2 O 256/23

Die Klage wird abgewiesen. Die Kosten des Rechtsstreits hat die Klägerin zu tragen. Das Urteil ist vorläufig vollstreckbar. Die Klägerin kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110 Prozent des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 Prozent des jeweils zu vollstreckenden Betrages geleistet hat. Tatbestand Die Beklagte betreibt im Internet die Social Media Plattform D.. Die Klägerin nutzt diese Plattform, insbesondere, um mit Freunden zu kommunizieren, private Fotos zu teilen und mit anderen Nutzern im Netz zu diskutieren. Die Dienste der Beklagten ermöglichen es den Nutzern, persönliche Profile für sich zu erstellen und diese mit Freunden zu teilen. Die Nutzer können auf den persönlichen Profilen Angaben zu verschiedenen Daten zu ihrer Person machen und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf ihre Daten zugreifen können. Bei dem Anlegen eines D.-Profils wird der künftige Nutzer auf die Datenschutz- und Cookie Richtlinien hingewiesen. Diese sind durch eine Verlinkung getrennt abrufbar. Nach der Anmeldung sind zunächst die Vor-bzw. Standarteinstellungen aktiv. Demnach können „alle“ Personen sehen, welche Seiten der Nutzer abonniert oder mit wem er befreundet ist. Ebenso können „alle“ den neuen Nutzer über seine E-Mail-Adresse „finden“. Der Nutzer kann diese Einstellungen individuell verändern und im Hilfebereich nachlesen, wie D. insbesondere die Mobilfunknummer verwendet. Die Angabe der Mobilfunknummer ist dabei nicht zwingend. Entscheidet sich ein Nutzer aber diese anzugeben, kann er in den Suchfunktionen einstellen, in welchem Umfang er über diese gefunden werden will. Die Grundeinstellung lautet auch insoweit zunächst „alle“ („everyone“). Diese Einstellung kann der Nutzer ändern. Neben den gewöhnlichen Funktionen auf der D.-Website wird von der Beklagten noch eine App betrieben, die als Schnittstelle für die D.-Applikation auf Mobilgeräten arbeitet. Nutzer melden sich dafür mit ihren bestehenden D.-Profilen an. Die App und die gewöhnlichen Funktionen von D. sind über denselben Zugang zum Account verknüpft. Im Jahr 2019 lasen und persistierten („Scraping“) Dritte, D.-ID, Name, Vorname, Geschlecht und weitere korrelierende Daten – wobei streitig ist, ob hierzu auch Bundesland, Land, Stadt, Beziehungsstatus gehörten – von der D.-Plattform aus. Die Beklagte geht davon aus, dass das Contact-Import-Tool zur Bestimmung der Telefonnummern der einzelnen Benutzer genutzt wurde. Den Umständen nach wurden von Dritten zunächst maschinell fiktive Telefonnummern hochgeladen, um so festzustellen, ob diese Telefonnummern mit einem D.-Konto verbunden sind. Dies wiederum war möglich, wenn die betreffenden D.-Nutzer bei D. ihre Telefonnummer freiwillig angegeben hatten und hinsichtlich Ihrer Verwendung die oben beschriebene Einstellung eingestellt hatten, wonach sie über ihre Telefonnummer für „alle“ bzw. „everyone“ gefunden werden konnten. Sofern der Abgleich der Telefonnummern einen „Treffer“ ergab, war es möglich die Telefonnummern konkreten D.-Profilen zuzuordnen, und zwar auch dann, wenn diese auf dem Profil nicht öffentlich sichtbar freigegeben waren. Auf dem Profil des Nutzers wurde dieser dann besucht und von dort wurden die öffentlichen Daten gescrapt („abgeschöpft“). Zu diesem Zeitpunkt war in den persönlichen Einstellungen der Klägerin zum Thema der Suchbarkeit über die Telefonnummer die Einstellung „Everyone“ bzw. „alle“ ausgewählt. Anfang April 2021 wurden diese Daten von ca. 533 Millionen D.-Nutzern aus 106 Ländern im Internet öffentlich verbreitet. Mit außergerichtlicher E-Mail vom 26.06.2023 ließ die Klägerin die Beklagte vergeblich zur Zahlung von 1.000,- EUR und Unterlassung künftiger Zugänglichmachung der Daten der Klägerin sowie Erteilung einer Auskunft, welche konkreten Daten abgegriffen und im April 2021 veröffentlicht wurden, auffordern (Anlage K1). Die Beklagte erteilte daraufhin einige Auskünfte, die der Klägerin aber nicht genügen. Einen Zahlungsanspruch der Klägerin und weitere Ansprüche ließ die Beklagte zurückweisen. Wegen der näheren Einzelheiten dieser Reaktion der Beklagtenseite wird auf das in der Anlage B16 (Bl. 366 ff. d. A.) befindliche Schreiben verwiesen. Die Klägerin ist der Ansicht, die Beklagte verstoße gegen die DSGVO, indem sie ohne ausreichende Grundlage im Sinne der Art. 6 und 7 DSGVO Informationen im Sinne von Art. 13, 14 DSGVO verarbeite, Daten unbefugten Dritten zugänglich mache sowie ihre Rechte aus Art. 15, 17 und 18 DSGVO verletze und ihre Betroffenenrechte gemäß Art. 15, 17 und 18 DSGVO verletzte. Die Klägerin behauptet, das „scrapen“ sei nur möglich gewesen, weil die Beklagte keinerlei Sicherheitsmaßnahmen vorgehalten habe, um ein Ausnutzen des bereitgestellten Tools zu verhindern und weil die Einstellungen zur Sicherheit der Telefonnummer auf D. so undurchsichtig und kompliziert gestaltet seien, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne. D. sei "datenschutz-unfreundlich" eingestellt, es werde unnötig zwischen Datenschutzrichtlinien und Cookie-Verwendung differenziert, obwohl die Verwendung von Cookies – so meint die Klägerin – ein inhärent datenschutzrechtliches Thema sei. Der gesamte Anmeldevorgang sei intransparent und für den Anwender verwirrend. Dies führe letztlich – so behauptet die Klägerin – dazu, dass Nutzer im Vertrauen und mit dem Ziel, mehr persönliche Sicherheit zu erreichen, ihre Telefonnummern auf D. preisgäben. Unter Einbeziehung der Apps für die mobile Nutzung gebe es drei verschiedene Einstellungsmöglichkeiten zur Verwendung der Telefonnummer, über die ein Nutzer keine transparenten Informationen für eine Gewährleistung einer effektiven digitalen Sicherheit erhalte. Diese Sicherheitslücke werde seit 2019 ausgenutzt, ohne dass die Beklagte etwas dagegen unternehme. Sie – die Klägerin - habe so ungewollt die Kontrolle über ihre Daten verloren und werde bis heute wiederholt ungewollt von Unbekannten via E-Mail und SMS kontaktiert. Auch nach dem Vorfall 2019 habe die Beklagte – so meint die Klägerin – nicht adäquat reagiert. Sie habe versäumt, die zuständige Datenschutzbehörde „Irish Data Protection Commission“ unverzüglich zu informieren. Soweit vorgerichtlich Auskünfte über abgegriffene Daten mitgeteilt worden seien, sei diese Auskunft ungenügend. Die Datenschutzeinstellungen der Beklagten seien undurchsichtig und kompliziert gestaltet, denn es bestehe eine Flut an Einstellungsmöglichkeiten allein für die Sicherheit der Mobilnummer. Aufgrund der Vielzahl an Einstellungsmöglichkeiten sei mit hoher Wahrscheinlichkeit zu erwarten, dass ein Nutzer die voreingestellten Standardeinstellungen beibehalte und nicht selbstständig ändere. Dies widerspräche – so meint die Klägerin weiter – allerdings den Grundsätzen eines nutzerfreundlichen Datenschutzes und dem in der DSGVO niedergelegten Prinzips der „privacy by default“ (= datenschutzfreundliche Voreinstellungen). Die Klägerin behauptet, für alle Informationen, die ein Nutzer in sein Profil einträgt, sei standardmäßig „öffentlich“ als Voreinstellung ausgewählt. Die Klägerin behauptet weiter, in der Messenger-App könnten separate Sicherheitseinstellungen vorgenommen werden. Diese Einstellungen würden unabhängig von den Einstellungen des Accounts im sonstigen D.-Dienst vorgenommen. Es könne separat eingestellt werden, ob Telefonkontakte mit dem D.-Dienst synchronisiert werden sollen. Die Auskunft, die die Beklagte ihr habe zukommen lassen, sei unzureichend. Das Antwortschreiben der Beklagten enthalte lediglich allgemein gehaltene Informationen zu den auf D. verarbeiteten Daten sowie einen Link zur Seite der Beklagten, auf der die Daten über einen individuellen Nutzer gespeicherten Daten eingesehen werden können. Dieses Vorgehen allein sei schon nicht geeignet, dem nach Art. 15 DSGVO umfassenden Auskunftsanspruch gerecht zu werden. Unabhängig davon enthalte das „Auskunftsschreiben“ der Beklagten aber auch keinerlei konkrete Aussagen dazu, welche Daten der Klägerseite im Wege des Scrapings von unbekannten Dritten abgegriffen wurden. So bleibe offen, wann genau die Daten entwendet worden seien oder wie viele verschiedene Beteiligte diese Funktion hinsichtlich ihrer – der Klägerin – Daten ausgenutzt hätten. Die Klägerin beantragt, 1. die Beklagte zu verurteilen, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. 2. Festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. 3. Die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, a. bei Vorliegen einer Einwilligung der Klägerin, die es der Beklagten erlaubt, Kontakte aufgrund eines Abgleichs mittels der Telefonnummer und des D.-Profils vorzuschlagen, keine ausreichenden Maßnahmen nach dem Stand der Technik zu ergreifen, um das Ausnutzen des Systems für andere Zwecke als die Kontaktaufnahme zu verhindern, b. die Telefonnummer der Klägerseite durch Kontaktvorschläge für Dritte, welche diese Telefonnummer abfragen, mit dem D.-Profil der Klägerin zu verknüpfen, solange die Klägerin hierzu nicht ausdrücklich einwilligt. 4. Die Beklagte zu verurteilen, der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten. 5. Die Beklagte zu verurteilen, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte meint, der klägerische Vortrag beruhe auf einem Missverständnis zum Scraping als solchen. Es sei unschlüssig und unsubstantiiert, welche Daten der Klägerin genau gescrapt worden sein sollen. Sie – die Beklagte – bestreitet die Begehung eines Datenschutzverstoßes und eines Unterlassens des Schließens einer technischen Schwachstelle. Vielmehr seien – so behauptet die Beklagte – lediglich automatisch gesammelte öffentlich einsehbare Daten entweder von der App oder der Website D. gescraped worden. Es seien lediglich öffentlich einsehbare Daten durch Dritte in Form des Scraping abgerufen worden, was nach den Nutzungsbedingungen von D. untersagt gewesen sei und noch untersagt sei. Das Abrufen habe im Einklang mit den jeweiligen Privatsphäre-Einstellungen "öffentlich" auf der D.-Plattform gestanden. Es seien allenfalls öffentlich einsehbare Daten abgerufen und an anderer Stelle erneut zugänglich gemacht worden. Sie – die Beklagte – stelle allen Nutzern, inklusive der Klägerin, alle in Art. 13 und 14 DSGVO festgelegten Informationen zur Datenverarbeitung zur Verfügung, die sie zum Zeitpunkt der Datenerhebung im Anwendungsbereich der Datenrichtlinie durchführe. Sie ist daher der Ansicht, nicht gegen die Transparenzpflichten der DSGVO verstoßen zu haben. Es habe zudem eine umfassende und transparente Information über die Möglichkeit der Anpassung ihrer Suchbarkeits-Einstellungen und Zielgruppenauswahl gegeben, woraus sich nachvollziehbar ergebe, wer bestimmte persönliche Informationen, die der Nutzer in seinem Profil hinterlegt habe, einsehen könne. Diese Einstellungen habe – so behauptet die Beklagte – der Kläger jederzeit anpassen können. Die Beklagte ist der Ansicht, nicht gegen Art. 24, 32 DSGVO verstoßen zu haben, sondern vielmehr angemessene technische und organisatorische Maßnahmen ergriffen zu haben, das Risiko von Scraping zu unterbinden und Maßnahmen zur Bekämpfung von Scraping zu ergreifen. Es fehle konkreter Vortrag, welche Maßnahmen in welchem Umfang nicht genügen würden. Außerdem müsse eine solche Beurteilung ex ante und nicht ex post erfolgen. Den Anforderungen des Art. 25 DSGVO sei genügt. Es dürfe dabei der zentrale Zweck von D., mit Freunden, Familien und Gemeinschaften sich zu verbinden nicht außer Betracht bleiben. Es bestehe keine Melde- oder Benachrichtigungspflicht, da es an einer Verletzung der Sicherheit i. S. d. Art. 4 Nr. 12 DSGVO und an einer unbefugten Offenlegung von Daten fehle. Unabhängig davon habe sie – die Beklagte – wegen der Medienberichterstattung freiwillig eine Vielzahl von Maßnahmen ergriffen, über Scraping und Begrenzungsmöglichkeiten einschließlich einer Änderung von Privatsphäre-Einstellungen zu informieren. Schließlich fehle es an einem immateriellen Schaden. Art. 82 DSGVO umfasse keine Verstöße gegen Art. 13-15, 24, 25 DSGVO. Zudem fehle es an einem Verstoß gegen Art. 82 DSGVO. Ein kompensationsgeeigneter messbarer Schaden sei auch nicht dargelegt. Selbst bei einem angenommenen vorübergehenden Kontrollverlust über personenbezogene Daten der Klägerin wäre dies nicht ihr – der Beklagten – zuzurechnen, weil die öffentliche Einsehbarkeit den Privatsphäre-Einstellungen der Klägerin entsprochen habe. Schließlich fehle es an einer schlüssigen Darlegung der Kausalität. Mangels Verstoßes gegen die DSGVO sei der (ohnehin unzulässige) Feststellungsantrag unbegründet. Der Unterlassungsanspruch scheitere an einer Erstbegehungs- und einer Wiederholungsgefahr. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die wechselseitigen Schriftsätzen der Parteien nebst Anlagen verwiesen. Entscheidungsgründe Die zulässige Klage ist unbegründet. I. Der Klageantrag zu 1.) bestimmt, es besteht ein Feststellungsinteresse für den Klageantrag 2.). 1. Der Klageantrag zu 1.) ist hinreichend bestimmt. Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Ein Verstoß gegen den in § 253 Abs. 2 Nr. 2 ZPO normierten Bestimmtheitsgrundsatz liegt dann nicht vor, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 ZPO oder vom billigen Ermessen des Gerichts abhängig ist (BGH, Urteil vom 1. Februar 11966 – VI ZR 196/64, juris Rn. 12). Die nötige Bestimmtheit soll hier dadurch erreicht werden, dass die Klägerin in der Klagebegründung die Berechnungs-bzw. Schätzgrundlagen umfassend darzulegen und die Größenordnung ihrer Vorstellungen anzugeben hat (Zöller/Greger, ZPO, 34. Aufl. 2022, § 253 ZPO Rn. 14). Diese Voraussetzungen liegen hier vor. Die Klägerin hat sowohl in der Klagebegründung als auch im Klageantrag Ziffer 1.) einen Mindestbetrag von 1.000,00 € angegeben. Soweit die Beklagte meint, der Antrag Ziffer 1. deshalb unbestimmt sei, weil er auf zwei Lebenssachverhalten beruhe und damit zwei Streitgegenstände betreffe, deren Verhältnis zueinander nicht hinreichend bestimmt sei, ist dies unzutreffend. Es ist nur ein Lebenssachverhalt zu beurteilen, nämlich derjenige, ob die Beklagte vor dem Scraping durch Dritte im April 2021 hinreichende Datenschutzvorkehrungen getroffen hatte und danach etwaige Lücken geschlossen hat bzw. ihre Nutzer unzureichend bzw. intransparent informiert hat. 2. Hinsichtlich des Klageantrags zu 2.) liegt ein Feststellungsinteresse vor. Die Klägerin hat ihr Feststellungsinteresse gemäß § 256 Abs. 2 ZPO hinreichend dargelegt. Ein Feststellungsantrag ist schon zulässig, wenn die Schadensentwicklung noch nicht abgeschlossen ist und die Klägerin ihren Anspruch deshalb ganz oder teilweise nicht beziffern kann (OLG Hamm, Urteil vom 21. Mai 2019 – 9 U 56/18 –, Rn. 22, juris). Ein Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH, Beschluss vom 09. Januar 2007 – VI ZR 133/06 –, juris; BGH, Urteil vom 16. Januar 2001 – VI ZR 381/99 –, juris; Saarländisches Oberlandesgericht Saarbrücken, Urteil vom 20. Februar 2014 – 4 U 411/12, Rn. 46, juris, m.w.N.). Bei den behaupteten Verstößen gegen die DSGVO mit der behauptet dargelegten unkontrollierten Nutzung gescrapter Daten ist bei verständiger Würdigung zumindest nicht ausgeschlossen, dass irgendein materieller oder immaterieller Schaden entstehen könnte. Denn die Klägerin gibt an, ein solches Feststellungsinteresse wegen der behauptet einmal gescrapten Daten und damit behauptet einhergehenden unbefugten und unkontrollierten Datenverwendung zu haben, die auch zu künftigen Schäden führen könne, deren Art und Umfang noch unbekannt sind. Es ist nicht völlig ausgeschlossen, dass sie – die Klägerin – infolge der Veröffentlichung ihrer Telefonnummer in Verbindung mit ihrem Namen sowie weiteren persönlichen Daten einen irgendwie gearteten Schaden erleidet. II. In der Sache stehen die Klägerin die gegen die Beklagte geltend gemachten Ansprüche unter keinem rechtlichen Gesichtspunkt zu. 1. Der Klägerin steht kein Anspruch auf immateriellen Schadensersatz zur. Ein Anspruch gegen die Beklagte ergibt sich weder aus nationalen Vorschriften noch aus Art. 82 DSGVO. a) Für einen Anspruch aus Art. 82 DSGVO fehlt es bereits an der schlüssigen Darlegung eines immateriellen Schadens. Für den immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO (BeckOK DatenschutzR/Quaas, 42. Ed. 1.8.2022, DS-GVO Art. 82 Rn. 31). Für die Bemessung können die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, beispielsweise die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren (BeckOK DatenschutzR/Quaas, 42. Ed. 1.8.2022, DS-GVO Art. 82 Rn. 31). Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt (LG Landshut, Urteil vom 6. November 2020 – 51 O 513/20, ZD 2021, 161). Nach den Erwägungsgründen der Europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund Nr. 146, auch wenn er in der DSGVO nicht näher definiert wird). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insbesondere durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen Nr. 75 kann ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verluste der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar (LG Köln, Urteil vom 18. Mai 2022 - 28 O 328/21, BeckRS 2022, 11236). Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DSGVO erzielen (LG München I, Urteil vom 9. Dezember 2021 – 31 O 16606/20, ZD 2022, 242). Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (LG Hamburg, Urteil vom 4. September 2020 – 324 S 9/19, ZD 2021, 99). Verletzung und Schaden sind nicht gleichzusetzen. Einerseits ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich, andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Dem Betroffenen muss vielmehr ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (LG Landshut, Urteil vom 6. November 2020 – 51 O 513/20, ZD 2021, 161). Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund Nr. 146 Satz 6), d.h. „spürbar“, objektiv nachvollziehbar und von gewissem Gewicht sein (AG Diez, Urteil vom 7. November 2018 – 8 C 130/18, ZD 2019, 85), um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen. Unter Anwendung dieser Maßstäbe hat die Klägerin schon keine spürbare Beeinträchtigung von persönlichen Belangen, die durch Datenverlust hervorgerufen worden ist, dargelegt. Die Klägerin trägt vor, einen erheblichen Kontrollverlust über ihre Daten erlitten und Sorge vor Missbrauch ihrer Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 sei es zu einem Anstieg von SMS und Mails gekommen. Dies genügt nicht, um einen Schaden im Sinne der DSGVO zu bejahen. Die Klägerin spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-Mails und Nachrichten. Unerwünschte E-Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen D.-Account haben und dort ihre Telefonnummer hinterlegt haben. (so auch OLG Hamm, Urteil vom 15.08.2023, Az. 7 U 19/23) Hierbei hat das Gericht auch berücksichtigt, dass die Möglichkeit besteht, eine Telefonnummer zu wechseln. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich (so auch: LG Karlsruhe, Urteil vom 9. Februar 2021, 4 O 67/20, ZD 2022, 55). Bei anderer Sichtweise genügte der konkrete Nachweis einer möglichen Betroffenheit, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich, was letztlich auch dem Erwägungsgrund Nr. 75 widerspräche (vgl hierzu näher LG Essen, Urt. v. 10.11.2022 – 6 O 111/22 – juris Rn. 112). Letztlich fehlt es auch an einer Kausalität etwaiger Verstöße der Beklagten gegen die DSGVO für einen – hier nicht festzustellenden – Schaden. Soweit die Klägerin behauptet, er erhalte unerwünschte SMS und E-Mails, so handelt es sich um eine Erscheinung, die bereits mit der Nutzung des Internets als solcher zusammenhängt. Dem Gericht ist aus eigener Anschauung bekannt, dass auch Personen ohne D.-Account unerwünschte Anrufe oder Nachrichten erhalten. Selbst wenn bei der Klägerin tatsächlich derartige Anrufe seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten die Klägerin an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu dem von der Klägerin behaupteten vermehrten unerwünschten Nachrichtenaufkommen geführt hat. b) Die Klägerin kann den von ihr geltend gemachten Anspruch auch nicht auf nationale Vorschriften stützen. Auch insoweit fehlt es für einen etwaigen Schadensersatzanspruch an der schlüssigen Darlegung eines kausalen Schadens (siehe oben). 2. Die Klage auf Feststellung einer Ersatzpflicht künftiger materieller und immaterieller Schäden ist mangels Vorliegen eines Schadens unbegründet. 3. Die Klägerin hat gegen die Beklagte auch kein Auskunftsanspruch gemäß Art. 15 DSGVO. Der Anspruch auf Auskunftserteilung ergibt sich aus Art. 15 Abs. 1 lit a) und lit. c) DSGVO. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und über die Verarbeitungszwecke (lit. a)) sowie über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen (lit. c)). Da das Schreiben der Beklagten Nutzer ID, Vorname, Nachname, Land und Geschlecht enthält, ist der Anspruch insoweit nach § 362 Abs. 1 BGB erfüllt und erloschen. Nicht beantwortet wird durch die Beklagte in dem außergerichtlichen Schreiben, welchen Empfängern die Daten der Klägerin durch Ausnutzung des Kontakt-Import Tools im Sinne des Art. 15 Abs. 1 lit. c) DSGVO zugänglich gemacht wurden. Das Scraping ist allerdings von außen erfolgt und es nicht erkennbar, wer diese Daten gescrapt hat. Die begehrte Auskunftserteilung ist aufgrund des Vorganges des Scrapings unmöglich. Ebenso ist im Rechtssinne unmöglich (und es wird auch nicht näher dargelegt, wie die Beklagte dies mitteilen können soll), zu informieren, wann die Daten gescrapt wurden. Die Klägerin geht selbst von 2019 aus bzw. von der Veröffentlichung dann im April 2021. Dieser Zeitrahmen ist der Klägerin bekannt; eine genaue Eingrenzung in Bezug auf ihre Daten ist nicht möglich. Die Beklagte hat der Klägerin im Ergebnis also alle Informationen mitgeteilt, die ihr im Zuge des Scraping-Vorfalls zur Verfügung standen. Weitere Angaben kann sie nicht machen. Sie ist folglich hierzu auch nicht verpflichtet. III. Mangels Anspruchs in der Hauptsache, stehen der Klägerin gegen die Beklagte auch keine Nebenforderungen zu. IV. Die Kostenentscheidung beruht auf § 91 Abs. 1 S. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit findet ihre Grundlage in §§ 708 Nr. 11, 711 ZPO.