Oberlandesgericht Oldenburg
Urt. v. 21.05.2024, Az.: 13 U 100/23
Anspruch gegen eine Social-Media-Plattform auf Schadensersatz in einem sog. Scraping-Vorfall durch Veröffentlichtung personenbezogener Daten
Bibliographie
- Gericht
- OLG Oldenburg
- Datum
- 21.05.2024
- Aktenzeichen
- 13 U 100/23
- Entscheidungsform
- Urteil
- Referenz
- WKRS 2024, 15934
- Entscheidungsname
- [keine Angabe]
- ECLI
- [keine Angabe]
Verfahrensgang
- vorgehend
- LG Oldenburg - 15.08.2023 - AZ: 5 O 1972/22
Rechtsgrundlagen
- Art. 82 DSGVO
- Art. 15 DSGVO
Fundstellen
- ITRB 2024, 228-229
- ZD 2024, 540
Amtlicher Leitsatz
Ein Anspruch auf Schadenersatz gemäß Art. 82 DSGVO setzt neben dem Verlust der Kontrolle über personenbezogene Daten den Nachweis voraus, dass der Betroffene einen Schaden, hier in Form eines immateriellen Schadens durch Ängste und Sorgen, tatsächlich erlitten hat.
Der Kläger genügt seiner Darlegungslast für die Entstehung eines immateriellen Schadens, wenn er behauptet, Unwohlsein und Sorge wegen eines möglichen Missbrauchs seiner personenbezogenen Daten verspürt zu haben.
In dem Rechtsstreit
AA, Ort1,
Kläger und Berufungskläger,
Prozessbevollmächtigte:
(...),
Geschäftszeichen: (...)
gegen
BB Limited, vertreten durch den Geschäftsführer CC, Ort2,
Beklagte und Berufungsbeklagte,
Prozessbevollmächtigte:
(...),
Geschäftszeichen: (...)
hat der 13. Zivilsenat des Oberlandesgerichts Oldenburg durch den Vorsitzenden Richter am Oberlandesgericht (...), den Richter am Oberlandesgericht (...) und den Richter am Oberlandesgericht (...) auf die mündliche Verhandlung vom 14. Mai 2024 für Recht erkannt:
Tenor:
Die Berufung des Klägers gegen das am 15. August 2023 verkündete Urteil des Landgerichts Oldenburg wird zurückgewiesen.
Die Kosten des Rechtsstreits trägt der Kläger.
Das Urteil ist ohne Sicherheitsleistung vorläufig vollstreckbar. Der Kläger darf die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des zu vollstreckenden Betrages leistet.
Die Revision wird zugelassen, soweit die Berufung hinsichtlich des Klageantrags zu 1. zurückgewiesen wurde.
Der Streitwert für die erste Instanz wird auf 2.500 € festgesetzt.
Gründe
I.
Der Kläger macht Schadenersatz-, Feststellungs-, Unterlassungs- und Auskunftsansprüche wegen der Verletzung der Datenschutzgrundverordnung (DSGVO) durch die Beklagte aus einem sogenannten "Scraping-Vorfall" geltend. Wegen der Einzelheiten des Sach- und Streitstandes und der erstinstanzlich gestellten Anträge nimmt der Senat Bezug auf die Feststellungen des Landgerichts im angegriffenen Urteil.
Mit diesem Urteil, auf das wegen der Einzelheiten der Begründung ebenfalls verwiesen wird, hat das Landgericht die Klage abgewiesen. Zur Begründung hat es ausgeführt, die Klage sei zulässig, aber unbegründet. Der geltend gemachte Schadenersatzanspruch stehe dem Kläger nicht zu. Es liege bereits kein Verstoß der Beklagten gegen die Datenschutzgrundverordnung vor. Davon abgesehen sei es dem Kläger auch nicht gelungen, den Eintritt eines Schadens nachzuweisen. Die geltend gemachten Feststellungs- und Unterlassungsanträge seien mangels Verstoßes der Beklagten gegen die Datenschutzgrundverordnung unbegründet. Ein Auskunftsanspruch des Klägers sei schließlich durch Erfüllung erloschen.
Dagegen wendet sich der Kläger mit seiner Berufung. Wegen der Begründung nimmt der Senat Bezug auf die Berufungsbegründung vom 16. Oktober 2023.
Der Kläger beantragt,
- 1.
die Beklagte zu verurteilen, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz;
- 2.
festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden;
- 3.
die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,
- a.
personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, DD-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern;
- b.
die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf "privat" noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der DD-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird;
- 4.
die Beklagte zu verurteilen, der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten;
- 5.
die Beklagte zu verurteilen, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.
Die Beklagte beantragt,
die Berufung zurückzuweisen.
Der Senat hat den Kläger gemäß § 141 Abs. 1 Satz 1 ZPO informatorisch angehört. Wegen des Ergebnisses der Parteianhörung wird auf das Protokoll der mündlichen Verhandlung vom 14. Mai 2024 verwiesen.
II.
Die zulässige Berufung ist unbegründet.
1. Die von Amts wegen zu prüfende internationale Zuständigkeit der deutschen Gerichte folgt aus Art. 79 Abs. 2 Satz 2 DSGVO, da der Kläger als betroffene Person seinen gewöhnlichen Aufenthalt in Deutschland hat. Die Datenschutzgrundverordnung ist in zeitlicher, sachlicher und räumlicher Hinsicht anwendbar.
Der zeitliche Anwendungsbereich der Datenschutzgrundverordnung ist eröffnet. Gemäß Art. 99 Abs. 2 DSGVO gilt die Datenschutzgrundverordnung ab dem 25. Mai 2018. Der Kläger hat behauptet, dass die Beklagte die seine personenbezogenen Daten betreffenden Verstöße gegen die Datenschutzgrundverordnung, insbesondere das unbefugte Zugänglichmachen seiner Daten gegenüber Dritten, im Jahr 2019 begangen habe (S. 4 f der Klageschrift vom 25. August 2022, GA I 5). Dem ist die Beklagte nicht entgegengetreten. Zwar hat sie ausgeführt, dass sich der Scraping-Vorfall über den Zeitraum von Januar 2018 bis September 2019 erstreckt habe (S. 11 f Rn. 24 der Klageerwiderung vom 6. Februar 2023, GA I 156 f), jedoch die Behauptung des Klägers, dass das Abschöpfen seiner Daten durch unbekannte Dritte im Jahr 2019 erfolgt sei, nicht in Abrede gestellt. Davon abgesehen hat sie wegen des Scraping-Vorfalls unter anderem auch auf ihre Pressemitteilung vom 6. April 2021 verwiesen (Anlage B10), in der der Scraping-Vorfall ebenfalls im Jahr 2019 verortet wird (S. 31 Rn. 76 der Klageerwiderung, GA I 176). Folglich ist davon auszugehen, dass die personenbezogenen Daten des Klägers im Jahr 2019 abgeschöpft wurden.
Der sachliche Anwendungsbereich der Datenschutzgrundverordnung ist ebenfalls eröffnet. Gemäß Art. 2 Abs. 1 DSGVO gilt die Datenschutzgrundverordnung unter anderem für die automatisierte Verarbeitung personenbezogener Daten. Bei den hier in Rede stehenden Daten des Klägers (Familienname, Vorname, Geschlecht, DD-ID, Mobilfunknummer) handelt es sich um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO. Diese wurden von der Beklagten im Rahmen des von ihr betriebenen sozialen Netzwerks DD automatisiert verarbeitet (vgl. Leupold/Wiebe/Glossner, IT-Recht, 4. Aufl., Teil 15.3 Rn. 28). Das Geschäftsmodell des sozialen Netzwerks DD basiert auf der Finanzierung durch Online-Werbung, die auf den individuellen Nutzer des sozialen Netzwerks insbesondere nach Maßgabe seines Konsumverhaltens, seiner Interessen, seiner Kaufkraft und seiner Lebenssituation zugeschnitten ist. Technische Grundlage dieser Art von Werbung ist die automatisierte Erstellung von detaillierten Profilen der Nutzer des Netzwerks und der auf Ebene des BB-Konzerns angebotenen Online-Dienste. Zu diesem Zweck werden neben den Daten, die diese Nutzer bei ihrer Registrierung für die betreffenden Online-Dienste direkt angeben, weitere nutzer- und gerätebezogene Daten innerhalb und außerhalb des sozialen Netzwerks und der vom BB-Konzern bereitgestellten Online-Dienste erhoben und mit den verschiedenen Nutzerkonten verknüpft. In ihrer Gesamtheit lassen diese Daten detaillierte Rückschlüsse auf die Präferenzen und Interessen der Nutzer zu (EuGH, Urteil vom 4. Juli 2023 - C-252/21, juris Rn. 27).
Schließlich ist auch der räumliche Anwendungsbereich der Datenschutzgrundverordnung eröffnet. Gemäß Art. 3 Abs. 1 DSGVO findet die Datenschutzgrundverordnung auf die Verarbeitung personenbezogener Daten Anwendung, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Bei der Beklagten handelt es sich um ein Unternehmen nach dem Recht der irischen Republik mit Sitz in Ort2, mithin innerhalb der Union. Da die DD-Plattform für Nutzer in der Europäischen Union von ihr betrieben wird, ist sie Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO.
2. Der Kläger hat gegen die Beklagte keinen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO (Klageantrag zu 1).
a) Der Klageantrag zu 1 ist zulässig, insbesondere gemäß § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt. Dem steht nicht entgegen, dass der Kläger der Beklagten in Zusammenhang mit dem geltend gemachten Schadenersatzanspruch verschiedene Verstöße gegen die Datenschutzgrundverordnung vorwirft, die sich über einen längeren Zeitraum ereignet haben sollen. Anders als die Beklagte meint, liegt kein Fall einer alternativen Klagehäufung vor, bei der der Kläger angeben muss, in welcher Reihenfolge er sein Klagebegehren im Hinblick auf die verschiedenen Streitgegenstände verfolgt (vgl. BGH, Urteil vom 5. Juli 2016 - XI ZR 254/15, BGHZ 211, 189 Rn. 25 mwN). Der Kläger macht nicht mehrere selbstständige prozessuale Ansprüche, sondern einen einheitlichen Anspruch auf Ersatz eines immateriellen Schadens geltend. Er leitet seinen Schaden aus dem Abschöpfen (Scraping) seiner personenbezogenen Daten her, mit dem die behaupteten Datenschutzverstöße der Beklagten in engem Zusammenhang stehen. Mit dem Scraping-Vorfall liegt dem geltend gemachten Schadenersatzanspruch ein eindeutig abgrenzbarer, einheitlicher Lebenssachverhalt und damit ein einheitlicher Streitgegenstand zugrunde (vgl. OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris Rn. 230; OLG Dresden, Urteil vom 5. Dezember 2023 - 4 U 1094/23, juris Rn. 27; OLG Köln, Urteil vom 7. Dezember 2023 - 15 U 33/23, juris Rn. 26).
b) Der Klageantrag zu 1 ist jedoch unbegründet.
Ein Schadenersatzanspruch gemäß Art. 82 DSGVO setzt einen Verstoß gegen die Datenschutzgrundverordnung, den Eintritt eines Schadens und einen Kausalzusammenhang zwischen Verstoß und Schaden voraus (EuGH, Urteile vom 4. Mai 2023, C-300/21, juris Rn. 32 und vom 14. Dezember 2023 - C-340/21, juris Rn. 77). Vorliegend hat die Beklagte zwar gegen die Datenschutzgrundverordnung verstoßen, indessen hat der Kläger keinen kausalen Schaden erlitten.
aa) Der erforderliche Verstoß gegen die Datenschutzgrundverordnung liegt vor. Dabei kann die von den unterschiedlichen Wortlauten in Art. 82 Abs. 1 DSGVO ("wegen eines Verstoßes gegen diese Verordnung") und Art. 82 Abs. 2 DSGVO ("eine nicht dieser Verordnung entsprechende Verarbeitung") ausgehende Streitfrage, ob bereits jeder Verstoß gegen die Datenschutzgrundverordnung oder erst eine verordnungswidrige Datenverarbeitung einen Schadenersatzanspruch nach Art. 82 DSGVO begründet (vgl. OLG Stuttgart aaO Rn. 381 ff; Paal, ZfDR 2023, 325, 334 ff), dahinstehen. Da die Beklagte personenbezogene Daten des Klägers ohne die nach Art. 6 Abs. 1 DSGVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die Datenschutzgrundverordnung, sondern auch eine verordnungswidrige Datenverarbeitung vor. Ob die Beklagte darüber hinaus die weiteren, von dem Kläger geltend gemachten Datenschutzrechtsverstöße begangen hat, kann offenbleiben, da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine abschreckende oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadenersatzes führt (EuGH, Urteil vom 11. April 2024 - C-741/21 Rn. 64 f).
(1) Gemäß Art. 4 Nr. 2 DSGVO fällt unter den Begriff der Datenverarbeitung neben der Offenlegung durch Übermittlung und Verbreitung auch jede andere Form der Bereitstellung personenbezogener Daten. Die Suchbarkeit des Nutzerprofils des Klägers anhand dessen Mobilfunknummer stellte eine Form der Bereitstellung der personenbezogenen Daten des Klägers dar. Sie ermöglichte es anderen Nutzern, das Nutzerprofil des Klägers mit den öffentlichen Profildaten mittels Such- und Kontaktimportfunktion anhand dessen Mobilfunknummer zu finden. Zugleich ermöglichte sie es den Scrapern, das Nutzerprofil des Klägers anhand automatisch generierter Mobilfunknummern, bei denen es sich mangels Kenntnis von deren Inhaber zunächst um keine personenbezogenen Daten, sondern um bloße Ziffernfolgen handelte, mittels Such- und Kontaktimportfunktion zu finden und durch die Verknüpfung der automatisch generierten Mobilfunknummer mit dem Nutzerprofil des Klägers dessen Mobilfunknummer in Erfahrung zu bringen.
(2) Gemäß Art. 6 Abs. 1 Satz 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der dort genannten Rechtsgrundlagen vorliegt (EuGH, Urteil vom 4. Juli 2023 aaO Rn. 90). Die Darlegungs- und Beweislast für eine rechtmäßige Datenverarbeitung trägt der Verantwortliche (EuGH aaO Rn. 95), mithin die Beklagte. Für die Suchbarkeit des Nutzerprofils des Klägers anhand dessen Mobilfunknummer hat die Beklagte indessen keine Rechtsgrundlage nach Art. 6 Abs. 1 Satz 1 DSGVO dargelegt, weshalb die Datenverarbeitung rechtswidrig war.
(a) Die Beklagte beruft sich als Rechtsgrundlage für die Suchbarkeit des Nutzerprofils des Klägers anhand dessen Mobilfunknummer auf Art. 6 Abs. 1 Satz 1 Buchst b DSGVO (S. 35 Rn. 69 ff der Berufungserwiderung vom 18. April 2024, GA V 940). Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Erfüllung eines Vertrages erforderlich ist. Die Beklagte vertritt die Auffassung, dass die Suchbarkeit des Nutzerprofils des Klägers anhand dessen Mobilfunknummer für die Erfüllung des Hauptzwecks des mit dem Kläger geschlossenen Nutzungsvertrages, die gegenseitige Auffindbarkeit der Nutzer untereinander zwecks Vernetzung miteinander zu ermöglichen, erforderlich gewesen sei. Anders als die Beklagte meint, lagen die Voraussetzungen von Art. 6 Abs. 1 Satz 1 Buchst. b DSGVO jedoch nicht vor.
Die Verarbeitung personenbezogener Daten ist zur Erfüllung eines Vertrages erforderlich, wenn die Datenverarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der Vertragsleistung ist, so dass der Hauptgegenstand des Vertrages ohne die Datenverarbeitung nicht erfüllt werden könnte. Der Umstand, dass die Datenverarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, genügt nicht. Entscheidend ist, dass die Datenverarbeitung des Verantwortlichen für die ordnungsgemäße Erfüllung des mit dem Betroffenen geschlossenen Vertrages wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen (EuGH aaO Rn. 98 f, 125).
Nach Maßgabe dieser Grundsätze war die Suchbarkeit des Nutzerprofils des Klägers anhand dessen Mobilfunknummer nicht erforderlich im Sinne des Art. 6 Abs. 1 Satz 1 Buchst. b DSGVO (ebenso OLG Hamm, Urteil vom 15. August 2023 - 7 U19/23, juris Rn. 94 ff; OLG Stuttgart aaO Rn. 502 ff). Die Suchbarkeit der Nutzerprofile anhand der Mobilfunknummer war zur Erfüllung des von der Beklagten angeführten Hauptzweck des Nutzervertrages - die gegenseitige Auffindbarkeit zwecks Vernetzung - nicht unerlässlich. Vielmehr können die Nutzer sich die Nutzer gegenseitig auch über ihre Namen finden (vgl. auch OLG Dresden aaO Rn. 34; OLG Stuttgart aaO Rn. 503). Gerade zu diesem Zweck ist der Name der Nutzer dem Vortrag der Beklagten zufolge stets öffentlich einsehbar (S. 11 Rn. 24 der Klageerwiderung, GA I 156). Soweit die Beklagte vor dem Hintergrund der weltweit ca. 2,8 Milliarden Nutzer von DD auf die höhere Trefferwahrscheinlichkeit der Suche anhand der Telefonnummer verweist (S. 56 Rn. 112 der Berufungserwiderung, GA V 961), folgt daraus nicht die Erforderlichkeit der Suchbarkeit von Nutzerprofilen anhand der Telefonnummer für unbekannte Dritte. Anderenfalls wäre nicht nachvollziehbar, dass die Telefonnummer nicht zu den Pflichtangaben zählt, die im Rahmen der Erstanmeldung bei DD zwingend anzugeben sind (Ebner, ZD 2023, 285), die Nutzer die standardmäßige Voreinstellung der Suchbarkeit ihres Nutzerprofils anhand ihrer Telefonnummer auf "alle" dem Vortrag der Beklagten zufolge abwählen konnten (S. 15 Rn. 32 der Klageerwiderung, GA I 160) und die Beklagte die Suchmöglichkeit von Nutzern anhand der Telefonnummer in der Suchfunktion im April 2018 zur Unterbindung des Scraping deaktiviert hat (vgl. OLG Hamm aaO Rn. 16; OLG Dresden aaO Rn. 3; OLG Stuttgart aaO Rn. 480).
(b) Andere Rechtsgrundlagen für die Suchbarkeit des Nutzerprofils des Klägers anhand dessen Mobilfunknummer führt die Beklagte nicht an. Insbesondere beruft sie sich nicht auf Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO, wonach die Datenverarbeitung rechtmäßig ist, wenn und soweit die betroffene Person ihre Einwilligung dazu erteilt hat (S. 35 Rn. 69 ff der Berufungserwiderung vom 18. April 2024, GA V 940). Tatsächlich lag eine wirksame Einwilligung des Klägers auch nicht vor.
Nach Art. 4 Nr. 11 DSGVO ist unter Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Nach Art. 7 Abs. 1 DSGVO trägt der Verantwortliche die Darlegungs- und Beweislast für das Vorliegen einer Einwilligung des Betroffenen (EuGH aaO Rn. 152). Vorliegend hat die Beklagte nicht dargelegt, dass der Kläger in die Suchbarkeit seines Nutzerprofils anhand seiner Mobilfunknummer im Sinne des Art. 4 Nr. 11 DSGVO eingewilligt hat.
Soweit die Beklagte darauf hinweist, dass der Kläger die standardmäßige Voreinstellung der Suchbarkeitsfunktion nicht von "alle" auf "Freunde", "Freunde von Freunden" oder (ab Mai 2019) "nur ich" geändert hat (S. 36 f Rn. 90 der Klageerwiderung, GA I 181 f), folgt daraus keine Einwilligung. Eine in unmissverständlicher Weise abgegebene Einwilligung setzt ein aktives Verhalten des Einwilligenden voraus. Daher begründen Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person - wie auch aus Erwägungsgrund 32 Satz 3 DSGVO folgt - keine Einwilligung (EuGH, Urteile vom 1. Oktober 2019 - C-637/17, NJW 2019, 3433 Rn. 61 f und vom 11. November 2020 - C-61/19, NJW 2021, 841 Rn. 35 f).
Soweit die Beklagte darauf hinweist, dass sie in Vorbereitung auf den Geltungsbeginn der Datenschutzgrundverordnung die DD-Nutzer im April 2018 zur Zustimmung zu den aktualisierten Nutzungsbedingungen vom 19. April 2018 (Anlage B19), zur Kenntnisnahme der aktualisierten Datenrichtlinie (Anlage B20) und zur Überprüfung der Dateneinstellungen aufgefordert habe (S. 14 ff des Schriftsatzes vom 11. Mai 2023, GA III 533 ff; S. 31 Rn. 58 der Berufungserwiderung, GA V 936), legt sie ebenfalls keine Einwilligung des Klägers in die Suchbarkeit seines Nutzerprofils anhand dessen Mobilfunknummer dar. Eine Einwilligung "in informierter Weise" (Art. 4 Nr. 11 DSGVO) hätte vorausgesetzt, dass die Beklagte den Kläger transparent über die Suchbarkeit des Nutzerprofils anhand der Telefonnummer informiert hätte. Die Beklagte hat jedoch nicht dargelegt, dies getan zu haben.
Der von der Beklagten vorgelegte Screenshot von der Zustimmungsschaltfläche zeigt neben der "Ich stimme zu"-Schaltfläche den Text: "Indem du auf ,Ich stimme zu' klickst, akzeptierst du die aktualisierten Nutzungsbedingungen" (vgl. den Screenshot auf S. 16 des Schriftsatzes vom 11. Mai 2023, GA III 535). Da sich eine etwaige Einwilligungserklärung des Klägers somit auf die aktualisierten Nutzungsbedingungen vom 19. April 2018 bezöge (vgl. auch Erwägungsgrund 42 Satz 2 DSGVO), müssten diese die erforderliche Information über die Suchbarkeit des Nutzerprofils des Klägers anhand dessen Mobilfunknummer enthalten (vgl. OLG Hamm aaO Rn. 119). Die Nutzungsbedingungen (Anlage B19) beinhalten jedoch zum Datenschutz unter der Überschrift "2. Unsere Datenrichtlinie und deine Privatsphäre-Einstellungen" lediglich folgende Ausführungen: "Wir erfassen und verwenden deine personenbezogenen Daten, um die oben beschrieben Dienste für dich bereitzustellen. In unserer Datenrichtlinie [Verlinkung] erfährst du, wie wir deine Daten erfassen und verwenden. Wir empfehlen dir außerdem, deine Privatsphäre-Einstellungen in deinen Einstellungen [Verlinkung] zu überprüfen. Diese legen die Art und Weise fest, wie wir Daten verwenden."
Die Datenrichtlinie enthält ebenso wenig Informationen über die Suchbarkeit des Nutzerprofils anhand der Telefonnummer wie die Nutzungsbedingungen. Unter der Überschrift "Wie werden diese Informationen geteilt?" wird lediglich die Zielgruppenauswahl erläutert (Anlage B20, S. 6).
Die Privatsphäre-Einstellungen enthielten unter der Rubrik "So kann man dich finden und kontaktieren" zwar die Einstellung
"Wer kann dich anhand der angegebenen Telefonnummer finden? Alle" (vgl. die Screenshots auf S. 13 der Klageschrift, GA I 14 sowie auf S. 16 der Klageerwiderung, GA I 161).
Dabei handelt es sich jedoch nicht um eine Information über die Suchbarkeit des Nutzerprofils anhand der Telefonnummer, sondern um die Suchbarkeitsfunktion als solche. Selbst wenn man das ausreichen lassen wollte, begründete jedenfalls die Verlinkung der Privatsphäre-Einstellungen in den Nutzungsbedingungen keine transparente Information über die Suchbarkeit des Nutzerprofils anhand der Telefonnummer. Denn aus Sicht des Klägers bestand keine Notwendigkeit, der Empfehlung der Beklagten zur Überprüfung seiner Privatsphäre-Einstellungen zu folgen. Nach Art. 25 Abs. 2 Satz 1 DSGVO ist die Beklagte verpflichtet, Voreinstellungen für die Verarbeitung personenbezogener Daten so auszuwählen, dass nur die für die Zweckerreichung erforderlichen Daten verarbeitet werden. Mithin durfte der Kläger darauf vertrauen, dass die Beklagte die jeweils datenschutzfreundlichsten Voreinstellungen ausgewählt hatte. Da die Verarbeitung der Telefonnummer im Rahmen der Suchfunktion zur Erfüllung des Hauptzwecks des sozialen Netzwerks (gegenseitige Auffindbarkeit zwecks Vernetzung) - wie ausgeführt - nicht erforderlich war, konnte der Kläger nach Art. 25 Abs. 2 Satz 3 DSGVO davon ausgehen, dass die Beklagte durch geeignete technische und organisatorische Maßnahmen sicherstellen würde, dass seine Mobilfunknummer durch Voreinstellungen ohne sein Zutun nur dem kleinstmöglichen Empfängerkreis zugänglich gemacht werden würde (vgl. Nolte/Werkmeister in Gola/Heckmann, DSGVO, 3. Aufl., Art. 25 Rn. 31). Damit, dass die Beklagte gegen diese Verpflichtung verstoßen würde, indem sie die standardmäßige Voreinstellung "alle" wählte (vgl. OLG Dresden aaO Rn. 34; OLG Hamm aaO Rn. 127 f; OLG Köln aaO Rn. 30; OLG Stuttgart aaO Rn. 489 ff), brauchte der Kläger nicht zu rechnen. Zudem lag aus Sicht des Klägers auch nicht nahe, dass neben der Zielgruppenauswahl mit der Suchbarkeitsfunktion noch eine weitere für die Verarbeitung seiner Mobilfunknummer relevante Einstellung vorzunehmen war, zumal auf der DD-Plattform als Verwendungszwecke für die Verarbeitung der Telefonnummer nach dem übereinstimmenden Vortrag der Parteien zwar die Zwei-Faktor-Authentifizierung, das Erfragen und Zurücksetzen des Passwortes, der Erhalt von SMS-Benachrichtigungen sowie die Zusendung von Freundschaftsanfragen und Werbung angegeben wurden, nicht jedoch die Suchbarkeit des Nutzerprofils (S. 15 der Klageschrift, GA I 16; S. 20 f Rn. 43 der Klageerwiderung, GA I 165 f mit Anlage B6).
Soweit die Beklagte in der Berufungserwiderung schließlich auf Ausführungen im Hilfebereich hinweist (S. 32 Rn. 61 der Berufungserwiderung, GA V 937; Anlage B6), hat sie weder dargelegt, dass der Kläger im Vorfeld der Einwilligung zu den Nutzungsbedingungen auf diese Ausführungen hingewiesen wurde, noch dass er im Vorfeld der Einwilligung darauf überhaupt Zugriff hatte. Davon abgesehen vermag der Senat der von der Beklagten in Bezug genommenen Passage "Möglicherweise verwenden wir deine Mobilfunknummer für diese Zwecke: [...] Um dir Personen, die du kennen könntest, vorzuschlagen, damit du dich mit ihnen auf DD verbinden kannst." auch keinen Hinweis auf eine Suchbarkeit des eigenen DD-Profils anhand der eigenen Telefonnummer zu entnehmen. In der Passage wird der Nutzer darüber aufgeklärt, dass die Beklagte seine Telefonnummer möglicherweise für eine Kontaktaufnahme mit ihm nutzt, nicht aber, dass Dritte diese nutzen können, um sein Profil zu finden.
bb) Der Kläger hat allerdings keinen Schaden erlitten.
Nach Erwägungsgrund 146 Satz 3 DSGVO ist der Begriff des Schadens weit und unter Berücksichtigung der Ziele der Datenschutzgrundverordnung (vgl. Art. 1 DSGVO) auszulegen. Die Darlegungs- und Beweislast für das Vorliegen eines Schadens trifft den Kläger (EuGH, Urteile vom 4. Mai 2023 aaO Rn. 50 und vom 14. Dezember 2023 aaO Rn. 84). Der Kläger hat jedoch nicht nachgewiesen, aufgrund des Verstoßes der Beklagten gegen die Datenschutzgrundverordnung einen immateriellen Schaden erlitten zu haben.
(1) Entgegen der Auffassung des Klägers stellt der Verlust der Kontrolle über personenbezogene Daten als solcher noch keinen ersatzfähigen Schaden dar. Soweit der Kläger als Beleg für seine Auffassung die Erwägungsgründe 75 und 85 DSVGO anführt (S. 40 der Klageschrift, GA I 41; S. 49 f der Berufungsbegründung vom 16. Oktober 2023, GA IV 859), ist zu berücksichtigen, dass die Erwägungsgründe keinen normativen Charakter haben, sondern lediglich als Auslegungshilfe in Betracht kommen (vgl. etwa Ehmann/Selmayr, DSGVO, 2. Aufl., Einführung Rn. 97 mwN). Dabei haben die Erwägungsgründe 75 und 85 DSVGO für die Auslegung des Schadensbegriffs in Art. 82 Abs. 1 DSGVO nur eine begrenzte Aussagekraft, da sie sich nicht auf Art. 82 DSGVO, sondern auf Art. 24 DSGVO bzw. Art. 33 DSGVO beziehen (Paal, ZfDR 2023, 325, 349; vgl. auch OLG Köln aaO Rn. 42).
Davon abgesehen folgt aus der Rechtsprechung des Europäischen Gerichtshofs, dass der bloße Kontrollverlust keinen immateriellen Schaden im Sinne des Art. 82 DSGVO begründet. Die entsprechende Vorlagefrage (vgl. EuGH, Urteil vom 14. Dezember 2023 - C-456/22, Rn. 11) hat der Europäische Gerichtshof dahingehend beschieden, dass der Kontrollverlust zwar grundsätzlich einen Schaden darstellen könne, der Anspruchsteller jedoch nachweisen müsse, dass die negativen Folgen eines Verstoßes einen immateriellen Schaden darstellen (EuGH aaO Rn. 21 f). Das nationale Gericht müsse, wenn sich eine Person auf die Befürchtung berufe, ihre personenbezogenen Daten könnten in Zukunft missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne (EuGH, Urteil vom 14. Dezember 2023 - C-340/21, Rn. 85). Danach ist der Verlust der Kontrolle über die eigenen Daten eine negative Folge, die zwar grundsätzlich einen Ersatzanspruch begründen kann, der Anspruchsteller bleibt jedoch in der Pflicht, darzulegen und ggf. zu beweisen, dass der Kontrollverlust zu einem immateriellen Schaden wie begründeten Ängsten und Befürchtungen eines Missbrauchs der Daten durch Dritte geführt hat (vgl. auch Mörsdorf/Momtazi, NJW 2024, 1074 Rn. 17). Ein folgenloser Kontrollverlust stellt hingegen keinen (immateriellen) Schaden dar (ebenso OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 151, 159 f; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, GRUR-RS 2023, 32883 Rn. 123; OLG Dresden, Urteil vom 5. Dezember 2023 - 4 U 1094/23, juris Rn. 45 f; OLG Köln aaO Rn. 41).
Aus dem Urteil des Europäischen Gerichtshofs vom 14. Dezember 2023 - C-340/21 folgt nichts anderes. Soweit der Europäischen Gerichtshof darin unter Verweis auf Erwägungsgrund 85 Satz 1 DSGVO ausgeführt hat, dass der Unionsgesetzgeber unter den Begriff des Schadens insbesondere den bloßen "Verlust der Kontrolle" über die eigenen Daten infolge eines Verstoßes gegen die Datenschutzgrundverordnung habe fassen wollen (EuGH, Urteil vom 14. Dezember 2023 aaO Rn. 82), hat er dies als Argument dafür angeführt, dass die Annahme eines Schadens nicht den Missbrauch personenbezogener Daten voraussetzt, sondern insoweit die Befürchtung eines solchen Missbrauchs auf Seiten des Betroffenen ausreichen kann. Eine Aussage über die Qualität des Kontrollverlusts als Schaden hat er damit nicht getroffen.
(2) Soweit der Kläger behauptet, großes Unwohlsein und große Sorge wegen eines möglichen Missbrauchs seiner personenbezogenen Daten verspürt zu haben (S. 23 und 41 der Klageschrift, GA I 24, 42; S. 49 f der Berufungsbegründung vom 16. Oktober 2023, GA IV 859 f), hat er seiner Darlegungslast genügt. Die durch einen Datenschutzrechtsverstoß hervorgerufene Befürchtung des Betroffenen, dass seine personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen (EuGH, Urteil vom 14. Dezember 2023 aaO Rn. 86). Allerdings bleibt das Gericht gehalten zu prüfen, ob die Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH aaO Rn. 85).
Nach Anhörung des Klägers steht nicht zur Überzeugung des Senats fest, dass dieser infolge des Scraping-Vorfalls tatsächlich Ängste und Sorgen wegen eines möglichen Missbrauchs seiner Mobilfunknummer empfunden hat. Im Gegenteil geht der Senat vielmehr davon aus, dass dies nicht der Fall ist. Der Kläger hat bei seiner Anhörung weder den Eindruck vermittelt noch ausdrücklich bekundet, über das Abgreifen seiner Mobilfunknummer beunruhigt zu sein. Ebenso wenig hat ihn der Scraping-Vorfall zu einem Wechsel seiner Mobilfunknummer veranlasst. Ob der Kläger seine Suchbarkeits-Einstellung nach dem Scraping-Vorfall geändert hat, konnte er nicht sicher sagen. Vielmehr hat er eingeräumt, dass ihm die Unterscheidung zwischen Zielgruppen- und Suchbarkeits-Einstellung trotz ihrer schriftsätzlichen Thematisierung in dem vorliegenden Verfahren nicht richtig geläufig ist. Angesichts dieser Umstände ist der Senat nicht davon überzeugt, dass der Kläger tatsächlich Ängste und Sorgen wegen seiner abgegriffenen Mobilfunknummer empfindet.
(3) Schließlich begründet auch der von dem Kläger geschilderte Erhalt von Spam-Anrufen und -SMS nicht den geltend gemachten Schadenersatzanspruch. Abgesehen davon, dass der unerwünschte Erhalt von Spam-Anrufen und -SMS im Internetzeitalter gewissermaßen zum allgemeinen Lebensrisiko zählt, steht der ursächliche Zusammenhang zwischen dem Scraping-Vorfall und den Spam-Anrufen und -SMS nicht zur Überzeugung des Senats fest. Da der Kläger bekundet hat, mit seiner Mobilfunknummer auch bei EE und FF registriert zu sein, sind für den Erhalt der Spam-Anrufe auch andere Ursachen als der Scraping-Vorfall bei DD denkbar.
3. Der Feststellungsantrag (Antrag zu 2.) erweist sich mangels Feststellungsinteresse bereits als unzulässig, die Berufung insoweit als unbegründet.
Bei der Verletzung eines absolut geschützten Rechtsguts im Sinne des § 823 Abs. 1 BGB reicht für die Annahme des Feststellungsinteresses die Möglichkeit weiterer materieller oder immaterieller Schäden aus (BGH, Urteil vom 5. Oktober 2021 - VI ZR 136/20, juris Rn. 28 mwN). Dies gilt auch bei der Verletzung des allgemeinen Persönlichkeitsrechts als einem absolut geschützten Rechtsgut. Dieser Maßstab ist unter Berücksichtigung des Äquivalenz- und Effektivitätsgrundsatzes auf den Fall der Verletzung des nach Art. 82 DSGVO geschützten Rechtsguts Datenschutz als europarechtliche Ausformung des deutschen allgemeinen Persönlichkeitsrechts zu übertragen (vgl. EuGH, Urteil vom 4. Mai 2023 aaO Rn. 53 ff, OLG Hamm aaO Rn. 208 f.). Ein Feststellungsinteresse ist daher nur zu verneinen, wenn aus Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines (weiteren) Schadens wenigstens zu rechnen (OLG Hamm aaO Rn. 210).
Eine solche Möglichkeit des Schadenseintritts ist vorliegend nicht ersichtlich. Soweit der Kläger dazu in der Berufungsbegründung auf zahlreiche Betrugsfälle verweist, bleibt offen, ob diese mit dem Scraping-Vorfall in Zusammenhang stehen und auf der Grundlage der dabei offengelegten Daten durchgeführt worden sind. Bei der Anhörung des Klägers wurde deutlich, dass er für einen angemessenen Umgang mit Spam-Nachrichten sensibilisiert ist. Angesichts dessen und der Tatsache, dass dem Kläger nach seinen eigenen Angaben bis heute kein materieller Schaden aus dem Vorfall erwachsen ist und er zudem bisher selbst keine Veranlassung gesehen hat, seine Mobilfunknummer zu wechseln, ist nach Überzeugung des Senats auch zukünftig nicht damit zu rechnen, dass ein solcher Schaden noch eintritt.
4. Die Anträge zu 3. a) und b) sind ebenfalls bereits unzulässig.
Der Unterlassungsantrag zu 3. a) ist infolge Unbestimmtheit unzulässig. Ein Klageantrag ist gemäß § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet und namentlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem Unterlassungsantrag regelmäßig der Fall, wenn die Unterlassung der konkret beanstandeten Verletzungshandlung begehrt wird (OLG Hamm aaO Rn. 229). Der Antrag des Klägers zielt dagegen nicht auf die zukünftige Verwendung des früheren Contakt-Importer-Tools, das von der Beklagten durch Einführung der "People-You-May-Know"-Funktion ohnehin verändert worden ist. Sein Begehren ist vielmehr auf eine bestimmte zukünftige, datenschutzkonforme Ausgestaltung der Contakt-Importer-Funktion gerichtet. Unabhängig von der Frage, ob es sich insoweit um eine Unterlassung oder ein positives Tun handelt, ist dieses Begehren jedenfalls nicht hinreichend konkret formuliert.
Indem der Unterlassungsantrag lediglich den Wortlaut eines Gesetzes noch dazu verkürzt und ungenau wiederholt, wird die Entscheidung darüber, was der Beklagten konkret verboten ist bzw. von ihr an Sicherheitsvorkehrungen verlangt werden kann, letztlich dem Vollstreckungsgericht überlassen (vgl. BGH, Urteil vom 24. November 1999 - I ZR 189/97, juris Rn. 45 mwN). Insbesondere ist weder dem Antrag noch dem weiteren Vorbringen des Klägers zu entnehmen, was von der Beklagten im Hinblick auf die derzeit bestehende "People-You-May-Know"-Funktion insbesondere unter Berücksichtigung ihres subjektiven Beurteilungsspielraums bei der Umsetzung der Schutzmaßnahmen konkret zu fordern ist.
Der weitere Unterlassungsantrag (Antrag zu 3. b)) erweist sich mangels Rechtsschutzbedürfnisses ebenfalls als unzulässig. Der Kläger begehrt die Unterlassung einer Verarbeitung seiner Telefonnummer mittels des Kontaktimporttools, solange ihm als Nutzer keine eindeutige Information darüber vorliege, dass die Telefonnummer auch bei Einstellung der Einsehbarkeit auf "privat" noch mögliches Suchkriterium ist. Dass die Telefonnummer mittels des früheren Kontaktimporttools Anknüpfungsmerkmal für die Suche nach DD-Profilen war, ist dem Kläger jedoch aufgrund des hiesigen Verfahrens positiv bekannt. Für den Fall, dass er nunmehr einer Suchbarkeit seines Profils anhand der Telefonnummer zustimmen sollte, wäre die geforderte Information mithin erfolgt. Angesichts dessen ist nicht ersichtlich, welches Rechtsschutzziel der Kläger mit seinem Antrag verfolgt.
5. Ein Auskunftsanspruch (Antrag zu 4.) ist - wie das Landgericht zutreffend ausgeführt hat (LGU 11 f, 14) - aufgrund Erfüllung erloschen, § 362 BGB. Auf die Ausführungen in der angegriffenen Entscheidung wird insoweit Bezug genommen. Soweit der Kläger einwendet, die Beklagte habe die "Scraper" konkret zu benennen, verkennt er, dass diese der Beklagte nach ihrem unwiderlegten Vorbringen nicht bekannt sind und sie schon aus diesem Grund die weitere erstrebte Auskunft nicht erteilen kann.
6. Der Antrag auf Erstattung vorgerichtlicher Rechtsanwaltskosten (Antrag zu 5.) erweist sich als unbegründet. Wie dargelegt sind die Anträge zu 1. bis 3. von Anfang an unzulässig oder unbegründet gewesen, so dass insoweit ein Anspruch auf Erstattung von Rechtsanwaltskosten nicht besteht. Soweit der ursprünglich bestehende Anspruch auf Auskunftserteilung (Antrag zu 4.) durch Erfüllung erloschen ist, hat der Kläger nicht dargelegt, dass sich die Beklagte diesbezüglich bei Erteilung des Mandats an seine Bevollmächtigten bereits in Verzug befunden hätte, so dass sich auch insoweit kein Anspruch gemäß §§ 280 Abs. 2, 281 Abs.1 BGB ergibt.
III.
1. Die Nebenentscheidungen folgen aus §§ 97 Abs. 1, 516, Abs. 3, 708 Nr. 10, 711 ZPO.
2. Entgegen der Ansicht des Klägers besteht kein Anlass, das Verfahren auszusetzen.
a) Soweit der Kläger es für erforderlich erachtet, dem EuGH gemäß Art. 267 Abs. 3 AEUV verschiedene Fragen zur Auslegung von Art. 82 DSGVO und von Art. 15 DSGVO zur Vorabentscheidung vorzulegen, sind die von ihm genannten Fragen entweder nicht klärungsbedürftig oder nicht entscheidungserheblich. Konkret hält der Kläger für klärungsbedürftig, ob die betroffene Person im Fall einer verordnungswidrigen Datenverarbeitung die Darlegungs- und Beweislast für den Schadenseintritt, die Schadenshöhe und die Kausalität zwischen Schaden und Rechtsverstoß trägt, ob der Kontrollverlust der betroffenen Person über ihre personenbezogenen Daten für sich genommen einen immateriellen Schaden begründet und ob bei der Bemessung der Höhe des Schadenersatzes berücksichtigt werden kann, dass dem nach Art. 82 DSGVO zu gewährenden Schadenersatz im Einzelfall eine abschreckende Wirkung und damit der Charakter eines Strafschadenersatzes zukommt. Hinsichtlich Art. 15 DSGVO hält es der Kläger für erforderlich, dem Europäischen Gerichtshof Fragen hinsichtlich der Erfüllung des Auskunftsanspruchs sowie hinsichtlich offenkundig unbegründeter oder exzessiver Anträge nach Art. 12 Abs. 5 DSGVO zur Vorabentscheidung vorzulegen.
Die Auslegung von Art. 82 DSGVO wirft hinsichtlich der Darlegungs- und Beweislast keine klärungsbedürftigen Fragen auf ("acte clair", vgl. dazu EuGH, Urteil vom 6. Oktober 1982 - C-283/81 Rn. 16). Art. 82 DSGVO enthält keine allgemeinen Vorgaben zur Verteilung der Darlegungs- und Beweislast bei der Geltendmachung datenschutzrechtlicher Schadenersatzansprüche. Art. 82 Abs. 3 DSGVO betrifft nur das Verschulden des Verantwortlichen für das schadenstiftende Ereignis, ohne dass sich daraus Aussagen zur allgemeinen Beweislastverteilung ableiten ließen (BeckOK/Quaas, Datenschutzrecht, 46. Ed. [Stand: 1. November 2023], Art. 82 DSGVO Rn. 51; Paal, ZfDR 2023, 325, 329 mwN). Ferner ergibt eine Gesamtbetrachtung der Art. 5, 24 und 32 DSGVO, dass der Verantwortliche die Beweislast für die Einhaltung der datenschutzrechtlichen Sicherheitsanforderungen bei der Datenverarbeitung trägt (EuGH, Urteil vom 25. Januar 2024 - C-687/21 Rn. 42 mwN). Darüber hinausgehende Vorgaben zur Beweislastverteilung bei der Geltendmachung datenschutzrechtlicher Schadenersatzansprüche enthält die Datenschutzgrundverordnung nicht. Mangels unionsrechtlicher Vorschriften ist auf das mitgliedstaatliche Recht zurückzugreifen (Paal, ZfDR 2023, 325, 329; Böhm in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 82 DSGVO Rn. 31; jew. mwN). Nach deutschem Recht trägt der Anspruchsteller die Darlegungs- und Beweislast für die anspruchsbegründenden Tatsachen. Mithin trägt der Betroffene die Darlegungs- und Beweislast für Schadenseintritt, Schadenshöhe und Kausalität zwischen Schaden und Rechtsverstoß. Für den Eintritt eines immateriellen Schadens hat das der EuGH ausdrücklich festgestellt (Urteil vom 14. Dezember 2023 - C-340/21 Rn. 84 mwN).
Hinsichtlich der Frage, ob der Kontrollverlust der betroffenen Person über ihre personenbezogenen Daten bereits für sich genommen einen immateriellen Schaden begründet, besteht aufgrund des Urteils des EuGH vom 14. Dezember 2023 - C-456/22 ebenfalls kein Klärungsbedarf mehr ("acte éclairé"). Wie bereits ausgeführt folgt aus dem Urteil, dass der Verlust der Kontrolle über die eigenen Daten eine negative Folge ist, die zwar grundsätzlich einen Ersatzanspruch begründen kann, der Anspruchsteller aber zugleich nicht von der Pflicht entbunden ist, darzulegen und gegebenenfalls zu beweisen, dass der Kontrollverlust im konkreten Fall auch tatsächlich zu einem immateriellen Schaden wie Ängsten und Befürchtungen vor einem Missbrauch der Daten durch Dritte geführt hat. Darauf weisen auch die von dem Kläger angeführten Literaturmeinungen hin, die die Frage, ob der Kontrollverlust bereits für sich genommen einen Schaden darstellt, weiterhin für klärungsbedürftig erachten (vgl. Bär, EuZW 2023, 565, 566 f). Aus der vom EuGH hervorgehobenen Erforderlichkeit eines Schadensnachweises im Einzelfall folgt für den Senat zweifelsfrei, dass der Kontrollverlust allein noch keinen Schaden darstellt.
Die von dem Kläger hinsichtlich der Funktion des Schadenersatzes nach Art. 82 Abs. 1 DSGVO aufgeworfene Frage ist ebenfalls geklärt. Diesbezüglich hat der EuGH festgestellt, dass der in Art. 82 Abs. 1 DSGVO vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion, jedoch keine abschreckende oder Straffunktion erfüllt (EuGH, Urteil vom 21. Dezember 2023 - C-667/21, juris Rn. 87). Soweit der Bundesgerichtshof dem EuGH die Frage zur Vorabentscheidung vorgelegt hat, ob bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen ein relevantes Kriterium darstellt (BGH, Beschluss vom 26. September 2023 - VI ZR 97/22, juris Rn. 35 ff), ist diese Frage vorliegend nicht entscheidungserheblich.
Schließlich ist die Aussetzung des Verfahrens zwecks Durchführung eines Vorabentscheidungsverfahrens auch nicht hinsichtlich Art. 15 DSGVO angezeigt. Es ist höchstrichterlich geklärt, dass ein Auskunftsanspruch nach Art. 15 DSGVO grundsätzlich dann im Sinne des § 362 Abs. 1 BGB erfüllt ist, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen (BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 19). Inwieweit daneben weiterer Klärungsbedarf hinsichtlich der Erfüllung des Auskunftsanspruchs besteht, zeigt der Kläger nicht auf. Ebenso wenig legt er dar, welche Entscheidungserheblichkeit vorliegend die Auslegung von Art. 12 Abs. 5 DSGVO haben soll.
b) Es besteht auch kein Anlass, das Verfahren mit Blick auf derzeit beim EuGH anhängige Vorabentscheidungsverfahren auszusetzen. Für die Verfahren C-340/21 und C-307-22 gilt das schon deshalb, weil diese durch Urteile des EuGH vom 14. Dezember 2023 bzw. vom 26. Oktober 2023 bereits abgeschlossen sind. Für die weiter angeführten Verfahren zeigt der Kläger die Entscheidungserheblichkeit der durch die Vorabentscheidungsverfahren zu klärenden Fragen für das vorliegende Verfahren nicht auf. Allein der Umstand, dass die Vorabentscheidungsverfahren die Auslegung von Art. 82 DSGVO betreffen, reicht nicht aus.
3. Soweit die Berufung gegen die erstinstanzliche Abweisung des Antrags zu 1. zurückgewiesen wurde, war zur Sicherung einer einheitlichen Rechtsprechung die Revision zuzulassen (§ 543 Abs. 2 Satz 1 Nr. 2 Alt. 2 ZPO). Da das Oberlandesgericht Celle die Frage, ob der bloße Kontrollverlust einen immateriellen Schaden im Sinne des Art. 82 DSGVO darstellt, in Abweichung zu der Auffassung des Senats für ungeklärt hält (OLG Celle, Urteil vom 4. April 2024 - 5 U 31/23, juris Rn. 70, 112), besteht eine klärungsbedürftige Divergenz obergerichtlicher Rechtsprechung. Da diese Frage jedoch nur für den Anspruch zu 1. entscheidungserheblich ist, war die Zulassung der Revision entsprechend zu beschränken. Für die übrigen Anträge stellt sich die Frage nicht. Das gilt auch für den Feststellungsantrag zu 2. Dieser betrifft nur bereits entstandene, jedoch unbekannte sowie zukünftig entstehende Schäden. Der Kontrollverlust ist hinsichtlich der Mobilfunknummer jedoch bereits eingetreten und bekannt, so dass er - sollte er einen Schaden darstellen - ausschließlich von dem Antrag zu 1. erfasst wird.
Grund für eine weitergehende Zulassung der Revision besteht nicht. Die übrigen im vorliegenden Rechtsstreit entscheidungserheblichen Rechtsfragen sind durch die Rechtsprechung des Bundesgerichtshofs hinreichend geklärt und im Übrigen solche des Einzelfalls.
Soweit das OLG Stuttgart den dortigen und hiesigen Antrag zu 2. auf Feststellung der Ersatzpflicht der Beklagten für künftige materielle und immaterielle Schäden als zulässig und begründet angesehen hat (Urteil vom 22. November 2023 aaO Rn. 89 ff., 257 ff.), folgt aus dieser (vermeintlichen) Divergenz obergerichtlicher Entscheidungen kein Bedarf einer Klärung durch den Bundesgerichtshof.
Klärungsbedürftig und damit von grundsätzlicher Bedeutung ist nur eine entscheidungserhebliche Rechtsfrage und auch nur dann, wenn ihre Beantwortung zweifelhaft ist oder wenn zu ihr unterschiedliche Auffassungen vertreten werden und die Frage höchstrichterlich noch nicht geklärt ist (vgl. BGH Beschluss vom 6. März 2019 - IV ZR 108/18, Rn. 13). An einer grundsätzlichen Bedeutung in diesem Sinne fehlt es schon deshalb, weil das OLG Stuttgart (aaO Rn. 257 f) und der Senat übereinstimmend die höchstrichterliche Rechtsprechung zugrunde legen, wonach für Schäden, die aus der behaupteten Verletzung eines absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB resultieren, bereits die Möglichkeit materieller oder weiterer immaterieller Schäden für die Annahme eines Feststellungsinteresses ausreicht. Es handelt sich danach lediglich um eine unterschiedliche Beurteilung des jeweiligen Einzelfalls. Dies rechtfertigt es jedoch nicht, eine grundsätzliche Bedeutung anzunehmen; denn durch die gefestigte Rechtsprechung des Bundesgerichtshofs ist höchstrichterlich geklärt, wie die Möglichkeit eines Schadenseintritts zu beurteilen ist (vgl. nur BGH, Urteil vom 5. Oktober 2021 - VI ZR 136/20, juris Rn. 28 mwN). Diesen Vorgaben folgt der Senat.
4. Gemäß § 63 Abs. 3 Satz 1 Nr. 2 GKG wird der Streitwert für die erste Instanz auf 2.500 € festgesetzt.
Der Senat hat bisher in ständiger Rechtsprechung den Streitwert für die Unterlassungsanträge zu 3. a) und b) in den Scraping-Vorfall bei der Beklagten betreffenden Verfahren auf 5.000 € festgesetzt. Diese Bewertung hatte seine Grundlage in den Vorschriften der §§ 48 Abs. 2 Satz, 1, 52 Abs. 2 GKG sowie § 23 Abs. 3 Satz 2 RVG. Dabei hat der Senat die beiden Anträge als wertmäßige Einheit betrachtet, da sie auf dasselbe Ziel gerichtet sind, die Beklagte zu einem besseren Schutz der personenbezogenen Daten ihrer Nutzer zu verpflichten (vgl. OLG Stuttgart, Beschluss vom 3. Januar 2023 - 4 AR 4/22, juris Rn. 28).
An der Behandlung beider Unterlassungsanträge als wertmäßiger Einheit hält der Senat fest. Bei der Bewertung der Anträge nimmt der Senat indessen von seiner ursprünglichen Einschätzung Abstand. Der Senat teilt die Einschätzung des Oberlandesgerichts Celle, dass die Unterlassungsanträge - ebenso wie auch der Feststellungs- und der Auskunftsantrag, deren Streitwert der Senat jeweils mit 500 € bemisst - für die Kläger der den Scraping-Vorfall bei der Beklagten betreffenden Verfahren im Verhältnis zu dem geltend gemachten Schmerzensgeld nur von untergeordneter Bedeutung sind (OLG Celle, Urteil vom 4. April 2024 - 5 U 31/23, juris Rn. 119 ff). Nach Abwägung aller Umstände, insbesondere des Umfangs und der Bedeutung der Sache sowie der Vermögens- und Einkommensverhältnisse der Parteien, bewertet der Senat die Unterlassungsanträge nunmehr wie den Feststellungs- und den Auskunftsantrag mit insgesamt 500 €. Folglich beträgt der Streitwert 2.500 € (= 1.000 € + 500 € + 500 € + 500 €).