Leitsatz: Ein Schaden im Sinne von Art. 82 DSGVO liegt auch in der Veröffentlichung von personenbezogenen Daten im Internet.(Rn.73) (Rn.127) 1. Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in Höhe von 750 € zzgl. Zinsen in Höhe von 5%-Punkten über dem jeweiligen Basiszinssatz seit dem 26.05.2023 zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen materiellen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, die Klägerseite von den außergerichtlich entstandenen Rechtsanwaltskosten in Höhe von 220,27 € freizustellen. 4. Im Übrigen wird die Klage abgewiesen. 5. Die Kosten des Rechtsstreits hat die Klägerseite zu 86% und die Beklagte zu 14% zu tragen. 6. Das Urteil ist vorläufig vollstreckbar. Die Parteien können die Vollstreckung der jeweils anderen Partei durch Sicherheitsleistung in Höhe von 110% des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die jeweils andere Partei vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrags leistet. Der Streitwert wird auf 9.000,00 € festgesetzt. I. Die Klage ist mit Ausnahme des Antrages zu 4. a. zulässig und in dem aus dem Tenor ersichtlichen Umfang begründet, im Übrigen unbegründet. 1. Die Klage ist mit Ausnahme des Antrages zu 4. a. zulässig. a. Das Landgericht Lübeck ist in internationaler, sachlicher und örtlicher Hinsicht zuständig. aa. Die internationale Zuständigkeit der deutschen Gerichtsbarkeit folgt aus Art. 79 Abs. 2 S. 2 DSGVO, nachdem die Klägerseite ihren gewöhnlichen Aufenthalt in Deutschland hat. aaa. Gemäß § 79 Abs. 2 DSGVO sind für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter im Ausgangspunkt die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Nach S. 2 der Vorschrift können solche Klagen wahlweise auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich - was vorliegend nicht der Fall ist - bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Sinn und Zweck dieser Zuständigkeitsregelung ist die Gewährleistung (und Erleichterung) eines effektiven Rechtsschutzes durch die betroffenenfreundliche Möglichkeit einer Klageerhebung am Aufenthaltsort, wobei damit nicht der „tatsächliche“, sondern der „gewöhnliche“ Aufenthaltsort gemeint ist, wie der Wortlaut der englischen Sprachfassung („habitual residence“) verdeutlicht (Spindler/Dalby, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 79 Rn. 19). Diese Voraussetzungen liegen vor. Die Beklagte ist Verantwortliche bzw. Auftragsverarbeitende im Sinne der DSGVO. Gemäß Art. 4 Nr. 7, 8 DSGVO sind Verantwortliche natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Auftragverarbeitende sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Die Beklagte hat vorliegend als Betreiberin der Plattform allein über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu entscheiden, sodass sie insoweit als Verantwortliche im Sinne der DSGVO anzusehen ist (vgl. EuGH, Urteil vom 5. Juni 2018 - C-210/16 -, Rn. 30, juris); sie ist auch keine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Die Klägerseite als betroffene Person hat ihren Wohnsitz in xxx, sodass die deutsche Gerichtsbarkeit international zuständig ist. bbb. Es kann offenbleiben, ob Art 79 Abs. 2 DSGVO in seinem vorliegend eröffneten Anwendungsbereich die allgemeinen Zuständigkeitsvorschriften der EuGVVO verdrängt (in diesem Sinne etwa Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, DS-GVO Art. 79 Rn. 15 m.w.N., Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 8: Rechtsbehelfe, Haftung und Sanktionen Rn. 29) oder die Vorschriften daneben anwendbar bleiben (in diesem Sinne wohl Gola/Heckmann/Werkmeister, Datenschutz-Grundverordnung - Bundesdatenschutzgesetz, 3. Aufl. 2022, DS-GVO Art. 79 Rn. 15). Denn auch nach den Vorschriften der EuGVVO ist keine abweichende ausschließliche Zuständigkeit im Sinne des Art. 24 EuGVVO begründet, sondern folgt die internationale Zuständigkeit der deutschen Gerichtsbarkeit vorliegend sowohl aus Art. 7 Nr. 1 lit. b) als auch Art. 18 Abs. 1 Alt. 2, Art. 17 Abs. 1 lit. c) EuGVVO (vgl. (vgl. BGH, Urteil vom 29. Juli 2021 - III ZR 179/20 -, BGHZ 230, 347-389, Rn. 24). Nach Art. 18 EuGVVO kann ein Verbraucher gegen eine Vertragspartei, die ihre Tätigkeit auf den Mitgliedsstaat, in dem der Verbraucher seinen Wohnsitz hat, ausrichtet, vor dem Gericht seines Wohnsitzes Klage erheben. Vorliegend nutzt die Klägerseite als Privatperson die Plattform der Beklagten, die dabei gewerblich handelt (EuGH, Urteil vom 5. Juni 2018 - C-210/16 -, Rn. 60, juris) und ihre Tätigkeit z.B. durch entsprechende Sprachoptionen auch speziell auf das Gebiet der Bundesrepublik und hier ansässige Nutzer ausgerichtet hat. Im Übrigen wäre aufgrund der Natur der Sache die Leistung der Beklagten, nämlich das Zurverfügungstellen der Nutzungs- und Kommunikationsmöglichkeiten, am Wohnsitz des Schuldners zu erbringen, so dass sich bereits aus Art. 7 Nr. 1 lit. b) 2. Spiegelstrich EuGVVO die internationale Zuständigkeit deutscher Gerichte ergibt. bb. In sachlicher Hinsicht ist das erkennende Gericht gemäß §§ 23 Nr. 1, 71 Abs. 1 GVG zuständig, nachdem der Wert des Streitgegenstandes die Summe von 5.000,00 € übersteigt. cc. Die örtliche Zuständigkeit des Landgerichts folgt sowohl aus § 44 Abs. 1 S. 2 BDSG als auch aus Art. 7 Nr. 1 lit. b) EuGVVO. aaa. Art. 79 Abs. 2 S. 1 DS-GVO regelt nur die internationale, nicht auch die örtliche Zuständigkeit (BR-Drs. 110/17, Anl., 111; Paal/Pauly/Frenzel, 3. Aufl. 2021, BDSG § 44 Rn. 1). Insoweit bestimmt § 44 Abs. 1 S. 2 BDSG, dass Klagen der betroffenen Person gegen einen Verantwortlichen oder einen Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der Verordnung (EU) 2016/679 oder der darin enthaltenen Rechte der betroffenen Person auch bei dem Gericht des Ortes erhoben werden können, an dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat. Diese Voraussetzungen liegen vor, nachdem die Klägerseite ihren gewöhnlichen Aufenthalt im hiesigen Gerichtsbezirk hat. bbb. Im Übrigen folgt die örtliche Zuständigkeit auch aus Art. 7 Nr. 1 lit. b) EuGVVO, der - anders als die Art 17, 18 EuGVVO, die wie auch Art. 4 EuGVVO nur die internationale Zuständigkeit regeln - auch eine Regelung zur örtlichen Zuständigkeit enthält (Geimer in: Zöller, Zivilprozessordnung, 34. Aufl. 2022, Artikel 7 (Artikel 5 LugÜ), Rn. 1). b. Die Klageanträge sind mit Ausnahme des Antrages zu 4. a. gemäß § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt. Nach § 253 Abs. 2 Nr. 2 ZPO muss die Klageschrift neben einem bestimmten Antrag eine bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs enthalten. Damit werden der Streitgegenstand abgegrenzt und die Grenze der Rechtshängigkeit und der Rechtskraft festgelegt sowie Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts bestimmt. Eine ordnungsgemäße Klageerhebung erfordert dabei eine Individualisierung des Streitgegenstandes. Die Klägerseite muss die gebotene Bestimmung des Streitgegenstandes vornehmen und kann sie nicht zur Disposition des Gerichts stellen. Eine an sich schon in der Klage gebotene Klarstellung kann von der Partei aber noch im Laufe des Verfahrens nachgeholt werden (vgl. zuletzt BGH, Urteil vom 17. Januar 2023 - VI ZR 203/22 -, Rn. 15 m.w.N., juris). aa. Hieran gemessen sind die Klageanträge zu 1. und zu 2. hinreichend bestimmt. Entgegen der Auffassung der Beklagten handelt es sich bei dem Antrag zu 1. bei den Ansprüchen wegen „Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Telefonnummer [...] sowie weiterer personenbezogener Daten“ nicht um unterschiedliche Streitgegenstände, soweit diese auf dem Scraping-Vorfall vorgelagerte etwaige Verstöße und dem Vorfall nachgelagerte etwaige Verletzungen gegen Benachrichtigungspflichten gestützt werden. aaa. Zu dem Lebenssachverhalt, der die Grundlage der Streitgegenstandsbestimmung bildet, zählen alle Tatsachen, die bei einer vom Standpunkt der Parteien ausgehenden natürlichen Betrachtungsweise zu dem durch den Vortrag der Klagepartei zur Entscheidung gestellten Tatsachenkomplex gehören. Ob ein oder mehrere Sachverhalte vorliegen, hängt davon ab, ob das Geschehen bei natürlicher Betrachtungsweise nach der Verkehrsauffassung einen einheitlichen Vorgang darstellt (Anders, in Anders/Gehle, Zivilprozessordnung, 81. Aufl. 2023, § 253 ZPO Rz. 30 m.w.N.). Der Streitgegenstand wird durch den gesamten historischen Lebensvorgang bestimmt, auf den sich das Rechtsschutzbegehren der Klagepartei bezieht, dies gilt unabhängig davon, ob einzelne Tatsachen dieses Lebenssachverhalts von den Parteien vorgetragen worden sind oder nicht, und auch unabhängig davon, ob die Parteien die nicht vorgetragenen Tatsachen des Lebensvorgangs kannten und hätten vortragen können. Diesen Lebenssachverhalt kann das Gericht unabhängig davon unter allen in Betracht kommenden Gesichtspunkten prüfen, gleich, ob die Klagepartei ihre Klage auf diese Gesichtspunkte gestützt hat oder nicht. bbb. Von diesen Grundsätzen ausgehend macht die Klägerseite mit dem Klageantrag zu 1. lediglich einen Streitgegenstand geltend. Sie macht bei der anzulegenden natürlichen Betrachtungsweise Ansprüche im Zusammenhang mit der gerügt unzureichenden datenschutzrechtlichen Erfassung und - im Rahmen ihrer Speicherung und Verarbeitung - Sicherung der Daten der Klägerseite ab der Anmeldung in dem von der Beklagten bereit gehaltenen Sozialen Netzwerk über das "Scraping" bis zur unzureichenden Mitteilung hierüber an die zuständige Datenschutzbehörde geltend, die sämtlich aufgrund des sogenannten „Scrapings“ der Daten bei einer natürlichen Betrachtungsweise einen einheitlichen Lebenssachverhalt darstellen, weil sämtliche gerügten Pflichtverletzungen sich erst mit dem „Scraping“ der Daten aktualisierten. Soweit sie zudem eine unzureichende Erfüllung des Informationsanspruches gemäß § 15 DSGVO geltend macht, welche aufgrund der Zäsur in Gestalt der Anfrage der Klägerseite an die Beklagte bei natürlicher Betrachtungsweise einen anderen Lebenssachverhalt darstellt, hat sie diesen Anspruch gesondert als Klageantrag zu 2. geltend gemacht. bb. Der Antrag zu 3. ist ebenfalls hinreichend bestimmt. Er lässt sich bereits aufgrund des eindeutigen Wortlauts nur so verstehen, dass lediglich der Ersatz künftiger materieller Schäden begehrt wird. cc. Der Klageantrag zu 4. a. ist auch in der neu gestellten Form nicht hinreichend bestimmt. Unterlassungsanträge müssen so konkret wie möglich gefasst sein, damit für die Rechtsverteidigung und Vollstreckung erkennbar ist, auf welches konkrete Verbot sich der Antrag erstreckt. Die zu unterlassende Verletzungshandlung muss daher so genau wie möglich beschrieben werden (Greger in: Zöller, Zivilprozessordnung, 35. Auflage 2024, § 253 ZPO Rn 13b). Offen gelassen werden muss hingegen regelmäßig, auf welchem Weg der Antragsgegner sicherstellen soll, dass die zu unterlassende Handlung unterbleibt. Zwar kann ein zur Unterlassung verurteilter Schuldner unter Umständen gehalten sein, aktiv tätig zu werden, um die Erfüllung des Verbotstatbestands zu verhindern. Auch in diesen Fällen muss der Unterlassungsantrag lediglich den Verbotstatbestand konkretisieren. Er darf jedoch nicht konkrete Handlungen benennen, die der Beklagte vornehmen muss, um eine Verwirklichung dieses Tatbestandes zu verhindern (BeckOK ZPO/Bacher, 55. Ed. 1.12.2024, ZPO § 253 Rn. 63a, beck-online). In Fällen, in denen der Anspruch auf die Herbeiführung eines Erfolges geht - hier die Implementierung von Sicherheitsmaßnahmen - ist es in der Regel unzulässig, bestimmte Vorkehrungen zu verlangen. Die Art und Weise der Beseitigung der Störung muss dem beklagten Störer überlassen bleiben (Stein/Roth, 24. Aufl. 2024, ZPO § 253 Rn. 38, beck-online). Diese rechtlichen Vorgaben verfehlt der umformulierte Antrag in mehrfacher Weise. Einerseits ist die zu unterlassende Verletzungshandlung - weiterhin - nicht hinreichend bestimmt. Zwar lässt sich dem Antrag (wohl) noch sinngemäß entnehmen, dass die Beklagte sicherstellen soll, dass die personenbezogenen Daten der Klägerseite nicht auf „massenhafte Abfragen“ hin herausgegeben werden sollen. Was sich jedoch die Klägerseite unter „massenhaften IP- Abfragen“ konkret vorstellt, wird jedoch nicht fassbar umschrieben und lässt sich auch nicht im Wege der Auslegung konkretisieren. Konkretisiert ist der Antrag hingegen im Hinblick auf die von der Beklagten zu treffenden Vorkehrungen. Mit dem nun gestellten Unterlassungsantrag zu 4a. begehrt die Klägerseite, dass die Beklagte es unterlässt, über das Kontakt-Importer-Tool die Verknüpfung der eingegebenen Telefonnummer der Klägerseite mit weiteren öffentlichen personenbezogenen Daten des Nutzerprofils zu ermöglichen, „ohne dass die Beklagten zum Zeitpunkt der Verwendung des Kontakt-Import-Tools unter Eingabe der Telefonnummer Sicherheitsmaßnahmen in Form einer Implementierung von SicherheitsCAPTCHAs und der Überprüfung massenhafter IP-Abfragen oder vergleichbaren Sicherheitsmaßnahmen vorgehalten hat“. Die Klägerseite begehrt damit faktisch, dass die Beklagte bestimmte Sicherheitsmaßnahmen (Sicherheitscaptchas und Überprüfung massenhafter IP-Abfragen) vornimmt. genau dies ist jedoch nach den obigen Ausführungen nicht zulässig, da die Art und Weise der Umsetzung der Unterlassenspflicht der Schuldnerin überlassen bleiben muss. Faktisch handelt es sich damit bei dem Antrag um einen sog. „verkappten Leistungsantrag“ - der als Unterlassungsantrag aus den obigen Gründen unzulässig ist und dessen Auslegung als Leistungsantrag die Wortlautgrenze überschreitet (vgl. LG Stuttgart, Urt. v. 22.11.2023 - 29 O 210/23). dd. Das mit dem Klageantrag zu 4. b. begehrte Anspruchsziel ist demgegenüber hinreichend bestimmt. Das Anspruchsziel wird jedenfalls durch die Klagebegründung hinreichend konkretisiert. c. Hinsichtlich des Klageantrages zu 3. liegt auch das erforderliche Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO vor. Bei der streitgegenständlichen Verletzung eines absoluten Rechtsguts ist ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu bejahen, wenn künftige Schadensfolgen (wenn auch nur entfernt) möglich, ihre Art und ihr Umfang, sogar ihr Eintritt aber noch ungewiss sind (Greger in: Zöller, Zivilprozessordnung, 34. Aufl. 2022, § 256 Feststellungsklage, Rn. 9). Die Klägerseite hat die Möglichkeit des Eintritts zukünftiger materieller Schäden hinreichend dargelegt. Unter Berücksichtigung des Umstandes, dass die im Wege des "Scrapings" erlangten personenbezogenen Daten im Internet veröffentlicht worden sind, erscheint es bei lebensnaher Betrachtung möglich, dass es bei der Klägerseite aufgrund der Veröffentlichung der Telefonnummer und weiterer persönlicher Daten wie Name der Klägerseite im Internet zu künftigen materiellen Schäden, etwa durch betrügerische Anrufe oder die missbräuchliche Verwendung der Identität, etwa im Deliktsfeld der Onlinebetrugskriminalität, kommt. 2. Die Klage ist im Hinblick auf die Anträge zu 1., 3. und 6. in dem aus dem Tenor ersichtlichen Umfang begründet, im Übrigen unbegründet. a. Der Antrag zu 1, ist in Höhe von 750 € begründet. Die Klägerseite kann von der Beklagten aus § 82 DSGVO Zahlung von 750 € verlangen. aa. Es sind mehrere haftungsbegründende Verstöße der Beklagten gegen die einschlägigen Bestimmungen der DSGVO festzustellen. aaa. Zum ersten liegt eine rechtswidrige Verarbeitung von Daten der Klägerseite durch die Beklagte vor. Grundsätzlich gilt im Anwendungsbereich der DSGVO, dass jede Datenverarbeitung rechtswidrig ist, wenn nicht eine der in Art. 6 DSGVO genannten Bedingungen für eine rechtmäßige Datenverarbeitung erfüllt ist. Die rechtswidrige Datenverarbeitung kann sodann Schadensersatzansprüche nach Art. 82 DSGVO auslösen (BeckOK DatenschutzR/Albers/Veit, 42. Ed. 1.11.2021, DS-GVO Art. 6 Rn. 115). Dies ist hier der Fall. Vorliegend ist nicht festzustellen, dass die von der Beklagten vorgenommene Verarbeitung der Mobilfunknummer der Klägerseite zur Auffindbarkeit durch Dritte rechtmäßig gewesen ist. Weder liegt eine wirksame Einwilligung nach Art. 6 Abs. 1 a DSGVO hierzu vor (im Folgenden i.) noch war die Verarbeitung für die Erfüllung des zwischen den Parteien geschlossenen Vertrags erforderlich nach Art. 6 Abs. 1 b DSGVO (im Folgenden ii.) noch ist festzustellen, dass die Verarbeitung zur Wahrung der berechtigten Interessen der Klägerseite oder Dritten erforderlich war, Art. 82 ABs. 1 f DSGVO (im Folgenden iii.). Dabei legt das Gericht im Folgenden zugrunde, dass jedenfalls die folgenden Einzeldaten verarbeitet wurden: Telefonnummer, ...-ID, Namen, Geschlecht. Die Parteien haben in der mündlichen Verhandlung vom 03.12.2024 unstreitig gestellt, dass jedenfalls diese Daten (ersichtlich in Anlage B16) betroffen und veröffentlicht wurden. i. Die Beklagte beruft sich im Hinblick auf die Datenverarbeitung ausdrücklich nicht auf eine Einwilligung der Klägerseite (vgl. Protokoll der mündlichen Verhandlung vom 03.12.2024). Aber selbst wenn sie dies täte, läge keine wirksame Einwilligung der Klägerseite in die Nutzung ihrer nicht öffentlich geteilten Mobilfunknummer für die Auffindbarkeit durch Dritte vor. Wirksame Einwilligungen in Datenverarbeitungsvorgänge müssen gemäß Art. 4 Nr. 11 DSGVO freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich sowie durch Erklärung oder eine sonstige eindeutige bestätigende Handlung erfolgen (vgl. nur BeckOK DatenschutzR/Albers/Veit, 42. Ed. 1.11.2021, DS-GVO Art. 6 Rn. 29-39). Im Hinblick auf die letzte Anforderung präzisiert dabei Erwägungsgrund 32 diese Vorgabe dahingehend, dass Stillschweigen oder vorangekreuzte Kästchen nicht genügen. Sogenannte „Opt out“-Varianten zur Einholung einer Einwilligung sind demnach nicht zulässig, weil nicht ausgeschlossen werden kann, dass die Nutzerinnen oder Nutzer die dem voreingestellten Ankreuzkästchen beigefügte Information nicht gelesen haben (BeckOK DatenschutzR/Albers/Veit, 42. Ed. 1.11.2021, DS-GVO Art. 6 Rn. 29-39). Explizit schreibt hierzu insb. auch der EuGH (EuGH (Große Kammer), Urteil vom 1.10.2019 - C-673/17 -, NJW 2019, 3433, Rn. 60 ff.): „Die VO 2016/679 sieht mithin nunmehr ausdrücklich eine aktive Einwilligung vor. Hierzu ist festzustellen, dass nach dem 32. Erwägungsgrund der Verordnung die Einwilligung unter anderem durch Anklicken eines Kästchens beim Besuch einer Internetseite zum Ausdruck kommen könnte. Dagegen wird in diesem Erwägungsgrund ausdrücklich ausgeschlossen, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit“ eine Einwilligung darstellen können. Folglich liegt eine wirksame Einwilligung i.S.v. Art. 2 Buchst. f und Art. 5 III der RL 2002/58 i.V.m. Art. 4 Nr. 11 und Art. 6 I Buchst. a der VO 2016/679 nicht vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“ Für den vorliegenden Fall folgt hieraus, dass eine wirksame Einwilligung der Klagepartei in die vorgenannte Datenverarbeitung der Beklagten nicht gegeben ist. Allein aus dem Umstand, dass die Suchbarkeit für Dritte anhand der Mobilfunknummer voreingestellt war, kann nach der genannten Rechtsprechung des Europäischen Gerichtshofes keine wirksame Einwilligung fingiert werden. Weiterer Vortrag dazu, wodurch die Klägerseite in der erforderlichen aktiven Weise ihre Einwilligung zu der gegebenen Nutzung erteilt haben könnte, liegt nicht vor. Insbesondere ist kein Vortrag dahingehend feststellbar, dass im Kontext der Erstregistrierung durch Klick auf den Button „Registrieren“ eine entsprechende Einwilligung abgegeben wurde. Zwar wurde die Klägerseite in diesem Kontext unstreitig auf die Nutzungsbedingungen und die Datenschutzrichtlinie der Beklagten hingewiesen. Es liegt aber kein Vortrag dahingehend vor, dass in einer dieser beiden Dokumente die hier streitgegenständliche Funktionalität auch nur Erwähnung findet, sodass dem Registrierungsvorgang insoweit auch kein Erklärungswert zukommen kann. Soweit die Beklagte in diesem Kontext auf Seite 6 der Datenschutzrichtlinie und den dortigen Link verweist („Mehr dazu, wie Du die Informationen über dich kontrollieren kannst, die du mit diesen Apps und Webseiten teilst bzw. die andere teilen.“) führt dies nicht weiter. Denn es ist nicht vorgetragen, wohin dieser Link führt und welche Informationen dort aufzufinden sind. Im Übrigen läge eine wirksame Einwilligung selbst dann nicht vor, wenn unter diesem Link Informationen zu der hier streitgegenständlichen Funktionalität abrufbar wären. Denn eine auf einer derartig platzierten Information fingierte Einwilligung wäre nicht „in informierter Weise“ erfolgt, wie aber nach den obigen Ausführungen gem. Art. 6 DSGVO erforderlich. In „informierter Weise“ ist eine Zustimmung nur dann, wenn die Informationen „leicht zugänglich und deutlich von anderen Sachverhalten klar zu unterscheiden sind. Insbesondere dürfen die Informationen nicht in AGB „versteckt“ werden (BeckOK DatenschutzR/Albers/Veit, 42. Ed. 1.11.2021, DS-GVO Art. 6 Rn. 29-39). Davon könnte hier keine Rede sein, wenn sich die Information (wenn überhaupt) nur unter einem Unterlink finden lässt, der aus der Datenschutzrichtlinie heraus führt und der zudem nach der gewählten Bezeichnung („Mehr dazu, wie Du die Informationen über dich kontrollieren kannst, die du mit diesen Apps und Webseiten teilst bzw. die andere teilen“) keinerlei Anhaltspunkte dahingehend enthält, dass dort auch Informationen zur Nutzung der Mobilfunknummer aufzufinden sein könnten, von der zum Zeitpunkt der Registrierung gerade nicht anzunehmen war, dass diese öffentlich geteilt würde. Nichts Anderes folgt im Übrigen aus dem Umstand, dass den Nutzerinnen und Nutzern auf diversen Unterseiten nach der Registrierung Möglichkeiten angeboten werden, die Voreinstellungen zu ändern. Denn, wie oben dargelegt, erfordert die DSGVO nicht die bloße Möglichkeit, Voreinstellungen nachträglich zu ändern, sondern die aktive und eindeutige Einwilligung von Anfang an. Nachdem eine solche Einwilligung hier aus den dargelegten Gründen nicht gegeben ist, kommt es auch nicht darauf an, ob die angebotenen Möglichkeiten der nachträglichen Änderungen hinreichend einfach und übersichtlich zu finden waren. Soweit hierzu bereits entgegengesetzte Rechtsprechung existiert, überzeugt diese nicht. Die dem Gericht bekannten vorliegenden Entscheidungen prüfen insoweit regelmäßig lediglich pauschal, ob die in der Gesamtbetrachtung vorliegenden Informationen zur Nutzung der Telefonnummer zur Auffindbarkeit hinreichend transparent und klar sind (vgl. etwa LG Ellwangen Urteil vom 25. Januar 2023 - 2 O 198/22 -, GRUR-RS 2023, 1146, Rn. 62; LG Kiel Urteil vom 12. Januar 2023 - 6 O 154/22 -, GRUR-RS 2023, 328, Rn. 38). Dabei wird nicht unterschieden, welche Informationen im Kontext der Registrierung erteilt werden und welche Informationen in anderem Kontext ggf. auf der Seite auffindbar wären. Damit stellen sich diese Entscheidungen im Ergebnis in Widerspruch zu den oben aufgezeigten Anforderungen an eine aktive und eindeutige Zustimmung zu der fraglichen Datenverarbeitung. Im Übrigen hat auch die Beklagte insoweit vorgetragen, dass sich ... regelmäßig - und so auch hier - nicht auf den Rechtfertigungstatbestand der Einwilligung stütze, sondern von einer Rechtmäßigkeit aufgrund von Art. 6 Abs. 1 b DSGVO (vgl. dazu sogleich) ausgehe. ii. Die hier beanstandete Funktion der Suchbarkeit des Profils durch Dritte anhand der Mobilfunknummer war auch - ganz offensichtlich - nicht für die Erfüllung des zwischen den Parteien geschlossenen Vertrags erforderlich, Art. 6 Abs. 1 b DSGVO. Was mit dem Begriff der Erforderlichkeit dabei im Einzelnen gemeint ist, ist allerdings umstritten (vgl. eingehend etwa BeckOK DatenschutzR/Albers/Veit, 43. Ed. 1.2.2023, DS-GVO Art. 6 Rn. 40-47). Klar ist jedoch, dass jedenfalls dann keine Erforderlichkeit im Sinne der DSGVO angenommen werden kann, wenn die konkret in Frage stehende Datenverarbeitung für die Erfüllung des konkreten Vertrages jedenfalls in keiner Weise notwendig, sondern allenfalls irgendwie „nützlich“ oder „dienlich“ ist (Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, DS-GVO Art. 6 Rn. 13, 14; BeckOK DatenschutzR/Albers/Veit, 43. Ed. 1.2.2023, DS-GVO Art. 6 Rn. 40-47; Kühling/Buchner/Buchner/Petri, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 42-44). Dies ist hier ersichtlich der Fall, da die Auffindbarkeit der jeweiligen Profile anhand der hinterlegten Mobilfunk-Nummer für die Vertragsabwicklung vorliegend allenfalls nützlich, keinesfalls aber notwendig war. Schon der bloße Umstand, dass die Nutzerinnen und Nutzer die fragliche Funktion in ihren Profileinstellungen deaktivieren konnten ohne dass die Vertragsdurchführung hierdurch von auch nur einer der Parteien als in Frage gestellt gesehen wurde, zeigt, dass es sich um eine möglicherweise praktische aber eben nicht irgendwie notwendige Funktion handelt. Vielmehr erleichtert die Funktion den Nutzerinnen, die dies wünschen, die bessere Vernetzung mit anderen Nutzerinnen und Nutzern, schließt aber eine sinnvolle Nutzung der vielfältigen Nutzungsangebote von ... auch bei der Deaktivierung dieser Funktion in keiner Weise aus. iii. Des Weiteren ist auch nicht festzustellen, dass die streitgegenständliche Datenverarbeitung zur Wahrung der berechtigten Interessen der Klägerseite oder Dritten erforderlich war (Art. 82 ABs. 1 f DSGVO). Gleiches gilt für Art. 6 Abs. 1 f DSGVO. Berechtigte Interessen der Beklagten, zu deren Wahrung die Funktion erforderlich wäre, sind nicht festzustellen. bbb. Des Weiteren stellt das Gericht einen unzureichenden Schutz der streitgegenständlichen Daten der Klägerseite durch die Beklagte fest. Die Beklagte hat gegen ihre Pflichten aus Art. 32 DSGVO zur Ergreifung geeigneter technischer und organisatorischer Schutzmaßnahmen verstoßen. i. Eine Verletzung von Art. 32 DSGVO ist dabei generell vom Schutzbereich des Art. 82 DSGVO umfasst. Ein Verstoß kann daher die Schadensersatzpflicht nach Art. 82 DSGVO begründen (vgl. nur Kühling/Buchner/Jandt DS-GVO Art. 32 Rn. 40a). ii. Es liegt auch ein derartiger, haftungsbegründender Verstoß vor. Nach Art. 32 Abs. 1 Hs. 1 DSGVO haben der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Das Gebot soll insbesondere personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten oder es unbeabsichtigt zu einem Verlust, einer Zerstörung oder Schädigung der Daten kommt (Paal/Pauly/Martini, 3. Aufl. 2021, DSGVO Art. 32 Rn. 2; vgl auch Ehmann/Selmayr/Hladjk, 2. Aufl. 2018, DSGVO Art. 32 Rn. 2). Bezüglich der vorzunehmenden Maßnahmen sind der Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung und die jeweilige Eintrittswahrscheinlichkeit sowie das Risiko für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Je höher die drohenden Schäden sind, desto wirksamer müssen die zu ergreifenden Maßnahmen sein (Kühling/Buchner/Jandt DS-GVO Art. 32 Rn. 7-13). Ausweislich des Erwägungsgrunds 76 zur DSGVO sollten dabei die Eintrittswahrscheinlichkeit und Schwere des Risikos anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt (vgl. auch LG Berlin, Urteil vom 14. März 2023 - 56 O 75/22 -, nicht veröffentlicht). Im vorliegenden Fall ist dabei zur Überzeugung des Gerichts an die vorzunehmenden Maßnahmen und das damit verbundene notwendige Schutzniveau ein hoher Maßstab anzusetzen. Dies ergibt sich zum einen daraus, dass im Falle von Scraping nicht lediglich Daten erhoben werden, die ohnehin öffentlich zugänglich sind. Vielmehr wird durch die Scraping-Angriffe eine Verknüpfung zu dem Konto des Betroffenen und der darin erhaltenen Daten erstellt und somit ein ganzes Datenpaket einschließlich der zuvor nicht öffentlich einsehbaren Telefonnummer zusammengestellt. Die Gefahr, dass diese Daten sodann einschließlich der Telefonnummer massenhaft durch Dritte veröffentlicht werden, ist - wie auch der vorliegende Fall zeigt - besonders hoch (vgl. auch LG Paderborn, Urteil vom 19. Dezember 2022 - 3 O 99/22 -, juris). Gerade bei weltweit genutzten sozialen Netzwerken wie demjenigen der Beklagten ist „Scraping“ dabei auch aus einer ex-ante-Sicht zu erwarten gewesen (vgl. LG Berlin, Urteil vom 14. März 2023 - 56 O 75/22 -, nicht veröffentlicht). Der Beklagten war diese Thematik auch bekannt. Bereits in ihrem Artikel vom 6. April 2021 (Anlage B 10) beschäftigte sie sich hiermit und berichtete über das Scraping als „gängige Taktik“. Ebenfalls thematisierte sie, dass bereits 2019 darüber berichtet worden war. Darüber hinaus ist gerade bei einem Unternehmen in der Größenordnung der Beklagten davon auszugehen, dass sie grundsätzlich die Möglichkeit hat, geeignete technische Maßnahmen zum Schutz gegen Scraping zu ergreifen. Dies ist ferner sowohl dem oben genannten Artikel, als auch dem Vortrag der Beklagten zu den Maßnahmen zu entnehmen. Insoweit führt sie beispielsweise selbst aus, dass eine Übertragungsbeschränkung oder das Einrichten von Captcha-Anfragen stattgefunden habe. Die Kammer geht davon aus, dass die Beklagte vorliegend jedoch keine diesen Anforderungen genügenden Schutzmaßnahmen ergriffen hat. Die Beklagte trifft insoweit eine sekundäre Darlegungslast, zu den von ihr aufgeführten Schutzmaßnahmen konkret vorzutragen (so auch LG Frankfurt am Main, Urteil vom 21. März 2023 - 2-18 O 114/22 -, nicht veröffentlicht; OLG Stuttgart, Urteil vom 31. März 2021 - 9 U 34/21 -, juris). Eine sekundäre Darlegungslast trifft den Prozessgegner der primär darlegungsbelasteten Partei, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hat, während der Bestreitende alle wesentlichen Tatsachen kennt und es ihm unschwer möglich und zumutbar ist, nähere Angaben zu machen (BGH, Urteil vom 10. Februar 2015 - VI ZR 343/13 -, juris). So liegt es im hiesigen Fall, da es der Beklagten ohne weiteres möglich ist, darzulegen, welche konkreten Maßnahmen zum Schutz der Daten ergriffen wurden. Demgegenüber hat die Klägerseite als Außenstehende keine Kenntnis über die konkret implementierten Maßnahmen. Die Beklagte hat zu den notwendigen und ergriffenen Maßnahmen jedoch nicht ausreichend vorgetragen. Sie hat nicht hinreichend dargelegt, wie die von ihr genannten Maßnehmen konkret ausgestaltet gewesen sein sollen. Insbesondere der pauschale Vortrag, es seien Übertragungsbeschränkungen eingeführt und Captcha-Anfragen genutzt worden, ist einer konkreten Prüfung, ob diese Maßnahmen auch dem erhöhten Maßstab der Sicherungsmaßnahmen genügen, nicht zugänglich, da jedenfalls nicht zu der konkreten Ausgestaltung vorgetragen wurde. Das Vorliegen einer sekundären Darlegungslast hatte die Klägerseite bereits mit Schreiben vom 01.09.2023 thematisiert. Ebenfalls hatte sie hier ausdrücklich den unzureichenden Vortrag der Beklagten angemahnt. Der Beklagten war die Auffassung der Kammer auch durch die bereits in dieser Thematik ergangenen Urteile vom 25.05.2023 und zuletzt vom 20.09.2024, bei denen sie jeweils als Beklagte beteiligt war, bekannt. Soweit die Beklagte darüber hinaus vorträgt, sie gehe nun mittels Unterlassungsaufforderungen, Kontosperrungen und Gerichtsverfahren gegen Scraper vor, handelt es sich bei diesen Maßnahmen augenscheinlich um solche, die erst nach dem erfolgten Scraping-Vorfall ergriffen wurden und die demnach zum hier streitgegenständlichen Zeitpunkt noch nicht im Einsatz waren. Soweit die Beklagte vorträgt, den „Social Connection Check“ eingeführt oder die Kontakt-Importer-Funktion durch die PYMK-Funktion ersetzt zu haben, handelt es sich um solche Maßnahmen, welche nach ihrem Vortrag erst im Nachgang und damit nach dem streitgegenständlichen Vorfall ergriffen wurden. Weiterhin enthält der Vortrag der Beklagten diesbezüglich keine hinreichende Auseinandersetzung damit, aus welchen Gründen diese Maßnahmen nicht bereits vor dem streitgegenständlichen Vorfall ergriffen worden sind. Dies ist insbesondere auch unter dem Gesichtspunkt relevant, dass der Beklagten - wie oben bereits dargelegt - das Problem des Scrapings als „gängige Taktik“ bekannt war (vgl. auch LG Frankfurt am Main, Urteil vom 21. März 2023 - 2-18 O 114/22-, nicht veröffentlicht). ccc. Hingegen vermag das Gericht keine Haftung der Beklagten wegen einer etwaigen Verletzung des Grundsatzes „privacy by design“ bzw. „privacy by default“ zu erkennen. Mit den überzeugenden Argumenten des Landgerichts Paderborn (Urteil vom 19. Dezember 2022 - 3 O 99/22 -, GRUR-RS 2022, 39349) spricht insoweit zwar viel dafür, dass insoweit ein Verstoß gegen Art. 25 DSGVO vorliegen dürfte: „e) aa) Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen bereits bei der Entwicklung von Produkten, Diensten und Anwendungen sicherzustellen, dass die Anforderungen der DSGVO erfüllt werden („Privacy by Design“). Abs. 2 konkretisiert diese allgemeine Verpflichtung und verlangt, vorhandene Einstellungsmöglichkeiten standardmäßig auf die „datenschutzfreundlichsten“ Voreinstellungen („Privacy by default“) zu setzen (Ehmann/Selmayr/Baumgartner, 2. Aufl. 2018, DSGVO Art. 25 Rn. 3). „Datenschutz durch Voreinstellungen“ soll insbesondere diejenigen Nutzer schützen, welche die datenschutztechnischen Implikationen der Verarbeitungsvorgänge entweder nicht zu erfassen in der Lage sind oder sich darüber keine Gedanken machen und sich deshalb auch nicht dazu veranlasst sehen, aus eigenem Antrieb datenschutzfreundliche Einstellungen vorzunehmen, obwohl der Telemediendienst ihnen diese Möglichkeit prinzipiell eröffnet (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 13). Die Nutzer sollen keine Änderungen an den Einstellungen vornehmen müssen, um eine möglichst „datensparsame“ Verarbeitung zu erreichen. Vielmehr soll umgekehrt jede Abweichung von den datenminimierenden Voreinstellungen erst durch ein aktives „Eingreifen“ der Nutzer möglich werden. Die Regelung soll die Verfügungshoheit der Nutzer über ihre Daten sicherstellen und sie vor einer unbewussten Datenerhebung schützen. Abs. 2 verlangt aber nicht, dass der Verantwortliche stets die jeweils denkbar datenschutzfreundlichste Voreinstellung trifft. Der Verantwortliche entscheidet vielmehr durch die Festlegung eines bestimmten Verarbeitungszweckes auch über den Umfang der dafür erforderlichen Daten. Dem Wortlaut nach ist daher auch eine besonders datenintensive Voreinstellung mit Abs. 2 vereinbar, wenn der Zweck der Verarbeitung dies erfordert. Vor dem Hintergrund der Schutzrichtung des Abs. 2, den Nutzer vor einer Überrumpelung oder dem Ausnutzen seiner Unerfahrenheit zu schützen, muss der Verantwortliche aber stets sicherstellen, dass die geplante Datennutzung auch für einen nicht-technikaffinen Nutzer hinreichend transparent ist. (Ehmann/Selmayr/Baumgartner, 2. Aufl. 2018, DSGVO Art. 25 Rn. 18 f.). 107bb) Gegen diese Regelungen verstößt die Beklagte. Die G-Plattform der Beklagten sah standardmäßig vor, dass neben den verpflichtenden öffentlichen Daten (Name, Geschlecht, Nutzer-ID) auch weitere Angaben des Nutzers öffentlich einsehbar sind. Hier gehören einzelne Informationen auf seinem G-Profil, wie etwa Wohnort, Stadt, Beziehungsstatus, Geburtstag und E-Mail-Adresse. Allein die Telefonnummer war standardmäßig nur für einen selbst bzw. Freunde einsehbar. Die „Suchbarkeits-Einstellungen“ sahen jedoch in ihrer Standard-Voreinstellung unabhängig von der Einsehbarkeit der Telefonnummer vor, dass alle Personen mittels dieser die hinter den Nummern stehenden G-Profile finden konnten. Die Nutzer mussten selbst aktiv werden, um ihre Daten Dritten weniger zugänglich zu machen. Diese Voreinstellungen entsprechen nicht den Anforderungen, die insbesondere Art. 25 Abs. 2 S. 3 DSGVO normiert. Die Vorschrift ist insbesondere auf soziale Netzwerke ausgerichtet (vgl. Ehmann/Selmayr/Baumgartner, 2. Aufl. 2018, DSGVO Art. 25 Rn. 20; Gola/Heckmann/Nolte/Werkmeister, 3. Aufl. 2022, DSGVO Art. 25 Rn. 28, 31; Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DS-GVO Art. 25 Rn. 12). Demnach muss sichergestellt sein, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Der Nutzer muss demnach die Möglichkeit haben, die Veröffentlichung seiner personenbezogenen Daten aktiv zu steuern. Übertragen auf die sozialen Netzwerke folgt daraus, dass der Nutzer selbst festlegen können muss, ob und mit wem er Inhalte innerhalb eines Netzwerks teilt. Aus Abs. 2 S. 3 folgt in diesem Fall die Verpflichtung für den Betreiber des Netzwerks, die Default-Einstellungen so zu treffen, dass Inhalte der Nutzer nicht standardmäßig mit anderen Nutzern oder Dritten geteilt werden. Als Voreinstellung ist der kleinstmögliche Empfängerkreis vorzusehen (vgl. Ehmann/Selmayr/Baumgartner a.a.O.; Gola/Heckmann/Nolte/Werkmeister a.a.O; Sydow/Marsch DS-GVO/BDSG/Mantz, 3. Aufl. 2022, DS GVO Art. 25 Rn. 69). Entgegen der Ansicht der Beklagten darf es von den Nutzern nicht erforderlich sein, selbst aktiv individuelle Anpassungen zu machen, die erst dann zu einer geringeren Zugänglichkeit ihrer Daten führt. Es sind vielmehr Voreinstellungen zu treffen, die entgegengesetzt zum Vorgehen der Beklagten den Nutzern die Möglichkeit verschafft, ihre Angaben über den Personenkreis hinaus zugänglich zu machen, der standardmäßig vorgesehen ist. Alternativ ist auch die Gestaltung denkbar, die den Nutzer zu einer Entscheidung für oder gegen die Einsehbarkeit bzw. Suchbarkeit zwingt (Sydow/Marsch DS-GVO/BDSG/Mantz, 3. Aufl. 2022, DS GVO Art. 25 Rn. 69). Die Voreinstellungen auf „Alle“ in der Zielgruppenauswahl sowie für die Telefonnummer in den Suchbarkeits-Einstellungen lassen sich auch nicht für alle vom Nutzer angegebenen Daten mit dem von der Beklagten behaupteten Unternehmenszweck rechtfertigen. Der Unternehmenszweck der Beklagten besteht laut ihrer Angabe im hiesigen Verfahren darin, Menschen die Möglichkeit zu geben, Gemeinschaften zu bilden, und die Welt näher zusammenzubringen. Menschen würden die G-Plattform nutzen, um mit Freunden und Familie in Verbindung zu bleiben, um zu erfahren, was in der Welt vor sich geht, sowie um sich mit bedeutsamen Gemeinschaften und Anliegen, die ihnen wichtig sind, zu verknüpfen. Eine öffentliche Einsehbarkeit der persönlichen Daten wie Name, Geburtsdatum, Wohnort, Interessen etc. ließe sich zwar anhand des o.g. Zwecks erklären. Denn Nutzer finden Kontakte in sozialen Netzwerken in der Regel über Namen, geographische Nähe, gemeinsame Lebensabschnitte, z.B. während der Ausbildung oder der Berufsausübung, oder über gemeinsame Interessen. Dies gilt jedoch nicht hinsichtlich der E-Mail-Adresse sowie die Suchfunktion über die Handynummer. Eine Kontaktaufnahme anhand der öffentlich einsehbaren E-Mail-Adresse erscheint der Kammer nach allgemeiner Lebenserfahrung als zumindest untypisch. Dies gilt ebenfalls über die Suche über die Telefonnummer. Soweit eine Person die Telefonnummer einer anderen Person bereits hat, ist eine Vernetzung dieser durch telefonische Kontaktaufnahme durchführbar. In diesem Rahmen ist es auch möglich, sich gegenseitig auf der G-Plattform zu finden. Eine Suchbarkeit über die Telefonnummer ist dann obsolet. Diese Einstellung sowie das „CIT“ unterliegen - wie das „Datenscraping“ aufzeigte - vielmehr einer Missbrauchsgefahr durch Dritte. Nach alledem lässt sich zumindest für die Voreinstellungen der Beklagten über die Einsehbarkeit der E-Mail-Adresse und die Suchbarkeit über die Telefonnummer für „Alle“ ein Verstoß gegen Art. 25 DSGVO feststellen.“ Jedoch wäre eine derartige Verletzung von Art. 25 DSGVO jedenfalls nicht vom Schutzbereich des Art. 82 DSGVO umfasst und kann daher keine Schadensersatzansprüche auslösen. Systematisch folgt dies bereits aus dem Umstand, dass Art. 82 Abs. 2 DSGVO voraussetzt, dass der Schaden „durch eine Verarbeitung“ ausgelöst wurde, während Art. 25 DSGVO Verhaltenspflichten normiert, die vor jeder konkreten Datenverarbeitung liegen und die generellen Voreinstellungen betreffen (Sydow/Marsch DS-GVO/BDSG/Mantz, 3. Aufl. 2022, DS GVO Art. 25 Rn. 76, 77; so i.E. auch Gola/Heckmann/Nolte/Werkmeister, 3. Aufl. 2022, DS-GVO Art. 25 Rn. 34). Durch ein derartiges Verständnis der Art. 25, 82 DSGVO wird der Wirkungsbereich des Art. 25 DSGVO dabei auch nicht in unzulässiger Weise eingeschränkt. Vielmehr werden eventuelle Verstöße gegen Art. 25 DSGVO bei diesem Verständnis auf Verschuldensebene relevant und hindern ggf. eine Entlastung des Normverpflichteten: „Art. 25 Abs. 1 kommt aber besondere Bedeutung zu, wenn ein Schaden erst einmal eingetreten ist. Denn nach Art. 82 Abs. 3 wird der Verantwortliche (nur) von der Haftung frei, wenn er nachweist, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist. Lässt sich aber ein Verstoß gegen Art. 25 Abs. 1 feststellen, zB weil der Verantwortliche Maßnahmen zur Risikominderung nicht ergriffen, Daten nicht (bzw. nicht rechtzeitig) pseudonymisiert, nicht erforderliche Daten erhoben oder nicht erforderliche Verarbeitungsvorgänge durchgeführt hat, dann ist ein Verschulden des Verantwortlichen allein hierdurch indiziert. Denn jedenfalls wohnt einem Verstoß gegen Art. 25 praktisch immer eine Erhöhung der Gefahr eines Schadens inne. Der Gegenbeweis nach Art. 82 Abs. 3 dürfte sich in einem solchen Fall als noch schwieriger darstellen.“ (Sydow/Marsch DS-GVO/BDSG/Mantz, 3. Aufl. 2022, DS GVO Art. 25 Rn. 76, 77). ddd. Das vermag Gericht auch keine weiteren haftungsbegründenden Verstöße der Beklagten gegen die DSGVO im Hinblick auf die vorgetragenen Verletzungen von Informationspflichten zu erkennen. Es kann offenbleiben, ob - was nahe liegt - die Beklagte ihre Meldepflichten aus Art. 33, 34 DSGVO verletzt und weder die Aufsichtsbehörde gemäß Art. 33 DSGVO noch die Klägerseite entsprechend ihrer unverzüglich zu erfüllenden Verpflichtung aus Art. 34 Abs. 1 DSGVO informiert hat. Auf entsprechende Verstöße lässt sich ein immaterieller Schadensersatzanspruch vorliegend jedenfalls nicht stützen, weil nicht zur Überzeugung der Kammer festgestellt werden kann, dass die etwaige Verletzung dieser Pflichten für den geltend gemachten Schaden der Klägerseite überhaupt (mit-)kausal geworden ist und diesen zumindest vertieft hat. Vielmehr ist das streitgegenständliche Scraping der Daten mit der öffentlichen Einstellung der Daten im Internet erstmals offenbar geworden. Dass eine in der Folge unterlassene Information hierüber den damit bereits eingetretenen Schaden in Gestalt der Verletzung des allgemeinen Persönlichkeitsrechtes der Klägerseite konkret weiter vertieft hätte, lässt sich bei dieser Sachlage nicht feststellen. Insbesondere ist nicht ersichtlich, dass der Gefahr, dass die bereits rechtswidrig zirkulierenden Daten auch auf weiteren Seiten angeboten werden, zum Zeitpunkt der unterstellt unterlassenen Information überhaupt noch hätte begegnet werden können (a.A. LG Paderborn, Urteil vom 19. Dezember 2022 - 3 O 99/22 -, Rn. 140: Möglichkeit genommen, geeignete Maßnahmen zu ergreifen, um das Risiko des Missbrauchs seiner Daten zu minimieren). bb. Soweit nach den obigen Ausführungen haftungsbegründende Verletzungen der DSGVO vorliegen, sind diese auch von der Beklagten zu vertreten. Dabei kann für das vorliegende Verfahren dahinstehen, ob Art. 82 DSGVO eine verschuldensunabhängige Haftung begründet (BAG, EuGH-Vorlage vom 26. August 2021 - 8 AZR 253/20 (A) -, juris Rn. 40), eine Gefährdungshaftung mit der bloßen Möglichkeit der rechtsvernichtenden Einwendung fehlenden Verschuldens (vgl. hierzu etwa BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 17-22) oder ob mit der wohl h.M. angenommen werden kann, Art. 82 Abs. 3 DSGVO enthalte ein Verschuldenserfordernis im Sinne der gängigen deutschen Terminologie mit einer entsprechenden Vermutung zu Lasten des Normverletzers und einer bei dem Verpflichteten liegenden Beweislast, dass weder Vorsatz noch Fahrlässigkeit vorlag (vgl. etwa BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 17-22; Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 14, 15; so wohl auch: Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 82 Haftung und Recht auf Schadenersatz; EuArbRK/Franzen, 4. Aufl. 2022, EU (VO) 2016/679 Art. 82 Rn. 17, 18; Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DS-GVO Art. 82 Rn. 24-26). Denn selbst wenn Art. 82 DSGVO eine Exkulpationsmöglichkeit nach gängiger deutscher Terminologie zukommen würde, wäre der Beklagten eine Exkulpation nicht gelungen. Im Hinblick auf die rechtwidrige Verarbeitung der einschlägigen Daten der Klägerseite ist nichts zu erkennen, was die Beklagte zu Exkulpation vortragen könnte. Die konkrete Konfiguration der Voreinstellungen in den Profilen war ebenso wie die technischen Funktionen zur Nutzung der Mobilfunkdaten von der Beklagten im Rahmen ihres Geschäftsbetriebes offenkundig bewusst so verfasst wie oben beschrieben. Insoweit liegt entsprechend zumindest Fährlässigkeit vor. Dies gilt auch für die fehlende Erfüllung der Sorgfaltsanforderungen. Auch insoweit ist jedenfalls Fahrlässigkeit zu vermuten. Einlassungsfähiger Vortrag, der dem Fahrlässigkeitsvorwurf entkräften könnte, setzte zumindest voraus, dass dargelegt wird, aufgrund welcher konkreter Erkenntnisse man ex ante davon hätte ausgehen dürfen, dass die - nicht einlassungsfähig vorgetragenen (vgl. oben) - Maßnahmen zur Erfüllung des Art. 32 DSGVO ausreichend sein könnten. Derartiges hat die Beklagte nicht vorgetragen. cc. Des Weiteren liegt auch ein ersatzfähiger Schaden im Sinne von Art. 82 Abs. 1 DSGVO vor. Grundsätzlich ermöglicht Art. 82 Abs. 1 DSGVO den Ersatz materieller und immaterieller Schäden. Ein materieller Vermögensschaden wurde von der Klägerseite nicht vorgetragen. Sie beruft sich jedoch erfolgreich auf das Vorliegen eines immateriellen Schadens. aaa. Als Anknüpfungspunkte für einen immateriellen Schaden im Sinne des Art. 82 DSGVO sind hier die von der Klägerseite geschilderten Spam-Emails und Anrufe (im Folgenden bbb.), die vorgetragenen Sorgen und Ängste in Folge des oben festgestellten Datenschutzverstoßes durch die Beklagte (im Folgenden ccc.), die Übermittlung von Daten der Klägerseite an die für das Scraping Verantwortlichen an sich (im Folgenden ddd.) und /oder die Veröffentlichung dieser Daten im Internet (im Folgenden ebenfalls ddd.) denkbar. bbb. Auf die von der Klägerseite geschilderten Spam-Nachrichten und die bei ihr eingehenden Anrufe kann sich die Klägerseite - und das Gericht erlaubt sich an dieser Stelle zu ergänzen: ganz offensichtlich - nicht berufen. Die Beklagtenseite hat insoweit nachvollziehbar bestritten, dass diese etwas mit dem streitgegenständlichen Datenschutzvorfall zu tun haben und taugliche Beweisangebote der Klägerseite dafür, dass diese Anrufe bzw. Nachrichten konkret durch den hier behandelten Datenschutzvorfall ermöglicht wurden, fehlen naturgemäß. Es ist insoweit dem Gericht aus eigener Anschauung bekannt, dass jedermann das Risiko trägt, Gegenstand derartiger Emails und Anrufe zu werden und entsprechend in keiner Weise nachvollzogen werden kann, aus welcher Quelle die hierfür Verantwortlichen die benötigten Daten, insbesondere die Emailkennung oder Telefonnummer beziehen. Vor diesem Hintergrund verbietet sich jedweder Anscheinsbeweis dahingehend, dass vorliegend der streitgegenständliche Datenschutzvorfall Quelle der benötigten Daten für die Anrufe bzw. Emails war. Dies gilt ausdrücklich auch im Hinblick auf eine etwaige zeitliche Koinzidenz der Anrufe/ Emails mit dem hier verhandelten Vorfall bei ... im Jahr 2019. Diese erhöht zwar die Wahrscheinlichkeit, dass ein Kausalzusammenhang bestehen könnte, bietet jedoch keinen hinreichenden Beweiswert, um diese Behauptung aus dem Reich der bloß irgendwie plausibel klingenden Spekulation in den Bereich des gerichtlichen Vollbeweises zu erheben. ccc. Vorliegend liegt ein Schaden im Sinne von Art. 82 DSGVO jedoch in den geltend gemachten Ängsten und Sorgen der Klägerseite begründet. Nachdem bis Ende 2023 weitgehend unklar war, ob bereits durch Datenschutzverstöße bedingte Ängste und Sorgen der betroffenen Personen einen hinreichenden Schaden im Sinne von Art. 82 DSGVO darstellen, hat der Gerichtshof der Europäischen Union erstmals mit Urteil vom 14. Dezember 2023 klargestellt, dass „allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.“ (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Juris). Diese Rechtsprechung hat der Gerichtshof sodann mit Urteil vom 25. Januar 2024 vertieft und nochmals entschieden, dass der Begriff „immaterieller Schaden“ eine Situation umfasst, in der die betroffene Person die begründete Befürchtung hegt - was zu prüfen Sache des angerufenen nationalen Gerichts ist -, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden (EuGH, Urteil vom 25. Januar 2024 - C-687/21 -, Juris), Dabei hat der Gerichtshof den nationalen Gerichten allerdings - insoweit einschränkend - die Aufgabe zugewiesen, zu prüfen, ob diese Befürchtung „unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.“ (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Juris). Dies ist etwa dann nicht der Fall, wenn sich das Risiko der rechtswidrigen Datenweitergabe als rein hypothetisch erweist (EuGH, Urteil vom 25. Januar 2024 - C-687/21 -, Juris). Ausdrücklich hat er sodann im nachfolgenden Urteil vom 21. Dezember 2023 im Hinblick auf den Grad der zu verlangenden Ängste oder Sorgen ausgesprochen, dass Art. 82 DSGVO keine Bagatellgrenze kennt: „Somit kann nicht angenommen werden, dass über diese (...) Voraussetzungen hinaus für die Haftung nach Art. 82 I DS-GVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss. Folglich verlangt Art. 82 I DS-GVO nicht, dass nach einem erwiesenen Verstoß gegen Bestimmungen dieser Verordnung der von der betroffenen Person geltend gemachte „immaterielle Schaden“ eine „Bagatellgrenze“ überschreiten muss, damit dieser Schaden ersatzfähig ist (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Juris). Wiederholt bemüht der Gerichtshof in diesem Zusammenhang hinsichtlich der Schadensintensität die Formel „so geringfügig er auch sein mag“ (EuGH , a.a.O.). Ein derartiger Schaden liegt hier auf Seiten der Klagepartei dar. Diese hat in der mündlichen Verhandlung hierzu nachvollziehbar ausgeführt, dass sie, nachdem ihr der Datenverlust bei ... bewusst geworden war, sich in einem Zustand großer Unsicherheit befinde, insbesondere da ihre Daten im Internet zum Download zugänglich waren. Der Kläger sei nun vorsichtiger geworden und versuche, nichts mehr mit dem Handy zu unternehmen, so beispielsweise Bestellungen auf Homepages oder ähnliches. Ebenfalls habe es ihm auch Stress bereitet, da er nun alles genauer prüfe. Er befürchte auch, dass man nun leichter an weitere seiner Daten gelangen könnte, wenn die Telefonnummer zirkuliert. Davon, dass diese - von der Beklagtenseite bestrittenen - Ängste tatsächlich vorliegen, ist das Gericht aufgrund der mündlichen Anhörung im Verhandlungstermin überzeugt. In der Rechtsprechung ist insoweit anerkannt, dass das Gericht im Rahmen der freien Würdigung des Verhandlungsergebnisses den Behauptungen und Angaben einer Partei i.S.v. § 141 ZPO unter Umständen auch dann glauben und sein Urteil hierauf stützen kann, wenn diese ihre Richtigkeit sonst nicht beweisen kann (vgl. z.B. BGH, Beschluss vom 24. Juni 2003 - VI ZR 327/02 -, NJW 2003, 2527; vgl. etwa auch KG Beschl. v. 5.9.2022 - 25 U 92/21, BeckRS 2022, 48732). So liegt es hier. Die Aussagen der Klägerseite erachtet das Gericht für glaubhaft. Dabei waren an die Glaubhaftigkeit der Angaben schon im Ansatz keine überstiegenen Anforderungen zu stellen. Denn schon im Ansatz liegt es mehr als Nahe, dass sich die Klägerseite nach Bekanntwerden des Verlustes ihrer Daten bei der Beklagten Sorgen um deren Verbleib und um deren Verwendung durch die hierfür Verantwortlichen macht. Für die Kammer liegt es insoweit nahe, dass sich faktisch jedermann, der davon erführe, dass seine Daten Gegenstand eines offensichtlich kriminellen Angriffes waren, über deren Verbleib und über deren weitere Verwendung für illegitime Zwecke Sorgen machen würde. Es nimmt daher wenig Wunder, dass dies auch bei der Klägerseite der Fall war. Er führte nachvollziehbar aus, dass das Geschehen eine große Unsicherheit in ihm hervorgerufen habe und auch Auswirkungen auf seinen Umgang mit dem Handy hat. Dem kann die Beklagte auch nicht mit Erfolg entgegenhalten, dass bestimmte personenbezogene Daten des Klägers auch auf anderen Seiten im Internet einsehbar seien. Zum einen handelt es sich um nicht nachgelassenen Vortrag, welcher nach § 296a ZPO nicht zu berücksichtigen ist. Der Beklagten wurde kein Schriftsatznachlass gewährt. Und selbst wenn der Vortrag zu berücksichtigen wäre, hätte die Beklagte hiermit keinen Erfolg. Nicht zu überzeugen vermag die Kammer insoweit die Überlegung des Oberlandesgerichts Dresden, ausweislich der jedenfalls in Konstellationen, in denen mit Ausnahme der Telefonnummer ohnehin alle gescrapten Daten öffentlich sichtbar gewesen seien, kein Schaden vorläge, weil die Betroffenen insoweit ohnehin weitgehend auf Kontrolle verzichtet hätten und mit der Telefonnummer allein kaum Missbrauch denkbar sei (OLG Dresden Urt. v. 16.4.2024 - 4 U 213/24, GRUR-RS 2024, 8966). Merkmal des hier vorliegenden Scrapingvorfalles ist zur Überzeugung der Kammer vielmehr, dass hierdurch den die Daten Abrufenden erstmals die bis dato nicht in dieser Form öffentlich auf ... vorliegende Verknüpfung von Datenpunkten (wie insb. dem Namen) gerade mit der Email- oder Mobilfunknummer möglich war und die Abspeicherung dieser derart neu generierten Datenverknüpfung in einem mehrere Millionen User umfassenden Datenpaketes. Ersichtlich wird hierdurch die Gefahr gesteigert, dass kriminell handelnde Akteure diese Datenpakte erwerben und - ggf. in personalisierter Form - für Angriffe auf die betroffenen Personen nutzen. Es stellt im Sinne der obigen Rechtsprechung des Europäischen Gerichtshofes insoweit keine nur rein hypothetische Sorge der klägerischen Partei dar, in Folge dieses Vorgangs selbst Gegenstand derartiger Angriffsversuche zu werden. ddd. Ein Schaden im Sinne von Art. 82 DSGVO liegt auch in der Veröffentlichung der streitgegenständlichen Daten der Klägerseite im Internet (BGH, Urt. v. 18.11.2024 - VI ZR 10/24, GRUR 2024, 1910 Rn. 28, beck-online). Von der Veröffentlichung der streitgegenständlichen Daten ist in diesem Fall auch auszugehen. Die Klägerseite hat vorgetragen, die Daten seien im Darknet öffentlich zugänglich. Diesen Vortrag hat die Beklagtenseite zwar bestritten. Die Parteien haben jedoch in der mündlichen Verhandlung vom 03.12.2024 unstreitig gestellt, dass jedenfalls die in der Anlage B16 enthaltenen Daten jedenfalls im Internet veröffentlicht wurden. Unter welchen Voraussetzungen ein „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO anzunehmen ist, richtet sich nach einer unionsrechtlichen und insoweit vom Recht der Mitgliedstaaten autonomen Auslegung dieses Begriffes. Maßgeblich sind für die Auslegung insbesondere der Wortlaut der betreffenden Bestimmung als auch der Zusammenhang in der sie sich einfügt (EuGH, Urteil vom 4. Mai 2023 - C-300/21 -, juris, rn. 29: „Die DSGVO verweist für den Sinn und die Tragweite der (…) Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“ nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind“). Dabei ergibt sich aus dem Erwägungsgrund 146 S. 3 DSGVO, nach dem „der Begriff des Schadens ... im Lichte der Rechtsprechung des Gerichtshofes weit auf eine Art und Weise ausgelegt werden [soll], die den Zielen dieser Verordnung im vollen Umfang entspricht“ dass der Begriff des Schadens weit auszulegen ist, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Datenschutz-Grundverordnung genügt jedoch nicht, um einen Schadensersatzanspruch zu begründen. Erforderlich ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens durch diesen Verstoß (BGH, Urt. v. 18.11.2024 - VI ZR 10/24, GRUR 2024, 1910 Rn. 28, beck-online). Entsprechend gilt, dass eine Beschränkung des Schadensbegriffes auf bestimmte Rechtsgüter nicht stattfindet (Hellgardt, ZEuP 2022, 7, 28), mithin jedwede Beeinträchtigung irgendeines im Unionsrecht anerkannten Rechtsgutes Schadensersatzforderungen auszulösen vermag. Die europäische Rechtslage unterscheidet sich insoweit maßgeblich von der geläufigen deutschen Regelung nach §§ 253 BGB, nach der generell nur Vermögensschäden ersetzt werden und ansonsten allenfalls noch die Rechtsgüter der körperlichen Unversehrtheit, der Freiheit und der sexuellen Selbstbestimmung Schadensersatzansprüche auszulösen vermögen. Eine derartige - von dem Verstoß gegen die DSGVO selbst - zu trennende Rechtsgutverletzung liegt hier vor. In der europäischen Rechtsordnung ist das Recht auf informationelle Selbstbestimmung als besondere und absolut geschützte Ausprägung des allgemeinen Persönlichkeitsrechts anerkannt (vgl. zur Bejahung eines Schadens im Sinne des Art. 82 DSGVO bei Verletzung des allgemeinen Persönlichkeitsrechts etwa EuArbRK/Franzen, 4. Aufl. 2022, EU (VO) 2016/679 Art. 82 Rn. 19ff.). Es folgt unmittelbar aus Art. 8 der Europäischen Grundrechtscharta und ist dort ausdrücklich geschützt. Diese Bestimmung schützt insbesondere die Herrschaft über die eigenen Daten, und damit die Möglichkeit, Dritte von der Erhebung oder Verwendung dieser Daten auszuschließen (Calliess/Ruffert/Kingreen, 6. Aufl. 2022, EU-GRCharta Art. 8 Rn. 10; vgl. hierzu etwa auch EuGH, Urteil vom 17.10.2013 - C-291/12 -, ZD 2013, 608 Rn. 24, 25). Der Schutz dieses Rechts ist dabei auch ausdrücklich Gegenstand gerade auch der DSGVO. In dieser ist in Erwägungsgrund 85 ausdrücklich ausgesprochen, dass eine Verletzung der Normen der DSGVO einen (...) immateriellen Schaden für natürliche Personen nach sich ziehen kann, „wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten“. Auch in Erwägungsgrund 75 wird das Rechtsgut der informationellen Selbstbestimmung erwähnt, wenn dort explizit das zu schützende Recht der Unionsbürger angesprochen wird, „die sie betreffenden personenbezogenen Daten zu kontrollieren“. Entsprechend ist (auch in der deutschen Rechtsprechung) anerkannt, dass eine Verletzung des allgemeinen Persönlichkeitsrechts einen Schaden im Sinne des Art. 82 DSGVO darstellen kann (BeckOK DatenschutzR/Quaas, 45. Ed. 1.5.2023, DS-GVO Art. 82 Rn. 32; vgl. auch etwa: LAG Baden-Württemberg, Urteil vom 25. Februar 2021 - 17 Sa 37/20 -, Juris; ArbG Düsseldorf, Urteil vom 5.3.2020 - 9 Ca 6557/18 -, Rn. 84; Arbeitsgericht Dresden, Urteil vom 26. August 2020 - 13 Ca 1046/20 -, Juris, ZD 2021, 54; Wybitul/Haß/Albrecht NJW 2018, 113, 114; LG Lüneburg, Urteil vom 14.7.2020 - 9 O 145/19 -, ZD 2021, 275: „Der immaterielle Schaden des Klägers liegt hier in dem Verlust der Kontrolle über seine personenbezogenen Daten.“; so wohl auch: ArbG Münster Urt. v. 25.3.2021 - 3 Ca 391/20, BeckRS 2021, 13039). Die Frage, ob diese Verletzung eine gewisse Erheblichkeitsschwelle überschreiten muss oder ob zumindest „ganz unerhebliche“ Verletzungen im Sinne einer Bagatelle ausscheiden sollten ist durch den Europäischen Gerichtshof und nun auch durch den Bundesgerichtshof dahingehend beantwortet worden, dass keine Erheblichkeitsprüfung durchzuführen ist (EuGH, a.a.O., BGH, Urt. v. 18.11.2024 - VI ZR 10/24, GRUR 2024, 1910 Rn. 28, beck-online). In der Entscheidung des Europäischen Gerichtshofes vom 11. April 2024 (Az. C-741/21) hat er ausdrücklich festgehalten, dass der bloße „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können“. Nicht anderes folgt zur Überzeugung der Kammer insbesondere aus dem nachfolgenden Satz des Europäischen Gerichtshofes, mit dem dieser nochmals betont, dass „der - selbst kurzzeitige - Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 dieser Verordnung darstellen kann, der einen Schadenersatzanspruch begründet,“ dies dann aber unter die Voraussetzung stellt, dass „die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat“. Dieser Zusatz verweist zur Überzeugung der Kammer nicht etwa darauf, dass es zusätzlich zu dem Kontrollverlust immer auch subjektiver emotionaler Beeinträchtigungen im Sinne von Ängsten oder Befürchtungen bedarf. Vielmehr verweist dieser Zusatz lediglich darauf, dass der Kontrollverlust nicht nur rein hypothetisch gewesen sein darf, weil faktisch niemand von den Daten Kenntnis genommen hat. Dies folgt zum einen aus dem Umstand, dass der Europäische Gerichtshof in dem genannten Satz ausdrücklich auf die Entscheidung Bezug genommen hat, in der derartige Fälle rein hypothetischer Risiken aus dem Schadensbegriff ausgenommen wurden (Urteil vom 25. Januar 2024 - C-687/21 -, Juris). Es folgt zum anderen aus dem Umstand, dass der Europäische Gerichtshof ausdrücklich bereits die (berechtigte) Angst nicht nur vor einer missbräuchlichen Verwendung von Daten, sondern auch schon vor einer Weiterverbreitung der Daten als Schaden eingestuft hat (Urteil vom 25. Januar 2024 - C-687/21 -, Juris). Wenn aber bereits die (berechtigte) Furcht vor einer Weiterverbreitung der Daten einen Schaden darstellt, muss erst Recht die tatsächlich stattfindende Verbreitung unter Verletzung des informationellen Selbstbestimmungsrechts einen Schaden darstellen. Diese durchgehende Rechtsprechung der hier erkennenden Kammer hat nunmehr im Übrigen auch der Bundesgerichtshof bestätigt: „geht nach der Rechtsprechung des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen Verlust der Kontrolle ("the mere loss of control", "la simple perte de contrôle") über ihre eigenen Daten infolge eines Verstoßes gegen die Daten- schutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (...) Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.“ (BGH, Urteil vom 18. November 2024 - VI ZR 10/24 -, Juris)." Eine für die Bejahung eines Schadens damit ausreichende Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung in Form eines Kontrollverlustes liegt hier eindeutig vor. Das Recht auf informationelle Selbstbestimmung enthält die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann, wo und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden (vgl. oben). Dieses Recht der Klägerseite wurde verletzt. Infolge der obigen Verstöße gegen die einschlägigen Bestimmungen der DSGVO gelangten jedenfalls die im unstreitigen Teil des Tatbestandes aufgeführten Daten inzwischen unstreitig ins Internet und wurden über einen erheblichen Zeitraum rechtswidrig und massenhaft zum weiteren Vertrieb angeboten. Hierdurch wurde das dargelegte Recht der Klägerseite verletzt, selbst zu entscheiden, wo und ob sie diese Daten offenbaren möchte. eee. Ob die Übergabe der streitgegenständlichen Daten an die für das Scraping Verantwortlichen daneben ebenfalls einen Schaden im Sinne von Art. 82 DSGVO darstellt, kann dahinstehen, da jedenfalls bereits durch die obigen Feststellungen feststeht, dass ein ersatzfähiger Schaden vorliegt. dd. Der Schaden beruht kausal (vgl. zu der str. Erforderlichkeit dieses Tatbestandsmerkmals nur BeckOK DatenschutzR/Quaas, 42. Ed. 1.8.2022, DS-GVO Art. 82 Rn. 26-27) auf den oben festgestellten Verstößen. Im Hinblick auf die rechtswidrige Verarbeitung der klägerischen Daten liegt die erforderliche Kausalität vor. Der von der Klägerseite bemühten Überlegungen zur Beweislastverteilung analog der Rechtsprechung zum hinweisgerechten Verhalten bedarf es dafür nicht. Anknüpfungspunkt für die Kausalität ist insoweit - anders als in den Fällen aus der Rechtsprechung zum hinweisgerechten Verhalten - nicht die fehlende Aufklärung, sondern die wegen der fehlenden Einwilligung rechtswidrige Datenverarbeitung in Form des Betreibens der streitgegenständlichen Funktion. Hieraus folgt, dass die Kausalität zwischen DSGVO-Verletzung und Schaden gegeben ist: Hätte es die Beklagte unterlassen, die mangels Einwilligung rechtswidrige Funktion der Profilidentifikation anhand Telefonnummer Dritten zur Verfügung zu stellen, wäre es nicht zu dem Schaden gekommen (so auch überzeugend das LG Paderborn (LG Paderborn Urteil vom 19. Dezember 2022 - 3 O 99/22 -, GRUR-RS 2022, 39349, Rn. 127 ff.): „Die gemäß den vorstehenden Ausführungen festgestellten Gesetzesverletzungen sind kausal für den bei dem Kläger entstandenen Schaden. Der Verantwortliche haftet lediglich für kausal durch die rechtswidrige Verarbeitung verursachte Schäden (Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 41). Eine Mitursächlichkeit des Verstoßes genügt (OLG Stuttgart ZD 2021, 375; LG Köln ZD 2022, 52Rn. 21). a) Die Verletzung der Informations- und Aufklärungspflichten des Art. 13Abs. 1lit. c) DSGVO ist kausal für den bei dem Kläger entstandenen Schaden. Gemäß vorstehender Erwägungen hat die Beklagte den Kläger bereits bei Erhebung seiner Mobilfunknummer nur unzureichend über die Verwendung seiner Mobilfunknummer im Hinblick auf das CIT aufgeklärt, sodass bezogen auf die Mobilfunknummer eine rechtswidrige Verarbeitung vorliegt. Diese ist auch kausal für den beim Kläger entstandenen Schaden, da es durch die Verwendung des CIT zu einem Kontrollverlust auf Seiten des Klägers kam.“ Gleiches gilt für die Kausalität zwischen dem unzureichenden Schutz der streitgegenständlichen Daten und dem Schaden. Durch die unzureichenden Maßnahmen wurde das Scraping überhaupt erst ermöglicht bzw. zumindest erleichtert. Dies hat zu einem Kontrollverlust im Hinblick auf die Daten und letztlich zu dem festgestellten Schaden geführt. Es liegt daher zumindest Mitursächlichkeit vor, welche auch ausreicht (Kühling/Buchner/Bergt DS-GVO Art. 82 Rn. 45). Der neue Vortrag der Beklagten dahingehend, dass ein Kontrollverlust durch den Scraping-Vorfall bereits nicht anzunehmen sei, da personenbezogene Daten des Klägers auch auf anderen Seiten öffentlich einsehbar seien, war bereits nach § 296a ZPO nicht zu berücksichtigen, da er nach Schluss der mündlichen Verhandlung einging und der Beklagten kein Schriftsatznachlass gewährt wurde. Aber auch, wenn die Kammer diesen Vortrag berücksichtigen müsste, ändert dies nichts daran, dass die hier streitgegenständlichen Daten aufgrund des Scraping-Vorfalls veröffentlicht wurden. Dass bestimmte Daten der Klägerseite bereits öffentlich zugänglich waren, lässt diesen kausalen Zusammenhang nicht entfallen. ee. Die Höhe des Schadensersatzes beziffert das Gericht mit 750,00 €, wobei es diesen Betrag für angemessen, aber auch für ausreichend hält, um den immateriellen Schaden auszugleichen und dabei die besonderen Umstände des Falles zu würdigen. Dem Gericht steht insoweit gemäß § 287 ZPO ein Ermessen zu. Es gelten für die Bemessung der Höhe des immateriellen Schadens die Grundsätze des § 253 BGB. Nicht herangezogen werden können dabei aufgrund des unterschiedlichen Zwecks der Vorschriften die Kriterien des Art. 83 DSGVO.Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung. Für Deutschland ist demnach insbesondere die Verfahrensvorschrift § 287 ZPO anzuwenden (BGH, Urt. v. 18.11.2024 - VI ZR 10/24, GRUR 2024, 1910 Rn. 28, beck-online). Die innerstaatliche Verfahrensautonomie unterliegt bei der Ermittlung des nach Art. 82 DSGVO zu ersetzenden Schadens jedoch mehreren Einschränkungen, welche aus dem Unionsrecht folgen. Zum einen dürften die Modalitäten der Schadensermittlung bei einem Sachverhalt, welcher unter das Unionsrecht fällt, nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte regeln, aber dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz). Sie dürften die Ausübung der durch das Unionsrecht verliehenen Rechte auch nicht unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz) (BGH, a.a.O.). Eine auf Art. 82 DSGVO gestützte Geldentschädigung ist dann als „vollständig und wirksam“ zu bewerten, wenn sie dazu führt, dass der aufgrund des Verstoßes gegen die DSGVO konkret erlittene Schaden vollständig ausgeglichen wird. Dagegen soll der Anspruch aus Art. 82 Abs. 1 DSGVO keine Abschreckungs- oder Straffunktion erfüllen. Daher ist weder die Schwere des Verstoßes gegen die DSGVO, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen hat zu berücksichtigen (BGH, a.a.O.). Der Bundesgerichtshof führte in seiner Entscheidung vom 18.11.2024 - der sich die Kammer anschließt - weiter aus: „Im Ergebnis soll die Höhe der Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausginge (vgl. EuGH GRUR 2024, 784 Rn. 60 = NJW 2024, 1561 - juris; EuGH GRUR-RS 2024, 530 Rn. 48 = CR 2024, 160 - MediaMarktSaturn). Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen (vgl. EuGH GRUR 2024, 1838 Rn. 35 - Patērētāju tiesību aizsardzības centrs; EuGH NJW 2024, 2599 = GRUR-RS 2024, 13981 Rn. 45 f. - Scalable Capital). Dies gilt auch unter Berücksichtigung des Umstands, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung (vgl. dazu EuGH ECLI:EU:C:2024:827 = GRUR-RS 2024, 26255 Rn. 151 - Agentsia po vpisvaniyata; EuGH NJW 2024, 2599 = GRUR-RS 2024, 13981 Rn. 39 - Scalable Capital). c) Daraus ergeben sich Vorgaben sowohl in Bezug auf die Untergrenze als auch auf die Obergrenze des nach Art. 82 I DSGVO zu gewährenden Schadensersatzes, die das Schätzungsermessen des Tatgerichts (§ 287 ZPO) rechtlich begrenzen. aa) Ist nach den Feststellungen des Gerichts allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 I DSGVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (zB Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich könnte in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insbesondere eines Rufnummernwechsels) dienen." Im vorliegenden Fall war war bei der Bemessung der Schadenshöhe zu berücksichtigen, dass sowohl eine Verletzung des Rechts auf informationelle Selbstbestimmung festgestellt wurde (vgl. oben) als auch begründete Ängste und Sorgen der Klägerpartei wegen des eingetretenen Kontrollverlustes (vgl. ebenfalls oben). Beide Aspekte sind bei der Bemessung der Schadenshöhe zu berücksichtigen (vgl. oben). Zur Bestimmung der Schadenshöhe bzgl. der Verletzung des Rechts auf informationelle Selbstbestimmung ist dabei insbesondere zu berücksichtigen, in welchem Umfang die Daten der Klägerseite „gescrapt“ wurden, und dass diese veröffentlicht wurden. Des Weiteren war zu berücksichtigen, dass die gescrapten Datenpakete einschließlich der Daten des Klägerseite in Folge des Scrapings unstreitig jedenfalls während eines erheblichen Zeitraumes und jedenfalls bis ins laufende Verfahren hinein im Internet rechtswidrig und massenhaft zum Download angeboten wurden. Hierdurch wurde das Recht der Klägerseite auf informationelle Selbstbestimmung verletzt, selbst zu entscheiden, wo und ob sie diese Daten offenbaren möchte. Dieser Verletzung misst das Gericht dabei auch ein erhebliches Gewicht zu, da die Daten der Klägerseite im „Paket“ mit den Daten Millionen anderer Nutzer und Nutzerinnen angeboten werden, was den derart generierten „Datenpaketen“ einen entsprechend höheren Nutzwert für kriminell handelnde Dritte zukommen lässt und was entsprechend die Intensität der Persönlichkeitsrechtsverletzung und die Gefahr weiterer Weiterungen steigert. Auf der anderen Seite war heranzuziehen, dass es sich mit Ausnahme der Mobilfunknummer um bereits öffentlich zugängliche Daten der Klägerseite handelte, die weder besonders schutzwürdig noch intimen waren. Ebenfalls ist es (bislang) nicht zu einer konkreten Vermögensgefährdung oder -schädigung gekommen. Für den Kläger war zu berücksichtigen, dass er nachvollziehbar darlegte, dass der Vorfall große Unsicherheit in ihm hervorgerufen habe und sich auf sein Verhalten ausgewirkt hat, indem er sehr vorsichtig mit dem Umgang des Handys geworden ist. Er mache sich ebenfalls Sorgen darüber, dass nun noch weitere seiner Daten erlangt werden können, wenn seine Telefonnummer einsehbar sei. Keine weitere Relevanz misst das Gericht daneben der Frage bei, ob neben den vorgenannten Datenpunkten auch weitere Datenpunkte veröffentlicht wurden. Die wenigen insoweit streitigen Datenpunkte betreffen keine wesentlichen Bereiche des geschützten Rechts auf informationelle Selbstbestimmung und intensivieren den eingetretenen Schaden damit nicht derart, dass eine Prüfung der Heraufsetzung des Betrages angezeigt wäre. Ebenfalls war bei der Ermittlung der konkreten Schadenshöhe nicht zu berücksichtigen, dass die Klägerseite vorträgt, eine Vielzahl an Nachrichten und Anrufen zu erhalten. Es wird insoweit auf die Ausführungen unter I. 2.a.cc.bbb. verwiesen. Die Kammer geht in der Zusammenschau der obigen Punkte davon aus, dass im vorliegenden Fall ein Schadensersatz in Höhe von 750,00 € angemessen ist, um den erlittenen Schaden vollständig auszugleichen. Dabei ist der Kammer bewusst, dass sie von den Ausführungen des Bundesgerichtshofes abweicht, nach denen für den eingetretenen Kontrollverlust als solchen eine Größenordnung von 100,00 € herangeführt wurde. Wie den obigen Ausführungen zu entnehmen ist, handelt es sich zwar nicht um besonders intime Datenpunkte. Jedoch ist die Art des Kontrollverlustes hier besonders zu berücksichtigen, da die Daten an einen unbegrenzten Empfängerkreis geraten sind und die Möglichkeit der Wiedererlangung der Kontrolle durch Entfernung der Daten aus dem Internet aus Sicht der Kammer praktisch nicht möglich ist. Zwar wäre ein Wechsel der Handynummer nach den Ausführungen des Bundesgerichtshofes in den Blick zu nehmen. Dies ändert jedoch nichts daran, dass auch andere Daten, welche nicht einfach geändert werden können (wie Namen oder Geburtsdatum) weiterhin veröffentlicht sind. Zudem hat das Gericht vorliegend und insoweit im Unterschied zur Entscheidung des Bundesgerichtshofes auch den Aspekt der erlittenen Sorgen schadenserhöhend zu berücksichtigen. Auch das Europäische Gericht setzte in seiner Entscheidung vom 08. Januar 2025 zum Aktenzeichen T-354/22 im Übrigen bereits für die unrechtmäßige Übermittlung der IP-Adresse des Betroffenen einen Betrag in Höhe von 400,00 € an. b. Der Antrag zu 2. ist unbegründet. Die Klägerseite kann von der Beklagten aus § 82 DSGVO insoweit keine Zahlung immateriellen Schadensersatzes verlangen. Es lässt sich bereits eine Verletzung des Auskunftsanspruches durch die Beklagte nicht feststellen. aa. Nach Art. 15 DSGVO kann die betroffene Person Auskunft über personenbezogenen Daten verlangen, wenn der Verantwortliche sie betreffende personenbezogene Daten verarbeitet. Art. 15 DSGVO enthält dabei vier Anspruchsinhalte. Nach Art. 15 Abs. 1 Hs. 1 DSGVO besteht ein Anspruch auf Auskunft bzw. eine Bestätigung, ob der Verantwortliche personenbezogene Daten der betroffenen Person verarbeitet. Gemäß Art. 15 Abs. 1 Hs. 2 Teil 1 DSGVO besteht Anspruch auf Auskunft über die personenbezogenen Daten, die in Bezug auf die betroffene Person vom Verantwortlichen verarbeitet werden. Art. 15 Abs. 2 DSGVO sieht einen Anspruch auf die in Art. 15 Abs. 1 Hs. 2 Teil 2 Buchst. a bis h DSGVO im Einzelnen genannten Meta-Informationen (Verarbeitungszwecke, Datenkategorien, Empfänger(kategorien), Speicherdauer, Herkunft der Daten etc.) und auf Unterrichtung über geeignete Garantien gem. Art. 46 DSGVO bei Übermittlung in ein Drittland vor. Zuletzt besteht gemäß Art. 15 Abs. 3 S. 1 DSGVO ein Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. bb. Gemessen hieran hatte die Klägerseite bereits dem Umfange nach überwiegend keinen Anspruch auf die vorgerichtlich begehrten Informationen. Die begehrten Informationen werden weit überwiegend nicht vom Anwendungsbereich Art. 15 DSGVO erfasst. aaa. Soweit die Klägerseite dahingehend Auskünfte begehrte, welche Daten konkret (wohl) im September 2019 abgegriffen und veröffentlicht wurden und welchen Empfängern wann welche Daten über die Vorgänge des „Kontakt-Import“-Tool zugänglich gemacht worden sind, besteht gemäß Art. 15 DSGVO ein Anspruch nicht, nachdem diese weder Information zu der Verarbeitung personenbezogener Daten durch die Beklagte (Art 15 Abs. 1 Hs. 2 Teil 1 DSGVO) noch zu Meta-Informationen (Art 15 Abs. 1 Hs. 2 Teil 2 DSGVO) betreffen, sondern in der Sache Informationen zu der (unbefugten) Datenerhebung durch unbekannte Dritte. bbb. Soweit der Anspruch nach den obigen Ausführungen bestehen kann, ist er durch Erfüllung erloschen, § 362 Abs. 1 BGB. Mit Schreiben vom 02.08.2023 (Anlage B16) hat sich die Beklagte in Hinblick auf die begehrte Information zu den Empfängern zulässigerweise auf die Mitteilung einer Kategorie von potentiellen Empfängern beschränkt. In dem Schreiben hat sie hinsichtlich des Personenkreises mitgeteilt, dass jedermann auf die allein betroffenen öffentlich zugänglichen Informationen Zugriff hatte bzw. hätte haben können, und, dass das „Scraping“ durch unbekannte Dritte erfolgt sei. Ferner hat sie ausgeführt, dass die Informationen durch sog. Scraping öffentlich abrufbarer Profilinformationen von ...-Nutzerprofilen im Zeitraum bis September 2019 erlangt wurden, wobei Funktionen verwendet worden seien, die es ordnungsgemäßen Nutzern ermöglichen sollen, diese Informationen einzusehen. Die Beschränkung auf Kategorien von Empfängern (jedermann) ist bei dieser Sachlage, zumal dem unbekannten genauen Zeitpunkt auch gemessen an den durch den EuGH aufgestellten Anforderungen zulässig, nachdem es bereits tatsächlich unmöglich ist, die „unbefugten“ Empfänger der personenbezogenen Daten zu identifizieren. Vor dem Hintergrund, dass die Daten unstreitig auch bei einer befugten Nutzung eingesehen werden konnten, vermag eine Auskunft dahingehend nicht zu erfolgen, welcher Nutzer im Einklang und welcher Nutzer unter Verstoß gegen die Nutzungsbedingungen handelte. Entsprechendes lässt sich entgegen der Auffassung der Klägerseite ersichtlich auch etwaigen Log-Dateien nicht entnehmen, nachdem - selbst unterstellt diese enthielten Informationen über „Telefonabgleiche“ - auch daraus nicht darauf geschlossen werden könnte, ob der jeweilige Empfänger „unbefugt“ handelt. Die Beklagte hat mithin, indem sie mitteilte, dass jedermann Zugriff hätte haben können, hinreichend Auskunft zu der Kategorie der möglichen unbefugten Empfänger erteilt. c. Der Klageantrag zu 3. ist begründet. Die Klägerseite hat Anspruch auf Feststellung der Eintrittspflicht für künftige materielle Schäden. aa. Begründet ist ein Feststellungsantrag, wenn die sachlichen und rechtlichen Voraussetzungen eines Schadensersatzanspruchs vorliegen, also ein haftungsrechtlich relevanter Eingriff gegeben ist, der zu möglichen künftigen Schäden führen kann. Diese Voraussetzungen liegen vor. bb. Eine gewisse Wahrscheinlichkeit des Schadenseinstritts ist darüber hinaus nicht erforderlich. aaa. Ob im Rahmen der Begründetheit zusätzlich eine gewisse Wahrscheinlichkeit des Schadenseintritts zu verlangen ist, hat der Bundesgerichtshof bislang weitgehend offengelassen. Er hat für die vorliegende Konstellation der Verletzung eines absoluten Rechtes - hier betroffen in Gestalt des allgemeinen Persönlichkeitsrechtes in der Ausprägung des Rechtes auf informationelle Selbstbestimmung - klargestellt, dass jedenfalls in Fällen, in denen die Verletzung eines u.a. durch § 823 Abs. 1 BGB geschützten absoluten Rechtsguts und darüber hinaus ein daraus resultierender Vermögensschaden bereits eingetreten sind, die Begründetheit einer Klage, die auf die Feststellung der Ersatzpflicht für weitere, künftige Schäden gerichtet ist, nicht von der Wahrscheinlichkeit des Eintritts dieser Schäden abhängig ist (BGH, Urteil vom 17.10.2017 - VI ZR 423/16 - , NJW 2018, 1242 Rz. 49). bbb. Auch im vorliegenden Fall ist eine gewisse Wahrscheinlichkeit nicht zu fordern. Zur Begründung hat der BGH für die von ihm entschiedene Konstellation angeführt, es gebe keinen Grund, die Feststellung der Ersatzpflicht für weitere, künftige Schäden von der Wahrscheinlichkeit ihres Eintritts abhängig zu machen. Materiell-rechtlich würde es den Anspruch auf Ersatz dieser Schäden ohnehin nicht geben, solange diese nicht eingetreten seien; von der Wahrscheinlichkeit des Schadenseintritts hänge die Entstehung des Anspruchs also nicht ab. Die Leistungspflicht solle bei künftige Schäden erfassenden Feststellungsklagen deshalb nur für den Fall festgestellt werden, dass die befürchtete Schadensfolge wirklich eintritt. Da dementsprechend der Feststellungsausspruch nichts darüber aussage, ob ein künftiger Schaden eintreten werde, sei es unbedenklich, die Ersatzpflicht des Schädigers für den Fall, dass der Schaden eintreten sollte, bereits jetzt festzustellen (BGH, Urteil vom 17.10.2017 - VI ZR 423/16 -, NJW 2018, 1242 Rz. 49). Diese Ausführungen sind auf den vorliegenden Fall übertragbar, in dem die Verletzung eines absoluten Rechtes feststeht, und zwar ein Nichtvermögensschaden aber (noch) kein Vermögensschaden eingetreten ist. Auch bei dieser Fallgestaltung würde es den Anspruch auf Ersatz von Vermögensschäden nicht geben, solange diese nicht eingetreten sind, sodass die Entstehung des Anspruchs nicht von der Wahrscheinlichkeit des Schadenseintritts abhängt. Auch insofern bedarf es einer einschränkenden Voraussetzung in Gestalt einer gewissen Wahrscheinlichkeit nicht, und es ist auch insoweit unbedenklich, die Ersatzpflicht des Schädigers für den Fall, dass der Schaden eintreten sollte, bereits jetzt festzustellen, zumal immerhin ein immaterieller Schaden feststeht. Abweichend von Sachverhalten, in denen es infolge von Verletzungen von Normen zum Schutz des Vermögens im Allgemeinen ausschließlich um befürchtete künftige Vermögensschäden geht, ist in der vorliegenden Fallgestaltung überdies eine Verletzung des absoluten Rechtes bereits eingetreten. d. Der unter dem Antrag zu 4. b. geltend gemachten Unterlassungsantrag besteht nicht. aa. Es kann insoweit offenbleiben, ob - was zutreffen dürfte - entgegen der Auffassung der Beklagten auch unter Geltung der DSGVO Unterlassungsansprüche in Betracht kommen und ob diese auf Art 17, 21 DSGVO oder §§ 823, 1004 BGB zu stützen wären (Überblick zum Meinungsstand bei Leibold/Laoutoumai, ZD-Aktuell 2021, 05583). bb. Jedenfalls steht der Klägerseite kein Unterlassungsanspruch dahin zu, eine Datenverarbeitung ohne Erfüllung der Informationspflichten hinsichtlich der Funktionsweise des CIT und der Verwendung von Telefonnummern zu unterlassen. Die Beklagte hat zwar gegen die DSGVO verstoßen, indem sie im Kontext der Registrierung nicht ausreichend nach Art. 13, 14 DSGVO über die Nutzung der mitgeteilten Mobilfunknummer im Zusammenhang mit dem CIT informiert und die Klägerseite damit in seinen Rechten verletzt hat, diese Pflichtverletzung löst aber für die Zukunft keine Folgen mehr aus, da die Klägerseite zumindest im Verlauf des Rechtsstreits sämtliche Informationen erhalten hat, die die fragliche Art und Weise der Datenverarbeitung betreffen. Die von der Klägerseite begehrte Information, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert werde und, im Falle der Nutzung der Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird, ist der Klägerseite jedenfalls nunmehr bekannt. Die geforderte Information, von der sie die weitere Datenverarbeitung abhängig machen will, hat die Klägerseite damit bereits. Es besteht mithin weder eine Fortwirkung noch eine Wiederholungsgefahr. Vielmehr würde sich die Klägerseite in Selbstwiderspruch setzten, so sie in Kenntnis die von der Beklagten angebotene Plattform weiter nutzen und gleichzeitig die Unterlassung der Datenverarbeitung ohne Erfüllung der Informationspflichten hinsichtlich der Funktionsweise des CIT und der Verwendung der Telefonnummer fordern würde. e. Der Klageantrag zu 5. ist unbegründet. Der Klägerseite steht kein auf Art 15. DSGVO oder auf dem Nutzungsvertrag i.V.m. § 242 BGB gestützter (weitergehender) Auskunftsanspruch gegenüber der Beklagten zu. aa. Ein Auskunftsanspruch nach Art. 15 DSGVO besteht nicht. aaa. Nach Art. 15 DSGVO kann - wie bereits ausgeführt - die betroffene Person Auskunft über personenbezogenen Daten verlangen, wenn der Verantwortliche sie betreffende personenbezogene Daten verarbeitet. Art. 15 DSGVO enthält dabei vier Anspruchsinhalte. Nach Art. 15 Abs. 1 Hs. 1 DSGVO besteht ein Anspruch auf Auskunft bzw. eine Bestätigung, ob der Verantwortliche personenbezogene Daten der betroffenen Person verarbeitet. Gemäß Art. 15 Abs. 1 Hs. 2 Teil 1 DSGVO besteht Anspruch auf Auskunft über die personenbezogenen Daten, die in Bezug auf die betroffene Person vom Verantwortlichen verarbeitet werden. Art. 15 Abs. 2 DSGVO sieht einen Anspruch auf die in Art. 15 Abs. 1 Hs. 2 Teil 2 Buchst. a bis h DS-GVO im Einzelnen genannten Meta-Informationen (Verarbeitungszwecke, Datenkategorien, Empfänger(kategorien), Speicherdauer, Herkunft der Daten etc.) und auf Unterrichtung über geeignete Garantien gem. Art. 46 DS-GVO bei Übermittlung in ein Drittland vor. Letztlich besteht gemäß Art. 15 Abs. 3 S. 1 DSGVO ein Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Zweck der Vorschrift ist es, den Betroffenen durch den Auskunftsanspruch in die Lage zu versetzten, von einer Verarbeitung der ihn betreffenden Daten Kenntnis zu erhalten und diese auf ihre Rechtmäßigkeit hin zu überprüfen (BeckOK DatenschutzR/Schmidt-Wudy, 43. Ed. 1.2.2023, DS-GVO Art. 15 Rn. 2). Art. 15 DSGVO gewährt dabei aber keine Auskunftsrechte im Hinblick auf einen Datenabfluss und im Nachgang eines solchen bezüglich der wirtschaftlichen Verwertung der Daten (vgl. Dickmann, r+s 2018, 345 [351]). bbb. Gemessen hieran ist die seitens der Klägerseite mit dem Klageantrag zu 5. begehrte „Auskunft über die personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch eine „Web-Scraping“-Anwendung des Kontaktimporttools erlangt werden konnten.“ teilweise bereits nicht von Art. 15 DSGVO erfasst. Soweit die Klägerseite Auskunft dahin verlangt, „welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch eine „Web-Scraping“- Anwendung des Kontaktimporttools erlangt werden konnten“, ist diese Auskunft nicht von Art. 15 DSGVO erfasst. Es handelt sich weder um eine Information über die durch die Beklagte verarbeiteten personenbezogenen Daten der Klägerseite noch handelt es sich um Meta-Informationen zu diesen Daten gemäß Art 15 Abs. 1 Hs. 2 Teil 2 DSGVO. In der Sache begehrt die Klägerseite vielmehr Informationen zu der (unbefugten) Datenerhebung durch unbekannte Dritte, die sie gemäß Art 15 DSGVO nicht von der Beklagten verlangen kann. ccc. Soweit der Anspruch besteht, ist er durch Erfüllung erloschen, § 362 Abs. 1 BGB. i. Es besteht gemäß Art. 15 Abs. 1 Hs. 2 Teil 1 DSGVO zum einen Anspruch auf Auskunft zu den durch die Beklagte verarbeiteten personenbezogenen Daten der Klägerseite. Der Verantwortliche muss die betroffene Person darüber informieren, welche Daten er über sie verarbeitet. Gemäß Art. 4 Ziff. 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. „Verarbeitung“ umfasst gemäß Art. 4 Ziff. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; das Auskunftsrecht umfasst alle Daten, die bei dem Verantwortlichen vorhanden sind (Bäcker in: Kühling/Buchner, DS-GVO, BDSG, 3. Aufl. 2020, Art. 15 DS-GVO Rn. 8). Es besteht ferner - wie bereits ausgeführt - im Ausgangspunkt ein Auskunftsrecht der betroffenen Person auch hinsichtlich der Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen gemäß Art. 15 Abs. 1 Hs. 2 lit. c) DSGVO. ii. Soweit ein Anspruch danach in Betracht kommt, hat die Beklagte ihn erfüllt, sodass er gemäß § 362 BGB erloschen ist. Hinsichtlich der begehrten Information zu den Empfängern, die „Daten durch Scraping“ erlangen konnten, gelten die obigen Ausführungen entsprechend. Die Beklagte hat sich insoweit zulässigerweise auf die Mitteilung einer Kategorie von potentiellen Empfängern („jedermann“) beschränkt. Vor dem Hintergrund, dass die Daten unstreitig auch bei einer - im Sinne der Nutzungsbedingungen - befugten Nutzung eingesehen werden konnten, ist eine Auskunft dahingehend, wer genau schließlich im Wege von „Scraping“ Daten erlangt hat, nicht möglich. bb. Ein Auskunftsanspruch lässt sich auch nicht auf ein gesetzliches Schuldverhältnis oder den Nutzungsvertrag i.V.m. § 242 BGB stützen. aaa. Allerdings kann aus dem gesetzlichen Schuldverhältnis, das durch die Verletzung der DSGVO begründet wird, und aus dem vertraglichen Schuldverhältnis in Gestalt des Nutzungsvertrages jeweils i.V.m. § 242 BGB ein (unselbstständiger) Auskunftsanspruch bestehen, welcher neben dem Bestehen eines Rechtsverhältnisses zwischen den Parteien zur Voraussetzung hat, dass die Klägerseite in entschuldbarer Weise über das Bestehen und den Umfang seines Rechts im Ungewissen und der Verpflichtete unschwer zur Auskunftserteilung in der Lage ist. bbb. Diese Voraussetzungen liegen hier nicht vor. i. Soweit die Klägerseite Auskunft begehrt, welche Daten erlangt werden konnten, ist sie insoweit allerdings in entschuldbarer Weise über das Bestehen und den Umfang ihrer Rechte im Ungewissen und die Beklagte unschwer zur Auskunftserteilung in der Lage. Die Beklagte hat aber bereits in dem Schreiben vom 02.08.2023 (Anlage B 16) hierzu Auskünfte wie folgt erteilt: „Im Gegenteil ist anzunehmen, dass die in den durch Scraping abgerufenen Daten enthaltenen Informationen durch sog. Scraping öffentlich abrufbarer Profilinformationen von ...-Nutzerprofilen im Zeitraum bis September 2019 erlangt wurden, wobei Funktionen verwendet wurden, die es ordnungsgemäßen Nutzern ermöglichen sollen, diese Informationen einzusehen, um ihnen zu helfen, mit anderen in Kontakt zu treten. Soweit die in den durch Scraping abgerufenen Daten enthaltenen Informationen vom ...-Nutzerprofil Ihres Mandanten stammen, waren sie öffentlich auf ... zugänglich (wie unten weiter erläutert wird). […] Wie in unserem verlinkten Artikel vom 19. Mai 2021 erläutert, wurden die durch Scraping abgerufenen Daten nach unserem Verständnis durch den Prozess der sogenannten Telefonnummernaufzählung abgerufen. Es ist insofern anzunehmen, dass die in den durch Scraping abgerufenen Daten enthaltenen Telefonnummern von den Scrapern unter Anwendung der Methode der Telefonnummernaufzählung bereitgestellt und gerade nicht von ...-Nutzerprofilen abgerufen wurden. Zu diesem Zweck haben die Scraper nach unserem Verständnis Listen mit möglichen Telefonnummern von Nutzern hochgeladen, um so zu versuchen festzustellen, ob diese Telefonnummern mit einem ...-Konto verbunden sind. Wurde eine Übereinstimmung festgestellt, haben die Scraper bestimmte öffentlich zugängliche Informationen (d. h. Informationen, die öffentlich waren oder bei denen die Zielgruppenauswahl auf "öffentlich" eingestellt war) von dem jeweiligen Nutzerkonto abgerufen. [...] Meta Ireland hält keine Kopie der Rohdaten, welche die durch Scraping abgerufenen Daten enthalten. Auf Grundlage der bislang vorgenommenen Analysen ist es Meta Ireland jedoch gelungen, der Nutzer ID Ihres Mandanten die folgenden Datenkategorien zuzuordnen, die nach unserem Verständnis in den durch Scraping abgerufenen Daten erscheinen und mit den auf dem ...-Profil Ihres Mandanten verfügbaren Informationen übereinstimmen (die "Datenpunkte"): Nutzer ID Vorname Nachname Land Geschlecht Darüber hinaus ist nach unserem Verständnis auch die Telefonnummer Ihres Mandanten in den durch Scraping abgerufenen Daten enthalten, wobei diese nach unserem Verständnis, wie oben beschrieben, von den Scrapern unter Anwendung der Methode der Telefonnummernaufzählung bereitgestellt und gerade nicht vom ...-Nutzerprofil Ihres Mandanten abgerufen wurde. Wie oben beschrieben waren jegliche Daten, die im Rahmen der relevanten Scraping Aktivitäten von ... abgerufen wurden, auf ... öffentlich zugänglich. In diesem Zusammenhang weisen wir darauf hin, dass bestimmte Nutzerinformationen auf dem Profil eines Nutzers, darunter Vorname, Nachname, Geschlecht und Nutzer-ID, immer öffentlich zugänglich sind. Andere Daten sind ebenfalls öffentlich, wenn die Zielgruppenauswahl des Nutzers für diese Daten auf "öffentlich" eingestellt ist.“ Damit hat die Beklagte den Anspruch vorliegend jedenfalls gemäß § 362 BGB erfüllt, nachdem sie dargestellt hat, auf welcher Weise die unbekannten Dritten nach ihren Erkenntnissen vorgingen und welche Daten bei dieser Vorgehensweise eingesehen werden konnten, nämlich die - nach den jeweiligen Einstellungen - „öffentlich“ einsehbaren Daten der Klägerseite, sowie die von unbekannten Dritten generierte Telefonnummer. ii. Soweit die Klägerseite Auskunft begehrt, durch welche Empfänger Daten erlangt werden konnten und zu welchem Zeitpunkt Daten erlangt werden konnten, hat die Beklagte in ihrem außergerichtlichen Schreiben, erklärt, dass Dritte öffentlich zugängliche Informationen im Wege des sog. „Scrapings“ zusammengetragen hätten. Ferner hat sie ausgeführt, dass diese Daten „bis September 2019“ erlangt worden seien. Weitere Auskünfte vermag die Klägerseite vorliegend nicht zu verlangen, nachdem das Scraping von außen erfolgt ist. Die von der Klagepartei begehrte Auskunftserteilung ist daher aufgrund des Vorganges des Scrapings unter Ausnutzung von Daten, die auf „öffentlich“ gestellt sind, auch für die Beklagte unmöglich. Das gilt gleichermaßen für die Auskunft, wann die Daten gescrapt wurden. Die Beklagte hat der Klägerseite im Ergebnis also alle Informationen mitgeteilt, die ihr im Zuge des Scraping-Vorfalls zur Verfügung standen. Weitere Angaben kann sie nicht machen. Sie ist entsprechend hierzu auch nicht verpflichtet. cc. Die Klägerseite hat auch keinen Anspruch auf die Eidesstattliche Versicherung. Es kann dahingestellt bleiben, ob der Anspruch auf eidesstattliche Versicherung einer Aus-kunft nach §§ 259 Abs. 2, 260 Abs. 2 BGB auch auf die Auskunft nach Art. 15 DSGVO An-wendung findet. Die Voraussetzungen dieses Anspruchs liegen nicht vor. Danach müsste nach § 260 Abs. 2 BGB Grund zu der Annahme bestehen, dass die Auskunft nicht mit der erforderlichen Sorg-falt erteilt worden wäre (LG Mannheim Urt. v. 15.3.2024 - 1 O 99/23, GRUR-RS 2024, 52962). Maßgeblich ist das Gesamtverhalten des Schuldners (Grüneberg, in: Grüneberg, BGB, § 259 Rn 13). Ein solcher Grund besteht hier nicht. Die Beklagte hat ausgeführt, dass ihr die Rohdaten der Scraping-Vorfälle nicht vorlägen. Der pauschale Einwand der Klägerseite, dass das Begehren hinsichtlich einer eidesstattlichen Versicherung möglich sei, da sonst stets behauptet werden könne, dass eine Auskunft nicht möglich sei, ohne, dass der Betroffene dies prüfen könne, genügt nicht. Auch auf den Vortrag der Beklagten, dass nicht ersichtlich sei, dass sie die Auskunft nicht mit der erforderlichen Sorgfalt erteilt haben will, entgegnete die Klägerseite nichts. f. Der Klägerseite steht ein Anspruch auf Ersatz bzw. Freistellung hinsichtlich vorgerichtlicher Rechtsanwaltsgebühren lediglich in Höhe von 220,27 € zu. Die vorgerichtlichen Rechtsanwaltskosten sind Teil des gemäß Art. 82 Abs. 1 DSGVO zu ersetzenden Schadens. Die Hinzuziehung eines Rechtsanwalts zur Durchsetzung der klägerischen Ansprüche hält die Kammer angesichts der Komplexität der Materie für erforderlich. Ausgehend von einem Wert des berechtigten Verlangens der Klägerseite von 1.250,00 € zum Zeitpunkt der außergerichtlichen Tätigkeit ergibt dies Kosten in Höhe von 220,27 € (1,3 Geschäftsgebühr Nr. 2300, 1008 VV RVG: 165,10 €; Auslagen Nr. 7001 u. 7002 VV RVG: 20,00 €; 19% MwSt: 35,17 €). Der Zinsanspruch folgt aus §§ 288 Abs. 1, 291 BGB. Als Zinsbeginn wurde vorliegend das Datum des Schriftsatzes der Beklagtenseite gewählt, mit dem der dortige Prozessbevollmächtigte Verteidigungsabsicht anzeigte. Ein vorheriges Datum konnte nicht bestimmt werden. Insbesondere liegt kein Rückschein vor, der den Zeitpunkt der Klagzustellung bei der Beklagten in Irland ausweist. Der geltend gemachte Anspruch auf Zinsen in Bezug auf die vorgerichtlichen Rechtsanwaltskosten besteht jedoch nicht. Gemäß §§ 288, 291 BGB sind nur Geldschulden während des Verzugs bzw. ab Rechtshängigkeit zu verzinsen. Es ist auch nicht schlüssig vorgetragen, dass der Zinsanspruch Inhalt des geltend gemachten Freistellungsanspruchs geworden wäre. Zwar kann ein Freistellungsanspruch im Ausgangspunkt auch Verzugszinsen erfassen. Voraussetzung wäre aber, dass die Klagepartei sich gegenüber seinen Prozessbevollmächtigten in Verzug befindet. Hierzu ist Vortrag schon nicht erfolgt. II. Die Kostenentscheidung folgt aus § 92 Abs. 1 ZPO. III. Die Entscheidung zur vorläufigen Vollstreckbarkeit folgt hinsichtlich der aus §§ 708 Nr. 11, 711 ZPO. IV. Den Gebührenstreitwert hat die Kammer mit 9.000,00 € festgesetzt. 1. Der Bemessung des Gebührenstreitwertes hat die Kammer im Ausgangspunkt gemäß § 48 Abs. 1 S. 1 GKG die für die Zuständigkeit des Prozessgerichts oder die Zulässigkeit des Rechtsmittels geltenden Vorschriften der §§ 3, 6-9 ZPO über den Wert des Streitgegenstands zu Grunde gelegt. In der konkreten Streitsache ist ferner zu berücksichtigen, dass verfahrensgegenständlich eine Mehrzahl von Anträgen ist und die Streitigkeiten je nach Antrag zum Teil als vermögensrechtlich und zum Teil als nichtvermögensrechtlich zu qualifizieren sind. Ob ein Rechtsstreit vermögens- oder nichtvermögensrechtlicher Natur ist, bestimmt sich nach dem Zweck des jeweiligen Klageantrages. Ist der Klageantrag unmittelbar auf eine vermögenswerte Leistung gerichtet, handelt es sich stets um einen vermögensrechtlichen Streit. Ferner sind Ansprüche als vermögensrechtlich zu qualifizieren, die auf vermögensrechtlichen Beziehungen beruhen bzw. ihnen entstammen, sowie solche Ansprüche, die im Wesentlichen der Wahrung wirtschaftlicher Belange dienen. In allen anderen Fällen ist das Rechtsverhältnis entscheidend, aus dem der geltend gemachte Anspruch hergeleitet wird (vgl. Elzer in: Toussaint, Kostenrecht, 53. Aufl. 2023, GKG § 48 Rn. 7 m.w.N.). Für die Fälle nichtvermögensrechtlicher Streitigkeiten bestimmt § 48 Abs. 2 S. 1 GKG, dass der Streitwert unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien, nach Ermessen zu bestimmen ist, wobei die Grenzen gemäß §§ 34 Abs. 1, 48 Abs. 2 S. 2 GKG bei 500 € und 1 Mio. € liegen. Im Grundsatz kann in Anlehnung an § 23 Abs. 3 Satz 2 RVG bei einer nichtvermögensrechtlichen Streitigkeit und mangelnden genügenden Anhaltspunkten für ein höheres oder geringeres Interesse von einem Wert von 5.000 € ausgegangen werden (vgl. etwa BGH, Beschluss vom 17. November 2015 - II ZB 8/14 -, Rn. 13, juris). Bei der Bemessung darf ferner das Gesamtgefüge der Bewertung nichtvermögensrechtlicher Streitgegenstände nicht aus den Augen verloren werden (vgl. BGH Beschluss vom 28.1.2021 - III ZR 162/20 -, GRUR-RS 2021, 2286 Rn. 9 m.w.N.). 2. Hieran gemessen hat die Kammer den Streitwert auf insgesamt 9.000,00 € festgesetzt. Im Einzelnen: a. Der Antrag zu 1. betrifft eine vermögensrechtliche Streitigkeit; der Streitwert ergibt sich aus dem von der Klägerseite vorgestellten immateriellen (Mindest-)Ersatzbetrag in Höhe von 3.000,00 €. Gleiches gilt für den Antrag zu 2., welcher anhand des genannten (Mindest-)Ersatzbetrages mit 2.000,00 € zu beziffern ist. b. Der Antrag zu 3. auf Feststellung der Ersatzpflicht hinsichtlich künftiger Schäden betrifft eine vermögensrechtliche Streitigkeit. Ihm ist ein eigener wirtschaftlicher Wert beizumessen, wobei das Interesse der Klägerseite gemäß § 3 ZPO zu schätzen ist. Die Kammer schätzt dieses Interesse 500,00 €.Dabei war zu berücksichtigen, dass seit dem Scraping-Vorfall im Jahr 2019 bis zur Klageerhebung bei der Klägerseite materielle Schäden nicht eingetreten sind und der Kläger das Drohen konkreter materieller Schäden nicht dargelegt hat. Ebenfalls war der für den Feststellungsantrag vorzunehmenden Abschlag von 20% zu berücksichtigen (vgl. OLG Schleswig - Beschluss v. 06.06.2024 - 5 W 4/24). c. Die in dem Antrag zu 4. unter lit. a. und b. zusammengefassten Unterlassungsanträge betreffen jeweils nichtvermögensrechtliche Streitigkeiten; die Kammer hat für die Unterlassungsanträge insgesamt einen Gebührenstreitwert von 3.000,00 € festgesetzt, nachdem diese eng zusammenhängen und auf das gleiche Ziel gerichtet sind. Der Schutz der Telefonnummer ist Gegenstand beider Anträge und in beiden Anträgen geht es im Kern um die Regelung der Datenverarbeitung und insbesondere darum, dass die Beklagte Vorsorge dafür trifft, dass die Daten nicht erneut abgeschöpft werden. Die Heranziehung des Auffangstreitwertes von 5.000,00 € entsprechend § 23 Abs. 3 S. 2 RVG analog war nicht vorzunehmen. Insoweit kann auf die Ausführungen des Schleswig-Holsteinischen Oberlandesgerichts (Beschluss vom 06.06.2024 - 5 W 7/24) verwiesen werden: „Zwar ist nach der Rechtsprechung des Bundesgerichtshofs in Anlehnung an § 23 Abs. 3 Satz 2 RVG bei einer nichtvermögensrechtlichen Streitigkeit und mangelnden genügenden Anhalts-punkten für ein höheres oder geringeres Interesse von einem Wert von € 5.000,00 auszugehen (vgl. BGH, Beschluss vom 28. Januar 2021 - III ZR 162/20, Rn. 9). Hier liegen aber hinreichende Umstände nach § 48 Abs. 2 Satz 1 GKG für einen unter dem Auf-fangwert des § 23 Abs. 3 Satz 2 RVG liegenden Wert vor. Dem stehen auch die große Zahl der von dem Scraping-Vorfall Betroffenen und die wirtschaftlichen Verhältnisse der Beklagten als eines weltweit tätigen Großunternehmens nicht entgegen, zumal zu beachten ist, dass die Be-klagte - gerichtsbekannt - wegen des Scraping-Vorfalls einer Vielzahl im Wesentlichen gleichge-lagerter Klagen von Nutzern ausgesetzt ist. Schon bei dem Obsiegen eines Klägers wäre die Beklagte ggf. gehalten, weitere Maßnahmen zu ihrer Datenverarbeitung zu treffen (vgl. Lach, Anmerkung zu OLG Stuttgart, Beschluss vom 6. Februar 2023 - 4 W 103/22 in : jurisPR-ITR 20/2023 Anm. 4). Es ist auch nicht hinreichend dargelegt oder e sichtlich, dass dem Kläger zu-künftig Beeinträchtigungen durch Sicherheitslücken auf ....com drohen.“. d. Die Kammer hat den Streitwert für den Klageantrag zu 5. auf 500,00 € festgesetzt. Dieser Wert richtet sich gemäß § 3 ZPO nach dem wirtschaftlichen Interesse an der Erteilung der Auskunft. Dabei hat die Kammer berücksichtigt, dass ein Interesse der Klägerseite vorliegend sowohl - zumal das Auskunftsbegehren anders als das vorprozessuale Begehren gefasst ist - in der Auskunft an sich liegen als auch dem Zweck dienen kann, Voraussetzungen für den Grund und die Höhe eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO zu schaffen. Der Wert ist regelmäßig nur mit einem Teilwert des Anspruchs zu bemessen, dessen Durch-setzung die verlangte Information dienen soll, wobei üblicherweise ¼ bis 1/10 angesetzt wer-den. Angesichts der geringen Höhe des in Rede stehenden Schadensersatzanspruchs ist ein Streitwert für den Auskunftsanspruch von 500,00 € angemessen (vgl. OLG Schleswig - Beschluss v. 06.06.2024 - 5 W 4/24). Die Beklagte ist die Betreiberin der Webseite www.....com und der Dienste auf dieser Seite (nachfolgend: ...). Die Klägerseite nutzt die von der Beklagten betriebene Social Media-Plattform .... ... enthält bei laufender Nutzung der Seite die Funktion, die etwa im Smartphone einer Nutzerin oder eines Nutzers gespeicherten Mobilfunk-Telefonnummern mit den entsprechenden bei ... registrierten Daten abzugleichen. Zweck dieser Funktion war und ist, es Nutzerinnen und Nutzern zu ermöglichen, die ...-Profile ihr oder ihm aus anderem Kontext bekannter Personen zu identifizieren und ggf. als „Freunde“ dem eigenen Profil hinzuzufügen. Die Funktion ermöglicht also, ...-Profile zu identifizieren, auch ohne dass die im Profil hinterlegte Nummer für die Öffentlichkeit sichtbar ist. Verhindern konnten Nutzerinnen und Nutzer dies, indem sie bei den individuellen Einstellungen im Nutzerkonto auswählen, dass sie - entgegen der Standardeinstellungen - von Dritten nicht anhand der Telefonnummer gefunden werden möchten. Jedenfalls zum Zeitpunkt der Erstregistrierung der Klägerseite bis zu dem unten beschriebenen Vorfall 2019 (im Folgenden: streitgegenständlicher Zeitraum) war die von der Beklagten betriebene Social Media-Plattform ... derart konfiguriert, dass Nutzerinnen und Nutzer bei der Anmeldung ihre Mobilfunk-Telefonnummer oder ihre Email-Adresse hinterlegen mussten. Unter der Eingabe-Maske waren zudem jedenfalls im streitgegenständlichen Zeitraum Links zu den Nutzungsbedingungen, zu einer Datenrichtlinie und zu einer Cookie-Richtlinie angebracht. Eine Information der Nutzerinnen und Nutzer über die oben beschriebene Funktion ist jedenfalls an der Stelle, an der die Ersthinterlegung der Mobilfunknummer vorgesehen war, nicht hinterlegt. Auch die dort verlinkte Datenrichtlinie enthält dabei keine Informationen über die oben beschriebene Nutzung der Mobilfunknummer durch .... Nach erfolgter Registrierung, mithin bei laufender Nutzung von ..., war es den Nutzerinnen und Nutzern jedenfalls im streitgegenständlichen Zeitraum möglich, abweichend von der Standardeinstellung das individuelle ...-Profil derart einzustellen, dass Dritte das Profil nicht (mehr) anhand der Mobilfunk-Nummer identifizieren konnten. In diesem Zusammenhang wurden von ... ab der Hauptseite des Profils eine Reihe von Informationen, Einstellungen bzw. Untereinstellungen wie folgt angeboten: Im Menüpunkt „Einstellungen“ des jeweiligen Nutzerkontos wurden an verschiedenen Orten Funktionalitäten bzw. Informationen zur gespeicherten Telefonnummer angeboten: Unter dem Unter-Menüpunkt „Handy-Einstellungen“ konnte die Nutzerin bzw. der Nutzer weitere, nicht streitrelevante Einstellungen zur Mobilfunk-Telefonnummer vornehmen. Hier war dabei die Information enthalten, dass standardmäßig nur die jeweilige Nutzerin bzw. der jeweilige Nutzer die Telefonnummer einsehen kann („Nur Du kannst Deine Nummer sehen“). Über die streitgegenständliche Funktion wurde an dieser Stelle nicht informiert. Durch einen dort ebenfalls vorgehaltenen Button „Mehr dazu“ gelangte man zu weiteren Informationen, wobei auch dort keine Informationen dazu vorgehalten waren, dass die Mobilfunk-Telefonnummer dazu verwendet werden kann, das jeweilige Profil zu identifizieren. An anderer Stelle in den Einstellungen, nämlich unter dem Reiter „Deine Privatsphäre“ und dort unter „So kann man dich finden und kontaktieren“ - und nur hier - konnten die Nutzerinnen und Nutzer einstellen, dass sie nicht anhand der Mobilfunknummer gefunden werden wollten. Dort wurde auch klargestellt, dass „finden“ abhängig von den Einstellungen des Nutzers auch bedeuten kann, dass bei Eingabe der Telefonnummer in die Suchzeile der Website das zugehörige Nutzerprofil angezeigt werden kann. Kein Hinweis fand sich hier auf den Umstand, dass dies auch dann möglich ist, wenn die Telefonnummer auf „nicht öffentlich“ bzw. „privat“ gestellt worden war. Des Weiteren stellte die Beklagte im Hilfebereich und dort im Bereich „Privatsphäre, Datenschutz und Sicherheit“ weitere Informationen zur Verfügung. Zudem stellte ... auch an anderer Stelle weitere Informationen zur Verfügung, die nach der Darstellung von ... die Nutzerinnen und Nutzer dabei unterstützen sollen, informierte Entscheidungen zu treffen. Unter dem Profil der Klägerseite auf ... waren zum streitgegenständlichen Zeitraum jedenfalls die folgenden persönlichen Daten der Klagepartei öffentlich abrufbar: Vorname, Nachname, Geschlecht und NutzerID. Im relevanten Zeitraum waren die Suchbarkeitseinstellungen der Klägerseite so eingestellt, dass alle anderen ...-Nutzer ihr ...-Profil mithilfe der Telefonnummer finden konnten. Diese Einstellung entsprach der oben beschriebenen und von ... derart voreingestellten Standardeinstellung. Im Zeitraum von Januar 2018 bis September 2019 wurden von unbekannten Dritten personenbezogene Daten von 533 Millionen ...-Nutzerinnen und Nutzern aus 106 betroffene Ländern aus dem Datenbestand von ... abgeschöpft („gescrapt“) und im Folgenden im Darknet in jedenfalls einer online öffentlich zugänglichen Datenbank öffentlich verbreitet. Der Prozess des im Internet unstreitig allgegenwärtigen „Scrapings“ funktionierte dabei derart, dass von dritter Seite eine große Zahl an Mobilfunknummern frei und nach dem Zufallsprinzip generiert wurden. Diese wurden sodann über eine von ... zu diesem Zeitpunkt zur Suche von „Freunden“ zur Verfügung gestelltes Funktion, nämlich das „Contact Import Tool“ (CIT), unter Verstoß gegen die einschlägigen Nutzungsbedingungen abgefragt. Soweit die zunächst frei generierte Mobilfunknummer in den Datenbeständen von ... tatsächlich existierte, wurden den derart handelnden Dritten von ... die Profilseiten der dazu gehörenden Personen angegeben. Diese konnten sodann aufgesucht und die dort öffentlich hinterlegten Daten automatisiert abgegriffen und mit der als dazugehörig identifizierten Telefonnummer verknüpft werden. So konnten automatisiert und umfangreiche Datenpakete zu einer großen Zahl an Personen erstellt werden, die jeweils eine Kombination aus bereits zuvor auf den jeweiligen Profilen öffentlich einsehbaren Daten (je nach Einzelfall insb. ...ID, Name, Vorname, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus) und der zuvor nicht öffentlich einsehbaren Mobilfunknummer enthielten. Von dem beschriebenen Scraping-Vorfall war auch die Klägerseite betroffen. Unstreitig wurden jedenfalls die folgenden Datenpunkte der Klägerseite durch den oben bezeichneten Vorgang des Scrapings erfasst und im Folgenden zusammen mit den Daten einer großen Zahl weiterer Nutzerinnen und Nutzer im Internet - dies inzwischen unstreitig (vgl. Protokoll vom 03.12.2024) - veröffentlicht: - Name - Vorname - ...-Nutzer-ID - Geschlecht Eine Meldung der Beklagten bezüglich der Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde erfolgte zunächst ebenso wenig wie eine Benachrichtigung der betroffenen Nutzer. Mit Anwaltsschreiben der Klägerseite vom 28.02.2022 (Anlage RAS 1) wurde die Beklagte zur Zahlung von immateriellen Schadensersatz sowie zur Unterlassung zukünftiger Zugänglichmachung der klägerischen Daten an unbefugte Dritte, sowie der Verarbeitung der Telefonnummer auf Grundlage einer Einwilligung, die auf unübersichtlichen Informationen fußt aufgefordert. Zudem forderte sie die Beklagte auf, Auskunft zu erteilen und sich zum Ersatz sämtlicher künftigen Schäden zu verpflichten wegen der Einzelheiten, insbesondere des genauen Inhalts des Auskunftsbegehrens, wird Bezug genommen auf die Anlage RAS 1. Die Beklagte wies die Ansprüche auf immateriellen Schadensersatz und auf Unterlassung zurück und erteilte Auskünfte; wegen der Einzelheiten wird Bezug genommen auf die Anlage B16. Die Klägerseite behauptet, die von ... vorgehaltene Aufklärung über die Verwendung der von den Nutzerinnen und Nutzern zur Verfügung gestellten Daten sei unverständlich und unzureichend. Die Einstellungsoption, mit der die Suchbarkeit des Profils anhand der Telefonnummer deaktiviert werden konnte, sei nur schwer auffindbar gewesen. Die Einstellungen zur Sicherheit der Telefonnummer auf ... seien so undurchsichtig und kompliziert gestaltet, dass die Nutzer mit hoher Wahrscheinlichkeit die Standardeinstellungen beibehielten. Die Klägerseite behauptet, der oben dargestellte Scraping-Vorfall bei ... sei nur möglich gewesen, weil die Beklagte keinerlei Sicherungsmaßnahmen vorgehalten habe, um solch massenhaften Missbrauch des Contact Importer Tools (CIT) zu verhindern. Insbesondere seien weder Sicherheitscaptchas noch anderweitige Mechanismen vorgesehen gewesen, um ungewöhnliche, insb. massenhafte Abfragen von einer IP-Adresse aus zu blocken, obwohl es sich dabei um ein bekanntes Phänomen gehandelt habe. Es wäre eine Kombination mehrerer Vorsichtsmaßnahmen erforderlich, angemessen und üblich gewesen. Die Beklagte hätte zum einen die maximale Anzahl abgleichbarer Rufnummern begrenzen können. Auch hätte die Suchbarkeit nach Rufnummern per Default auf „Freunde-Freunde“ stehen müssen. Ebenfalls wäre nach Bekanntwerden des Missbrauchs die sofortige Abschaltung der fraglichen Funktionalität notwendig gewesen. Auch sei kein Monitoring- und Alarmierungssystem vorhanden gewesen, welches bei Upload von sehr großen Adressbuchchargen einen Befehl zum Einleiten von Maßnahmen abgesetzt hätte. Die Klägerseite behauptet, die Zuordnung der Telefonnummer zu den weiteren Daten eröffne Kriminellen zum Nachteil der Klägerseite eine Vielzahl an Handlungsmöglichkeiten, wie etwa Identitätsdiebstahl oder die Verwendung der Daten und dadurch erhöhtes Spam-Aufkommen.. Durch den Vorfall habe die Klägerseite einen „erheblichen Kontrollverlust“ über ihre Daten erlitten und verbliebe in einem Zustand von Unwohlsein und Sorge über einen möglichen Missbrauch ihrer Daten. Dies habe sich unter anderem in einem verstärkten Misstrauen gegenüber E-Mails manifestiert. Die Klägerseite meint, bereits die Verwendung der Mobilfunk-Telefonnummer für die Auffindbarkeit durch Dritte verstoße gegen die einschlägigen Bestimmungen der DSGVO. Insbesondere liege hierfür keine Einwilligung der Klägerseite vor und die Funktion sei auch sonst datenschutzrechtlich nicht zu rechtfertigen. Die Konfiguration der Seiten von ... verstoße zudem gegen den Grundsatz des „Privacy by Desgin“ bzw. „by default“. Sie hafte zudem wegen des unzureichenden technischen Schutzes der Daten und wegen unzureichender Auskünfte und Informationen im Anschluss an den Vorfall. Die Klägerseite ist der Auffassung, es sei für den erlittenen Datenverlust die Zahlung eines Betrages in Höhe von mindestens 3.000,00 € angemessen. Für die mangelnde Auskunft sei ein Betrag in Höhe von 2.000,00 € angemessen. Die Klägerseite ist zudem der Auffassung, ihr stehe nach §§ 1004 analog, 823 Abs. 1 und aus Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO sowie Art. 17 DSGVO gegen die Beklagte ein Anspruch auf Unterlassung, ihre personenbezogenen Daten in Zukunft ohne vorherige ausreichende Belehrung zu veröffentlichen und diese zukünftig unbefugten Dritten zugänglich zu machen, zu. Die Klägerin hat ursprünglich neben den unten aufgeführten Anträgen zu 1.-3., 4b., 5.-6. im Rahmen des Unterlassungsantrages beantragt, die Beklagte zu verurteilen es zu unterlassen personenbezogene Daten der Klägerseite über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen. Mit Schreiben vom 29.11.2024 (Bl. 351f. d.A.) hat sie diesen Antrag umgestellt. Die Klägerin beantragt nunmehr, 1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Handynummer der Klägerseite sowie weiterer personenbezogener Daten der Klägerseite wie ...-ID, Vorname, Nachname sowie ggf. weiterer personenbezogener Daten (etwa Geschlecht, Wohnort, Geburtsort, Beziehungsstatus und/oder Berufsstätte) einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 3.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5%-Punkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit zu zahlen. 2. Die Beklagte wird verurteilt, an die Klägerseite für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 2.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5%-Punkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit zu zahlen. 3. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. 4. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu € 250.000,00, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, a. eine Verarbeitung personenbezogener Daten der Klägerseite, namentlich Telefonnummer, ...-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt und Beziehungsstatus, über die Eingabe der Telefonnummer der Klägerseite in das Kontakt-Import-Tool und die darüber hergestellt Verknüpfung der eigegebenen Telefonnummer mit weiteren öffentlichen personenbezogenen Daten des Nutzerprofils der Klägerseite zu ermöglichen, ohne dass die Beklagten zum Zeitpunkt der Verwendung des Kontakt-Import-Tools unter Eingabe der Telefonnummer Sicherheitsmaßnahmen in Form einer Implementierung von SicherheitsCAPTCHAs und der Überprüfung massenhafter IP-Abfragen oder vergleichbaren Sicherheitsmaßnahmen vorgehalten hat; b. die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert wird. 5. Die Beklagte wird verurteilt, der Klägerseite Auskunft über den personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch eine „Web-Scraping“-Anwendung des Kontaktimporttools erlangt werden konnten und zudem - soweit sie erklärt, Auskünfte nicht abgeben zu können - mögliche Negativ-Auskünfte an Eides statt zu versichern. 6. Die Beklagte wird verurteilt, die Klägerseite von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von € 887,03 nebst Zinsen in Höhe von 5%-Punkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit freizuhalten. Die Beklagte beantragt, die Klage abzuweisen. Sie behauptet, sie habe die Nutzerinnen und Nutzer ausführlich darüber aufgeklärt, welche Informationen öffentlich seien und was dies für die Nutzerinnen und Nutzer bedeute. Die Optionen zur Änderung der Einstellungen bezüglich der Mobilfunknummer seien klar und einfach zu finden gewesen. Die Beklagte behauptet weiter, es gäbe keine einschlägigen Standards zur Bekämpfung von Scraping. Sie habe jedoch im Einklang mit der üblichen Praxis während des relevanten Zeitraumes über Übertragungsbegrenzungen bezüglich Datenabfragen, die pro Nutzer oder von einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht werden können, Systeme zur Boterkennung und Captcha - Anfragen verfügt. Die Übertragungsbeschränkungen könnten der Abschreckung dienen, Scraping jedoch nicht vollständig verhindern. Auch entwickele sie ihre Maßnahmen fortlaufend weiter. Sie beschäftige ein ganzes Team von Datenwissenschaftlern, -analysten und Softwareingenieuren zur Bekämpfung von Scraping, das External Data Misuse-Team (EDM-Team). Das EDM-Team solle Scraping-Aktivitäten erkennen, unterbrechen und - soweit möglich - verhindern. Außerdem gehe die Beklagte mittels Unterlassungsaufforderungen, Kontosperrungen und Gerichtsverfahren gegen Scraper vor. Ferner habe sie ihre Systeme insofern angepasst, als dass das Verknüpfen von Telefonnummern mit bestimmten ...-Nutzern durch die Kompakt-Importier-Funktion nicht mehr möglich gewesen sei. Sie habe außerdem im Nachgang den „Social Connection Check“ eingeführt und die Kontakt-Importer-Funktion dergestalt überarbeitet, dass sie die Anzeige direkter Kontaktübereinstimmungen durch eine Liste mit Kontaktvorschlägen, der „Menschen, die du kennen könntest“ - Funktion (sog. PYMK-Funktion) ersetzte. Die Beklagtenseite behauptet, der streitgegenständliche Vorfall habe kein signifikant höheres Risiko für die Klägerseite begründet. Die meisten der betroffenen Daten seien ohnehin öffentlich einsehbar gewesen, und die Kombination mit der Telefonnummer erhöhe das damit einhergehende Risiko nicht in relevanter Weise. Die Beklagte ist der Auffassung, die Anträge zu 1 bis 4 seien bereits unzulässig. Die Beklagte ist schließlich der Auffassung, das Auskunftsbegehren am Maßstab des Art. 15 DSGVO bereits erfüllt zu haben. Die von der Klägerseite begehrten Informationen seien überwiegend bereits von Art 15 DSGVO nicht erfasst, weil sie sich auf Verarbeitungstätigkeiten Dritter und nicht auf solche der Beklagten beziehen würden. Art. 15 Abs. 1 DSGVO verpflichte den Verantwortlichen indes lediglich zur Auskunft in Bezug auf die eigene Verarbeitungstätigkeit. Mit nicht nachgelassenem Schriftsatz der Beklagten vom 17.12.2024 hat sie vorgetragen, dass sich die personenbezogenen Daten der Klägerseite im Wege einer einfachen Google-Suche etwa auf der Internetseite linkedin.com einsehbar seien. Ein Kontrollverlust durch eine erneute Veröffentlichung lasse sich daher nicht begründen.

15 O 104/23

Zitationsnetzwerk