Oberlandesgericht Düsseldorf, 16 U 184/23

G r ü n d e

Der Kläger verfolgt in der Berufungsinstanz gegen die Beklagte zuletzt noch Ansprüche gerichtet auf Schadensersatz, auf die Feststellung zukünftiger Ersatzpflicht, auf Auskunft, auf Unterlassung sowie auf Erstattung vorgerichtlicher Rechtsanwaltskosten aufgrund angenommener Datenschutzverstöße der Beklagten im Zusammenhang mit einem sogenannten Datenabgriff („Scraping“) in dem von der Beklagten betriebenen sozialen Netzwerk A.

Der Kläger nutzt seit vielen Jahren einen A.-Account, der mit seiner E-Mail-Adresse „00000@00.com“ verknüpft ist. Bei seiner Anmeldung bei A. machte er von der fakultativen Möglichkeit Gebrauch, dort auch seine Mobilfunknummer zu hinterlegen. Eine solchermaßen zum Profil hinzugefügte Mobilfunknummer ließ sich von allen auf A. registrierten Nutzern auch dann suchen, wenn sie von dem die Telefonnummer einstellenden A.-Nutzer in der für andere Nutzer eröffneten Zielgruppenauswahl nicht als „öffentlich“ und damit als für andere im Grundsatz nicht sichtbar eingestellt war. Die Standardeinstellungen auf der A.-Plattform der Beklagten sahen in der sogenannten Suchbarkeitseinstellung bis zu einer späteren Änderung durch die Beklagte eine Suchbarkeit durch „alle“ vor. Des Weiteren bestand für A.-Nutzer über die sogenannte „Kontakt-Import-Funktion“, mit der es möglich war, Telefonkontakte vom Smartphone in den sogenannten Messenger von A. hochzuladen, die Möglichkeit, diejenigen Kontakte zu finden und mit ihnen auf A. in Verbindung zu treten, die auf der A.-Plattform unter Angabe ihrer Rufnummer ebenfalls registriert waren. Um eine Suchbarkeit über die Suchfunktion auf der Plattform und über die Kontakt-Import-Funktion auszuschließen oder einzuschränken, war es ursprünglich erforderlich, die A.-Standardeinstellungen zu ändern.

Aus der Suchfunktion auf der Plattform sowie aus der Kontakt-Import-Funktion ergab sich die technische Möglichkeit, eine Vielzahl von Ziffernfolgen nach Art gängiger Rufnummernformate zu nutzen, um auf der A.-Plattform nach dazu passenden Nutzern zu suchen. Stimmte eine generierte Nummer mit der hinterlegten Mobilfunknummer eines Nutzers überein, so wurden dessen öffentliche Nutzerinformationen der eingegebenen Nummer zugeordnet und abgerufen. Ab Januar 2018 kam es durch Unbekannte unter Nutzung dieser Möglichkeit zu einem massenhaften Abgriff von Daten von A.-Accounts, von dem auch der Kläger betroffen war. Im Jahr 2021 tauchten abgegriffene Daten im Internet auf. Die Beklagte bestätigte dem Kläger mit einem Schreiben vom 18. Juli 2022 (Anlage B16, Bl. 49 - 72 Anlagenband Beklagte), dass nach ihren Informationen durch das Scraping von den Einzeldaten des Klägers die „Nutzer ID“, der Vor- und Nachname sowie das Geschlecht abgeschöpft worden seien.

Von einer weitergehenden Darstellung des Tatbestands wird gemäß § 540 Abs. 2, § 313a Abs. 1 Satz 1 ZPO abgesehen, weil ein Rechtsmittel gegen die Entscheidung gemäß § 543, § 544 Abs. 2 Nr. 1 ZPO nicht zulässig ist.

II.

Die Berufung des Klägers ist zulässig und hat in dem aus dem Tenor ersichtlichen Umfang teilweise Erfolg.

Die auch in der Berufungsinstanz von Amts wegen zu prüfende internationale Zuständigkeit der deutschen Gerichte folgt aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 Satz 1 DSGVO, weil der Kläger als betroffene Person seinen gewöhnlichen Aufenthalt in Deutschland hat und die Datenschutz-Grundverordnung nach dem Vorbringen der Parteien in zeitlicher, sachlicher und räumlicher Hinsicht anwendbar ist.

Der zeitliche Anwendungsbereich der gemäß Art. 99 Abs. 2 DSGVO am 25. Mai 2018 in Geltung getretenen Datenschutz-Grundverordnung ist eröffnet. Zwischen den Parteien war erstinstanzlich gemäß § 138 Abs. 3 ZPO unstreitig, dass der Kläger erst im Jahr 2019 und damit zur Zeit der Geltung der Datenschutz-Grundverordnung von möglichen Datenschutzverstößen der Beklagten durch das Abschöpfen seiner eigenen personenbezogenen Daten betroffen war. Dem entsprechenden Vorbringen des Klägers ist die Beklagte nicht entgegengetreten. Soweit sie den Zeitpunkt der Betroffenheit des Klägers erstmals zum Ende der Berufungsinstanz in Abrede stellt, kann sie hiermit gemäß § 531 Abs. 2 Satz 1 Nr. 3 ZPO nicht mehr gehört werden, weil sie nicht dargelegt hat, warum sie diesen Vortrag nicht schon in erster Instanz hätten halten können.

Der sachliche Anwendungsbereich der Datenschutz-Grundverordnung ist ebenfalls eröffnet. Gemäß Art. 2 Abs. 1 DSGVO gilt die Datenschutz-Grundverordnung unter anderem für die automatisierte Verarbeitung personenbezogener Daten. Bei den hier im Fokus stehenden Daten des Klägers, die sich in dem sogenannten Leak-Datensatz („„000000,000000000,Nilas,Moellenkamp,male,Düsseldorf, Germany,Osnabrück, Germany,,BNP B.,1/3/2018 12,00,00 AM“) wiederfinden, handelt es sich um solche personenbezogenen Daten, weil sie sich gemäß der Definition in Art. 4 Nr. 1 DSGVO auf eine identifizierte – betroffene – Person beziehen. Diese Daten wurden, jedenfalls soweit es um die Angaben der Mobilfunknummer, der A.-ID, des Vor- und Nachnamens sowie das Geschlecht ging, von der Beklagten im Rahmen des von ihr betriebenen sozialen Netzwerks A. automatisiert verarbeitet.

Schließlich ist auch der räumliche Anwendungsbereich der Datenschutz-Grundverordnung eröffnet. Gemäß Art. 3 Abs. 1 DSGVO findet die Datenschutz-Grundverordnung auf die Verarbeitung personenbezogener Daten Anwendung, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der Europäischen Union erfolgt. Bei der Beklagten handelt es sich um ein Unternehmen nach dem Recht der irischen Republik mit Sitz in Irland, mithin mit einer Niederlassung innerhalb der Europäischen Union. Da die Beklagte das soziale Netzwerk A. für Nutzer in der Europäischen Union betreibt, ist sie auch Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.

Neben der DSGVO ist auf das Rechtsverhältnis der Parteien gemäß Art. 3 Abs. 1, Art. 6 Abs. 2 Rom I-VO deutsches Recht anwendbar, weil die Parteien dies mit den Nutzungsbedingungen der Beklagten so vereinbart haben.

Der auf Ersatz eines immateriellen Schadens gerichtete Klageantrag zu 1. ist zwar zulässig, jedoch unbegründet. Dem Kläger steht gegen die Beklagte kein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO nebst Zinsen ab Rechtshängigkeit zu.

Entgegen der Ansicht der Beklagten begegnet der Antrag nicht schon Bestimmtheitsbedenken. Wie der Kläger klargestellt hat, stützt er sein Klagebegehren nicht auf eine unzulässige Häufung alternativer Klagegründe oder Streitgegenstände. Vielmehr geht es ihm um den Ersatz eines immateriellen Schadens, der sich aus mehreren Datenschutzverstößen der Beklagten ergeben haben soll. Insoweit nimmt der Kläger auf den einen von ihm beschriebenen Scraping-Vorfall Bezug, von dem er im Jahr 2019 betroffen war. Damit liegt dem geltend gemachten Schadensersatzanspruch aber ein eindeutig abgrenzbarer, einheitlicher Lebenssachverhalt und damit ein einheitlicher Streitgegenstand zugrunde (siehe BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 18).

Da es bei Klagen, die auf Ersatz immaterieller Schäden gerichtet sind, keiner Bezifferung des Anspruchs bedarf, sondern vielmehr ausreicht, wenn vom Kläger eine Mindestvorstellung mitgeteilt wird, auf die sich der Ersatzbetrag belaufen soll, konnte der Kläger seinen Antrag auch wie geschehen unter Nennung eines Mindestbetrags formulieren.

Der zulässige Antrag ist jedoch unbegründet. Gemäß Art. 82 Abs. 1 DSGVO setzt ein Schadensersatzanspruch nach dieser Vorschrift einen Verstoß des Verantwortlichen gegen die Datenschutz-Grundverordnung, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus (vgl. auch EuGH, Urteile vom 4. Mai 2023 – C-300/21, ZIP 2023, 1244, 1246, Rn. 32, und vom 25. Januar 2024 – C-687/21, DB 2024, 519, 523, Rn. 58). Die Beklagte hat zwar gegen die Datenschutz-Grundverordnung verstoßen, der Kläger hat jedoch dadurch keinen ersatzfähigen immateriellen Schaden erlitten. Einen ihm durch Datenschutzverstöße der Beklagten entstandenen materiellen Schaden macht der Kläger nicht geltend.

aa)

Der von Art. 82 Abs. 1 DSGVO für einen Schadensersatzanspruch verlangte Verstoß gegen die Datenschutz-Grundverordnung liegt vor. Dabei kann hier dahinstehen, ob jeder Verstoß gegen materielle oder formelle Bestimmungen der Datenschutz-Grundverordnung oder erst eine verordnungswidrige Datenverarbeitung im Sinne von Art. 82 Abs. 2 Satz 1 DSGVO einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründen kann (siehe zum Meinungsstreit OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, juris, Rn. 381 ff.). Da die Beklagte – wie noch auszuführen ist – personenbezogene Daten des Klägers ohne die nach Art. 6 Abs. 1 DSGVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die Datenschutz-Grundverordnung, sondern auch eine verordnungswidrige Datenverarbeitung vor.

(1)

Gemäß Art. 4 Nr. 2 DSGVO fällt unter den Begriff der Datenverarbeitung neben der Offenlegung durch Übermittlung und Verbreitung auch jede andere Form der Bereitstellung personenbezogener Daten. Die auf der A.-Plattform der Beklagten vormals technisch mögliche Suche des Nutzerprofils des Klägers anhand seiner Mobilfunknummer – die ungeachtet der Ungewissheiten über den exakten Ablauf des Scraping-Vorfalls zwischen den Parteien unstreitig ist – stellte eine von der Beklagten ermöglichte Form der Bereitstellung von personenbezogenen Daten des Klägers dar. Die Suchfunktionalität oder Suchbarkeit ermöglichte es anderen Nutzern, das Nutzerprofil des Klägers mit dessen öffentlichen Profildaten mittels Such- oder Kontakt-Import-Funktion anhand seiner Mobilfunknummer zu finden. Den unbekannten „Scrapern“ ermöglichte diese Funktionalität, das Nutzerprofil des Klägers anhand von Nummernfolgen nach Art von Telefonnummern, bei denen es sich mangels Kenntnis von der Telefonnummerneigenschaft einer bestimmten Person zunächst noch nicht um personenbezogene Daten handelte, zu finden und die den Suchtreffer auslösende Ziffernfolge als Mobilfunknummer zu identifizieren und dem Kläger zuzuordnen sowie mit seinen weiteren öffentlichen Nutzerprofildaten nach Art des Leak-Datensatzes zu verknüpfen.

(2)

Gemäß Art. 6 Abs. 1 Unterabs. 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der dort genannten Voraussetzungen beziehungsweise Rechtsgrundlagen für die Verarbeitung vorliegt. Die Darlegungs- und Beweislast für eine rechtmäßige Datenverarbeitung trägt nach Art. 5 DSGVO der Verantwortliche (EuGH, Urteil vom 4. Juli 2023 – C-252/21, juris, Rn. 95), hier also die Beklagte. Danach war die Datenverarbeitung rechtswidrig. Für die Funktionalität, welche die Suchbarkeit des Nutzerprofils des Klägers anhand der Mobilfunknummer ermöglichte, hat die Beklagte keine der Rechtmäßigkeitsbedingungen nach Art. 6 Abs. 1 Unterabs. 1 DSGVO dargelegt.

(a)

Die Beklagte beruft sich als Rechtsgrundlage für die Suchbarkeit des Nutzerprofils des Klägers anhand seiner Mobilfunknummer auf Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Erfüllung eines Vertrags erforderlich ist. Die Beklagte vertritt insofern die Auffassung, dass die Suchbarkeit des Nutzerprofils des Klägers anhand seiner Mobilfunknummer für die Erfüllung des Hauptzwecks des mit dem Kläger geschlossenen Nutzungsvertrags, die gegenseitige Auffindbarkeit der Nutzer untereinander zwecks Vernetzung miteinander zu ermöglichen, erforderlich gewesen sei. Wörtlich führt sie hierzu in der Berufungserwiderung aus (Bl. 278 GA OLG):

„Der zwischen den Parteien geschlossene Nutzervertrag bezieht sich auf die Bereitstellung der A.-Plattform als soziales Netzwerk. Einem solchen sozialen Netzwerk ist es immanent, dass die einzelnen Nutzer (so auch die Klagepartei) Freunde und generell ihnen bekannte Personen finden und sich miteinander vernetzen können. Solche Verknüpfungen werden durch die Verwendung von Funktionen, wie der Kontakt-Importer-Funktion, hergestellt, die, wie im Hilfebereich und in der Datenrichtlinie erläutert, die Telefonnummern von Nutzern erfordern. Die Kontakt-Importer-Funktion ist deswegen ein für Nutzer der A.-Plattform wesentliches Tool. Die Daten werden mithin für die Erfüllung des Nutzervertrags auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b) DSGVO erhoben. Eine Einwilligung i.S.v. Art. 6 Abs. 1 S. 1 lit. a) DSGVO ist in diesem Fall weder relevant noch eine Voraussetzung für die rechtmäßige Datenverarbeitung.“

Entgegen der Ansicht der Beklagten lagen die Voraussetzungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO jedoch nicht vor (siehe OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris, Rn. 94 ff.). Die in Art. 6 Abs. 1 Unterabs. 1 Buchst. a bis f DSGVO vorgesehenen Rechtfertigungsgründe sind eng auszulegen (EuGH, Urteil vom 4. Juli 2023 – C-252/21, juris, Rn. 93). Die Verarbeitung personenbezogener Daten ist zur Erfüllung eines Vertrags im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO erforderlich, wenn die Datenverarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne die Datenverarbeitung nicht erfüllt werden könnte. Der Umstand, dass die Datenverarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, genügt nicht. Entscheidend ist, dass die Datenverarbeitung des Verantwortlichen für die ordnungsgemäße Erfüllung des mit dem Betroffenen geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen (EuGH, Urteil vom 4. Juli 2023 – C-252/21, juris, Rn. 98 f. und 125).

Nach diesen Maßgaben war die Suchbarkeit des Nutzerprofils des Klägers anhand seiner Mobilfunknummer nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO (so auch OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris, Rn. 94 ff., OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, juris, Rn. 502 ff.). Die Suchbarkeit der Nutzerprofile anhand der Mobilfunknummer war zur Erfüllung des von der Beklagten angeführten Hauptzwecks des Nutzervertrags – die gegenseitige Auffindbarkeit zwecks Vernetzung – nicht unerlässlich. Vielmehr konnten sich die Nutzer gegenseitig zum Beispiel auch über ihre Namen finden (siehe OLG Dresden, Urteil vom 5. Dezember 2023 – 4 U 1094/23, juris, Rn. 34; OLG Oldenburg, Urteil vom 21. Mai 2024 – 13 U 100/23, juris, Rn. 29). Gerade um der entsprechenden Suchmöglichkeit willen ist der Nutzername auf der Plattform A. stets öffentlich einsehbar. Dass die Suchbarkeit über die Mobilfunknummer nach der eigenen Bewertung der Beklagten daneben nicht erforderlich war, zeigt sich daran, dass eine Telefonnummer nicht zu den Pflichtangaben zählte, die im Rahmen der Erstanmeldung bei A. anzugeben waren. Vielmehr war die Angabe einer Telefonnummer durch die A.-Nutzer fakultativ. Darüber hinaus konnte die standardmäßige Voreinstellung der Suchbarkeit auch nach der Telefonnummer der Nutzer von diesen abgewählt werden. Die Beklagte hat jene die Telefonnummern betreffende Suchfunktionalität später auch eingeschränkt.

(b)

Das Vorliegen anderer Rechtsgrundlagen für die Suchbarkeit des Nutzerprofils des Klägers anhand seiner Mobilfunknummer führt die Beklagte nicht an. Sie sind hier auch nicht ersichtlich (siehe OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris, Rn. 104 ff.). Insbesondere hat der Kläger nicht in informierter Weise und unmissverständlich gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO seine Einwilligung in die betreffende Datenverarbeitung erteilt. Das hätte vorausgesetzt, dass die Beklagte den Kläger transparent über die Suchbarkeit des Nutzerprofils anhand der Mobilfunknummer informiert hätte. Das ist jedoch weder dargelegt noch ersichtlich. Die geänderten Nutzungsbedingungen der Beklagten vom 19. April 2018, denen der Kläger zustimmen musste, enthielten ebenso wenig Informationen über die Suchbarkeit des Nutzerprofils anhand der Mobilfunknummer wie die Datenrichtlinie, auf welche die Nutzungsbedingungen Bezug nahmen. Schließlich folgte auch aus der Verlinkung der Privatsphäre-Einstellungen in den Nutzungsbedingungen sowie den Privatsphäre-Tools und Hilfebereichsseiten der Plattform keine transparente Information über die Suchbarkeit anhand der Mobilfunknummer. Der Kläger musste sich mit diesen Informationsmöglichkeiten nicht befassen, sondern durfte wegen Art. 25 Abs. 2 Satz 1 und 3 DSGVO darauf vertrauen, dass die Beklagte die jeweils datenschutzfreundlichsten Voreinstellungen gewählt hatte, die gewährleisteten, dass seine Telefonnummer ohne sein Zutun nur dem kleinstmöglichen Empfängerkreis zugänglich gemacht werden würde (siehe OLG Oldenburg, Urteil vom 14. Mai 2024 – 13 U 114/23, juris, Rn. 22 ff.).

bb)

Es kommt in diesem Zusammenhang für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auch nicht darauf an, ob der Beklagten wegen des die Mobilfunknummer erfassenden Datenverarbeitungsvorgangs über den einen festgestellten Datenschutzverstoß hinaus noch weitere Datenschutzverstöße anzulasten sind. Das Vorliegen mehrerer Datenschutzverstöße durch ein und denselben Verarbeitungsvorgang bleibt auf die Höhe eines etwaigen Schadensersatzanspruchs ohne Auswirkungen (siehe EuGH, Urteil vom 11. April 2024 – C-741/21, juris, Rn. 64 f.).

cc)

Dem Kläger ist jedoch infolge des Datenschutzverstoßes der Beklagten kein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO entstanden.

(1)

Der Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DSGVO ist in Ermangelung eines in der Vorschrift enthaltenen Verweises auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu bestimmen. Maßgeblich ist danach das Begriffsverständnis, wie es in der Rechtsprechung des Gerichtshofs der Europäischen Union ausgeformt worden ist. Zwar soll nach Erwägungsgrund 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen der Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr ist darüber hinaus der Eintritt eines Schadens durch diesen Verstoß erforderlich.

Ein haftungsbegründender immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO kann jedoch nach der Rechtsprechung des Gerichtshofs schon in dem – selbst kurzzeitigen – Verlust der Kontrolle über personenbezogene Daten liegen, ohne dass der Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Insofern schließt sich der Senat nach nochmaliger eigener Prüfung der Rechtsprechung des Gerichtshofs dem vom Bundesgerichtshof hierzu vertretenen Verständnis an (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 30). Unter einem Verlust der Kontrolle versteht der Senat dabei eine Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, weil sie etwa an ihm unbekannte Dritte oder ohne nennenswerte Eingrenzung preisgegeben sind. Das ist der Fall bei einem Scraping und bei einer Veröffentlichung der Daten im Internet, aber noch nicht – beispielsweise – bei einer Weitergabe der Telefonnummer an bestimmte Empfänger oder ihre Verwendung zur Zwei-Faktor-Authentifizierung bei Nutzung von Benutzerkonten (Accounts). In einem solchen Fall sind die Daten noch nicht allgemein veröffentlicht (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 41).

(2)

Eine Situation des Kontrollverlusts hat der Kläger im Hinblick auf seine Mobilfunknummer und ihre Verknüpfung mit seiner A.-ID, seinem Vor- und Nachnamen sowie Geschlecht dargelegt. Insofern reicht es aus, wenn ein Betroffener eine Veröffentlichung seiner Daten im Internet vorträgt und angibt, diese Daten nicht zuvor in einer vergleichbaren Weise allgemein veröffentlicht zu haben (siehe BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 39 ff.). Einen solchen Vortrag hat der Kläger hinsichtlich der vorgenannten Daten gehalten. Soweit sich der Kläger in seinen erst- und zweitinstanzlichen Anträgen darüber hinaus auch auf das Geburtsdatum bezieht, ist er entsprechenden schriftsätzlichen Vortrag schuldig geblieben. Ein bereits zuvor eingetretener Kontrollverlust ergibt sich nicht daraus, dass der Kläger im Rahmen seiner informatorischen Anhörung in erster Instanz angegeben hat, seine Mobilfunknummer für Bestellungen im Internet zielgerichtet weitergegeben zu haben. Der Abgriff der Daten war in erster Instanz zudem ebenso unstreitig wie eine Veröffentlichung im Internet im Jahr 2021.

Zwar hat der Kläger seinen Vor- und Nachnamen sowie sein Geschlecht auf seinem für jedermann sichtbaren A.-Profil eingestellt. Auch war auf der betreffenden Profilseite die A.-ID des Klägers zu finden. Für die Mobilfunknummer galt dies nach seinem Vortrag jedoch nicht. Auch war diese nach seinem Vorbringen nicht schon zuvor im Internet für jedermann sichtbar mit den übrigen genannten Daten verknüpft. Daraus folgt, dass für die erstgenannten Daten ein Kontrollverlust durch den Datenabgriff und die Veröffentlichung sowohl singulär als auch in ihrer Verknüpfung ausscheidet. Denn diese Daten waren schon zuvor – bei A. – allgemein zugänglich im Internet veröffentlicht, wobei dem Kläger das bei lebensnaher Betrachtung nicht nur klar war, sondern womit er im Sinne einer Einwilligung gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO auch ersichtlich einverstanden war, weil er – so ist sein Verhalten zu verstehen – eine Veröffentlichung in Form des von ihm gestalteten A.-Profils gerade wollte. Dasselbe gilt für die weiteren Profildaten Wohnort und Arbeitgeber, auf die sich nach der Behauptung des Klägers der Datenabgriff auch erstreckt haben soll.

Allerdings hat die Beklagte bestritten, dass der Kläger die Kontrolle über seine Mobilfunknummer und ihre Verknüpfung mit den weiteren von ihr als abgegriffen eingeräumten Daten erst mit dem Datenabgriff verloren hat. Dieser Vortrag genügte auch den Anforderungen an ein in diesem Fall zu forderndes qualifiziertes Bestreiten. Die vom Kläger behauptete negative Tatsache, die Kontrolle über die Daten nicht schon zuvor verloren zu haben, sie insbesondere nicht bereits allgemein veröffentlicht zu haben, kann nur mit der konkreten Angabe bestritten werden, wodurch ein Kontrollverlust schon zuvor eingetreten sein soll (vgl. zu dieser sekundären Darlegungslast BGH, Urteile vom 11. Oktober 2007 – IX ZR 105/06, juris, Rn. 12, und vom 8. Januar 2019 – II ZR 139/17, juris, Rn. 31; auch BAG, Urteil vom 16. Dezember 2021 – 2 AZR 356/21, juris, Rn. 31 ff.). Ausgehend hiervon hat die Beklagte in zweiter Instanz ihrer sekundären Darlegungslast genügt, in dem sie vorgetragen hat, der Kläger habe durch das Scraping keinen Kontrollverlust erlitten, weil er seine Telefonnummer bereits zuvor auf zwei Webseiten veröffentlicht habe, zum einen auf https://www.0000000 und zum anderen auf https://www.0000000. Dem ist der Kläger nur insoweit entgegengetreten, als er bei seiner informatorischen Anhörung vor dem Landgericht erklärt hat, die erste Veröffentlichung sei erst ein halbes Jahr vor seiner Anhörung, also Anfang 2023 erfolgt, da er erst seitdem für diesen Arbeitgeber arbeite. Zu der zweiten Veröffentlichung hat sich der Kläger jedoch schon nicht eingelassen und sie damit gemäß § 138 Abs. 3 ZPO unstreitig gestellt.

(3)

Zwar stellen mit einem Kontrollverlust verbundene negative Gefühle wie Ängste und Befürchtungen sowie in der Auseinandersetzung mit dem Scraping-Vorfall und dem Schutz vor künftigem Datenmissbrauch aufgewandte Zeit und Mühe Umstände dar, die einen bereits mit dem reinen Kontrollverlust eingetretenen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO vertiefen oder vergrößern können (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 31, 35 und 45). Das gilt jedenfalls dann, wenn sie über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 101). Auch eine etwaige psychische Belastung durch Spam-Anrufe und Spam-SMS, die auf den Kontrollverlust zurückzuführen sind, können den immateriellen Schaden vergrößern.

Da jedoch - wie ausgeführt wurde – schon nicht festgestellt werden kann, dass der Kläger durch den Scraping-Vorfall einen Kontrollverlust erlitten hat, stellt sich auch nicht die Frage, ob beim Kläger die vorgenannten Folgen eines Kontrollverlusts eingetreten sind, weil diese Folgen dann jedenfalls nicht kausal auf den Scraping-Vorfall zurückzuführen sind.

Der auf die Feststellung der Ersatzpflicht für zukünftige materielle Schäden gerichtete Klageantrag zu 2. ist mangels Feststellungsinteresses unzulässig.

Wie der Senat bereits in der Vergangenheit entschieden hat, ist die bloße Möglichkeit des künftigen Eintritts materieller Schäden zum Maßstab für die Annahme des gemäß § 256 Abs. 1 ZPO erforderlichen Feststellungsinteresses zu nehmen. Eine darüber hinausgehende Schadenswahrscheinlichkeit ist nicht erforderlich. Die Möglichkeit zukünftiger Schäden reicht im vorliegenden Fall aus, weil es nicht um reine Vermögensschäden geht, sondern um Schäden, die aus der vom Kläger behaupteten Verletzung seines Rechts auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, mithin seines allgemeinen Persönlichkeitsrechts als einem sonstigen absolut geschützten Rechtsgut im Sinne von § 823 Abs. 1 BGB, resultieren. Auch die hier primär herangezogene Vorschrift des Art. 82 Abs. 1 DSGVO hat, soweit – wie hier – auch eine unrechtmäßige Datenverarbeitung gerügt wird, eine Verletzung des Rechts auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh zum Inhalt. Dabei kann die Möglichkeit ersatzpflichtiger zukünftiger Schäden ohne Weiteres zu bejahen sein, wenn ein deliktsrechtlich geschütztes absolutes Rechtsgut verletzt wurde und dadurch bereits ein Schaden eingetreten ist (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 48).

Nach diesen Maßgaben fehlt es am Feststellungsinteresse, da es nicht möglich erscheint, dass der Kläger etwaige zukünftige Schäden kausal auf den Scraping-Vorfall wird zurückführen können, weil er seine Telefonnummer – wie ausgeführt wurde – schon vor dem Scraping-Vorfall auf LinkedIn veröffentlicht hatte und immer noch dort und an anderer Stelle veröffentlicht.

Der von dem Kläger mit der Berufung weiterverfolgte, auf Art. 15 Abs. 1 DS-GVO gestützte Auskunftsanspruch ist mit den Erklärungen der Beklagten in deren Schreiben vom 18. Juli 2022 jedenfalls gemäß § 362 Abs. 1 BGB durch Erfüllung erloschen. Auch hier ist es in Ermangelung unionsrechtlicher Vorschriften Sache der innerstaatlichen Rechtsordnung, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe unter Beachtung des Äquivalenz- und Effektivitätsprinzips festzulegen. Erfüllt im Sinne von § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen (BGH, Urteil vom 15. Juni 2021 – VI ZR 576/19, juris, Rn. 19). Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen (BGH, a.a.O.). Danach hat die Beklagte die begehrte Auskunft mit ihrem Schreiben vom 18. Juli 2022 vollständig erteilt. Soweit der Kläger die abweichende Auffassung vertritt, die Beklagte müsse noch die „Scraper“ konkret benennen, verkennt er, dass diese der Beklagten nach deren Vorbringen nicht bekannt sind. Schon aus diesem Grund steht die fehlende Nennung der „Scraper“ der Erfüllungswirkung des Schreibens vom 18. Juli 2022 nicht entgegen.

Die vom Kläger mit den Berufungsanträgen zu 4. und 5. weiterverfolgten Unterlassungsklageanträge sind in der vom Kläger zuletzt zur Entscheidung gestellten Form nur zum Teil zulässig und begründet.

Während der mit dem Berufungsantrag zu 4. weiterverfolgte Klageantrag bereits den Bestimmtheitsanforderungen des § 253 Abs. 2 Nr. 2 ZPO nicht genügt, ist dies bei dem mit dem Berufungsantrag zu 5. weiterverfolgten Klageantrag noch der Fall.

aa)

Ein Klageantrag ist hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Ein Unterlassungsantrag darf nicht derart undeutlich gefasst sein, dass die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsverfahren überlassen bleibt (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 52.

Eine hinreichende Bestimmtheit ist bei einem Unterlassungsantrag für gewöhnlich gegeben, wenn eine Bezugnahme auf die konkrete Verletzungsform erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll. Die Verwendung auslegungsbedürftiger Begriffe im Klageantrag ist zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungsform ausrichtet (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 53).

bb)

Gemessen hieran ist der mit dem Berufungsantrag zu 4. weiterverfolgte Klageantrag, mit dem der Kläger begehrt, dass die Beklagte es unterlasse, nichtöffentliche personenbezogene Daten der Klägerseite i.S.d. Art. 4 Nr. 1 DSGVO, namentlich die Telefonnummer, Dritten, die aufgrund einer von der Beklagten gesetzten Voreinstellung personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer oder sonstige nichtöffentliche Datenpunkte, Dritten, die nicht aufgrund eines Vertrages oder Gesetzes gegenüber der Beklagten hierzu berechtigt sind, namentlich Hackern und/oder Scrapern, über eine Software zum Importieren von Kontakten zugänglich zu machen, wie geschehen anlässlich des sogenannten A.-Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand, nicht hinreichend bestimmt. So lässt der Antrag offen, welche Voreinstellung gemeint ist, die die Beklagte unterlassen soll. Auch in Verbindung mit dem Klägervorbringen lässt sich diese Frage nicht eindeutig beantworten. In der Klageschrift hat zwar der Kläger ausgeführt, dass die von der Beklagten voreingestellte Suchbarkeit der Telefonnummer für den streitgegenständlichen Scrapingvorfall von besonderer Relevanz sei. Aufgrund dieser Voreinstellung könne jemand, der die Telefonnummer bereits kenne, anhand der Telefonnummer die öffentlichen Profildaten des Nutzers auffinden. Diese Voreinstellung der Suchbarkeit anhand der Telefonnummer kann aber von dem Berufungsantrag zu 4. nicht gemeint sein, weil danach die nicht näher bezeichnete Voreinstellung – geradezu umgekehrt – die Scraper in die Lage versetzen sollte, sich den Zugang zu der nichtöffentlichen Telefonnummer und sonstigen nichtöffentlichen Datenpunkten des Klägers zu verschaffen.

cc)

Der mit dem Berufungsantrag zu 5. weiterverfolgte Unterlassungsantrag ist hingegen trotz seiner weiten Formulierung hinreichend bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO.

Er lässt sich unter Heranziehung des Klagevorbringens und unter Berücksichtigung der vom Kläger im Verlauf des Verfahrens vorgenommenen Umformulierung dahingehend auslegen, dass der Kläger ein Unterlassen jeglicher Verarbeitung seiner Telefonnummer durch die Beklagte begehrt, die über die notwendige Verarbeitung für die Zwei-Faktor-Authentifizierung hinausgeht (siehe auch BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 62). Er verlangt, dass die Beklagte die Telefonnummer des Klägers im Übrigen nicht auf Basis einer vom Kläger erteilten Einwilligung weiterverarbeitet, da diese Einwilligung nach dem Verständnis des Klägers unwirksam ist, weil ihm das Ausmaß der Datenverarbeitung betreffend seine Telefonnummer bei Erteilung der Einwilligung nicht verständlich war.

Der so verstandene Unterlassungsantrag ist hinreichend bestimmt, weil der Beklagten ohne Weiteres deutlich wird, für welche Zwecke sie die Telefonnummer des Klägers noch verarbeiten darf und für welche der Kläger die Unterlassung der Datenverarbeitung begehrt. Der Unterlassungsantrag konkretisiert darüber hinaus die inkriminierte Verletzungshandlung, nämlich die behauptete unrechtmäßige Verarbeitung auf Grundlage einer unwirksamen Einwilligung. Aus welchen Gründen die Einwilligung unwirksam sein soll, ergibt sich aus der weiteren Formulierung des Antrags. Nur zur Klarstellung für Fälle der Zwangsvollstreckung hat der Senat die zulässige Verarbeitung für Zwecke der Zwei-Faktor-Authentifizierung in den Unterlassungstenor aufgenommen.

Wollte man den mit dem Berufungsantrag zu 4. weiterverfolgten Klageantrag entgegen den vorstehenden Ausführungen dahin auslegen, dass damit der Beklagten hinreichend bestimmt auferlegt werden sollte, es zu unterlassen, die Suchbarkeit der Telefonnummer auf „alle“ voreinzustellen, fehlte diesem Klageantrag zudem das Rechtsschutzbedürfnis. Für den mit dem Berufungsantrag zu 5. weiterverfolgten Klageantrag besteht hingegen ein Rechtsschutzbedürfnis.

aa)

Das Rechtsschutzbedürfnis fehlt, wenn eine Klage oder ein Antrag objektiv schlechthin sinnlos ist, wenn also der Kläger oder Antragsteller unter keinen Umständen mit seinem prozessualen Begehren irgendeinen schutzwürdigen Vorteil erlangen kann. Das ist etwa der Fall, wenn ein einfacherer oder billigerer Weg zur Erreichung des Rechtsschutzziels besteht oder der Antragsteller kein berechtigtes Interesse an der beantragten Entscheidung hat. Dafür gelten jedoch strenge Maßstäbe (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 67). Gleichwohl stellt es einen einfacheren und billigeren Weg dar, wenn der Kläger sein Rechtsschutzziel auch durch einen Widerruf seiner Einwilligung nach Art. 7 Abs. 3 Satz 1 DSGVO erlangen kann (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 69).

bb)

Hiernach ist ein Rechtsschutzbedürfnis für den mit dem Berufungsantrag zu 4. weiterverfolgten Unterlassungsantrag zu verneinen, wenn man ihn so verstünde, dass damit der Beklagten auferlegt werden sollte, es zu unterlassen, die Suchbarkeit der Telefonnummer auf „alle“ voreinzustellen. Der Kläger könnte dieses Klageziel einfach und billiger erreichen, indem er die Suchbarkeitseinstellung auf „nur ich“ abänderte, weil er damit gegenüber der Beklagten den Widerruf seiner – möglicherweise ohnehin unwirksamen – Einwilligung zu der Suchbarkeit durch „alle“ erklären würde.

cc)

Hingegen hat der Kläger ein Rechtsschutzbedürfnis für den mit dem Berufungsantrag zu 5. weiterverfolgten Klageantrag. Sein Rechtsschutzbedürfnis entfällt nicht dadurch, dass er seine Telefonnummer aus dem Nutzerkonto selbst löschen könnte. Dadurch würde sich der Kläger der Möglichkeit begeben, seine Telefonnummer zur Zwei-Faktor-Authentifizierung für die Anmeldung in seinem Nutzerkonto zu verwenden. Auch die Möglichkeit des Klägers, die Suchbarkeits-Einstellung bezüglich der Telefonnummer auf „nur ich“ zu stellen, lässt sein Rechtsschutzbedürfnis nicht entfallen. Aus zwei vom Kläger im Verfahren vorgelegten Online-Informationen der Beklagten ergibt sich, dass die Beklagte seine Telefonnummer „möglicherweise“ noch für weitere Zwecke verwendet. So heißt es in einer Information zu „Handy-Einstellungen“ wie folgt: „Mit einer aktuellen Handynummer kannst du dein Passwort ganz einfach zurücksetzen und SMS-Benachrichtigungen erhalten. Zudem können wir dir und anderen verbesserte Werbung zeigen.“ Weitere mögliche Verwendungen ergeben sich aus einer Online-Information der Beklagten mit der Überschrift „Möglicherweise verwenden wir deine Mobilnummer für diese Zwecke“. Darin findet sich etwa ein Hinweis auf die Möglichkeit der Verwendung für Zwecke der personalisierten Werbung. Zwar hat die Beklagte hierzu vorgetragen, dass die in der betreffenden Information angegebenen Verwendungszwecke nicht auf alle Nutzer zuträfen. Sie hat dies aber entgegen ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO für die Einhaltung der Prinzipien des Art. 5 Abs. 1 DSGVO nicht näher ausgeführt, insbesondere nicht im Hinblick auf die konkrete Situation des Klägers ausgeschlossen, dass er davon betroffen sein könnte. Sie hat auch nicht erläutert, wie der Kläger insoweit über seine Einstellungen gegebenenfalls selbst einfach Abhilfe schaffen könnte.

Der mit dem Berufungsantrag zu 5. weiterverfolgte Unterlassungsantrag ist auch begründet. Dabei kann dahinstehen, ob sich ein Unterlassungsanspruch aus Vorschriften der DSGVO ergibt. Jedenfalls ergibt er sich für den Kläger gemäß § 280 Abs. 1, § 241 Abs. 2 BGB aus dem mit der Beklagten geschlossenen Nutzungsvertrag selbst. Aus der Verletzung von Vertragspflichten nach § 280 Abs. 1 BGB kann sich ein vorbeugender Unterlassungsanspruch ergeben, wenn, ebenso wie bei einem gesetzlichen Unterlassungsanspruch nach § 823 Abs. 1 BGB i.V.m. § 1004 Abs. 1 Satz 2 BGB analog, eine Erstbegehungs- beziehungsweise Wiederholungsgefahr besteht (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 83, mit Verweis u.a. auf BGH, Urteile vom 2. Mai 2024 – I ZR 12/23, juris, Rn. 14, vom 29. Juli 2021 – III ZR 179/20, juris, Rn. 102 f., und vom 8. November 2022 – II ZR 91/21, juris, Rn. 64). Hier hat die Beklagte mit der zum Datenabgriff führenden Datenverarbeitung Pflichten aus dem Nutzungsvertrag verletzt, weil eine rechtswirksame Einwilligung des Klägers in die mit der Suchfunktion verbundene Datenverarbeitung nicht vorgelegen hat. Die Verschuldensvermutung des § 280 Abs. 1 Satz 2 BGB hat die Beklagte nicht widerlegt.

Für die für den Unterlassungsanspruch notwendige Wiederholungsgefahr spricht nach der von der Beklagten begangenen Pflichtverletzung eine tatsächliche Vermutung (vgl. BGH, Urteil vom 29. Juli 2021 – III ZR 179/20, juris, Rn. 103). Dabei begründet die Verletzung einer Vertragspflicht die Vermutung für eine Wiederholungsgefahr nicht nur für identische Verletzungsformen, sondern auch für andere Vertragspflichtverletzungen, soweit die Verletzungshandlungen im Kern gleichartig sind (BGH, Urteil vom 29. Juli 2021 – III ZR 192/20, juris, Rn. 116 m.w.N.). Für eine Widerlegung dieser Vermutung ausreichende Anhaltspunkte, an die strenge Anforderungen zu stellen sind, hat die Beklagte nicht vorgetragen. Es ist nach den Erklärungen der Beklagten nicht auszuschließen, dass der Kläger noch von Verwendungen beziehungsweise Verarbeitungen seiner Mobilfunknummer durch die Beklagte betroffen ist, die über die Verarbeitung zur Zwei-Faktor-Authentifizierung hinausgehen. Dass diese Verarbeitungen nach Art. 6 DSGVO rechtmäßig wären, lässt sich nicht feststellen, weil die Beklagte – wie schon ausgeführt – der ihr gemäß Art. 5 Abs. 1 Buchst. a, Abs. 2 DSGVO obliegenden Rechenschaftspflicht nicht genügt hat. Zu Rechtfertigungsgründen für die nach ihren Online-Informationen möglichen anderweitigen Verwendungen hat sie nicht ansatzweise etwas vorgetragen. Vor diesem Hintergrund vermag der Senat eine die Wiederholungsgefahr ausschließende Sondersituation (vgl. dazu BGH, Urteil vom 27. April 2021 – VI ZR 166/19, juris, Rn. 23) nicht festzustellen.

cc)

Nur klarstellend weist der Senat darauf hin, dass der bestehende Unterlassungsanspruch nicht geeignet ist, den zukünftigen Erhalt von Spam-Anrufen und Spam-SMS auf dem Mobiltelefon des Klägers zu verhindern. Für ein solches Klageziel war die Beklagte nicht die richtige Adressatin.

Dem Kläger steht gegen die Beklagte infolge des von der Beklagten begangenen Datenschutzverstoßes aus Art. 82 Abs. 1 DSGVO ein auf Ersatz vorgerichtlicher Rechtsanwaltskosten gerichteter materiell-rechtlicher Kostenerstattungsanspruch in der aus dem Tenor ersichtlichen Höhe zu, der zudem wie tenoriert zu verzinsen ist.

Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren, grundsätzlich zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden. Dabei ist maßgeblich, wie sich die voraussichtliche Abwicklung des Schadensfalls aus der Sicht des Geschädigten darstellt. Ist die Verantwortung für den Schaden und damit die Haftung von vornherein nach Grund und Höhe derart klar, dass aus der Sicht des Geschädigten kein vernünftiger Zweifel daran bestehen kann, dass der Schädiger ohne Weiteres seiner Ersatzpflicht nachkommen werde, so wird es grundsätzlich nicht erforderlich sein, schon für die erstmalige Geltendmachung des Schadens gegenüber dem Schädiger einen Rechtsanwalt hinzuzuziehen. In derart einfach gelagerten Fällen kann der Geschädigte den Schaden grundsätzlich selbst geltend machen, so dass sich die sofortige Einschaltung eines Rechtsanwalts nur unter besonderen Voraussetzungen als erforderlich erweisen kann (BGH, Urteil vom 18. November 2014 – VI ZR 10/24, juris, Rn. 79).

Nach diesen Maßstäben sind dem Kläger die Rechtsanwaltskosten zu ersetzen, die ihm insoweit aufgrund des vorgerichtlichen Schreibens seiner Prozessbevollmächtigten vom 17. Juni 2022 entstanden sind, als sie auf das Auskunftsbegehren – dem der Senat einen Wert von 500 € zumisst – und auf das mit 750 € zu bewertende Verlangen entfallen, die Beklagte solle es unterlassen, die Telefonnummer des Klägers ohne seine Einwilligung zu verarbeiten. Dieses Unterlassungsverlangen mündete nachfolgend in den – erfolgreichen – Berufungsantrag zu Nr. 5. Den strengen Bestimmtheitsanforderungen des § 253 Abs. 2 Nr. 2 ZPO musste das außergerichtlich formulierte Verlangen als vorprozessuale Handlung noch nicht genügen (vgl. BGH, Urteil vom 21. Januar 2021 – I ZR 17/18, juris, Rn. 26). Nach den Umständen, insbesondere wegen der für ihn unübersichtlichen Rechtslage und aus Gründen des Sachzusammenhangs, durfte der Kläger aufgrund des Datenschutzverstoßes der Beklagten eine Beauftragung seiner Prozessbevollmächtigten auch im Umfang des auf Art. 15 DSGVO gestützten Auskunftsverlangens, das damals wegen der seinerzeit noch nicht erteilten Auskunft noch begründet war, für erforderlich und zweckmäßig halten. Bei Berechnung der 1,3 Geschäftsgebühr nach Nr. 2300 KV RVG ist damit von einem erstattungsfähigen Geschäftswert in Höhe von 1.250 € auszugehen.

Der Zinsanspruch aus dem zu ersetzenden Betrag ergibt sich – nach den oben unter 2. c) ausgeführten Maßgaben – dem Grunde und der Höhe nach aus § 291 i.V.m. § 288 Abs. 1 Satz 2 BGB.

III.

Die Entscheidung über die Kosten des Rechtsstreits folgt aus § 92 Abs. 1 ZPO.

Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 ZPO.

Ein Grund zur Zulassung der Revision besteht nicht. Die Voraussetzungen des § 543 Abs. 2 ZPO liegen nicht vor. Weder hat die Rechtssache nach dem Urteil des Bundesgerichtshofs vom 18. November 2024 – VI ZR 10/24 – noch grundsätzliche Bedeutung noch erfordern die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts. Abweichungen von Entscheidungen der Oberlandesgerichte Dresden (z.B. Urteil vom 10. Dezember 2024 – 4 U 808/24, juris), Hamm (z.B. Urteil vom 18. Dezember 2024 – 11 U 168/23, juris) und Koblenz (Urteil vom 11. Februar 2025 – 3 U 145/24, juris) beruhen nach Auffassung des Senats auf unterschiedlichen tatrichterlichen Würdigungen.

Der Streitwert wird – unter Rückgriff auch auf § 63 Abs. 3 Satz 1 Nr. 2 GKG – für beide Instanzen auf 5.500 € festgesetzt (vgl. BGH, Beschluss vom 10. Dezember 2024 – VI ZR 7/24, juris).

… … …