Landgericht Krefeld, 7 O 113/22

Tatbestand:

Die Parteien streiten über Ansprüche wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung (DSGVO).

Der Kläger ist Nutzer der social-media Plattform „X3com“. Die Beklagte ist Anbieterin ebendieser auf dem Gebiet der europäischen Union. Die Plattform ermöglicht es Nutzern persönliche Profile und Informationen zu erstellen und diese in einem digitalen Freundeskreis und darüber hinaus zu teilen. Im Rahmen der Registrierung gab der Kläger seinen Vornamen, Nachnamen, sein Geburtsdatum und Geschlecht an. Die Mitteilung einer Handynummer ist fakultativ, gleichwohl gab der Kläger auch diese an. Auf der Registrierungsseite fand sich noch folgender Passus: „Indem du auf Registrieren klickst, stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen“. Für die weiteren Einzelheiten wird auf die Registrierungsabbildung (klägerischer Schriftsatz v. 01.07.2022, S. 8 ff.) Bezug genommen. Die Datenverwendungsrichtlinien enthielten u.a. Angaben dazu, welche der vom Nutzer erteilten Informationen immer öffentlich zugänglich sind - nämlich Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID - und die Angabe, dass öffentlich zugängliche Informationen jeder, also auch Personen außerhalb von der Plattform der Beklagten, sehen kann. Die Beklagte stellt ihren Nutzern der Plattform Erklärungen, was öffentliche Informationen sind und welche Informationen öffentlich sind, wie der Nutzer festlegen kann, wer die von ihm über die öffentlichen Informationen hinaus bereitgestellten Informationen sehen kann (Zielgruppenauswahl) und wer ihn anhand seiner E-Mail-Adresse oder seiner Telefonnummer, sofern er E-Mail-Adresse bzw. Telefonnummer auf der Plattform bereitgestellt hat, finden kann (Suchbarkeits- und Kontaktierungseinstellungen), zur Verfügung. Trifft der Nutzer keine Zielgruppenauswahl, richtet sich die Zugänglichkeit seiner über die öffentlichen Informationen hinausgehenden Informationen nach der Standardeinstellung, wonach Freunde des Nutzers die weiteren Informationen einsehen können. Dann gilt:

„Inhalte, die öffentlich sind, können von jedem gesehen werden. Dazu zählen auch Personen, die nicht deine Freunde sind, die X3 nicht nutzen und die Inhalte über andere Medien wie Druckmedien, Rundfunk (z. B. Fernsehen) und andere Webseiten im Internet ansehen. Wenn du beispielsweise unsere Dienste nutzt, um in Echtzeit einen öffentlichen Kommentar zu einer Fernsehsendung abzugeben, kann dieser Kommentar in der Sendung oder an einer anderen Stelle auf X3 erscheinen.

Welche Informationen sind öffentlich?

Informationen, die du teilst, die immer öffentlich sind: Einige Informationen, die du uns zur Verfügung stellst, wenn du dein Profil erstellst, sind öffentlich, z. B. dein Alter, dein Geschlecht, deine Sprache und dein Land. Darüber hinaus verwenden wir teilweise Informationen deines Profils, des sogenannten „öffentlichen Profils“, damit du leichter mit deinen Freunden und deiner Familie in Kontakt treten kannst. Dein öffentliches Profil umfasst deinen Namen, dein Geschlecht, deinen Nutzernamen und die Nutzer-ID (Kontonummer), dein Profilbild, dein Titelbild und deine Netzwerke. Diese Informationen sind ebenfalls öffentlich. Hier sind einige der Möglichkeiten, über die wir dich mit anderen Personen verbinden:

• Dein Name, Profilbild und Titelbild helfen den Menschen dabei, dich zu erkennen

• Dein Geschlecht hilft uns, dich zu beschreiben (z. B. „Füge sie als Freundin hinzu“).

• (…)

• Nutzername und Nutzer-ID (z. B. deine Kontonummer) befinden sich in der URL deines Profils

• (…).“

Passt der Nutzer die Suchbarkeits-Einstellungen nicht an, sieht die Standardeinstellung vor, dass alle Personen, die über die E-Mail-Adresse oder die Telefonnummer des Nutzers verfügen, das Profil des Nutzers, sofern dieser E-Mail-Adresse bzw. Telefonnummer bereitgestellt hat, finden können. Dies gelang über das digitale Contact-Import-Tool (CIT). Hiermit war es anderen Nutzern der Plattform möglich, einen Zugriff auf die Kontakt-Liste auf einem digitalen Endgerät (z.B. Smartphone, PC etc.) zu erlauben. Hiermit verbunden war ein automatisierter Abgleich zwischen den in der Kontakt-Liste enthaltenen Kontaktdaten (Telefonnummer oder E-Mail Adresse) und den der Plattformbetreiberin zugänglichen Kontaktdaten ihrer Nutzer. Kam es hier zu einer Korrelation, wurde das mit den Kontaktdaten korrelierende Profil dem suchenden Nutzer angezeigt.

Die Beklagte wies die Nutzer der X3-Plattform in der EU im Zusammenhang mit dem Geltungsbeginn der DSGVO am 25. Mai 2018 nochmals explizit auf die Datenrichtlinie hin. In Vorbereitung des Geltungsbeginns wurden die Nutzungsbedingungen und die Datenrichtlinie der Beklagten im April 2018 aktualisiert und die Beklagte forderte die Nutzer zur Überprüfung ihrer Privatsphäre-Einstellungen auf, wie folgender Screenshot zeigt (vgl. SS v. 03.01.2023, Bl. 709 ff. d.A.).

In der Zeit von Januar 2018 bis September 2019 sammelten Dritte unter Nutzung automatisierter IT-Verfahren eine Vielzahl der auf der Plattform der Beklagten verfügbaren öffentlichen Informationen (sog. Scraping). Das Vorgehen in allen Einzelheiten ist bis heute nicht öffentlich bekannt. Allerdings wird allseits von folgendem Vorgehen ausgegangen: Die Dritten (sog. Scraper) erstellten Listen mit möglichen Telefonnummern und luden diese in das CIT der Plattform hoch, um so festzustellen, ob die hochgeladenen Telefonnummern mit einem Konto eines Nutzers verbunden sind. Der Kontakt-Importer gab, sofern eine der hochgeladenen Telefonnummern mit dem Konto eines Nutzers verknüpft war, diese Information, also den Umstand der Verknüpfung von Telefonnummer und Konto, an die Dritten. Dies war jedoch nur möglich, wenn der Nutzer die originäre Suchbarkeits- und Kontaktierungseinstellungen auf der Plattform nicht geändert hatte, der fragliche Nutzer also der Suche über das CIT gegenüber allen anderen Nutzern offenstand. Die Scraper fügten sodann den öffentlich zugänglichen Informationen aus dem betreffenden Profil des Nutzers die mit dem Konto verknüpfte Telefonnummer hinzu. Anfang April 2021 wurden die so „geschürften“ Datensätze von über 500 Mio. Nutzern aus mehreren Ländern sowie die mit diesen Datensätzen verknüpften persönlichen Daten (Telefonnummern, Name, Vorname, Geschlecht, Herkunftsland etc.) im Internet frei zum Download bereitgestellt. Hierzu gehörten auch die immer öffentlich zugänglichen Informationen des Profils des Klägers und die mit seinem Konto verknüpfte Telefonnummer.

Der Kläger verlangte über seine Prozessbevollmächtigten zunächst Auskunft über die ihn bei der Plattform der Beklagten betreffenden Daten. Mit Schreiben vom 06.09.2021 forderte der Kläger die Beklagte über seinen Prozessbevollmächtigten zur Zahlung von 500 EUR Schadenersatz, zur Unterlassung zukünftiger Zugänglichmachung der Klägerdaten an unbefugte Dritte und zur Auskunft über den Datenabgriff im April 2021 auf. Hierfür entstanden dem Kläger außergerichtliche Kosten i.H.v. 887,03 EUR. Mit Schreiben vom 23.08.2021 teilte die Beklagte dem Kläger mit, dass unter den abgegriffenen Daten auch die des Klägers enthalten waren und lehnte die Erfüllung weitere Ansprüche ab. Die Prozessbevollmächtigten der Beklagten übermittelten dem Prozessbevollmächtigten des Klägers eine dezidierte Anleitung zur Einsichtnahme in seine bei der Plattform der Beklagten hinterlegten Informationen und deren Verwendung. Für die diesbezüglichen Einzelheiten wird auf die Gerichtsakte Bezug genommen.

Der Kläger behauptet, die Beklagte habe keinerlei technischen Sicherheitsvorkehrungen getroffen, um ein Abgreifen seiner Daten zu verhindern. Auch habe man keinerlei Maßnahmen getroffen, die automatisierten Nummernabfragen über das CIT zu verhindern.

Er ist der Ansicht, die Beklagte habe mehrmals gegen die Vorschriften der DSGVO verstoßen. Dass eine automatisierte Massenabfrage möglich war, stelle eine Sicherheitslücke dar, für die die Beklagte einzustehen habe. Er habe dadurch einen erheblichen Kontrollverlust über seine Daten erlitten. Er leide unter großem Unwohlsein und Sorgen, da er einen Missbrauch befürchte. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Telefonnummern, aber auch in der ständigen Sorge, dass die veröffentlichten Daten von Kriminellen für unlautere Zwecke verwendet werden könnten. Er habe sich mit der E-Mail-Adresse ‚X bei der Beklagten angemeldet. So seien seine bei der Beklagten gescrapten Daten, die unter der X3 Nutzer-ID „X1“ hinterlegt gewesen seien, auf einer „im Darknet für jedermann abrufbaren Datenbank“ enthalten. Der ihm dadurch entstandene immaterielle Schaden sei mit mindestens 1.000,00 EUR zu beziffern. Insoweit stehe ihm auch ein Unterlassungsanspruch gegen die Beklagte hinsichtlich zukünftiger Verstöße gegen die DSGVO zu. Die Beklagte habe sein Auskunftsbegehren nicht im erforderlichen Umfang erfüllt, sodass der geltend gemachte (weitere) Auskunftsanspruch bestehe.

Der Kläger beantragt,

1) die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz;

2) festzustellen, dass die Beklagte verpflichtet ist, ihm auch alle künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

3) die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckenden Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a. personenbezogene Daten der Klägerseite, namentlich Telefonnummer, X3-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

b. die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der X3-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird;

4) die Beklagte zu verurteilen, ihm Auskunft über ihn betreffenden personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten,

5) die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 EUR zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von fünf Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Sie behauptet, sie sei nicht imstande, die Empfänger der „gescrapten“ Daten mitzuteilen. Sie habe zu jedem maßgeblichen Zeitpunkt angemessene organisatorische und technische Maßnahmen i.S.d. Art. 24 DSGVO getroffen, um Scraping zu reduzieren und zu bekämpfen. Insoweit wird auf die Darstellung auf Seite 32 ff. der Klageerwiderung (Bl. 168 ff. d.A.) verwiesen.

Die Beklagte ist der Ansicht, die Klage sei aufgrund der unbestimmten Anträge zu 1) bis 3) insoweit unzulässig. Hinsichtlich des Klageantrags zu 2) fehle es darüber hinaus am erforderlichen Feststellungsinteresse und in Bezug auf den Klageantrag zu 3) an dem erforderlichen Rechtsschutzinteresse.

Sie bestreitet, dass der Kläger überhaupt von dem Scraping-Sachverhalt betroffen gewesen sei. So habe dieser zunächst im vorgerichtlichen Auskunftsersuchen eine E-Mail-Adresse angegeben. Die nunmehr im Verfahren nachgereichte Nutzer ID „X1“ sei nicht mit der zuvor angegebenen E-Mai-Adresse verknüpft

Die von dem Kläger nunmehr nachgereichte E-Mail-Adresse sei hingegen mit der Nutzer-ID „X2“ verknüpft.

Sie bestreitet mit Nichtwissen, dass es sich bei dem von dem Kläger vorgelegten Unterlagen um einen authentischen Auszug aus den durch Scraping abgerufenen Daten handelt.

Die Beklagte meint, das Scraping stelle keinen Datenschutzverstoß dar. Es fehle an einer Verletzung der Sicherheit, da „lediglich“ die im Einklang mit den jeweiligen Privatsphäre-Einstellungen öffentlich zugänglichen Profilinformationen des Klägers abgerufen und auch keine spezifischen Sicherheitsmaßnahmen oder Zugriffsberechtigungen umgangen oder überwunden wurden. Eine unbefugte Offenlegung von oder Zugang zu den klägerischen Daten sei nicht gegeben. Der Beklagten könne zudem keine Sicherheitslücke zur Last gelegt werden, da die hergestellte Verknüpfung zwischen der Telefonnummer des Klägers und seinem Nutzerkonto lediglich auf die seinerzeitige Suchbarkeitseinstellung des Klägers zurückzuführen ist. Auch sei die Telefonnummer des Klägers nicht von dessen X3-Profil abgerufen worden, sondern von der Scrapern bereitgestellt worden.

Sie ist der Ansicht, auf einen etwaigen Verstoß gegen Art. 34 DSGVO und Art. 15 DSGVO könne der Kläger das beanspruchte Schmerzensgeld schon deshalb nicht stützen, weil ein Verstoß gegen diese Normen nicht vom Anwendungsbereich des Art. 82 DSGVO erfasst sei. Darüber hinaus stelle der etwaige Verlust über die Datenkontrolle keinen ersatzfähigen immateriellen Schaden dar.

Sie ist der Ansicht, dass das Vorbringen des Klägers hinsichtlich seiner fehlenden Einwilligung vorliegend nicht relevant sei, weil sie sich insoweit auf eine solche auch gar nicht berufe. Im Übrigen sei vorliegend nicht Art. 6 Abs. 1 lit. a DSGVO, sondern Art. 6 Abs. 1 lit. b DSGVO.

Für die weiteren Einzelheiten des Parteivorbringens wird auf die zur Gerichtsakte eingereichten Schriftsätze nebst Anlagen Bezug genommen und verwiesen.

Die Kammer hat den Kläger angehört. Insoweit wird auf das Sitzungsprotokoll vom 11.01.2023 verwiesen (Bl. 838 d.A.).

Entscheidungsgründe

Die Klage ist zulässig aber unbegründet.

Die Klage ist zulässig.

Der Klageantrag zu 1. ist - entgegen der Ansicht der Beklagten - hinreichend im Sinne des § 253 Abs. 2 Nr. 2 ZPO bestimmt. Den Streitgegenstand bilden der Klageantrag und der dem zugrundeliegende Lebenssachverhalt. Grundsätzlich ist ein Klageantrag hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308) klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322) erkennbar sind, das Risiko des (eventuellen teilweisen) Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt wird und der Klageantrag schließlich eine Zwangsvollstreckung aus dem Urteil ohne weiteren Streit erwarten lässt (BGH NJW 2018, 2338). Der Klageantrag ist der Auslegung zugänglich, wobei dafür auch die Klagebegründung heranzuziehen ist (vgl. Zöller § 253 Rn. 13 m.w.N.). Er muss sich allerdings auch auf einen konkreten Lebenssachverhalt beziehen. Ein solcher ist gegebenen, wenn das tatsächliche Geschehen bei natürlicher Betrachtungsweise nach der Verkehrsauffassung einen einheitlichen Vorgang darstellt. Aus der Klagebegründung ergibt sich, dass der Zahlungsantrag sich auf einen zusammenhängenden, wenngleich über einen längeren Zeitraum erstreckenden, aber in sich abgeschlossenen Lebenssachverhalt stützt. Dieser Zeitraum begann mit der Anmeldung des Klägers auf der Plattform der Beklagten und endete mit dem „Schürfen“ einiger persönlicher Daten des Klägers (sog. Scraping) bzw. der möglicherweise nicht ausreichenden Benachrichtigung der betroffenen Nutzer. Auch die Klageanträge zu Ziffer 2. und 3. weisen die erforderliche Bestimmtheit auf. Eine auslegungsbedürftige Antragsformulierung ist dann hinzunehmen, wenn dies zur Gewährleistung eines effektiven Rechtsschutzes erforderlich ist, mithin die Klägerseite ihren Antrag nicht konkreter fassen kann (vgl. nur BGH GRUR 2017, 422). Dies ist nach Auffassung des Gerichts der Fall. Selbst bei einer Benennung derzeitiger technischer Schutzvorkehrungen würde dies in Anbetracht der technischen Weiterentwicklung alsbald dazu führen, dass sich die aktuellen Vorkehrungen überholen, sodass der Kläger erneut klagen müsste. Dies stünde einem verfassungsrechtlich gebotenen effektiven Rechtsschutz entgegen.

Auch die objektive Klagehäufung ist gem. § 260 ZPO zulässig.

Seitens des Klägers besteht auch ein Feststellungsinteresse hinsichtlich des Klageantrags zu 2. Ein Interesse an der Feststellung einer Ersatzpflicht für künftige Schadensfolgen aus einer bereits eingetretenen Verletzung eines absoluten Rechts oder eines vergleichbaren Rechtsguts ist zu bejahen, wenn die Möglichkeit besteht, dass solche Schäden eintreten. (MüKo ZPO/Vorwerk/Wolf, § 256 Rn. 24). Der Kläger hat also eine gewisse Wahrscheinlichkeit des zukünftigen Schadenseintritts darzulegen. Zu den absoluten Rechten in diesem Sinne gehört auch das allgemeine Persönlichkeitsrecht (BGH NJW 2021, 3130). Den Schutz dieses Rechtes macht der Kläger hier in Form des datenschutzrechtlich geschützten allgemeinen Persönlichkeitsrechts in Form von Art. 82 DSGVO geltend und legt dabei auch die Möglichkeit eines Schadenseintritts ausreichend i.S.d. § 256 ZPO dar.

Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt EuGVVO (Brüssel Ia- VO) sowie aus Art. 79 Abs. 2 DSGVO.

Die sachliche Zuständigkeit des Landgerichts Krefeld ergibt sich aufgrund des Streitwertes von über 5.000 EUR und den §§ 23 Nr. 1 i.V.m. 71 Abs. 1 ZPO.

Die örtliche Zuständigkeit ergibt sich aus dem besonderen Gerichtsstand des gewöhnlichen Aufenthaltsortes gem. Art. 79 Abs. 2 S. 2 DSGVO i.V.m. § 44 Abs. 1 S. 2 BDSG.

II.

Die Klage ist jedoch vollumfänglich unbegründet.

1. Der Kläger hat schon nicht ausreichend dargelegt, dass er von dem streitgegenständlichen Scraping-Vorfall betroffen ist.

Seine Angaben zu der von ihm verwendeten E-Mail-Adresse und der verknüpften X3 Nutzer-ID sind widersprüchlich.

In seinem vorgerichtlichen Auskunftsverlangen und auch später hat der Kläger behauptet, ein Nutzerkonto mit der E-Mail-Adresse "X" angemeldet zu haben. Der Kläger hat insoweit ausgeführt, dass diese E-Mail-Adresse nicht mit der vom Kläger genannten X3 Nutzer-ID „X1“ verbunden ist.

Der Kläger hat insoweit nicht ausreichend dargelegt, dass er tatsächlich mit dem von ihm benannten Konto vom dem Sraping-Sachverhalt betroffen ist.

Aber selbst wenn man – wie im Folgenden unterstellt - davon ausgehen würde, der Kläger sei von dem Scraping-Vorfall betroffenen, stehen ihm die geltend gemachten Ansprüche nicht zu.

2. Kein Anspruch aus Art. 82 DSGVO

a) Dem Kläger steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO zu. Die Norm statuiert auf Tatbestandsebene das Vorliegen eines Verstoßes gegen die DSGVO, den Eintritt eines materiellen oder immateriellen Schadens und die Kausalität der beiden Voraussetzungen („wegen“).

Zwar ist der sachliche (§ 2 DSGVO) und räumliche (§ 3 DSGVO) Anwendungsbereich der Verordnung im konkreten Fall der Nutzung einer social-media Plattform in der Europäischen Union eröffnet. Es liegt auch ein Verstoß seitens der Beklagten gegen Art. 25 Abs. 1 und 2 DSGVO vor. Dem Kläger ist es jedoch nicht gelungen, den Eintritt eines ihm entstandenen kausalen Schadens als überwiegend wahrscheinlich i.S.d. § 287 ZPO nachzuweisen.

aa) Kein Verstoß gegen Art. 5 Abs. 1 DSGVO

Der Kläger kann den geltend gemachten Schmerzensgeldanspruch nicht auf einen Verstoß gegen Art. 5 Abs. 1 lit. a i.V.m. Art. 12 und 13, 14 DSGVO stützen. Das in Art. 5 Abs. 1 lit. a DSGVO allgemein normierte und in Art. 13, 14 DSVGO speziell ausgeformte Transparenzprinzip im Umfang mit personenbezogenen Daten (Art. 4 Abs. 1 DSGVO) durch den Verarbeiter wurde hier nicht verletzt. Zwar ging es im Zusammenhang mit dem Scraping-Vorfall um personenbezogene Daten. Allerdings liegt keine Pflichtverletzung der Beklagten vor. Die in Art. 13 und Art. 14 DSGVO normierten Informationspflichten sind Ausdruck einer fairen und transparenten Datenverarbeitung von personenbezogenen Daten. Eine solche bedingt eine Unterrichtung der betroffenen Person über die Existenz des Verarbeitungsvorganges und seine Zwecke (Erwägungsgrund 60). Das Vorbringen des Klägers, die Beklagte habe nicht ausreichend auf die technische Einbeziehung der Mobilfunknummer des Klägers hingewiesen, greift hier nicht durch. Unstreitig ist, dass die Beklagte durch verschiedene Datenschutzrichtlinien auf mehreren Ebenen auf die technische Einbeziehung der angebenden Telefonnummer hinweist. Des Weiteren erfolgt auch eine Information darüber, dass die Angabe derselben schon nicht für die Registrierung notwendig ist, bzw. deren technische Auffindbarkeit für andere Nutzer eingeschränkt werden kann. Hierbei weist die Beklagte auch auf die Auffindbarkeit über das CIT hin. Insoweit lag eine ausreichende Information gegenüber dem Kläger erfolgt. Sofern der Kläger darauf verweist, dies sei nicht ausreichend transparent erfolgt, muss dem entgegengehalten werden, dass eine solcher Hinweis schon durch die Frage „Wer kann dich anhand der angegebenen Telefonnummer finden?“ in Kombination mit der Einstellungsoption „Alle“ ein ausreichender und verständlicher Hinweis ist. Darüberhinausgehende Beschreibung der informationstechnischen Einzelheiten, insbesondere das CIT, enthalten dann vertiefend die Datenschutzeinstellungen auf der Plattform sowie die entsprechenden Informationen auf der Website der Plattform (vgl. S. 11 ff. der Klageschrift). In diesem Vorgehen sieht die Kammer eine ausreichende Information i.S.d. Art. nochmals alle in Artt. 13, 14 DSGVO geforderten Informationen.

Hinzu kommt, dass die Datenrichtlinie vom 19. April 2018 (Anlage B 20) alle in Art. 13, 14 DSGVO geforderten Informationen enthielt und die Beklagte im April 2018 alle ihre Nutzer, also auch den Kläger, auf die Geltung dieser hinwies.

bb) Kein Verstoß gegen Art. 32, 24 DSGVO

Es liegt auch kein Verstoß gegen Art. 32, 24 DSGVO vor. Die Normen vertiefen jeweils den allgemeinen Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) und beziehen sich konkret auf den Datenverarbeitungsprozess. Der Grundsatz des Art. 5 Abs. 1 lit. f DSGVO verlangt, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u.a. davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten. Art. 32 DSGVO verpflichtet hierbei den Verantwortlichen geeignete organisatorische Maßnahmen bei der Verarbeitung personenbezogener Daten zu treffen, um ein angemessenes Schutzniveau für diese zu gewähren. Art. 24 DSGVO erweitert dies um eine Nachweispflicht bezogen auf die Umsetzung dieser Maßnahmen bei der Verarbeitung. Die Beklagte hat gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, nicht verstoßen. Die immer öffentlich zugänglichen Informationen des X3-Profils des Klägers sind zwar von Dritten erhoben (Scraping) und demnach verarbeitet worden (Art. 4 Nr. 2 DSGVO). Allerdings war die Beklagte aus den Normen nicht verpflichtet, diese Daten vor der Verarbeitung durch die Scraper zu schützen. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des Klägers, um solche, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnlichem abrufbar sind. Die nochmalige Erhebung dieser Daten als solche erfolgte nicht seitens der Beklagten. Es allerdings zuzugestehen, dass die sog. Scraper durch das beschriebene Vorgehen ihrerseits wohl Verstöße bei der Erhebung der Daten und der damit verbundenen Pflichten der DSGVO verletzt haben. Auch das Vorbringen des Klägers, ihm seien zum Zeitpunkt seiner Registrierung als Nutzer die Standardeinstellungen auf der Plattform nicht bekannt gewesen, rechtfertigt nicht die Annahme, die Beklagte habe gegen ihr obliegende technischen Schutzpflichten bei der Datenverarbeitung verstoßen. Denn die Beklagte durfte und musste davon ausgehen, dass dem Kläger bekannt ist, dass sein Name und sein Benutzername für jedermann abrufbar ist und hatte daher keine Veranlassung, diese Daten vor der Erhebung durch Dritte zu schützen. Die Beklagte hat nämlich den Kläger, bevor dieser sich auf der Plattform registrieren konnte, auf ihre Datenverwendungsrichtlinien hingewiesen und der Kläger hat vor seiner Registrierung bestätigt, diese gelesen zu haben. Die seinerzeit maßgeblichen Datenverwendungsrichtlinien der Beklagten enthielten die Information, dass u.a. der Name, das Geschlecht und der Nutzername des Nutzers immer öffentlich zugänglich sind und also von jeder Person gesehen werden kann. Der Kläger hat der Beklagten auch seine Telefonnummer bereitgestellt, die die Beklagte im Rahmen der Suchbarkeits-Einstellungen verwendete, um festzulegen, welche Personen das Profil des Klägers anhand dessen Telefonnummer finden können, nämlich alle Personen. Dass dem Kläger nach seinem Vorbringen nicht bekannt war, dass alle Personen über seine Telefonnummer sein Profil finden, hat nicht zur Folge, dass die Beklagte verpflichtet war, weitere Schutzmaßnahmen zu ergreifen, die das Profil des Klägers vor einem Auffinden über seine Telefonnummer schützen. Denn die Beklagte musste annehmen, dass dem Kläger bekannt ist, dass sein Profil über seine Telefonnummer für jedermann aufzufinden ist. Der Kläger bestätigte vor seiner Registrierung ausdrücklich die Datenverwendungsrichtlinien der Beklagten gelesen zu haben. Diese enthalten unter der Überschrift „So kann man dich finden und kontaktieren“ die Information, dass es die Beklagte allen Personen, die über die Telefonnummer des Nutzers verfügen, gestattet, den Nutzer auf der Plattform zu finden. Der Kläger hatte es also in der Hand, unter Zuhilfenahme des jedem Nutzer der Plattform zugänglichen Hilfebereichs die Suchbarkeits-Einstellungen für sein Profil zu ändern und dahin anzupassen, dass nicht alle Personen, die seine Telefonnummer hochladen, sein Profil auffinden. Auch hat der Kläger nicht ausreichend dargelegt, dass die Beklagte technische und organisatorische Schutzmaßnahmen gegen Scraping unterlassen hat.

cc) Kein Verstoß gegen Art. 33, 34 DSGVO

Auch ein Verstoß der Beklagten gegen die in Art. 33 und 34 DSGVO geregelte Benachrichtigungspflicht kommt nicht in Betracht. Art. 33 DSGVO normiert die Informationspflicht gegenüber der zuständigen Datenschutzbehörde (Art. 55 DSGVO) im Falle der Verletzung des Schutzes personenbezogener Daten. Art. 34 DSGVO regelt eine ähnliche Pflicht gegenüber dem betroffenen Nutzer. Für die Einschlägigkeit beider Normen fehlt es aber an der Verletzung des Datenschutzes i.S.v. Art. 4 Nr. 12 DSGVO seitens der Beklagten. Die Schutzbestimmung hinsichtlich zur Verfügung gestellter Daten kann für einen Verantwortlichen i.S.d. DSGVO nur greifen, wenn der Nutzer seine Daten dem Schutz des Verantwortlichen unterwirft. Hierin fehlt es im vorliegenden Fall. Denn wie bereits dargelegt handelt es sich dem bei Daten wie Name, Geschlecht etc. um solche, die der Kläger durch die getroffenen Einstellungen der Öffentlichkeit zugänglich machte. Damit unterlagen diesen Daten schon keinem Schutz seitens der Beklagten, da nicht nur sie, sondern die Allgemeinheit auf diese zugreifen konnte. Hinsichtlich der Telefonnummer ist zwar beachtlich, dass diese streng genommen nicht allgemein-zugänglich war, aber auch hier traf der Kläger durch die Privatsphäre-Einstellungen keine Vorkehrungen, um eine Auffindbarkeit seines Profils über seine Mobilfunknummer zu verschleiern, also dem Schutz der Beklagten vor dem Zugriff Dritter zu unterwerfen. Im Übrigen hat der Kläger nicht ausreichend dargelegt, dass die Telefonnummer tatsächlich aus seinem X3-Profil abgerufen wurde und nicht ihrerseits bei den Scrapern bereits vorhanden war. Auch hat der Kläger kein „hohes Risiko“ i.S.d. Art. 34 DSGVO für seine Rechte und Freiheiten dargelegt, der kausal auf dem Scraping-Sachverhalt beruht.

dd) Kein Verstoß gegen Art. 15 DSGVO

Ein Verstoß liegt auch nicht wegen verspäteter Erfüllung des Auskunftsanspruchs des Art. 15 DSGVO vor. Das klägerische Auskunftsersuchen vom 5. Juli 2021 wurde von der Beklagten am 30. September 2021 ordnungsgemäß beantwortet. Entgegen der Ansicht des Klägers liegt insbesondere keine mangelhafte Information der Beklagten vor, da Art. 15 DSGVO diese nicht verpflichtet, über die Verarbeitungstätigkeit Dritter - daher der sog. Scraper - Auskunft zu erteilen. Art. 15 DSGVO verpflichtet die Verantwortliche nur hinsichtlich der eigenen Verarbeitungstätigkeit. Eine bewusste Weitergabe der Daten an die Scraper behauptet schon der Kläger nicht.

ee) Verstoß gegen Art. 25 Abs. 2 DSGVO

Ein Verstoß gegen Art. 25 Abs. 2 DSGVO liegt nicht vor. Die Beklagte hat durch die Standardeinstellungen der X3-Plattform in Bezug auf die Auffindbarkeit des klägerischen Nutzerprofils über seine angegebene Telefonnummer sowie die technische Ausgestaltung des CIT nicht den in der Norm festgelegten Grundsatz „Datenschutz durch Voreinstellungen“ (data protection by default) verletzt. Art. 25 Abs. 2 DSGVO verpflichtet den Verantwortlichen bei der Datenverarbeitung, die datenschützende und daher datenarme Gestaltung schon auf Voreinstellungen bei der Verarbeitung auszuweiten. Die Einstellungen auf der Plattform der Beklagten enthielten aber als Standardeinstellung bei der Auffindbarkeit über die Telefonnummer des Beklagten die Option „Alle“, daher gegenüber jedem anderen Nutzer. Im Fall der Beibehaltung dieser Einstellung, kann der jeweilige Nutzer über seine E-Mail-Adresse und Mobilnummer aufgefunden werden. Entsprechende Hinweise informieren den technischen Laien jedoch über Einstellungsmöglichkeiten und deren Begrenzungsmöglichkeiten. Zudem muss sich jeder Internetnutzer, der insbesondere eine Plattform eines sozialen Netzwerkes wie das der Beklagten nutzt, bewusst sein, dass es Internetgepflogenheiten gibt, mit denen man sich vertraut zu machen hat, will man solche Kommunikationsplattformen gebrauchen. Der Schutz des Art. 25 DSGVO reicht nicht so weit, dass er den jeweiligen Nutzer vor den internetspezifischen Gepflogenheiten vollends schützt; vielmehr muss sich der jeweilige Nutzer, der einer Plattform eines sozialen Netzwerks beitreten will, mit den geltenden Gepflogenheiten vertraut machen. Bei einer Plattform, die auf Kontaktsuche und das Finden von Kontakten ausgerichtet ist und auf der die Beklagte angibt, dass das nicht zwingend erforderliche Hinterlegen der Telefonnummer es ermöglicht, leichter gefunden zu werden und die Zwecke der Plattform besser zu nutzen, muss der jeweilige Nutzer eigenverantwortlich entscheiden, in welchem Umfang er diese Möglichkeiten nutzt und entsprechende Daten freigibt.

Auch hat die Beklagte in der Klageerwiderung im Rahmen einer sekundären Darlegungslast substantiiert dargelegt, dass sie entgegen der pauschalen Behauptung des Klägers technische Maßnahmen ergriffen hat, um Scraping zu erschweren, indem sie nämlich eine Hürde implementiert hat, wonach Abfragen in gewissem Umfang von ein- und derselben IP-Adresse in einem bestimmten Zeitraum nicht möglich sind bzw. gestoppt werden, ebenso wie sie auch unter Verweis auf diverse Artikel, deren Link sie ebenfalls bekannt gegeben hat, die User informiert hat und schließlich über ein Team verfügt, das sich einzig mit der Verhinderung von Missbrauch von Daten ihrer User beschäftigt. Angesichts dieser konkreten Ausführungen wäre von dem Kläger zu erwarten gewesen, dass er im Lichte dieses Vortrags weiter ausführt, warum er trotzdem von einem Verstoß gegen Art. 25 DSGVO ausgeht. Der bloße Verweis auf den Scrapingvorfall 2019 allein genügt nicht angesichts des Umstandes, dass Unbekannte im Internet stets bestrebt sind, Sicherheitsvorkehrungen von Dritten zu überwinden. Einen Anspruch auf konkrete Sicherheitsmaßnahmen – die der Kläger allerdings ohnehin nicht benennt – hat er hingegen nicht. Insoweit kommt es dann – wie die Beklagte zutreffend ausführt – nicht darauf an, ob konkrete Einzelmaßnahmen im Sinne der Wunschvorstellungen einer Partei ergriffen wurden, sondern darauf, ob die gesamten Schutzmaßnahmen ein angemessenes Schutzniveau aufweisen, welches ex-ante zu bestimmen ist (vgl. dazu: Kühling/Buchner, DSGVO, Art. 32, Rn. 5 und 8 m.w.N.; Gola, DSGVO, Art. 25, Rn. 2). Angesichts der im Rahmen der sekundären Darlegungslast aufgezeigten vielfältigen Schutzmaßnahmen genügt – wie ausgeführt – der pauschale Verweis auf den Scrapingvorfall als solchen und die Benennung einzelner Maßnahmen, etwa eine Captcha-Abfrage, nicht. Auch wenn man die Darlegungslast anders sieht im Lichte der bereits zitierten Rechtsprechung des EuGH, so wäre die Beklagte dieser nachgekommen, und der Kläger hätte dies nicht erheblich bestritten, so dass es auch insoweit nicht einer Beweisaufnahme bedurfte.

b) Kein ersatzfähiger Schaden

Dem Kläger ist es auch nicht gelungen, den Eintritt eines ihm entstandenen kausalen Schadens als überwiegend wahrscheinlich i.S.d. § 287 ZPO nachzuweisen. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31).

Nach dem ausdrücklichen Wortlaut des geltend gemachten Art. 82 DSGVO muss der Schaden „entstanden“ sein, woraus sich ergibt, dass ein bloßes Befürchten desselben nicht ausreicht. Voraussetzung ist somit der tatsächliche Schadenseintritt. Der einfache Verstoß gegen die Vorschriften der DSGVO reicht nicht schon aus (so auch der Schlussantrag des Generalanwalts beim EuGH v. 6.10.2022 – C 300/21). Zwar ist der Begriff des Schadens nach den Erwägungen der DSGVO (Erwägungsgrund 146 S. 3) weit auszulegen; es bedarf hierfür aber der zusätzlichen Darlegung eines konkreten (auch immateriellen) Schadens (vgl. auch OLG Frankfurt am Main v. 2.3.2022 – 13 U 206/20, GRUR 2022, 1252). Nicht erforderlich ist demgegenüber, dass der eingetretene Schaden erheblich ist. Betrachtet man bei teleologischer Auslegung die Erwägungen des Verordnungsgebers, wird deutlich, dass der Schadensbegriff des Art. 82 DSGVO so extensiv zu verstehen ist, dass auch Bagatellschäden erfasst sind. Für die Annahme eines immateriellen Schadens in einer solchen Konstellation könnten zwar Erwgr. 75 S. 1 und 85 S. 1 DSGVO sprechen, die explizit auf den Kontrollverlust über personenbezogene Daten Bezug nehmen. Bei näherer Betrachtung stellt sich eine solche Schlussfolgerung aber als voreilig dar: Erwgr. 85 DSGVO nimmt bereits systematisch nicht auf Art. 82 DSGVO, sondern auf Art. 34 DSGVO Bezug, so dass seine Aussagekraft für die Auslegung des Schadensbegriffs stark eingeschränkt ist. In Erwgr. 75 DSGVO wird der Verlust der Kontrolle über personenbezogene Daten zudem (nur) als ein „Risiko“ bezeichnet, also gerade nicht per se mit einem (immateriellen) Schaden gleichgesetzt. Vielmehr ist für die Annahme eines immateriellen Schadens zu fordern, dass der Tatsachenvortrag der betroffenen Person das Vorliegen einer immateriellen Beeinträchtigung trägt, die über den schlichten Kontrollverlust hinausgeht. Bloß unspezifische Behauptungen und reine Unannehmlichkeiten werden hierbei nicht genügen. Denn Erwgr. 75 S. 1 DSGVO fordert nach Wortlaut und Systematik das Vorliegen eines (physischen, materiellen oder immateriellen) Schadens, der hinsichtlich seines Gewichts zu „erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann“ (NJW 2022, 3673 Rn. 5, beck-online).

Zwar wurden die klägerischen Daten, die dieser einem gewissen Nutzerkreis der Plattform zugänglich machte, durch den Scraping-Vorfall abgegriffen und allgemein-zugänglich im Internet veröffentlicht; gegen einen Kontrollverlust spricht aber bereits der Umstand, dass es sich bei den „gescrapten“ Daten des Klägers mit - Ausnahme der Mobilfunknummer - um Daten handelt, die immer öffentlich sind. Es ist diesen Daten daher gerade immanent, dass sie jedem und jederzeit zugänglich sind. Auf diesen Umstand weist die Beklagte ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei dem Kläger zu Kontrollverlust geführt haben sollte. Neben einem mangelnden Kontrollverlust des Klägers beziehen sich die Erwägungsgründe allerdings auch nur auf Regelbeispiele, sodass weitere immaterielle Schadensbilder wie etwa ein allgemeines Unwohlsein grundsätzlich denkbar sind. Das Vorliegen eines solchen konkreten, immateriellen Schadens, wozu immer auch körperliche Manifestationen durch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kläger allerdings nicht hinreichend dargetan. Er hat zwar im Rahmen der Klageschrift ausgeführt, dass er unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte. Letztlich kann die Kammer aber nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass sich die vom Kläger unter den in der Klageschrift beschriebenen Ängsten und Sorgen auch tatsächlich im Sinne eines immateriellen Schadens manifestiert haben. Der in der Verordnung geregelte Ersatz immaterieller Schäden erstreckt sich auch nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist vielmehr Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann (vgl. Schlussantrag des Generalanwalts beim EuGH v. 6.10.2022 – C 300/21). Ebenso kann die Kammer keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand des Klägers ergeben sich für das Gericht diesbezüglich bereits aus dem Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte, mithin für die Registrierung nicht erforderlich war. Dass der Kläger diese gleichwohl trotzdem angab, spricht dafür, dass sein allgemeines psychisches Wohlbefinden wohl nicht von der möglichst restriktiven Geheimhaltung seiner Mobilfunknummer abhängig ist. Dies umso mehr vor dem Hintergrund, dass es sich bei dem betroffenen Mobil-Telefon um ein Diensttelefon handelt und der Kläger selbst in der IT-Branche tätig ist und eigenem Bekunden nach die Sicherheitsinteressen kennt. Daneben wurde der Kläger in den Suchbarkeits- und Kontaktierungseinstellungen ausdrücklich darauf hingewiesen, dass sein Profil anhand der von ihm angegebenen Telefonnummer auffindbar war. Zudem hat der Kläger nicht ausreichend dargelegt, dass seine Telefonnummer durch den Scraping-Vorfall abgegriffen wurde. Im Übrigen erhalten gerichtsbekannt auch Personen unerwünschte E-Mails und Anrufe, die keine Account bei der Beklagten haben und dort ihre Telefonnummer hinterlegt haben, was auch gegen eine eventuelle Kausalität des Schadens spricht. In seiner informatorischen Anhörung ist auch nicht deutlich geworden, dass er durch den Vorfall erheblich i.S.d. obigen Ausführungen betroffen war. So gab er an, eine Video der Kanzlei der Prozessbevollmächtigten auf Youtube gesehen zu haben. Er danach sei bei ihm der Verdacht aufgekommen, dass die vielen Phishinglinks und -SMS im Zusammenhang mit der Beklagten stehen könnten. Über einen Wechsel seiner Telefonnummer habe er nicht nachgedacht. Es könne, so der Kläger, "nicht sein, dass das mein Problem ist, wenn dort Datenlecks bestehen". Im Übrigen hätte ein solcher Wechsel wegen der vielen Kundenkontakte auf seinem Handy auch aus seiner Sicht nicht in Relation zu dem Vorfall gestanden.

Hinsichtlich des Verstoßes gegen Art. 25 DSGVO fehlt es zudem am notwendigen Zusammenhang mit einer konkreten Datenverarbeitung.

Schließlich hat der Kläger auch ein Verschulden des Beklagten hinsichtlich des Scraping-Vorfalls nicht ausreichend dargelegt.

3. Schmerzensgeld nach nationalem Recht

Selbst wenn man vorliegend einem Nebeneinander von europäischem Recht und nationalem Recht annimmt, fehlt es nach den obigen Ausführungen an einem Schaden i.S.d. § 249 BGB. Das nationale Schadensrecht verlangt gerade eine spürbare Beeinträchtigung (s. Herberger/Martinek/Rüßmann/Weth/Würdinger, jurisPK-BGB, 9. Aufl., § 249 BGB (Stand: 08.09.2021), Rn. 26 ff.; KG Berlin, Beschluss vom 2.2.2021 – 9 W 1117/20 -, juris, Rn. 44 m. w. N.). Eine solche ist angesichts der vorstehenden Ausführungen, die hier sinngemäß gelten, zu verneinen.

4. Feststellungsanspruch gem. Klageantrag zu 2.

Der Kläger hat auch keinen Feststellungsanspruch gem. des Klageantrages zu 2. Hierfür fehlt es bereits an der hinreichenden Darlegung eines Rechtsverhältnisses. Der hinreichenden Darlegung eines zukünftigen Schadensersatzanspruches mangelt es bereits an der überwiegenden Wahrscheinlichkeit eines zukünftigen materiellen oder immateriellen Schadenseintritts. Insoweit kann auf die obigen Ausführungen zum Schadensersatzanspruch nach dem Klageantrag zu 1. verwiesen werden. Insbesondere sind keine Gründe ersichtlich, warum ein der Eintritt eines solchen, im Klageantrag zu 1. abgelehnten Schadens, mit hinreichender Wahrscheinlichkeit zukünftig doch auftritt.

5. Unterlassungsanspruch gem. Klageantrag zu 3.

Dahinstehen kann zunächst, ob die Anträge hinreichend bestimmt sind und das hierfür erforderliche Rechtsschutzbedürfnis gegeben ist.

Der Kläger hat auch keinen Unterlassungsanspruch gegen die Beklagte gemäß §§ 1004 Abs. 1 S. 2 analog, 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1 sowie Art. 17 DSGVO. Zwar kommen die Normen der DSGVO als Schutzgesetz i.S.d. § 823 Abs. 2 BGB grundsätzlich in Betracht. Eine Zuwiderhandlung der Beklagten gegen Art. 6 Abs. 1 DSGVO ist jedoch weder zu erkennen noch für die Zukunft zu befürchten. Vielmehr erfolgte die Verarbeitung sowohl für die öffentlichen Profildaten als auch hinsichtlich der Telefonnummer rechtmäßig. Nach den Ausführungen des Klägers sind - mit Ausnahme der Mobilfunknummer - lediglich Daten abgegriffen und weiter veröffentlich worden, die ohnehin immer öffentlich sind. Dass die Daten veröffentlicht werden dürfen, hat der Kläger im Rahmen seiner Registrierung i.S.d. Art. 6 Abs. 1 S. 1 lit. a DSGVO auch zugestimmt. Es gibt somit keinen Anspruch auf Schutz vor Veröffentlichung von bereits öffentlichen Daten. Daneben lag eine Einwilligung des Klägers auch hinsichtlich der Verarbeitung seiner Telefonnummer im Rahmen der Auffindbarkeitseinstellungen vor. Dass die Beklagte die Telefonnummer des Klägers Dritten zugänglich gemacht habe, behauptet der Kläger schon nicht (Antrag 3 a). Was die Unterlassung einer Verwendung der Telefonnummer anbelangt, liegt es jederzeit in der Hand des Klägers, dies in den Einstellungen zu ändern. Dass die Beklagte entgegen der von einem Nutzer getroffenen Einstellungen Telefonnummern freigibt oder anderweitig nutzt, hat der Kläger nicht behauptet. Was die Verletzung von Art. 17 DSGVO angeht, muss festgestellt werden, dass der Kläger eine Löschung der streitgegenständlichen Daten auf Seiten der Beklagten (Art. 17 DSGVO) bereits nicht geltend gemacht.

Sofern der Kläger einen Unterlassungsanspruch auf §§ 1004 Abs. 1 S. 2 analog, 823 Abs. 2 BGB i.V.m. Art. 13, 14 DSGVO stützt, kann hinsichtlich der mangelnden Verletzung der DSGVO durch die Beklagte auf die obigen Ausführungen verwiesen werden.

Der Kläger hat auch keinen Anspruch auf eine weitergehende Auskunft gemäß Art. 15 DSGVO. Mit Schreiben vom 18.07.2022 hat die Beklagte dem Kläger Auskunft über die von ihr verarbeiteten Daten in angemessener Weise zur Verfügung gestellt. Welche Daten des Klägers abgegriffen worden sind, ist der Klägerseite - wie sich aus dem Schriftsatz vom 6.4.2022 ergibt - bereits bekannt, sodass auch diesbezüglich keine weitergehende Auskunftspflicht bestehen kann. Soweit der Kläger ferner Auskunft über die Empfänger der „Scraping-Daten“ verlangt, scheitert ein Anspruch an der von Seiten der Beklagten dem Gericht glaubhaft gemachten Auskunft, sie sei zu weiteren Informationen nicht imstande.

Der Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten sowie der Zinsanspruch teilen das Schicksal der Hauptforderungen.

III. Die Kostenentscheidung richtet sich nach § 91 Abs. 1 ZPO.

Die Entscheidung über die vorläufige Vollstreckbarkeit richtet sich nach § 709 ZPO.

Rechtsbehelfsbelehrung:

Gegen dieses Urteil ist das Rechtsmittel der Berufung für jeden zulässig, der durch dieses Urteil in seinen Rechten benachteiligt ist,

1. wenn der Wert des Beschwerdegegenstandes 600,00 EUR übersteigt oder

2. wenn die Berufung in dem Urteil durch das Landgericht zugelassen worden ist.

Die Berufung muss innerhalb einer Notfrist von einem Monat nach Zustellung dieses Urteils schriftlich bei dem Oberlandesgericht Düsseldorf, Cecilienallee 3, 40474 Düsseldorf, eingegangen sein. Die Berufungsschrift muss die Bezeichnung des Urteils (Datum des Urteils, Geschäftsnummer und Parteien) gegen das die Berufung gerichtet wird, sowie die Erklärung, dass gegen dieses Urteil Berufung eingelegt werde, enthalten.

Die Berufung ist, sofern nicht bereits in der Berufungsschrift erfolgt, binnen zwei Monaten nach Zustellung dieses Urteils schriftlich gegenüber dem Oberlandesgericht Düsseldorf zu begründen.

Die Parteien müssen sich vor dem Oberlandesgericht Düsseldorf durch einen Rechtsanwalt vertreten lassen, insbesondere müssen die Berufungs- und die Berufungsbegründungsschrift von einem solchen unterzeichnet sein.

Mit der Berufungsschrift soll eine Ausfertigung oder beglaubigte Abschrift des angefochtenen Urteils vorgelegt werden.

Hinweis zum elektronischen Rechtsverkehr:

Die Einlegung ist auch durch Übertragung eines elektronischen Dokuments an die elektronische Poststelle des Gerichts möglich. Das elektronische Dokument muss für die Bearbeitung durch das Gericht geeignet und mit einer qualifizierten elektronischen Signatur der verantwortenden Person versehen sein oder von der verantwortenden Person signiert und auf einem sicheren Übermittlungsweg gemäß § 130a ZPO nach näherer Maßgabe der Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (BGBl. 2017 I, S. 3803) eingereicht werden. Auf die Pflicht zur elektronischen Einreichung durch professionelle Einreicher/innen ab dem 01.01.2022 durch das Gesetz zum Ausbau des elektronischen Rechtsverkehrs mit den Gerichten vom 10. Oktober 2013, das Gesetz zur Einführung der elektronischen Akte in der Justiz und zur weiteren Förderung des elektronischen Rechtsverkehrs vom 5. Juli 2017 und das Gesetz zum Ausbau des elektronischen Rechtsverkehrs mit den Gerichten und zur Änderung weiterer Vorschriften vom 05.10.2021 wird hingewiesen.

100

Weitere Informationen erhalten Sie auf der Internetseite www.justiz.de.

101

Durch Beschluss vom 28.03.2023 wurde gemäß § 320 ZPO der Tatbestand des Urteils teilweise berichtigt.