11 O 705/23

Leitsatz: 1. Art. 82 DSGVO erfasst nur solche Pflichtverstöße, die im Rahmen einer „Verarbeitung“ i.S.v. Art. 4 Nr. 2 DSGVO erfolgen. Informationspflichten aus Art. 13, 15, 33 und 34 DSGVO stellen mangels eigener Verarbeitungshandlungen keine tatbestandsrelevanten Vorgänge dar, sodass aus ihrer Verletzung keine Ansprüche nach Art. 82 DSGVO entstehen können. Das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG erweitert den unionsrechtlichen Anwendungsbereich nicht, da Art. 82 DSGVO nur solche nationalen Bestimmungen erfasst, die der Präzisierung unionsrechtlicher Normen dienen. Dies ist bei Grundrechten des Grundgesetzes nicht der Fall. (Rn. 37 – 40) (redaktioneller Leitsatz) 2. Die Anforderungen an Transparenz und Informationserteilung aus Art. 5 Abs. 1 lit. a und Art. 13 DSGVO sind erfüllt, wenn betroffene Personen zum Zeitpunkt der Datenerhebung sämtliche gesetzlich vorgesehenen Angaben in einer klar strukturierten und leicht zugänglichen Mehrebenen-Datenschutzerklärung erhalten, die eine präzise und verständliche Darstellung der eigenen Verarbeitungstätigkeiten ermöglicht und durch zusätzliche, themenspezifische Hilfebereiche ergänzt wird. Einwände gegen die Vollständigkeit der Informationen greifen nicht durch, wenn sich das Auskunftsbegehren auf hypothetische oder fremde Verarbeitungsvorgänge richtet, zu denen der Verantwortliche keine Angaben machen muss, und wenn zugleich die Nutzer durch eigene Einstellungsmöglichkeiten bestimmen können, wer ihre Daten einsehen und über welche Suchfunktionen ihr Profil auffindbar ist. (Rn. 44 – 50) (redaktioneller Leitsatz) 3. Ein Verstoß gegen Art. 32 DSGVO liegt nicht vor, wenn die angeblich unzureichend geschützten personenbezogenen Daten aufgrund der vom Nutzer gewählten Einstellungen ohnehin öffentlich abrufbar waren und damit weder eine unbefugte noch eine unrechtmäßige Verarbeitung i.S.d. Verordnung gegeben ist, sodass keine Pflicht besteht, der Erhebung solcher frei zugänglichen Informationen durch Dritte entgegenzuwirken. Das erforderliche Schutzniveau ist gewährleistet, wenn der Verantwortliche fortlaufende Maßnahmen zur Sicherung der Datenverarbeitung implementiert und frühere Funktionen mit erhöhtem Missbrauchspotenzial abgeschafft oder eingeschränkt hat. (Rn. 51 – 55) (redaktioneller Leitsatz) 4. Ein Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO besteht nur, wenn die betroffene Person einen konkreten, tatsächlich eingetretenen immateriellen Schaden substantiiert darlegt und nachweist. Ein bloßer DSGVO-Verstoß, ein abstrakter Kontrollverlust oder ein lediglich diffuses Unwohlsein genügen hierfür nicht. Erforderlich ist der Nachweis nachteiliger Folgen, die über allgemeine Lebensrisiken hinausgehen und in einem hinreichend wahrscheinlichen Kausalzusammenhang mit dem behaupteten Datenschutzverstoß stehen. (Rn. 72 – 79) (redaktioneller Leitsatz) 1. Die Klage wird abgewiesen. 2. Der Kläger hat die Kosten des Rechtsstreits zu tragen. 3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar. Beschluss Der Streitwert wird auf 6.500,00 € festgesetzt. Die Klage ist zulässig, jedoch unbegründet. I. Die Klage ist zulässig. (So auch LG Essen vom 10.11.2022 (Az. 6 O 111/22, GRUR-RS 2022, 34818). 1. Das Landgericht München II ist international, sachlich und örtlich zuständig. a) Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 Alt. 2 EuGVVO. Danach kann die Klage eines Verbrauchers gegen den Vertragspartner vor dem Gericht des Mitgliedstaats erhoben werden, an dem der Verbraucher seinen Wohnsitz hat. b) Die sachliche Zuständigkeit des Landgerichts richtet sich nach §§ 23 Nr. 1, 71 Abs. 1 GVG. Der klägerseits überhöht behauptete Streitwert war zwar herabzusetzen, überschreitet aber dennoch die Wertgrenze von 5.000,00 € c) Das Landgericht München II ist gem. Art. 18 Abs. 1 Alt. 2 EuGVVO örtlich zuständig. 2. Der Klageantrag zu 1) ist – entgegen der Ansicht der Beklagten – hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Ein Antrag ist hinreichend bestimmt, wenn der Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts klar umrissen sind, sich der Beklagte erschöpfend verteidigen kann und nicht dem Vollstreckungsgericht die Entscheidung überlassen bleibt, was dem Beklagten aufgegeben oder verboten ist. Der Inhalt eines Antrags ist der Auslegung zugänglich. Zur Auslegung sind auch die Ausführungen in der Begründung mit heranzuziehen (BeckOK ZPO/Bacher, 48. Ed. 1.3.2023, ZPO § 253 Rn. 57, 58). Der Klagebegründung lässt sich entnehmen, dass das Zahlungsbegehren aus einem zusammenhängenden, obgleich sich über einen längeren Zeitraum erstreckenden, jedoch in sich abgeschlossenen Lebenssachverhalt folgt. Maßgeblich wird dabei Bezug genommen auf die Anmeldung des Klägers auf der Plattform der Beklagten bis hin zu dem Scraping-Vorfall und der damit einhergehenden eventuell mangelhaften Benachrichtigung der betroffenen Nutzer. 3. Demnach ist auch der Feststellungsantrag zu 3) hinreichend bestimmt. Zudem hat der Kläger sein Feststellungsinteresse hinreichend dargetan, indem er die Möglichkeit vorbringt, dass weitere Schäden durch die Verwendung der illegal erlangten Daten entstehen (vgl. LG München I Endurteil v. 09.12.2021 – 31 O 16606/20, GRURRS 2021, 41707 Rn. 24). Die Zulässigkeit eines Feststellungsantrags ist bereits gegeben, wenn die Schadensentwicklung noch nicht abgeschlossen ist und der Kläger daher seinen Anspruch ganz oder teilweise nicht festsetzen kann (OLG Hamm, Urteil vom 21.05.2019 – 9 U 56/18). Das Feststellungsinteresse wäre nur dann nicht gegeben, wenn aus der Sicht des Klägers bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (vgl. Bacher BeckOK ZPO, Vorwerk/Wolf 43. Edition Stand: 01.12.2021 § 256 Rn. 24). Das klägerische Begehren wird vorliegend auf angebliche Verstöße gegen die DSGVO gestützt. Eine möglicherweise damit einhergehende unkontrollierte Nutzung gescrapter Daten schließt somit bei verständiger Würdigung die Entstehung eines materiellen oder immateriellen Schadens nicht aus. Daher ist eine mögliche Schadensentstehung für den Kläger aufgrund der Veröffentlichung seiner persönlichen Daten nicht völlig fernliegend. 4. Ferner ist der Antrag zu 4.a – entgegen der Ansicht des Beklagten – zulässig. Das Unterlassungsbegehren ist hinreichend bestimmt, indem es auf die Zugänglichmachung personenbezogener Daten des Klägers, insbesondere der Telefonnummer, gestützt wird. 5. Auch der Klageantrag zu 4.b ist – entgegen der Ansicht des Beklagten – zulässig. Im Rahmen der zu berücksichtigenden Klagebegründung wird deutlich, woraus sich die konkrete Datenverarbeitung, auf die der Kläger Bezug nimmt, ergibt. Der Kläger ist der Auffassung, dass er keine wirksame Einwilligung für die Veröffentlichung seiner – nicht bereits auf seinem -Profil für jeden einsehbaren – personenbezogenen Daten, insbesondere der Telefonnummer, erteilt hat. II. Die Klage ist jedoch unbegründet. Ein Schadensersatzanspruch besteht insbesondere deshalb nicht, weil die Beklagte nicht gegen die DSGVO verstoßen hat. Daher ist auch der Feststellungsantrag hinsichtlich der Ersatzpflicht zukünftiger Schäden unbegründet. Es besteht weder ein Anspruch auf Erteilung weiterer Auskünfte noch ein Unterlassungsanspruch. Folglich ist auch der Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten und der Zinsen unbegründet. 1. Es bestehen keine Schadensersatzansprüche, wie sie mit den Klageanträge zu 1) und 2) geltend gemacht werden. a) Die behaupteten Verstöße sind schon nicht vom Schutzbereich des Art. 82 DSGVO umfasst. Die mit den Klageanträgen zu 1) und 2) geltend gemachten Schadensersatzansprüche scheitern bereits daran, dass die Vorschriften, auf die der Kläger seine vermeintlichen Ansprüche stützt, – also Art. 13 DSGVO und Art. 33, 34 DSGVO sowie das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG (Klageantrag zu 1)) und Art. 15 DSGVO (Klageantrag zu 3) – nicht vom Anwendungsbereich des Art. 82 DSGVO erfasst sind (So auch LG Essen vom 10.11.2022 (Az. 6 O 111/22, GRUR-RS 2022, 34818). Das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG fällt schon deshalb nicht in den Anwendungsbereich der unionsrechtlichen Norm des Art. 82 DSGVO, da ein etwaiger Verstoß gegen nationales Recht gem. Erwägungsgrund 146 S. 5 nur dann eine Haftung gem. Art. 82 DSGVO begründen kann, wenn die entsprechenden Rechtsvorschriften des Mitgliedstaats „zur Präzisierung von Bestimmungen der vorliegenden Verordnung“ erlassen wurde (vgl. auch Bergt, in: Kühling/Buchner, DSGVO, 3. Aufl. 2020, Art. 82 Rn. 24; Nemitz, in: Ehmann/Selmayr, DSGVO, 2 Aufl. 2018, Art. 82 Rn. 9). Dies ist bei Grundrechten des Grundgesetzes ersichtlich nicht der Fall. Art. 82 DSGVO erfasst von vornherein nur solche Pflichtverstöße, die im Rahmen einer „Verarbeitung“ geschehen (etwa OLG Stuttgart, Urteil vom 31. März 2021, Az. 9 U 34/21, Rn. 61, Juris; LG Düsseldorf, Urteil vom 28. Oktober 2021, Az. 16 O 128/20, GRUR-RS 2021, 33076 Rn. 27; Nemitz, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 82 Rn. 8). Dies folgt bereits aus dem Wortlaut des Art. 82 Abs. 2 S. 1 DSGVO („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). Art. 13 DSGVO, Art. 34 DSGVO und Art. 15 DSGVO begründen Informationspflichten gegenüber betroffenen Personen. Die Erteilung von Informationen über die Verarbeitung personenbezogener Daten, die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten gegenüber Nutzern und die Erteilung einer beantragten Auskunft stellen jedoch selbst keine Verarbeitungen personenbezogener Daten i. S. v. Art. 4 Nr. 2 DSGVO dar. Dementsprechend kann ein Schadensersatzanspruch nach Art. 82 DSGVO nicht aus einer Verletzung dieser Vorschriften resultieren. b) Die Beklagte hat nicht gegen die DSGVO verstoßen. Der geltend gemachte Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO besteht auch deshalb nicht, weil der darlegungs- und beweisbelastete Kläger einen Verstoß gegen die DSGVO nicht dargelegt oder bewiesen hat (So auch LG Essen vom 10.11.2022 (Az. 6 O 111/22, GRUR-RS 2022, 34818). Art. 82 Abs. 1 DSGVO sieht ausdrücklich vor, dass ein Anspruch auf Schadensersatz nur besteht, wenn „wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“. Der Kläger trägt die Beweislast für das Vorliegen der notwendigen Anspruchsvoraussetzungen des geltend gemachten Schadensersatzanspruchs. Dies umfasst insbesondere die Darlegung und den Beweis für die Tatsachen, aus denen sich der angebliche Pflichtverstoß ergibt (Spindler/Horvath, in: Spindler/Schuster, DSGVO, 4. Aufl. 2019, Art. 82 Rn. 11; Quaas, in: BeckOK, DSGVO, 36. Aufl., 1. August 2022, Art. 82 Rn. 51). Der Kläger hat einen Verstoß der Beklagten gegen ihre Pflicht aus der DSGVO weder substantiiert dargelegt noch bewiesen. (i) Es sind keine Transparenzpflichten gem. Art. 5 Abs. 1 lit. a, 13 DSGVO verletzt. Der Beklagten fällt kein Verstoß gegen Transparenzpflichten gem. Art. 5 DSGVO zur Last. Nach Art. 13 DSGVO hat der Verantwortliche der betroffenen Person zum Zeitpunkt der Datenerhebung die in Art. 13 Abs. 1 und Abs. 2 DSGVO aufgeführten Informationen zur Verfügung zu stellen. Dadurch soll eine faire und transparente Verarbeitung gewährleistet werden (Art. 13 Abs. 2 DSGVO). Dabei handelt es sich um eine Konkretisierung des allgemeinen datenschutzrechtlichen Transparenzgrundsatzes (Art. 5 Abs. 1 lit. a DSGVO). Die Beklagte stellt ihren Nutzern, den Kläger eingeschlossen, sämtliche in Art. 13 DSGVO aufgeführten Informationen in Bezug auf die von ihr durchgeführten Datenverarbeitungen zum Zeitpunkt der Datenerhebung im Rahmen ihrer Datenrichtlinie zur Verfügung. Die Darstellung der Informationen erfolgt im Einklang mit den Vorgaben der DSGVO, die eine Darstellung in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache voraussetzt (vgl. Art. 12 Abs. 1 DSGVO). Insbesondere die Verwendung einer sog. Mehrebenen-Datenschutzerklärung, bei der der Nutzer auf der ersten Ebene einen Überblick über die ihm hinsichtlich der Verarbeitung seiner personenbezogenen Daten zur Verfügung stehenden Informationen erhält und die weiterführenden Informationen durch Ansteuern des jeweiligen Abschnitts eingesehen werden können, entspricht den Empfehlungen der europäischen Datenschutzbehörden (Art. 29 Datenschutzgruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP260 rev.01, Rn. 8, 35 ff. bestätigt durch den Europäischen Datenschutzausschuss (EDSA)). Dies ermöglicht es den betroffenen Nutzern, zu einem bestimmten Teil der Datenschutzerklärungen / – hinweise, den sie sofort abrufen möchten, zu navigieren, anstatt bei der Suche nach einzelnen Themen umfangreiche Texte durchkämmen zu müssen (WP260 rev. 01, Rn. 8). Die von der Beklagten verwendete Mehrebenen-Datenschutzerklärung wird derzeit und wurde auch im relevanten Zeitraum durch weitergehende Informationen im Hilfebereich ergänzt. Hierdurch werden den Nutzern nicht nur die nach Art. 5 Abs. 1 lit. a, 13 und 14 DSGVO gesetzlich vorgeschriebenen Pflichtinformationen zur Verfügung gestellt, sondern auch übersichtliche Zusammenfassungen besonders relevanter Themen. Auch dieses Vorgehen entspricht den Empfehlungen der europäischen Datenschutzbehörden (WP260 rev. 01, Rn. 37), nach denen Verantwortliche die Verwendung eben solcher Instrumente zur Ergänzung der Pflichtinformationen in Betracht ziehen sollen, um eine noch bessere Transparenz im Hinblick auf ihre Verarbeitungsprozesse zu erreichen, ohne den durchschnittlichen Nutzer mit einer mit Details überfrachteten Datenschutzerklärung zu überfordern. Speziell im Hinblick auf die Verarbeitung der Telefonnummer ihrer Nutzer stellt und stellte die Beklagte eine Reihe von Artikeln im Hilfebereich bereit. Diese Informationen sind auch leicht zugänglich und direkt auf der Homepage von (https://de-de..com/) verlinkt. Sämtliche Themen können über eine entsprechende Suche (z.B. nach dem Begriff „Handynummer“) leicht gefunden werden. Soweit der Kläger den Inhalt dieser Informationen für unzureichend hält, weil darin etwa die Information fehle, wer die Telefonnummer einsehen könne und an wen sie weitergeleitet werde (Klageschrift vom 23.02.2023, Seite 29, Bl. 29 der Akte), so geht dieser Einwand schon deshalb fehl, weil die Beklagte nur Informationen zur eigenen Verarbeitungstätigkeit erteilen muss (und kann) und nicht zu (hypothetischen) Verarbeitungstätigkeiten Dritter. Über ihre eigenen Verarbeitungstätigkeiten, insbesondere über die Zwecke der Verarbeitung der Telefonnummer und die Suchbarkeitseinstellungen, stellt die Beklagte ausführliche Informationen zur Verfügung. Im Rahmen der Entscheidung ist auch der Umstand zu berücksichtigen, dass die Nutzung der Plattform als solche freiwillig erfolgt. Die Angabe der Mobilfunknummer ist für die bloße Nutzung der Plattform nicht zwingend erforderlich. Es reicht aus, wenn Name, Geschlecht und ID hinterlegt sind. Zudem obliegt es dem Nutzer festzulegen, „wer deine Telefonnummer sehen kann und wer auf nach dir suchen kann“. Daher sind die von der Beklagten gewählten Voreinstellungen nicht zu bemängeln, weil der jeweilige Nutzer umfassend und verständlich über Änderungsmöglichkeiten informiert wird. Die Einstellungsmöglichkeiten finden sich in einer Sammlung von Links und Unterlinks. Die Beklagte hat über die Nutzungs- und Findungsmöglichkeiten aufgeklärt. Es ist zu beachten, dass das Profil eines Nutzers über die Mobilfunknummer als solches im Relevanten Zeitraum auffindbar war, wenn wie im Falle des Klägers die Suchbarkeitsfunktion über die Mobilfunknummer überhaupt und überdies für jedermann eröffnet war. (ii) Es liegt – entgegen der Ansicht des Klägers – keine Verletzung der Pflicht zur Implementierung angemessener technischer und organisatorischer Maßnahmen gem. Art. 32 DSGVO vor. Verarbeitungsprozesse sind im Sinne des Art. 32 DSGVO so zu gestalten, dass ein ausreichendes Schutzniveau für die Sicherheit personenbezogener Daten für einen angemessenen Systemdatenschutz gegeben ist. Zweck des Gebots ist u.a. der Schutz personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen vor der unbefugten oder unrechtmäßigen Verarbeitung durch Dritte (vgl. AG Straßburg, Urteil vom 13.10.2022, 25 C 95/21, juris, Rn. 28). Demnach ist der Beklagten kein Verstoß gegen ihre Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, vorzuwerfen. Die Beklagte war insbesondere nicht dazu verpflichtet, Schutzmaßnahmen zu ergreifen, um der Erhebung der immer öffentlich zugänglichen Informationen des klägerischen Profils aufgrund seiner selbst gewählten Einstellung entgegenzuwirken. Im Relevanten Zeitraum war der Kläger für alle („everyone“) über seine Telefonnummer zu finden. Es bestand keine Verpflichtung der Beklagten, diese Daten vor der Verarbeitung gem. Art. 4 Nr. 2 DSGVO durch die Scraper zu schützen, weil die Daten nicht unbefugt oder unrechtmäßig verarbeitet worden sind. Die gescrapten personenbezogenen Daten des Klägers sind Daten, die im Relevanten Zeitraum für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnliches abrufbar waren. Die Verarbeitung in Form des Scrapens erfolgte auch durch Dritte und nicht durch die Beklagte. Es folgt kein Anspruch auf bestimmte konkrete Sicherungsmaßnahmen aus der DSGVO. Es genügt, wenn die Beklagte ein hinreichendes Schutzniveau sicherstellt. Dies ist vorliegend der Fall. Es wird ein EDM-Team (External-Data-Misuse-Team) bei der Beklagten beschäftigt. Die Beklagte hat auch überzeugend erläutert, dass immer wieder konkrete Maßnahmen ergriffen werden, um Scraping zu verhindern. Danach wurde auch die streitgegenständliche Möglichkeit, über die Suchleistenfunktion mit Telefonnummern zu suchen, bereits 2018 komplett abgeschafft und der Kontaktimport ist ebenfalls eingeschränkt worden. Es findet kein exaktes Matching mehr zwischen Profilen und Telefonnummern statt, sondern es wird nur noch eine Gruppe genannt als „people you might know“. Ob auch nach diesen Maßnahmen weiter Scraping möglich ist, kann die Beklagte nicht wissen, da die Scraper professionell und auch kriminell handeln und ihre Vorgehensweisen auch den neuen Sicherheitsgegebenheiten anpassen. Auch wenn man der Ansicht ist, die Beklagte müsse darlegen und beweisen, dass sie die Vorschriften der DSGVO beachtet hat, so ist dies in Anbetracht der konkreten Ausführungen zu den Hilfeeinstellungen und Hinweisen sowie Ausführungen zu Sicherungs- und Schutzmaßnahmen der Fall. (iii) Benachrichtigungs- und Meldepflichten aus Art. 34, 33 DSGVO sind nicht verletzt. Die Beklagte war nach Art. 33 DSGVO nicht in der Pflicht, der zuständigen Aufsichtsbehörde den Datenschutzvorfall zu melden, da ihr kein Datenschutzverstoß vorzuwerfen ist. Die DSGVO verpflichtet Verantwortliche nicht, rechtswidrige Datenverarbeitungen Dritter an die zuständigen Aufsichtsbehörden zu melden (vgl. Hessel/Potel, DSRITB 2021, 279, 285 f.). (iv) Es ist keine unrechtmäßige Verarbeitung personenbezogener Daten ohne Rechtsgrundlage (Art. 6 DSGVO) gegeben. Der Beklagten fällt auch kein Verstoß gegen Art. 6 DSGVO zur Last, weil die Verarbeitung der personenbezogenen Daten des Klägers durch die Beklagte im Rahmen der Bereitstellung der -Plattform rechtmäßig war. Die von Dritten abgerufenen Informationen waren im Einklang mit der Zielgruppenauswahl des Klägers öffentlich zugänglich. Der Kläger stützt seinen Vorwurf der rechtswidrigen Datenverarbeitung darauf, dass die Beklagte unbefugten Dritten personenbezogene Daten der Klägerseite zugänglich gemacht haben soll, indem sie diese über das CIT Daten an Unbefugte übermittelte. Zunächst gab es keine „Übermittlung“ von personenbezogenen Daten durch die Beklagte an Dritte; vielmehr wurden die Informationen von dem Kläger für Nutzer der -Plattform öffentlich einsehbar gemacht. Die diesem Vortrag zugrundeliegende klägerische Behauptung einer „Sicherheitslücke“ beruht auf falschen Annahmen des Klägers und ist unzutreffend. So wurde – entgegen der Auffassung des Klägers – seine Telefonnummer gerade nicht durch die Beklagte und ihre Kontakt-Importer-Funktion Dritten „übermittelt“, sondern sie lag unabhängig von einem Zutun der Beklagten bei Dritten vor. Tatsächlich wurden die Daten des Klägers zu jeder Zeit rechtmäßig durch die Beklagte verarbeitet; auch die übrigen streitgegenständlichen Datenkategorien waren für die Scraper einsehbar – wie für jeden anderen -Nutzer – weil der Kläger dies insbesondere durch seine Zielgruppenauswahl festlegte. Die Beklagte verfügt über eine wirksame Rechtsgrundlage für die Verarbeitung der Daten der Klagepartei. Die einschlägige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten des Klägers im Rahmen der Bereitstellung der -Plattform ist Art. 6 Abs. 1 lit. b DSGVO (Erforderlichkeit der Datenverarbeitung zur Vertragserfüllung; hier in Bezug auf die Bereitstellung eines sozialen Netzwerks). Dabei handelt es sich um den hier erheblichen Verarbeitungszweck, welcher bedingt, dass bestimmt Daten den Privatsphäre-Einstellungen des Klägers entsprechend öffentlich zugänglich sind. Entgegen des klägerischen Vorbringen ist eine Einwilligung des Nutzers im Sinne von Art. 6 Abs. 1 lit. a DSGVO im gegenständlichen Kontext nicht die maßgebliche Rechtsgrundlage. Der unzutreffende Vortrag des Klägers, wonach seine Einwilligung nicht informiert gewesen sei, geht deshalb fehl, weil die Beklagte sich im streitgegenständlichen Kontext nicht auf eine Einwilligung des Klägers als Rechtsgrundlage stützt. (v) Das aus dem allgemeinen Persönlichkeitsrecht abgeleitete Recht auf informationelle Selbstbestimmung ist nicht verletzt. Deutsche Grundrechte sind, wie bereits oben erläutert, im Rahmen des Art. 82 DSGVO nicht anwendbar. Dies gilt auch für eine etwaige mittelbare Drittwirkung: Da Art. 82 DSGVO eine Norm des Unionsrechts ist, sind nationale Grundrechte bei der Auslegung nicht zu berücksichtigen (vgl. EuGH, Urteil vom 8. September 2010, C-409/06, Winner-Wetten, Rn. 61). Zudem erschließt sich aus dem klägerischen Vortrag nicht, worin eine vermeintlich eigenständige Verletzungshandlung der Beklagten liegen soll. Der Kläger beschränkt sich insoweit auf den Vorwurf einer angeblich unrechtmäßigen Übermittlung oder Offenlegung der Daten der Klägerseite und verweist im Übrigen auf seinen Vortrag zu einem vermeintlichen Verstoß gegen Art. 6 DSGVO. Da der Beklagten – wie bereits dargestellt – kein Verstoß gegen Art. 6 DSGVO zur Last fällt, liegt auch kein Verstoß des klägerischen Rechts auf informationelle Selbstbestimmung vor. (vi) Die Auskunftspflicht gem. Art. 15 DSGVO ist nicht verletzt. Der Kläger hat auch nicht schlüssig dargelegt, inwiefern die Beklagte mit ihrer Auskunft gegen Art. 15 DSGVO verstoßen hat. Das klägerische Auskunftsersuchen, vom 21.12.2022, hat die Beklagte am 06.02.2023 ordnungsgemäß beantwortet (so auch in einem parallel gelagerten Fall LG Limburg a. d. Lahn, Urteil vom 24. Januar 2023, Az. 4 O 278/22, S. 8). An diesem Tag hat die Beklagte den Kläger auf die maßgeblichen Abschnitte der Datenrichtlinie und die verfügbaren Selbstbedienungs-Tools („Zugriff auf deine Informationen“ und „Deine Informationen herunterladen“) hinwies, die es -Nutzern ermöglichen, ihre -Daten aufzurufen und einzusehen. Dies stellt eine hinreichende Antwort auf das klägerische Auskunftsersuchen nach Art. 15 DSGVO dar. Entgegen dem Vortrag des Klägers ist eine Verletzung der Auskunftspflicht auch nicht etwa darin zu sehen, dass im Schreiben der Beklagten vom 06.02.2022 detailiertere Angaben zu den abgegriffenen Informationen sowie Angaben zu den Empfängern der Informationen fehlten. Insoweit bezogen sich die von dem Kläger im Schreiben, vom 06.02.2023 begehrten Informationen nämlich auf Verarbeitungstätigkeiten Dritter. Art. 15 Abs. 1 DSGVO verpflichtet den Verantwortlichen indes lediglich zur Auskunft in Bezug auf die eigene Verarbeitungstätigkeit. Die Beklagte ist zur Beantwortung von Fragen betreffend die Verarbeitungstätigkeiten Dritter weder imstande noch nach Art. 15 DSGVO rechtlich verpflichtet ist (vgl. LG Limburg a. d. Lahn, Urteil vom 24. Januar 2023, Az. 4 O 278/22, S. 8 f.). Der Kläger scheint Informationen, die von dem Verantwortlichen nach einer Verletzung des Schutzes personenbezogener Daten gem. Art. 33 und 34 DSGVO zur Verfügung zu stellen sind, mit Informationen zu verwechseln, die als Antwort auf eine Anfrage gem. Art. 15 DSGVO zu erteilen sind. So können beispielsweise Informationen über personenbezogene Daten, die von einem Datenschutzvorfall betroffen sind, sowie über den Zeitpunkt und das Ausmaß des Datenschutzvorfalls nur gefordert werden, wenn Art. 34 DSGVO greift. Dies ist hier aber nicht der Fall. Demgegenüber ist die Beklagte gem. Art. 15 DSGVO nicht verpflichtet, solche Informationen bereitzustellen. Im Übrigen ist das Scraping von außen erfolgt und es ist nicht ersichtlich, wer diese Daten gescrapt hat. Es ist unmöglich, eine Auskunft über Daten zu erteilen, die während des Scrapens auf „öffentlich“ gestellt waren. Schließlich ist es dem Beklagten im Rechtssinne unmöglich darzulegen, wann genau das Datenscraping erfolgt ist. c) Davon abgesehen liegt kein ersatzfähiger immaterieller Schaden vor. Der Kläger ist darlegungs- und beweisbelastet (vgl. etwa Brandenburgisches OLG, Beschluss vom 21. Juni 2021, Az. 1 U 69/20, Rn. 20, juris; LG Hamburg, Urteil vom 4. September 2020, Az. 324 S 9/19, BeckRS 2020, 23277 Rn. 29) und dieser Darlegungs- und Beweislast nicht nachgekommen. Der Kläger hat vorliegend im Rahmen des § 287 ZPO keinen Nachweis darüber erbracht, dass ein Schaden für ihn höchstwahrscheinlich eingetreten ist. Die Norm setzt voraus, dass der Schaden „erlitten“ wird. Hieraus folgt, dass der Schaden tatsächlich entstanden sein muss und nicht nur vermutet wird (vgl. OLG Frankfurt a. M. GRUR-RS 2022, 4491, Rn. 55 ff.). Obwohl der Schadensbegriff nach dem Erwägungsgrund 146 S. 3 weit auszulegen ist, um den Betroffenen einen wirksamen Ersatz zu ermöglichen, genügt ein einfacher Verstoß gegen Normen aus der DSGVO nicht für ein (immaterielles) Schadensersatzbegehren (so auch OLG Frankfurt a. M. aaO.). Jedoch muss der eingetretene Schaden nicht erheblich sein. Daher kann auch Ersatz für Bagatellschäden verlangt werden. Die Rechtsauffassung, wonach der Kontrollverlust nicht per se ein ersatzfähiger Schaden ist (so auch OLG München, Verfügung vom 14.09.2023 – 14 U 3190/23 e), ändert der EuGH auch in seiner aktuellen Rechtsprechung nicht (vgl. EuGH Urt. v. 14.12.2023 – C-340/21, BeckRS 2023, 35786 Rn. 84, 85; OLG Hamm (7. Zivilsenat), Beschluss vom 21.12.2023 – 7 U 137/23). Danach hat die klagende Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachzuweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Der Kläger hat den Eintritt eines konkreten, immateriellen Schadens, worunter auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen fallen, nicht ausreichend dargestellt. Er hat angegeben, einen Kontrollverlust über seine personenbezogenen Daten erlitten zu haben. Im Rahmen seiner informatorischen Anhörung sagte der Kläger er sei lediglich verwundert und genervt gewesen. Bei verdächtigen Anrufen lege er auf, könne diese aber nicht immer von seriösen Anrufen unterscheiden. Seine Mobilfunknummer, die zugleich seine Geschäftsnummer sei, könne er nicht so leicht ändern. Die persönlich im Rahmen der informatorischen Anhörung beschriebene Verhaltensänderung ist nicht hinreichend, um einen behaupteten immateriellen Schaden anzunehmen. Aus dem klägerischen Vortrag wird nicht deutlich, wie kriminelle oder auch lediglich lästige Handlungen Dritter aussehen sollen, in denen öffentlich zugängliche Daten des -Nutzers mit der Handynummer kombiniert werden. Er hat lediglich im Zuge seiner persönlichen Anhörung erklärt, häufig verdächtige Anrufe zu erhalten. Inwieweit diese personalisiert waren, ergab sich für das Gericht nicht. Schlussendlich lässt sich nicht nachweisen, dass Anrufe und Benachrichtigungen im Kausalzusammenhang mit dem Scraping-Vorfall bei der Beklagten erfolgen. Dieser Umstand ist vielmehr dem allgemeinen Lebensrisiko, das jedem mit der Nutzung des Internets und der Preisgabe personenbezogener Daten einhergeht, geschuldet, zumal die streitgegenständliche Mobilnummer in Zusammenhang mit dem Klarnamen des Klägers anderweitig öffentlich einsehbar ist. Ein immaterieller Schaden lässt sich aus einem diffusen Bedrohungsgefühl ohne substantiierte Tatsachengrundlage nicht ableiten. III. 1. Es besteht kein Anspruch auf Feststellung der Ersatzpflicht hinsichtlich künftiger Schäden. Daneben ist der Klageantrag zu 3) unbegründet. Der Kläger hat nicht dargelegt und es ist auch nicht erkennbar, dass ihm irgendwie geartete materielle künftige Schäden zumindest erwachsen können. Dies folgt nicht bereits aus dem Umstand, dass immer öffentlich zugängliche Daten und die Handynummer durch Scraper kombiniert werden. 2. Ein (weiterer) Auskunftsanspruch ist nicht gegeben (Klageantrag zu 5). Der Klageantrag zu 5) ist unbegründet, da die Beklagte dem Kläger mit Schreiben vom 06.02.2023 (Anlage B16) in angemessener Weise Auskunft über die von ihr verarbeiteten Daten erteilt hat. Es ist nicht erkennbar, dass neben den immer öffentlich einsehbaren Daten und der Handynummer des Klägers weitere Daten von dem Scraping-Vorfall betroffen sind. Es liegen keine Anhaltspunkte dafür vor, dass Daten vom Scraping erfasst sind, die nicht ohnehin öffentlich einsehbar beziehungsweise von den Suchbarkeitskriterien umfasst waren. Andernfalls läge ein Hacker-Angriff vor, der vorliegend nicht erkennbar ist und auch nicht vom Kläger dargetan wird. 3. Es sind keine Unterlassungsansprüche gegeben. a) Der Kläger hat keinen vertraglichen Unterlassungsanspruch gegen die Beklagte. Entgegen der klägerischen Auffassung liegt weder eine Vertragsverletzung seitens der Beklagten noch eine Verletzung einer vertraglichen Nebenpflicht, insbesondere Verschwiegenheitspflicht, vor. Sofern sich aus den Nutzungsbedingungen in Bezug auf die personenbezogenen Daten des Klägers eine hier relevante vertragliche Pflicht der Beklagten ergibt, dann kann dies unzweifelhaft nur die Pflicht sein, die Privatsphäre-Einstellungen des Klägers zu befolgen. Es ist deshalb widersprüchlich, wenn der Kläger ein Unterlassen im Hinblick auf Daten verlangt, die im Einklang mit seinen Privatsphäre-Einstellungen auf der -Plattform öffentlich einsehbar waren. Die einschlägige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten des Klägers war und ist Art. 6 Abs. 1 lit. b DSGVO (Erforderlichkeit der Datenverarbeitung zur Vertragserfüllung; hier in Bezug auf die Bereitstellung eines sozialen Netzwerks). Es liegt somit ein gesetzlicher Erlaubnistatbestand für die Bearbeitung vor. Auch aus einer etwaigen Verletzung vertraglicher Nebenpflichten ergibt sich vorliegend kein vertraglicher Unterlassungsanspruch. Denn selbst wenn eine Verschwiegenheitspflicht als Nebenpflicht aus dem Nutzungsvertrag bestünde, wäre ihre Reichweite durch die individuellen Privatsphäre-Einstellungen bestimmt. Der Kläger konnte anhand der Telefonnummer, im Einklang mit ihren Suchbarkeits-Einstellungen, gefunden werden. Soweit die Informationen in den durch Scraping abgerufenen Daten von der -Plattform stammen, handelt es sich um immer öffentliche Nutzerdaten (auf die in der Datenrichtlinie ausdrücklich hingewiesen wird) oder um Daten, die im Einklang mit der Zielgruppenauswahl des Klägers öffentlich einsehbar waren. Da die Privatsphäre-Einstellungen des Klägers zum Zeitpunkt des Scraping-Vorfalls vorsahen, dass die betreffenden Daten öffentlich einsehbar sein sollten, kann insoweit auch keine Verschwiegenheitspflicht bestehen. b) Dem Kläger stehen zudem keine gesetzlichen Unterlassungsansprüche gegen die Beklagte gem. §§ 1004 analog, 823 Abs. 2 BGB i. V. m. Art. 6 Abs. 1 sowie Art. 32 DSGVO und Art. 13 DSGVO (Klageantrag zu 4.a)) zu. Es ist bereits zweifelhaft, ob die DSGVO einen derartigen Unterlassungsanspruch vorsieht. Jedenfalls fehlt es aber an einem Verstoß gegen die DSGVO, da die Verarbeitung der personenbezogenen Daten der Klagepartei, einschließlich ihrer Telefonnummer, rechtmäßig erfolgt ist und insbesondere keine unbefugte Zugänglichmachung ihrer Daten gegenüber Dritten vorliegt. Des Weiteren stellt die Beklagte ihr Kontaktimporttool zur Überzeugung des Gerichts nicht mehr zur Verfügung. Dadurch war es – wie oben dargelegt – jedem möglich, ein öffentlich einsehbares Nutzerprofil abzurufen, indem lediglich die Telefonnummer eingegeben wurde. Darüber hinaus ist zu beachten, dass es jedem Nutzer obliegt, jederzeit seine Suchbarkeitseinstellungen anzupassen, was der Kläger vorliegend auch getan hat. Deshalb ist eine Wiederholungsgefahr nicht zu befürchten. Aus den eben genannten Gründen scheitert auch ein Unterlassungsanspruch nach dem Klageantrag zu 4.b). IV. Die Kostenentscheidung beruht auf § 91 Abs. 1 S. 1 ZPO zu tragen. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 S. 1, S. 2 ZPO. V. Der Streitwert wir auf 6.500 € festgesetzt. Hinsichtlich des Streitwertes war Ziffer 1 der Klage mit 3.000 € zu bewerten, was dem klägerischen Mindestbetrag entspricht. Der Feststellungsantrag in Ziffer 3 war mit 400 € zu bewerten; bei einem Feststellungsantrag ist der Wert des Gegenstandes des Rechtsverhältnisses maßgeblich. Ziffer 2 bewertet das Gericht mit 2.000 €. Ziffer 5 (Auskunftsanspruch) wird mit 100 € angesetzt. Der Unterlassungsantrag ist nur mit 500 € zu bewerten. Ein erhöhter Wert ist nicht ersichtlich, zumal die Einkommens- und Vermögensverhältnisse der Beklagten hier nicht entscheidungsrelevant sind. Auch der weitere auf Unterlassung gerichtete Antrag ist lediglich mit 500 € anzusetzen, die Einkommens- und Vermögensverhältnisse der Beklagten sind auch in diesem Zusammenhang nicht entscheidungsrelevant. Die einzelnen Streitwerte sind zu addieren.