3 O 163/23 – Sonstiges

Die Klage wird abgewiesen. Die Klägerin trägt die Kosten des Verfahrens. Das Urteil ist vorläufig vollstreckbar. Die Klägerin kann die Vollstreckung durch die Beklagte durch Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in gleicher Höhe leistet. Tatbestand Die Klägerin macht gegen die Beklagte Schadensersatzansprüche sowie Ansprüche auf Feststellung der Ersatzpflicht für bzw. Unterlassung künftige(r) Schäden und Auskunft geltend unter Verweis auf Verstöße gegen die DSGVO. Die Klägerin nutzt die von der Beklagten betriebene Social Media Plattform N..com zum Kommunizieren mit Freunden, Teilen privater Fotos und Diskussionen mit anderen. Im Rahmen der Website und der Inanspruchnahme von N. können die Nutzer Profile erstellen und diese mit Freunden teilen. Sie – die Nutzer – können hierbei verschiedene Daten zu ihrer Person eingeben und entscheiden, welche anderen Gruppen von Nutzern Zugriff auf ihre Daten haben. Hierbei trägt der potentielle Nutzer Vor- und Zunahme, Handynummer oder E-Mail-Adresse, Geschlecht und Geburtsdatum in die Registrierungsmaske ein. Stets öffentlich einsehbar sind der Name des Nutzers, das Geschlecht sowie die Nutzer-ID, das Profil- und Titelbild sowie die Netzwerke. Im unteren Teil der Anmeldemaske befinden sich Verlinkungen zu Nutzungsbedingungen, Datenschutz sowie Cookie-Richtlinien. Darunter befindet sich der Button „Registrieren“, wobei der Nutzer mit Anwählen dieses auf die Datenrichtlinie und die Cookie-Richtlinie hingewiesen wird. Nach der Registrierung gelangt der Nutzer auf die Startseite, im Rahmen derer er u.a. Einstellungen zu seiner Privatsphäre und Kontosicherheit vornehmen kann. Teilweise handelt es sich dabei um Voreinstellungen seitens der Beklagten. Standardmäßig öffentlich eingestellt ist, dass andere Nutzer sehen können, welche Seiten der „neue“ Nutzer abonniert hat und mit wem er befreundet ist. Ebenso können alle Nutzer mittels E-Mail-Adresse oder Telefonnummer den „neuen“ Nutzer finden. Jede dieser Voreinstellungen kann der „neue“ Nutzer bearbeiten und zwar einmal im Rahmen der Zielgruppenauswahl und daneben unter dem Punkt „Suchbarkeits-Einstellungen“ (zum Zwecke einer Freundschaftsanfrage). Hierbei kann der Nutzer bestimmen, dass die Angaben auf seinem Profil beispielsweise nur von „Freunde“ oder von „Freunden von Freunden“ eingesehen werden können. Unter dem Punkt „Informationen zu Verwendung der Telefonnummer“ – überschrieben mit „ Möglicherweise verwenden wir deine Mobilnummer für diese Zwecke “ heißt es u.a.: Wir verkaufen jedoch keinesfalls personenbezogene Informationen an Dritte, auch nicht deine Mobilnummer. Beachte: Du kannst festlegen, wer deine Telefonnummer sehen kann und wer auf N. nach dir suchen kann. In unserer Datenrichtlinie erfährst du mehr darüber, wie N. deine Telefonnummer verwendet. Für andere Nutzer ist es bei entsprechender Einstellung auf dem eigenen Profil möglich, dieses anhand der Telefonnummer bei der Beklagten zu finden. Für den Fall, dass ein Nutzer nicht anhand der Telefonnummer gefunden werden möchte, kann er dies mittels Einstellung ändern und angeben, dass er eben nicht über diese „gefunden“ werden möchte. Die Voreinstellung im Rahmen der „Suchbarkeits-Einstellung“ lautet auf „alle“, wohingegen im Bereich der Zielgruppenauswahl die Voreinstellung hinsichtlich der Telefonnummer auf „Freunde“ eingestellt ist. Eine Änderung der Suchbarkeit im Bereich der „Suchbarkeits-Einstellung“ ist sowohl auf „Freunde“ als auch auf „Freunde von Freunden“ und ab Mai 2019 auf „nur ich“ möglich gewesen. In dem Hilfebereich auf der Website der Beklagten ist u.a. die Bedeutung „öffentlicher“ Informationen erläutert und darüber hinaus aufgeführt, wie der Nutzer welche Einstellungen vornehmen kann. Seit dem 09.02.2015 war auf dem Profil der Klägerin hinsichtlich der Suchbarkeit über die Telefonnummer die Einstellung „everyone“ aktiviert (B17). Daneben bietet die Beklagte über eine Messenger-App eine weitere Kommunikation zwischen den Nutzern an, wobei die Anmeldung über das bestehende N.-Konto erfolgt. Nach dem Anmelden bei dem Messenger-Dienst erhält der Nutzer eine Anfrage hinsichtlich der Synchronisation seiner eigenen Kontakte mit den bestehenden Nutzern bei der Beklagten und unter dem Punkt „mehr dazu“ folgenden Hinweise: „Weshalb Kontakte hochladen? N. und Messenger machen mit Freunden und Familie einfach mehr Spaß. Wenn du das Hochladen von Kontakten aktivierst, werden die Daten deiner Telefonkontakte fortlaufend synchronisiert. Dadurch kannst du Personen, die du bereits kennst, einfacher finden und sie dich ebenso.“ Anfang April 2021 berichteten Medien öffentlich über den Scraping Sachverhalt, wonach die Daten von ca. 553 Millionen N.-Nutzern aus 106 Ländern im Internet öffentlich verbreitet worden seien; insbesondere Telefonnummer, N.-ID, Name, Vorname, Geschlecht, Land sowie Stadt. Dem Vorausgegangen war ein Datenscraping im Zeitraum Januar 2018 bis September 2019, im Rahmen dessen mithilfe eines automatisierten Verfahrens unter Nutzung einer an sich ordnungsgemäßen Funktion (hier: das Kontakttool der Beklagten) in großem Umfang Daten zu unterschiedlichen Zwecken gesammelt werden. Dies ist laut den Nutzungsbedingungen der Beklagten verboten. Am 28.11.2022 verhängte die irische Datenschutzbehörde gegen die Beklagte ein Bußgeld in Höhe von 265 Mio. € unter Verweis darauf, dass die Beklagte nicht ausreichend verhindert habe, dass etwa 553 Mio. Datensätze mit persönlichen Informationen von N.-Nutzern und –Nutzerinnen abgegriffen und veröffentlicht wurden. Mit Schreiben vom 16.05.2023 forderte die Klägerin die Beklagte zur Auskunft aus (K1). Die Beklagte teilte der Klägerin mit Schreiben vom 02.06.2023 u.a. mit, mithilfe welcher Links auf der Internetseite der Beklagten sie Einstellungen hinsichtlich seiner Daten vornehmen könne (B16). Die Klägerin behauptet , dass die veröffentlichten Daten aus dem Datenbestand von N. mittels des N.-Tools Kontakt-Importer „gescrapt“ – mithin aus zum Teil öffentlich zugänglichen Daten bei N. (Telefonnummer, N.-ID, Vorname, Nachname, Geschlecht) ausgelesen und persistiert worden seien - wegen einer Sicherheitslücke – und hiervon auch personenbezogene Daten der Klägerin betroffen seien. Die veröffentlichten und katalogisierten Datensätze beinhalten die Telefonnummer, N.-ID, Name, Vorname, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus und weitere korrelierende Daten. Nur mithilfe eines virtuellen Adressbuches sei es den unbekannten Dritten unter Nutzung der Telefonnummer (s.u.) gelungen, diese einem N.-Profil zuzuordnen. Zudem seien die Daten betroffen, die als „öffentlich einsehbar“ gekennzeichnet seien. Die Beklagte habe keinerlei Sicherheitsmaßnahmen entwickelt, um eine derartige missbräuchliche Nutzung des Kontakt Import Tools auszuschließen. Demnach habe die Beklagte die Daten der Klägerin nach dem damaligen Stand der Technik nicht ausreichend geschützt. Zudem sei die Einstellung der Telefonnummer bei der Beklagten undurchsichtig und kompliziert, sodass kein Nutzer sichere Einstellungen erreichen könne. Jeder Nutzer werde an dem ersten Eintrag auf der Registrierungsmaske mit einer Informationsflut hinsichtlich Nutzungsbedingungen, Verwendung von Cookies und Datenschutzrichtlinien konfrontiert, die er über eine kleine Verlinkung im unteren Teil der Anmeldemaske erreichen könne. Unter Beachtung der DSGVO seien jedoch besonders datenschützende (privacy by default) Voreinstellungen geboten. Allein hierdurch könne der Nutzer bewusst entscheiden, welche Daten er für wen freigeben wolle. Es sei unklar, was unter dem Tool „finden“ zu verstehen sei – insbesondere mit Blick auf die Datenverarbeitung. Die Beklagte erwähne mit keinem Wort, dass die Telefonnummer zur Identifizierung des Nutzers und seines Profils verwandt werden könne. Die ausschließlich zu Sicherheitszwecken eingegebene Telefonnummer sei von der Beklagten ohne Einsatz von Sicherungsmaßnahmen unbefugten Dritten zugänglich gemacht. Die Einstellungsmöglichkeit hinsichtlich der Suchfunktion über die Telefonnummer sei nicht im Zusammenhang mit solchen für die Telefonnummer direkt aufgeführt gewesen, sondern versteckt. Hierdurch habe die Beklagte der Klägerin ein Gefühl von Sicherheit vermittelt. Bei Nutzung der Messenger-App werde der Nutzer zur Synchronisierung mit seinen N.-Kontakten gedrängt, ohne dass es Hinweise auf die Verwendung der Telefonnummer gebe. Etwaige Sicherheitseinstellungen müssen in der App separat und unabhängig von denen bei dem bei der Beklagten bestehenden N.-Profil vorgenommen werden. Die Beklagte habe hierbei nichts unternommen, um etwa auszuschließen, dass es sich um eine maschinelle und automatisierte Anfrage handele und gerade nicht die eines Menschen oder dass die Anfrage ungewöhnlich häufig von ein- und derselben IP-Adresse erfolgt seien. Angesichts des bekannten Verfahrens (scraping) habe die Beklagte entsprechende Vorkehrungen treffen müssen. Seit dem Vorfall habe sie einen erheblichen Kontrollverlust erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer Daten verblieben. Insbesondere sei sie bezüglich E-Mails und Anrufen von unbekannten Nummern gegenüber verstärkt misstrauisch. Außerdem erhalte die Klägerin unregelmäßig unbekannte Kontaktversuche via SMS oder E-Mail – etwa seit Dezember 2019. Indes habe sie ihre Privatsphäre-Einstellungen regelmäßig überprüft – mit ihrer Telefonnummer könne ihr Profil bei N. nicht gefunden werden. Sie ist der Auffassung , die Beklagte habe ohne Rechtsgrundlage (Artt. 6, 7 DSGVO) und ausreichende Informationen i.S.v. Artt. 13, 14 DSGVO die Klägerin betreffende Daten verarbeitet (Art. 4 Nr. 2 DSGVO); diese Daten unbefugten Dritten zugänglich gemacht und hierbei ihr Pflichten sowie Betroffenenrechte der Klägerin verletzt (Artt. 5, 15, 17, 18, 25, 32, 34 DSGVO). Wegen der unzureichenden insbesondere unübersichtlichen Informationen hinsichtlich der Verwendung und Verarbeitung der Daten liege keine wirksame Einwilligung der Klägerin vor. Schließlich sei die erteilte Auskunft unzureichend. Die Klägerin beantragt, 1. die Beklagte zu verurteilen, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Handynummer der Klägerseite sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 3.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit zu zahlen 2. die Beklagte zu verurteilen, an die Klägerseite für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 2.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit zu zahlen 3. festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden 4. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu € 250.000,00, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, a. personenbezogene Daten der Klägerseite, namentlich Telefonnummer, N.-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, b. die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert wird, 5. die Beklagte zu verurteilen, der Klägerseite Auskunft über personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch eine „Web-Scraping“-Anwendung des Kontaktimporttools erlangt werden konnten und zudem – soweit sie erklärt, Auskünfte nicht abgeben zu können – mögliche Negativ-Auskünfte an Eides statt zu versichern, 6. die Beklagte zu verurteilen, die Klägerseite von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von € 1.134,55 nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit freizuhalten. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte ist der Ansicht, die Klage sei unzulässig. Hinsichtlich des Zahlungsantrags zu 1) lägen zwei unterschiedliche Streitgegenstände vor, weshalb es an der erforderlichen Bestimmtheit fehle gem. § 253 Abs. 2 Nr. 2 ZPO und auch Folgen für die Erstreckung der Rechtskraft habe. Gleiches gelte für den Antrag zu 3). Im Hinblick auf den Antrag zu 2) sei nicht ersichtlich – vielmehr widersprüchlich, ob bereits entstandene Schäden oder zukünftig entstehende ersetzt werden sollen. Hinsichtlich des erforderlichen Feststellungsinteresses fehle es schon nach klägerischem Vortrag an einer hinreichenden Wahrscheinlichkeit für einen künftigen Schadenseintritt. Darüber hinaus behauptet sie , dass die in Rede stehenden Daten der Klägerin entweder nicht im Rahmen des Scraping abgerufen worden, entsprechend der persönlichen Einstellungen der Klägerin öffentlich einsehbar gewesen oder zu den nach den Nutzungsbedingungen der Beklagten stets öffentlich seien. Schließlich seien die Scraper auf welche Weise auch immer in den Besitz der Telefonnummer gelangt (mglw. Telefonnummernaufzählung). Im Rahmen des Scraping seien nur solche Daten erlangt worden, die ohnehin öffentlich einsehbar gewesen seien. Bei entsprechender „nicht öffentlicher“ Einstellung hinsichtlich der Daten auf dem klägerischen Profil wäre ein Scraping nicht möglich gewesen. Daten zum „Bundesland“, „Geburtsort“ seien keine, die den Profilfeldern auf der N.-Plattform entsprächen. Darüber hinaus sei die E-Mail-Adresse der Klägerin nicht auf ihrem Profil hinterlegt, weshalb etwaige Belästigungen durch unerwünschte Mails nicht auf den Scraping-Vorfall zurückzuführen seien. Hinsichtlich der Datensicherheit nutze sie Übertragungsbeschränkungen, wodurch die Anzahl von Anfragen von bestimmten Daten reduziert würden, welche pro Nutzer oder von einer bestimmten IP-Adresse herrühren. Vor diesem Hintergrund scheide auch der behauptete Kontrollverlust als ersatzfähiger immaterieller Schaden aus. Die vorgeworfenen Verstöße gegen die DSGVO fielen nicht vom Schutzbereich des § 82 DSGVO, da die behaupteten Pflichtverstöße nicht im Zusammenhang mit der „Verarbeitung“ der Daten erfolgt seien. Im Hinblick auf den behaupteten Verstoß gegen Art. 25 DSGVO sei der von der Beklagten mit dem Betrieb der Plattform N. verfolgte Zwecke maßgeblich und deshalb die Voreinstellung „alle“ im Rahmen der „Suchbarkeit“ nicht zu beanstanden. Da die Informationen der Klägerin ohnehin öffentlich einsehbar gewesen seien, habe durch den Scraping-Vorfall auch keine Beeinträchtigung der Informationssicherheit vorgelegen. Es habe hierzu keiner Umgehung besonderer Sicherheitsmaßnahmen bedurft. Folglich sei die Beklagte auch nicht zur Benachrichtigung der Klägerin verpflichtet gewesen. Wegen des weiteren Sach- und Streitstandes wird insbesondere auf das Protokoll der mündlichen Verhandlung vom 19.03.2024 verwiesen. Entscheidungsgründe: Die Klage ist zum Teil unzulässig und darüber hinaus Teil unbegründet. I. Das Landgericht ist international, sachlich und örtlich zuständig. Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1, 2. Alt. EuGVVO. Gemäß Art. 1 Abs. 1 EuGVVO ist die EuGVVO sachlich anwendbar auf Zivil- und Handelssachen. Vorliegend handelt es sich um eine Zivilsache. Die deutsche Gerichtsbarkeit folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1, 2. Alt EuGVVO. Gemäß Art. 18 Abs. 1 2. Alt EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Die Klägerin ist gemäß Art. 17 Abs. 1 EuGVVO Verbraucherin. Sie gibt an, einen Nutzungsvertrag mit der Beklagten geschlossen zu haben über die Nutzung der Social-Media-Plattform N. mittels eines Benutzerkontos zu privaten Zwecken. Die Klägerin hat ihren Wohnort in A./Deutschland. Die internationale Zuständigkeit deutscher Gerichte ergibt sich ferner aus Art. 79 Abs. 2 DSGVO. Danach können Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeitenden bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeitenden um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Gemäß Art. 4 Nr. 7, 8 DSGVO sind Verantwortliche natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Auftragsverarbeitende sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Unstreitig ist die Beklagte Verantwortliche i.S. der oben genannten Vorschriften. Das Landgericht Essen ist gemäß rügeloser Einlassung der Beklagten sachlich zuständig. Die örtliche Zuständigkeit des Landgerichts Essen ergibt sich aus Art. 18 Abs. 1, 2. Alt. EuGVVO. Danach kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Das Landgericht Essen ist unabhängig davon nach Art. 79 Abs. 2 S. 2 DSGVO, § 44 Abs. 1 S. 2 BDSG örtlich zuständig (besonderer Gerichtsstand). Die Klägerin hat ihren Wohnsitz in A. und damit im Bezirk des angerufenen Gerichts. Der Zulässigkeit der Klage steht nicht die Unbestimmtheit des Klageantrags zu 1) (§ 253 Abs. 2 ZPO) entgegen. Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Ein Verstoß gegen den in § 253 Abs. 2 Nr. 2 ZPO normierten Bestimmtheitsgrundsatz liegt dann nicht vor, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 ZPO oder vom billigen Ermessen des Gerichts abhängig ist. Die nötige Bestimmtheit soll hier dadurch erreicht werden, dass der Klägerin in der Klagebegründung die Berechnungs-bzw. Schätzgrundlagen umfassend darzulegen und die Größenordnung seiner Vorstellungen anzugeben hat (vgl. Greger in: Zöller, 33. Aufl. 2020, § 253 ZPO Rn. 14). Diese Voraussetzungen liegen hier vor. Die Klägerin hat sowohl in der Klagebegründung als auch bereits in dem Klageantrag zu 1) einen Mindestbetrag angegeben. Soweit die Beklagte meint, der Antrag zu 1) sei deshalb unbestimmt, weil er auf zwei Lebenssachverhalten fuße und damit zwei Streitgegenstände betreffe, deren Verhältnis zueinander nicht hinreichend bestimmt sei, so ist dem entgegenzuhalten, dass tatsächlich nur ein Lebenssachverhalt zu beurteilen ist, nämlich derjenige, ob die Beklagte vor dem Scraping durch Dritte im Zeitraum von Januar 2018 bis September 2019 hinreichende Datenschutzvorkehrungen getroffen hatte und danach etwaige Lücken geschlossen hat bzw. ihre Nutzer unzureichend bzw. intransparent informiert hat. Die Klageanträge zu Ziff. 3, 4a und 4b sind unzulässig. Hinsichtlich des Feststellungsantrags (Antrag zu Ziff.3 zum Ersatz künftiger Schäden) fehlt es am Feststellungsinteresse (§ 256 ZPO). Erforderlich hierfür ist das Vorliegen der Möglichkeit zukünftiger (materieller oder immaterieller) Schäden (BGH NJW 2021, 3130; OLG Hamm, Urt. vom 15.08.2023, 7 U 19/23). Demensprechend ist das Feststellungsinteresse zu verneinen, wenn bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines solchen Schadens wenigstens zu rechnen (OLG Hamm a.a.O., juris Rn 208 ff mit zahlreichen weiteren Nachweisen). Ein solcher Schaden ist vor dem Hintergrund, dass der Klägerin offenbar bisher kein konkreter materieller oder immaterieller Schaden entstanden ist und dementsprechend hierzu auch jegliche konkreten Darlegungen fehlen, rein theoretischer Natur, zumal das monierte scraping-Ereignis selbst bereits mehrere Jahre zurückliegt. Da mit einem Schadenseintritt also nicht zu rechnen ist, fehlt es am Festellungsinteresse (vgl. OLG Hamm a.a.O.). Auch die Klageanträge zu 4a und 4b sind unzulässig. Eine verständige Auslegung des Antrages zu 4a ergibt, dass die Klägerin mit ihrem Klageantrag entgegen der Formulierung in erster Linie eine Freischaltung von Kontaktimportfunktionen in Einklang mit Sicherheitsstandards (vgl OLG Hamm, juris, Rn 222) und nicht eine Unterlassung begehrt. Soweit man hierin einen Antrag auf Verurteilung zu einer zukünftigen Leistung iS von § 259 ZPO sieht, ist auch dieser unzulässig, denn die Voraussetzungen des § 259 ZPO liegen nicht vor. Die Klage auf künftige Leistung setzt nämlich die Besorgnis voraus, dass eine Nichterfüllung dieses zukünftigen aktiven Tuns nicht rechtzeitig erfolgen wird. Die streitgegenständliche Funktion des monierten CIT ist nach dem scraping Vorfall unstreitig nicht mehr existent. Anhaltspunkte dafür, die notwendigen Sicherheitsmaßnahme würden in Zukunft nicht eingehalten werden, sind weder dargelegt noch ersichtlich. Weitere derartige Vorfälle hat es offenbar nicht mehr gegeben (vgl OLG Hamm a.a.O., juris Rn 225ff) . Schließlich ist der Antrag auch unbestimmt, denn das Klagebegehren muss im Rahmen des dem Klägerin Möglichen hinlänglich eindeutig formuliert und vollstreckbar sein (s. OLG Hamm, juris Rn 230). Vorliegend enthält die verdeckte Leistungsklage keinerlei Konkretisierung des verlangten Handelns. Für den Antrag zu Ziffer 4b fehlt der Klägerin das Rechtsschutzbedürfnis. Die Klägerin hat nämlich spätestens mit dem vorgerichtlichen Schreiben der Beklagten vom 02.06.2023 (B16) die Bedeutung und die Konsequenzen der vorgenommenen Einstellungen gekannt. Wenn sie dies gleichwohl nicht zum Anlass genommen hat, diese Einstellungen in der Folgezeit zu ändern, ist in diesem Verhalten eine Einwilligung zu sehen, was das Unterlassungsbegehren trotz erteiltet Einwilligung unzulässig macht. Soweit man auch diesen Antrag als verdeckten Antrag auf zukünftige Leistung sehen wollte, gilt das bereits zum Antrag zu 3a Ausgeführte (im Übrigen wird auch diesbezüglich auf die zitierte Rechtsprechung des OLG Hamm verwiesen, der das Gericht insgesamt folgt). II. Die weitere Klage ist nicht begründet. Die Klägerin hat gegen die Beklagte unter keinem rechtlichen Gesichtspunkt Ansprüche auf immateriellen Schadensersatz oder Auskunft . 1. Die Klägerin hat gegen die Beklagte keinen Anspruch auf immateriellen Schadenersatz in der geltend gemachten Höhe von mindestens 3.000,00 € . Ein Anspruch gegen die Beklagte ergibt sich weder aus nationalen Vorschriften noch aus Art. 82 DSGVO. Es fehlt jedenfalls an der Kausalität zwischen den behaupteten Pflichtverletzungen der Beklagten und dem hier geltend gemachten immateriellen Schadensersatz nach Art. 82 DSGVO. Zudem ist auch ein konkreter Schaden der Klägerin nicht ausreichend dargelegt. Die Kammer folgt in der rechtlichen Bewertung des Sachverhalts zunächst insgesamt der Auffassung des OLG Hamm gem. Urteil vom 15.08.2023, 7 U 19/23.Demnach ist die Beklagte im zeitlichen Anwendungsbereich der DSGVO (Geltung seit dem 25.05.2018 gem. Art 99 Abs.2 DSGVO) als Betreiberin der N.-Plattform, was in den sachlichen und hier auch räumlichen Anwendungsbereich der DSGVO fällt, als Datenverantwortliche im Sinne der Vorschriften anzusehen. In dieser Funktion hat sie Daten der Klagepartei den Vorschriften von Art 5 DSGVO zuwider in nicht gerechtfertigter Weise im Sinne von Art 6 DSGVO verarbeitet. Das gilt entsprechend der vorgenannten Rechtsprechung, auf deren Begründung im Einzelnen verwiesen wird ( Abdruck in juris , Rn 94 ff) für die Datenverarbeitung hinsichtlich der Suchbarkeit der Nutzerprofile über die Mobilfunknummer über die Such – und Kontaktimportfunktion und vor allem die diesbezügliche Voreinstellung der Suchbarkeit für „alle“. Des Weiteren liegt ein Verstoß gegen das Gebot des Art. 25 DSGVO vor, wonach der Grundsatz der datenschutzfreundlichen Grundeinstellungen nicht eingehalten wurde (OLG Hamm a.a.O., in juris, Rn 127 f). Zudem entsprach die Datenverarbeitung auch nicht den Grundsätzen der Sicherheit der Verarbeitung i.S.v. Art 32 DSGVO (OLG Hamm, juris, Rn 129 ff). Demnach erreichten die getroffenen Maßnahmen zur Sicherung der Informationssysteme in technischer und qualitativer Hinsicht ein nicht ausreichend akzeptables Niveau. Dagegen fallen etwaige Verstöße der Beklagten gegen die Vorschrift des Art 13 DSGVO (Informationspflicht) bereits nicht in den zeitlichen Anwendungsbereich der Norm, denn es ist auf den Zeitpunkt der Datenerhebung abzustellen; diese lag hier zeitlich vor der Geltung der DSGVO (Vgl OLG Hamm a.a.O, juris, Rn 71). Gleiche Überlegungen gelten für etwaige Verstöße gegen Art 35 DSGVO (vgl OLG Hamm, juris Rn 75 f). Hinsichtlich des geltend gemachten Schadensersatzanspruchs fehlt es aber sowohl an einer Kausalität der Pflichtverletzungen für den Schadenseintritt als auch an der Darlegung eines konkreten Schadens an sich. Insbesondere aufgrund der durch die Beklagte erteilten Informationen zu Einstellungsmöglichkeiten im Zusammenhang mit der Telefonnummer, die die Klägerin nicht genutzt hat, fehlt es an dem erforderlichen Kausalzusammenhang zwischen dem nicht gerechtfertigten Verhalten der Beklagten und dem eingetretenen Schaden. Die Möglichkeit, die unstreitigen Voreinstellungen der Beklagten zu ändern, hat die Klägerin offensichtlich – bis heute – nicht genutzt. Eine andere Beurteilung ergibt sich auch nicht aus dem klägerischen Vorbringen im Rahmen der persönlichen Anhörung in der mündlichen Verhandlung. Zum einen hat sie die Richtigkeit des von der Beklagten zur Akte gereichten Screenshots nicht in Abrede gestellt. Zum anderen mangelt es – die Richtigkeit des klägerischen Vortrags unterstellt – an er Kausalität zwischen dem Scrapingvorfall und dem hier geltend gemachten Schaden. Wenn die Klägerin selbst vorträgt, dass ihr Profil bei Eingabe der Rufnummer nicht gefunden werde könne, so können die veröffentlichten Daten erst recht nicht im Rahmen des Scrapingvorfalls abgegriffen worden sein. Denn es ist gerichtsbekannt, dass ausschließlich unter Nutzung der Telefonnummer – wie auch immer diese generiert sein mag – die bei der Beklagten hinterlegten Daten abgegriffen worden sind. Abgesehen davon, hat die Klägerin keinen Beweis für ihre diesbezügliche Behauptung angeboten. Angesichts des Umstandes, dass die Klägerin sich selbst dazu entschlossen hat – anders hat sie nicht unter Beweis gestellt, sich öffentlich durch jedermann über ihre Telefonnummer suchen zu lassen, auch wenn diese nur ihr selbst angezeigt wird, kann nicht festgestellt werden, dass die dargelegten Verstöße der Beklagten den behaupteten Schaden kausal verursacht haben . Die Telefonnummer als solche ist eben grundsätzlich nicht einsehbar, sondern wird nur der Klägerin angezeigt. Dennoch ist es technisch möglich, bei Kenntnis der Telefonnummer oder künstlichem Generieren von Nummern – auch mit der zufälligen Generierung der Mobilfunknummer der Klägerin – sie so auf N. zu finden. Die Klägerin hat sich damit über die Suchbarkeitsfunktion durch „alle“ über die Mobilfunknummer selbst gegen eine entsprechende Vertraulichkeit ausgesprochen. Dass sie sich möglicherweise trotz der Hilfestellungen und Hinweise, die nach Inaugenscheinnahme durch die Kammer über die zur Akte gereichten Screenshots über den Unterschied zwischen der (Nicht-) Anzeige der Telefonnummer und der Suchbarkeit über ihre Mobilfunknummer nicht hinreichend informiert hat, geht indes nicht zu Lasten der Beklagten, die Informationsmöglichkeiten und Hilfestellungen zur Verfügung gestellt hat. Die genannten Einstellungen waren von der Klägerin zum Zeitpunkt des scrapings bereits gewählt, wie sich aus dem von der Beklagten zur Akte gereichten Screeshot ergibt. Auch wegen eines etwaigen Verstoßes der Beklagten gegen Art. 33 DSGVO, nämlich einer unterlassenen Anzeige der Beklagten an die Datenschutzbehörde, ist kein kausaler Schaden entstanden. Zu dem Zeitpunkt, als die Daten gescrapt wurden (2018/2019) und der Beklagten in der Folge durch die Veröffentlichung bekannt geworden sind, ist der von der Klägerin behauptete Schaden – Veröffentlichung der Daten verbunden mit einem unguten Gefühl/ Kontrollverlust – bereits entstanden gewesen. Die Meldung gegenüber der Aufsichtsbehörde ermöglicht es dieser, über Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung zu entscheiden (vgl. LG Essen, Urteil vom 23.9.2021, AZ.: 6 O 190/21, ZD 2022, 50, m.w.N.). Der Beklagten wurde der Datenschutzvorfall spätestens am 03.04.2021 bekannt, denn zu diesem Zeitpunkt schilderte sie ihr Vorgehen zu dem Scraping-Vorfall auf Ihrer Website. Dass eine Eindämmung der Rechtsgutsverletzung zu diesem Zeitpunkt noch möglich gewesen ist, ist unabhängig von den sonstigen Voraussetzungen nicht ansatzweise ersichtlich und auch von der Klägerin nicht vorgetragen. Schließlich ist der Klägerin selbst bei unterstellter Verletzung der für die Beklagte bestehenden Auskunftspflicht nach Art. 15 DSGVO kein kausaler Schaden i.S.v. Art. 82 DSGVO entstanden. Es ist schon nicht ersichtlich, wie eine nach (den vagen) Angaben der Klägerin zu erfolgende Auskunft der Beklagten den in Rede stehenden Schadenseintritt hätte verhindern sollen. Letztlich fehlt es vorliegend auch an einer ausreichenden Darlegung der Kausalität im Allgemeinen. Soweit die Klägerin behauptet, sie erhalte u.a. Anrufe und SMS-Nachrichten unbekannter Nummern bzw. trete diesen mit großem Misstrauen gegenüber – im Rahmen der Klageschrift auch bezüglich E-Mails, so handelt es sich insoweit ebenfalls um eine Erscheinung, die bereits mit der Nutzung des Internets als solcher zusammenhängt. Dem Gericht ist insoweit aus eigener Anschauung bekannt, dass auch Personen ohne N.-Account unerwünschte Anrufe unter der vermeintlichen Behauptung, es sei „Interpol“ oder SMS-Nachrichten erhalten. Selbst wenn bei der Klägerin tatsächlich derartige Anrufe seit dem Scraping Vorfall zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten die Klägerin an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu diesem – zu Gunsten der Klägerin als wahr unterstellten vermehrten unerwünschten Anruf-Aufkommens – geführt hat. Angesichts der fehlenden Kausalität zwischen den behaupteten Pflichtverstößen der Beklagten und dem hier geltend gemachten Schaden kommt es auf das Vorliegen der weiteren Anspruchsvoraussetzungen des Art. 82 DSGVO nicht mehr an. Darüber hinaus hat die Klägerin aber auch einen konkreten Schadenseintritt nicht ansatzweise dargelegt. Auch wenn ein bestimmter Grad der Erheblichkeit eines (Immateriellen) Schadens nicht vorausgesetzt wird, so stellen die aus einem Datenschutzverstoß resultierenden negativen Folgen nicht per se einen haftungsbegründenden Schaden dar. Die Darlegung eines Schadens setzt vielmehr voraus, dass dieser konkret und individuell dargestellt wird. Der reine – so von der Klägerin vorgetragene Kontrollverlust durch das stattgefundenen Scraping – betrifft das generelle Risiko der nicht gesetzeskonformen Datenverarbeitung . Realisiert sich dieses generelle Risiko, kommt es zwangsläufig zum Kontrollverlust, woraus aber noch kein tatsächlicher Schaden im Einzelfall resultiert. Dieser ist vielmehr die zwangsläufige und generelle Folge der unzureichenden beziehungsweise nicht gerechtfertigten Datenverarbeitung. Hiervon abzugrenzen sind die darüber hinaus gehenden immateriellen Schäden, etwa in Form einer persönlichen/psychologischen Beeinträchtigung und des Kontrollverlusts. Solche hat die Klägerin nicht schlüssig dargelegt, weder ausdrücklich, noch durch Darstellung von Indizien, durch welche auf das Vorliegen innerer Tatsachen geschlossen werden könnte. Der Vortrag hierzu erfolgt vielmehr in der Vielzahl der dem Gericht bekannten Verfahren nahezu wortgleich und allgemein gehalten. So hätte es nahegelegen, konkret die Missbrauchsversuche aufgrund der gescannten Daten und die Reaktionen der Klagepartei hierauf darzustellen. Zudem entspricht es auch nicht der allgemeinen Lebenserfahrung, dass das öffentliche Bekanntwerden der eigenen Mobilfunknummer regelmäßig oder erfahrungsgemäß zu persönlichen Beeinträchtigungen führt (vgl zur Schadensproblematik und die Anforderungen der Darstellung im Einzelnen: OLG Hamm, juris, Rn 150 ff). Hinzu kommt, dass die Klägerin nach ihrem eigenen Vorbringen den zur Akte gereichten Fragebogen nicht selbst ausgefüllt, sondern die Antworten von ihren Prozessbevollmächtigten vorgegeben bekommen und entsprechend angekreuzt hat. Nach Ansicht des Gerichts hat die Klägerin somit trotz der persönlichen Anhörung nicht ausreichend dargelegt, dass die Antworten aus dem Fragebogen mit ihrem tatsächlichen Erleben/ ihren tatsächlichen Reaktionen übereinstimmen. Dies insbesondere vor dem Hintergrund, dass die Klägerin eine Zunahme der Belästigungen durch Spam-/Fishing-Anrufe/SMS bereits Ende 2019 bemerkt haben will, sich aber erst mehr als drei Jahre später anwaltlichen Rat genommen hat. Aber selbst wenn der bloße Verlust der Kontrolle über die Daten zur Begründung eines ersatzfähigen Schadens nach einer Entscheidung des EuGH vom 14.12.2023 (Az. C-340/21) ausreichend sein sollte, hat die Klägerin aus Sicht des Gerichts gerade nicht dargelegt, dass dieser durch den hier streitgegenständlichen Scraping-Sachverhalt eingetreten ist. Wie bereits ausgeführt, hatte die Klägerin im Rahmen der Suchbarkeit ihres N.-Profils über die Telefonnummer seit dem 09.02.2015 die Einstellung „everyone“ gewählt und auch im Nachhinein nicht geändert. Der behauptete Verlust der Kontrolle über ihre Daten ist somit nach Auffassung des Gerichts bereits im Zeitpunkt der gewählten Einstellung entstanden und nicht etwa erst durch den Scraping-Sachverhalt. Ein Anspruch auf immateriellen Schadensersatz kommt auch nicht nach anderen nationalen Vorschriften in Betracht. Selbst wenn die DSGVO gegenüber nationalen Vorschriften keine Sperrwirkung entfalten sollte, fehlt es für andere Schadensersatzansprüche ebenfalls an der Kausalität zwischen der möglichen Pflichtverletzung/einem Verstoß der Beklagten und dem behaupteten Schaden (s.o.). 2. Des Weiteren hat die Klägerin gegen die Beklagte keinen weiteren Auskunftsanspruch gem. Art. 15 DSGVO. Soweit der Anspruch besteht, ist er erfüllt (§ 362 BGB). Die Beklagte hat im Rahmen der außergerichtlichen Korrespondenz die geforderten Auskünfte erteilt soweit es ihr überhaupt möglich war – insbesondere mitgeteilt, dass sie keine Kopie der Rohdaten vorhalte, zumal die Klägerin selbst im Rahmen der Klageschrift nicht ausführt, welche Daten er bei N. angegeben hat und dementsprechend abgegriffen worden sein sollen. Eine andere Beurteilung ergibt sich auch nicht aufgrund dessen, dass die Beklagte im Rahmen des außergerichtlichen Schreibens nicht beantwortet hat, welchen Empfängern die Daten der Klägerin durch Ausnutzung des Contakt-Import-Tools im Sinne des Art. 15 Abs. 1 c) DSGVO zugänglich gemacht wurden. Denn das Scraping ist unstreitig von außen erfolgt und es nicht erkennbar, wer diese Daten gescraped hat. Die begehrte Auskunftserteilung ist aufgrund des Vorganges des Scrapings unter Ausnutzung von Daten, die auf „öffentlich“ gestellt sind, unmöglich. Ebenso ist im Rechtssinne unmöglich (und es wird auch nicht näher dargelegt, wie die Beklagte dies mitteilen können soll), zu informieren, wann die Daten gescraped wurden. Die Beklagte hat der Klägerin im Ergebnis also alle Informationen mitgeteilt, die ihr im Zuge des Scraping-Vorfalls zur Verfügung standen. Weitere Angaben kann sie nicht machen. Sie ist folglich hierzu auch nicht verpflichtet.Zudem ist zu berücksichtigen, dass ein Auskunftsanspruch grds. dann erfüllt ist, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Umfang darstellen soll (vgl OLG Hamm, juris Rn 249 ff) . Das ist vorliegend der Fall, denn das vorgenannte Schreiben soll erkennbar das gestellte Auskunftsbegehren abdecken. Diesbezüglich hat die Klägerin auch keinen Anspruch auf Versicherung an Eides statt gem. §§ 259, 260 BGB (analog), soweit die Beklagte nach eigenem Vorbringen keine weiteren Auskünfte erteilt. Die Voraussetzungen für einen analoge Anwendung der Vorschriften §§ 259, 260 BGB liegen nach Ansicht des Gerichts nicht vor, da die DSGVO insofern abschließende Regelungen enthält (vgl. auch LG Bonn, Urt. v. 11.03.2022 – Az. 9 O 224/21). Aber selbst wenn eine analoge Anwendung trotz des Geltungsbereichs der DSGVO zulässig wäre, hat die Klägerin nicht ausreichend dargelegt, dass die Beklagte ihre Angaben hinsichtlich einer unmöglichen weiteren Auskunft nicht mit der erforderlichen Sorgfalt getätigt hat, was jedoch Voraussetzungen für eine Versicherung an Eides statt wäre (vgl. Palandt/Grüneberg BGB § 259 Rn. 13 m.w.N.). 3. Da die Beklagte die ihr obliegende Auskunft nach Auffassung des Gerichts in ausreichendem Maße erteilt hat und damit der Anspruch der Klägerin aus Art. 15 DSGVO erloschen ist (siehe 2.), kommt einen Schadensersatzanspruch schon aus diesem Grund nicht in Betracht. 4. Mangels Anspruchs in der Hauptsache besteht auch kein Anspruch auf Zahlung von Rechtshängigkeitszinsen gem. § 291 ZPO oder außergerichtlichen Rechtsanwaltskosten gemäß § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DSGVO. 5. Die Entscheidungen über die Kosten und die vorläufige Vollstreckbarkeit ergeben sich aus §§ 91 Abs. 1, 708 Nr. 11, 711 ZPO.