Scraping-Vorfall – Bloßer Verlust der Kontrolle über eigene Daten infolge eines Datenschutzverstoßes als immaterieller Schaden i. S. d. Art. 82 DSGVO

Wirtschaftsrecht

09.01.2025

Wirtschaftsrecht

OLG Dresden: Scraping-Vorfall – Bloßer Verlust der Kontrolle über eigene Daten infolge eines Datenschutzverstoßes als immaterieller Schaden i. S. d. Art. 82 DSGVO

OLG Dresden, Urteil vom 10.12.2024 – 4 U 808/24

Volltext: BB-Online BBL2025-66-7

unter www.betriebs-berater.de

Amtliche Leitsätze

1. Der bloße Verlust der Kontrolle über die eigenen Daten infolge eines Datenschutzverstoßes kann auch dann einen immateriellen Schaden darstellen, wenn die begründete Befürchtung einer missbräuchlichen Verwendung dieser Daten nicht nachgewiesen ist (Anschluss an BGH, Urteil vom 18.11.2024; Aufgabe Senat, Urteil vom 5.12.2023, 4 U 709/23).

2. Die Vermutung der Wiederholungsgefahr für einen Unterlassungsanspruch gegen einen Datenschutzverstoß im Zusammenhang mit einem Scraping-Vorfall ist entkräftet, wenn die dafür verantwortliche Sicherheitslücke geschlossen und davon auszugehen ist, dass ein hierauf gestütztes Abfischen von Daten nicht mehr möglich ist.

3. Ein Unterlassungsanspruch, der eine Verpflichtung des Verletzers an die Einhaltung der „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ knüpft und ihm die Weitergabe an „unbefugte Dritte“ untersagt, ist nicht hinreichend bestimmt.

Aus den Gründen

(Von der Aufnahme des Tatbestandes wird gem. §§ 540, 313a ZPO abgesehen).

Die zulässige Berufung der Klagepartei ist nur zu einem geringen Teil begründet.

Die internationale Zuständigkeit deutscher Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn die Klagepartei hat ihren gewöhnlichen Aufenthalt in Deutschland. Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung ist eröffnet.

B I.

Der Klagepartei steht ein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DSGVO lediglich in Höhe von 100,- € wegen des bei ihr eingetretenen Kontrollverlusts zu. Für einen den mit der Klage geltend gemachten Anspruch in Höhe von 3000,- € fehlt es hingegen an einem weitergehenden immateriellen Schaden

1.1 Der Zahlungsantrag ist hinreichend bestimmt gemäß § 253 ZPO. Dem steht nicht entgegen, dass der geltend gemachte Schadensersatzanspruch auf mehrere behauptete Verstöße gestützt wird. Entgegen der Ansicht der Beklagten liegt keine Häufung unzulässiger alternativer Klagegründe bzw. Streitgegenstände vor. Der Streitgegenstand wird durch den Klageantrag, in dem sich die vom Kläger in Anspruch genommene Rechtsfolge konkretisiert, und den Lebenssachverhalt bestimmt, aus dem der Kläger die begehrte Rechtsfolge herleitet (§ 253 Abs. 2 Nr. 2 ZPO). Zum Anspruchsgrund sind alle Tatsachen zu rechnen, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten Tatsachenkomplex gehören, den der Kläger zur Stützung seines Rechtsschutzbegehrens dem Gericht vorträgt (vgl. BGH, Urteil vom 22.10.2013 – XI ZR 42/12, Rn 15 – juris). Die Klagepartei begehrt mit dem Klageantrag zu 1) eine Entschädigungsleistung, die sich auf behauptete Verstöße gegen die DSGVO gründet infolge der Veröffentlichung ihrer Daten und des Scraping-Vorfalls, damit auf einem einheitlichen Lebenssachverhalt und einen dadurch näher bestimmten Streitgegenstand (so ausdrücklich BGH, Urteil vom 18.11.2024 – VI ZR 10/24 – juris).

1.2. Der Klagepartei steht lediglich in der aus dem Tenor ersichtlichen Höhe ein Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO zu. Die Beklagte hat bei der Verarbeitung der Daten gegen die Bestimmungen der DSGVO verstoßen (a), hieraus ist der Klagepartei auch kausal ein Kontrollverlust erwachsen (b). Eine Einwilligung in die Verwendbarkeit der Telefonnummer der Klagepartei im Rahmen der Suchfunktion ist nicht erfolgt (c). Für einen immateriellen Schaden infolge von psychischen Beeinträchtigungen ist die Klagepartei beweisfällig geblieben (d)

a) Die Beklagte hat in mehrfacher Hinsicht bei der Datenverarbeitung gegen die DSGVO verstoßen. Sie hat gegen das Gebot der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DSGVO verstoßen (aa). Die Handynummer wurde ohne rechtfertigenden Grund nach Art. 6 DSGVO verarbeitet (bb). Offenbleiben kann, ob sie ausreichende technische und organisatorische Maßnahmen nach Art. 24, 32 DSGVO ergriffen hat (cc) und ob sie ihrer Benachrichtigungspflicht aus Art. 34, 25 DSGVO und ihrer Auskunftspflicht aus Art. 15 DSGVO nachgekommen ist (dd).Verstöße im Rahmen des Anmeldeprozesses – der hier im Jahr 2016 erfolgte - fallen aus dem zeitlichen Anwendungsbereich der DSGVO heraus, da die Datenerhebung vor dem 25.05.2018 abgeschlossen war. Allerdings unterfällt die zeitlich nach dem 25.05.2018 liegende Weiterverarbeitung der Daten den Anforderungen der DSGVO, denn aus Erwägungsgrund 171 Satz 2 DSGVO sowie aus Art. 4 Nr. 2 DSGVO und Art. 24 Abs. 1 DSGVO ergibt sich die Pflicht, die Datenverarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO bereits begonnen hatten, bis zum 25.05.2018 in Einklang mit der Verordnung zu bringen (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 72 - juris; vgl. auch Generalanwalt Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, Rn. 43 - juris). Zudem folgt aus Erwägungsgrund 171 Satz 3 DSGVO, dass die Beklagte zum 25.05.2018 zur Einholung neuer Einwilligungen verpflichtet gewesen ist, soweit bereits bestehende Einwilligungen nicht den Anforderungen an diese Verordnung entsprachen. Es ist davon auszugehen, dass das Scraping nach dem 24.05.2018 erfolgte, da die Beklagte im Rahmen ihrer sekundären Darlegungslast nicht vorgetragen hat, dass sich der Vorfall vor dem Inkrafttreten der DSGVO ereignet hat.

aa) Die Beklagte hat gegen Art. 25 Abs. 2 DSGVO verstoßen, denn in dem relevanten Zeitraum war die Standardeinstellung für die Suchbarkeit nach der Telefonnummer auf "alle" und damit nicht datenschutzfreundlich (data protection by default) auf "nur ich" eingestellt. Dies hat die Beklagte eingeräumt. Nach Art. 25 Abs. 2 DSGVO muss die Beklagte geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch die Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Bei der Registrierung soll dem Betroffenen nämlich gewährleistet werden, dass er nur in eine solche Verarbeitung einwilligt, die die Veröffentlichung seiner Daten ohne sein Eingreifen kategorisch ausschließt (vgl. LG Freiburg (Breisgau), Urteil vom 15.09.2023 - 8 O 21/23, Rn 122 - juris). Der Betreiber eines sozialen Netzwerks soll damit verpflichtet werden, die Default-Einstellungen so zu treffen, dass Inhalte der Nutzer nicht standardmäßig mit anderen Nutzern oder Dritten geteilt werden (vgl. LG Freiburg a.a.O.). Als Voreinstellung ist daher der kleinstmögliche Empfängerkreis vorzusehen (vgl. LG Freiburg (Breisgau), Urteil vom 15.09.2023 - 8 O 21/23, Rn 122 - juris). Da die Klagepartei sich bereits vor dem 25.05.2018 registriert hat, hatte die Beklagte sicherzustellen, dass die datenschutzunfreundliche Voreinstellung zum 25.05.2018 unter Abkehr des "opt-out" Systems geändert wird (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 128 - juris). Hierfür ist nichts ersichtlich. Die gewählte Voreinstellung war zur Erfüllung des Vertragszweckes nicht erforderlich, denn der Nutzer konnte auch ohne die Einstellung der Suchbarkeit auf "alle" nach der Telefonnummer mit anderen in Kontakt treten und sich austauschen. Personen, die bereits über die Telefonnummer eines anderen Nutzers verfügen, können ohne weiteres mit ihm in Kontakt treten und sich auf f. vernetzen. Es ist auch nicht ersichtlich, dass für den Geschäftszweck des Netzwerkes, personalisierte online Werbung zu platzieren, eine solche Sucheinstellung erforderlich war, zumal der Nutzer die Einstellung auch auf "nur ich" setzen und die Plattform gleichwohl nutzen konnte. Hiernach bedarf es keiner Entscheidung, ob ein Verstoß gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO nicht nur die unrechtmäßige Verarbeitung von personenbezogenen Daten erfasst, wie es Art. 82 Abs. 2 Satz 1 und ErwG 146 Satz 1 DSGVO nahelegen (vgl. auch EuGH, Urteil vom 4. Mai 2023 - C 300/21, VersR 2023, 920 Rn. 36 - Österreichische Post: "Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO"), oder ob grundsätzlich auch bloße Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb eines konkreten Verarbeitungsvorgangs haftungsbegründend sein können (zum Streitstand siehe Paal, ZfDR 2023, 325, 334 ff.; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris Rn. 381 ff.). Denn angesichts des umfassenden Verarbeitungsbegriffs des Art. 4 Nr. 2 DSGVO (jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung) wäre auch bei einem engeren Verständnis des Art. 82 Abs. 1 DSGVO in Bezug auf den hier inmitten stehenden Scraping-Vorfall ohne Weiteres von einer Datenverarbeitung der Beklagten in Form der Speicherung, des Abfragens, der Offenlegung durch Übermittlung, der Bereitstellung und Verknüpfung auszugehen (BGH, Urteil vom 18.11.2024 – VI ZR 10/24). Die Verletzung dieser Regelung hat auch dazu geführt, dass die Klagepartei es bei der Voreinstellung belassen hat und ihre Telefonnummer von den Scrapern ihrem Profil zugeordnet werden konnte.

bb) Die Beklagte hat die Handynummer der Klagepartei mit der ab dem 25.05.2018 fortgesetzten Verarbeitung in der Suchbarkeitsfunktion ohne ausreichenden Rechtfertigungsgrund gemäß Art. 6 DSGVO verarbeitet. Die weitere Datenverarbeitung ist nur dann rechtmäßig, wenn ab diesem Zeitpunkt mindestens einer der Bedingungen des Art. 6 DSGVO vorliegt. Dies ist nicht der Fall.

(a) Die Verarbeitung war zur Erfüllung des Vertragszweckes nicht erforderlich i.S.d. Art. 6 Abs.1 b) DSGVO. Damit eine Verarbeitung personenbezogener Daten als für die Erfüllung eines Vertrags erforderlich im Sinne von Art. 6 Abs.1 b) DSGVO angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, dass der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte (vgl. EuGH, Urteil vom 04.07.2023 - C - 252/21, Rn 98 - juris; vgl. OLG Hamm Urteil vom 15.08.2023 - 7 U 19/23, Rn 97 - juris). Dafür ist nichts ersichtlich. Das Contact Import Tool (CIT) mag zwar für den Nutzer praktisch sein, aber zur Nutzung der Plattform ist die Funktion nicht notwendig. Der Nutzer kann f. auch nutzen, ohne seine Telefonnummer in der Suchbarkeitsfunktion auf "alle" zu setzen. Die Beklagte hat jedenfalls nicht dargetan, dass die Funktion unerlässlich für die Vertragsdurchführung gewesen ist. Die fehlende Erforderlichkeit der Auffindbarkeit über das CIT Tool ergibt sich schon daraus, dass die Angabe der Telefonnummer bei der Anmeldung bei F. nicht zwingend ist und das CIT im Jahr 2018 für den PC und 2019 für den Messenger Dienst ausgeschaltet wurde, ohne dass die Nutzbarkeit der Plattform wesentlich gelitten hätte. Auf die Ausführungen unter aa) wird im Übrigen Bezug genommen.

(b) Die Beklagte konnte sich ab dem 25.05.2018 nicht auf eine wirksame Zustimmung der Klagepartei stützen, Art. 6 Abs.1 a), Art. 5 Abs.1 a), Art. 13 Abs.1 DSGVO, da sie diese über die Zwecke der Verarbeitung der Telefonnummer nicht transparent informiert hat. Die Beklagte kann sich insoweit nicht auf die vor dem 25.05.2018 erklärte Einwilligung stützen, denn diese konnte unter der Geltung der DSGVO keine rechtfertigende Wirkung mehr entfalten (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 114 - juris). Nach Erwägungsgrund Nr. 171 DSGVO musste eine vorab erteilte Einwilligung bereits den Bedingungen der DSGVO entsprechen, um fortzugelten. Daran fehlt es. Denn auch die im April 2018 von der Beklagten zur Verfügung gestellten Bedingungen genügen den Anforderungen der DSGVO nicht (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 114 - juris). Auf eine wirksame Zustimmung beruft sich die Beklagte letztendlich nicht, sie liegt auch nicht vor. Die wirksame Zustimmung setzt die Information des Nutzers nach Art. 5 Abs.1 a) DSGVO und Art. 13 Abs. 1 DSGVO voraus. Es ist bei der Einwilligung eine Voraussetzung ihrer Wirksamkeit, dass über die Datenverarbeitungsvorgänge Transparenz hergestellt wird, bevor die betreffende Person die Einwilligung erteilt (vgl. Taeger in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 6 Rn 37; vgl. OLG Hamm, Urteil vom 25.08.2023 - 7 U 19/23, Rn 113 - juris). Diese liegt – wie der Senat in Parallelfällen bereits mehrfach entschieden hat – nicht vor. Art. 13 Abs. 1 c) DSGVO verlangt bei der Erhebung personenbezogener Daten bei der betroffenen Person, dass der Verantwortliche der Person zum Zeitpunkt der Erhebung der Daten die Zwecke mitteilt, für die die personenbezogenen Daten verarbeitet werden sollen. Dabei sind alle Zwecke anzugeben, die die verantwortliche Stelle im Zeitpunkt der Erhebung verfolgt (vgl. LG Freiburg, Urteil vom 15.09.2023 - 8 O 21/23, Rn 88 - juris). Die Informationspflicht aus Art. 13 DSGVO soll die betroffenen Personen von Beginn an in die Lage versetzen, bestimmen und einschätzen zu können, wer was wann über sie weiß (vgl. LG Freiburg, Urteil vom 15.09.2023 - 8 O 21/23, Rn 88 - juris). Nach ihrem Zweck müssen die Informationspflichten (ggf. unmittelbar) vor Beginn der Datenerhebung erfüllt werden. Denn die Informationen sollen der betroffenen Person auch ermöglichen, darüber zu entscheiden, ob sie in die Verarbeitung ihrer Daten einwilligt bzw. ob sie hiergegen Einwände erhebt. Dieser Zweck würde bei einer Information nach Beginn der Datenerhebung verfehlt oder zumindest beeinträchtigt (LG Freiburg a.a.O.). Aus der von der Beklagten vorgelegten Anlage B 5 (Wie kann ich festlegen, wer mich über meine E-Mail Adresse oder Handynummer auf F. finden kann?) wird nicht hinreichend klar, dass der Nutzer, auch ohne seine Telefonnummer in der Zielgruppenauswahl auf "öffentlich" zu stellen, über seine Handynummer gefunden werden kann. Vielmehr erweckt der folgende Hinweis den Eindruck, dass der Nutzer nur dann anhand der Telefonnummer gefunden werden kann, wenn er festlegt, wer seine Telefonnummer sehen kann:

"Beachte bitte, dass du separat festlegen kannst, wer deine Telefonnummer und deine E-Mail-Adresse in deinem Profil sehen kann. Wenn du deine Telefonnummer oder deine E-Mail-Adresse in deinem Profil mit jemandem teilst, kann diese Person dich anhand dieser Informationen finden..."

Die von der Beklagten vorgelegte Anlage B 6 (Wozu verwendet F. meine Mobilnummer?) enthält keinen Hinweis darauf, dass die Klagepartei allein anhand der angegebenen Telefonnummer, die nicht "öffentlich" sichtbar ist, gefunden werden kann. Wörtlich weist die Beklagte zur Verwendung der Handynummer auf folgendes hin: "Um dir Personen, die du kennen könntest, vorzuschlagen, damit du dich mit ihnen auf F. verbinden kannst." Damit ist die Suchbarkeit mittels CIT nicht ausreichend klar umschrieben. Aus der Datenrichtlinie (B 9) ist dazu ebenfalls nichts zu entnehmen. Die Registrierungsseite von F. weist auf die – verlinkte – Datenrichtlinie hin. Dort wurde der Nutzer jedoch nicht darüber aufgeklärt, dass und wie seine Telefonnummer im Rahmen des Einsatzes des CIT verwendet wird. Insbesondere wurde ihm nicht verdeutlicht, dass die Telefonnummer ohne Veränderungen der Einstellungen angesichts der Standardvoreinstellung für die Suchbarkeit über die Telefonnummer auf "für alle" bereits mit deren Angabe genutzt werden kann, um ihn auf F. und insbesondere auch über das CIT zu finden. Dazu hätte dem Nutzer erläutert werden müssen, dass die Verwendung des CIT der Messenger App es anderen Benutzern ermöglicht, mittels Abgleichs von in deren Smartphone gespeicherten Telefonkontakten mit der Mobilfunknummer des Nutzers im Falle eines "Treffers" dessen Benutzerprofil als "Freund" hinzufügen und auf die entsprechenden Daten zuzugreifen (so LG Freiburg (Breisgau); Urteil vom 15.09.2023 - 8 O 21/23, Rn 90 - juris).

cc) Im Hinblick auf die unter aa) und bb) festgestellten Verstöße der Beklagten kann offenbleiben, ob sie zudem gegen ihre Verpflichtung verstoßen hat, ausreichende geeignete technische und organisatorische Maßnahmen zu treffen, um die personenbezogenen Daten gegen unbefugte Zugriffe Dritter zu schützen, Art. 24, 32 DSGVO.

dd) Offenbleiben kann ebenfalls, ob die Beklagte ihre Benachrichtigungspflicht aus Art. 34 DSGVO gegenüber der Klagepartei, aus Art. 33 DSGVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DSGVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich (vgl. hierzu auch OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 147 – juris, so jetzt auch BGH, Urteil vom 18.11.2024 – VI ZR 10/24, Rn B. I. 4 a) cc)). Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen Anrufe sowie Spam-SMS und Spam-E-Mails können nur auf den Scraping Vorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein. Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DSGVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine "Verarbeitung personenbezogener Daten" vorliegt. Nach der Rechtsprechung des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DSGVO voraus (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, Rn 36 - juris; vgl. Moos/Schlefzig in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 82 Rn 22). Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die "aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht".

b) Aus den aufgeführten Verstößen gegen die DSGVO ist der Klagepartei aber kein über den bloßen Kontrollverlust hinausgehender kausaler immaterieller Schaden gemäß Art. 82 DSGVO entstanden. Ihr obliegt die Darlegungs- und Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und dem Schaden.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (so EuGH Urteil vom 04.05.2023 - C - 300/21, Rn 36 - juris). Der europäische Gerichtshof stützt sich auf den 146. Erwägungsgrund, der auf "Schäden" abstellt, "die einer Person aufgrund einer Verarbeitung entstehen". Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, 49, 50 - juris). Allerdings muss der Schaden tatsächlich und sicher entstanden sein (vgl. EuGH, Urteil vom 04.04.2017 - C - 337/15, Rn 91 - juris). Hierbei hat der Europäische Gerichtshof in einem behaupteten Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden gesehen (vgl. EuGH, Urteil vom 04.04.2017 - C - 337/15, Rn 95 - juris).

aa) Durch den Kontrollverlust der Mobiltelefonnummer und deren missbräuchliche Verwendung ist kein materieller Schaden eingetreten. Dies behauptet die Klagepartei auch nicht.

bb) Allerdings hat im vorliegenden Fall der Kontrollverlust der Daten zu einem immateriellen Schaden im Sinne von Art. 82 DSGVO bei der Klagepartei geführt. Soweit der Senat bislang in ständiger Rechtsprechung die Auffassung vertreten hat, es liefe dem Erfordernis eines konkreten Schadens zuwider, würde man hierfür bereits einen abstrakten "Kontrollverlust" des Plattformnutzers ausreichen lassen, ohne dass dieser zusätzlich glaubhaft mache, wegen dieses Zustands in Angst oder Sorge geraten zu sein, hält er hieran nach der neuesten Rechtsprechung des BGH nicht mehr fest. Der Bundesgerichtshof hat im Urteil vom 18.11.2024 (VI ZR 10/24) insofern folgendes ausgeführt:

"Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., EuGH, Urteile vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 31 - PS GbR; vom 25. Januar 2024 - C-687/21, CR 2024,160 Rn. 64 - MediaMarkt-Saturn; vom 4. Mai 2023 - C-300/21, VersR 2023, 920 Rn. 30 und 44 - Österreichische Post). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteile vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 25 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 34 - juris; vom 4. Mai 2023 - C-300/21, VersR 2023, 920 Rn. 42 - Österreichische Post). Weiter hat der Gerichtshof ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat (EuGH, Urteile vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 26 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 36 - juris; vom 4. Mai 2023 - C-300/21, VersR 2023, 920 Rn. 51 - Österreichische Post). Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (EuGH, Urteile vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 27 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 36 - juris). Schließlich hat der Gerichtshof in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO (vgl. ferner ErwG 75 DSGVO) klargestellt, dass schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteile vom 4. Oktober 2024 - C-200/23, juris Rn. 145,156 i.V.m. 137-Agentsia po vpisvaniyata; vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 42 - juris; vgl. zuvor bereits EuGH, Urteile vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 66 - MediaMarktSaturn; vom 14. Dezember 2023 - C-456/22, NZA 2024, 56 Rn. 17-23 - Gemeinde Ummendorf sowie - C-340/21, NJW 2024, 1091 Rn. 82 - Natsionalna agentsia za prihodite). Im ersten Satz des 85. Erwägungsgrundes der DSGVO heißt es, dass ”[e]ine Verletzung des Schutzes personenbezogener Daten ... - wenn nicht rechtzeitig und angemessen reagiert wird - einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste ... oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person". Aus dieser beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen Verlust der Kontrolle ("the mere loss of control", "la simple perte de contrôle") über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (EuGH, Urteile vom 4. Oktober 2024 - C-200/23, juris Rn. 145 - Agentsia po vpisvaniyata; vom 14. Dezember 2023 - C-340/21, NJW 2024,1091 Rn. 82 - Natsionalna agentsia za prihodite). Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust als solchem bestehenden - Scha - den erlitten hat (vgl. EuGH, Urteile vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 36 und 42 - juris). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern."

Soweit die Daten der Klagepartei ohnehin öffentlich einsehbar sind - wie Vor- und Nachname, Geschlecht und Nutzer ID - liegt aber auch nach diesen Maßstäben schon objektiv kein Kontrollverlust vor. Denn diese Daten sind mit der Registrierung anzuge- ben und zwingend stets öffentlich und für jedermann weltweit einsehbar. Auch ohne Scraping ist ein Auslesen dieser Daten und deren Verbreitung im Internet jederzeit möglich. Mit der Registrierung bei der Beklagten standen diese stets öffentlichen Daten nicht mehr unter der ausschließlichen Kontrolle der Klagepartei. Sie hat vielmehr be- wusst auf die Kontrolle verzichtet. Dem Erfordernis eines konkreten Schadens liefe es zuwider, würde man auch in Bezug auf diese Daten einen Kontrollverlust jedes Platt- formnutzers ausreichen lassen. Durch das Scraping dieser vom Nutzer freiwillig zur Verfügung gestellten Daten wird der bereits durch die Anmeldung eingetretene Kon- trollverlust nach Auffassung des Senats nicht in einer Weise vertieft, dass hieraus ein konkreter immaterieller Schaden abgeleitet werden könnte. Eine Betroffenheit auch ih- rer E-Mail Anschrift hat die Klägerin, die in der mündlichen Verhandlung vor dem Senat einräumen musste, die in der Klageschrift benannte E-Mail Anschrift xxx@xxx.com sei von Spam-Nachrichten nicht betroffen gewesen, demgegenüber nicht bewiesen. Nach der von der Beklagten vorgelegten Anlage B 16 ist vielmehr davon auszugehen, dass diese nicht Gegenstand des Scraping-Vorfalls war.

Durch den Datenschutzverstoß der Beklagten erfolgte ein Kontrollverlust der Klagepar- tei vielmehr allein im Hinblick auf die bei der Registrierung eingesetztes Telefonnum- mer und die Verknüpfung mit Namen und F.-ID der Klagepartei. Das Risiko, auch Dritte könnten ihre Telefonnummer nicht datenschutzkonform verarbeiten, steht - solange sich dieses nicht unstreitig vor dem Eintritt des Scraping-Vorfalls verwirklicht hatte - der Darlegung eines Kontrollverlusts nicht entgegen. Insoweit unterscheidet sich der durch das Scraping und die dauerhafte Preisgabe der mit dem Namen einer Partei verknüpften Telefonnummer im Internet behauptete Kontrollverlust wesentlich von den Risiken, die mit einer bewussten und zielgerichteten Weitergabe der Telefon- nummer an bestimmte Empfänger verbunden sind (BGH aaO.).

Für die hierauf bezogene Schadensschätzung ist insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DSGVO) und de- ren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter ist die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kon- trollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfer- nung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des perso- nenbezogenen Datums (z.B. Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich kann den Fällen, in de- nen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insbeson- dere eines Rufnummernwechsels) dienen. Im Urteil vom 18.11.2024 hat der Bundes- gerichtshof die Schätzung eines solchen Aufwands in einer Größenordnung von 100 € für angemessen erachtet. Diesen Betrag hält der Senat auch im Streitfall für angemes- sen. Mit der Telefonnummer und der durch das Scraping erfolgten Verknüpfung mit ei- nem bestimmten Namen ist lediglich eine Kontaktaufnahme mit der betroffenen Per- son möglich. Ein Missbrauch drängt sich unter den gegebenen Umständen nicht auf. Die Telefonnummer kann zwar auch missbräuchlich zur Übersendung von Spam-SMS oder betrügerischen Anrufen genutzt werden, jedoch kann ein materieller Schaden erst dann entstehen, wenn bei einer Spam-SMS der mitgesendete Link verwendet wird oder die betroffene Person auf den Anruf reagiert, dem betrügerischen Anrufer Aus- kunft gibt oder auf dessen Aufforderung Geld überweist. Eine besondere Sensibilität der konkret betroffenen Daten ist nicht erkennbar. Ihrer Funktion entsprechend dienen sie vielmehr zur Kontaktaufnahme mit Dritten und werden im alltäglichen und geschäft- lichen Leben regelmäßig Dritten zugänglich gemacht (vgl. nur Senat, Urteil vom 3.9.2024 – 4 U 90/24 n.v.; OLG Hamm, Urteil vom 21.6.2024 – 7 U 154/23 Rn 51 – juris). Zu berücksichtigen ist darüber hinaus, dass auch bei der Klagepartei ein Rufnum- mernwechsel, der dem eingetretenen Kontrollverlust entgegenwirken würde, ohne wei- teres möglich und nicht erkennbar wäre, dass die Daten an einen unbegrenzten Emp- fängerkreis abgeflossen sind. In der Gesamtwürdigung dieser Umstände hält auch der Senat den bloßen Kontrollverlust mit Zahlung einer immateriellen Entschädigung in Hö- he von 100,- € für abgegolten.

Eine höhere immaterielle Entschädigung war auch nicht aufgrund von individuellen psychischen Beeinträchtigungen der Klagepartei durch den Scraping-Vorfall geboten. Unabhängig vom Nachweis eines Kontrollverlusts reicht für einen Anspruch auf einen immateriellen Schadensersatz zwar auch die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzan- spruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 67 - MediaMarktSaturn; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 85 - Natsionalna agentsia za prihodite). Die Befürchtung samt ihrer negativen Fol- gen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteile vom 20. Juni 2024 - C-590/22, DB 2024,1676 Rn. 36 - PS GbR; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 75-86 - Natsionalna agentsia za prihodite). Demgegen- über genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Ver- wendung durch einen unbefugten Dritten (vgl. EuGH, Urteile vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 35 - PS GbR; vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 68 - MediaMarktSaturn). Sind derartige psychische Beeinträchtigungen infolge einer Anhörung des Betroffenen nachgewiesen, ist der Entschädigungsbetrag in einer Höhe festzusetzen, die über dem im Falle eines bloßen Kontrollverlustes zuzu- sprechenden Betrag liegt (BGH, Urteil vom 18.11.2024 – Rn VIII 2 c) cc)).

Eine solche konkrete emotionale Beeinträchtigung der Klagepartei ist zur Überzeugung des Senates hier indes nicht eingetreten. Die schriftsätzlich allgemeine gehaltene Be- hauptung der Klagepartei, sie sei in einen Zustand großen Unwohlseins und Sorge über einen möglichen Missbrauch geraten, geht über alltägliche Empfindungen, die kei- ne begründete Befürchtung rechtfertigen, nicht hinaus. Den Schluss auf einen realen und sicheren emotionalen Schaden (vgl. Schlussanträge des Generalanwaltes Pitruz- zella vom 27.04.2023 - C -340/21, Rn 82, 83, - juris) erlaubt sie nicht. Da im Allgemei- nen jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu ei- ner negativen Reaktion der betroffenen Person führen kann (vgl. Schlussanträge des Generalanwaltes Campos Sanchez-Bordona von 06.10.2022 - C 300/21, Rn 113 - ju- ris) und ein Schadensersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergibt, einem "Schadensersatz ohne Schaden" recht nahe kommt, der nicht von Art. 82 erfasst ist (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, Rn. 36 ff - juris), reicht demgegenüber allein die bloße Beun- ruhigung wegen des Diebstahls der eigenen personenbezogenen Daten nicht aus (vgl. Schlussanträge des Generalanwaltes Collins vom 26.10.2023 - C 182/22, Rn 24 - ju- ris). Im vorliegenden Fall hat die Klägerin keinen emotionalen Schaden, der auf den Scraping-Vorfall zurückzuführen ist, glaubhaft gemacht. Besondere Sorgen und Äng- ste wegen eines Datenmissbrauches hat sie nicht geschildert, sondern hat vielmehr maßgeblich auf den mit der Bereinigung der Spam-Eingänge verbundenen Aufwand abgestellt, den sie gegenüber dem Senat als "störend" qualifiziert hat. Es tritt hinzu, dass sie dieses Störgefühl vorrangig mit den Spam-Eingängen unter ihrer GMX-Adressse verbunden hat, die indes nicht bei der Registrierung angegeben wurde und daher nicht Gegenstand des Scraping-Vorfalls war. Die unter der streitgegenständ- liche Handy-Nummer eingehenden Spam-Anrufe und -SMS seien jedoch von vornher- ein ausgefiltert worden; woraus sich gleichwohl eine emotionale Beeinträchtigung er- geben soll, kann der Senat unter diesen Umständen nicht erkennen, zumal der Kläge- rin der Scraping- Vorfall auch keine Veranlassung geboten hat, ihre Rufnummer zu än- dern. Hat die betroffene Person aber schon keinen Anlass gesehen, die Handynummer zu ändern, kann ihre Befürchtung eines Missbrauches regelmäßig nicht als begründet angesehen werden.

2. Im Anschluss an das Urteil des Bundesgerichtshofs vom 18.11.2024 steht der Klagepartei auch ein Anspruch auf Feststellung der Verpflichtung der Beklagten, alle künftigen (materiel- len) Schäden zu erstatten, zu. Seine abweichende Einschätzung gibt der Senat auf. Der Bun- desgerichtshof hat hierzu ausgeführt, die Möglichkeit des Eintritts künftiger Schäden sei ohne Weiteres zu bejahen, wenn die Klagepartei – wie hier - durch einen Verstoß gegen die Daten- schutz-Grundverordnung in ihrem Recht auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG bzw. auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh verletzt worden sei und durch die fortdauernde Veröffentlichung ihrer personenbezo- genen Daten (insbesondere ihres Namens in Verbindung mit ihrer Telefonnummer) das Risiko einer missbräuchlichen, insbesondere betrügerischen Nutzung dieser Daten mit der Folge ei- nes materiellen oder immateriellen Schadens fortbestehe. In Anbetracht des hier zu unterstel- lenden bereits eingetretenen und noch andauernden Kontrollverlusts über diese Daten sei eine künftige Schadensentwicklung auch nicht nur rein theoretischer Natur. So liegt es auch hier. Angesichts des feststehenden Verstoßes der Beklagten gegen ihre datenschutzrechtlichen Pflichten, ist der Feststellungsanspruch auch der Sache nach begründet.

3. Die Berufung bleibt aber insoweit ohne Erfolg, als die Klagepartei sich gegen die Abweisung des Unterlassungsantrags Ziff. 3b) wendet.

a) Allerdings ist der Antrag zulässig. Der Bundesgerichtshof hat insofern in dem Leitentscheidungsverfahren VI ZR 10/24 zu einem wortgleichen Unterlassungsantrag ausgeführt:

"Der Unterlassungsantrag ist trotz seiner weiten Formulierung bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO. Er lässt sich unter Heranziehung des Klagevorbringens da - hingehend auslegen, dass der Kläger ein Unterlassen jeglicher Verarbeitung seiner Telefonnummer durch die Beklagte, die über die notwendige Verarbeitung für die Zwei-Faktor-Authentifizierung hinausgeht, begehrt. Der Antrag, der als Prozesserklärung vom Revisionsgericht selbst auszulegen ist (vgl. Senat, Urteil vom 16. April 2024 - VI ZR 223/21, WM 2024, 991 Rn. 17 mwN), ist nicht so zu verstehen, dass der Kläger "die Unterlassung der Verarbeitung seiner Telefonnummer ohne eindeutige Informationen, dass diese auch bei der Einstellung "privat" ausgelesen werden kann", begehrt (so aber OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris Rn. 245, 247). Diese Information lag dem Kläger jedenfalls zum Zeitpunkt der Klageerhebung bereits vor, so dass ein entsprechendes Verständnis den Antrag sinnentleerte und der Auslegungsregel zuwiderliefe, nach der im Zweifel dasjenige gewollt ist, was nach den Maßstäben der Rechtsordnung vernünftig ist und der wohlverstandenen Interessenlage entspricht (vgl. hierzu BGH, Urteile vom 15. Mai 2024 - VIII ZR 293/23, MDR 2024, 924 Rn. 22; vom 14. Mai 2024 - XI ZR 51/23, juris Rn. 15; jeweils mwN). Vielmehr begehrt der Kläger, dass die Beklagte seine Telefonnummer nicht - wie zur Zeit des Scraping-Vorfalls - auf Basis einer von ihm erteilten Einwilligung weiterverarbeitet, da diese Einwilligung nach seinem Verständnis mangels Transparenz unwirksam ist, weil ihm das Ausmaß der Datenverarbeitung betreffend seine Telefonnummer bei Erteilung der Einwilligung nicht verständlich war. Der Unterlassungsantrag konkretisiert darüber hinaus - anders als der Unterlassungsantrag zu Ziffer 3a - die inkriminierte Verletzungshandlung, nämlich die behauptete unrechtmäßige Verarbeitung auf Grundlage einer unwirksamen Einwilligung. Aus welchen Gründen die Einwilligung unwirksam sein soll, ergibt sich aus der weiteren Formulierung des Antrags. Nach Ansicht des Klägers wurde diese "wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt [...], namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf "privat" noch durch Verwendung der Kontakt-Import-Funktion verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der F...-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird". Der so verstandene Unterlassungsantrag ist hinreichend bestimmt, da der Beklagten ohne weiteres deutlich wird, für welche Zwecke sie die Telefonnummer des Klägers noch verarbeiten darf und für welche der Kläger die Unterlassung der Datenverarbeitung begehrt.

c) Mit der Begründung des Berufungsgerichts kann auch das Vorliegen eines Rechts - schutzbedürfnisses nicht verneint werden.

aa) Eine Klage ist als unzulässig abzuweisen, wenn für sie kein Rechtsschutzbedürfnis besteht. Das Erfordernis des Rechtsschutzbedürfnisses soll verhindern, dass Rechts - streitigkeiten in das Stadium der Begründetheitsprüfung gelangen, für die eine solche Prüfung nicht erforderlich ist. Grundsätzlich haben Rechtssuchende allerdings einen An - spruch darauf, dass die staatlichen Gerichte ihr Anliegen sachlich prüfen und darüber entscheiden. Das Rechtsschutzbedürfnis fehlt jedoch, wenn eine Klage oder ein Antrag objektiv schlechthin sinnlos ist, wenn also der Kläger oder Antragsteller unter keinen Umständen mit seinem prozessualen Begehren irgendeinen schutzwürdigen Vorteil erlangen kann (BGH, Urteil vom 29. September 2022 -1 ZR 180/21, ZIP 2022, 2460 Rn. 10 mwN; vgl. bereits Senat, Urteil vom 14. März 1978 -1 ZR 68/76, NJW 1978, 2031, 2032 [unter II. 2. a]). Dies ist etwa dann der Fall, wenn ein einfacherer oder bil - ligerer Weg zur Erreichung des Rechtsschutzziels besteht oder der Antragsteller kein berechtigtes Interesse an der beantragten Entscheidung hat. Dafür gelten allerdings strenge Maßstäbe. Das Rechtsschutzbedürfnis fehlt (oder entfällt) nur dann, wenn das Betreiben des Verfahrens eindeutig zweckwidrig ist und sich als Missbrauch der Rechtspflege darstellt (Senat, Beschluss vom 24. September 2019 -VI ZB 39/18, BGHZ 223, 168 Rn. 28; Urteil vom 14. März 1978 - VI ZR 68/76, NJW 1978, 2031,2032 [unter 11.2. a]). Auch darf der Kläger nicht auf einen verfahrensmäßig unsi - cheren Weg verwiesen werden (vgl. BGH, Urteil vom 29. September 2022 -1 ZR 180/21, ZIP 2022, 2460 Rn. 16 mwN).

bb) Nach diesem Maßstab kann ein Rechtsschutzbedürfnis bezüglich des Unterlassungsantrags zu Ziffer 3b nicht verneint werden. Das Rechtsschutzbedürfnis des Klägers entfällt insbesondere nicht dadurch, dass er seine Telefonnummer aus seinem Nutzerkonto selbst löschen könnte. Insofern ist sein Rechtsschutzziel - die Untersagung einer unrechtmäßigen Verarbeitung seiner Telefonnummer - mit dem dann erreichten Ergebnis der Löschung seiner Telefonnummer nicht identisch. Insbesondere würde sich der Kläger der Möglichkeit der Zwei-Faktor-Authentifizierung für die Anmeldung in seinem Nutzerkonto begeben. Auch die Möglichkeit des Klägers, seine Privatsphären-Einstellungen so zu ändern, dass sich seine Einwilligung zur Verarbeitung seiner Telefonnummer auf die Nutzung der Zwei-Faktor-Authentifizierung beschränkt, lässt das Rechtsschutzbedürfnis nicht entfallen. Zwar hätte der Kläger die Suchbarkeitseinstellugen bezüglich seiner Telefonnummer seit Mai 2019 auf "nur ich" abändern können und liegt hierin - wie auch in einem ausdrücklichen Widerruf seiner Einwilligung nach Art. 7 Abs. 3 Satz 1 DSGVO - im Verhältnis zu einem entsprechenden Unterlassungstitel ein einfacherer und dementsprechend auch billigerer Weg. Doch hat der Kläger vorgetragen, dass die Beklagte nach eigenen Angaben (vgl. die Online-Information der Beklagten mit der Überschrift "Möglicherweise verwenden wir deine Telefonnummer für diese Zwecke:") seine Telefonnummer "möglicherweise" noch für weitere Zwecke verwendet. Hierzu hat das Berufungsgericht keine Feststellungen getroffen und es ist nicht ersichtlich, über welche Einstellungen der Kläger selbst insoweit Abhilfe schaffen könnte.

d) Der so verstandene Unterlassungsantrag enthält auch kein im Sinne des § 890 Abs. 2 ZPO unzulässiges Antragsbegehren bzw. ist nicht auf ein zukünftiges aktives Tun gerichtet (so aber OLG Hamm, Urteil vom 15. August 2023 -7U 19/23, juris Rn. 239). Der Kläger begehrt die Unterlassung der Verarbeitung seiner Mobiltelefonnummer, soweit diese über die Nutzung der Zwei-Faktor-Authentifizierung hinausgeht. Gegenstand seines Begehrens ist demgegenüber nicht, die Kontakt-Import-Funktion aufgrund eines verständlichen Hinweises oder unter Wahrung der Sicherheitsanforderungen nutzen zu können."

Dem tritt der Senat unter Aufgabe seiner entgegenstehenden Rechtsprechung bei.

b) Der Unterlassungsanspruch ist indes der Sache nach nicht gegeben. Der Klagepartei steht weder aus § 1004 BGB noch aus § 280 BGB i.V.m. dem Nutzungsvertrag ein solcher Anspruch auf Unterlassung einer Verarbeitung ihrer Telefonnummer auf der Grundlage der gegebenen Einwilligung zu. Es fehlt an der Wiederholungsgefahr, die auch für den vertraglichen Unterlassungsanspruch aus § 280 Abs. 1 BGB - ebenso wie für den gesetzlichen Unterlassungsanspruch entsprechend § 1004 Abs. 1 Satz 2 i.V.m. § 823 Abs. 1 BGB - erforderlich ist. Dabei begründet zwar ein einmal erfolgter Vertragsverstoß die tatsächliche Vermutung für seine Wiederholung. Die Verletzung einer Vertragspflicht begründet insofern die Vermutung der Wiederholungsgefahr nicht nur für identische Verletzungsformen, sondern auch für andere Vertragspflichtverletzungen, soweit die Verletzungshandlungen im Kern gleichartig sind (BGH, Urteil vom 29. Juli 2021 – III ZR 192/20 –, Rn. 115 - 116, juris; Urteil vom 20. Juni 2013 - I ZR 55/12, NJW 2014, 775 Rn. 18; Beschluss vom 3. April 2014 - I ZB 42/11, NJW 2014, 2870 Rn. 12; jew. mwN).

An die Entkräftung dieser Vermutung sind strenge Anforderungen zu stellen. Sie ist ausnahmsweise dann als widerlegt anzusehen, wenn der Eingriff durch eine einmalige Sondersituation veranlasst war (BGH, Urteil vom 27. April 2021 – VI ZR 166/19 –, Rn. 23, juris; Senat, Beschluss vom 4. Oktober 2021 – 4 W 625/21 –, Rn. 5, juris). Vorliegend ist von einer solchen einmaligen Sondersituation auszugehen, nachdem die Beklagte unstreitig die Kontaktimportfunktion auf der Plattform am 10.10.2018 und die des F.-Messengers am 6.9.2019 deaktiviert und durch eine "People-You-May-Know"-Funktion ("Personen, die du kennen könntest"-Funktion) ersetzt hat.. Bei dieser kann zwar gleichfalls ein Nutzer seine Kontakte mitsamt Telefonnummer hochladen. Das System zeigt ihm dann aber nicht mehr allein aufgrund der Telefonnummer nur den einen passenden konkret-individuell Nutzer – "one-to-one" – an, sondern nur noch eine Liste von mehreren Personen, die aufgrund anderer zusätzlicher Zuordnungskriterien der hochgeladenen Kontakte, z.B. des Namens, zuzuordnen sein könnten. Das "Friend Centre" wurde bereits am 11.12.2018 in ähnlicher Weise geändert. Weitere Scraping-Vorfälle unter Ausnutzung der Sichtbarkeits- und Suchbarkeitseinstellungen bezüglich der Telefonnummer bei der Beklagten gibt es seither unstreitig nicht mehr. Nach Ablauf eines Zeitraums von mehr als fünf Jahren seit dem Scraping-Vorfall ist angesichts dessen nicht davon auszugehen, dass es über die "People-you-may-know"-Funktion zu einem dem streitgegenständlichen Vorfall im Kern gleichartigen Datenzugriff durch Dritte kommt. Der Senat hält es angesichts des mit einem erheblichen Programmieraufwand verbundenen Abschaltens der Kontaktimportfunktion und der Sanktionierung der Beklagten durch die irische Datenschutzbehörde auch für ausgeschlossen, dass die Beklagte gleichwohl diese Funktion in der Zukunft wieder implementieren und überdies mit einer datenschutzrechtlich unzulässigen Systemvoreinstellung versehen könnte. Ohnehin darf auch bei der Frage der Wiederholungs- oder Erstbegehungsgefahr nicht aus dem Blick geraten, dass vorliegend der Unterlassungsanspruch nicht an ein aktives Tun, sondern lediglich an ein Unterlassen der Beklagten anknüpft, gegen ein Scraping durch Dritte hinreichende Vorkehrungen zu treffen.

4. Die Klagepartei hat auch keinen Anspruch auf Unterlassung gemäß Ziffer 3 a) ihres Antrages. Der Antrag ist zu unbestimmt und daher unzulässig. Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem Unterlassungsantrag regelmäßig der Fall, wenn die konkret angegriffene Verletzungsform antragsgegenständlich ist (vgl. BGH; Urteil vom 09.03.2021 - VI ZR 73/20, Rn 15 - juris). Der Antrag Ziffer 3 a) hat indes keinen vollstreckungsfähigen Inhalt. Die Begriffe "nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen" und "unbefugten Dritten" sind zu unbestimmt und nicht vollstreckbar (so auch BGH, Urteil vom 18.11.2024, VI ZR 10/24). Der Formulierung lässt sich nicht entnehmen, welche konkreten Maßnahmen die Beklagte ergreifen soll (vgl. LG Köln, Urteil vom 24.05.2023, Rn 46 - juris). Sie beschränkt sich nicht auf die Wiedergabe des gesetzlichen Verbotstatbestandes Art. 32 Abs. 1 DSGVO, sondern greift aus den dort genannten, zur Gewährleistung eines angemessenen Schutzniveaus zu berücksichtigenden Umständen (Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen) isoliert den Stand der Technik heraus. Es ist aus dem Antrag bei dieser Fassung nicht hinreichend ersichtlich, welche Maßnahmen konkret gefordert werden. Ohne eine solche Konkretisierung ist für die Beklagte aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde (vgl. LG Lübeck, Urteil vom 25.05.2023 - 15 O 74/22, Rn 59 - juris). Darüber hinaus wäre für das Vollstreckungsgericht - auch und insbesondere angesichts des unbestimmten Standes der Technik - nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Beklagten veranlasst werden müssten (vgl. LG Lübeck a.a.O.). Schließlich steht zwischen den Parteien im Streit, welche Maßnahmen dem Stand der Technik entsprechen. Die auslegungsbedürftige Antragsformulierung lässt sich auch nicht durch Auslegung unter Heranziehung des Vortrags der Klagepartei eindeutig präzisieren. Des Weiteren ist im Hinblick darauf, dass die Plattform darauf angelegt ist, andere Personen zu finden und Kontakte herzustellen, auch nicht klar, wer "unbefugter Dritter" sein soll. Eine Zwangsvollstreckung wäre nicht möglich.

5. Der Klagepartei steht auch kein Anspruch auf Auskunft nach Art. 15 DSGVO zu, denn der Anspruch ist durch das Schreiben der Beklagten erfüllt worden, § 362 BGB. Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Gemäß Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung (vgl. OLG Hamm im Urteil vom 15.08.2023 - 7 U 19/23, Rn 244 ff. - juris). Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH Urt. v. 15.6.2021 - VI ZR 576/19, - juris).

Das zur Akte gereichte anwaltliche Antwortschreiben der Beklagten enthält eine Beschreibung des Scrapings, die Mitteilung, dass die Beklagte keine Kopie der Rohdaten hält, welche abgerufen worden waren und eine Auflistung der Datenpunkte, die gescraped wurden. Des Weiteren enthält das Schreiben eine Erläuterung des Datenabrufs über die immer öffentlichen Daten, das F.-Profil und die Kontaktimportfunktion, die zeitliche Angabe "im Zeitraum bis September 2019" und den Hinweis auf das Handeln möglicherweise mehrerer Scraper. Die Beklagte hat einen Link übersandt, auf der über den individuellen Nutzer gespeicherte Daten eingesehen werden können. Damit hat die Beklagte zu erkennen gegeben, dass sie vollständig Auskunft erteilt hat.

Soweit die Klagepartei weitergehend Auskunft darüber verlangt, welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des CIT erlangt werden konnten, steht ihrem Anspruch § 275 Abs. 1 BGB entgegen. Insofern weist die Beklagte unwidersprochen darauf hin, dass ihr die Identitäten der Scraper nicht bekannt seien, weswegen ihr eine Auskunftserteilung unmöglich ist. Zu einer weitergehenden Auskunft war sie angesichts dessen nicht verpflichtet. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht. Es muss vielmehr im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Grundsatzes der Verhältnismäßigkeit gegen andere Grundrechte abgewogen werden (ErwG 4 DSGVO). Insbesondere ist es unter bestimmten Umständen nicht möglich, Informationen über konkrete Empfänger zu erteilen. Daher kann das Auskunftsrecht beschränkt werden, wenn es nicht möglich ist, die Identität der konkreten Empfänger mitzuteilen. Dies gilt insbesondere, wenn die Empfänger noch nicht bekannt sind (vgl. EuGH, Urteil vom 12. Januar 2023 - C-154/21, NJW 2023, 973 Rn. 47 f. - RW/Österreichische Post AG; BGH, Urteil vom 18.11.2024 – VI ZR 10/24).

Im Anschluss hieran kommt auch kein an die Verletzung einer Auskunftspflicht anknüpfender weiterer immaterieller Schadensersatz in Betracht, ohne dass es insofern darauf ankäme, ob die Verletzung einer Auskunftspflicht aus Art. 15 DSGVO tauglicher Anknüpfungspunkt für einen Anspruch aus Art. 82 DSGVO sein kann (vgl. zum Streitstand BSG, Urteil vom 24. September 2024 – B 7 AS 15/23 R –, juris).

6. Ausgehend von dem Obsiegen der Klagepartei im Berufungsverfahren besteht ein Anspruch der Klagepartei auf Erstattung vorgerichtlicher Rechtsanwaltskosten lediglich in der aus dem Tenor ersichtlichen Höhe.

a) Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören nach der ständigen Rechtsprechung des BGH, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren, grundsätzlich zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden (vgl. BGH, Urteile vom 17. November 2015 - VI ZR 492/14, NJW 2016, 1245 Rn. 9; vom 4. März 2008 - VI ZR 176/07, VersR 2008, 985 Rn. 5; vom 4. Dezember 2007 - VI ZR 277/06, VersR 2008, 413 Rn. 13; vom 8. November 1994 - VI ZR 3/94, BGHZ 127, 348, 350, juris Rn. 7). Dabei ist maßgeblich, wie sich die voraussichtliche Abwicklung des Schadensfalls aus der Sicht des Geschädigten darstellt. Ist die Verantwortlichkeit für den Schaden und damit die Haftung von vornherein nach Grund und Höhe derart klar, dass aus der Sicht des Geschädigten kein vernünftiger Zweifel daran bestehen kann, dass der Schädiger ohne weiteres seiner Ersatzpflicht nachkommen werde, so wird es grundsätzlich nicht erforderlich sein, schon für die erstmalige Geltendmachung des Schadens gegenüber dem Schädiger einen Rechtsanwalt hinzuzuziehen. In derart einfach gelagerten Fällen kann der Geschädigte grundsätzlich den Schaden selbst geltend machen, so dass sich die sofortige Einschaltung eines Rechtsanwalts nur unter besonderen Voraussetzungen als erforderlich erweisen kann, wenn etwa der Geschädigte aus Mangel an geschäftlicher Gewandtheit oder sonstigen Gründen wie etwa Krankheit oder Abwesenheit nicht in der Lage ist, den Schaden selbst anzumelden (vgl. BGH, Urteil vom 8. November 1994 - VI ZR 3/94, BGHZ 127, 348, 351 f" juris Rn. 9). Ein solcher Fall liegt hier indes nicht vor, die Einschaltung eines Rechtsanwalts war hier wegen der ablehnenden Haltung der Beklagten und der gerichtsbekannten Schwierigkeiten, mit dieser überhaupt in Kontakt zu treten, gerechtfertigt.

b) Nach diesen Maßstäben kann ein materiell-rechtlicher Kostenerstattungsanspruch aus Art. 82 Abs. 1 DSGVO für die anwaltliche Tätigkeit in Fallgestaltungen des Scraping-Komplexes im Grundsatz nicht verneint werden (BGH, Urteil vom 18.11.2024 - VI ZR 10/24). Dies gilt auch im vorliegenden Fall. Zwar dokumentiert das von der Klagepartei vorgelegte Schreiben vom 16.2.2024 (K1) lediglich die Korrespondenz mit der eigenen Rechtsschutzversicherung, nicht hingegen die Geltendmachung eines Schadens gegenüber der Beklagten. Die Beklagte hat jedoch eine solche außergerichtliche Geltendmachung aller hier in Rede stehenden Ansprüche auch nicht bestritten. Der Höhe nach besteht ein solcher Anspruch jedoch lediglich für die Geltendmachung einer 1,3-Geschäftsgebühr nach Nr. 2300 KV RVG aus einem Streitwert von 600,- € (100 € immaterieller Schaden + 500 € Feststellung) zuzüglich Postpauschale.

Die Entscheidung über die Kosten folgt aus § 92 Abs.1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 ZPO. Gründe für die Zulassung der Revision sind nach der Entscheidung des BGH vom 18.11.2024 nicht mehr gegeben. Die Festsetzung des Streitwerts hat ihre Grundlage in §§ 3, ZPO, 48 Abs. 2 GKG.