Oberlandesgericht Oldenburg
Urt. v. 14.05.2024, Az.: 13 U 114/23
Anspruch gegen eine Social-Media-Plattform auf Schadensersatz in einem sog. Scraping-Vorfall durch Veröffentlichtung personenbezogener Daten
Bibliographie
- Gericht
- OLG Oldenburg
- Datum
- 14.05.2024
- Aktenzeichen
- 13 U 114/23
- Entscheidungsform
- Urteil
- Referenz
- WKRS 2024, 15935
- Entscheidungsname
- [keine Angabe]
- ECLI
- [keine Angabe]
Verfahrensgang
- vorgehend
- LG Osnabrück - 19.10.2023 - AZ: 11 O 1578/23
Rechtsgrundlagen
- Art. 82 DSGVO
- Art. 15 DSGVO
Fundstellen
- CR 2024, 526-528
- ITRB 2024, 202-203
Amtlicher Leitsatz
Der Nutzerin einer Social-media-Plattform steht ein Anspruch auf Schadenersatz gemäß Art. 82 DSGVO zu, wenn der Diensteanbieter Dritten den Zugriff auf ihre Mobilfunknummer und weitere personenbezogenen Daten ohne wirksame Einwilligung der Nutzerin ermöglicht und diese wegen des damit eintretenden Verlusts der Kontrolle über ihre Daten in Sorge und Ängsten ist.
In dem Rechtsstreit
AA, Ort1,
Klägerin und Berufungsklägerin,
Prozessbevollmächtigte:
(...),
Geschäftszeichen: (...)
gegen
BB Ltd., gesetzlich vertreten durch die Mitglieder des Board of Directors, Ort2,
Beklagte und Berufungsbeklagte,
Prozessbevollmächtigte:
(...),
Geschäftszeichen: (...)
hat der 13. Zivilsenat des Oberlandesgerichts Oldenburg durch den Vorsitzenden Richter am Oberlandesgericht (...), den Richter am Oberlandesgericht (...) und den Richter am Oberlandesgericht (...) auf die mündliche Verhandlung vom 30. April 2024 für Recht erkannt:
Tenor:
Auf die Berufung der Klägerin wird das am 19. Oktober 2023 verkündete Urteil des Landgerichts Osnabrück unter Zurückweisung des weitergehenden Rechtsmittels teilweise geändert:
Die Beklagte wird verurteilt, an die Klägerin 250 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 08. August 2023 zu zahlen. Im Übrigen wird die Klage abgewiesen.
Die Kosten des Rechtsstreits trägt die Klägerin.
Das Urteil ist ohne Sicherheitsleistung vorläufig vollstreckbar.
Die Revision wird nicht zugelassen.
Der Streitwert für die erste Instanz wird auf 2.500 € festgesetzt.
Gründe
I.
Von der Darstellung des Tatbestands wird gemäß § 540 Abs. 2, § 313a Abs. 1 Satz 1 ZPO abgesehen, weil ein Rechtsmittel gegen die Entscheidung nicht zulässig ist (§§ 543, 544 Abs. 2 Nr. 1 ZPO).
II.
Die zulässige Berufung ist teilweise begründet.
1. Die von Amts wegen zu prüfende internationale Zuständigkeit der deutschen Gerichte folgt aus Art. 79 Abs. 2 Satz 2 DSGVO, da die Klägerin als betroffene Person ihren gewöhnlichen Aufenthalt in Deutschland hat. Die Datenschutzgrundverordnung ist in zeitlicher, sachlicher und räumlicher Hinsicht anwendbar.
Der zeitliche Anwendungsbereich der Datenschutzgrundverordnung ist eröffnet. Gemäß Art. 99 Abs. 2 DSGVO gilt die Datenschutzgrundverordnung ab dem 25. Mai 2018. Die Klägerin hat behauptet, dass die Beklagte die ihre personenbezogenen Daten betreffenden Verstöße gegen die Datenschutzgrundverordnung, insbesondere das unbefugte Zugänglichmachen seiner Daten gegenüber Dritten, im Jahr 2019 begangen habe (S. 4 der Klageschrift vom 21. Juli 2023, Bd. I Bl. 5 d.A.). Dem ist die Beklagte nicht entgegengetreten. Zwar hat sie ausgeführt, dass sich der Scraping-Vorfall über den Zeitraum von Januar 2018 bis September 2019 erstreckt habe (S. 17 f Rn. 26 der Klageerwiderung vom 29. August 2023, Bd. I Bl. 96 f d.A.), jedoch die Behauptung der Klägerin, dass das Abschöpfen ihrer Daten durch unbekannte Dritte im Jahr 2019 erfolgt sei, nicht in Abrede gestellt. Davon abgesehen hat sie wegen des Scraping-Vorfalls unter anderem auch auf ihre Pressemitteilung vom 6. April 2021 verwiesen (Anlage B10), in der der Scraping-Vorfall ebenfalls im Jahr 2019 verortet wird (S. 32 Rn. 64 der Klageerwiderung, B. I Bl. 111 d.A.). Folglich ist davon auszugehen, dass die personenbezogenen Daten der Klägerin im Jahr 2019 abgeschöpft wurden.
Der sachliche Anwendungsbereich der Datenschutzgrundverordnung ist ebenfalls eröffnet. Gemäß Art. 2 Abs. 1 DSGVO gilt die Datenschutzgrundverordnung unter anderem für die automatisierte Verarbeitung personenbezogener Daten. Bei den hier in Rede stehenden Daten der Klägerin (Familienname, Vorname, Geschlecht, CC-ID, Mobilfunknummer) handelt es sich um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO. Diese wurden von der Beklagten im Rahmen des von ihr betriebenen sozialen Netzwerks CC automatisiert verarbeitet (vgl. Leupold/Wiebe/Glossner, IT-Recht, 4. Aufl., Teil 15.3 Rn. 28). Das Geschäftsmodell des sozialen Netzwerks CC basiert auf der Finanzierung durch Online-Werbung, die auf den individuellen Nutzer des sozialen Netzwerks insbesondere nach Maßgabe seines Konsumverhaltens, seiner Interessen, seiner Kaufkraft und seiner Lebenssituation zugeschnitten ist. Technische Grundlage dieser Art von Werbung ist die automatisierte Erstellung von detaillierten Profilen der Nutzer des Netzwerks und der auf Ebene des BB-Konzerns angebotenen Online-Dienste. Zu diesem Zweck werden neben den Daten, die diese Nutzer bei ihrer Registrierung für die betreffenden Online-Dienste direkt angeben, weitere nutzer- und gerätebezogene Daten innerhalb und außerhalb des sozialen Netzwerks und der vom BB-Konzern bereitgestellten Online-Dienste erhoben und mit den verschiedenen Nutzerkonten verknüpft. In ihrer Gesamtheit lassen diese Daten detaillierte Rückschlüsse auf die Präferenzen und Interessen der Nutzer zu (EuGH, Urteil vom 4. Juli 2023 - C-252/21, juris Rn. 27).
Schließlich ist auch der räumliche Anwendungsbereich der Datenschutzgrundverordnung eröffnet. Gemäß Art. 3 Abs. 1 DSGVO findet die Datenschutzgrundverordnung auf die Verarbeitung personenbezogener Daten Anwendung, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Bei der Beklagten handelt es sich um ein Unternehmen nach dem Recht der irischen Republik mit Sitz in Ort2, mithin innerhalb der Union. Da die CC-Plattform für Nutzer in der Europäischen Union von ihr betrieben wird, ist sie Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO.
2. Die Klägerin hat gegen die Beklagte aus Art. 82 Abs. 1 DSGVO einen Anspruch auf Schadenersatz in Höhe von 250 €.
a) Der Klageantrag zu 1 ist zulässig, insbesondere gemäß § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt. Dem steht nicht entgegen, dass die Klägerin der Beklagten in Zusammenhang mit dem geltend gemachten Schadenersatzanspruch verschiedene Verstöße gegen die Datenschutzgrundverordnung vorwirft, die sich über einen längeren Zeitraum ereignet haben sollen. Anders als die Beklagte meint, liegt kein Fall einer alternativen Klagehäufung vor, bei der die Klägerin angeben muss, in welcher Reihenfolge sie ihr Klagebegehren im Hinblick auf die verschiedenen Streitgegenstände verfolgt (vgl. BGH, Urteil vom 5. Juli 2016 - XI ZR 254/15, BGHZ 211, 189 Rn. 25 mwN). Die Klägerin macht nicht mehrere selbstständige prozessuale Ansprüche, sondern einen einheitlichen Anspruch auf Ersatz eines immateriellen Schadens geltend. Sie leitet ihren Schaden aus dem Abschöpfen (Scraping) ihrer personenbezogenen Daten her, mit dem die behaupteten Datenschutzverstöße der Beklagten in engem Zusammenhang stehen. Mit dem Scraping-Vorfall liegt dem geltend gemachten Schadenersatzanspruch ein eindeutig abgrenzbarer, einheitlicher Lebenssachverhalt und damit ein einheitlicher Streitgegenstand zugrunde (vgl. OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris Rn. 230; OLG Dresden, Urteil vom 5. Dezember 2023 - 4 U 1094/23, juris Rn. 27; OLG Köln, Urteil vom 7. Dezember 2023 - 15 U 33/23, juris Rn. 26).
b) Der mit dem Klageantrag zu 1. geltend gemachte Schadenersatzanspruch steht der Klägerin dem Grunde nach zu.
Ein Schadenersatzanspruch gemäß Art. 82 DSGVO setzt einen Verstoß gegen die Datenschutzgrundverordnung, den Eintritt eines Schadens und einen Kausalzusammenhang zwischen Verstoß und Schaden voraus (EuGH, Urteile vom 4. Mai 2023, C-300/21, juris Rn. 32 und vom 14. Dezember 2023 - C-340/21, juris Rn. 77). Diese Voraussetzungen sind erfüllt.
aa) Der erforderliche Verstoß gegen die Datenschutzgrundverordnung liegt vor. Dabei kann die von den unterschiedlichen Wortlauten in Art. 82 Abs. 1 DSGVO ("wegen eines Verstoßes gegen diese Verordnung") und Art. 82 Abs. 2 DSGVO ("eine nicht dieser Verordnung entsprechende Verarbeitung") ausgehende Streitfrage, ob bereits jeder Verstoß gegen die Datenschutzgrundverordnung oder erst eine verordnungswidrige Datenverarbeitung einen Schadenersatzanspruch nach Art. 82 DSGVO begründet (vgl. OLG Stuttgart aaO Rn. 381 ff; Paal, ZfDR 2023, 325, 334 ff), dahinstehen. Da die Beklagte personenbezogene Daten der Klägerin ohne die nach Art. 6 Abs. 1 DSGVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die Datenschutzgrundverordnung, sondern auch eine verordnungswidrige Datenverarbeitung vor. Ob die Beklagte darüber hinaus die weiteren, von der Klägerin geltend gemachten Datenschutzrechtsverstöße begangen hat, kann offenbleiben, da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine abschreckende oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadenersatzes führt (EuGH, Urteil vom 11. April 2024 - C-741/21 Rn. 64 f).
(1) Gemäß Art. 4 Nr. 2 DSGVO fällt unter den Begriff der Datenverarbeitung neben der Offenlegung durch Übermittlung und Verbreitung auch jede andere Form der Bereitstellung personenbezogener Daten. Die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer stellte eine Form der Bereitstellung der personenbezogenen Daten der Klägerin dar. Sie ermöglichte es anderen Nutzern, das Nutzerprofil der Klägerin mit den öffentlichen Profildaten mittels Such- und Kontaktimportfunktion anhand ihrer Mobilfunknummer zu finden. Zugleich ermöglichte sie es den Scrapern, das Nutzerprofil der Klägerin anhand automatisch generierter Mobilfunknummern, bei denen es sich mangels Kenntnis von deren Inhaber zunächst um keine personenbezogenen Daten, sondern um bloße Ziffernfolgen handelte, mittels Such- und Kontaktimportfunktion zu finden und durch die Verknüpfung der automatisch generierten Mobilfunknummer mit dem Nutzerprofil der Klägerin deren Mobilfunknummer in Erfahrung zu bringen.
(2) Gemäß Art. 6 Abs. 1 Satz 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der dort genannten Rechtsgrundlagen vorliegt (EuGH, Urteil vom 4. Juli 2023 aaO Rn. 90). Die Darlegungs- und Beweislast für eine rechtmäßige Datenverarbeitung trägt der Verantwortliche (EuGH aaO Rn. 95), mithin die Beklagte. Für die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer hat die Beklagte indessen keine Rechtsgrundlage nach Art. 6 Abs. 1 Satz 1 DSGVO dargelegt, weshalb die Datenverarbeitung rechtswidrig war.
(a) Die Beklagte beruft sich als Rechtsgrundlage für die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer auf Art. 6 Abs. 1 Satz 1 Buchst b DSGVO (S. 32 Rn. 67 ff der Berufungserwiderung vom 23. Februar 2024, Bd. V, Bl. 35 d.A.). Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Erfüllung eines Vertrages erforderlich ist. Die Beklagte vertritt die Auffassung, dass die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer für die Erfüllung des Hauptzwecks des mit der Klägerin geschlossenen Nutzungsvertrages, die gegenseitige Auffindbarkeit der Nutzer untereinander zwecks Vernetzung miteinander zu ermöglichen, erforderlich gewesen sei. Anders als die Beklagte meint, lagen die Voraussetzungen von Art. 6 Abs. 1 Satz 1 Buchst. b DSGVO jedoch nicht vor.
Die Verarbeitung personenbezogener Daten ist zur Erfüllung eines Vertrages erforderlich, wenn die Datenverarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der Vertragsleistung ist, so dass der Hauptgegenstand des Vertrages ohne die Datenverarbeitung nicht erfüllt werden könnte. Der Umstand, dass die Datenverarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, genügt nicht. Entscheidend ist, dass die Datenverarbeitung des Verantwortlichen für die ordnungsgemäße Erfüllung des mit dem Betroffenen geschlossenen Vertrages wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen (EuGH aaO Rn. 98 f, 125).
Nach Maßgabe dieser Grundsätze war die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer nicht erforderlich im Sinne des Art. 6 Abs. 1 Satz 1 Buchst. b DSGVO (ebenso OLG Hamm, Urteil vom 15. August 2023 - 7 U19/23, juris Rn. 94 ff; OLG Stuttgart aaO Rn. 502 ff). Die Suchbarkeit der Nutzerprofile anhand der Mobilfunknummer war zur Erfüllung des von der Beklagten angeführten Hauptzwecks des Nutzervertrages - die gegenseitige Auffindbarkeit zwecks Vernetzung - nicht unerlässlich. Vielmehr können die Nutzer sich gegenseitig auch über ihre Namen finden (vgl. auch OLG Dresden aaO Rn. 34; OLG Stuttgart aaO Rn. 503). Gerade zu diesem Zweck ist der Name der Nutzer dem Vortrag der Beklagten zufolge stets öffentlich einsehbar (S. 17 Rn. 26 der Klageerwiderung, Bd. I Bl. 96 d.A.). Soweit die Beklagte vor dem Hintergrund der weltweit ca. 2,8 Milliarden Nutzer von CC auf die höhere Trefferwahrscheinlichkeit der Suche anhand der Telefonnummer verweist (S. 51 Rn. 110 der Berufungserwiderung, Bd. V Bl. 54 d.A.), folgt daraus nicht die Erforderlichkeit der Suchbarkeit von Nutzerprofilen anhand der Telefonnummer für unbekannte Dritte. Anderenfalls wäre nicht nachvollziehbar, dass die Telefonnummer nicht zu den Pflichtangaben zählt, die im Rahmen der Erstanmeldung bei CC zwingend anzugeben sind (Ebner, ZD 2023, 285), die Nutzer die standardmäßige Voreinstellung der Suchbarkeit ihres Nutzerprofils anhand ihrer Telefonnummer auf "alle" dem Vortrag der Beklagten zufolge abwählen konnten (S. 21 Rn. 34 der Klageerwiderung, Bd. I Bl. 100 d.A.) und die Beklagte die Suchmöglichkeit von Nutzern anhand der Telefonnummer in der Suchfunktion im April 2018 zur Unterbindung des Scraping deaktiviert hat (vgl. OLG Hamm aaO Rn. 16; OLG Dresden aaO Rn. 3; OLG Stuttgart aaO Rn. 480).
(b) Andere Rechtsgrundlagen für die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer führt die Beklagte nicht an. Insbesondere beruft sie sich nicht auf Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO, wonach die Datenverarbeitung rechtmäßig ist, wenn und soweit die betroffene Person ihre Einwilligung dazu erteilt hat (S. 32 Rn. 67 ff der Berufungserwiderung vom 23. Februar 2024, Bd. V Bl. 35 d.A.). Tatsächlich lag eine wirksame Einwilligung der Klägerin auch nicht vor.
Nach Art. 4 Nr. 11 DSGVO ist unter Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung zu verstehen, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Nach Art. 7 Abs. 1 DSGVO trägt der Verantwortliche die Darlegungs- und Beweislast für das Vorliegen einer Einwilligung des Betroffenen (EuGH aaO Rn. 152). Vorliegend hat die Beklagte nicht dargelegt, dass die Klägerin in die Suchbarkeit ihres Nutzerprofils anhand ihrer Mobilfunknummer im Sinne des Art. 4 Nr. 11 DSGVO eingewilligt hat.
Soweit die Beklagte darauf hinweist, dass die Klägerin die standardmäßige Voreinstellung der Suchbarkeitsfunktion nicht von "alle" auf "Freunde", "Freunde von Freunden" oder (ab Mai 2019) "nur ich" geändert hat (S. 42 Rn. 92 der Klageerwiderung, Bd. I Bl. 121 d.A.), folgt daraus keine Einwilligung. Eine in unmissverständlicher Weise abgegebene Einwilligung setzt ein aktives Verhalten des Einwilligenden voraus. Daher begründen Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person - wie auch aus Erwägungsgrund 32 Satz 3 DSGVO folgt - keine Einwilligung (EuGH, Urteile vom 1. Oktober 2019 - C-637/17, NJW 2019, 3433 Rn. 61 f und vom 11. November 2020 - C-61/19, NJW 2021, 841 Rn. 35 f).
Soweit die Beklagte darauf hinweist, dass sie in Vorbereitung auf den Geltungsbeginn der Datenschutzgrundverordnung die CC-Nutzer im April 2018 zur Zustimmung zu den aktualisierten Nutzungsbedingungen vom 19. April 2018 (Anlage B19), zur Kenntnisnahme der aktualisierten Datenrichtlinie (Anlage B20) und zur Überprüfung der Dateneinstellungen aufgefordert habe (S. 20 ff des Schriftsatzes vom 5. Oktober 2023, Bd. III Bl. 480 ff. d.A.), legt sie ebenfalls keine Einwilligung der Klägerin in die Suchbarkeit ihres Nutzerprofils anhand ihrer Mobilfunknummer dar. Eine Einwilligung "in informierter Weise" (Art. 4 Nr. 11 DSGVO) hätte vorausgesetzt, dass die Beklagte die Klägerin transparent über die Suchbarkeit des Nutzerprofils anhand der Telefonnummer informiert hätte. Die Beklagte hat jedoch nicht dargelegt, dies getan zu haben.
Der von der Beklagten vorgelegte Screenshot von der Zustimmungsschaltfläche zeigt neben der "Ich stimme zu"-Schaltfläche den Text: "Indem du auf ,Ich stimme zu' klickst, akzeptierst du die aktualisierten Nutzungsbedingungen" (vgl. den Screenshot auf S. 22 S. des Schriftsatzes vom 5. Oktober 2023, Bd. III Bl. 482). Da sich eine etwaige Einwilligungserklärung der Klägerin somit auf die aktualisierten Nutzungsbedingungen vom 19. April 2018 bezöge (vgl. auch Erwägungsgrund 42 Satz 2 DSGVO), müssten diese die erforderliche Information über die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer enthalten (vgl. OLG Hamm aaO Rn. 119). Die Nutzungsbedingungen (Anlage B19) beinhalten jedoch zum Datenschutz unter der Überschrift "2. Unsere Datenrichtlinie und deine Privatsphäre-Einstellungen" lediglich folgende Ausführungen: "Wir erfassen und verwenden deine personenbezogenen Daten, um die oben beschrieben Dienste für dich bereitzustellen. In unserer Datenrichtlinie [Verlinkung] erfährst du, wie wir deine Daten erfassen und verwenden. Wir empfehlen dir außerdem, deine Privatsphäre-Einstellungen in deinen Einstellungen [Verlinkung] zu überprüfen. Diese legen die Art und Weise fest, wie wir Daten verwenden."
Die Datenrichtlinie enthält ebenso wenig Informationen über die Suchbarkeit des Nutzerprofils anhand der Telefonnummer wie die Nutzungsbedingungen. Unter der Überschrift "Wie werden diese Informationen geteilt?" wird lediglich die Zielgruppenauswahl erläutert (Anlage B20, S. 6).
Die Privatsphäre-Einstellungen enthielten unter der Rubrik "So kann man dich finden und kontaktieren" zwar die Einstellung
"Wer kann dich anhand der angegebenen Telefonnummer finden? Alle" (vgl. die Screenshots auf S. 13 der Klageschrift sowie auf S. 22 der Klageerwiderung, Bd. I Bl. 14 und Bl. 101 d.A.).
Dabei handelt es sich jedoch nicht um eine Information über die Suchbarkeit des Nutzerprofils anhand der Telefonnummer, sondern um die Suchbarkeitsfunktion als solche. Selbst wenn man das ausreichen lassen wollte, begründete jedenfalls die Verlinkung der Privatsphäre-Einstellungen in den Nutzungsbedingungen keine transparente Information über die Suchbarkeit des Nutzerprofils anhand der Telefonnummer. Denn aus Sicht der Klägerin bestand keine Notwendigkeit, der Empfehlung der Beklagten zur Überprüfung ihrer Privatsphäre-Einstellungen zu folgen. Nach Art. 25 Abs. 2 Satz 1 DSGVO ist die Beklagte verpflichtet, Voreinstellungen für die Verarbeitung personenbezogener Daten so auszuwählen, dass nur die für die Zweckerreichung erforderlichen Daten verarbeitet werden. Mithin durfte die Klägerin darauf vertrauen, dass die Beklagte die jeweils datenschutzfreundlichsten Voreinstellungen ausgewählt hatte. Da die Verarbeitung der Telefonnummer im Rahmen der Suchfunktion zur Erfüllung des Hauptzwecks des sozialen Netzwerks (gegenseitige Auffindbarkeit zwecks Vernetzung) - wie ausgeführt - nicht erforderlich war, konnte die Klägerin nach Art. 25 Abs. 2 Satz 3 DSGVO davon ausgehen, dass die Beklagte durch geeignete technische und organisatorische Maßnahmen sicherstellen würde, dass ihre Mobilfunknummer durch Voreinstellungen ohne ihr Zutun nur dem kleinstmöglichen Empfängerkreis zugänglich gemacht werden würde (vgl. Nolte/Werkmeister in Gola/Heckmann, DSGVO, 3. Aufl., Art. 25 Rn. 31). Damit, dass die Beklagte gegen diese Verpflichtung verstoßen würde, indem sie die standardmäßige Voreinstellung "alle" wählte (vgl. OLG Dresden aaO Rn. 34; OLG Hamm aaO Rn. 127 f; OLG Köln aaO Rn. 30; OLG Stuttgart aaO Rn. 489 ff), brauchte die Klägerin nicht zu rechnen. Zudem lag aus Sicht der Klägerin auch nicht nahe, dass neben der Zielgruppenauswahl mit der Suchbarkeitsfunktion noch eine weitere für die Verarbeitung ihrer Mobilfunknummer relevante Einstellung vorzunehmen war, zumal auf der CC-Plattform als Verwendungszwecke für die Verarbeitung der Telefonnummer nach dem übereinstimmenden Vortrag der Parteien zwar die Zwei-Faktor-Authentifizierung, das Erfragen und Zurücksetzen des Passwortes, der Erhalt von SMS-Benachrichtigungen sowie die Zusendung von Freundschaftsanfragen und Werbung angegeben wurden, nicht jedoch die Suchbarkeit des Nutzerprofils (S. 15 der Klageschrift, Bd. I Bl. 16).
Soweit die Beklagte in der Berufungserwiderung schließlich auf Ausführungen im Hilfebereich hinweist (S. 32 Rn. 66 der Berufungserwiderung, Bd. V Bl. 35 d.A.; Anlage B6), hat sie weder dargelegt, dass die Klägerin im Vorfeld der Einwilligung zu den Nutzungsbedingungen auf diese Ausführungen hingewiesen wurde, noch dass sie im Vorfeld der Einwilligung darauf überhaupt Zugriff hatte. Davon abgesehen vermag der Senat der von der Beklagten in Bezug genommenen Passage "Möglicherweise verwenden wir deine Mobilfunknummer für diese Zwecke: [...] Um dir Personen, die du kennen könntest, vorzuschlagen, damit du dich mit ihnen auf CC verbinden kannst." auch keinen Hinweis auf eine Suchbarkeit des eigenen CC-Profils anhand der eigenen Telefonnummer zu entnehmen. In der Passage wird der Nutzer darüber aufgeklärt, dass die Beklagte seine Telefonnummer möglicherweise für eine Kontaktaufnahme mit ihm nutzt, nicht aber, dass Dritte diese nutzen können, um sein Profil zu finden.
bb) Die Klägerin hat aufgrund des Verstoßes der Beklagten gegen die Datenschutzgrundverordnung einen Schaden erlitten.
Nach Erwägungsgrund 146 Satz 3 DSGVO ist der Begriff des Schadens weit und unter Berücksichtigung der Ziele der Datenschutzgrundverordnung (vgl. Art. 1 DSGVO) auszulegen. Die Darlegungs- und Beweislast für das Vorliegen eines Schadens trifft die Klägerin (EuGH, Urteile vom 4. Mai 2023 aaO Rn. 50 und vom 14. Dezember 2023 aaO Rn. 84).
(1) Der von der Klägerin geschilderte Erhalt von Spam-SMS und in jüngerer Vergangenheit von Spam-Anrufen über DD vermag den geltend gemachten Schadenersatzanspruch allerdings nicht zu begründen. Abgesehen davon, dass der unerwünschte Erhalt von Spam-Nachrichten im Internetzeitalter gewissermaßen zum allgemeinen Lebensrisiko zählt, steht der ursächliche Zusammenhang zwischen dem Scraping-Vorfall und den Spam-SMS und -Anrufen nicht zur Überzeugung des Senats fest. Da die Klägerin bekundet hat, auch auf anderen Internetplattformen wie EE aktiv und mit der fraglichen Nummer bei FF registriert zu sein, sind für den Erhalt der Spam-Nachrichten auch andere Ursachen als der Scraping-Vorfall bei CC denkbar.
(2) Aufgrund der Anhörung der Klägerin steht jedoch zur Überzeugung des Senats fest, dass die Klägerin infolge des Abgreifens ihrer Mobilfunknummer von ihrem CC-Profil in Sorge wegen eines möglichen Missbrauchs der Mobilfunknummer ist und somit einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO erlitten hat (vgl. EuGH, Urteil vom 14. Dezember 2023 aaO Rn. 86).
Die Klägerin hat ihre Befürchtungen hinsichtlich eines Missbrauchs der Mobilfunknummer nachvollziehbar geschildert. Sie hat ausgeführt, des Abschöpfen ihrer Mobilfunknummer als unangenehm zu empfinden und Angst zu verspüren. Sie befürchte, aus Versehen betrügerische Nachrichten anzuklicken, zumal sie aufgrund der Einnahme von Medikamenten gelegentlich "benebelt", m.a.W. nicht voll konzentriert sei. Weiter hat sie plausibel geschildert, dass sie ein versehentliches Anklicken von Nachrichten durch ihre Kinder befürchte, die ihr Telefon für Telefonate mit den Großeltern nutzten. Diese Umstände belasteten sie umso stärker, als sie generell ein ängstlicher Mensch sei und unter ADS leide. Aufgrund dessen sowie des persönlichen Eindrucks, den der Senat von der Klägerin im Rahmen der Anhörung gewonnen hat, ist der Senat davon überzeugt, dass sie tatsächlich in Sorge vor einem Missbrauch ihrer gescrapten Mobilfunknummer ist, seit sie von deren Abgreifen von ihrem CC-Profil erfahren hat.
(3) Da die Klägerin bereits aufgrund ihrer Ängste vor einem Missbrauch ihrer gescrapten Mobilfunknummer einen (immateriellen) Schaden erlitten hat, kommt es auf die Frage, ob der Verlust der Kontrolle über personenbezogene Daten für sich genommen einen ersatzfähigen Schaden darstellt (vgl. dazu OLG Hamm, Urteil vom 15. August 2023 aaO Rn. 151, 159 f; OLG Stuttgart, Urteil vom 22. November 2023 aaO Rn. 293 f; OLG Dresden, Urteil vom 5. Dezember 2023 aaO Rn. 45 f; OLG Köln, Urteil vom 7. Dezember 2023 aaO Rn. 41; OLG Celle, Urteil vom 4. April 2024 - 5 U 31/23, juris Rn. 67 ff; Paal, NJW 2022, 3673 Rn. 4 f mwN), nicht mehr entscheidungserheblich an.
cc) Der Datenschutzrechtsverstoß der Beklagten ist für die Befürchtungen, die die Klägerin hinsichtlich eines Missbrauchs ihrer Mobilfunknummer empfindet, ursächlich. Die Suchbarkeit des Profils anhand der Telefonnummer ermöglichte es den Scrapern, das Nutzerprofil der Klägerin anhand automatisch generierter Mobilfunknummern zu finden und durch die Verknüpfung der automatisch generierten Mobilfunknummer mit dem Nutzerprofil der Klägerin deren Mobilfunknummer in Erfahrung zu bringen. Auf diese Weise konnten sie die Mobilfunknummer zusammen mit den öffentlich zugänglichen Nutzerdaten der Klägerin im Darknet veröffentlichen, was bei der Klägerin die Ängste und Sorgen wegen eines Missbrauchs ihrer Mobilfunknummer durch Dritte ausgelöst hat.
dd) Eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO kommt nicht in Betracht. Die Beklagte hat nicht dargelegt, dass sie für die rechtswidrige Verarbeitung der Mobilfunknummer der Klägerin nicht verantwortlich war. Anhaltspunkte dafür sind auch sonst nicht ersichtlich.
c) Die Höhe des Schadenersatzes bemisst sich mangels unionsrechtlicher Vorgaben nach dem Recht der Mitgliedstaaten (EuGH, Urteil vom 4. Mai 2023 aaO Rn. 53 f, 59). Folglich kommt vorliegend § 287 Abs. 1 Satz 1 ZPO zur Anwendung (vgl. BAG, Urteil vom 5. Mai 2022 - 2 AZR 363/21, NJW 2022, 2779 Rn. 14). Danach hat das Gericht über die Höhe des Schadens unter Würdigung aller Umstände nach freier Überzeugung zu entscheiden. Dabei ist unter Berücksichtigung des Effektivitätsgrundsatzes zu gewährleisten, dass der Betroffene einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält (Erwägungsgrund 146 Satz 6 DSGVO). In Anbetracht der Ausgleichsfunktion in Art. 82 DSGVO ist eine Entschädigung als vollständig und wirksam anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die Datenschutzgrundverordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz fordert (EuGH aaO Rn. 58). Der in Art. 82 Abs. 1 DSGVO vorgesehene Schadenersatzanspruch hat eine Ausgleichsfunktion, erfüllt indessen keine abschreckende oder Straffunktion (EuGH, Urteil vom 21. Dezember 2023 - C-667/21, juris Rn. 87).
Unter Berücksichtigung dieser Grundsätze bemisst der Senat den Schaden der Klägerin auf 250 €. Dabei hat der Senat insbesondere berücksichtigt, dass die Mobilfunknummer kein hochsensibles Datum ist, das der Geheimhaltung unterliegt, sondern vielmehr auf eine gewisse Verbreitung angelegt ist (vgl. auch OLG Köln, Urteil vom 7. Dezember 2023 aaO Rn. 45). Der Umstand, dass die Klägerin einen Wechsel ihrer Mobilfunknummer bisher nicht für erforderlich erachtet hat, zeigt überdies, dass sich ihre Ängste vor einem Datenmissbrauch in Grenzen halten.
Ein anspruchsminderndes Mitverschulden liegt nicht vor. Soweit die Beklagte darauf hinweist, dass die Klägerin die Suchbarkeit ihres Nutzerprofils über die Mobilfunknummer durch eine Änderung der Voreinstellung der Suchbarkeitsfunktion hätte ausschließen können (S. 95 Rn. 196 f der Berufungserwiderung, Bd. V Bl. 98 f d.A.), wurde bereits ausgeführt, dass die Klägerin gemäß Art. 25 Abs. 2 DSGVO auf datenschutzfreundliche Voreinstellungen vertrauen durfte, daher nicht zur Überprüfung der standardmäßigen Voreinstellungen verpflichtet war und es aus ihrer Sicht auch nicht nahelag, dass neben der Zielgruppenauswahl mit der Suchbarkeitsfunktion noch eine weitere für die Verarbeitung ihrer Mobilfunknummer relevante Einstellung vorzunehmen war.
3. Der Feststellungsantrag (Antrag zu 2.) erweist sich mangels Feststellungsinteresse bereits als unzulässig, die Berufung insoweit als unbegründet.
Bei der Verletzung eines absolut geschützten Rechtsguts im Sinne des § 823 Abs. 1 BGB reicht für die Annahme des Feststellungsinteresses die Möglichkeit weiterer materieller oder immaterieller Schäden aus (BGH, Urteil vom 5. Oktober 2021 - VI ZR 136/20, juris Rn. 28 mwN). Dies gilt auch bei der Verletzung des allgemeinen Persönlichkeitsrechts als einem absolut geschützten Rechtsgut. Dieser Maßstab ist unter Berücksichtigung des Äquivalenz- und Effektivitätsgrundsatzes auf den Fall der Verletzung des nach Art. 82 DSGVO geschützten Rechtsguts Datenschutz als europarechtliche Ausformung des deutschen allgemeinen Persönlichkeitsrechts zu übertragen (vgl. EuGH, Urteil vom 4. Mai 2023 aaO Rn. 53 ff, OLG Hamm aaO Rn. 208 f.). Ein Feststellungsinteresse ist daher nur zu verneinen, wenn aus Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines (weiteren) Schadens wenigstens zu rechnen (OLG Hamm aaO Rn. 210).
Eine solche Möglichkeit des Schadenseintritts ist vorliegend nicht ersichtlich. Soweit die Klägerin dazu in der Berufungsbegründung auf zahlreiche Betrugsfälle verweist, bleibt offen, ob diese mit dem Scraping-Vorfall in Zusammenhang stehen und auf der Grundlage der dabei offengelegten Daten durchgeführt worden sind. Bei der Anhörung der Klägerin wurde deutlich, dass sie für einen angemessenen Umgang mit Spam-SMS und -Anrufen sensibilisiert ist. Angesichts dessen und der Tatsache, dass der Klägerin nach ihren eigenen Angaben bis heute kein materieller Schaden aus dem Vorfall erwachsen ist, ist nach Überzeugung des Senats auch zukünftig nicht damit zu rechnen, dass ein solcher Schaden noch eintritt.
4. Die Anträge zu 3. a) und b) sind ebenfalls bereits unzulässig.
Der Unterlassungsantrag zu 3. a) ist infolge Unbestimmtheit unzulässig. Ein Klageantrag ist gemäß § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet und namentlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem Unterlassungsantrag regelmäßig der Fall, wenn die Unterlassung der konkret beanstandeten Verletzungshandlung begehrt wird (OLG Hamm aaO Rn. 229). Der Antrag der Klägerin zielt dagegen nicht auf die zukünftige Verwendung des früheren Contakt-Importer-Tools, das von der Beklagten durch Einführung der "People-You-May-Know"-Funktion ohnehin verändert worden ist. Ihr Begehren ist vielmehr auf eine bestimmte zukünftige, datenschutzkonforme Ausgestaltung der Contakt-Importer-Funktion gerichtet. Unabhängig von der Frage, ob es sich insoweit um eine Unterlassung oder ein positives Tun handelt, ist dieses Begehren jedenfalls nicht hinreichend konkret formuliert.
Indem der Unterlassungsantrag lediglich den Wortlaut eines Gesetzes noch dazu verkürzt und ungenau wiederholt, wird die Entscheidung darüber, was der Beklagten konkret verboten ist bzw. von ihr an Sicherheitsvorkehrungen verlangt werden kann, letztlich dem Vollstreckungsgericht überlassen (vgl. BGH, Urteil vom 24. November 1999 - I ZR 189/97, juris Rn. 45 mwN). Insbesondere ist weder dem Antrag noch dem weiteren Vorbringen der Klägerin zu entnehmen, was von der Beklagten im Hinblick auf die derzeit bestehende "People-You-May-Know"-Funktion insbesondere unter Berücksichtigung ihres subjektiven Beurteilungsspielraums bei der Umsetzung der Schutzmaßnahmen konkret zu fordern ist.
Der weitere Unterlassungsantrag (Antrag zu 3. b)) erweist sich mangels Rechtsschutzbedürfnisses ebenfalls als unzulässig. Die Klägerin begehrt die Unterlassung einer Verarbeitung ihrer Telefonnummer mittels des Kontaktimporttools, solange ihr als Nutzerin keine eindeutige Information darüber vorliegt, dass die Telefonnummer auch bei Einstellung der Einsehbarkeit auf "privat" noch mögliches Suchkriterium ist. Dass die Telefonnummer mittels des früheren Kontaktimporttools Anknüpfungsmerkmal für die Suche nach CC-Profilen war, ist der Klägerin jedoch aufgrund des hiesigen Verfahrens positiv bekannt. Für den Fall, dass sie nunmehr einer Suchbarkeit ihres Profils anhand der Telefonnummer zustimmen sollte, wäre die geforderte Information mithin erfolgt. Angesichts dessen ist nicht ersichtlich, welches Rechtsschutzziel die Klägerin mit ihrem Antrag verfolgt.
5. Ein Auskunftsanspruch (Antrag zu 4.) ist - wie das Landgericht zutreffend ausgeführt hat (LGU 17) - aufgrund Erfüllung erloschen, § 362 BGB. Auf die Ausführungen in der angegriffenen Entscheidung wird insoweit Bezug genommen. Soweit die Klägerin einwendet, die Beklagte habe die "Scraper" konkret zu benennen, verkennt sie, dass diese der Beklagten nach ihrem unwiderlegten Vorbringen nicht bekannt sind und sie schon aus diesem Grund die weitere erstrebte Auskunft nicht erteilen kann.
III.
1. Die Nebenentscheidungen folgen aus §§ 92 Abs. 2 Nr. 1, 97 Abs. 1, 708 Nr. 10, 711, 713 ZPO.
2. Entgegen der Ansicht der Klägerin besteht kein Anlass, das Verfahren auszusetzen.
a) Soweit die Klägerin es für erforderlich erachtet, dem EuGH gemäß Art. 267 Abs. 3 AEUV verschiedene Fragen zur Auslegung von Art. 82 DSGVO und von Art. 15 DSGVO zur Vorabentscheidung vorzulegen, sind die von ihr genannten Fragen entweder nicht klärungsbedürftig oder nicht entscheidungserheblich. Konkret hält die Klägerin für klärungsbedürftig, ob die betroffene Person im Fall einer verordnungswidrigen Datenverarbeitung die Darlegungs- und Beweislast für den Schadenseintritt, die Schadenshöhe und die Kausalität zwischen Schaden und Rechtsverstoß trägt, ob der Kontrollverlust der betroffenen Person hinsichtlich ihrer personenbezogenen Daten für sich genommen einen immateriellen Schaden begründet und ob bei der Bemessung der Höhe des Schadenersatzes berücksichtigt werden kann, dass dem nach Art. 82 DSGVO zu gewährenden Schadenersatz im Einzelfall eine abschreckende Wirkung und damit der Charakter eines Strafschadenersatzes zukommt. Hinsichtlich Art. 15 DSGVO hält es die Klägerin für erforderlich, dem Europäischen Gerichtshof Fragen hinsichtlich der Erfüllung des Auskunftsanspruchs sowie hinsichtlich offenkundig unbegründeter oder exzessiver Anträge nach Art. 12 Abs. 5 DSGVO zur Vorabentscheidung vorzulegen.
Die Auslegung von Art. 82 DSGVO wirft hinsichtlich der Darlegungs- und Beweislast keine klärungsbedürftigen Fragen auf ("acte clair", vgl. dazu EuGH, Urteil vom 6. Oktober 1982 - C-283/81 Rn. 16). Art. 82 DSGVO enthält keine allgemeinen Vorgaben zur Verteilung der Darlegungs- und Beweislast bei der Geltendmachung datenschutzrechtlicher Schadenersatzansprüche. Art. 82 Abs. 3 DSGVO betrifft nur das Verschulden des Verantwortlichen für das schadenstiftende Ereignis, ohne dass sich daraus Aussagen zur allgemeinen Beweislastverteilung ableiten ließen (BeckOK/Quaas, Datenschutzrecht, 46. Ed. [Stand: 1. November 2023], Art. 82 DSGVO Rn. 51; Paal, ZfDR 2023, 325, 329 mwN). Ferner ergibt eine Gesamtbetrachtung der Art. 5, 24 und 32 DSGVO, dass der Verantwortliche die Beweislast für die Einhaltung der datenschutzrechtlichen Sicherheitsanforderungen bei der Datenverarbeitung trägt (EuGH, Urteil vom 25. Januar 2024 - C-687/21 Rn. 42 mwN). Darüber hinausgehende Vorgaben zur Beweislastverteilung bei der Geltendmachung datenschutzrechtlicher Schadenersatzansprüche enthält die Datenschutzgrundverordnung nicht. Mangels unionsrechtlicher Vorschriften ist auf das mitgliedstaatliche Recht zurückzugreifen (Paal, ZfDR 2023, 325, 329; Böhm in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 82 DSGVO Rn. 31; jew. mwN). Nach deutschem Recht trägt der Anspruchsteller die Darlegungs- und Beweislast für die anspruchsbegründenden Tatsachen. Mithin trägt der Betroffene die Darlegungs- und Beweislast für Schadenseintritt, Schadenshöhe und Kausalität zwischen Schaden und Rechtsverstoß. Für den Eintritt eines immateriellen Schadens hat das der EuGH ausdrücklich festgestellt (Urteil vom 14. Dezember 2023 - C-340/21 Rn. 84 mwN).
Die Frage, ob der Kontrollverlust der betroffenen Person über ihre personenbezogenen Daten bereits für sich genommen einen immateriellen Schaden begründet, ist vorliegend - wie bereits ausgeführt - nicht entscheidungserheblich.
Die von der Klägerin hinsichtlich der Funktion des Schadenersatzes nach Art. 82 Abs. 1 DSGVO aufgeworfene Frage ist ebenfalls geklärt. Diesbezüglich hat der EuGH festgestellt, dass der in Art. 82 Abs. 1 DSGVO vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion, jedoch keine abschreckende oder Straffunktion erfüllt (EuGH, Urteil vom 21. Dezember 2023 - C-667/21, juris Rn. 87). Soweit der Bundesgerichtshof dem EuGH die Frage zur Vorabentscheidung vorgelegt hat, ob bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen ein relevantes Kriterium darstellt (BGH, Beschluss vom 26. September 2023 - VI ZR 97/22, juris Rn. 35 ff), ist diese Frage vorliegend nicht entscheidungserheblich. Es ist von der Klägerin weder dargelegt noch sonst ersichtlich, dass der Beklagten ein grobfahrlässiges oder gar vorsätzliches Verhalten zur Last fällt, das sich schmerzensgelderhöhend auswirken könnte.
Schließlich ist die Aussetzung des Verfahrens zwecks Durchführung eines Vorabentscheidungsverfahrens auch nicht hinsichtlich Art. 15 DSGVO angezeigt. Es ist höchstrichterlich geklärt, dass ein Auskunftsanspruch nach Art. 15 DSGVO grundsätzlich dann im Sinne des § 362 Abs. 1 BGB erfüllt ist, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen (BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 19). Inwieweit daneben weiterer Klärungsbedarf hinsichtlich der Erfüllung des Auskunftsanspruchs besteht, zeigt die Klägerin nicht auf. Ebenso wenig legt sie dar, welche Entscheidungserheblichkeit vorliegend die Auslegung von Art. 12 Abs. 5 DSGVO haben soll.
b) Es besteht auch kein Anlass, das Verfahren mit Blick auf derzeit beim EuGH anhängige Vorabentscheidungsverfahren auszusetzen. Für die Verfahren C-340/21 und C-307-22 gilt das schon deshalb, weil diese durch Urteile des EuGH vom 14. Dezember 2023 bzw. vom 26. Oktober 2023 bereits abgeschlossen sind. Für die weiter angeführten Verfahren zeigt die Klägerin die Entscheidungserheblichkeit der durch die Vorabentscheidungsverfahren zu klärenden Fragen für das vorliegende Verfahren nicht auf. Allein der Umstand, dass die Vorabentscheidungsverfahren die Auslegung von Art. 82 DSGVO betreffen, reicht nicht aus.
3. Die Revision war nicht zuzulassen. Die Sache hat keine grundsätzliche Bedeutung (§ 522 Abs. 2 Satz 1 Nr. 2 ZPO). Ebenso wenig ist eine Entscheidung des Bundesgerichtshofs zur Fortbildung des Rechts oder zur Sicherung einer einheitlichen Rechtsprechung erforderlich (§ 522 Abs. 2 Satz 1 Nr. 3 ZPO); denn die im vorliegenden Rechtsstreit entscheidungserheblichen Rechtsfragen sind durch die Rechtsprechung des Bundesgerichtshofs hinreichend geklärt und im Übrigen solche des Einzelfalls.
Soweit das OLG Stuttgart in einem Parallelfall den dortigen und hiesigen Antrag zu 2. auf Feststellung der Ersatzpflicht der Beklagten für künftige materielle und immaterielle Schäden als zulässig und begründet angesehen hat (Urteil vom 22. November 2023 a.a.O. Rn. 89 ff., 257 ff.), folgt aus dieser (vermeintlichen) Divergenz obergerichtlicher Entscheidungen kein Bedarf einer Klärung durch den Bundesgerichtshof.
Klärungsbedürftig und damit von grundsätzlicher Bedeutung ist nur eine entscheidungserhebliche Rechtsfrage und auch nur dann, wenn ihre Beantwortung zweifelhaft ist oder wenn zu ihr unterschiedliche Auffassungen vertreten werden und die Frage höchstrichterlich noch nicht geklärt ist (vgl. BGH Beschluss vom 6. März 2019 - IV ZR 108/18, Rn. 13). An einer grundsätzlichen Bedeutung in diesem Sinne fehlt es schon deshalb, weil das OLG Stuttgart (aaO Rn. 257 f) und der Senat übereinstimmend die höchstrichterliche Rechtsprechung zugrunde legen, wonach für Schäden, die aus der behaupteten Verletzung eines absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB resultieren, bereits die Möglichkeit materieller oder weiterer immaterieller Schäden für die Annahme eines Feststellungsinteresses ausreicht. Es handelt sich danach lediglich um eine unterschiedliche Beurteilung des jeweiligen Einzelfalls. Dies rechtfertigt es jedoch nicht, eine grundsätzliche Bedeutung anzunehmen; denn durch die gefestigte Rechtsprechung des Bundesgerichtshofs ist höchstrichterlich geklärt, wie die Möglichkeit eines Schadenseintritts zu beurteilen ist (vgl. nur BGH, Urteil vom 5. Oktober 2021 - VI ZR 136/20, juris Rn. 28 mwN). Diesen Vorgaben folgt der Senat.
4. Gemäß § 63 Abs. 3 Satz 1 Nr. 2 GKG wird der Streitwert für die erste Instanz - in Abweichung zu dem Einzelrichterbeschluss vom 31. Januar 2024 (13 W 62/23) - auf 2.500 € festgesetzt.
Der Senat hat bisher in ständiger Rechtsprechung den Streitwert für die Unterlassungsanträge zu 3. a) und b) in den den Scraping-Vorfall bei der Beklagten betreffenden Verfahren auf 5.000 € festgesetzt. Diese Bewertung hatte seine Grundlage in den Vorschriften der §§ 48 Abs. 2 Satz 1, 52 Abs. 2 GKG sowie § 23 Abs. 3 Satz 2 RVG. Dabei hat der Senat die beiden Anträge als wertmäßige Einheit betrachtet, da sie auf dasselbe Ziel gerichtet sind, die Beklagte zu einem besseren Schutz der personenbezogenen Daten ihrer Nutzer zu verpflichten (vgl. OLG Stuttgart, Beschluss vom 3. Januar 2023 - 4 AR 4/22, juris Rn. 28).
An der Behandlung beider Unterlassungsanträge als wertmäßiger Einheit hält der Senat fest. Bei der Bewertung der Anträge nimmt der Senat indessen von seiner ursprünglichen Einschätzung Abstand. Der Senat teilt die Einschätzung des Oberlandesgerichts Celle, dass die Unterlassungsanträge - ebenso wie auch der Feststellungs- und der Auskunftsantrag, deren Streitwert der Senat jeweils mit 500 € bemisst - für die Kläger der den Scraping-Vorfall bei der Beklagten betreffenden Verfahren im Verhältnis zu dem geltend gemachten Schmerzensgeld nur von untergeordneter Bedeutung sind (OLG Celle, Urteil vom 4. April 2024 - 5 U 31/23, juris Rn. 119 ff). Nach Abwägung aller Umstände, insbesondere des Umfangs und der Bedeutung der Sache sowie der Vermögens- und Einkommensverhältnisse der Parteien, bewertet der Senat die Unterlassungsanträge nunmehr wie den Feststellungs- und den Auskunftsantrag mit insgesamt 500 €, so dass der Streitwert 2.500 € (= 1.000 € + 500 € + 500 € + 500 €) beträgt.