Entscheidung 1 U 18/23

1. Auf die Berufung der Klägerin wird das Urteil der 2. Zivilkammer des Landgerichts Potsdam vom 11. August 2023, Az. 2 O 96/22, teilweise abgeändert und wie folgt neu gefasst.

Die Beklagte wird verurteilt, an die Klägerin Schadensersatz in Höhe von 100,00 Euro nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 28. Juli 2022 zu zahlen.

2. Die Beklagte wird verurteilt, an die Klägerin vorgerichtliche Rechtsanwaltskosten in Höhe von 90,96 Euro zuzüglich Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 28. Juli 2022 zu zahlen.

3. Im Übrigen wird die Klage abgewiesen.

4. Die weitergehende Berufung wird zurückgewiesen.

5. Die Kosten des Rechtsstreits in beiden Instanzen trägt die Klägerin.

6. Das Urteil ist vorläufig vollstreckbar. Die Vollstreckung kann durch Sicherheitsleistung in Höhe von 120 % des jeweils beizutreibenden Betrages abgewendet werden, wenn nicht die Vollstreckung betreibende Partei vor der Vollstreckung Sicherheit in gleicher Höhe leistet.

I.

Die Klägerin ist Nutzerin der von der Beklagten betriebenen Social-Media-Plattform … und macht im Zusammenhang mit einem sog. Scraping-Ereignis Schadensersatz-, Unterlassungs- und Auskunftsansprüche wegen der Verletzung der Datenschutz-Grundverordnung (im Folgenden: DSGVO) geltend.

Auf der Plattform … können die Nutzer nach einer Registrierung mit anderen Nutzern kommunizieren sowie Fotos und Informationen austauschen. Zur Registrierung müssen die Nutzer Daten angeben, wie beispielsweise Vor- und Nachname, Geburtsdatum, Geschlecht, E-Mailadresse und ein entsprechendes Passwort. Darüber hinaus steht es den Nutzern frei, weitere Angaben zu machen, z.B. zu ihrem Beziehungsstatus, dem Geburtstag oder einer Telefonnummer.

Im Rahmen der Registrierung wird der Nutzer auf eine Datenschutzrichtlinie hingewiesen, die durch eine Verlinkung abrufbar ist und in der erläutert wird, welche seiner Angaben immer öffentlich sichtbar sind und so von jedermann eingesehen werden kann. Nach den Standardeinstellungen gehören hierzu der Name, das Profil- sowie Titelbild, das Geschlecht, der Nutzername und die jeweilige Nutzer-ID.

In einem von der Beklagten vorgegebenen Rahmen können die Nutzer darüber hinaus entscheiden, welche anderen Gruppen von Nutzern auf ihre Daten zugreifen können. Bei der sogenannten „Zielgruppenauswahl“ legt der Nutzer fest, wer welche Informationen seines …-Profils einsehen kann. Statt der Standardeinstellung „öffentlich“ kann der Nutzer wählen, dass nur Freunde oder nur Freunde von Freunden auf der Plattform die Informationen einsehen können.

Die „Suchbarkeits-Einstellungen“ legen fest, welche anderen Nutzer das eigene Profil auf Grund der im Rahmen des Anmeldeprozesses hinterlegten Telefonnummer finden können. Sofern Nutzer die Einstellungen bei den voreingestellten Bedingungen belassen, ermöglicht das sog. Contact-Import-Tool (CIT) des Netzwerks einen Abgleich der sich auf dem Handy befindlichen Kontaktdaten mit den bei … von anderen Nutzern hinterlegten Handynummern. Auf diese Weise können Nutzer ihnen bekannte Personen als „…-Freunde“ hinzuzufügen, ohne sie namentlich suchen zu müssen. Dazu war es nicht erforderlich, dass der Nutzer seine Telefonnummer nach der Zielgruppenauswahl öffentlich eingestellt hatte. Nutzer konnten damit anhand ihrer Telefonnummer gefunden werden, solange sie ihre „Suchbarkeits-Einstellungen“ für Telefonnummern auf die Standardeinstellung „Alle“ gesetzt hatten.

In der Zeit von Januar 2018 und September 2019 ordneten unbekannte Dritte durch die Eingabe randomisierter Ziffernfolgen über die Kontakt-Import-Funktion des Netzwerks Telefonnummern zu Nutzerkonten zu und griffen diese Daten ab (sog. Scraping). Bei einer Übereinstimmung wurden die öffentlich zugänglichen Profildaten mit der hochgeladenen Handynummer verknüpft und die auf diese Weise erlangten Kontaktdaten von über 533 Mio. …-Nutzern aus über 100 Ländern im April 2021 im Darknet veröffentlicht.

Die Klägerin war als Nutzerin auf der Plattform … mit der E-Mail-Adresse e...b…@gmx.de registriert. Im Nutzerprofil der Klägerin waren ihr Name, ihr Geschlecht und ihre Nutzer-ID öffentlich einsehbar; die Suchbarkeitseinstellung ihres Kontos war seit dem 10. September 2010 auf „everyone“ und „search by phone“ eingestellt.

Von dem Scraping-Ereignis von Januar 2018 bis September 2019 waren im Jahr 2019 auch die persönlichen Daten der Klägerin betroffen. Dies betraf die Telefonnummer in Verknüpfung mit den Daten des Nutzerkontos, d.h. Nutzer-ID, Vorname, Nachname, Geschlecht und Arbeitsstätte.

Die Beklagte überarbeitete das CIT schließlich dergestalt, dass sie die Liste direkter Kontaktübereinstimmungen durch eine Liste mit Kontaktvorschlägen, der „Menschen, die du kennen könntest“-Funktion (sog. people you may know-Funktion) ersetzte. In Folge der Überarbeitung ordnete das CIT einen gefundenen …-Nutzer nicht mehr dem Kontakt auf dem Telefon zu, sondern zeigte nach dem Import der Kontakte vom Mobiltelefon eine Liste mit Nutzern an, die der importierende Nutzer kennen könnte und somit eine Liste, die möglicherweise nur wenige oder gar keine der vom Nutzer hochgeladenen Kontakte enthält.

Das Landgericht hat die Klage im Wesentlichen aus den folgenden Gründen abgewiesen. Der sachliche Schutzbereich der Anspruchsgrundlage des Art. 82 DSGVO sei bezogen auf die behaupteten verspäteten Auskunftsansprüche gemäß Art. 15 und Art. 34 DSGVO nicht eröffnet. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechten würde nicht für das Auslösen von Schadensersatzansprüchen ausreichen. Ebenso würden Verstöße gegen Art. 13 oder 14 DSGVO nicht in den Schutzbereich des Art. 82 DSGVO fallen. Ein Unterlassungsanspruch aus §§ 1004 analog, 823 Abs. 1 und Abs. 2 BGB i.V.m. Art. 6 DSGVO sowie Art. 17 DSGVO sei mangels Verstoßes der Beklagten nicht gegeben. So habe die Beklagte die Klägerin ausreichend gemäß Art. 13 DSGVO aufgeklärt, insbesondere über die Verarbeitung der Daten. Auch habe sie die Daten der Klägerin gemäß Art. 32 DSGVO ausreichend geschützt. Eine besondere Pflicht, das Konto der Klägerin vor dessen Auffinden über die Telefonnummer zu schützen, habe nicht bestanden.

Hiergegen wenden sich die Klägerin mit ihrer Berufung, mit der sie ihr erstinstanzliches Klagebegehren – unter Wiederholung und Vertiefung ihres erstinstanzlichen Vorbringens – weiterverfolgt.

Die Klägerin beantragt,

1.

die Beklagte zu verurteilen, an sie immateriellen Schadensersatz in angemessener Höhe wegen Verstößen gegen die Datenschutzgrundverordnung vor und im Nachgang zum streitgegenständlichen Scraping-Vorfall zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens insgesamt jedoch 1.000 €, nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz,

2.

festzustellen, dass die Beklagte verpflichtet ist, ihr alle künftigen materiellen und künftige derzeit noch nicht vorhersehbare immaterielle Schäden zu ersetzen, die ihr durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden,

3.

die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000 €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a)

eine Verarbeitung personenbezogener Daten der Klägerseite, namentlich Telefonnummer, …ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus, über die Eingabe der Telefonnummer der Klägerin in das Kontakt-Import-Tool und die darüber hergestellte Verknüpfung der eingegeben Telefonnummer mit weiteren öffentlichen personenbezogenen Daten des Nutzerprofils der Klägerin zu ermöglichen, ohne dass die Beklagte zum Zeitpunkt der Verwendung des Kontakt-Import-Tools unter Eingabe der Telefonnummer Sicherheitsmaßnahmen in Form einer Implementierung von Sicherheits-CAPTCHAs und der Überprüfung massenhafter IP-Abfragen oder vergleichbarer Sicherheitsmaßnahmen vorgehalten wird,

b)

die Telefonnummer der Klägerin auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der … Messenger-App, hier ebenfalls explizit die Berechtigung verweigert wird,

4.

die Beklagte zu verurteilen, an sie vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 Euro zu zahlen, zuzüglich Zinsen ab Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Berufung abzuweisen.

Sie verteidigt – unter Wiederholung und Vertiefung ihres erstinstanzlichen Vorbringens – die erstinstanzliche Entscheidung.

Der Senat hat die Klägerin in der mündlichen Verhandlung am 24. Februar 2025 persönlich angehört. Wegen der Einzelheiten wird auf das Protokoll zur mündlichen Verhandlungen verwiesen.

II.

Die zulässige Berufung der Klägerin ist überwiegend unbegründet. Der Klageantrag zu 1. ist lediglich in einem Umfang zu 100,00 Euro begründet. Der Feststellungsantrag zu 2. und der Unterlassungsantrag zu 3a) sind bereits unzulässig, der Unterlassungsanspruch zu 3b) ist unbegründet. Der Zahlungsantrag auf vorgerichtliche Rechtsanwaltskosten zu 4. ist nur teilweise begründet.

1.

Die mit dem Antrag zu 1. geltend gemachte Klage auf Ersatz des immateriellen Schadens ist zulässig und in einem Umfang von 100,00 Euro begründet. Im Übrigen ist die Klage unbegründet.

a.

Die Klägerin macht mit dem Klageantrag zu 1. einen einheitlichen Anspruch auf Ersatz des immateriellen Schadens gegen die Beklagte geltend. Der dem Antrag zugrundeliegende Streitgegenstand setzt sich aus dem sog. Scraping-Vorfall und den von der Klägerin behaupteten Verletzungen der Informations- und Benachrichtigungspflichten durch die Beklagte zusammen.

Umfasst werden sämtliche mit der inkriminierten Datenverarbeitung im Zusammenhang stehenden gerügten Verstöße gegen die Datenschutz-Grundverordnung. Bei natürlicher Betrachtung können die Verstöße gegen die Datenschutz-Grundverordnung nicht isoliert beurteilt werden, da sie sämtlich in einem einheitlichen Geschehen wurzeln, das hinsichtlich der damit verbundenen Folgen nicht in einzelne Datenschutzverstöße aufgespalten werden kann (vgl. BGH, Urteil vom 18. November 2024 - VI ZR 10/24, Rn. 18, juris).

b.

Der Klägerin steht ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 Abs. 2, Abs. 1 DSGVO zu, allerdings nur in Höhe von 100,00 Euro.

Ein diesbezüglicher Anspruch setzt zunächst voraus, dass die DSGVO räumlich, sachlich und zeitlich anwendbar ist.

Die räumliche Anwendbarkeit ergibt sich aus Art. 3 Abs. 1 DSGVO.

Entgegen der Auffassung des Landgerichts ist auch die sachliche Anwendbarkeit gegeben. Die Beklagte hat personenbezogene Daten der Klägerin verarbeitet und gespeichert, was die sachliche Anwendbarkeit auslöst (Art. 2 Abs. 1 DSGVO). Sofern das Landgericht dazu erwogen hat, die von der Klägerin behaupteten Verstöße gegen Auskunfts- und Benachrichtigungspflichten würden nicht für die Öffnung des sachlichen Anwendungsbereiches ausreichen, verkennt es, dass der Scraping-Vorfall selbst auf einer schadensersatzauslösenden Datenverarbeitung der Beklagten beruht.

Auch die zeitliche Anwendbarkeit ist gegeben.

Die DSGVO gilt seit dem 25. Mai 2018 (Art. 99 Abs. 2 DSGVO) in jedem Mitgliedstaat unmittelbar. Der von der Klägerin geltend gemachte Vorfall muss nach diesem Zeitpunkt eingetreten sein. Insoweit kommt es nicht auf den Zeitpunkt der Registrierung, sondern auf den konkreten Zeitpunkt des Scraping-Vorfalls bezüglich der Daten der Klägerin an.

In diesem Punkt ist davon auszugehen, dass die Daten der Klägerin nach dem 25. Mai 2018 – und damit nach Eintritt der DSGVO – abgegriffen worden sind. Dazu hat die Klägerin behauptet, dass das Scraping konkret ihrer Daten im Jahr 2019 – und damit nach dem Inkrafttreten der DSGVO - erfolgt ist. Soweit die Beklagte in der Klageerwiderung darlegt, der Scraping-Vorfall habe sich ab Januar 2018 bis September 2019 ereignet, bestreitet sie damit den Vortrag der Klägerin nicht. Vielmehr legt sie den Gesamtzeitraum des Scrapings dar, ohne konkret auf den klägerischen Vortrag einzugehen.

Die Klägerin hat gegen die Beklagte einen Anspruch auf Ersatz des erlittenen Schadens aus Art. 82 Abs. 1 DSGVO. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf dessen Ersatz gegen den Verantwortlichen oder Auftraggeber.

Der EuGH hat Art. 82 Abs. 1 DSGVO wiederholt dahin ausgelegt, dass der bloße Verstoß gegen die Norm nicht ausreicht, um auf dieser Grundlage einen Schadensersatzanspruch zu begründen. Kumulativ erforderlich sind vielmehr das Vorliegen eines Verstoßes gegen die Bestimmungen der DSGVO, das Vorliegen eines materiellen oder immateriellen „Schadens“ und ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß (vgl. EuGH (8. Kammer) Urteil vom 4. Oktober 2024 – C-507/23, Rn. 24, beck-online).

Die Beklagte hat gegen den in Art. 5 Abs. 1 lit. b und c, Art. 25 Abs. 2 Satz 1 und 3 DSGVO normierten Grundsatz der Datenminimierung verstoßen, indem sie in ihrer vorgenommenen Voreinstellung der Suchbarkeitseinstellungen auf „Alle“ im Ausgangspunkt nicht dem Grundsatz der Datenminimierung entsprochen hat.

Nach der Beweislastregelung des Art. 5 Abs. 2 DSGVO muss die Beklagte im Rahmen der ihr obliegenden Rechenschaftspflicht die Einhaltung der in Art. 5 Abs. 1 DSGVO geregelten Grundsätze der Datenverarbeitung nachweisen können. Dieser Nachweis einer rechtmäßigen Datenverarbeitung ist der Beklagten nicht gelungen.

Gemäß Art. 5 Abs. 1 lit. c DSGVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Insoweit konkretisiert Art. 25 Abs. 2 Satz 1 DSGVO, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen hat, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Art. 25 Abs. 2 Satz 3 DSGVO legt fest, dass solche Maßnahmen insbesondere sicherstellen müssen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen gemacht werden. Dies beinhaltet die Verpflichtung zu Voreinstellungen, die verhindern, dass die Daten ohne bewusste Änderung der Voreinstellungen der Öffentlichkeit oder sonst einem unbestimmten Adressatenkreis zugänglich gemacht werden (vgl. BGH, Urteil vom 18. November 2024 - VI ZR 10/24, Rn. 88, beck-online). Dies soll die Nutzer insbesondere auch sozialer Medien davor schützen, erst aktiv zu werden und die Voreinstellungen zu ändern, wenn sie ihre Daten nicht über das erforderliche Maß hinaus teilen wollen.

Dieser Verpflichtung ist die Beklagte durch die von ihr gewählten Voreinstellungen nicht nachgekommen. Die standardmäßigen Voreinstellungen der Beklagten für die Suchbarkeit eines Nutzerprofils über die Telefonnummer sahen vor, dass "alle" …-Nutzer eine entsprechende Rufnummernsuche durchführen konnten. Dadurch erhielten die anderen Nutzer auch Zugriff auf die weiteren Profilinformationen. Um die Suchbarkeit einzuschränken, musste der Nutzer aktiv werden und die Suchbarkeitseinstellungen auf „Nur Freunde“ oder „Nur ich“ ändern. Eine Änderung dieser Einstellungsoptionen erfolgte erst 2019 durch die eingeführte Suchbarkeitsoption "nur ich".

Dabei hat die Beklagte keine der in Art. 6 Abs. 1 lit. a bis f genannten Rechtfertigungsgründe substantiiert dargelegt und bewiesen.

Insbesondere war die Suchbarkeit des Nutzerprofils für „alle“ nicht – wie die Beklagte meint - gemäß Art. 6 Abs. 1 b DSGVO zur Vertragserfüllung erforderlich und gerechtfertigt. Damit eine Verarbeitung personenbezogener Daten als für die Erfüllung eines Vertrags erforderlich im Sinne dieser Bestimmung angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte (vgl. EuGH (Große Kammer), Urteil vom 4. Juli 2023 - C 252/21, beck-online).

Ein solcher Nachweis ist der Beklagten nicht gelungen. So gibt sie hinsichtlich bestimmter personenbezogener Daten vor, dass diese immer öffentlich und damit für die Vernetzung der Nutzer sichtbar sein müssen. Zudem gibt sie den Nutzern die Möglichkeit, im Rahmen der Suchbarkeitseinstellungen festzulegen, ob und wem die nicht immer öffentlichen Profilinformationen gezeigt werden und wer danach suchen kann. Dies zeigt, dass diese Daten gerade nicht unerlässlich für eine hinreichende Verknüpfung der Nutzer untereinander und dem damit verbundenen Zweck der Beklagten war. Vielmehr obliegt es der Einwilligung der Nutzer, die Reichweite der Sichtbarkeit festzulegen und die Plattform so nach den eigenen Wünschen zu nutzen.

Bedenken gegen die Anwendbarkeit des Art. 82 Abs. 1 DSGVO auf Verstöße gegen Art. 5 DSGVO bestehen nicht. So hat der Europäische Gerichtshof bereits entschieden, dass bei Verstößen gegen die Vorschriften der Art. 5 bis 11 DSGVO, mithin des zweiten Kapitels der Datenschutz-Grundverordnung, die Grundsätze für die Verarbeitung von Daten aufstellen, zugleich eine unrechtmäßige Datenverarbeitung vorliegt (vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22, ZD 2023, 606 Rn. 54-57, zitiert nach beck-online).

Durch den Verstoß gegen die Datenschutzbestimmungen ist der Klägerin ein kausaler Schaden entstanden.

Dazu hat der Bundesgerichtshof erkannt, dass für das Vorliegen eines immateriellen Schadens der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten ausreichend ist (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, Rn. 30, juris). Die Klägerin muss grundsätzlich den Nachweis über den erlittenen Kontrollverlust im Sinne des Art. 82 DSGVO erbringen, kann sie dies nicht, genügt die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, Rn. 31 - 32, juris). So genügt die Behauptung von Angst, Sorge und Unwohlsein wegen Spam-SMS und -Anrufen sowie von aufgewandter Zeit und Mühe in der Auseinandersetzung mit dem Scraping-Vorfall sowie dem Schutz vor künftigem Missbrauch, den prozessualen Darlegungsanforderungen.

Nach diesen Maßstäben hat die Klägerin einen sich zwangsläufig aus dem Vorfall ergebenden Kontrollverlust über ihre Daten vorgetragen und bewiesen.

Die Klägerin hat in ihrer persönlichen Anhörung glaubhaft erklärt, dass sie nach Kenntnis des Scraping-Vorfalls eine große Unsicherheit und Sorge über dem erlittenen Datenverlust verspürt hat. Sie hat nach dem Vorfall zudem Spam-SMS und seltsame Anrufe erhalten. Dies sind merkbare Folgen des erlittenen Kontrollverlustes, die nach Einschätzung des Senats einen Schadensersatz on Höhe von 100,00 Euro rechtfertigen. Dieser Betrag entspricht der Billigkeit gemäß § 253 Abs. 2 BGB und ist insbesondere ausreichend. Bei der Schadensbemessung war insbesondere zu berücksichtigen, dass der erlittene Kontrollverlust Befürchtungen auslösen kann, die gescrapten und im Darknet veröffentlichten Daten könnten irgendwann von Dritten missbräuchlich verwendet werden. Allerdings sind seit dem Scraping-Vorfall bereits fast 6 Jahre vergangen, in denen ein solcher Missbrauch nach Angaben der Klägerin nicht geschehen ist.

Ein darüber hinausgehender Schaden, der die Zahlung eines weiteren Schadensersatzes rechtfertigen würde, ist nicht erkennbar. Konkrete weitere Folgen trägt die Klägerin nicht vor. So gibt sie lediglich an, Kontaktversuche von unbekannten Dritten in Form von Spam-SMS und Spam-Anrufen bekommen zu haben. Inzwischen sei die Sorge über den erlittenen Datenverlust bei ihr nicht mehr groß. Auch habe die Klägerin mitbekommen, dass viele Bekannte in ihrem Umfeld ebenso Spam-SMS und seltsame Anrufe erhalten. Ihr sei daher bewusst, dass die genaue Herkunft dieser Nachrichten und Anrufe nicht nachweisbar sei. Ihre Telefonnummer habe sie behalten. Der Vorfall habe aber dazu geführt, dass sie ihre Einstellungen auf der Plattform der Beklagten angepasst habe und generell noch vorsichtiger mit ihren Daten im Internet sei.

Soweit die Klägerin darüber hinaus Verstöße der Beklagten gegen Benachrichtigungs- und Meldepflichten geltend macht, fehlt es an der Kausalität zwischen einer möglichen Pflichtverletzung und des geltend gemachten Schadens in Form des erlittenen Kontrollverlustes.

Der Zinsanspruch ergibt sich aus §§ 291, 288 Abs. 1 Satz 2 BGB.

2.

Der Antrag zu 2. ist bereits unzulässig.

Im Rahmen des geltend gemachten Feststellungsanspruches fehlt es bereits an der praktischen und nicht nur theoretischen Möglichkeit des Eintritts eines zukünftigen materiellen oder immateriellen Schadens. Solche sind nicht (mehr) zu erwarten.

Für den durch den erlittenen Kontrollverlust in der Vergangenheit entstandenen Schaden ist die Klägerin bereits vollständig entschädigt worden. Im übrigen hat sie vorgetragen, dass ihre Sorgen über einen möglichen Datenmissbrauch zurückgegangen sind. Dafür spricht auch, dass die Klägerin ihre Rufnummer trotz des Vorfalls nicht geändert hat. Insbesondere rechtfertigen die vorgetragenen Spam-SMS und Anrufe nicht die Befürchtung eines weiteren Schadens. Sofern die Klägerin auch künftig solche SMS und Anrufe erhält, würde auch dies keinen weiteren Schadensersatz rechtfertigen. Aufgrund des erheblichen Zeitablaufes dürfte der Nachweis, dass SMS und Anrufe ihren Ursprung in dem Scraping-Vorfall haben, ohnehin nicht mehr zu führen sein.

3.

a)

Für das mit dem Berufungsantrag zu 3a) verfolgte Unterlassungsbegehren kann dahinstehen, ob in der Veränderung des Wortlauts des Antrags im Berufungsschriftsatz vom 14. Februar 2025 eine Klageänderung liegt und ob diese nach § 533 ZPO zulässig ist.

Der Unterlassungsantrag zu 3a) ist auch in seiner veränderten Form im Lichte der Rechtsprechung des BGH als unzulässig anzusehen, da er nicht hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO ist.

Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens der Klägerin nicht durch vermeidbare Ungenauigkeit auf die Beklagte abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem Unterlassungsantrag regelmäßig der Fall, wenn die konkret angegriffene Verletzungsform antragsgegenständlich ist. Wird demgegenüber wie im Streitfall ein auf Erstbegehungsgefahr gestützter Unterlassungsanspruch vorbeugend geltend gemacht, kommt es – soweit die konkret erwartete Verletzungsform im Einzelfall ungewiss bleibt – maßgeblich darauf an, ob das Klagebegehren im Rahmen des der Klägerin Möglichen und zur Gewährleistung effektiven Rechtsschutzes für beide Seiten Gebotenen hinlänglich eindeutig formuliert ist und als Urteilstenor vollstreckbar wäre (vgl. BGH, Urteil vom 9. März 2021 – VI ZR 73/, Rn. 15, beck-online).

An diesen Anforderungen gemessen ist der Antrag des Klägers zu Ziffer 3a) auch nach der Umstellung nicht hinreichend bestimmt. Dem Antrag mangelt es an einem vollstreckungsfähigen Inhalt. Die „Implementierung von Sicherheits-CAPTCHAs und die Überprüfung massenhafter IP-Abfragen oder vergleichbarer Sicherheitsmaßnahmen“ sind ebenso wie die ursprünglichen Anträge zu unbestimmt und nicht vollstreckbar. Bei dem Wort CAPTCHA handelt es sich um einen Sammelbegriff für Sicherheitsmechanismen, die prüfen, ob ein Mensch oder eine Maschine agiert. Eine eindeutige Zuordnung ist mangels „offizieller“ Definition nicht möglich. Die Überprüfung massenhafter IP-Abfragen oder vergleichbarer Sicherheitsmaßnahmen ist noch weiter gefasst und daher ebenso nicht bestimmbar.

b)

Der Antrag 3b) ist zwar zulässig, aber unbegründet.

Dieser der Antrag ist hinreichend bestimmt. Die Klägerin begehrt damit, dass die Beklagte ihre Telefonnummer nicht – wie zur Zeit des Scraping-Vorfalls – auf Basis der erteilten Einwilligung weiterverarbeitet, da ihre Einwilligung nach ihrem Verständnis mangels Transparenz unwirksam war. Durch den so verstandenen Unterlassungsantrag wird der Beklagten ohne weiteres deutlich, für welche Zwecke sie die Telefonnummer der Klägerin noch verarbeiten darf und für welche die Klägerin die Unterlassung der Datenverarbeitung begehrt (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, Rn. 63 - 64, juris).

Der Antrag ist jedoch mangels Vorliegens einer Wiederholungsgefahr unbegründet. Zwar wird diese aufgrund eines Verstoßes grundsätzlich indiziert. An die Entkräftung dieser Vermutung sind strenge Anforderungen zu stellen; sie ist allerdings ausnahmsweise dann als widerlegt anzusehen, wenn der Eingriff durch eine einmalige Sondersituation veranlasst war (vgl. BGH, Urteil vom 27. April 2021, VI ZR 166/19, Rn. 23). Eine solche Sondersituation liegt hier mit Blick auf die Deaktivierung des CIT und dessen Ersatz durch die „people-you-may-know“-Funktion vor. Insoweit hat die Beklagte vorgetragen, das CIT dergestalt überarbeitet zu haben, dass sie die Liste direkter Kontaktübereinstimmungen durch eine Liste mit Kontaktvorschlägen, der „Menschen, die du kennen könntest“-Funktion (sog. people you may know-Funktion) ersetzte. Damit ordnete das CIT einen gefundenen …-Nutzer nicht mehr dem Kontakt auf dem Telefon zu, sondern zeigte nach dem Import der Kontakte vom Mobiltelefon eine Liste mit Nutzern an, die der importierende Nutzer kennen könnte und somit eine Liste, die möglicherweise nur wenige oder gar keine der vom Nutzer hochgeladenen Kontakte enthält. Eine solche Umprogrammierung der Suchfunktion eines Unternehmens mit weit über einer Milliarde Nutzern erfordert einen derartigen Aufwand, dass nicht davon auszugehen ist, dass dies alsbald wieder rückgängig gemacht und die hiervon ausgehende Gefahr erneut in Kauf genommen wird (vgl. OLG Dresden, Urteil vom 30. Januar 2024, 4 U 1398/23, zitiert nach juris).

4.

Nachdem die Klägerin den zunächst in der Berufungsbegründung angekündigten Auskunftsantrag mit Schriftsatz vom 19. Februar 2025 zurückgenommen hat, war darüber vom Senat nicht mehr zu entscheiden.

5.

Im Anschluss an das Bestehen des Anspruchs der Klägerin auf die Zahlung einer Geldentschädigung in Höhe von 100,00 Euro steht der Klägerin auch ein Anspruch gegen die Beklagte auf die Begleichung vorgerichtlicher Rechtsanwaltskosten unter dem Gesichtspunkt erforderlicher Kosten einer zweckentsprechenden Rechtsverfolgung (vgl. Grüneberg/Grüneberg, a. a. O., § 249, Rn. 56, 57, m. w. N.) zu.

Allerdings besteht dieser Anspruch nur nach dem Gegenstandswert der berechtigten Inanspruchnahme der Beklagten in Höhe von 100,00 Euro (vgl. BGH, Urteil vom 9. Januar 2018, VI ZR 82/17, zitiert nach juris; Urteil vom 5. Dezember 2017, VI ZR 24/17, zitiert nach juris). Nach diesem Gegenstandswert ergibt die 1,3 - Mittelgebühr nach Nr. 2003 VV-RVG 63,70 Euro, woraus sich nach Addition der Post- und Telekommunikationspauschale nach Nr. 7002 VV RVG in Höhe von 12,74 Euro eine Nettosumme in Höhe von 76,44 Euro und unter Berücksichtigung der Umsatzsteuer nach Nr. 7008 VV-RVG in Höhe von 14,52 Euro der Bruttobetrag in Höhe von 90,96 Euro ergeben.

Auch insoweit besteht der Zinsanspruch des Klägers aus §§ 291, 288 Abs. 1 Satz 2 BGB.

6.

Die Kostenentscheidung folgt aus §§ 91, 92 Abs. 2, 97 ZPO.

Die Entscheidung über die vorläufige Vollstreckbarkeit ergeht gemäß §§ 708 Nr. 10, 711 ZPO.

Eine Zulassung der Revision ist nicht veranlasst, da weder die Rechtssache grundsätzliche Bedeutung hat noch die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts erfordern, § 543 Abs. 2 ZPO.

Vom festgesetzten Gegenstandswert der Berufung entfallen 1.000,00 Euro auf den Berufungsantrag zu 1) und jeweils 500,00 Euro auf die übrigen Berufungsanträge einschließlich des zurückgenommenen Auskunftsantrags. Der Antrag auf Erstattung vorgerichtlicher Rechtsanwaltskosten stellt eine wertmäßig nicht ins Gewicht fallende Nebenforderung dar.