Landgericht Bonn, 3 O 208/22

T a t b e s t a n d

Die Klägerin macht gegen die Beklagte Ansprüche auf Schadensersatz, Unterlassung und Auskunft wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung (folgend: DSGVO) geltend. Sie unterhält zu der E-Mail-Adresse A ein Nutzerkonto bei der Social Media Plattform „B“, die von der Beklagten auf dem Gebiet der europäischen Union betrieben wird. Die Klägerin nutzt die Plattform insbesondere um mit Freunden zu kommunizieren und private Fotos zu teilen sowie für Diskussionen mit anderen Nutzern.

Die Plattform der Beklagten ermöglicht es Nutzern u.a., persönliche Profile zu erstellen, in denen die Nutzer verschiedene Angaben zu ihrer Person machen. Sie können in einem von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche Gruppe von Nutzern auf diese Daten zugreifen können. Bei der erstmaligen Erstellung eines solchen “B“-Profils muss ein Nutzer den Datenschutz- und Cookie-Richtlinien der Beklagten zustimmen. Diese sind jeweils durch Verlinkungen getrennt abrufbar. Die Datenschutzeinstellungen enthalten dabei insbesondere Informationen darüber, welche der vom Nutzer eingepflegten Informationen immer öffentlich zugänglich sind, nämlich unter anderem Name, Geschlecht und “B“-ID, sowie die Angabe, dass diese öffentlich zugänglichen Informationen von jedem, das heißt auch von Personen außerhalb der Plattform, eingesehen werden können. Bezüglich aller Informationen, die darüber hinausgehen, sind nach der Anmeldung zunächst Standardeinstellungen aktiv, nach denen nur „Freunde“ diese Informationen sehen können (Zielgruppenauswahl). Zudem können „alle“, also jedermann den Nutzer über seine E-Mail-Adresse und – sofern er diese angegeben hat – über seine Telefonnummer finden, unabhängig davon ob die E-Mail-Adresse und Telefonnummer nach der Zielgruppenauswahl sichtbar sind (Suchbarkeits-Einstellung). Der Nutzer kann diese Einstellungen individuell verändern und sich im Hilfebereich dazu einlesen, wie die angegebenen Daten, insbesondere die Telefonnummer, verwendet werden. Die Angabe einer Telefonnummer ist nicht zwingend. Entscheidet sich ein Nutzer – wie hier auch die Klägerin – dazu, diese anzugeben, kann er über die Suchbarkeits-Einstellungen bestimmen, ob sein “B“-Profil auf der “B“-Plattform mithilfe einer Telefonnummer gefunden werden kann. Die Klägerin hat bei den Suchbarkeitseinstellungen ursprünglich keine Änderung vorgenommen.

Neben der Internetplattform betreibt die Beklagte eine Messenger-App als Applikation für Smartphones. Nutzer melden sich bei dieser mit ihrem bereits bestehenden

“B“-Profil an, sodass die Messenger-App und die Funktionen von B über denselben Zugang zum Account verknüpft sind.

Im Jahr 2019 sammelten Dritte mittels des sog. Contact-Import-Tools (CIT) der Plattform eine Vielzahl der dort verfügbaren Informationen (sogenanntes Scraping). Es handelt sich dabei um Profilinformationen, die entweder immer öffentlich oder zu diesem Zeitpunkt aufgrund der Privatsphäreeinstellung des Nutzers einsehbar waren, wobei streitig ist, ob dazu auch Bundesland, Land, Stadt und Beziehungsstatus gehören. Einzelheiten hinsichtlich des Ablaufs des Scrapings sind zwischen den Parteien streitig. Das Sammeln von Daten mit Hilfe automatisierter Tools und Methoden war und ist nach den Nutzungsbedingungen der Beklagten untersagt.

Anfang April 2021 wurden die gescrapten Daten von mehr als 500 Millionen Nutzern aus 106 Ländern weltweit im Internet öffentlich verbreitet. Hierzu gehörten auch die immer öffentlich zugänglichen Daten der Klägerin sowie ihre mit ihrem Konto verknüpfte Telefonnummer.

Mit vorgerichtlichem Schreiben vom 27.05.2022 forderten die Prozessbevollmächtigten der Klägerin die Beklagte binnen zwei Wochen zur Zahlung von 500,00 EUR Schadensersatz, zur Unterlassung zukünftiger Zugänglichmachung der Klägerdaten an unbefugte Dritte sowie zur Auskunft darüber, welche Daten im April 2021 abgegriffen wurden bis zum 16.08.2021 auf. Die Beklagte erteilte der Klägerin mit Schreiben vom 21.06.2022 dazu Auskünfte, die die Klägerin jedoch als unzureichend ansieht. Auf Anlagen K1 (Bl. 53ff. GA) und B16 (Bl. 276ff. GA) wird ergänzend Bezug genommen.

Die Klägerin ist der Ansicht, die Beklagte habe gegen die Vorschriften der DSGVO verstoßen, da sie im Jahr 2019 die Klägerin betreffende personenbezogene Daten ohne Rechtsgrundlage im Sinne der Art. 6 und 7 DSGVO und Information im Sinne von Art. 13 und 14 DSGVO verarbeitet, diese Daten unbefugten Dritten zugänglich gemacht habe und Pflichten aus Art. 5, 25, 32 und 34 sowie Betroffenenrechte der Klägerin gemäß Art. 15, 17 und 18 DSGVO verletze.

Sie behauptet, dass die Telefonnummern aufgrund einer Sicherheitslücke mit den restlichen Personendaten hätten korreliert werden können. Indem eine Vielzahl von Kontakten in ein virtuelles Adressbuch eingegeben worden sei, sei es Unbekannten gelungen, die Nummern konkreten “B“-Profilen zuzuordnen, ohne dass die in den Profilen hinterlegten Telefonnummern öffentlich freigegeben worden seien. Um die Telefonnummer jeweils zu korrelieren, sei mit Hilfe des CIT jede fiktive Nummer geprüft und der zugehörige B-Nutzer angezeigt worden. Auf ihrem Profil sei sie dann besucht und von dort seien die öffentlichen Daten gescraped worden. Ein Programm habe unzählige Kombinationen von Telefonnummern getestet, um festzustellen, ob diese mit einem B-Nutzer übereinstimme beziehungsweise, ob diese auf einem B-Nutzerkonto hinterlegt sei. Wenn dies der Fall gewesen sei, sei es dem Programm möglich gewesen, sämtliche Daten des Nutzers abzufragen und zu exportieren.

Die Klägerin behauptet, durch das Scraping seien Daten wie Telefonnummer, Name,

Wohnort und E-Mail-Adresse abgegriffen worden. In der Replik behauptet sie, der im Darknet für jedermann abrufbare Datensatz enthalte folgende personenbezogene Daten:

„ 490000000000, 000000000000000 ,G,H,female, I, J, Germany, K, Germany,Married,fusionsquare,00/00/0000 00,00,00 AM,,“

Gegen das Abgreifen ihrer Daten habe die Beklagte keine Sicherheitsvorkehrungen getroffen und insbesondere keine Sicherheitscapchas installiert, um eine automatisierte Nummernabfrage zu verhindern. Wäre ihr bewusst gewesen, dass die Beklagte unzureichende Sicherheitsmaßnahmen hinsichtlich der Verknüpfbarkeit der Telefonnummer und der übrigen Daten ergriffen hätte, so hätte sie diese Option zu keinem Zeitpunkt aktiviert. Zudem seien die Einstellungen insbesondere auch zur Sicherheit der Telefonnummer auf B undurchsichtig und kompliziert, sodass die Nutzer keine sicheren Einstellungen erreichen könnten. Es sei daher mit hoher Wahrscheinlichkeit zu erwarten, dass Nutzer die voreingestellten Standardeinstellungen nicht änderten. Zudem gebe es insgesamt mindestens drei unterschiedliche Einstellungsmöglichkeiten hinsichtlich der Verwendung der Telefonnummer, teilweise in verschiedenen Apps und teilweise räumlich getrennt.

Die Klägerin behauptet des Weiteren, sie habe durch das Scraping einen erheblichen Kontrollverlust über ihre Daten erlitten und leide unter großem Unwohlsein und großer Sorge vor einem möglichen Missbrauch ihrer Daten. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezügliche E-Mails und Anrufen von unbekannten Nummern und Adressen. Die Klägerin erhalte unregelmäßig Nachrichten per SMS und per E-Mail, die offensichtliche Betrugsversuche und potenzielle Virenlinks enthalten würden. Dabei würden u.a. bekannte Plattformen oder Zahlungsdienstleister impersoniert und durch Angabe der entwendeten Daten versucht, ein gesteigertes Vertrauen zu erwecken. Insbesondere erhalte die Klägerin regelmäßig SMS-Benachrichtigungen unter anderem mit dubiosen Aufforderungen zum Anklicken von unbekannten Links. Vor diesem Hintergrund habe sich die Klägerin mit dem Datenleak und der Herkunft der Daten auseinandersetzen müssen. Dass die benannten Daten in Kombination sogar im Darknet gehandelt würden, vergrößere die Ängste und den Stress der Klägerin. Dies führe bei ihr zu dem Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit. Sie habe auch zusätzlich Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen.

Die Beklagte habe überdies nicht ordnungsgemäß auf die Situation reagiert. Sie habe die Klägerin nicht darüber informiert, dass Informationen von ihrer Plattform durch Dritte entwendet und veröffentlicht worden seien. Es habe keine persönliche Benachrichtigung und keine allgemeine öffentliche Bekanntmachung gegeben. Die Beklagte habe es außerdem – was unstreitig ist - unterlassen, die Datenschutzbehörde C über den Vorfall zu informieren. Selbst wenn die Beklagte der Klägerin Hinweise von dem Datenschutz-Vorfall erteilt hätte, wäre sie nicht hinreichend über die Gefahren des Scrapings informiert worden. Bei Erteilung entsprechender Hinweise hätte sie keine Daten öffentlich geteilt.

Die ihr in dem Schreiben der Beklagten vom 21.06.2022 letztlich erteilte Auskunft sei unzureichend, da sie nur allgemeine Informationen zu den auf B verarbeiteten Daten sowie einen Link zur Seite der Beklagten enthalte, auf der die Daten über einen individuellen Nutzer gespeicherten Daten eingesehen werden könnten. Dieses Vorgehen genüge schon nicht, um dem nach Art. 15 DSGVO umfassenden Auskunftsanspruch gerecht zu werden. Zudem enthalte das Schreiben keine Aussage dazu, welche Daten der Klägerin abgegriffen worden seien. Es bleibe offen, wann genau die Daten entwendet worden seien oder wie viele verschiedene Beteiligte diese Funktion hinsichtlich seiner Daten ausgenutzt hätten.

Die Klägerin beantragt,

1. die Beklagte zu verurteilen, an die Klägerin immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz;

2. festzustellen, dass die Beklagte verpflichtet ist, der Klägerin alle künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden;

3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a. personenbezogenen Daten der Klägerin, namentlich Telefonnummer, BID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

b. die Telefonnummer der Klägerin auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der B-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird;

4. die Beklagte zu verurteilen, der Klägerin Auskunft über ihn betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten;

Die Beklagte beantragt,

die Klage abzuweisen.

Sie ist der Ansicht, ihr sei im Zusammenhang mit dem Scraping kein Datenschutzverstoß vorzuwerfen. Es liege keine Sicherheitsverletzung vor. Dritte hätten lediglich Informationen von B abgerufen, die ohnehin öffentlich einsehbar gewesen seien. Das Abrufen habe dabei im Einklang mit den jeweiligen Privatsphäre-Einstellungen „öffentlich“ auf der B-Plattform gestanden. Es seien daher allenfalls öffentlich einsehbare Daten abgerufen und an anderer Stelle erneut zugänglich gemacht worden.

Darüber hinaus stelle die Beklagte ihren Nutzern alle in Art. 13 und 14 DSGVO festgelegten Informationen zur Datenverarbeitung zur Verfügung, sodass es auch an einem Verstoß gegen die Transparenzpflichten der DSGVO fehle. Ferner würden den Nutzern umfassende und transparente Information über die Möglichkeiten zur Anpassung der Suchbarkeits-Einstellungen und Zielgruppenauswahl erteilt, die die Klägerin jederzeit habe entsprechend nutzen können.

Zudem halte die Beklagte eine Vielzahl von Maßnahmen zur Vermeidung von Scraping vor und entwickele diese auch laufend weiter. Sie stelle den Nutzern Informationen zum Thema Scraping zur Verfügung, die auch Informationen enthielten, wie Nutzer das Abrufen ihrer Daten mittels Scraping erschweren könnten. Die Nutzer seien außerdem von der Beklagten auch über den Scraping-Vorfall und über bestehende Maßnahmen der Beklagten zur Vermeidung von Scraping informiert worden.

Die Beklagte ist ferner der Ansicht, es fehle an einem immateriellen Schaden der Klägerin, da ein solcher bereits nicht dargelegt sei. Selbst die Annahme eines Kontrollverlustes über öffentlich einsehbare personenbezogene Daten der Klägerin begründe einen solchen Schaden nicht. Die entsprechenden Behauptungen der Klägerin bestreitet die Beklagte mit Nichtwissen. Selbst wenn man zugunsten der Klägerin unterstellen wolle, dass diese wiederholt Pishing-Nachrichten erhalten habe, wäre kein Zusammenhang zum Scraping-Sachverhalt erkennbar.

Eine Kopie der Rohdaten, die die durch Scraping abgerufenen Daten enthielten, halte die Beklagte nicht vor. Sie habe der Klägerin jedoch mitgeteilt, welche Datenkategorien nach den der Beklagten zum Zeitpunkt der Auskunftserteilung verfügbaren Erkenntnissen in den durch Scraping abgerufenen Daten erschienen seien und mit den auf dem B-Profil der Klägerin verfügbaren Informationen übereinstimmen würden.

Wegen der weiteren Einzelheiten des Parteivorbringens wird auf den vorgetragenen Inhalt der gewechselten Schriftsätze einschließlich der Anlagen und auf das Sitzungsprotokoll vom 10.03.2023 verwiesen.

E n t s c h e i d u n g s g r ü n d e

Die zulässige Klage ist unbegründet.

Die Klage ist zulässig.

1. Entgegen der Auffassung der Beklagten ist der Klageantrag zu 1) im Sinne des § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt. Die Klägerin kann von der Angabe eines bestimmten begehrten Betrages absehen, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 oder vom billigen Ermessen des Gerichts abhängig ist. In diesem Fall ist es ausreichend, wenn die Klägerin – wie im gegebenen Fall – in der Klagebegründung die Berechnungs- bzw. Schätzungsgrundlagen umfassend darlegt und die Größenordnung seiner Vorstellungen, z.B. in Form eines Mindestbetrags, angibt (vgl. Greger, in: Zöller, Zivilprozessordnung, 34. Auflage 2022, § 253 ZPO, Rn. 14). Entgegen der Auffassung der Beklagten hat die Klägerin auch Gegenstand und Grund des geltend gemachten Anspruchs im Sinne von § 253 Abs. 2 Nr. 2 1. Var ZPO hinreichend individualisiert. Aus der Klagebegründung ergibt sich insoweit, dass sich das Schadensersatzverlangen der Klägerin lediglich auf einen zusammenhängenden Lebenssachverhalt stützt, der sich im Wesentlichen dadurch auszeichnet, ob die Beklagte vor dem Scraping durch Dritte hinreichende Datenschutzvorkehrungen getroffen hatte und danach etwaige Lücken geschlossen beziehungsweise ihre Nutzer unzureichend oder intransparent informiert hat. Dass die Klägerin in diesem Zusammenhang eine Vielzahl von Datenschutzverstößen rügt, steht einer entsprechenden Individualisierung nicht entgegen.

2. Die Klägerin hat überdies auch hinsichtlich des Klageantrags zu 2) ein hinreichendes rechtliches Interesse im Sinne des § 256 Abs. 2 ZPO an der begehrten Feststellung. Ein entsprechender Feststellungsantrag ist grundsätzlich schon dann zulässig, wenn die Schadensentwicklung noch nicht abgeschlossen ist und die Klägerin ihren Anspruch deswegen ganz oder teilweise nicht beziffern kann. In der Folge setzt die Zulässigkeit einer auf den Ausgleich eines Vermögensschadens gerichteten Feststellungsklage lediglich die Darlegung von Tatsachen voraus, aus denen sich die Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadens ergibt (vgl. BGH, Urteil vom 26. Juli 2018 – I ZR 274/16 –, Rn. 23, zit. nach juris). Die Klägerin behauptet insoweit sinngemäß, dass ihr eine unbefugte und unkontrollierte Verwendung der gescrapten Daten drohe, weswegen sie nicht absehen könne, welche Dritten Zugriff auf ihre Daten erhalten könnten und für welche Zwecke die Daten missbraucht würden. Ausgehend davon erscheint es nicht ausgeschlossen, dass die Klägerin infolge der Veröffentlichung ihrer Telefonnummer in Verbindung mit ihrem Namen sowie weiterer persönlicher Daten einen irgendwie gearteten weiteren Schaden erleidet.

Auf die Frage, ob die Klägerin ein derartiges Risiko anhand entsprechender Anhaltspunkte hinreichend schlüssig dargelegt hat, kommt es überdies nicht entscheidungserheblich an, da ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO nur im Fall eines stattgebenden Urteils eine echte Prozessvoraussetzung darstellt. Ist die Klage wie im vorliegenden Fall abzuweisen, da sie unbegründet ist, kann sie unabhängig von einem Feststellungsinteresse als unbegründet abgewiesen werden (so st. Rspr., hier nur: BGH, Urteil vom 10.10.2017, XI ZR 456/16 – juris).

3. Auch der Klageantrag zu 3) ist hinreichend bestimmt. Eine auslegungsbedürftige Antragsformulierung ist hinzunehmen, wenn dies zur Gewährleistung eines effektiven Rechtsschutzes notwendig ist, die Klägerin ihren Antrag also nicht konkreter fassen kann (vgl. BGH, Urteil vom 21.05.2015, I ZR 183/13, Rn. 13f., zit. nach juris). Dies ist hier der Fall. Im Lichte eines effektiven Rechtsschutzes im Sinne des Art. 19 GG wäre es insbesondere verfehlt, von der Klägerin zu verlangen, für einen hinreichend konkreten Antrag den aktuellen Stand der Technik zu ermitteln. Dies auch vor dem Hintergrund, dass die technische Weiterentwicklung dazu führen würde, dass aktuelle Vorkehrungen veralten und die Klägerin sodann erneut klagen müsste.

II.

Die Klage ist indes unbegründet. Die erhobenen Ansprüche stehen der Klägerin gegen die Beklagte unter keinem rechtlichen Gesichtspunkt zu.

1. Die Klägerin hat gegen die Beklagte keinen Anspruch auf Zahlung eines Schmerzensgeldes in der geltend gemachten Höhe von 1.000,00 EUR.

a. Ein solcher Anspruch ergibt sich insbesondere nicht aus Art. 82 Abs. 1 DSGVO. Insoweit bedurfte es keiner Entscheidung darüber, ob der Anwendungsbereich des Art. 82 DSGVO im gegebenen Fall eröffnet ist und ob eine Pflichtverletzung im Sinne des Art. 82 DSGVO durch Verstoß gegen die Vorschriften der DSGVO (insbesondere Art. 32, 24, 25 Abs. 2, 33, 35, 15 DSGVO) vorliegt, da es jedenfalls an einem ersatzfähigen Schaden der Klägerin fehlt.

Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Für einen von der Klägerin geltend gemachten immateriellen Schadensersatz in Geld gelten dabei die im Zusammenhang mit § 253 Abs. 2 BGB entwickelten Grundsätze, sodass die Ermittlung des Schadens nach § 287 ZPO dem Gericht obliegt (vgl. nur Quaas, in: BeckOK Datenschutzrecht, 42. Edition, Stand: 01.08.2022, Art. 82 DSGVO, Rn. 31).

Der Begriff des Schadens ist jedoch autonom, das heißt im Rahmen der DSGVO nach deren Erwägungsgrund 146 S. 3 im Lichte der Rechtsprechung des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Nach Erwägungsgrund 75 DSGVO kann ein Schaden dann aus einer Verarbeitung personenbezogener Daten resultieren, wenn diese u.a. zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führt. Zusätzlich nennt Erwägungsgrund 85 DSGVO daneben den Verlust der Kontrolle über personenbezogene Daten. Im Lichte dieser Erwägungen ist die Pflicht aus Art. 82 Abs. 1 DSGVO zur Erstattung immaterieller Schäden entgegen § 8 Abs. 2 BDSG a.F. nicht nur auf schwere Verletzungen des Persönlichkeitsrechts des Betroffenen beschränkt. Gleichzeitig ist auch ein genereller Ausschluss von Bagatellschäden nicht vertretbar, da die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann (vgl. Quaas, in: BeckOK Datenschutzrecht, Stand: 01.08.2022, Art. 82 Rn. 31 m.w.N.; LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 107, m.w.N., zit nach juris).

Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen eines Schadensersatzanspruchs jedoch nicht, sondern es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens (vgl. OLG Köln, Urteil vom 26. November 2020 – I-15 U 39/20 –, Rn. 47, juris; LG Paderborn, Urteil vom 13.12.2022 – 2 O 212/22, BeckRS 2022, 41028, Rn. 132). Für das Erfordernis, neben einem Verstoß gegen die Regelungen der DSGVO den Eintritt eines konkreten Schadens nachzuweisen, spricht dabei zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens („...Schaden entstanden ist") voraussetzt. Außerdem sieht Erwägungsgrund 146 S. 6 DSGVO vor, dass die Betroffenen einen vollständigen und wirksamen Schadensersatz für den „erlittenen“ Schaden erhalten, woraus ebenfalls folgt, dass dem Betroffenen ein spürbarer Nachteil entstanden und eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen eingetreten sein muss (vgl. OLG Frankfurt, Urteil vom 2. März 2022 – 13 U 206/20 –, Rn. 71; LG Essen, Urteil vom 10. November 2022 – 6 O 111/22 –, Rn. 108f., juris; LG Bonn, Urteil vom 1. Juli 2021 – 15 O 372/20 –, Rn. 42; LG Landshut, Urteil vom 06.11.2020 – 51 O 513/20 –, Rn. 26, jew. zit. nach juris; außerdem Frenzel in: Paal/Pauly DS-GVO BDSG, 3. Auflage 2021, Art. 82 DSGVO, Rn. 10). Würde man demgegenüber jedes Unwohlsein und jede Sorge unter den Schadensbegriff fassen, so würde dieser überdehnt und eine ausufernde Haftung begründet (vgl. OLG Frankfurt, Urteil vom 2. März 2022 – 13 U 206/20 –, Rn. 72f., juris). Für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für eine bloß individuell empfundene Unannehmlichkeit ist daher ein Schmerzensgeld nicht zu gewähren. Diese Handhabung läuft entgegen der Auffassung der Klägerin auch der Präventionsfunktion des Art. 82 DSGVO und der hierfür erforderlichen Abschreckungswirkung nicht zuwider, da eine Sanktionierung entsprechender Datenschutzrechtsverstöße weiterhin im Wege des Art. 83 DSGVO möglich bleibt.

Auf dieser Grundlage konnte das Gericht eine erforderliche spürbare Beeinträchtigung von persönlichen Belangen der Klägerin, die zudem auf den streitgegenständlichen Scraping-Vorfall zurückzuführen sein müsste, nicht erkennen.

Die Klägerin trägt lediglich vor, sie habe einen erheblichen Kontrollverlust über ihre Daten erlitten und leide unter großem Unwohlsein und großer Sorge vor einem möglichen Missbrauch ihrer Daten. Dies manifestierte sich unter anderem in einem verstärkten Misstrauen gegenüber E-Mails und Anrufen von unbekannten Nummern und Adressen. Die Klägerin erhalte unregelmäßig Nachrichten per SMS und per E-Mail, die offensichtliche Betrugsversuche und potenzielle Virenlinks enthalten würden. Dabei würden u.a. bekannte Plattformen oder Zahlungsdienstleister impersoniert und durch Angabe der entwendeten Daten versucht, ein gesteigertes Vertrauen zu erwecken. Insbesondere erhalte die Klägerin regelmäßig SMS-Benachrichtigungen unter anderem mit dubiosen Aufforderungen zum Anklicken von unbekannten Links. Vor diesem Hintergrund habe sich die Klägerin mit dem Datenleck und der Herkunft der Daten auseinandersetzen müssen. Dass die benannten Daten in Kombination sogar im Darknet gehandelt würden, vergrößere die Ängste und den Stress der Klägerin. Dies führe bei ihr zu dem Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit. Sie habe auch zusätzlich Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen.

Hierzu ist zunächst anzumerken, dass die klägerischen Ausführungen gerichtsbekannt mit teils identischem Wortlaut und Inhalt in einer Vielzahl weiterer Verfahren u.a. auch vor der zuständigen Kammer vorgetragen werden, weswegen bereits fraglich erscheint, inwieweit Sie tatsächlich für die hiesige Klägerin Geltung beanspruchen. Soweit diese im Anschluss an ihren schriftsätzlichen Vortrag in ihrer persönlichen Anhörung vor der Kammer erklärt hat, sie habe auf einmal ganz viele Nachrichten erhalten, die nicht hätten zutreffen können und auch Anrufe von Nummern mit ausländischer Vorwahl, hat sie für derartige Anrufe auf das Bestreiten der Beklagten weiteren Beweis nicht angetreten. Insbesondere befinden sich Screenshots einer Anrufliste oder eine anderweitige Dokumentation solcher Anrufe nicht bei der Akte. Ungeachtet dessen lässt sich nicht im Ansatz verifizieren, ob die von der Klägerin behaupteten Nachrichten und Anrufe ganz oder zum Teil im Zusammenhang mit dem streitgegenständlichen Scraping-Vorfall verschickt bzw. getätigt wurden. Gegen einen solchen Zusammenhang spricht zunächst im Ausgangspunkt der von der Klägerin selbst genannte zeitliche Zusammenhang, wonach sie die geschilderten Nachrichten und Anrufe erstmals im Frühjahr 2021 erhielt, obgleich der streitgegenständliche Vorfall schon im Laufe des Jahres 2019 eingetreten sein soll. Hinzu kommt, dass ein Scraping von Daten auf der Plattform der Beklagten für etwaige Anrufe bzw. den Versand von SMS soweit ersichtlich überhaupt nicht notwendig war, da die Telefonnummer der Klägerin im Rahmen des Scraping unstreitig nicht „abgegriffen“, sondern vorab künstlich erzeugt wurde, um in der Folge weitere Daten mit dieser Nummer zu verknüpfen. Die von dem Kläger geschilderten betrügerischen Anfragen hätten demgegenüber, ohne dass es dazu weiterer Daten bedurft hätte, per SMS an die erzeugten Telefonnummern versandt werden können bzw. diese Nummern hätten nacheinander kontaktiert werden können. Dementsprechend ist gerichtsbekannt, dass auch Personen, die entweder niemals bei B angemeldet waren oder dort jedenfalls zu keinem Zeitpunkt ihre Mobilfunknummer hinterlegt hatten, solche oder ähnliche Kontaktanfragen erhalten. Dass die betreffenden Nachrichten z.B. anhand ihres Namens oder ihres Wohnortes personalisiert gewesen wären, hat die Klägerin nicht vorgetragen. Dessen ungeachtet ist ein geschärftes Bewusstsein beim Erhalt von SMS stets angezeigt (vgl. auch: LG Bielefeld, Urteil vom 19.12.2022 – 8 O 182/22 –, Rn. 42, zit. nach juris). Für Anrufe kann insoweit nichts anderes gelten.

Der Vortrag der Klägerin, sie habe einen Kontrollverlust erlitten, vermag daher unter Berücksichtigung aller Umstände des Einzelfalls nicht zu überzeugen. Dies gilt vor allem vor dem Hintergrund, dass sämtliche betroffenen Daten der Klägerin mit Ausnahme ihrer Mobilfunknummer auf der Plattform der Beklagten zu jeder Zeit öffentlich und damit auch jedermann jederzeit zugänglich sind und waren. Sie wurden von der Klägerin selbst in Kenntnis dessen dort eingegeben, sodass es wenig plausibel erscheint, dass eine „weitere Veröffentlichung“ dieser Daten bei der Kläger zu einem unguten Gefühl geführt haben sollte. Eine maßgebliche Änderung ist überdies auch mit der Verknüpfung zwischen diesen Daten und der Telefonnummer der Klägerin nicht verbunden, zumal die Klägerin keinerlei Folgen oder Beeinträchtigungen vorgetragen hat, die aus eben dieser Verknüpfung resultieren. Hinzu kommt, dass die Nutzung von Mobiltelefonen im täglichen Leben zwischenzeitlich allgegenwärtig ist, wobei die Inanspruchnahme einer Vielzahl damit verbundener Dienste die Angabe der Mobilfunknummer voraussetzt, die damit nicht (mehr) zu den besonders sensiblen persönlichen Daten gezählt werden kann. Gerade die Telefonnummer kann wechseln und auch ein Identitätsmissbrauch aus dem Bekanntwerden der Telefonnummer erscheint äußerst unwahrscheinlich (so auch LG Essen, Urteil vom 10.11.2022 – 6 O 111/22 –, Rn. 111, zit. nach juris). Schließlich ist auch die Eingabe der Telefonnummer seitens der Klägerin im Ausgangspunkt freiwillig erfolgt.

Zudem haben sich die schriftsätzlich formelhaft beschriebenen Ängste und Sorgen sowie das Unwohlsein in der mündlichen Verhandlung nicht bestätigt. Entsprechende Angaben wären aber unter Berücksichtigung des Einzelfalles auch nicht glaubhaft. Die Klägerin war bis zum Schluss der mündlichen Verhandlung am 10.03.2023 bei B angemeldet. Zwar hat sie ferner im Rahmen ihrer persönlichen Anhörung erklärt, ihre Einstellungen bei B auf ausdrückliches Anraten ihrer Prozessbevollmächtigten überprüft und die Suchbarkeitseinstellungen geändert zu haben. Ungeachtet des von der Klägerin geschilderten Misstrauens gegenüber der Beklagten und deren Versäumnisse in Bezug auf die Datensicherheit hat sich die Klägerin aber weder bei B abgemeldet noch hat sie angegeben, ihre Mobilfunknummer geändert zu haben. Soweit die Klägerin insoweit erklärt hat, sie habe sich eine zweite Telefonnummer angeschafft, weil es zwischenzeitlich nicht mehr anders gegangen sei, erschließt sich dieses Vorgehen nicht, da die Klägerin nach eigenen Angaben auch ihre ursprüngliche Telefonnummer weiterhin nutzt. Wenn sie hierzu angibt, es gebe viele Personen, die nur ihre ursprüngliche Telefonnummer hätten und die Klägerin, wenn sie von diesen Personen kontaktiert werde an der entsprechenden Anzeige im Display erkenne, setzt dies gerade voraus, dass die ursprüngliche Telefonnummer der Klägerin weiterhin unverändert aktiv ist. In der Folge ist nicht nachvollziehbar, welchen Nutzen die Klägerin im Hinblick auf unerwünschte Nachrichten oder Anrufe aus dem Erwerb einer weiteren Telefonnummer ziehen sollte. Ferner hat die Klägerin erklärt, ihre ursprüngliche Telefonnummer sei auch weiterhin bei B hinterlegt, obgleich diesbezüglich gerichtsbekannt ist, dass – entgegen der Auffassung der Klägerin – auch im Rahmen der App-Variante der Plattform eine Anmeldung ausschließlich mit einer E-Mail-Adresse möglich und eine Telefonnummer nicht zwingend erforderlich ist. Darüber hinaus hat die Klägerin außerdem bekundet neben B auch die – gerichtsbekannt ebenfalls von dem D Konzern betriebene – Social-Media-Plattform E sowie die Verkaufsplattform F zu nutzen, wobei sie – auch dies ungeachtet einer hier behaupteten besonderen Zurückhaltung bei der Angabe der eigenen Telefonnummer im Internet – Kaufinteressenten sogar ihre neue Telefonnummer angibt, wodurch denknotwendig auch die Weitergabe dieser bislang wohl nicht von Anrufen und/oder SMS betroffenen Nummer zusammen mit dem Namen der Klägerin möglich ist.

Schließlich ist nicht ersichtlich, dass die Klägerin irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Sie hat lediglich geschildert, aus den Medien „auf das Datenleck“ aufmerksam geworden zu sein und nach entsprechender Recherche ein Formular auf der Internetseite ihrer heutigen Prozessbevollmächtigten genutzt zu haben, um zu prüfen, ob die eigene Nummer betroffen sei. Nachdem dies der Fall gewesen sei, habe sie im Anschluss ihre Prozessbevollmächtigten mit der Angelegenheit beauftragt. Dass die von der Klägerin geschilderten Anrufe und Nachrichten – unterstellt diese seien auf den streitgegenständlichen Sachverhalt zurückzuführen – die Klägerin über eine bloße Lästigkeit hinaus beeinträchtigt oder gar verängstigt hätten, vermag das Gericht ebenfalls nicht zu erkennen. Unverständlich bleibt insofern, warum die Klägerin nach eigener Darstellung entsprechende Anrufe überhaupt entgegengenommen hat, wenn sie wie ebenfalls behauptet anhand der Displayanzeige differenzieren konnte und kann, ob sie von einer ihr bekannten Person kontaktiert wird oder nicht. Ungeachtet dessen erschließt sich auch nicht, warum die Klägerin nach eigenen Angaben versucht hat, Anrufe aus Call-Centern o.Ä. schnell abzuwimmeln und im Gespräch nicht mit Schlagworten zu antworten, aus denen ihre Zustimmung zu irgendetwas hätte abgeleitet werden können, nachdem sie stets die offenkundige Möglichkeit gehabt hätte, nach der Identifizierung des Anrufers sogleich wieder aufzulegen. Schließlich kommt es aus den bereits zuvor dargelegten Gründen auch nicht darauf an, dass sich die Klägerin regelmäßig mit ihrem Namen am Telefon meldet, da keinerlei Anhaltspunkte für irgendwelche personalisierten Kontaktaufnahmen ersichtlich sind.

b. Unabhängig von der Anwendbarkeit des nationalen Rechts neben den Regelungen der DSGVO ergeben sich auch aus diesem keine Anspruch der Klägerin auf die geltend gemachte Entschädigung in Geld. Etwaige Ansprüche aus § 280 Abs. 1 BGB in Verbindung mit einem Nutzungsvertrag sui generis, aus § 823 Abs.1, 253 Abs. 1 BGB in Verbindung mit Art. 2 Abs. 1, Art. 1 Abs. 1 GG, aus § 823 Abs. 2 BGB in Verbindung mit dem Recht auf informationelle Selbstbestimmung und auch etwaige Ansprüche aus den §§ 1004 analog, 823 As. 2 BGB in Verbindung mit Art. 13, 14 DSGVO scheitern bereits an der fehlenden Darlegung eines ersatzfähigen Schadens. Insoweit sei darauf hingewiesen, dass im Rahmen des nationalen Rechts die Anforderungen an das Vorliegen eines solchen nochmals strenger gefasst sind, als die im Rahmen des Art. 82 Abs. 1 DSGVO geforderte weite Auslegung (vgl. nur: KG Berlin, Beschluss vom 02.02.2021 – 9 W 1117/20 m.w.N.).

2. Mangels Vorliegens eines Schadens ist auch der Feststellungsantrag der Klägerin unbegründet.

3. Die Klägerin hat ferner keinen Unterlassungsanspruch aus den §§ 1004 analog, 823 Abs.1 und Abs. 2 BGB in Verbindung mit Art. 6 DSGVO und Art. 17 DSGVO. Ungeachtet der Frage, ob es sich insoweit um Schutzgesetze im Sinne des § 823 Abs. 2 BGB handelt, liegt bereits kein Verstoß der Beklagten gegen die genannten Datenschutzbestimmungen vor, der zu einem Unterlassungsanspruch der Klägerin führen könnte. Mit Ausnahme der Telefonnummer der Klägerin sind vorliegend nur Daten veröffentlicht worden, die ohnehin öffentlich einsehbar sind. Einer Veröffentlichung dieser Daten hat die Klägerin im Rahmen ihrer Registrierung auf der Plattform der Beklagten zugestimmt. Einen Anspruch auf Schutz von veröffentlichten Daten gibt es denklogisch nicht. Darüber hinaus behauptet die Klägerin bereits nicht, dass die Beklagte seine Telefonnummer Dritten zugänglich gemacht habe bzw. dass sie seine Telefonnummer entgegen der ausgewählten Einstellungen freigibt oder anderweitig nutzt. Es liegt vielmehr in der freien Entscheidung der Klägerin, wie ihre Telefonnummer verwendet wird, indem sie entsprechende Einstellungen vornimmt bzw. die bislang getroffenen Einstellungen abändert (vgl. auch LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22 – , Rn. 31 zit. nach juris).

4. Schließlich steht der Klägerin gegen die Beklagte auch kein Anspruch auf Auskunft gemäß Art. 15 DSGVO zu, da dieser bereits durch Erfüllung gemäß § 362 Abs. 1 BGB untergegangen ist. Erfüllt im Sinne der Norm ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urteil vom 3. September 2020 – III ZR 136/18 –, Rn. 43, zit. nach juris). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll (vgl. auch LG Paderborn, Urteil vom 13.12.2022 – 2 O 212/22, BeckRS 2022, 41028, Rn. 177)

Mit dem Schreiben vom 21.06.2022 hat die Beklagte der Klägerin darüber Auskunft erteilt, welche personenbezogenen Daten verarbeitet werden, indem sie die Klägerin auf die entsprechenden Selbstbedienungstools verwiesen hat. Eine weitergehende Auskunft kann die Klägerin nicht verlangen. Diese Auskunft war ausreichend, um zum Erfüllungserfolg zu führen. Welche Daten der Klägerin gescraped wurden, ist ihr ausweislich der Replik vom 08.02.2023 (dort Seite 22, Bl. 349 GA) bereits bekannt. Soweit die Klägerin Auskunft über die Empfänger der Daten verlangt, scheitert der Anspruch an der Auskunft der Beklagten, zu einer weiteren Auskunft nicht in der Lage zu sein (vgl. auch LG Paderborn, Urteil vom 13.12.2022 – 2 O 212/22, BeckRS 2022, 41028, Rn. 180; LG Gießen, Urteil vom 03.11.2022 – 5 O 195/22 –, Rn. 32, zit. nach juris).

5. Mangels Bestehens der Hauptforderung ist die Klage auch hinsichtlich der geltend gemachten Nebenforderungen in Form von vorgerichtlich entstandenen Rechtsanwaltskosten und Zinsen unbegründet.

III.

Die prozessualen Nebenentscheidungen beruhen hinsichtlich der Kosten auf § 91 Abs. 1 S. 1 ZPO und hinsichtlich der vorläufigen Vollstreckbarkeit auf den §§ 708 Nr. 11, 709 Satz 1 und 2, 711 ZPO, wobei die Kammer die von der Beklagten vollstreckbaren Kosten jeweils ohne Anfall einer Mehrwertsteuer zugrunde gelegt hat.

IV.

Der Streitwert wird auf 7.500,00 EUR festgesetzt. Er setzt sich zusammen aus dem Wert für den Klageantrag zu 1) in Höhe von 1.000,00 EUR, dem Wert für den Klageantrag zu 2) in Höhe von 500,00 EUR, dem Wert für den Klageantrag zu 3) in Höhe von 5.000,00 EUR und dem Wert für den Klageantrag zu 4) in Höhe von 1.000,00 EUR.