Landgericht Aurich
Urt. v. 17.03.2023, Az.: 5 O 227/22

Berufungsverfahren läuft noch; Schadensersatz wg Verstoß gegen DSGVO

Bibliographie

Gericht
LG Aurich
Datum
17.03.2023
Aktenzeichen
5 O 227/22
Entscheidungsform
Urteil
Referenz
WKRS 2023, 47264
Entscheidungsname
[keine Angabe]
ECLI
ECLI:DE:LGAURIC:2023:0127.5O227.221.00

Verfahrensgang

nachfolgend
OLG Oldenburg - AZ: 13 U 43/23

Fundstelle

  • ZD 2023, 636

In dem Rechtsstreit
des Herrn S. T. , M.weg, L,
Kläger
Prozessbevollmächtigte: W., B., S. Rechtsanwälte Partnerschaft mbB, K.-W.-Ring, K.,
Geschäftszeichen:
gegen
M. P. Ireland L.Facebook I. Ltd., vertr.d.d. Geschäftsführer (Director) G. L., S. , D., Irland,
Beklagte
Prozessbevollmächtigte: Rechtsanw. F. B. D. Rechtsanwälte Steuerberater PartG mbB, B. A., F.,
Geschäftszeichen:
hat die 5. Zivilkammer des Landgerichts Aurich auf die mündliche Verhandlung vom 27.1.2023 durch die Richterin am Landgericht Dr. F. als Einzelrichterin
für Recht erkannt:

Tenor:

Die Klage wird abgewiesen.

Der Kläger hat die Kosten des Rechtsstreits zu tragen.

Das Urteil ist vorläufig vollstreckbar gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages.

Der Streitwert wird festgesetzt auf 11.000,00 EUR (Antrag zu Ziff. 1: 1.000,00 EUR; Antrag zu Ziff. 2: 4.000,00 EUR; Antrag zu Ziff. 3: 5.000,00 EUR; Antrag zu Ziff. 4: 1.000,00 EUR)

Tatbestand

Die Parteien streiten über Ansprüche auf Schadensersatz, Feststellung, Unterlassung, Auskunft und Rechtsverfolgungserstattung aus behaupteten Verstößen gegen die Datenschutzgrundverordnung (DSGVO).

Die Beklagte ist Betreiberin der Website www.facebook.com und der Dienste auf dieser Seite auf dem Gebiet der Europäischen Union. Der Kläger ist Nutzer der Facebook-Plattform. Das von der Beklagten auf dieser Seite angebotene soziale Netzwerk ermöglicht es den Nutzern, persönliche Profile zu erstellen und in dem Umfang ihrer so erstellten Präsenz in diesem Netzwerk mit anderen Nutzern in Kontakt zu treten. Dabei kann der jeweilige Nutzer Angaben zu verschiedenen Daten seiner Person tätigen und im Rahmen der von der Beklagten vorgegebenen Einstellungsmöglichkeiten darüber bestimmen, welche Daten von welcher Nutzergruppe eingesehen werden können.

Bei der für den Zugang zu der Plattform erforderlichen Registrierung wird der Nutzer aufgefordert, seinen Vor- und Nachnamen, sein Geburtsdatum, sein Geschlecht und ein entsprechendes Passwort anzugeben. In dem sich unter den genannten Angaben befindlichen Informationssegment heißt es sodann: "Indem du auf ,Registrieren' klickst, stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen (...).". Die Datenrichtlinie beinhaltet Informationen dazu, welche der vom Nutzer gemachten Angaben immer öffentlich sichtbar sind und so von jedermann - also auch von Personen außerhalb der Plattform - eingesehen werden können. Hierzu gehören der Name, das Profil- sowie Titelbild, das Geschlecht, der Nutzername und die jeweilige Nutzer-ID. Diese Angaben machte auch der Kläger als Nutzer des sozialen Netzwerks unter Zustimmung zu der vorbezeichneten Datenrichtlinie. Bezüglich weiterer Ausführungen in den Datenrichtlinien wird auf Anlage B9 verwiesen. Darüber hinaus steht es dem Nutzer frei, weitere Angaben, z.B. zu seinem Beziehungsstatus, seinem Geburtstag oder seiner Telefonnummer, zu machen.

Darüber stellt die Beklagte im sog. Hilfebereich Erläuterungen zur Öffentlichkeit der jeweiligen Informationen zur Verfügung. Hierbei wird dem Nutzer erklärt, dass und wie er einstellen kann, wer die über die immer öffentlich einsehbaren Angaben hinaus freiwillig getätigten Informationen einsehen kann (sog. Zielgruppenauswahl). In dem Hilfebereich wird der Nutzer auch darüber informiert, für welche Personengruppe er anhand seiner E-Mail-Adresse oder seiner Telefonnummer - sofern er hierzu im Bereich der Kontaktinformationen Angaben tätigte - im Netzwerk auffindbar ist (sog. Suchbarkeits-Einstellungen). Die Standardkonfiguration der Zielgruppenauswahl und der Suchbarkeit ist dabei initial auf "Alle" eingestellt, d.h. dass alle Personen, denen die E-Mail-Adresse oder die Telefonnummer des Nutzers bekannt sind, diesen hierüber im Netzwerk finden können. Dieser Hilfebereich mit den vorbezeichneten Informationen war im streitgegenständlichen Zeitraum auch dem Kläger jederzeit zugänglich. Der Kläger änderte seine Suchbarkeitseinstellung am 20.12.2020 von "Everyone" in "Friends" und am 21.9.2021 von "Friends" in "Only me".

Anfang April 2021 wurden Daten von ca. 533 Mio. Nutzern der Plattform der Beklagten sowie die den jeweiligen Profilen der Nutzer zugeordnete Telefonnummern im Internet durch unbekannte Dritte zum Download bereitgestellt. Diese sammelten im Vorfeld (in der Zeit von Januar 2018 bis September 2019) unter Nutzung eines automatisierten Verfahrens eine Vielzahl der auf der Plattform der Beklagten verfügbaren öffentlichen Informationen der Nutzer (sog. Scraping). Die Zuordnung der Telefonnummer des jeweiligen Nutzers zu dessen Profil gelang den Dritten dadurch, dass sie die zuvor durch sie bereitgestellten Nummern in das sog. Contact-Import-Tool der Plattform hochluden, die Kontakte synchronisierten und - die nicht veränderte Standard-Einstellung des Suchbarkeitskriteriums vorausgesetzt - so feststellten, welche Rufnummer welchem Profil zugeordnet war. Durch dieses Vorgehen gelang es den unbekannten Dritten, so auch die Telefonnummer des Klägers dessen Profil zuzuordnen.

Mit Schreiben vom 15.10.2021 wurde die Beklagte vergeblich zur Zahlung von 500,00 EUR bis zum15.11.2021 und Unterlassung künftiger Zugänglichmachung der Daten des Klägers aufgefordert (Anlage K1). In demselben Schreiben ersuchte der Kläger die Beklagte um Auskunft darüber, ob diese die betreffenden personenbezogenen Daten im Zusammenhang mit dem im April 2021 bekannt gewordenen Scraping-Sachverhalt verarbeite. Mit Schreiben vom 11.11.2021 erteilte die Beklagte dem Kläger Auskunft in Form einer Instruktion unter Nutzung eines Selbstbedienungstools zur Einsichtnahme seiner angegebenen personenbezogenen Daten und deren Verwendung (Anlage B16).

Der Kläger behauptet, beim genannten Scraping-Vorfall seien Daten wie Telefonnummer, Facebook-ID, Name, Vorname, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus und weitere korrelierende Daten veröffentlicht worden. Der Kläger habe einen erheblichen Kontrollverlust über seine Daten hierdurch erlitten. Er leide unter großem Unwohlsein und Sorgen, da er einen Missbrauch seiner Daten befürchte. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen, aber auch in der ständigen Sorge des Klägers, dass die veröffentlichen Daten von Kriminellen für unlautere Zwecke verwendet werden könnten. Hierzu behauptete der Kläger zudem, die betreffenden personenbezogenen Daten seien im Internet auf Seiten veröffentlicht worden, die illegale Aktivitäten begünstigen sollen, z.B. auf der Seite raidforums.com. Hierbei handele es sich um ein "Hacker-Forum".

Darüber hinaus meint der Kläger, die Beklagte habe durch die vielschichtigen Einstellungsmöglichkeiten ein oberflächliches Gefühl der Sicherheit in Bezug auf die Datensicherheit und im Konkreten im Hinblick auf die Telefonnummer der Nutzer - also auch in Bezug auf die des Klägers - erzeugt. Die intransparenten Konfigurationen der Sicherheitseinstellungen in Bezug auf die Verwendung der Telefonnummer ließen einen tiefgreifenden Überblick über den tatsächlichen Sicherheitsstatus hinsichtlich der Telefonnummer nicht zu. Dies widerspräche den Grundsätzen eines nutzerfreundlichen Datenschutzes und dem in der DSGVO niedergelegten Prinzips der "privacy by default". Die Intransparenz resultiere beispielhaft daraus, dass im Rahmen der Datenschutzinformation nur insofern Auskunft erteilt werde, in welchem Rahmen möglicherweise die Verwendung der Nummer erfolge. Trotz der Geheimhaltungsbemühungen des Klägers habe es die Beklagte ermöglicht, Unbekannten die Nummer des Klägers zu identifizieren. Die Verhinderung der Identifizierung der Telefonnummer sei nur durch die Veränderung der Option der Suchbarkeitseinstellungen möglich gewesen, die jedoch versteckt gewesen sei. Zudem seien die Sicherheitseinstellungen der von der Beklagten zur Verfügung gestellten Messenger-App, die auch von dem Kläger genutzt werde und mit den übrigen Diensten des Netzwerks verknüpft sei, von den Einstellungen des Accounts im gewöhnlichen Netzwerk separiert. Insbesondere könne hierbei wiederum unabhängig von dem Hauptdienst der Seite eingestellt werden, ob Telefonkontakte mit dem Dienst synchronisiert werden sollen. Hierzu behauptet der Kläger ferner, dass eine Information über etwaige Risiken im Hinblick auf Missbrauchsmöglichkeiten durch Dritte oder über die Verwendung der Telefonnummer im Allgemeinen nicht erfolgt sei.

Des Weiteren behauptet der Kläger, dass die Beklage keinerlei Sicherheitsvorkehrungen bezüglich der Ausnutzung der Contact-Import-Funktion vorhielte, um eine automatisierte Massenabfrage von Telefonnummern zu unterbinden. So habe die Beklagte beispielsweise keine Sicherheitscaptchas verwendet, um sicherzustellen, dass es sich bei der Anfrage zur Synchronisierung um die Anfrage eines Menschen und nicht um eine automatisch generierte handele. Er meint, zum Treffen derartiger Sicherheitsvorkehrungen sei die Beklagte verpflichtet gewesen, um einer - für den Kläger offensichtlichen - Sicherheitslücke entgegenzutreten.

Schließlich meint der Kläger, dass die seitens der Beklagten erteilte Auskunft unzureichend gewesen sei. Das Antwortschreiben enthielte lediglich allgemein gehaltene Informationen zu den im Netzwerk verarbeiteten Daten. Diese pauschale Information habe zu einer Intensivierung des Schadens in Form einer Steigerung der Ungewissheit und der Sorge um einen unbemerkten Missbrauch der Daten durch Dritte geführt. Hierzu behauptet der Kläger, dass er bei - aus seiner Sicht - angemessener Benachrichtigung zeitnah Schritte zur Risikominimierung und Absicherung der Daten eingeleitet hätte. Zudem habe die Beklagte es versäumt, die zuständige Datenschutzbehörde "Irish Data Protection Commission" unverzüglich zu informieren.

Der Kläger beantragt,

  1. 1.

    die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz,

  2. 2.

    festzustellen, dass die Beklagte verpflichtet ist, ihm alle künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden,

  3. 3.

    die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

    1. a.

      personenbezogenen Daten des Klägers, namentlich Telefonnummer, FacebookID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

    2. b.

      die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf "privat" noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird,

  4. 4.

    die Beklagte zu verurteilen, ihm Auskunft über die ihn betreffenden personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten,

  5. 5.

    die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 EUR zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte meint, die Klage sei bereits unzulässig, da die Klageanträge zu Ziffer 1. und 3. zu unbestimmt seien. Die Unbestimmtheit des Klageantrags zu Ziffer 1. resultiere daraus, dass der Kläger nicht konkretisiert habe, in welchem Verhältnis jeder der unterstellten Schäden den geltend gemachten Ersatzanspruch tragen solle. Schließlich sei der Klageantrag zu Ziffer 3. deshalb unzulässig, weil unklar bliebe, wo die Grenze zwischen "aktueller" und "nicht mehr aktueller Technik" bzw. "unübersichtlicher" oder "übersichtlicher Information" liege.

Die Beklagte ist der Auffassung, dass die von der Klägerpartei geltend gemachten Verstöße gegen Artt. 13, 14, 15, 24, 25, 32, 34 DSGVO nicht vom Anwendungsbereich des Art. 82 DSGVO erfasst seien. Zudem meint die Beklagte, es liege kein Datenschutzverstoß vor. Eine Beeinträchtigung der Informationssicherheit habe nicht stattgefunden, da Informationen des Klägers öffentlich einsehbar gewesen seien. So sei der Beklagten keine Sicherheitslücke anzulasten, die zu schließen gewesen wäre, da die Verknüpfung zwischen der Telefonnummer des Klägers und seinem Account lediglich auf die Suchbarkeitseinstellung des Klägers zurückzuführen gewesen sei und lediglich öffentlich einsehbare Daten durch Dritte in Form des Scraping abgerufen worden seien. Zudem sei ein kompensationsgeeigneter und messbarer Schaden nicht durch den Kläger dargelegt. Selbst bei einem angenommenen vorübergehenden Kontrollverlust über personenbezogene Daten des Klägers wäre dies nicht der Beklagten zuzurechnen, weil die öffentliche Einsehbarkeit den Privatsphäre-Einstellungen des Klägers entsprochen habe.

Im Übrigen sei eine umfassende und transparente Information über die Möglichkeit der Anpassung der Suchbarkeitseinstellungen und Zielgruppenauswahl erfolgt, woraus sich ergebe, wer bestimmte persönliche Informationen, die der Nutzer in seinem Profil hinterlegt habe, einsehen könne. Diese Einstellungen habe - so behauptet die Beklagte - der Kläger jederzeit anpassen können.

Bezüglich des geltend gemachten Auskunftsanspruches meint die Beklagte, dass sie im Hinblick auf das weitergehende Auskunftsbegehren betreffend die Verarbeitungstätigkeit Dritter weder hierzu imstande noch nach Art. 15 DSGVO rechtlich verpflichtet sei.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die wechselseitigen Schriftsätze der Parteien nebst Anlagen verwiesen.

Entscheidungsgründe

Die Klage ist zulässig, aber unbegründet.

I. Die Klage ist zulässig.

1. Das Landgericht Aurich ist international und örtlich zuständig.

a) Die internationale Zuständigkeit des Landgerichts Aurich folgt neben Art. 79 Abs. 2 DSGVO aus Art. 18 Abs. 1 Alt. 2 i.V.m. Art. 17 Abs. 1 lit. c) EuGVVO. Hiernach kann der Verbraucher an seinem Wohnsitz seinen Vertragspartner wegen Streitigkeiten aus einem Vertrag verklagen, wenn sein Vertragspartner in dem Mitgliedstaat, in dessen Hoheitsgebiet der Verbraucher seinen Wohnsitz hat, eine berufliche oder gewerbliche Tätigkeit ausübt oder eine solche auf irgendeinem Wege auf diesen Mitgliedstaat oder auf mehrere Staaten, einschließlich dieses Mitgliedstaats, ausrichtet und der Vertrag in den Bereich dieser Tätigkeit fällt. So liegt es hier. Der Kläger ist Verbraucher im Sinne des Art. 17 Abs. 1 lit. c), da er das Netzwerk der Beklagten lediglich für private Zwecke nutzt. Die Beklagte übt mit dem Anbieten ihres sozialen Netzwerks auch eine berufliche Tätigkeit auf dem Gebiet der Europäischen Union aus. Auch wenn das Netzwerk als solches zur kostenfreien Nutzung zur Verfügung gestellt ist, so dient die Plattform dennoch auch einer gewerblichen Tätigkeit der Beklagten (EuGH, Urteil v. 05.06.2018 - C-210/16, Rn. 60, zit. n. Juris). Darüber hinaus ist der Kläger durch die Nutzung der Plattform mit der Beklagten auch vertraglich verbunden (Brandenburgisches Oberlandesgericht, Urteil v. 25.01.2022 - 3 U 119/20, Rn. 46, zit. n. Juris).

b) Die örtliche Zuständigkeit des Landgerichts Aurich folgt ebenfalls aus Art. 18 Abs. 1 Alt. 2 EuGVVO. Der Kläger hat seinen Wohnsitz im hiesigen Landgerichtsbezirk.

2. Die Klageanträge sind gemäß § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt. Grundsätzlich ist ein Klageantrag hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird (Greger in: Zöller, ZPO, 34 Aufl. 2022, § 253, Rn. 13). Diesen Anforderungen werden die Anträge zu Ziffer 1. und 3. gerecht.

a) Die Auslegung des Antrags zu Ziffer 1. ergibt, dass dieser dahingehend zu verstehen ist, dass dem Kläger aufgrund des kumulativen Zusammenwirkens der etwaigen Verstöße gegen die DSGVO vor und nach dem Vorfall des Scrapings ein größerer Schaden entstanden ist. Nach dem Verständnis des Gerichts liegen diesem Antrag nicht etwa mehrere Streitgegenstände, sondern lediglich ein sich über einen längeren Zeitraum abspielender Sachverhalt zu Grunde, sodass sich der Zahlungsantrag des Klägers auf diesen länger andauernden, aber zusammenhängenden Sachverhalt stützt. Zudem ist der Klageschrift auch zu entnehmen, dass die potentiellen Verstöße gegen die Datenschutzgrundverordnung nicht etwa in einem Alternativverhältnis zueinanderstehen, sondern gerade in ihrer Zusammenschau betrachtet werden müssen.

b) Auch der Antrag zu Ziffer 3. lit. a sowie lit. b ist hinreichend bestimmt. Dabei sind Anträge insbesondere der Auslegung zugänglich, die unter gewissen Umständen auch hingenommen werden muss (Greger in: Zöller, ZPO, 34. Aufl. 2022, § 253, Rn. 13b). Eine auslegungsbedürftige Antragsformulierung ist dann hinzunehmen, wenn dies zur Gewährleistung eines effektiven Rechtsschutzes (Art. 19 Abs. 4 GG) erforderlich ist und die Klägerseite ihren Antrag nicht konkreter fasst. So liegt es hier. Die streitgegenständlichen technischen Vorkehrungen unterliegen einem ständigen Wandel. So wären selbst bei Angabe der konkreten aktuellen Sicherheitsmaßnahmen diese alsbald überholt, sodass der Kläger erneut klagen müsste.

Die Bestimmtheit des Antrags zu Ziffer 3. lit. b resultiert daraus, dass durch die Formulierung "namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf "privat" noch durch Verwendung des Kontaktimporttools verwendet werden kann [...]." dem Antrag unter Berücksichtigung der Klagebegründung entnommen werden kann, wann nach Auffassung des Klägers eine übersichtliche Gestaltung vorliegt, nämlich dann, wenn explizit über die Verwendung der Telefonnummer in den hierauf gerichteten Einstellungsmöglichkeiten belehrt wird.

c) Der Schmerzensgeldantrag verstößt der Höhe nach nicht gegen den Bestimmtheitsgrundsatz des § 253 Abs. 2 Nr. 2 ZPO, da der Kläger sowohl in der Klagebegründung als auch im Klageantrag zu Ziffer 1) einen Mindestbetrag von 1.000,00 EUR angegeben hat.

3. Der Feststellungsantrag zu Ziffer 2. ist ebenfalls zulässig. Das ist dann der Fall, wenn die Schadensentwicklung noch nicht abgeschlossen ist und der Kläger seinen Anspruch deshalb ganz oder teilweise nicht beziffern kann (OLG Hamm, Urteil v. 21.05.2019 - 9 U 56/18, Rn. 22, zit. n. Juris). Es ist nicht völlig ausgeschlossen, dass der Kläger infolge der Veröffentlichung seiner Telefonnummer in Verbindung mit seinem Namen sowie weiteren persönlichen Daten einen irgendwie gearteten Schaden erleidet.

II. Die Klage ist jedoch unbegründet.

Dem Kläger stehen die geltend gemachten Ansprüche unter keinem rechtlichen Gesichtspunkt zu.

1. Dem Kläger steht gegen die Beklagte kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu (vgl. hierzu insgesamt (LG Kiel Urt. v. 12.1.2023 - 6 O 154/22, GRUR-RS 2023, 328, beck-online; LG Essen Urt. v. 10.11.2022 - 6 O 111/22, GRUR-RS 2022, 34818, beck-online).

a) Ein Anspruch des Klägers auf Zahlung eines immateriellen Schadensersatzes ergibt sich nicht aus Art. 82 Abs. 1 DSGVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die Datenschutzgrundverordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verantwortlicher in diesem Sinne ist gemäß Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Es ergibt sich aus dem Vortrag der Beklagten, dass sich diese als Verantwortliche im Sinne dieser Norm ansieht.

aa) Ein Verstoß gegen die Bestimmungen der Datenschutzgrundverordnung liegt hingegen nicht vor, sodass auch offenbleiben kann, ob die Artt. 13, 14, 15, 24, 25, 32, 34 DSGVO in den Schutzbereich des Art. 82 DSGVO fallen.

(1) Ein Verstoß gegen die Transparenzpflichten aus Artt. 5 Abs. 1 lit. a, 13, 14 DSGVO fällt der Beklagten nicht zur Last. Nach dem Grundsatz des Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Das Erfordernis der Transparenz führt Art. 13 DSGVO dann in Form von Informations- und Aufklärungspflichten fort. Die Aufklärung über die Zwecke der Verarbeitung muss insbesondere für den Nutzer klar verständlich und nachvollziehbar sein. Ähnliche Vorgaben sieht auch Art. 14 DSGVO für den Fall vor, dass der Verantwortliche die Daten nicht direkt bei der betroffenen Person erhebt. Auch Art. 12 DSGVO sieht eine Information in präziser, transparenter und leicht zugänglicher Form vor. Diesem Maßstab wurde die Beklagte gerecht. Sie hat ihren Nutzern - und damit auch dem Kläger - im streitgegenständlichen Zeitraum im Rahmen ihrer Datenrichtlinie und dem Hilfebereich in Bezug auf die Verwendung der Daten und insbesondere der Verwendung der Telefonnummer sowie die Funktion des Contact-Import-Tools klare Informationen zur Verfügung gestellt (Anlage B9). Dabei fand die Aufklärung über die Verwendung der Daten in verständlicher Sprache statt, wie es nach Inaugenscheinnahme der streitgegenständlichen Bestimmungen der Datenrichtlinie und des Hilfebereiches zur Überzeugung des Gerichts feststeht. Zudem ist sie auch in für den Nutzer zugänglicher Art und Weise erfolgt. Dies gilt vor allem im Hinblick darauf, dass die Beklagte eine sog. Mehrebenen-Datenschutzerklärung verwendet, bei der der Nutzer auf der ersten Ebene einen Überblick über die ihm hinsichtlich der Verarbeitung seiner personenbezogenen Daten zur Verfügung stehenden Informationen erhält und auf der zweiten Ebene die detaillierten Auskünfte durch das Anklicken eines qualifizierten Abschnitts einsehen kann. Dies dient letztlich der Vermeidung einer Überforderung des Nutzers mit einer blockartigen und überfrachteten Datenschutzinformation. Zwar trifft es zu, dass die Einstellungsmöglichkeiten über mehrere Links erreichbar sind. Die Beklagte informiert den Nutzer jedoch über sämtliche Nutzungs- und Suchbarkeitsoptionen, wie bereits aus den durch den Kläger selbst vorgelegten Screenshots hervorgeht. Der Leser kann dabei auch gleich zu Beginn der Datenschutzrichtlinie feststellen, dass seitens der Beklagten auf die individuelle Anpassung der Privatsphäre-Einstellungen aufmerksam gemacht wird.

Auch aus dem Umfang dieser Datenschutzinformation kann nicht auf eine Unübersichtlichkeit geschlossen werden. In Anbetracht der Vorgaben der DSGVO und der damit verbundenen vielseitigen Informationsverpflichtungen liegt es in der Natur der Sache, dass eine Datenschutzinformation umfangreich ausfällt (LG Essen, Urteil v. 10.11.2022 - 6 O 111/22, GRUR-RS 2022, 34818, Rn. 50). Diesem Umstand begegnet die Beklagte aber gerade mit einer Erklärung, die es dem Nutzer ermöglicht, die für ihn interessanten Bereiche anzusteuern, auch wenn das Durchlesen der verschiedenen Hinweise einen gewissen zeitlichen Aufwand erfordert. Soweit der Kläger darüber hinaus den Umfang der Aufklärung der Datenschutzrichtlinie in Bezug auf die Telefonnummer für unzureichend hält, so setzt er sich mit der Vorlage von Screenshots von den einschlägigen Seiten der Beklagten, die genau diese Hinweise erteilen, selbst in Widerspruch (Bl. 11, 13 d. A.). Diese Screenshots bilden die tatsächlichen Inhalte der Information ab. Die Inhalte auf dieser Website sind offenkundige Tatsachen gemäß § 291 ZPO, die jedem Nutzer zugänglich sind, und enthalten sämtliche Informationen zum Umfang der Verarbeitung und Hinweise zu den Möglichkeiten der Konfiguration der Privatsphäre des Accounts.

Entgegen der Auffassung des Klägers war die Beklagte auch nicht dazu verpflichtet, über die Verarbeitungstätigkeit unbefugter Dritter zu informieren. Denn der Kläger ist seitens der Beklagten über den Umstand der Öffentlichkeit seiner Daten informiert worden (Anlagen B1, B3, B4, B5). So durfte und musste die Beklagte aufgrund ihrer erteilten Information davon ausgehen, dass dem Kläger bekannt gewesen ist, dass sein Name, sein Geschlecht und sein Benutzername für jedermann abrufbar ist. In diesem Zusammenhang musste sich der Kläger auch über den Umstand bewusst gewesen sein, dass der offene Zugang zu bestimmten Daten eine potentielle Missbrauchsmöglichkeit durch Dritte eröffnen kann. Hierbei handelt es sich nämlich um ein allgemeines Lebensrisiko, das jedem Internetnutzer in der heutigen Zeit bewusst sein muss. Eine Verpflichtung zur Information über ein derartiges - wenn auch im Zusammenhang mit der Nutzung des sozialen Netzwerks stehendes - allgemeines Lebensrisiko trifft die Beklagte jedoch nicht.

Eine Intransparenz resultiert schließlich auch nicht etwa aus dem Umstand, dass die Verwendung der Telefonnummer nur möglicherweise erfolgt. Im Hinblick auf die potentiellen Verwendungszwecke, über die die Beklagte informiert, erschließt sich dem Leser unmittelbar, dass nicht alle Verwendungszwecke für alle Nutzer gelten können. So etwa, wenn ein Nutzer die Zwei-Faktor-Authentifizierung zur Sicherheit seines Kontos nicht nutzt.

(2) Es liegt auch kein Verstoß gegen Artt. 24 Abs. 1, 32 Abs. 1 DSGVO durch die Beklagte vor. Nach diesen Vorschriften hat der Verantwortliche bei der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Anknüpfend an den Gedanken der Schaffung eines Schutzniveaus kann sich eine derartige Verpflichtung in Anbetracht des Wortlautes des Art. 32 Abs. 1 lit. b) DSGVO allerdings nur auf solche Datensätze beziehen, die nicht gerade einem Schutz der Vertraulichkeit entzogen werden sollen. Bei den Daten, die im Wege des Scrapings durch Dritte erlangt worden sind, handelt es sich aber gerade um Datensätze, für die der Kläger von vornherein keine Vertraulichkeit vorgesehen hat. Denn diese Daten des Klägers, nämlich sein Name, sein Geschlecht und sein Benutzername, sind Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnlichen Sicherheitsvorkehrungen abrufbar sind. Dass andere als die vorgenannten Daten - insbesondere die Telefonnummer des Klägers - seitens Dritter erlangt worden sind, kann das Gericht nicht feststellen. Dass eine Verknüpfung der Telefonnummer mit dem Account des Klägers stattfinden konnte, beruht nicht auf einem Mangel an technischen Vorkehrungen der Beklagten, sondern ist auf den Umstand der eingestellten Suchbarkeit des Profils des Klägers zurückzuführen, die er jederzeit hätte ändern können. Wenn der Nutzer es aber selbst in der Hand hat, über die einschlägigen Einstellungen selbst festzulegen, für wen er bei einer Suche auffindbar ist, so kann von der Beklagten darüber hinaus - ungeachtet der Klärung der Frage, ob sie derartige Maßnahmen vorgehalten hat - nicht erwartet werden, dass diese noch weitere technische Maßnahmen implementiert. Gegenteiliges stünde auch im konträrem Verhältnis zu der Tatsache, dass sich der Nutzer freiwillig bei einem sozialen Netzwerk registriert, das dazu dient, ihren Nutzern eine Kontaktaufnahme untereinander zu ermöglichen, aber dann Sicherheitsmaßnahmen fordert, die diesen Zweck vereiteln, obwohl der Nutzer bei dem Registrierungsvorgang der Datenrichtlinie zustimmt, die ihn über die Verwendung seiner Daten aufklärt. Darüber hinaus gewährleistet die Beklagte einen Schutz sensiblerer Daten - wie etwa der Telefonnummer -, indem sie deren Verwendung beziehungsweise die Auffindbarkeit des Nutzers über diese für ihn nur optional zur Verfügung stellt. Überdies wird er auf die Möglichkeit der Ein- oder Umstellung dieser und anderer Auffindbarkeitsfunktionen gerade - wie bereits dargestellt - über Hinweise und Hilfestellungen auf die jeweiligen Schutzmöglichkeiten aufmerksam gemacht.

(3) Die Beklagte hat zudem nicht gegen Art. 25 Abs. 1 und Abs. 2 DSGVO verstoßen.

Nach Art. 25 Abs. 2 DSGVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Sinn und Zweck der Vorschrift ist es, einem Zielkonflikt zu begegnen, der darin besteht, dass der Betroffene einen Dienst der Informationsgesellschaft nutzen möchte und im Rahmen der erstmaligen Eingabe möglichst viele Daten angeben muss, auf die sich die Voreinstellungen beziehen, obwohl diese Daten für die Nutzung nicht erforderlich sind. Vor diesem Hintergrund soll der Betroffene davor geschützt werden, dass er unbeabsichtigt seine Daten einer unbestimmten Anzahl von Personen zugänglich macht (Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO/BDSG, 11. Ergänzungslieferung 2022, Art. 25, Rn. 11). Die initiale Einstellung der Such- bzw. Auffindbarkeit für alle Nutzer dient aber gerade dem Sozialaspekt und damit dem Verarbeitungszweck der Plattform. Auch wenn die Beklagte mit ihrer Plattform Marketingzwecke verfolgen mag, so ist für den Nutzer aber in der Regel nicht etwa der kommerzielle Aspekt, wie es der Kläger in seiner Replik ausführt, sondern gerade die soziale Komponente des Netzwerks von Bedeutung. Diese besteht darin, den jeweiligen Nutzern die Möglichkeit zu eröffnen, mit anderen in Kontakt zu treten oder zu bleiben, sich an öffentlichen Diskussionen zu beteiligen oder Inhalte aller Art mit der Öffentlichkeit zu teilen. Wünscht es sich der Nutzer nicht, Mitglied des soeben dargestellten Publikums zu sein, steht es ihm offen, sich mit Vornahme der entsprechenden Einstellungen "in ein privateres Profil zurückzuziehen". Sowohl der kommunikative Zweck des Netzwerks als auch die Möglichkeit der Anpassung der Privatsphäre-Einstellungen war dem Kläger bekannt. Überdies war es ihm ohne Weiteres möglich, bei entsprechendem Interesse den Hilfebereich aufzusuchen, wo er über den Reiter "Privatsphäre-Check" sodann unmittelbar zu den einschlägigen Einstellungen gelangen konnte.

Soweit der Kläger hierzu behauptet, dass der kommunikative Zweck ebenso erreicht werden könne, wenn die entsprechenden Voreinstellungen für die Telefonnummern der Nutzer von Anfang an auf "nicht-öffentlich" beziehungsweise "nicht sichtbar" gestellt seien, weil die Nutzer der Plattform sich lediglich über ihre Namen und nicht über ihre Telefonnummer suchen, trifft dies nicht zu. Auch wenn es in der Tat unwahrscheinlich erscheint, dass sich Freunde oder Familienmitglieder über ihre Nummern suchen, so ist dies in Bezug auf Externe nicht unbedingt der Fall. Gerade in Anbetracht der Vielzahl an aktiven Nutzern der Plattform können sich die Namen wiederholen, sodass ein einfaches Auffinden des angesteuerten Kontakts nicht immer möglich ist. Vor diesem Hintergrund kann aber gerade die Auffindbarkeit durch die Telefonnummer oder E-Mail-Adresse Abhilfe schaffen, um so eine schnellere und bequemere Kontaktaufnahme zu ermöglichen.

Zwar sehen die Voreinstellungen der Zielgruppenauswahl sowie der Suchbarkeit bei erstmaliger Nutzung der Plattform eine Zugänglichkeit in Form der Ansteuerung und der Einsichtnahme in das Profil des Betroffenen durch einen unbestimmt weit gefassten Personenkreis vor. Dem Betroffenen ist es jedoch gleich nach der Anmeldung möglich, eine Änderung dieser Konfiguration vorzunehmen, um so sein Vertraulichkeitsinteresse in Bezug auf seine Daten zu wahren. Durch diese Möglichkeit, auf die der Nutzer nach seiner Anmeldung durch die Beklagte hingewiesen wird, wird so letztlich dem Zweck der unkontrollierten Weitergabe der Daten des Betroffenen entsprochen.

(4) Eine Verletzung der Pflicht gemäß Art. 33 DSGVO, der zuständigen Aufsichtsbehörde den Datenschutzverstoß zu melden, liegt seitens der Beklagten ebenfalls nicht vor. Gemäß Art. 33 DSGVO hat der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Eine Verletzung des Schutzes personenbezogener Daten liegt - wie dargestellt - aber nicht vor, sodass die Beklagte auch nicht in der Pflicht gestanden hat, diese der zuständigen Behörde, der "Irish Data Commission", zu melden.

(5) Schließlich hat die Beklagte auch nicht gegen ihre Verpflichtung aus Art. 15 Abs. 1 lit. a und lit. c DSGVO verstoßen. Hiernach hat der Betroffene das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet worden sind; ist dies der Fall, so hat der Betroffene ein Recht auf Auskunft über diese personenbezogenen Daten, über die Verarbeitungszwecke und über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen. Das klägerische Auskunftsersuchen vom 15.10.2021 (Anlage K1) hat die Beklagte am 11.11.2021 (Anlage B16) unter Angabe der Nutzer ID, des Vornamens, des Landes sowie des Geschlechts des Klägers beantwortet. Lediglich in diesem Rahmen bestand der Auskunftsanspruch des Klägers. Denn eine weitere Auskunft - insbesondere, wie vom Auskunftsbegehren des Klägers gefordert, welchen Empfängern die Daten des Klägers durch das Scraping bekannt geworden sind - war der Beklagten weder möglich noch war sie hierzu verpflichtet. Im Hinblick darauf, dass aufgrund des nahezu unendlichen Spektrums der möglichen Empfänger sowie des Umstandes, dass das Scraping als plattform-externer Vorgang stattgefunden hat, ist es für die Beklagte unmöglich, den Informationsfluss zurückzuverfolgen, zumal der Kläger nicht dargelegt hat, in welcher Form eine derartige Information erfolgen könnte. Nichts anderes ergibt sich hinsichtlich des Zeitraumes, in welchem die Daten gescraped worden sind. Die bloße Angabe des Zeitraumes durch den Kläger von dem Jahr 2019 bis zur Veröffentlichung im April 2021 vermag die zeitliche Angabe nicht zu präzisieren.

bb) Im Übrigen mangelt es an einem ersatzfähigen Schaden des Klägers im Sinne des Art. 82 Abs. 1 DSGVO. Der Eintritt des Schadens muss dabei im Sinne des § 287 ZPO als überwiegend wahrscheinlich dargetan werden (Foerste in: Musielak/Voit, ZPO, 19. Aufl. 2022, § 287, Rn. 7). Auch wenn der Schadensbegriff im Lichte des Erwägungsgrundes 146 S. 3 der DSGVO weit zu verstehen ist, so ist es dem Kläger nicht gelungen, diesen unter Zugrundelegung des vorbezeichneten Maßstabs hinreichend konkret darzulegen. Der Kläger benennt zwar als immaterielle Schadenspositionen Ängste, unter denen er leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potentiellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen.

Das Gericht kann nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kläger unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Gegen das Vorliegen der von dem Kläger behaupteten Ängste spricht entscheidend, dass es sich bei den gescrapten Daten des Klägers um solche handelt, die immer öffentlich sichtbar sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Hierauf wird der Kläger auch durch die Beklagte hingewiesen, sodass nicht nachvollziehbar ist, weshalb eine "weitere Veröffentlichung" dieser Daten bei dem Kläger zu einem unguten Gefühl geführt haben sollte. In diesem Sinne kann schon nicht von einer Veröffentlichung der Daten durch Dritte gesprochen werden, die der Kläger selbst öffentlich zugänglich gemacht hat. Allenfalls entspricht die Korrelation der öffentlich einsehbaren Daten mit der Telefonnummer und das anschließende Publizieren eines derartig erstellten "Profils" durch Dritte einem derartigen Verständnis. Die Ermöglichung eines derartigen Umstandes beruht aber gerade nicht auf einem Vorgehen, das der Beklagten zuzurechnen ist, sondern vielmehr auf den Suchbarkeitseinstellungen des Klägers, die er jederzeit hätte ändern können. Weiterhin ist die Eingabe der Telefonnummer freiwillig und für die Registrierung nicht erforderlich gewesen. Trotzdem hat der Kläger seine Telefonnummer eingegeben. Wäre dem Kläger an der größtmöglichen Geheimhaltung seiner Telefonnummer gelegen, so hätte er sich darauf beschränken können, nur die notwendigen Informationen, also die für die Registrierung erforderliche E-Mail, preiszugeben.

Dass der Kläger tatsächlich nicht an den beschriebenen Ängsten und Sorgen leidet, ergibt sich nach Auffassung des Gerichts schließlich daraus, dass bei einer - durch den Kläger selbst dargestellten - Offenkundigkeit der Betrugsversuche ein Risiko, tatsächlich das Opfer eines derartigen Betruges zu werden, nicht vorhanden ist. Es ist ein Leichtes für den Kläger, zu erkennen, dass Dritte mit derartigen Maßnahmen kriminelle Zwecke verfolgen. Darüber hinaus stehen die fragwürdigen E-Mails schon gar nicht im Zusammenhang mit dem Scraping-Vorfall, da die E-Mail-Adresse des Klägers nicht veröffentlicht wurde. Auch der Vorfall, bei dem die Polizei beim Kläger vor Ort aufgetaucht ist, steht nicht in Zusammenhang mit dem Scraping-Vorfall, weil die Adresse ebenfalls nicht veröffentlicht wurde.

b) Aus den soeben dargestellten Gründen besteht in Ermangelung eines ersatzfähigen Schadens auch kein Anspruch des Klägers auf Zahlung eines immateriellen Schadensersatzes aus § 280 Abs. 1 BGB i.V.m. dem Nutzungsvertrag.

c) Ein immaterieller Schadensersatzanspruch folgt auch nicht aus den §§ 280 Abs. 1, 3, 281, 327, 327e, 327i BGB. Sowohl das Scrapen von Daten im Jahre 2019 als auch deren Veröffentlichung durch Dritte April 2021 lagen vor dem Inkrafttreten der §§ 327 ff. BGB am 1.1.2022 (vgl. Art. 229 § 57 Abs. 2 EGBGB).

d) Ein immaterieller Schadensersatzanspruch ergibt sich ferner nicht aus § 823 Abs. 2 BGB i.V.m. dem Recht auf informationelle Selbstbestimmung, da dem Kläger kein ersatzfähiger Schaden entstanden ist. Deshalb besteht auch kein entsprechender Anspruch gemäß §§ 1004 analog, 823 Abs. 2 BGB i.V.m. Artt. 13, 14 DSGVO.

e) Aus denselben Gründen scheitert ein immaterieller Schadensersatzanspruch des Klägers aus §§ 823 Abs. 1, 253 Abs. 2 BGB i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG. Vor diesem Hintergrund kann die Anwendbarkeit des nationalen Rechts neben der DSGVO dahingestellt bleiben.

2. Dem Kläger steht gegen die Beklagte auch kein Anspruch aus §§ 1004 analog, 823 Abs. 2 BGB i.V.m. Artt. 6 Abs. 1, 17 DSGVO und Artt. 13, 14 DSGVO auf Unterlassung zu, seine personenbezogenen Daten in Zukunft unbefugt, d.h. konkret ohne vorherige ausreichende Belehrung, zu veröffentlichen und diese zukünftig unbefugten Dritten zugänglich zu machen. Ungeachtet der Einordnung des Art. 6 Abs. 1 DSGVO als Schutzgesetz fehlt es - wie dargestellt - an einem Verstoß der Beklagten, der zu einem Unterlassungsanspruch führt, sodass auch an dieser Stelle die Anwendbarkeit des nationalen Rechts neben der DSGVO offenbleiben kann. Insbesondere hat die Beklagte den Kläger über die Zwecke und den Umfang der Verarbeitung seiner Daten ausreichend, insbesondere gemäß Art. 13 Abs. 1 DSGVO in verständlicher Weise, aufgeklärt.

3. Ein Auskunftsanspruch des Klägers nach Art. 15 Abs. 1 DSGVO besteht ebenfalls nicht. Wie bereits dargestellt, ist der Auskunftsanspruch in dem dem Kläger zustehenden Umfang durch die Erteilung der Information seitens der Beklagten (Anlage B16) untergegangen (§ 362 Abs. 1 BGB). Denn der Umfang der Auskunft hat dabei lediglich die eigene Datenverarbeitung betroffen. Vor diesem Hintergrund kann eine Auskunftspflicht im Hinblick darauf, inwieweit die durch das Scraping erlangten öffentlich einsehbaren Daten von Dritten etwaig verarbeitet wurden, für die Beklagte hingegen nicht bestehen.

4. Der Feststellungsantrag ist aus denselben Erwägungen unbegründet.

5. Weiterhin hat der Kläger keinen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten aus § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DSGVO, da es in der Hauptsache bereits an einem Anspruch mangelt.

6. Aus demselben Grund scheitert ein Zinsanspruch des Klägers aus § 291 BGB.

III. Die Kostenentscheidung folgt aus § 91 Abs. 1 S. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit ergibt sich aus § 709 S. 1, 2 ZPO.