A.

Von der Darstellung des Tatbestandes wird gemäß §§ 540 Abs. 2, 313 a Abs. 1 S. 1, 544 Abs. 2 Nr. 1 ZPO abgesehen.

B.

Es besteht keine Veranlassung das vorliegende Verfahren im Hinblick auf das Vorabentscheidungsverfahren, Az. C-273/25, des Gerichtshofs der Europäischen Union auszusetzen (EuGH, Urteil vom 15. Oktober 2024 – C-144/23 –, juris).

Hinsichtlich der in diesem Verfahren zur Entscheidung gestellten Frage, ob der bloße Kontrollverlust der betroffenen Person über ihre personenbezogenen Daten bereits für sich genommen einen immateriellen Schaden begründet, besteht aufgrund der Entscheidungen des Gerichtshofes vom 4. Mai 2023 (C-300/21, GRUR 2023, 980), 14. Dezember 2023 (C-340/21 und C-456/22), 25. Januar 2024 (C-687/21), 11. April 2024 (C-741/21), 20. Juni 2024 (C-590/22 und C-182/22) und vom 4. Oktober 2024 (C-200/23) kein Klärungsbedarf mehr (BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, juris Rn. 82). Die erneute Vorlage von höchstrichterlich bereits geklärten Fragestellungen durch ein erstinstanzliches Gericht (wie hier durch das Landgericht Erfurt mit Beschluss vom 3. April 2025 – 8 O 895/23 –, juris) gibt daher zur Aussetzung des hiesigen Verfahrens keinen Anlass.

C.

Die zulässige Berufung der Beklagten hat in der Sache vollumfänglich Erfolg.

Es kann dabei dahinstehen, ob die Beklagte als Verantwortliche i.S.d. Art. 4 Nr. 7, 82 Abs. 1 DS-GVO gegen die DSGVO verstoßen hat, und zwar gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 b und c, Art. 25 Abs. 2 S. 1 und 3 DSGVO.

Jedenfalls ist im vorliegenden Einzelfall dadurch kein materieller bzw. immaterieller Schaden bei der Klagepartei eingetreten, so dass eine Ersatzpflicht nach Art. 82 Abs. 1 DSGVO ausscheidet. Die Besonderheit liegt nämlich darin, dass der nach Angaben der Klagepartei gescrapte und im Darknet veröffentlichte Datensatz: … lediglich ihre Mobilfunknummer und ihr Geschlecht enthält, aber weder ihren Nachnamen noch ihren Vornamen.

I. Mit der Leitentscheidung des BGH (vom 18.11.2024 – VI ZR 10/24, GRUR 2024, 1910, beck-online), der eine ausführliche Würdigung der einschlägigen Rechtsprechung des Europäischen Gerichtshofs zum autonom unionsrechtlichen Schadensbegriff in Art. 82 DSGVO vorgenommen hat (Rn. 28 ff.), ist davon auszugehen, dass der Begriff des immateriellen Schadens „in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren“ ist. „Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich“ (BGH Urteil vom 18.11.2024 – VI ZR 10/24, a.a.O. Rn. 28). Ein bestimmter Grad an Schwere oder Erheblichkeit ist nicht erforderlich, allerdings bedeutet dies nicht, „dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen“ (BGH Urteil vom 18.11.2024 – VI ZR 10/24, a.a.O. Rn. 29).

Dabei kann auch „der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung“ einen Schaden darstellen. „Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.“ (BGH Urteil vom 18.11.2024 – VI ZR 10/24, a.a.O., LS, Rn. 30).

Den Nachweis hierfür muss der Betroffene erbringen. Wenn dies gelingt, der Kontrollverlust also feststeht, „stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern“ (BGH Urteil vom 18.11.2024 – VI ZR 10/24, a.a.O., Rn. 31).

„Aber auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen“, wenn die Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen wurde. Die bloße Behauptung einer solchen Befürchtung ohne nachgewiesene negative Folgen oder ein „rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten“ genügen hingegen nicht (BGH Urteil vom 18.11.2024 – VI ZR 10/24, a.a.O., Rn. 32).

„Der Betroffene, der Ersatz des immateriellen Schadens verlangt, muss folglich geltend machen (und ggf. nachweisen), dass der Verstoß gegen die Datenschutz-Grundverordnung negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen“. Hierfür gelten die allgemeinen Grundsätze, d.h. dass ein Sachvortrag zur Begründung eines Anspruchs bereits dann schlüssig und erheblich ist, „wenn die Partei Tatsachen vorträgt, die in Verbindung mit einem Rechtssatz geeignet und erforderlich sind, das geltend gemachte Recht als in der Person der Partei entstanden erscheinen zu lassen. Die Angabe näherer Einzelheiten ist nicht erforderlich, soweit diese für die Rechtsfolgen nicht von Bedeutung sind. Das Gericht muss nur in die Lage versetzt werden, aufgrund des tatsächlichen Vorbringens der Partei zu entscheiden, ob die gesetzlichen Voraussetzungen für das Bestehen des geltend gemachten Rechts vorliegen.“ (BGH Urteil vom 18.11.2024 – VI ZR 10/24, a.a.O., Rn. 33, 34).

II. Unter Berücksichtigung dieser Grundsätze ist vorliegend nicht von einem immateriellen Schaden der Klagepartei auszugehen.

Zwar hat die Klagepartei schlüssig dargelegt, dass sie einen Verlust der Kontrolle über eigene personenbezogene Daten infolge des oben dargestellten Verstoßes gegen die Datenschutz-Grundverordnung erlitten hat. Sie hat nämlich zum einen ausgeführt, dass sich ein Datensatz mit ihren personenbezogenen Daten auf einer sogenannten Hacker-Plattform im Darknet einsehbar befunden hat, und bereits erstinstanzlich den Inhalt in Form eines wörtlichen Zitats wiedergegeben. Die Feststellung, dass auch die Daten der Klagepartei von dem Scraping-Vorfall betroffen waren, ergibt sich auch aus dem Schreiben der Beklagten in Anlage B16.

Bei dem in dem veröffentlichten Datensatz enthaltenen Daten handelte es sich auch nicht nur um solche, die immer öffentlich auffindbar sind, sobald ein Nutzer ein Profil bei F. anlegt. Denn dies betrifft nur die Nutzer-ID, den Namen sowie das Geschlecht. Hingegen waren in dem Datensatz zusätzliche Informationen, insbesondere die Mobilfunknr. der Klagepartei, enthalten, was die Zuordnung der Nummer zu einer bestimmten Person mit bestimmten Merkmalen und dadurch auch deren persönliche Anrede im Rahmen von in betrügerischer Absicht geplanten Kontaktversuchen ermöglichte.

Allerdings hat die Klagepartei sich vorliegend nicht unter ihrem richtigen Namen auf F. angemeldet, sondern unter dem Fantasienamen …. Dabei mag es sich bei dem angegebenen Vornamen … noch um eine Abkürzung des Vornamens der Klagepartei handeln. Der angegebene Nachname … hat indes keinerlei Ähnlichkeit mit dem Nachnamen der Klagepartei. Daher fehlt vorliegend die gerade als entscheidend anzusehende Verknüpfung ihrer Mobilfunknummer mit dem Namen der Klagepartei, da diese ein besonderes Missbrauchsrisiko birgt (vgl. OLG München Beschluss vom 13.02.2025 – 24 U 3020/24 e, GRUR-RS 2025, 3209, Rn. 21, beck-online).

Vielmehr liegt der hier erlittene Kontrollverlust lediglich darin, dass die Mobilfunknummer einer … Person zugeordnet werden konnte, die unter einer bestimmten Nutzer-ID bei F. registriert ist. Dieser Kontrollverlust hinsichtlich persönlicher Daten ist jedoch als äußerst gering einzuschätzen, insbesondere fehlt es an der Herstellung eines Datensatzes aus der Mobilfunknummer und weiteren bei der Beklagten veröffentlichten persönlichen Daten (so im Fall des OLG Düsseldorf, Urteil vom 14.03.2025 – 16 U 94/24, GRUR-RS 2025, 4597, Rn. 36, beck-online, in dem der Datensatz den echten Vornamen und einen Alias-Nachnamen des Klägers enthalten hatte: „Entscheidend für die Schadenshöhe ist vielmehr allein der auch vom Kläger in den Mittelpunkt seines Vortrags gerückte Umstand, dass die Beklagte gegenüber unbekannten Dritten ohne seine Einwilligung dazu die Mobilfunknummer mit weiteren – ohnehin öffentlichen, mit welchen auch immer – Profildaten verknüpft und daraus einen Datensatz bereitgestellt hat.“). Die vorliegend erfolgte Verknüpfung und die Herstellung eines vollkommen rudimentären „Datensatzes“ ist daher unter dem Gesichtspunkt eines möglichen Missbrauchs als so gering einzustufen, dass sie keinen ausgleichspflichtigen Schaden darstellt. Das von der Klagepartei in ihrer persönlichen Anhörung vor dem Landgericht berichtete erhöhte Spam-Aufkommen geht nämlich weder nach Umfang noch nach seiner Art nicht über das übliche Maß hinaus, da es insbesondere nicht infolge der Verwendung einer persönlichen Anrede eine besondere Gefährdung mit sich bringen konnte. Im Gegenteil, ist es für die Klagepartei sogar leichter, eine missbräuchliche Kontaktaufnahme zu erkennen, wenn sie darin mit dem bei der Registrierung bei F. verwendeten Fantasienamen angesprochen wird.

Aus diesem Grund scheidet ein Anspruch auf Ersatz eines immateriellen Schadens genauso aus wie auch die Feststellung der Ersatzpflicht für zukünftige Schäden und der Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten.

Das Ersturteil war daher im Umfang der Verurteilung aufzuheben und die Klage insgesamt abzuweisen.

D.

Die Entscheidung über die Kosten des Rechtsstreits beruht auf §§ 91 ZPO.

Die Entscheidung zur vorläufigen Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711, 713 ZPO.

Die Voraussetzungen für die Zulassung der Revision liegen nicht vor. Weder hat die Rechtssache grundsätzliche Bedeutung, noch weicht der Senat von höchstrichterlicher oder obergerichtlicher Rechtsprechung ab. Eine Divergenz zu Entscheidungen anderer Oberlandesgerichte in den sogenannten „Scraping-Fällen“ liegt nicht vor. Nach der Rechtsprechung des Bundesgerichtshofs begründet es noch keine Divergenz, wenn der gleiche Sachverhalt von zwei Gerichten unterschiedlich beurteilt wird. Hinzukommen muss, dass dieser Beurteilung unterschiedliche abstrakte Rechtssätze zugrunde liegen. Dafür reicht es nicht aus, dass die gegenteiligen Urteile auf der Würdigung des jeweils vorgetragenen Sachverhalts in tatsächlicher Hinsicht beruhen (BGH, Beschluss vom 9. Juli 2007 – II ZR 95/06 –, juris Rn. 2, zur unterschiedlichen Beurteilung ein und desselben Verhaltens als sittenwidrig bzw. nicht sittenwidrig). Die abstrakten Rechtssätze, die der vorliegenden Entscheidung zugrunde liegen, sind seit der Leitentscheidung des Bundesgerichtshofs vom 18.11.2024 allgemein anerkannt.

E.

I. Der Streitwert für das Berufungsverfahren ergibt sich aus dem Umfang der erstinstanzlichen Verurteilung der Beklagten, wobei die Feststellung mit 500 € zu bewerten war (BGH, Beschluss vom 10.12.2024 – VI ZR 7/24, juris Rn. 13; BayObLG, Beschluss vom 16.08.2024 – 101 AR 103/24 e, juris Rn. 39).

II. Der Streitwert für das erstinstanzliche Verfahren war unter Abänderung der Festsetzung des Erstgerichts auf 3.500 € festzusetzen. Dabei war der Schadensersatzantrag wegen der Angabe eines Mindestbetrags mit 1.000 € zu bewerten (Wöstmann in: Münchener Kommentar zur ZPO, 6. Aufl. 2020, § 3 Rn. 128) und der Feststellungsantrag wiederum mit 500 €.

Der Streitwert für die Unterlassungsanträge war auf 1.500 € (2 × 750 €) festzusetzen. Das Interesse der Klagepartei an einer solchen Unterlassung ist dabei pauschalierend unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere der Stellung des Verletzers und des Verletzten sowie von Art, Umfang und Gefährlichkeit der Verletzungshandlung zu bewerten (BGH, Beschluss vom 25.04.2023 – VI ZR 111/22, juris Rn. 13). Bei dem Unterlassungsantrag nach bereits erfolgter Verletzungshandlung ist das mit dem Unterlassungsbegehren verfolgte Interesse des Anspruchstellers darauf gerichtet, in Zukunft weitere oder fortgesetzte Rechtsverletzungen zu unterbinden. Der Gefährlichkeit der bereits begangenen Verletzungshandlung kommt bei der Wertbemessung Indizwirkung zu. Allerdings kann auch anderen, von der Verletzungshandlung unabhängigen Faktoren – etwa dem Grad der Wahrscheinlichkeit künftiger Zuwiderhandlungen – Rechnung zu tragen sein (BGH, Urteil vom 12.05.2016 – I ZR 1/15, juris Rn. 35).

Das Gefährdungspotential ist mit Blick auf das konkrete Streitverhältnis zu bestimmen. Dabei sind weder generalpräventive Erwägungen, mit denen Dritte von Rechtsverletzungen abgeschreckt werden sollen, zu berücksichtigen (BGH, Urteil vom 12.05.2016 – I ZR 1/15, a.a.O. Rn. 42) noch hat eine Orientierung an einem volkswirtschaftlichen Gesamtschaden zu erfolgen (BGH, Beschluss vom 30.11.2004 – VI ZR 65/04, juris Rn. 2). Denn Art. 82 DSGVO hat – anders als Art. 83 und 84 DSGVO, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben – keine Straf-, sondern eine Ausgleichsfunktion (EuGH, Urteil vom 11.04.2024 – C-741/21, juris Rn. 59). Es darf auch das Gesamtgefüge der Bewertung nichtvermögensrechtlicher Streitgegenstände nicht aus den Augen verloren werden (BGH, Beschluss vom 26.11.2020 – III ZR 124/20, juris Rn. 11).

Vorliegend hat die Klagepartei zwar den ihr bereits entstandenen Schaden mit 1.000 € beziffert. Offensichtlich übertriebene Einschätzungen haben aber außer Betracht zu bleiben, so dass diesen Angaben keine indizielle Bedeutung zukommt, wenn sie das tatsächliche Interesse offensichtlich unzutreffend widerspiegeln (BayObLG, Beschluss vom 16.08.2024 – 101 AR 103/24 e, a.a.O. Rn. 44). Der Bundesgerichtshof hat im Leitentscheidungsverfahren ausgeführt, dass keine Bedenken bestünden, den notwendigen Ausgleich für den eingetretenen Kontrollverlust als solchem in einer Größenordnung von 100 € zu bemessen (BGH Urteil vom 18.11.2024 – VI ZR 10/24, a.a.O. Rn. 100), so dass der im Schmerzensgeldantrag getroffenen Wertangabe keine maßgebliche Bedeutung zukommt.

Die Verletzungshandlung liegt bereits fünf Jahre zurück, ohne dass es bislang jenseits des behaupteten Kontrollverlustes zum Eintritt nachweisbarer Schäden oder einer weiteren Verletzungshandlung gekommen wäre; die Beklagte hat die Suchbarkeitsfunktion in der dem Streitfall inmitten stehenden Ausgestaltung vielmehr zwischenzeitlich deaktiviert. Beide Unterlassungsanträge nehmen ihren Ausgangspunkt in derselben Verletzungshandlung und hängen in der Sache eng zusammen (BGH, Beschluss vom 10.12.2024 – VI ZR 7/24, a.a.O. Rn. 15). Das generalpräventive Interesse der Klagepartei dahin, die Beklagte zu veranlassen, ihre Sicherungsvorkehrungen zu erhöhen, ist im Rahmen des konkret gestellten Unterlassungsbegehrens nicht zu berücksichtigen, ebenso nicht die von einem Scraping regelmäßig betroffene hohe Personenzahl (BayObLG, Beschluss vom 16.08.2024 – 101 AR 103/24 e, a.a.O. Rn. 48, 49).

Der Streitwert hinsichtlich des Auskunftsanspruchs war auf 500 € festzusetzen (BGH, Beschluss vom 10.12.2024 – VI ZR 7/24, a.a.O. Rn. 13; BayObLG, Beschluss vom 16.08.2024 – 101 AR 103/24 e, a.a.O. Rn. 50).