1

Tatbestand:

2

Die Beklagte betreibt das soziale I. L.. Der Kläger unterhält auf diesem ein Nutzerkonto. Die Plattform ermöglicht es den Nutzern, persönliche Profile für sich zu erstellen und diese mit Freunden zu teilen. Bei der Registrierung müssen die Nutzer bestimmte Informationen angeben, die als Teil des Nutzerprofils immer öffentlich einsehbar sind. Dazu gehören Name, Geschlecht und Nutzer-ID. Im Rahmen der Registrierung wird der Nutzer unter anderem auf die Datenrichtlinie der Beklagten hingewiesen und es wird ein Link zu dieser bereitgestellt. Hinsichtlich des Inhalts der Datenrichtlinie wird auf die Anlage B9 verwiesen.

3

Neben den immer einsehbaren Pflichtangaben können die Nutzer in ihrem Profil weitere Daten zu ihrer Person angeben und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf diese Daten zugreifen können. Die Beklagte stellt hierfür Privatsphäre-Einstellungen zur Verfügung, mit denen die Nutzer bestimmen können, inwieweit sie Informationen, die sie zur Verfügung stellen, öffentlich einsehbar machen möchten. Die Privatsphäre-Einstellungen sind über den Abschnitt „Privatsphäre“ des Haupteinstellungsmenüs im Konto des Nutzers und auf weiteren Wegen zu erreichen und umfassen insbesondere die Instrumente der sog. Zielgruppenauswahl und der Suchbarkeits-Einstellungen.

4

Im Rahmen der Zielgruppenauswahl kann der Nutzer durch individuelle Anpassung bestimmen, wer bestimmte Datenelemente (zum Beispiel die Telefonnummer, den Wohnort, den Geburtstag und die E-Mail-Adresse) im L.-Profil des Nutzers sehen kann. So können Nutzer beispielsweise anstelle der Zielgruppenauswahl „Öffentlich“ festlegen, dass nur ihre „Freunde“ auf der L.-Plattform oder „Freunde von Freunden“ die jeweiligen Informationen sehen können. Soweit keine individuellen Einstellungen gewählt werden, richtet sich die Einsehbarkeit der Informationen nach den Standard-Einstellungen. Die Zielgruppenauswahl für die Telefonnummer war im streitgegenständlichen Zeitraum standardmäßig auf „Freunde“ voreingestellt.

5

Die Suchbarkeits-Einstellung ermöglicht es Nutzern unter anderem, festzulegen, ob ihr Nutzerkonto auf L. anhand der von ihnen angegebenen Telefonnummer gefunden werden kann. Im Rahmen der Suchbarkeits-Einstellung war es im streitgegenständlichen Zeitraum zum einen möglich, die Option „Alle“ zu wählen mit der Folge, dass jedermann das Profil des Nutzers unter Zuhilfenahme der Telefonnummer finden konnte, oder aber den Kreis derjenigen Nutzer, die das Profil finden konnten, auf „Freunde von Freunden“ oder „Freunde“ zu begrenzen. Dabei war die Suchbarkeits-Einstellung standardmäßig auf „Alle“ voreingestellt. Seit Mai 2019 steht Nutzern nunmehr zusätzlich auch die Option „Nur ich“ zur Verfügung, die ausschließt, dass eine andere Person das entsprechende Profil über die Telefonnummer finden kann.

6

Wenn die Suchbarkeits-Einstellung eines Nutzers im Hinblick auf die Telefonnummer auf „Alle“ gestellt war, erlaubte es das von der Beklagten implementierte sog. „Contact-Importer-Tool“ (CIT) im streitgegenständlichen Zeitraum jedem L.-Nutzer, das Profil eines anderen Nutzers mit Hilfe der von diesem hinterlegten Telefonnummer zu finden. Hierzu konnten Nutzer Kontakte von Mobilgeräten auf L. hochladen, um mit Hilfe der Telefonnummer die jeweiligen Nutzer zu finden. Dies war auch dann möglich, wenn die Zielgruppenauswahl des jeweiligen Nutzers im Hinblick auf die Telefonnummer nicht auf „Öffentlich“ gestellt war.

7

Hinsichtlich des Kontos des Klägers war die Suchbarkeits-Einstellung im Hinblick auf die Telefonnummer im streitgegenständlichen Zeitraum auf die Standard-Einstellung „Alle“ gestellt. Am 4.10.2020 änderte der Kläger die entsprechende Einstellung auf „Nur ich“ (Anlage B17).

8

Im „Hilfebereich“ des Nutzerkontos stellte die Beklagte ihren Nutzern im streitgegenständlichen Zeitraum Informationen über die Privatsphäre-Einstellungen zur Verfügung. Unter anderem wurde erläutert, wie Nutzer die allgemeinen Informationen in ihrem Profil bearbeiten und wie sie durch die Anpassung ihrer Zielgruppenauswahl bestimmen können, wer auf die Profil-Informationen zugreifen kann (Anlage B3 und B4). Auch wurde erläutert, wie Nutzer bestimmen können, wer ihr Nutzerkonto finden kann (Anlage B5). Ferner wurden die Nutzer im Hilfebereich über die Verwendung und weitere Einstellungsmöglichkeiten bezüglich der Telefonnummer informiert. So wird erläutert, dass die Telefonnummer möglicherweise zu Zwecken der „Passwort-Vergessen-Funktion“, zum Schutze des Kontos im zweistufigen Authentifizierungsverfahren und zum Vorschlag anderer Nutzer, die der Nutzer kennen könnte, verwendet wird (Anlage B6). Weiterhin wurden Nutzer darüber informiert, dass sie ihre Telefonnummer jederzeit zu ihrem L.-Konto hinzufügen und entfernen können (Anlage B7).

9

Anfang April 2021 wurden Daten von ca. 533 Millionen L.-Nutzern aus 106 Ländern im Internet öffentlich verbreitet. Bei den Datensätzen handelt es sich um Telefonnummer, L.ID, Name, Vorname, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus und weitere korrelierende Daten. Darunter befanden sich auch personenbezogene Daten des Klägers. Die veröffentlichten Daten waren von unbekannten Dritten im Wege des sog. Scrapings im Zeitraum von Januar 2018 bis September 2019 bei der Beklagten erlangt worden. Charakteristisch für ein Datenscraping ist, dass Funktionen verwendet werden, die für die ordnungsgemäße Nutzung entworfen wurden und bei Nutzern beliebt sind, um die auf einer Website oder App verfügbaren Informationen einsehen zu können. Das Datenscraping unterscheidet sich insofern von der ordnungsgemäßen Nutzung einer Website oder App, als dass Scraper Verfahren einsetzen, um in großem Umfang Daten mit automatisierten Tools und Methoden zu sammeln, was nach den Nutzungsbedingungen von L. untersagt war und ist. Die Beklagte ist nicht im Besitz einer Kopie der Rohdaten, welche die durch Scraping abgerufenen Daten enthalten.

10

Die genaue Vorgehensweise der Scraper ist im Einzelnen zwischen den Parteien streitig. Es ist davon auszugehen, dass die Scraper mithilfe des Contact-Importer-Tools Kontakte hochluden, welche mögliche Telefonnummern von Nutzern enthielten, um so festzustellen, ob diese Telefonnummern mit einem L.-Konto verbunden sind. Soweit die Scraper feststellen konnten, dass eine Telefonnummer mit einem L.-Konto (in Übereinstimmung mit der jeweiligen Suchbarkeits-Einstellung des Nutzers) verknüpft war, kopierten sie die auf dem Profil öffentlich einsehbaren Informationen aus dem betreffenden Nutzerprofil und fügten die Telefonnummer – die den Scrapern insoweit nunmehr auch dann bekannt wurde, wenn sie nicht bereits im Rahmen der Zielgruppenauswahl als „öffentlich“ verfügbar eingestellt war – den abgerufenen, öffentlich einsehbaren Daten sodann hinzu.

11

Die Beklagte informierte weder die zuständige Datenschutzbehörde, die O. H. C. M., noch den Kläger über den Vorfall.

12

Mit anwaltlichem Schreiben vom 04.06.2021 (Anlage K1) forderte der Kläger die Beklagte auf, Schadensersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 500,00 Euro zu zahlen. Ferner forderte er Unterlassung der zukünftigen Zugänglichmachung seiner Daten an unbefugte Dritte und Auskunft darüber, welche konkreten Daten im April 2019 abgegriffen und im Nachgang veröffentlicht wurden. Mit anwaltlichem Schreiben vom 01.09.2021 (Anlage B16) teilte die Beklagte dem Kläger einen Link zu Seite der Beklagten mit, auf der die über einen individuellen Nutzer gespeicherten Daten eingesehen werden können, im Übrigen wies die Beklagte die geltend gemachten Ansprüche zurück.

13

Der Kläger behauptet, dass bezüglich seines Nutzerkontos durch die Scraper die folgenden Daten abgeschöpft worden seien: die Telefonnummer, die L.-ID, der Name, der Wohnort, das Land und der Arbeitgeber. Diese Daten seien im Darknet unter anderem auf der Website „www.P..com“ veröffentlicht worden.

14

Er trägt vor, dass die Beklagte keinerlei Sicherheitsmaßnahmen vorgehalten habe, um ein Ausnutzen des bereitgestellten Tools zu verhindern, und dass die Einstellungen zur Sicherheit der Telefonnummer auf L. so undurchsichtig und kompliziert gestaltet seien, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne. Aufgrund der Vielzahl an Einstellungsmöglichkeiten sei mit hoher Wahrscheinlichkeit zu erwarten, dass ein Nutzer die voreingestellten Standardeinstellungen beibehalte und nicht selbstständig ändere. Es seien keine Sicherheitscaptchas verwendet worden, um sicherzustellen, dass es sich bei der Anfrage zur Synchronisierung um die Anfrage eines Menschen und nicht um eine automatisch generierte handelt. Ebenso wenig sei ein Mechanismus zur Überprüfung der Plausibilität der Anfragen bereitgehalten worden, etwa indem ungewöhnlich viele Anfragen derselben IP-Adresse auf einmal geblockt oder Adressbücher mit auffälligen Telefonnummernabfolgen (z.B. 000001, 000002 usw.) automatisch abgelehnt werden.

15

Er ist der Ansicht, dass ihm ein Anspruch auf Schadensersatz gemäß Art. 82 DSGVO zustehe. Das Verhalten der Beklagten begründe mehrere Verstöße gegen die DSGVO. Zunächst habe die Beklagte nicht im ausreichenden Maße über die Verarbeitung der ihn betreffenden personenbezogenen Daten, welche der Kläger bei der Registrierung auf der L.-Plattform angab, informiert bzw. aufgeklärt. Insbesondere die Erläuterung über die Verwendung und Geheimhaltung der Telefonnummer stelle einen Verstoß dar. Hinsichtlich der unzureichenden Informationen verstoße die Beklagte gegen die Vorschriften Art. 5 Abs. 1 lit. a und Art. 13, 14 DSGVO. Weiterhin habe die Beklagte gegen den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f DSGVO verstoßen, indem sie die personenbezogenen Daten des Klägers nicht im ausreichenden Maße und nicht den Anforderungen der DSGVO entsprechend geschützt habe, sodass hierdurch erst das Abschöpfen der Daten möglich gewesen sei. Dies stelle einen Verstoß gegen Art. 32, Art. 24 und Art. 25 DSGVO dar. Darüber hinaus habe die Beklagte auch gegen die in Art. 25 DSGVO niedergelegten Grundsätze „Privacy by Design“ und „Privacy by Default“ verstoßen, da sie – entgegen der Regelung in Art. 25 Abs. 2 DSGVO – keine datenschutzfreundlichen Voreinstellungen verwendet habe. Es sei wenig datenschützend, dass standardmäßig „jedermann“ ein Profil mit Hilfe der hinterlegten Telefonnummer finden könne. Ferner habe die Beklagte gegen die in Art. 33 DSGVO normierte Pflicht, im Falle eines Datenschutzverstoßes die zuständige Aufsichtsbehörde zu informieren, verstoßen, da eine entsprechende Meldung unterblieben sei. Auch sei die Beklagte nicht ihrer Pflicht aus Art. 34 Abs. 1 DSGVO, die von einem Datenschutzvorfall betroffenen Personen über diesen zu informieren, nachgekommen, da eine solche Meldung unterblieben sei. Zudem habe die Beklagte gegen ihre Auskunftspflicht aus Art. 15 Abs. 1 DSGVO verstoßen, da sie dem Auskunftsersuchen nicht in ausreichendem Maße nachgekommen sei. Denn die Beklagte habe lediglich allgemein Auskunft darüber erteilt, welche personenbezogenen Daten des Klägers sie verarbeite, nicht jedoch über die weiteren Umstände des Datenschutzvorfalles. So habe sie nicht darüber informiert, wer auf die Daten zugegriffen habe und welche Daten genau auf diesem Wege abgegriffen worden seien. Es sei keine Information darüber erteilt worden, welche Daten zum Zeitpunkt des Datenschutzvorfalls im Jahr 2019 für Dritte einsehbar gewesen seien.

16

Der Kläger ist der Auffassung, ihm sei durch die Datenschutzverstöße ein konkreter ersatzfähiger Schaden entstanden. Hierzu behauptet er, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und verbleibe in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch seiner Daten. Dies manifestierte sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Darüber hinaus erhalte er seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und potenziellen Virenlinks. Oft würden auch bekannte Plattformen oder Zahlungsdienstleister wie T. oder B. impersoniert und durch Angabe der entwendeten Daten versucht, ein gesteigertes Vertrauen zu erwecken. Das habe dazu geführt, dass der Kläger nur noch mit äußerster Vorsicht auf jegliche Emails und Nachrichten reagiere und jedes Mal einen Betrug fürchte und Unsicherheit verspüre.

17

Er ist der Ansicht, dass die Beklagte zudem zukünftige Schäden, die aufgrund der erlangten Daten entstünden, zu tragen habe. Dies folge aus der Verpflichtung der Beklagten zur Leistung von Schadensersatz. Es sei noch nicht absehbar, für welche kriminellen Zwecke die Daten zukünftig missbraucht würden.

18

Des Weiteren stehe ihm ein Unterlassungsanspruch aus §§ 1004 analog, 823 Abs. 1 und Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO sowie Art. 17 DSGVO zu. Datenschutzrechtliche Ansprüche könnten im Wege des Unterlassungsanspruchs gelten gemacht werden, sie seien nicht aufgrund von Art. 79 DSGVO gesperrt. Die Beklagte habe gegen Art. 6 DSGVO verstoßen, indem sie unrechtmäßig personenbezogene Daten des Klägers verarbeitet habe. Eine Einwilligung in die Verarbeitung sei mangels einer hinlänglichen Informierung durch die Beklagte nicht freiwillig erteilt worden. Weiterhin habe die Beklagte gegen die Informationspflichten aus Art. 13 und 14 DSGVO verstoßen. Diese Verstöße habe der Kläger auch nicht zu dulden. Er sei in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt.

19

Schließlich habe er einen Anspruch auf Datenauskunft gemäß Art. 15 DSGVO sowie auf vorgerichtliche Rechtsanwaltskosten ausgehend von einem Gegenstandswert in Höhe von 8.501,- €. Wegen der Einzelheiten der Berechnung wird auf die Anlage K 1 Bezug genommen.

20

Der Kläger beantragt,

21

1.       die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz;

22

2.       festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden;

23

3.       die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

24

a.       personenbezogene Daten der Klägerseite, namentlich Telefonnummer, L.ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

25

b.      die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der L.-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird;

26

4.       die Beklagte zu verurteilen, ihm Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten;

27

5.       die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

28

Die Beklagte beantragt,

29

die Klage abzuweisen.

30

Die Beklagte ist der Ansicht, dass die Klage bereits weitgehend unzulässig sei. Der Klageantrag zu Ziffer 1) sei nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO. Der Kläger mache einen Zahlungsantrag geltend, stütze das Begehren jedoch auf zwei zeitlich auseinanderfallende angebliche Verstöße und damit auf unterschiedliche Lebenssachverhalte. Auch der Klageantrag zu Ziffer 2) sei zu unbestimmt, zudem habe der Kläger kein Feststellungsinteresse gem. § 256 Abs. 2 ZPO dargelegt. Zuletzt sei auch der Klageantrag zu Ziffer 3) zu unbestimmt.

31

Die Klage sei auch unbegründet.

32

Sie ist der Ansicht, dass der Kläger keinen immateriellen Schaden erlitten habe. Der Schutzbereich des Art. 82 DSGVO erfasse keine Verstöße gegen Art. 13, 14, 15, 24, 25 und Art. 34 DSGVO. Darüber hinaus fehle es schon an einem Verstoß der Beklagten gegen die DSGVO. Der Kläger trage die Darlegungs- und Beweislast für seine Behauptungen, wonach die Beklagte gegen die DSGVO verstoßen habe. Sie ist der Ansicht, dass sie ihren Nutzern – auch dem Kläger – alle in den Art. 13 und 14 DSGVO festgelegten Informationen zur Datenverarbeitung zur Verfügung stelle, die sie zum Zeitpunkt der Datenerhebung im Anwendungsbereich der Datenrichtlinie durchführe. Mithin erfolgte kein Verstoß gegen die Transparenzpflichten der DSGVO. Darüber hinaus habe sie alle Nutzer umfassend und transparent über die Möglichkeiten der Anpassung ihrer Suchbarkeits-Einstellungen und Zielgruppenauswahl informiert, die in diesem Zusammenhang regelten, wer bestimmte persönliche Informationen, die der Nutzer in seinem L.-Profil hinterlegt habe, einsehen könne. Diese Einstellungen konnten von dem Kläger jederzeit nach ihren Wünschen angepasst werden. Die Informationen im Hilfebereich zu den Privatsphäre-Einstellungen seien derart gestaltet, dass Nutzer die gesuchten Informationen schnell aufrufen und einfach einsehen könnten. Auch der Vorwurf des Verstoßes gegen die Pflicht gem. Art. 24, 32 DSGVO, angemessene technische und organisatorische Maßnahmen zu gewährleisten, gehe ins Leere. Sie behauptet, Maßnahmen getroffen zu haben, um das Risiko von Scraping zu unterbinden und ihre eigenen Maßnahmen zur Bekämpfung von Scraping kontinuierlich und als Reaktion auf die sich ständig ändernden Techniken und Strategien weiter zu entwickeln. Es sei grundsätzlich unmöglich, Scraping öffentlich einsehbarer Daten völlig zu verhindern. Es gebe allenfalls Mittel, um Scraping zu begrenzen. Da die Funktionen, welche Scraper ausnutzen, rechtmäßige, gewöhnliche Nutzerfunktionen darstellten, werde zur Begrenzung von Scraping regelmäßig nicht die gesamte zugrunde liegende Funktion beseitigt. Vielmehr würden in der Regel lediglich die Methoden, mit denen auf die maßgeblichen Funktionen zugegriffen werden kann, beschränkt. Sie habe während des relevanten Zeitraums sowohl über Übertragungsbegrenzungen, die die Anzahl von Anfragen von bestimmten Daten reduzierten, welche pro Nutzer oder von einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht werden können, als auch eine Bot-Erkennung verfügt. Zudem habe sie Captcha-Abfragen genutzt. Sie ist der Ansicht, dass der Kläger nicht dargelegt habe, dass die Maßnahmen den Anforderungen der Art. 24 und 32 DSGVO nicht genügten. Die bloße Tatsache, dass Scraping erfolgt sei, könne die Ungeeignetheit der technischen und organisatorischen Maßnahmen nicht belegen, da deren Angemessenheit ex ante und nicht ex post zu beurteilen sei. Im Übrigen seien die durch Scraping abgerufenen Daten – soweit sie von der L.-Plattform stammen – im Einklang mit den Privatsphäre-Einstellungen des Klägers in seinem L.-Profil öffentlich einsehbar gewesen, d.h. diese durch Scraping abgerufenen Daten seien nicht vertraulich gewesen. Auch eine Melde- oder Benachrichtigungspflicht habe in Folge des Scraping-Sachverhalts nicht bestanden. Es fehle an einer Verletzung der Sicherheit i.S.d. Art. 4 Nr. 12 DSGVO und an einer unbefugten Offenlegung von Daten. Die Beklagte ist der Ansicht, auch nicht gegen die Pflicht zum Datenschutz durch Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen gemäß Art. 25 DSGVO verstoßen zu haben, indem sie geeignete technische und organisatorische Maßnahmen implementiert habe.

33

Im Hinblick auf die geltend gemachte Verletzungen der DSGVO habe der Kläger einen der Beklagten zurechenbaren ersatzfähigen immateriellen Schaden i.S.d. Art. 82 DSGVO weder erlitten noch dargelegt. Selbst wenn der Kläger tatsächlich den behaupteten Schaden erlitten hätte, so fehle es jedenfalls an einem kausalen Zusammenhang zwischen dem Schaden und den angeblichen Pflichtverstößen der Beklagten.

34

Der Feststellungsantrag sei mangels Verstoßes gegen die DSGVO auch unbegründet, im Übrigen habe der Kläger nicht dargelegt, dass ein zukünftiger Eintritt eines materiellen oder immateriellen Schadens wahrscheinlich sei.

35

Der Unterlassungsanspruch scheitere daran, dass keine Anspruchsgrundlage für diese Forderung ersichtlich sei. Überdies beruhe der Unterlassungsanspruch auf der unzutreffenden Annahme, dass die Beklagte unbefugten Dritten Zugriff auf Nutzerdaten gewährt hätte. Vor diesem Hintergrund mangele es sowohl an einer Erstbegehungs- als auch an einer Wiederholungsgefahr.

36

Der Auskunftsanspruch des Klägers richte sich in erster Linie auf Datenverarbeitungen durch unbekannte Dritte, für die die Beklagte nicht verantwortlich sei. Soweit sich der Kläger mit seinem Verlangen aber berechtigterweise an die Beklagte richte, sei dieses Verlangen bereits außergerichtlich umfassend beantwortet worden.

37

Vorgerichtliche Anwaltskosten wären dem Kläger nur unter Verzugsgesichtspunkten zuzusprechen. Die Voraussetzungen einer Verzugshaftung seien vorliegend jedoch nicht erfüllt

38

Wegen der weiteren Einzelheiten wird auf die Schriftsätze der Parteien nebst Anlagen Bezug genommen.

39

Entscheidungsgründe:

40

Die Klage ist bezüglich des Feststellungsantrags (Antrag zu 2.) und der Unterlassungsanträge (Anträge zu 3.a. und 3.b.) unzulässig und im Übrigen unbegründet. Im Einzelnen gilt Folgendes:

41

I.

42

1.

43

Der auf Zahlung von Schmerzensgeld gerichtete Antrag zu 1) ist zulässig. Dem steht nicht entgegen, dass der geltend gemachte Schmerzensgeldanspruch auf mehrere behauptete Verstöße gestützt würde. Ein Fall der unzulässigen alternativen Klagehäufung liegt nicht vor.

44

Ein Klageantrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des eventuell teilweisen Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird. Es genügt nicht, sich auf gesetzliche Vorschriften zu berufen, die den erhobenen Anspruch vorsehen, vielmehr müssen die sich aus den Normen ergebenden Konsequenzen im Einzelfall von der klagenden Partei bei der Formulierung ihres Klageantrags berücksichtigt werden (BGH, Urt. v. 21.11.2017 – II ZR 180/15, juris Rn. 8). Eine alternative Klagehäufung, bei der der Kläger ein einheitliches Klagebegehren aus mehreren prozessualen Ansprüchen (Streitgegenständen) herleitet und dem Gericht die Auswahl überlässt, auf welchen Klagegrund es die Verurteilung stützt, verstößt grundsätzlich gegen das Gebot des § 253 Abs. 2 Nr. 2 ZPO, den Klagegrund bestimmt zu bezeichnen (BGH a.a.O.) Inhalt und Reichweite des Klagebegehrens werden nicht allein durch den Wortlaut des gestellten Klageantrages bestimmt. Vielmehr ist der Klageantrag unter Berücksichtigung der Klagebegründung auszulegen (BGH, Urteil vom 15.6.2021 – VI ZR 576/19, juris Rn. 32; Zöller/Greger, 34. Auflage 2022, § 253 Rn. 13 m.w.N.).

45

Vorliegend ergibt sich aus der Klageschrift, dass dem Klageantrag zu 1) ein zusammenhängender, sich zwar auf einen längeren Zeitraum erstreckender, aber in sich abgeschlossener Lebenssachverhalt zu Grunde liegt. Denn der Schadensersatzanspruch bezieht sich nach dem Vortrag des Klägers auf die Vorgänge ab der Anmeldung des Klägers auf der L.-Plattform über das „Scraping“ seiner Daten bis hin zu einer angeblich unzureichenden Information des Betroffenen. Der Klageschrift lässt sich überdies entnehmen, dass der Schaden aufgrund eines kumulativen Zusammenwirkens der gerügten Datenschutzverstöße geltend gemacht wird, die Bezifferung des Schadens dabei indes in zulässiger Weise in das Ermessen des Gerichts gestellt wird (vgl. Zöller/Greger a.a.O., § 253 Rn. 14 f.). Der Einwand der Beklagten, es handele sich um mehrere Streitgegenstände die in einem unzulässigen Alternativverhältnis stünden, verfängt daher nicht (so auch LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818 Rn. 38; LG Paderborn, Urt. v. 19.12.2022 – 3 O 99/22, Rn. 40).

46

2.

47

Die Klage ist unzulässig, soweit der Kläger mit dem Antrag zu 2) die Feststellung der Ersatzpflicht der Beklagten für künftige Schäden begehrt.

48

Der Antrag ist allerdings hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO. Dem steht nicht entgegen, dass mit der Formulierung „durch den unbefugten Zugriff Dritter“ ein unbestimmter Begriff verwendet wird. Denn der Begriff dient nur dazu, den Lebenssachverhalt zu beschreiben, auf den die vermeintlichen Ersatzansprüche des Klägers gestützt werden. Diese Umschreibung des Scraping-Geschehens im Jahr 2019 genügt aber den Bestimmtheitsanforderungen, ohne dass dafür im Vollstreckungsverfahren Überlegungen zu der Frage angestellt werden müssten, ob der Zugriff durch die Scraper „unbefugt“ erfolgte oder nicht. Der Inhalt und die Reichweite des Klagebegehrens werden nicht allein durch den Wortlaut des gestellten Antrags bestimmt, vielmehr ist dieser unter Berücksichtigung der Klagebegründung auszulegen (vgl. BGH NJW 19, 507). Aus der Klagebegründung ergibt sich vorliegend eindeutig, dass mit dem unbefugten Zugriff Dritter das Scraping-Geschehen im Jahr 2019 gemeint ist.

49

Dem Antrag fehlt es aber am erforderlichen Feststellungsinteresse, § 256 Abs. 1 ZPO. Nach dieser Vorschrift kann auf Feststellung des Bestehens oder Nichtbestehens eines Rechtsverhältnisses geklagt werden, wenn der Kläger ein rechtliches Interesse daran hat, dass das Rechtsverhältnis durch richterliche Entscheidung alsbald festgestellt wird. Nachdem die immateriellen Schäden des Klägers bereits Gegenstand eines gegenüber dem Feststellungs- vorrangigen Zahlungsantrages sind, kann insofern lediglich auf bislang nicht eingetretene, aber vom Kläger für die Zukunft befürchtete Vermögensschäden abgestellt werden. Insofern wäre es ausreichend, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann. Dagegen besteht ein Feststellungsinteresse (§ 256 Abs. 1 ZPO) für einen künftigen Anspruch auf Ersatz eines allgemeinen Vermögensschadens regelmäßig dann nicht, wenn der Eintritt irgendeines Schadens noch ungewiss ist (BGH, Urteil vom 15. Oktober 1992 - IX ZR 43/92, WM 1993, 251, 259 f., Urteil vom 21. Juli 2005 - IX ZR 49/02, WM 2005, 2110, Urteil vom 10. Juli 2014 – IX ZR 197/12 –Rn. 11, juris). So liegt der Fall hier. Es ist völlig ungewiss, ob der Scraping-Vorfall jemals zu einer konkreten Vermögensschädigung des Klägers führen wird. Allein die theoretische Möglichkeit, dass sich das entsprechende Risiko gerade bei dem Kläger als einem der mehr als 500 Millionen Betroffenen realisieren könnte, reicht hierfür nach Auffassung der Kammer nicht aus.

50

3.

51

Die Klage ist darüber hinaus unzulässig, soweit der Kläger die Beklagte auf Unterlassung der Zugänglichmachung seiner personenbezogenen Daten in Anspruch nimmt (Antrag zu 3a), weil es dem Antrag an der hinreichenden Bestimmtheit fehlt, § 253 Abs. 2 Nr. 2 ZPO. Die hinreichende Bestimmtheit des Klageantrages setzt voraus, dass Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des eventuell teilweisen Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird. Die letztere Voraussetzung ist aber nicht gegeben, soweit Unterlassung der Zugänglichmachung von Daten begehrt wird, „ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern“. Soweit die Einhaltung von „nach dem Stand der Technik möglichen“ Sicherheitsmaßnahmen verlangt wird, würde sich aus einer zusprechenden Entscheidung gerade nicht bereits ergeben, was die Beklagte im Zeitpunkt einer möglichen Zwangsvollstreckung gerade schuldet; vielmehr würde der Streit über die „Möglichkeit“ von Sicherheitsvorkehrungen gerade in das Zwangsvollstreckungsverfahren verlagert. Auch mit der Begründung, dem Kläger müsse effektiver Rechtsschutz gewährt werden, weswegen von ihm nicht verlangt werden könne, konkrete Sicherheitsmaßnahmen zu benennen, kann die hinreichende Bestimmtheit des Antrages nicht begründet werden. Hierfür ist ein nachvollziehbares Interesse des Klägers nicht erkennbar, dem ein Anspruch auf Einhaltung aller „nach dem Stand der Technik möglicher“ Sicherheitsmaßnahmen schon der Sache nach nicht zustehen kann, da ein möglicher Anspruch jedenfalls auf die zur Verhinderung des Erfolges ausreichenden Maßnahmen beschränkt sein dürfte. Aus Art. 32 DSGVO ergibt sich, dass der Verantwortliche bei den zu treffenden Schutzmaßnahmen nicht nur den Stand der Technik sondern zudem die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigen darf und muss.

52

4.

53

Die Klage ist hinsichtlich des Antrages zu 3b), mit welchem der Kläger Unterlassung der Verwendung seiner Telefonnummer begehrt, unzulässig. Dabei kann dahinstehen, ob dem Antrag angesichts der ausfüllungsbedürften Begriffe „unübersichtlich“ und „unvollständig“ bereits unbestimmt und daher gemäß § 253 Abs. 2 Nr. 2 ZPO unzulässig ist. Denn jedenfalls fehlt dem Kläger das Rechtsschutzbedürfnis für den geltend gemachten Unterlassungsanspruch, nachdem für ihn die Möglichkeit besteht, die Suchbarkeitseinstellungen selbst mit wenig Aufwand dahingehend zu verändern, dass sein Konto nicht mehr von „allen“, sondern nur noch von „Freunden“ oder sogar nur noch von ihm selbst über die Telefonnummernsuche gefunden werden kann und der Kläger von dieser Möglichkeit durch Aktivierung der Option „Nur ich“ am 4.10.2020 bereits Gebrauch gemacht hat (Anlage B 17).

54

5.

55

Bezüglich der Anträge zu 4) und 5) bestehen keine Zulässigkeitsbedenken.

56

II.

57

1.

58

Der Antrag zu 1) ist unbegründet. Dem Kläger steht kein Anspruch auf Ersatz immateriellen Schadens gegen die Beklagte nach Art. 82 Abs.1 DSGVO zu. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Dabei kann offen bleiben, ob der Beklagten Verstöße gegen die DSGVO i.S.d. Art. 82 Abs. 1 DSGVO vorzuwerfen sind, denn der Kläger hat diesbezüglich jedoch nicht vorgetragen, dass ihm ein Schaden entstanden ist. In Übereinstimmung mit der von der Kammer bereits in der mündlichen Verhandlung geäußerten Rechtsauffassung gilt auf der Grundlage der nach der mündlichen Verhandlung ergangenen Entscheidung des EuGH (Urteil vom 04.05.2023, Rs. C-300/21, juris) Folgendes:

59

Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen (EuGH, Urteil vom 04.05.2023, Rs. C-300/21, juris). Vielmehr muss der Kläger einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen. Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadenersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (EuGH, a.a.O.).

60

Erwägungsgrund 146 S. 3 DSGVO spricht für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DSGVO. Damit ist etwa eine Erheblichkeitsschwelle in dem Sinne, dass immaterielle Bagatellschäden nicht ausgeglichen werden müssen, nicht zu vereinbaren (EuGH, a.a.O.).

61

Artikel 82 Abs. 1 DSGVO setzt nach seinem Wortlaut jedoch voraus, dass der betroffenen Person ein materieller oder immaterieller Schaden entstanden ist. Erwägungsgrund 146 S. 1 DSGVO spricht von Schäden, „die einer Person aufgrund einer Verarbeitung entstehen“. Mit diesem Wortlaut ist eine Auslegung der Norm, nach der die Entstehung eines immateriellen Schadens nicht Tatbestandsvoraussetzung ist, nicht zu vereinbaren. Bei einer solchen Auslegung würde ein reiner Strafschadensersatz im Sinne eines „punitive damage“ vorliegen, der der kontinentaleuropäischen Zivilrechtsordnung fremd ist. Es wäre auch nicht zu erklären, warum bei einem immateriellen Schaden die Darlegung eines tatsächlichen entstandenen Schadens entbehrlich sein sollte, bei einem materiellen Schaden hingegen nicht. Auf das Erfordernis eines tatsächlich entstandenen immateriellen Schadens kann daher nicht verzichtet werden. „Bloßer Ärger“ oder „emotionales Ungemach“, zu dem die Verletzung der Vorschriften der DSGVO bei der betroffenen Person geführt haben mag, reicht als solcher nicht bereits als immaterieller Schaden aus.

62

Einen über bloßen Ärger bzw. bloßes Unwohlsein hinausgehenden Schaden hat der Kläger jedoch nicht dargelegt, und ein solcher ist auch nicht ersichtlich. Soweit der Kläger vorträgt, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und verbleibe in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch seiner Daten, was zu verstärktem Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen führe, wird dies damit begründet, er erhalte er seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail mit offensichtlichen Betrugsversuchen und potenziellen Virenlinks, zudem würden auch bekannte Plattformen oder Zahlungsdienstleister wie T. oder B. „impersoniert“ und durch Angabe der entwendeten Daten versucht, ein gesteigertes Vertrauen zu erwecken. Damit sind aber zum einen die behaupteten Vorgänge, nämlich die „verdächtigen“ Kontaktversuche, nicht konkret dargelegt, so dass ein Zusammenhang zu dem Scraping-Geschehen schon nicht nachvollziehbar vorgetragen ist. Ein solcher scheidet zudem von vornherein aus, soweit der Kläger vorträgt, verdächtige E-Mails erhalten zu haben, nachdem ausweislich des klägerischen Vorbringens seine E-Mail-Adresse gerade nicht zu den von den Scrapern abgegriffenen Daten zählte. Anders als etwa in dem vom Landgericht München I mit Urt. v. 9.12.2021 – 31 O 16606/20, BeckRS 21/41707, entschiedenen Fall sind vorliegend auch nicht sensible Ausweis- oder Steuerdaten betroffen, sondern allein solche Daten, die aufgrund einer vom Kläger selbst getroffenen Entscheidung in dem von der Beklagten betriebenen sozialen I. öffentlich zugänglich waren. Das Scraping-Geschehen führte allein dazu, dass diese Daten der Telefonnummer des Klägers zuzuordnen waren. Dass die vom Kläger pauschal geschilderten Vorfälle aber gerade auf dieser Zuordnung seiner Telefonnummer zu den öffentlich einsehbaren Daten beruhten, ist weder vorgetragen noch naheliegend. Damit steht aber ein – unterstellt – seit dem Scraping-Geschehen bzw. seinem Bekanntwerden aufgetretenes Unwohlsein und Misstrauen des Klägers nicht in einem für Art. 82 DSGVO erforderlichen Kausalzusammenhang zu etwaigen von der Beklagten zu verantwortenden Verstößen im Zusammenhang mit dem Scraping-Geschehen.

63

2.

64

Der Antrag zu 4) ist unbegründet. Der Kläger kann von der Beklagten keine weitere Auskunftserteilung nach Art. 15 Abs. 1 DSGVO verlangen:

65

Soweit dem Kläger aufgrund von Art. 15 Abs. 1 DSGVO von der Beklagten Auskunft über die ihn betreffenden, von ihr verarbeiteten personenbezogenen Daten verlangen kann, ist der Anspruch durch Erfüllung erloschen, nachdem dem Kläger mit Schreiben vom 01.09.2021 (Anlage B16) ein Link zu einer Seite der Beklagten mitgeteilt wurde, auf der die über einen individuellen Nutzer gespeicherten Daten eingesehen werden können. Die Auskunftserteilung mittels Fernzugriffs auf ein elektronisches Auskunftssystem des Datenverantwortlichen genügt den an die Auskunftserteilung zu stellenden formellen Anforderungen (vgl. Mester, in: Taeger/Gabel, DSGVO – BDSG – TTDSG, 4. Aufl. 2022, Art. 15 DSGVO Rn. 15 m.w.N.).

66

Soweit der Kläger darüber hinausgehend Auskunft darüber verlangt, welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten, steht einem Anspruch des Klägers § 275 Abs. 1 BGB entgegen. Insofern weist die Beklagte unwidersprochen darauf hin, dass ihr die Identitäten der Scraper nicht bekannt seien, weswegen ihr eine Auskunftserteilung bereits unmöglich ist.

67

3.

68

Dem Kläger steht auch kein Anspruch auf Erstattung vorgerichtlich entstandener Rechtsanwaltskosten zu.

69

III.

70

Die prozessualen Nebenentscheidungen beruhen auf §§ 91, 708 Nr. 11, 711 ZPO.

71

IV.

72

Streitwert: 7.000 Euro

73

       Antrag zu 1:                             1.000 Euro

74

       Antrag zu 2:                            1.000 Euro

75

       Antrag zu 3a:              3.000 Euro

76

       Antrag zu 3b:              1.000 Euro

77

       Antrag zu 4:                            1.000 Euro

78