1

Gründe:

2

I.

3

Von einer Bezugnahme auf die tatsächlichen Feststellungen sowie der Darstellung von Änderungen oder Ergänzungen wird nach §§ 540 Abs. 2, 313a Abs. 1 S. 1 ZPO abgesehen.

4

II.

5

Die Berufung des Klägers ist teilweise begründet, was zur Abänderung der angefochtenen Entscheidung im tenorierten Umfang führt. Im Übrigen bleibt sie ohne Erfolg.

6

1.              Der Kläger hat gegen die Beklagte einen Anspruch auf Zahlung von Schadensersatz für immaterielle Schäden aus Art. 82 Abs. 1 DSGVO in Höhe von 100 Euro.

7

a.              Die Regelung des Art. 82 Abs. 1 DSGVO ist vorliegend zeitlich anwendbar. Es wird Bezug auf die Ausführungen des Senats im Urteil des Parallelverfahrens 15 U 40/23 vom heutigen Tage genommen, die den Prozessbevollmächtigten der Parteien bekannt sind.

8

b.              Die Beklagte hat als Verantwortliche gemäß Art. 4 Nr. 7 DSGVO durch ihre Verarbeitung der personenbezogenen Daten des Klägers schuldhaft gegen Art. 5 Abs. 1 lit. b) und lit. c), Art. 25 Abs. 2 S. 1 und 3 DSGVO verstoßen, weil die von ihr vorgenommene Voreinstellung der Suchbarkeit über die Mobilfunknummer auf „U.“ nicht dem Grundsatz der Datenminimierung entsprochen hat. Es wird auch insoweit Bezug auf die Ausführungen im Urteil des Parallelverfahrens 15 U 40/23 vom heutigen Tage genommen.

9

c.              Der Kläger hat durch diesen Datenschutzverstoß einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO erlitten.

10

aa.              Nach Anhörung des Klägers steht zur Überzeugung des Senats fest, dass dieser einen Kontrollverlust dergestalt erlitten hat, dass seine bei der Beklagten gespeicherte Mobilfunknummer zusammen mit seinem Namen im Internet veröffentlicht wurde.

11

Der Kläger hat überzeugend dargelegt, dass er seine Mobilfunknummer weder bei Bestellungen oder Buchungen im Internet noch auf sonstigen sozialen Netzwerken oder auf anderen bzw. einer eigenen Internetseite in einer Art und Weise veröffentlicht hat, die mit der hier streitgegenständlichen Veröffentlichung seiner Daten vergleichbar ist. Er hat zwar erklärt, dass er seine Mobilfunknummer nicht für die Zwei-Faktor-Authentifizierung, sondern deshalb bei der Beklagten angegeben habe, weil diese „mit einem Feature geworben“ habe, welche bewirke, dass „einen Freunde über die Nummer finden können“. Darin lag jedoch – wie die weitere Anhörung des Klägers ergab – keine von ihm veranlasste allgemeine öffentliche Sichtbarkeit der Mobilfunknummer, da der Kläger mit dieser von der Beklagten angebotenen Funktion die Erwartung verband, dass ihn „Freunde finden können, die ohnehin schon meine Nummer haben“.

12

Nach den glaubhaften Angaben des Klägers ist der Senat weiter davon überzeugt, dass der Kläger nicht bereits vor dem hier streitgegenständlichen Vorfall Opfer eines sog. Datenlecks geworden ist und bereits bei diesem die Kontrolle über seine Mobilfunknummer verloren hat. Insofern kann nicht festgestellt werden, dass sich das Risiko, auch Dritte könnten seine Telefonnummer nicht datenschutzkonform verarbeitet haben, schon vor dem Scraping auf der Plattform der Beklagten verwirklicht hat. Mag die vom Kläger in seiner Anhörung bestätigte Angabe der Mobilfunknummer beispielsweise bei Bestellungen und Buchungen, die diese Nummer verpflichtend erforderten oder auf anderen Internetseiten – auch weiteren sozialen Netzwerken – zum Zwecke der Accountsicherung bzw. der Zwei-Faktor-Authentifizierung auch ein gewisses Risiko beinhalten, so ist dies nicht mit dem Kontrollverlust durch das streitgegenständliche Scraping und der dauerhaften Preisgabe der mit dem Namen des Klägers verknüpften Mobilfunknummer im Internet vergleichbar.

13

Dagegen fehlt es an einem Kontrollverlust des Klägers hinsichtlich der weiteren im streitgegenständlichen Datensatz veröffentlichten Daten (M.-ID, Name, Geschlecht und Arbeitgeber). Denn diese Daten hat der Kläger nach dem unstreitigen Vorbringen der Beklagten öffentlich einsehbar auf seiner Profilseite hinterlegt und damit öffentlich zugänglich gemacht bzw. er hat sie im Rahmen der Registrierung bei der Beklagten angegeben, wobei in der dabei verlinkten Datenrichtlinie darauf hingewiesen wird, dass diese Daten immer – auch von Personen, die nicht auf der Plattform der Beklagten registriert sind – gesehen werden können. Hat der Kläger damit aber bewusst auf eine Kontrolle dieser Daten verzichtet, da sein Profil mit den darauf veröffentlichten Daten nicht nur von jedem anderen Nutzer der Beklagten, sondern – so der schon in erster Instanz unstreitige Vortrag der Beklagten – auch von Dritten, die keine Nutzer des sozialen Netzwerkes sind, wahrgenommen werden konnte, so kommt hinsichtlich dieser ein Kontrollverlust nicht in Betracht.

14

bb.              Der Kontrollverlust über die Mobilfunknummer stellt einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar. Der Senat nimmt insofern Bezug auf die Ausführungen des Bundesgerichtshofs in seiner Entscheidung vom 18.11.2024 (VI ZR 10/24, juris Rn. 27 ff.) unter Bezugnahme auf Entscheidungen des Europäischen Gerichtshofs und schließt sich diesen an.

15

cc.              Die mit der Klageschrift behaupteten weitergehenden Folgen, die darin bestehen sollen, dass sich der Kläger wegen des Scraping-Vorfalls und des damit verbundenen Kontrollverlustes in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch der ihn betreffenden Daten befinde, bei jeder digitalen Nachricht einen Betrug fürchte und sich mit dem Datenleck habe auseinandersetzen müssen, haben sich in der persönlichen Anhörung des Klägers allerdings nicht bestätigt.

16

Der Kläger hat zwar angegeben, von den ab Februar 2021 bei ihm eingehenden Spam-SMS sowie Spam-Anrufen – diese überwiegend aus dem Ausland – sehr verunsichert worden zu sein, weil er Spams „sonst nur durch E-Mail kannte“. Er hat auch angegeben, nach Bekanntwerden des Datenschutzvorfalls bei der Beklagten „verstärkt Sorge“ empfunden zu haben, weil er nicht gewusst habe, was mit seiner Nummer künftig noch passieren könne. Insgesamt hat der Kläger auf den Senat jedoch eher den Eindruck gemacht, dass bei ihm der Ärger und die Enttäuschung überwog, dass die Beklagte keine (hinreichenden) Vorkehrungen gegen den massenhaften Abgriff von Daten getroffen und dass man ihn seitens der Beklagten nicht über den Scraping-Vorfall informiert hatte. Eine kurzzeitige Verunsicherung des Klägers oder Sorge bei Auftreten der ersten Spam-SMS und -anrufe ist zwar nachvollziehbar, entspricht jedoch noch denjenigen Unannehmlichkeiten, die regelmäßig mit einem Kontrollverlust verbunden sind. Weitergehende Folgen konnten nicht festgestellt werden: Der Kläger hat mit den von ihm geschilderten insgesamt ca. 13 Anrufen und SMS in gut drei Jahren ein nur geringes Maß an Belästigung erfahren und auch sonst nicht erkennen lassen, dass ihn der Vorfall nachhaltig beeinträchtigt hätte. Er hat – weil es sich nach seinen Angaben um „meine vertraute Nummer“ handelt – die Mobilfunknummer nicht gewechselt und ist auch Nutzer auf der Plattform der Beklagten geblieben. Weiter hat der Kläger auch nicht bekundet, dass er neben der Beauftragung eines Anwalts weitere Maßnahmen ergriffen hat, um sich mit dem Datenleck auseinanderzusetzen.

17

d.              Der nach Anhörung des Klägers festgestellte Kontrollverlust in Form der Preisgabe seines Namens mit der Mobilfunknummer im Internet ist auch kausal auf den Datenschutzverstoß der Beklagten zurückzuführen. Die Beklagte selbst nennt keine alternative Ursache dafür, dass die Mobilfunknummer der Klägerin in Kombination mit ihrem Namen auf den genannten Internetseiten – dies in Kombination mit der sog. M.-ID und damit einer Nutzungskennung gerade der Plattform der Beklagten – veröffentlicht worden ist. Es kommt im Hinblick auf diesen Kontrollverlust nicht darauf an, ob und welche Spam-SMS/-Anrufe gerade auf dem Scrapingvorfall bei der Beklagten und der Veröffentlichung dieser Daten im Internet beruhen.

18

e.              Für den Kontrollverlust über seine Mobilfunknummer in Kombination mit dem Namen des Klägers hält der Senat einen Schadensersatzanspruch in Höhe von 100 Euro für angemessen. Hinsichtlich der Bemessung desselben wird Bezug auf die Ausführungen im Urteil des Parallelverfahrens 15 U 40/23 vom heutigen Tage genommen.

19

f.              Ein Mitverschulden des Klägers am Kontrollverlust seiner Mobilfunknummer kann nicht festgestellt werden. Soweit die Beklagte hier darauf abstellt, der Kläger habe seine Suchbarkeitseinstellungen nach dem Vorfall zunächst nicht geändert und auch seine Mobilfunknummer beibehalten, ändert dies nichts. Denn dieses Verhalten des Klägers hat unstreitig erst nach dem streitgegenständlichen Scraping stattgefunden und konnte damit auf den Kontrollverlust als solchen keine Auswirkung haben.

20

2.              Der Kläger hat einen Anspruch auf Feststellung, dass die Beklagte verpflichtet ist, ihm künftige materielle und künftige derzeit noch nicht vorhersehbare immaterielle Schäden zu ersetzen, die ihm durch den unbefugten Zugriff auf das Datenarchiv der Beklagten im Zeitraum ab dem 25.5.2018 bis September 2019 entstehen.

21

a.              Der Antrag ist zulässig, weil die Möglichkeit des Eintritts künftiger Schäden zu bejahen ist. Der Kläger wurde durch den von der Beklagten begangenen Verstoß gegen die DSGVO in seinem Recht auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG bzw. in seinem Recht auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh verletzt. Aufgrund der unstreitig fortdauernden Veröffentlichung der personenbezogenen Daten des Klägers besteht das Risiko einer missbräuchlichen, insbesondere betrügerischen Verwendung fort.

22

b.              Der Feststellungsantrag ist auch begründet, weil die Beklagte – wie oben dargelegt – zu Lasten des Klägers schuldhaft gegen die DSGVO verstoßen hat und ihm damit dem Grunde nach ein Anspruch auf Ersatz der künftigen materiellen bzw. der künftigen, derzeit noch nicht vorhersehbaren immateriellen Schäden aus Art. 82 Abs. 1 DSGVO zusteht.

23

3.              Die mit dem Antrag zu 3) gestellten Unterlassungsanträge sind dagegen insgesamt unzulässig.

24

a.              Der im Schriftsatz vom 16.12.2024 in einer geänderten Form gestellte Antrag zu 3a) ist unzulässig, so dass es auf die Frage, ob eine Zustimmung der Beklagten erforderlich war, im Ergebnis nicht ankommt. Dem Antrag fehlt es schon an einer notwendigen Bestimmtheit (§ 253 Abs. 2 Nr. 2 ZPO), jedenfalls aber am Rechtsschutzbedürfnis. Auch insoweit wird auf die Ausführungen im Urteil des Parallelverfahrens 15 U 40/23 vom heutigen Tage und die Änderung der Suchbarkeitseinstellungen Bezug genommen.

25

b.              Der Antrag zu 3b) ist mangels Rechtsschutzbedürfnis ebenfalls unzulässig.

26

Zwar kann auf Basis der Ausführungen des Bundesgerichtshofs im Urteil vom 18.11.2024 (VI ZR 10/24, juris) der vorliegend in identischer Form gestellte Antrag zu 3b) zunächst dahingehend ausgelegt werden, dass der Kläger über seine Einwendungen gegen das CIT hinaus die Unterlassung einer Verarbeitung seiner Telefonnummer verlangt, die über die Zwei-Faktor-Authentifizierung und die Accountsicherung hinausgeht. Jedoch spiegeln die in Form von Textbausteinen eingereichten Schriftsätze der ersten Instanz nicht das wirkliche Rechtsschutzziel des Klägers wieder. Dieser hat in seiner persönlichen Anhörung angegeben, dass er seine Mobilfunknummer „nicht für die Zwei-Faktor-Authentifizierung eingegeben“ habe und diese bei ihm auch nicht „eingestellt“ sei. Unter diesen besonderen Voraussetzungen ist aber nicht mehr erkennbar, welchen Rechtsschutz der Kläger dann mit dem hier gestellten Unterlassungsantrag erreichen will; mangels Nutzungswillen der Mobilfunknummer für die Zwei-Faktor-Authentifizierung bleibt ihm der einfachere Weg, seine Nummer aus dem Profil bei der Beklagten zu löschen.

27

4.              Der Kläger hat weiter einen Anspruch auf Erstattung außergerichtlicher Anwaltskosten für die mit Schreiben vom 10.6.2021 (Anlage K1) erfolgte Geltendmachung seines Anspruchs auf Schadensersatz. Denn damit hat er den nach den obigen Ausführungen berechtigten Anspruch aus dem Antrag zu 1) gegen die Beklagte mit – insoweit notwendiger – anwaltlicher Hilfe geltend gemacht. Dagegen ist das nach den obigen Ausführungen ebenfalls begründete Feststellungsbegehren hinsichtlich künftiger Schäden in diesem Schreiben nicht geltend gemacht worden und kann daher bei der Bestimmung des Gegenstandswertes für die Anwaltsgebühren nicht herangezogen werden. Bei einem damit anzusetzenden Gegenstandswert von 100 Euro ergibt sich bei Ansatz einer 1,3-Verfahrensgebühr nebst Auslagenpauschale und Umsatzsteuer ein Erstattungsanspruch in Höhe von 90,96 Euro.

28

5.              Die prozessualen Nebenentscheidungen ergeben sich hinsichtlich der Kosten aus §§ 92 Abs. 1 S. 1, 269 Abs. 3 S. 2 ZPO und hinsichtlich der vorläufigen Vollstreckbarkeit aus §§ 708 Nr. 10, 713 ZPO.

29

6.              Die Zulassung der Revision kam nicht in Betracht, da die Voraussetzungen des § 543 ZPO nicht vorliegen.