OLG Dresden, Urteil vom 10.12.2024, Az. 4 U 808/24

4. Zivilsenat | REWIS RS 2024, 10881

SCHADENSERSATZ DSGVO ART. 82 DSGVO SCRAPING

Tags hinzufügen

Sie können dem Inhalt selbst Schlagworten zuordnen. Geben Sie hierfür jeweils ein Schlagwort ein und drücken danach auf sichern, bevor Sie ggf. ein neues Schlagwort eingeben.

Beispiele: "Befangenheit", "Revision", "Ablehnung eines Richters"

QR-Code

Gegenstand

Scraping-Vorfall begründet Schadensersatzanspruch i.H.v. 100 Euro wg. Kontrollverlusts - Berufung im Übrigen weitestgehend unbegründet.


Leitsatz

1. Der bloße Verlust der Kontrolle über die eigenen Daten infolge eines Datenschutzverstoßes kann auch dann einen immateriellen Schaden darstellen, wenn die begründete Befürchtung einer missbräuchlichen Verwendung dieser Daten nicht nachgewiesen ist (Anschluss an BGH, Urteil vom 18.11.2024; Aufgabe Senat, Urteil vom 05.12.2023, 4 U 709/23).
2. Die Vermutung der Wiederholungsgefahr für einen Unterlassungsanspruch gegen einen Datenschutzverstoß im Zusammenhang mit einem Scraping-Vorfall ist entkräftet, wenn die dafür verantwortliche Sicherheitslücke geschlossen und davon auszugehen ist, dass ein hierauf gestütztes Abfischen von Daten nicht mehr möglich ist.
3. Ein Unterlassungsanspruch, der eine Verpflichtung des Verletzers an die Einhaltung der „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ knüpft und ihm die Weitergabe an „unbefugte Dritte“ untersagt, ist nicht hinreichend bestimmt.

Tenor

I. Auf die Berufung der Klägerin wird das Urteil des [X.]vom 7.5.2024 abgeändert und die Beklagte unter Abweisung der Klage im Übrigen verurteilt,

1. an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Handynummer der Klägerseite einen im- materiellen Schadensersatz, in Höhe von 100 €, nebst Zinsen in Höhe von 5 %-Punkten über dem jeweiligen Basiszinssatz der [X.]seit Rechtshängigkeit zu zahlen.

2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der [X.]erfolgte, entstanden sind und/oder noch entstehen wer- den.

3. Die Beklagte wird verurteilt, die Klägerseite von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 159, 94 € nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der [X.]ab Rechtshängigkeit freizustellen.

[X.]Die weitergehende Berufung der Klägerin wird zurückgewiesen.

I[X.]Die Kosten des Rechtsstreits tragen die Klägerin zu 93 %, die Beklagte zu 7%

IV. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils beizutrei- benden Betrages vorläufig vollstreckbar.

V. Die Revision wird nicht zugelassen.

Beschluss:

Der Streitwert wird auf 8500,- [X.]festgesetzt.

Gründe

(Von der Aufnahme des Tatbestandes wird gem. §§ 540, 313a ZPO abgesehen).

Die zulässige Berufung der [X.]ist nur zu einem geringen Teil begründet.

A

Die internationale Zuständigkeit [X.]Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn die [X.]hat ihren gewöhnlichen Aufenthalt in Deutschland.

Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25.05.2018 in [X.]getretenen Datenschutzgrundverordnung ist eröffnet.

B

I

Der [X.]steht ein Anspruch auf Ersatz ei[X.]immateriellen Schadens aus Art. 82 DS-GVO lediglich in Höhe von 100,- € wegen des bei ihr eingetretenen Kontrollverlusts zu. Für einen den mit der Klage geltend gemachten Anspruch in Höhe von 3000,- € fehlt es hingegen an einem weitergehenden immateriellen Schaden

1.1 [X.]ist hinreichend bestimmt gemäß § 253 ZPO. Dem steht nicht entgegen, dass der geltend gemachte Schadensersatzanspruch auf mehrere behauptete Verstöße gestützt wird. Entgegen der Ansicht der [X.]liegt keine Häufung unzulässiger alternativer Klagegründe bzw. Streitgegenstände vor. Der Streitgegenstand wird durch den Klageantrag, in dem sich die vom Kläger in Anspruch genommene Rechtsfolge konkretisiert, und den Lebenssachverhalt bestimmt, aus dem der Kläger die begehrte Rechtsfolge herleitet (§ 253 Abs. 2 Nr. 2 ZPO). Zum [X.]sind alle Tatsachen zu rechnen, die bei einer natürli- chen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten [X.]gehören, den der Kläger zur Stützung sei[X.][X.]dem Gericht vorträgt (vgl. BGH, Urteil vom 22.10.2013 – XI ZR 42/12, Rn 15 – juris). Die [X.]begehrt mit dem Klagean- trag zu 1) eine Entschädigungsleistung, die sich auf behauptete Verstöße gegen die [X.]gründet infolge der Veröffentlichung ihrer Daten und des Scraping-Vorfalls, damit auf einem einheitlichen Lebenssachverhalt und einen dadurch näher bestimmten Streitgegenstand (so ausdrücklich BGH, Urteil vom 18.11.2024 – VI ZR 10/24 – juris).

1.2. Der [X.]steht lediglich in der aus dem Tenor ersichtlichen Höhe ein Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO zu. Die [X.]hat bei der Verarbeitung der Daten gegen die Bestimmungen der [X.]verstoßen (a), hieraus ist der [X.]auch kausal ein Kontrollverlust erwachsen (b). Eine Einwilligung in die Verwendbarkeit der Telefonnummer der [X.]im Rahmen der Suchfunktion ist nicht erfolgt (c). Für einen immateriellen Schaden infolge von psychischen Beeinträchtigungen ist die [X.]beweisfällig geblieben (d)

a) Die [X.]hat in mehrfacher Hinsicht bei der Datenverarbeitung gegen die [X.]verstoßen. Sie hat gegen das Gebot der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DSGVO verstoßen (aa). Die Handynummer wurde ohne rechtfertigenden Grund nach Art. 6 DSGVO verarbeitet (bb). [X.]kann, ob sie ausreichende technische und organisatorische Maßnahmen nach Art. 24, 32 [X.]ergriffen hat (cc) und ob sie ihrer Benachrichtigungspflicht aus Art. 34, 25 [X.]und ihrer Auskunftspflicht aus Art. 15 DSGVO nachgekommen ist ([X.]im Rahmen des [X.]– der hier im Jahr 2016 erfolgte - fallen aus dem zeitlichen Anwendungsbereich der [X.]heraus, da die Datenerhebung vor dem 25.05.2018 abgeschlossen war. Allerdings unterfällt die zeitlich nach dem 25.05.2018 liegende Weiterverarbeitung der Daten den Anforderungen der DSGVO, denn aus Erwägungsgrund 171 Satz 2 [X.]sowie aus Art. 4 Nr. 2 DSGVO und Art. 24 Abs. 1 DSGVO ergibt sich die Pflicht, die Datenverarbeitungen, die zum Zeitpunkt der Anwendung der [X.]GVO bereits begonnen hatten, bis zum 25.05.2018 in Einklang mit der Verordnung zu bringen (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 72 - juris; vgl. auch Generalanwalt [X.]Schlussanträge v. 27.4.2023 - C-340/21, Rn. 43 - juris). Zu- dem folgt aus Erwägungsgrund 171 Satz 3 DSGVO, dass die [X.]zum

25.05.2018 zur Einholung neuer Einwilligungen verpflichtet gewesen ist, soweit bereits bestehende Einwilligungen nicht den Anforderungen an diese Verordnung entsprachen. Es ist davon auszugehen, dass das Scraping nach dem 24.05.2018 erfolgte, da die [X.]im Rahmen ihrer sekundären Darlegungslast nicht vorgetragen hat, dass sich der Vorfall vor dem Inkrafttreten der [X.]ereignet hat.

aa) Die [X.]hat gegen Art. 25 Abs. 2 DSGVO verstoßen, denn in dem relevanten Zeitraum war die Standardeinstellung für die Suchbarkeit nach der Telefonnummer auf „alle“ und damit nicht datenschutzfreundlich (data protection by default) auf „nur ich“ eingestellt. Dies hat die [X.]eingeräumt.

Nach Art. 25 Abs. 2 DSGVO muss die [X.]geeignete technische und organisatorische Maßnahmen treffen, die sicher- stellen, dass durch die Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbe- stimmten Zahl von natürlichen Personen zugänglich gemacht werden. Bei der Registrierung soll dem Betroffenen nämlich gewährleistet werden, dass er nur in eine solche Verarbeitung einwilligt, die die Veröffentlichung seiner Daten ohne sein Eingreifen kategorisch ausschließt (vgl. [X.](Breisgau), Urteil vom 15.09.2023 - 8 O 21/23, Rn 122 - juris). Der Betreiber ei[X.][X.]Netzwerks soll damit verpflichtet werden, die [X.]so zu treffen, dass Inhalte der Nutzer nicht standardmäßig mit anderen Nutzern oder [X.]geteilt werden (vgl. [X.]a.a.O.). Als Voreinstellung ist daher der kleinstmögliche Empfängerkreis vorzusehen (vgl. [X.](Breisgau), Urteil vom 15.09.2023 - 8 O 21/23, Rn 122 - juris). Da die [X.]sich bereits vor dem 25.05.2018 registriert hat, hatte die [X.]sicherzustellen, dass die datenschutzunfreundliche Voreinstellung zum 25.05.2018 unter Abkehr des „opt-out“ Systems geändert wird (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 128 - juris). Hierfür ist nichts ersichtlich. Die gewählte Voreinstellung war zur Erfüllung des Vertragszweckes nicht erforderlich, denn der Nutzer konnte auch ohne die Einstellung der Suchbarkeit auf „alle“ nach der Telefonnummer mit anderen in Kontakt treten und sich austauschen. Personen, die bereits über die Telefonnummer ei[X.]anderen Nutzers verfügen, können ohne weiteres mit ihm in Kontakt treten und sich auf f. vernetzen. Es ist auch nicht ersichtlich, dass für den Geschäftszweck des Netzwerkes, personalisierte online Werbung zu platzieren, eine solche Sucheinstellung erforderlich war, zumal der Nutzer die Einstellung auch auf „nur ich“ setzen und die Plattform gleichwohl nutzen konnte. Hiernach bedarf es keiner Entscheidung, ob ein Ver- stoß gegen die [X.]im Sinne des Art. 82 Abs. 1 DSGVO nicht nur die unrechtmäßige Verarbeitung von personenbezogenen Daten erfasst, wie es Art. 82 Abs. 2 Satz 1 und [X.]146 Satz 1 [X.]nahelegen (vgl. auch EuGH, Ur- teil vom 4. Mai 2023 - [X.]300/21, VersR 2023, 920 Rn. 36 - Österreichische Post: "Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der [X.]GVO"), oder ob grundsätzlich auch bloße Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb ei[X.]konkreten Verarbeitungsvorgangs haftungsbegründend sein können (zum Streitstand siehe Paal, [X.]2023, 325, 334 ff.; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris Rn. 381 ff.). Denn angesichts des umfas- senden Verarbeitungsbegriffs des Art. 4 Nr. 2 DSGVO (jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung) wäre auch bei einem engeren Verständnis des Art. 82 Abs. 1 DSGVO in Bezug auf den hier inmitten stehenden [X.]ohne Weiteres von einer Datenverarbeitung der [X.]in Form der Speicherung, des Abfragens, der Offenlegung durch Übermittlung, der Bereitstellung und Verknüpfung auszugehen (BGH, Urteil vom 18.11.2024 – VI ZR 10/24).

Die Verletzung dieser Regelung hat auch dazu geführt, dass die [X.]es bei der Voreinstellung belassen hat und ihre Telefonnummer von den [X.]ihrem Profil zugeordnet werden konnte.

bb) Die [X.]hat die Handynummer der [X.]mit der ab dem 25.05.2018 fortgesetzten Verarbeitung in der [X.]ohne ausreichenden Rechtfertigungsgrund gemäß Art. 6 DSGVO verarbeitet. Die weitere Datenverarbeitung ist nur dann rechtmäßig, wenn ab diesem Zeitpunkt mindestens einer der Bedingungen des Art. 6 DSGVO vorliegt. Dies ist nicht der Fall.

(a) Die Verarbeitung war zur Erfüllung des Vertragszweckes nicht erforderlich i.S.d. Art. 6 Abs.1 b) DSGV[X.]Damit eine Verarbeitung personenbezogener Daten als für die Erfüllung ei[X.]Vertrags erforderlich im Sinne von Art. 6 Abs.1 b) [X.]angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, dass der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte (vgl. EuGH, Urteil vom 04.07.2023 - [X.]- 252/21, Rn 98 - juris; vgl. [X.]Urteil vom 15.08.2023 - 7 U 19/23, Rn 97 - juris). Dafür ist nichts ersichtlich. Das [X.]Import Tool (CIT) mag zwar für den Nutzer praktisch sein, aber zur Nutzung der Plattform ist die Funktion nicht notwendig. Der Nutzer kann f. auch nutzen, ohne seine Telefonnummer in der [X.]auf „alle“ zu setzen. Die [X.]hat jedenfalls nicht dargetan, dass die Funktion unerlässlich für die Vertragsdurchführung gewesen ist. Die fehlende Erforderlichkeit der Auffindbarkeit über das [X.]Tool ergibt sich schon daraus, dass die Angabe der Telefonnummer bei der Anmeldung bei [X.]nicht zwingend ist und das [X.]im Jahr 2018 für den P[X.]und 2019 für den [X.]ausgeschaltet wurde, ohne dass die Nutzbarkeit der Plattform wesentlich gelitten hät- te. Auf die Ausführungen unter aa) wird im Übrigen Bezug genommen.

(b) Die [X.]konnte sich ab dem 25.05.2018 nicht auf eine wirksame Zustimmung der [X.]stützen, Art. 6 Abs.1 a), Art. 5 Abs.1 a), Art. 13 Abs.1 DSGVO, da sie diese über die Zwecke der Verarbeitung der Telefonnummer nicht transparent infor- miert hat. Die [X.]kann sich insoweit nicht auf die vor dem 25.05.2018 erklärte Einwilligung stützen, denn diese konnte unter der Geltung der [X.]keine rechtfertigende Wirkung mehr entfalten (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 114 - juris). Nach Erwägungsgrund Nr. 171 [X.]musste eine vorab erteilte Einwilligung bereits den Bedingungen der [X.]entsprechen, um fortzugelten. Daran fehlt es. Denn auch die im April 2018 von der [X.]zur Verfügung gestellten Bedingungen genügen den Anforderungen der [X.]nicht (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 114 - juris). Auf eine wirksame Zustimmung beruft sich die [X.]letztendlich nicht, sie liegt auch nicht vor. Die wirksame Zustimmung setzt die Information des Nutzers nach Art. 5 Abs.1 a) [X.]und Art. 13 Abs. 1 DSGVO voraus. Es ist bei der Einwilligung eine Voraussetzung ihrer Wirksamkeit, dass über die Datenverarbeitungsvorgänge Transparenz hergestellt wird, bevor die betreffende Per- son die Einwilligung erteilt (vgl. [X.]in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 6 Rn 37; vgl. OLG Hamm, Urteil vom 25.08.2023 - 7 U 19/23, Rn 113 - juris). Diese liegt – wie der [X.]bereits mehrfach entschieden hat – nicht vor. Art. 13 Abs. 1 c) [X.]verlangt bei der Erhebung personenbezogener Daten bei der betroffenen Person, dass der Verantwortliche der Person zum Zeitpunkt der Erhebung der Daten die Zwecke mitteilt, für die die personenbezogenen Daten verarbeitet werden sollen. Dabei sind alle Zwecke anzugeben, die die verantwortliche Stelle im Zeitpunkt der Erhebung verfolgt (vgl. LG Freiburg, Urteil vom 15.09.2023 - 8 O 21/23, Rn 88 - juris). Die Informationspflicht aus Art. 13 DSGVO soll die betroffenen Personen von Be- ginn an in die Lage versetzen, bestimmen und einschätzen zu können, wer was wann über sie weiß (vgl. LG Freiburg, Urteil vom 15.09.2023 - 8 O 21/23, Rn 88 - juris). Nach ihrem Zweck müssen die Informationspflichten (ggf. unmittelbar) vor Beginn der Datenerhebung erfüllt werden. Denn die Informationen sollen der betroffenen Person auch ermöglichen, darüber zu entscheiden, ob sie in die Verarbeitung ihrer Daten einwilligt bzw. ob sie hiergegen Einwände erhebt. Dieser Zweck würde bei einer Information nach Beginn der Datenerhebung verfehlt oder zumindest beeinträchtigt ([X.]a.a.O.). Aus der von der [X.]vorgelegten Anlage [X.]5 (Wie kann ich festlegen, wer [X.]über meine E-Mail Adresse oder Handynummer auf [X.]finden kann?) wird nicht hinreichend klar, dass der Nutzer, auch ohne seine Telefonnummer in der [X.]auf „öffentlich“ zu stellen, über seine Handynummer gefunden werden kann. Vielmehr erweckt der folgende Hinweis den Eindruck, dass der Nutzer nur dann anhand der Telefonnummer gefunden werden kann, wenn er festlegt, wer seine Telefonnummer sehen kann:

„Beachte bitte, dass du separat festlegen kannst, wer deine Telefonnummer und deine E-Mail-Adresse in deinem Profil sehen kann. Wenn du deine Telefonnummer oder deine E-Mail-Adresse in deinem Profil mit jemandem teilst, kann diese Person dich anhand dieser Informationen finden..."

Die von der [X.]vorgelegte Anlage [X.]6 (Wozu verwendet [X.]meine Mobil- nummer?) enthält keinen Hinweis darauf, dass die [X.]allein anhand der angegebenen Telefonnummer, die nicht „öffentlich“ sichtbar ist, gefunden werden kann. Wörtlich weist die [X.]zur Verwendung der Handynummer auf folgendes hin: „Um dir Personen, die du kennen könntest, vorzuschlagen, damit du dich mit ihnen auf [X.]verbinden kannst.“ Damit ist die Suchbarkeit mittels [X.]nicht ausreichend klar umschrieben. Aus der Datenrichtlinie ([X.]9) ist dazu ebenfalls nichts zu entnehmen. Die Registrierungsseite von [X.]weist auf die – verlinkte – Datenrichtlinie hin. Dort wurde der Nutzer jedoch nicht darüber aufgeklärt, dass und wie seine Telefonnummer im Rahmen des Einsatzes des [X.]verwendet wird. Insbesondere wurde ihm nicht verdeutlicht, dass die Telefonnummer ohne Veränderungen der Einstellun- gen angesichts der Standardvoreinstellung für die Suchbarkeit über die Telefonnummer auf „für alle“ bereits mit deren Angabe genutzt werden kann, um ihn auf [X.]und insbesondere auch über das [X.]zu finden. Dazu hätte dem Nutzer erläutert werden müssen, dass die Verwendung des [X.]der [X.]es anderen Benutzern ermöglicht, mittels Abgleichs von in deren Smartphone gespeicherten [X.]takten mit der Mobilfunknummer des Nutzers im Falle ei[X.]„Treffers“ dessen Benutzerprofil als „Freund“ hinzufügen und auf die entsprechenden Daten zuzugreifen (so [X.](Breisgau); Urteil vom 15.09.2023 - 8 O 21/23, Rn 90 - juris).

cc) Im Hinblick auf die unter aa) und bb) festgestellten Verstöße der [X.]kann offenbleiben, ob sie zudem gegen ihre Verpflichtung verstoßen hat, ausreichende geeignete technische und organisatorische Maßnahmen zu treffen, um die personenbezogenen Daten gegen unbefugte Zugriffe Dritter zu schützen, Art. 24, 32 DSGVO.

dd) [X.]kann ebenfalls, ob die [X.]ihre Benachrichtigungspflicht aus Art. 34 DSGVO gegenüber der Klagepartei, aus Art. 33 DSGVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DSGVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich (vgl. hierzu auch OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 147 – juris, so jetzt auch BGH, Urteil vom 18.11.2024 – VI ZR 10/24, Rn. [X.]4 a) cc)).

Die [X.]hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der [X.]darauf beruhenden ungebetenen Anrufe sowie [X.]und [X.]können nur auf den Scraping Vorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein. Unabhängig da- von kann ein Schadensersatzanspruch nach Art. 82 DSGVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personen- bezogener Daten“ vorliegt. Nach der Rechtsprechung des [X.]setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der [X.]voraus (vgl. EuGH, Urteil vom [X.]- [X.]- 300/21, Rn 36 - juris; vgl. Moos/Schlefzig in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 82 Rn 22). Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“.

b) Aus den aufgeführten Verstößen gegen die [X.]ist der [X.]aber kein über den bloßen Kontrollverlust hinausgehender kausaler immaterieller Schaden gemäß Art. 82 DSGVO entstanden. Ihr obliegt die Darlegungs- und Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und dem Schaden.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (so [X.]Urteil vom [X.]- [X.]- 300/21, Rn 36 - juris). Der [X.]stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“.

Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person (vgl. EuGH, Urteil vom [X.]- [X.]- 300/21, 49, 50 - juris). Allerdings muss der Schaden tatsächlich und sicher entstanden sein (vgl. EuGH, Urteil vom 04.04.2017 - [X.]- 337/15, Rn 91 - juris). Hierbei hat der [X.]in einem behaupteten Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden gesehen (vgl. EuGH, Urteil vom 04.04.2017 - [X.]- 337/15, Rn 95 - juris).

aa) Durch den Kontrollverlust der Mobiltelefonnummer und deren missbräuchliche Verwendung ist kein materieller Schaden eingetreten. Dies behauptet die [X.]auch nicht.

bb) Allerdings hat im vorliegenden Fall der Kontrollverlust der Daten zu einem immateriellen Schaden im Sinne von Art. 82 DSGVO bei der [X.]geführt. Soweit der [X.]bislang in ständiger Rechtsprechung die Auffassung vertreten hat, es liefe dem Erfordernis ei[X.]konkreten Schadens zuwider, würde man hierfür bereits einen abstrakten "Kontrollverlust" des [X.]ausreichen lassen, ohne dass dieser zusätzlich glaubhaft mache, wegen dieses Zustands in Angst oder Sorge geraten zu sein, hält er hieran nach der neuesten Rechtsprechung des [X.]nicht mehr fest. Der [X.]hat im Urteil vom 18.11.2024 (VI ZR 10/24) insofern folgendes ausgeführt:

"Der Begriff des "immateriellen Schadens" ist in Ermangelung ei[X.]Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., EuGH, Urteile vom 20. Juni 2024 - C-590/22, D[X.]2024, 1676 Rn. 31 - PS GbR; vom 25. Januar 2024 - C-687/21, [X.]Rn. 64 - MediaMarkt-Saturn; vom 4. Mai 2023 - C-300/21, VersR 2023, 920 Rn. 30 und 44 - Österreichische Post). Dabei soll nach [X.]146 Satz 3 [X.]der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der [X.]reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu [X.]- den, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt ei[X.]Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteile vom 20. Juni 2024 - C-590/22, D[X.]2024, 1676 Rn. 25 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 34 - juris; vom 4. Mai 2023 - C-300/21, VersR 2023, 920 Rn. 42 - Österreichische Post). Weiter hat der Gerichtshof ausgeführt, dass Art. 82 Abs. 1 DSGVO ei - ner nationalen Regelung oder Praxis entgegensteht, die den Ersatz ei[X.]immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat (EuGH, Urteile vom 20. Juni 2024 -C-590/22, D[X.]2024, 1676 Rn. 26 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 36 - juris; vom 4. Mai 2023 - C-300/21, VersR 2023, 920 Rn. 51 - Österreichische Post). Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die [X.]betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (EuGH, Urteile vom 20. Juni 2024 - C-590/22, D[X.]2024, 1676 Rn. 27 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 36 - juris). Schließlich hat der Gerichtshof in seiner jüngeren Rechtsprechung unter Bezugnahme auf [X.]85 [X.](vgl. ferner [X.]75 DSGVO) klargestellt, dass schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Be - griff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteile vom 4. Oktober 2024 - C-200/23, juris Rn. 145,156 i.V.m. [X.]po pisvaniyata; vom 20. Juni 2024 - C-590/22, D[X.]2024, 1676 Rn. 33 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 42 - juris; vgl. zuvor bereits EuGH, Urteile vom 25. Januar 2024 - C-687/21, [X.]2024, 160 Rn. 66 - MediaMarktSaturn; vom 14. Dezember 2023 - C-456/22, [X.]2024, 56 Rn. 17-23 - Gemeinde [X.]sowie - C-340/21, NJW 2024, 1091 Rn. 82 - Natsionalna agentsia za prihodite). Im ersten Satz des 85. [X.]der [X.]heißt es, dass ”[e]ine Verletzung des Schutzes personenbezogener Daten ... - wenn nicht rechtzeitig und angemessen reagiert wird - einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste ... oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person". Aus dieser beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Gerichtshofs hervor, dass der [X.]unter den Begriff "Schaden" insbesondere auch den bloßen Verlust der Kontrolle ("the mere loss of control", "la simple perte de contrôle") über ihre eigenen Daten infolge ei[X.]Verstoßes gegen die [X.]fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (EuGH, Urteile vom 4. Oktober 2024 - C-200/23, juris Rn. 145 - Agentsia povpisvaniyata; vom 14. Dezember 2023 - C-340/21, NJW 2024,1091 Rn. 82 - Natsionalna agentsia za prihodite). Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust als solchem bestehenden - Scha - den erlitten hat (vgl. EuGH, Urteile vom 20. Juni 2024 - C-590/22, D[X.]2024, 1676 Rn. 33 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 36 und 42 - juris). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern."

Soweit die Daten der [X.]ohnehin öffentlich einsehbar sind - wie Vor- und Nachname, Geschlecht und Nutzer ID - liegt aber auch nach diesen Maßstäben schon objektiv kein Kontrollverlust vor. Denn diese Daten sind mit der Registrierung anzuge- ben und zwingend stets öffentlich und für jedermann weltweit einsehbar. Auch ohne Scraping ist ein Auslesen dieser Daten und deren Verbreitung im [X.]jederzeit möglich. Mit der Registrierung bei der [X.]standen diese stets öffentlichen Daten nicht mehr unter der ausschließlichen Kontrolle der Klagepartei. Sie hat vielmehr be- wusst auf die Kontrolle verzichtet. Dem Erfordernis ei[X.]konkreten Schadens liefe es zuwider, würde man auch in Bezug auf diese Daten einen Kontrollverlust jedes [X.]ausreichen lassen. Durch das Scraping dieser vom Nutzer freiwillig zur Verfügung gestellten Daten wird der bereits durch die Anmeldung eingetretene Kontrollverlust nach Auffassung des Senats nicht in einer Weise vertieft, dass hieraus ein konkreter immaterieller Schaden abgeleitet werden könnte. Eine Betroffenheit auch ih- rer E-Mail Anschrift hat die Klägerin, die in der mündlichen Verhandlung vor dem [X.]einräumen musste, die in der Klageschrift benannte E-Mail Anschrift [...] sei von Spam-Nachrichten nicht betroffen gewesen, demgegenüber nicht bewiesen. Nach der von der [X.]vorgelegten Anlage [X.]16 ist vielmehr davon auszugehen, dass diese nicht Gegenstand des [X.]war.

Durch den Datenschutzverstoß der [X.]erfolgte ein Kontrollverlust der [X.]vielmehr allein im Hinblick auf die bei der Registrierung eingesetztes Telefonnummer und die Verknüpfung mit Namen und F.-ID der Klagepartei. Das Risiko, auch Dritte könnten ihre Telefonnummer nicht datenschutzkonform verarbeiten, steht - solange sich dieses nicht unstreitig vor dem Eintritt des [X.]verwirklicht hatte - der Darlegung ei[X.]Kontrollverlusts nicht entgegen. Insoweit unterscheidet sich der durch das Scraping und die dauerhafte Preisgabe der mit dem Namen einer Partei verknüpften Telefonnummer im [X.]behauptete Kontrollverlust wesentlich von den Risiken, die mit einer bewussten und zielgerichteten Weitergabe der Telefonnummer an bestimmte Empfänger verbunden sind ([X.]aaO.).

Für die hierauf bezogene Schadensschätzung ist insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DSGVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter ist die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfer- nung einer Veröffentlichung aus dem [X.](inkl. Archiven) oder Änderung des personenbezogenen Datums (z.B. Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich kann den Fällen, in [X.]nen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insbesondere ei[X.]Rufnummernwechsels) dienen. Im Urteil vom 18.11.2024 hat der [X.]die Schätzung ei[X.]solchen Aufwands in einer Größenordnung von 100 € für angemessen erachtet. Diesen Betrag hält der [X.]auch im Streitfall für angemes- sen. Mit der Telefonnummer und der durch das Scraping erfolgten Verknüpfung mit ei- nem bestimmten Namen ist lediglich eine Kontaktaufnahme mit der betroffenen Per- son möglich. Ein Missbrauch drängt sich unter den gegebenen Umständen nicht auf. Die Telefonnummer kann zwar auch missbräuchlich zur Übersendung von [X.]oder betrügerischen Anrufen genutzt werden, jedoch kann ein materieller Schaden erst dann entstehen, wenn bei einer [X.]der [X.]Link verwendet wird oder die betroffene Person auf den Anruf reagiert, dem betrügerischen Anrufer [X.]gibt oder auf dessen Aufforderung Geld überweist. Eine besondere Sensibilität der konkret betroffenen Daten ist nicht erkennbar. Ihrer Funktion entsprechend dienen sie vielmehr zur Kontaktaufnahme mit [X.]und werden im alltäglichen und geschäftlichen Leben regelmäßig [X.]zugänglich gemacht (vgl. nur Senat, Urteil vom 3.9.2024 – 4 U 90/24 n.v.; OLG Hamm, Urteil vom [X.]– 7 U 154/23 Rn 51 – juris). Zu berücksichtigen ist darüber hinaus, dass auch bei der [X.]ein Rufnummernwechsel, der dem eingetretenen Kontrollverlust entgegenwirken würde, ohne wei- teres möglich und nicht erkennbar wäre, dass die Daten an einen unbegrenzten Empfängerkreis abgeflossen sind. In der Gesamtwürdigung dieser Umstände hält auch der [X.]den bloßen Kontrollverlust mit Zahlung einer immateriellen Entschädigung in Hö- he von 100,- € für abgegolten.

Eine höhere immaterielle Entschädigung war auch nicht aufgrund von individuellen psychischen Beeinträchtigungen der [X.]durch den [X.]geboten. Unabhängig vom Nachweis ei[X.]Kontrollverlusts reicht für einen Anspruch auf einen immateriellen Schadensersatz zwar auch die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund ei[X.]Verstoßes gegen die Verordnung von [X.]missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, [X.]2024, 160 Rn. 67 - MediaMarktSaturn; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 85 - Natsionalna agentsia za prihodite). Die Befürchtung samt ihrer negativen [X.]gen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteile vom 20. Juni 2024 - C-590/22, D[X.]2024,1676 Rn. 36 - PS GbR; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 75-86 - Natsionalna agentsia za prihodite). Demgegen- über genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten [X.](vgl. EuGH, Urteile vom 20. Juni 2024 - C-590/22, D[X.]2024, 1676 Rn. 35 - PS GbR; vom 25. Januar 2024 - C-687/21, [X.]2024, 160 Rn. 68 - MediaMarktSaturn). Sind derartige psychische Beeinträchtigungen infolge einer Anhörung des Betroffenen nachgewiesen, ist der [X.]in einer Höhe festzusetzen, die über dem im Falle ei[X.]bloßen Kontrollverlustes zuzu- sprechenden Betrag liegt (BGH, Urteil vom 18.11.2024 – Rn VIII 2 c) cc)).

Eine solche konkrete emotionale Beeinträchtigung der [X.]ist zur Überzeugung des Senates hier indes nicht eingetreten. Die schriftsätzlich allgemeine gehaltene Behauptung der Klagepartei, sie sei in einen Zustand großen Unwohlseins und Sorge über einen möglichen Missbrauch geraten, geht über alltägliche Empfindungen, die kei- ne begründete Befürchtung rechtfertigen, nicht hinaus. Den Schluss auf einen realen und sicheren emotionalen Schaden (vgl. Schlussanträge des Generalanwaltes Pitruz- zella vom 27.04.2023 - [X.]-340/21, Rn 82, 83, - juris) erlaubt sie nicht. Da im [X.]jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu [X.]negativen Reaktion der betroffenen Person führen kann (vgl. Schlussanträge des Generalanwaltes [X.]von 06.10.2022 - [X.]300/21, Rn 113 - ju- ris) und ein Schadensersatz, der sich aus einem bloßen [X.]wegen der Nichtbeachtung des Rechts durch einen anderen ergibt, einem „Schadensersatz ohne Schaden“ recht nahe kommt, der nicht von Art. 82 erfasst ist (vgl. EuGH, Urteil vom [X.]- [X.]- 300/21, Rn. 36 ff - juris), reicht demgegenüber allein die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten nicht aus (vgl. Schlussanträge des Generalanwaltes [X.]vom 26.10.2023 - [X.]182/22, Rn 24 - ju- ris). Im vorliegenden Fall hat die Klägerin keinen emotionalen Schaden, der auf den [X.]zurückzuführen ist, glaubhaft gemacht. Besondere Sorgen und Äng- ste wegen ei[X.]Datenmissbrauches hat sie nicht geschildert, sondern hat vielmehr maßgeblich auf den mit der Bereinigung der [X.]verbundenen Aufwand abgestellt, den sie gegenüber dem [X.]als "störend" qualifiziert hat. Es tritt hinzu, dass sie dieses Störgefühl vorrangig mit den Spam-Eingängen unter ihrer [X.]verbunden hat, die indes nicht bei der Registrierung angegeben wurde und daher nicht Gegenstand des [X.]war. Die unter der streitgegenständ- liche Handy-Nummer eingehenden Spam-Anrufe und -SMS seien jedoch von vornher- ein ausgefiltert worden; woraus sich gleichwohl eine emotionale Beeinträchtigung er- geben soll, kann der [X.]unter diesen Umständen nicht erkennen, zumal der Kläge- rin der Scraping- Vorfall auch keine Veranlassung geboten hat, ihre Rufnummer zu [X.]dern. Hat die betroffene Person aber schon keinen Anlass gesehen, die Handynummer zu ändern, kann ihre Befürchtung ei[X.]Missbrauches regelmäßig nicht als begründet angesehen werden.

2.

Im [X.]an das Urteil des [X.]vom 18.11.2024 steht der [X.]auch ein Anspruch auf Feststellung der Verpflichtung der Beklagten, alle künftigen (materiel- len) Schäden zu erstatten, zu. Seine abweichende Einschätzung gibt der [X.]auf. Der [X.]hat hierzu ausgeführt, die Möglichkeit des Eintritts künftiger Schäden sei ohne Weiteres zu bejahen, wenn die [X.]– wie hier - durch einen Verstoß gegen die Daten- [X.]in ihrem Recht auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG bzw. auf Schutz der personenbezogenen Daten gemäß Art. 8 [X.]verletzt worden sei und durch die fortdauernde Veröffentlichung ihrer personenbezogenen Daten (insbesondere ihres Namens in Verbindung mit ihrer Telefonnummer) das Risiko einer missbräuchlichen, insbesondere betrügerischen Nutzung dieser Daten mit der Folge ei- [X.]materiellen oder immateriellen Schadens fortbestehe. In Anbetracht des hier zu unterstellenden bereits eingetretenen und noch andauernden Kontrollverlusts über diese Daten sei eine künftige Schadensentwicklung auch nicht nur rein theoretischer Natur. So liegt es auch hier. Angesichts des feststehenden Verstoßes der [X.]gegen ihre datenschutzrechtlichen Pflichten, ist der Feststellungsanspruch auch der Sache nach begründet.

3.

Die Berufung bleibt aber insoweit ohne Erfolg, als die [X.]sich gegen die Abweisung des [X.]Ziff. 3b) wendet.

a)

Allerdings ist der Antrag zulässig. Der [X.]hat insofern in dem Leitentschei- dungsverfahren VI ZR 10/24 zu einem wortgleichen Unterlassungsantrag ausgeführt:

"Der Unterlassungsantrag ist trotz seiner weiten Formulierung bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO. Er lässt sich unter Heranziehung des Klagevorbringens da - hingehend auslegen, dass der Kläger ein Unterlassen jeglicher Verarbeitung seiner Telefonnummer durch die Beklagte, die über die notwendige Verarbeitung für die [X.]hinausgeht, begehrt. Der Antrag, der als Prozesserklärung

vom Revisionsgericht selbst auszulegen ist (vgl. Senat, Urteil vom 16. April 2024 - VI ZR 223/21, WM 2024, 991 Rn. 17 mwN), ist nicht so zu verstehen, dass der Kläger "die Unterlassung der Verarbeitung seiner Telefonnummer ohne eindeutige Informationen, dass diese auch bei der Einstellung 'privat' ausgelesen werden kann", begehrt (so aber OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris Rn. 245, 247). Diese Information lag dem Kläger jedenfalls zum Zeitpunkt der Klageerhebung bereits vor, so dass ein entsprechendes Verständnis den Antrag sinnentleerte und der [X.]zuwiderliefe, nach der im Zweifel dasjenige gewollt ist, was nach den Maßstäben der Rechtsordnung vernünftig ist und der wohlverstandenen Interessenlage entspricht (vgl. hierzu BGH, Urteile vom 15. Mai 2024 - VIII ZR 293/23, MDR 2024, 924 Rn. 22; vom 14. Mai 2024 - XI ZR 51/23, juris Rn. 15; jeweils mwN). Vielmehr begehrt der Kläger, dass die [X.]seine Telefonnummer nicht - wie zur Zeit des [X.]- auf Basis einer von ihm erteilten Einwilligung weiterverarbeitet, da diese Einwilligung nach seinem Verständnis mangels Transparenz unwirksam ist, weil ihm das Ausmaß der Datenverarbeitung betreffend seine Telefonnummer bei Erteilung der Einwilligung nicht verständlich war. Der Unterlassungsantrag konkretisiert darüber hinaus - anders als der Unterlassungsantrag zu Ziffer 3a - die inkriminierte Verletzungshandlung, nämlich die behauptete unrechtmäßige Verarbeitung auf Grundlage einer unwirksamen Einwilligung. Aus welchen Gründen die Einwilligung unwirksam sein soll, ergibt sich aus der weiteren Formulierung des Antrags. Nach Ansicht des [X.]wurde diese "wegen der unübersichtlichen und unvollständigen Informationen durch die [X.]erlangt [...], namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf 'privat' noch durch Verwendung der [X.]verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der F…-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird". Der so verstandene Unterlassungsantrag ist hinreichend bestimmt, da der [X.]ohne weiteres deutlich wird, für welche Zwecke sie die Telefonnummer des [X.]noch verarbeiten darf und für welche der Kläger die Unterlassung der Datenverarbeitung begehrt.

c) Mit der Begründung des Berufungsgerichts kann auch das Vorliegen ei[X.][X.]nicht verneint werden.

aa) Eine Klage ist als unzulässig abzuweisen, wenn für sie kein Rechtsschutzbedürfnis besteht. Das Erfordernis des [X.]soll verhindern, dass Rechtsstreitigkeiten in das Stadium der Begründetheitsprüfung gelangen, für die eine solche Prüfung nicht erforderlich ist. Grundsätzlich haben Rechtssuchende allerdings einen Anspruch darauf, dass die staatlichen Gerichte ihr Anliegen sachlich prüfen und darüber entscheiden. Das Rechtsschutzbedürfnis fehlt jedoch, wenn eine Klage oder ein Antrag objektiv schlechthin sinnlos ist, wenn also der Kläger oder Antragsteller unter keinen Umständen mit seinem prozessualen Begehren irgendeinen schutzwürdigen Vorteil er - langen kann (BGH, Urteil vom 29. September 2022 -1 ZR 180/21, ZIP 2022, 2460

Rn. 10 mwN; vgl. bereits Senat, Urteil vom 14. März 1978 -1 ZR 68/76, NJW 1978, 2031, 2032 [unter [X.]2. a]). Dies ist etwa dann der Fall, wenn ein einfacherer oder billigerer Weg zur Erreichung des Rechtsschutzziels besteht oder der Antragsteller kein berechtigtes Interesse an der beantragten Entscheidung hat. Dafür gelten allerdings strenge Maßstäbe. Das Rechtsschutzbedürfnis fehlt (oder entfällt) nur dann, wenn das Betreiben des Verfahrens eindeutig zweckwidrig ist und sich als Missbrauch der Rechtspflege darstellt (Senat, Beschluss vom 24. September 2019 -VI Z[X.] 39/18, BGHZ 223, 168 Rn. 28; Urteil vom 14. März 1978 - VI ZR 68/76, NJW 1978, 2031,2032 [unter 11.2. a]). Auch darf der Kläger nicht auf einen verfahrensmäßig unsicheren Weg verwiesen werden (vgl. BGH, Urteil vom 29. September 2022 -1 ZR 180/21, ZIP 2022, 2460 Rn. 16 mwN).

bb) Nach diesem Maßstab kann ein Rechtsschutzbedürfnis bezüglich des [X.]zu Ziffer 3b nicht verneint werden. Das Rechtsschutzbedürfnis des [X.]entfällt insbesondere nicht dadurch, dass er seine Telefonnummer aus seinem Nutzerkonto selbst löschen könnte. Insofern ist sein Rechtsschutzziel - die Untersagung einer unrechtmäßigen Verarbeitung seiner Telefonnummer - mit dem dann er - reichten Ergebnis der Löschung seiner Telefonnummer nicht identisch. Insbesondere würde sich der Kläger der Möglichkeit der [X.]für die Anmeldung in seinem Nutzerkonto begeben. Auch die Möglichkeit des Klägers, seine [X.]so zu ändern, dass sich seine Einwilligung zur Verarbeitung seiner Telefonnummer auf die Nutzung der [X.]beschränkt, lässt das Rechtsschutzbedürfnis nicht entfallen. Zwar hätte der Kläger die Suchbarkeitseinstellugen bezüglich seiner Telefonnummer seit Mai 2019 auf "nur ich" abändern können und liegt hierin - wie auch in einem ausdrücklichen Widerruf seiner Einwilligung nach Art. 7 Abs. 3 Satz 1 DSGVO - im Verhältnis zu einem entsprechenden Unterlassungstitel ein einfacherer und dementsprechend auch billigerer Weg. Doch hat der Kläger vorgetragen, dass die [X.]nach eigenen Angaben (vgl. die Online-Information der [X.]mit der Überschrift "Möglicherweise verwenden wir deine Telefonnummer für diese Zwecke:") seine Telefonnummer "möglicherweise" noch für weitere Zwecke verwendet. Hierzu hat das Berufungsgericht keine Feststellungen getroffen und es ist nicht ersichtlich, über welche Einstellungen der Kläger selbst insoweit Abhilfe schaffen könnte.

d) Der so verstandene Unterlassungsantrag enthält auch kein im Sinne des § 890 Abs. 2 ZPO unzulässiges Antragsbegehren bzw. ist nicht auf ein zukünftiges aktives Tun gerichtet (so aber OLG Hamm, Urteil vom 15. August 2023 -7U 19/23, juris Rn. 239). Der Kläger begehrt die Unterlassung der Verarbeitung seiner Mobiltelefonnummer, soweit diese über die Nutzung der [X.]hinausgeht. Gegenstand sei[X.]Begehrens ist demgegenüber nicht, die [X.]aufgrund ei[X.]verständlichen Hinweises oder unter Wahrung der Sicherheitsanforderungen nutzen zu können."

Dem tritt der [X.]unter Aufgabe seiner entgegenstehenden Rechtsprechung bei.

b)

Der Unterlassungsanspruch ist indes der Sache nach nicht gegeben. Der [X.]steht weder aus § 1004 BGB noch aus § 280 BGB i.V.m. dem Nutzungsvertrag ein solcher Anspruch auf Unterlassung einer Verarbeitung ihrer Telefonnummer auf der Grundlage der gegebenen Einwilligung zu. Es fehlt an der Wiederholungsgefahr, die auch für den vertraglichen Unterlassungsanspruch aus § 280 Abs. 1 BGB - ebenso wie für den gesetzlichen Unterlassungsanspruch entsprechend § 1004 Abs. 1 Satz 2 i.V.m. § 823 Abs. 1 BGB - erforderlich ist. Dabei begründet zwar ein einmal erfolgter Vertragsverstoß die tatsächliche Vermutung für sei- ne Wiederholung. Die Verletzung einer Vertragspflicht begründet insofern die Vermutung der Wiederholungsgefahr nicht nur für identische Verletzungsformen, sondern auch für andere Vertragspflichtverletzungen, soweit die Verletzungshandlungen im [X.]gleichartig sind (BGH, Urteil vom 29. Juli 2021 – III ZR 192/20 –, Rn. 115 - 116, juris; Urteil vom 20. Juni 2013 - I ZR 55/12, NJW 2014, 775 Rn. 18; Beschluss vom 3. April 2014 - I Z[X.]42/11, NJW 2014, 2870 Rn. 12; jew. mwN).

An die Entkräftung dieser Vermutung sind strenge Anforderungen zu stellen. Sie ist ausnahmsweise dann als widerlegt anzusehen, wenn der Eingriff durch eine einmalige Sondersituation veranlasst war (BGH, Urteil vom 27. April 2021 – VI ZR 166/19 –, Rn. 23, juris; Senat, Beschluss vom 4. Oktober 2021 – 4 W 625/21 –, Rn. 5, juris). Vorliegend ist von einer solchen einmaligen Sondersituation auszugehen, nachdem die [X.]unstreitig die Kontaktimportfunktion auf der Plattform am 10.10.2018 und die des F.-Messengers am [X.]de-

aktiviert und durch eine „People-You-May-Know“-Funktion („Personen, die du kennen könn- test“-Funktion) ersetzt hat.. Bei dieser kann zwar gleichfalls ein Nutzer seine Kontakte [X.]Telefonnummer hochladen. Das System zeigt ihm dann aber nicht mehr allein aufgrund der Telefonnummer nur den einen passenden konkret-individuell Nutzer – „one-to-one“ – an, sondern nur noch eine Liste von mehreren Personen, die aufgrund anderer zusätzlicher Zuordnungskriterien der hochgeladenen Kontakte, z.B. des Namens, zuzuordnen sein könnten. Das „Friend Centre“ wurde bereits am 11.12.2018 in ähnlicher Weise geändert. Weitere [X.]unter Ausnutzung der Sichtbarkeits- und Suchbarkeitseinstellungen bezüglich der Telefonnummer bei der [X.]gibt es seither unstreitig nicht mehr. Nach Ablauf ei[X.]Zeitraums von mehr als fünf Jahren seit dem [X.]ist angesichts dessen nicht davon auszugehen, dass es über die „People-you-may-know“-Funktion zu einem dem streitgegenständlichen Vorfall im [X.]gleichartigen Datenzugriff durch Dritte kommt. Der [X.]hält es angesichts des mit einem erheblichen Programmieraufwand verbundenen Abschaltens der Kontaktimportfunktion und der Sanktionierung der [X.]durch die [X.]Datenschutzbe- hörde auch für ausgeschlossen, dass die [X.]gleichwohl diese Funktion in der Zukunft wieder implementieren und überdies mit einer datenschutzrechtlich unzulässigen Systemvoreinstellung versehen könnte. Ohnehin darf auch bei der Frage der Wiederholungs- oder Erstbegehungsgefahr nicht aus dem Blick geraten, dass vorliegend der Unterlassungsanspruch nicht an ein aktives Tun, sondern lediglich an ein Unterlassen der [X.]anknüpft, gegen ein Scraping durch Dritte hinreichende Vorkehrungen zu treffen.

4.

Die [X.]hat auch keinen Anspruch auf Unterlassung gemäß Ziffer 3 a) ihres Antrages. Der Antrag ist zu unbestimmt und daher unzulässig. Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko ei[X.]Unterliegens des [X.]nicht durch vermeidbare Ungenauigkeit auf den [X.]abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem Unterlassungsantrag regelmäßig der Fall, wenn die konkret angegriffene Verletzungsform antragsgegenständlich ist (vgl. BGH; Urteil vom 09.03.2021 - VI ZR 73/20, Rn 15 - juris). Der Antrag Ziffer 3 a) hat indes keinen voll- streckungsfähigen Inhalt. Die Begriffe „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen“ und „unbefugten Dritten“ sind zu unbestimmt und nicht vollstreckbar (so auch BGH, Urteil vom 18.11.2024, VI ZR 10/24). Der Formulierung lässt sich nicht entnehmen, welche konkreten Maßnahmen die [X.]ergreifen soll (vgl. LG Köln, Urteil vom 24.05.2023, Rn 46 - juris). Sie beschränkt sich nicht auf die Wiedergabe des gesetzlichen Verbotstatbestandes Art. 32 Abs. 1 DSGVO, sondern greift aus den dort genannten, zur Gewährleistung ei[X.]angemessenen Schutzniveaus zu berücksichtigenden Umständen (Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen) isoliert den Stand der Technik heraus. Es ist aus dem Antrag bei dieser Fassung nicht hinreichend ersichtlich, welche Maßnahmen konkret gefordert werden. Ohne eine solche Konkretisierung ist für die [X.]aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde (vgl. LG Lübeck, Urteil vom 25.05.2023 - 15 O 74/22, Rn 59 - juris). Darüber hinaus wäre für das Vollstreckungsgericht - auch und insbesondere angesichts des unbestimmten Standes der Technik - nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der [X.]veranlasst werden müssten (vgl. [X.]a.a.O.). Schließlich steht zwischen den Parteien im Streit, welche Maßnahmen dem Stand der Technik entsprechen. Die auslegungsbedürftige [X.]lässt sich auch nicht durch Auslegung unter Heranziehung des Vortrags der [X.]eindeutig präzisieren. Des Weiteren ist im Hinblick darauf, dass die Plattform darauf angelegt ist, andere Personen zu finden und Kontakte herzustellen, auch nicht klar, wer „unbefugter Dritter“ sein soll. Eine Zwangsvollstreckung wäre nicht möglich.

5.

Der [X.]steht auch kein Anspruch auf [X.]nach Art. 15 DSGVO zu, denn der Anspruch ist durch das Schreiben der [X.]erfüllt worden, § 362 BGB. Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung dar- über zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet; ist dies der Fall, so hat sie ein Recht auf [X.]über diese personenbezogenen Daten und bestimmte weite- re Informationen. Gemäß Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung (vgl. [X.]im Urteil vom 15.08.2023 - 7 U 19/23, Rn 244 ff. - juris). Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem er- klärten Willen des Schuldners die [X.]im geschuldeten Gesamtumfang darstellen. Wird die [X.]in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte [X.]unvollständig oder unrichtig ist, kann einen Anspruch auf [X.]in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die [X.]vollständig ist. Die Annahme ei[X.]derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte [X.]erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von [X.]nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsicht- lich dieser Gegenstände nicht zur [X.]verpflichtet. Dann kann der [X.]eine Ergänzung der [X.]verlangen (vgl. [X.]Urt. v. 15.6.2021 - VI ZR 576/19, - juris).

Das zur Akte gereichte anwaltliche Antwortschreiben der [X.]enthält eine Beschreibung des Scrapings, die Mitteilung, dass die [X.]keine Kopie der Rohdaten hält, welche abgerufen worden waren und eine Auflistung der Datenpunkte, die gescra- [X.]wurden. Des Weiteren enthält das Schreiben eine Erläuterung des Datenabrufs über die immer öffentlichen Daten, das F.-Profil und die Kontaktimportfunktion, die zeitliche Angabe "im Zeitraum bis September 2019" und den Hinweis auf das Handeln möglicherweise mehrerer Scraper. Die [X.]hat einen Link übersandt, auf der über den individuellen Nutzer gespeicherte Daten eingesehen werden können. Damit hat die [X.]zu erkennen gegeben, dass sie vollständig [X.]erteilt hat.

Soweit die [X.]weitergehend [X.]darüber verlangt, welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der [X.]durch Scraping oder durch Anwendung des [X.]erlangt werden konnten, steht ihrem Anspruch § 275 Abs. 1 BGB entgegen. Insofern weist die [X.]unwidersprochen darauf hin, dass ihr die Identitäten der [X.]nicht bekannt seien, weswegen ihr eine Auskunftserteilung unmög- lich ist. Zu einer weitergehenden [X.]war sie angesichts dessen nicht verpflichtet. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht. Es muss vielmehr im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Grundsatzes der Verhältnismäßigkeit gegen andere Grundrechte abgewogen werden ([X.]4 DSGVO). Insbesondere ist es unter bestimmten Umst[X.]den nicht möglich, Informationen über konkrete Empfänger zu erteilen. Daher kann das Auskunftsrecht beschränkt werden, wenn es nicht möglich ist, die Identität der konkre- ten Empfänger mitzuteilen. Dies gilt insbesondere, wenn die Empfänger noch nicht be- kannt sind (vgl. EuGH, Urteil vom 12. Januar 2023 - C-154/21, NJW 2023, 973 Rn. 47 f. - RW/[X.]AG; BGH, Urteil vom 18.11.2024 – VI ZR 10/24).

Im [X.]hieran kommt auch kein an die Verletzung einer Auskunftspflicht anknüp- fender weiterer immaterieller Schadensersatz in Betracht, ohne dass es insofern dar- auf ankäme, ob die Verletzung einer Auskunftspflicht aus Art. 15 DSGVO tauglicher Anknüpfungspunkt für einen Anspruch aus Art. 82 DSGVO sein kann (vgl. zum Streit- stand BSG, Urteil vom 24. September 2024 – [X.]7 AS 15/23 R –, juris).

6.

Ausgehend von dem Obsiegen der [X.]im Berufungsverfahren besteht ein Anspruch der [X.]auf Erstattung vorgerichtlicher Rechtsanwaltskosten lediglich in der aus dem Tenor ersichtlichen Höhe.

a) Die Kosten der Rechtsverfolgung und deshalb auch die Kosten ei[X.]mit der Sache befassten Rechtsanwalts gehören nach der ständigen Rechtsprechung des BGH, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren, grundsätzlich zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden (vgl. BGH, Urteile vom 17. November 2015 - VI ZR 492/14, NJW 2016, 1245 Rn. 9; vom 4. März 2008 - VI ZR 176/07, VersR 2008, 985 Rn. 5; vom 4. Dezember 2007 - VI ZR 277/06, VersR 2008, 413 Rn. 13; vom 8. November 1994 - VI ZR 3/94, BGHZ 127, 348, 350, juris Rn. 7). Dabei ist maßgeblich, wie sich die voraussichtliche Abwicklung des [X.]aus der Sicht des Geschädigten darstellt. Ist die Verantwortlichkeit für den Schaden und damit die Haftung von vornherein nach Grund und Höhe derart klar, dass aus der Sicht des Geschädigten kein vernünftiger Zweifel daran bestehen kann, dass der Schädiger ohne weiteres seiner Ersatzpflicht nachkommen werde, so wird es grundsätzlich nicht erforderlich sein, schon für die erstmalige Geltendmachung des Schadens gegenüber dem Schädiger einen Rechtsanwalt hinzuzuziehen. In derart ein- fach gelagerten Fällen kann der Geschädigte grundsätzlich den Schaden selbst geltend machen, so dass sich die sofortige Einschaltung ei[X.]Rechtsanwalts nur unter besonderen Voraussetzungen als erforderlich erweisen kann, wenn etwa der Geschädigte aus Mangel an geschäftlicher Gewandtheit oder sonstigen Gründen wie etwa Krankheit oder Abwesenheit nicht in der Lage ist, den Schaden selbst anzumelden (vgl. BGH, Urteil vom 8. November 1994 - VI ZR 3/94, BGHZ 127, 348, 351 f" juris Rn. 9). Ein solcher Fall liegt hier indes nicht vor, die Einschaltung ei[X.]Rechtsanwalts war hier wegen der ablehnenden Haltung der [X.]und der gerichtsbekannten Schwierigkeiten, mit dieser überhaupt in Kontakt zu treten, gerechtfertigt.

b) Nach diesen Maßstäben kann ein materiell-rechtlicher Kostenerstattungsanspruch aus Art. 82 Abs. 1 DSGVO für die anwaltliche Tätigkeit in Fallgestaltungen des [X.]im Grundsatz nicht verneint werden (BGH, Urteil vom 18.11.2024 - VI ZR 10/24). Dies gilt auch im vorliegenden Fall. Zwar dokumentiert das von der [X.]vorgelegte Schreiben vom 16.2.2024 (K1) lediglich die Korrespondenz mit der eigenen Rechtsschutzversicherung, nicht hingegen die Geltendmachung ei[X.]Scha- dens gegenüber der Beklagten. Die [X.]hat jedoch eine solche außergerichtliche Geltendmachung aller hier in Rede stehenden Ansprüche auch nicht bestritten. Der Höhe nach besteht ein solcher Anspruch jedoch lediglich für die Geltendmachung einer 1,3-Geschäftsgebühr nach Nr. 2300 [X.]aus einem Streitwert von 600,- € (100 € immaterieller Schaden + 500 € Feststellung) zuzüglich Postpauschale.

C

Die Entscheidung über die Kosten folgt aus § 92 Abs.1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 ZPO. Gründe für die Zulassung der Revision sind nach der Entscheidung des [X.]vom 18.11.2024 nicht mehr gegeben. Die Festsetzung des Streitwerts hat ihre Grundlage in §§ 3, ZPO, 48 Abs. 2 GKG.


Zur besseren Lesbarkeit wurden ggf. Tippfehler entfernt oder Formatierungen angepasst.

Meta

4 U 808/24

10.12.2024

OLG Dresden 4. Zivilsenat

Urteil

Sachgebiet: U

vorgehend LG Dresden, 7. Mai 2024, 3 O 1540/23, Urteil


Art. 82 DSGVO

Zitier­vorschlag: OLG Dresden, Urteil vom 10.12.2024, Az. 4 U 808/24 (REWIS RS 2024, 10881)

Papier­fundstellen: REWIS RS 2024, 10881

Auf dem Handy öffnen Auf Mobilgerät öffnen.


Die hier dargestellten Entscheidungen sind möglicherweise nicht rechtskräftig oder wurden bereits in höheren Instanzen abgeändert.

Ähnliche Entscheidungen

7 U 83/24 (Oberlandesgericht Hamm)

Hier kein Anspruch aus Art. 82 DSGVO da kein Kontrollverlust anzunehmen ist.


7 U 52/24 (Oberlandesgericht Hamm)


14 O 472/23 (Landgericht Köln)


4 U 1969/23 (OLG Dresden)

Scraping: Klageabweisung - kein Schaden dargelegt.


34 U 2306/23 e (OLG München)

Dsgvo, Unterlassungsanspruch, Feststellungsinteresse, Rechtsschutzbedürfnis, Datenschutzgrundverordnung, Anschlußberufung, Vorgerichtliche Rechtsanwaltskosten, Personenbezogene Daten, Vorläufige Vollstreckbarkeit, Wiederholungsgefahr, Feststellungsantrag, Auskunftserteilung, …


Zitieren mit Quelle:
x

Schnellsuche

Suchen Sie z.B.: "13 BGB" oder "I ZR 228/19". Die Suche ist auf schnelles Navigieren optimiert. Erstes Ergebnis mit Enter aufrufen.
Für die Volltextsuche in Urteilen klicken Sie bitte hier.