13 O 79/22

Leitsatz: 1. Die Formulierung „nach dem Stand der Technik mögliche Sicherheitsmaßnahmen“ genügt den Bestimmtheitsanforderungen des § 253 Abs. 2 Nr. 2 ZPO.(Rn.50) (Rn.51) (Rn.52) 2. Wenn der Nutzer es selbst in der Hand hat, über die einschlägigen Einstellungen bei Facebook festzulegen, für wen er bei einer Suche auffindbar ist, können vom Netzwerkbetreiber keine weitergehenden Schutzmaßnahmen erwartet werden.(Rn.67) 3. Facebook gewährleistet einen Schutz sensiblerer Daten wie etwa der Telefonnummer, indem deren Verwendung beziehungsweise die Auffindbarkeit des Nutzers über diese nur optional zur Verfügung gestellt werden (Anschluss LG Kiel, Urteil vom 12. Januar 2023 - 6 O 154/22).(Rn.67) 4. Es wurden von Facebook im streitgegenständlichen Zeitraum die Transparenzpflichten eingehalten. Den Nutzern wurden im Rahmen der Datenrichtlinie und dem Hilfebereich in Bezug auf die Verwendung der Daten und insbesondere der Verwendung der Telefonnummer sowie der Kontakt-Import-Funktion klare Informationen zur Verfügung gestellt. Die Aufklärung über die Verwendung der Daten erfolgte in verständlicher Sprache.(Rn.70) (Rn.72) 5. Der Schaden i.S.d. Art. 82 Abs. 1 DSGVO kann nicht bereits in der Verletzung der DSGVO als solcher liegen. Es muss vielmehr ein auf einem Verstoß gegen die DSGVO beruhender Schaden dargelegt werden (Anschluss OLG Frankfurt, Urteil vom 2. März 2022 - 13 U 206/20).(Rn.79) 6. Allein aus einem Verstoß gegen Art. 25 DSGVO kann ein Anspruch nach Art. 82 Abs. 1 DSGVO nicht begründet werden.(Rn.89) 1. Die Klage wird abgewiesen. 2. Die Kosten des Rechtsstreits hat die Klägerin zu tragen. 3. Das Urteil ist vorläufig vollstreckbar. Die Klägerin kann die Vollstreckung durch die Beklagte durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet. Die Klage hat keinen Erfolg. Sie ist zulässig, aber unbegründet. A. Zulässigkeit I. Zuständigkeit des Landgerichts Berlin Das Landgericht Berlin ist international, sachlich und örtlich zuständig. 1. Internationale Zuständigkeit Die internationale Zuständigkeit deutscher Gerichte ergibt sich aus Art. 79 Abs. 2 DSGVO. Danach können Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Gemäß Art 4 Nr. 7 DSGVO sind Verantwortliche natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Nach diesem Maßstab sind deutsche Gerichte zuständig. Die Beklagte ist Verantwortliche im vorgenannten Sinne, da sie als Betreiberin von Facebook das Schicksal der dort gespeicherten personenbezogenen Daten der Nutzer, so auch der Klägerin, in der Hand hält und maßgeblich beeinflusst. Zudem ist sie keine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Die Klägerin als betroffene Person hat ihren Wohnsitz in Berlin in Deutschland. 2. Sachliche Zuständigkeit Das Landgericht ist ferner gemäß §§ 23 Nr. 1, 71 Abs. 1 GVG sachlich zuständig, da der Streitwert € 5.000,00 übersteigt. Das Gericht setzt den Streitwert mit € 7.000,00 an (Antrag zu 1): € 1.000,00; Antrag zu 2): € 500,00; Antrag zu 3): € 5.000,00; Antrag zu 4): € 500,00). Hinsichtlich des Antrags zu 1) war der dort als Mindestsatz begehrte Zahlbetrag in Ansatz zu bringen. Hinsichtlich des Feststellungsantrags zu 2) hat das Gericht einen Abschlag in Höhe von 50 % von dem mit Ziffer 1) begehrten Mindestzahlbetrag zur Bezifferung vorgenommen. Hinsichtlich der Höhe des Antrags zu 3) hat das Gericht im Sinne des § 3 ZPO insbesondere auf Tragweite und Umfang des Streitgegenstands abgestellt. Der Streitwert bei nicht vermögensrechtlichen Streitigkeiten ist letztlich anhand aller Umstände des Einzelfalls, insbesondere auch anhand der Einkommensverhältnisse und der Bedeutung der Sache, zu bemessen (vgl. BGH, Beschluss vom 4. Mai 2022 – IV ZR 37/21, juris Rn. 6; OLG Dresden, Beschluss vom 21. Juni 2022 – 4 W 338/22, juris Rn. 42; LG Görlitz, Urteil vom 27. Januar 2023 – 1 O 101/22, juris Rn. 75). Bei der Beklagten handelt es sich um einen multinationalen Konzern mit hohen Umsätzen; die Bedeutung der Sache ist auf Grund der Vielzahl der vom Scraping betroffenen Personen für die Beklagte erheblich (LG Görlitz, Urteil vom 27. Januar 2023 – 1 O 101/22, juris Rn. 75; LG Essen, Urteil vom 10. November 2022 – 6 O 111/22, juris Rn. 46). Dies rechtfertigt eine Bewertung mit € 5.000,00. Hinsichtlich des Antrags zu 4) erschien ein Streitwert von € 500,00 angemessen, da noch restliche Auskünfte betroffen sind. 3. Örtliche Zuständigkeit Die örtliche Zuständigkeit des Landgerichts Berlin folgt aus Art. 79 Abs. 2 S. 2 DSGVO, § 44 Abs. 1 S. 2 BDSG, da die Klägerin ihren Wohnsitz in Berlin und damit im Bezirk des angerufenen Gerichts hat. II. Bestimmtheit Die Klageanträge sind hinreichend bestimmt, vgl. § 253 Abs. 2 Nr. 2 ZPO. 1. Antrag zu 1) Dies gilt zunächst für den Antrag zu 1). Da die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Ein Verstoß gegen den in § 253 Abs. 2 Nr. 2 ZPO normierten Bestimmtheitsgrundsatz liegt dann nicht vor, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 ZPO oder vom billigen Ermessen des Gerichts abhängig ist. Die nötige Bestimmtheit soll hier dadurch erreicht werden, dass der Kläger in der Klagebegründung die Berechnungs- bzw. Schätzgrundlagen umfassend darzulegen und die Größenordnung seiner Vorstellungen anzugeben hat (vgl. Greger in: Zöller, 33. Aufl. 2020, § 253 ZPO Rn. 14 m.w.N.). Diese Voraussetzungen liegen hier vor. Die Klägerin hat sowohl in der Klagebegründung als auch bereits in dem Klageantrag zu 1) einen Mindestbetrag von 1.000,- € angegeben. Soweit die Beklagte ferner beanstandet, der Antrag zu 1) sei deshalb unbestimmt, weil er auf zwei Lebenssachverhalten fuße und damit zwei Streitgegenstände betreffe, deren Verhältnis zueinander nicht hinreichend bestimmt sei, ist dem nicht zu folgen. Tatsächlich ist hier lediglich ein einheitlicher Lebenssachverhalt zu beurteilen, nämlich derjenige, ob die Beklagte vor dem Scraping durch Dritte im April 2021 hinreichende Datenschutzvorkehrungen getroffen hatte und danach etwaige Lücken geschlossen hat bzw. ihre Nutzer unzureichend bzw. intransparent informiert hat (ebenso LG Essen, Urteil vom 10. November 2022 – 6 O 111/22, juris Rn. 51; LG Kiel, Urteil vom 12. Januar 2023 – 6 O 154/22, juris Rn. 34; LG Offenburg, Urteil vom 28. Februar 2023 – 2 O 98/22, juris Rn. 31). 2. Antrag zu 2) Auch der Klageantrag zu 2) ist hinreichend bestimmt. Soweit die Beklagte rügt, dass die verwendete Formulierung offenlasse, ob künftige und / oder bereits eingetretene Schäden gemeint sind, hat die Klägerin dies jedenfalls mit Schriftsatz vom 7. Oktober 2022, Seite 39 (Bl. 39 Bd. II d.A.) dahingehend klargestellt, dass lediglich künftige Schäden erfasst sein sollen (vgl. hierzu auch LG Offenburg, Urteil vom 28. Februar 2023 – 2 O 98/22, juris Rn. 32; LG Paderborn, Urteil vom 13. Dezember 2022 – 2 O 212/22, juris Rn. 39). 3. Antrag zu 3) Schließlich ist auch der Unterlassungsantrag zu 3) hinreichend bestimmt. Bzgl. des Antrags zu 3a) steht dem – entgegen der von der Beklagten vertretenen Auffassung – die Verwendung des Begriffs „Stand der Technik“ nicht entgegen. Klageanträge sind der Auslegung zugänglich. Dies ist insbesondere dann hinzunehmen, wenn dies zur Gewährleistung eines effektiven Rechtsschutzes (vgl. Art. 19 Abs. 4 GG) erforderlich ist und die Klägerseite ihren Antrag nicht konkreter fasst (LG Kiel, Urteil vom 12. Januar 2023 – 6 O 154/22, juris Rn. 35; LG Gießen, Urteil vom 3. November 2022 – 5 O 195/22, juris Rn. 24). So liegt es hier. Der Begriff „Stand der Technik“ beschreibt einen Zustand, der aufgrund der sich ständig wandelnden Technik aktuell vorherrscht, sich aber gleichermaßen rasch ändern kann. Insoweit ist es der Klägerin unmöglich, den derzeitigen Stand der Technik explizit zu benennen. Je nach dem Stand der Technik sind dabei verschiedene, aufeinander aufbauende Sicherheitsmaßnahmen möglich, die nicht näher konkretisiert werden können. Es bedeutet keinen effektiven Rechtsschutz, müsste bei einer solchen expliziten Benennung erneut geklagt werden, sobald sich der Stand der Technik und mithin die Sicherheitsmaßnahmen ändern (vgl. LG Bielefeld, Urteil vom 19. Dezember 2022 – 8 O 182/22, juris Rn 31; LG Gießen, Urteil vom 3. November 2022 – 5 O 195/22, juris Rn. 24). Dies muss die Klägerin nicht hinnehmen. Auch der Antrag zu 3b) ist hinreichend bestimmt. Durch die Formulierung „namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann [...].“ kann dem Antrag unter Berücksichtigung der Klagebegründung entnommen werden, wann nach Auffassung der Klägerin eine übersichtliche Gestaltung vorliegt, nämlich dann, wenn explizit über die Verwendung der Telefonnummer in den hierauf gerichteten Einstellungsmöglichkeiten belehrt wird (LG Kiel, Urteil vom 12. Januar 2023 – 6 O 154/22, juris Rn. 36). III. Feststellungsinteresse Des Weiteren liegt auch das für den Antrag zu 2) erforderliche Feststellungsinteresse gemäß § 256 Abs. 1 ZPO vor. Voraussetzung dafür ist, dass einem subjektiven Recht der Klägerin eine gegenwärtige Gefahr der Unsicherheit dadurch droht, dass die Beklagte es ernstlich bestreitet oder sie sich eines Rechts gegen die Klägerin berühmt, und wenn das erstrebte Urteil infolge seiner Rechtskraft geeignet ist, diese Gefahr zu beseitigen (Greger in: Zöller, Zivilprozessordnung, 34. Auflage 2022, § 256 ZPO Rn. 7). Begehrt die Klägerseite – wie hier – gerade die Feststellung einer Ersatzpflicht für künftige Schadensfolgen aus einer bereits eingetretenen Verletzung eines Rechtsguts, so ist dies bereits dann zu bejahen, wenn die Möglichkeit besteht, dass solche Schäden eintreten (BeckOK ZPO/Bacher, 47. Ed. 1.12.2022, ZPO § 256 Rn. 24, 25). Insoweit ist ein großzügiger Maßstab anzulegen. Ein berechtigtes Interesse ist nur dann zu verneinen, wenn aus Sicht der Klägerseite bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH, Beschluss vom 9. Januar 2007 – VI ZR 133/06, juris Rn. 5; BGH, Urteil vom 20. März 2001 – VI ZR 325/99, juris Rn. 11). Diese Voraussetzungen sind hier erfüllt. Unter Berücksichtigung des Umstandes, dass die im Wege des „Scrapings" erlangten personenbezogenen Daten im Internet veröffentlicht worden sind, erscheint es bei lebensnaher Betrachtung möglich, dass es bei der Klägerin aufgrund der Veröffentlichung der Telefonnummer und weiterer persönlicher Daten wie ihrem Namen im Internet zu künftigen materiellen Schäden, etwa durch betrügerische Anrufe, kommt (LG Paderborn, Urteil vom 13. Dezember 2022 – 2 O 212/22, juris Rn. 42; LG Paderborn, Urteil vom 19. Dezember 2022 – 3 O 99/22, juris Rn. 41). Dem Feststellungsinteresse steht bezogen auf bereits entstandene, der Klägerin aber noch nicht bekannte materielle Schäden auch nicht der Vorrang der Leistungsklage entgegen. Aufgrund der Veröffentlichung der personenbezogenen Daten der Klägerin im Internet ist nicht auszuschließen, dass deren Daten bereits zu illegalen Zwecken verwendet worden sind, dies der Klägerin allerdings derzeit noch unbekannt geblieben ist (LG Paderborn, Urteil vom 13. Dezember 2022 – 2 O 212/22, juris Rn. 43; LG Paderborn, Urteil vom 13. Dezember 2022 – 2 O 212/22, juris Rn.42). B. Begründetheit Indes ist die Klage unbegründet. Der Klägerin stehen die geltend gemachten Ansprüche gegen die Beklagte unter keinem rechtlichen Gesichtspunkt zu. I. Anspruch auf immateriellen Schadensersatz Die Klägerin hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes. Dies gilt sowohl für Ansprüche gemäß Art. 82 Abs. 1, 2 DSGVO (dazu im Folgenden 1.-4.) als auch nach einer anderen denkbaren Anspruchsgrundlage (5.). Dementsprechend ist auch der Zinsantrag unbegründet (6.). Art. 82 Abs. 1 DSGVO bestimmt, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen hat. Abs. 2 S. 1 konkretisiert dies dahin, dass jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden haftet, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Indes liegen diese Voraussetzungen hinsichtlich der von der Klägerin gerügten Verstöße der Beklagten gegen die Vorgaben der DSGVO nicht vor. Im Einzelnen: 1. Keine zureichenden Sicherheitsmaßnahmen, Art. 32, 24 DSGVO Soweit die Klägerin den Anspruch aus Art. 82 Abs. 1, 2 DSGVO auf eine Verletzung von Art. 32, 24 DSGVO stützt, fehlt es bereits an einem Verstoß der Beklagten gegen die diesbezüglichen Vorgaben des DSGVO. Nach diesen Vorschriften hat der Verantwortliche bei der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Anknüpfend an den Gedanken der Schaffung eines Schutzniveaus kann sich eine derartige Verpflichtung in Anbetracht des Wortlautes des Art. 32 Abs. 1 lit. b) DSGVO allerdings nur auf solche Datensätze beziehen, die nicht gerade einem Schutz der Vertraulichkeit entzogen werden sollen. Bei den Daten, die nach dem Vortrag der Klägerin im Wege des Scrapings durch Dritte erlangt worden sein sollen, handelt es sich aber gerade um Datensätze, für die die Klägerin von vornherein keine Vertraulichkeit vorgesehen hat. Dass insbesondere eine Verknüpfung der Telefonnummer mit dem Account der Klägerin stattfinden konnte, beruht nicht auf einem Mangel an technischen Vorkehrungen der Beklagten, sondern ist auf den Umstand der eingestellten Suchbarkeit des Profils der Klägerin zurückzuführen, die sie jederzeit hätte ändern können. Wenn der Nutzer es aber selbst in der Hand hat, über die einschlägigen Einstellungen festzulegen, für wen er bei einer Suche auffindbar ist, können von der Beklagten keine weitergehenden Schutzmaßnahmen erwartet werden. Gegenteiliges stünde auch im konträrem Verhältnis zu der Tatsache, dass sich der Nutzer freiwillig bei einem sozialen Netzwerk registriert, das dazu dient, den Nutzern eine Kontaktaufnahme untereinander zu ermöglichen, aber dann Sicherheitsmaßnahmen fordert, die diesen Zweck vereiteln, obwohl der Nutzer bei dem Registrierungsvorgang der Datenrichtlinie zustimmt, die ihn über die Verwendung seiner Daten aufklärt. Darüber hinaus gewährleistet die Beklagte einen Schutz sensiblerer Daten – wie etwa der Telefonnummer –, indem sie deren Verwendung beziehungsweise die Auffindbarkeit des Nutzers über diese für ihn nur optional zur Verfügung stellt (LG Kiel, Urteil vom 12. Januar 2023 – 6 O 154/22, Rn. 49, juris; vgl. auch LG Essen, Urteil vom 10. November 2022 – 6 O 111/22, juris Rn. 80 ff.). Soweit die Klägerin mit Schriftsatz vom 16. Februar 2023 (dort Seite 4, Bl. 148 Bd. II d.A.) bestreit, dass sie nur bei Angabe der Sucheinstellung „everyone“, also „alle“, habe gefunden werden können, vermag dies hier keine andere Beurteilung zu rechtfertigen. Auch wenn bei einer Umstellung der Sucheinstellung von „everyone“ auf „friends of friends“ Nutzer noch für jedermann zu finden sein sollten, wie die Klägerin behauptet, so geht damit nicht zwingend einher, dass sie auch dann noch zu finden gewesen wäre, wenn sie die Option „nur ich“ gewählt hätte. Entscheidend ist aber, dass für die Klägerin überhaupt - eben über die Option „nur ich“ - eine Möglichkeit bestand, Zugriffe von Dritten zu unterbinden. Indes hat die Klägerin diese Einstellung – „nur ich“ – nicht gewählt. Ob der Klägerin in dem hypothetischen Fall ein Anspruch zustünde, wenn sie diese Einstellung gewählt hätte und gleichwohl Daten abgeflossen wären, steht im vorliegenden Rechtsstreit nicht zur Entscheidung an. 2. Verstoß gegen Transparenzpflichten Art. 5, 13, 14 DSGVO Auch ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 13, 14 DSGVO fällt der Beklagten nicht zur Last. Nach dem Grundsatz des Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Das Erfordernis der Transparenz führt Art. 13 DSGVO in Form von Informations- und Aufklärungspflichten fort. Die Aufklärung über die Zwecke der Verarbeitung muss insbesondere für den Nutzer klar verständlich und nachvollziehbar sein. Ähnliche Vorgaben sieht auch Art. 14 DSGVO für den Fall vor, dass der Verantwortliche die Daten nicht direkt bei der betroffenen Person erhebt. Auch Art. 12 DSGVO sieht eine Information in präziser, transparenter und leicht zugänglicher Form vor (LG Kiel, Urteil vom 12. Januar 2023 – 6 O 154/22, juris Rn. 45). Diesem Maßstab wurde die Beklagte gerecht. Sie hat ihren Nutzern – und damit auch der Klägerseite – im streitgegenständlichen Zeitraum im Rahmen ihrer Datenrichtlinie und dem Hilfebereich in Bezug auf die Verwendung der Daten und insbesondere der Verwendung der Telefonnummer sowie der Kontakt-Import-Funktion klare Informationen zur Verfügung gestellt (vgl. die Anlage B9). Die Aufklärung über die Verwendung der Daten erfolgte in verständlicher Sprache. Zudem ist sie auch in für den Nutzer zugänglicher Art und Weise erfolgt. Dies gilt vor allem im Hinblick darauf, dass die Beklagte eine sog. Mehrebenen-Datenschutzerklärung verwendet, bei der der Nutzer auf der ersten Ebene einen Überblick über die ihm hinsichtlich der Verarbeitung seiner personenbezogenen Daten zur Verfügung stehenden Informationen erhält und auf der zweiten Ebene die detaillierten Auskünfte durch das Anklicken eines qualifizierten Abschnitts einsehen kann. Dies dient letztlich der Vermeidung einer Überforderung des Nutzers mit einer blockartigen und überfrachteten Datenschutzinformation. Zwar trifft es zu, dass die Einstellungsmöglichkeiten über mehrere Links erreichbar sind. Die Beklagte informiert den Nutzer jedoch über sämtliche Nutzungs- und Suchbarkeitsoptionen, wie bereits aus den durch die Klägerin selbst vorgelegten Screenshots hervorgeht. Der Leser kann dabei auch gleich zu Beginn der Datenschutzrichtlinie feststellen, dass seitens der Beklagten auf die individuelle Anpassung der Privatsphäre-Einstellungen aufmerksam gemacht wird (LG Kiel, Urteil vom 12. Januar 2023 – 6 O 154/22, juris Rn. 45; vgl. auch LG Heilbronn, Urteil vom 13. Januar 2023 – Bu 8 O 131/22, juris Rn. 46). Auch aus dem Umfang dieser Datenschutzinformation kann nicht auf eine Unübersichtlichkeit geschlossen werden. In Anbetracht der Vorgaben der DSGVO und der damit verbundenen vielseitigen Informationsverpflichtungen liegt es in der Natur der Sache, dass eine Datenschutzinformation umfangreich ausfällt (LG Kiel, Urteil vom 12. Januar 2023 – 6 O 154/22, juris Rn. 46). Entgegen der Auffassung der Klägerin war die Beklagte auch nicht dazu verpflichtet, über die Verarbeitungstätigkeit unbefugter Dritter zu informieren. Denn die Klägerin ist seitens der Beklagten über den Umstand der Öffentlichkeit ihrer Daten informiert worden. So durfte und musste die Beklagte aufgrund ihrer erteilten Information davon ausgehen, dass der Klägerin bekannt gewesen ist, dass ihr Name, ihr Geschlecht und ihr Benutzername für jedermann abrufbar ist. In diesem Zusammenhang musste sich die Klägerin auch über den Umstand bewusst gewesen sein, dass der offene Zugang zu bestimmten Daten eine potentielle Missbrauchsmöglichkeit durch Dritte eröffnen kann. Hierbei handelt es sich nämlich um ein allgemeines Lebensrisiko, das jedem Internetnutzer in der heutigen Zeit bewusst sein muss. Eine Verpflichtung zur Information über ein derartiges – wenn auch im Zusammenhang mit der Nutzung des sozialen Netzwerks stehendes – allgemeines Lebensrisiko trifft die Beklagte nicht (LG Kiel, Urteil vom 12. Januar 2023 – 6 O 154/22, juris Rn. 47). 3. Verstoß gegen die Vorgaben der Art. 33 (Meldung an die Aufsichtsbehörde), Art. 34 (Information der Klägerin) sowie Art. 15 (Auskunftserteilung) DSGVO Einen Schadensersatzanspruch kann die Klägerin auch nicht auf den von ihr behaupteten Verstoß der Beklagten gegen die Vorgaben der Art. 33 (Meldung an die Aufsichtsbehörde), Art. 34 (Information der Klägerin) sowie Art. 15 (Auskunftserteilung) DSGVO stützen. Dabei kann dahinstehen, ob die Beklagte gegen diese Vorschriften verstoßen hat. Denn die Klägerin legt bereits nicht da, dass ihr aufgrund einer unterstellten Verletzung ein kausaler Schaden entstanden sein kann. Das Merkmal des immateriellen Schadens ist autonom auszulegen (vgl. zum Folgenden LG Offenburg, Urteil vom 28. Februar 2023 – 2 O 98/22, juris Rn. 41-43 m.w.N.). Erwägungsgrund 146 (und in diesem S. 3) zur DSGVO sieht vor, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DSGVO nennt etwa Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein nationales Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt (vgl. dazu BVerfG, Stattgebender Kammerbeschluss vom 14. Januar 2021 – 1 BvR 2853/19, juris Rn. 19 f.). Dabei ist davon auszugehen, dass der Schaden im Sinn des Art. 82 Abs. 1 DSGVO nicht bereits in der Verletzung der DSGVO als solcher liegt, sondern vielmehr ein auf einem Verstoß gegen die DSGVO beruhender Schaden darzulegen ist (OLG Frankfurt, Urteil vom 2. März 2022 – 13 U 206/20, juris Rn. 70; OLG Brandenburg, Beschluss vom 21. Juni 2021 – 1 U 69/20, juris Rn. 20; Hanseatisches Oberlandesgericht in Bremen, Beschluss vom 16. Juli 2021 – 1 W 18/21, juris Rn. 2). Das Erfordernis eines zusätzlich zum Verstoß gegen die DSGVO eintretenden Schadens folgt dabei bereits aus dem Wortlaut des Art. 82 Abs. 1 DSGVO, der davon spricht, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz hat. Die Regelung setzt damit voraus, dass es auch Verstöße geben kann, die nicht in einem Schaden resultieren, und lässt somit erkennen, dass es – unbeschadet des Umstands, dass auch Bagatellschäden erfasst werden – gerade keinen Gleichklang zwischen einem Verstoß gegen die DSGVO und dem immateriellen Schaden gibt (OLG Frankfurt, Urteil vom 2. März 2022 – 13 U 206/20, juris Rn. 70; LG Offenburg, Urteil vom 28. Februar 2023 – 2 O 98/22 juris Rn. 42 f.). Darlegungs- und beweisbelastet ist die Klägerseite (LG Offenburg, Urteil vom 28. Februar 2023 – 2 O 98/22 juris Rn. 43; BeckOK DatenschutzR/Quaas, 42. Ed. 1.8.2022, DS-GVO Art. 82 Rn. 51; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 20 m.w.N.). Nach diesem Maßstab ist im vorliegenden Fall logisch ausgeschlossen, dass der von der Klägerin behauptete Schaden durch die unterstellte Verletzung der Vorgaben der Artikel 33, 34 und 15 DSGVO durch die Beklagte hervorgerufen worden ist. Die Klägerin macht geltend, sie habe durch das Scraping und die Veröffentlichung der Daten einen erheblichen Kontrollverlust über ihre Daten erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer sie betreffenden Daten verblieben. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Sie erhalte seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail und habe Stress, Komfort- und Zeiteinbußen erlitten. Der Vorfall habe zu einem Gefühl des Kontrollverlustes, des Beobachtetwerdens und der Hilfslosigkeit, mithin einem überschattenden Gefühl der Angst geführt. Diese hier zugunsten der Klägerin zu unterstellenden Beeinträchtigungen können nicht durch Verstöße gegen die vorgenannten Normen verursacht worden sein, sondern allenfalls durch den Scraping-Vorfall an sich. Auf diesen konnten die hypothetischen Verstöße aber keinen Einfluss entfalten. Im Einzelnen: Ob die Beklagte ihre Meldepflicht an die Aufsichtsbehörde (vgl. Art. 33 DSGVO) erfüllt oder nicht vermag nichts an dem Umstand zu ändern, dass die Daten der Klägerin bereits abgegriffen worden sind und ins Darknet eingestellt werden konnten. Mithin kann der Umgang der Beklagten mit der Meldeverpflichtung auch keine Rolle für die von der Klägerin behaupteten immateriellen Beeinträchtigungen haben. Nichts anderes gilt für die Information der Klägerin über den Vorfall (vgl. Art. 34 DSGVO). Wäre die Klägerin noch früher oder umfassender informiert worden als mit dem Schreiben Anlage B16 geschehen, hätte dies an dem Scraping-Vorfall und den zu unterstellenden eingetretenen Beeinträchtigungen nichts zugunsten der Klägerin geändert – allenfalls wären bei einer früheren Information diese Umstände bei der Klägerin zu einem noch früheren Zeitpunkt eingetreten, was das Ausmaß der Beeinträchtigung in zeitlicher Hinsicht sogar noch vertieft hätte. Entsprechendes gilt schließlich auch für die unterstellte Verletzung der Auskunftspflicht (vgl. Art. 15 DSGVO) in Bezug auf das Auskunftsersuchen der Klägerin vom 18. Februar 2022 (Anlage K1). Auch diese konnte schon in zeitlicher Hinsicht nicht für den Scrapingvorfall und mithin die behaupteten dadurch verursachten Beeinträchtigungen der Klägerin kausal werden. 4. Verstoß gegen die Vorgaben des Art. 25 DSGVO („Privacy by Design“ und „Privacy by Default“) Ob die Beklagte gegen die Vorgaben des Art. 25 DSGVO verstößt, kann dahinstehen. Denn selbst ein unterstellter Verstoß führt nicht zu einem Schadensersatzanspruch nach Art. 82 DSGVO. Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen bereits bei der Entwicklung von Produkten, Diensten und Anwendungen sicherzustellen, dass die Anforderungen der DSGVO erfüllt werden („Privacy by Design"). Abs. 2 konkretisiert diese allgemeine Verpflichtung und verlangt, vorhandene Einstellungsmöglichkeiten standardmäßig auf die „datenschutzfreundlichsten" Voreinstellungen („Privacy by default") zu setzen. „Datenschutz durch Voreinstellungen" soll insbesondere diejenigen Nutzer schützen, welche die datenschutztechnischen Implikationen der Verarbeitungsvorgänge entweder nicht zu erfassen in der Lage sind oder sich darüber keine Gedanken machen und sich deshalb auch nicht dazu veranlasst sehen, aus eigenem Antrieb datenschutzfreundliche Einstellungen vorzunehmen, obwohl der Verantwortliche ihnen diese Möglichkeit prinzipiell eröffnet. Die Nutzer sollen keine Änderungen an den Einstellungen vornehmen müssen, um eine möglichst „datensparsame" Verarbeitung zu erreichen. Vielmehr soll umgekehrt jede Abweichung von den datenminimierenden Voreinstellungen erst durch ein aktives „Eingreifen" der Nutzer möglich werden. Die Regelung soll die Verfügungshoheit der Nutzer über ihre Daten sicherstellen und sie vor einer unbewussten Datenerhebung schützen. Abs. 2 verlangt aber nicht, dass der Verantwortliche stets die jeweils denkbar datenschutzfreundlichste Voreinstellung trifft. Der Verantwortliche entscheidet vielmehr durch die Festlegung eines bestimmten Verarbeitungszweckes auch über den Umfang der dafür erforderlichen Daten. Dem Wortlaut nach ist daher auch eine besonders datenintensive Voreinstellung mit Abs. 2 vereinbar, wenn der Zweck der Verarbeitung dies erfordert. Vor dem Hintergrund der Schutzrichtung des Abs. 2, den Nutzer vor einer Überrumpelung oder dem Ausnutzen seiner Unerfahrenheit zu schützen, muss der Verantwortliche aber stets sicherstellen, dass die geplante Datennutzung auch für einen nicht-technikaffinen Nutzer hinreichend transparent ist (LG Paderborn, Urteil vom 13. Dezember 2022 – 2 O 212/22, juris Rn. 120-122 m.w.N.; LG Paderborn, Urteil vom 19. Dezember 2022 – 3 O 99/22, juris Rn. 114 m.w.N.). Ob die Beklagte diesen Anforderungen genügt, kann hier offen bleiben (vgl. zum Folgenden LG Paderborn, Urteil vom 13. Dezember 2022 – 2 O 212/22, juris Rn. 128; LG Paderborn, Urteil vom 19. Dezember 2022 – 3 O 99/22, juris Rn. 120). Allein aus einem Verstoß gegen Art. 25 DSGVO kann wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DSGVO nicht begründet werden (vgl. Gola/Heckmann/Nolte/Werkmeister, 3. Aufl. 2022, DSGVO Art. 25 Rn. 3, 34; Kühling/Buchner/Hartung, 3. Aufl. 2020, DSGVO Art. 25 Rn. 31). Die Vorschrift entfaltet bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt entfaltet die DSGVO jedoch nach Art. 2 Abs. 1 DSGVO noch keine Wirkung. Die Anwendbarkeit der DSGVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus (vgl. Ehmann/Selmayr/Baumgartner, 2. Aufl. 2018, DSGVO Art. 25 Rn. 7). Ein Anspruch aus Art. 82 DSGVO kommt daher nur in Betracht, wenn weitere Verstöße gegen die DSGVO vorliegen (vgl. Gola/Heckmann/Nolte/Werkmeister, 3. Aufl. 2022, DSGVO Art. 25 Rn. 3). Das ist hier indes, wie vorstehend ausgeführt, gerade nicht der Fall. 5. Kein Anspruch nach nationalen Vorschriften Auch nach nationalem Recht steht der Klägerin der geltend gemachte Zahlungsanspruch nicht zu. Ein vertraglicher Anspruch gemäß §§ 280 Abs. 1, 241 Abs. 2 BGB scheidet aus, weil die Klägerin keine Verletzung von vertraglichen Pflichten durch die Beklagte dargelegt hat. Ansprüche gemäß §§ 823 Abs. 1, 253 Abs. 2 BGB i.V.m. dem allgemeinen Persönlichkeitsrecht bzw. mit dem Recht auf informationelle Selbstbestimmung (vgl. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) scheitern mangels Darlegung der Verletzung eines der in § 253 Abs. 2 BGB genannten Rechtsgüter durch die Klägerin. Schließlich besteht auch kein Anspruch nach § 823 Abs. 2 BGB i.V.m. den Vorschriften der DSGVO. Soweit die Vorschriften der Art. 32, 24, 5, 13 und 14 DSGVO betroffen sind, fällt der Beklagten kein Verstoß gegen die DSGVO zur Last. Bei Art. 25 DSGVO handelt es sich um kein Schutzgesetz im Sinne des § 823 Abs. 2 BGB, weil die Norm von ihrem Schutzzweck her nicht die Klägerin vor dem Abgreifen ihrer öffentlichen personenbezogenen Daten durch Dritte schützen soll, sondern – wie vorstehend dargestellt – den Datenverarbeiter adressiert und im Vorfeld der Datenverarbeitung ansetzt. Hinsichtlich eines etwaigen Verstoßes gegen die Vorschriften der Art. 33, 34 und 15 DSGVO ist der Klägerin kein kausaler Schaden entstanden. 6. Zinsanspruch Mangels Hauptforderung stehen der Klägerin auch die geltend gemachten Zinsen nicht zu. II. Feststellung der Ersatzpflicht für künftige Schäden Der Feststellungsantrag ist entsprechend den vorstehenden Ausführungen unbegründet. Soweit die Vorschriften der Art. 32, 24, 5, 13 und 14 DSGVO betroffen sind, fällt der Beklagten kein Verstoß gegen die DSGVO zur Last. Ein etwaiger Verstoß gegen Art. 25 DSGVO ist nicht ohne Weiteres geeignet, einen Schadensersatzanspruch nach Art. 82 DSGVO zu begründen. Hinsichtlich eines etwaigen Verstoßes gegen die Vorschriften der Art. 33, 34 und 15 DSGVO hat die Klägerin einen möglichen hierauf beruhenden Schaden nicht dargelegt. III. Unterlassungsanspruch Die Klägerin hat auch keinen Unterlassungsanspruch gegen die Beklagte gemäß §§ 1004 analog, 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1 sowie Art. 17 DSGVO. Wie vorstehend dargelegt fehlt es an einem Verstoß der Beklagten gegen die Vorgaben der Art. 32, 24 DSGVO über die Vorhaltung zureichender Sicherheitsmaßnahmen (Antrag zu 3a)) bzw. gegen die Transparenzpflichten der Art. 5, 13, 14 DSVGO (Antrag zu 3b)). Überdies hat die Klägerin es in der Hand, die Auffindbarkeit ihrer Daten einschließlich der Telefonnummer durch entsprechende Suchbarkeitseinstellungen unmöglich zu machen. IV. Auskunftsanspruch Die Klägerin hat auch keinen Anspruch auf eine weitergehende Auskunft gemäß Art. 15 DSGVO (vgl. zum Folgenden LG Gießen, Urteil vom 3. November 2022 – 5 O 195/22, juris Rn. 32). Mit Schreiben vom 9. März 2022 (Anlage B16) hat die Beklagte der Klägerin Auskunft über die von ihr verarbeiteten Daten in angemessener Weise zur Verfügung gestellt. Welche Daten der Klägerin „gescrapt“ worden sind, ist der Klägerseite – wie sich aus dem Schriftsatz vom 7. Oktober 2022, dort Seite 11 ergibt – bereit bekannt, so dass keine weitergehende Auskunftspflicht bestehen kann. Soweit die Klägerin ferner Auskunft über die Empfänger der „Scraping-Daten“ verlangt, hat die Beklagte, ausgeführt, sie sei zu weiteren Informationen nicht imstande. Die Klägerin hat nicht dargelegt, dass der Beklagten eine weitergehende Auskunft möglich und zumutbar ist. V. Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten Mangels Hauptanspruch kann die Klägerin auch keinen Ersatz vorgerichtlicher Rechtsanwaltskosten nebst Zinsen verlangen. C. Prozessuale Nebenentscheidungen Die prozessualen Nebenentscheidungen beruhen auf den §§ 91 Abs. 1, 708 Nr. 11, 711 ZPO. Die Klägerin macht Ansprüche wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung (DSGVO) geltend. Die Beklagte betreibt die Social-Media-Plattform Facebook auf dem Gebiet der Europäischen Union, die über die Website www.facebook.com sowie über Apps abrufbar ist. Facebook ermöglicht es den Nutzern, ein persönliches Profil zu erstellen und dieses mit Dritten zu teilen. Dabei kann der jeweilige Nutzer Angaben zu verschiedenen Daten seiner Person tätigen und im Rahmen der von der Beklagten vorgegebenen Einstellungsmöglichkeiten darüber bestimmen, welche Daten von welcher Nutzergruppe eingesehen werden können. Die Klägerin nutzt Facebook seit spätestens 2009. Bei Eröffnung eines Facebook-Kontos werden zur Erstellung eines Nutzerprofils verschiedene Daten abgefragt (siehe dazu Bl. 7 ff. Bd. I d.A.). Die Klägerin gab im Registrierungsprozess erforderlicherweise ihren Vor- und Nachnamen, ihr Geschlecht und ihr Geburtsdatum an. Dabei sind der angegebene Vor- und Nachname, eine von Facebook erstellte Benutzer-ID und das Geschlecht als „immer öffentliche Nutzerinformationen“ stets öffentlich auf dem eigenen Nutzerprofil zu finden. Der Veröffentlichung dieser Daten muss bei der Registrierung zugestimmt werden. Andere Daten, die dem Profil hinzugefügt werden können, sind dann von allen Profilbesuchern einzusehen, sofern dies die jeweiligen persönlichen Profileinstellungen („Zielgruppenauswahl“) vorsehen (zu den einsehbaren Profildaten der Klägerin siehe die Screenshots Bl. 106 Bd. I d.A. und Anlage B 15). Zudem regeln die sogenannten Suchbarkeitseinstellungen, wer das Profil des Nutzers etwa anhand der Telefonnummer (mittels der sogenannten Kontakt-Import-Funktion) finden kann. Die Klägerin gab u.a. ihren Wohnort und ihre Telefonnummer an. Nach den bzgl. des Profils der Klägerin eingestellten Suchbarkeitseinstellungen war die Suche nach dem klägerischen Profil mittels deren Handynummer aktiviert. Seit dem 20. August 2009 war die Suchbarkeit auf „alle“ gestellt (siehe den Screenshot Bl. 108 Bd. I d.A.). Dritte sammelten in den Jahren 2018 und 2019 mittels sogenannten Scrapings (gemeint ist der Vorgang des Extrahierens, Kopierens, Speicherns sowie der Wiederverwendung fremder Inhalte im Netz) automatisiert Daten aus den Facebook-Profilen einer Vielzahl von Nutzern (im Folgenden: Scraping-Vorfall). Es handelte sich dabei um Profilinformationen, die - jedenfalls bei der Klägerin - entweder „immer öffentlich“ oder aber zu diesem Zeitpunkt entsprechend den Profileinstellungen öffentlich einsehbar waren. Die durch die Scraper in diesem Zusammenhang verwendeten Telefonnummern wurden vermutlich mittels „Telefonnummernaufzählung“ generiert. Dabei machten sich die Scraper die Kontakt-Import-Funktion (Contact Importer Tool (CIT)) von Facebook zunutze. Mittels dieser Funktion war es Nutzern möglich, ihre Kontakte von ihren Mobilgeräten auf Facebook hochzuladen, um diese Kontakte auf Facebook zu finden und mit ihnen in Verbindung zu treten. Die Scraper erstellten Listen verschiedener potenzieller Telefonnummern und luden diese mittels der Kontakt-Import-Funktion hoch. Sofern eine Telefonnummer mit einem Nutzerprofil verknüpft war, wurde diese den gescrapten Daten des Nutzerprofils hinzugefügt. Anfang April 2021 wurden die gescrapten Datensätze von ca. 533 Millionen Facebook-Nutzern inklusive der Telefonnummern im Internet veröffentlicht. Mit E-Mail vom 18. Februar 2022 (Anlage K1) machte die Klägerin über ihre Prozessbevollmächtigten gegen die Beklagte Zahlungs-, Unterlassungs- und Auskunftsansprüche geltend. Mit Schreiben vom 9. März 2022 (Anlage B16) gingen die Prozessbevollmächtigten der Beklagten auf den Vorfall ein und lehnten eine Zahlung und Abgabe einer Unterlassungserklärung ab. Wegen der Einzelheiten wird auf die Anlagen K1 und B16 Bezug genommen. Mit der gegenständlichen Klage verfolgt die Klägerin diese Ansprüche weiter. Die Klägerin behauptet, durch das Scraping seien folgende Daten abgegriffen und in einer u.a. im Darknet für jedermann abrufbaren Datenbank veröffentlicht worden: „xxxxxxxxx12,00,00 AM“ Sie habe durch das Scraping und die Veröffentlichung der Daten einen erheblichen Kontrollverlust über ihre Daten erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer Daten verblieben. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Sie erhalte seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail und habe Stress, Komfort- und Zeiteinbußen erlitten. Der Vorfall habe zu einem Gefühl des Kontrollverlustes, des Beobachtetwerdens und der Hilfslosigkeit, mithin einem überschattenden Gefühl der Angst geführt. Die Klägerin ist der Auffassung, die Beklagte habe gegen die DSGVO verstoßen und rügt u.a. Verletzungen von Art. 5, 6, 13, 14, 15, 25, 32, 33 und 34 DSGVO. Gemäß Art. 82 DSGVO stehe ihr ein Anspruch auf immateriellen Schadensersatz zu. Zudem folge aus der Verpflichtung der Beklagten zur Leistung von Schadensersatz auch die Verpflichtung, zukünftige Schäden, die aufgrund der entwendeten Daten entstehen, zu ersetzen. Der geltend gemachte Unterlassungsanspruch folge aus §§ 1004 analog, 823 Abs. 1 und Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO und Art. 17 DSGVO. Der Auskunftsanspruch beruhe auf Art. 15 DSGVO. Die Klägerin beantragt: 1. Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, a) personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, Facebook-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, b) die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird. 4. Die Beklagte wird verurteilt, der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten. 5. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. Die Beklagte beantragt, die Klage abzuweisen. Sie behauptet, sie halte keine Kopie der Rohdaten vor, welche die durch Scraping abgerufenen Daten enthalten würden. Daher habe der Klägerin auch lediglich mitgeteilt werden können, welche Datenkategorien betroffen sein könnten. Sie ist der Auffassung, der Anwendungsbereich der DSGVO sei nicht eröffnet. Ein Datenschutzverstoß liege nicht vor. Eine Beeinträchtigung der Informationssicherheit habe nicht stattgefunden, da Informationen der Klägerin öffentlich einsehbar gewesen seien. So sei der Beklagten keine Sicherheitslücke anzulasten, die zu schließen gewesen wäre, da die Verknüpfung zwischen der Telefonnummer der Klägerin und ihrem Account lediglich auf die Suchbarkeitseinstellung der Klägerin zurückzuführen gewesen sei und lediglich öffentlich einsehbare Daten durch Dritte in Form des Scrapings abgerufen worden seien. Zudem sei ein kompensationsgeeigneter und messbarer Schaden nicht durch die Klägerin dargelegt. Selbst bei einem angenommenen vorübergehenden Kontrollverlust über personenbezogene Daten der Klägerin wäre ein solcher nicht der Beklagten zuzurechnen, weil die öffentliche Einsehbarkeit den Privatsphäre-Einstellungen der Klägerin entsprochen habe. Im Übrigen sei eine umfassende und transparente Information über die Möglichkeit der Anpassung der Suchbarkeits-Einstellungen und Zielgruppenauswahl erfolgt, woraus sich ergebe, wer bestimmte persönliche Informationen, die der Nutzer in seinem Profil hinterlegt habe, einsehen könne. Diese Einstellungen habe die Klägerin jederzeit anpassen können. Bezüglich des geltend gemachten Auskunftsanspruches meint die Beklagte, sie sei im Hinblick auf das weitergehende Auskunftsbegehren betreffend die Verarbeitungstätigkeit Dritter hierzu weder imstande noch nach Art. 15 DSGVO rechtlich verpflichtet. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die gewechselten Schriftsätze nebst Anlagen sowie auf das Protokoll der mündlichen Verhandlung vom 1. März 2023 (Bl. 64 Bd. II d.A.) Bezug genommen.