8 O 184/22

Leitsatz: 1. Als Verstöße gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DS-GVO kommen sowohl materielle wie formelle - weit zu fassende - Verstöße in Betracht.(Rn.70) 2. Ein Verstoß gegen die Informationspflicht bei Erhebung von personenbezogenen Daten ist bereits dann gegeben, wenn der Betreiber der Facebook-Plattform seine Nutzer bei der Anmeldung nicht ausreichend darüber in Kenntnis setzt, zu welchen Zwecken, die Telefonnummer verwendet werden soll. Dabei sind alle Zwecke anzugeben, welche die verantwortliche Stelle im Zeitpunkt der Erhebung verfolgt. Hierzu gehört auch die Aufklärung darüber, dass und wie seine Telefonnummer im Rahmen des Einsatzes des "Contact-Import-Tools" (CIT) verwendet wird. Dem wird der Betreiber nicht gerecht, wenn er nicht erläutert, dass die Telefonnummer ohne Veränderungen der Einstellungen angesichts der Standardvoreinstellung für die Suchbarkeit über die Telefonnummer auf "für alle" bereits mit deren Angabe genutzt werden kann, um den Nutzer auf Facebook und insbesondere auch über das CIT zu finden. Er hätte auch darüber aufklären müssen, dass die Verwendung des CIT der Messenger App es anderen Benutzern ermöglicht, mittels Abgleiches von in deren Smartphone gespeicherter Telefonkontakte mit der Mobilfunknummer des weiteren Nutzers im Falle eines "Treffers" dessen Benutzerprofil als "Freund" hinzufügen und auf die entsprechenden Daten zuzugreifen.(Rn.73) 3. Mangels hinreichender Information kann der Nutzer nicht umfassend in die Verarbeitung seiner Telefonnummer einwilligen, sodass diese konsequenterweise nicht rechtmäßig erfolgt.(Rn.84) 4. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, namentlich der Facebook-ID, des Namens und des Geschlechts der Nutzer.(Rn.87) 5. Bei der Abwägung sind folgende Aspekte zu berücksichtigen: Datenscraping stellte - auch in den Jahren 2018/19 - eine reale Gefahr dar. Die (damalige) Konzeption des CIT ermöglichte es Dritten, mittels einer eingegebenen Telefonnummer Zugang zum Facebook-Profil und damit zu den persönlichen Daten eines Nutzers zu erhalten. Es war damit möglich, durch Eingabe einer Telefonnummer, die ohne Bezug zu einer konkreten Person zunächst lediglich eine abstrakte Zifferfolge darstellte, eine dahinterstehende Person namentlich zu identifizieren und auf deren Nutzerprofil mit weiteren persönlichen Informationen Zugriff zu nehmen.(Rn.93) 6. Bei diesen persönlichen Informationen handelt es sich um sensible Daten, die insbesondere in ihrer Kombination mit der Telefonnummer geeignet sind, den Facebook-Nutzer, etwa durch einen Identitätsdiebstahl und Phishing-Attacken, in Schwierigkeiten mit ggfs. daraus folgenden materiellen oder immateriellen Schäden zu bringen.(Rn.96) 7. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, d.h. am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt angewendet hat.(Rn.116) 8. Auch wenn der Begriff des Schadens weit auszulegen ist, ist er nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Vielmehr muss ein Schaden vorliegen (Anschluss EuGH, Urteil vom 4. Mai 2023 - C-300/21). Allerdings können auch Bagatellschäden eine Ersatzpflicht hervorrufen. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl, in der Angst und Besorgnis liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn die Gefahr besteht, dass die Daten unbefugt weiterverwendet werden (Anschluss LArbG Stuttgart, Urteil vom 25. Februar 2021 - 17 Sa 37/20).(Rn.120) 9. Bei der Bemessung des immateriellen Schadens fließt anspruchserhöhend ein, dass mehrere schadensursächliche Verstöße gegen die DS-GVO in Betracht kommen, wobei die den Zweck von Facebook fördernde Art der Datenerhebung die Regeln der DS-GVO nicht nur im Einzelfall, sondern systematisch und über einen längeren Zeitraum missachtet hat. Ebenso zu berücksichtigen ist es, wenn der Betroffene aufgrund der Spamanrufe seine Handynummer gewechselt hat, weil ein Telefonnummernwechsel angesichts der Bedeutung des Mobiltelefons für die Lebensführung eine erhebliche Beeinträchtigung und sehr „lästig“ ist.(Rn.131) 1. Die Beklagte wird verurteilt, an die Klagepartei immateriellen Schadensersatz in Höhe von 500 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 28.9.2022 zu zahlen. 2. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, wie geschehen anlässlich des sogenannten Facebook-Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand. 3. Die Beklagte wird verurteilt, an den Kläger vorgerichtliche Rechtsanwaltskosten in Höhe von 540,50 € zuzüglich Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 28.9.2022 zu zahlen. 4. Im Übrigen wird die Klage abgewiesen. 6. Von den Kosten des Rechtsstreits tragen die Klagepartei 40 Prozent und die Beklagte 60 Prozent. 7. Das Urteil ist vorläufig vollstreckbar, für die Klagepartei hinsichtlich des Tenors Ziffer 2 aber nur gegen Sicherheitsleistung in Höhe von 4000 €. Im Übrigen wird der Beklagten nachgelassen, die Vollstreckung durch die Klagepartei gegen Sicherheitsleistung in Höhe von 110 % des auf Grund des Urteils vollstreckbaren Betrages abzuwenden, wenn nicht die Klagepartei vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet. Der Klagepartei wird nachgelassen, die Vollstreckung durch die Beklagte gegen Sicherheitsleistung in Höhe von 110 % des auf Grund des Urteils vollstreckbaren Betrages abzuwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet. Beschluss Der Streitwert wird auf 7500 € festgesetzt. Klageantrag Ziffer 1 (2000 €). Klageantrag Ziffer 2 (1000). Klageantrag Ziffer 3 (Auskunft) bewertet das Gericht mit 500 €, weil eine größere wirtschaftliche Bedeutung für die Klagepartei nicht erkennbar ist (vgl. OLG Karlsruhe, aaO, Rn. 17). Klageantrag Ziffer 4 (Unterlassung) beziffert das Gericht mit insgesamt 4.000 € für alle Unterlassungsanträge, weil die Klagepartei ein darüberhinausgehendes wirtschaftliches Interesse an der Unterlassung des beanstandenden Verhaltens nicht dargelegt hat (vgl. OLG Karlsruhe, aaO, Rn. 16). Die Klage ist zulässig, hat aber nur teilweise Erfolg. A. Zulässigkeit Die Klage ist zulässig. I. Zuständigkeit Das Landgericht Freiburg ist für sämtliche Anträge international und örtlich und sachlich zuständig. 1. Die internationale und örtliche Zuständigkeit deutscher Gerichte folgt aus Art. 79 Abs. 2 S. 2 DS-GVO, der die Vorschriften der EuGVVO verdrängt (Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 8: Rechtsbehelfe, Haftung und Sanktionen Rn. 29, beck-online; Sydow/Marsch DS-GVO/BDSG/Kreße, 3. Aufl. 2022, DS GVO Art. 79 Rn. 33). Danach können Klagen gegen einen Verantwortlichen – von gewissen hier nicht relevanten Ausnahmen abgesehen – wahlweise auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat. Die Klagepartei hat ihren Wohnsitz in der Bundesrepublik Deutschland und im Bezirk des Landgerichts Freiburg. 2. Das Landgericht Freiburg ist gemäß §§ 23, 71 GVG auch sachlich zuständig, weil der Zuständigkeitsstreitwert 5.000,00 € überschreitet. Die örtliche Zuständigkeit folgt aus § 44 Abs. 1 S. 2 BDSG. Demnach können Klagen gegen einen Verantwortlichen an dem Ort erhoben werden, an dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat. Die Klagepartei hat ihren gewöhnlichen Aufenthaltsort durch ihren Wohnsitz im Bezirk des Landgerichts Freiburg, § 7 BGB. II. Klageantrag Ziffer 1 (Schadenersatz) Der Klageantrag Ziffer 1 ist hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. 1. Die Bemessung des immateriellen Schadenersatzes stellt der Kläger zulässig in das Ermessen des Gerichts. Der unbezifferte Klageantrag ist zulässig, wenn statt der Bezifferung mindestens die Größenordnung des Betrags, den der Kläger sich vorstellt, angegeben wird (h.M., vgl. MüKoZPO/Becker-Eberhard, 6. Aufl. 2020, ZPO § 253 Rn. 121). Dem ist die Klagepartei nachgekommen, indem sie in Klageantrag Ziffer 1 einen Mindestbetrag in Höhe von 2000 € genannt hat. 2. Entgegen der Auffassung der Beklagten liegt auch keine alternative Klagehäufung vor. Eine solche ist gegeben, wenn der Kläger mehrere Streitgegenstände mit der Maßgabe geltend macht, dass das Gericht wahlweise einem dieser Begehren stattgeben soll und das jeweils andere Begehren dann nicht mehr beschieden werden muss, wobei die Prüfungsreihenfolge nicht vom Kläger vorgegeben wird, sondern im Ermessen des Gerichts liegen soll. Eine Antragstellung in dieser Form ist unbestimmt und daher unzulässig. Die Reihenfolge, in der über die einzelnen Streitgegenstände zu entscheiden ist, muss der Kläger festlegen (BeckOK ZPO/Bacher, 47. Ed. 1.12.2022, ZPO § 260 Rn. 12; MüKoZPO/Becker-Eberhard, 6. Aufl. 2020, ZPO § 260 Rn. 22). a) Eine solche Konstellation liegt hier indessen nicht vor, denn der mit Klageantrag Ziffer 1 geltend gemachte Schadensersatzanspruch stellt einen einheitlichen Streitgegenstand dar. Der Streitgegenstand wird durch den Klageantrag, in dem sich die vom Kläger in Anspruch genommene Rechtsfolge konkretisiert, und den Lebenssachverhalt (Anspruchsgrund), aus dem der Kläger die begehrte Rechtsfolge herleitet, bestimmt (§ 253 Abs. 2 Nr. 2 ZPO). Zum Anspruchsgrund sind alle Tatsachen zu rechnen, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten Tatsachenkomplex gehören, den der Kläger zur Stützung seines Rechtsschutzbegehrens dem Gericht vorträgt (vgl. BGH, Urteil vom 22. Oktober 2013 – XI ZR 42/12 –, BGHZ 198, 294-305, Rn. 15; Urteil vom 25. Juni 2020 – I ZR 96/19 –, Rn. 24, juris). b) Vorliegend gründet Klageantrag Ziffer 1 auf einem einheitlichen Lebenssachverhalt, der dadurch gekennzeichnet ist, dass die Klagepartei zum Zeitpunkt des Scrapings auf der von der Beklagten betriebenen Facebook-Plattform angemeldet war, und die Fragen betrifft, ob die Beklagte zu diesem Zeitpunkt hinreichende Datenschutzvorkehrungen getroffen hatte, mit denen sie das Abgreifen der Daten hätte verhindern müssen, und wie sie im Nachhinein mit dem Vorfall umgegangen ist. Miteinander verknüpft sind sämtliche Einzelaspekte dieses Vorgangs durch die Daten, welche die Klagepartei bei der Registrierung hinterlegt hat. Eine Aufspaltung in mehrere Abschnitte stellte eine unnatürliche Trennung eines einheitlichen Sachverhaltes dar. III. Klageantrag Ziffer 4 (Unterlassung) Der Klageantrag ist zulässig, weil er sich auf die konkrete Verletzungsform beschränkt, was in der Bezugnahme auf den Vorfall aus dem Jahr 2019 zum Ausdruck kommt. Dem Antrag ist auch nicht mit der Begründung das Rechtsschutzinteresse zu versagen, dass die Klagepartei die Nummer in ihrem Facebookprofil löschen könnte. Denn solange die Beklagte die Möglichkeit zur Angabe der Telefonnummer eröffnet und diese dann verarbeitet, darf der Kunde dies auch wahrnehmen und hat dann einen Anspruch darauf, dass die Beklagte die Anforderungen der DS-GVO – die vorliegend gerade streitgegenständlich sind – bei der Verarbeitung dieser Daten einhält. B. Begründetheit Die Klage ist in der Sache nur teilweise erfolgreich. Die Klagepartei hat Anspruch gegen die Beklagte auf Ersatz immateriellen Schadens in Höhe von 500 € nebst Zinsen, einen Anspruch auf Unterlassung, sowie auf Zahlung außergerichtlicher Rechtsanwaltskosten nebst Zinsen. Hinsichtlich weitergehender Ansprüche ist die Klage abzuweisen. I. Klageantrag Ziffer 1 (immaterieller Schaden) Die Klagepartei hat gegen die Beklagte gemäß Art. 82 Abs. 1 DS-GVO Anspruch auf immateriellen Schadenersatz in Höhe von 500 € aufgrund der Verletzung von Vorschriften der DS-GVO. 1. Der zeitliche Anwendungsbereich der DS-GVO ist nach Art. 99 Abs. 2 DS-GVO eröffnet, weil sich nach dem unbestrittenen Vortrag der klagenden Partei der streitgegenständliche Vorfall im Jahre 2019 ereignete. Auch ist die DS-GVO räumlich (Art. 3 Abs. 1 DS-GVO) und sachlich anwendbar (Art. 2 Abs. 1 DS-GVO).Die Beklagte hat personenbezogene Daten (Name, Telefonnummer etc. im Sinne des Art. 4 Abs. 1 Nr. 1 DS-GVO gemäß Art. 4 Abs. 1 Nr. 2 DS-GVO verarbeitet, weil sie diese bezogen auf die Person der Klagepartei im Rahmen der von ihr betriebenen Plattform Facebook gespeichert und sie die Verbindung der klagenden Partei mit ihrer Telefonnummer auch Dritten gegenüber durch die Schaffung dieser Abfragemöglichkeit offengelegt hat. Die Beklagte ist Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO. 2. Gemäß Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Gemäß § 82 Abs. 3 DSGVO wird der Verantwortliche von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Die Beklagte hat als Verantwortliche gegen mehrere Vorschriften der DS-GVO verstoßen. Sie hat sich nicht exkulpieren können. Der Klagepartei ist ein - kausal auf die Verstöße zurückzuführender – immaterieller Schaden entstanden, der auf 500 € beziffert wird. a) Der Maßstab für Verstöße gegen die DS-GVO im Sinne des Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen (OLG Köln, Urteil vom 14. Juli 2022 – I-15 U 137/21 –, Rn. 24, juris; BeckOK DatenschutzR/Quaas, 43. Ed. 1.2.2023, DS-GVO Art. 82 Rn. 14; ähnl. auch Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 82 Haftung und Recht auf Schadenersatz, Rn. 5; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 23; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 8; EuArbRK/Franzen, 4. Aufl. 2022, VO (EU) 2016/679 Art. 82 Rn. 10). Dies ergibt sich aus dem Wortlaut des Art. 82 Abs. 1 DG-SVO selbst, der allgemein von „Verstoß gegen die DS-GVO“ spricht und damit jeglichen Verstoß einschließt. Etwas Anderes folgt nicht etwa aus Erwägungsgrund 146 S. 1. Soweit dort von Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, die Rede ist, ist dies nicht etwa dahingehend aufzufassen, dass nur Verstöße bei der Verarbeitung von Daten im engeren Sinne gemeint sind. Dies widerspräche dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel der Verordnung, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zu schützen. Vielmehr bezieht sich die gesamte DS-GVO auf die Verarbeitung von Daten und stellt Regeln auf, die bei der dem sachlichen Anwendungsbereich gemäß Art. 2 unterfallenden Datenverarbeitung einzuhalten sind. Der EuGH hat aus der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nunmehr dem Verantwortlichen ausdrücklich die Darlegungs- und Beweislast für die Rechtsmäßigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 DSGVO auferlegt (EuGH, Urteil vom 04.05.2023 - C-60/22 Rn. 53 ff.). b) Eine Eingrenzung folgt auch nicht aus des Wortlauts von Art. 82 Abs. 2-5 DSGVO dadurch, dass diese jeweils wörtlich auf die Verarbeitung abstellen. Diese Absätze des Art. 82 DSGVO dienen lediglich der Abgrenzung der Haftung mehrerer Anspruchsgegner im Innenverhältnis, weil dort auf die die Auftragsverarbeiter betreffenden Pflichten abgestellt wird und nicht auf die durch sie getätigten Verarbeitungsschritte. Auch, dass die letztliche Haftung bei mehreren Anspruchsgegnern von der Verantwortlichkeit für den jeweils verletzten Umstand abhängt, Art. 82 Abs. 3 DSGVO, also erneut nicht auf eine konkrete Verarbeitungstätigkeit abgestellt wird, spricht gegen eine Eingrenzung des Art. 82 Abs. 1 DSGVO. Auch die englische und französische Sprachfassung verwenden entsprechende Formulierung in den jeweiligen Absätzen. Vor diesem Hintergrund sind die wörtlichen Bezüge „durch eine Verarbeitung“ in Abs. 2 sowie „aufgrund einer Verarbeitung“ so zu verstehen, dass diese lediglich auf einen Bezug zu einer Verarbeitung deuten. Das ist auch schon deswegen konsequent, weil die Anwendung der DSGVO selbst eine Verarbeitung voraussetzt, Art. 2 Abs. 1 DSGVO. Keine Vorschrift der DSGVO inkl. des Art. 82 Abs. 1 DSGVO ist überhaupt anwendbar, solange überhaupt gar keine Verarbeitung stattfindet. In diesem Verständnis ist es aber auch nur konsequent, dass diese vorhergehenden und nachfolgenden Pflichten der DSGVO in Bezug auf eine Verarbeitung die Schadensersatzpflicht ebenso auslösen. Diese Auslegung entspricht auch dem in Art. 1 Abs. 2 DSGVO postulierten Ziel, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zu schützen. 3. Verstoß gegen Art. 13 DS-GVO (Informationspflicht) und Art. 6 DS-GVO (Rechtmäßigkeit der Verarbeitung), indem sie entgegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 lit. a DSGVO die Zuordnung von Name zu Telefonnummer und FacebookID (Telefonnummerzuordnung) und weiterer Daten gegenüber Dritten offenlegt hat. Die Beklagte hat gegen die gemäß Art. 13 Abs. 1 c) DS-GVO bestehende Informationspflicht bei Erhebung von personenbezogenen Daten verstoßen, indem sie die Klagepartei bei der Anmeldung auf der Facebook-Plattform nicht ausreichend über die Zweckeinformiert hat, für die ihre Telefonnummer verwendet werden sollte. Nach Art. 5 Abs. 1 lit. a DSGVO muss personenbezogene Daten auf rechtmäßige, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn eine der aufgezählten Bedingungen erfüllt ist. Mangels hinreichender Information und Bedingungen im Sinne des Art. 6 DS-GVO erfolge die Verarbeitung der Telefonnummer auch nicht rechtmäßig. (a) Art. 13 Abs. 1 c) DSGVO verlangt bei der Erhebung personenbezogener Daten bei der betroffenen Person, dass der Verantwortliche der Person zum Zeitpunkt der Erhebung der Daten die Zwecke mitteilt, für die die personenbezogenen Daten verarbeitet werden sollen. Dabei sind alle Zwecke anzugeben, welche die verantwortliche Stelle im Zeitpunkt der Erhebung verfolgt (Gola/Heckmann/Franck, 3. Aufl. 2022, DS-GVO Art. 13 Rn. 12). Die Informationspflicht aus Art. 13 DSGVO soll die betroffenen Personen von Beginn an in die Lage versetzen, bestimmen und einschätzen zu können, wer was wann über sie weiß (Sydow/Marsch DS-GVO/BDSG/Ingold, 3. Aufl. 2022, DS GVO Art. 13 Rn. 8). Nach ihrem Zweck müssen die Informationspflichten (ggf. unmittelbar) vor Beginn der Datenerhebung erfüllt werden. Denn die Informationen sollen der betroffenen Person auch ermöglichen, darüber zu entscheiden, ob sie in die Verarbeitung ihrer Daten einwilligt bzw. ob sie hiergegen Einwände erhebt. Dieser Zweck würde bei einer Information nach Beginn der Datenerhebung verfehlt oder zumindest beeinträchtigt. Ausreichend ist es beispielsweise, wenn die Daten mittels eines Formulars erhoben werden, auf dem sich auch die gebotenen Informationen finden (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 13 Rn. 56). Art. 6 Abs. 1 Buchstabe a DS-GVO setzt eine Einwilligung der betroffenen Person für die konkrete Verarbeitung zu bestimmten Zwecken voraus. Diese Einwilligung muss nach Art. 4 Nr. 11 DSGVO freiwillig und in informierter Weise und unmissverständlich für den bestimmten Fall als Erklärung oder durch eine sonst eindeutig bestätigende Handlung abgegeben werden. Nach Art. 7 Abs. 2 S. 1 DSGVO muss für eine schriftliche Erklärung über die Einwilligung, sofern sie auch noch andere Sachverhalte betrifft, das Ersuchen zu dieser Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Sofern dies nicht gegeben ist, ist die Einwilligungserklärung gemäß Art. 7 Abs. 2 S. 2 DSGVO nicht verbindlich. Dem ist die Beklagte nicht hinreichend nachgekommen. Zwar wies die Registrierungsseite von Facebook auf die – verlinkte – Datenrichtlinie hin. Dort wurde der Nutzer jedoch nicht darüber aufgeklärt, dass und wie seine Telefonnummer im Rahmen des Einsatzes des CIT verwendet wird. Insbesondere wurde ihm nicht verdeutlicht, dass die Telefonnummer ohne Veränderungen der Einstellungen angesichts der Standardvoreinstellung für die Suchbarkeit über die Telefonnummer auf „für alle“ bereits mit deren Angabe genutzt werden kann, um ihn auf Facebook und insbesondere auch über das CIT zu finden. Dazu hätte dem Nutzer erläutert werden müssen, dass die Verwendung des CIT der Messenger App es anderen Benutzern ermöglicht, mittels Abgleiches von in deren Smartphone gespeicherter Telefonkontakte mit der Mobilfunknummer des Nutzers im Falle eines „Treffers“ dessen Benutzerprofil als „Freund“ hinzufügen und auf die entsprechenden Daten zuzugreifen. Weder der im Zeitraum bis 19.04.2018 geltenden Datenrichtlinie noch der Version vom 19.04.2018 lassen sich Hinweise auf die Verwendung der Mobilfunknummer für konkret diese Zwecke entnehmen. Soweit die Beklagte hingegen meint, in der Datenrichtlinie vom 19.04.2018 hinreichend darüber informiert zu haben, dass öffentlich einsehbare Informationen von Dritten auch außerhalb der Facebook-Plattform veröffentlicht werden können, findet sich darin jedenfalls kein Hinweis auf die mögliche Verknüpfung von Telefonnummern mit dem Nutzerprofil über das CIT: „Du solltest dir gut überlegen, mit wem du Inhalte teilst, da die Personen, die deine Aktivität auf unseren Produkten sehen können, die Inhalte mit anderen auf und außerhalb von unseren Produkten teilen können, einschließlich Personen und Unternehmen, die nicht zu der Zielgruppe gehören, mit der du die Inhalte geteilt hast. Wenn du zum Beispiel einen Beitrag teilst oder eine Nachricht an bestimmte Freunde/Freundinnen oder Konten sendest, können sie diesen Inhalt herunterladen, einen Screenshot davon anfertigen oder ihn erneut mit anderen auf oder außerhalb von unseren Produkten, in persönlichen Erlebnissen oder solchen der virtuellen Realität wie Facebook Spaces teilen.“ Auch der Hinweis auf S. 3 „Wir verwenden uns zur Verfügung stehende Informationen auch, um dir Verknüpfungen bereitzustellen und Vorschläge zu unterbreiten.“ informiert allenfalls über den umgekehrten Fall, nämlich, dass dem Kläger Daten über andere vorgestellt werden, adressiert aber nicht die Möglichkeit, dass anderen mittels seiner eigenen Telefonnummer Verknüpfungen zu seinem Facebook-Profil vorgeschlagen werden. Ohne Erfolg verweist die Beklagte auf die Hilfebereiche sowie die Privatsphäretools. Abgesehen davon, dass sich auch dort keine entsprechenden Hinweise auf die Zugriffsmöglichkeit Anderer auf die Nutzerdaten über die Telefonnummer finden, ist nicht ersichtlich, dass diese Informationen unmittelbar zum Zeitpunkt der Datenerhebung zur Verfügung gestellt wurden. (b) Da die von der Klagepartei gegebene Einwilligung in die Verarbeitung ihrer Telefonnummer nicht auf Basis ausreichender Information erteilt wurde, weil insbesondere die Zwecke der Verarbeitung nicht transparent vermittelt wurden, verstieß diese gegen Art. 6 Abs. 1 DS-GVO (vgl. Gola/Heckmann/Schulz, 3. Aufl. 2022, DS-GVO Art. 7 Rn. 37). Danach ist eine Datenverarbeitung nur unter den dort abschließend aufgezählten Bedingungen rechtmäßig und von diesen ist hier keine erfüllt. Insbesondere ist die Telefonnummer nicht für die Erfüllung des Vertrages im Sinne des Art. 6 Abs. 1 b) DS-GVO erforderlich. Art. 6 Abs. 1 b) DS-GVO erlaubt alternativ die Verarbeitung, soweit sie zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Damit die Verarbeitung für den Zweck der Erfüllung eines solchen Vertrages erforderlich ist, muss sie objektiv unerlässlich sein, einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Sind mehreren Leistungen in einem Vertrag zusammen vereinbart, die unabhängig voneinander erbracht werden könnten, ist in der Betrachtung jeweils nur auf die konkrete, einzelne Leistung abzustellen. Es reicht dabei nicht aus, dass eine solche Verarbeitung im Vertrag erwähnt wird oder für die Leistungserfüllung lediglich nützlich ist. Es dürfen vielmehr keine praktikablen und weniger einschneidenden Alternativen bestehen (EuGH, Urteil vom 4. Juli 2023, Az. C-252/21, ECLI:EU:C:2023:537, Rn 98 ff.). Die Erforderlichkeit ist eng zu verstehen, da sie jeweils eine Verarbeitung personenbezogener Daten auch ohne eine Einwilligung unter Berücksichtigung der hohen Maßstäbe erlauben, die an die Freiwilligkeit für diese anzulegen sind (EuGH, Urteil vom 4. Juli 2023, Az. C-252/21, ECLI:EU:C:2023:537, Rn 93). Die fehlende Erforderlichkeit der Auffindbarkeit über das CIT Tool ergibt sich hier schon daraus, dass die Angabe der Telefonnummer bei der Anmeldung bei Facebook nicht zwingend ist. 4. Verstoß gegen Artt. 24, 32, 5 Abs. 1 f) DS-GVO (Sicherheit der Verarbeitung) Die Beklagte hat zudem gegen die Verpflichtung gemäß Artt. 24, 32, 5 Abs. 1 f) DS-GVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen, indem sie keine ausreichend geeigneten technischen und organisatorischen Maßnahmen getroffen hat, um die personenbezogenen Daten der Klagepartei, namentlich ihre Facebook-ID, ihren Vornamen und Namen, ihr Geschlecht, ihren Wohnort sowie ihren Arbeitgeber, gegen unbefugten Zugriff zu schützen. (a) Art. 32 Abs. 1 DS-GVO verlangt vom Verantwortlichen, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Abs. 2 sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. Das Gebot des Art. 32 DS-GVO soll insbesondere personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 32 Rn. 2). Es tritt neben die Generalnorm des Art. 24 DS-GVO, der den Verantwortlichen allgemein dazu verpflichtet, die Einhaltung der Anforderungen des DS-GVO durch technische und organisatorische Maßnahmen sicherzustellen (Paal/Pauly/Martini, a.a.O., Rn. 7) und stellt eine Konkretisierung der in Art. 5 Abs. 1 f) DS-GVO normierten Datenschutzgrundsätze der Integrität und Vertraulichkeit dar (Kühling/Buchner/Jandt, 3. Aufl. 2020, DS-GVO Art. 32 Rn. 1). (b) Bei den hier in Rede stehenden persönlichen Angaben im Facebook-Profil handelt es sich um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO, die die Beklagte auch nach Art. 4 Nr. 2 DS-GVO verarbeitet, nämlich insbesondere erhoben, gespeichert, verknüpft und bereitgestellt, hat. Denn durch das von der Beklagten auf der Messenger-App zur Verfügung gestellte CIT ermöglichte sie Dritten, mittels den von diesen eingegebenen Telefonnummern Nutzerprofile mit deren öffentlich einsehbaren personenbezogenen Daten aufzufinden und diese mit der eingegebenen Telefonnummer zu verknüpfen. Dieses Tool konnte von jedem genutzt werden. Die von der Beklagten zum Zeitpunkt des Scraping-Vorfalls implementierten Sicherheitsmaßnahmen genügten nicht, um die von der Klagepartei zur Verfügung gestellten Daten hinreichend vor unbefugtem Zugriff zu schützen. c) Ziel von Art. 32 DS-GVO ist die Gewährleistung eines dem Risiko angemessenen Schutzniveaus. Es sind daher nicht alle möglichen Maßnahmen zur Gewährleistung von Datensicherheit zu ergreifen, sondern nur solche, die als verhältnismäßig anzusehen sind. Denn die DS-GVO verlangt keine Datensicherheit um jeden Preis, sondern es muss eine Abwägung zwischen Schutzzweck und Aufwand vorgenommen werden (OLG Stuttgart, Urteil vom 31. März 2021 – 9 U 34/21 –, Rn. 54, juris; Dr. Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 32 Sicherheit der Verarbeitung, Rn. 3; BeckOK DatenschutzR/Paulus, 42. Ed. 1.11.2021, DS-GVO Art. 32 Rn. 7). Dem Adressaten bleibt daher unter Berücksichtigung der in Abs. 1 vorgegebenen Abwägungskriterien ein Ermessensspielraum (Sydow/Marsch DS-GVO/BDSG/Mantz, 3. Aufl. 2022, DS GVO Art. 32 Rn. 10). Die Maßnahmen müssen umso wirksamer sein, je höher die drohenden Schäden sind (Ehmann/Selmayr/Hladjk, 2. Aufl. 2018, DS-GVO Art. 32 Rn. 4). d) Der EuGH hat aus der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nunmehr dem Verantwortlichen ausdrücklich die Darlegungs- und Beweislast für die Rechtsmäßigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 DSGVO auferlegt. (EuGH, Urteil vom 04.05.2023 - C-60/22 Rn. 53 ff.). Die Beweislastregelung des Art. 5 Abs. 2 DS-GVO gilt gemäß Art. 5 Abs. 1 f DS-GVO auch hinsichtlich der Anforderungen des Art. 32 DS-GVO, weil dieser die Gewährleistung der angemessenen Sicherheit regelt. Hier hat die Beklagte noch nicht einmal hinreichend konkret genug die von ihr damals ergriffenen Maßnahmen zur Verminderung des Risikos des Datenmissbrauchs dargelegt. e) Vorliegend war das von der Beklagten behauptete Schutzniveau angesichts der Gefährdungslage, der Art der zu schützenden personenbezogenen Daten und der Schwere des Risikos bei einem unbefugten Zugriff auf die Daten nicht mehr von dem der Beklagten als Adressatin der nach Art. 32 Abs. 1 DS-GVO zustehenden Ermessensspielraum gedeckt. Bei der Abwägung sind folgende Aspekte zu berücksichtigen: Datenscraping stellte – auch in den Jahren 2018/19 – eine reale Gefahr dar. Dieses weitverbreitete Phänomen war damals auch der Beklagten bereits bekannt. Dies zeigt schon der Umstand, dass sie das Sammeln von Daten mit automatisierten Tools in den Nutzungsbedingungen von Facebook untersagte. In ihrer Mitteilung „Die Fakten zu Medienberichten über Facebook-Daten“ vom 06.04.2021 bezeichnet die Beklagte Scraping zudem etwa als „gängige Taktik“ und erklärt, über die zur Beschaffung des gescrapten Datensatzes verwendeten Methoden sei bereits im Jahr 2019 berichtet worden. Die Eintrittswahrscheinlichkeit war mithin hoch, zumal ein soziales Netzwerk wie Facebook mit Milliarden Nutzern und einem entsprechenden Umfang an persönlichen Daten auch aus Sicht der Beklagten als besonders interessantes Angriffsziel für Scraper zu bewerten sein musste. Die damalige Konzeption des CIT ermöglichte es Dritten, mittels einer eingegebenen Telefonnummer Zugang zum Facebook-Profil und damit zu den persönlichen Daten eines Nutzers zu erhalten. Es war damit möglich, durch Eingabe einer Telefonnummer, die ohne Bezug zu einer konkreten Person zunächst lediglich eine abstrakte Zifferfolge darstellte, eine dahinterstehende Person namentlich zu identifizieren und auf deren Nutzerprofil mit weiteren persönlichen Informationen Zugriff zu nehmen. Bei diesen persönlichen Informationen, die es zu schützen galt, handelte es sich um sensible Daten, die insbesondere in ihrer Kombination – hier etwa: Namen, Geburts- und Wohnort, Arbeitgeber und schließlich Telefonnummer – geeignet sind, den Facebook-Nutzer, etwa durch einen Identitätsdiebstahl und Phishing-Attacken, in erhebliche Schwierigkeiten mit ggfs. daraus folgenden materiellen oder immateriellen Schäden zu bringen. f) Die Beklagte hat bis zuletzt nicht klar verdeutlicht, zu welchem Zeitpunkt welche konkreten Maßnahmen eingesetzt wurden. Denn trotz der Betonung, mit dem „relevanten Zeitraum“ werde der Zeitraum des Scrapings adressiert, bleibt angesichts der Behauptung, die Beklagte habe ihre Maßnahmen zur Verringerung von Scraping und als Reaktion auf sich verändernde Bedrohungen fortlaufend weiterentwickelt, offen, was damit genau gemeint sein soll. Insbesondere ihre Behauptung, auch Captcha-Abfragen verwendet zu haben, ist unplausibel geblieben, weil die Beklagte nicht erklärt hat, warum diese das Scraping nicht verhindert haben. Dies gilt zumal, als auch in den von der Beklagten im Frühjahr 2021 veröffentlichten Nutzermitteilungen keine Rede von einer Scraping-Prävention durch Einsatz von Captchas war. g) Soweit sich dem Vortrag der Beklagten im Kern entnehmen lässt, dass sie im Zeitraum 2018/19 Übertragungsbegrenzungen, Bot-Erkennung sowie ein EDM-Team eingesetzt haben will, genügt dies nicht. Denn damit ließ sich ein Abgreifen der Daten nicht hinreichend verhindern, wenn dies automatisiert und verteilt auf „zahlreiche simulierte Geräte“ geschah. Dass diese Gefahr bestand, war von der Beklagten auch im Vorfeld des streitgegenständlichen Scraping-Vorfalls ohne Weiteres zu erkennen. Daher wäre es für die Beklagte beispielsweise möglich gewesen, das CIT bereits damals derart – wie später geschehen – auszugestalten, dass eine Suche nach Nutzerprofilen nicht nur anhand von Telefonnummern erfolgen kann. Das Tool hätte beispielsweise weitere Variablen, wie den von dem Nutzer in seinem Adressbuch hinterlegten Vor- oder Nachname berücksichtigen können. Angesichts dessen, dass Nutzer die Telefonnummern häufig mit dem dazugehörigen Klarnamen ihres Kontakts abspeichern, wäre der Zweck des CIT, nämlich Verknüpfungen zwischen bekannten Kontakten und deren Facebook-Profil herzustellen, allenfalls unwesentlich, angesichts der oben geschilderten Gefährdungslage aber jedenfalls in einem hinzunehmenden Umfang beeinträchtigt worden. Dies gilt auch für Captcha-Abfragen, die zwar einen zusätzlichen Schritt für den seine Kontaktdaten abgleichenden Nutzer erfordert, aber auch einen effektiven Schutz gegen automatisch generierte Abfragen geboten hätten. Dass die beispielhaft genannten Maßnahmen die Beklagte mit einem unangemessenen finanziellen oder organisatorischen Aufwand belastet hätten, ist nicht erkennbar. Die Beklagte berief sich vielmehr nur auf die Erschwerung der Funktionalität ihres sozialen Netzwerkes. Etwaige Maßnahmen wie Unterlassungsaufforderungen, Kontosperrungen und Gerichtsverfahren, die erst in Reaktion auf einen konkreten Vorfall getroffen werden, vermögen diesen nicht mehr zu beseitigen und stellen keine nennenswerte präventive Maßnahme gegenüber zukünftigen Scrapern dar. Soweit die Suche von Nutzern anhand der Telefonnummer in der Facebook-Suchfunktion im April 2018 deaktiviert wurde, betraf dies nicht die Suche über das CIT. Die Beklagte sorgte nach alledem nicht für ein angemessenes Schutzniveau. 5. Verstoß gegen Art. 25 Abs. 2 DS-GVO („privacy by default“) Die Beklagte hat überdies gegen in Art. 25 Abs. 2 DS-GVO das Gebot, Datenschutz durch datenschutzfreundliche Voreinstellungen zu gewährleisten, verstoßen, indem sie standardmäßig die Suchbarkeit der Nutzer über deren Telefonnummer „für alle“ voreingestellt hat. (a) Ein Verstoß gegen diese Vorschrift kann zu einem Schadenersatzanspruch im Sinne des Art. 82 DS-GVO führen, weil aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadenseintritts resultiert (Sydow/Marsch DS-GVO/BDSG/Mantz, 3. Aufl. 2022, DS GVO Art. 25 Rn. 77). (b) Art. 25 Abs. 2 DS-GVO verlangt vom Verantwortlichen geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist und gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit (S. 1 u. 2). Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden (S. 3). Gerade der letzte Satz zielt vor allem auf die Privatsphäre-Einstellungen der sozialen Netzwerke ab. Bei der Registrierung soll dem Betroffenen nämlich gewährleistet werden, dass er nur in eine solche Verarbeitung einwilligt, die die Veröffentlichung seiner Daten ohne sein Eingreifen kategorisch ausschließt (Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DS-GVO Art. 25 Rn. 12). Der Betreiber eines sozialen Netzwerks soll damit verpflichtet werden, die Default-Einstellungen so zu treffen, dass Inhalte der Nutzer nicht standardmäßig mit anderen Nutzern oder Dritten geteilt werden (Ehmann/Selmayr/Baumgartner, 2. Aufl. 2018, DS-GVO Art. 25 Rn. 20). Als Voreinstellung ist daher der kleinstmögliche Empfängerkreis vorzusehen (Gola/Heckmann/Nolte/Werkmeister, 3. Aufl. 2022, DS-GVO Art. 25 Rn. 31). (c) Gegen diese Anforderungen hat die Beklagte als Verantwortliche verstoßen. Die Suchbarkeit war im Zeitraum des vorgefallenen Scrapings standardmäßig so voreingestellt, dass der Facebook-Nutzer, der seine Telefonnummer angab, automatisch mitsamt seinem öffentlichen Nutzerprofil von jedermann über die Telefonnummer gefunden werden konnte. Dies galt auch für die Suche über das CIT. Eine andere, einschränkende Einstellung in seinem Privatsphärebereich erforderte ein Aktivwerden des Nutzers. Der von der Beklagten genannte Zweck von Facebook, Menschen die Möglichkeit zu geben, Gemeinschaften zu bilden, und die Welt näher zusammenzubringen, erfordert die Standardeinstellung der Suchbarkeit mittels der Telefonnummer für alle nicht. Denn Personen, die bereits über die Telefonnummer eines anderen Nutzers verfügen, können mit diesem ohne Weiteres telefonisch in Kontakt treten, um sich ggfs. anschließend auf der Facebook-Plattform miteinander zu vernetzen. Die Beklagte bestätigt dies selbst teilweise, indem sie angibt, sie habe festgestellt, dass es für legitime Nutzer üblicher sei, die Suche anderer Nutzer anhand des Namens als anhand der Telefonnummer vorzunehmen, weshalb sie die Facebook-Suchfunktion im April 2018 deaktiviert habe. Gleichwohl ist nicht erkennbar, dass das Netzwerk nicht mehr oder nur noch eingeschränkt funktioniert hätte. 6. Verstoß gegen Artt. 33, 34 DS-GVO (Meldepflichten) Gemäß Art. 33 Abs. 1 DSGVO muss der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der gem. Art. 55 DSGVO zuständigen Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Der Mindestinhalt der Meldung ist in Art. 33 Abs. 3 DSGVO festgelegt. Dem ist die Beklagte vorliegend nicht nachgekommen (vgl. so auch: LG Paderborn Urt. v. 19.12.2022 – 3 O 99/22, GRUR-RS 2022, 39349 Rn. 88, beck-online). Ob darin auch ein Verstoß gegen Art. 34 Abs. 1 DSGVO liegt, kann hier offenbleiben. Nach dieser Vorschrift benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten, wenn diese voraussichtlich ein hohes Risiko für seine persönlichen Rechte und Freiheiten zur Folge hat (so LG Paderborn Urt. v. 19.12.2022 – 3 O 99/22, GRUR-RS 2022, 39349 Rn. 97, beck-online). Denn die Klagepartei hat nicht dargelegt, welche Schritte sie bei einer unverzüglichen Information ergriffen hätte und wie das den Schaden bzw. potenzielle Gefahren aus dem Scrapingsachverhalt beeinflusst hätte. 7. Möglicher Verstoß gegen Auskunftspflicht des Art. 15 DS-GVO Ob die Beklagte dem vorgerichtlichen Auskunftsersuchen der Klägerseite über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DSGVO verstoßen hat, kann dahinstehen. Denn die Ungewissheit über die Verarbeitung der eigenen Daten deckt sich mit dem Schaden durch den eigentlichen Verstoß. Ein eigenständiger Schadensersatzanspruch aufgrund einer Verletzung der Auskunftspflicht kommt nur in Betracht, wenn die fehlende Auskunft einen Schaden zumindest verschärft hat. Dies ist hier nicht zu erkennen, weil die Klagepartei nicht ansatzweise darlegt, welche Schritte sie bei einer ausreichenden Auskunft vorgenommen hätte und wie das einen Schaden vermindert hätte. 8. Keine Exkulpation gemäß Art. 82 Abs. 3 DS-GVO Der Beklagten kann sich nicht gemäß Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. a) Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies im Sinne von Verschulden aufzufassen (wohl h.M.: vgl. OLG Stuttgart, Urteil vom 31. März 2021 – 9 U 34/21 –, Rn. 45, 51, juris BeckOK DatenschutzR/Quaas, 42. Ed. 1.8.2022, DS-GVO Art. 82 Rn. 17.2; Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 14; Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DS-GVO Art. 82 Rn. 24; Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DS-GVO Art. 82 Rn. 11; a.A. Sydow/Marsch DS-GVO/BDSG/Kreße, 3. Aufl. 2022, DS GVO Art. 82 Rn. 19: fehlendes Verschulden für Entlastung nicht ausreichend). Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an (Oberster Gerichtshof Wien, Urteil vom 27. November 2019 – 6 Ob 217/19h –, juris). Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, d.h. am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt im Sinne von § 276 Abs. 2 BGB angewendet hat (BeckOK DatenschutzR/Quaas, 42. Ed. 1.8.2022, DS-GVO Art. 82 Rn. 18). b) Die Beklagte hat keinerlei Umstände angeführt, die sie hinsichtlich der unzureichend erteilten Informationen in Bezug auf die Verarbeitung der Telefonnummer, die fehlenden Sicherheitsmaßnahmen zur Vermeidung des automatisierten Abgreifens von Daten über das CIT mittels Telefonnummern und die datenschutzunfreundliche Standardeinstellung bei der Suchbarkeit über die Telefonnummer entlasten könnte. 9. Schaden Der Klagepartei ist durch die Verstöße der Beklagten gegen die genannten Vorschriften DS-GVO ein immaterieller Schaden im Sinne des Art. 82 Abs. 1 DS-GVO entstanden. a) Der Begriff des Schadens ist gemäß Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Für einen Schadensersatzanspruch nach Art. 82 DSGVO reicht allerdings der bloße Verstoß gegen die Bestimmungen der DSGVO nicht aus. Es muss ein Schaden vorliegen (EuGH, Urteil vom 4. Mai 2023 – C-300/21 –, jurisRn 33 ff.). Der Ersatz eines immateriellen Schadens nach Art 82 DS-GVO ist aber nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht (EuGH, aaO, Rn. 45), so dass auch Bagatellschäden einen Schadensersatzanspruch begründen. b) Deshalb kann ein Schaden auch bereits in einem unguten Gefühl, in der Angst und Besorgnis liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn die Gefahr besteht, dass die Daten unbefugt weiterverwendet werden (vgl. Landesarbeitsgericht Baden-Württemberg, Urteil vom 25. Februar 2021 – 17 Sa 37/20 –, Rn. 96, juris). So führen die Erwägungsgründe 75 und 85 als möglichen Schaden unter anderem den Verlust, die personenbezogenen Daten kontrollieren zu können, auf. Das Gericht schließt sich dabei dem Verständnis des Generalanwaltes im Verfahren gegen die Österreichische Post AG der Bedeutung des erwähnten Kontrollverlustes an. Danach verursacht der Verlust über die Kontrolle der Daten nicht zwangsläufig einen Schaden. Vielmehr adressiert die Erwähnung des Kontrollverlustes in den Erwägungsgründen – in sprachlicher Unschärfe - die möglichen Folgen dieses Verlusts wie etwa Angst oder Besorgnis, was mit den Daten geschehen könnte (vgl. Schlussanträge des Generalanwalts vom 06.10.2022, C-300/21, Celex-Nr. 62021CC0300, Rn. 62 u. Fn. 43). Der EuGH hat in seiner hierzu ergangenen Entscheidung dieser Auffassung des Generalanwalts nicht widersprochen, sondern nur betont, dass über den auf dem DS-GVO beruhenden Datenverlust als solches ein immaterieller Schaden des Betroffenen festgestellt werden muss (EuGH, aaO, Rn. 50). c) Im streitgegenständlichen Fall trat der immaterielle Schaden durch die aufgrund des Scrapings bei der Klagepartei nachvollziehbar ausgelöste Besorgnis bezüglich des weiteren Schicksals ihrer persönlichen Daten ein, die damit - als ein mit ihrer Telefonnummer verknüpfter Datensatz - im Netz kursierten. Denn dadurch erlitt diese einen Kontrollverlust über ihre Daten, der vorliegend mit dem subjektiv besorgniserregenden Risiko einherging, dass diese Daten etwa durch Identitätsdiebstahl unbefugt und schadensträchtig genutzt werden. Zu dieser allgemeinen Besorgnis treten die in der informatorischen Anhörung vor der Kammer glaubhaft geschilderten Anrufe und Nachrichten, die insbesondere seit Anfang 2022 ein sehr beeinträchtigendes Ausmaß von 2-3 Anrufen täglich annahmen und dazu führten, dass der Kläger nach 25 Jahren Nutzung seine Nummer gewechselt hat. Davon hat sich die Kammer in der mündlichen Verhandlung durch einen Testanruf überzeugt. Soweit die Beklagte meint, ein Schaden könne schon deshalb nicht entstanden sein, weil es keinen Schutz vor der (erneuten) Veröffentlichung bereits öffentlicher Daten gebe, verfängt dies nicht. Denn gerade die Verknüpfung der gescrapten Daten mit der Telefonnummer der Klagepartei in einem Datensatz, führt zu einer höheren Dimension des Kontrollverlustes hinsichtlich ihrer Daten. Dabei spielt es insbesondere keine Rolle, dass die Scraper überhaupt erst durch Eingabe einer Telefonnummer zu einem „Match“ mit einem Facebook-Profil kamen und daher diese demnach nicht originär dem Profil entnahmen. d) Die erforderliche Kausalität zwischen den Verstößen der Beklagten gegen die DS-GVO und dem Schaden der Klagepartei liegt vor. Wäre die Klagepartei ohne Verstoß gegen die Informationspflichten nach Art. 13 Abs. 1 c) DS-GVO ordnungsgemäß darüber aufgeklärt worden, dass ihre Telefonnummer, die er in der Zielgruppenauswahl als nicht öffentlich eingestellt hatte, im Rahmen des Einsatzes des CIT ohne Veränderungen der Einstellungen angesichts der Standardvoreinstellung für die Suchbarkeit über die Telefonnummer auf „für alle“ dazu verwendet wird, um sie auf Facebook zu finden, hätte sie ihre Telefonnummer nicht eingetragen oder die Standardeinstellungen verändert. Denn aus ihrer persönlichen Anhörung ergibt sich deutlich, dass sie über ihre Telefonnummer jedenfalls auf diese Weise nicht gefunden werden wollte. Entsprechend hat auch die gegen Art. 25 Abs. 2 DS-GVO verstoßende datenschutzunfreundliche Standardvoreinstellung der Suchbarkeit über die Telefonnummer auf „für alle“ zur Schadensentstehung beigetragen. Schließlich ist der Schaden auch kausal auf den Verstoß der Beklagten gegen Artt. 24, 32, 5 Abs. 1 f) DS-GVO zurückzuführen, denn durch die unzureichenden Schutzmaßnahmen ermöglichte die Beklagte das missbräuchliche Abgreifen der Daten. Dass die gescrapten Daten seitens der Klagepartei selbst in der Zielgruppeneinstellung als öffentlich einsehbar seinen Profildaten hinzugefügt wurden, entlastet die Beklagte in keiner Weise. Denn der Zugang dazu durch unbekannte Dritte wurde erst mittels der Telefonnummer aufgrund des Zusammenwirkens von ungenügenden Sicherungsmaßnahmen, ungenügender Information und datenschutzunfreundlicher Voreinstellung ermöglicht. e) Das Gericht ist auch davon überzeugt, dass die von der Klagepartei geschilderten Spam Anrufe und Nachrichten auf dem vorliegenden Scraping Sachverhalt beruhen. Dies folgt auch dem zeitlichen Zusammenhang zwischen dem Datenvorfall im Jahr 2019 und der anschließenden Veröffentlichung der Daten seit 2020. Es ist nicht ersichtlich, wo die Anrufer die Nummer der Klagepartei sonst erlangt haben sollten. f) Höhe des immateriellen Schadens Die Klagepartei hat Anspruch auf Zahlung eines immateriellen Schadenersatzes in Höhe von lediglich 500 €. (1) Bei der Bestimmung des vom Kläger in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gemäß § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen (vgl. BAG, Urteil vom 5. Mai 2022 – 2 AZR 363/21 –, Rn. 12 f., juris). Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden (vgl. Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 82 Haftung und Recht auf Schadenersatz, Rn. 10; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18d; BeckOK DatenschutzR/Quaas, 43. Ed. 1.2.2023, DS-GVO Art. 82 Rn. 31). Danach sind unter anderem Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens sowie die Kategorien der personenbezogenen Daten zu betrachten. Gemäß Erwägungsgrund 146 S. 6 DS-GVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Schadensersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen (Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 17;Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10). Bei der Festsetzung der Höhe des Schadensersatzes sind die mitgliedstaatlichen Vorschriften unter Berücksichtigung des unionsrechtlichen Effektivitätsgebots und Äquivalenzgebots anzuwenden. In Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs ist eine auf diese Bestimmung gestützte finanzielle Entschädigung „vollständig und wirksam“, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert (EuGH, aaO, Rn. 58). Die DSGVO selbst enthält keine weiteren Bemessungsgrundsätze. Allerdings kann die Fluggastrechte-Verordnung als erster Anhaltspunkt dienen, die einen Ausgleichsanspruch i.H.v. 250 bis 600 Euro vorsieht. Die Fluggastrechte-Verordnung betrifft zwar einen gänzlich anders gelagerten Sachverhalt und gleicht auch nicht den Eingriff in das Recht zur informationellen Selbstbestimmung aus. Aber auch der Ausgleichsanspruch dient vorrangig dem Ausgleich eines immateriellen Schadens. (Wenn, jurisPR-ITR 5/2023 Anm. 3). (2) Im streitgegenständlichen Fall hält das Gericht unter Berücksichtigung der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadenersatzes einen Betrag in Höhe von 500 € erforderlich, aber auch ausreichend. Dabei fließt anspruchserhöhend ein, dass der Beklagten mehrere schadensursächliche Verstöße gegen die DS-GVO zur Last zu legen sind, wobei die den Zweck von Facebook fördernde Art der Datenerhebung die Regeln der DS-GVO nicht nur im Einzelfall, sondern systematisch und über einen längeren Zeitraum missachtet hat. Anspruchsmindernd ist zu berücksichtigen, dass es bei den gescrapten Daten nicht um besonders sensible Informationen wie Gesundheits- oder Kontodaten handelt. Anspruchserhöhend im Vergleich zu anderen derartigen Verfahren war hier zu berücksichtigen, dass der Kläger glaubhaft von einer ganz erheblichen Spam-Anrufsfrequenz berichtet hat und dies ihn erkennbar beeinträchtigt hat. Dies hat sogar dazu geführt, dass er seine Handynummer gewechselt hat, was nach der Auffassung der Kammer ebenfalls anspruchserhöhend zu berücksichtigen ist, weil ein Telefonnummernwechsel angesichts der Bedeutung des Mobiltelefons für die Lebensführung eine erhebliche Beeinträchtigung und sehr „lästig“ ist. II. Unterlassung (Klageantrag Ziffer 4) Der Unterlassungsanspruch ist begründet, weil die Klagepartei zum einen bereits aus dem mit der Beklagten bestehenden Vertragsbeziehung die Einhaltung der Anforderungen der DS-GVO als vertragliche Nebenpflicht verlangen kann. Zudem folgt hier aus dem vergangenen Verstoß gegen Art. 13 Abs. 1c DS-GVO,insbesondere der unbefugten Offenlegung unter Verwendung unzureichender Standardeinstellungen als Verstöße gegen Art. 5 Abs. 1 lit. a DSGVO und Art. 25 Abs. 2 DSGVO ein legitimes Interesse der Klagepartei, der Beklagten für die Zukunft einen kerngleichen Verstoß gegen diese Vorschrift zu verbieten. Es besteht auch Wiederholungsgefahr, weil die Beklagte die Verstöße bestritten hat und weiterhin bestreitet. Die Wiederholungsgefahr entfällt hier auch nicht deshalb, weil der Kläger eine neue Nummer hat. Denn er hat die vom Scraping betroffene Nummer nicht völlig aufgegeben, sondern nutzt diese zumindest noch mittels Prepaidkarte zur Zweifaktorauthentifizierung etc. Unterlassungsansprüche sind auch unter der Geltung der DS-GVO nicht durch deren Vorrang ausgeschlossen. Soweit die DS-GVO als solche keinen gesonderten Anspruch auf eine Unterlassung vorsieht, wird der Unterlassungsanspruch teilweise direkt auf Art. 17 Abs. 1 d) DSGVO (BGH, Urteil vom 13. Dezember 2022 – VI ZR 60/21 –, Rn. 10, juris; Urteil vom 27. Juli 2020 – VI ZR 405/18 –, BGHZ 226, 285-310, Rn. 20), teilweise auf § 823 Abs. 2 BGB, § 1004 BGB analog (OLG München, Urteil vom 19. Januar 2021 – 18 U 7243/19 –, Rn. 62, juris) gestützt. Eine Entscheidung kann hier dahinstehen, da – unabhängig von der Anspruchsgrundlage – zumindest Einigkeit über die Möglichkeit der Geltendmachung eines weitergehenden Unterlassungsanspruchs herrscht (vgl. Dr. Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter, Rn. 1; Spindler/Schuster/Spindler/Dalby, 4. Aufl. 2019, DS-GVO Art. 79 Rn. 17; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 79 Rn. 13). III. Klageantrag Ziffer 2 (immaterieller Schaden wegen behauptet nicht ausreichend gewährter Auskunft) Der Klagepartei steht der mit dem Klageantrag Ziffer 2 geltend gemachte Schadensersatzanspruch gegenüber der Beklagten nicht zu. Ein solcher Anspruch ergibt sich im vorliegenden Fall nicht aus Art. 82 Abs. 1 DS-GVO i.V.m. Art. 15 DSGVO, da die Klagepartei einen eingetretenen Schaden nicht dargelegt hat. Insbesondere wurde nicht vorgetragen, was eine frühere Auskunft der Beklagten nach Art. 15 DSGVO konkret an dem Schaden der Klagepartei geändert hätte. IV. Auskunft (Klageantrag Ziffer 3) Der Klagepartei steht ferner der mit dem Klageantrag zu 3 verfolgte Auskunftsanspruch gegenüber der Beklagten nicht zu. Der Anspruch folgt insbesondere nicht aus Art. 15 DSGVO. 1) Nach dieser Vorschrift kann die betroffene Person Auskunft über personenbezogenen Daten verlangen, wenn der Verantwortliche sie betreffende personenbezogene Daten verarbeitet hat. Art. 15 Abs. 1 Hs. 1, 2 DSGVO enthält zunächst einen Anspruch der betroffenen Person gegen den Verantwortlichen, ihm zu bestätigen, ob ihn betreffende personenbezogene Daten verarbeitet werden. Verarbeitet der Verantwortliche personenbezogene Daten der betroffenen Person, so hat die betroffene Person gem. Art. 15 Abs. 1 Hs. 1, 2 DSGVO ein Recht auf Auskunft über diese personenbezogenen Daten (vgl. BGH, Urteil vom 15.06.2021 - VI ZR 576/19 = NJW 2021, 1381). Im Ausgangspunkt steht der Klagepartei nach dieser Vorschrift grundsätzlich ein Auskunftsanspruch über die bei der Beklagten als Verantwortlicher im Sinne des Art. 4 Nr. 7 Hs. 1 DSGVO verarbeiteten ihn betreffenden personenbezogenen Daten zu. 2) Der Anspruch ist jedoch durch Erfüllung untergegangen, § 362 Abs. 1 BGB. a) Den Auskunftsanspruch erfüllt der Verantwortliche indem er die verlangten Informationen nach Maßgabe des Art. 15 erteilt. Außerdem muss der Verantwortliche eine Kopie der personenbezogenen Daten, die er verarbeitet, zur Verfügung stellen. Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit oder Unvollständigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen, was auch aus dem Wortlaut des § 259 Abs. 2 BGB folgt. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urteil vom 03.09.2020 - III ZR 136/18 = GRUR 2021,110). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. b) Dies ist hier der Fall. Mit Schreiben vom 29.08.2022 (K 5) hat die Beklagte in angemessener Weise mitgeteilt, welche personenbezogenen Daten verarbeitet werden, indem sie der Klagepartei auf die Selbstbedienungstools verwiesen hat. Sie hat auch Auskunft darüber erteilt, welche Daten der Klagepartei nach ihrer Kenntnis vom Scraping betroffen sind. Diese Erfüllungshandlung war ausreichend um den Erfüllungserfolg zu bewirken. c) Soweit die Klagepartei darüber hinaus Auskunft verlangt, „welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten“ besteht ein Anspruch nicht. Der Anspruch ist (ebenfalls) durch Erfüllung untergegangen, § 362 BGB. Die Beklagte hat mit der Klageerwiderung vorgetragen, über die Verarbeitungstätigkeiten Dritter (hier: „Scraper“), keine Angaben machen zu können. Unabhängig davon, ob die erteilte Auskunft unrichtig oder unvollständig ist, begründet die erteilte Auskunft jedenfalls keinen (weiteren) Auskunftsanspruch, da die Beklagte zum Ausdruck gebracht hat, das Auskunftsbegehren der Klagepartei vollständig erfüllt zu haben. (vgl. idS: LG Paderborn Urt. v. 19.12.2022 – 3 O 99/22, GRUR-RS 2022, 39349 Rn. 162-168, beck-online).Zwar hat die Auskunft über konkrete Empfänger Vorrang vor der Auskunft über Kategorien von Empfängern (vgl. EuGH, Urteil vom 12.01.2023, Az. C-154/21, ECLI:EU:C:2023:3 – Österreichische Post (Informations relatives aux destinataires de données personnelles), Rn. 43), allerdings führt dieser Vorrang nicht dazu, dass eine nicht vorhandene Information erteilt werden muss. Die Beklagte war gemäß Art. 11 Abs. 1 DSGVO auch nicht verpflichtet, diese Information zu erheben, nur um Sie für den Fall der Geltendmachung eines Auskunftsanspruchs erteilen zu können. V. Vorgerichtliche Rechtsanwaltskosten Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gemäß Art. 82 Abs. 1 DS-GVO zu erstatten. Aufgrund der Schwierigkeit der Sach- und Rechtslage war die Hinzuziehung eines Rechtsanwalts zur effektiven Durchsetzung der klägerischen Ansprüche erforderlich und notwendig. Unter Zugrundelegung des Wertes des berechtigten Verlangens des Klägers von (500 € immaterieller Schadenersatz + 4000 € Unterlassung + 500 € Auskunft) zum Zeitpunkt der außergerichtlichen Tätigkeit führt dies zu berechtigten außergerichtlichen Kosten in Höhe von 540,50 € (1,3-fache Geschäftsgebühr nebst Pauschale nach Nr. 7002 VV RVG zzgl. 19% MwSt.). C. Nebenentscheidungen 1. Die Entscheidung über die Kosten beruht auf § 92 Abs. 1 ZPO. 2. Die Entscheidung zur vorläufigen Vollstreckbarkeit folgt aus §§ 708 Nr. 11, § 711 S. 1 und 2 und § 709 S. 1 und 2 ZPO. 3. Der Zinsausspruch folgt aus §§ 288, 291, 187 Abs. 1 BGB. Die Parteien streiten über Ansprüche auf Schadensersatz, Unterlassung, Auskunft und Nebenforderungen aufgrund behaupteter Verstöße der Beklagten gegen die Datenschutzgrundverordnung (DS-GVO) im Zusammenhang mit einem sog. „Scraping-Vorfall“ bei der Beklagten. Die Klagepartei nutzt das soziale Netzwerk Facebook, das auf dem Gebiet der Europäischen Union von der Beklagten betrieben wird und auf das sowohl über die Website www.facebook.com als auch über die gleichnamige App mittels Smartphone oder Tablet zugegriffen werden kann. Die Plattform ermöglicht es den Nutzern, persönliche Profile einschließlich privater Fotos und weiterer Informationen für sich zu erstellen und diese auf Facebook mit Freunden zu teilen. Auf ihren persönlichen Profilen können die Nutzer Angaben zu ihrer Person machen und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf ihre Daten zugreifen können. Die Beklagte stellt dabei Tools und Informationen zur Verfügung, damit Nutzer ihre Privatsphäre auf der Facebook-Plattform verwalten können. Damit Nutzer leichter mit anderen Nutzern in Kontakt treten können, müssen sie bestimmte Informationen bei der Registrierung angeben, die als Teil des Nutzerprofils immer öffentlich einsehbar sind. Dazu gehören Name, Geschlecht und Nutzer-ID. Eine Eingabe der Handynummer ist nicht zwingend erforderlich. Hinsichtlich der weiteren Daten gibt es im Rahmen der Privatsphäre-Einstellungen Wahlmöglichkeiten für jeden Nutzer. Bei der sogenannten "Zielgruppenauswahl" legt der Nutzer fest, wer einzelne Informationen auf seinem Facebook-Profil, wie etwa Telefonnummer, Wohnort, Stadt, Beziehungsstatus, Geburtstag und E-Mail-Adresse, einsehen kann. So kann der Nutzer anstelle der standardmäßigen Voreinstellung "öffentlich" auswählen, dass nur "Freunde" auf der Plattform, oder "Freunde von Freunden" die jeweiligen Informationen einsehen können. Lediglich die Telefonnummer des Nutzers wird insoweit gesondert behandelt, als dass diese standardmäßig nur der Nutzer selbst - so die Klagepartei - oder nur "Freunde" - so die Beklagte - einsehen kann. Die "Suchbarkeits-Einstellungen" legen fest, wer das Profil eines Nutzers anhand einer Telefonnummer finden kann. Wenn also ein Nutzer in seinem Smartphone eine Telefonnummer als Kontakt eingespeichert hat, erlaubt ihm die Beklagte, seine Kontakte mit den bei Facebook hinterlegten Telefonnummern abzugleichen, um die hinter den Nummern stehenden Personen als Freunde hinzuzufügen. Dafür war nicht erforderlich, dass der andere Nutzer seine Telefonnummer nach der "Zielgruppenauswahl" öffentlich gemacht hat. Demnach war es möglich, Nutzer anhand einer Telefonnummer zu finden, solange ihre "Suchbarkeits-Einstellung" für Telefonnummern auf der Standard-Voreinstellung "alle" eingestellt war. Daneben waren die Einstellungen nur "Freunde von Freunden" oder "Freunde" auswählbar. Ab Mai 2019 stand Nutzern auch die Option "Nur ich" zur Verfügung. Bei der Registrierung wird der Nutzer auf die Datenrichtlinie der Beklagten hingewiesen. Im auf der Homepage von Facebook verlinkten „Hilfebereich“, werden dem Nutzer Informationen über die Privatsphäre-Einstellungen zur Verfügung gestellt. Auf diese Einstellungen kann unter der Überschrift "Privatsphäre, Datenschutz und Sicherheit" zugegriffen werden. Wegen der relevanten Inhalte im Hilfebereich und in den Einstellungen wird auf die Abbildungen in der Klageschrift verwiesen. Mit Geltungsbeginn der DSGVO am 25. Mai 2018 wies die Beklagte Nutzer der Facebook-Plattform in der EU nochmals explizit auf die im April 2018 aktualisierte Datenrichtlinie hin und forderte die Nutzer zur Überprüfung ihrer Privatsphäre-Einstellungen auf. Die Nutzer wurden zudem aufgefordert, den aktualisierten Nutzungsbedingungen zuzustimmen. Außerdem ist es dem Nutzer überlassen, ob er als zusätzliche Sicherheitsmaßnahme im Sinne einer Zwei-Faktor-Authentifizierung seine Telefonnummer angibt. Auf der daneben existierenden Facebook-Messenger-App bestand für die Nutzer die Möglichkeit, mithilfe eines „Contact-Import-Tools“ (im Folgenden: „CIT“) ihre auf dem Handy befindlichen Telefonkontakte auf Facebook hochzuladen, um diese automatisch auf der Facebook-Plattform zu finden und mit ihnen in Verbindung zu treten, ohne dass deren im Profil hinterlegte Nummer in der "Zielgruppenauswahl" öffentlich gemacht worden wäre. Anfang April 2021 veröffentlichten Unbekannte nach Angaben eines Artikels des "Business Insider" vom 03.04.2021 die Daten von ca. 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet. Vorausgegangen war ein sog. „Datenscraping“ im Zeitraum von Januar 2018 bis September 2019. Scraping stellt eine weitverbreitete Methode zum massenhaften, automatisierten Sammeln von typischerweise öffentlich zugänglichen persönlichen Daten von Internetseiten durch automatisierte Softwareprogramme abzurufen. Dieses Sammeln von Daten mittels automatisierter Tools und Methoden war und ist nach den Nutzungsbedingungen der Beklagten untersagt. Im vorliegenden Fall wurden in großer Vielzahl mögliche Telefonnummern von Nutzern, die durch die Scraper mittels einer sog. "Telefonnummernaufzählung" bereitgestellt worden waren, über das „CIT“ auf Facebook hochgeladen, um festzustellen, ob diese Telefonnummern mit einem Facebook-Konto verbunden sind. Wenn dies der Fall war, kopierten sie die öffentlich einsehbaren Informationen aus dem betreffenden Nutzerprofil und fügten die Telefonnummer den abgerufenen, öffentlich einsehbaren Daten hinzu. Nach Bekanntwerden des Vorfalls veröffentlichte die Beklagte im April und Mai 2021 verschiedene Artikel, in denen sie den Scraping-Vorfall, Scraping im Allgemeinen sowie diverse von ihr ergriffene Schutzmaßnahmen beschrieb und die Überprüfung der Einstellungen seitens der Nutzer empfahl. Außerdem führte sie weitere Schutzmaßnahmen ein. Für den Kontakt-Import etablierte sie etwa eine Funktion, die darauf abzielte, einen übereinstimmenden Kontakt nur dann anzuzeigen, wenn die beiden Nutzer einander zu kennen schienen („Social Connection Check“), in dem der Abgleich vor einer Anzeige von Nutzerdaten nicht nur anhand der Telefonnummer, sondern auch des Namens erfolgte. In der Folge wandelte die Beklagte die Kontakt-Importer-Funktion in eine Liste mit Kontaktvorschlägen um (PYMK-Funktion). Weder die zuständige irische Datenschutzbehörde noch jeder einzelne betroffene Nutzer wurde von der Beklagten über den Vorfall informiert. Vorgerichtlich forderte die Klagepartei mit Schreiben vom 8.8.2022 (Anl K 4) die Beklagte zur Zahlung von 2000 € Schadenersatz, Unterlassung der zukünftigen Zugänglichmachung der Klägerdaten an unbefugte Dritte sowie zur Auskunftserteilung auf. Mit Schreiben vom 29.8.2022 (K 5) wies die Beklagte die Schadenersatz- und Unterlassungsansprüche zurück und teilte mit, dass sich unter den abgegriffenen und veröffentlichten Daten auch jene des Klägers befunden hätten und wo der Kläger seine Daten finde. Am 25.11.2022 verhängte die irische Datenschutzbehörde (Data Protection Commission) gegen die Beklagte ein Bußgeld wegen Verstößen gegen die DS-GVO im Zusammenhang mit dem Scraping-Vorfall. Die Entscheidung wurde von der Beklagten angefochten. Die Klagepartei ist der Ansicht, die Beklagte habe Vorschriften der DSGVO verletzt. Sie behauptet zuletzt, ihre persönlichen Daten wie Telefonnummer, Facebook ID, Name, Land, Geschlecht seien durch "Scraping" abgegriffen worden (vgl. Vortrag Replik As. 143). Ob noch mehr Daten entwendet worden seien, lasse sich mangels ausreichender Auskunft durch die Beklagte noch nicht angeben. Die entsprechenden personenbezogenen Daten, wie auch diejenigen der Klagepartei, seien sodann im Internet auf Seiten, die illegale Aktivitäten wie Internetbetrug begünstigen sollen veröffentlicht worden. Sie würden insbesondere für gezielte Phishing-Attacken genutzt. Zum jetzigen Zeitpunkt könne noch nicht abgesehen werden, welche Dritten Zugriff auf die Daten der Klagepartei erhalten hätten und für welche konkreten kriminellen Zwecke die Daten missbraucht würden. Die Unbekannten hätten die Daten mittels des "CIT" aus zum Teil öffentlich zugänglichen Daten bei Facebook ausgelesen und persistiert. Die genaue Herangehensweise mit allen Parametern sei nicht genau bekannt, jedoch werde seitens der Beklagten davon ausgegangen, dass das CIT zur Bestimmung der Telefonnummern der einzelnen Benutzer genutzt wurde und darüber auch die übrigen Daten verfügbar gemacht werden konnten. Indem eine Vielzahl von Kontakten in ein virtuelles Adressbuch eingegeben wurde, sei es Unbekannten gelungen, die zufällig erzeugten Nummernfolgen auf konkreten Facebookprofilen hinterlegten Telefonnummern mittels des CIT zuzuordnen, ohne dass in den entsprechenden Profilen die hinterlegten Telefonnummern öffentlich freigegeben gewesen wären. Die in den Facebook-Profilen veröffentlichten Daten wurden dann in schneller Abfolge und massenweise „gescrapt“. Das „Scraping" sei dadurch ermöglicht worden, dass die Beklagte keinerlei Sicherheitsmaßnahmen vorgehalten habe, um ein Ausnutzen des bereitgestellten "CIT" für derartige Massenabfragen zu verhindern, obwohl es sich bereits damals um ein bekanntes Phänomen gehandelt habe. So seien keine Sicherheitscapchas verwendet worden, um sicherzustellen, dass es sich bei einer Anfrage zur Kontaktsynchronisierung über den CIT tatsächlich um die Anfrage eines Menschen und nicht um eine automatisch generierte Informationseingabe ähnlich einer Brute-Force-Attacke handelt. Ebenso wenig sei ein Mechanismus zur Überprüfung der Plausibilität der Anfragen bereitgehalten worden, etwa indem ungewöhnlich viele Anfragen derselben IP-Adresse auf einmal geblockt oder Adressbücher mit auffälligen Telefonnummernabfolgen (z.B. 000001, 000002 usw.) automatisch abgelehnt werden. Dadurch war es denkbar einfach, das System für kriminelle Zwecke zu missbrauchen. Überdies seien die Einstellungen zur Sicherheit der Telefonnummer auf Facebook so undurchsichtig und kompliziert gestaltet, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne. Insgesamt hätten mindestens drei unterschiedliche Einstellungsmöglichkeiten hinsichtlich der Verwendung der Telefonnummer bestanden, die nicht miteinander korrelierten. Für effektive digitale Sicherheit hätten Nutzende sich demnach einen Überblick über alle möglichen Einstellungen verschaffen und dann von den von Facebook aufgedrängten Einstellungen abweichen müssen, um tatsächlich die Verwendung ihrer Telefonnummer zu verhindern. Die Beklagte handle aufgrund der datenschutzunfreundlichen Standard-Voreinstellungen entgegen des Prinzips der Datenminimierung und des "privacy by default"-Grundsatzes. Die versteckte Option, dass der Nutzer nicht anhand seiner Telefonnummer von der Öffentlichkeit gefunden werden möchte, sei aufgrund der vielschichtigen Einstellungsmöglichkeit nicht zu erreichen, wenn lediglich nach den Einstellungsmöglichkeiten für die Telefonnummer gesucht werde. Die Beklagte habe ihre Nutzer nicht hinreichend über die ihr bekannten Gefahren informiert, insbesondere fehle der Hinweis, dass unberechtigte Dritte öffentlich zugängliche Daten leicht mit Hilfe von „Facebook-Tools“ anreichern, diese im Darknet veröffentlichen könnten und die Beklagte die betroffenen Personen nicht über solche Vorfälle informiere. Die Klagepartei behauptet, die Veröffentlichung ihrer Daten habe weitreichende Folgen für sie. Sie habe einen erheblichen Kontrollverlust über ihre Daten erlitten, welcher Unwohlsein und große Sorge über einen möglichen Missbrauch der sie betreffenden Daten ausgelöst habe. Sie habe ein verstärktes Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen entwickelt. Es könne zudem zum jetzigen Zeitpunkt noch nicht abgesehen werden, welche Dritte Zugriff auf die Daten der klagenden Partei erhalten hätten und für welche konkreten kriminellen Zwecke die Daten missbraucht würden. Folgen von Datenschutzverletzungen würden sich ihrem Wesen nach erst spät zeigen und lange unerkannt bleiben. Es erscheine auf Grund der Veröffentlichung der Telefonnummern möglich, dass die Klagepartei durch eine Vielzahl betrügerischer Anrufe belästigt werde. Die Beklagte habe ihre Auskunftsverpflichtung nicht erfüllt. Ferner habe die Beklagte als Verantwortliche i.S.d. DSGVO die Klägerseite betreffende personenbezogene Daten ohne Rechtsgrundlage verarbeitet. Die Beklagte habe weder die Klägerseite noch die Aufsichtsbehörde in ausreichendem Maße und rechtzeitig über die Verarbeitung sie betreffender personenbezogener Daten informiert bzw. aufgeklärt. Die der Klägerseite entstandenen Rechtsanwaltskosten seien von der Beklagten zu ersetzen. Die Beklagte trage die Darlegungs- und Beweislast, soweit die Einhaltung der DS-GVO in Streit stehe. Die Klagepartei beantragt, 1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Telefonnummer (+49...) sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen. 2. Die Beklagte wird verurteilt, an die Klägerin für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DS-GVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen. 3. Die Beklagte wird verurteilt, der Klägerseite Auskunft über die die Klägerseite betreffenden weiteren personenbezogenen Daten zu erteilen, die durch Unbefugte erlangt werden konnten, namentlich welche Daten außer der Telefonnummer der Klägerseite durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch „Web Scraping“, die Anwendung des Kontaktimporttools oder auf andere Weise unbefugt erlangt werden konnten. 4. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, wie geschehen anlässlich des sogenannten Facebook-Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand. Ferner wird beantragt, die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 800,39 EUR zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz zu zahlen, Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte ist der Ansicht, der Zahlungsantrag sei zu unbestimmt und daher unzulässig, weil er sich auf eine Vielzahl an Verstößen gegen die DS-GVO stütze. Der Unterlassungsantrag sei zu unbestimmt und ihm fehle das Rechtsschutzbedürfnis, soweit er auf die konkrete Verletzungsform bezogen sei. Mit dem Scraping-Sachverhalt gehe seitens der Beklagten keine Verletzung der Rechte und Pflichten aus der DSGVO einher. Die Beklagte behauptet, sie stelle ihren Nutzern alle in der DS-GVO festgelegten Informationen hinsichtlich der Datenverarbeitung zur Verfügung, daher sei ein Verstoß gegen Transparenzpflichten bereits im Grundsatz zu verneinen. Dritte hätten im relevanten Zeitraum Informationen von der Facebook-Plattform abgerufen, die ohnehin öffentlich einsehbar waren. Dies geschah über Funktionen, welche es ordnungsgemäßen Nutzern ermöglichen sollen, mit anderen Nutzern in Kontakt zu treten. Es habe damals keine formellen oder vorgeschriebenen Branchen- oder Industriestandards zur Bekämpfung von Scraping gegeben. Im Einklang mit der Marktpraxis habe die Beklagte während des relevanten Zeitraums sowohl über Übertragungsbegrenzungen als auch eine Boterkennung verfügt. Sie habe eine Vielzahl von Maßnahmen zur Vermeidung von Scraping vorgenommen und entwickele diese laufend fort. Dazu gehören unter anderem auch Captchas. Anti-Scraping-Maßnahmen müssen eine Balance zwischen der Gewährleistung der Nutzbarkeit der Funktionen für die legitimen Nutzer (d. h. der Funktionsfähigkeit des Hochladens von Kontakten) und der Eindämmung des Scraping-Risikos finden. Dementsprechend musste die Beklagte diese Übertragungsbeschränkungen während des maßgeblichen Zeitraums dergestalt festlegen, dass diese zwar eindeutig exzessive (und wahrscheinlich auf unauthentischem Verhalten beruhende) Aktivitäten unterbinden, jedoch zugleich immer noch das breite Spektrum einer normalen Nutzung der zugrunde liegenden Funktionalität berücksichtigten. Die im Internet erfolgte Veröffentlichung von Daten der Klagepartei habe sich nicht signifikant auf das ohnehin bestehende Risiko der Cyber-Kriminalität ausgewirkt. Es sei Teil des allgemeinen Lebensrisikos, Opfer von Internetkriminalität beziehungsweise Identitätsdiebstahl zu werden. Beider Klagepartei seien lediglich NutzerID, Vorname, Land und Geschlecht betroffen gewesen, wobei das Land wohl eher der Telefonnummer entnommen worden sei.Der Zugriff auf die Telefonnummer einer Person, selbst in Kombination mit den Profildaten in den durch Scraping abgerufenen Daten, erhöhe nicht das Risiko, dass diese Person Opfer von Betrug oder anderen schweren Internetverbrechen wird, da diese Informationen häufig weitergegeben werden. Vielmehr würden solche Verbrechen in der Regel weitaus sensiblere Informationen erfordern – wie Kredit- oder Bankkartennummern, nationale Ausweisnummern oder Kontopasswörter –, die nach Kenntnis der Beklagten nicht in den durch Scraping abgerufenen Daten enthalten waren. Die Beklagte ist der Auffassung, Auskunft sei schon erteilt worden. Zur Beantwortung von Fragen betreffend die Verarbeitungstätigkeiten Dritter sei die Beklagte weder imstande noch nach Art. 15 DSGVO rechtlich verpflichtet. Wegen der Einzelheiten des Parteivorbringens wird auf die vorbereitenden Schriftsätze nebst Anlagen sowie das Protokoll zur mündlichen Verhandlung Bezug genommen. Das Gericht hat die Klagepartei persönlich angehört; auf das Protokoll der mündlichen Verhandlung wird verwiesen.