A.

Die teilweise bereits unzulässige Klage ist vollumfänglich unbegründet.

I. Die Klage ist nur teilweise zulässig.

1. Das Landgericht Memmingen ist international, sachlich und örtlich zuständig.

1.1. Die internationale Zuständigkeit ergibt sich aus Art. 6 Abs. 1, Art. 18 Abs. 1 Alt. 2 EuGVVO. Gemäß Art. 18 Abs. 1 Alt. 2 EuGVVO kann ein Verbraucher gegen seinen Vertragspartner vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat, klagen. Gemäß Art. 17 Abs. 1 EuGVVO ist der Kläger als Verbraucher anzusehen. Zwischen den Parteien ist unstrittig, dass der Kläger mit der Beklagten einen Nutzungsvertrag über die Nutzung der Social Media Plattform … zu privaten Zwecken geschlossen hat. Eine entgegenstehende ausschließliche Zuständigkeit nach Art. 24 EuGVVO ist nicht gegeben.

1.2. Das Landgericht Memmingen ist nach §§ 23, 71 Abs. 1 GVG sachlich und nach Art. 18 Abs. 1 2. Alt EuGVVO örtlich zuständig.

2. Der unbestimmte Klageantrag in Ziffer 1) und 2) der Klage führt nicht zu einer Unzulässigkeit. Vorliegend ist das Stellen eines unbezifferten Klageantrags ausnahmsweise zulässig, da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist. Ein Verstoß gegen den in § 253 Abs. 2 Nr. 2 ZPO normierten Bestimmtheitsgrundsatz liegt dann nicht vor, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 ZPO oder vom billigen Ermessen des Gerichts abhängig ist. Die nötige Bestimmtheit soll hier dadurch erreicht werden, dass der Kläger in der Klagebegründung die Berechnungs- bzw. Schätzgrundlagen umfassend darzulegen und die Größenordnung seiner Vorstellungen anzugeben hat (vgl. Greger in Zöller, 34. Auflage 2022, ZPO, § 253 Rn. 14). Diese Voraussetzungen liegen hier vor. Der Kläger hat sowohl in der Klagebegründung als auch bereits in dem Klageantrag zu 1) und zu 2) jeweils einen Mindestbetrag angegeben.

3. Hinsichtlich des Klageantrags Ziffer 3) hat die Klageseite das Feststellungsinteresse hinreichend dargelegt. Das rechtliche Interesse des Klägers an einer alsbaldigen Feststellung der Ersatzpflicht der Beklagten im Sinne des § 256 Abs. 1 ZPO ergibt sich daraus, dass sich der anspruchsbegründende Sachverhalt zur Zeit der Klageerhebung noch in der Entwicklung befand. Bei Klageerhebung war erst ein Teil des Schadens entstanden. Die Entstehung weiteren Schadens war nach dem Vorbringen des Klägers noch zu erwarten. In einer derartigen Fallgestaltung ist die Feststellungsklage nach der ständigen Rechtsprechung des Bundesgerichtshofs insgesamt zulässig (vgl. BGH, Beschluss vom 06.03.2012 – VI ZR 167/11 m.w.N.). Ein Feststellungsinteresse ist nur dann zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (vgl. BGH, Beschluss vom 09.01.2007 – VI ZR 133/06). Bei den von Klageseite behaupteten Verstößen mit der behaupteten unkontrollierten Nutzung der Daten ist bei verständiger Würdigung der Umstände nach Ansicht des Gerichts jedenfalls nicht gänzlich ausgeschlossen, dass irgendein materieller oder immaterieller Schaden infolge der Veröffentlichung seiner Daten entstehen könnte. Insgesamt war das erforderliche Feststellungsinteresse daher vorhanden.

4. Der auf Unterlassung gerichtete Klageantrag in Ziff. 4) wird den Bestimmtheitsanforderungen jedoch nicht gerecht und erweist sich daher bereits als unzulässig. Bei Unterlassungsklagen muss die Verletzungshandlung, deren Unterlassen die Klagepartei begehrt, derartig genau beschrieben werden, dass der Gegenstand des Verfahrens und damit der Umfang der Entscheidungsbefugnis des Gerichts sowie die Rechtskraft der Entscheidung genau fixiert wird. Die Beklagte muss sich gegen den Vorwurf erschöpfend verteidigen können. Die Verurteilung muss deutlich erkennen lassen, was ihr verboten ist. Die Entscheidung darüber darf nicht dem Vollstreckungsverfahren überlassen bleiben (vgl. BGH, Urteil vom 11.10.1990 – I ZR 35/89). Soweit mit der Klage beantragt wird, dass die Beklagte es zu unterlassen hat „personenbezogene Daten der Klagepartei, namentlich Telefonnummer, … ID, Familiennamen, Vornamen, […] unbefugten Dritten […] zugänglich zu machen“, wird sie den oben genannten Anforderungen nicht gerecht. Durch die nicht abschließende Auflistung der personenbezogenen Daten wird für die Beklagte nicht ersichtlich, in welchem Umfang das Verbot gilt. Es ist ihr somit nicht möglich, ihr Verhalten rechtskonform auszuüben. Es ist nämlich nicht so, dass grundsätzlich alle personenbezogenen Daten nicht zugänglich gemacht werden dürfen. Soweit der klägerische Antrag neben der ausdrücklich genannten Telefonnummer auch die personenbezogenen Daten Familienname, Vorname und Geschlecht erfassen soll, handelt sich bei diesen Datenpunkten um immer öffentliche Nutzerinformationen, so dass es schon keine unbefugten Dritten geben kann, welchen der Zugriff verweigert werden kann. Eines Hinweises bedurfte es insoweit nicht, da einerseits bereits die Beklagtenpartei auf die fehlende Bestimmtheit hingewiesen hat, anderseits der Antrag darüber hinaus auch unbegründet gewesen wäre, wie nachstehend noch ausgeführt wird.

Der Klageantrag zu 4) ist darüber hinaus deswegen unzulässig, weil der Kläger damit im Kern nicht ein Unterlassen von Kontaktvorschlägen verlangt, sondern, dass er diese unter Wahrung bestimmter Sicherheitsanforderungen nutzen kann. Damit handelt es sich um eine verdeckte und mithin unzulässige Leistungsklage. Die Kammer nimmt insofern zur Vermeidung von Wiederholungen auf das Urteil des OLG Hamm vom 15.08.2023 – 7 U 19/23 sowie den Beschluss des OLG München vom 25.03.2024 – 24 U 1663/23 e Bezug.

II. Die Klage ist insgesamt unbegründet. Der Klagepartei stehen die von ihr geltend gemachten Ansprüche nicht zu.

1. Ein Anspruch auf Ersatz eines immateriellen Schadens besteht nicht.

1.1. Ein Anspruch auf Ersatz des immateriellen Schadens ergibt sich nicht aus Art. 82 DSGVO.

1.1.1. Der Anspruch ergibt sich bereits nicht aus Art. 82 DSGVO, da der Schutzbereich nicht eröffnet ist.

Art. 82 DSGVO erfasst Verstöße, welche durch eine nicht der Verordnung der DSGVO entsprechende Verarbeitung (von Daten) entstanden sind, vgl. Art. 82 Abs. 2 DSGVO. Erforderlich ist daher von vornherein eine Verarbeitung von Daten im Sinne von Art. 4 Nr. 2 DSGVO. Gemäß Art. 4 Nr. 2 DSGVO handelt es sich bei Datenverarbeitung um jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Soweit die Klageseite der Beklagten Verstöße gegen Informationspflichten vorwirft, kann sich hieraus somit bereits kein Anspruch aus Art. 82 DSGVO ergeben, da es sich um keinen Verstoß im Hinblick auf die Verarbeitung von Daten handelt.

Die von der Klagepartei vorgebrachten Verstöße gegen Art. 13, 14 DSGVO, Art. 34 DSGVO und Art. 15 DSGVO betreffen einzig und allein Informationspflichten gegenüber den betroffenen Personen. Die Information über die Verarbeitung von personenbezogenen Daten stellt aber keine Verarbeitung von personenbezogenen Daten im Sinne von Art. 4 Nr. 2 DSGVO dar, sodass der Klagepartei ein entsprechender Schadensersatzanspruch aus etwaigen (nicht vorliegenden, siehe unten) Verstößen nicht zustehen kann (vgl. hierzu u.a. Gola/Piltz in Gola/Heckmann 3. Aufl. 2022, DS-GVO Art. 82 Rn. 20; LG Essen, Urteil vom 10.11.2022 – 6 O 111/22).

1.1.2. Unabhängig von der Frage, ob der Schutzbereich eröffnet ist, scheitert der geltend gemachte Anspruch jedoch vorliegend an den entsprechenden Pflichtverletzungen der Beklagten.

1.1.2.1. Ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a), Art. 13, 14 DSGVO fällt der Beklagten nicht zur Last.

Gemäß Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Diese Grundsätze sind sodann auf die Informations- und Aufklärungspflicht nach Art. 13 DSGVO zu übertragen. Die Aufklärung über die Zwecke der Verarbeitung muss insbesondere für den Nutzer klar verständlich und nachvollziehbar sein. Ähnliche Anforderungen sieht dabei auch Art. 14 DSGVO für den Fall vor, dass der Verantwortliche die Daten nicht direkt bei der betroffenen Person erhebt. Art. 12 DSGVO sieht ebenso eine Information in präziser, transparenter und leicht zugänglicher Form vor.

Diese Vorgaben hält die Beklagte vorliegend ein. Die Beklagte weist den jeweiligen Nutzer bereits bei der Registrierung auf die Datenrichtlinie hin, welche herausarbeitet, welche Daten auf der Plattform einsehbar sind und welche Auswirkungen es hat, je nachdem welche Zielgruppe der Nutzer wählt. Auch im Hilfebereich erläutert die Beklagte den Nutzern die Bedeutung der Einstellung „öffentlich“. Zudem wird explizit im Hilfebereich aufgeklärt, dass der Nutzer auch festlegen kann, wer sehen kann, was der Nutzer teilt. Zur Umstellung dieser Einstellungen wird auch eine Anleitung bereitgestellt. Weiter erfolgt im Hilfebereich auch die Aufklärung, dass der Nutzer ggf. über seine Handynummer oder seine E-Mail-Adresse gefunden werden kann sowie wie der Nutzer seine Mobilfunknummer hinzufügen, aber auch entfernen kann.

Hierbei handelt es sich um Informationen auf mehreren Ebenen. Jedoch schließt gerade dies die Übersichtlichkeit und Transparenz nicht aus. Die Beklagte versuchte über mehrere Ebenen, die vielschichtigen Themen abzuschichten und einzelne Themenbereiche zu bilden. Dies dient letztlich der Vermeidung der Überforderung des Nutzers mit einer Flut an Informationen im Hinblick auf die verarbeiteten Daten. Dabei wird nicht verkannt, dass das Lesen sämtlicher Informationen und Unterbereiche letztlich mit einem gewissen Zeitaufwand verbunden ist, jedoch ist ein solcher Zeitaufwand auch beim Lesen bei Allgemeinen Geschäftsbedingungen der Fall. Hierauf kann es jedoch nicht ankommen. Einzig und allein ist letztlich zu beachten, ob der Nutzer hinreichend klar und verständlich informiert wird. Dies ist vorliegend der Fall. Dabei fand die Aufklärung über die Verwendung der Daten auch in verständlicher Sprache statt, wie es nach Inaugenscheinnahme der streitgegenständlichen Bestimmungen der Datenrichtlinie und des Hilfebereiches zur Überzeugung des Gerichts feststeht.

Es ist gerade zu berücksichtigen, dass in Anbetracht der Vorgaben der DSGVO und der damit verbundenen vielseitigen Informationspflichten vielfältige Einstellungsmöglichkeiten nahezu zwingend sind, sodass jeder Nutzer die Einstellungen individuell entsprechend seiner spezifischen Bedürfnisse vornehmen kann.

Für eine sachgerechte Betrachtung der Frage ist auch zu berücksichtigen, dass es sich um eine freiwillig von der Klagepartei genutzte Plattform handelt. Soweit die Klagepartei vorliegend neben den für die Anmeldung erforderlichen Daten wie Name, Geschlecht, Geburtsdatum und E-Mail-Adresse zusätzlich ihre Mobilfunknummer angab, ist zu bedenken, dass es sich bei der Mobilfunknummer um eine nicht erforderliche Angabe handelte. Denn soweit man sich zur Nutzung der Plattform entschließt, ist jedenfalls die Angabe der Mobilfunknummer neben der E-Mail-Adresse dafür nicht zwingend erforderlich. Hierbei handelt es sich um ein zusätzliches Angebot der Beklagten, mit welcher der jeweilige Nutzer – wie hier die Klagepartei – weitere Funktionen und Informationen – wie etwa das Zweifaktor-Authentifizierungsverfahren – nutzen kann. Im Rahmen der Datenrichtlinie wird der Nutzer darüber aufgeklärt, dass die Verwendung möglicherweise erfolgt, um dem Nutzer Personen vorzuschlagen, welche der Nutzer kennen könnte. Ebenso wird darauf hingewiesen, dass der Nutzer kontrollieren kann, wer die Nummer sehen kann. Zudem wird dem Nutzer erklärt, dass er über die Privatsphäre-Einstellung regeln kann, wer ihn mit seiner Handynummer suchen kann. Selbst wenn das Auffinden dieser Hinweise unter Umständen mit zeitlichem Aufwand verbunden ist, sind die Hinweise selbst klar und verständlich formuliert. Insbesondere ist auch deutlich, dass zwischen dem Sehen der Telefonnummer und dem auf … nach dir suchen zu unterscheiden ist. Insbesondere ist auch die Einstellung „Wer kann dich anhand der angegebenen Telefonnummer finden?“ mit der Antwort „Alle“ eindeutig.

Insgesamt ist damit festzuhalten, dass es der Eingabe der Mobilfunknummer zur Nutzung der Plattform eigentlich nicht bedarf, dass jedoch, wenn der Nutzer sich für die Verwendung der Plattform mit seiner Mobilfunknummer entscheidet, er hinreichend verständlich und übersichtlich aufgeklärt wird, wie die Mobilfunknummer verwendet wird und wie eine solche Verwendung eingeschränkt werden kann. Letztlich ist dabei auch zu bedenken, dass die Plattform … gerade dem Finden und dem Austausch von Informationen in der Form eines sozialen Netzwerks dient. In diesem Fall ist es dem Nutzer auch zuzumuten, sich mit den ihm gegebenen Informationen zum Schutz seiner Daten zu befassen.

Unter Berücksichtigung all dieser Umstände ist ein Verstoß auf Beklagtenseite gegen Art. 5 Abs. 1 lit. A) DSGVO nicht zu erkennen.

1.1.2.2. Es liegt auch kein Verstoß der Beklagten gegen Art. 24 Abs. 1, 32 Abs. 1 DSGVO vor.

Nach diesen Vorschriften hat der Verantwortliche bei der Verarbeitung personenbezogener Daten unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Anknüpfend an den Gedanken der Schaffung eines Schutzniveaus kann sich eine derartige Verpflichtung in Anbetracht des Wortlautes des Art. 32 Abs. 1 lit. b) DSGVO allerdings nur auf solche Datensätze beziehen, die nicht gerade einem Schutz der Vertraulichkeit entzogen werden sollen.

Bei Zugrundelegung dieses Maßstabs hat die Beklagte gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, nicht verstoßen. Die Beklagte war nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils des Klägers aufgrund seiner selbst gewählten Einstellung zu verhindern (vgl. LG Essen, Urteil vom 10.11.2022 – 6 O 111/22).

Soweit auf die Daten der Klagepartei wie Name, Geschlecht und Benutzername im Rahmen des Scraping Vorfalls zugegriffen wurde, handelt es sich gerade um Daten die für jedermann öffentlich zugänglich waren. Diesbezüglich können diese Daten für sich bereits kein erhöhtes Schutzniveau in Anspruch nehmen. Denn die Beklagte durfte aufgrund der von ihr zur Verfügung gestellten Nutzungshinweisen sowie der vor Registrierung vom Nutzer zwingend zu bestätigenden Datenverwendungsrichtlinien davon ausgehen, dass der Klagepartei klar ist, dass sein Name, Geschlecht und Benutzername jederzeit für jedermann abrufbar ist (vgl. Landgericht Essen, a.a.O., so auch LG Halle, Urteil vom 28.12.2022 – 6 O 195/22).

Soweit man unterstellt im Rahmen des Scraping-Vorfalls sei auch die Mobilfunknummer der Klagepartei abgegriffen worden, ist auch hier kein Verstoß der Beklagten festzustellen.

Die Klagepartei hatte die Suchbarkeitseinstellung für ihre Mobilfunknummer nicht verändert, so dass diese auf „Alle“ eingestellt war. Diese Einstellung beinhaltet, dass Dritte die Klagepartei über ihre Mobilfunknummer finden konnten. Hierunter fällt letztlich auch die Möglichkeit, dass Dritte über eine zufällig mittels elektronischer Möglichkeiten erzeugte Mobilfunknummer letztlich eine Verknüpfung zur Klagepartei über deren zum Finden freigegebene Mobilfunknummer herstellen. Zwar ist die Beklagte durchaus verpflichtet, zu gewährleisten, dass nicht jedermann ohne weiteres an die sensibleren Daten, wie beispielsweise die Mobilfunknummer gelangt. Dieser Anforderung kam die Beklagte jedoch nach, indem es sich hier zum einen um eine freiwillige, nicht zwingend erforderliche Preisgabe von Daten des Nutzers gegenüber der Beklagten handelt und zum anderen, indem der Nutzer unter Verweis auf die möglichen Nutzungen der Mobilfunknummer die Möglichkeit hat, jederzeit die Einstellungen zur Suchbarkeit zu ändern. Diese Einstellungen waren – wie bereits dargestellt – hinreichend klar und verständlich. Insofern ist die Beklagte ihrer Verpflichtung nachgekommen, sodass ein Verstoß ebenfalls nicht festzustellen war. Soweit die Klagepartei die hierzu erforderliche Zeit zur Information über die Einstellungen nicht aufbringen wollte, kann dies nicht zu Lasten der Beklagten gehen.

Dass nicht öffentlich zugängliche Informationen von Dritten erlangt worden sind, kann nicht festgestellt werden.

1.1.2.3. Es liegt auch kein Verstoß der Beklagten gegen Art. 25 Abs. 2 DSGVO vor.

Nach Art. 25 Abs. 2 DSGVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Der Anwendungsbereich von Abs. 2 bezieht sich vor allem auf internetbasierte Dienste wie die der streitgegenständlichen Plattform, bei denen durch die standardmäßige Konfiguration von Privatsphäre-Einstellungen sicherzustellen ist, dass Nutzer ihre Daten nur den Personenkreisen und nur in dem Umfang zugänglich machen, die sie vorab selbst festgelegt haben (Nolte/Werkmeister in Gola/Heckmann, 3. Aufl. 2022, DS-GVO Art. 25 Rn. 28). Insofern hat der Betreiber in seinen Voreinstellung vorzusehen, dass alle nicht für den Zweck der Nutzung erforderlichen personenbezogenen Daten anderen nicht zugänglich gemacht werden, es sei denn der Nutzer nimmt entsprechende Einstellungen vor.

Auch hier kann sich der Sinn und Zweck letztlich nicht auf die für die Registrierung erforderlichen Daten Name und Geschlecht beziehen, da der Nutzer auf die öffentlichen Zugänglichmachung bei der Registrierung bereits hingewiesen wird und hier konkludent zustimmt. Soweit jedoch erneut die Mobilfunknummer des Nutzer betrachtet wird, kann das Gericht auch hier keinen Verstoß erkennen. Der Nutzer, der sich entschließt auch seine Mobilfunknummer preis zu geben – obwohl dies für die Nutzung der Plattform in keiner Weise erforderlich ist – macht dies regelmäßig unter anderem aufgrund der damit einhergehenden Komfortfunktion, einfacher gefunden zu werden. Die initiale Einstellung der Such-, beziehungsweise Auffindbarkeit für alle Nutzer dient gerade dem Sozialaspekt und damit dem Verarbeitungszweck der Plattform. Auch wenn die Beklagte mit ihrer Plattform Marketingzwecke verfolgen mag, so ist für den Nutzer aber in der Regel nicht etwa der kommerzielle Aspekt, sondern gerade die soziale Komponente des Netzwerks von Bedeutung. Diese soziale Komponente besteht gerade darin, mit anderen Nutzern in Kontakt zu treten oder in Kontakt zu bleiben, Inhalte aller Art mit der Öffentlichkeit zu teilen, seine Teilnahme an Veranstaltungen zu signalisieren oder sich an öffentlichen Diskussionen zu beteiligen. Soweit der Nutzer nicht an den ausgeführten Möglichkeiten teil haben möchte, bleibt es ihm unbenommen, mit Vornahme der entsprechenden Einstellungen, seine öffentliche Darstellung auf der Plattform einzuschränken. Soweit er dieser Möglichkeit nicht nach kommt, ist dies der Beklagten nicht vorzuwerfen. Überdies war es ihm ohne Weiteres möglich, bei entsprechendem Interesse den Hilfebereich aufzusuchen, wo er über den Reiter „Privatsphäre-Check“ sodann unmittelbar zu den einschlägigen Einstellungen gelangen konnte (vgl. hierzu auch: OLG München, Verfügung vom 14.09.2023 – 14 U 3190/23).

Soweit teilweise behauptet wird, dass der kommunikative Zweck ebenso erreicht werden könne, wenn die entsprechenden Voreinstellungen für die Telefonnummern der Nutzer von Anfang an auf „nicht-öffentlich“ beziehungsweise „nicht sichtbar“ gestellt seien, weil die Nutzer der Plattform sich lediglich über ihre Namen und nicht über ihre Telefonnummer suchen, trifft dies nicht zu. Auch wenn es in der Tat unwahrscheinlich erscheint, dass sich Freunde oder Familienmitglieder über ihre Nummern suchen, so ist dies in Bezug auf Externe nicht unbedingt der Fall. Gerade in Anbetracht der Vielzahl an aktiven Nutzern der Plattform können sich die Namen wiederholen, sodass ein einfaches Auffinden des angesteuerten Kontakts nicht immer möglich ist. Vor diesem Hintergrund kann aber gerade die Auffindbarkeit durch die Telefonnummer oder E-Mail-Adresse Abhilfe schaffen, um so eine schnellere und bequemere Kontaktaufnahme zu ermöglichen (so auch LG Kiel, Urteil vom 12.01.2023 – 6 O 154/22).

Das Gericht verkennt dabei nicht, dass die Voreinstellungen der Zielgruppenauswahl sowie der Suchbarkeit bei der erstmaligen Nutzung der Plattform nach Eingabe der Mobilfunknummer eine Zugänglichkeit in Form der Einsichtnahme in das Profil des Betroffenen durch einen unbestimmt weit gefassten Personenkreis vorsieht. Dennoch ist es – wie oben bereits ausführlich dargestellt – dem Nutzer gleich nach der Anmeldung möglich, diese Konfiguration zu ändern, um so sein Interesse an der Vertraulichkeit bezogen auf seine Daten zu wahren. Durch diese Möglichkeit, auf die der Nutzer nach seiner Anmeldung durch die Beklagte hingewiesen wird, wird so letztlich dem Zweck der unkontrollierten Weitergabe der Daten des Betroffenen entsprochen.

1.1.2.4. Es liegt auch kein Verstoß der Beklagten gegen Art. 33 DSGVO vor.

Gemäß Art. 33 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Einer solchen Verpflichtung unterlag die Beklagte jedoch nicht, da eine Verletzung des Schutzes personenbezogener Daten aufgrund der oben dargelegten Umstände gerade nicht vorlag.

1.1.2.5. Es liegt auch kein Verstoß der Beklagten gegen Art. 35 DSGVO vor.

Selbst wenn ein Verstoß gegen Art. 35 DSGVO vorlag, indem die Beklagte nach dem Vorfall keine Folgenabschätzung durchführte, ist nicht ersichtlich, inwiefern dies für den von der Klagepartei geltend gemachten Schaden ursächlich bzw. mitursächlich gewesen sein soll. Hiergegen spricht bereits, dass es sich bei den gescrapten Daten um öffentlich zugängliche Informationen auf dem Profil der Klagepartei auf … handelte.

1.1.2.6. Es liegt auch kein Verstoß der Beklagten gegen die Auskunftspflicht gemäß Art. 15 DSGVO vor.

Die betroffene Person hat gemäß Art. 15 Abs. 1 lit. a und c DSGVO das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob er betreffend den Nutzer personenbezogene Daten verarbeitet hat. Ist dies der Fall, so hat der Nutzer ein Recht auf Auskunft über diese personenbezogenen Daten und über die Verarbeitungszwecke (a) und die Empfänger oder Kategorien von Empfängern (c), gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen. Das Schreiben der Beklagtenseite (Anlage B16) informiert die Klagepartei insoweit umfassend. Damit ist der Anspruch insoweit erfüllt und erloschen (§ 362 Abs. 1 BGB).

Nicht beantwortet wird durch die Beklagte in dem außergerichtlichen Schreiben einzig, welchen Empfängern die Daten der Klagepartei durch Ausnutzung des Kontakt-Import Tools im Sinne des Art. 15 Abs. 1 c) DSGVO zugänglich gemacht wurden. Das Scraping ist allerdings – wie vorstehend ausgeführt – von außen erfolgt und es nicht erkennbar, wer diese Daten gescrapt hat. Die begehrte Auskunftserteilung ist aufgrund des Vorganges des Scrapings unter Ausnutzung von Daten, die auf „öffentlich“ gestellt sind, unmöglich. Ebenso ist im Rechtssinne unmöglich (und es wird auch nicht näher dargelegt, wie die Beklagte dies mitteilen können soll) zu informieren, wann die Daten gescrapt wurden. Die Beklagte hat der Klagepartei im Ergebnis also alle Informationen mitgeteilt, die ihr selbst bezüglich des Scraping-Vorfalls zur Verfügung standen. Weitere Angaben kann sie nicht machen. Die Beklagte ist folglich hierzu auch nicht verpflichtet (so auch LG Essen, a.a.O.; LG Ellwangen, Urteil vom 25.01.2023 – 2 O 198/22).

1.1.3. Der geltend gemachte Schadensersatzanspruch scheitert darüber hinaus auch daran, dass ein ersatzfähiger Schaden im Sinne von Art. 81 Abs. 1 DSGVO nicht vorliegt.

Der Eintritt des Schadens muss dabei im Sinne des § 287 ZPO als überwiegend wahrscheinlich dargetan werden (Foerste in Musielak/Voit, ZPO, 19. Aufl. 2022, § 287, Rn. 7). Das Gericht verkennt dabei nicht, dass der Schadensbegriff im Lichte des Erwägungsgrundes Nr. 146 der DSGVO weit zu verstehen ist, sodass ein genereller Ausschluss von Bagatellschäden im Lichte dieser Erwägungsgründe nicht vertretbar ist (vgl. LG Köln, Urteil vom 18.05.2022 – 28 O 328/21). Dennoch muss jedenfalls ein Schaden tatsächlich „erlitten“ worden sein (Erwägungsgrund Nr. 146 S. 6), das heißt jedenfalls ersichtlich, spürbar, objektiv nachvollziehbar und von einem gewissen Gewicht sein (vgl. LG Essen, a.a.O., m.w.N.).

Der Klagepartei ist es letztlich nicht gelungen, eine solche spürbare Beeinträchtigung unter Berücksichtigung der vorgenannten Umstände konkret darzulegen. Die Klagepartei führt schriftsätzlich als immaterielle Schadenspositionen insbesondere Ängste, unter denen sie leide, die daraus resultierten, dass sie einen erheblichen Kontrollverlust über ihre Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potentiellen Missbrauch ihrer Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Anrufen und Emails gekommen.

Insgesamt erweckt der Kläger den Eindruck, dass ihn die erhaltenen Anrufe und Nachrichten verärgern, von einer konkreten Angst, konnte sich das Gericht jedoch nicht überzeugen. Zum Termin zur mündlichen Verhandlung am 08.07.2024 erschien der Kläger trotz ordnungsgemäßer Ladung und Anordnung des persönlichen Erscheinens nicht selbst, sondern nur sein Prozessbevollmächtigter als Vertreter nach § 141 Abs. 3 ZPO. Einen persönlichen Eindruck vom Kläger konnte sich das Gericht folglich nicht verschaffen.

Die Daten des Klägers (voller Name, Adresse, Festnetznummer) – insoweit erfolgte keine Streitigstellung seitens der Klägerpartei – sind öffentlich im Telefonbuch, bei „Das Örtliche“, sowie unter seinem Kleinanzeigenkonto (mit Name und Postleitzahl) einzusehen.

Dies deutet auf einen eher sorglosen Umgang mit der eigenen Telefonnummer hin und lässt sich mit den geschilderten Sorgen des Klägers nicht in Einklang bringen. Selbst wenn es unwahrscheinlich ist, dass einzelne Telefonnummern von Webseiten abgegriffen werden, würde man erwarten, dass jemand, der sich tatsächlich durch Anrufe von Unbekannten in hohem Maße belästigt fühlt, seine Rufnummer nicht ohne Not öffentlich einsehbar bereit hält. Der Kläger kann deswegen schwer geltend machen, das er sich dadurch beeinträchtigt fühlt, dass seine Daten nun im Netz gelandet sind.

Soweit die Klageseite vorbringt, dass bereits ein Verstoß gegen die DSGVO und ein möglicher Kontrollverlust für die Bejahung eines immateriellen Schadens ausreiche und daher schon aufgrund einer bloßen Gefährdung einen Schaden annehmen will, kann sich das Gericht diesen Erwägungen nicht anschließen. Insgesamt erscheint ein Identitätsmissbrauch allein aufgrund einer Telefonnummer eher unwahrscheinlich (so auch LG Karlsruhe, Urteil vom 09.02.2021 – 4 O 67/20). Insbesondere würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde bereits der Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund Nr. 75 (vgl. LG Essen, Urteil vom 10.11.2022 – 6 O 111/22, so auch LG Ellwangen, Urteil vom 25.01.2023 – 2 O 198/22).

Ein immaterieller Schaden ist daher – anders als der Kläger meint – nicht bereits in dem Kontrollverlust zu sehen, der durch das Scraping entstanden ist, sondern kann allenfalls Folge dieses Kontrollverlustes sein (OLG München, Beschluss vom 25.03.2024, 24 U 1663/23 e). Es wird seitens der Klagepartei pauschal auf einen erlittenen Kontrollverlust, aufgewendete Zeit, Angst, Stress, Sorge etc. abgestellt, ohne dass hierzu quantitativ oder qualitativ spezifizierter Vortrag bzgl. der Person der Klagepartei erfolgt. Der Vortrag bleibt unsubstantiiert und pauschal. Die umfangreichen Ausführungen zum vermeintlichen Schaden und der Schadenshöhe erschöpfen sich über weite Strecken in theoretischen Ausführungen ohne echten individuellen Bezug zur Klagepartei.

Dem Gericht ist aus einer Vielzahl gleichgelagerter Fälle bekannt, dass der Vortrag wortgleich in hunderten von Klagen, die von den Prozessbevollmächtigten des Klägers vertreten werden, enthalten ist.

Doch selbst wenn man diesen Vortrag für ausreichend halten sollte, ist dieser nicht nachgewiesen. Denn die Klägerseite ist ohne Entschuldigung zu ihrer persönlichen Anhörung in der mündlichen Verhandlung vom 08.07.2024 nicht erschienen. Sie ist mithin beweisfällig geblieben; ohne ihre Anhörung konnte sich das Gericht die gem. § 286 ZPO erforderliche Überzeugung nicht bilden.

1.1.4. Zudem fehlt es an der Kausalität zwischen dem Vorwurf und dem in den Raum gestellten Schaden.

Substantiierter Vortrag dahingehend, dass der „Scraping-Vorfall“ ursächlich zu einem konkreten Schaden bei der Klagepartei geführt habe, ist nicht ersichtlich.

Hinsichtlich der schriftsätzlich genannten Spam-Anrufe und Emails bleibt ebenfalls unklar, aus welchen konkreten Gründen diese auf das streitgegenständliche Datenleck zurückzuführen sein sollen. Hinzu tritt, dass gerichtsbekanntermaßen auch Inhaber von Telefonnummern, die niemals bei … angemeldet waren, Spam-Anrufe erhalten. Dies trifft häufig ältere Mitbürger, die gerade nicht bei Social Media aktiv sind, sondern deren Telefonnummern auf andere Art und Weise ausgelesen bzw. generiert werden. Insbesondere sind Spam-E-Mails mit Werbung oder Nachrichten mit Hinweis auf eine ausstehende Paketlieferung weit verbreitet. Auch Nachrichten, in welchen sich die unbekannten Täter als Angehörige, Postdienstleister, Bank oder Ähnliches ausgeben, sind üblich und gehen beinahe überall ein. Selbst wenn bei der Klagepartei tatsächlich Spam-Anrufe und SMS-Nachrichten seit 2019 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten die Klagepartei an anderer Stelle freigegeben hat (beispielsweise im Rahmen weiter verbreiteter Phishing E-Mails) und ob ein unberechtigter Datenzugriff an anderer Stelle zu dem von der Klagepartei behaupteten vermehrten unerwünschten Nachrichtenaufkommen geführt hat. Hätte das Abgreifen von Daten der Klagepartei bereits früher stattgefunden, wäre jedenfalls der hiesige Vorfall für die vorgetragenen Umstände nicht kausal. Dies gilt insbesondere vor dem Hintergrund, dass der Kläger seine Daten öffentlich im Telefonbuch, bei „Das Örtliche“, sowie unter seinem Kleinanzeigenkonto hinterlegt hat.

Ein Kausalzusammenhang ist damit weder dargelegt noch bewiesen.

1.1.5. Ausführungen zur Höhe des geltend gemachten Schmerzensgeld können daher aufgrund der vorgenannten Umstände unterbleiben.

1.2. Ein etwaiger Anspruch auf Schmerzensgeld steht der Klagepartei auch nicht aus sonstigen, nationalen Vorschriften zu.

Das Verhältnis der Vorschriften der DSGVO zu denen des materiellen Rechts kann dabei letztlich dahinstehen, da sich auch aus dem nationalen Recht kein Anspruch ergibt.

1.2.1. Auf die Vorschriften §§ 280 Abs. 1, Abs. 3, 281, 327, 327e, 327i BGB kann die Klagepartei ein Anspruch bereits deshalb nicht stützen, da die Normen der §§ 327 ff. BGB erst zum 01. Januar 2022 in Kraft getreten sind und damit auf den Zeitpunkt des Abschlusses des Nutzungsvertrags, wie auch auf den Zeitpunkt des Verstoßes nicht anzuwenden sind.

1.2.2. Den Anspruch auf Schadensersatz kann die Klagepartei auch nicht auf § 280 Abs. 1 BGB i.V.m. Nutzungsvertrag als Vertrag sui generis stützen (vgl. hierzu, OLG München, Urteil vom 18.12.2020 – 18 U 5493/19).

Unabhängig von der Frage, ob die Beklagte eine Pflicht aus dem Nutzungsvertrag verletzt haben soll, fehlt es jedenfalls an einem Schaden gemäß §§ 249 ff. BGB. Das nationale Schadensrecht verlangt für einen Schadensersatzanspruch jedenfalls eine spürbare Beeinträchtigung (Herberger/Martinek/Rüßmann/Weth/Würdinger, jurisPK-BGB, 9. Aufl. 2020, § 249 BGB, Stand: 8. September 2021, Rn. 26 ff.). An einer solchen fehlt es gerade.

1.2.3. An der Darlegung des konkreten materiellen Schadens scheitert letztlich auch der Anspruch aufgrund einer möglichen Verletzung des allgemeinen Persönlichkeitsrechts gemäß §§ 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG ebenso wie ein möglicher Anspruch aus § 823 Abs. 2 BGB i.V.m. dem Recht auf informationelle Selbstbestimmung.

1.2.4. Aufgrund der obigen Ausführungen kommt auch ein Anspruch aus §§ 1004 BGB analog, 823 Abs. 2 BGB i.V.m. Art. 13, 14 DSGVO nicht in Betracht. Es kann dahin stehen, ob die DSGVO als Schutzgesetz im Sinne von § 823 Abs. 2 BGB anzusehen ist.

Die Klagepartei hat der Veröffentlichung ihrer Daten bei der Registrierung unter Zustimmung zu den Nutzungsbedingungen zugestimmt. Insofern hat die Beklagte die Klagepartei hinreichend über die Verarbeitung der Daten aufgeklärt (vgl. hierzu die Ausführungen oben). Soweit der Scraping-Vorfall sich auf die Mobilfunknummer der Klagepartei bezieht, ist auch hier zu berücksichtigen, dass die Klagepartei jederzeit die Einstellungen zur Suchbarkeitsfunktion hätte ändern können. Auch dies war für einen verständigen und interessierten Nutzer ohne weiteres bei Anlegung der entsprechenden Sorgfalt und Inanspruchnahme von Zeit möglich. Dass die Beklagte entgegen der von einem Nutzer getroffenen Einstellungen Telefonnummern eigenständig oder aktiv freigibt oder anderweitig nutzt, hat die Klagepartei schon nicht behauptet.

2. Aufgrund der dargelegten Umstände ist auch der Antrag auf Feststellung einer Ersatzpflicht künftiger materieller und immaterieller Schäden unbegründet.

3. Darüber hinaus steht der Klagepartei kein Anspruch auf Unterlassung gemäß §§ 1004 analog, 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1, 17 DSGVO gegen die Beklagte zu. Eine Zuwiderhandlung der Beklagten ist nicht ersichtlich, im Übrigen aber auch für die Zukunft nicht zu befürchten.

Soweit vorliegend überhaupt gesichert Daten durch den Scraping-Vorgang durch die unbekannten Täter erlangt wurden, handelte es sich dabei um öffentliche Daten bzw. Daten, auf welche der Kläger den Zugriff erlaubte.

Die Klagepartei hat der Veröffentlichung ihrer Daten bei der Registrierung unter Zustimmung zu den Nutzungsbedingungen zugestimmt. Insofern hat die Beklagte die Klagepartei hinreichend über die Verarbeitung der Daten aufgeklärt (vgl. hierzu die obigen Ausführungen). Soweit der Scraping-Vorfall sich auf die Mobilfunknummer der Klagepartei bezieht, ist auch hier zu berücksichtigen, dass die Klagepartei jederzeit die Einstellungen zur Suchbarkeitsfunktion hätte ändern können. Auch dies war für einen verständigen und interessierten Nutzer ohne weiteres bei Anlegung der entsprechenden Sorgfalt und Inanspruchnahme von Zeit möglich. Dass die Beklagte entgegen der von einem Nutzer getroffenen Einstellungen Telefonnummern eigenständig oder aktiv freigibt oder anderweitig nutzt, hat die Klagepartei schon nicht behauptet.

4. Der Klageseite steht auch kein Anspruch auf weitergehende Auskunft nach Art. 15 DSGVO zu.

Zwar hat nach Art. 15 Abs. 1 DSGVO die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Gemäß Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung (BGH Urt. v. 15.6.2021 – VI ZR 576/19, r+s 2021, 525 Rn. 17). Art. 15 Abs. 1 DSGVO verleiht ein verfahrensmäßiges Recht, Informationen über die Verarbeitung personenbezogener Daten zu verlangen (EuGH Urt. v. 22.6.2023 – C-579/21, BeckRS 2023, 14515 Rn. 35).

Das Auskunftsbegehren der Klagepartei hat die Beklagte jedoch erfüllt, § 362 Abs. 1 BGB.

Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH Urt. v. 15.6.2021 – VI ZR 576/19, r+s 2021, 525 Rn. 19 f. m.w.N.; dem folgend OLG Düsseldorf Urt. v. 9.3.2023 – 16 U 154/21, BeckRS 2023, 4182 = juris Rn. 29).

Gemessen daran, ist Erfüllung eingetreten.

Mit Schreiben vom 21.07.2023 (Anlage B 2) hat die Beklagte der Klageseite Auskunft über die von ihr verarbeiteten Daten in angemessener Weise zur Verfügung gestellt, sodass der Anspruch bereits teilweise gemäß § 362 Abs. 1 BGB erloschen ist. Die Beklagte ist lediglich angehalten, die von ihr selbst verarbeiteten Daten mitzuteilen. Soweit Dritte durch das Scrapen vorliegend (öffentlich einsehbare) Daten der Klageseite verarbeitet haben, ist die Beklagte hierzu nicht zur Auskunft verpflichtet. Die Beklagte legt darüber hinaus nachvollziehbar dar, dass sie hierzu keine weiteren Angaben machen kann. Die Beklagte hat mithin ungeachtet des von ihr prozessual behaupteten Fehlens einer Auskunftspflicht Auskunft erteilt und hinreichend deutlich gemacht, dass sie keine weiteren Auskünfte zur Identität der Scraper und zum genauen, den Kläger betreffenden Scraping-Zeitpunkt machen kann (OLG Hamm Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 228-236, beck-online).

5. Die geltend gemachten Nebenforderungen teilen das Schicksal der nicht bestehenden Hauptforderungen und bestehen daher nicht.

B.

Die Kostenentscheidung ergibt sich aus § 91 ZPO.

C.

Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 709 ZPO.

D.

Der Streitwert wurde gem. §§ 39 ff. GKG auf 8.000 € festgesetzt. Der Antrag auf Zahlung des immateriellen Schadensersatzes wurde entsprechend seiner Ausgestaltung mit 4.000 € (Ziffer 1: 2.000 €, Ziffer 2: 2.000 €) bemessen.

Der Antrag auf Feststellung der Einstandspflicht (Ziffer 3) wurde mit 500 € bemessen. Für den Feststellungsantrag ist für den Streitwert von dem an einem entsprechenden Leistungsantrag orientierten wirtschaftlichen Interesse des Klägers an der Feststellung auszugehen, das sich auf mutmaßliche weitere Schäden ab Klageeinreichung bezieht. Dies bemisst das Gericht nach freiem Ermessen unter Berücksichtigung des beim immateriellen Schadensersatz angesetzten Betrags gemäß § 48 Abs. 1 S. 1 GKG i.V.m. § 3 ZPO.

Den Streitwert für den Unterlassungsanspruch (Ziffer 4) bemisst das Gericht insgesamt mit 3.000 € (vgl. OLG München, Beschluss vom 16.05.2024, 24 W 676/24 e)

Der Streitwert für den Auskunftsanspruch (Ziffer 5) wird auf 500 € bestimmt. Hierbei schließt sich das Gericht den Erwägungen des OLG Karlsruhe (Beschluss vom 05.07.2023 – 10 W 5/23) an.