind nicht gleichzusetzen. Einerseits ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich, andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Dem Betroffenen muss vielmehr ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen ([[[[X.]]]], Urteil vom 6. November 2020 – 51 O 513/20, [[[[X.]]]], 161).

Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund Nr. 146 Satz 6), d.h. „spürbar“, objektiv nachvollziehbar und von gewissem Gewicht sein ([[[[X.]]]], Urteil vom 7. November 2018 – 8 C 130/18, [[[[X.]]]], 85), um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen ([[[[[X.]]]]], Urteil vom 23. September 2021 – 6 [[[[[X.]]]]]/21, [[[[[X.]]]]], 50).

Unter Anwendung dieser Maßstäbe hat der Kläger schon keine spürbare Beeinträchtigung von persönlichen Belangen, die durch Datenverlust hervorgerufen worden ist, dargelegt. [[[[[[[[[[[[X.]]]]]]]]]]]] trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem [[[[[[[[[[[[X.]]]]]]]]]]]] 2019 und [[[[X.]]]] im April 2021 auf der eingangs benannten Seite sei es zu einem Anstieg von [[[[X.]]]] und Mails gekommen. Zugleich hat er aber im Rahmen seiner Anhörung gemäß § 141 ZPO bekundet, seit Entdeckung des [[[[[[[[[[[[X.]]]]]]]]]]]]s im April 2021 nichts an seinen Profileinstellungen bei [[[[[[[[[[[X.]]]]]]]]]]] geändert zu haben. Schon dieser Umstand lässt die Angabe, Furcht vor einem Kontrollverlust über seine Daten zu haben, unplausibel erscheinen.

Unabhängig davon genügt aber selbst die Annahme nicht, dass der Kläger unter einer Furcht vor einem Kontrollverlust leidet, um einen Schaden im Sinne der [[[[[[[[[[[[X.]]]]]]]]]]]] zu bejahen. [[[[[[[[[[[[X.]]]]]]]]]]]] spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-Mails und Nachrichten. Unerwünschte E-Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen [[[[[[[[[[[X.]]]]]]]]]]] -Account haben und dort ihre Telefonnummer hinterlegt haben.

Hierbei hat das Gericht auch berücksichtigt, dass die Möglichkeit besteht, eine Telefonnummer zu wechseln. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich (so auch: [[[X.]]], Urteil vom 9. Februar 2021, 4 [[[X.]]]/20, [[[[[X.]]]]], 55). Insbesondere würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund Nr. 75. Aus Risiken für die Rechte und Freiheiten natürlicher Personen können physische, materielle oder immaterielle Schäden entstehen. Schäden sind aber kein zwangsweises Produkt aus einem Risiko für die Rechte und Freiheiten natürlicher Personen aus einer Verarbeitung personenbezogener Daten, vielmehr sind diese nur fakultativ. Der Sinn der Verordnung wird aber nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes Risiko bestehen, dass die Daten missbraucht werden. Dies konnte das Gericht im vorliegenden Fall nicht feststellen, da der Kläger im Rahmen seiner informatorischen Anhörung selbst angegeben hat nichts an seinen Profileinstellungen bei [[[[[[[[[[[X.]]]]]]]]]]] geändert hat.

Läge bei jedem [[[[[[[[[[[[X.]]]]]]]]]]]]-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Auf die Frage des konkreten Schadens kommt es aber deshalb nicht entscheidungserheblich an, weil die Klage auch aus anderen Gründen ohne Erfolg bleibt. Vorliegend scheitert das Klagebegehren nämlich auch an dem Umstand, dass die vom Kläger benannten Normen der [[[[[[[[[[[[X.]]]]]]]]]]]] schon keinen Schadenersatzanspruch nach Art. 82 [[[[[[[[[[[[X.]]]]]]]]]]]] auszulösen vermögen, selbst wenn man entgegen der hier vertretenen Ansicht einen oder mehrere Verstöße bejahen sollte.

1.4 Es fehlt auch an einer Kausalität.

Soweit der Kläger behauptet, er erhalte unerwünschte [[[[X.]]]] und E-Mails, so handelt es sich um eine Erscheinung, die bereits mit der Nutzung des [[[[[[[[[[X.]]]]]]]]]] als solcher zusammenhängt. Dem Gericht ist aus eigener Anschauung bekannt, dass auch Personen ohne [[[[[[[[[[[X.]]]]]]]]]]] -Account unerwünschte Anrufe oder Nachrichten, z.B. im [[X.]] unerwünschte Werbe-E-Mails erhalten. Selbst wenn beim Kläger tatsächlich derartige Anrufe seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kläger an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu dem vom Kläger behaupteten vermehrten unerwünschten Nachrichtenaufkommen geführt hat.

Die Kausalität ist aber schon deshalb zu verneinen, weil der Kläger ausweislich seiner eigenen Angaben im Rahmen seiner persönlichen Anhörung gemäß § 141 ZPO ausgeführt hat, bis heute keinerlei Änderungen in seinen Profileinstellungen oder sonstige Schutzmaßnahmen ergriffen zu haben. Dann aber ist nicht erkennbar, worin ein kausaler Schaden liegen soll.

Soweit der Kläger meint, einen Schmerzensgeldanspruch auf einen Verstoß der [[[[[[[X.]]]]]]] gegen Art. 34 [[[[[[[[[[[[X.]]]]]]]]]]]] stützen zu können, weil die [[[[[X.]]]]] ihm verspätet Auskünfte erteilt hat, geht er bereits deshalb fehl, weil nicht erkennbar ist, was er unternommen hätte, wenn er eher besagte Auskunft von der [[[[[[[X.]]]]]]] erhalten hätte. Denn der Kläger hat auch nach aus seiner Sicht verspäteter Auskunftserteilung keinerlei Maßnahmen zum Eigenschutz ergriffen.

1.5 Da ein Anspruch bereits dem Grunde nach nicht besteht, sind Ausführungen zur Höhe des geltend gemachten Schadensersatzanspruchs (eigentlich) entbehrlich.

Wegen des präventiven und sanktionellen Charakters des Schmerzensgeldanspruchs aus der [[[[[[[[[[[[X.]]]]]]]]]]]] mag es sein, dass ein Schmerzensgeld in Höhe von 1.000,00 € bei einem Verstoß in Betracht kommt. Es erschließt sich jedoch nicht, warum außergerichtlich ein Schmerzensgeld in Höhe von 500,00 € begehrt wurde und nunmehr bei gleichbleibender Argumentation im gerichtlichen Verfahren 1.000,00 € begehrt werden.

2. [[[[[[[[[[[[X.]]]]]]]]]]]] kann den von ihm geltend gemachten Anspruch auch nicht auf nationale Vorschriften stützen.

2.1 Es kann vorliegend dahinstehen, ob die [[[[[[[[[[[[X.]]]]]]]]]]]] als unmittelbar geltendes europäisches Recht nationales Recht verdrängt oder ein Nebeneinander anzunehmen ist, da ein solcher Anspruch auch bei Annahme eines „Nebeneinander“ nicht besteht.

2.2 Ein Anspruch des [[[[[[[[[[[[X.]]]]]]]]]]]] gegen die [[[[[X.]]]]] folgt nicht aus §§ 280 Abs. 1, Abs. 3, 281, 327, 327e, 327i [[X.]].

Es kann dabei offenbleiben, ob die [[[[[X.]]]]]en gemäß § 327 Abs. 1 [[X.]] einen Verbrauchervertrag im Sinne dieser Vorschrift abgeschlossen haben. Die vom Kläger behaupteten Verstöße fanden 2019 und 2021 statt, die Normen des §§ 327 ff. [[X.]] sind aber erst zum 1. Januar 2022 in [[[[[[[[[[[[X.]]]]]]]]]]]] traten. Selbst wenn man gemäß Art. 229 § 57 Abs. 2 EG[[X.]] die Norm des § 327e [[X.]] auch auf vor dem 1. Januar 2022 abgeschlossene Verbraucherverträge anwenden will, weil es sich um ein Dauerschuldverhältnis handelt, so müsste jedenfalls ein Verstoß im Geltungszeitraum des § 327 [[X.]] liegen, mithin nach dem 1. Januar 2022. Dies ist zu verneinen, da sowohl das Scrapen von Daten 2019 als auch deren [[[[X.]]]] durch Dritte im April 2021 vor dem Inkrafttreten der §§ 327 ff. [[X.]] lagen.

2.3 [[[[[[[[[[[[X.]]]]]]]]]]]] hat gegen die [[[[[X.]]]]] auch keinen Anspruch auf Schadensersatz gemäß § 280 Abs. 1 [[X.]] i.V.m. Nutzungsvertrag.

2.3.1 Durch Registrierung des [[[[[[[[[[[[X.]]]]]]]]]]]] auf der [[[[[[[[[[[X.]]]]]]]]]]] -Seite schlossen die [[[[[X.]]]]]en einen Nutzungsvertrag. Die [[[[[X.]]]]] stellt die Social-Media-Plattform [[[[[[[[[[[X.]]]]]]]]]]] zur Verfügung, welche der Kläger nutzt. Ein solcher Vertrag ist ein nicht normierter [X.] ([X.], Urteil vom 8. Dezember 2020 - 18 U 5493/19 Pre, [X.], 1099).

2.3.2 Es kann dahinstehen, ob die [[[[[X.]]]]] eine Pflicht aus diesem Nutzungsvertrag verletzt hat, indem sie gegen Normen der [[[[[[[[[[[[X.]]]]]]]]]]]] verstoßen haben soll, die durch Zustimmung zur Geltung der Nutzungsbedingungen und der Datenschutzrichtlinie, die auf die [[[[[[[[[[[[X.]]]]]]]]]]]] Bezug nimmt, Teil des Vertrages geworden sind.

Denn selbst wenn man dies bejahen sollte, so fehlt es an einem Schaden gemäß §§ 249 ff. [[X.]]. Das nationale Schadensrecht verlangt gerade eine spürbare Beeinträchtigung (s. [X.]/[[[[[[[[[[[[X.]]]]]]]]]]]]/[X.]/[X.]/Würdinger, jurisPK-[[X.]], 9. Aufl. 2020, § 249 [[X.]] (Stand: 8. September 2021), Rn. 26 ff.). Eine solche ist entsprechend der vorstehenden Ausführungen nicht gegeben.

2.4 Deliktische Schadensersatzansprüche wegen einer möglichen Verletzung des allgemeinen Persönlichkeitsrechts (§§ 823 Abs. 1, 253 Abs. 2 [[X.]] i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG) erfordern den Eintritt eines immateriellen Schadens, den der Kläger nicht schlüssig dargelegt hat. Zur Vermeidung von Wiederholungen wird auf die vorstehenden Ausführungen verwiesen.

2.5 Ein Schadensersatzanspruch wegen Verstoß gegen § 823 Abs. 2 [[X.]] i. V. m. dem Recht auf informationelle Selbstbestimmung besteht nicht, da der Kläger keinen Schaden erlitten hat. Zur Vermeidung von Wiederholungen wird auf die vorstehenden Ausführungen verwiesen.

2.6 Es besteht auch kein Schadenersatzanspruch des [[[[[[[[[[[[X.]]]]]]]]]]]] gegen die [X.] aus §§ 1004 analog, 823 Abs. 2 [[X.]] i. V. m. Art. 13, 14 [[[[[[[[[[[[X.]]]]]]]]]]]] wegen der behaupteten rechtswidrigen Verarbeitung der personenbezogenen Daten des [[[[[[[[[[[[X.]]]]]]]]]]]] durch Datenverarbeitung ohne Erfüllung der Informationspflichten der [[[[[[[[[[[[X.]]]]]]]]]]]].

Selbst wenn die [[[[[[[[[[[[X.]]]]]]]]]]]] ein Schutzgesetz im Sinne des § 823 Abs. 2 [[X.]] wäre, so fehlt es an einem schlüssig dargelegten, kausalen Schaden ist. Es muss daher auch nicht die Frage beantwortet werden, ob überhaupt ein Verstoß gegen Art. 13, 14 [[[[[[[[[[[[X.]]]]]]]]]]]] wegen fehlender Information über die (weitere) Nutzung der mitgeteilten Mobilfunknummer vorliegt – dies ist nach Auffassung des Gerichts nicht der Fall.

Die Klage auf Feststellung einer Ersatzpflicht künftiger materieller und immaterieller Schäden ist mangels Vorliegen eines Schadens unbegründet.

Dem Kläger steht gegen die [[[[[X.]]]]] auch kein Anspruch auf Unterlassung zu, seine personenbezogenen Daten in Zukunft unbefugt, d.h. konkret ohne vorherige ausreichende Belehrung, zu veröffentlichen und diese zukünftig unbefugten [[[[[X.]]]]] zugänglich zu machen nach §§ 1004 analog, 823 Abs. 1 und aus Abs. 2 [[X.]] i.V.m. Art. 6 Abs. 1 [[[[[[[[[[[[X.]]]]]]]]]]]] sowie Art. 17 [[[[[[[[[[[[X.]]]]]]]]]]]]. Es fehlt bereits an einem Verstoß der [[[[[[[X.]]]]]]], der überhaupt zu einem Unterlassungsanspruch führen könnte, selbst wenn man Art. 6 [[[[[[[[[[[[X.]]]]]]]]]]]] als Schutzgesetz im Sinne des § 823 Abs. 2 [[X.]] ansieht.

Eine Rechtsnorm ist ein Schutzgesetz i.S.d § 823 Abs. 2 [[X.]], wenn sie zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen. Dafür kommt es nicht auf die Wirkung, sondern auf Inhalt und Zweck des Gesetzes sowie darauf an, ob der Gesetzgeber bei Erlass des Gesetzes gerade einen Rechtsschutz, wie er wegen der behaupteten Verletzung in Anspruch genommen wird, zu Gunsten von Einzelpersonen oder bestimmten Personenkreisen gewollt oder doch [X.] hat ([[[[[[[[[[[[X.]]]]]]]]]]]], Urteil vom 25. Mai 2020 - VI ZR 252/19, NJW 2020, 1962). Art. 6 Abs. 1 [[[[[[[[[[[[X.]]]]]]]]]]]] dient dem Schutz der Verarbeitung personenbezogener Daten. Der Zweck des Art. 6 Abs. 1 [[[[[[[[[[[[X.]]]]]]]]]]]] liegt darin, rechtswidrige Verarbeitungen personenbezogener Daten zu deklarieren und zu verhindern. Insoweit ist Art. 6 Abs. 1 [[[[[[[[[[[[X.]]]]]]]]]]]] Schutzgesetz i.S.d. § 823 Abs. 2 [[X.]] ([X.], Urteil vom 14. Dezember 2021 - 17 Sa 1185/20 ([X.]), [[[[[X.]]]]], 295).

Vorliegend fehlt es aber an einem Verstoß. Die [[[[[X.]]]]] hat den Kläger ausreichend aufgeklärt [[[[[[[[[[[[X.]]]]]]]]]]]]. Art. 13 Abs. 1 [[[[[[[[[[[[X.]]]]]]]]]]]], insbesondere über die Zwecke der Verarbeitung sowie deren Rechtsgrundlage und die etwaigen Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (s. vorstehend). [[[[[[[[[[[[X.]]]]]]]]]]]] hat zudem mit der Zustimmung zu den Nutzungsbedingungen und der Datenrichtlinie die Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gemäß Art. 6 Abs. 1 Satz 1 lit. a) [[[[[[[[[[[[X.]]]]]]]]]]]] gegeben. Insbesondere wurden sowohl die Datenrichtlinie als auch die Nutzungsbedingungen in einfach verständlicher Sprache abgefasst und sind einfach zugänglich, wenn auch mehrschichtig. Die Website der [[[[[[[X.]]]]]]] weist einen sogar mehrfach darauf hin, dass man einen Privatsphärecheck machen kann. Insoweit entspricht das Ersuchen der Einwilligung auch den Voraussetzungen des Art. 7 Abs. 2 [[[[[[[[[[[[X.]]]]]]]]]]]]. Bei der Auslegung nach dem objektiven [[[[[[[[[[X.]]]]]]]]]] gemäß §§ 133, 157 [[X.]] sind die mehrschichtigen Hinweise bei entsprechender Sorgfalt und Inanspruchnahme von [X.] nachvollziehbar.

[[[[[[[[[[[[X.]]]]]]]]]]]] hat gegen die [[[[[X.]]]]] auch kein Auskunftsanspruch gemäß Art. 15 [[[[[[[[[[[[X.]]]]]]]]]]]].

Wie bereits oben ausgeführt, ist der Auskunftsanspruch des [[[[[[[[[[[[X.]]]]]]]]]]]] durch das außergerichtliche Schreiben der [[[[[[[X.]]]]]]] teilweise i.S.d. § 362 Abs. 1 [[X.]] erloschen, soweit er die eigene Verarbeitung von Daten des [[[[[[[[[[[[X.]]]]]]]]]]]] betrifft. Die [[[[[X.]]]]] ist auch lediglich gehalten, diese von ihr selbst verarbeiteten Daten mitzuteilen. Soweit durch das Scrapen öffentlich einsehbare Daten von [[[[[X.]]]]] etwaig verarbeitet wurden, ist jedenfalls nicht die [[[[[X.]]]]] auskunftspflichtig.

Mangels Anspruchs in der Hauptsache, stehen dem Kläger gegen die [[[[[X.]]]]]m auch keine Nebenforderungen zu.

1. Mangels Anspruch in der Hauptsache besteht kein Anspruch des [[[[[[[[[[[[X.]]]]]]]]]]]] gegen die [[[[[X.]]]]] auf Zahlung außergerichtlicher Rechtsanwaltskosten gemäß § 280 Abs. 1 [[X.]] oder aus Art. 82 Abs. 1 [[[[[[[[[[[[X.]]]]]]]]]]]].

2. Mangels Anspruch in der Hauptsache hat der [[[[[[[[[[[[X.]]]]]]]]]]]] gegen die [[[[[X.]]]]] auch keinen Anspruch auf die geltend gemachten Zinsen ab Rechtshängigkeit, § 291 ZPO.

1. [X.] folgt aus § 91 Abs. 1 Satz 1 ZPO.

2. Die Entscheidung über die vorläufige Vollstreckbarkeit richtet sich nach §§ 708 Nr. 11, 711 ZPO.

3. Der Streitwert war auf 7.000,00 € (= 1.000,00 € + 500,00 € + 5.000,00 € + 500,00 €) festzusetzen.

3.1 Hinsichtlich des Klageantrags Ziffer 1. war der dort begehrte Zahlbetrag in Ansatz zu bringen, mithin ein Betrag in Höhe von 1.000,00 €.

3.2 Hinsichtlich des [X.] 2. ist nach Auffassung des Gerichts ein Abschlag in Höhe von 50 % von dem mit Klageantrag Ziffer 1. begehrten Zahlbetrag vorzunehmen.

3.3 [X.] schätzt das mit dem Unterlassungsantrag (Klageantrag Ziffer 3.) verbundene Interesse in Anlehnung an § 23 Abs. 3 Satz 2 RVG auf 5.000,00 €.

Der Streitwert bei nicht vermögensrechtlichen Streitigkeiten ist letztlich anhand aller Umstände des Einzelfalls, insbesondere auch anhand der Einkommensverhältnisse und der Bedeutung der Sache, zu bemessen. Bei der [[[[[[[X.]]]]]]] handelt es sich um einen multinationalen Konzern mit hohen Umsätzen, die Bedeutung der Sache ist auf Grund der Vielzahl der vom Scraping betroffenen Personen für die [[[[[X.]]]]] erheblich.

3.4 Hinsichtlich des Klageantrags Ziffer 4. erscheint ein Streitwert von 500,00 € angemessen, da es noch um restliche Auskünfte geht.