Inhalt

OLG München, Endurteil v. 24.04.2024 – 34 U 2306/23 e
Titel:

Kein immaterieller Schaden durch angeblichen Kontrollverlust hinsichtlich persönlicher Daten

Normenketten:
DSGVO Art. 7, Art. 15, Art. 17, Art. 25, Art. 32, Art. 82
BGB § 275, § 362, § 823, § 1004
ZPO § 256
Leitsätze:
1. Ein immaterieller Schaden ist nicht bereits in einem angeblichen Kontrollverlust zu sehen, der durch sog. Daten-Scraping entstanden ist, sondern kann allenfalls Folge dieses Kontrollverlustes sein.(Rn. 23) (redaktioneller Leitsatz)
2. Ein Feststellungsinteresse ergibt sich jedenfalls dann nicht aus einem Kontrollverlust über persönlich Daten, wenn keine Anhaltspunkte dafür bestehen, dass im Hinblick auf die konkret betroffenen Daten und das Verhalten des Betroffenen noch ein materieller Schaden drohen könnte. (Rn. 31) (redaktioneller Leitsatz)
Schlagwort:
immaterieller Schadensersatz
Vorinstanz:
LG München I, Urteil vom 20.04.2023 – 15 O 4507/22
Weiterführende Hinweise:
Revision zugelassen
Fundstellen:
DB 2024, 2153
MDR 2024, 901
LSK 2024, 8563
GRUR-RS 2024, 8563
ZD 2024, 530

Tenor

1. Auf die Berufung der Beklagten wird das Urteil des Landgerichts München vom 20.04.2023, Az. 15 O 4507/22, abgeändert und die Klage insgesamt abgewiesen.
2. Die Anschlussberufung des Klägers wird zurückgewiesen.
3. Der Kläger hat die Kosten des Rechtsstreits zu tragen.
4. Das Urteil ist ohne Sicherheitsleistung vorläufig vollstreckbar. Der Kläger kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110% des vollstreckbaren Betrages abwenden, wenn nicht die Gegenseite vor der Vollstreckung Sicherheit in gleicher Höhe leistet
5. Die Revision wird zugelassen.

Entscheidungsgründe

I.
1
Die Parteien streiten um Schadensersatz-, Auskunfts- und Unterlassungsansprüche nach einem Daten-Scraping. Die Klagepartei ist Nutzer des sozialen Netzwerks .... Für Nutzer im Gebiet der Europäischen Union ist die Beklagte Anbieterin dieser Plattform.
2
Anfang April 2021 wurden Daten von ca. 533 Millionen Nutzern aus 106 Ländern im Internet durch unbekannte Dritte öffentlich verbreitet. Bei den Datensätzen handelte es sich um Telefonnummer, ID, Name, Vorname, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus und weitere Daten. Teile der von dem Vorfall betroffenen Daten wurden in den Jahren 2018 und 2019 bei der Beklagten mittels des ...-Tools Kontakt-Importer (CIT, Contact-Import-Tool) „gescraped“, d.h. aus zum Teil öffentlich zugänglichen Daten durch automatisierte Abfragen in großer Zahl ausgelesen. Bei dem Scraping-Vorgang wurden durch die unbekannten Täter virtuelle Adressbücher mit einer großen Zahl an willkürlich gewählten Telefonnummern erstellt, um sodann über das CIT automatisiert herauszufinden, ob bei der Beklagten zu diesen Telefonnummern ... Profile bestanden. Wurde hierbei ein ...-Profil gefunden, so fragten die unbekannten Täter die bei zum Profil gespeicherten (öffentlich einsehbaren) Daten ab und exportierten diese.
3
Automatisierte Scraping-Aktivitäten ohne Erlaubnis der Beklagten waren während des hier gegenständlichen Zeitraums durch die Nutzungsbedingungen für die ... Plattform verboten und sind auch weiterhin untersagt.
4
Unabhängig von etwaigen Einstellungen sind auf der Plattform der Beklagten die Nutzerdaten Name, ID und Geschlecht immer öffentlich einsehbar. Einstellungen bzgl. der Telefonnummer konnten Nutzer an zwei Orten vornehmen. Im Rahmen der „Privatsphäre-Einstellungen“ konnten unter den von der Beklagtenseite so bezeichneten Bereichen „Zielgruppenauswahl“ und „Suchbarkeits-Einstellungen“ Einstellungen vorgenommen werden. In Bezug auf die Telefonnummer konnte zum einen eingestellt werden, wer die Telefonnummer auf dem Profil des Nutzers sehen könne („Zielgruppenauswahl“), wobei die Optionen „öffentlich“, „Freunde“ und „Freunde von Freunden“ möglich waren. Zum andere konnte eingestellt werden, wer den Nutzer über die Telefonnummer finden könne (Suchbarkeits-Einstellungen). Insofern war als Voreinstellung eingestellt, dass „alle/jeder“ den Nutzer über die Telefonnummer finden könne. In den Suchbarkeits-Einstellungen im Profil der Klagepartei war die Einstellung hinsichtlich der Telefonnummer auf „alle“ eingestellt und nicht verändert seit 21.02.2018.
5
Mit vorgerichtlicher E-Mail vom 11.06.2021 forderte die Klagepartei die Beklagte zur Zahlung von 500,00 EUR Schadensersatz nach Art. 82 Abs. 1 DSGVO, zur Unterlassung zukünftiger Zugänglichmachung der Daten der Klagepartei an unbefugte Dritte sowie zur Auskunft darüber auf, welche konkreten Daten im April 2021 abgegriffen und veröffentlicht worden seien (Anlage K 1). Mit Schreiben vom 23.08.2021 (Anlage K 2) wies die Beklagte Ansprüche auf Schadensersatz und Unterlassung zurück und erteilte der Klagepartei Auskünfte. Mit Schreiben vom 09.09.2021 (Anlage B 15) erteilte die beklagte Partei ebenfalls Auskünfte.
6
Gestützt auf den Scraping-Vorgang hat der Kläger erstinstanzlich eine Vielzahl von Datenschutzverstößen durch die Beklagte behauptet, die sich sowohl auf die Erstregistrierung, die Weiterverarbeitung seiner Daten nach Inkrafttreten der Datenschutzgrundverordnung und die Behandlung des Scraping-Vorfalls nach dessen Bekanntwerden erstrecken. Er hat die Auffassung vertreten, wegen dieser Verstöße und der erlittenen Ängste und Sorgen wegen des eingetretenen Kontrollverlusts stünden ihm immaterieller Schadensersatz in Höhe von mindestens 1.000,- € und weitere Folgeansprüche zu. Zur weiteren Sachdarstellung wird auf den Tatbestand des Urteils des Landgerichts München vom 20.4.2023 Bezug genommen.
7
Das Landgericht München hat den Kläger persönlich angehört. Dieser hat angegeben, er habe seit 2019 bis Mai 2022 regelmäßig Anrufe von unbekannten Telefonnummern erhalten. Wenn er diese angenommen habe, sei nichts zu hören gewesen. Mit dem angefochtenen Urteil – auf das wegen der weiteren Einzelheiten Bezug genommen wird – hat das Landgericht München die Beklagte unter Abweisung der Klage im Übrigen zur Zahlung eines Betrages in Höhe von 600,- € sowie dazu verurteilt, es zu unterlassen, personenbezogene Daten der Klägerseite unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen.
8
Wegen des Vorbringens der Parteien in erster Instanz, des Verfahrensgangs und des Urteilsinhalts wird im übrigen Bezug genommen auf Tatbestand und Entscheidungsgründe der angefochtenen Entscheidung (§ 540 Abs. 1 Nr. 1 ZPO).
9
Gegen das der Beklagten am 21.4.2023 zugestellte Endurteil des Landgerichts hat die Beklagte mit Schriftsatz vom 22.5.2023, eingegangen beim Oberlandesgericht am selben Tag, Berufung eingelegt mit dem Ziel der vollständigen Klageabweisung. Mit Verfügung vom 22.8.2023, dem Klägervertreter zugestellt am selben Tag, wurde eine Frist zur Berufungserwiderung von drei Wochen gesetzt. Der Kläger hat mit Schriftsatz vom 11.9.2023, eingegangen am selben Tag, Anschlussberufung eingelegt und verfolgt seine erstinstanzlichen Anträge in vollem Umfang weiter.
10
Die Beklagte hat zuletzt beantragt,
Das Urteil des Landgerichts München vom 20. April 2023, Az. 15 O 4507/22 wird im Umfang der Beschwer der Beklagten abgeändert und die Klage abgewiesen.
11
Der Kläger hat beantragt, die Berufung der Beklagten zurückzuweisen. Er hat ferner beantragt, unter Aufhebung des am 25.04.2023 zugestellten Urteils des Landgerichts München (15 O 4507/22), das angefochtene Urteil teilweise abzuändern und die Beklagte insgesamt wie folgt zu verurteilen:
1. Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.
2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.
3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,
a. personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,
b. die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der ..., hier ebenfalls explizit die Berechtigung verweigert wird.
4. Die Beklagte wird verurteilt, der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.
5. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.
6. Die Beklagte trägt die Kosten des Rechtsstreits.
12
Hilfsweise hat er beantragt,
die Revision zum Bundesgerichtshof zuzulassen.
13
Die Beklagte hat beantragt,
die Berufung des Klägers zurückzuweisen.
14
Der Senat hat am 17.4.2024 mündlich verhandelt. Hinsichtlich des Ergebnisses wird auf das Protokoll der mündlichen Verhandlung vom genannten Tag verwiesen sowie im Übrigen auf die im Verfahren vorgelegten Schriftsätze nebst Anlagen Bezug genommen.
II.
15
Die mit der Klage geltend gemachten Ansprüche des Klägers bestehen nicht. Die Berufung der Beklagten ist daher zulässig und begründet, die Anschlussberufung der Beklagten ist unbegründet.
16
1. Es kann dahinstehen, ob der Beklagten Verstöße gegen Art. 25 Abs. 1 oder Art. 32 DSGVO vorzuwerfen sind. Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO scheidet jedenfalls aus, da der Kläger einen darauf beruhenden Schaden nicht nachgewiesen hat.
17
Ob der Kläger zu Recht Verstöße gegen die DSGVO geltend macht, kann genauso offenbleiben wie die Frage, ob die Beklagte ihrer Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 32 DSGVO) nachgekommen ist (vgl. EuGH, Urteil vom 14.12.2023, C-340/21, juris). Denn der Kläger hat einen kausal auf diesen Verstößen beruhenden Schaden nicht nachweisen können.
18
a) Nach Art. 82 der DSGVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird; der bloße Verstoß gegen Bestimmungen der DSGVO reicht demnach nicht aus (EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 42, juris; Urteil vom 14.12.2023, C-456/22, 21, juris). Die Darlegungs-und Beweislast trägt insoweit die betroffene Person (vgl. EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 50; Urteile vom 14.12.2023, C-340/21, Rn. 84, juris, und C-456/22, Tenor, S.2, GRUR-RS 2023, 35767; OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 151, juris).
19
aa) Dass er infolge von Verstößen gegen die DSGVO materielle Schäden erlitten hat, wird vom Kläger bereits nicht behauptet.
20
bb) Ein Schadenersatzanspruch ist aber auch nicht gegeben, soweit der Kläger als Folge von der Beklagten anzulastenden Datenschutzverstößen immaterielle Schäden in Form eines Verlusts der Kontrolle über die ihn betreffenden personenbezogenen Daten verbunden mit dem Gefühl des Kontrollverlusts, großen Unwohlseins, Ärgers, Angst, Stress und Sorge erlitten haben will.
21
(1) Ein immaterieller Schaden des Klägers ist nicht festzustellen hinsichtlich derjenigen Daten, deren Angabe für die Registrierung auf der Plattform der Beklagten zwingend erforderlich und auf seinem Profil als „immer öffentlich“ eingestellt waren wie Vor- und Nachname, das Geschlecht und die ID. Insofern liegt bereits kein „Kontrollverlust“ vor (OLG Köln GRUR-RS 2023, 37347, Rn. 27; OLG Dresden GRUR-RS 2024, 2999, Rn. 28).
22
(2) Der Kläger hat aber auch einen immateriellen Schaden hinsichtlich der Veröffentlichung seines Namens in Verbindung mit seiner Mobilfunknummer nicht nachweisen können.
23
(aa) Ein immaterieller Schaden ist – anders als die Klagepartei meint – nicht bereits in dem Kontrollverlust zu sehen, der durch das Scraping entstanden ist, sondern kann allenfalls Folge dieses Kontrollverlustes sein (so zutreffend OLG München 27 U 2408/23 e, Beschluss vom 2.2.2024).
24
Die hieraus folgende Dreistufigkeit der Prüfung (Verstoß gegen DSGVO -> negative Folge, z.B. Kontrollverlust -> Schaden) stellt auch der Europäische Gerichtshof in seinem Urteil vom 14.12.2023, C-340/21, GRUR-RS 2023, 35786, Rn. 84 heraus: „Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (…).“
25
Soweit die Klagepartei aus den Erwägungsgründen zur DSGVO schließen möchte, dass bereits der Kontrollverlust als solcher einen immateriellen Schaden darstellt, greift auch diese Betrachtung zu kurz: Zwar scheint Erwägungsgrund 85 einen eingetretenen Kontrollverlust bereits als Schaden anzusehen. Dem steht aber Erwägungsgrund 83 entgegen, der die Risiken einer Verarbeitung persönlicher Daten anspricht und dabei deutlich unterscheidet zwischen den Folgen eines Verstoßes gegen die DSGVO (u.a. Verlust von personenbezogenen Daten) auf der einen Seite und hieraus möglicherweise entstehenden physischen, materiellen oder immateriellen Schäden auf der anderen Seite.
26
Nichts anderes ergibt sich aus dem Erwägungsgrund 75. Der Begriff des „Kontrollverlusts“ wird dort zwar in einer längeren Aufzählung von Beispielen erwähnt, die zu einem Schaden führen können. Daraus ist aber gerade nicht zu folgern, dass jeder Kontrollverlust alleine bereits einen Schaden darstellt (so zutreffend auch OLG München, Beschluss vom 14.11.2023, 14 U 3443/23).
27
Auch der Europäische Gerichtshof hat zuletzt ausdrücklich entschieden, dass nicht schon deshalb ein „immaterieller Schaden“ im Sinne des Art. 82 Abs. 1 DSGVO vorliegt, weil die betroffene Person befürchtet, dass in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet (EuGH vom 25.01.2024, C-687/21, GRUR-RS 2024, 530).
28
Schließlich lässt sich aufgrund des Sachvortrags der Klagepartei auch der erforderliche Kausalzusammenhang zwischen dem Scraping-Vorfall und den von ihr behaupteten Unannehmlichkeiten nicht sicher feststellen. Zwar steht nach dem Vortrag des Klägers das vermehrte Auftreten von belästigenden Anrufen in einem zeitlichen Zusammenhang mit dem streitgegenständlichen Scraping-Vorfall. Abgesehen davon, dass die Beklagte den Vortrag des Klägers hierzu bestritten hat, kann dies allein aber einen Kausalzusammenhang nicht belegen, denn derartige unerbetene, belästigende oder betrügerische Anrufe können grundsätzlich schon deshalb nicht gerade auf den Scraping-Vorfall bei ... zurückgeführt werden, weil davon regelmäßig auch Personen, deren Daten nicht gescrapet wurden, in vergleichbarer Weise betroffen sind. Es ist allgemein und auch den Senatsmitgliedern aus eigener Erfahrung – bekannt, dass Personen, die keine sozialen Netzwerke nutzen, ebenfalls derartige Anrufe erhalten. Selbst wenn zu seinen Gunsten unterstellt wird, dass seine Telefonnummer auf weiteren Websites nicht öffentlich sichtbar oder sonst öffentlich bekannt war, kann doch nicht ausgeschlossen werden, dass Dritte die Telefonnummer des Klägers unbefugt, unabsichtlich oder im Rahmen technischer Vorfälle anderen Personen zugänglich gemacht haben. Ein Zusammenhang zwischen den gehäuften Anrufen ab dem Jahr 2019 mit dem Scraping-Ereignis ist daher nicht belegt oder offensichtlich. Die Befürchtung eines Missbrauchs gründet sich vielmehr auf der allgemeinen Gefahr, die mit der Nutzung eines Telefons einhergeht und die alle Nutzer in ähnlicher Weise trifft und nicht auf den Kontrollverlust durch das Scraping-Ereignis.
29
2. Das Landgericht München hat mit zutreffenden Erwägungen den Feststellungsanspruch abgewiesen. Für diesen Klageantrag fehlt das erforderliche Feststellungsinteresse nach § 256 Abs. 1 ZPO.
30
Ein Feststellungsantrag ist bereits dann zulässig, wenn die Schadensentwicklung noch nicht gänzlich abgeschlossen und der Kläger aus diesem Grund nicht im Stande ist, seinen Anspruch deshalb ganz oder teilweise zu beziffern (OLG Hamm, Urteil vom 21.05.2019, 9 U 56/18). Das Feststellungsinteresse ist daher nur dann zu verneinen, wenn aus der Sicht des Geschädigten keinerlei Besorgnis besteht, zumindest mit dem Eintritt eines Schadens zu rechnen (BGH, Beschluss vom 09.01.2007, ZR 133/06). Vorliegend sind zwar die Daten des Klägers noch im Internet abrufbar; wer bereits in der Vergangenheit darauf zugegriffen hat und dies gegebenenfalls in Zukunft noch in missbräuchlicher Weise tun wird, ist unklar. Dabei kann auch nicht völlig ausgeschlossen werden, dass dem Kläger bereits ein Schaden zugefügt wurde, von dem er bislang nur noch keine Kenntnis hat. Andererseits ist die von ihm behauptete Wahrscheinlichkeit eines Schadenseintritts infolge des Scraping-Vorfalls umso geringer, je länger der Vorfall zurückliegt, denn der Kausalzusammenhang lässt sich nicht mehr beweisen. Im Hinblick darauf, dass fünf Jahre nach dem Scraping-Vorfall und dem unbefugten Zugriff Dritter auf die Daten ein darauf beruhender materieller Schaden nicht entstanden ist und auch keine konkreten Anhaltspunkte dafür bestehen, dass dem Kläger eine Gefährdung seines Vermögens drohen könnte, bleibt die Möglichkeit eines Schadenseintritts theoretisch. Überdies bekommt der Kläger nach eigenem Bekunden keine auffälligen Anrufe mehr. Es kann nach alledem davon ausgegangen werden, dass mit dem Eintritt eines materiellen Schadens nicht mehr zu rechnen ist (vgl. OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 215, juris; OLG Dresden, Urteil vom 05.12.2023, 4 U 709/23, juris), unabhängig davon, dass ein Feststellungsantrag auch nicht begründet wäre.
31
Die Auffassung des OLG Stuttgart (Urteil vom 22.11.2023, 4 U 20/23, GRUR-RS 2023, 32883, Rn. 92 ff.), das Feststellungsinteresse sei infolge des Kontrollverlusts über die Daten gegeben, teilt der Senat nicht. Dem Vortrag des Klägers lassen sich keine Anhaltspunkte dafür entnehmen, dass im Hinblick auf die konkret betroffenen Daten und das Verhalten des Klägers noch ein materieller Schaden drohen könnte (vgl. auch OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, juris, Rn. 214 ff.; OLG Hamm, Zurückweisungsbeschluss vom 27.12.2023, – 7 U 104/23, dort S. 6 ff., und OLG Köln, Entscheidung vom 07.12.2023, 15 U 108/23, dort S. 22 ff.).
32
3. Hinsichtlich der geltend gemachten Unterlassungsansprüche (Ziffern 3.a und 3.b der Klage) geht der erkennende Senat mit zahlreichen Oberlandesgerichten davon aus, dass die Anträge bereits unzulässig sind. Zur Vermeidung von Wiederholungen kann auf die überzeugenden Ausführungen des Oberlandesgerichts Hamm in seiner Entscheidung vom 15.08.2023 (Urteil vom 15.08.2023, 7 U 19/23, GRUR 2023, 1791, Rn. 203 ff.) Bezug genommen werden. Dies gilt insbesondere für die dortigen Ausführungen zum Vorliegen einer (unzulässigen) verdeckten Leistungsklage. Es kann vorliegend daher dahinstehen, ob im Anwendungsbereich der Datenschutzgrundverordnung ein Unterlassungsanspruch aus Art. 17 DSGVO analog oder §§ 823, 1004 BGB auch dann in Betracht kommt, wenn ein Löschungsanspruch nicht geltend gemacht wird.
33
Der Antrag unter Ziffer 3.a ist auch mangels Rechtsschutzbedürfnis unzulässig (OLG Dresden Endurteil vom 30.01.2024, 4 U 1481/23, GRUR-RS 2024, 2999, Rn. 42). Angesichts des Umstandes, dass der Unterlassungsanspruch ausdrücklich mit der möglichen Verwendung der Telefonnummer über das CIT begründet wird, dieses Tool aber unstreitig spätestens seit Oktober 2019 nicht mehr besteht, ist jedenfalls ein Rechtsschutzbedürfnis für einen in die Zukunft gerichteten Unterlassungsantrag nicht mehr zu erkennen, unbeschadet der Frage, ob dieser nicht ohnehin von einer Wiederholungsgefahr abhängt. Eine solche Gefahr wäre jedenfalls zu verneinen. Dabei begründet ein einmal erfolgter Vertragsverstoß die tatsächliche Vermutung für seine Wiederholung. Die Verletzung einer Unterlassungsverpflichtung begründet zwar die Vermutung der Wiederholungsgefahr nicht nur für identische Verletzungsformen, sondern auch für andere Vertragspflichtverletzungen, soweit die Verletzungshandlungen im Kern gleichartig sind (BGH, Urteil vom 29.07.2021, ZR 192/20, Rn. 115 – 116, juris; Urteil vom 20.06.2013, ZR 55/12, NJW 2014, 775, Rn. 18; Beschluss vom 03.04.2014, ZB 42/11, NJW 2014, 2870, Rn. 12; jew. m.w.N.). An die Entkräftung dieser Vermutung sind strenge Anforderungen zu stellen. Sie ist ausnahmsweise dann als widerlegt anzusehen, wenn der Eingriff durch eine einmalige Sondersituation veranlasst war (BGH, Urteil vom 27.04.2021, ZR 166/19, Rn. 23, juris; OLG Dresden, Beschluss vom 04.10.2021, 4 W 625/21, Rn. 5, juris). Eine solche Sondersituation ist vorliegend allerdings mit Blick auf die Deaktivierung des CIT und dessen Ersatz durch die people-you-may-know (social-connection-check) Funktion gegeben. Es ist nicht davon auszugehen, dass diese Umprogrammierung alsbald wieder rückgängig gemacht und die hiervon ausgehende Gefahr erneut in Kauf genommen würde. Dass sich der hier festgestellte Schadenshergang wiederholt, könnte der Nutzer überdies selbst in diesem Fall durch eine einfache Änderung der Voreinstellungen bewirken. Stellt er die Einstellungen von „alle“ auf „nur ich“ zurück, und würden seine Daten dann (erneut) gescrapet, so wäre das indes ein anderer Schadenshergang.
34
Der unter Ziff. 3.b geltend gemachte Antrag, es zu unterlassen, die Telefonnummer des Klägers unter den dort genannten Einschränkungen weiterzuverarbeiten, ist unzulässig. Zum einen ist nach der Formulierung unklar, ob es sich hierbei überhaupt um einen Unterlassungs- oder nicht vielmehr um einen Antrag auf zukünftige Leistung handelt, ohne dass die Voraussetzungen des § 259 ZPO vorlägen. Es fehlt aber insbesondere an einem Rechtsschutzbedürfnis. Der Antrag ist darauf gestützt, der Beklagten die Weiterverarbeitung auf der Grundlage einer für unwirksam erachteten Einwilligung zu untersagen. Diesem Begehren kann aber mit einem Widerruf dieser Einwilligung nach Art. 7 Abs. 3 DSGVO jederzeit Rechnung getragen werden, ohne dass hierfür ein Unterlassungsanspruch geltend gemacht werden müsste (OLG Dresden Urteil vom 30.01.2024, 4 U 1481/23, GRUR-RS 2024, 2999, Rn. 50).
35
4. Dem Kläger steht kein Anspruch auf Auskunft nach Art. 15 DSGVO (Klageantrag Ziffer 4) zu, denn der Anspruch ist durch die Schreiben der Beklagten vom 23.08.2021 (Anlage K2) und 09.09.2021 (Anlage B15) erfüllt worden, § 362 BGB. Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urteil vom 03.09.2020, ZR 136/18, GRUR 2021, 110, Rn. 43 m.w.N.). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll (BGH, Urteil vom 15.06.2021, ZR 576/19, Rn. 19 – 20, juris; OLG Dresden, Urteil vom 31.08.2021, 4 U 324/21, Rn. 18, juris). Dies ist auch hier der Fall. Die zur Akte gereichten anwaltlichen Antwortschreiben der Beklagten enthalten eine Beschreibung des Scrapings, die Mitteilung, dass die Beklagte keine Kopie der Rohdaten hält, welche abgerufen worden waren, und eine Auflistung der Datenpunkte, die gescrapet wurden. Die Beklagte hat einen Link übersandt, auf der über den individuellen Nutzer gespeicherte Daten eingesehen werden können. Ebenso ist ihrer Erklärung zu entnehmen, dass sie die Scraper namentlich nicht kennt. Damit hat die Beklagte zu erkennen gegeben, dass sie vollständig Auskunft erteilt hat. Soweit die Klagepartei weitergehend Auskunft darüber verlangt, wer Empfänger der Daten ist, steht ihrem Anspruch § 275 Abs. 1 BGB entgegen. Insofern weist die Beklagte unwidersprochen darauf hin, dass ihr die Identitäten der Scraper nicht bekannt seien, weswegen ihr eine Auskunftserteilung unmöglich ist.
36
5. Mangels berechtigter Ansprüche gemäß den Anträgen des Klägers unter Ziffern 1. bis 4. kommt auch ein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten nicht in Betracht.
III.
37
Die Kostenentscheidung folgt aus § 91 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit aus §§ 708 Nr. 10, 711 ZPO.
38
Die Revision war zuzulassen, nachdem der Bundesgerichtshof mit Beschluss vom 26.09.2023, ZR 97/22, dem Europäischen Gerichtshof weitere Fragen zur Schadensermittlung bei Ansprüchen nach Art. 82 DSGVO gestellt hat, die auch im vorliegenden Verfahren eine Rolle spielen. Ferner war die Revision zuzulassen, da die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts erfordert (§ 543 Abs. 2 Nr. 2 ZPO). Der Senat weicht von der Entscheidung des Oberlandesgerichts Stuttgart (Urteil vom 22.11.2023, 4 U 20/23, GRUR-RS 2023, 32883) ab, was angesichts der Vielzahl an anhängigen Rechtsstreiten zu demselben Sachverhalt und mit identischem Vortrag der Kläger künftig weiterhin auftreten wird.
39
Der Senat sieht dagegen keinen Anlass für die Einleitung eines Vorabentscheidungsverfahren nach Art. 267 AEUV oder für die Aussetzung des vorliegenden Verfahrens bis zur Entscheidung des Europäischen Gerichtshofs in den Verfahren C-189/22, C-741/21, C-687/21, C-667/21, C-340/21 und C-307/22. Insoweit wird auf die zutreffenden Ausführungen des Oberlandesgerichts Köln verwiesen (Urteil vom 07.12.2023, 15 U 67/23, GRUR-RS 2023, 37347, Rn. 83 f.), die sich der Senat umfänglich zu eigen macht.