Seite drucken
Entscheidung als PDF runterladen
Zu den Voraussetzungen eines Anspruchs auf Schadensersatz (Zahlung, Feststellung und Unterlassung) nach einem gegen die DSGVO verstoßenden Scrapingvorfall bei einem sozialen Netzwerk – hier erfolgreicher Nachweis eines kausalen Schadens
Auf die Berufung des Klägers wird das am 7. Dezember 2023 verkündete Urteil der 4. Zivilkammer des Landgerichts Arnsberg (Az. 4 O 172/22) teilweise abgeändert.
Die Beklagte wird verurteilt, an den Kläger 200,00 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 30.08.2022 zu zahlen.
Es wird festgestellt, dass die Beklagten verpflichtet ist, dem Kläger künftige materielle und künftige derzeit noch nicht vorhersehbare immaterielle Schäden zu ersetzen, die ihm durch den unbefugten Zugriff im Zeitraum 2018 bis September 2019 auf das Datenarchiv der Beklagten entstehen.
Die weitergehende Klage bleibt abgewiesen, die weitergehende Berufung wird zurückgewiesen.
Von den Kosten des Rechtsstreits beider Instanzen tragen – nach einem Streitwert von 3.000,00 € – der Kläger 77 % und die Beklagte 23 %.
Dieses Urteil ist vorläufig vollstreckbar.
Gründe:
2I.
3Von der Darstellung des Tatbestandes wird gemäß §§ 540 Abs. 2, 313a Abs. 1 S. 1 ZPO abgesehen.
4II.
5Die zulässige Berufung ist zum Teil begründet, im Übrigen unbegründet. Dem Kläger steht eine immaterielle Schadensersatzleistung in Höhe von 200,00 € zu, auch sein Feststellungsantrag ist zulässig und begründet. Die weitergehende Klage ist unbegründet.
6Der Senat hat bei der zu treffenden Entscheidung neben den einschlägigen Entscheidungen des Europäischen Gerichtshofes das Urteil des Bundesgerichtshofes vom 18.11.2024 im Leitentscheidungsverfahren - VI ZR 10/24 - berücksichtigt und weicht mit seiner heutigen Entscheidung von dieser höchstrichterlichen Rechtsprechung nicht ab.
71.
8Eine immaterielle Schadenersatzzahlung kann der Kläger in Höhe von 200,00 € beanspruchen. Der Zahlungsantrag zu 1 ist insoweit begründet.
9a)
10Die Voraussetzungen eines Anspruchs aus Art. 82 Abs. 2, Abs. 1 DSGVO liegen vor.
11aa) Gem. Art. 82 Abs. 1, Abs. 2 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung oder auch nur – worauf es im vorliegenden Fall nicht ankommt, da die feststellbaren kausalen Verstöße gegen die DSGVO diese Voraussetzung erfüllen – wegen Verarbeitung personenbezogener Daten unter Verstoß gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist (vgl. BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 23 f. m. w. N.), Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
12(1) Die Beklagte hat als Verantwortliche (vgl. OLG Hamm Urt. v. 15.08.2023 – 7 U 19/23, juris Rn. 82 m. w. N.) in mehrfacher Hinsicht gegen die Datenschutzgrundverordnung verstoßen.
13(a) In Bezug auf den streitgegenständlichen Scraping-Vorfall ist der Anwendungsbereich der DSGVO in sachlicher und räumlicher Hinsicht eröffnet (vgl. OLG Hamm Urt. v. 15.08.2023 – 7 U 19/23, juris Rn. 77-83). In zeitlicher Hinsicht gilt dies, soweit davon auszugehen ist, dass die Verstöße gegen die DSGVO nach deren Inkrafttreten am 25.05.2018 erfolgt sind, sodass ein etwaiger Verstoß der Beklagten gegen Art. 35 DSGVO nicht in den zeitlichen Anwendungsbereich der DSGVO fallen würde, weil es insoweit um eine „vorab" - also vor dem Beginn des allgemein vorgesehenen und damit nicht vor jedem konkret-individuellen Datenverarbeitungsvorgang - durchzuführende Datenschutz-Folgenabschätzung geht. Da die hier streitgegenständlichen zum Scraping genutzten Funktionen unstreitig bereits vor der Einführung der DSGVO vorhanden waren, können diese von Art. 35 DSGVO ersichtlich nicht erfasst sein (vgl. insoweit auch OLG Hamm Urt. v. 15.08.2023 – 7 U 19/23, juris Rn. 60-76; BGH Urteil vom 18.11.2024 - VI ZR 10/24, juris Rn. 19f).
14(b) Die Beklagte hat gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 UnterAbs. 1, Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 und Abs. 2, Art. 5 Abs. 1 lit. f und Art. 32 DSGVO verstoßen. Hiervon muss der Senat jedenfalls ausgehen, da die Beklagte Verstöße gegen diese Vorschriften nicht konkret ausgeräumt hat, obwohl ihr das nach Art. 5 Abs. 2 DSGVO oblegen hat. Art. 5 Abs. 2 DSGVO regelt im Rahmen seines Anwendungsbereichs, also bei Verstößen gegen Art. 5 Abs. 1 DSGVO, auch die Beweislast im zivilrechtlichen Verfahren (EuGH Urt. v. 11.07.2024 – C-757/22, GRUR-RS 2024, 16262 Rn. 52; OLG Hamm Urt. v. 15.08.2023 – 7 U 19/23, juris Rn. 87 f. m. w. N.).
15(aa) Die Suchbarkeit eines Nutzerprofils über die Mobilfunktelefonnummer per Such- und Kontaktimportfunktion stellte eine unrechtmäßige Datenverarbeitung dar. Die Beklagte hat keine der unter Art. 6 Abs. 1 UnterAbs. 1 lit. a bis f DSGVO genannten Rechtfertigungsgründe substantiiert dargelegt und bewiesen (ausführlich dazu OLG Hamm Urt. v. 15.08.2023 – 7 U 19/23, juris Rn. 92-126 m. w. N.; vgl. auch EuGH Urt. v. 11.07.2024, – C-757/22, GRUR-RS 2024, 16262 Rn. 59 f.; auch BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 43 f., 91). Insbesondere ist die Suchbarkeit über die Telefonnummer für die Vertragserfüllung nicht essentiell.
16(bb) Zudem hat die Beklagte – vom Bundesgerichtshof revisionsrechtlich unterstellt (vgl. BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 22) – gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 2 DSGVO verstoßen, indem sie datenunfreundliche Voreinstellungen vorgegeben hat oder – im Falle eines Beitritts des Klägers vor dem 25.05.2018, bei dem Geltungsbeginn der Datenschutzgrundverordnung (Art. 99 Abs. 2 DSGVO) – nicht sichergestellt hat, dass unfreundliche Voreinstellungen zu diesem Datum unter Abkehr vom "Opt-Out"-System geändert wurden. Die gegenteilige Ansicht der Beklagten trifft nicht zu. Der Senat folgt insofern dem Urteil des 7. Zivilsenats des Oberlandesgerichts Hamm v. 15.08.2023 – 7 U 19/23, juris Rn. 127 f.; so auch obiter BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 87-90 m. w. N.
17(cc) Zudem ist – vom Bundesgerichtshof ebenfalls nur revisionsrechtlich unterstellt (vgl. BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 22) – von einem Verstoß der Beklagten gegen Art. 5 Abs. 1 lit. f, Art. 32 DSGVO auszugehen, da die Beklagte weder substantiiert dargelegt noch bewiesen hat, die angemessenen Sicherheitsvorkehrungen – insbesondere gegen das sog. Scraping – eingehalten zu haben (vgl. OLG Hamm Urt. v. 15.08.2023 – 7 U 19/23, juris Rn. 129-145). Damit geht einher, dass die Beklagte auch einen Verstoß im Rahmen ihrer Datenverarbeitung gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 DSGVO ("privacy by design") nicht ausgeräumt hat (vgl. OLG Hamm, Urt. v. 15.08.2023 – 7 U 19/23, juris Rn. 146). Dies ist ihr auch mit dem Vortrag in der Berufungsinstanz nicht gelungen.
18(b)
19Die Beklagte trifft auch ein Verschulden. Nach der Rechtsprechung des EuGH ist einer kombinierten Analyse der verschiedenen Sprachfassungen von Art. 82 DSGVO zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen (EuGH, Urteil vom 21. Dezember 2023 – C-667/21, juris Rn. 92 ff.).
20Die Beklagte hat insoweit keine Umstände vorgetragen, die ihr Verschulden entfallen lassen würden. Soweit sie darauf abstellt, dass ein Scraping nicht gänzlich zu verhindern sei und sie dennoch Maßnahmen gegen ein Scraping ergriffen habe, war dies offensichtlich unzureichend, weil sie das Scraping der Telefonnummer des Klägers durch eine datenschutzfreundliche Gestaltung der Suchbarkeit eines Nutzerprofils über die Mobilfunknummer per Such- oder Kontaktimportfunktion ohne die Voreinstellung der Suchbarkeit für „alle“ hätte verhindern können (vgl. in diesem Sinne auch OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23, juris Rn. 201).
21(2) Ein auf diese Verstöße der Beklagten gegen die Bestimmungen der Datenschutzgrundverordnung zurückzuführender immaterieller Schaden des Klägers lässt sich im vorliegenden Fall feststellen.
22Nach der Rechtsprechung des Europäischen Gerichtshofs und des Bundesgerichtshofes muss ein Schaden neben den Verstoß gegen die Datenschutzgrundverordnung treten, um einen Anspruch auf Schadensersatz auszulösen; der immaterielle Schaden besteht nicht schon in der Verletzung der Vorschriften der Datenschutzgrundverordnung (vgl. nur zuletzt EuGH Urt. v. 20.06.2024 – C-182/22, C-189/22, juris Rn. 41 m. w. N, sowie schon BGH Beschl. v. 12.12.2023 – VI ZR 277/22, juris Rn. 5 und erneut BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 21, 28). Erforderlich ist – im Sinne einer eigenständigen Anspruchsvoraussetzung – ein Schaden, der tatsächlich eingetreten sein muss, ohne dass er einen bestimmten Grad an Schwere oder Erheblichkeit erreichen muss (BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 28, 29).
23Ein solcher Schaden ergibt sich im vorliegenden Fall aus einem beim Kläger eingetretenen Kontrollverlust in Bezug auf seine Mobilfunknummer und den seiner Mobilfunknummer zugeordneten Namen. Insofern sind seine personenbezogenen Daten betroffen. Vertiefend besteht der Schaden in psychischen Belastungen durch Befürchtungen, Sorgen in Bezug auf den Umgang mit diesen Daten sowie aus Spam-Kontakten und ihren Folgen.
24(a) Wie der Bundesgerichtshof im Urteil vom 18.11.2024 entschieden hat, stellt der – selbst kurzzeitige – Verlust der Kontrolle über Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO dar, ohne dass es sich daraus entwickelnder besonderer Befürchtungen oder Ängste der betroffenen Person bedarf; solche zusätzlichen spürbaren negativen Folgen sind lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (vgl. BGH, Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 30 f. m. w. N.). Ebenso wenig ist erforderlich, dass es im konkreten Einzelfall zu einer missbräuchlichen Verwendung der betreffenden Daten gekommen ist (vgl. BGH, Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 30 m. w. N.). Der erkennende Senat folgt - unter Aufgabe einer früheren abweichenden Rechtsprechung - dieser Auslegung der DSGVO.
25(b) Nach den Angaben des Klägers bei seiner Anhörung durch den Senat am 22.11.2024 kann der Senat im vorliegenden Fall feststellen, dass der streitgegenständliche Scraping-Vorfall zu einem Kontrollverlust des Klägers im Hinblick auf die Verbindung der Telefonnummer mit weiteren personenbezogenen Daten, insbesondere seinem Namen, geführt hat. Die Angaben des Klägers waren in sich schlüssig. Zudem hat der Kläger einen glaubwürdigen Eindruck hinterlassen.
26Der Schilderung des Klägers zufolge kam es ab dem Jahr 2021 bei ihm zu einem massiven Aufkommen an Spam-SMS und Spam-Anrufen über die von ihm genutzte, vom Datenleck betroffene Mobilfunknummer. Zuvor will er mit dieser Telefonnummer zurückhaltend umgegangen sein. Er nutzte sie zwar zur Beteiligung an sozialen Netzwerken wie beispielsweise U., C., V. und Y. und für Internetbestellungen, seinen Angaben zufolge aber nur zurückhaltend, sodass sie nicht öffentlich für jedermann sichtbar wurde. Dementsprechend hatte der Kläger – abgesehen von den zunächst unveränderten Suchbarkeitseinstellungen – auch seine Telefonnummer in seinem L.-Account hinterlegt. Ausgehend hiervon war er nach seinen Angaben vor dem Jahr 2021 von unerwünschten Spam-SMS und Spam-Anrufen kaum betroffen. Das spricht dafür, dass der Kläger vor der Veröffentlichung der gescrapten Daten im Internet im April 2021 noch die Kontrolle über die Verwendung seiner Mobilfunknummer hatte. Dem steht nicht entgegen, dass diese Nummer mittlerweile auf einer Internetseite für Ahnenforschung veröffentlicht wurde, wie vom Beklagtenvertreter im Senatstermin am 22.11.2024 vorgetragen und dem Kläger vorgehalten. Der Kläger hat angegeben, die Seite nicht zu kennen. Für den Senat ist ebenfalls nicht ersichtlich, wie die Eintragungen auf der Seite entstanden sind, seit wann sie existieren und dass sie bislang von einem nennenswerten Kreis von Internetnutzern zur Kenntnis genommen wurden. Dass bereits die Eintragungen auf dieser Seite vor Veröffentlichung der gescrapten Daten im Internet im April 2021 zu einem Kontrollverlust des Klägers im Umgang mit seiner Mobilfunknummer geführt haben, bleibt als bloße Möglichkeit ein für die Überzeugungsbildung des Senats letztendlich nicht maßgeblicher Umstand.
27Der Senat ist vielmehr davon überzeugt, dass der Kläger die Kontrolle über seine Mobilfunknummer im Jahr 2021 nach der Veröffentlichung der bei der Beklagten gescrapten Daten verloren hat. In dem Jahr gab es den Angaben des Klägers zufolge einen „Peak“, den er auf das Datenleck bei der Beklagten und nachfolgende Veröffentlichung seiner Nutzerdaten im Internet im April 2021 zurückführt. Das ist plausibel. Auch der Umgang des Klägers mit der im Jahre 2021 entstandenen Situation ist nachvollziehbar. So hat er geschildert, dass er im Austausch mit Freunden, die ebenfalls mit einem erhöhten Aufkommen von Spam-Nachrichten konfrontiert waren, vom Datenleck bei der Beklagten erfahren hat und seine Betroffenheit von diesem Datenleck (und nicht auch von weiteren Datenlecks) sodann mit Hilfe der Internetseite „K.“ nachvollziehen konnte. Ausgehend hiervon kann der Senat im Fall des Klägers mit einer für eine Verurteilung der Beklagten ausreichenden Gewissheit feststellen, dass der Scraping-Vorfall bei der Beklagten mit einer sich im April 2021 anschließenden Veröffentlichung der gescrapten Daten im Darknet (als Teil des Internets) zum Verlust der Kontrolle des Klägers über seine Mobilfunknummer geführt hat und damit bei ihm einen immateriellen Schaden eintreten ließ.
28(c) Als weitere Schadensfolge ist vom Kläger zudem bei seiner Anhörung am 22.11.2024 glaubhaft geschildert worden, dass er aufgrund des erlittenen Kontrollverlustes verunsichert ist, ein ungutes („mulmiges“) Gefühl entwickelt hat und im Hinblick auf den Umgang mit seiner Telefonnummer auch besorgt ist. Betroffen war er außerdem durch den Erhalt von Spam-Anrufen und Spam-SMS, die er zunächst als Fälschung erkennen musste um sie zu ignorieren, auch wenn ihm dies – u.a. aufgrund vorhandener IT-Kenntnisse – weitgehend zu gelingen scheint, die ihn aber auch in Situationen erreicht haben, in denen allein ihr Eingang belastend war. So schilderte der Kläger die Situation, während einer Autofahrt wiederholt Spam-Anrufen ausgesetzt gewesen zu sein, deren “Wegklicken“ während der Fahrt für ihn nicht ungefährlich gewesen sei. Der Senat kann nachvollziehen und glaubt dem Kläger, soweit er eigene Wahrnehmungen geschildert hat, dass diese Umstände nachteilige Folgen des in Bezug auf seine Mobilfunknummer eingetretenen Kontrollverlustes waren, der wiederum auf dem bei der Beklagten entstandenen Datenleck beruhte. Diese Umstände begründen ebenfalls einen immateriellen Schaden, den der Senat bei der Bemessung der Schadenshöhe berücksichtigt hat.
29(3) Ein weiterer immaterieller oder ein materieller Schaden ist von dem Kläger weder geltend gemacht worden noch sonst ersichtlich. Dies gilt vor allem im Hinblick auf solche immateriellen Schäden, die auf etwaigen Verletzungen der Pflichten der Beklagten aus Art. 15, 17, 33 und 34 DSGVO beruhen könnten (vgl. auch OLG Hamm Urt. v. 15.8.2023 – 7 U 19/23, juris Rn. 147-149; BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 26).
30(4) Ein angemessener Anspruch auf Ersatz des festgestellten immateriellen Schadens nach Art. 82 Abs. 1 DSGVO beläuft sich unter Abwägung aller Umstände des vorliegenden Einzelfalls auf 200,00 Euro. Dieser Betrag ist zum Ausgleich eines etwaigen Schadens erforderlich, aber auch ausreichend und entspricht der Billigkeit (vgl. § 253 Abs. 2 BGB).
31Bei der – grundsätzlich nach nationalem Recht vorzunehmenden – Bemessung der Höhe des Schadensersatzes sind im Rahmen der Billigkeit alle dafür relevanten Umstände des Einzelfalls – insbesondere Art, Intensität und Dauer der erlittenen Rechtsverletzung (vgl. MüKoBGB/Oetker, 9. Aufl. 2022, BGB § 253, Rn. 36) – in eine Gesamtbetrachtung (vgl. BGH, Urteil vom 22. März 2022 – VI ZR 16/21 -, NJW 2022, 1957 Rn. 8) unter Berücksichtigung der Funktion des Art. 82 Abs. 1 DSGVO einzubeziehen und gegeneinander abzuwägen.
32Dabei hat der Senat der Bemessung des Schadens insbesondere die im Urteil des Bundesgerichtshofes vom 18.11.2024 – VI ZR 10/24, juris Rn. 92-101 – aufgezeigten Kriterien zugrunde gelegt. Zu ihnen gehört neben den unionsrechtlichen Einschränkungen, die aus dem Äquivalenz- und Effektivitätsgrundsatz und daraus folgen, dass die Entschädigung einen Ausgleich bewirken soll, aber keine Abschreckungs- oder Straffunktion hat (vgl. BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 95, 96), der Gesichtspunkt, dass die Höhe der Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben soll, sie aber auch nicht in einer Höhe bemessen werden darf, die über den vollständigen Ersatz des Schadens hinausgeht. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen. Dies gilt auch unter Berücksichtigung des Umstandes, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung (BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 97). In Bezug auf die Untergrenze und auch auf die Obergrenze des nach Art. 82 Abs. 1 DSGVO zu gewährenden Schadensersatzes bestehen somit Vorgaben, die das Schätzungsermessen des Tatgerichts (§ 287 ZPO) rechtlich begrenzen (BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 98).
33Ist nach den Feststellungen ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, sind bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter sind die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (z.B. Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Macht der Betroffene psychische Beeinträchtigungen geltend, die über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen, ist auch dies zu berücksichtigen. Der Tatrichter ist ggfls. gehalten, den Betroffenen anzuhören, um die notwendigen Feststellungen hierzu treffen zu können (vgl. BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 99, 101). Aus Sicht des Bundesgerichtshofes kann der notwendige Ausgleich (allein) für den eingetretenen Kontrollverlust in einem Fall wie dem streitgegenständlichen in einer Größenordnung von 100,00 € zu bemessen sein, im Fall zudem eingetretener psychischer Beeinträchtigungen wäre ein Betrag als Ausgleich festzusetzen, der über dem im Falle eines bloßen Kontrollverlustes zuzusprechenden Betrag liegt (vgl. BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 100, 101).
34Vor diesem Hintergrund ist im vorliegenden Fall in die zur Bemessung des Schadensersatzes vorzunehmende Abwägung einzustellen, dass dem Kläger ein immaterieller Schaden entstanden ist, der in einem Kontrollverlust besteht und der Kläger zudem durch seine Sorge, Unsicherheit in Bezug auf den Umgang mit den gescrapten Daten, insbesondere auch seiner Mobilfunknummer psychisch belastet ist. Zudem wird er mit Spam-Anrufen und Spam-SMS konfrontiert, deren Bewältigung ihn belasten, auch wenn er aufgrund seiner Vorkenntnisse, u.a. im IT-Bereich, Schäden vermeiden und Missbrauchsgefahren begegnen kann. Zu berücksichtigen ist zudem, dass der Kontrollverlust sich auf nicht sonderlich sensible Daten aus der Sozialsphäre des Klägers beschränkt. Der Name des Klägers als solcher ist auch – unter anderem bei U. und C. – anderweitig im Internet auffindbar. Selbst wenn dies für die Telefonnummer nach den Bekundungen des Klägers nicht gilt, so ist die Telefonnummer doch auf Kommunikation mit anderen angelegt, wie ihre vom Kläger eingeräumte Verwendung für den Messenger-Dienst V. belegt. Gelangt sie in die Hand von Dritten, die nach dem Willen des Klägers nicht in ihren Besitz gelangen sollen, wiegt dies entsprechend nicht so schwer wie der Kontrollverlust über Daten, die von vornherein auf Geheimhaltung – wie etwa Arztdaten – angelegt sind. Zudem ist zu berücksichtigen, dass die in Rede stehenden Daten des Klägers auf einer insgesamt ca. 533 Millionen Datensätze umfassenden Liste im Darknet veröffentlicht worden sind, was einen Missbrauch durch Kriminelle wahrscheinlicher als bei zusammenhangloser Erwähnung auf einer Homepage im Internet erscheinen lässt – wobei das persönliche Risiko, für einen Missbrauchsversuch ausgewählt zu werden, wiederum durch die Vielzahl der Datensätze relativiert wird. Allerdings bedeutet die Veröffentlichung im Darknet auch, dass die Dauer des im April 2021 eingetretenen Kontrollverlustes nicht absehbar ist und kaum Chancen bestehen, die Kontrolle zurückzugewinnen, wenn man von der Möglichkeit des Rufnummernwechsels absieht, die der Kläger wegen des damit für ihn verbundenen Aufwandes allerdings nicht beabsichtigt.
35Aus den vorstehenden Gründen erscheint es aus Sicht des Senats erforderlich, aber auch ausreichend und angemessen, den dem Kläger entstandenen immateriellen Schaden mit einer Entschädigung in Höhe von 200,00 € auszugleichen.
36b)
37Rechtsgrundlagen des deutschen Rechts vermitteln dem Kläger keinen weitergehenden Schadensersatzanspruch.
38Ein Anspruch aus § 7 BDSG a.F. oder § 823 Abs. 1 BGB in Verbindung mit Art. 2 Abs. 1, Art. 1 Abs. 1 GG wegen einer Persönlichkeitsrechtsverletzung kommt nicht in Betracht (vgl. OLG Hamm, Urt. v. 15.08.2023 – 7 U 19/23, juris Rn. 202-204). Während § 7 BDSG a.F. nur den Ersatz eines materiellen Schadens vorsieht (BGH, Urt. v. 29.11.2016 - VI ZR 530/15, NJW 2017, 800, Rn. 11 ff.; OLG Köln, Urt. v. 16.12.2022 – 7 U 184/21, juris, Rn. 11 ff.), setzt ein Anspruch aus § 823 Abs. 1 BGB in Verbindung mit Art. 2 Abs. 1, Art. 1 Abs. 1 GG regelmäßig eine schwerwiegende Persönlichkeitsrechtsverletzung voraus, die hier offensichtlich nicht gegeben ist.
39Die Voraussetzungen eines Anspruchs aus § 280 Abs. 1 BGB und § 823 Abs. 2 BGB bedürfen keiner weiteren Erörterung, weil sich aus diesen Rechtsgrundlagen – ihre Voraussetzungen unterstellt – kein Anspruch auf einen über 200,00 € hinausgehenden Schadensbetrag ergeben würden. Die für die für die Bemessung der Schadenshöhe im Rahmen des Anspruchs gemäß Art. 82 DSGVO maßgeblichen Gesichtspunkte sind für die Schadensbemessung im Rahmen der vorstehenden Anspruchslagen ebenfalls maßgeblich. Die unionsrechtlichen Beschränkungen bewirken im vorliegenden Fall keine Beschränkung des Schadens, so dass dieser unter alleiniger Anwendung nationalen Rechts nicht höher zu bemessen wäre. Insbesondere fällt ein Verschulden der Beklagten (nach den o. g. Umständen liegt dem Scraping-Vorfall allenfalls ein fahrlässiges Verschulden zugrunde) nicht so ins Gewicht, dass es neben dem zu leistenden Ausgleich einen weiteren, in der Summe höheren Entschädigungsbetrag rechtfertigt.
402.
41Den Feststellungsantrag zu 2 legt der Senat in dem Sinne aus, dass er sich auf künftige materielle und künftige immaterielle, derzeit noch nicht vorhersehbare Schäden bezieht. Mit Ausnahme der gesondert geltend gemachten vorgerichtlichen Rechtsanwaltskosten sind dem Kläger bislang entstandene materielle Schäden nicht vorgetragen und auch nicht ersichtlich geworden. Im Hinblick auf die immateriellen Schäden liegt keine Teilklage vor, so dass der verlangte Zahlungsbetrag auch bereits vorhersehbare, künftige Schadensfolgen umfasst.
42Der im vorstehenden Sinne ausgelegte Feststellungsantrag ist zulässig und begründet.
43Die für das Feststellungsinteresse ausreichende Möglichkeit des Eintritts künftiger Schäden (vgl. BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 47-49) ist gegeben. Der Kläger wurde durch den festgestellten Verstoß gegen die DSGVO in seinem Recht auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG bzw. in seinem Recht auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh verletzt. Aus der im Internet fortdauernden Veröffentlichung der personenbezogenen Daten des Klägers, insbesondere seines Namens in Verbindung mit seiner Telefonnummer, besteht das Risiko einer missbräuchlichen Nutzung dieser Daten mit der Folge eines materiellen oder immateriellen Schadens fort.
44Der Feststellungsantrag ist zudem begründet. Insoweit kann auf die vorstehenden Ausführungen zu dem Anspruch aus Art. 82 DSGVO verwiesen werden. Der bestehende Schadensersatzanspruch des Klägers rechtfertigt auch die vorliegende Feststellung der Ersatzpflicht der Beklagten in Bezug auf künftige Schäden.
453.
46Der Unterlassungsantrag zu 3 a) war vor der Antragsänderung im Senatstermin am 22.11.2024 infolge Unbestimmtheit unzulässig. Der Senat folgt insoweit den Gründen des Urteils des Bundesgerichtshofes vom 18.11.2024 - VI ZR 10724, juris Rn. 51-58, der einen gleichlautenden Antrag zu beurteilen hatte.
47Im Ergebnis kann dahinstehen, ob der in der Senatsverhandlung geänderte Unterlassungsantrag nunmehr hinreichend bestimmt ist und für ihn ein Rechtsschutzbedürfnis besteht. Selbst wenn man dies zugunsten des Klägers unterstellt, bleibt der nach wie vor an die Kontaktimportfunktion anknüpfende Antrag erfolglos, weil die materiell-rechtlichen Voraussetzungen für einen Unterlassungsanspruch des Klägers in Bezug auf diese Funktion nicht erfüllt sind. Der Anspruch setzt unabhängig davon, ob man ihn mit Art. 17 DSGVO, einer vertraglichen Grundlage oder §§ 1004 Abs. 1, 823 BGB begründet, eine Erstbegehungs- oder - nach einer vorliegenden Rechtsverletzung - eine Wiederholungsgefahr voraus. Diese wird bei einer bereits vorliegenden Rechtsverletzung zwar in tatsächlicher Hinsicht vermutet, dies auch dann, wenn es – wie vorliegend – um eine einzige Rechtsverletzung geht. Die Wiederholungsgefahr kann aber dennoch entfallen, wenn sich der Sachverhalt so verändert, dass die ursprüngliche Rechtsverletzung nicht mehr auftreten kann (vgl. Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 28.02.2012 – 11 U 64/10 –, juris Rn. 59; Staudinger/Thole (2023) BGB § 1004, Rn. 450). Hiervon ist im vorliegenden Fall auszugehen. Die Beklagte hat vorgetragen, die Kontaktimportfunktion durch die „People you may know“-Funktion modifiziert und dadurch bewirkt zu haben, dass bei einer Suche mittels einer Telefonnummer nur noch Freundschaftsvorschläge, aber keine direkten Kontaktübereinstimmungen mehr angezeigt werden. Hiernach ist es nicht mehr möglich, mittels der Kontaktimportfunktion Telefonnummern mit Daten bestimmter L.-Nutzer zu verbinden, so dass sich ein dem streitgegenständlichen Scraping-Vorfall entsprechendes Geschehen nicht wiederholen kann. Das diesen Vortrag bestreitende Vorbringen des Klägers, das er mit einem fehlenden Einblick in die Funktionalität der Kontaktimportfunktion und der technischen Ausgestaltung begründet, ist unzureichend und damit unerheblich. Es wäre dem Kläger, der nach wie vor einen L.-Account unterhält, unschwer möglich, die Funktionen der Kontaktimportfunktion praktisch auszutesten und ein vom Vortrag der Beklagten abweichendes Testergebnis vorzutragen.
48Für einen eher in Ausnahmefällen (vgl. BeckOGK/Spohnheimer, 01.11.2024, BGB § 1004 Rn. 271) mit einer Erstbegehungsgefahr zu begründenden Unterlassungsanspruch fehlt es nach der Einführung der „People you may know“-Funktion an Anhaltspunkten zu einer zeitlich nahen und wahrscheinlichen ersten Störung aufgrund von Eigenschaften der abgelösten Kontakt-Import-Funktion, die als Erstbegehungsgefahr zu bewerten sein könnte.
49Der Unterlassungsantrag zu 3 b) ist, wenn auch nicht im Hinblick auf § 253 Abs. 2 Nr. 2 ZPO und § 890 Abs. 2 ZPO zu unbestimmt (vgl. BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 61-64, 70), im vorliegenden Fall jedoch im Hinblick auf ein fehlendes Rechtsschutzbedürfnis unzulässig.
50Das Rechtsschutzbedürfnis ist zu verneinen, wenn ein einfacherer oder billigerer Weg zur Erreichung des Rechtsschutzziels besteht oder der Antragsteller kein berechtigtes Interesse an der beantragten Entscheidung hat. Dafür gelten allerdings strenge Maßstäbe. Das Rechtsschutzbedürfnis fehlt (oder entfällt) nur dann, wenn das Betreiben des Verfahrens eindeutig zweckwidrig ist und sich als Missbrauch der Rechtspflege darstellt. Auch darf der Kläger nicht auf einen verfahrensmäßig unsicheren Weg verwiesen werden (vgl. BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 67).
51Der vom BGH skizzierte Fall eines einfacheren und billigeren Weges zur Erreichung des Rechtsschutzziels ist im vorliegenden Fall gegeben. Der Kläger begehrt mit dem Unterlassungsantrag zu 3 b) die Unterlassung einer Verarbeitung seiner Telefonnummer mittels der Kontaktimportfunktion (CIT), solange ihm als Nutzer keine eindeutige Information darüber vorliegt, dass die Telefonnummer auch bei Einstellung der Einsehbarkeit auf „privat“ noch mögliches Suchkriterium ist.
52Dass die Telefonnummer mittels der früheren Kontaktimportfunktion Anknüpfungsmerkmal für die Suche nach L.-Profilen war, ist dem Kläger aufgrund des hiesigen Verfahrens positiv bekannt. Er ist nach eigenen Angaben von seinen Prozessbevollmächtigten auf die Möglichkeit, die Suchbarkeitseinstellungen seiner Telefonnummer zu ändern, hingewiesen worden, wobei dieser Hinweis zudem dem vorprozessualen Schreiben der Beklagten vom 09.09.2021 (Anl. B16, Bl. 314ff LG-Akte) zu entnehmen ist, das der Kläger erhalten hat. Die Kenntnis lag bei seinen Prozessbevollmächtigten im Zeitpunkt ihrer Mandatierung durch den Kläger bereits vor, was sich der Kläger zurechnen lassen muss. Mithin ist der Kläger bereits vor Klageerhebung über die Suchbarkeit seines Profils über die Mobilfunktelefonnummer vollständig informiert gewesen.
53Deswegen hätte der Kläger die Suchbarkeit bereits vor Klageerhebung umstellen können. Soweit er gleichwohl die Funktion seiner Suchbarkeit trotz ausreichender Information mangels Änderung der Suchbarkeitseinstellung „everyone“ weitergenutzt hat, hat er objektiv betrachtet aktiv unter Berücksichtigung von Erwägungsgrund 62 Satz 1 Var. 1 DSGVO dazu eine Einwilligung erteilt (vgl. OLG Hamm Urt. v. 15.08.2023 – 7 U 19/23, juris Rn. 236 f.; wozu sich der BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 68 f. nicht verhalten musste). Für den Fall, dass er weiterhin einer Suchbarkeit seines Profils anhand der Telefonnummer zustimmen wollte, wäre die geforderte Information mithin erfolgt.
54Angesichts dessen ist nicht ersichtlich, welches berechtigte Rechtsschutzziel der Kläger mit seinem Unterlassungsantrag zu 3 b) noch verfolgen will. Die bereits vor der Klageerhebung bekannte Möglichkeit zur Änderung der Suchbarkeitsfunktion war für den Kläger des vorliegenden Falls ein einfacherer und billigerer Weg zur Erreichung des Rechtsschutzziels, eine Suchbarkeit mittels seiner Telefonnummer zu verhindern.
55Beschritt er diesen Weg nicht, willigte er in die Suchbarkeit seiner Telefonnummer ein. Damit kommt es vorliegend nicht darauf an, wie der Kläger selbstständig Abhilfe gegen sämtliche in Anl. B6 („Möglicherweise verwenden wir deine Mobilnummer für diese Zwecke“) genannten Verwendungsarten der Mobilfunktelefonnummer hätte schaffen können (vgl. dazu BGH Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 69).
564.
57Über den Auskunftsanspruch zu 4 ist nicht mehr zu entscheiden, weil der Kläger die Berufung insofern zurückgenommen hat.
585.
59Der Antrag zu 5 auf Erstattung vorgerichtlicher Rechtsanwaltskosten, insoweit verlangt der Kläger eine Zahlung von 887,03 € an sich, ist unbegründet und die Berufung insoweit ebenfalls unbegründet.
60Der Kläger, der offenbar rechtsschutzversichert ist, eine Versicherung hat den erstinstanzlich angeforderten Gerichtskostenvorschuss eingezahlt, hat nicht dargelegt und nicht nachgewiesen, dass er die vorgerichtlichen Anwaltskosten ganz oder zum Teil selbstbezahlt hat und deswegen insoweit eine Schadensersatzzahlung an sich verlangen kann. Naheliegend ist vielmehr, dass seine Versicherung die vorgerichtlichen Anwaltskosten beglichen hat, so dass ein möglicherweise bestehender Anspruch gemäß § 86 Abs. 1 S. 1 VVG auf den Rechtsschutzversicherer übergegangen ist.
616.
62Die prozessualen Nebenentscheidungen beruhen auf §§ 92 Abs. 1, 516 Abs. 3 S. 1, 713 ZPO.
637.
64Die Revision ist nicht zuzulassen. Ein Zulassungsgrund nach § 543 Abs. 2 Satz 1 ZPO ist nicht gegeben, weil es sich in Bezug auf den fehlenden Schaden und die die Unzulässigkeit der Anträge zu 2. und 3. begründenden Umstände um eine Einzelfallentscheidung handelt. Die im vorliegenden Rechtsstreit zu prüfenden, entscheidungserheblichen Rechtsfragen sind durch die Rechtsprechung des Europäischen Gerichtshofes und jetzt durch die Rechtsprechung des Bundesgerichtshofs zum Leitentscheidungsverfahren, Urt. v. 18.11.2024 - VI ZR 10/24 - hinreichend geklärt.
658.
66Der Senat sieht ferner keinen Anlass für die Einleitung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV oder für die Aussetzung des vorliegenden Verfahrens analog § 148 ZPO. Mit der vorliegenden Einzelfallentscheidung weicht der Senat nicht von der Rechtsprechung des Europäischen Gerichtshofes ab und entscheidet auch nicht über noch zu klärende Rechtsfragen der DSGVO. Der Senat folgt zudem der Rechtsprechung des Bundesgerichtshofes, der bei seiner Entscheidung im Leitentscheidungsverfahren ebenfalls keinen Grund mehr gesehen hat, das ihm vorliegende Verfahren im Hinblick auf die noch zu Art. 82 DSGVO anhängigen Vorabentscheidungsverfahren auszusetzen, vgl. Rn. 81 ff. der o. g. Entscheidung des Bundesgerichtshofes.