Entscheidungsgründe

Die Klage ist zulässig, aber nur teilweise begründet.

A. Die Klage ist zulässig.

I. Das Landgericht Hannover ist international, sachlich und örtlich zuständig.

1) Deutsche Gerichte sind international zuständig.

a) Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt. EuGVVO (Brüssel IaVO).

Gemäß Art. 1 Abs. 1 EuGVVO ist die EuGVVO sachlich anwendbar auf Zivil- und Handelssachen. Vorliegend handelt es sich um eine Zivilsache.

Die Zuständigkeit der deutschen Gerichtsbarkeit folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt. EuGVVO. Ein ausschließlicher Gerichtstand gemäß Art. 24 EuGVVO ist hier nicht ersichtlich. Gemäß Art. 18 Abs. 1 2. Alt. EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Der Kläger ist gemäß Art. 17 Abs. 1 EuGVVO Verbraucher. Er gibt an, einen Nutzungsvertrag mit der Beklagten geschlossen zu haben über die Nutzung der Social-Media-Plattform Facebook mittels eines Benutzerkontos zu privaten Zwecken. Als doppelrelevante Tatsache reicht in der Zulässigkeit das Behaupten von Tatsachen, aus denen sich ein solcher vertraglicher Anspruch ergeben kann.

Der Kläger hat seinen Wohnort in xxx in Deutschland.

b) Die internationale Zuständigkeit deutscher Gerichte ergibt sich ferner aus Art. 79 Abs. 2 DSGVO. Danach können Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

Gemäß Art. 4 Nr. 7, 8 DSGVO sind Verantwortliche natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Auftragsverarbeitende sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

Die Beklagte selbst erklärt, dass sie in den meisten Fällen die Rolle als Verantwortliche bekleide. Lediglich, wenn sie Werbekunden bediene, könne sie ausnahmsweise als Auftragsverarbeitende fungieren (https://www.facebook.com/business/gdpr). Die Beklagte ist zudem keine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

Der Kläger als betroffene Person hat seinen Wohnsitz in Deutschland. Die deutsche Gerichtsbarkeit ist international zuständig.

2) Das Landgericht Hannover ist gemäß §§ 23 Nr. 1, 71 Abs. 1 GVG sachlich zuständig. Der Streitwert liegt bei über 5.000,- €.

3) Die örtliche Zuständigkeit folgt aus Art. 18 Abs. 1 2. Alt. EuGVVO.

Danach kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Das Landgericht ist unabhängig davon nach Art. 79 Abs. 2 S. 2 DSGVO, § 44 Abs. 1 S. 2 BDSG örtlich zuständig (besonderer Gerichtsstand).

Der Kläger hat seinen Wohnsitz in xxx und damit im Bezirk des angerufenen Gerichts.

II) Die Klage ist hinreichend bestimmt.

1) Der Zulässigkeit der Klage steht nicht die Unbestimmtheit des Klageantrags zu 1) (§ 253 Abs. 2 ZPO) entgegen.

Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Ein Verstoß gegen den in § 253 Abs. 2 Nr. 2 ZPO normierten Bestimmtheitsgrundsatz liegt dann nicht vor, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 ZPO oder vom billigen Ermessen des Gerichts abhängig ist. Die nötige Bestimmtheit soll hier dadurch erreicht werden, dass der Kläger in der Klagebegründung die Berechnungs- bzw. Schätzgrundlagen umfassend darzulegen und die Größenordnung seiner Vorstellungen anzugeben hat (vgl. Greger in: Zöller, 33. Aufl. 2020, § 253 ZPO Rn. 14). Diese Voraussetzungen liegen hier vor. Der Kläger hat einen Mindestbetrag angegeben.

Dabei liegen entgegen der Auffassung der Beklagten auch nicht zwei Streitgegenstände (Verhalten vor dem Scraping-Vorfall einerseits und Geschehen nach diesem Vorfall andererseits) vor. Maßgeblich ist insoweit der sogenannte zweigliedrige Streitgegenstandsbegriff; danach wird der Streitgegenstand durch den Antrag und den zu seiner Begründung vorgetragenen Lebenssachverhalt als gleichwertige Elemente gebildet; demgemäß lässt sich der Streitgegenstand definieren als das Begehren der vom Kläger auf Grund eines bestimmten Lebenssachverhalts beantragten Entscheidung; dabei wird der Lebenssachverhalt aus allen Tatsachen gebildet, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden Betrachtungsweise zu dem durch den Vortrag des Klägers zur Entscheidung gestellten Tatsachenkomplex gehören (vgl. MüKoZPO, 6. Aufl., ZPO vor § 253 Rn. 32, 33, m.w.N., beck-online). Diese Betrachtungsweise verbietet vorliegend eine Differenzierung des Geschehens vor und nach dem Scraping, denn die Umstände nach dem Scraping stellen die Fortsetzung des Sachverhaltes bis zu diesem Zeitpunkt dar.

2) Der Klagantrag zu 2) - Feststellungsanspruch - ist ebenfalls hinreichend bestimmt.

Die Antragsformulierung "alle künftigen Schäden [...] die entstanden sind und / oder noch entstehen werden", lässt sich zwanglos dahingehend auslegen, dass damit all diejenigen möglichen Schäden gemeint sind, die erst nach Schluss der mündlichen Verhandlung entstehen oder vorher entstanden sind, dem Kläger aber erst nach dem vorgenannten Zeitpunkt bekannt werden.

3) Der Antrag zu 3) - Unterlassungsanspruch - ist hinreichend bestimmt.

Zwar ist die Formulierung "nach dem Stand der Technik möglichen Sicherheitsmaßnahmen" auslegungsbedürftig, so dass Vollstreckungsprobleme denkbar sind. Allerdings ist nach höchstrichterlicher Rechtsprechung eine gewisse Auslegungsbedürftigkeit zur Gewährleistung effektiven Rechtsschutzes hinzunehmen (BGH, GRUR 2015, 1237 [BGH 21.05.2015 - I ZR 183/13], Rn. 15, BGH NJW 2004, 2080 [BGH 04.03.2004 - I ZR 221/01]). Der Kläger kann nicht einschätzen, was die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen beinhalten, was dann dazu führt, dass das Vollstreckungsorgan gegebenenfalls Wertungen vornehmen muss. Es wäre verfehlt im Lichte des effektiven Rechtsschutzes i. S. d. Art. 19 GG, würde von dem Kläger verlangt, dass er für eine hinreichend konkrete Antragstellung den aktuellen Stand der Technik selbst ermitteln muss. Dies gilt umso mehr, als sich der Stand der Technik künftig fortlaufend ändern mag.

III. Es besteht zudem ein Feststellungsinteresse gemäß § 256 Abs. 1 ZPO bezüglich des Antrags zu 2).

Der Kläger hat sein Feststellungsinteresse gemäß § 256 Abs. 1 ZPO hinreichend dargelegt. Ein Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH, Beschluss vom 09. Januar 2007 - VI ZR 133/06 -, juris; BGH, Urteil vom 16. Januar 2001 - VI ZR 381/99 -, juris; Saarländisches Oberlandesgericht Saarbrücken, Urteil vom 20. Februar 2014 - 4 U 411/12, Rn. 46, juris, m.w.N.). Bei den behaupteten Verstößen gegen die DSGVO mit der dargelegten unkontrollierten Nutzung gescrapter Daten ist bei verständiger Würdigung zumindest nicht gänzlich ausgeschlossen, dass irgendein materieller oder immaterieller Schaden künftig noch entstehen könnte.

Die Frage, ob auch eine gewisse Wahrscheinlichkeit für einen künftigen Schadenseintritt besteht, ist als solche der Begründetheit des Feststellungsantrags anzusehen.

IV. Es besteht auch ein Rechtsschutzinteresse bzgl. des Antrags zu 3) (Unterlassung) soweit die Telefonnummer betroffen ist.

Die Beklagte meint, weil der Kläger durch Anpassung seiner Suchbarkeitseinstellungen es selbst verhindern könne, dass sein Profil anhand ihrer Telefonnummer gefunden werden könne - und dies später auch getan habe - bestehe insoweit für den Unterlassungsanspruch kein Rechtsschutzinteresse; weshalb der Kläger weiterhin ein Interesse an der gerichtlichen Klärung haben sollte für eine rein potenzielle Möglichkeit des Auslesens der Telefonnummer bei einem künftigen Scraping-Vorfall, sei bloße Spekulation und unsubstantiiert.

Diese Argumentation greift nicht durch. Das Rechtsschutzbedürfnis soll nur objektiv sinnlose Klagen verhindern; wegen des grundsätzlich bestehenden Justizgewährungsanspruchs darf diese Zulässigkeitsvoraussetzung nur unter ganz besonderen Umständen verneint werden; hiervon zu trennen ist dabei die materielle Berechtigung des Klagebegehrens; im Zweifel muss schon aus Rechtskraftgründen die Zulässigkeit angenommen und gegebenenfalls dann (erst) die Begründetheit des Anspruchs verneint werden, dies gilt insbesondere dann, wenn sich die Schutzwürdigkeit der klägerischen Position erst aufgrund näherer Prüfung materiell-rechtlicher Fragen beurteilen lässt, dann darf das Rechtsschutzbedürfnis nicht verneint werden (vgl. Zöller-Greger, ZPO, 34. Aufl., Vor § 253 Rn. 18).

B. Die Klage ist teilweise begründet.

I. Der Antrag zu Ziffer 1) (Schadensersatz) ist in Höhe von 500,- € begründet.

Der Kläger hat gegen die Beklagte einen Anspruch auf Schadensersatz aus Art. 82 DSGVO in Höhe von 500,- €.

1) Eine Pflichtverletzung der Beklagten in diesem Sinne ist gegeben.

a) Zum einen liegt ein Verstoß gegen Art. 13 DSGVO vor. Die Beklagte ist den ihr nach Art. 13 DSGVO auferlegten Informations- und Aufklärungspflichten nicht in vollständigem Umfang nachgekommen.

aa) Bei Art. 13 DSGVO handelt es sich um Konkretisierungen der Grundsätze nach Maßgabe von Art. 5 Abs. 1 DSGOV.

"Die in Art. 5 Abs. 1 niedergelegten Grundsätze werden in Einzelvorschriften der DS-GVO konkretisiert. Der Grundsatz der Rechtmäßigkeit wird vor allem in den Vorschriften über die Rechtmäßigkeit der Datenverarbeitung ausgestaltet (Art. 6 Abs. 1). Das Transparenzprinzip ist Grundlage für die Anforderungen an die Art und Weise und den Inhalt der Information und Benachrichtigung der betroffenen Personen (vor allem in Art. 7 Abs. 2, Art. 12-15 und Art. 34)." (Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, DS-GVO Art. 5 Rn. 6)

bb) Bei der Vorschrift des Art. 13 DSGVO handelt es sich um eine solche, die zu dem Kreis der eine Schadensersatzpflicht gemäß Art. 82 DSGVO auslösenden Vorschriften zählt.

Die Kammer verkennt dabei nicht die restriktive Gegenauffassung:

"Es fehlt an einer schadenersatzauslösenden Pflichtverletzung der Beklagten im Sinne der DS- GVO.

Soweit der Kläger der Beklagten mehrere Verstöße vorwirft, nämlich

- ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zu den Fragen der Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 a DSGVO),

- unmittelbaren Verstoß gegen Art. 13, 14 DSGVO, die konkrete Informationspflichten enthielten, die seitens der Beklagten nicht eingehalten worden seien, - ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 24, 32 DSGVO),

- unvollständige Auskunftserteilung nach Art. 15 DSGVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Klägers durch Ausnutzung des Kontaktimporttools zugänglich gemacht worden seien (Art. 33, 34 DSGVO)

sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DSGVO umfasst.

Art. 82 Abs. 1 DSGVO legt fest, dass jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat. Art. 82 Abs. 2 DSGVO regelt den anspruchsbegründenden Sachverhalt. Gemäß Art. 82 Abs. 2 S. 1 DSGVO haftet danach jeder an einer Verarbeitung von Daten beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO.

Gemäß Art. 4 Nr. 2 DSGVO ist Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, durch den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechten ist hingegen nicht erfasst (AG Strausberg, Urteil vom 13.10.2022, 25 C 95/21, BeckRS 2022, 27811, Rn. 17).

Der Schutzbereich des Art. 82 DSGVO als hier maßgebliche Anspruchsgrundlage umfasst ebensowenig Verstöße gegen Artikel 34 DSGVO (s. a.: OLG Stuttgart, Urteil vom 31.3.2021, 9 U 34/21, juris Rn. 61; LG Düsseldorf, Urteil vom 28.10.2021, 16 O 128/20, GRUR-RS 2021, 33076, Rn. 27; LG Bonn, Urteil vom 1.7.2021, 15 O 372/20, juris, Rn. 41). Schließlich lässt sich auch von vornherein aus Artikel 24 DSGVO kein entsprechendes subjektives Recht herleiten (Taeger/Gabel, DSGVO, 4. Auflage 2022, Artikel 24, Rn. 89).

Selbiges gilt für Art. 25 DSGVO (Taeger/Gabel, DSGVO, a. a. O., Art. 25, Rn. 100). Daher kann auch dahin stehen, ob Verstöße etwa gegen Artikel 13, 14 und 34 (in diesem Sinne verneinend auch AG Straußberg, Urteil vom 13.10.2022, 25 C 95/21, juris, Rn. 19) durch die Beklagte erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DSGVO fallen, weil auch sie "lediglich" Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben."

(LG Görlitz Endurteil v. 27.1.2023 - 1 O 101/22, BeckRS 2023, 1148 Rn. 30-34)

Die Kammer schließt sich indes der Rechtsauffassung an, nach der der Kreis derjenigen Pflichten, deren Verletzung gemäß Art. 82 DSGVO Schadensersatzpflichten auslösen, auch die Verletzung von Informations- und Aufklärungspflichten erfasst:

"Gemäß Art. 82 Abs. 1 DS-GVO haftet der Verantwortliche für Schäden wegen "Verstößen gegen diese Verordnung". Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung, wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt (vgl. OLG Stuttgart, Urteil vom 31.03.2021 - 9 U 34/21, BeckRS 2021, 6282 Rn. 25; Kreße in Sydow/Marsch, DS-GVO | BDSG, 3. Aufl. DS-GVO Art. 82 Rn. 7; a.A. Gola/Piltz in Gola/Heckmann, DS-GVO - BDSG, 3. Aufl. DS-GVO Art. 82 Rn. 5)."

(LG Stuttgart Urt. v. 26.1.2023 - 53 O 95/22, BeckRS 2023, 1098 Rn. 44)

Danach sind namentlich auch Verstöße gegen Art. 13 DSGVO von Art. 82 DSGVO erfasst:

"Ein Verstoß gegen Art. 13 DS-GVO kann - entgegen der Annahme der Beklagten - ohne weiteres einen Schadensersatzanspruch nach Art. 82 DS-GVO nach sich ziehen (vgl. nur Schmidt-Wudy in BeckOK-Datenschutzrecht, Stand: 01.11.2022 DS-GVO Art. 13 Rn. 18; Franck in Gola/Heckmann, DS-GVO - BDSG, 3. Aufl. DS-GVO Art. 13 Rn. 64; a.A. LG Essen, Urteil vom 10.11.2022 - 6 O 111/22, GRUR-RS 2022, 34818)."

(LG Stuttgart Urt. v. 26.1.2023 - 53 O 95/22, BeckRS 2023, 1098 Rn. 64)

In der Abwägung der Argumente ist die zweitgenannte Ansicht überzeugender:

Die restriktive Auffassung wird u.a. auf Erwägungsgrund 146 S. 1 zur DSGVO gestützt, der auf die Verarbeitung Bezug nimmt:

"Zunächst muss bei einer Verarbeitung gegen die DS-GVO verstoßen worden sein. Zwar wurde im Verfahren zum Erlass der DS-GVO die Einbeziehung sämtlicher Handlungen über eine Verarbeitung hinaus in Art. 82 debattiert. Letztlich wurde der Wortlaut von Art. 82 insoweit zwar offen formuliert, der Erwägungsgrund 146 S. 1 dafür umso klarer auf Schäden infolge einer Verarbeitung begrenzt. Der Begriff der Verarbeitung ist jedoch weit gefasst, und hinsichtlich anderer Handlungen oder Unterlassungen bestehen andere Anspruchsgrundlagen."

(Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 8)

Wörtlich lautet dieser Erwägungsgrund:

"Erwägungsgrund 146 S. 1: "Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen."

Die Beschränkung auf Verletzungen im Rahmen der (i.R.d.) Datenverarbeitung widerspräche indes dem Wortlaut des Art. 82 Abs. 1 DSGVO und v.a. - und letztlich entscheidend - dem Ziel des Art. 82 DSGVO. Wären nämlich Verstöße gegen die Informations- und Aufklärungspflichten von dem Schadensersatz-Regime ausgenommen, drohte eine erhebliche Schutzlücke. Bereits mit der unterlassenen Aufklärung ergeben sich erhebliche Gefährdungslagen für den Nutzer, was es rechtfertigt, entsprechende Pflichtverstöße unmittelbar mit einer Schadensersatzrechtsfolge zu belegen.

cc) Es liegt auch im konkreten Fall eine Verletzung des Art. 13 Abs. 1 lit. c DSGVO vor.

(a) Gemäß Art. 13 DSGVO hat der Verantwortliche eines Datenverarbeitungsprozesses gegenüber dem Betroffenen, dessen personenbezogene Daten verarbeitet und bei diesem erhoben werden, umfangreiche Informations- und Aufklärungspflichten zu erfüllen. Nach Art. 13 Abs. 1 lit. c DSGVO besteht eine Informationspflicht insbesondere dahingehend, dass der Verantwortliche dem Betroffenen die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung mitteilt. Sinn und Zweck dieser Regelung ist, dass der Betroffene eines Datenverarbeitungsprozesses unter Berücksichtigung der Grundsätze einer fairen und transparenten Verarbeitung von personenbezogenen Daten nicht nur über die Existenz des Verarbeitungsvorganges, sondern darüber hinaus auch über die Zwecke der Verarbeitung unterrichtet wird (Ehmann/Selmayr/Knyrim, 2. Aufl. 2018, DS-GVO Art. 13 Rn. 1).

(b) Teilweise wird in der Rechtsprechung in Fällen wie dem vorliegenden die Auffassung vertreten, die Beklagte habe diese Anforderungen erfüllt (so z.B. LG Heilbronn Urt. v. 13.1.2023 - 8 O 131/22, BeckRS 2023, 330, und dort besonders die Rn. 28-30).

(c) Nach der Gegenauffassung hat die Beklagte ihren Pflichten gem. Art. 13 Abs. 1 lit. c) DSGVO in Fällen wie dem hiesigen nicht genügt.

Diese Auffassung geht zunächst davon aus, dass es gerade auf die Informationen des Nutzers vor bzw. bei der Registrierung ankomme. Entsprechend der Legaldefinition des Art. 4 Ziffer 2 DSGVO entstünden die Informations- und Aufklärungspflichten bereits mit der Erhebung personenbezogener Daten. Teile der Verantwortliche dem Betroffenen bereits bei Datenerhebung die in Art. 13 Abs. 1 und Abs. 2 DSGVO vorgesehenen Informationen nicht vollständig oder inhaltlich unrichtig mit, verletze er seine Informationspflichten. Demgemäß komme es insbesondere auf die Informationen im "Hilfebereich", der nach Registrierung einsehbar und nutzbar ist, schon gar nicht an. Verwiesen wird für diese Rechtsauffassung auf die Entscheidung LG Paderborn Urt. v. 19.12.2022 - 3 O 99/22, GRUR-RS 2022, 39349 Rn. 65, 66, nach welcher

"es auf die Informationen im Hilfebereich schon nicht ankommen dürfte, da die Datenerhebung - entweder durch Hinzufügen der Mobilfunknummer bei der Registrierung oder bei den "Handy-Einstellungen" - bereits erfolgt ist und eine Aufklärung [...] unterblieben ist".

Im Übrigen geht diese Rechtsprechung davon aus, dass selbst dann, wenn man die Informationen aus dem Hilfebereich für die Aufklärung des Nutzers mitberücksichtigen würde, damit die Pflichten gemäß Art. 13 Abs. 1 lit. c DSGVO nicht hinreichend erfüllt wären. Eine Verletzung der Informations- und Aufklärungspflichten des Art. 13 Abs. 1 lit. c DSGVO könne zwar nicht schon darin gesehen werden, dass seitens der Beklagten kein Hinweis bei Erhebung der Daten der Mobilfunknummer des Klägers erfolgt ist, dass bei der voreingestellt für "Alle" freigegebenen Mobilfunknummer die Möglichkeit einer missbräuchlichen Datenabgreifung besteht. Diese Möglichkeit sei nämlich nie ganz auszuschließen und unterfalle der Risikosphäre der betroffenen Person, weil dem Risiko einer missbräuchlichen Verwendung von persönlichen Daten zwangsläufig jede Person ausgesetzt sei, die ihre persönlichen Daten im Internet preisgebe bzw. diese in sozialen Netzwerken teile. Die Beklagte habe den Netzwerk-Nutzer allerdings bei Erhebung der Daten seiner Mobilfunknummer unzureichend über den Zweck der Verwendung seiner Mobilfunknummer für das seitens der Beklagten verwendete Contact-Import-Tool (kurz: CIT) aufgeklärt. Hierdurch habe sie ihre Informations- und Aufklärungspflichten nach Art. 13 Abs. 1 lit. c) DSGVO verletzt.

Diese Rechtsprechung geht also davon aus, dass die Beklagte gegenüber den jeweiligen Klägern bei Datenerhebung eine Informations- und Aufklärungspflicht nach Art. 13 Abs. 1 lit. c) DSGVO dahingehend hatte, diese auch und gerade über die beabsichtigte Verwendung seiner Mobilfunknummer für das CIT aufzuklären. Dies wird mit der spezifischen datenbezogenen Gefährdungslage durch das CIT begründet; durch die Verwendung des CIT ermögliche die Beklagte einem beliebigen Benutzer den Abgleich, der in seinem Smartphone gespeicherten Personenkontakte mit auf Facebook registrierten Benutzerprofilen, die ihr Benutzerprofil jeweils mit einer Mobilfunknummer verknüpft haben. Durch die Eingabe einer beliebigen Mobilfunknummer werde dem Benutzer ermöglicht, das mit der Mobilfunknummer verknüpfte Benutzerprofil zu identifizieren und die dort öffentlichen Daten einzusehen und ggf. zu verwenden.

(d) Die besseren Gründe sprechen aus Sicht der Kammer für die letztgenannte Auffassung, die einen Verstoß gegen Art. 13 Abs. 1 lit. c DSGVO bejaht. Die Beklagte ist der ihr auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen.

Nach Art. 13 Abs. 1 lit. c DS-GVO sind die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, zum Zeitpunkt der Erhebung der Daten mitzuteilen. Dem hat die Beklagte hinsichtlich der Verwendung der Mobilfunknummer für das von ihr verwendete Contact-Import-Tool (CIT) nicht genügt. Sie hat zum Zeitpunkt der Datenerhebung somit hinsichtlich der Mobilfunknummer nicht ausreichend über die Zwecke der Verarbeitung dieser Nummer aufgeklärt. Für die nach Art. 13 Abs. 1 lit. c DS-GVO erforderliche Aufklärung ist also davon auszugehen, dass sich diese gerade auf das CIT erstrecken muss, sodass eine Aufklärung über eine bloße "Auffindbarkeit" anhand der Mobilnummer nicht ausreicht. Denn eine bloße "Auffindbarkeit" kann so verstanden werden, dass andere Nutzer lediglich im Einzelfall die ihnen bekannte Mobilfunknummer eines Freundes oder Bekannten bei Facebook eingeben und diese Person finden können. Das CIT ermöglicht demgegenüber die Hochladung ganzer Kontaktlisten mit automatisiert-programmatischer Verknüpfung der Facebook-Profile. Damit verbindet sich aber auf der anderen Seite auch eine besondere Risikolage, weil somit eine Vielzahl von Suchaktionen gleichsam gebündelt erfolgen kann, was nicht zuletzt auch die Missbrauchsgefahr (etwa über fingierte Kontaktlisten mit auf "Glückauf" ersonnenen Telefonnummern bei besonders vielen Teilnehmern) steigert. Gerade deswegen muss nicht nur über die "Auffindbarkeit" via Mobilfunknummer, sondern auch spezifisch über die Funktionsweise des CIT aufgeklärt werden.

(e) Aus den vorgelegten Unterlagen ist nicht ersichtlich, dass die Beklagte über das CIT und seine Funktionsweisen aufgeklärt hat.

Zutreffend unterteilt die Rechtsprechung die betreffenden Informationen in drei Kategorien, nämlich:

- die Informationen in der Datenrichtlinie (aa),

- die Informationen im Hilfebereich (bb) sowie

- die bei der Registrierung bzw. späteren Hinzufügung einer Mobilfunknummer zur Verfügung gestellten Angaben (cc).

(aa) Den mit der Anlage B 9 und B 20 (Anlagenband Beklagte) überreichten Datenrichtlinien lässt sich eine Aufklärung über das von der Beklagte verwendete CIT nicht entnehmen.

Der Datenrichtlinie 2018 lässt sich auf den Seiten 3 und 4 unter der Überschrift "Wie verwenden wir diese Informationen" entnehmen, dass die von einem Benutzer preisgegebenen Informationen zur Bereitstellung, Verbesserung und Entwicklung der Dienste, zur Kommunikation mit dem die Informationen bereitstellenden Benutzer, zum Anzeigen und Messen von Werbeanzeigen und Diensten sowie zur Förderung der Sicherheit verwendet werden. Ein Hinweis auf die Verwendung der Mobilfunknummer für das CIT erfolgt nicht.

Auch den Hinweisen auf den Seiten 5 und 6 der Datenrichtlinie unter der Überschrift "Wie werden diese Informationen geteilt" lässt sich ein Hinweis auf die Verwendung der Mobilfunknummer für das CIT nicht entnehmen.

(bb) Auch mit dem Hilfebereich ist keine ausreichende Aufklärung über das CIT erfolgt:

Zunächst ist nochmals festzuhalten, dass es auf die dortigen Informationen, die erst nach Abschluss der Registrierung aufgerufen werden können und dem Nutzer gerade nicht bereits vor bzw. bei der Registrierung zur Verfügung gestellt werden, schon aus grundsätzlichen Erwägungen nicht ankommt.

Selbst wenn man dies anders bewerten wollte, wären die Informationen im Hilfebereich auch nicht ausreichend. Ein Hinweis auf die Verwendung des CIT lässt sich nämlich den dem Hilfebereich entnommenen Informationen, in das vorliegende Verfahren eingeführt als Anlagen B2 bis B6, nicht entnehmen. Die größte inhaltliche Nähe zum hier interessierenden Thema Suchbarkeit/CIT weisen die Inhalte der Anlagen B 5 und B 6 auf. Keine dieser Anlagen enthält hinreichende Informationen über die Verwendung des CIT.

Das gilt zunächst für die Inhalte der Anlage B5: Zwar wird in dem Abschnitt "Wie kann ich festlegen, wer mich über meine E-Mail-Adresse oder Handynummer auf Facebook finden kann?" (Anlage B 5) auf die Einstellungen der Suchbarkeit in Bezug auf E-Mail-Adressen und Telefonnummern eingegangen. Dem Nutzer wird mitgeteilt, aus dem Menü neben der jeweiligen Einstellung könne er auswählen, wer ihn anhand dieser Informationen finden kann. Damit könnte sich aber allenfalls eine Aufklärung darüber verbinden, dass dem Nutzer vor Augen geführt wird, dass er über eine von ihm angegebene Telefonnummer von bestimmten Personengruppen durch Eingabe derselben aufgefunden werden kann. Selbst dies wird aber nicht wirklich klar. So findet sich in der Anlage B5 (auch) der Satz: "Wenn du deine Telefonnummer oder deine E-Mail-Adresse in deinem Profil mit jemandem teilst, kann diese Person dich anhand dieser Informationen finden. Erfahre, wie du festlegst, mit wem du deine E-Mail-Adresse oder Telefonnummer teilst". Dieser Satz ist schon für sich genommen irreführend. Denn es erscheint hiernach so, als müsste der Nutzer selbst aktiv werden und sich im Einzelfall entscheiden, die Telefonnummer oder E-Mail-Adresse "mit jemandem", also naheliegend mit einer konkreten Person, zu teilen. Erst nach dieser Entscheidung werde die Auffindbarkeit anhand dieser Daten "freigegeben". Diese Information klärt also nicht einmal über eine bloße Suchbarkeit anhand der Telefonnummer als solche auf, sondern führt gerade im Gegenteil zu Unklarheiten und Verwirrungen, wenn nicht gar zu der Annahme, eine solche Suchbarkeit sei ohne Einzelfallentscheidung des Nutzers, die Daten aktiv mit jemandem zu teilen, ausgeschlossen. Erst recht aber findet sich hier keine - nach hier vertretener Auffassung aber erforderliche (s.o.) - Aufklärung gerade über die Funktionsweise des CIT.

Auch in der Hilfe zum Thema "Wozu verwendet Facebook meine Mobilnummer?" (Anlage B 6) finden sich keine hinreichenden Hinweise auf das CIT.

(cc) In Parallelverfahren hat die Beklagte teilweise auch zu Hinweisen im Rahmen der Registrierung bzw. bei Hinzufügung einer Mobilfunknummer im Rahmen sogenannten "Handy-Einstellungen" vorgetragen (s. beispielhaft die tatsächlichen Feststellungen bei LG Paderborn Urt. v. 19.12.2022 - 3 O 99/22, GRUR-RS 2022, 39349, und dort im Besonderen Rn. 62-64). Selbst wenn die betreffenden Informationen aufgrund der Angaben in Parallelverfahren als "gerichtsbekannt" zugrunde zu legen wären, ergäbe sich daraus nichts für eine hinreichende Aufklärung:

Dass die Beklagte die Nutzer über das durch sie verwendete CIT aufgeklärt hat, lässt sich der Rubrik "Handy-Einstellungen" sowie der Unterverlinkung durch einen Klick auf "Mehr dazu" nicht entnehmen. Dort findet sich zum einen die Aufklärung seitens der Beklagten über die Verwendung der Mobilfunknummer zum Zweck der "Zwei-Faktor-Authentifizierung". Zum anderen erfolgt der Hinweis, dass durch das Hinzufügen der Mobilfunknummer eben diese mit dem Benutzerkonto verknüpft sei und der jeweilige Benutzer festlegen könne, welche Personen dessen Mobilfunknummer sehen und welche Personen nach der betroffenen Person suchen könnten. Ein weitergehender Hinweis, dass die betroffene Person gerade durch das CIT der Beklagten im Wege eines Kontaktabgleichs durch Eingabe einer Mobilfunknummer gefunden werden kann, lässt sich den Einstellungen gerade nicht entnehmen

(dd) Abschließend ist anzumerken, dass die vorgenannten Informationen auch nicht isoliert betrachtet werden dürfen. Vielmehr ist davon auszugehen, dass ein Nutzer nicht zwingend sämtliche der zu einem bestimmten Sachthema verfügbaren Informationen parallel zur Kenntnis nimmt.

Soweit daher einzelne Informationsbereiche bestimmte Inhalte oder Begrenzungen hinsichtlich der Datenverwendung nahelegen, muss sich die Beklagte daran festhalten lassen. Insoweit sind hier insbesondere die Inhalte gemäß Anlage K 6 im Hilfebereich zu würdigen. Dabei wird durch die dort enthaltene Information "Möglicherweise verwenden wir deine Mobilnummer für diese Zwecke: ... Um dir Personen, die du kennen könntest, vorzuschlagen, damit du dich mit ihnen auf Facebook verbinden kannst" bereits in Bezug auf die bloße "Auffindbarkeit" des Nutzers über eine eingegebene Telefonnummer gerade ein gegenteiliger Eindruck erweckt. Es wird nicht darüber informiert, dass andere den Kläger als Nutzer finden können, sondern darüber, dass dem Kläger seine Telefonnummer nützlich sein kann, um seinerseits andere Facebook-Nutzer zu finden. Da zudem die Überschrift "Möglicherweise verwenden wir deine Mobilnummer für diese Zwecke" durchaus nahelegt, damit würden die Verwendungszwecke abschließend umschrieben, und sich auch sonst in Anlage K 6 keinerlei Hinweise auf die Suchbarkeit finden, kann hier der Eindruck entstehen, eine solche Auffindbarkeit sei nicht implementiert. Dass der Nutzer die Inhalte aus Anlage K 5, die wie oben dargestellt etwas weitergehend aufklären, parallel liest und all dies systematisch auslegt, kann nicht erwartet werden. Vielmehr widerspricht dies der Lebenserfahrung und -wirklichkeit.

In der Gesamtbetrachtung fehlt es also an einer hinreichenden Information jedenfalls über die Möglichkeiten des CIT, sodass von einem Aufklärungspflichtverstoß auszugehen ist.

b) Daneben liegt ein Verstoß gegen Art. 25 Abs. 1 DSGVO vor.

aa) In vergleichbaren Fällen wird hierzu in der Rechtsprechung Folgendes ausgeführt:

"aa) Die Beklagte hat gegen die ihr gemäß Art. 25 Abs. 1 DS-GVO auferlegte Obliegenheit verstoßen, geeignete Maßnahmen zu treffen, um die Rechte der klagenden Partei und ihre personenbezogenen Daten zu schützen.

Nach Art. 25 Abs. 1 DS-GVO hat der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen zu treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

[...]

Die von der Beklagten implementierten Sicherheitsmaßnahmen waren nicht ausreichend, um die Rechte der klagenden Partei und ihre personenbezogenen Daten insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung durch Dritte zu schützen. Dabei kann dahinstehen, ob die Beklagte die von ihr behaupteten Maßnahmen zur Bekämpfung von Scraping tatsächlich ergriffen hat, denn diese Maßnahmen waren jedenfalls für sich allein nicht geeignet, einen angemessenen Schutz der personenbezogenen Daten der klagenden Partei zu gewährleisten.

Die (angeblich) von der Beklagten implementierten Maßnahmen in Form von Ratenbegrenzung und Bot-Erkennungsmaßnahmen waren für die Zwecke des Art. 25 Abs. 1 DS-GVO nicht ausreichend, weshalb die Beklagte gegen Art. 25 Abs. 1 DS-GVO verstoßen hat. Insoweit befindet sich die Kammer im Einklang mit der irischen Datenschutzbehörde, die ebenfalls der Beklagten vorwirft, keine hinreichenden Sicherheitsmaßnahmen getroffen und damit gegen Art. 25 Abs. 1 DS-GVO verstoßen zu haben. Dabei berücksichtigt die Kammer, dass Scraping weit verbreitet und damit zum Zeitpunkt des Vorfalls unstreitig auch ein der Beklagten bekanntes Risiko gewesen ist. Hinsichtlich der von der Beklagten eingesetzten Übertragungsbeschränkungen war es nach dem eigenen Vortrag der Beklagten möglich, diese Beschränkungen zu umgehen. Trotz Kenntnis dieser Möglichkeit und auch des grundsätzlichen Risikos von "Scraping" hat es die Beklagte indessen unterlassen, weitergehende Maßnahmen zu treffen, was hier nach Auffassung der Kammer jedoch notwendig gewesen wäre. Es wäre für die Beklagte beispielsweise möglich gewesen, das Kontakt-Importer-Tool derart auszugestalten, dass eine Suche nach Nutzerprofilen nicht nur anhand von Telefonnummern erfolgen kann. Das Tool hätte beispielsweise neben der Telefonnummer weitere Variablen, wie den von dem Nutzer in seinem Adressbuch hinterlegten Vor- oder Nachname berücksichtigen können. Dies vor allem deshalb, weil Nutzer die Telefonnummern häufig mit dem dazugehörigen Klarnamen ihres Kontakts abspeichern. Entsprechend hat die Beklagte die Funktionsweise des Tools nach Bekanntwerden des Vorfalls auch umgestaltet."

(LG Lüneburg Urt. v. 24.1.2023 - 3 O 74/22, GRUR-RS 2023, 4813 Rn. 32-38)

bb) Die Gegenauffassung argumentiert wie folgt:

"Auch hat die Beklagte in der Klageerwiderung im Rahmen einer sekundären Darlegungslast substantiiert dargelegt, dass sie entgegen der pauschalen Behauptung des Klägers technische Maßnahmen ergriffen hat, um Scraping zu erschweren, indem sie nämlich eine Hürde implementiert hat, wonach Abfragen in gewissem Umfang von ein- und derselben IP-Adresse in einem bestimmten Zeitraum nicht möglich sind bzw. gestoppt werden, ebenso wie sie auch unter Verweis auf diverse Artikel, deren Link sie ebenfalls bekannt gegeben hat, die User informiert hat und schließlich über ein Team verfügt, das sich einzig mit der Verhinderung von Missbrauch von Daten ihrer User beschäftigt. Angesichts dieser konkreten Ausführungen wäre von dem Kläger zu erwarten gewesen, dass er im Lichte dieses Vortrags weiter ausführt, warum er trotzdem von einem Verstoß gegen Art. 25 DSGVO ausgeht. Auch wenn man die Darlegungslast im Lichte der bereits zitierten Rechtsprechung des EuGH anders sieht, so wäre die Beklagte dieser nachgekommen, und der Kläger hätte dies nicht erheblich bestritten, so dass es auch insoweit nicht einer Beweisaufnahme bedurfte (LG Essen Urt. v. 10.11.2022 - 6 O 111/22, GRUR-RS 2022, 34818, Rn. 67). Die Klägerseite führt nicht näher aus, worin der Verstoß gegen Art. 25 DSGVO im Einzelnen vorliegen soll, insbesondere auch nicht, worin der DPC diese gesehen haben soll. Der Verweis auf Links ist soweit nicht als inhaltlich genügendes Bestreiten anzusehen (Bl. 366 f. d.A.). Auch führt ein Verstoß gegen Art. 25 DSGVO allein, wie von der Klägerseite zu der DPC vorgetragen, nicht zu einem Schadenersatzanspruch nach Art. 82 DSGVO (LG Essen Urt. v. 10.11.2022 - 6 O 111/22, GRUR-RS 2022, 34818 Rn. 47)."

(so LG Bielefeld, Urteil vom 10. März 2023 - 19 O 147/22 -, Rn. 46, juris)

cc) Die Kammer schließt sich aus folgenden Gründen der erstgenannten Auffassung an:

Zu beachten ist, dass die Beklagte nur unsubstantiiert ausführt, Übertragungsbeschränkungen hätten die Anzahl der konkreten Datenabfragen, die pro Nutzer oder IP-Adresse über einen bestimmten Zeitraum gestellt werden könnten, reduziert. Im Übrigen ist - wiederum allgemein - von "Maßnahmen zur Bot-Erkennung" die Rede.

Auch wenn man davon ausgehen würde, dass die (primäre) Darlegungslast und damit auch Beweislast hierzu grundsätzlich bei der Klägerseite liegt, trifft die Beklagtenseite jedenfalls eine sekundäre Darlegungslast zu den von ihr getroffenen Sicherungsmaßnahmen. Es ist ohne weiteres ersichtlich, dass derartig allgemeine Ausführungen nicht genügen können. Eine "Reduzierung" der Anzahl der Datenabfragen pro IP-Adresse lässt keinerlei Rückschlüsse auf die tatsächliche Quantität der möglichen Datenabfragen zu.

Im Übrigen ist zu berücksichtigen, dass eine "Reduzierung" der Anzahl der Datenabfragen pro IP-Adresse für sich genommen schon keine hinreichende Sicherungsmaßnahme ist. Denn die "Scraper" können ihr Abfrage-System mit allgemein verfügbaren Mitteln (etwa unter Nutzung von VPN-Services mit frei wählbaren IP-Adressen) so programmieren, dass die datenabfragenden IP-Adressen in relativ kurzfristigen Abständen wechseln.

Wie in der o.g. Entscheidung des Landgerichts Lüneburg ausgeführt, wäre das Kontakt-Importer-Tool derart auszugestalten gewesen, dass eine Suche nach Nutzerprofilen nicht nur anhand von Telefonnummern erfolgen kann. Das Tool hätte beispielsweise neben der Telefonnummer weitere Variablen, wie den von dem Nutzer in seinem Adressbuch hinterlegten Vor- oder Nachnamen, berücksichtigen können. Das betreffende Unterlassen muss die Klägerseite auch nicht explizit vortragen, weil das Gericht seinerseits bestimmen muss, ob die beklagtenseits ausdrücklich vorgetragenen Maßnahmen nach dem anzulegenden rechtlichen und infolgedessen auch technischen Maßstab ausreichend sind oder nicht. Für diese Beurteilung muss der jeweilige Maßstab (das "Soll" als normative Vorgabe) durch das Gericht näher definiert werden. Diesem Soll wurde ersichtlich nicht genügt.

c) Zudem liegt ein Verstoß gegen Art. 25 Abs. 2 DSGVO vor.

Die Beklagte hat keine geeigneten technischen und organisatorischen Maßnahmen getroffen, mit denen sichergestellt wurde, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Hier geht es um "privacy per default", also eine Maximierung des Datenschutzes durch datenschonende Voreinstellungen.

Die Suchbarkeit umfasste - unstreitig - automatisch die Telefonnummer der Nutzer. Die Suchbarkeits-Einstellungen hatte die Beklagte im hier relevanten Zeitraum auf "Alle" voreingestellt, das heißt, dass jedermann mit der Telefonnummer nach einem Nutzerprofil suchen konnte und von jedermann auch über das Kontakt-Importer-Tool eine Verknüpfung zwischen Telefonnummer und dazugehörigem Nutzerprofil hergestellt werden konnte. Eine Ausnahme bestand nur dann, wenn der Nutzer nach seiner Registrierung die entsprechende Suchbarkeits-Einstellung in seinen Privatsphäre-Einstellungen aktiv änderte.

Mit der Bereitstellung dieses Systems machte die Beklagte die personenbezogenen Daten des Klägers ohne dessen Eingreifen einer unbestimmten Anzahl von Personen zugänglich. Das ist unter Beachtung des Nutzerinteresses, die personenbezogenen Daten zu schützen, welches gleichsam die "default option" bildet (also: Schutzinteresse als Regel, Verzicht darauf durch Freigabe i.R.d. Suchbarkeit als Ausnahme), nicht angemessen. Dementsprechend hat auch die irische Datenschutzbehörde einen Verstoß der Beklagten gegen Art. 25 Abs. 2 DS-GVO angenommen (so zutreffend LG Lüneburg Urt. v. 24.1.2023 - 3 O 74/22, GRUR-RS 2023, 4813 Rn. 39, 40).

d) Der Kläger hat auch einen Schaden erlitten.

aa) Das Vorliegen eines Schadens stellt eine eigenständige Tatbestandsvoraussetzung des Art. 82 DSGVO dar. Ein Verzicht auf das - eigenständige - Erfordernis eines Schadens widerspräche dem Wortlaut des Art. 82 Abs. 1 DSGVO. Nach dieser Bestimmung wird der Schadensersatz gerade deshalb gewährt, weil zuvor ein Schaden entstanden ist. Es ist daher eindeutig erforderlich, dass der natürlichen Person durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist (so auch: Generalanwalt beim EuGH Schlussantrag v. 6.10.2022 - C-300/21, BeckRS 2022, 26562 Rn. 27, 28).

bb) Damit kommt es vorliegend auf den positiven Nachweis eines über den bloßen Verstoß gegen die DSGVO hinausgehenden "Schadens" an. Der Begriff des Schadens im Sinne von Art. 82 Abs. 1 DS-GVO ist - europarechtlich autonom und unter Berücksichtigung der in den Erwägungsgründen zur DSGVO niedergelegten Zielsetzungen - auszulegen (OLG Koblenz, Urteil vom 18.05.2022 - 5 U 2141/21, juris Rn. 72; OLG Hamm Urt. v. 20.1.2023 - 11 U 88/22, GRUR-RS 2023, 1263 Rn. 98).

(a) Bereits der Kontrollverlust über die Daten stellt nach dieser europarechtlich-autonomen Auslegung einen Schaden im Sinne des Art. 82 DSGVO dar.

Dies folgt deutlich aus den Erwägungsgründen zur DSGVO (vgl. auch OLG Düsseldorf, ZD 2022, 337 Rn. 41; OLG Hamm Urt. v. 20.1.2023 - 11 U 88/22, GRUR-RS 2023, 1263 Rn. 106: "Hiernach reicht insbesondere ein Kontrollverlust der eigenen personenbezogenen Daten für die Annahme eines eingetretenen immateriellen Schadens aus").

In Erwägungsgrund 75, der sich mit Risiken für die Rechte und Freiheiten natürlicher Personen befasst, wird ausgeführt, diese Risiken könnten aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte. Letzteres wiederum sei u.a. dann anzunehmen, wenn die betroffenen Personen "daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren". Wenn in der Literatur gegen diese Auslegung eingewendet wird, Erwägungsgrund 75 DSGVO befasse sich mit "Risiken für die Rechte und Freiheiten natürlicher Personen" und ordne dementsprechend den Verlust der Kontrolle über personenbezogene (nur) als ein entsprechendes "Risiko" ein, setze ihn also gerade nicht mit einem (immateriellen) Schaden gleich (so Paal, NJW 2022, 3673 Rn. 5), so vermag dies bereits grammatikalisch nicht zu überzeugen. Der Erwägungsgrund beginnt mit den folgenden Worten: "Die Risiken für die Rechte und Freiheiten natürlicher Personen - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung [es folgt ein weitgefasste Aufzählung einschließlich des Kontrollverlustfalles]". Hier wird deutlich, dass der Verordnungsgeber die "Risiken für die Rechte und Freiheiten natürlicher Personen" gerade vor der Folie der möglichen Schadensentstehung ausdeutet. Anders ausgedrückt sind die hier thematisierten Risiken - nur - solche, die zu einem "physischen, materiellen oder immateriellen Schaden" führen können. Die folgende Aufzählung macht dann konsequenterweise deutlich, wann dies der Fall ist, sie steckt also den Rahmen für den Schadensbegriff ab, um auf diesem Weg zugleich die relevanten Risiken, die an die Möglichkeit eines Schadens anknüpfen, zu beschreiben (i.E. wie hier Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18b: Den Kontrollverlust nenne Erwägungsgrund 75 ausdrücklich als ,insbesondere' zu erwartenden Schaden). Diese Lesart wird durch Erwägungsgrund 85 gestützt, der sich mit der Meldepflicht von Verletzungen an die Aufsichtsbehörde auseinandersetzt. Dort wird in Satz 1 ausgeführt, eine Verletzung des Schutzes personenbezogener Daten könne "einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten". Dass hier der Kontrollverlust sogar an erster Stelle der sich anschließenden weiteren Aufzählung von Einzelfällen eines Schadens steht, unterstreicht die Bedeutung dieser Kategorie nach Maßgabe der Verordnung. Dass diese Einordnung in Erwägungsgrund 146, der sich - anders als die Erwägungsgründe 75 und 85 - auch der Überschrift nach explizit mit dem Schadenersatz befasst, nicht noch einmal wiederholt wird, steht der Annahme einer hinreichend deutlichen Positionierung des Verordnungsgebers zu dieser Rechtsfrage nicht entgegen. Denn Erwägungsgrund 146 zählt auch die übrigen Fallbeispiele aus den Gründen 75 und 85 gerade nicht noch einmal auf, sondern wählt in Satz 3 einen generalisierend-abstrakten Ansatz, wenn es dort heißt, der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Dies wiederum kann nur so verstanden werden, dass die "Ziele der Verordnung", wie sich sich u.a. auch in den übrigen Erwägungsgründen ausdrücken, umfänglich in den Blick zu nehmen sind. Daher sind in Ermangelung erneuter oder ggf. gar abweichender Konkretisierung des Schadensbegriffs durch Beispiele in Erwägungsgrund 146 selbst gerade diejenigen Gründe auszuwerten, die solche Konkretisierungen enthalten (ähnlich i.E. Hellgardt, ZEuP 2022, 7, 18, der meint, welche Arten von Nachteilen durch einen DSGVO-Verstoß "dem Normgeber vor Augen standen", werde in Erwägungsgrund. 85 S. 1 DSGVO "konkretisiert"). Die in Erwägungsgrund 146 enthaltene "Anweisung", den Schadensbegriff "weit" auszulegen, rechtfertigt die Heranziehung der in den Erwägungsgründen 75 und 85 enthaltenen, einer weiten Auslegung entsprechenden Einzelausprägungen wie u.a. Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit des Berufsgeheimnisses oder eben des Kontrollverlusts über die Daten zusätzlich (entsprechend auch die Auslegung bei BeckOK DatenschutzR/Quaas, 44. Ed. 1.5.2023, DS-GVO Art. 82 Rn. 24). Ergänzend ist ferner zu beachten, dass der Verweis auf die "Ziele der Verordnung" in Erwägungsgrund 146 zwingt, auch Erwägungsgrund 7 einzubeziehen, der solche Ziele näher umschreibt. Darin wird als eines der wesentlichen Verordnungsziele definiert: "Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen." Auch dies bestärkt den Ansatz, schon den Kontrollverlust als Schaden anzusehen. Die Kontrolle über die eigenen personenbezogenen Daten wird damit als Ausdruck eines persönlichkeitsrechtlich fundierten Anspruchs hervorgehoben, zu jeder Zeit selbst entscheiden zu können, wem die Daten unter welchen Umständen zugänglich gemacht werden. Mit dieser Auslegung werden im Übrigen die Unterschiede zwischen einem bloßen Verstoß gegen die DSGVO und einem daraus hervorgehenden Schaden nicht nivelliert. Denn es sind zahlreiche Verstöße gegen auf die Datenverarbeitung bezogene Vorschriften der DSGVO denkbar, die nicht bzw. noch nicht zu einem konkreten, nicht wieder rückgängig zu machenden "Kontrollverlust" geführt haben. Schließlich ist in teleologischer Auslegung zu beachten, dass der Kontrollverlust über personenbezogene Daten einen nicht zu unterschätzendem Nachteil für Betroffene mit sich bringt. Schon begrifflich bedeutet "Kontrollverlust", dass die Daten sich in einem Maße von der berechtigten Person "entfernt" haben, dass sie nicht mehr bestimmen kann, wer bei welcher Gelegenheit diese zur Kenntnis nehmen und für weitere Zwecke verwerten kann. Genau dies ist hier der Fall, da hinsichtlich der "geleakten" Datensätze anzunehmen ist, dass jeder Betrachter die Leak-Inhalte kopieren konnte, sodass eine Rückgängigmachung der Verlustfolgen gar nicht möglich ist. Der Kontrollverlust per se stellt damit in Ansehung der Ziele der Verordnung einen ernst zu nehmenden, verordnungsrechtlich relevanten Nachteil dar, was seine Einordnung als "Schaden" auch teleologisch rechtfertigt.

(b) Ist der Kontrollverlust über die Daten damit dem Grunde nach als Schaden einzuordnen, kommt nicht in Betracht, den Sachverhalt nunmehr noch einer Prüfung anhand einer "Erheblichkeitsschwelle" zu unterziehen. Weil der Begriff des Schadens in Art. 82 DSGVO ein autonom-europarechtlicher ist, darf im Besonderen nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen rekurriert werden (EuGH, Urteil vom 4.5.2023 - C - 300/21 (U I / Österreichische Post AG, NJW 2023, 1930, 1932 f., beck-online; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a). Es ist daher z.B. nicht zu verlangen, dass es durch den Datenrechtsverstoß etwa zu einer ernsthaften Beeinträchtigung für das Selbstbild oder Ansehen einer Person kommt (zutreffend Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a). Der Gegenauffassung, die eine solche Erheblichkeitsschwelle implementieren wollte, und u.a. meinte, der Datenverlust stelle ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person ggf. lediglich einen unbeachtlichen Bagatellschaden dar (so OLG Dresden Hinweisbeschluss v. 11.6.2019 - 4 U 760/19, BeckRS 2019, 12941 Rn. 13), ist der Boden entzogen, seit der EuGH im Urteil vom 04.05.2023 (a.a.O.; Vorlage des OGH Österreich ZD 2021, 631) entschieden hat, dass keine Erheblichkeitsschwelle überschritten werden muss. Damit verbindet sich zudem, dass über den Kontrollverlust hinausreichende spezifische Angaben, wie konkret sich der Kontrollverlust auf die Persönlichkeit und auf das Leben der betroffenen Person ausgewirkt hat, per se nicht erforderlich sind; derartige weitergehende Umstände mögen den immateriellen Schaden vertiefen, sind aber in Annahme der eigenständigen Bedeutung der Kontrolle über schützenswerte personenbezogene Daten für den Schadensbegriff nicht konstitutiv (i.E. zutreffend Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18b).

e) Die haftungsausfüllende Kausalität ist ebenfalls gegeben.

Dem Sachvortrag des Klägers zu den Pflichtverstößen der Beklagten einerseits und dem Schaden andererseits ist (in interessengerechter Auslegung des Vortrags, §§ 133, 157 BGB analog) ohne Weiteres zu entnehmen, dass auch eine Kausalität behauptet wird, nämlich dahingehend, dass die Klägerseite namentlich bei zutreffender Information und Aufklärung nach Maßgabe von Art. 13 DSGVO bzw. bei Kenntnis der unzureichenden Sicherungsmaßnahmen und der Funktionsweise des CIT sich mit der Suchbarkeit in Bezug auf die Telefonnummer nicht einverstanden erklärt und diese Funktion ggf. deaktiviert hätte.

f) Vorliegend ist ein Betrag in Höhe von 500,- € als immaterieller Schadensersatz angemessen.

aa) Über den - bereits bejahten - Kontrollverlust hinsichtlich der personenbezogenen Daten hinaus, sind hierbei weitergehende Nachteile auf Seiten des Klägers zu berücksichtigen: Der Kläger hat im Rahmen der persönlichen Anhörung gut nachvollziehbar und glaubhaft angegeben, dass es eine Zeit lang viele Anrufe und SMS-Nachrichten gegeben habe. U.a. habe er eine entsprechende Nachricht von einem angeblichen Paketdienst mit einem entsprechenden Link bekommen, den er habe anklicken sollen. Dieser Umstand deckt sich mit den Angaben Geschädigter aus Parallelverfahren. Ferner konnte der Kläger weitere "Lock-Nachrichten" konkretisieren, so eine weitere Nachricht vorgeblich von der Noris Bank mit der Aufforderung, die Telefonnummer zu überprüfen und dafür einen Link anzuklicken. Im Übrigen kam es zu weiteren wiederholten Nachrichten, die sich vorgeblich auf die Abholung von Paketen bezogen. Ferner kam es zu dem Anschein nach privaten Nachrichten aus dem vorgeblich familiären Umfeld ("Hallo Mama, hallo Papa") mit der Aufforderung, eine WhatsApp Nachricht zu schicken an eine bestimmte Handynummer; auch dieses Vorgehen deckt sich weitgehend mit Erfahrungen der Kammer aus Parallelverfahren, bei denen es ebenfalls in einem unmittelbaren zeitlichen Zusammenhang mit dem Daten-Leak zu entsprechenden Nachrichten kam.

Soweit die Beklagte bestritten hat, dass der Kläger Spam-Anrufe und Spam-SMS bekommen habe, ist dies zur Überzeugung der Kammer nachgewiesen durch die glaubhaften Angaben des persönlich angehörten Klägers. Dieser hatte auch einen Teil dieser Nachrichten auf seinem Handy als Screenshots gespeichert und in der Verhandlung vorgezeigt. Der Kläger hat den Erhalt jeweils glaubhaft und lebensnah geschildert. Er hat bei seiner Anhörung nichts dramatisiert. Er war sichtlich bemüht, wahrheitsgemäße Angaben zu machen, und hat eingeräumt, wenn es sich bei Mengenangaben um seinen subjektiven Eindruck ("vielleicht 50-60" [bezogen auf die insgesamt erhaltenen Spam-Anrufe und Nachrichten]) handelte. Dass der Kläger sich die im Einzelnen doch sehr spezifischen Inhalte jeweils ausgedacht haben und selbst die entsprechenden Vorlagen für die Screenshots erstellt haben könnte, hält die Kammer nach Abwägung sämtlicher Umstände für fernliegend. Aufgrund der zeitlichen Abläufe sowie inhaltlich äußerst ähnlicher Nachrichten in Parallelverfahren wiederum in engem zeitlichen Zusammenhang mit dem Datenleck ist für die Kammer nach dem Beweismaß des § 287 ZPO überwiegend wahrscheinlich, dass diese Nachrichten ursächlich auf das streitgegenständliche Datenleck zurückzuführen sind.

bb) Bei der Bemessung des Schmerzensgeldes hat die Kammer im Rahmen ihres durch § 287 ZPO eingeräumten Ermessens ein Schmerzensgeld von 500,00 € für erforderlich, aber auch ausreichend erachtet.

Die Kammer hat sich für die Bemessung an den Grundsätzen des § 253 BGB sowie den Kriterien des Art. 83 Abs. 2 DSGVO orientiert. Darunter zählen u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten und die betroffenen Kategorien personenbezogener Daten zur Ermittlung (LG Lübeck, CR 2023, 442, 449 mit Verweis auf Quaas in BeckOK/DatenschutzR DS-GVO Art. 82 Rz. 31-36).

Gemäß den Ausführungen unter dem vorigen Punkt aa) hat die Kammer berücksichtigt, dass der Kläger durch den Verlust der Kontrolle seiner Daten und deren freier Verfügbarkeit im Internet belastet ist. Damit steht in Einklang, dass es sich auch objektiv insoweit um einen schweren Verstoß handelt, als dass es sich bei der Telefonnummer in Verknüpfung mit einem Klarnamen um sensible Daten handelt, die geeignet sind, eine Bekanntheit vorzuspiegeln, was erhebliches Missbrauchsrisiko mit sich bringt. Dies gilt umso mehr, wenn weitere Daten verknüpft werden können. Zu berücksichtigen ist ferner, dass die Beklagte mehrere Verstöße gegen die DSGVO begangen hat. Diese Umstände sprechen für ein höheres Schmerzensgeld.

Das Gericht verkennt dabei nicht, dass sämtliche Daten des Klägers - mit Ausnahme der Mobiltelefonnummer - ohnehin für Dritte öffentlich einsehbar und damit beliebig kopierbar, weiterverwendbar und missbrauchbar gewesen sind. Maßgeblicher Anknüpfungspunkt für das Schmerzensgeld ist demgemäß nicht eine Beeinträchtigung der Kontrolle über allein diese Daten (der Kontrolle hatte sich der Kläger insoweit bereits freiwillig begeben), sondern die Beeinträchtigung der Kontrolle über die Möglichkeit der Verknüpfung der Daten. Hierfür ist es ohne Belang, dass die Mobiltelefonnummer nicht von der Beklagten "gestellt", sondern von den Unbekannten per Zufallsgenerator "erraten" worden ist. Denn die Beklagte hat die Nummer jedenfalls validiert (so auch: LG Bonn, Urteil vom 7. Juni 2023 - 13 O 126/22 -, Rn. 73 juris).

Schmerzensgeldmindernd ist zu berücksichtigen, dass es sich sämtlich um Daten aus der - grundsätzlich am wenigsten schutzwürdigen - Sozialsphäre des Klägers nach der Rechtsprechung des Bundesverfassungsgerichts zum allgemeinen Persönlichkeitsrecht handelt. Weiter ist zu berücksichtigen, dass sich der Kläger seiner Daten in Kenntnis des Geschäftsmodells der Beklagten freiwillig begeben hat, wenn auch nicht zu dem Zweck der streitgegenständlichen Verarbeitung (vgl. LG Bonn, aaO, Rn. 74, juris). Ferner war zu berücksichtigen, dass die Beklagte lediglich fahrlässig gehandelt hat und selbst Opfer eines Datendiebstahls durch kriminell handelnde Dritte wurde.

Bei der Bemessung der Schadensersatzhöhe hat die Kammer daneben auch die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes berücksichtigt. Andererseits war aber auch zu berücksichtigen, dass das Allgemeininteresse im Schwerpunkt nach Art. 83 DSGVO durch die Verhängung von Bußgeldern gewahrt wird.

II. Der Kläger hat daneben den beantragten Zinsanspruch gegen die Beklagte.

Dieser ergibt sich aus den §§ 291, 288 Abs. 1, 187 Abs. 1 (entspr.; vgl. BGH, Urteil vom 10.10.2017 - XI ZR 555/16 -, Rn. 21, juris) BGB, §§ 253 Abs. 1, 261 Abs. 1 ZPO ab dem auf die Zustellung der Klageschrift folgenden Tag.

Ein Rückschein ist zwar nicht zur Akte gelangt. Die Sendungsnummernverfolgung bei über den Server deutschepost.de ergab eine Zustellung am 20.06.2022 (Bl. 43 d.A.).

III. Die Klage ist auch hinsichtlich des Antrages zu Ziffer 2) (Feststellungsantrag) begründet.

1) Die Kammer verkennt dabei nicht, dass in einem Teil der Rechtsprechung in vergleichbaren Fällen die Feststellungsansprüche verneint werden mit dem Argument, der Anspruch setze eine gewisse Wahrscheinlichkeit für einen weitergehenden Schaden voraus und dies sei in Fällen dieser Art zu verneinen. Die Veröffentlichung der - eher wenig sensiblen - Daten sei bereits Anfang April 2021 erfolgt. Dies liege nunmehr mehr als 2 Jahre zurück. Seitdem seien gerade keine materiellen Schäden eingetreten. Bei einer Verbreitung der Daten von ca. 533 Millionen Facebook-Nutzern verliere sich der klägerische Datensatz gleichsam in der Menge. Rückschlüsse etwa auf das Vermögen oder eine besondere Bereitschaft, sich auf bestimmte Geschäfte am Telefon überhaupt einzulassen, seien für die Klägerseite nicht ersichtlich.

2) Andere Teile der Rechtsprechung halten den Feststellungsantrag demgegenüber für begründet:

"Nachdem dem Kläger ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zusteht, ist auch auf den Klageantrag zu 2 zu erkennen. Es ist nicht ausgeschlossen, dass der Kläger künftig infolge der Verstöße der Beklagten gegen die DS-GVO - auch - materielle Schäden erleidet." (LG Stuttgart, Urteil vom 26. Januar 2023 - 53 O 95/22 -, Rn. 110, juris)

Diese Auffassung hat u.a. das LG Lüneburg näher wie folgt begründet:

"Es bedarf im Rahmen der Begründetheit - entgegen der Auffassung der Beklagten - keiner darüberhinausgehender gewissen Wahrscheinlichkeit des Schadenseintritts. An der Erforderlichkeit eines solchen zusätzlichen Begründungselements hat der BGH - jedenfalls für den Fall, dass Gegenstand der Feststellungsklage ein befürchteter Folgeschaden aus der Verletzung eines deliktsrechtlich geschützten absoluten Rechtsguts ist - Zweifel geäußert (vgl. BGH, Urteil vom 16.01.2001 - VI ZR 381/99, VersR 2001, 874). Streitgegenständlich sind die nicht von den Bestimmungen der DS-GVO gedeckten Übermittlungen oder Verarbeitungen personenbezogener Daten, welche eine Verletzung des allgemeinen Persönlichkeitsrechts als sonstiges Recht im Sinne des § 823 Abs. 1 BGB darstellen können (siehe dazu bereits unter I. 2. b). Die erkennende Kammer schließt sich diesbezüglich der vom Bundesgerichtshof vertretenen Ansicht ausdrücklich an. Demnach reicht vorliegend bereits die Möglichkeit eines Schadens aus. Es liegen, wie dargelegt, die Voraussetzungen des Schadensersatzanspruches aus Art. 82 Abs. 1 DS-GVO vor. Auch die Möglichkeit künftiger materieller Schäden ist zu bejahen. Diese Möglichkeit folgt - wie bereits angeführt - daraus, dass nicht absehbar ist, welche Dritte möglicherweise Zugriff auf die Daten erhalten haben und für welche kriminellen Zwecke diese möglicherweise missbraucht werden. Es erscheint eben nicht von vorneherein ausgeschlossen, dass die klagende Partei z.B. betrügerische Anrufe erhält, welche sich durch Ausgabe als Bankmitarbeiter Zugriff zu sensiblen Kontodaten der klagenden Partei erschleichen." (LG Lüneburg Urt. v. 24.1.2023 - 3 O 74/22, GRUR-RS 2023, 4813 Rn. 58)

3) Jedenfalls für die Fälle, in denen es - wie vorliegend - um die Verletzung eines deliktsrechtlich geschützten absoluten Rechtsguts, hier um die Verletzung des Datenschutzes als Ausprägung des Allgemeinen Persönlichkeitsrechts, geht, schließt sich die Kammer der zweitgenannten Auffassung mit der vorstehend zitierten Argumentation an (vgl. auch BGH, Urteil vom 17.10.2017 - VI ZR 423/16, juris Rn. 49; OLG Celle, ZfSch 2022, 558, 567).

4) Die Kammer hat den Klagantrag sachgerecht dahingehend ausgelegt und entsprechend tenoriert, dass anstelle der Formulierung "der nach Aussage der Beklagten im Jahr 2019 erfolgte" der - unstreitige - Zeitraum des Scraping-Vorfalls "Januar 2018 bis September 2019" gemeint war.

IV. Der Klagantrag zu Ziffer 3 (Unterlassung) ist teilweise begründet.

Die Beklagte hat gegen Art. 13 und Art. 25 Abs. 1 und 2 DSGVO verstoßen. Diese Rechtsverstöße geben dem Kläger dem Grunde nach einen darauf bezogenen Anspruch auf Beseitigung und künftige Unterlassung.

1) Zum mit dem Antrag zu 3.a) geltend gemachten Anspruch werden unterschiedliche Auffassungen vertreten:

a) Nach einer Ansicht kann der Facebook-Nutzer verlangen, dass die Beklagte es unterlässt, personenbezogenen Daten (Telefonnummer, Facebook-ID, Familienname, Vorname, Geschlecht, Stadt, Beziehungsstatus) unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen.

b) Nach anderer Ansicht sind Unterlassungsansprüche im Geltungsbereich der DSGVO ganz abzulehnen:

"Ein Anspruch scheitert bereits an der Sperrwirkung der DS-GVO. Die DS-GVO sieht individualrechtliche Ansprüche in Art. 17 mit einem Löschungsanspruch und in Art. 82 mit einem Schadensersatzanspruch sowie in Art. 77 und 78 mit Ansprüchen gegen Aufsichtsbehörden vor, nicht aber einen Unterlassungsanspruch gegen den sog. Auftragsverarbeiter oder Verantwortlichen bei einem Datenschutzrechtsverstoß. Zugleich ist die DS-GVO angesichts des Anwendungsvorrangs des hierdurch unionsweit vereinheitlichten Datenschutzrechts als abschließend anzusehen (vgl. BGH, Urteil vom 3. Mai 2022 - VI ZR 832/20 -, Rn. 10, juris zum Auslistungsbegehren nach Art. 17 DS-GVO). Die klagende Partei kann ihren Anspruch nicht auf sonstige Vorschriften des nationalen deutschen Rechts stützen (vgl. aaO; LG Wiesbaden, Urteil vom 20. Januar 2022 - 10 O 14/21 -, Rn. 39, juris). Wie Art. 17 enthält auch Art. 32 DS-GVO, der die Sicherheit der Verarbeitung regelt, eine ausdifferenzierte Güterabwägung und unbestimmte Rechtsbegriffe wie "nach dem Stand der Technik mögliche Sicherheitsmaßnahmen" und "ein dem Risiko angemessenes Schutzniveau", deren Prüfung nicht sinnvoll in das Vollstreckungsverfahren verlagert werden kann und nicht durch einen hiervon abweichenden Unterlassungsanspruch unterlaufen werden darf. Das Recht jeder betroffenen Person auf einen wirksamen gerichtlichen Rechtsbehelf nach Art. 79 Abs. 1 DS-GVO bezieht sich ausdrücklich nur auf die ihr aufgrund der DS-GVO zustehenden Rechte." (LG Lüneburg Urt. v. 24.1.2023 - 3 O 74/22, GRUR-RS 2023, 4813 Rn. 60)

c) Schließlich wird noch vertreten, dass der Anspruch jedenfalls an der fehlenden Wiederholungsgefahr scheitern müsse:

"Voraussetzung eines jeden vorbeugenden Unterlassungsanspruch ist die Wiederholungsgefahr (vgl. BGH, Urteil vom 19. Oktober 2004 - VI ZR 292/03 -, Rn. 17, juris, m.w.N.), an der es vorliegend fehlt. Zwar begründet eine vorausgegangene, rechtswidrige Beeinträchtigung (Erstbegehung) eine tatsächliche Vermutung für die Wiederholungsgefahr, an deren Widerlegung hohe Anforderungen zu stellen sind (vgl. BGH, Urteil vom 30. Oktober 1998 - V ZR 64/98 -, BGHZ 140, 1-11, Rn. 20). Vorliegend kann die Wiederholungsgefahr aber vollständig dadurch abgewendet werden, dass die klagende Partei die Suchbarkeit ihrer Telefonnummer auf der streitgegenständlichen Plattform der Beklagten auf "privat" einstellt. Wie oben (unter 1.) ausgeführt, liegt der von der klagenden Partei gerügte und festgestellte Verstoß gegen die DS-GVO durch die Beklagte allein darin, dass es Dritten möglich war, die Telefonnummer der klagenden Partei mit den auf ihrem Profil ohnehin öffentlich zugänglichen Daten durch einen Missbrauch des Kontakt-Importer-Tools zu verknüpfen, weil die Suchbarkeit der Telefonnummer auf "für alle" voreingestellt war bzw. die Beklagte hierüber nicht hinreichend informiert hat. Darin kann, wie die klagende Partei selbst vorträgt, nur dann ein Verstoß gegen die Datenschutzrechte gesehen werden, wenn die klagende Partei bei hinreichender Information bzw. anderer Voreinstellung ihre Telefonnummer (auch) hinsichtlich der Suchbarkeit auf "privat" gestellt hätte bzw. nach Kenntnis von dem datenschutzrechtlichen Vorfall auf "privat" stellt. Ob sie das vorliegend tatsächlich getan hat oder nicht, ist unerheblich, denn entweder hat sie damit die Wiederholungsgefahr ausgeräumt oder aber sie verstößt gegen den Grundsatz von Treu und Glauben nach § 242 BGB, indem sie sich selbst in einen unauflösbaren Selbstwiderspruch setzt. Eine Rechtsausübung kann dann unzulässig sein, wenn sich objektiv das Gesamtbild eines widersprüchlichen Verhaltens ergibt, weil das frühere Verhalten mit dem späteren sachlich unvereinbar ist und die Interessen der Gegenpartei im Hinblick hierauf vorrangig schutzwürdig erscheinen (vgl. BGH, Urteil vom 15. November 2012 - IX ZR 103/11 -, Rn. 12, juris). Diese engen Voraussetzungen sind vorliegend gegeben. Die klagende Partei kann nämlich nicht einerseits einen Verstoß gegen Art. 25 Abs. 1 u. 2 DS-GVO daraus herleiten, dass sie bei zutreffender Information bzw. richtiger Voreinstellung die Suchbarkeit der Telefonnummer auf "privat" gestellt hätte, andererseits aber nach entsprechender Kenntnis hierüber die Suchbarkeit auf "für alle" belassen, obwohl ihr die Umstellung aufgrund der entsprechenden Kenntnis hierüber unproblematisch möglich wäre, und dann darauf einen vorbeugenden Unterlassungsanspruch stützen." (so die Alternativbegründung bei LG Lüneburg Urt. v. 24.1.2023 - 3 O 74/22, GRUR-RS 2023, 4813 Rn. 63).

d) Die Auffassung, einen Unterlassungsanspruch gänzlich abzulehnen, überzeugt aus Sicht der Kammer nicht.

aa) Jedenfalls bestimmte Unterlassungsansprüche lassen sich unmittelbar auf Art. 17 DSGVO stützen.

"Allerdings kann sich aus Art. 17 DSGVO über den Wortlaut hinaus auch ein Anspruch auf Unterlassung ergeben. Zwar wird in Art. 17 DSGVO nur ein Löschungsrecht normiert; aus diesem iVm Art. 79 DSGVO, der wirksame gerichtliche Rechtsbehelfe bei einer Verletzung der Datenschutzgrundverordnung garantiert, kann jedoch zugleich ein Unterlassungsanspruch hergeleitet werden (vgl. BGHZ 231, 264 = GRUR 2022, 258 Rn. 10 - Ärztebewertung V; BSGE 127, 181 Rn. 13). Denn aus der Verpflichtung zur Löschung von Daten ergibt sich implizit zugleich die Verpflichtung, diese künftig nicht (wieder) zu speichern. So sieht der BGH in der erstgenannten Entscheidung vom 12.10.2021 im Löschungsanspruch des Art. 17 DSGVO zugleich einen Unterlassungsanspruch (BGHZ 231, 264 = GRUR 2022, 258 Rn. 10 u. 23).

Dieser aus der inneren Logik des Anspruchs auf Löschung hergeleitete Unterlassungsanspruch richtet sich jedoch nur auf die Unterlassung der Speicherung von Daten. Das Gegenstück der Löschung von Daten ist die Speicherung von Daten. Denn unter Löschen versteht man die Unkenntlichmachung gespeicherter Informationen, so dass es niemand mehr ohne unverhältnismäßigen Aufwand möglich ist, die Information wahrzunehmen (vgl. etwa Kühling/Buchner, 3. Aufl., DSGVO Art. 17 Rn. 37). Der Kl. verlangt hier nicht die Unterlassung der Speicherung von Daten über ihn durch die Bekl., sondern die Unterlassung der Übermittlung von Daten durch die Bekl. an Dritte. Wie insbesondere die Definition der Datenverarbeitung in Art. 4 Nr. 1 DSGVO und die Überschriften der Art. 44 bis 46 DSGVO zeigen, unterscheidet die DSGVO klar zwischen der Speicherung von Daten und der Übermittlung von Daten (an Dritte)." (so OLG Frankfurt, GRUR 2023, 904 [OLG Frankfurt am Main 30.03.2023 - 16 U 22/22] Rn. 44, 45).

Die Kammer folgt insoweit der vorgenannten auch höchstrichterlichen Rechtsprechung, dass die betroffene Person nach Art. 17 Abs. 1 DSGVO unter bestimmten Voraussetzungen von dem Verantwortlichen nicht nur verlangen kann, dass er sie betreffende personenbezogene Daten unverzüglich löscht, sondern auch Unterlassungsansprüche bestehen. So definiert die DSGVO nicht, was unter Löschung zu verstehen ist. Danach lässt sich aus dem in Art. 17 Abs. 1 DSGVO normierten Recht betroffener Personen, unter gewissen Umständen vom Verantwortlichen zu verlangen, sie betreffende personenbezogene Daten unverzüglich zu löschen, auch ein Anspruch auf Unterlassung ihrer Speicherung und Verarbeitung für die Zukunft ableiten (Argumentum a maiore ad minus). Dies folgt grundsätzlich auch aus Art. 79 DSGVO, der der betroffenen Person einen "wirksamen gerichtlichen Rechtsbehelf" zugesteht (LG Paderborn Urt. v. 19.12.2022 - 3 O 99/22, GRUR-RS 2022, 39349 Rn. 143, beck-online). Der Kläger kann von der Beklagten mithin auch in der vorliegenden Konstellation die begehrte Unterlassung verlangen. Soweit das OLG Frankfurt einen Unterlassungsanspruch im Falle der Datenübermittlung an in im Ausland befindliche Dritte ablehnt (aaO, Rn. 53), ist eine solche Übermittlung im vorliegenden Fall nicht streitgegenständlich. Vorliegend geht es dem Kläger um die Speicherung seiner Daten bei der Beklagten, nicht um eine Übermittlung an Dritte. Diese Speicherung soll nicht ohne Sicherungsmaßnahmen erfolgen. Es geht somit um eine qualitative Einschränkung der Speicherung als ein Weniger gegenüber einer Löschung.

bb) Wollte man die Anwendung des Art. 17 DSGVO nach dem vorgenannten Argument a maiore ad minus auf Unterlassungsansprüche ablehnen, wären nach zutreffender Ansicht die §§ 1004, 823 BGB im Geltungsbereich der DSGVO in der vorliegenden Konstellation anwendbar:

"Daneben sind nach richtiger und wohl herrschender Auffassung auch Beseitigungs- und bei Wiederholungsgefahr die allgemeinen Unterlassungsansprüche gem. § 1004 BGB (Übersicht zum Streitstand Halder/Walker ZD 2020, 605), bei einem Eingriff in das Persönlichkeitsrecht analog §§ 823 Abs. 2, 1004 BGB anwendbar. Unterlassungsansprüche sind in der DS-GVO nicht geregelt. In Literatur und Rechtsprechung ist umstritten, ob der DS-GVO insoweit eine Sperrwirkung zukommt. Eine Sperrwirkung würde jedoch dem allgemeinen Ziel der DS-GVO eines effektiven Rechtschutzes entgegenstehen.

Zum Teil wird eine Anwendbarkeit des § 1004 BGB mit der Argumentation verneint, die DS-GVO habe abschließende Wirkung. So stützen sich das VG Regensburg (ZD 2020, 601) sowie LG Wiesbaden (ZD 2022, 238) auf Art. 79 Abs. 1 DS-GVO, der weitere gerichtliche Rechtsbehelfe ausschließe. Die DS-GVO sei im Zweifel restriktiv auszulegen (LG Wiesbaden ZD 2022, 238), nationale Unterlassungsansprüche würden gegen Unionsrecht verstoßen. Eine umfassende Harmonisierung der DS-GVO wird selbst vom Generalanwalt bezweifelt (vgl. Schlussanträge des Generalanwalts im Verfahren facebook ./. vzbv, GRUR-RS 2021, 36943). Die DS-GVO bezweckt jedoch grundsätzlich einen umfassenden Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen. Eine Sperrwirkung würde diesem Ziel entgegenstehen (OLG Dresden ZD 2022, 235) und der Schutz des Persönlichkeitsrechts nur außerhalb der DS-GVO gewährleistet. Zudem sind auch außerhalb des Kapitels III der DS-GVO wie eben in § 82 DS-GVO subjektive Rechte vorgesehen (Halder ZD 2020, 601 (605)).

Der Bundesgerichtshof hat jedenfalls ein nationales Löschungsrecht neben Art. 17 DS-GVO wegen des Anwendungsvorrangs des "vorliegend unionsweit abschließend vereinheitlichten Datenschutzrechts" abgelehnt. Diese Rechtsprechung kann nicht auf die Frage des Unterlassungsanspruchs übertragen werden, da anders als der Löschungsanspruch ein Unterlassungsanspruch in der DS-GVO gerade nicht geregelt ist."

(BeckOK DatenschutzR/Quaas, 44. Ed. 1.5.2023, DS-GVO Art. 82 Rn. 9-9.2)

Diese Argumentation hält die Kammer für überzeugend. Der Anspruch auf Harmonisierung kann nur so weit reichen, wie der konkrete Regelungsplan des Unionsgesetzgebers reichte. Würden Unterlassungsansprüche durch Art. 17 DSGVO nicht erfasst, läge eine Intention, das Schutzniveau durch eine auch in Bezug auf Unterlassungsansprüche abschließende - und diese somit ausschließende - Regelung unter die jeweiligen nationalen Niveaus abzusenken, jedenfalls fern.

Dies entspricht auch der Rechtsprechung des OLG Dresden, der sich die Kammer nach eigener Überzeugung insoweit anschließt. Die Geltendmachung eines Anspruchs auf Unterlassung aus §§ 823 Abs. 1 i.V.m. 1004 BGB ist neben den Rechten aus der Datenschutzgrundverordnung möglich, wenn nur so ein lückenloser Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen gewährleistet werden kann (OLG Dresden, Urteil vom 14. Dezember 2021 - 4 U 1278/21 -, Rn. 46, juris; ebenso Schaffland/Wiltfang, DS-GVO/BDSG, 8. Ergänzungslieferung 2023, Art. 17 EUV 2016/679, Rn. 5 f):

"Würde man einen solchen Unterlassungsanspruch verneinen, wäre kein ausreichender Individualrechtsschutz gegeben. Es ist daher nicht davon auszugehen, dass die Datenschutzgrundverordnung, weil sie keinen ausdrücklichen Unterlassungsanspruch enthält, eine Sperrwirkung entfaltet (so auch Landgericht Darmstadt, a.a.O.)."

Die Wiederholungsgefahr entfällt auch nicht deswegen, weil die klagende Partei die Möglichkeit hat, die Einstellungen hinsichtlich der Suchbarkeit der Telefonnummer für die Zukunft zu ändern (auf "privat" umzustellen); denn die Möglichkeit zuzulassen, dass die betreffende Person nicht nur durch Eingabe einer spezifischen Telefonnummer aufzufinden ist, sondern gerade im Wege des "Suchlaufs" unter Nutzung der technischen Möglichkeiten des CIT, weist einen eigenständigen Verletzungsgehalt auf, sodass auf dieser Grundlage ein Unterlassungsanspruch nicht zu verneinen ist. Die Möglichkeit, Rechtsverletzungen durch eigene Handlungen vorzubeugen, lässt im Übrigen Unterlassungsansprüche nicht entfallen.

Ausgenommen von dem Anspruch sind indes die Daten "Land" und "Bundesland", die nicht Gegenstand der Angaben auf der Facebook-Plattform sind. Insoweit ist der Unterlassungsanspruch teilweise nicht begründet und daher abzuweisen (so auch LG Stuttgart, Urteil vom 26. Januar 2023 - 53 O 95/22 -, Rn. 113 - 115).

2) Zu dem Antrag zu 3.b. wird vertreten, dass dieser Anspruch abzulehnen sei, weil die betreffende Pflichtverletzung für die Zukunft keine Folgen mehr auszulösen vermöge:

"Diese Pflichtverletzung löst aber für die Zukunft keine Folgen mehr aus, da der Kläger zumindest im Verlauf des Rechtsstreits sämtliche Informationen erhalten hat, die die fragliche Art und Weise der Datenverarbeitung betreffen.

Unbeschadet des Umstands, dass die ursprünglich erteilten Informationen der Beklagten unübersichtlich und unvollständig gewesen sein mögen, ist ihm die begehrte Information, dass "die Telefonnummer auch bei Einstellung auf "privat" noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der G-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird" schon ausweislich seiner Antragstellung bekannt, ohne die Nutzung von G eingestellt zu haben. Damit verhält sich der Kläger in sich widersprüchlich und verstößt gegen die Grundsätze von Treu und Glauben. Denn die geforderte Information, von der er die weitere Datenverarbeitung abhängig machen will, hat er bereits. Überdies ist ihm zumindest anhand der Darstellungen in der Klageerwiderung auch ohne weiteres möglich, die Suchbarkeitsfunktion so zu ändern, dass er nur durch sich selbst aufgefunden werden kann." (LG Paderborn Urt. v. 19.12.2022 - 3 O 99/22, GRUR-RS 2022, 39349 Rn. 160, 161)

Diese Auffassung überzeugt aus Sicht der Kammer nicht. Wie gezeigt, begründet der Umstand, eine Vielzahl von Nutzerdaten über fingierte Telefonnummern unter Nutzung des CIT zu "scrapen", einen eigenständigen Verletzungsgehalt. Da die Nutzung ein Dauerschuldverhältnis ist, müssen für die Zukunft auch vergleichbare Gefährdungen ausgeschlossen werden. Wenn der Anbieter also etwa ein "Reboot" durchführt oder wesentliche Veränderungen in den Nutzungsoberflächen implementiert, wobei wiederum neue Zustimmungen unter Verweis auf Datenschutzrichtlinien eingeholt werden müssen, muss der Nutzer jedenfalls dafür sicherstellen können, dass hinreichend über Funktionen, wie sie sich mit einem Kontaktimporttool verbinden, aufgeklärt wird. Andernfalls dürften die betreffenden Daten - namentlich die Telefonnummer - nicht verwertet werden.

3) Ordnungsmittel sind - wie beantragt - nach § 890 Abs. 2 ZPO anzudrohen.

V. Der Klagantrag zu Ziffer 4 (Auskunft) ist unbegründet.

Der Anspruch auf Auskunft gemäß Art. 15 des DSGVO ist auf Grundlage der Informationen in dem Schreiben Anlage K2 durch Erfüllung untergegangen (§ 362 BGB) und, bzw. besteht, soweit er darüber hinaus geht, von vornherein nicht.

Insofern ist dem Landgericht Essen in seiner Argumentation zu folgen, welches ausgeführt hat:

"Schließich hat die Beklagte nicht gegen Art. 15 DSGVO verstoßen, indem sie dem Kläger keine bzw. unvollständige Auskünfte erteilt hat. Der Anspruch auf Auskunftserteilung ergibt sich aus Art 15 Abs. 1 a), c) DSGVO. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und über die a.) Verarbeitungszwecke und über c.) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen. Da das Schreiben der Beklagten Nutzer ID, Vorname, Nachname, Land und Geschlecht enthält, ist der Anspruch insoweit erfüllt und erloschen (§ 362 Abs. 1 BGB). Nicht beantwortet wird durch die Beklagte in dem außergerichtlichen Schreiben, welchen Empfängern die Daten des Klägers durch Ausnutzung des Kontakt-Import Tools im Sinne des Art. 15 Abs. 1 c) DSGVO zugänglich gemacht wurden. Das Scraping ist allerdings - wie vorstehend ausgeführt - von außen erfolgt und es nicht erkennbar, wer diese Daten gescrapt hat. Die begehrte Auskunftserteilung ist aufgrund des Vorganges des Scrapings unter Ausnutzung von Daten, die auf "öffentlich" gestellt sind, unmöglich. Ebenso ist im Rechtssinne unmöglich (und es wird auch nicht näher dargelegt, wie die Beklagte mitteilen können soll), zu informieren, wann die Daten gescrapt wurden. Der Kläger geht selbst von 2019 aus bzw. von der Veröffentlichung dann im April 2021. Dieser Zeitrahmen ist dem Kläger bekannt; eine genaue Eingrenzung in Bezug auf seine Daten ist nicht möglich. Die Beklagte hat dem Kläger im Ergebnis also alle Informationen mitgeteilt, die ihr im Zuge des Scraping-Vorfalls zur Verfügung standen. Weitere Angaben kann sie nicht machen. Sie ist folglich hierzu auch nicht verpflichtet." (LG Essen, Urteil vom 10. November 2022 - 6 O 111/22 -, Rn. 102, juris).

VI. Der Klagantrag zu Ziffer 5 (Anwaltskosten) ist im tenorierten Umfang begründet.

Dieser Anspruch ergibt sich unmittelbar aus Art. 82 Abs. 1 DSGVO (iVm § 249 Abs. 1 BGB) (vgl. OLG Frankfurt, NJW-RR 2022, 1608 [OLG Frankfurt am Main 14.04.2022 - 3 U 21/20] Rn. 60). Dabei sind für den Streitwert als Grundlage der vorgerichtlichen Rechtsanwaltskosten auch der Unterlassungs- und der Auskunftsanspruch zu berücksichtigen, obwohl die Verzugsvoraussetzungen hierfür nicht gegeben waren. Die Kammer verkennt dabei nicht, dass vorgerichtliche Rechtsanwaltskosten regelmäßig nur im Verzugsfalle nach den §§ 280 Abs. 1, Abs. 3, 286 BGB gewährt werden (soweit es sich nicht um eine Schadensersatzposition handelt, die als adäquate Rechtsverfolgungskosten erstattungsfähig sind). Insbesondere wenn die betroffene Person zuvor korrekt nach Art. 13 Abs. 2 lit. b bzw. Art. 14 Abs. 2 lit. c DSGVO über das Bestehen des Auskunftsrechts unterrichtet wurde, besteht nach einer insoweit vertretenen Ansicht kein Grund, (jedenfalls) für den initialen Antrag auf Auskunftserteilung einen Rechtsanwalt einzuschalten (vgl. Gola/Heckmann/Franck, 3. Aufl. 2022, DS-GVO Art. 15 Rn. 70). Angesichts des Umstandes, dass es sich jedenfalls in technischer Hinsicht um eine komplizierte Materie handelte, war es vorliegend aus Sicht des Klägers erforderlich und angemessen, direkt einen Rechtsanwalt einzuschalten, ohne die Beklagte selbst vorher in Anspruch zu nehmen. Hierzu wird auch auf den Erwägungsgrund 146 zur DSGVO S. 6 "Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten." verwiesen (vgl. BeckOK DatenschutzR/Quaas, 44. Ed. 1.5.2023, DS-GVO Art. 82 Rn. 29-29.1).

Der Anspruch ist auch auf Zahlung, nicht bloß auf Freistellung nach § 257 S. 1 BGB gerichtet. Mit der Ausführung, die Klägerseite unterliege einem "grundlegenden Missverständnis" hinsichtlich des Vorliegens eines Datenschutzverstoßes in dem Schreiben Anlage K2 hat die Beklagtenseite zugleich auch eine Freistellung dem Grunde nach ernsthaft und endgültig verweigert. Diese Pflichtverletzung berechtigt die klagende Partei, gemäß den §§ 249 Abs. 1 BGB, 250 S. 2 BGB statt der Freistellung Schadensersatz in Geld zu verlangen. Die an sich nach § 250 S. 1 BGB erforderliche Ablehnungsandrohung wird dabei durch die ernsthafte und endgültige Verweigerung (auch) der Freistellung entbehrlich gemacht (vgl. OLG Hamm 3.9.2013 - I-4 U 58/13, GRUR-RR 2014, 133; OLG Frankfurt, NJW-RR 2022, 1608 [OLG Frankfurt am Main 14.04.2022 - 3 U 21/20] Rn. 60).

Der Anspruch berechnet sich entsprechend einer 1,3 Geschäftsgebühr aus dem Gegenstandswert der im Rahmen des hiesigen Verfahrens begründeten Ansprüche, die vorgerichtlich geltend gemacht wurden, sowie des vorgerichtlich teilweise berechtigten, aber erfüllten Auskunftsanspruchs:

- Schadensersatzanspruch in Höhe von 500,- € (Klageantrag zu 1);

- Unterlassungsanspruch zu einem Streitwert in Höhe von insgesamt 5.000,- € (Klageantrag zu 3); die insoweit vorgenommene Teil-Abweisung bezüglich der Daten "Land" und "Bundesland" ist in ihrem Wert so gering, dass sie für den Streitwert nicht ins Gewicht fällt, so dass es bei dem (vorprozessualen) Streitwert von 5.000,- € bleibt;

- der Auskunftsanspruch war vorgerichtlich geltend gemacht worden und beklagtenseits - soweit möglich - vorprozessual erfüllt worden; in der damals berechtigten Höhe (von der Kammer geschätzt: 300,- €) geht er in den Streitwert für die vorgerichtlichen Rechtsanwaltskosten ein;

- insgesamt: 6.300,- €.

Bei einer 1,3-fachen Geschäftsgebühr zzgl. 20,- € Kostenpauschale sowie 19% Umsatzsteuer ergibt sich ein Anspruch in Höhe von 713,76 €.

VII. Bezogen auf den Ersatzanspruch für die vorgerichtlichen Rechtsanwaltskosten besteht für den Kläger daneben ein Zinsanspruch aus den §§ 291, 288 Abs. 1, 187 Abs. 1 entspr. BGB, §§ 253 Abs. 1, 261 Abs. 1 ZPO ab dem auf die Zustellung der Klageschrift folgenden Tag (21.6.2022).

C. Die Kostenentscheidung beruht auf § 92 Abs. 1 ZPO.

Der Ausspruch zur vorläufigen Vollstreckbarkeit ergibt sich für die Vollstreckung des Klägers aus § 709 S. 1 und 2 ZPO, für die Vollstreckung der Beklagten aus den §§ 708 Nr. 11, 711, 709 S. 2 ZPO entsprechend.

D. Die Wertfestsetzung findet ihre Grundlage in § 3 ZPO, § 63 Abs. 2 Satz 1 GKG.

I. Für den festzusetzenden Streitwert war bezüglich des Klagantrags zu Ziffer 1) der von dem Kläger vorgestellte (Mindest-)Schadenersatzbetrag in Höhe von 1.000,- € anzusetzen.

II. Soweit der Kläger mit dem Klagantrag zu Ziffer 2) die Feststellung begehrt hat, dass die Beklagte verpflichtet ist, ihm (auch) alle künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten entstanden sind und/oder noch entstehen werden, so kommt diesem Antrag ein eigener wirtschaftlicher Wert zu. Dieser orientiert sich grundsätzlich an den Vorstellungen des Klägers zum Klagantrag zu 1), ist aber nur mit einem Bruchteil zu bemessen, wobei 50% und damit ein Betrag in Höhe von 500,- € angemessen erscheint (vgl. OLG Stuttgart, Beschluss vom 03.01.2023 - 4 AR 4/22 -, Rn. 23, juris).

III. Mit den Klageanträgen zu Ziffer 3.a) und b) hat der Kläger Unterlassung begehrt. Bei diesen nichtvermögensrechtlichen Anträgen ist es ihm darum gegangen, dass seine im Rahmen des Nutzungsverhältnisses mit der Beklagten angegebenen personenbezogenen Daten einschließlich der Telefonnummer künftig nicht in die Hände unbefugter Dritter gelangen, die diese dann ggf. für illegale Aktivitäten nutzen könnten. Der Kläger hat damit effektivere Sicherheitsvorkehrungen bei der Beklagten zu erreichen angestrebt.

Der Streitwert der Unterlassungsanträge ist als nichtvermögensrechtlicher Streitgegenstand anhand des betroffenen Interesses des Klägers unter Berücksichtigung der Umstände des Einzelfalls zu bestimmen (§ 48 Abs. 2 Satz 1 GKG). Dabei ist in Anlehnung an § 23 Abs. 3 Satz 2 RVG bei mangelnden genügenden Anhaltspunkten für ein höheres oder geringeres Interesse von einem Streitwert von 5.000,- € auszugehen und erscheint es unter Berücksichtigung aller Umstände des vorliegenden Einzelfalls angemessen, auf die Gedanken dieser allgemeinen Wertvorschrift zurückzugreifen (vgl. OLG Stuttgart, a.a.O., Rn. 26 f.). So darf bei der Bemessung des Streitwerts das Gesamtgefüge der Bewertung nichtvermögensrechtlicher Streitgegenstände nicht aus den Augen verloren werden (vgl. BGH, Beschluss vom 26.11.2020 - III ZR 124/20 - juris Rn. 11), es erscheint unter Berücksichtigung aller Umstände des vorliegenden Einzelfalls (vgl. § 48 Abs. 2 Satz 1 GKG) hier angemessen, auf die Gedanken der allgemeinen Wertvorschrift des § 23 Abs. 3 Satz 2 RVG zurückzugreifen, und - auch mangels genügender Anhaltspunkte für ein höheres oder geringeres Interesse - angemessen, von einem Wert von 5.000,- € für das Unterlassungsbegehren in Summe auszugehen (vgl. OLG Stuttgart, a.a.O., Rn. 28).

IV. Dem Auskunftsanspruch zu Ziffer 4) ist daneben eine eher untergeordnete Bedeutung beizumessen (vgl. OLG Stuttgart, a.a.O., Rn. 29). Dessen Wert beläuft sich auf einen Betrag in Höhe von 500,- € (vgl. LG Osnabrück, Urteil vom 03.03.2023 - 11 O 834/22 -, Rn. 45, juris; LG Itzehoe, Urteil vom 27.02.2023 - 10 O 159/22 -, juris; LG Essen, Urteil vom 10.11.2022 - 6 O 111/22 -, Rn. 44, juris).

V. Insgesamt ergibt sich daraus ein Wert von 7.000,- €.