Landgericht Lüneburg
Urt. v. 24.01.2023, Az.: 3 O 85/22

Schmerzensgeld; Scraping; Social media; Datenschutz

Bibliographie

Gericht
LG Lüneburg
Datum
24.01.2023
Aktenzeichen
3 O 85/22
Entscheidungsform
Urteil
Referenz
WKRS 2023, 17559
Entscheidungsname
[keine Angabe]
ECLI
ECLI:DE:LGLUENE:2023:0124.3O85.22.00

Amtlicher Leitsatz

Schmerzensgeld für Persönlichkeitsrechtsverletzungen durch Datenleck setzt spürbare Beeinträchtigung voraus. Daran fehlt es, wenn die Klagepartei mit Daten wie Name und Telefonnummer öffentlich im Internet auftritt.

In dem Rechtsstreit
des Herrn M. B., H.-Straße 7 D, S.,
klagende Partei,
Prozessbevollmächtigte: Rechtsanw. W., K. 27 - 29, K.,
gegen
M., vertreten durch d. Geschäftsführer, 4., IRL D. 2,
Beklagte
Prozessbevollmächtigte: Rechtsanw. F., B. A. 44, F.,
hat die 3. Zivilkammer des Landgerichts Lüneburg auf die mündliche Verhandlung vom 13. Dezember 2022 durch
den Vizepräsidenten des Landgerichts H., die Richterin P. und die Richterin am Landgericht K.
für Recht erkannt:

Tenor:

  1. 1.

    Die Klage wird abgewiesen.

  2. 2.

    Die Kosten des Rechtsstreits trägt die klagende Partei.

  3. 3.

    Das Urteil ist gegen Leistung einer Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.

Tatbestand

Die klagende Partei begehrt von der Beklagten Schadensersatz sowie Unterlassung und Auskunft hinsichtlich etwaiger Persönlichkeitsverletzungen und Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) im Zusammenhang mit einem sog. Scraping-Vorfall bei der Beklagten.

Die Beklagte ist Betreiberin der Social Media Plattform f..com. Die klagende Partei ist Nutzerin dieser Plattform. Die Dienste der Beklagten ermöglichen es den Nutzern, persönliche Profile zu erstellen und diese mit Freunden zu teilen. Auf ihrem Profil können die Nutzer verschiedene Daten zu ihrer Person angeben. Bei den Angaben zu Name, Geschlecht und Nutzer-ID handelt es sich um immer öffentliche Nutzerinformationen, die für jeden sichtbar sind. Diese Daten sind auch auf dem Profil der klagenden Partei öffentlich einsehbar. Hinsichtlich der sonstigen Informationen bzw. Angaben können die Nutzer Privatsphäre-Einstellungen treffen und damit selbst darüber entscheiden, welche anderen Nutzer auf ihre Daten zugreifen können. Für das Verfahren relevant sind insbesondere die Zielgruppenauswahl und die Suchbarkeits-Einstellung. Im Rahmen der Zielgruppenauswahl kann der Nutzer festlegen, welche Personengruppe einzelne Informationen wie Wohnort, Stadt, Beziehungsstatus, Geburtstag, E-Mail-Adresse etc. in seinem F.-Profil sehen kann. Mit der Suchbarkeits-Einstellung kann der Nutzer festlegen, wer sein Profil anhand der von ihm angegebenen Telefonnummer, unabhängig davon, ob die Telefonnummer auf dem Profil öffentlich einsehbar ist, finden kann. In dem Zeitraum von Januar 2018 bis September 2019 war die Suchbarkeits-Einstellung der klagenden Partei entsprechend der von der Beklagten vorgenommenen Voreinstellungen auf "alle" eingestellt (Anlage B 17). Hierbei blieb es, auch wenn der Nutzer im Rahmen der Zielgruppenauswahl die Sichtbarkeit der Telefonnummer in seinem Profil auf "privat" einstellte. Die Suche nach Personen war mit der F.-Suchfunktion, welche sowohl ein Suchen anhand der Telefonnummer als auch anhand des Namens ermöglichte, wobei letztere üblicher war, als auch über das sog. Kontakt-Importer-Tool möglich. Eine Suche anhand der Telefonnummer erfolgte seitens der F.-Nutzer üblicherweise über die Kontakt-Importer-Funktion. Das Kontakt-Importer-Tool funktionierte dabei so, dass ein Nutzer eine Telefonnummer als Kontakt in seinem Smartphone abspeicherte und die Beklagte dem Nutzer über das Kontakt-Importer-Tool erlaubte, seine abgespeicherten Kontakte mit den bei F. hinterlegten - in der Regel nicht öffentlich einsehbaren - Telefonnummern abzugleichen, um die mit der Telefonnummer bei F. registrierte Person angezeigt zu bekommen und als Freund hinzufügen zu können.

Die Beklagte informierte ihre Nutzer auf verschiedenen Kanälen über die ihnen zur Verfügung stehenden Privatsphäre-Einstellungen und zwar im Hilfebereich, in Privatsphäre-Tools und in Datenrichtlinien.

Anfang April 2021 verbreiteten Dritte im sogenannten Darknet öffentlich Datensätze einer Vielzahl von F.-Nutzern. Davon betroffen ist auch die klagende Partei. Die Datensätze enthalten Daten wie Telefonnummer, F.ID, Name und Vorname, Geschlecht und gegebenenfalls weitere korrelierende Daten. Die der Datenveröffentlichung vorausgegangene Datengewinnung beruht auf einer Nutzung des sogenannten Kontakt-Importer-Tools und des sogenannten Scrapings, d.h. eines automatisierten, massenhaften Sammelns öffentlich einsehbarer Daten. Die Parteien gehen davon aus, dass mithilfe des Kontakt-Importer-Tools durch Generieren einer Vielzahl an Telefonnummern, eine Verknüpfung mit einem F.-Profil hergestellt wurde. Sodann wurden jedenfalls die öffentlich einsehbaren Informationen aus dem betreffenden Nutzerprofil kopiert und die Telefonnummer den abgerufenen Daten hinzugefügt. So auch bei der klagenden Partei.

Die klagende Partei forderte die Beklagte mit vorgerichtlichem anwaltlichen Schreiben zur Zahlung von 500 € und Unterlassung zukünftiger Zugänglichmachung der Daten der klagenden Partei an unbefugte Dritte und zur Auskunft gemäß Art. 15 DS-GVO auf, insbesondere welche konkreten Daten von wem abgegriffen worden seien (vgl. Anlage K 1). Wegen der Antwort der Beklagten wird auf die vorgerichtlichen Schreiben, Anlagen K 2 und B 16, Bezug genommen.

Am 25. November 2022 verhängte die irische Datenschutzbehörde (Data Protection Commission) gegen die Beklagte ein Bußgeld wegen Verstößen gegen die DS-GVO im Zusammenhang mit dem auch in dem hiesigen Verfahren unstreitig erfolgten Scraping-Vorfall. Die irische Datenschutzbehörde sah die von der Beklagten implementierten Maßnahmen zur Ratenbegrenzung und Bot-Erkennung im Sinne von Art. 25 Abs. 1 DS-GVO als nicht ausreichend an. Die Beklagte habe keine angemessenen technischen und organisatorischen Maßnahmen getroffen, die dafür ausgelegt seien, die Datenschutzgrundsätze, insbesondere die in Art. 5 Abs. 1 lit. b) und f) vorgesehenen Grundsätze, wirksam umzusetzen. Zudem nahm die irische Datenschutzbehörde einen Verstoß gegen Art. 25 Abs. 2 DS-GVO an, indem die Sucheinstellungen für Benutzer so voreingestellt worden seien, dass die Telefonnummer ohne Eingreifen des Einzelnen für eine unbestimmte Anzahl natürlicher Personen zugänglich gewesen sei.

Die klagende Partei veröffentlichte auf der Website "www.XXX.de" unter ihrem Vor- und Zunamen ihre Handynummer XXX einschließlich der Anschrift, Heinrich-Heine-Str. XXX und ihren Arbeitgeber "XXX".

Die klagende Partei behauptet, von ihr seien über die Telefonnummer hinaus weitere Daten abgegriffen worden. Es handele sich bei den "gescrapten" Daten um nur zum Teil öffentlich zugängliche Daten. Es sei ein Programm verwendet worden, welches nach der Überprüfung und Verknüpfung unzähliger Telefonnummer-Kombinationen mit F.-Profilen sämtliche Daten des Nutzers habe abfragen und exportieren können. Der Datenabgriff durch Dritte sei aufgrund einer Sicherheitslücke möglich gewesen. Die Beklagte habe keine ausreichenden Sicherheitsmaßnahmen vorgehalten, um ein Ausnutzen des bereitgestellten Kontakt-Importer-Tools zu verhindern. Die Beklagte habe keine Sicherheitscaptchas verwendet, um sicherzustellen, dass es sich bei der Anfrage zur Synchronisierung der Kontakte um die Anfrage eines Menschen und nicht um eine automatisch generierte Anfrage handele. Die Beklagte habe keinen Mechanismus zur Überprüfung der Plausibilität der Anfragen verwendet, um ungewöhnlich viele Anfragen derselben IP-Adresse auf einmal zu blocken oder Adressbücher mit auffälligen Telefonnummernabfolgen automatisch abzulehnen.

Die klagende Partei meint, die Einstellungen zur Sicherheit insbesondere der Telefonnummer auf F. seien so undurchsichtig und kompliziert dargestellt, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne. Sie ist der Ansicht, die Voreinstellungen seien nicht datenschutzfreundlich, weil z.B. die Voreinstellung hinsichtlich der Suchbarkeit "öffentlich" sei. Aufgrund der Vielzahl an Einstellungsmöglichkeiten sei mit hoher Wahrscheinlichkeit damit zu rechnen, dass ein Nutzer die voreingestellten Standardeinstellungen beibehalte und nicht selbstständig ändere. Bei der Registrierung werde der Nutzer nur auf die Datenschutzrichtlinie und Nutzungsbedingungen verwiesen, welche keine transparenten und konkreten Informationen über die Verarbeitungstätigkeiten, insbesondere über die Zwecke der Verarbeitung der Telefonnummer und die Funktionsweise der Kontakt-Importer-Funktion, über immer öffentliche Nutzerinformationen, Zielgruppenauswahl und Drittlandübermittlungen enthalte. Die Beklagte habe ihre Nutzer nicht hinreichend über die ihr bekannten Gefahren informiert, insbesondere fehle der Hinweis, dass unberechtigte Dritte öffentlich zugängliche Daten leicht mit Hilfe von "F.-Tools" anreichern, diese im Darknet veröffentlichen könnten und die Beklagte die betroffenen Personen nicht über solche Vorfälle informiere.

Die klagende Partei behauptet, die Veröffentlichung ihrer Daten habe weitreichende Folgen für sie. Sie habe einen erheblichen Kontrollverlust über ihre Daten erlitten, welcher großes Unwohlsein und große Sorge über einen möglichen Missbrauch der sie betreffenden Daten ausgelöst habe. Die klagende Partei habe ein verstärktes Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen entwickelt. Sie habe seit dem Vorfall unregelmäßig unbekannte Kontaktversuche per SMS oder E-Mail mit offensichtlichen Betrugsversuchen und potentiellen Virenlinks erhalten. Sie könne nur noch mit äußerster Vorsicht auf E-Mails und Nachrichten reagieren.

Es könne zudem zum jetzigen Zeitpunkt noch nicht abgesehen werden, welche Dritte Zugriff auf die Daten der klagenden Partei erhalten hätten und für welche konkreten kriminellen Zwecke die Daten missbraucht würden. Folgen von Datenschutzverletzungen würden sich ihrem Wesen nach erst spät zeigen und lange unerkannt bleiben. Es erscheine auf Grund der Veröffentlichung der Telefonnummern möglich, dass die klagende Partei durch eine Vielzahl betrügerischer Anrufe belästigt werde. Es sei möglich, dass sich Anrufer als Bankmitarbeiter ausgeben, um an sensible Kontodaten zu gelangen.

Die klagende Partei ist der Ansicht, die Beklagte habe sie nicht rechtzeitig darüber informiert, dass ihre personenbezogenen Daten durch Dritte veröffentlich worden seien, so dass sie, die klagende Partei, auch nicht rechtzeitig Schutzmaßnahmen habe ergreifen können.

Die Beklagte trage die Darlegungs- und Beweislast, soweit die Einhaltung der DS-GVO in Streit stehe.

Die klagende Partei beantragt (Bl.3 f. d. A.),

  1. 1.

    die Beklagte zu verurteilen, an sie immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz;

  2. 2.

    festzustellen, dass die Beklagte verpflichtet ist, ihr alle künftigen Schäden zu ersetzen, die der klagenden Partei durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden;

  3. 3.

    die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

    1. a.

      personenbezogene Daten der klagenden Partei, namentlich Telefonnummer, F.ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern;

    2. b.

      die Telefonnummer der klagenden Partei auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf "privat" noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der F.-Messenger-App, hier ebenfalls explizit die Berechtigung verweigert wird;

  4. 4.

    die Beklagte zu verurteilen, der klagenden Partei Auskunft über die klagende Partei betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten;

  5. 5.

    die Beklagte zu verurteilen, an die klagende Partei vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte behauptet, es seien neben der Telefonnummer nur öffentlich auf dem F.-Profil der klagenden Partei einsehbare Informationen gesammelt worden, d.h. die immer öffentlichen Nutzerinformationen wie Vorname, Name, Geschlecht und die Nutzer-ID oder solche die aufgrund der Zielgruppenauswahl der klagenden Partei öffentlich einsehbar gewesen seien.

Die Beklagte behauptet, dass sie zur Bekämpfung von Scraping Übertragungsbegrenzungen /-beschränkungen und Bot-Erkennung eingerichtet habe und diese auch fortlaufend weiterentwickle und ein Team von "Datenwissenschaftlern, -analysten und Softwareingenieuren beschäftige. Sie habe im April 2018 die Suche von Nutzern anhand der Telefonnummer in der F.-Suchfunktion deaktiviert. Zudem habe sie die Übertragungsbeschränkungen innerhalb der Kontakt-Importer-Funktion gesenkt, auch wenn sie zu diesem Zeitpunkt keine Scraping-Aktivität über diese Funktion festgestellt habe. Als weitere Schutzmaßnahme habe sie nach dem Vorfall für den Kontakt-Import eine Funktion errichtet, die darauf abziele, einen übereinstimmenden Kontakt nur dann anzuzeigen, wenn die beiden Nutzer einander zu kennen schienen ("Social Connection Check"). Wenn ein Nutzer seine Kontaktliste von seinem Mobiltelefon über das Kontakt-Importer-Tool auf die Plattform hochlade, werde der übereinstimmende Nutzer nur dann dem importieren Nutzer angezeigt, wenn dieser zugleich einen Namen sowie die Telefonnummer für den hochgeladenen Kontakt importiere, der dem Namen des übereinstimmenden Nutzers ähnele oder der übereinstimmende Nutzer den importierenden Nutzer bereits in seinen Kontakten habe. Schließlich habe die Beklagte die Kontakt-Importer-Funktion in eine Liste mit Kontaktvorschlägen umgewandelt, die "Menschen, die du kennen könntest" anzeige - "people you may know-Funktion" (PYMK-Funktion).

Die Beklagte behauptet, die im Internet erfolgte Veröffentlichung von Daten der klagenden Partei habe sich nicht signifikant auf das ohnehin bestehende Risiko der Cyber-Kriminalität ausgewirkt. Es sei Teil des allgemeinen Lebensrisikos, Opfer von Internetkriminalität beziehungsweise Identitätsdiebstahl zu werden.

Wegen des weiteren Vorbringens der Parteien wird auf die zu den Akten gelangten Schriftsätze nebst Anlagen sowie das Protokoll zur mündlichen Verhandlung Bezug genommen.

Entscheidungsgründe

Die zulässige Klage hat in der Sache keinen Erfolg.

I. Die Klage ist zulässig

1. Der Klageantrag zu Ziff. 1 ist hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO.

Insbesondere liegt - entgegen der Auffassung der Beklagten - keine alternative Klagehäufung vor, bei der die klagende Partei ein einheitliches Klagebegehren aus mehreren prozessualen Ansprüchen (Streitgegenständen) herleiten und dem Gericht die Auswahl überlassen würde, auf welchen Klagegrund es die Verurteilung stützt. Zum Streitgegenstand sind alle Tatsachen zu rechnen, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden, den Sachverhalt "seinem Wesen nach" erfassenden Betrachtungsweise zu dem zur Entscheidung gestellten Tatsachenkomplex gehören, den der Kläger zur Stützung seines Rechtsschutzbegehrens dem Gericht zu unterbreiten hat (vgl. BGH, Urteil vom 24.01.2008 - VII ZR 46/07). Die Klage bestimmt den Streitgegenstand, wobei Klageantrag und Klagegrund gleichwertige Bestimmungsfaktoren sind (Vollkommer, in: Zöller, ZPO, 33. Auflage 2020, Einl. Rn. 63). Dies zugrunde gelegt, handelt es sich hier um einen einheitlichen Streitgegenstand. Aus der Klage, dort insbesondere der Klagebegründung, ergibt sich, dass sich die mit dem Klageantrag zu Ziff. 1 geltend gemachte Zahlungsforderung auf einen zusammenhängenden Lebenssachverhalt stützt. Dieser liegt darin, dass die klagende Partei zum Zeitpunkt des Scrapings auf der von der Beklagten betriebenen Plattform angemeldet war und betrifft die Frage, ob die Beklagte zu diesem Zeitpunkt hinreichende Datenschutzvorkehrungen getroffen hatte. Die von der klagenden Partei behaupteten Verstöße der Beklagten gegen die DS-GVO mündeten kumulativ in dem möglichen Schaden im Zusammenhang mit der Offenbarung der Telefonnummer der klagenden Partei. Auch etwaige nachträgliche Verstöße durch Verletzung von Informationspflichten können lediglich eine Vertiefung des möglichen Gesamtschadens darstellen.

2. Auch der Klageantrag zu Ziff. 2 ist zulässig.

a) Der Klageantrag zu Ziff. 2 ist hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Das festzustellende Rechtsverhältnis muss derart genau bezeichnet werden, dass über dessen Identität und damit über den Umfang der Rechtskraft der Feststellung keine Ungewissheit besteht (vgl. BGH, Urteil vom 22.11.2007 - Az. I ZR 12/05). Hierbei sind die Klageanträge der Auslegung (§ 133 BGB) zugänglich (vgl. BGH NJW 2018, 3098, 3099). Zwar genügt der Antrag zu Ziff. 2 auf Feststellung der Ersatzpflicht für "künftige (...) Schäden", die "entstanden sind" für sich gesehen nicht dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO. Dieser ist ohne Hinzutreten weiterer Umstände widersprüchlich. Allerdings kann die hinreichende Bestimmtheit des Antrages durch die Auslegung des Prozessvortrages der klagenden Partei hinreichend hergestellt werden. Die klagende Partei hat in ihrer Klage vorgetragen, dass noch nicht absehbar sei, welche Schäden durch den Zugriff auf die Daten abschließend entstanden seien. Hieraus folgt, dass der Antrag zu Ziff. 2 dahingehend zu verstehen ist, dass es ihr auf die "weiteren" Schäden ankommt, die bereits entstanden sind oder noch entstehen werden.

b) Auch das für den Klageantrag zu Ziff. 2 erforderliche Feststellungsinteresse nach § 256 Abs. 1 ZPO liegt vor. Voraussetzung hierfür ist, dass dem Recht oder der Rechtslage der klagenden Partei eine gegenwärtige Gefahr oder Unsicherheit droht, die das erstrebte Urteil beseitigen kann (vgl. st. Rspr. BGH, Urteil vom 22.06.1977 - VIII ZR 5/76, Rn 11, juris mwN) Eine Klage auf Feststellung der Verpflichtung zum Ersatz bereits eingetretener und künftiger Schäden, bei Verletzung absoluter Rechtsgüter, ist zulässig, wenn die Möglichkeit eines Schadenseintritts besteht. Das Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund gegeben ist, mit dem Eintritt eines Schadens wenigstens zu rechnen (vgl. BGH, Urteil vom 20.03.2001 - VI ZR 325/99, Rn 11, juris;;). Vorliegend ist - zumindest auf Grundlage des schlüssigen Vortrages der klagenden Partei - möglicherweise das allgemeine Persönlichkeitsrecht der klagenden Partei betroffen. Die nicht von den Bestimmungen der DS-GVO gedeckte Übermittlung oder Verarbeitung personenbezogener Daten kann eine Verletzung des allgemeinen Persönlichkeitsrechts als sonstiges Recht im Sinne des § 823 Abs. 1 BGB darstellen (vgl. OLG Frankfurt, Urteil vom 14. April 2022 - 3 U 21/20 -, Rn. 29, juris mwN; Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 2. Juli 2021 - 17 U 15/21 -, Rn. 70, juris). Diese Möglichkeit des Schadenseintritts hat die klagende Partei nach den allgemeinen zivilprozessualen Grundsätzen substantiiert darzutun. Gemessen an diesen Voraussetzungen besteht - zumindest allein auf Grundlage des schlüssigen Vortrages der klagenden Partei - die Möglichkeit weiterer Schäden. Hinsichtlich der weiteren materiellen Schäden hat diese zunächst ausgeführt, es könne noch nicht abgesehen werden, welche Dritte Zugriff auf die Daten erhalten hätten und für welche kriminellen Zwecke diese missbraucht würden. Die klagende Partei hat ihren Vortrag sodann dahingehend konkretisiert, dass es möglich erscheine, dass diese eine Vielzahl an betrügerischen Anrufen erhalte. Es sei nicht selten so, dass sich Anrufer als Bankmitarbeiter ausgeben würden, um an sensible Kontodaten zu gelangen. Gerade durch die Kenntnis der Daten bestehe die Möglichkeit, dass die Anrufer derart überzeugend aufträten, dass die Angerufenen auf die Betrugsmasche hereinfallen würden. Auf dieser Grundlage besteht zumindest die Möglichkeit, dass ein weiterer materieller Schaden hervorgerufen wird.

Soweit die Beklagte meint, es liege - hinsichtlich der immateriellen Schäden - ein Verstoß gegen den Grundsatz der Einheitlichkeit des Schmerzensgeldes vor, so verfängt dieser Einwand nicht. Unter Berücksichtigung des weiteren Prozessvorbringens der klagenden Partei ist der Antrag gem. § 133 BGB dahingehend auszulegen, dass diese ausschließlich den Ersatz künftiger materieller Schäden begehrt. Die klagende Partei hat ihren Vortrag nämlich dahingehend konkretisiert, dass diese lediglich die Feststellung materieller Schäden begehre. Zudem kann auch dem Wortlaut des Klageantrages nicht entnommen werden, dass die klagende Partei die Feststellung immaterieller Schäden begehrt. Dieser spricht lediglich allgemein von "Schäden", konkretisiert diese aber nicht weiter.

II.

Die Klage hat in der Sache aber keinen Erfolg.

1.Die klagende Partei hat gegen die Beklagte keinen Anspruch auf immateriellen Schadensersatz in Höhe von 1.000,00 € gemäß Art. 82 Abs. 1 DS-GVO, weil ein ersatzfähiger Schaden der klagenden Partei nicht vorliegt.

a) Der klagenden Partei obliegt es, den Schaden darzulegen und zu beweisen (vgl. Wolff/Brink/Quaas, BeckOK Datenschutzrecht, Art 82, Rn. 51, 42. Aufl.). Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen und demnach auch den Eintritt eines Schadens trägt nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 DS-GVO ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen, eine umfassende, bereichsspezifische Beweislastumkehr ist in der Verordnung nicht angelegt. Auch aus Art. 82 Abs. 3 DS-GVO i.V.m. dem Erwägungsgrund 146 S. 2 DS-GVO folgt keine Beweislastumkehr für das Vorliegen eines Schadens. Nach dem klaren und eindeutigen Wortlaut sowohl des Art. 82 Abs. 3 DS-GVO als auch der Ausführungen im Erwägungsgrund 146 DS-GVO bezieht sich die darin niedergelegte Nachweisobliegenheit des Verantwortlichen allein auf seine Verantwortlichkeit für die Umstände, die den Schaden herbeigeführt haben, nicht aber - auch - auf den Schaden selbst (vgl. OLG Brandenburg, Beschluss vom 11.8.2021 - 1 U 69/20; OLG Bremen, Beschluss vom 16.07.2021 - 1 W 18/21, Rn. 2, juris) ).

b) Der Schaden i.S.d. Art. 82 DS-GVO kann sowohl materiell als auch immateriell sein. Der Schadenbegriff wird dabei weit ausgelegt (vgl. Wolff/Brink/Quaas, BeckOK DatenschutzR, Art. 82 DS-GVO, Rn.24; Paal/Pauly/Frenzel DS-GVO Art. 82 Rn.10). Nach dem Erwägungsgrund 146 S. 2 DS-GVO soll der Begriff des Schadens im Lichte der Rechtsprechung des Europäischen Gerichtshofes weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht, sodass die Betroffenen einen wirksamen Ersatz bekommen. Der Schaden muss erlitten worden, d.h. tatsächlich entstanden sein und darf nicht lediglich befürchtet werden (vgl. Wolff/Brink/Quaas, BeckOK DatenschutzR, DS-GVO Art. 82 Rn.25). Um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen, wird gefordert, dass der Schaden "spürbar", objektiv nachvollziehbar und von gewissem Gewicht sein muss (Paal/Pauly/Frenzel DS-GVO Art. 82 Rn.10). Die Erwägungsgründe nennen beispielhaft folgende Nichtvermögens- wie Vermögensschäden: Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugte Aufhebung der Pseudonymisierung oder andere gesellschaftliche Nachteile, die an sich schon ein immaterieller Schaden sind, sich zudem zu einem materiellen Schaden verwirklichen können; des Weiteren finanzielle Verluste oder andere erhebliche wirtschaftliche Nachteile (jeweils Erwägungsgrund 75 und 85). Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss, ob der Datenverlust an sich oder ein ungutes Gefühl ein ausreichender Schaden ist und so genannte Bagatellschäden auszuschließen sind, wird nicht einheitlich beurteilt (offen gelassen BVerfG (2. Kammer des Ersten Senats), Beschluss von 14.1.2021 - 1 BvR 2853/19, Rn. 8 ff., beck-online; dagegen LG Düsseldorf, Urteil vom 28.10.2021 - 16 O 128/20; OLG Frankfurt a. M. (13. Zivilsenat), Urteil vom 02.03.2022 - 13 U 206/20, Rn. 29, beck-online), kann aber hier dahinstehen.

Gemessen an diesen Voraussetzungen hat die klagende Partei nämlich keinen ersatzfähigen Schaden erlitten. Die klagende Partei hat sämtliche Daten, die nach ihrem Vortrag durch den streitgegenständlichen Vorfall widerrechtlich erlangt wurden (vgl. Replik S. 11, Bl. 277 d. A.), selbst im Internet veröffentlicht. So tritt sie offenkundig mit ihrer bei F. hinterlegten Handynummer unter ihrem vollen Namen öffentlich und für jeden Dritten einsehbar im Internet auf. Die klagende Partei hat auf der Website "www.bandnet.hamburg.de" ihre Handynummer, welche der durch den Scraping-Vorfall abgegriffenen Nummer entspricht, inklusive Anschrift und Arbeitgeber für jeden zugänglich veröffentlicht. Auf Grund dessen war es für die klagende Partei schon nicht möglich, einen behaupteten Kontrollverlust über ihre Daten auf Grund des streitgegenständlichen Vorfalls zu erleiden. Auf Grund der Tatsache, dass diese selbst unter ihrer Handynummer sowie weiteren privaten Daten im Internet öffentlich auftritt, hat diese zum Ausdruck gebracht, dass es für sie nicht von maßgeblicher Relevanz ist, inwiefern ihre Daten von Dritten eingesehen und möglicherweise verwendet werden können. Durch die eigene Veröffentlichung der Daten war es von vorneherein - ebenso wie im streitgegenständlichen Vorfall - möglich, dass Dritte die Daten zu möglicherweise kriminellen Zwecken nutzen. Auf Grund dessen trägt der Vortrag der klagenden Partei nicht, sie leide unter einem durch den Scraping-Vorfall ausgelösten Unwohlsein.

c) Das Gericht ist berechtigt, die oben benannten Informationen zu verwerten. Ausnahmsweise steht eine Tatsache ohne Beweisaufnahme fest, wenn diese nicht beweisbedürftig ist. Nicht beweisbedürftig sind offenkundige Tatsachen. Bei der oben benannten Internet-Präsenz der klagenden Partei handelt es sich um eine solche offenkundige Tatsache nach § 291 ZPO, weil die Internetpräsenz allgemeinkundig ist. Allgemeinkundig ist eine Tatsache dann, wenn diese von einer beliebig großen Anzahl von Personen ohne besondere Sachkunde jederzeit wahrgenommen werden kann, sei es unmittelbar, sei es durch Zugriff auf allgemein zugängliche Quellen (Vorwerk/Wolf/Bacher, BeckOK ZPO § 291, Rn. 3). Bei der Veröffentlichung von privaten Daten im Internet - wie hier -, die für jedermann ohne Weiteres zugänglich sind, handelt es sich um allgemein zugängliche Quellen (OLG Dresden, Beschluss vom 20. Juni 2007 - 13 W 165/07, S. 1620, beck-online). Bei offenkundigen Tatsachen darf das Gericht auch privates Wissen verwenden und die notwendigen Grundlagen selbst ermitteln (vgl. BGH, Urteil vom 10. 5. 2007 - III ZR 115/06, Rn. 8, beck-online). Das Gericht muss den Parteien insoweit allerdings rechtliches Gehör gewähren, indem es sein Vorgehen vor oder in der mündlichen Verhandlung bekannt gibt (vgl. BGH, Urteil vom 10. 5. 2007 - III ZR 115/06, Rn 8, beck-online; Stein/Jonas/Leipold, § 291 Rn. 12). Dem hat das Gericht genüge getan, indem dieses im Rahmen der mündlichen Verhandlung die Parteien auf den Umstand, dass die klagende Partei im Internet mit ihrer Telefonnummer auftritt, hingewiesen hat. Diesbezüglich wird auf das Sitzungsprotokoll Bezug genommen.

d) Das Gericht ist berechtigt, die offenkundige Tatsache ohne Behauptung durch die Parteien zum Gegenstand des Prozesses zu machen. Streitig ist, ob Rechtsfolgen aus Tatsachen hergeleitet werden können, auf welche sich die Parteien nicht berufen (vgl. Stein/Jonas/Leipold, ZPO, 21. Aufl., § 291 Rn. 18). Teilweise wird die Auffassung vertreten, das Gericht dürfe im Prozess offenkundige Tatsachen nicht berücksichtigen, wenn sie nicht vorgetragen sind. Das ergebe sich aus der Dispositionsmaxime (vgl. BAGE 28, 196, 201 [BAG 30.09.1976 - 2 AZR 402/75]) Die Gegenmeinung wird damit begründet, dass der Gesetzgeber mit dem Ausschluss der Beweislast in § 291 ZPO auch die Behauptungslast ausgeschlossen habe; außerdem könne es nicht angehen, dass die Parteien der richterlichen Urteilsgrundlage offenkundige Tatsachen entziehen (vgl. MünchKomm-ZPO/Prütting, 6. Auflage 2020, § 291 Rdnr. 13). Zumindest dürfe das Gericht seinem Urteil daher solche Tatsachen nicht zugrunde legen, deren Gegenteil offenkundig sei (vgl. Stein/Jonas/Leipold, a.a.O.,§ 291 Rn. 10). Die Kammer schließt sich letztgenannter Auffassung an, denn mit dem Richtigkeitsanspruch gerichtlicher Urteile lässt sich die Zugrundelegung offenkundig unzutreffender Tatsachen nicht vereinbaren. Darüber hinaus kann es dem Gericht nicht verwehrt sein, solche Tatsachen in der mündlichen Verhandlung anzusprechen. Bleiben seine Ausführungen unwidersprochen, ist davon auszugehen, dass die begünstigte Partei sie sich stillschweigend zu eigen macht (vgl. Vorwerk/Wolf/Bacher, BeckOK ZPO, 47. Edition, Stand: 1.12.2022, § 291, Rn. 9; vgl. auch BGH, Beschluss vom 01.07.2010 - I ZR 61/09, beck-online). Die Parteien sind den hierzu in der mündlichen Verhandlung erfolgten gerichtlichen Hinweisen nicht entgegengetreten. Daher ist davon auszugehen, dass die Beklagte sich die Internetpräsenz der klagenden Partei stillschweigend zu eigengemacht hat. Auch steht die eigene Internetpräsenz der klagenden Partei im Widerspruch zu ihrem Tatsachenvortrag. Ihr angeführter Kontrollverlust über ihre persönlichen Daten steht im Widerspruch dazu, dass ein solcher Kontrollverlust gerade wegen der eigenen Internetpräsenz nicht erfolgen kann.

2. Der Feststellungsantrag zu Ziff. 2 ist ebenfalls unbegründet. Ein zulässiger Feststellungsantrag ist begründet, wenn die sachlichen und rechtlichen Voraussetzungen eines Schadensersatzanspruchs vorliegen, also ein haftungsrechtlich relevanter Tatbestand gegeben ist, der zu möglichen künftigen Schäden führen kann (vgl. BGH, Beschluss vom 9. 1. 2007 - VI ZR 133/06, Rn. 6, beck-online; ). Hier liegen, wie dargelegt, die Voraussetzungen des Schadensersatzanspruches aus § 82 Abs. 1 DS-GVO - mangels Schadens - schon nicht vor.

Auch die Möglichkeit weiterer materieller Schäden, die auf dem Verhalten der Beklagten beruhen - ist zu verneinen. Auf Grund der eigenen Veröffentlichung der privaten Daten war es für die klagende Partei schon nicht möglich einen behaupteten Kontrollverlust über ihre Daten - gerade wegen des streitgegenständlichen Vorfalls - durch Verwendung der Daten durch Dritte zu kriminellen Zwecken - zu erleiden. Dadurch, dass die Daten der klagenden Partei ohnehin öffentlich im Internet zugänglich sind, war es von Vorneherein möglich, dass Dritte diese für kriminelle Zwecke missbrauchen. Diese Möglichkeit beruht daher allein auf der eigenen Veröffentlichung. Durch die Veröffentlichung der Daten im Zusammenhang mit dem streitgegenständlichen Scraping-Vorfall wurde keine relevante weitere Gefahr des Missbrauchs geschaffen.

3.Der klagenden Partei stehen keine Unterlassungsansprüche gemäß den Klageanträgen zu 3 a) und b) aus § 1004 Abs. 1 S. 2, § 823 Abs. 1 BGB oder § 1004 Abs. 1 S. 2, § 823 Abs. 2 BGB iVm Art. 25 Abs. 1 u. 2 DS-GVO zu.

a) Ein Anspruch scheitert bereits an der Sperrwirkung der DS-GVO. Die DS-GVO sieht individualrechtliche Ansprüche in Art. 17 mit einem Löschungsanspruch und in Art. 82 mit einem Schadensersatzanspruch sowie in Art. 77 und 78 mit Ansprüchen gegen Aufsichtsbehörden vor, nicht aber einen Unterlassungsanspruch gegen den sog. Auftragsverarbeiter oder Verantwortlichen bei einem Datenschutzrechtsverstoß. Zugleich ist die DS-GVO angesichts des Anwendungsvorrangs des hierdurch unionsweit vereinheitlichten Datenschutzrechts als abschließend anzusehen (vgl. BGH, Urteil vom 3. Mai 2022 - VI ZR 832/20 -, Rn. 10, juris zum Auslistungsbegehren nach Art. 17 DS-GVO). Die klagende Partei kann ihren Anspruch nicht auf sonstige Vorschriften des nationalen deutschen Rechts stützen (vgl. aaO; LG Wiesbaden, Urteil vom 20. Januar 2022 - 10 O 14/21 -, Rn. 39, juris). Wie Art. 17 enthält auch Artikel 32 DS-GVO, der die Sicherheit der Verarbeitung regelt, eine ausdifferenzierte Güterabwägung und unbestimmte Rechtsbegriffe wie "nach dem Stand der Technik mögliche Sicherheitsmaßnahmen" und "ein dem Risiko angemessenes Schutzniveau", deren Prüfung nicht sinnvoll in das Vollstreckungsverfahren verlagert werden kann und nicht durch einen hiervon abweichenden Unterlassungsanspruch unterlaufen werden darf. Das Recht jeder betroffenen Person auf einen wirksamen gerichtlichen Rechtsbehelf nach Art. 79 Abs. 1 DS-GVO bezieht sich ausdrücklich nur auf die ihr aufgrund der DS-GVO zustehenden Rechte.

b) Selbst bei einer fehlenden Sperrwirkung der DS-GVO wären vorliegend die von der klagenden Partei begehrten, vorbeugenden Unterlassungsansprüche nicht gegeben.

Solche Ansprüche könnten nur auf § 1004 Abs. 1 S. 2 (analog) iVm § 823 Abs. 1 BGB und § 823 Abs. 2 BGB iVm Art. 25 Abs. 1 u. 2 DS-GVO gestützt werden, wobei die nicht von den Bestimmungen der DS-GVO gedeckte Übermittlung oder Verarbeitung personenbezogener Daten eine Verletzung des allgemeinen Persönlichkeitsrechts als sonstiges Recht im Sinne des § 823 Abs. 1 BGB darstellen würde (vgl. OLG Frankfurt, Urteil vom 14. April 2022 - 3 U 21/20 -, Rn. 29, juris mwN; Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 2. Juli 2021 - 17 U 15/21 -, Rn. 70, juris und vgl. oben unter I 2 b).

Voraussetzung eines jeden vorbeugenden Unterlassungsanspruch ist die Wiederholungsgefahr (vgl. BGH, Urteil vom 19. Oktober 2004 - VI ZR 292/03 -, Rn. 17, juris, mwN), an der es vorliegend - unterstellt es läge ein Verstoß gegen die DS-GVO vor - fehlt. Eine vorausgegangene, rechtswidrige Beeinträchtigung (Erstbegehung) begründet eine tatsächliche Vermutung für die Wiederholungsgefahr, an deren Widerlegung hohe Anforderungen zu stellen sind (vgl. BGH, Urteil vom 30. Oktober 1998 - V ZR 64/98 -, BGHZ 140, 1-11, Rn. 20). Vorliegend kann die Wiederholungsgefahr aber vollständig dadurch abgewendet werden, dass die klagende Partei die Suchbarkeit ihrer Telefonnummer auf der streitgegenständlichen Plattform der Beklagten auf "privat" einstellt. Der von der klagenden Partei vorgetragene Verstoß gegen die DS-GVO durch die Beklagte liegt allein darin, dass es Dritten möglich war, die Telefonnummer der klagenden Partei mit den auf ihrem Profil ohnehin öffentlich zugänglichen Daten durch einen Missbrauch des Kontakt-Importer-Tools zu verknüpfen, weil die Suchbarkeit der Telefonnummer auf "für alle" voreingestellt war bzw. die Beklagte hierüber nicht hinreichend informiert hat. Darin kann, wie die klagende Partei selbst vorträgt, nur dann ein Verstoß gegen die Datenschutzrechte gesehen werden, wenn die klagende Partei bei hinreichender Information bzw. anderer Voreinstellung ihre Telefonnummer (auch) hinsichtlich der Suchbarkeit auf "privat" gestellt hätte bzw. nach Kenntnis von dem datenschutzrechtlichen Vorfall auf "privat" stellt. Ob sie das vorliegend tatsächlich getan hat oder nicht, ist unerheblich, denn entweder hat sie damit die Wiederholungsgefahr ausgeräumt oder aber sie verstößt gegen den Grundsatz von Treu und Glauben nach § 242 BGB, indem sie sich selbst in einen unauflösbaren Selbstwiderspruch setzt. Eine Rechtsausübung kann dann unzulässig sein, wenn sich objektiv das Gesamtbild eines widersprüchlichen Verhaltens ergibt, weil das frühere Verhalten mit dem späteren sachlich unvereinbar ist und die Interessen der Gegenpartei im Hinblick hierauf vorrangig schutzwürdig erscheinen (vgl. BGH, Urteil vom 15. November 2012 - IX ZR 103/11 -, Rn. 12, juris). Diese engen Voraussetzungen sind vorliegend gegeben. Die klagende Partei kann nämlich nicht einerseits einen angeblichen Verstoß gegen Art. 25 Abs. 1 u. 2 DS-GVO daraus herleiten, dass sie bei zutreffender Information bzw. richtiger Voreinstellung die Suchbarkeit der Telefonnummer auf "privat" gestellt hätte, andererseits aber nach entsprechender Kenntnis hierüber die Suchbarkeit auf "für alle" belassen, obwohl ihr die Umstellung aufgrund der entsprechenden Kenntnis hierüber unproblematisch möglich wäre, und dann darauf einen vorbeugenden Unterlassungsanspruch stützen.

Auch ist die klagende Partei den ausführlichen Darlegungen über die Maßnahmen, durch die die Beklagte ein Abgreifen der für alle suchbaren Telefonnummer mittlerweile verhindert hat, nicht substantiiert entgegengetreten. Ein einfaches Bestreiten (vgl. Protokoll zur mündlichen Verhandlung) reicht hierfür nicht aus, weil die geänderte Funktionsweise des Kontakt-Importer-Tools auch für den Anwender ohne besondere Fachkunde überprüft werden kann. Nach dem Vortrag der Beklagten ist nämlich ein erneuter, gleicher Missbrauch des Kontakt-Importer-Tools durch dessen Neugestaltung erheblich erschwert bis unmöglich geworden. Im ersten Schritt habe die Beklagte das Kontakt-Importer-Tool derart geändert, dass wenn ein Nutzer seine Kontaktliste von seinem Mobiltelefon über das Kontakt-Importer-Tool auf die Plattform hochgeladen habe, der übereinstimmende Nutzer nur dann dem importierenden Nutzer angezeigt worden sei, wenn dieser zugleich einen Namen sowie die Telefonnummer für den hochgeladenen Kontakt importiert habe, der dem Namen des übereinstimmenden Nutzers geähnelt habe oder der übereinstimmende Nutzer den importierenden Nutzer bereits in seinen Kontakten gehabt habe (vgl. Duplik der Beklagten ). Die Beklagte habe die Kontakt-Importer-Funktion schließlich dergestalt überarbeitet, dass nach dem Import der Kontakte nur noch eine Liste von Personen angezeigt werde, die die importierende Person kennen könnte, deren Telefonnummern aber nicht zwingend mit den importierten Kontakten übereinstimme ("Menschen, die du kennen könntest" - "people you may know-Funktion", PYMK-Funktion; Duplik aaO). Diese Maßnahmen sind ohne Weiteres überprüfbar.

Soweit die Unterlassungsanträge im Übrigen allgemeiner formuliert sind, fehlt es bereits an der Erstbegehung und damit an der tatsächlichen Vermutung der Wiederholungsgefahr. Insoweit besteht auch keine erstmalige konkret drohende Beeinträchtigung (vgl. zu diesem Erfordernis BGH, Urteil vom 5. Juli 2019 - V ZR 96/18 -, Rn. 28, juris; Urteil vom 17. September 2004 - V ZR 230/03 -, BGHZ 160, 232-240, Rn. 11). Dies gilt etwa für: "die Telefonnummer auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Information darüber erlangt wurde" gemäß dem Klageantrag zu 3 b).

Auch soweit der Antrag zu 3 a) über die Telefonnummer hinausgehende, personenbezogene Daten benennt, ist er jedenfalls deswegen unbegründet, weil keine Erstbegehung vorliegt. Dafür, dass über das Kontakt-Importer-Tool andere Daten als die jeweilige Telefonnummer abgegriffen wurden (und dadurch die Verbindung zu den ohnehin öffentlich einsehbaren Daten hergestellt wurde), ist die klagende Partei beweisfällig geblieben.

4. Auch der auf Auskunft gerichtete Klageantrag zu 4) hat keinen Erfolg.

Der allein in Betracht kommende datenschutzrechtliche Auskunftsanspruch der klägerischen Partei nach Art. 15 DS-GVO ist durch Erfüllung nach § 361 BGB erloschen. Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Der klagenden Partei stand nach dieser Vorschrift grundsätzlich ein Auskunftsanspruch über die bei der Beklagten als Verantwortliche im Sinne des Art. 4 Nr. 7 HS. 1 DS-GVO verarbeiteten sie betreffenden personenbezogenen Daten zu. Erfüllt ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen (BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19 -, Rn. 17 - 24, juris). Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen (aaO). Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen (aaO). Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (aaO). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll (aaO).

Vorliegend hat die Beklagte gemessen an diesen Grundsätzen, die Auskunft zum Teil vorgerichtlich und im Übrigen während des Rechtsstreits vollständig erfüllt. Das Auskunftsverlangen der klägerischen Partei gemäß dem Klageantrag zu 4) setzt sich aus zwei Teilen zusammen: einem allgemeinen, gerichtet auf die sie betreffenden personenbezogenen Daten und einem besonderen, gerichtet darauf, welche Daten durch welche Empfänger wann bei der Beklagten durch Scraping oder Anwendung des Kontakt-Importer-Tools erlangt werden konnten.

Das allgemeine Auskunftsverlangen hat die Beklagte mit ihren vorgerichtlichen Schreiben, inhaltsgleich zur Anlage K2, und Anlage B 16, erfüllt. Mit der Klagebegründung zeigt die Klägerseite nicht auf, welche Informationen ihr insoweit fehlen. Auch begegnet es keinen Bedenken, dass sich die klagende Partei die gewünschten Informationen mithilfe der ausführlichen Anleitung durch die Beklagte (vgl. Anlage K16) selbst von der Plattform herunterladen kann bzw. muss. Für die Auskunft und die Datenkopie ist keine bestimmte Form vorgeschrieben (BeckOK DatenschutzR/Schmidt-Wudy, 42. Ed. 1.11.2022, DS-GVO Art. 15 Rn. 83).

Was den besonderen Teil des Auskunftsverlangens angeht, kann die klägerische Partei diesen - entgegen der Ansicht der Beklagten - auch auf Art. 15 DS-GVO stützen. Der Anspruch aus Art. 15 Abs. 1 Nr. 1 c DS-GVO umfasst die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Eine Offenlegung liegt schon dann vor, wenn Daten bloß zum Abruf bereitgehalten werden (Kühling/Buchner/Herbst DS-GVO Art. 4 Nr. 2 Rn. 30). Der Ausdruck "andere Form der Bereitstellung" in Art. 4 Nr. 2 DS-GVO verdeutlicht den Charakter der Offenlegung als "Zugänglichmachen" (aaO, Rn. 33). Für die Auskunft über die Empfänger kommt es nicht darauf an, ob die Offenlegung rechtmäßig erfolgte (Gola/Heckmann/Franck DS-GVO Art. 15 Rn. 11). Auch entsprechende Schutzverletzungen sind insoweit mitzuteilen (aaO). Da somit ein Bereithalten der Daten zum Abruf für eine Offenlegung ausreichend ist, kann diese bereits in der Suchbarkeit der Telefonnummer des betroffenen Nutzers für alle sowie der Darstellung der öffentlich einsehbaren Daten in den jeweiligen Profilen gesehen werden. Der Begriff des Empfängers wird in Art. 4 Nr. 9 S. 1 DS-GVO als jede Stelle definiert, der personenbezogene Daten offengelegt wurden (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 13 Rn. 28). Er muss kein Dritter iSv Art. 4 Nr. 10 DS-GVO sein (aaO).

Im Rechtsstreit hat die Beklagte vorgetragen, dass unbekannte Dritte die auf dem Profil des jeweiligen Nutzers öffentlich einsehbaren Informationen abgegriffen und diese mit dessen Handynummer verknüpft haben. Damit hat sie sich darüber erklärt, welche Daten betroffen waren. Sie hat im Termin zur mündlichen Verhandlung auf Nachfrage durch die Kammer zudem erklärt, keine weiteren Angaben zur Identität der Dritten, also der Empfänger, machen zu können. Sie hat erklärt, auch zur Kenntnisbeschaffung hierüber bisher nicht in der Lage gewesen zu sein. Der Auskunftsanspruch erstreckt sich jedoch nur soweit, wie der Anspruchsgegner die Empfänger der Daten noch oder schon kennt (vgl. Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 16). Soweit die Beklagte im Termin zur mündlichen Verhandlung mitgeteilt hat, dass eine "Art Logbuch" für den damaligen Zeitraum nicht mehr bestehe, so löst auch dies keine Ergänzung des Auskunftsanspruchs aus, denn der Verantwortliche muss grundsätzlich keine Auskunft über Daten erteilen, die er in der Vergangenheit verarbeitet hat, über die er jedoch nicht mehr verfügt, wenn er sie nicht auf das Auskunftsersuchen hin gelöscht hat (vgl. Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 8a). Letzteres ist vorliegend nicht ersichtlich. Ein Datenermittlungs- oder -beschaffungsanspruch ist, anders als die klagende Partei meint, mit dem Auskunftsrecht nach Art. 15 DS-GVO nicht verbunden.

5. Mangels Hauptansprüchen hat die klagende Partei keinen Anspruch auf Ersatz ihrer vorgerichtlichen Rechtsanwaltskosten, sowie etwaige Zinsansprüche.

6. Die nach dem Schluss der mündlichen Verhandlung eingegangenen, nicht nachgelassenen Schriftsätze geben keinen Anlass zur Wiedereröffnung der mündlichen Verhandlung nach § 156 ZPO.

III.

Die Kostenentscheidung folgt aus § 91 Abs. 1 S. 1 ZPO; die Entscheidung über die vorläufige Vollstreckbarkeit ergibt sich aus § 709 S. 1 und 2 ZPO