27 O 194/22

1. Die Klage wird abgewiesen. 2. Die Kosten des Rechtsstreits hat der Kläger zu tragen. 3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar. 4. Der Streitwert wird festgesetzt auf 6.000,00 €. Die Klage ist zulässig, aber unbegründet. I. Die Klage ist zulässig. Insbesondere ist der Klageantrag zu 1. hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Der Klageantrag ist der Auslegung zugänglich, wobei dafür auch die Klagebegründung heranzuziehen ist (vgl. Greger, in: Zöller, ZPO, § 253 ZPO Rn. 13 m.w.N.). Aus der Klagebegründung ergibt sich, dass sich der Zahlungsantrag auf einen durch den Scraping-Vorfall verbundenen und damit zusammenhängenden sowie in sich abgeschlossenen Lebenssachverhalt bezieht. Unschädlich ist dafür, dass er sich auf einen längeren Zeitraum erstreckt. Da die Bemessung der Höhe des Schmerzensgeldes überdies in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Insofern ist auch der Feststellungsantrag zu Ziff. 2. hinreichend bestimmt. Der Kläger begehrt den Ersatz künftiger aus dem Scraping-Vorfall resultierender Schäden. Darüber hinaus ist – auch wenn es vor dem Hintergrund des unbegründeten Klageantrags im Ergebnis nicht darauf ankommt, vgl. etwa BGH Urt. v. 10.10.2017 – XI ZR 456/16, NJW 2018, 227 Rn. 16; Greger, in: Zöller, § 256 ZPO Rn. 7 – auch ein Feststellungsinteresse nach § 256 ZPO vorgetragen. Es ist nicht auszuschließen, dass dem Kläger infolge der Veröffentlichung seiner Telefonnummer im Zusammenhang mit persönlichen Daten auch künftig Schäden entstehenden können. Darüber hinaus begegnen auch die Klageanträge zu Ziff. 3 und 4 keinen Bedenken hinsichtlich ihrer Zulässigkeit. Der Begriff „Stand der Technik“ bzw. die Formulierung „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ ist auslegungsbedürftig, aber hinreichend bestimmt (vgl. LG Bonn, Urt. v. 01.02.2023 – 7 O 101/22). Auch ist das Unterlassungsbegehren im Hinblick auf die Zugänglichmachung personenbezogener Daten des Klägers hinreichend bestimmt. II. Die Klage ist indes unbegründet. 1. Der Kläger hat gegen die Beklagten keinen Anspruch auf Ersatz immateriellen Schadens nach Art. 82 Abs. 1 DSGVO (Klageantrag zu 1.). a. Das Gericht hat bereits erheblich Zweifel daran, ob es sich bei dem Großteil der durch den Kläger bei A angegebenen Informationen um „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO handelt. Demnach sind "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Keine personenbezogenen Daten sind dabei solche Informationen, die anonymisiert sind, also infolge ihrer Veränderung unter Aufhebung des Personenbezugs entweder keine Re-Identifizierung der betroffenen Person (mehr) zulassen oder ein Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann (Schild, in: BeckOK Datenschutzrecht, 44. Edition, Stand: 01.05.2023, Art. 4 DS-GVO, Rn. 15 f.). Der Kläger hat im Rahmen der mündlichen Verhandlung vom 15.05.2023 angegeben, bei A keinen Klarnamen angegeben, sondern seinen Namen lediglich abgekürzt zu haben mit „[…].“. Damit hat der Kläger aber den Bezug des dort angegebenen Namens zu seiner Person soweit aufgehoben, dass eine Identifizierung seiner Person praktisch ausgeschlossen ist. Dies gilt auch im Hinblick auf seine eMail-Adresse, die ebenfalls keinen Klarnamen enthält („[…]“) und damit aus sich heraus ebenso wenig Rückschlüsse auf die tatsächliche Person des Klägers zulässt. Soweit der Kläger indes im Anschluss an die rechtlichen Ausführungen des Gerichts in der mündlichen Verhandlung vom 15.05.2023 angegeben hat, seine tatsächliche Adresse bei A angegeben zu haben, hält das Gericht dies für nicht glaubhaft. Einerseits ist es ausweislich des schriftsätzlichen Vortrags zwischen den Parteien unstreitig, dass auf der Plattform lediglich der Wohnort, nicht aber eine vollständige Adresse angegeben wird. Zudem konnte der Kläger den Widerspruch, weder in der eMail-Adresse noch hinsichtlich des Profilnamens einen Klarnamen verwendet zu haben, gleichzeitig aber seine tatsächliche Wohnanschrift angegeben zu haben, nicht aufklären. Das Gericht hält diese Angabe vor der geschilderten und ersichtlichen Vorsicht des Klägers beim Umgang mit seinen personenbezogenen Daten und der durch ihn praktizierten Anonymisierung seines Namens für derart fernliegend, dass es die Angabe seiner tatsächlichen vollständigen (!) Wohnanschrift nicht als erwiesen ansieht. b. Jedenfalls fehlt aber es an einem ersatzfähigen Schaden des Klägers im Sinne von Art. 82 Abs. 1 DSGVO. aa. Nach Erwägungsgrund 146 S. 3 DSGVO ist der Schadensbegriff weit auszulegen. Der Schaden muss demnach indes „erlitten“, also tatsächlich entstanden sein. Ein bloßer Verstoß gegen die DSGVO bei der Datenverarbeitung reicht insofern für einen Anspruch auf Ersatz immaterieller Schäden nicht aus (EuGH Urt. v. 4.5.2023 – C-300/21 – NZA 2023, 621). Es muss vielmehr eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten in persönlichkeitsbezogenen Belangen hinzutreten, um von einem Schaden sprechen zu können (OLG Frankfurt a.M., Urt. v. 02.03.2022 – 13 U 206/20 = GRUR-RS 2022, 4491; OLG Bremen, ZD 2021, 652; OLG Brandenburg Beschl. v. 21.6.2021 – 1 U 69/20 = ZD 2021, 693). bb. Gemessen hieran ist ein Schaden des Klägers nicht ersichtlich. Soweit der Kläger behauptet, einen „Kontrollverlust über seine Daten“ erlitten zu haben und daher an großem Unwohlsein und großer Sorge über möglichen Missbrauch der ihn betreffenden Daten zu leiden, kann das Gericht dies schon nicht feststellen. Das Gericht geht insofern nicht mit hinreichender Wahrscheinlichkeit davon aus, dass der Kläger unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Das Gericht kann bereits keinen Kontrollverlust des Klägers über seine Daten feststellen. Bei den vom Kläger gescrapten öffentlichen Daten handelt es sich – mit Ausnahme der Handynummer – um solche, die immer öffentlich sichtbar und damit jedem und jederzeit zugänglich sind. Eine weitere Veröffentlichung infolge des Abrufens der durch den Kläger öffentlich zugänglich gemachten Informationen ist damit keine Vertiefung der freien Verfügbarkeit der Informationen. Warum eine weitere Veröffentlichung dieser Daten insofern zu einem „unguten Gefühl“ geführt haben mag, ist nicht ersichtlich. Gegen ein derartiges „ungutes Gefühl“ spricht, dass der Kläger keinen Klarnamen angegeben hat und auch insofern schon eine zweifelsfreie Zuordnung dieser öffentlichen Daten zu dem Kläger als praktisch ausgeschlossen erscheint. Darüber hinaus wäre es dem Kläger ohne Weiteres möglich gewesen, die öffentliche Sichtbarkeit der Daten zu ändern. So hat der Kläger in der informatorischen Anhörung angegeben, die Öffentlichkeit sensibler Daten auf seine Bedürfnisse angepasst zu haben. Daraus ergibt sich aber, dass er öffentlich einsehbare Daten infolge bewusster Entscheidung öffentlich einsehbar gelassen hat. Gegen einen Kontrollverlust hinsichtlich der veröffentlichten Handynummer des Klägers spricht weiterhin, dass der Kläger die Auffindbarkeit seines Profils über die Handynummer in den Suchbarkeitseinstellungen jederzeit hätte ändern und damit der Öffentlichkeit verbergen können. Ein Kontrollverlust aufgrund des mit dem Abruf von Daten des Klägers über die dadurch hergestellte Kombinationsmöglichkeit von Name und Telefonnummer (vgl. dazu LG Paderborn, Urt. v. 19.12.2022 – 3 O 99/22, Rz. 185) ist schon deshalb nicht zu befürchten, da der Kläger schon keinen Klarnamen angegeben hat, der damit eine Verknüpfung mit seiner Telefonnummer zuließe. Weiterhin ist die Eingabe der Telefonnummer – in Alternative zur eMail-Adresse – freiwillig und für die Registrierung nicht erforderlich gewesen. Dennoch hat der Kläger seine Telefonnummer eingegeben. Wäre dem Kläger an der größtmöglichen Geheimhaltung seiner Telefonnummer gelegen, so hätte er sich darauf beschränken können, nur die notwendigen Informationen wie die für die Registrierung erforderliche eMail-Adresse anzugeben. Darüber hinaus hat der Kläger im Rahmen der informatorischen Anhörung angegeben, hinsichtlich sensibler Daten die Standardeinstellungen geändert zu haben hin zu der Sichtbarkeit „nur für Freunde“ bzw. nur für ihn selbst. Damit lässt sich für das Gericht aber schon nicht feststellen, welche Daten überhaupt als „öffentlich sichtbar“ verfügbar und insofern bei dem Scraping mit den weiteren Informationen des Klägers – insbesondere seiner Handynummer – verknüpft werden konnten und in welchem Umfang der Kläger insofern einen Datenverlust tatsächlich erlitten hat. Dass der Kläger tatsächlich nicht an den beschriebenen Ängsten und Sorgen leidet, ergibt sich für das Gericht aus der Schilderung des Klägers, die Spam-SMS und Anrufe stets unter Kontrolle gehabt zu haben. Ein Risiko, tatsächlich das Opfer eines derartigen Betrugs zu werden, ist nach Auffassung des Gerichts bei dem Kläger überdies nicht vorhanden. Insofern hat der Kläger angegeben, Anrufe aus dem Ausland bereits nicht beantwortet, die Nummern gesperrt und Spam-SMS wegen der offenkundig immanenten Betrugsversuche ignoriert zu haben. Es scheint demnach für den Kläger ein Leichtes, zu erkennen, dass Dritte mit derartigen Maßnahmen kriminelle Zwecke verfolgen. So sei der Kläger auch zu der Recherche, wie seine Telefonnummer Dritten zur Verfügung stehen konnte, auch erst durch die angeblichen Spam-Anrufe motiviert worden. Darüber hinaus hat der Kläger zwar angegeben, soziale Medien nicht mehr zu nutzen. Gleichwohl hat der Kläger ausgeführt, das Internet weiterhin in sensiblen Bereichen wie Online-Banking zu nutzen ebenso wie im Bereich des Versandhandels. Dies wäre indes nicht zu erwarten, wenn der Kläger die von ihm schriftsätzlich vorgetragenen Ängste und Sorgen tatsächlich erlitten hätte, da auch dort gerichtsbekannt die Angabe höchst sensibler Daten erforderlich ist. Dass der Kläger konkrete Zeiteinbußen erlitten hat, ist ebenfalls nicht ersichtlich. Nach seinen eigenen Angaben hat er sich hinsichtlich des Verbleibs seiner Daten nicht unmittelbar selbst an die Beklagte gewandt. Den schriftsätzlichen Vortrag, auch seine eMail-Adresse sei anlässlich des Scraping-Vorfalls veröffentlich worden, hat der Kläger im Rahmen seiner informatorischen Anhörung korrigiert und angegeben, dies sei nach seinen eigenen Recherchen nicht der Fall gewesen. Damit ist aber ein Zusammenhang mit dem Scraping-Vorfall nicht ersichtlich und ein Schadensersatzanspruch kann hierauf jedenfalls nicht gestützt werden. Aufgrund der vorgenannten Ausführungen kam es auf die Frage, ob und inwieweit die Beklagte gegen die DSGVO verstoßen hat, nicht an. Obiter dicta sei Folgendes angemerkt: In Zusammenschau mit dem Vorstehenden bestehen auch erhebliche Zweifel an der Kausalität des Scraping-Vorfalls mit den Spam-Anrufen und –SMS. So hat der Kläger zwar ausgeführt, im Jahr 2021 erstmalig Spam-Anrufe und –SMS bekommen zu haben, die nach der Deaktivierung seines Kontos indes aufgehört und erst im Jahr 2023 – ohne die erneute Angabe in sozialen Medien – erneut begonnen haben. Da die Handynummer des Klägers nach seinem Vortrag indes im Internet frei zugänglich gewesen sei, ist nicht nachvollziehbar, warum die vorgetragenen Spam-Anrufe und –SMS mit der Deaktivierung des A-Profils aufhören und danach erneut ohne Reaktivierung des Profils beginnen sollten. Zudem erklärte der Kläger im Rahmen der informatorischen Anhörung, die mit seinem ehemaligen A-Konto verknüpfte Handynummer schon eine lange Zeit – bis zu 20 Jahre – zu nutzen. Es ist daher unschwer vorstellbar, dass er diese Nummer an vielen Stellen analog und digital als Kontakt hinterlassen hat und es damit ebenso vielfältige Möglichkeiten gibt, wie Unbekannte an dessen Nummer gelangt sein könnten, nicht zuletzt auch durch Datenlecks bei Dritten, denen der Kläger seine Nummer einmal gegeben hat. Zuletzt hat der Kläger im Rahmen der informatorischen Anhörung angegeben, „sensible Daten“ auf für lediglich ihn selbst sichtbar bzw. nur für Freunde sichtbar eingestellt zu haben. Damit steht schon in Zweifel, ob und in welchem Umfang überhaupt „stets öffentliche“ persönliche Informationen des Klägers – wie etwa Namen, Wohnort und ähnliches – im Rahmen des Scrapings abgeschöpft wurden. 2. Auch der Klageantrag zu Ziffer 2. ist unbegründet. Es ist vor dem Hintergrund des Vorstehenden in Ermangelung eines tatsächlichen immateriellen Schadens nicht hinreichend wahrscheinlich, dass künftige Schäden eintreten können. 3. Der Kläger hat auch keinen Unterlassungsanspruch gegen die Beklagte gemäß §§ 1004 analog, 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1 sowie Art. 17 DSGVO (Klageantrag zu Ziff. 3.). Dazu fehlt es hinsichtlich des Klägers bereits an der Wiederholungsgefahr. Der Kläger hat in der informatorischen Anhörung angegeben, sein A-Profil am 22.06.2021 gelöscht und bislang nicht reaktiviert zu haben. Inwieweit insofern die Daten bei der Beklagten aktuell fortgesetzt noch entsprechend dem Antragsziel verarbeitet werden und Dritten zugänglich sind, hat der Kläger nicht vorgetragen und ist auch sonst nicht ersichtlich. Darüber hinaus fehlt es auch sonst an einer Wiederholungsgefahr, da eine Zuwiderhandlung auch sonst jedenfalls für die Zukunft nicht mehr zu befürchten ist. Zwischen den Parteien ist unstreitig, dass die Beklagte das Tool zum Importieren von Kontakten nicht mehr dergestalt bereitstellt, dass jedermann unter bloßer Eingabe einer Telefonnummer Zugriff auf das öffentlich einsehbare Profil des Nutzers erhält. Zudem liegt es jederzeit in der Hand des – ausweislich seinem Eindruck im Prozess insoweit durchaus sachkundigen – Klägers, die Suchbarkeitskriterien in den Einstellungen zu verändern. Dass die Beklagte entgegen der von einem Nutzer getroffenen Einstellungen Telefonnummern freigibt oder anderweitig nutzt, hat der Kläger indes nicht behauptet. 4. Der Kläger hat gegen die Beklagte auch keinen Anspruch auf Erteilung (weiterer) Auskünfte gemäß § 15 DSGVO (Klageantrag zu 4.). Die Begründetheit der Klageforderung zu 4. scheitert daran, dass die Beklagte dem Kläger mit Schreiben vom 07.10.2021 in angemessener Weise Auskunft über die von ihr verarbeiteten Daten erteilt hat. Es ist nicht ersichtlich, dass neben den immer öffentlich einsehbaren Daten des Klägers und von dessen Handynummer weitere Daten von dem Scraping-Vorgang betroffen sein könnten. Der Kläger trägt nicht vor, dass er die Suchbarkeitsfunktion um andere Kriterien als die Handynummer erweitert hätte. Insofern ist auch schon nicht vorgetragen, es habe sich um einen Hacker-Angriff gehandelt, womit das Scraping nicht öffentlich einsehbarer und/oder von den Suchbarkeitskriterien umfasster Daten nicht ersichtlich ist. 5. Da die Klage in der Hauptsache keinen Erfolg hat, sind auch die davon abgeleiteten Ansprüche auf Erstattung vorgerichtlicher Rechtsanwaltsgebühren ohne Erfolg. 6. Schriftsatznachlass war der Beklagtenseite nicht zu gewähren. Auf die Frage, welche Daten nur für den Kläger oder seine Freunde sichtbar sein sollten, kommt es nicht entscheidungserheblich an, insbesondere nicht vor dem Hintergrund, als dass der Kläger nur auf „sensible Daten“ abstellt, nicht aber vorträgt, welche genau dies gewesen sein sollen. 7. Die Entscheidung hinsichtlich der Kosten folgt § 91 ZPO, die Entscheidung hinsichtlich der Vollstreckbarkeit § 709 ZPO. 8. Der Streitwert wird nach § 3 ZPO festgesetzt auf 6.000,00 €. Die Parteien streiten um Ansprüche aus behaupteten Datenschutzverstößen. Die Beklagte betreibt die Social-Media-Plattform A, abrufbar über die Webseite A und über Apps, auf dem Gebiet der Europäischen Union. Der Kläger war Nutzer von A. Im Rahmen der Registrierung gab der Kläger Handynummer, Geburtsdatum und Geschlecht an. Seinen Vornamen änderte er indes auf „[…]“ und kürzte seinen Nachnamen mit „[…].“ ab. Neben Pflichtinformationen erfolgte die Eingabe der Handynummer freiwillig. Auf der Registrierungsseite fand sich folgender Passus: „Indem du auf ‚Registrieren‘ klickst, stimmst du unseren Nutzungsbedingungen zu. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen, verwenden und teilen“. Für die weiteren Einzelheiten wird auf die Registrierungsabbildung (Bl. 9 d.A.) Bezug genommen Die Datenrichtlinie enthält u.a. Angaben dazu, welche der vom Nutzer erteilten Informationen immer öffentlich zugänglich sind - nämlich Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID - und die Angabe, dass öffentlich zugängliche Informationen jeder, also auch Personen von außerhalb der Plattform der Beklagten, sehen kann. Darüber hinaus erhält der Nutzer unmittelbar nach der Registrierung die Möglichkeit, unter dem Einstellungspunkt „Privatsphäre auf einen Blick“ die öffentliche Verfügbarkeit und Einsehbarkeit seiner Nutzerdaten anzupassen. Demnach kann der Nutzer mittels Zielgruppenauswahl festlegen, wer die von ihm über die öffentlichen Informationen hinaus bereitgestellten Informationen sehen kann und wer ihn anhand seiner eMail-Adresse oder seiner Telefonnummer – sofern auf der Plattform bereitgestellt – finden kann (sog. Suchbarkeits-Einstellungen). Zu diesen Einstellungen lieferte die Beklagte den Nutzer ihrer Plattform im relevanten Zeitraum entsprechende Erklärungen. Ohne abweichende Zielgruppenauswahl konnten die über öffentliche Informationen hinausgehenden Informationen entsprechend den Voreinstellungen von den „Freunden des Nutzers“ eingesehen werden. Im Rahmen der Voreinstellung konnten überdies alle Personen, die über die E-Mail-Adresse oder die Telefonnummer des Nutzers verfügten, das Profil des Nutzers, finden, sofern der Nutzer diese Informationen auf der Plattform bereitgestellt hatte. Da der Kläger zum Zeitpunkt des Scraping-Vorfalles bei den Suchbarkeitseinstellungen keine Änderung vorgenommen hatte, waren bei seinem Profil die Voreinstellungen aktiv. Nach der Zielgruppenauswahl war die Handynummer auf dem Profil des Klägers indes nicht öffentlich einsehbar. Der Kläger hat hinsichtlich einzelner sensibler Daten die Voreinstellung hinsichtlich der Zielgruppenauswahl geändert hin zu „nur für Freunde sichtbar“ bzw. nur für ihn selbst sichtbar. In der Zeit von Januar 2018 bis September 2019 sammelten Dritte mittels sog. Scraping (Extrahieren, Kopieren, Speichern sowie Wiederverwendung fremder Inhalte im Netz) automatisiert Daten aus den A-Profilen einer Vielzahl von Nutzern (im Folgenden: Scraping-Vorfall). Abgeschöpft wurden dabei Profilinformationen, die entweder „immer öffentlich“ oder zu diesem Zeitpunkt aufgrund der Privatsphäreeinstellungen der Nutzer öffentlich einsehbar waren. Darüber hinaus erstellten die Scraper Listen mit möglichen Telefonnummern und luden diese in den Kontakt-Importer (Contact Importer Tool (CIT)) der Plattform hoch, um festzustellen, ob die hochgeladenen Telefonnummern mit einem Konto eines Nutzers verknüpft sind. Sofern eine der hochgeladenen Telefonnummern mit dem Konto eines Nutzers verbunden war und bei entsprechender Einstellung der Suchbarkeitskriterien, gab der Kontakt-Importer diese Information – die Verknüpfung von Telefonnummer und Konto – an die Scraper weiter. Die Scraper fügten sodann den öffentlich zugänglichen Informationen aus dem betreffenden Profil des Nutzers die mit dem Konto verknüpfte Telefonnummer hinzu. Anfang April 2021 wurden die gescrapten Datensätze inklusive der Telefonnummern, darunter Daten des Klägers, im Internet veröffentlicht. Die E-Mail-Adresse des Klägers war indes vom Scraping nicht betroffen. Am 22.06.2021 hat der Kläger sein A-Profil gelöscht. Mit anwaltlichem Schreiben vom 28.07.2021 (Anlage K 1, Bl. 53 ff. d.A.) machte der Kläger die streitgegenständlichen Ansprüche sowie einen Anspruch auf Zahlung immateriellen Schadensersatzes in Höhe von 500,00 € nebst Rechtsanwaltsgebühren aus einem Streitwert vom 8.501,00 € gegenüber der Beklagten geltend. Die Beklagte wies Ansprüche mit Schreiben vom 07.10.2021 (Anlage B 15, Anlagenband) zurück. Darin bestätigte die Beklagte dem Kläger, dass Daten des Klägers von dem Vorfall betroffen seien und übermittelte der Klägerseite eine dezidierte Anleitung zur Einsichtnahme in seine bei der Plattform der Beklagten hinterlegten Informationen und deren Verwendung. Für die diesbezüglichen Einzelheiten wird auf die Anlage B 15 zur Klageerwiderung vom 06.01.2023 (Anlagenband) Bezug genommen. Die … Datenschutzbehörde […] hat gegen die Beklagte am 28.11.2022 eine Geldbuße in Höhe von 265 Mio. Euro verhängt (vorgelegt als Anlage K3). Die […] sieht einen Verstoß der Beklagten insbesondere gegen Art. 25 Abs. 1 und 2 DSGVO. Die Entscheidung ist nicht rechtskräftig. Der Kläger behauptete zunächst, durch das Scraping seien Daten wie Telefonnummer, Name, Wohnort und eMail-Adresse des Klägers abgegriffen worden und auf Seiten veröffentlicht worden, die illegale Aktivitäten begünstigen sollen, z.B. auf der Seite […]. In der informatorischen Anhörung hat der Kläger indes behauptet, seine eMail-Adresse sei bei dem Scraping-Vorfall nicht abgegriffen worden. Der Vorfall sei so möglich gewesen, weil die Beklagte keinerlei Sicherheitsmaßnahmen vorgehalten habe, um ein Ausnutzen des bereitgestellten Tools zu verhindern, und andererseits, weil die Einstellungen zur Sicherheit der Telefonnummer auf A so undurchsichtig und kompliziert gestaltet seien, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne. Zum Auffinden seines Profils über seine Handynummer habe er keine wirksame Einwilligung erteilt. Seit dem Spraping-Vorfall erhalte er unregelmäßig unbekannte Kontaktversuche via Anruf und SMS. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und potenziellen Virenlinks. Überdies habe der Kläger hierdurch einen erheblichen Kontrollverlust über seine Daten erlitten. Er leide unter großem Unwohlsein und Sorgen, da er einen Missbrauch befürchte. Infolge des Vorfalls habe der Kläger überdies einen erheblichen Zeitverlust erlitten. Der Kläger beantragt: 1. Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, a. personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, A-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, b. die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der A-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird. 4. Die Beklagte wird verurteilt, der Klägerseite Auskunft über ihn betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten. 5. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 354,62 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte ist der Ansicht, die Klage sei weitgehend unzulässig. Darüber hinaus stelle Scraping keinen Datenschutzverstoß dar, da es an einer Veröffentlichung privater Informationen und damit an einer Verletzung der Sicherheit im Sinne von Art. 4 Nr. 12 DSGVO fehle. Insofern seien auch schon keine spezifischen Sicherheitsmaßnahmen oder Zugriffsberechtigungen umgangen oder überwunden worden. Der Beklagten könne zudem keine Sicherheitslücke zur Last gelegt werden, da die hergestellte Verknüpfung zwischen der Telefonnummer des Klägers und seinem Nutzerkonto lediglich auf die seinerzeitige Suchbarkeitseinstellung des Klägers zurückzuführen sei. Die Beklagte behauptet, dem Kläger nicht die Empfänger der gescrapten Daten, sondern lediglich die möglicherweise betroffenen Datenkategorien mitteilen zu können, da sie keine Kopie der Rohdaten halte. Das Gericht hat den Kläger in der Sitzung vom 15.05.2023 informatorisch angehört. Wegen Inhalt und Ergebnis der informatorischen Anhörung wird umfassend auf das Sitzungsprotokoll zur Sitzung vom 15.05.2023 (Bl. 407 ff. d.A.) Bezug genommen. Für die weiteren Einzelheiten des Parteivortrags wird ergänzend auf die wechselseitigen Schriftsätze nebst ihren Anlagen sowie auf das Sitzungsprotokoll Bezug genommen.