307 O 117/22

Leitsatz: 1. Es ist vorliegend in Betracht zu ziehen, dass der Plattformbetreiber angemessene organisatorische und technische Maßnahmen getroffen hat, um Scraping zu reduzieren und zu bekämpfen. So hat er insbesondere Übertragungsbeschränkungen und Bot-Erkennung eingesetzt, um Scraping zu bekämpfen. In diesem Zusammenhang ist zu bedenken, dass Scraping nicht gänzlich verhindert werden kann. Anti-Scraping-Maßnahmen müssen eine Balance zwischen der Gewährleistung der Nutzbarkeit der Funktionen für die legitimen Nutzer und der Eindämmung des Scraping-Risikos finden.(Rn.27) 2. Der Plattformbetreiber dürfte vorliegend seinen Pflichten gemäß Art. 32 Abs. 1 Buchst. d) DSGVO nachgekommen sein.(Rn.29) 3. Der Plattformbetreiber hat den Kläger im ausreichenden Maße über die Verarbeitung ihn betreffender personenbezogener Daten informiert und aufgeklärt und somit nicht gegen Art. 13 DSGVO verstoßen.(Rn.30) 4. Allgemeine Belästigungen wie der Erhalt von Anrufen und Spammails, welche mit der Nutzung diverser Medien verbunden sind, stellen keine wesentlichen Beeinträchtigungen dar. Es handelt sich um (negative) Gefühle, die Teil des allgemeinen Lebensrisikos und des täglichen Erlebens sind, die aber noch keine Beeinträchtigung des Seelenlebens oder der Lebensqualität darstellen, die einen immateriellen Schaden i.S.d. Art. 82 DSGVO begründen können (Anschluss BGH, Beschluss vom 26. September 2023 - VI ZR 97/22).(Rn.38) 1. Die Klage wird abgewiesen. 2. Der Kläger hat die Kosten des Rechtsstreits zu tragen. 3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar. Beschluss Der Streitwert wird auf bis EUR 10.000,00 festgesetzt. Die zulässige Klage ist unbegründet. 1. Die Klage ist zulässig. a) Das Landgericht Hamburg ist zuständig. Die sachliche Zuständigkeit richtet sich nach §§ 71 GVG, 23 Nr. 1 GVG. Die internationale Zuständigkeit richtet sich nach Art. 18 Abs. 1 2. Alt EuGVVO. Danach kann die Klage eines Verbrauchers gegen den Vertragspartner vor dem Gericht des Mitgliedstaats erhoben werden, an dem der Verbraucher seinen Wohnsitz hat. Darüber hinaus ist Art. 79 Abs. 2 S. 2 DSGVO, auf den der Art. 82 Abs. 6 DSGVO verweist, einschlägig. Dieser legt den gewöhnlichen Aufenthaltsort, also Wohnsitz des Betroffenen als besonderen Gerichtsstand fest. b) Die Klage ist hinreichend bestimmt. Die Unterlassungsanträge zu 3) a) und b) sind zulässig, auch wenn sie wegen unbestimmter Rechtsbegriffe auslegungsbedürftig sind. Dies ist unschädlich, wenn es der Gewährleistung effektiven Rechtsschutzes dient (vgl. BGH, Urteil vom 21.05.2015 - I ZR 183/13 - juris). Die Aufzählung konkreter technischer Maßnahmen ist angesichts der dynamischen Entwicklung im technischen Bereich ohne Gefahr, bei Rechtskraft der Entscheidung veraltete Maßnahmen benannt zu haben, nicht möglich und zumutbar. c) Hinsichtlich des Feststellungsantrags im Klageantrag zu 2) ist das gemäß § 256 Abs. 1 ZPO erforderliche Feststellungsinteresse anzunehmen. Die Möglichkeit ist gegeben, dass weitere Schäden durch die Verwendung von illegal erlangten Daten entstehen können. Denn besteht die Möglichkeit des Eintritts weiterer Verletzungsfolgen, so kann ein rechtliches Interesse an der Feststellung der Ersatzpflicht für immaterielle Zukunftsschäden auch dann gegeben sein, wenn der Schmerzensgeldanspruch dem Grunde nach bereits für gerechtfertigt erklärt worden ist (vgl. BGH, Urt. v. 20. 3. 2001 - VI ZR 325/99, NJW 2001, 3414). 2. Die Klage ist jedoch unbegründet. a) Dem Kläger steht kein Schadensersatzanspruch in Höhe von EUR 1.000,00 EUR nebst Zinsen wegen diverser Verstöße gegen die DSGVO nach Art. 82 DSGVO zu. aa) Es ist bereits fraglich, ob die Beklagte gegen Datenschutzbestimmungen verstoßen hat. Die wesentliche Funktion, über die die Kläger und die Beklagte streiten, ermöglichte Nutzern das Hochladen ihrer Mobilgeräte-Kontakte auf die F.-Plattform, um Verbindungen herzustellen. Daten, die durch Scraping von öffentlich einsehbaren Profilinformationen auf F. gewonnen wurden, sollten nicht von der Beklagten gespeichert worden sein. Die Beklagte hat nicht gegen Art. 6 DSGVO verstoßen. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Paal/Pauly/Ernst, 3. Aufl. 2021, DSGVO Art. 4 Rn. 3). Als identifizierbar gilt gem. Art. 4 Nr. 1 DSGVO eine natürliche Person, welche direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die Beklagte stellt ihren Nutzern – inklusive der Kläger – alle in Art. 13 DSGVO festgelegten Informationen zur Datenverarbeitung zur Verfügung, die sie zum Zeitpunkt der Datenerhebung im Anwendungsbereich der Datenrichtlinie durchführt. Mithin erfolgte kein Verstoß gegen die Transparenzpflichten der DSGVO. Darüber hinaus hat die Beklagte alle Nutzer – einschließlich der Klagepartei – umfassend und transparent über die Möglichkeiten der Anpassung ihrer Suchbarkeits-Einstellungen und Zielgruppenauswahl informiert, die in diesem Zusammenhang regeln, wer bestimmte persönliche Informationen, die der Nutzer in seinem F.-Profil hinterlegt hat, einsehen kann. Diese Einstellungen konnten von dem Kläger jederzeit nach seinen Wünschen angepasst werden. Der Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f DSGVO fordert, dass die personenbezogenen Daten in einer Weise vom Verantwortlichen verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Datenschutzkonformität setzt also neben der Zulässigkeit der Verarbeitung personenbezogener Daten auch die Sicherheit der Verarbeitung voraus. Dies ergibt sich vor allem aus Art. 32 DSGVO. Hier ist geregelt, dass Verantwortliche geeignete technische und organisatorische Maßnahmen zum Schutze der Sicherheit der Verarbeitung von personenbezogenen Daten zu ergreifen haben. Maßnahmen, das Gebot der Vertraulichkeit umzusetzen, sind etwa eine Zutritts-, Zugriffs-, Zugangs- oder Weitergabekontrolle (Paal/Pauly/Martini, 3. Aufl. 2021, DSGVO Art. 32 Rn. 35d). Zu berücksichtigen sind bei der Wahl der Maßnahmen darüber hinaus der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und der Zweck der Datenverarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (BeckOK DatenschutzR/Paulus, 39. Ed. 1.11.2021, DSGVO Art. 32). Nach der Definition in Art. 4 Nr. 12 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten bei einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, anzunehmen (BeckOK DatenschutzR/Schild, 39. Ed. 1.11.2021, DSGVO Art. 4 Rn. 133). Danach ist in Betracht zu ziehen, dass die Beklagte angemessene organisatorische und technische Maßnahmen getroffen hat, um Scraping zu reduzieren und zu bekämpfen. So hat die Beklagte insb. Übertragungsbeschränkungen und Bot-Erkennung eingesetzt, um Scraping zu bekämpfen. Übertragungsbeschränkungen reduzieren die Anzahl der konkreten Datenabfragen, die pro Nutzer oder IP-Adresse über einen bestimmten Zeitraum gestellt werden können. Maßnahmen zur Bot-Erkennung tragen dazu bei, Konten zu identifizieren, die nicht von Menschen, sondern von einer Software betrieben werden. In diesem Zusammenhang ist zu bedenken, dass Scraping nicht gänzlich verhindert werden kann. Anti-Scraping-Maßnahmen müssen eine Balance zwischen der Gewährleistung der Nutzbarkeit der Funktionen für die legitimen Nutzer (d. h. der Funktionsfähigkeit des Hochladens von Kontakten) und der Eindämmung des Scraping-Risikos finden. Im Übrigen waren die durch Scraping abgerufenen Daten – soweit sie den Kläger betreffen und von der F.-Plattform stammen – im Einklang mit den Privatsphäre-Einstellungen der Kläger in seinem F.-Profil öffentlich einsehbar, d.h. diese durch Scraping abgerufenen Daten waren nicht vertraulich. Der Umstand, dass eine Verknüpfung der Telefonnummer mit dem Account der Kläger stattfinden konnte, beruht nicht auf einem Mangel an technischen Vorkehrungen der Beklagten, sondern auf dem Umstand der eingestellten Suchbarkeit des Profils der Kläger, die sie jederzeit hätte ändern können. Die Beklagte dürfte auch ihren Pflichten gemäß Art. 32 Abs. 1 lit. d) DSGVO nachgekommen. sein. Hiernach sind Verantwortliche verpflichtet, „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ zu ergreifen. Das bedeutet, dass selbst bei unterstellter Wirksamkeit der Maßnahmen zum Zeitpunkt ihrer Implementierung noch nicht feststeht, ob die Maßnahmen auch zum Zeitpunkt des Datenklaus noch dem Risiko angemessen waren. Eine Überprüfung der Nutzung der F.-Suchfunktion durch die Beklagte im März 2018 ergab, dass eine Vielzahl von Anfragen an die Suchfunktion von einer Reihe von IP-Adressen aus Osteuropa genutzt wurde. Es handelte sich dabei mutmaßlich um ein Netzwerk von sog. Bot-Accounts (Nutzerkonten, hinter denen kein Mensch, sondern Software steht), welche von verschiedenen IP-Adressen innerhalb der oben beschriebenen Übertragungsbeschränkungen agierten. Infolgedessen senkte die Beklagte die Übertragungsbeschränkungen für die Suche anhand der Telefonnummer für die F.-Suchfunktion. Nach weiteren Analysen stellte die Beklagte fest, dass legitime Nutzer zwar die F.-Suchfunktion nutzten, um andere Nutzer anhand der Telefonnummer zu finden, es aber üblicher war, diese Funktion für die Suche nach anderen Nutzern anhand des Namens zu verwenden. Um Freunde anhand der Telefonnummer zu finden, neigten F.-Nutzer hingegen dazu, die Suche durch die Kontakt-Importer-Funktion vorzunehmen. Um Scraping weiter zu bekämpfen, deaktivierte die Beklagte im April 2018 daher die Suche von Nutzern anhand der Telefonnummer in der F.-Suchfunktion, obwohl dadurch eine Funktion entfiel. Obwohl die Beklagte zu diesem Zeitpunkt keine Scraping-Aktivitäten über die Kontakt-Importer-Funktion feststellte, überprüfte sie die Übertragungsbeschränkungen innerhalb dieser Funktion und senkte die Übertragungsbeschränkungen ebenfalls ab. Im Nachgang führte die Beklagte proaktiv eine weitere Schutzmaßnahme für den Kontakt-Importer der F.-Plattform ein, die darauf abzielte, einen übereinstimmenden Kontakt nur dann anzuzeigen, wenn die beiden Nutzer einander zu kennen schienen („Social Connection Check“). Lud ein Nutzer seine Kontaktliste von seinem Mobiltelefon über den Kontakt-Importer der F.- Plattform hoch, wurde der übereinstimmende Nutzer nur dann dem importierenden Nutzer angezeigt, wenn der importierende Nutzer einen Namen (sowie die Telefonnummer) für den hochgeladenen Kontakt importierte, der dem Namen des übereinstimmenden F.-Nutzers ähnelte oder der übereinstimmende Nutzer den importierenden Nutzer bereits in seinen F.-Kontakten hatte. Die Beklagte überarbeitete die Kontakt-Importer-Funktion schließlich dergestalt, dass sie die Anzeige direkter Kontaktübereinstimmungen durch eine Liste mit Kontaktvorschlägen, der „Menschen, die du kennen könntest“-Funktion („People you may know“-Funktion/PYMK-Funktion) ersetzte. In Folge dieser Überarbeitung ordnete die Kontakt-Importer-Funktion einen gefundenen F.-Nutzer nicht mehr dem Kontakt auf dem Telefon zu, sondern zeigte nach dem Import der Kontakte vom Mobiltelefon eine Liste mit Nutzern an, die der importierende Nutzer kennen könnte und somit eine Liste, die möglicherweise nur wenige oder gar keine der vom Nutzer hochgeladenen Kontakte enthält. Die PYMK-Funktion basierte zum Teil auf den Ergebnissen des Telefonnummernabgleichs. Jedoch wurden zudem andere Indikatoren, die etwa eine soziale Verbindung zwischen Nutzern nahelegten, herangezogen. Die Abkehr von der Anzeige sämtlicher direkter Kontaktübereinstimmungen schränkte die Nutzbarkeit zum Importieren von Kontakten für ordnungsgemäße Nutzer erheblich ein. Dennoch nahm die Beklagte diese Maßnahme als Teil ihrer fortlaufenden Bestrebungen, Scraping zu bekämpfen, vor. Zunächst betont die Beklagte erneut, dass der Scraping-Sachverhalt das Abrufen immer öffentlicher Nutzerdaten sowie solcher, die aufgrund der Zielgruppenauswahl des jeweiligen Nutzers öffentlich einsehbar waren, betraf. Daraus folgt, dass die Beklagte in Bezug auf die Systeme und Dienste im Zusammenhang mit der Verarbeitung von vornherein nicht verpflichtet war (oder sein konnte), Vertraulichkeit sicherzustellen. Die Beklagte hat den Kläger im ausreichenden Maße über die Verarbeitung ihn betreffender personenbezogener Daten informiert und aufgeklärt und somit nicht gegen Art. 13 DSGVO verstoßen. Art. 13 DSGVO sieht Informationspflichten vor, die allgemein auf die Verarbeitung von personenbezogenen Daten beim Betroffenen, also einer sogenannten Direkterhebung der Daten abstellen. Die Norm begründet eine Pflicht für den Verantwortlichen, die erforderliche Transparenz in aktiver Art und Weise herzustellen (Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DSGVO Art. 13 Rn. 4). Die Beklagte hat transparent über die Verarbeitung ihrer personenbezogenen Daten und die verfügbaren Privatsphäre-Einstellungen unterrichtet. Die Privatsphäre-Einstellungen, Privatsphäre-Tools und Hilfebereichsseiten standen der Kläger zur Verfügung. Die Beklagte hat die Kläger auch bei der erstmaligen Registrierung auf die Datenrichtlinie hingewiesen, sodass sie von dieser Kenntnis nehmen konnte. Zudem wies die Beklagte Nutzer der F.-Plattform in der EU im Zusammenhang mit dem Geltungsbeginn der DSGVO am 25. Mai 2018 nochmals explizit auf die Datenrichtlinie hin. In Vorbereitung des Geltungsbeginns wurden die Nutzungsbedingungen und die Datenrichtlinie der Beklagten im April 2018 aktualisiert und die Beklagte forderte die Nutzer zur Überprüfung ihrer Privatsphäre-Einstellungen auf. Im Zuge der Aktualisierung der Nutzungsbedingungen und der Datenrichtlinie im April 2018 wies die Beklagte alle Nutzer in der EU auf die aktualisierte Datenrichtlinie hin und die Nutzer mussten den aktualisierten Nutzungsbedingungen zustimmen, um die F.-Plattform weiter nutzen zu können. Es ist fraglich, ob die Beklagte musste weder die Klägerseite noch die zuständige Aufsichtsbehörde – hier: Irish Data Protection Commission – informieren. Einer Meldepflicht nach Art. 33 DSGVO oder Benachrichtigungspflicht nach Art. 34 DSGVO musste die Beklagte nicht nachkommen, da eine solche jeweils in Folge des Scraping-Sachverhalts nicht bestand. Grund hierfür ist, dass die Telefonnummer der Kläger im Einklang mit ihrer Zielgruppenauswahl für Dritte bereits öffentlich einsehbar gewesen ist. Ein mitunter für Art. 34 DSGVO erforderliches hohes Risiko für die persönlichen Rechte und für die Freiheit natürlicher Personen lässt sich nicht auf den Scraping-Sachverhalt zurückführen. bb) Es fehlt jedenfalls an dem Eintritt eines immateriellen Schadens des Klägers. Der Kläger trägt vor, er habe plötzlich viele Anrufe von Unbekannten und Spammails erhalten. Das habe etwa vor gut zwei Jahren begonnen. Es sei einfach belästigend gewesen. Die Anrufer seien drückend, fordernd und frech gewesen. Er sei geschockt und absolut platt gewesen. Insgesamt sei es „ein Schlag ins Kontor“ gewesen, als er von dem Datenleck erfahren habe. Gegen das Vorliegen des von dem Kläger behaupteten Kontrollverlusts spricht, dass es sich bei den gescrapten Daten, jedenfalls bezüglich Name, Vorname, und Geschlecht um solche handelt, die immer öffentlich sichtbar sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Hierauf wurde der Kläger auch durch die Beklagte hingewiesen. Der Kläger hat seine Telefonnummer angegeben und nicht durchgängig die Privateinstellung gewählt hat. Diese Aspekte waren ihm offensichtlich nicht so wichtig, dass insoweit ein nachvollziehbarer Kontrollverlust angenommen werden kann. Soweit der Kläger angibt, er habe Anrufe und Spammails in erheblichen Mengen erhalte, fehlt es bereits an einer substantiierten Darlegung derartiger Vorfälle. Vielmehr handelt es sich um einen allgemeinen Vortrag, den das Gericht aus mehreren Parallelverfahren kennt. Die Anhörung des Klägers führte ferner nicht zu der Überzeugung, dass der Kläger wesentliche immaterielle Beeinträchtigungen erlitten hat. Dass der Erhalt der Anrufe und Mails in irgendeinem Zusammenhang mit dem Vorfall steht, ist bereits nicht erkennbar. Anhand der Schilderungen lässt sich zudem nicht feststellen, dass der Kläger spürbare immaterielle Beeinträchtigungen erlitten hat. Die diesbezüglichen Äußerungen sind sehr pauschal und allgemein. Es sind vielmehr ganz allgemeine Belästigungen, welche mit der Nutzung diverser Medien verbunden sind, die der Kläger schildert. Solche bloßen Lästigkeiten stellen keine wesentlichen Beeinträchtigungen dar. Auch wenn nach den Vorgaben des Europäischen Gerichtshofs eine Erheblichkeits- oder Bagatellschwelle nicht angenommen werden darf (EuGH, Urteil vom 4.5.2023 – C-300/21 - NJW 2023, 1930), genügen die klägerseits geschilderten Gefühle nicht zur Bejahung einer immateriellen Beeinträchtigung. Es handelt sich um (negative) Gefühle, die – wie früher unerwünschte Werbepost – Teil des allgemeinen Lebensrisikos und des täglichen Erlebens sind, die aber noch keine Beeinträchtigung des Seelenlebens oder der Lebensqualität darstellen, die einen immateriellen Schaden im Sinne des Art. 82 DSGVO begründen können (vgl. dazu auch BGH, Beschluss vom 26.09.2023, VI ZR 97/22 Rn. 33; OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23 –, Rn. 345, juris). b) Dem Kläger steht auch kein Anspruch auf Feststellung zu, dass die Beklagte verpflichtet ist, der Klägerseite alle weiteren, auch künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten („F.-Datenleak“) entstehen. Der Feststellungsantrag zu 2) ist unbegründet, weil der Eintritt eines Schadens nicht festgestellt werden kann, wie ausgeführt, und der Eintritt künftiger Schäden – auch mangels Vorliegens eines bisherigen Schadens – nicht hinreichend wahrscheinlich ist. Dabei ist auch zu berücksichtigen, dass der Scraping-Vorfall aus dem Jahr 2019 stammt und auch die Veröffentlichung der gescrapten Daten im Internet ab April 2021 inzwischen bereits vor über zwei Jahren erfolgt ist. c) Dem Kläger stehen die mit den Klaganträgen zu 3) a) und b) geltend gemachten Ansprüche gegen die Beklagte auf Unterlassung nicht zu. Die begehrten Unterlassungen ergeben sich nicht aus Art. 17 DSGVO. Danach hat die betroffene Person unter bestimmten Voraussetzungen gegen den Verantwortlichen einer Datenverarbeitung zwar einen Anspruch, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Eine Löschung von Daten verlangt der Kläger hier jedoch nicht von der Beklagten. Allerdings kann sich aus Art. 17 DSGVO über den Wortlaut hinaus grundsätzlich auch ein Anspruch auf Unterlassung ergeben (vgl. BGH, Urteil vom 12.10.2021 – VI ZR 489/19 - juris Rn. 10). Dieser Unterlassungsanspruch richtet sich jedoch nur auf die Unterlassung der Speicherung von Daten. Das Gegenstück der Löschung von Daten ist die Speicherung von Daten. Denn unter Löschen versteht man die Unkenntlichmachung gespeicherter Informationen, so dass es niemand mehr ohne unverhältnismäßigen Aufwand möglich ist, die Information wahrzunehmen (vgl. etwa Kühling/Buchner, 3. Auflage, DSGVO Art. 17 Rn. 37). Die Kläger verlangt hier nicht die Unterlassung der Speicherung von Daten über ihn durch die Beklagte, sondern die Unterlassung der Übermittlung von Daten durch die Beklagte an Dritte. Wie insbesondere die Definition der Datenverarbeitung in Art. 4 Nr. 1 DSGVO und die Überschriften der Art. 44 bis 46 DSGVO zeigen, unterscheidet die DSGVO aber klar zwischen der Speicherung von Daten und der Übermittlung von Daten (an Dritte) (OLG Frankfurt, Urteil vom 30.03.2023 – 16 U 22/22 - GRUR 2023, 904 Rn. 45). Soweit der Kläger die Unterlassung der Verarbeitung seiner personenbezogenen Daten verlangt, handelt es sich ebenfalls um kein Löschungsbegehren nach Art. 17 DSGVO. Vielmehr geht es der Kläger darum, dass es die Beklagte unterlässt, auf Grundlage der erteilten Einwilligung, die nach Ansicht des Klägers unübersichtliche und unvollständige Informationen erhalte, insbesondere die Telefonnummer zu verarbeiten. Diese Anträge auf Unterlassung bestimmter Datenverarbeitungsvorgänge sind nicht mehr vom Schutzumfang des Art. 17 DSGVO erfasst. Es geht nicht um die Unterlassung einer erneuten Speicherung, sondern die Unterlassungsanträge verlangen etwas Anderes. Da Art. 17 DSGVO lediglich ein Löschungsrecht bezüglich personenbezogener Daten einräumt, jedoch gerade keine weitergehenden Rechte bezüglich der Datenverarbeitungsvorgänge an sich normiert werden, können keine Unterlassungsansprüche geltend gemacht werden, die im Ergebnis die Verarbeitungsvorgänge des Verantwortlichen reglementieren können (vgl. OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23 –, Rn. 576, juris). Unterlassungsansprüche nach nationalem Recht, insbesondere ein Anspruch aus den § 1004 Abs. 1 Satz 2 BGB, § 823 Abs. 2 BGB in Verbindung mit der verletzten Norm der DSGVO, sind wegen der durch die DSGVO unionsweit abschließend vereinheitlichten Regelung des Datenschutzrechts ausgeschlossen (OLG Frankfurt, Urteil vom 30.03.2023 – 16 U 22/22, GRUR 2023, 904 Rn. 49 ff., beck-online). Schadensersatz- und Unterlassungsansprüche des nationalen Rechts finden, soweit diese auf Verstöße gegen Regeln zur Verarbeitung personenbezogener Daten und anderer Regelungen der DSGVO gestützt sind, keine Anwendung, weil Vorschriften des DSGVO eine abschließende, weil voll harmonisierende europäische Regelung bilden (BeckOK DatenschutzR/Wolf/Brink, 44. Edition, Stand: 01.02.2022, Einleitung zur DSGVO, Rn. 19). Wegen dieses Anwendungsvorrangs des unionsweit abschließend vereinheitlichten Datenschutzrechts kann ein Anspruch nicht auf Vorschriften des nationalen deutschen Rechts gestützt werden (BVerfG, Beschluss vom 06.11.2019 – 1 BvR 276/17 - NJW 2020, 314, Rn. 64 m.w.N.). d) Der Kläger hat keinen Anspruch gegen die Beklagte auf Auskunft, welche verarbeitet werden und durch Scraping erlangt werden konnten. Die reguläre Verarbeitung wurde mitgeteilt. Weitere Auskünfte sind nicht zu erteilen. Es ist nicht erkennbar, wer diese Daten gescrapt hat oder ob es nur einer oder mehrere Angriffe von verschiedenen Personen waren. Die begehrte Auskunftserteilung ist aufgrund des Vorgangs des Scrapings unter Ausnutzung von Daten, die öffentlich sichtbar sind, für die Beklagte unmöglich, da jeder insoweit Täter sein könnte, der die Plattform aufrufen kann und über automatisierte Suchmaschinen verfügt. Ebenso ist es unmöglich, zu informieren, wann genau die Daten gescrapt wurden. Die Beklagte hat dem Kläger im Ergebnis also bereits alle Informationen mitgeteilt, die ihr im Zuge des Scraping-Vorfalls zur Verfügung standen. Weitere Angaben kann sie nicht machen. Sie ist folglich hierzu auch nicht verpflichtet (so auch, LG Offenburg, Urteil vom 28.02.2023 – 2 O 98/22, GRUR-RS 2023, 2654 Rn. 50-52; LG Bielefeld, Urteil vom 10.03.2023 – 19 O 147/22, Rn. 61, juris). e) Mangels Ansprüche gegen die Beklagte ist sie auch nicht zum Ersatz der der Kläger vorgerichtlich entstandenen Kosten der Rechtsverfolgung verpflichtet. 3. Die Kosten des Rechtsstreits hat die Kläger gemäß § 91 ZPO zu tragen. Die Vollstreckbarkeitsentscheidung folgt aus § 709 ZPO. Die Parteien streiten über Ansprüche auf Schadensersatz, Auskunft, Unterlassung und Erstattung der Rechtsverfolgungskosten infolge möglicher Verletzungen von Datenschutzbestimmungen und damit einhergehend von Persönlichkeitsrechten, Grundrechten sowie Grundfreiheiten, insbesondere dem Recht auf Schutz personenbezogener Daten. Der Kläger ist auf der von der Beklagten betriebenen Social-Media Plattform („F.“/www. f..com) angemeldet. Die Rechtsbeziehungen für die F.-Mitgliedschaft wurde vertraglich durch allgemeine Geschäftsbedingungen der Beklagten gestaltet, die die wechselseitigen Pflichten der Vertragsparteien festlegen. Der Kläger gab bei der Einrichtung des Accounts E-Mail-Adresse und Telefonnummer an und wechselte im Laufe der Zeit mehrfach zwischen Einstellungen der privaten und öffentlichen Sichtbarkeit. Auf F. trat ein Datenleck auf, dessen Reichweite und Betroffene im Jahr 2021 konkret deutlich wurden. Bei den durch sog. „Web-Scraping“ erlangten Datensätzen handelte es sich insb. um Telefonnummer, E-Mail-Adresse, F.ID, Name, Vorname, Geschlecht, Bundesland, Land, Stadt und Beziehungsstatus. Während er Zeit des Datenabgriffs stand die Einstellung des Klägers auf öffentlich („everyone“). Der Kläger behauptet, von ihm seien jedenfalls die Telefonnummer, der Name, der Wohnort und die Mailadresse abgegriffen worden. Die Beklagte habe nicht ausreichend über die Verarbeitung der Daten aufgeklärt. Sie habe unzureichende Maßnahmen getroffen, das Datenleck zu erkennen und zu verhindern. Ferner habe die Beklagte es unterlassen, die Kläger über die Geschehnisse zu informieren. Weder habe eine persönliche Benachrichtigung noch eine allgemein öffentliche Bekanntmachung über den „Datenklau“ stattgefunden. Der Kläger meint, die Beklagte habe gegen die DSGVO und das allgemeine Persönlichkeitsrecht verstoßen, insb. indem sie personenbezogene Daten der Klägerseite ohne Rechtsgrundlage (unbefugten) Dritten zugänglich gemacht zu haben, personenbezogenen Daten der Klägerseite ohne Gewährleistung der Sicherheit verarbeitet zu haben, weder die Klägerseite noch die zuständige Behörde (Irish Data Protection Commission) über die Datenschutzverletzungen gem. Artt. 33, 34 DSGVO informiert zu haben, nicht über die Datenverarbeitungen im Sinne des Art. 13 DSGVO vollständig informiert zu haben, das Auskunftsrecht der Klägerseite nach Art. 15 DSGVO verletzt zu haben. Er habe plötzlich viele Anrufe von Unbekannten und Spammails erhalten. Das habe etwa vor gut zwei Jahren begonnen. Es sei einfach belästigend gewesen. Die Anrufer seien drückend, fordernd und frech gewesen. Er sei geschockt und absolut platt gewesen. Insgesamt sei es „ein Schlag ins Kontor“ gewesen, als er von dem Datenleck erfahren habe. Der Kläger beantragt, 1. die Beklagte zu verurteilen, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch EUR 1.000,00 nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz, 2. festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden, 3. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, a) personenbezogene Daten der Klägerseite, namentlich Telefonnummer, F.ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, b) die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklage erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch die Verwendung des Kontaktimportpools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der F.-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird, 4. die Beklagte zu verurteilen, der Klägerseite Auskunft über die die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten, 5. die Beklagte zu verurteilen, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von EUR 354,62 zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte meint, dass die Klage bereits teilweise unzulässig ist, da die Klaganträge zu unbestimmt seien. Für den Feststellungsantrag fehle das Feststellungsinteresse. Weitere Schäden seien nicht hinreichend wahrscheinlich, die von dem Kläger behaupteten betroffenen Daten hätten kaum Missbrauchspotential. Ein einmal entstandener Kontrollverlust könne sich nicht wiederholen. Jedenfalls aber sei die Klage vollumfänglich unbegründet. Die Beklagte habe die DSGVO nicht verletzt. Die Klagepartei habe auch keinen immateriellen Schaden dargelegt. Auskunftsansprüche bestünden nicht, da die Beklagte gegenüber der Klagepartei bereits vorgerichtlich alle geforderten Auskünfte erteilt habe. Der Klagepartei stünden auch weder vertragliche noch gesetzliche Unterlassungsansprüche zu. Ergänzend wird auf den Inhalt der eingereichten Schriftsätze nebst Anlagen verwiesen.