Oberlandesgericht Düsseldorf, 16 U 99/24

G r ü n d e

Die Klägerin verfolgt in der Berufungsinstanz gegen die Beklagte zuletzt – nach teilweiser Berufungsrücknahme im Umfang ihres Auskunftsantrags – noch Ansprüche gerichtet auf Schadensersatz, auf die Feststellung zukünftiger Ersatzpflicht sowie auf Ersatz vorgerichtlicher Rechtsanwaltskosten aufgrund angenommener Datenschutzverstöße der Beklagten im Zusammenhang mit einem sogenannten Datenabgriff („Scraping“) in dem von der Beklagten betriebenen sozialen Netzwerk A..

Die Klägerin nutzt seit vielen Jahren einen A.-Account, der mit ihrer E-Mail-Adresse „000000.de“ verknüpft ist. Bei ihrer Anmeldung bei A. machte sie von der fakultativen Möglichkeit Gebrauch, dort auch ihre Mobilfunknummer zu hinterlegen. Eine solchermaßen zum Profil hinzugefügte Mobilfunknummer ließ sich von allen auf A. registrierten Nutzern auch dann suchen, wenn sie von dem die Telefonnummer einstellenden A.-Nutzer in der für andere Nutzer eröffneten Zielgruppenauswahl nicht als „öffentlich“ und damit als für andere im Grundsatz nicht sichtbar eingestellt war. Die Standardeinstellungen auf der A.-Plattform der Beklagten sahen in der sogenannten Suchbarkeitseinstellung bis zu einer späteren Änderung durch die Beklagte eine Suchbarkeit durch „alle“ vor. Des Weiteren bestand für A.-Nutzer über die sogenannte Kontakt-Import-Funktion, mit der es möglich war, Telefonkontakte vom Smartphone in den sogenannten Messenger von A. hochzuladen, die Möglichkeit, diejenigen Kontakte zu finden und mit ihnen auf A. in Verbindung zu treten, die auf der A.-Plattform unter Angabe ihrer Rufnummer ebenfalls registriert waren. Um eine Suchbarkeit über die Suchfunktion auf der Plattform und über die Kontakt-Import-Funktion auszuschließen oder einzuschränken, war es ursprünglich erforderlich, die A.-Standardeinstellungen zu ändern.

Aus der Suchfunktion auf der Plattform sowie aus der Kontakt-Import-Funktion ergab sich die technische Möglichkeit, eine Vielzahl von Ziffernfolgen nach Art gängiger Rufnummernformate zu nutzen, um auf der A.-Plattform nach dazu passenden Nutzern zu suchen. Stimmte eine generierte Nummer mit der hinterlegten Mobilfunknummer eines Nutzers überein, so wurden dessen öffentliche Nutzerinformationen der eingegebenen Nummer zugeordnet und abgerufen. Ab Januar 2018 kam es durch Unbekannte unter Nutzung dieser Möglichkeit zu einem massenhaften Abgriff von Daten von A.-Accounts, von dem auch die Klägerin betroffen war. Im Jahr 2021 tauchten abgegriffene Daten im Internet auf. Die Beklagte bestätigte der Klägerin mit einem Schreiben vom 16. November 2022 (Anlage B16, Bl. 45-68 Anlagenband Beklagte), dass nach ihren Informationen durch das Scraping von den Einzeldaten der Klägerin die „Nutzer ID“, der Vorname und der Nachname abgeschöpft worden seien.

Von einer weitergehenden Darstellung des Tatbestands wird gemäß § 540 Abs. 2, § 313a Abs. 1 Satz 1 ZPO abgesehen, weil ein Rechtsmittel gegen die Entscheidung gemäß § 543, § 544 Abs. 2 Nr. 1 ZPO nicht zulässig ist.

II.

Die Berufung der Klägerin ist – entgegen der Ansicht der Beklagten insgesamt – zulässig und hat in dem aus dem Tenor ersichtlichen Umfang teilweise Erfolg.

Die auch in der Berufungsinstanz von Amts wegen zu prüfende internationale Zuständigkeit der deutschen Gerichte folgt aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 Satz 1 DSGVO, weil die Klägerin als betroffene Person ihren gewöhnlichen Aufenthalt in Deutschland hat und die Datenschutz-Grundverordnung nach dem Vorbringen der Parteien in zeitlicher, sachlicher und räumlicher Hinsicht anwendbar ist.

Der zeitliche Anwendungsbereich der gemäß Art. 99 Abs. 2 DSGVO am 25. Mai 2018 in Geltung getretenen Datenschutz-Grundverordnung ist eröffnet. Zwischen den Parteien war erstinstanzlich gemäß § 138 Abs. 3 ZPO unstreitig, dass die Klägerin erst im Jahr 2019 und damit zur Zeit der Geltung der Datenschutz-Grundverordnung von möglichen Datenschutzverstößen der Beklagten durch das Abschöpfen ihrer eigenen personenbezogenen Daten betroffen war. Dem entsprechenden Vorbringen der Klägerin ist die Beklagte nicht entgegengetreten. Soweit sie den Zeitpunkt der Betroffenheit der Klägerin erstmals zum Ende der Berufungsinstanz in Abrede stellt, kann sie hiermit gemäß § 531 Abs. 2 Satz 1 Nr. 3 ZPO nicht mehr gehört werden, weil sie nicht dargelegt hat, warum sie diesen Vortrag nicht schon in erster Instanz hätte halten können.

Der sachliche Anwendungsbereich der Datenschutz-Grundverordnung ist ebenfalls eröffnet. Gemäß Art. 2 Abs. 1 DSGVO gilt die Datenschutz-Grundverordnung unter anderem für die automatisierte Verarbeitung personenbezogener Daten. Bei den hier im Fokus stehenden Daten der Klägerin, die sich in dem sogenannten Leak-Datensatz („000000,000000, 000000, 1/26/2018 12,00,00 AM“) wiederfinden, den die Klägerin im Laufe des Verfahrens vorgelegt hat, handelt es sich um solche personenbezogenen Daten, weil sie sich gemäß der Definition in Art. 4 Nr. 1 DSGVO auf eine identifizierte – betroffene – Person beziehen. Diese Daten wurden, jedenfalls soweit es um die Angaben der Mobilfunknummer, der A.-ID und des Namens ging, von der Beklagten im Rahmen des von ihr betriebenen sozialen Netzwerks A. automatisiert verarbeitet.

Schließlich ist auch der räumliche Anwendungsbereich der Datenschutz-Grundverordnung eröffnet. Gemäß Art. 3 Abs. 1 DSGVO findet die Datenschutz-Grundverordnung auf die Verarbeitung personenbezogener Daten Anwendung, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der Europäischen Union erfolgt. Bei der Beklagten handelt es sich um ein Unternehmen nach dem Recht der irischen Republik mit Sitz in Irland, mithin mit einer Niederlassung innerhalb der Europäischen Union. Da die Beklagte das soziale Netzwerk A. für Nutzer in der Europäischen Union betreibt, ist sie auch Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.

Neben der DSGVO ist auf das Rechtsverhältnis der Parteien gemäß Art. 3 Abs. 1, Art. 6 Abs. 2 Rom I-VO deutsches Recht anwendbar, weil die Parteien dies mit den Nutzungsbedingungen der Beklagten so vereinbart haben.

Der auf Ersatz eines immateriellen Schadens gerichtete Klageantrag zu 1. ist zulässig und auch teilweise begründet. Der Klägerin steht gegen die Beklagte ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 75 € nebst Zinsen ab Rechtshängigkeit zu.

Entgegen der Ansicht der Beklagten begegnet der Antrag nicht schon Bestimmtheitsbedenken. Wie die Klägerin klargestellt hat, stützt sie ihr Klagebegehren nicht auf eine unzulässige Häufung alternativer Klagegründe oder Streitgegenstände. Vielmehr geht es ihr um den Ersatz eines immateriellen Schadens, der sich aus mehreren Datenschutzverstößen der Beklagten ergeben haben soll. Insoweit nimmt die Klägerin auf den einen von ihr beschriebenen Scraping-Vorfall Bezug, von dem sie im Jahr 2019 betroffen war. Damit liegt dem geltend gemachten Schadensersatzanspruch aber ein eindeutig abgrenzbarer, einheitlicher Lebenssachverhalt und damit ein einheitlicher Streitgegenstand zugrunde (siehe BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 18).

Da es bei Klagen, die auf Ersatz immaterieller Schäden gerichtet sind, keiner Bezifferung des Anspruchs bedarf, sondern vielmehr ausreicht, wenn vom Kläger eine Mindestvorstellung mitgeteilt wird, auf die sich der Ersatzbetrag belaufen soll, konnte die Klägerin ihren Antrag auch wie geschehen unter Nennung eines Mindestbetrags formulieren.

Der zulässige Antrag ist in der Hauptsache auch teilweise begründet. Gemäß Art. 82 Abs. 1 DSGVO setzt ein Schadensersatzanspruch nach dieser Vorschrift einen Verstoß des Verantwortlichen gegen die Datenschutz-Grundverordnung, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus (vgl. auch EuGH, Urteile vom 4. Mai 2023 – C-300/21, ZIP 2023, 1244, 1246, Rn. 32, und vom 25. Januar 2024 – C-687/21, DB 2024, 519, 523, Rn. 58). Die Beklagte hat nicht nur gegen die Datenschutz-Grundverordnung verstoßen, sondern die Klägerin hat dadurch auch einen ersatzfähigen immateriellen Schaden erlitten. Einen ihr durch Datenschutzverstöße der Beklagten entstandenen materiellen Schaden macht die Klägerin nicht geltend.

aa)

Der von Art. 82 Abs. 1 DSGVO für einen Schadensersatzanspruch verlangte Verstoß gegen die Datenschutz-Grundverordnung liegt vor. Dabei kann hier dahinstehen, ob jeder Verstoß gegen materielle oder formelle Bestimmungen der Datenschutz-Grundverordnung oder erst eine verordnungswidrige Datenverarbeitung im Sinne von Art. 82 Abs. 2 Satz 1 DSGVO einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründen kann (siehe zum Meinungsstreit OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, juris, Rn. 381 ff.). Da die Beklagte – wie noch auszuführen ist – personenbezogene Daten der Klägerin ohne die nach Art. 6 Abs. 1 DSGVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die Datenschutz-Grundverordnung, sondern auch eine verordnungswidrige Datenverarbeitung vor.

(1)

Gemäß Art. 4 Nr. 2 DSGVO fällt unter den Begriff der Datenverarbeitung neben der Offenlegung durch Übermittlung und Verbreitung auch jede andere Form der Bereitstellung personenbezogener Daten. Die auf der A.-Plattform der Beklagten vormals technisch mögliche Suche des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer – die ungeachtet der Ungewissheiten über den exakten Ablauf des Scraping-Vorfalls zwischen den Parteien unstreitig ist – stellte eine von der Beklagten ermöglichte Form der Bereitstellung von personenbezogenen Daten der Klägerin dar. Die Suchfunktionalität oder Suchbarkeit ermöglichte es anderen Nutzern, das Nutzerprofil der Klägerin mit deren öffentlichen Profildaten mittels Such- oder Kontakt-Import-Funktion anhand ihrer Mobilfunknummer zu finden. Den unbekannten „Scrapern“ ermöglichte diese Funktionalität, das Nutzerprofil der Klägerin anhand von Nummernfolgen nach Art von Telefonnummern, bei denen es sich mangels Kenntnis von der Telefonnummerneigenschaft einer bestimmten Person zunächst noch nicht um personenbezogene Daten handelte, zu finden und die den Suchtreffer auslösende Ziffernfolge als Mobilfunknummer zu identifizieren und der Klägerin zuzuordnen sowie mit ihren weiteren öffentlichen Nutzerprofildaten nach Art des Leak-Datensatzes zu verknüpfen.

(2)

Gemäß Art. 6 Abs. 1 Unterabs. 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der dort genannten Voraussetzungen beziehungsweise Rechtsgrundlagen für die Verarbeitung vorliegt. Die Darlegungs- und Beweislast für eine rechtmäßige Datenverarbeitung trägt nach Art. 5 DSGVO der Verantwortliche (EuGH, Urteil vom 4. Juli 2023 – C-252/21, juris, Rn. 95), hier also die Beklagte. Danach war die Datenverarbeitung rechtswidrig. Für die Funktionalität, welche die Suchbarkeit des Nutzerprofils der Klägerin anhand der Mobilfunknummer ermöglichte, hat die Beklagte keine der Rechtmäßigkeitsbedingungen nach Art. 6 Abs. 1 Unterabs. 1 DSGVO dargelegt.

(a)

Die Beklagte beruft sich als Rechtsgrundlage für die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer auf Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Erfüllung eines Vertrags erforderlich ist. Die Beklagte vertritt insofern die Auffassung, dass die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer für die Erfüllung des Hauptzwecks des mit der Klägerin geschlossenen Nutzungsvertrags, die gegenseitige Auffindbarkeit der Nutzer untereinander zwecks Vernetzung miteinander zu ermöglichen, erforderlich gewesen sei. Wörtlich führt sie hierzu in der Berufungserwiderung aus (Bl. 191 GA OLG):

„Der zwischen den Parteien geschlossene Nutzervertrag bezieht sich auf die Bereitstellung der A.-Plattform als soziales Netzwerk. Einem solchen sozialen Netzwerk ist es immanent, dass die einzelnen Nutzer (so auch die Klagepartei) Freunde und generell ihnen bekannte Personen finden und sich miteinander vernetzen können. Solche Verknüpfungen werden durch die Verwendung von Funktionen, wie der Kontakt-Importer-Funktion, hergestellt, die, wie im Hilfebereich und in der Datenrichtlinie erläutert, die Telefonnummern von Nutzern erfordern. Die Kontakt-Importer-Funktion ist deswegen ein für Nutzer der A.-Plattform wesentliches Tool. Die Daten werden mithin für die Erfüllung des Nutzervertrags auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b) DSGVO erhoben. Eine Einwilligung i.S.v. Art. 6 Abs. 1 S. 1 lit. a) DSGVO ist in diesem Fall weder relevant noch eine Voraussetzung für die rechtmäßige Datenverarbeitung.“

Entgegen der Ansicht der Beklagten lagen die Voraussetzungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO jedoch nicht vor (siehe OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris, Rn. 94 ff.). Die in Art. 6 Abs. 1 Unterabs. 1 Buchst. a bis f DSGVO vorgesehenen Rechtfertigungsgründe sind eng auszulegen (EuGH, Urteil vom 4. Juli 2023 – C-252/21, juris, Rn. 93). Die Verarbeitung personenbezogener Daten ist zur Erfüllung eines Vertrags im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO erforderlich, wenn die Datenverarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne die Datenverarbeitung nicht erfüllt werden könnte. Der Umstand, dass die Datenverarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, genügt nicht. Entscheidend ist, dass die Datenverarbeitung des Verantwortlichen für die ordnungsgemäße Erfüllung des mit dem Betroffenen geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen (EuGH, Urteil vom 4. Juli 2023 – C-252/21, juris, Rn. 98 f. und 125).

Nach diesen Maßgaben war die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO (so auch OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris, Rn. 94 ff., OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, juris, Rn. 502 ff.). Die Suchbarkeit der Nutzerprofile anhand der Mobilfunknummer war zur Erfüllung des von der Beklagten angeführten Hauptzwecks des Nutzervertrags – die gegenseitige Auffindbarkeit zwecks Vernetzung – nicht unerlässlich. Vielmehr konnten sich die Nutzer gegenseitig zum Beispiel auch über ihre Namen finden (siehe OLG Dresden, Urteil vom 5. Dezember 2023 – 4 U 1094/23, juris, Rn. 34; OLG Oldenburg, Urteil vom 21. Mai 2024 – 13 U 100/23, juris, Rn. 29). Gerade um der entsprechenden Suchmöglichkeit willen ist der Nutzername auf der Plattform A. stets öffentlich einsehbar. Dass die Suchbarkeit über die Mobilfunknummer nach der eigenen Bewertung der Beklagten daneben nicht erforderlich war, zeigt sich daran, dass eine Telefonnummer nicht zu den Pflichtangaben zählte, die im Rahmen der Erstanmeldung bei A. anzugeben waren. Vielmehr war die Angabe einer Telefonnummer durch die A.-Nutzer fakultativ. Darüber hinaus konnte die standardmäßige Voreinstellung der Suchbarkeit auch nach der Telefonnummer der Nutzer von diesen abgewählt werden. Die Beklagte hat jene die Telefonnummern betreffende Suchfunktionalität später auch eingeschränkt.

(b)

Das Vorliegen anderer Rechtsgrundlagen für die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer führt die Beklagte nicht an. Sie sind hier auch nicht ersichtlich (siehe OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris, Rn. 104 ff.). Insbesondere hat die Klägerin nicht in informierter Weise und unmissverständlich gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO ihre Einwilligung in die betreffende Datenverarbeitung erteilt. Das hätte vorausgesetzt, dass die Beklagte die Klägerin transparent über die Suchbarkeit des Nutzerprofils anhand der Mobilfunknummer informiert hätte. Das ist jedoch weder dargelegt noch ersichtlich. Die geänderten Nutzungsbedingungen der Beklagten vom 19. April 2018, denen die Klägerin zustimmen musste, enthielten ebenso wenig Informationen über die Suchbarkeit des Nutzerprofils anhand der Mobilfunknummer wie die Datenrichtlinie, auf welche die Nutzungsbedingungen Bezug nahmen. Schließlich folgte auch aus der Verlinkung der Privatsphäre-Einstellungen in den Nutzungsbedingungen sowie den Privatsphäre-Tools und Hilfebereichsseiten der Plattform keine transparente Information über die Suchbarkeit anhand der Mobilfunknummer. Die Klägerin musste sich mit diesen Informationsmöglichkeiten nicht befassen, sondern durfte wegen Art. 25 Abs. 2 Satz 1 und 3 DSGVO darauf vertrauen, dass die Beklagte die jeweils datenschutzfreundlichsten Voreinstellungen gewählt hatte, die gewährleisteten, dass ihre Telefonnummer ohne ihr Zutun nur dem kleinstmöglichen Empfängerkreis zugänglich gemacht werden würde (siehe OLG Oldenburg, Urteil vom 14. Mai 2024 – 13 U 114/23, juris, Rn. 22 ff.).

bb)

Es kommt in diesem Zusammenhang für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auch nicht darauf an, ob der Beklagten wegen des die Mobilfunknummer erfassenden Datenverarbeitungsvorgangs über den einen festgestellten Datenschutzverstoß hinaus noch weitere Datenschutzverstöße anzulasten sind. Das Vorliegen mehrerer Datenschutzverstöße durch ein und denselben Verarbeitungsvorgang bleibt auf die Höhe eines etwaigen Schadensersatzanspruchs ohne Auswirkungen (siehe EuGH, Urteil vom 11. April 2024 – C-741/21, juris, Rn. 64 f.).

cc)

Der Klägerin ist infolge des Datenschutzverstoßes der Beklagten auch ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO entstanden.

(1)

Der Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DSGVO ist in Ermangelung eines in der Vorschrift enthaltenen Verweises auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu bestimmen. Maßgeblich ist danach das Begriffsverständnis, wie es in der Rechtsprechung des Gerichtshofs der Europäischen Union ausgeformt worden ist. Zwar soll nach Erwägungsgrund 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen der Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr ist darüber hinaus der Eintritt eines Schadens durch diesen Verstoß erforderlich.

Ein haftungsbegründender immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO kann jedoch nach der Rechtsprechung des Gerichtshofs schon in dem – selbst kurzzeitigen – Verlust der Kontrolle über personenbezogene Daten liegen, ohne dass der Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Insofern schließt sich der Senat nach nochmaliger eigener Prüfung der Rechtsprechung des Gerichtshofs dem vom Bundesgerichtshof hierzu vertretenen Verständnis an (vgl. BGH, Urteile vom 18. November 2024 – VI ZR 10/24, juris, Rn. 30, und vom 11. Februar 2025 – VI ZR 365/22, juris, Rn. 15). Unter einem Verlust der Kontrolle versteht der Senat dabei eine Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, weil sie etwa an ihm unbekannte Dritte gelangt oder ohne nennenswerte Eingrenzung preisgegeben sind. Das ist der Fall bei einem Scraping und bei einer Veröffentlichung der Daten im Internet, aber noch nicht – beispielsweise – bei einer Weitergabe der Telefonnummer an bestimmte Empfänger oder ihre Verwendung zur Zwei-Faktor-Authentifizierung bei Nutzung von Benutzerkonten (Accounts). In einem solchen Fall sind die Daten noch nicht allgemein veröffentlicht (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 41).

(2)

Eine Situation des Kontrollverlusts hat die Klägerin im Hinblick auf ihre Mobilfunknummer und deren Verknüpfung mit ihrer A.-ID und ihrem Vor- und Nachnamen dargelegt. Insofern reicht es aus, wenn ein Betroffener eine Veröffentlichung seiner Daten im Internet vorträgt und angibt, diese Daten nicht zuvor in einer vergleichbaren Weise allgemein veröffentlicht zu haben (siehe BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 39 ff.). Einen solchen Vortrag hat die Klägerin gehalten. Ein bereits zuvor eingetretener Kontrollverlust ergibt sich nicht daraus, dass die Klägerin im Rahmen ihrer informatorischen Anhörung vor dem Landgericht angegeben hat, ihre Mobilfunknummer im Rahmen der Zwei-Faktor-Authentifizierung bei PayPal zu nutzen. Das steht einer allgemeinen Veröffentlichung nicht gleich. Der Abgriff der Daten war in erster Instanz zudem ebenso unstreitig wie eine Veröffentlichung im Internet im Jahr 2021.

Zwar hat die Klägerin ihren Vor- und ihren abgekürzten Nachnamen („Ha“) auf ihrem für jedermann sichtbaren A.-Profil eingestellt. Auch war auf der betreffenden Profilseite die A.-ID der Klägerin zu finden. Für die Mobilfunknummer galt dies nach ihrem Vortrag jedoch nicht. Auch war diese nach ihrem Vorbringen nicht schon zuvor im Internet für jedermann sichtbar mit den übrigen genannten Daten verknüpft. Daraus folgt, dass nur für die erstgenannten Daten ein Kontrollverlust durch den Datenabgriff und die Veröffentlichung sowohl singulär als auch in ihrer Verknüpfung ausscheidet. Denn diese Daten waren schon zuvor – bei A. – allgemein zugänglich im Internet veröffentlicht. Das war der Klägerin bei lebensnaher Betrachtung nicht nur klar, sondern damit war sie im Sinne einer Einwilligung gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO auch ersichtlich einverstanden, weil sie – so ist ihr Verhalten zu verstehen – eine Veröffentlichung in Form des von ihr gestalteten A.-Profils gerade wollte. Dasselbe gilt für die weiteren Daten ihres Nutzerprofils, auf die sich nach ihrer Behauptung der Datenabgriff auch erstreckt haben soll.

Die Beklagte hat zwar bestritten, dass die Klägerin die Kontrolle über ihre Mobilfunknummer und ihre Verknüpfung mit den weiteren von ihr, der Beklagten, als abgegriffen eingeräumten Daten erst mit dem Datenabgriff verloren hat. Dieser Vortrag genügte jedoch nicht den Anforderungen an ein in diesem Fall zu forderndes qualifiziertes Bestreiten. Die von der Klägerin behauptete negative Tatsache, die Kontrolle über die Daten nicht schon zuvor verloren zu haben, sie insbesondere nicht bereits allgemein veröffentlicht zu haben, hätte die Beklagte mit der konkreten Angabe bestreiten müssen, wodurch ein Kontrollverlust schon zuvor eingetreten sein soll (vgl. zu dieser sekundären Darlegungslast BGH, Urteile vom 11. Oktober 2007 – IX ZR 105/06, juris, Rn. 12, und vom 8. Januar 2019 – II ZR 139/17, juris, Rn. 31; auch BAG, Urteil vom 16. Dezember 2021 – 2 AZR 356/21, juris, Rn. 31 ff.). Einen solchen Vortrag hat sie nicht gehalten.

Soweit die Beklagte erstmals zum Ende der Berufungsinstanz eine Kausalität zwischen dem Datenabgriff und dem Kontrollverlust bestreitet, kann sie hiermit nicht mehr gehört werden. Das Vorbringen ist nach § 138 Abs. 1 ZPO unbeachtlich. Es steht in einem von der Beklagten nicht aufgelösten Widerspruch zu ihrem erstinstanzlichen Vorbringen und dem Inhalt des von ihr in erster Instanz vorgelegten Schreibens vom 16. November 2022. Dessen ungeachtet ist das Vorbringen auch nach § 531 Abs. 2 Satz 1 Nr. 3 ZPO nicht mehr zuzulassen, weil erstinstanzlich zwischen den Parteien unstreitig gewesen ist, dass – jedenfalls – die im Schreiben der Beklagten vom 16. November 2022 mitgeteilten Daten der Klägerin vom Datenabgriff betroffen waren, und die Beklagte nicht dargelegt hat, warum sie Gegenteiliges nicht schon in erster Instanz vorgetragen hat.

dd)

Die Höhe des der Klägerin gemäß Art. 82 Abs. 1 DSGVO für den ihr entstandenen immateriellen Schaden zustehenden Schadensersatzes bemisst sich nach den schadensersatzrechtlichen Grundsätzen des deutschen Rechts.

(1)

Die Datenschutz-Grundverordnung enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DSGVO geschuldeten Schadensersatzes. Insbesondere können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DSGVO genannten Kriterien herangezogen werden. Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 93). In Deutschland ist damit insbesondere die Verfahrensvorschrift des § 287 ZPO anzuwenden.

Bei der Ermittlung des nach Art. 82 Abs. 1 DSGVO zu ersetzenden Schadens unterliegt die innerstaatliche Verfahrensausautonomie allerdings den sich aus dem unionsrechtlichen Äquivalenz- und Effektivitätsgrundsatz ergebenden Einschränkungen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 94). Eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ist in Anbetracht der Ausgleichsfunktion des in dieser Vorschrift vorgesehenen Schadensersatzanspruchs als „vollständig und wirksam“ im Sinne von Erwägungsgrund 146 Satz 6 DSGVO anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung konkret erlittenen Schaden in vollem Umfang auszugleichen. Eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DSGVO nicht erfüllen. Infolgedessen darf bei der Bemessung einer Geldentschädigung weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch – wie bereits ausgeführt – der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen hat oder ob er vorsätzlich oder fahrlässig gehandelt hat (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 96).

Im Ergebnis soll die zuzusprechende Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausgeht. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 97). Dies gilt auch unter Berücksichtigung des Umstands, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger gewichtig ist als eine Körperverletzung (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 97).

(2)

Bei der auf § 287 ZPO gestützten Bemessung des Entschädigungsbetrags sind dann, wenn ein Schaden nur in Form eines Kontrollverlusts an personenbezogenen Daten eingetreten ist, weil weitere Schäden nicht nachgewiesen sind, bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckmäßige Verwendung zu berücksichtigen. Zudem sind die Art des Kontrollverlusts, die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung des personenbezogenen Datums in den Blick zu nehmen. In Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich ist, kann auch der hypothetische – insbesondere finanzielle – Aufwand für die Wiedererlangung der Kontrolle als Anhalt für einen effektiven Schadensausgleich dienen (siehe zum Ganzen BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 99).

(3)

Nach diesen Maßgaben wird der der Klägerin mit dem Kontrollverlust entstandene Schaden mit einem Betrag von 75 € effektiv ausgeglichen (vgl. auch Senatsurteil vom 13. März 2025 – I-16 U 173/23 – zu einem vergleichbaren Sachverhalt). Das ergibt eine Gesamtwürdigung der im Fall der Klägerin maßgeblichen Umstände. Nach diesen war ein Abschlag von dem vom Senat für den reinen Kontrollverlust sonst regelmäßig zugesprochenen Betrag von 100 € gerechtfertigt, weil der Verlust der Kontrolle über die Mobilfunknummer durch einen Wechsel der Nummer in der Zeit zwischen dem Auftauchen abgegriffener Daten im Internet im Jahr 2021 und dem 24. Januar 2024 – dem Termin der mündlichen Verhandlung vor dem Landgericht – sein Ende gefunden hat. Auf Nachfrage des Senats wusste der Prozessbevollmächtigte der Klägerin im Termin zur mündlichen Verhandlung vom 11. April 2025 nicht anzugeben, wann die Klägerin ihre Telefonnummer in diesem Zeitraum exakt gewechselt hat.

Ein Kontrollverlust steht zwar nur hinsichtlich der Mobilfunknummer und ihrer Verknüpfung mit der A.-ID, dem Vor- und dem abgekürzten Nachnamen der Klägerin fest. Ob ihre Telefonnummer auch noch mit weiteren Daten ihres Nutzerprofils – konkret dem Wohnort – verknüpft worden ist, wie sie behauptet, kann jedoch dahinstehen. Auf die Höhe des Schadensersatzes hätte es keinen Einfluss, wenn das zuträfe, weil die Klägerin – wie bereits festgestellt – in die Veröffentlichung dieser Daten eingewilligt hatte. Wegen dieser Selbstöffnung kommt der von der Klägerin behaupteten Verknüpfung auch dieser Daten mit der Mobilfunknummer bei der Bemessung einer Entschädigung kein entscheidendes Gewicht mehr zu. Entscheidend für die Schadenshöhe ist vielmehr allein der auch von der Klägerin in den Mittelpunkt ihres Vortrags gerückte Umstand, dass die Beklagte gegenüber unbekannten Dritten ohne ihre Einwilligung dazu die Mobilfunknummer mit weiteren – ohnehin öffentlichen, mit welchen auch immer – Profildaten verknüpft und daraus einen Datensatz bereitgestellt hat.

Der Kontrollverlust nahm zwar schon im Jahr 2019 seinen Anfang, eine Vertiefung desselben zwischen der Veröffentlichung der Daten im Internet im Jahr 2021 und dem späteren Wechsel der Telefonnummer ist jedoch nicht erkennbar. Das Interesse der Klägerin an den Daten wird sich inzwischen schon deshalb in Grenzen halten, weil sie ihre Mobilfunknummer wegen eines Providerwechsels ihrer Familie gewechselt hat. Ihre alte Nummer wird niemand mehr nutzen können, um mit ihr in Kontakt zu treten oder ihr Spam-SMS zu übersenden. Bei den vom Kontrollverlust betroffenen Daten handelt es sich zudem nicht um höchst sensible Daten der Klägerin, etwa Gesundheits- oder vergleichbar intime Daten, deren Verbreitung in der Öffentlichkeit dem Ansehen oder dem Fortkommen der Klägerin schaden könnte (vgl. auch BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 42). Die Mobilfunknummer dient vielmehr regelmäßig der Kontaktaufnahme mit Dritten und wird zu diesem Zweck anderen zugänglich gemacht. Allein dadurch besteht immer die Gefahr, dass eine bis zu einem bestimmten Zeitpunkt kontrollierte Weitergabe der Telefonnummer irgendwann nicht mehr kontrollierbar ist, weil schlechterdings niemand vollumfänglichen Einfluss darauf haben kann, wie Dritte mit der Nummer umgehen.

(4)

Bei Bemessung der Schadenshöhe nicht zu berücksichtigen sind weitere von der Klägerin auf den Kontrollverlust zurückgeführte Unannehmlichkeiten.

Zwar stellen mit dem Kontrollverlust verbundene negative Gefühle wie Ängste und Befürchtungen sowie in der Auseinandersetzung mit dem Scraping-Vorfall und dem Schutz vor künftigem Datenmissbrauch aufgewandte Zeit und Mühe Umstände dar, die einen bereits mit dem reinen Kontrollverlust eingetretenen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO vertiefen oder vergrößern können (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 31, 35 und 45). Das gilt jedenfalls dann, wenn sie über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 101). Auch eine etwaige psychische Belastung durch Spam-Anrufe und Spam-SMS, die auf den Kontrollverlust zurückzuführen sind, kann den immateriellen Schaden vergrößern.

Entsprechende Beeinträchtigungen der Klägerin hat das Landgericht jedoch nicht festgestellt, obwohl es die Klägerin informatorisch angehört hat. Zwar hat die Klägerin den Erhalt von Spam-Anrufen und Spam-SMS bekundet. Von der Kausalität zwischen den von der Klägerin geschilderten Spam-Anrufen beziehungsweise Spam-SMS und dem Scraping-Vorfall konnte sich das Landgericht aber keine hinreichende Überzeugung bilden. Das Landgericht hat offen gelassen, ob für die Frage psychischer Folgen des Scraping-Vorfalls der Beweismaßstab des § 286 ZPO oder derjenige des § 287 ZPO gilt. Es hat den Nachweis in beiden Fällen nicht als erbracht angesehen. Diese Würdigung ist im Ergebnis nicht zu beanstanden, wobei richtigerweise allein der Beweismaßstab des § 287 ZPO maßgeblich ist. Steht der geltend gemachte Schadensersatzanspruch dem Grunde nach fest, reicht für die richterliche Entscheidung über die Schadenshöhe gemäß § 287 ZPO eine erhebliche, auf gesicherter Grundlage beruhende Wahrscheinlichkeit für die richterliche Überzeugungsbildung aus (BGH, Urteil vom 11. März 2022 – V ZR 35/21, juris, Rn. 30). So verhält es sich hier, weil der Senat – abweichend von dem Landgericht – schon den reinen Kontrollverlust als den haftungsbegründenden Schaden ansieht. Doch auch unter Anlegung des abgesenkten Beweismaßstabs des § 287 ZPO kann der Senat im Rahmen einer eigenen Würdigung – wie das Landgericht – keine Beeinträchtigung der Klägerin durch den Kontrollverlust feststellen, die über die Unannehmlichkeiten hinausgeht, die jedermann durch einen solchen Kontrollverlust erleidet. Insbesondere Anhaltspunkte, die für eine besondere psychische Beeinträchtigung sprechen könnten, hat die Anhörung der Klägerin vor dem Landgericht nicht ergeben. Angesichts der denkbar vielfältigen Ursachen für Spam-Anrufe und Spam-SMS ist auch nicht zu beanstanden, dass das Landgericht keine Kausalität zwischen dem Scraping-Vorfall und der von der Klägerin geschilderten Spam-Belästigung hat feststellen können. Aus eigener Erfahrung ist dem Senat bekannt, dass es zu Spam-Anrufen und Spam-SMS auf Mobiltelefonen auch kommen kann, wenn A. nicht genutzt wird.

Da sich eine Ursächlichkeit des Scraping-Vorfalls nicht feststellen lässt, kann dahinstehen, ob schon der Erhalt von Spam-Anrufen und Spam-SMS ohne weitere Folgen einen immateriellen Schaden darstellen oder diesen vertiefen kann (ablehnend OLG Hamm, Urteil vom 18. Dezember 2024 – I-11 U 168/23, juris, Rn. 33).

Was die von der Klägerin schriftsätzlich vorgetragene Belastung mit Spam-Mails betrifft, kommt deren Berücksichtigung bei der Bemessung des Schadensersatzbetrags schon deshalb nicht in Betracht, weil die Klägerin einen ihre E-Mail-Adresse betreffenden Kontrollverlust durch den Datenabgriff bei der Beklagten nicht nachgewiesen hat.

Der von der Klägerin mit dem Klageantrag zu 1. ebenfalls verfolgte Anspruch auf Zinsen aus dem Betrag der Hauptforderung ab dem Zeitpunkt der Rechtshängigkeit ergibt sich dem Grunde und der Höhe nach aus § 291 i.V.m. § 288 Abs. 1 Satz 2 BGB. Mangels eines anderen feststellbaren Zustellzeitpunkts ist anzunehmen, dass die Klage spätestens an dem Tag zugestellt worden ist, an dem die Beklagte ihre Verteidigungsbereitschaft angezeigt hat. Der Zinsanspruch besteht damit ab dem darauf folgenden Tag, dem 19. August 2022.

Der nach den klarstellenden Ausführungen der Klägerin im erstinstanzlichen Schriftsatz vom 2. Dezember 2022 zum einen auf die Feststellung der Ersatzpflicht für zukünftige materielle und – nach der Antragserweiterung in der Berufungsinstanz – zum anderen auf die Feststellung der Ersatzpflicht für derzeit noch nicht vorhersehbare immaterielle Schäden gerichtete Klageantrag zu 2. ist mangels Feststellungsinteresses insgesamt unzulässig.

Wie der Senat bereits in der Vergangenheit entschieden hat, ist die bloße Möglichkeit des künftigen Eintritts der geltend gemachten Schäden zum Maßstab für die Annahme des gemäß § 256 Abs. 1 ZPO erforderlichen Feststellungsinteresses zu nehmen. Eine darüber hinausgehende Schadenswahrscheinlichkeit ist nicht erforderlich. Die Möglichkeit zukünftiger Schäden reicht im vorliegenden Fall aus, weil es nicht um reine Vermögensschäden geht, sondern um Schäden, die aus der von der Klägerin behaupteten Verletzung ihres Rechts auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, mithin ihres allgemeinen Persönlichkeitsrechts als einem sonstigen absolut geschützten Rechtsgut im Sinne von § 823 Abs. 1 BGB, resultieren. Auch die hier primär herangezogene Vorschrift des Art. 82 Abs. 1 DSGVO hat, soweit – wie hier – auch eine unrechtmäßige Datenverarbeitung gerügt wird, eine Verletzung des Rechts auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh zum Inhalt. Dabei kann die Möglichkeit ersatzpflichtiger zukünftiger Schäden ohne Weiteres zu bejahen sein, wenn ein deliktsrechtlich geschütztes absolutes Rechtsgut verletzt wurde und dadurch bereits ein Schaden eingetreten ist (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 48).

Nach diesen Maßgaben fehlt es am Feststellungsinteresse bezüglich zukünftiger materieller Schäden, weil die Klägerin ihre Telefonnummer bereits vor längerer Zeit gewechselt hat und es damit an der Möglichkeit zukünftiger materieller Schäden fehlt.

Mangels Feststellungsinteresses unzulässig ist der Antrag auch, soweit dieser auf die Feststellung etwaiger immaterieller Spätschäden gerichtet ist. Die Klägerin hat die Möglichkeit immaterieller Spätfolgen nicht schlüssig dargetan. Im erstinstanzlichen Schriftsatz vom 2. Dezember 2022 hat sie ausgeführt, dass „eine immaterielle Schadensvertiefung schwer vorstellbar ist“. Diesen Vortrag hat sie nachfolgend nicht mehr geändert.

Der Klägerin steht gegen die Beklagte infolge des von der Beklagten begangenen Datenschutzverstoßes aus Art. 82 Abs. 1 DSGVO ein auf Ersatz vorgerichtlicher Rechtsanwaltskosten gerichteter materiell-rechtlicher Kostenerstattungsanspruch in der aus dem Tenor ersichtlichen Höhe zu, der zudem wie tenoriert zu verzinsen ist.

Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren, grundsätzlich zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden. Dabei ist maßgeblich, wie sich die voraussichtliche Abwicklung des Schadensfalls aus der Sicht des Geschädigten darstellt. Ist die Verantwortung für den Schaden und damit die Haftung von vornherein nach Grund und Höhe derart klar, dass aus der Sicht des Geschädigten kein vernünftiger Zweifel daran bestehen kann, dass der Schädiger ohne Weiteres seiner Ersatzpflicht nachkommen werde, so wird es grundsätzlich nicht erforderlich sein, schon für die erstmalige Geltendmachung des Schadens gegenüber dem Schädiger einen Rechtsanwalt hinzuzuziehen. In derart einfach gelagerten Fällen kann der Geschädigte den Schaden grundsätzlich selbst geltend machen, so dass sich die sofortige Einschaltung eines Rechtsanwalts nur unter besonderen Voraussetzungen als erforderlich erweisen kann (BGH, Urteil vom 18. November 2014 – VI ZR 10/24, juris, Rn. 79).

Nach diesen Maßstäben sind der Klägerin die Rechtsanwaltskosten zu ersetzen, die auf die außergerichtliche Geltendmachung des begründeten Schadensersatzbetrags von 75 € und auf das mit dem vorgerichtlichen Schreiben der Prozessbevollmächtigten des Weiteren formulierte Auskunftsbegehren – dem der Senat einen Wert von 500 € zumisst – entfallen.

Nach den Umständen, insbesondere wegen der für sie unübersichtlichen Rechtslage und aus Gründen des Sachzusammenhangs, durfte die Klägerin aufgrund des Datenschutzverstoßes der Beklagten eine Beauftragung ihrer Prozessbevollmächtigten auch im Umfang des auf Art. 15 DSGVO gestützten Auskunftsverlangens für erforderlich und zweckmäßig halten, das damals wegen der seinerzeit noch nicht erteilten Auskunft noch begründet war. Die Anerkennung zukünftiger Ersatzpflicht der Beklagten, welche die Klägerin schließlich erfolglos mit ihrem Klageantrag zu 2. verfolgt hat, war demgegenüber noch nicht Gegenstand des vorgerichtlichen Schreibens ihrer Prozessbevollmächtigten und ist daher bei Berechnung der 1,3 Geschäftsgebühr nach Nr. 2300 VV RVG schon aus diesem Grund nicht zu berücksichtigen. Nicht erstattungsfähig sind schließlich Rechtsanwaltskosten, die auf das mit dem vorgerichtlichen Schreiben formulierte Unterlassungsbegehren entfallen. Gegen die Abweisung ihrer Unterlassungsanträge durch das Landgericht ist die Klägerin nicht mit der Berufung vorgegangen. Die Klageabweisung ist rechtskräftig geworden. Der diesbezüglichen vorgerichtlichen anwaltlichen Tätigkeit fehlte es damit an der Erforderlichkeit und Zweckmäßigkeit.

Der Zinsanspruch aus dem zu ersetzenden Betrag ergibt sich – nach den oben unter 2. c) ausgeführten Maßgaben – dem Grunde und der Höhe nach aus § 291 i.V.m. § 288 Abs. 1 Satz 2 BGB.

III.

Die Entscheidung über die Kosten des Rechtsstreits folgt aus einer entsprechenden Anwendung von § 92 Abs. 2 Nr. 1 ZPO zugunsten der Beklagten.

Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf §§ 708 Nr. 10, 711, 713 ZPO.

Ein Grund zur Zulassung der Revision besteht nicht. Die Voraussetzungen des § 543 Abs. 2 ZPO liegen nicht vor. Weder hat die Rechtssache nach dem Urteil des Bundesgerichtshofs vom 18. November 2024 – VI ZR 10/24 – noch grundsätzliche Bedeutung noch erfordern die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts. Abweichungen von Entscheidungen anderer Oberlandesgerichte beruhen nach Auffassung des Senats auf unterschiedlichen tatrichterlichen Würdigungen.

Das Verfahren ist auf den Antrag der Beklagten im nicht nachgelassenen Schriftsatz vom 7. Mai 2025 auch nicht in entsprechender Anwendung von § 148 ZPO auszusetzen. Anders als das Landgericht Erfurt in seinem von der Beklagten in Bezug genommenen Aussetzungsbeschluss vom 3. April 2025 – 8 O 895/23 – sieht der Senat die Frage, ob der bloße Verlust der Kontrolle über personenbezogene Daten einen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann, im Einklang mit dem Bundesgerichtshof und dem Bundesarbeitsgericht (vgl. BAG, Urteil vom 20. Februar 2025 – 8 AZR 61/24, juris, Rn. 13) als durch die Rechtsprechung des Gerichtshofs der Europäischen Union (siehe EuGH, Urteile vom 20. Juni 2024 – C-590/22, juris, Rn. 33, und vom 4. Oktober 2024 – C-200/23, juris, Rn. 150) geklärt an. Im Übrigen geht der Senat von einem anderen Sachverhalt als das Landgericht Erfurt aus, weil nach den obigen Feststellungen des Senats die datenschutzrechtliche Verantwortung für die Verknüpfung der Telefonnummer mit den Profildaten der A.-Nutzer bei der Beklagten liegt.

Der Streitwert wird – unter Rückgriff auch auf § 63 Abs. 3 Satz 1 Nr. 2 GKG – für die erste Instanz auf 3.500 € und für das Berufungsverfahren auf 2.000 € festgesetzt (vgl. BGH, Beschluss vom 10. Dezember 2024 – VI ZR 7/24, juris).

… … …