308 O 110/23

Leitsatz: 1. Das Risiko, dass Dritte die Telefonnummer des Betroffenen unbefugt, unabsichtlich oder im Rahmen technischer Vorfälle anderen Personen zugänglich gemacht haben, geht allgemein mit der Nutzung eines Telefons einher. Das Auftreten von Unannehmlichkeiten wie vermehrten Spam-Anrufen und -SMS können daher nicht ohne Weiteres auf ein Scraping-Ereignis zurückgeführt werden (Anschluss OLG München, Urteil vom 24. April 2024 - 34 U 2306/23 e).(Rn.29) 2. Die Begriffe „unbefugte Dritte“ und „Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme“ in einer Unterlassungsklage lassen das Rechtsschutzziel des Klägers nicht hinreichend deutlich erkennen, weshalb ein entsprechender Antrag mangels Bestimmtheit unzulässig ist.(Rn.40) 1. Die Klage wird abgewiesen. 2. Der Kläger hat die Kosten des Rechtsstreits zu tragen. 3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110% des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar. 4. Der Streitwert wird auf 14.500,00 € festgesetzt. Die Klage hat keinen Erfolg. Die Anträge zu 2), 3a) und 3b) sind bereits unzulässig, die Anträge zu 1), 4) und 5) sind unbegründet. I. Der Klagantrag zu 1. ist unbegründet. Der Kläger hat gegen die Beklagte keinen Anspruch auf Ersatz des geltend gemachten immateriellen Schadens. Die Voraussetzungen des Art. 82 DSGVO liegen nicht vor. Der Kläger hat nicht mit der insoweit für das Gericht erforderlichen Überzeugung beweisen können, dass er aufgrund des Scraping-Vorfalls - einen DSGVO-Verstoß der Beklagten hinsichtlich der Daten des Klägers unterstellt - einen immateriellen Schaden erlitten hat. Das Gericht vermag hinsichtlich der Telefonnummer des Klägers nicht, aufgrund des klägerischen Vortrags den erforderlichen Kausalzusammenhang zwischen dem Scraping-Vorfall und den von dem Kläger behaupteten Unannehmlichkeiten festzustellen. Zwar steht nach dem Vortrag des Klägers das vermehrte Auftreten von Spam-Anrufen und -SMS in einem zeitlichen Zusammenhang. Darüberhinausgehende Anhaltspunkte für einen kausalen Zusammenhang wurden jedoch nicht vorgetragen. Es kann allerdings nicht ausgeschlossen werden, dass Dritte die Telefonnummer des Klägers unbefugt, unabsichtlich oder im Rahmen technischer Vorfälle anderen Personen zugänglich gemacht haben. Dies stellt ein allgemeines Risiko dar, welches mit der Nutzung eines Telefons einhergeht und die alle Nutzer in ähnlicher Weise trifft und nicht auf den Kontrollverlust durch das streitgegenständliche Scraping-Ereignis (so auch zutreffend OLG München, Urteil vom 24. April 2024 - 34 U 2306/23 e -, Rn. 37, juris). Dies gilt insbesondere im vorliegenden Fall, in dem der Kläger seine Telefonnummer seit nunmehr über 20 Jahren nutzt und nach eigenen Angaben an rund 200 Kontakte weitergegeben hat. Schon die klägerische Schilderung des Sachverhaltskomplexes um den Verlust eines potentiellen Geschäftskontaktes beinhaltet den Umstand, dass ein (vertrauter) Geschäftskontakt des Klägers dessen private Nummer an eine unbekannte Dritte weitergegeben hat. Hinsichtlich der Daten, die der Kläger auf seinem Profil nicht nur seinen 2.779 F.-Freunden, sondern auch anderen F.-Nutzern zugänglich gemacht hat, wie Name und Geschlecht, ist schon ein auf dem Scraping-Vorfall kausal beruhender Kontrollverlust nicht feststellbar. Darüber hinaus hat der Kläger keine Beeinträchtigung vorgetragen, die aus der - zugunsten des Klägers einmal unterstellten - Verbreitung der übrigen Daten wie Wohnort und Beziehungsstatus resultiert. Soweit der Kläger in seiner persönlichen Anhörung schildert, plötzlich eine Vielzahl an Spam-E-Mails erhalten zu haben, lassen sich diese Vorkommnisse schon nach dem klägerischen Vortrag nicht auf den Scraping-Vorfall bei der Beklagten zurückführen. Denn ausweislich des klägerischen Vortrags, konkretisiert im Schriftsatz vom 23.05.2024, wurden im Scraping-Vorfall nur Name, Telefonnummer, Wohnort, Beziehungsstatus und Geschlecht abgegriffen. Dies deckt sich mit der beklagtenseits erteilten Auskunft vom 03.06.2024 (Anlage B16), wonach ebenfalls die E-Mail-Adresse des Klägers nicht von den „gescrapten“ Daten umfasst gewesen sein sollen. Das Gleiche gilt, soweit der Kläger in seiner persönlichen Anhörung nicht näher konkretisierte Befürchtungen geäußert hat, dass auch seine Bankdaten betroffen sein könnten. Auch hier erschließt sich nicht, inwieweit der Scraping-Vorfall bei der Beklagten im Zusammenhang mit dieser Befürchtung stehen soll. II. Der Klagantrag zu 2), mit dem der Kläger die Feststellung der Ersatzpflicht der Beklagten bezüglich zukünftiger Schäden beansprucht, ist bereits unzulässig, weil es insoweit für den geltend gemachten Anspruch an dem erforderlichen Feststellungsinteresse fehlt. Bei Schäden, die aus der behaupteten Verletzung des allgemeinen Persönlichkeitsrechts resultieren, reicht insoweit zwar bereits die Möglichkeit materieller Schäden für die Annahme eines Feststellungsinteresses aus. Ein Feststellungsinteresse ist also nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines derartigen Schadens wenigstens zu rechnen. Hier bestehen indes keinerlei konkrete Anhaltspunkte dafür, dass es aufgrund des Scraping-Vorfalls noch zu materiellen Schäden des Klägers kommt. Bis zum Zeitpunkt der mündlichen Verhandlung am 31.05.2024, also ungefähr 5 Jahre nach dem Vorfall, ist dem Kläger schon nach eigenem Vortrag kein konkret bezifferbarer Vermögensnachteil erwachsen, was jedoch, wenn die besagten Daten die Gefahr eines Missbrauchs und damit eines Vermögensschadens begründen sollten, zu erwarten gewesen wäre. Dabei ist auch zu berücksichtigen, dass die mit zunehmendem Zeitablauf stetig sinkende Aktualität der Daten für Wahrscheinlichkeit einer schädigenden Nutzung noch immer weiter abnehmen dürfte, da anzunehmen sein wird, dass betroffene Personen im Laufe der Zeit ihre Telefonnummern wechseln und die Daten damit mit zunehmendem Zeitablauf für kriminelle Aktivitäten weniger „attraktiv“ sind. Dazu kommt zudem, dass der Kläger nach eigenem Vortrag sämtlichen Kontaktaufnahmeversuchen skeptisch gegenübersteht, Betrugs-Versuche als solche zu identifizieren vermag und anonyme Anrufe nicht mehr annimmt. Ein künftiger Schaden ist damit für das Gericht rein theoretischer Natur und begründet kein Feststellungsinteresse. III. Die mit Klagantrag zu 3a und 3b geltend gemachten Unterlassungsanträge sind unzulässig. 1. Die Unterlassungsklage, mit der der Kläger entsprechend dem Klagantrag zu 3a) beantragt, die Beklagte habe es zu unterlassen, „personenbezogene Daten des Klägers, namentlich Telefonnummer, F.-ID, Familienname, Vorname, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern“ ist unbestimmt und damit unzulässig. Die Begriffe „unbefugte Dritte“ und „Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme“ lassen das Rechtsschutzziel des Klägers nicht hinreichend deutlich erkennen. Es wäre bei einer entsprechenden Verurteilung der Beklagten nicht nur ungeklärt, welche konkreten (technischen) Sicherheitsmaßnahmen diese im Rahmen der vom Kläger begehrten Unterlassungsverpflichtung zu ergreifen hätte, sondern es ergäbe sich aus einem solchen Titel auch nicht, welches konkrete Ziel sie mit den betreffenden Sicherungsmaßnahmen überhaupt erreichen müsste. Nach § 253 Abs. 2 Nr. 2 ZPO darf ein Verbotsantrag nicht derart undeutlich gefasst sein, dass Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts (§ 308 S. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und letztlich die Entscheidung darüber, was dem Beklagten verboten ist, dem Vollstreckungsgericht überlassen bliebe (vgl. BGH, Urt. v. 4.10.2007 - I ZR 143/04, NJW 2008, 1384). Zwar sind auslegungsbedürftige Begriffe im Rahmen von § 253 Abs. 2 Nr. 2 ZPO bei Unterlassungsanträgen nicht schlechthin unzulässig. Sie können hingenommen werden, wenn über den Sinngehalt der verwendeten Begriffe oder Bezeichnungen kein Zweifel besteht, so dass die Reichweite von Antrag und Urteil feststeht (vgl. BGH, Urt. v. 1.12.1999 - I ZR 49/97, BGHZ 143, 214). Gerade dies ist vorliegend aber nicht der Fall, da weder durch die Klageanträge noch durch eine zur Auslegung heranzuziehende Klagebegründung (vgl. dazu BGH, Urt. v. 8.5.2014 - I ZR 217/122, BGHZ 201, 129; BGH, Urt. v. 13.9.2012 - I ZR 230/11, BGHZ 194, 314; BGH, Urt. v. 18.12.2015 - V ZR 160/14, NJW 2016, 863) festgestellt werden kann, welches konkrete Verhalten die Beklagte nach dem Willen des Klägers künftig zu unterlassen haben soll. (vgl. OLG Köln, Urteil vom 7. Dezember 2023 - I-15 U 67/23 -, Rn. 75, juris) 2. Die gleichen Erwägungen greifen auch hinsichtlich der Unterlassungsklage entsprechend dem Klagantrag zu 3b), mit dem der Kläger von der Beklagten begehrt, zu unterlassen „die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Information darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontakt-Import-Tools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert wird und, im Falle der Nutzung der F.-Messenger-App, hier ebenfalls die Berechtigung verweigert wird“. Trotz der Konkretisierung im zweiten Halbsatz des Antrags lässt sich nicht hinreichend deutlich erkennen, wann eine Einwilligung i.S.d. Unterlassungsantrags vorliegen soll. Insbesondere bleibt unklar, wann Informationen unübersichtlich, unvollständig oder eindeutig sind, da es sich dabei z.T. um wertende Begriffe handelt, die von den subjektiven Empfindungen des Einwilligenden abhängig sind. Der Unterlassungsantrag zu 3b) wäre zudem auch mangels Wiederholungs- bzw. Erstbegehungsgefahr auch unbegründet. Nach Angaben des Klägers hat dieser seine Telefonnummer mittlerweile endgültig von der Website der Beklagten entfernt, sodass für eine nochmalige Verarbeitung der Telefonnummer (gleich auf welcher Grundlage) keine Anhaltspunkte bestehen. IV. Der geltend gemachte Auskunftsanspruch ist ebenfalls unbegründet. Die Beklagte hat das Auskunftsersuchen des Klägers mit Schreiben vom 06.07.2023 (Anlage B16, dort S. 4) erfüllt. Das OLG Hamm führt dazu in seinem Urteil vom 15.08.2023, Az I-7 U 19/23, aus: „Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH Urt. v. 15.6.2021 - VI ZR 576/19, r+s 2021, 525 Rn. 19 f. m.w.N.; dem folgend OLG Düsseldorf Urt. v. 9.3.2023 - 16 U 154/21, BeckRS 2023, 4182 = juris Rn. 29). Gemessen daran, ist Erfüllung eingetreten. Das zur Akte gereichte anwaltliche Antwortschreiben der Beklagten enthält insbesondere - und teils über den jetzt überhaupt noch geltend gemachten Auskunftsanspruch hinausgehend - eine Auflistung der Datenpunkte und der Telefonnummer, eine Erläuterung des Datenabrufs über die immer öffentlichen Daten, das F.-Profil und die Kontaktimportfunktion, die zeitliche Angabe "im Zeitraum bis September 2019“, den Hinweis, dass der Beklagten keine Rohdaten zu den abgerufenen Daten vorliegen, und den Hinweis auf das Handeln mehrerer Scraper, nicht eines Scrapers mit Blick auf die Frage nach der konkreten Person. Auch wenn sich die Beklagte prozessual (hilfsweise) schon in rechtlicher Hinsicht nicht für verpflichtet hält, Auskunft zu erteilen, weil bereits - entgegen obigen Feststellungen - keine "Verarbeitung" vorliege, hat die Beklagte gleichwohl Auskunft erteilt und hinreichend deutlich gemacht, dass sie keine weiteren Auskünfte zur Identität der Scraper und zum genauen, die Klägerin betreffenden Scraping-Zeitpunkt machen kann.“ (OLG Hamm, Urteil vom 15. August 2023 - I-7 U 19/23 -, Rn. 250 - 253, juris) Diese rechtlichen Ausführungen macht sich das Gericht nach eigener Prüfung vollumfänglich zu eigen. Auch sind die tatsächlichen Feststellungen auf den hiesigen Fall übertragbar, Denn in dem Anwaltsschreiben vom 06.07.2023 führt die Beklagtenseite zunächst die nach ihrer Kenntnis in Rede stehenden Datenpunkte bezüglich des Klägers auf und macht deutlich, dass sie den Zeitraum bis September 2019 eingrenzen kann. V. Da der Kläger mit seinen Klaganträgen in der Hauptsache unterliegt, hat er auch keinen Anspruch auf Ersatz der entsprechen angefallenen vorgerichtlichen Rechtsanwaltskosten. Hinsichtlich des vorgerichtlichen Schreibens vom 03.03.2024 befand sich die Beklagte hinsichtlich der - ihr durch das Schreiben erstmalig bekannt gewordenen - Ansprüche jedenfalls auch noch nicht im Verzug, sodass eine Erstattung der angefallenen Rechtsverfolgungskosten nach den §§ 280 Abs. 2, 286 BGB nicht in Betracht kommt. VI. Die prozessualen Nebenentscheidungen beruhen auf den §§ 91 Abs. 1, 709 ZPO. VII. Das Rubrum war aufgrund der Adressänderung der Beklagten entsprechend dem mit der Klageerwiderung gestellten Antrag auf Rubrumsberichtigung zu ändern. Der Kläger macht Schadensersatz-, Unterlassungs- und Auskunftsansprüche wegen der Verletzung der Datenschutz-Grundverordnung (im Folgenden: DSGVO) seitens der Beklagten aus und im Zusammenhang mit dem im April 2021 öffentlich bekannt gewordenen sog. „Scraping-Vorfall“ von F. geltend. Die Beklagte betreibt in der Europäischen Union das soziale Online-Netzwerk „F.“ und bietet unter anderem über www. f..com Dienste an, die für private Nutzer kostenlos sind und seitens der Beklagten maßgeblich durch Online-Werbung finanziert wird. Der Kläger hat unter dem Nutzernamen „H. W.“ ein jedenfalls teilweise von F.-Nutzern, mit denen der Kläger nicht „befreundet“ war, einsehbares Nutzerprofil bei der Beklagten eingerichtet, welchem die Mobilfunknummer ... zugeordnet ist. Ferner hat der Kläger auch seinen Wohnort, seinen Beziehungsstatus und sein Geschlecht in seinem Profil hinterlegt. Zum Zeitpunkt der mündlichen Verhandlung hatte der Kläger „2.779 F.-Freunde“. Seine private, hier streitgegenständliche Telefonnummer hat der Kläger seit 2001 in Besitz. Seitdem hat er diese Nummer nach eigenen Angaben an rund 200 Freunde und Bekannte weitergegeben. Im Zeitraum von (jedenfalls) Januar 2018 bis September 2019 kam es dazu, dass unbekannte Dritte („Scraper“) die öffentlich einsehbaren Nutzerdaten von einer Vielzahl von F.-Nutzern im Wege eines automatisierten Abrufverfahrens sammelten („Scraping“) und zu einem Datensatz aggregierten, der auch nicht öffentlich abrufbare Informationen der Nutzer enthielt, u.a. jedenfalls im Rahmen der Erstellung/Nutzung des F.-Kontos eingegebene Telefonnummern. An die Telefonnummern gelangten die Unbekannten, indem sie einen von der Beklagten als „Telefonnummernaufzählung“ bezeichneten Prozess nutzten, der im Wesentlich wie folgt funktionierte, wobei Einzelheiten der Vorgehensweise indes nicht bekannt sind: F.-Nutzer konnten während des streitgegenständlichen Zeitraums ihre „Kontakte“, d.h. die im elektronische „Telefonbuch“ eines jeweiligen Mobilgerätes eingespeicherten Telefonnummern, von ihren Mobilgeräten (z.B. Smartphones) mit F. verbinden, um diese Kontakte über einen in diesem Zuge erfolgenden Abgleich der Telefonnummern zwischen einem solchen Telefonbuch einerseits und den im Rahmen der F.-Profile hinterlegten Telefonnummern andererseits auf der F.-Plattform zu finden und mit ihnen in Verbindung zu treten (sogenannte „Kontakt-Importer-Funktion“ bzw. „Contact-Importer-Tool“). Um an die Telefonnummern der Nutzer zu gelangen, glichen nun Scraper mithilfe jener Kontakt-Importer-Funktion in großer Anzahl und automatisiert fiktive Kontakte ab, welche mögliche - ggf. auch zufällig generierte - Telefonnummern enthielten, um so festzustellen, ob diese Telefonnummern mit einem F.-Konto verbunden sind. Soweit die Scraper feststellen konnten, dass eine Telefonnummer mit einem F.-Konto verknüpft war, wurde die entsprechende Nummer den durch Scraping ebenfalls abgegriffenen öffentlich einsehbaren Informationen aus dem betreffenden Nutzerprofil hinzugefügt. Voraussetzung dafür, dass die Telefonnummer eines F.-Nutzers auf diesem Wege ermittelbar war, war, dass bei dem jeweiligen Nutzer in den Privatsphäre-Einstellungen von F. unter der „Suchbarkeit per Telefonnummer“ der Personenkreis, für den der Nutzer per Telefonnummer auffindbar sein soll, auf „Alle“ gesetzt war; dies war die bei Einrichtung eines F.-Kontos eingestellte Vorauswahl. Die von einem Nutzer zu seinem F.-Konto hinterlegte, mithin sonst nicht öffentlich einsehbare Telefonnummer konnte auf diese Weise den übrigen Daten des F.-Profils zugeordnet werden. Ab Mai 2019 stand den F.-Nutzern für die Einstellung der „Suchbarkeit per Telefonnummer“ auch die Option „Nur ich“ zur Verfügung, mit der verhindert wird, dass irgendjemand anders das entsprechende Nutzer-Profil über die Telefonnummer finden kann. Anfang April 2021 wurde durch die Medien öffentlich über den Scraping-Sachverhalt berichtet, wonach durch Scraping gesammelte Daten von ca. 533 Millionen F.-Nutzern aus 106 Ländern im Internet öffentlich verbreitet wurden. Ob und inwieweit in diesem Zuge Daten des Klägers veröffentlicht wurden, ist streitig. Mittlerweile hat der Kläger seine Telefonnummer endgültig aus seinem Profil entfernt. Mit Schreiben vom 03.03.2024 machte der Kläger über seinen Prozessbevollmächtigten gegenüber der Beklagten verschiedene Ansprüche, darunter auch ein Auskunftsersuchen geltend. Die Beklagte erwiderte darauf mit Schreiben vom 06.07.2023 (Anlage K16). Der Kläger behauptet, ab April 2021 schlagartig 30-40 Spam-E-Mails pro Tag erhalten zu haben, zuvor seien es lediglich 1-2 Spam-E-Mails täglich gewesen. Ferner habe er auch täglich mindestens einen Spam-Anruf und eine Spam SMS erhalten, deren Frequenz jedoch abgenommen habe. Auch gehe er nicht mehr ans Telefon, wenn ihn eine unbekannte Nummer anrufe. Die unbekannten Anrufe seien für ihn aus verschiedenen Gründen belastend gewesen. Zum einen habe er sein Handy permanent auf „laut“ geschaltet, auch nachts, für den Fall, dass sein erkrankter, 82-jähriger Vater versuche, ihn zu erreichen. Auch sei er am Telefon von Unbekannten bedroht worden. Des Weiteren habe es auch Betrugsversuche gegeben, die jedoch aufgrund der Tatsache, dass er skeptisch reagiert habe, nicht vollendet wurden. Zudem habe er einen potentiellen Geschäftskontakt verloren, da er, als besagter Kontakt versuchte, telefonisch mit ihm Kontakt aufzunehmen, sich mit „Woher haben Sie meine Nummer, wer sind Sie“ gemeldet und anschließend aufgelegt habe. Der Kläger behauptet weiter, im Rahmen des Scraping-Vorfalls seien sein Name, die streitgegenständliche Telefonnummer, sein Wohnort, sein Beziehungsstatus und sein Geschlecht abgegriffen worden. Dabei stützt er sich auch auf das Überprüfungsergebnis der Website „haveibeenpwnd.com“ (Anlage K6). Er ist der Auffassung, die unzureichenden Sicherheitsmaßnahmen der Beklagten, zu denen auch die mangelhaften Voreinstellungen sowie die mangelhafte Aufklärung zum Thema 2-Faktor-Authentifizierung zu zählen seien, hätten zum Kontrollverlust des Klägers über seine Daten geführt. Er ist der Auffassung, die Beklagte habe durch die mangelhafte Programmierung der Website F., die eine Scraping-Attacke erst ermöglicht habe, gegen Art. 24 Abs. 1, 32 DSGVO verstoßen. Ferner habe die Beklagte gegen ihre Mitteilungspflichten gegenüber den zuständigen Behörden und den vom Datenleck betroffenen Kunden verletzt. Ihm sein zudem durch den Abgriff seiner daten und deren Veröffentlichung im Internet ein Immaterieller Schaden i.S.d Art. 82 DSGVO entstanden, da er die Kontrolle über seine personenbezogenen Daten verloren habe und der Gefahr des Zugriffs einer Vielzahl von Personen auf die Daten ausgesetzt sei. Es könne nicht sicher ausgeschlossen werden, dass die Daten zur Herbeiführung eines finanziellen Schadens genutzt werden, beispielsweise in Form von Computerbetrug oder Identitätsdiebstahl. Dies gelte für eine unbestimmte Zeit auch für die Zukunft, in der der Kläger der ständigen Gefahr ausgesetzt sei, Opfer von Angriffen und unbefugten Nutzungen seiner Daten zu werden. Dieser Schaden wäre ohne die Offenlegung seiner personenbezogenen Daten durch die Beklagte nicht eingetreten. Der Kläger beantragt 1. Die Beklagte wird verurteilt, an den Kläger immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, der aber mindestens 2.500 € beträgt, nebst Zinsen i.H.v. fünf Prozentpunkten über dem Basiszinssatz seit dem 18.03.2023 zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, dem Kläger alle zukünftigen Schäden, die dem Kläger durch den unbefugten Zugriff Dritter auf seine im Datenarchiv der Beklagten gespeicherten persönlichen Daten, der nach Aussagen der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden, zu ersetzen. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, a. personenbezogene Daten des Klägers, namentlich Telefonnummer, F.-ID, Familienname, Vorname, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, b. die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Information darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontakt-Import-Tools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der F.-Messenger-App, hier ebenfalls die Berechtigung verweigert wird. 4. Die Beklagte wird verurteilt, Auskunft darüber zu erteilen, welche den Kläger betreffenden personenbezogenen Daten durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussagen der Beklagten im Jahr 2019 erfolgte, durch den Dritten erlangt werden konnten. 5. Die Beklagte wird verurteilt, den Kläger von vorgerichtlichen Rechtsanwaltskosten in Höhe von 1.134,55 EUR gegenüber der B. A. Rechtsanwaltsgesellschaft mbH freizustellen. Die Beklagte beantragt, die Klage abzuweisen. Sie ist der Auffassung, es liege schon kein Verstoß gegen die DSGVO vor, da Dritte lediglich öffentlich einsehbare Daten an einer anderen Stelle erneut zugänglich gemacht hätten. Bei dem Scraping-Vorfall handele es sich schon deswegen nicht um einen DSGVO-Verstoß, weil das Scraping im Internet ein allgegenwärtiges Phänomen sei. Soweit dabei nur öffentlich zugängliche Nutzerinformationen gesammelt wurden, habe keine unbefugte Offenlegung jener Daten durch die Beklagte vorgelegen. Außerdem sei zu berücksichtigen, dass die Telefonnummern der betroffenen Nutzer nicht von den F.-Profilen der Nutzer stammten, sondern von den Scrapern im Rahmen der Telefonnummernaufzählung generiert wurden. Die Beklagte habe die F.-Nutzer umfassend über die ihnen zur Verfügung stehenden Privatsphäre-Einstellungen informiert. Eine Ermittlung der in den Nutzerdaten des Klägers hinterlegten Telefonnummer im Wege der Telefonnummernaufzählung habe im Einklang mit den Suchbarkeitseinstellungen gestanden, die so eingestellt war, dass ihn „Alle“ anhand seiner Telefonnummer auffinden konnten. Eine Einwilligung sei insoweit nicht erforderlich gewesen, denn die Datenverarbeitung sei für die Vertragserfüllung (hier: die Bereitstellung des sozialen Netzwerks) erforderlich gewesen. Die Beklagte sei daher auch nicht verpflichtet gewesen, die Nutzer über den Scraping-Sachverhalt zu informieren. Da der Beklagten auch keine Kopie der Rohdaten, die die durch Scraping abgerufenen Daten enthalten, vorliegt, könne sie mit Nichtwissen bestreiten, dass seitens des Klägers auch die Datenpunkte Beziehungsstatus, E-Mail-Adresse, Geburtsdatum, Standortdaten und Biografie, in abgerufenen Daten enthalten seien, wobei der Kläger dies noch nicht einmal konkret dargelegt habe. Dem Kläger sei auch kein immaterieller Schaden entstanden. Darüber hinaus fehle es an einem kausalen Zusammenhang zwischen dem behaupteten Schaden und den angeblichen Pflichtverstößen der Beklagten. Der Feststellungsantrag zu 2) sei unzulässig und zudem unbegründet. Der Unterlassungsanspruch sei ebenfalls unzulässig, zumal fehle es sowohl an einer Anspruchsgrundlage, als auch an einer Erstbegehungs- und Wiederholungsgefahr. Das klägerische Auskunftsbegehren habe die Beklagte außergerichtlich durch Schreiben vom 06.07.2023 vollumfänglich erfüllt. Das Gericht hat den Kläger persönlich angehört, insoweit wird auf das Protokoll der mündlichen Verhandlung vom 31.05.2024 verwiesen.