12 O 254/22

Die Klage wird abgewiesen. Die Kosten des Rechtsstreits werden der klagenden Partei auferlegt. Das Urteil ist vorläufig vollstreckbar. Dem Kläger wird gestattet, die Zwangsvollstreckung gegen Sicherheitsleistung in Höhe von 110% des auf Grund des Urteils vollstreckbaren Betrages abzuwenden, wenn nicht die Beklagte vor der Zwangsvollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages leistet. Tatbestand: Die Parteien streiten um Ansprüche auf Schadensersatz, Unterlassung und Auskunft wegen behaupteter Verletzung von Regelungen der DS-GVO. Der Kläger nutzte die von der Beklagten betriebene Social Media Plattform G und die mit ihr zusammenhängenden Dienste, wie z.B. den Messenger. Die Nutzer können auf ihren persönlichen Profilen auf der Plattform Angaben zu verschiedenen Daten zu ihrer Person machen. Sie können im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Nutzer ihre Daten einsehen können. In den Jahren 2018 bis 2019 lasen und sammelten unbekannte Dritte Daten von G (sog. „Scraping“). Die durch die Scraper in diesem Zusammenhang verwendeten Telefonnummern wurden vermutlich mittels „Telefonnummernaufzählung“ generiert. Dabei nutzten die Scraper die Kontakt-Import-Funktion (Contact Importer Tool (CIT)) von G. Mittels dieser Funktion konnten Nutzer, ihre Kontakte von ihren Mobilgeräten auf G hochzuladen, um diese Kontakte sodann auf G zu finden. Die Scraper erstellten Listen verschiedener potenzieller Telefonnummern und luden diese mittels des CIT hoch. Sofern eine Telefonnummer mit einem Nutzerprofil verknüpft war, wurde diese den gescrapten Daten des Nutzerprofils hinzugefügt. Anfang April 2021 wurden diese Daten von ca. 533 Millionen Facebooknummern inkl. Telefonnummern im Internet öffentlich verbreitet. Die Beklagte informierte weder den Kläger noch die zuständige Datenschutzbehörde, die J, über den Vorfall. Bei dem Anlegen eines G wird der künftige Nutzer mit der Datenschutz- und Cookie Richtlinien konfrontiert. Diese sind durch eine Verlinkung getrennt abrufbar. Ein Teil der Daten des Nutzerprofils ist immer öffentlich einsehbar. Dazu gehört der Name, das Geschlecht und die Nutzer-ID. Die Einsehbarkeit der weiteren Daten, z.B. die Telefonnummer, der Wohnort, der Beziehungsstatus, der Geburtstag oder der E-Mail-Adresse richtet sich nach der persönlichen Einstellungsauswahl. Nach der Anmeldung auf der Plattform sind zunächst die Vor- bzw. Standardeinstellungen aktiv. Demnach können „alle“ Personen sehen, welche Seiten der Nutzer abonniert oder mit wem er befreundet ist. Ebenso können „alle“ den neuen Nutzer über seine E-Mail-Adresse „finden“. Auch für sämtliche Informationen (mit Ausnahme der Telefonnummer), die ein Nutzer in sein Profil einträgt, ist standardmäßig „öffentlich“ als Voreinstellung ausgewählt. Der Nutzer kann diese Einstellungen individuell verändern und sich im Hilfebereich einlesen, wie G insbesondere die Mobilfunknummer verwendet. Bei einer Anmeldung auf der Plattform ist die Angabe der Mobilfunknummer nicht zwingend. Wird sie jedoch hinterlegt, können hinsichtlich der Öffentlichkeit der Telefonnummer unterschiedliche Zielgruppeneinstellungen in Bezug auf die Sichtbarkeit und Suchbarkeit ausgewählt werden. Die Voreinstellung bezüglich der „Sichtbarkeit“ lautet „nur Freunde“, für die Suchbarkeit hingegen „alle“. Ab dem 19.04.2017 war die Suchbarkeit des klägerischen Nutzerkontos mittels der Telefonnummer auf „alle“ eingestellt. Die weiteren Datenpunkte, welche nach Auffassung des Klägers vom Scraping betroffen waren, waren öffentlich einsehbar. Mit außergerichtlicher E-Mail vom 15.11.2021 wurde die Beklagte vergeblich zur Zahlung von 500,-€ und Unterlassung künftiger Zugänglichmachung der Daten des Klägers sowie Erteilung einer Auskunft, welche konkreten Daten im April 2021 abgegriffen und veröffentlicht wurden, aufgefordert (Anlage K 1). Mit Schreiben vom 09.12.2021 erteilte die Beklagte einige Auskünfte (Anlage B16). Der Kläger behauptet, durch das Scraping seien folgende Daten abgegriffen und in einer u.a. im Darknet für jedermann abrufbaren Datenbank veröffentlicht worden: Telefonnummer, Facebook-ID, Name, Geschlecht, Wohnort. Im Einzelnen seien dies die folgenden Datenpunkte: „X,X,H, N, E, H,X X, X, X B“. Er ist der Ansicht, dass ihm ein Schadensersatzanspruch in Höhe von mindestens 1.000 € nach Art. 82 Abs. 1 DS-GVO zustehe. Die Beklagte habe ihn nicht in ausreichendem Maße über die Verarbeitung der ihn betreffenden personenbezogenen Daten, insbesondere der Mobiltelefonnummer, informiert bzw. aufgeklärt und dadurch gegen die Vorschriften der Art. 5 Abs. 1 lit. a) und Art. 13, 14 DS-GVO verstoßen. Die Einstellungen und Hinweise zur Sicherheit und Nutzung der Telefonnummer auf Facebook seien undurchsichtig und kompliziert gestaltet, denn es bestehe eine Flut an Einstellungsmöglichkeiten allein für die Sicherheit der Mobilnummer. Es werde unnötig zwischen Datenschutzrichtlinien und Cookie-Verwendung differenziert, obwohl die Verwendung von Cookies ein inhärent datenschutzrechtliches Thema sei. Der gesamte Anmeldevorgang sei intransparent und für den Anwender verwirrend. Aufgrund der Vielzahl an Einstellungsmöglichkeiten sei mit hoher Wahrscheinlichkeit zu erwarten, dass ein Nutzer die voreingestellten Standardeinstellungen beibehalte und nicht selbstständig ändere. Dies widerspräche allerdings den Grundsätzen eines nutzerfreundlichen Datenschutzes. In der Voreinstellung, dass die „Suchbarkeit“ der Mobiltelefonnummer „allen“ möglich ist, liege ein Verstoß gegen das in der DS-GVO niedergelegten Prinzips der „privacy by default“ nach Art. 25 DS-GVO. Zudem habe die Beklagte keine hinreichenden Schutzmaßnahmen gegen das Scraping ergriffen, z.B. würden keine Sicherheitscaptchas verwendet und kein Mechanismus zur Überprüfung der Plausibilität der Anfragen bereitgehalten, worin ein Verstoß gegen Art. 5 Abs. 1 lit. f), 32, 24 und 25 DS-GVO liege. Die von der Beklagten nach Art. 15 DS-GVO erteilte Auskunft sei unzureichend. Das Antwortschreiben der Beklagten enthalte lediglich allgemein gehaltene Informationen zu den auf G verarbeiteten Daten sowie einen Link zur Seite der Beklagten, auf der die Daten über einen individuellen Nutzer gespeicherten Daten eingesehen werden können. Unabhängig davon enthalte das „Auskunftsschreiben“ der Beklagten aber auch keinerlei konkrete Aussagen dazu, welche Daten des Klägers im Wege des Scrapings von unbekannten Dritten abgegriffen wurden. So bleibe offen, wann genau die Daten entwendet worden seien oder wie viele verschiedene Beteiligte diese Funktion hinsichtlich seiner eigenen gespeicherten Daten ausgenutzt hätten. Er behauptet, dass er einen Kontrollverlust über seine Daten erfahren habe und in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer Daten verblieben sei. Er werde seit April 2021 wiederholt ungewollt von Unbekannten via E-Mail und SMS kontaktiert und habe Stress, Komfort- und Zeiteinbußen erlitten. Der Kläger beantragt, 1. die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz; 2. festzustellen, dass die Beklagte dem Grunde nach verpflichtet ist, ihm auch alle künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden; 3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, a. personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, G ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, b. die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der G Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird, 4. die Beklagte zu verurteilen, ihm Auskunft über seine ihn betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten; 5. die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 453,87 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte behauptet, hinreichende Anti-Scraping Maßnahmen ergriffen zu haben, z.B. die Beschäftigung eines Teams zur Bekämpfung des Phänomens und die Einführung von Übertragungsbeschränkungen, die die Zahl von Anfragen von bestimmten Daten reduzieren, welche pro Nutzer oder einer IP-Adresse gemacht werden können. Sie ist der Ansicht, dass ein Verstoß gegen Art. 24 und 32 DS-GVO deshalb nicht ersichtlich sei. Die Pflicht angemessene technische und organisatorische Maßnahmen zu ergreifen, ziele darauf ab, eine unbefugte Offenlegung von Daten zu verhindern. Es liege weder ein Datenschutzverstoß vor, noch sei es unterlassen worden, eine technische Schwachstelle zu schließen. Es seien lediglich öffentlich einsehbare Daten durch Dritte in Form des Scraping abgerufen worden, was nach den Nutzungsbedingungen von G untersagt gewesen sei. Die Möglichkeit, die Daten des G-Profils einzusehen und Nutzerprofile mithilfe des CIT zu suchen, habe außerdem im Einklang mit den individuellen Privatsphäre-Einstellungen des Klägers gestanden. Es seien lediglich solche Daten abrufbar gewesen, die nach den klägerischen Einstellungen für „alle“ einsehbar oder suchbar waren. Die Informationen über die Möglichkeiten der Anpassung der Suchbarkeit und Zielgruppenauswahl seien umfassend und hinreichend transparent erfolgt, sodass ein Verstoß gegen die Art. 13 und 14 DS-GVO nicht vorliege. Die Beklagte ist weiter der Ansicht, auch nicht gegen die Pflicht zum Datenschutz durch Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen gemäß Art. 25 DS-GVO verstoßen zu haben, indem sie geeignete technische und organisatorische Maßnahmen implementiert habe. Eine Verletzung von Benachrichtigungs- und Meldepflichten nach Art. 34, 33 DS-GVO liege nicht vor, da sie zu einer solchen Meldung nicht verpflichtet gewesen sei. Darüber hinaus erfasse der Schutzbereich des Art. 82 DS-GVO keine Verstöße gegen Art. 13, 14, 15, 24, 25 und 34 DS-GVO. Im Übrigen sei kein Zusammenhang zwischen etwaigen Phishing-Nachrichten und dem Scraping-Sachverhalt erkennbar. Der Auskunftsanspruch des Klägers sei mit dem Schreiben vom 09.12.2021 erfüllt worden. Die Einzelrichterin hat den Kläger im Rahmen der mündlichen Verhandlung persönlich angehört. Wegen der Ausführungen des Klägers wird auf das Protokoll der mündlichen Verhandlung vom 15.08.2023 verwiesen. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen verwiesen. Entscheidungsgründe Die Klage ist hinsichtlich der Unterlassungsanträge unzulässig, im Übrigen jedenfalls unbegründet. I. 1. Der Antrag zu Ziff. 1 ist hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO. Insoweit die Beklagte einwendet, dass sich der Kläger auf eine Vielzahl vermeintlicher Verstöße gegen die DS-GVO stütze, sodass der Klage mindestens zwei separate und eigenständige Streitgegenstände zugrunde liegen würden, und der Kläger versäumt habe, zu konkretisieren, in welchem Verhältnis jeder der unterstellten Schäden den geltend gemachten Ersatzanspruch tragen solle, dringt er hiermit nicht durch. Eine hinreichende Konkretisierung nahm der Kläger jedenfalls mit Schriftsatz vom 29.03.2023 vor. In diesem führte er aus, dass er einen immateriellen Schadensersatz für Datenschutzverstöße im Zusammenhang mit einem Datenleck verlangt und für die zeitlich danach liegende unzureichende Auskunft einen weiteren Schadensersatz in gleicher Höhe. 2. Es kann dahinstehen, ob das erforderliche Feststellungsinteresse nach § 256 ZPO besteht. Ist die Klage unbegründet, unterliegt sie unabhängig von einem bestehenden Feststellungsinteresse der Abweisung (vgl. Greger , in: Zöller, § 256, Rn. 7). 3. Der Antrag zu Ziff. 3 a) ist unzulässig, da er nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO ist. Unterlassungsanträge müssen möglichst konkret gefasst sein, damit für Rechtsverteidigung und Vollstreckung klar ist, worauf sich das Verbot erstreckt. Sie dürfen nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts nicht klar umrissen ist, der Beklagte sich deshalb nicht hinreichend verteidigen kann und dem Vollstreckungsgericht die Entscheidung darüber überlassen wird, was dem Beklagten verboten ist (vgl. BGH, Urt. v. 20.06.2013 – I ZR 55/12, Rn. 12). Die bloße Wiedergabe unbestimmter Tatbestandsmerkmale der verletzten Rechtsnorm genügt nicht (vgl. Greger , in: Zöller, § 253, Rn. 13b). Der verwandte Begriff „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ ist auslegungsbedürftig, da die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen einem steten Wandel unterliegen. Auslegungsbedürftige Begriffe sind zwar nicht schlechthin unzulässig. Sie können hingenommen werden, wenn über den Sinngehalt der verwendeten Begriffe oder Bezeichnungen keine Zweifel bestehen. Dies gilt aber nicht, wenn zwischen den Parteien Streit besteht, ob das beanstandete Verhalten darunterfällt, weil sonst der im Erkenntnisverfahren beizulegende Streit ins Vollstreckungsverfahren verlagert würde (vgl. BGH, Urt. v. 01.12.1999 – I ZR 49/97 mwN). So liegt der Fall im vorliegenden Verfahren, da zwischen den Parteien Streit darüber besteht, ob die von der Beklagten ergriffenen Maßnahmen die nach „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ gegen Scraping darstellten. Eine andere Bewertung ergibt sich auch nicht aus dem Gebot der Gewährleistung eines effektiven Rechtsschutzes (vgl. demgegenüber a.A. LG Kiel, Urt. v. 12.01.2023 – 6 O 154/22, Rn. 35; LG Essen, Urt. v. 10.11.2022 – 6 O 111/22, Rn. 55, LG Gießen, Urt. v. 03.11.2022 – 5 O 195/22, Rn. 24). Das Gebot der Gewährung effektiven Rechtsschutzes kann nicht zu einer Zulässigkeit eines derart unbestimmten Unterlassungsantrages führen. Es ist vorhersehbar, dass hier das Erkenntnisverfahren in das Vollstreckungsverfahren verlagert wird. Eine hinreichende Bestimmtheit ergibt sich auch nicht aus der Heranziehung der Klageschrift. Denn im vorliegenden Fall vermochte der Kläger bisher nicht darzulegen, welche konkreten Anforderungen der „Stand der Technik“ an mögliche Sicherheitsmaßnahmen stellt. Es bliebe damit in diesem Verfahren bei einer Titulierung vollkommen unklar, welche konkreten Maßnahmen die Beklagte zu ergreifen hat, um nicht gegen das Unterlassungsgebot zu verstoßen. Da dem Kläger zudem kein Anspruch auf Einhaltung aller nach dem Stand der Technik möglichen, sondern nur der zur Verhinderung des Scrapings ausreichenden Schutzmaßnahmen zusteht, ist auch nicht erkennbar, dass dem Kläger die Gewährung effektiven Rechtsschutzes versagt wird (vgl. LG Köln, Urt. v. 31.05.2023 – 28 O 138/22, Rn. 45). 4. Auch der Antrag zu Ziff. 3b) ist nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO. Er nimmt die konkrete Verletzungshandlung nicht hinreichend in Bezug. So ergibt sich aus dem Antrag nicht, auf welcher Grundlage der Kläger eine Einwilligung zur Verarbeitung seiner Telefonnummer erteilte. Diese Nutzungsbedingungen bzw. Informationen des Klägers, welche die „unübersichtlichen und unvollständigen Informationen“ darstellen sollen, sind als Teil der konkreten Verletzungshandlung in den Antrag aufzunehmen. So besteht keine hinreichende Klarheit für das Vollstreckungsgericht, welche Informationen „unübersichtlicher und unvollständiger“ Natur sind. II. 1. Dem Kläger steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes in Höhe von mindestens 1.000 € gem. Art. 82 Abs. 1 DS-GVO zu. Nach Art. 82 Abs. 1 DS-GVO steht jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, ein Anspruch auf Schadenersatz gegen den Verantwortlichen zu. Im Streitfall macht der Kläger Ersatz eines behaupteten immateriellen Schadens geltend. a) Der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO erfasst die Verletzung von Auskunftsansprüchen und Informationspflichten nicht (vgl. LG Essen, Urt. v. 10.11.2022 – 6 O 111/22, Rn. 44 ff). Gemäß Art. 2 DS-GVO umfasst der sachliche Anwendungsbereich der Verordnung die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Anknüpfungspunkt ist also eine der Verordnung nicht entsprechende Verarbeitung i.S.d. Art. 4 Nr. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Gemäß Art. 4 Nr. 2 DS-GVO ist eine Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, durch den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Da die Art. 13, 14, 15, 33 und 34 DS-GVO „lediglich“ Auskunftsansprüche bzw. Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung personenbezogener Daten als solche zum Gegenstand haben, können Verstöße gegen diese Vorschriften keinen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auslösen (vgl. LG Essen, Urt. v. 10.11.2022 – 6 O 111/22, Rn. 48). Dies wird durch das Urteil des EuGHs vom 04.05.2023 – C-300/21 gestützt. In diesem betont der EuGH, dass der Art. 82 DS-GVO die Haftungsregelung des Art. 82 präziseren. Er führt aus: „Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO , ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.“ (Hervorhebung diesseits) Weiter nimmt er Bezug auf die Erwägungsgründe 75, 85, 146. In diesen wird ebenfalls auf Schäden, die auf einer Datenverarbeitung beruhen, abgestellt. Da der EuGH weiter ausführt, dass nicht bei jeder Verarbeitung ein Schaden eintreten muss (vgl. EuGH Urt. v. 04.05.2023 – C-300/21, Rn. 37), ergibt sich hieraus, dass er selbst davon ausgeht, dass die Verarbeitung von Daten jedenfalls Voraussetzung des Schadensersatzanspruchs ist. b) Es kann an dieser Stelle dahinstehen, ob die Beklagte die personenbezogenen Daten des Klägers nicht im ausreichenden Maße gegen Scraping schützte (Art. 5 lit. f), 32, 24 DS-GVO). Ebenfalls nicht entscheidungserheblich ist die Frage, ob die Voreinstellungen der Beklagten gegen das in Art. 25 DS-GVO verankerte Prinzip „Privacy by Design“ bzw. „Privacy by default“ verstoßen haben. c) Die Einzelrichterin vermag das Vorliegen eines kausal auf diesen Verstößen beruhenden immateriellen Schadens i.S.d. Art. 82 DS-GVO nicht festzustellen. Voraussetzung für das Bestehen eines Schadensersatzanspruchs nach Art. 82 DS-GVO ist das Vorliegen eines Verstoßes gegen die Vorschriften der DS-GVO, eines Schadens sowie eines Kausalzusammenhangs zwischen dem Verstoß und dem geltend gemachten Schaden (vgl. EuGH, Urt. v. 04.05.2023 – C-300/21). Der Schaden liegt also nicht in der rechtswidrigen Informationsverarbeitung selbst, sondern muss sich von ihr unterscheiden und kausal auf diese zurückgehen. Der Kläger hat dazu einen konkreten – auch immateriellen – Schaden darzulegen. Der Begriff soll zur Gewährung eines wirksamen Ersatzes nach dem Erwägungsgrund 146 S. 3 weit ausgelegt werden. Beispielhaft aufgezählt werden folgende Nichtvermögens- und Vermögensschäden: Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugte Aufhebung der Pseudonymisierung oder andere gesellschaftliche Nachteile, die an sich schon ein immaterieller Schaden sind, sich zudem zu einem materiellen Schaden verwirklichen können; des Weiteren finanzielle Verluste oder andere erhebliche wirtschaftliche Nachteile (Erwägungsgründe 75, 85). Eine Erheblichkeitsschwelle muss dabei nicht überschritten werden (EuGH, Urt. v. 04.05.2023 – C-300/21). Der Schaden muss auch wirklich „erlitten“ sein (ErwGr. 146 S. 6). Es muss ein realer und sicherer emotionaler Schaden eingetreten sein. Empirisch führt nämlich jeder Verstoß gegen eine Datenschutzvorschrift zu einer negativen Reaktion der betroffenen Person. Nicht jeder Datenschutzverstoß soll jedoch einen Schadensersatzanspruch auslösen. Ein immaterieller Schadensersatz für ein bloßes Gefühl des Unwohlseins käme einer Entschädigung ohne Schaden gleich (GA Pitruzzella, Schlussantrag vom 27.04.2023 – C-340/21, Rn. 81 f). Dass nicht alle negativen Folgen eines Verstoßes gegen die DS-GVO einen immateriellen Schaden i.S.d. Art. 82 darstellen, ergibt sich auch aus den Ausführungen des EuGHs, dass das Nichtbestehen einer Erheblichkeitsschwelle nicht bedeute, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden i.S.d. Art. 82 darstellen (vgl. EuGH, Urt. v. 04.05.2023 – C – 300/21, Rn. 50). Die Einzelrichterin schließt sich dabei den überzeugenden Ausführungen des Generalanwalts Pitruzuella an. Dieser stellt entscheidend darauf ab, dass es sich bei dem immateriellen Schaden nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen, aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person sowie auf die Art der betroffenen Daten und die Bedeutung, die die Daten im Leben des Klägers haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen mit der Datenverletzung verbundenen Beeinträchtigung hat (vgl. GA Pitruzzella, Schlussantrag vom 27.04.2023 – C-340/21, Rn. 83 f) aa) Dass der Kläger einen derart erheblichen Kontrollverlust über seine Daten erlitten hat, dass er in einem Zustand großen Unwohlseins und Sorge über den möglichen Missbrauch der Daten verblieb, hat sich im Rahmen der persönlichen Anhörung des Klägers nicht bestätigt. Die Ausführungen des Klägers im Rahmen der persönlichen Anhörung gemäß § 141 ZPO sind grundsätzlich als Streit- und nicht als Beweisstoff zu werten. Das Gericht ist nach dem Grundsatz der freien Beweiswürdigung nach § 286 Abs. 1 1 ZPO aber gehalten, im Rahmen der Würdigung des gesamten Inhalts der Verhandlungen und des Ergebnisses einer etwaigen Beweisaufnahme bei der Bildung seiner Überzeugung auch die Parteierklärung, auch wenn sie außerhalb einer förmlichen Parteivernehmung erfolgt, zu berücksichtigen. Der Kläger hat im Rahmen seiner persönlichen Anhörung geschildert, dass er sich seiner Daten „beklaut“ gefühlt habe. Er habe sich der Hoheit über seine Daten entledigt gefühlt. Die Angaben bleiben pauschal und wenig greifbar. Eine konkrete emotionale Beeinträchtigung, die ihm durch den „Datenklau“ entstanden sein soll, hat er nicht geschildert. Verobjektivierbare Anhaltspunkte, welche die immateriellen Schäden in Form großen Unwohlseins oder Sorge über Datenmissbrauch zeigen, hat er ebenfalls nicht nachvollziehbar dargetan. Der Kläger hat ausgeführt, dass er die Handynummer allein gewechselt habe, da er von Spam-Anrufen belästigt gewesen sei. Einen Zustand großen Unwohlseins oder der Sorge wegen eines Datenmissbrauchs hat er dabei nicht geschildert. bb) Es steht nicht zur Überzeugung der Einzelrichterin fest, dass der Kläger vermehrt durch Spam-Anrufe und Nachrichten belästigt wird (1) und dies kausal auf die behaupteten Verstöße der Beklagten gegen Art. 24, 25, 32 DS-GVO zurückzuführen ist (2). Ob der vermehrte Erhalt von Spam-Nachrichten und Anrufen einen immateriellen Schaden im Sinne der vorstehenden Ausführungen darstellt, bedarf deshalb keiner Entscheidung. (1) Es steht nicht zur Überzeugung der Einzelrichterin fest, dass es nach dem Scraping Vorfall ab April 2021 tatsächlich zu einem erhöhten Aufkommen an Spam-Anrufen oder Nachrichten bei dem Kläger gegenüber den vorhergehenden Monaten gekommen ist. Der Kläger hat im Rahmen seiner persönlichen Anhörung bekundet, dass er ab April 2021 5-6 Spam-SMS am Tag und 2-3 Anrufe am Tag erhalten habe. Er habe niemals zuvor und danach Spam-Nachrichten oder Anrufe erhalten. Objektive Belege (wie Screenshots dieser Nachrichten) legt er für seine Behauptungen nicht dar. Der Einzelrichterin verbleiben Zweifel an dieser Schilderung. Es ist nicht ausgeschlossen, dass die Wahrnehmungen des Klägers ab April 2021 dadurch beeinflusst worden sind, dass er von dem Datenleak erfahren hat und besonders auf solche Belästigungen geachtet hat. Während solche Nachrichten im Alltag oftmals kurz wahrgenommen und sodann gelöscht werden, erscheint es nicht ausgeschlossen, dass bei einer besonderen Fokussierung auf die eigene Betroffenheit, diese verstärkt wahrgenommen werden. Der Kläger hat geschildert, dass er seine Rufnummer nirgendwo sonst im Internet angegeben habe. Es ist nicht lebensnah, dass eine Person, die ihre Telefonnummer auf einer Social-Media Plattform wie G verwendet, sie auf keiner anderen Internetseite verwandt haben will. Darüber hinaus begründet das zögerlichen Aussageverhaltens Zweifel an der Glaubwürdigkeit des Klägers. Diese ergeben sind insbesondere aus seiner Schilderung, dass er wegen der Belästigungen mit Spam-Nachrichten und Anrufen im September 2021 die Telefonnummer gewechselt habe. Auf Nachfrage des Gerichts hat der Kläger erklärt, dass er den Wechsel allein wegen der Spam-Belästigungen vollzogen habe. Erst auf erneute Nachfrage, ob gleichzeitig ein Vertragswechsel vollzogen wurde, hat der Kläger bestätigt, dass der Wechsel seiner Telefonnummer mit dem Zeitpunkt seines Vertragswechsels zusammenfiel. Es wird nicht verkannt, dass im Rahmen eines Vertragswechsels die Optionen bestehen, die Telefonnummer beizubehalten oder sie zu wechseln. Dabei vermögen in der Entscheidungsfindung, die behaupteten Belästigungen theoretisch eine Rolle gespielt haben. Einen erheblichen Unterschied macht es allerdings, ob eine Telefonnummer im Rahmen eines laufenden Vertrages oder bloß anlässlich eines Vertragswechsels geändert wird. Im Rahmen eines Vertragswechsels finden regelmäßig aus verschieden Gründen Änderungen der Rufnummer statt, u.a., da auch mit einer Portierung ein gewisser Aufwand einhergeht. Aufgrund des Umstandes, dass der Kläger auf Fragen der Einzelrichterin den Sachverhalt nicht von sich aus vollumfänglich dargestellt hat, sondern auszugsweise den für ihn vorteilhaften Sachverhalt präsentiert und erst auf Nachfrage der Sachverhalt in seiner Gesamtheit dargestellt hat, verbleiben Zweifel an der Glaubwürdigkeit auch im Hinblick auf ein Eigeninteresse am Ausgang des Verfahrens. (2) Zum anderen bestehen erhebliche Zweifel daran, dass die vorgetragene verstärkte Belästigung durch Spam-Anrufe und Nachrichten kausal auf die der Beklagten vorgeworfenen Verstöße gegen die DS-GVO zurückzuführen ist. § 286 ZPO verlangt den sog. Vollbeweis. Erforderlich und ausreichend ist ein für das praktische Leben brauchbarer Grad von Gewissheit, der Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen (BGH, Urt. v. 19.07.2019 – V ZR 25717, Rn. 27). Für den Beweis des Kausalzusammenhangs bedarf es der vollen richterlichen Überzeugung. Tatsachen sind nicht schon dann als erwiesen anzusehen, wenn eine überwiegende Wahrscheinlichkeit besteht. Für den erforderlichen Kausalzusammenhang besteht auch kein Anscheinsbeweis. Ein Anscheinsbeweis liegt nur bei einem „typischen“ Geschehensablauf vor, der nach der Lebenserfahrung mit sehr großer Wahrscheinlichkeit auf eine bestimmte Ursache oder Folge hinweist und derart gewöhnlich und üblich erscheint, dass die besonderen individuellen Umstände an Bedeutung verlieren. Eine so große Wahrscheinlichkeit, dass das vermeintlich erhöhte Aufkommen von Spam-Anrufen und Nachrichten ab April 2021 auf den streitgegenständlichen Verstößen der Beklagten gegen die DS-GVO beruht, besteht nicht. Hiergegen spricht die Häufigkeit von Spam-Nachrichten und Anrufen sowie von Datenverlusten und Hacking im Internet, sodass eine konkrete Zuordnung von Spam auf einen einzelnen Datenverlust Schwierigkeiten bereitet. Das Gericht verkennt dabei nicht, dass der Beweis des Kausalzusammenhangs zwischen einem Datenschutzverstoß und der Belästigung durch Spam-Anrufe den Kläger vor erhebliche Schwierigkeiten stellt. Es ist aber auch zu berücksichtigen, dass der EuGH ausdrücklich das Vorliegen eines Kausalzusammenhangs zwischen dem Verstoß gegen die DS-GVO und dem Schaden gefordert hat. Der Einzelrichterin verbleiben erhebliche Zweifel, dass die behauptete Belästigung durch Spam-Anrufe und Nachrichten auf den Datenschutzvorfall zurückzuführen ist. Die konkreten Abläufe des Scraping-Sachverhalts sind nicht bekannt. Die Medien berichteten zwar ab Anfang April 2021 über den Vorfall. Das Scraping soll jedoch bereits in den Jahren 2018-2019 erfolgt sein. Unklar ist, was in der Zwischenzeit mit den Daten geschah und ob zuvor bereits eine Veröffentlichung erfolgte. Es ist fraglich, ob die Daten erstmals beinahe zwei Jahre nach dem Scraping-Vorfall kommerzialisiert bzw. öffentlich gemacht worden sind, da davon auszugehen ist, dass aktuellere Daten einen höheren Marktwert haben dürften. Es verbleiben Zweifel, dass ein Anstieg von Spam-Nachrichten im April 2021 und damit zwei Jahre nach dem Scraping-Vorfall mit einer für die Verurteilung erforderlichen Wahrscheinlichkeit auf diesen Scraping-Vorfall zurückzuführen ist. Dabei verkennt die Einzelrichterin nicht, dass im April 2021 der Datensatz womöglich (erneut) eine erhöhte Aufmerksamkeit durch die Medienberichte erlangt haben wird. Unbekannt ist auch die Arbeitsweise von Versendern der Spam-SMS oder -Anrufe und, ob diese zwingend auf solche Datensätze zurückgreifen oder Telefonnummern auf eine andere Art generieren. Aufgrund der Häufigkeit von Datenleaks und Hacking erscheint es nicht ausgeschlossen, dass die Daten des Klägers bereits aufgrund anderer Vorfälle im Internet zirkulierten und die konkreten Verursacher der Spam-Anrufe auf diese Datenpakete zurückgriffen. Wie unter II.1.c)bb.(1.) ausgeführt, erscheint es wenig lebensnah, dass die Telefonnummer des Klägers nicht im Internet verwandt worden ist. Hinsichtlich der bestehenden Zweifel aufgrund des Aussageverhaltens ist auf die vorstehenden Ausführungen zu verweisen, sodass sich allein aus der Schilderung des Klägers, dass er ausschließlich zwischen April 2021 und September 2021 von Spam-Anrufen und Nachrichten betroffen gewesen sein soll, keine ausreichende Überzeugung ergibt. 2. Der Kläger hat keinen Anspruch auf Feststellung einer Ersatzpflicht künftiger materieller oder immaterieller Schäden. Mangels Vorliegen eines kausal auf den Verstößen gegen die DS-GVO beruhenden Schadens ist der Eintritt künftiger kausaler Schäden nicht hinreichend wahrscheinlich. 3. Der Kläger hat keinen Anspruch gegen die Beklagte auf Erteilung der Auskunft gem. Art. 15 Abs. 1 DS-GVO. Nach Art. 15 Abs. 1 lit. a) und c) hat die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und über die a.) Verarbeitungszwecke und über c.) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen. Erfüllt ist der Auskunftsanspruch, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen (vgl. BGH, Urteil vom 03.09.2020 – III ZR 136/18, juris, Rn. 43). Hinsichtlich der im Schreiben vom 09.12.2021 (Anlage B16) angegebenen Datenpunkte ist der Anspruch durch Erfüllung erloschen (vgl. § 362 Abs. 1 BGB). In diesem teilte die Beklagte nämlich mit, welche Datenpunkte abgegriffen worden seien. Dadurch sollte auch erkennbar die gewünschte Auskunft erteilt werden. Insoweit der Kläger einwendet, dass die Auskunft im Hinblick auf den Empfänger der Daten nach Art. 15 Abs. 1 lit.c DS-GVO nicht erfüllt wurde, so ist der Beklagte die Beantwortung dieser Auskunft unmöglich i.S.d. § 275 Abs. 1 BGB. Dies liegt in der Natur des Scraping als unbefugtes „Sammeln“ der Daten von außen begründet. Selbiges gilt für die konkretere Auskunftserteilung hinsichtlich des zeitlichen Abrufens der Datenpunkte. 4. Der Anspruch auf Ersatz der vorgerichtlichen Rechtsanwaltskosten in Höhe von 453,87 € besteht weder nach Art. 82 Abs. 1 DS-GVO noch nach §§ 280, 286 BGB. Die Ansprüche bestanden mit Ausnahme des geltend gemachten Auskunftsanspruchs nicht. Es ist nicht dargetan, dass sich die Beklagte mit der Erteilung der Auskunft nach Art. 15 DS-GVO im Verzug befand. III. Die prozessualen Nebenentscheidungen beruhen auf §§ 91, 708 Nr. 11, 711 ZPO. Der Streitwert wird auf 7.000,00 EUR festgesetzt. Rechtsbehelfsbelehrung: Gegen dieses Urteil ist das Rechtsmittel der Berufung für jeden zulässig, der durch dieses Urteil in seinen Rechten benachteiligt ist, 1. wenn der Wert des Beschwerdegegenstandes 600,00 EUR übersteigt oder 2. wenn die Berufung in dem Urteil durch das Landgericht zugelassen worden ist. Die Berufung muss innerhalb einer Notfrist von einem Monat nach Zustellung dieses Urteils schriftlich bei dem Oberlandesgericht Düsseldorf, Cecilienallee 3, 40474 Düsseldorf, eingegangen sein. Die Berufungsschrift muss die Bezeichnung des Urteils (Datum des Urteils, Geschäftsnummer und Parteien) gegen das die Berufung gerichtet wird, sowie die Erklärung, dass gegen dieses Urteil Berufung eingelegt werde, enthalten. Die Berufung ist, sofern nicht bereits in der Berufungsschrift erfolgt, binnen zwei Monaten nach Zustellung dieses Urteils schriftlich gegenüber dem Oberlandesgericht Düsseldorf zu begründen. Die Parteien müssen sich vor dem Oberlandesgericht Düsseldorf durch einen Rechtsanwalt vertreten lassen, insbesondere müssen die Berufungs- und die Berufungsbegründungsschrift von einem solchen unterzeichnet sein. Mit der Berufungsschrift soll eine Ausfertigung oder beglaubigte Abschrift des angefochtenen Urteils vorgelegt werden. L