OLG Dresden, Urteil vom 30.04.2024, Az. 4 U 1969/23

Die [X.]nimmt die [X.]als Betreiberin des [X.]Netzwerkes [X.]wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung in der [X.]von 2018 bis 2019 in Zusammenhang mit einem „Scraping Vorfall“ auf immaterielle Entschädigung, Feststellung, Unterlassung und [X.]in Anspruch.

Die [X.]betreibt in der [X.]das [X.]Online-Netzwerk [X.]und bietet Dienste an, die für private Nutzer kostenlos sind. Das Geschäftsmodell der [X.]basiert auf der Finanzierung durch Online-Werbung, die auf den individuellen Nutzer des [X.]Netzwerks insbesondere nach Maßgabe seines Konsumverhaltens, seiner Interessen, seiner Kaufkraft und seiner Lebenssituation zugeschnitten ist. Die C.-Plattform ermöglicht es Nutzern, persönliche Profile zu erstellen und diese mit Freunden oder der Öffentlichkeit zu teilen und sich auszutauschen. Die [X.]ist Nutzerin des von der [X.]betriebenen [X.]Netzwerkes C., auf das sie nach Registrierung auf der Website oder über [X.]für Mobiltelefone und Tablets zugreifen kann. Mit der Registrierung wird ein Nutzungsvertrag abgeschlossen. Hierbei muss den Nutzungsbedingungen zugestimmt wer- den und es wird auf die Datenschutz- und Cookierichtlinien der [X.]hingewiesen. Die Angabe des Vor- und Nachnamens und des Geschlechtes sind bei der Registrierung zwingend. Sodann wird und eine [X.]generiert. Diese Daten sind stets öffentlich. Bei der Angabe von weiteren fakultativen Daten (z. B. Geburtsdatum, Wohnort, E-Mail-Adresse und Telefonnummer) können in der Privatsphäreneinstellung unterschiedliche Einstellungen gewählt werden. Der Nutzer kann entscheiden, ob diese Daten für alle, also „öffentlich“ oder für „Freunde“ oder „Freunde von Freunden“ einsehbar sind. Bei der [X.]wird fest- gelegt, wer einzelne Informationen im C.-Profil des Nutzers sehen, bei der Suchbarkeitseinstellung, wer das Profil eines Nutzers z. B. anhand einer Telefonnummer finden kann. Die Standardeinstellung für die Suchbarkeit nach der Telefonnummer war während des relevanten Zeitraumes „alle“. Das Auffinden eines Nutzerprofils auf der C.-Plattform mittels einer Telefonnummer fand u. a. mit dem von der [X.]angebotenen [X.]Import Tool (CIT) statt. Das [X.]ermöglichte es Nutzern, ihre Kontakte von ihren Mobilgeräten auf der [X.]- Plattform zu finden und mit ihnen in Verbindung zu treten.

Die [X.]ist bei [X.]registriert. Die [X.]bezüglich der Telefonnummer ist seit 23.04.2015 auf „alle“ gestellt (Anlage B 21).

Im Zeitraum von Januar 2018 bis September 2019 kam es auf der C.-Plattform zu einem sogenannten Scraping, also dem massenhaften, automatisierten Sammeln persönlicher Daten von C.-Nutzern. Dritte nutzten hierfür das [X.]Import Tool und luden einen großen Satz von Telefonnummern bzw. Ziffernkombinationen hoch, um festzustellen, ob diese mit [X.]Nutzern übereinstimmen. Sie konnten so den generierten Telefonnummern ein bestimmtes Nutzerprofil zuordnen und die öffentlich einsehbaren Daten - das heißt die stets zwingend öffentlichen Daten und die vom Nutzer öffentlich eingestellten Daten - einsehen. Dies bemerkte die [X.]für die [X.]Plattform und deaktivierte das CIT. Als es auch bei dem [X.]zum Scraping kam, wurde es auch dort deaktiviert. Anfang April 2021 wurden in einem Hackerforum die Namen und teilweise weitere Daten, wie z. B. Telefonnummer und Wohnort, von 533 [X.]Nutzern veröffentlicht. Am 06.04.2021 veröffentlichte die [X.]eine Information über das Scraping (Anlage B10).

Die [X.]Datenschutzbehörde (DPC) hat gegen die [X.]wegen dieses [X.]am 25.11.2022 eine Geldbuße in Höhe von 265 [X.][X.]verhängt und der [X.]unzureichende Sicherheitsmaßnahmen vorgeworfen. Der Bescheid wurde von der [X.]angefochten.

Die [X.]hat im Januar 2023 die [X.]zur Zahlung von Schadensersatz und zur Unterlassung der zukünftigen Zugänglichmachung von Daten aufgefordert und [X.]darüber begehrt, welche konkreten Daten vom Scraping betroffen waren. Die [X.]hat darauf mit Schreiben vom 16.02.2023 (Anlage B 17) und vom 17.10.2023 (Anlage B 20) geantwortet.

Die [X.]hat behauptet, sie sei vom [X.]betroffen und es seien ihr Name, ihre Handynummer und ihre e-mail Anschrift gescraped worden. Sie hat vorgetragen, dass die [X.]keine ausreichenden Vorkehrungen zum Schutz der Daten ergriffen habe. Es seien keine branchenüblichen Sicherheitsmaßnahmen, wie Captchas oder eine Plausibilitätsüberprüfung der Anfragen im [X.]eingerichtet worden. Die Einstellungen und Hinweise zur Privatsphäre bei der Registrierung seien undurchsichtig und verwirrend gestaltet. Eine Information über etwaige Risiken sei nicht erfolgt. Die Voreinstellungen seien nicht datenschutz- freundlich und würden daher dem Prinzip der Datenminimierung widersprechen. Durch die Pflichtverletzungen der Beklagten, sei es zu einer Veröffentlichung ihrer Daten in einem Hackerforum gekommen. Der [X.]sei zudem vorzuwerfen, dass sie ihren Informationspflichten nicht nachgekommen sei. Sie habe über den [X.]weder die [X.]noch die zuständige Behörde informiert. Die Daten könnten zu kriminellen Zwecken missbraucht werden. Ein Scraping sei nach wie vor möglich, eine Anpassung des [X.]durch die [X.]könne dies nicht verhindern. Die [X.]habe wegen des Scraping in erheblichem Ausmaß die Kontrolle über ihre abgegriffenen Daten verloren und sei vermehrt von Unbekannten via E-Mail und [X.]kontaktiert worden. Dies führe zu einer Angst vor dem Kontrollverlust und stelle einen immateriellen Schaden dar. Ein materieller Schaden sei zu befürchten. Die [X.]sei zur Unterlassung ihrer rechtswidrigen Datenverarbeitung verpflichtet. Die vorgerichtlichen Auskünfte seien unzureichend, denn die Personen, die die Daten gescraped haben, sei- en nicht benannt worden.

Die [X.]hat behauptet, die [X.]sei nicht vom Scraping betroffen und habe den Nachweis hierfür nicht erbracht. Jedenfalls seien die Daten nicht durch mangelhafte Sicherheitssysteme in die Hände Dritter gefallen. Es liege nur ein automatisiertes massenhaftes Sammeln ohnehin öffentlicher und damit nicht vertraulicher Daten vor. Daten wie z. B. „Bundesland“ seien nicht durch Scraping erlangt worden, da sie nicht den Profilfeldern der Plattform entsprächen. Sie habe ausreichende technische und organisatorische Vorkehrungen gegen das Scraping getroffen. So habe sie Übertragungsbeschränkungen eingesetzt, die die Anzahl der konkreten Datenabfragen, die pro Nutzung der IP-Adresse in einem bestimmten Zeitraum gestellt werden können, reduziere. Sie beschäftige ein Team von Mitarbeitern, um [X.]zu erkennen und zu verhindern. Sie habe auch Captcha-Abfragen (automatisierter Turing Test, um Computer von Menschen zu unterscheiden) genutzt. Dies sei eine Möglichkeit herauszufinden, ob hinter einer Anfrage ein menschlicher Nutzer stehe. Gänzlich verhindern lasse sich das Scraping öffentlich einsehbarer Daten nicht. Des Weiteren habe die [X.]die [X.]nach dem Vorfall dergestalt geändert, dass sie die Anzeige direkter Kontaktübereinstimmungen durch eine Liste mit Kontaktvorschlägen, der „Menschen, die Du kennen könntest“- Funktion ersetzt habe. Die Datenrichtlinien und die Hinweise zur Privatspähreneinstellung seien hinreichend klar. Die [X.]habe z. B. einen Privatssphärencheck angeboten, in dem die Nutzer ihre Einstellungen überprüfen konnten. Der Klageantrag Ziffer 1 auf Zahlung sei unzulässig, weil er nicht ausreichend bestimmt sei. Es werde eine Vielzahl vermeintlicher Verstöße gerügt, diese stellten unterschiedliche Streitgegenstände dar. Es sei nicht ersichtlich, womit der immaterielle Schaden begründet werde. Ein erstattungsfähiger immaterieller Schaden sei nicht entstanden. Soweit ein Kontrollverlust und Sorgen vor einer Weiterverbreitung der Daten beklagt würden, finde sich der identische Vortrag auch in den weiteren zahlreichen Klagen gegen die Beklagte. Der Kontrollverlust sei kein erstattungsfähiger Schaden. Für den Feststellungsantrag Ziffer 2 fehle es an einem Feststellungsinteresse, denn es sei fernliegend, dass mit den gescrapten Daten ein Vermögensschaden der [X.]noch herbeigeführt werden könne. Jedenfalls fehle eine hinreichende Wahrscheinlichkeit des Schadenseintritts. Die abgegriffenen Daten erhöhten nicht die Gefahr schwerwiegender Internetverbrechen, denn die Daten seien ohnehin öffentlich einsehbar gewesen. Der Klageantrag Ziffer 4 sei unzulässig, da er nicht hinreichend bestimmt sei. Der Auskunftsanspruch bestehe schon deshalb nicht, weil die [X.]erteilt worden sei.

Das [X.]hat mit Urteil vom 13.11.2023 - auf das wegen der weiteren Einzelheiten Bezug genommen wird - der Klage in Höhe von 300 [X.]sowie hinsichtlich des Feststellungsantrages und des [X.]Ziffer 4. a) der Klage stattgegeben und im Übrigen abgewiesen. Hiergegen richten sich die Berufungen beider Parteien.

Der Kläger meint, das [X.]habe den Schadensersatzanspruch mit 300 [X.]zu niedrig bemessen. Angesichts der zahlreichen Verstöße der Beklagten, der Berücksichtigung einer Abschreckungswirkung und des [X.]seien 3.000 [X.]anzusetzen. Der Auskunftsanspruch sei nicht erfüllt, denn der Verweis auf einen Selbstbedienungspool reiche nicht aus. Damit sei der Kläger nicht einverstanden gewesen. Darüber hinaus habe das [X.]übersehen, dass es der [X.]möglich sei [X.]über die Person des Scrapers zu erteilen. Zu Unrecht habe das [X.]den Unterlassungsanspruch Ziffer 4. b) der Klage verneint, denn es fehle nicht an einer Wiederholungsgefahr. Die [X.]könne nicht durch Änderung ihrer Einstellungen auf der Nutzerseite ein erneutes Scraping verhindern. Im Übrigen werde auf die Ausführungen in erster Instanz verwiesen.

Der Kläger beantragt:

1. Das Urteil des [X.]13.11.2023 – AZ: 1 O 445/23 - wird insoweit aufgehoben, als nicht festgestellt worden ist, dass die [X.]verpflichtet ist, der [X.]alle zukünftigen Schäden zu ersetzen, die der [X.]durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussagen der [X.]im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden, und

die [X.]verurteilt wird, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a) personenbezogene Daten der Klagepartei, namentlich Telefonnummer, C.-ID, Familienname, Vorname, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus, unbefugten [X.]über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern.

2. Die [X.]wird verurteilt, an die [X.]immateriellen Schadensersatz als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Telefonnummer sowie weiterer personenbezogener Daten der Klägerseite zu zahlen, dessen Höhe in das Ermessen des Gerichts gestellt wird, jedoch mindestens 3.000,00 [X.]betragen muss, nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 26.01.2023.

3. Die [X.]wird verurteilt, an die Klägerseite für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft im Sinne des Art. 15 DS-GVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5%-Punkten über dem Basiszinssatz seit dem 26.01.2023 zu bezahlen.

4. Die [X.]wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

b) die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die [X.]erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei auf Einstellung „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der C.-[X.]App, hier ebenfalls explizit die Berechtigung verweigert wird.

5. Die [X.]wird verurteilt der Klägerseite [X.]über die Klägerseite betreffende personenbezogene Daten, welche die [X.]verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der [X.]durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.

6. Die [X.]wird verurteilt, die [X.]von vorgerichtlichen Rechtsanwalts- kosten in Höhe von 1.019,83 € gegenüber der Fachanwaltskanzlei D. freizustellen.

Die Berufung der [X.]wird zurückgewiesen.

Die [X.]beantragt,

das Urteil des [X.]vom 13. November 2023, Az. 1 O 445/23 im Umfang der Beschwer der [X.]abzuändern und die Klage abzuweisen sowie die Berufung des [X.]zurückzuweisen.

Die [X.]meint, dass die Informationspflichten ebenso wie die [X.]kein Anknüpfungspunkt für einen Schadensersatzanspruch sein könnten. Dieser könne allenfalls auf [X.]gestützt werden, die im Rahmen der Verarbeitung geschehen seien. Unabhängig davon fehle es auch an einem Verstoß der [X.]gegen die Regelungen der Datenschutzgrundverordnung. Der Informationspflicht sei die [X.]ausreichend nachgekommen. Die Daten seien rechtmäßig gemäß Art. 6 Abs. 1 Satz 1b DSGVO erhoben worden, eine Einwilligung sei nicht erforderlich. Die [X.]habe auch ihre Pflicht zur Implementierung angemessener technischer und organisatorischer Maßnahmen nicht verletzt. Die [X.]sei nicht zu bestimmten Einzelmaßnahmen verpflichtet, ihr stehe vielmehr ausgehend vom Risiko ein Ermessensspielraum zu. Es habe keine unbefugte Offenlegung stattgefunden. Im Übrigen habe es sich um stets öffentliche Daten gehandelt. Eine Benachrichtigungspflicht des Nutzers liege nicht vor, weil kein hohes Risiko für dessen persönliche Freiheiten vorgelegen

habe. Eine Verletzung der Pflicht, datenschutzfreundliche Voreinstellungen zu wählen, liege ebenfalls nicht vor, denn diese Suchfunktion diene dem Unternehmenszweck, Menschen miteinander zu verbinden. Die [X.]treffe jedenfalls kein Verschulden. Im Übrigen liege kein Schaden vor. Der bloße Kontrollverlust reiche nicht aus. Insbesondere stelle die Veröffentlichung bereits öffentlich sichtbarer Daten keinen Kontrollverlust dar. Die [X.]habe keinen immateriellen Schaden nachgewiesen. Zudem fehle es an der Kausalität. Fehlerhaft habe das [X.]bei der Bemessung des Schadensersatzes auch auf eine [X.]abgestellt. Dies liefe auf einen Strafschadensersatz hinaus. Die [X.]habe zu dem Feststellungsinteresse nicht ausreichend vorgetragen. Es sei fernliegend, dass unbefugte Dritte mit den betroffenen Daten einen Vermögensschaden der [X.]herbeiführen könnten, zumal seit dem [X.]über drei Jahre vergangen seien. Die [X.]seien zu unbestimmt und es fehle am Rechtsschutzbedürfnis. Im Übrigen bestehe der Anspruch auch nicht, denn es fehle an einer gesetzlichen Grundlage. Ein Rückgriff auf nationales Recht sei entsprechend den Regelungen der Datenschutzgrundverordnung ausgeschlossen. Schließlich könne die [X.]die Einstellungen jederzeit ändern. Die Vermutung der Wiederholungsgefahr sei durch die von der [X.]ergriffenen Maßnahmen widerlegt worden.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die gewechselten Schriftsätze nebst Anlagen sowie die Protokolle der mündlichen Verhandlungen Bezug genommen.

Die zulässige Berufung der [X.]ist begründet. Die zulässige Berufung des [X.]hat keinen Erfolg.

Die internationale Zuständigkeit [X.]Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn die [X.]hat ihren gewöhnlichen Aufenthalt in Deutschland. Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25.05.2018 in [X.]getretenen Datenschutzgrundverordnung ist eröffnet.

Die Berufung des [X.]ist nicht begründet. Auf die Berufung der [X.]ist das Urteil des Landgerichtes aufzuheben und die Klage abzuweisen.

1.

Der [X.]steht kein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 [X.]zu.

1.1

Der [X.]ist hinreichend bestimmt gemäß § 253 ZPO.

Dem steht nicht entgegen, dass der geltend gemachte Schadensersatzanspruch auf mehrere behauptete Verstöße gestützt wird. Entgegen der Ansicht der [X.]liegt keine Häufung unzulässiger alternativer Klagegründe bzw. Streitgegenstände vor. Der Streitgegenstand wird durch den Klageantrag, in dem sich die vom Kläger in Anspruch genommene Rechtsfolge konkretisiert, und den Lebenssachverhalt bestimmt, aus dem der Kläger die begehrte Rechtsfolge herleitet (§ 253 Abs. 2 Nr. 2 ZPO). Zum [X.]sind alle Tatsachen zu rechnen, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten [X.]gehören, den der Kläger zur Stützung seines [X.]dem Gericht vorträgt (vgl. BGH, Urteil vom 22.10.2013 – XI ZR 42/12, Rn 15 – juris).

Die [X.]begehrt mit dem Klageantrag zu 1) eine Entschädigungsleistung, die sich auf behauptete Verstöße gegen die [X.]gründet – vor und nach deren Inkrafttreten - infolge der Veröffentlichung ihrer Daten und des Scraping-Vorfalls, damit auf einem einheitlichen Lebenssachverhalt und einen dadurch näher bestimmten Streitgegenstand (i.E. ebenso OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 51 - juris). Dieser ist dadurch gekennzeichnet, dass die [X.]zum Zeitpunkt des Scrapings auf der von der [X.]betriebenen [X.]Plattform angemeldet war. Maßgeblich ist, ob die [X.]zu diesem Zeitpunkt hinreichende [X.]getroffen hatte, mit denen sie das Abgreifen der Daten hätte verhindern können, und wie sie im Nachhinein mit dem Vorfall umgegangen ist. Miteinander verknüpft sind sämtliche Einzelaspekte dieses Vorgangs durch die Daten, welche die [X.]bei der Registrierung hinterlegt hat. Dies stellt bei natürlicher Betrachtung einen einheitlichen Sachverhalt dar.

1.2.

Der [X.]steht kein Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DS-GVO zu. Die [X.]hat zwar bei der Verarbeitung der Daten gegen die Bestimmungen der [X.]verstoßen (a), jedoch ist der [X.]daraus kein kausaler Schaden entstanden (b).

a)

Die [X.]hat in mehrfacher Hinsicht bei der Datenverarbeitung gegen die [X.]verstoßen. Sie hat gegen das Gebot der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DSGVO verstoßen (aa). Die Handynummer wurde ohne rechtfertigenden Grund nach Art. 6 DSGVO verarbeitet (bb). [X.]kann, ob sie ausreichende technische und organisatorische Maßnahmen nach Art. 24, 32 [X.]ergriffen hat (cc) und ob sie ihrer Benachrichtigungspflicht aus Art. 34, 25 [X.]und ihrer Auskunftspflicht aus Art. 15 DSGVO nachgekommen ist (dd).

Verstöße im Rahmen des [X.]fallen aus dem zeitlichen Anwendungsbereich der [X.]heraus, da die Datenerhebung vor dem 25.05.2018 abgeschlossen war.

Allerdings unterfällt die zeitlich nach dem 25.05.2018 liegende Weiterverarbeitung der Daten den Anforderungen der DSGVO, denn aus Erwägungsgrund 171 Satz 2 [X.]sowie aus Art. 4 Nr. 2 DSGVO und Art. 24 Abs. 1 DSGVO ergibt sich die Pflicht, die Datenverarbeitungen, die zum Zeitpunkt der Anwendung der [X.]bereits begonnen hatten, bis zum 25.05.2018 in Einklang mit der Verordnung zu bringen (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 72 - juris; vgl. auch Generalanwalt [X.]Schlussanträge v. 27.4.2023 - C-340/21, Rn. 43 - juris). Zudem folgt aus Erwägungsgrund 171 Satz 3 DSGVO, dass die [X.]zum 25.05.2018 zur Einholung neuer Einwilligungen verpflichtet gewesen ist, soweit bereits bestehende Einwilligungen nicht den Anforderungen an diese Verordnung entsprachen.

Es ist davon auszugehen, dass das Scraping nach dem 24.05.2018 erfolgte, da die [X.]im Rahmen ihrer sekundären Darlegungslast nicht vorgetragen hat, dass sich der Vorfall vor dem Inkrafttreten der [X.]ereignet hat

aa)

Die [X.]hat gegen Art. 25 Abs. 2 DSGVO verstoßen, denn in dem relevanten Zeitraum war die Standardeinstellung für die Suchbarkeit nach der Telefonnummer auf „alle“ und damit nicht datenschutzfreundlich (data protection by default) auf „nur ich“ eingestellt. Dies hat die [X.]eingeräumt. Nach Art. 25 Abs. 2 DSGVO muss die [X.]geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch die Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Bei der Registrierung soll dem Betroffenen nämlich gewährleistet werden, dass er nur in eine solche Verarbeitung einwilligt, die die Veröffentlichung seiner Daten ohne sein Eingreifen kategorisch ausschließt (vgl. [X.](Breisgau), Urteil vom 15.09.2023 - 8 O 21/23, Rn 122 - juris). Der Betreiber eines [X.]Netzwerks soll damit verpflichtet werden, die [X.]so zu treffen, dass Inhalte der Nutzer nicht standardmäßig mit anderen Nutzern oder [X.]geteilt werden (vgl. [X.]a.a.O.). Als Voreinstellung ist daher der kleinstmögliche Empfängerkreis vorzusehen (vgl. [X.](Breisgau), Urteil vom 15.09.2023 - 8 O 21/23, Rn 122 - juris). Da der Kläger sich bereits vor dem 25.05.2018 registriert hat, hatte die [X.]sicherzustellen, dass die datenschutzunfreundliche Voreinstellung zum 25.05.2018 unter Abkehr des „opt-out“ Systems geändert wird (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 128 - juris). Hierfür ist nichts ersichtlich. Die gewählte Voreinstellung war zur Erfüllung des Vertragszweckes nicht erforderlich, denn der Nutzer konnte auch ohne die Einstellung der Suchbarkeit auf „alle“ nach der Telefonnummer mit anderen in Kontakt treten und sich austauschen. Personen, die bereits über die Telefonnummer eines anderen Nutzers verfügen, können ohne weiteres mit ihm in Kontakt treten und sich auf [X.]vernetzen. Es ist auch nicht ersichtlich, dass für den Geschäftszweck des Netzwerkes, personalisierte online Werbung zu platzieren, eine solche Sucheinstellung erforderlich war, zumal der Nutzer die Einstellung auch auf „nur ich“ setzen und die Plattform gleichwohl nutzenkonnte.

Die Verletzung dieser Regelung hat auch dazu geführt, dass die [X.]es bei der Voreinstellung belassen hat und ihre Telefonnummer von den [X.]ihrem Profil zugeordnet werden konnte.

bb)

Die [X.]hat die Handynummer der [X.]mit der ab dem 25.05.2018 fortgesetzten Verarbeitung in der [X.]ohne ausreichenden Rechtfertigungsgrund gemäß Art. 6 DSGVO verarbeitet. Die weitere Datenverarbeitung ist nur dann rechtmäßig, wenn ab diesem Zeitpunkt mindestens einer der Bedingungen des Art. 6 DSGVO vorliegt. Dies ist nicht der Fall.

(a) Die Verarbeitung war zur Erfüllung des Vertragszweckes nicht erforderlich i.S.d. Art. 6 Abs.1 b) DSGV[X.]Damit eine Verarbeitung personenbezogener Daten als für die Erfüllung eines Vertrags erforderlich im Sinne von Art. 6 Abs.1 b) [X.]angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, dass der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte (vgl. EuGH, Urteil vom 04.07.2023 - [X.]- 252/21, Rn 98 - juris; vgl. [X.]Urteil vom 15.08.2023 - 7 U 19/23, Rn 97 - juris). Dafür ist nichts ersichtlich. Der [X.]Import Tool mag zwar für den Nutzer praktisch sein, aber zur Nutzung der Plattform ist die Funktion nicht notwendig. Der Nutzer kann [X.]auch nutzen, ohne seine Telefonnummer in der [X.]auf „alle“ zu setzen. Die [X.]hat jedenfalls nicht dargetan, dass die Funktion unerlässlich für die Vertragsdurchführung gewesen ist. Die fehlende Erforderlichkeit der Auffindbarkeit über das [X.]Tool ergibt sich schon daraus, dass die Angabe der Telefonnummer bei der Anmeldung bei [X.]nicht zwingend ist und das [X.]im [X.]für den P[X.]und 2019 für den [X.]Dienst ausgeschaltet wurde, ohne dass die Nutzbarkeit der Plattform wesentlich gelitten hätte. Auf die Ausführungen unter aa) wird im Übrigen Bezug genommen.

(b) Die [X.]konnte sich ab dem 25.05.2018 nicht auf eine wirksame Zustimmung der [X.]stützen, Art. 6 Abs.1 a), Art. 5 Abs.1 a), Art. 13 Abs.1 DSGVO, da sie diese über die Zwecke der Verarbeitung der Telefonnummer nicht transparent informiert hat. Die [X.]kann sich insoweit nicht auf die vor dem 25.05.2018 erklärte Einwilligung stützen, denn diese konnte unter der Geltung der [X.]keine rechtfertigende Wirkung mehr entfalten (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 114 - juris). Nach Erwägungsgrund Nr. 171 [X.]musste eine vorab erteilte Einwilligung bereits den Bedingungen der [X.]entsprechen, um fortzugelten. Daran fehlt es. Denn auch die im April 2018 von der [X.]zur Verfügung gestellten Bedingungen genügen den Anforderungen der [X.]nicht (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 114 - juris). Auf eine wirksame Zustimmung beruft sich die [X.]letztendlich nicht, sie liegt auch nicht vor.

Die wirksame Zustimmung setzt die Information des Nutzers nach Art. 5 Abs.1 a) [X.]und Art. 13 Abs. 1 DSGVO voraus. Es ist bei der Einwilligung eine Voraussetzung ihrer Wirksamkeit, dass über die Datenverarbeitungsvorgänge Transparenz hergestellt wird, bevor die betreffende Person die Einwilligung erteilt (vgl. [X.]in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 6 Rn 37; vgl. OLG Hamm, Urteil vom 25.08.2023 - 7 U 19/23, Rn 113 - juris).

Art. 13 Abs. 1 c) [X.]verlangt bei der Erhebung personenbezogener Daten bei der betroffenen Person, dass der Verantwortliche der Person zum Zeitpunkt der Erhebung der Daten die Zwecke mitteilt, für die die personenbezogenen Daten verarbeitet werden sollen. Dabei sind alle Zwecke anzugeben, die die verantwortliche Stelle im Zeitpunkt der Erhebung verfolgt (vgl. LG Freiburg, Urteil vom 15.09.2023 - 8 O 21/23, Rn 88 - juris). Die Informationspflicht aus Art. 13 DSGVO soll die betroffenen Personen von Beginn an in die Lage versetzen, bestimmen und einschätzen zu können, wer was wann über sie weiß (vgl. LG Freiburg, Urteil vom 15.09.2023 - 8 O 21/23, Rn 88 - juris). Nach ihrem Zweck müssen die Informationspflichten (ggf. unmittelbar) vor Beginn der Datenerhebung erfüllt werden. Denn die Informationen sollen der betroffenen Person auch ermöglichen, darüber zu entscheiden, ob sie in die Verarbeitung ihrer Daten einwilligt bzw. ob sie hiergegen Einwände erhebt. Dieser Zweck würde bei einer Information nach Beginn der Datenerhebung verfehlt oder zumindest beeinträchtigt ([X.]a.a.O.).

Aus der von der [X.]vorgelegten Anlage [X.](Wie kann ich festlegen, wer [X.]über meine e-mail Adresse oder Handynummer auf [X.]finden kann) wird nicht hinreichend klar, dass der Nutzer auch ohne seine Telefonnummer in der [X.]auf „öffentlich“ zu stellen über seine Handynummer gefunden werden kann. Vielmehr erweckt der folgende Hinweis den Eindruck, dass der Nutzer nur dann anhand der Telefonnummer gefunden werden kann, wenn er festlegt, wer seine Telefonnummer sehen kann:

„Beachte bitte, dass du separat festlegen kannst, wer deine Telefonnummer und deine E- Mail-Adresse in deinem Profil sehen kann. Wenn du deine Telefonnummer oder deine E-Mail- Adresse in deinem Profil mit jemandem teilst, kann diese Person dich anhand dieser Informationen finden...“

Die von der [X.]vorgelegte Anlage [X.](Wozu verwendet [X.]meine Mobilnummer) enthält keinen Hinweis darauf, dass die [X.]allein anhand der angegebenen Telefonnummer, die nicht „öffentlich“ sichtbar ist, gefunden werden kann. Wörtlich weist die [X.]zur Verwendung der Handynummer auf folgendes hin: „Um dir Personen, die du kennen könntest, vorzuschlagen, damit du dich mit ihnen auf [X.]verbinden kannst.“ Damit ist die Suchbarkeit mittels [X.]nicht ausreichend klar umschrieben. Aus der Datenrichtlinie (B 9) ist dazu ebenfalls nichts zu entnehmen.

Die Registrierungsseite von [X.]weist auf die – verlinkte – Datenrichtlinie hin. Dort wurde der Nutzer jedoch nicht darüber aufgeklärt, dass und wie seine Telefonnummer im Rahmen des Einsatzes des [X.]verwendet wird. Insbesondere wurde ihm nicht verdeutlicht, dass die Telefonnummer ohne Veränderungen der Einstellungen angesichts der Standardvoreinstellung für die Suchbarkeit über die Telefonnummer auf „für alle“ bereits mit deren Angabe genutzt werden kann, um ihn auf [X.]und insbesondere auch über das [X.]zu finden. Dazu hätte dem Nutzer erläutert werden müssen, dass die Verwendung des [X.]der [X.][X.]es anderen Benutzern ermöglicht, mittels Abgleichs von in deren Smartphone gespeicherten [X.]mit der Mobilfunknummer des Nutzers im Falle eines „Treffers“ dessen Benutzerprofil als „Freund“ hinzufügen und auf die entsprechenden Daten zuzugreifen (so [X.](Breisgau); Urteil vom 15.09.2023 - 8 O 21/23, Rn 90 -juris).

cc)

Im Hinblick auf die unter aa) und bb) festgestellten Verstöße der [X.]kann offenbleiben, ob sie zudem gegen ihre Verpflichtung verstoßen hat, ausreichende geeignete technische und organisatorische Maßnahmen zu treffen, um die personenbezogenen Daten gegen unbefugte Zugriffe Dritter zu schützen, Art. 24, 32 DSGV[X.]

dd)

[X.]kann ebenfalls, ob die [X.]ihre Benachrichtigungspflicht aus Art. 34 DSGVO gegenüber der Klagepartei, aus Art. 33 DSGVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DSGVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von [X.]beruhen könnte, ist nicht ersichtlich (vgl. hierzu auch OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 147 - juris). Die [X.]hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der [X.]darauf beruhenden ungebetenen Anrufe sowie [X.]und [X.]können nur auf dem Scraping Vorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein.

Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DSGVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rechtsprechung des [X.]setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der [X.]voraus (vgl. EuGH, Urteil vom [X.]- [X.]- 300/21, Rn 36 - juris; vgl. Moos/Schlefzig in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 82 Rn 22). Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“.

b)

Aus den aufgeführten Verstößen gegen die [X.]ist der [X.]aber kein kausaler immaterieller Schaden gemäß Art. 82 DSGVO entstanden. Ihr obliegt die Darlegungs- und Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und dem Schaden. Dieser Beweis ist nicht erbracht worden.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (so [X.]Urteil vom [X.]- [X.]- 300/21, Rn 36 - juris). Der [X.]stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person (vgl. EuGH, Urteil vom [X.]- [X.]- 300/21, 49, 50 - juris). Allerdings muss der Schaden tatsächlich und sicher entstanden sein (vgl. EuGH, Urteil vom 04.04.2017 - [X.]- 337/15, Rn 91 - juris). Hierbei hat der [X.]in einem behaupteten Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden gesehen (vgl. EuGH, Urteil vom 04.04.2017 - [X.]- 337/15, Rn 95 - juris).

aa)

Durch den Kontrollverlust der Mobiltelefonnummer und deren Veröffentlichung im [X.]ist kein materieller Schaden eingetreten. Dies behauptet die [X.]auch nicht.

bb)

Der Kontrollverlust der Daten und deren Veröffentlichung im [X.]hat im vorliegenden Fall zu keinem immateriellen Schaden im Sinne von Art. 82 DSGVO bei der [X.]geführt.

Soweit die Daten der [X.]ohnehin öffentlich einsehbar sind - wie Vor- und Nachname, Geschlecht und Nutzer ID - liegt schon objektiv kein Kontrollverlust vor. Denn diese Daten sind mit der Registrierung anzugeben und zwingend stets öffentlich und für jedermann weltweit einsehbar. Auch ohne Scraping ist ein Auslesen dieser Daten und deren Verbreitung im [X.]jederzeit möglich. Mit der Registrierung bei der [X.]standen diese stets öffentlichen Daten nicht mehr unter der ausschließlichen Kontrolle der Klagepartei. Sie hat vielmehr bewusst auf die Kontrolle verzichtet. Dem Erfordernis eines konkreten Schadens liefe es zuwider, würde man in Bezug auf diese Daten bereits einen abstrakten "Kontrollverlust" des - im Ergebnis sogar eines jeden - Plattformnutzers ausreichen lassen. Durch das Scraping dieser vom Nutzer freiwillig zur Verfügung gestellten Daten wird der bereits durch die Anmeldung eingetretene Kontrollverlust nach Auffassung des Senats nicht in einer Weise vertieft, dass hieraus ein konkreter immaterieller Schaden abgeleitet werden könnte.

Aber auch der Kontrollverlust der Mobilnummer begründet im vorliegenden Fall für die [X.]keinen Schadensersatzanspruch.

Nach der Rechtsprechung des [X.](Urteil vom 14.12.2023 [X.]- 340/21 - juris) kann der Kontrollverlust grundsätzlich einen immateriellen Schaden begründen. Aus dieser beispielhaften Aufzählung im Erwägungsgrund Nr. 85 der „Schäden“, die den betroffenen Personen entstehen können geht hervor, dass der [X.]unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die [X.]fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 - [X.]- 340/21, Rn 82 - juris). Allerdings muss eine Person, die von einem Verstoß gegen die [X.]betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (vgl. EuGH, a.a.[X.]Rn 84). Wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist aber gleichwohl zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. [X.]a.a.O., Rn 85). An dem Erfordernis eines kausalen Schadens hat der [X.]festgehalten.

Die betroffene Person muss die Tatsachen, die dazu führen können, dass ein „tatsächlich erlittener immaterieller Schaden“ infolge der Verletzung des Schutzes personenbezogener Daten anerkannt werden kann, genau und nicht nur allgemein darlegen, auch wenn er nicht eine im Voraus festgelegte Schwelle von besonderer Schwere erreicht. Entscheidend ist, dass es sich nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und auch vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen personenbezogenen Daten und die Bedeutung, die sie im Leben der betroffenen Person haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen, mit der Datenverletzung verbundenen Beeinträchtigung hat (vgl. Schlussanträge des [X.]vom 27.04.2023 - [X.]340/21, Rn 83 - juris).

Unter Berücksichtigung der Umstände kann aber die Befürchtung der Klagepartei, dass die Daten missbräuchlich verwendet werden, nicht als begründet angesehen werden. Zu den besonderen Umständen gehört die Art des Datums. Wird die Kontrolle über sensible Daten, wie z.B. Gesundheitsdaten, Daten über die sexuelle Orientierung, Daten über rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, Daten über Bankverbindungen, Vermögenswerte, Einkommen, Beruf oder [X.]verloren, liegt eine missbräuchliche Verwendung nicht fern (vgl. Art. 9 Abs. 1 DSGVO). Insbesondere bei Daten, die den persönlichen Lebensbereich betreffen, besteht die Gefahr einer Rufschädigung oder Diskriminierung. Ebenso geht der Verlust der Kontrolle von Daten über Vermögenswerte, Bankverbindungen und [X.]mit dem Risiko eines materiellen Schadens einher.

Im vorliegenden Fall wurde die Kontrolle nur über die Telefonnummer verloren. Mit der Telefonnummer und der durch das Scraping erfolgten Verknüpfung mit einem bestimmten Namen ist lediglich eine Kontaktaufnahme mit der betroffenen Person möglich. Ein Missbrauch drängt sich unter den gegebenen Umständen nicht auf. Die Telefonnummer kann zwar auch missbräuchlich zur Übersendung von [X.]oder betrügerischen Anrufen genutzt werden, jedoch kann ein materieller Schaden erst dann entstehen, wenn bei einer [X.]der [X.]verwendet wird oder die betroffene Person auf den Anruf reagiert, dem betrügerischen Anrufer [X.]gibt oder auf dessen Aufforderung Geld überweist. Die Lästigkeit, die mit den ungebetenen Anrufen von angeblichen Bankmitarbeitern, von automatischen Ansagen sowie mit der Zusendung von angeblichen Sendungsbenachrichtigungen oder anderen [X.]einhergeht, kann aber grundsätzlich schon deshalb nicht als begründete Befürchtung eines Missbrauches der Daten angesehen werde, weil davon Personen, deren Daten nicht gescrapt wurden, in vergleichbarer Weise betroffen sind. Es ist allgemein - und auch den Senatsmitgliedern aus eigener Erfahrung - bekannt, dass Personen, die keine [X.]Netzwerke nutzen, ebenfalls viele [X.]mit angeblichen Sendungsbenachrichtigungen und betrügerische Anrufe auf ihren Mobiltelefonen erhalten. Ein Zusammenhang der gehäuften Kontaktaufnahmen ab dem [X.]mit dem Scraping Ereignis aus dem Jahr 2018, ist nicht nachweisbar. Soweit die [X.]in den Schriftsätzen Sorgen, Unwohlsein und Ängste wegen der Anrufe von unbekannten Nummern oder infolge von [X.]oder [X.]erlitten haben will, hat sie lediglich angegeben, vermehrt [X.](z. B. falsche Sendungsbenachrichtigungen) und Anrufe von unbekannten Nummern erhalten zu haben. Inwiefern eine Verbindung zu dem in den Jahren 2018 und 2019 stattgefundenen [X.]bestehen soll, ist weder dem Vorbringen der [X.]zu entnehmen, noch anderweitig ersichtlich, schon weil gerichtsbekannt - wie bereits ausgeführt - nicht nur [X.]Nutzer, deren Daten gescraped wurden, sondern auch Personen, die überhaupt keine [X.]Medien benutzen, von derartigen Belästigungen betroffen sind. Die Sorge vor einem Missbrauch, der allgemein bei jeder Nutzung eines internetfähigen Mobiltelefons auftreten kann und alle Nutzer in ähnlicher Weise trifft ist aber nach Art. 82 DSGVO nicht ersatzfähig.

cc)

Eine darüber hinausgehende konkrete emotionale Beeinträchtigung der [X.]ist zur Überzeugung des Senates indes nicht eingetreten. Die schriftsätzlich allgemeine gehaltene Behauptung der Klagepartei, sie sei in einen Zustand immanenter Angst des Kontrollverlustes, genügt den o.a. [X.]nicht. Die Ausführungen sind schon nicht auf die konkrete Person der [X.]bezogen, sondern sind allgemein gehalten und werden in einer Vielzahl von Klagen gleichlautend wiederholt. Allgemeine Sorgen, Ängste und Unwohlsein sind alltägliche Empfindungen, die keine begründete Befürchtung rechtfertigen. Erforderlich ist vielmehr der konkrete Nachweis eines realen und sicheren emotionalen Schadens (vgl. Schlussanträge des Generalanwaltes [X.]vom 27.04.2023 - [X.]-340/21, Rn 82, 83, - ju- ris). Da im Allgemeinen jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen kann (vgl. Schlussanträge des Generalanwaltes [X.]von 06.10.2022 - [X.]300/21, Rn 113 - juris) und ein Schadensersatz, der sich aus einem bloßen [X.]wegen der Nichtbeachtung des Rechts durch einen anderen ergibt, einem „Schadensersatz ohne Schaden“ recht nahe kommt, der nicht von Art. 82 erfasst ist (vgl. EuGH, Urteil vom [X.]- [X.]- 300/21, Rn. 36 ff - juris), reicht demgegenüber allein der potenzielle oder hypothetische Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten nicht aus (vgl. Schlussanträge des Generalanwaltes [X.]vom 26.10.2023 - [X.]182/22, Rn. 24 - juris).

Der Kläger hat eine konkrete emotionale Beeinträchtigung nicht glaubhaft gemacht. Er hat angegeben, dass er die Einstellungen, unter denen er zu finden sei, auf „nur für mich“ gesetzt und in der Folgezeit auch nicht verändert habe. Auf Vorhalt des Senates war ihm die [X.]nach seiner Handynummer nicht geläufig, die seit dem 23.04.2015 auf „alle“ gestellt ist (Anlage B 21). Seit ca. 2022 hätten die Spam Vorfälle zugenommen. Er habe vor allem Anrufe erhalten, bei denen ihm [X.]versprochen worden seien. Er habe mit den Anrufern diskutieren müssen, was ihn verunsichert habe. Es seien ca. 2 Anrufe im Monat gewesen. Er habe auch [X.]erhalten, [X.]dagegen nicht. Die [X.]habe er gleich gelöscht. Des Weiteren habe er eine e-mail erhalten, in der ihm mitgeteilt worden war, dass sein e-mail Passwort geknackt worden sei und er Bitcoins zahlen solle, um seine Daten freizuschalten. Seine Daten seien aber nicht blockiert gewesen und er habe daraufhin sämtlich Passwörter geändert. Das [X.]Passwort und das e-mail Passwort seien damals identisch gewesen. Daneben habe er auch andere [X.]erhalten, die aber durch den spam Filter blockiert worden seien. Seine Handynummer habe er nicht geändert. Er nutzte es vorwiegend privat. Die Spam Vorfälle hätten ihn in erhebliche Angstzustände versetzt.

Der [X.]kann diesen Ausführungen des [X.]nicht in vollem Umfang Glauben schenken. Soweit er behauptet, dass auch seine e-mail Adresse vom Scraping betroffen sei, hat er dies nicht schlüssig dargelegt. Beim Scraping luden Unbekannte eine Vielzahl von Ziffernkombinationen hoch, und konnten mittels dem [X.]einem [X.]Profil eine Ziffernkombination und damit Telefonnummer zuordnen. Es ist aus dem Vorbringen des [X.]schon nicht ersichtlich, wie durch das streitgegenständlich Scraping Unbekannte seine e-mail Anschrift ermittelt haben sollen. Der Umstand, dass er für [X.]und sein e-mail Konto dasselbe Passwort verwendet haben will, vermag das nicht nachvollziehbar zu begründen. Denn mit der gescrapten Handynummer konnten Unbekannte einem [X.]Profil - und damit einem Namen - einer Handynummer zuordnen. Der Kläger hat aber auch angegeben, dass er bei der Registrierung auf [X.]die Einstellungen auf „nur für mich“ gesetzt habe, weshalb Unbekannte seine e- mail Adresse auf seinem [X.]Konto nicht sehen konnten. Er räumte in der mündlichen Verhandlung vor dem [X.]auch ein, dass er nicht wisse, ob die Bedrohung in der e- mail auf den Scraping Vorfall zurückzuführen ist. Die vom Klägervertreter in der mündlichen Verhandlung vor dem [X.]geäußerte Vermutung, dass über die Verbindung von E. und [X.]auch die e-mail Adresse vom Scraping Vorfall betroffen sein könnte, liefert keine greifbaren Anhaltspunkte. Es erscheint zwar nachvollziehbar, dass den Kläger die e -mail mit der Aufforderung Bitcoins zu bezahlen, weil sein Passwort geknackt worden sei, in Angstzustände versetzt hat, aber ein Zusammenhang mit dem Scraping Ereignis ist gleichwohl nicht ersichtlich. Die weitergehende Behauptung auch die Spam Anrufe würden den Kläger stark verunsichern, hält der [X.]im [X.]an die persönliche Anhörung nicht für glaubhaft. Seine Ausführungen belegen keinen über die bloße Belästigung hinausgehenden emotionalen Schaden in der konkreten Person des Klägers. Die vom Kläger geschilderte Anzahl der Spam Anrufe von ca. zwei im Monat und [X.]von ca. fünf im Jahr ist im Vergleich zu den dem [X.]aus anderen Scraping Verfahren bekannten Spam Anrufen und Nachrichten sehr gering. Trotz der geschilderten Verunsicherung und Sorgen hat der Kläger den Vorfall auch nicht zum Anlass genommen, seine Handynummer zu ändern. Dies bedeutet, dass die Belästigungen nicht ein Ausmaß erreicht haben, das den Kläger zu einer Reaktion veranlasst hätte, um einem etwaig befürchteten Missbrauch vorzubeugen. Hat die betroffene Person aber schon keinen Anlass gesehen, ihre Handynummer zu ändern, lässt dies regelmäßig den Rückschluss zu, dass sie selbst ihre Befürchtung nicht als hinreichend konkret ansieht.

2.

Der [X.]steht kein Anspruch auf Feststellung der Verpflichtung der Beklagten, alle künftigen (materiellen) Schäden zu erstatten, zu. Der Antrag ist bereits unzulässig, weil ihm das Rechtsschutzbedürfnis fehlt, § 256 ZPO.

Grundsätzlich hängt die Zulässigkeit einer Feststellungsklage bei reinen Vermögensschäden von der Wahrscheinlichkeit eines auf die Verletzung zurückzuführenden Schadenseintrittes ab (vgl. BGH, Urteil vom 10.07.2014 - IX ZR 197/12, Rn. 11 - juris). Ausreichend ist, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann (BGH, a.a.O.). Bei der Verletzung eines absoluten Rechtes genügt aber die ausreichende Möglichkeit des Eintrittes eines Schadens (vgl. BGH, Urteil vom 29.06.2021 - VI ZR 52/18, Rn. 30 - juris). Die Möglichkeit materieller Schäden reicht hier für die Annahme eines Feststellungsinteresses mithin aus (so BGH, Urteil vom 29.06.2021 - VI ZR 52/18, Rn. 30 - juris). Ein Feststellungsinteresse ist nur dann zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines derartigen Schadens wenigstens zu rechnen (vgl. BGH, Beschluss vom 09.01.2007 - VI ZR 133/06, Rn. 5 - ju- ris). Dies ist der Fall. Vorliegend ist auch vier Jahre nach dem Vorfall kein Schaden eingetreten. Die [X.]macht zwar geltend, dass gleichwohl in der Zukunft aufgrund der Veröffentlichung ihrer Telefonnummer eine erhebliche Belästigung durch betrügerische Anrufe möglich sei, weil es nicht selten passiere, dass sich Anrufer als Bankmitarbeiter ausgäben, um an sensible Kontaktdaten der angerufenen Person zu gelangen. Es bestehe daher weiter die Gefahr der missbräuchlichen Nutzung der entwendeten Daten. Diese Auffassung teilt der [X.]schon deshalb nicht, weil die Wahrscheinlichkeit eines Schadenseintritts mit zunehmender Distanz zum [X.]abnimmt und sich der Kausalzusammenhang dadurch immer schwerer beweisen lässt. Dies gilt hier auch deshalb, weil die [X.]ihre Handy-Nummer im [X.]auch bei anderen Gelegenheiten, z. B. bei [X.]und bei der Bank verwendet. Im Hinblick darauf, dass vier Jahre nach dem [X.]und dem unbefugten Zugriff Dritter auf die Daten ein kausaler materieller Schaden nicht entstanden ist und auch keine konkreten Anhaltspunkte dafür bestehen, dass der [X.]eine Gefährdung ihres Vermögens drohen könnte, kann nach alledem davon ausgegangen werden, dass mit dem Eintritt eines materiellen Schadens nicht mehr zu rechnen ist (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn. 215 - juris).

Die Auffassung des [X.](Urteil vom [X.]– 4 U 20/23 - Rn 233 ff. - juris), das Feststellungsinteresse sei infolge des Kontrollverlusts über die Daten gegeben, teilt der [X.]nicht. Dem Vortrag der [X.]lassen sich keine Anhaltspunkte dafür entnehmen, dass im Hinblick auf die konkret betroffenen Daten und sein Verhalten noch ein materieller Schaden drohen könnte (vergleiche auch OLG Hamm, Urteil vom 15 2823 – 7 U 19/23 – juris, Rn. 214 ff., so auch OLG Köln, Urteil vom 07.12.2023 - 15 U 33/23 -juris).

3.

a)

Die [X.]hat keinen Anspruch auf Unterlassung gemäß Ziffer 4 a) ihres Antrages erster Instanz (Ziffer 1 a im Berufungsverfahren). Der Antrag ist zu unbestimmt und daher unzulässig.

Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des [X.]nicht durch vermeidbare Ungenauigkeit auf den [X.]abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem Unterlassungsantrag regelmäßig der Fall, wenn die konkret angegriffene Verletzungsform antragsgegenständlich ist (vgl. BGH; Urteil vom 09.03.2021 - VI ZR 73/20, Rn 15 - juris).

Der Antrag Ziffer 4 a) (Antrag Ziffer 1 a im Berufungsverfahren) hat indes keinen vollstreckungsfähigen Inhalt. Die Begriffe „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen“ und „unbefugte Dritte“ sind zu unbestimmt und nicht vollstreckbar. Der Formulierung lässt sich nicht entnehmen, welche konkreten Maßnahmen die [X.]ergreifen soll (vgl. LG Köln, Urteil vom 24.05.2023, Rn 46 - juris). Sie beschränkt sich nicht auf die Wiedergabe des gesetzlichen Verbotstatbestandes Art. 32 Abs. 1 DSGVO, sondern greift aus den dort genannten, zur Gewährleistung eines angemessenen Schutzniveaus zu berücksichtigenden Umständen (Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen) isoliert den Stand der Technik heraus. Es ist aus dem Antrag bei dieser Fassung nicht hinreichend ersichtlich, welche Maßnahmen konkret gefordert werden. Ohne eine solche Konkretisierung ist für die [X.]aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde (vgl. LG Lübeck, Urteil vom 25.05.2023 - 15 O 74/22, Rn 59 - juris). Darüber hinaus wäre für das Vollstreckungsgericht - auch und insbesondere angesichts des unbestimmten Standes der Technik - nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der [X.]veranlasst werden müssten (vgl. [X.]a.a.O.). Schließlich steht zwischen den Parteien im Streit, welche Maßnahmen dem Stand der Technik entsprechen. Die auslegungsbedürftige [X.]lässt sich auch nicht durch Auslegung unter Heranziehung des Vortrags der [X.]eindeutig präzisieren. Des Weiteren ist im Hinblick darauf, dass die Plattform darauf angelegt ist, andere Personen zu finden und Kontakte herzustellen, auch nicht klar, wer „unbefugter Dritter“ sein soll. Eine Zwangsvollstreckung wäre nicht möglich.

Darüber hinaus ist der Antrag Ziffer 4 a mit der geforderten Androhung nach § 890 Abs. 2 ZPO unzulässig. Die Titulierung einer Unterlassungsverpflichtung kann - auch unter Berücksichtigung der Grundsätze der Effektivität und Äquivalenz - eine gleichfalls nach § 890 ZPO vollstreckbare Verpflichtung zur Handlung nur beinhalten, wenn der Schuldner der Pflicht zur Unterlassung ausschließlich genügen kann, indem er die hierfür erforderliche positive Handlung vornimmt. Ob ein Titel [X.]auferlegt oder Unterlassung fordert, ist im Wege der Auslegung mit Blick auf den Schwerpunkt der jeweils in Rede stehenden Verpflichtung zu beurteilen (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 221 - juris).

Vorliegend fordert die [X.]mit dem Antrag Ziffer 4 a im Schwerpunkt ein aktives Tun, das nicht nach § 890 ZPO, sondern als vertretbare Handlung nach § 887 ZPO zu vollstrecken ist - nämlich zukünftig [X.]nur im Einklang mit den einzuhaltenden Sicherheitsvorkehrungen herzustellen, um Zugriffe unbefugter Dritter nach Möglichkeit von vornherein zu verhindern - so wie es die [X.]verlangt (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 222 - juris). Die [X.]will gar kein Unterlassen der Nutzung der Kontaktimportfunktion, was sie durch eine schlichte Umstellung der [X.]hätte erreichen können, sondern sie will, dass sie die bzw. zukünftig irgendeine andere Kontaktimportfunktion unter Wahrung der Sicherheitsanforderungen nutzen kann (vgl. [X.]

a.a.O.).

b)

Der unter Ziff. 4 b) geltend gemachte Antrag, es zu unterlassen, die Telefonnummer der [X.]unter den dort genannten Einschränkungen weiterzuverarbeiten, ist unzulässig. Zum einen ist nach der Formulierung unklar, ob es sich hierbei überhaupt um einen Unterlassungs-, oder nicht vielmehr um einen Antrag auf zukünftige Leistung handelt, ohne dass die Voraussetzungen des § 259 ZPO vorlägen. Es fehlt aber insbesondere an einem Rechtsschutzbedürfnis (vgl. Senat, Urteil vom 05.12.2023 - 4 U 1094/23 - juris). Der Antrag ist darauf gestützt, der [X.]die Weiterverarbeitung auf der Grundlage einer für unwirksam erachteten Einwilligung zu untersagen. Diesem Begehren kann aber mit einem Widerruf dieser Einwilligung nach Art. 7 Abs. 3 DSGVO jederzeit Rechnung getragen werden, ohne dass hierfür ein Unterlassungsanspruch geltend gemacht werden müsste. Angesichts des Umstandes, dass der Unterlassungsanspruch insoweit auch ausdrücklich mit der möglichen Verwendung der Telefonnummer über das [X.]begründet wird, dieses Tool aber unstreitig spätestens seit Oktober 2019 nicht mehr besteht, ist jedenfalls ein Rechtsschutzbedürfnis für einen in die Zukunft gerichteten Unterlassungsantrag nicht mehr zu erkennen (vgl. Senat, Urteil vom 05.12.2023 - 4 U 1094/23 - juris). Eine Wiederholungsgefahr wäre jedenfalls zu verneinen. Die Verletzung einer Unterlassungsverpflichtung begründet die Vermutung der Wiederholungsgefahr nicht nur für identische Verletzungsformen, sondern auch für andere Vertragspflichtverletzungen, soweit die Verletzungshandlungen im [X.]gleichartig sind (BGH, Urteil vom 29.07.2021 – III ZR 192/20 –, Rn. 115 - 116,- juris; vgl. Senat, Urteil vom 05.12.2023 - 4 U 1094/23 - juris). An die Entkräftung dieser Vermutung sind strenge Anforderungen zu stellen. Sie ist ausnahmsweise dann als widerlegt anzusehen, wenn der Eingriff durch eine einmalige Sondersituation veranlasst war (BGH, Urteil vom 27.04.2021 – VI ZR 166/19 –, Rn. 23, -juris; Senat, Beschluss vom 4.10.2021 – 4 W 625/21 –, Rn. 5, - juris). Eine solche Sondersituation ist vorliegend allerdings mit Blick auf die Deaktivierung des [X.]und dessen Ersatz durch die [X.](social-connection-check) Funktion gegeben. Eine solche aufwändige Umprogrammierung der Suchfunktion eines Unternehmens mit weit über einer Milliarde Nutzern erfordert einen derartigen Aufwand, dass nicht davon auszugehen ist, dass diese Umprogrammierung alsbald wieder rückgängig gemacht und die hiervon ausgehende Gefahr erneut in Kauf genommen würde (vgl. Senat, Urteil vom 05.12.2023 - 4 U 1094/23 - juris). Dass sich der hier festgestellte Schadenshergang wiederholt, könnte der Nutzer überdies selbst in diesem Fall durch eine einfache Änderung der Voreinstellungen bewirken. Stellt er die Einstellungen von „alle“ auf „nur ich“ zurück, und würden seine Daten dann (erneut) gescraped, so wäre das indes ein anderer Schadenshergang.

4.

Der [X.]steht kein Anspruch auf [X.]nach Art. 15 DSGVO zu, denn der Anspruch ist durch das Schreiben der [X.]erfüllt worden, § 362 BGB.

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet; ist dies der Fall, so hat sie ein Recht auf [X.]über diese personenbezogenen Daten und bestimmte weitere Informationen. Gemäß Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung (vgl. [X.]im Urteil vom 15.08.2023 - 7 U 19/23, Rn 244 ff. - juris). Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die [X.]im geschuldeten Gesamtumfang darstellen. Wird die [X.]in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte [X.]unvollständig oder unrichtig ist, kann einen Anspruch auf [X.]in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die [X.]vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte [X.]erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von [X.]nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur [X.]verpflichtet. Dann kann der Auskunfts- berechtigte eine Ergänzung der [X.]verlangen (vgl. [X.]Urt. v. 15.6.2021 - VI ZR 576/19, - juris).

Das zur Akte gereichte anwaltliche Antwortschreiben der [X.]vom 17.10.2023 (Anlage B 20) enthält eine Beschreibung des Scrapings, die Mitteilung, dass die [X.]keine Kopie der Rohdaten hält, welche abgerufen worden waren und eine Auflistung der Datenpunkte, die gescraped wurden. Des Weiteren enthält das Schreiben eine Erläuterung des Datenabrufs über die immer öffentlichen Daten, das C.-Profil und die Kontaktimportfunktion, die zeitliche Angabe "im Zeitraum bis September 2019" und den Hinweis auf das Handeln möglicherweise mehrerer Scraper. Die [X.]hat einen Link übersandt, auf der über den individuellen Nutzer gespeicherte Daten eingesehen werden können. Es ist nicht zu beanstanden, dass die [X.]auf ein Selbstbedienungstool verweist, denn die [X.]hat dargelegt, keine Kopie der Rohdaten ihrer Nutzer zu halten und die [X.]kann nur durch einen passwortgeschützten Prozess auf ihre Daten zugreifen. Damit hat die [X.]zu erkennen gegeben, dass sie vollständig [X.]erteilt hat.

Soweit die [X.]weitergehend [X.]darüber verlangt, welche Daten durch welche Empfänger bei der [X.]durch Scraping oder durch Anwendung des [X.]erlangt werden konnten, steht ihrem Anspruch § 275 Abs. 1 BGB entgegen. Insofern weist die [X.]darauf hin, dass ihr die Identitäten der [X.]nicht bekannt seien, weswegen ihr eine Auskunftserteilung unmöglich ist. Es ist nicht ersichtlich und die [X.]trägt auch nicht vor, woher der [X.]die Identität der [X.]bekannt sein soll.

5.

Der [X.]steht auch kein Anspruch auf Zahlung von immateriellen Schadensersatz wegen Verletzung der Auskunftspflicht zu. Ein Anspruch besteht schon deshalb nicht, weil die Auskunftspflicht - wie bereits ausgeführt - nicht verletzt wurde. Im Übrigen ist nicht ersichtlich welcher Schaden der [X.]aus einer möglichen Verletzung der Auskunftspflicht erwachsen könnte.

1.

Eine Aussetzung des Verfahrens entsprechend § 148 ZPO war im Hinblick auf den Beschluss des [X.]vom 26.09.2023 (VI ZR 97/22) nicht veranlasst. Soweit im vorliegenden Verfahren Sorgen, Unwohlsein und Ängste wegen der Anrufe von Unbekannten sowie der [X.]und [X.]als Schaden im Sinne von Art. 82 DSGVO geltend gemacht werden, sind diese nicht festzustellen und es fehlt hier - wie bereits ausgeführt - an einem Kausalzusammenhang zwischen dem Scraping und den geschilderten Ereignissen. Der hier auf das [X.]kausal zurückzuführende Verlust der Kontrolle über die Daten, ist nicht Gegenstand der Vorlage des Bundesgerichtshofes. Eine Vorlage an den [X.]ist auch im Übrigen nicht veranlasst. Schließlich entscheidet der [X.]nicht als letztinstanzliches Gericht und ist zur Vorlage daher nicht verpflichtet.

2.

Die Entscheidung über die Kosten folgt aus § 91 Abs.1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 ZPO.

3.

Die Revision war gemäß § 543 Abs.2 Nr. 2 ZPO zur Sicherung einer einheitlichen Rechtsprechung zuzulassen. Es sind Tausende von Parallelverfahren in [X.]anhängig. Soweit die Zulässigkeit der Feststellungsklage betroffen ist, weicht der [X.]zudem von der Rechtsprechung des [X.](Urteil vom [X.]- 4 U 20/23, Rn 238 - juris) ab.

4.

Die Streitwertfestsetzung beruht auf § 3 ZPO. Zur Begründung wird auf die Beschlüsse des Senates vom 31.07.2023 (4 W 396/23 und 4 W 388/23 - beides juris) Bezug genommen.