10 O 52/22

Leitsatz: Zu den Voraussetzungen eines Schmerzensgeldanspruches bei Nutzung einer Social-Media Plattform 1. Die Klage wird abgewiesen. 2. Die Klägerin hat die Kosten des Rechtsstreits zu tragen. 3. Das Urteil ist vorläufig vollstreckbar. Die Klägerin darf die Zwangsvollstreckung durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht die Beklagte zuvor Sicherheit in gleicher Höhe leistet. Die Klage ist zulässig, aber unbegründet. 1. Die Klage ist zulässig. 1. Der Klageantrag zu 1) ist hinreichend bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Soweit die Beklagte eingewendet hat, die Klägerin mache einen einzigen immateriellen Schadensersatz aufgrund verschiedener behaupteter Verstöße gegen die DSGVO und verschiedener Schäden geltend, trägt dies nicht die Unbestimmtheit. Ein Klageantrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens der Klägerin nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (s. nur BGH 21.11.2017, II ZR 180/15, NJW 2018, 1259 Rn. 8 mwN). Die von der Klägerin behaupteten Verstöße gegen die DSGVO knüpfen zeitlich an der Registrierung auf Unternehmen 1, der Eingabe der Handynummer, am fehlenden Schutz der klägerischen Daten und fehlender Informationen über den Scraping-Vorfall seitens der Beklagten an. Sie bedienen als Auslöser allerdings allesamt den Scraping-Vorfall und die Veröffentlichung der Daten im Internet. Insoweit verbindet der von der Klägerin geltend gemachte immaterielle Schaden die verschiedenen Verstöße zu einem Lebenssachverhalt. Soweit die behaupteten Verstöße eigenständig zu betrachten wären und einen jeweils eigenständigen Schadensersatzanspruch bedingen, stünden sie überdies in einem zulässigen, weil kumulativen Verhältnis zueinander (vgl. § 260 ZPO). 2. Der Klageantrag zu 2) ist ebenfalls hinreichend bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Aus dem Inhalt des Klageantrags ist ersichtlich, dass es der Klägerin um den Ersatz "künftiger" Schäden geht, die aus dem Scrapingvorfall resultieren. Die Verwendung der Vergangenheitsform "entstanden sind" mag missverständlich sein und einer Auslegung offen stehen, führt aber nicht zur Unbestimmtheit des Klageantrags. Denn ebenfalls hat die Klägerin die Zukunftsform "noch entstehen werden" verwendet, die offensichtlich mit dem Ersatz "künftiger" Schäden vereinbar ist. Es bedarf zudem keiner Entscheidung, ob die Klägerin das nach § 256 Abs. 1 ZPO erforderliche Feststellungsinteresse schlüssig behauptet hat. Denn dieses ist nur für ein stattgebendes Urteil echte Prozessvoraussetzung. Wenn die Klage - wie vorliegend - hingegen unbegründet ist, kann sie unabhängig von einem bestehenden Feststellungsinteresse aus sachlichen Gründen abgewiesen werden (vgl. die st. Rspr., BGH 10.10.2017, XI ZR 456/16, NJW 2018, 227 Rn. 16; s.a. Zöller/Greger, 34. Aufl. 2022, § 256 ZPO Rn. 7). Auch die weiteren Klageanträge sind zulässig. Sofern die Beklagte weiter die Unbestimmtheit des Klageantrags zu 5) und 6) und hinsichtlich des Klageantrags zu 5) das Fehlen des hierfür notwendigen Rechtsschutzbedürfnisses rügt, wird hinsichtlich des Feststellungsinteresses auf die Ausführungen zu Klageantrag 2) verwiesen und bezüglich der Formulierung "unbefugter Dritter" und "Erfüllung gesetzlicher Erlaubnistatbestände" dies gerade noch für ausreichend erachtet, da es hier letztlich um Fragen der Begründetheit der Anträge geht. II. Die Klage ist unbegründet. 1. Die Klägerin hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DSGVO oder einer anderen denkbaren Anspruchsgrundlage. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Kontrovers diskutiert wird, unter welchen Voraussetzungen ein ersatzfähiger immaterieller Schadensersatz entsteht und sodann gewährt werden kann (eine Zusammenfassung in Korch NJW 2021, 978). Das Merkmal des immateriellen Schadens ist autonom auszulegen (für alle: Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17 ff.). Erwägungsgrund 146 (und in diesem S. 3) zur DSGVO sieht vor, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DSGVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis zum Begriff des Schadens - etwa eine enge Auslegung - ist mithin nicht angezeigt (vgl. dazu BVerfG 14.1.2021, 1 BvR 2853/19, NJW 2021, 1005, 1007). Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DSGVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten ("entstanden") ist (OLG Frankfurt a.M. 2.3.2022, 13 U 206/20, GRUR-RS 2022, 4491 Rn. 61 ff.; LG Essen 10.11.2022, 6 O 111/22, GRUR-RS 2022, 34818 Rn. 75; LG Gießen 3.11.2022, 5 O 195/22, GRUR-RS 2022, 30480 Rn. 18). Diesen muss die Klägerin darlegen und ggf. beweisen (s. OLG Frankfurt a.M. 2.3.2022, 13 U 206/20, GRURS 2022, 4491 Rn. 57, 65; Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 20 mwN). Der Gedanke des Strafschadensersatzes ist dem deutschen Recht fremd. Auch und gerade unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, kann das Gericht nicht erkennen (§ 287 Abs. 1 ZPO), dass die Klägerin einen solchen Schaden tatsächlich erlitten hat. Um hier ggfls. einen Schaden der Klägerin annehmen zu können, bedurfte es der Anhörung der Klägerin, die am 9.3.2023 erfolgt ist. Es sollte dabei um die in den Schriftsätzen beschriebenen formelhaften Ängste und Sorgen, das Unwohlsein, die aufgewendete Zeit und den behaupteten Stress gehen. In dieser Anhörung hat die Klägerin zunächst geschildert, sie habe sich zwischen 2010 und 2011 auf Unternehmen 1 angemeldet und nutze die Plattform bis heute, auch wenn sie eine Änderung der Einstellungen vorgenommen habe, ohne das aber genau präzisieren zu können. In Übereinstimmung mit dem Vortrag der Beklagten wird davon ausgegangen, dass es sich dabei um die Änderung hinsichtlich der Telefonnummer handelt. Diese habe sie - so die Klägerin - bei der damaligen Registrierung zwingend angeben müssen, und diese ist hinsichtlich der Suchbarkeit von "everyone" auf "only me" - soweit unstreitig - am 10.6.2019 umgestellt worden. Sie habe über Messenger links bekommen, die von Freunden sein sollten. Die Freunde seien, wie sie später erfahren habe, gehackt worden. Sie habe einen link aufgemacht, und dann habe das Dilemma angefangen. Von Oktober 2021 bis Ende 2022 habe sie 7.800 Mails bekommen, die sie habe löschen müssen, weil sonst das Handy explodiert wäre. Aufgrund der Anhörung der Klägerin hat die Kammer bereits Zweifel, ob es hier um Daten geht, die aufgrund von Scraping im Zeitraum vom Januar 2018 bis September 2019 gesammelt worden und dann Anfang April 2021 im Internet veröffentlicht worden sind. Denn nach Angabe der Klägerin fingen die Belästigungen im großen Stil schon 2020/2021 an, was sie später dahin änderte, dass es zwischen Juli und Oktober 2021 angefangen habe. Außerdem teilt sie selbst mit, dass es mit einem Link angefangen habe, den sie über Freunde, die gehackt worden seien, erhalten habe. Damit ist kein unmittelbarer Bezug zu abgeschöpften öffentlich zugänglichen Daten von Unternehmen 1 gegeben. Wie allgemein bekannt, werden auch außerhalb von Unternehmen 1 ständig gefälschte emails mit Anhängen verschickt, die man tunlichst nicht öffnen sollte. Auch die Kammermitglieder, die nicht bei Unternehmen 1 sind, erhalten regelmäßig immer seriöser aussehende emails mit links, die angeklickt werden sollen. Wenn die Klägerin dann auch berichtet, dass sie des Weiteren bei Unternehmen 2, bei Unternehmen 3, Unternehmen 4, u.a. angemeldet ist und dort ihre email Adresse hinterlegt ist, erscheint schon fraglich, inwieweit die Spams mit dem Scraping-Vorfall bei der Beklagten zusammenhängen. Bei der Klägerin scheint insbesondere das Problem vorzuliegen, dass sie über ihre email Adresse Spam-Nachrichten bekommt. Schriftsätzlich wurde dazu nichts vorgetragen. Dass die email Adresse durch den Scraping-Vorfall betroffen worden sein soll, ergibt sich lediglich aus dem Antrag. Die schriftsätzlichen Schilderungen der Klägerin bezüglich des Scraping-Vorfalls beziehen sich nur auf die anderen Daten wie Vorname, Nachname, Geschlecht, Geburtsdatum und Telefonnummer. Es ist aber unklar, wie die Scraper an die E-Mail-Adresse der Klägerin gekommen sein sollten, da die nicht öffentlich einsehbar ist und nach dem Verständnis der Kammer auch nicht über das Kontaktimportertool zur Verfügung gestellt wird. Insbesondere legt die Klägerin nicht dar -anders als es die Kammer in anderen vergleichbaren Fällen erlebt hat -, welche Daten denn konkret abrufbar im Internet gewesen sein sollen. Demnach ist nur das zugrunde zu legen, was die Beklagte mit Schreiben vom 12.5.2022 eingeräumt hat. Dass dabei die email Adresse umfasst ist, hat sie gerade nicht eingeräumt. Ob für die Unmengen von email hier überhaupt der Scraping Vorfall ursächlich ist, erscheint fraglich. Dies kann aber letztlich dahin gestellt bleiben, da ein Schaden der Klägerin nicht ersichtlich ist. Die behaupteten Ängste, Sorgen, das Unwohlsein und Kontrollverlust haben sich in der persönlichen Anhörung der Klägerin so nicht bestätigt. Sie sind zwar in der Klageschrift und in der Replik so vorgetragen worden sowie mit gleichem Wortlaut in anderen der Kammer bekannten Parallelfällen. Schon deswegen kam es entscheidend auf den persönlichen Eindruck des erkennenden Gerichts von der Klägerin in ihrer Anhörung in der mündlichen Verhandlung an. Obwohl die Klägerin nach ihren Angaben mit Spams geradezu zugemüllt worden ist, hat sie dies nicht etwa bewogen, diese 7800 emails sofort zu löschen, sondern sie sah sich erst gehalten, sie zu löschen, weil sonst ihr Handy explodiert wäre. Sie hat auch nicht die email Adresse, die sie auch bei Unternehmen 1 hinterlegt hatte und deren Abgreifen sie als möglichen Grund für die Spams ansieht, geändert, obwohl sie sie nicht für berufliche Zwecke benötigt und noch heute 100 Spams täglich erhält. Es ist deutlich geworden, dass der Klägerin diese Spams durchaus lästig sind, sie sie jedoch aber offensichtlich nicht so beeinträchtigend empfindet, dass sie sich beispielsweise bei Unternehmen 1 abgemeldet hätte, also drastische Konsequenzen gezogen hätte oder auch nur die Mobilnummer oder die email Adresse geändert hätte. Sie hat lediglich über eine entsprechende App Anrufnummern geblockt. Es war ihr des Weiteren noch nicht einmal klar, ob sie ihre Öffentlichkeitseinstellungen bei Unternehmen 1 schon beim Anmelden oder bis zu den Vorfällen abgeändert hatte. Sie machte vielmehr den Eindruck, als hätte sie sich ganz gut damit arrangiert. Sie führte stattdessen den fulltime Job und ihre Katzen an, die ihre Zeit vorrangig in Anspruch nehmen, was absolut legitim ist, nur eben nicht ganz zu den behaupteten Ängsten passt. Wenn schriftsätzlich von besonderen Mühen die Rede war, handelte es sich erkennbar nicht um die Mühe, den Vorfall mit Unternehmen 1 aufzuklären und abzuklären, sondern Kontakt zu einem Anwalt aufzunehmen. Es ist jedenfalls festzuhalten, dass alle Daten - bis auf die Handynummer - aus dem öffentlichen Profil der Klägerin "abgelesen" wurden, die die Klägerin bereitwillig dort selbst eingetragen hat. Ein Identitätsdiebstahl hat insoweit nicht stattgefunden. Soweit diese Daten öffentlich waren, standen sie bereits bei ihrer Eingabe nicht mehr unter der ausschließlichen klägerischen Kontrolle. Ein Kontrollverlust kann sich daraus gerade nicht ergeben. Soweit es die email Adresse und ihre Handynummer betrifft, hält die Kammer die schriftsätzlich behaupteten Sorgen und Ängste der Klägerin und die aufgewendeten Mühen somit nicht für glaubhaft. 2. Der Feststellungsantrag zu 2) ist unbegründet, weil der Eintritt künftiger Schäden - mangels Vorliegen eines Schadens - bereits nicht hinreichend wahrscheinlich ist. 3.Der Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO - Antrag zu 4) - unterliegt der Abweisung, weil dieser nach Überzeugung des Gerichts durch den außergerichtlichen Schriftsatz der Beklagten v. 12.5.2022 (Anlage KGR 5)) bereits erfüllt (§ 362 Abs. 1 BGB) wurde. Weitergehende Auskunft kann die Klägerin nicht verlangen. Ihr ist einerseits bekannt, welche Daten durch den Scraping-Vorfall erlangt und veröffentlicht wurden. Andererseits hat die Beklagte glaubhaft und mehrfach versichert, sie halte keine "Rohdaten" des Scraping-Vorfalls vor. Es ergibt sich somit auch nicht ein Schadensersatzanspruch (Schmerzensgeld) für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft gemäß Antrag zu 3). 4. Die Unterlassungsanspruche (§§ 1004 analog, 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1, Art. 17 DSGVO - Antrag zu 5) und 6) unterliegen der Abweisung. Hinsichtlich der Datenpunkte "Benutzer-ID", "Familienname", "Vorname" und "Geschlecht" handelt es sich zudem um die immer öffentlichen Nutzerinformationen, die auf der Profilseite der Klägerin stets eingesehen werden können, auch von "unbefugten Dritten", ohne dass Sicherheitsmaßnahmen überhaupt notwendig sind. Dem hat die Klägerin mit der Registrierung zugestimmt. Überdies sind alle diese Datenpunkte bereits nach dem Vortrag der Klägerin nicht, wie im Unterlassungsantrag formuliert, über "eine Software zum Importieren von Kontakten" zugänglich gemacht worden, sondern wurden bereits nach klägerischem Vortrag automatisiert von der klägerischen Facebook-Profilseite gescrapt. Im Übrigen verneint die Kammer das Bestehen eines gesetzlichen Unterlassungsanspruchs. Die DS-GVO sieht einen solchen Anspruch nicht vor. Da die DS-GVO keine vergleichbare Öffnungsklausel für die Erweiterung der Betroffenenrechte durch den nationalen Gesetzgeber oder Gerichte vorsieht, sind Unterlassungsklagen nach § §1004, 823 BGB im Anwendungsbereich der DSGVO nicht möglich. 5. Die Nebenforderungen - Antrag zu 7) - teilen das Schicksal der übrigen Klageanträge und unterliegen der Abweisung. III. Die prozessualen Nebenentscheidungen beruhen auf §§ 91 Abs. 1, 708 Nr. 11, 711 ZPO. IV. Der Streitwert wird auf 7.500 € festgesetzt, für den Antrag zu 1) auf 2000 €, für den Antrag zu 2) auf 500 €, für den Antrag zu 3) auf 1.000 €, für den Antrag zu 4) auf 2000 €, für die Anträge 5) und 6) auf jeweils 1000 €. Zwischen den Parteien stehen Ansprüche auf Schadensersatz, Unterlassung, Auskunft und Rechtsverfolgungserstattung aufgrund behaupteter Datenschutzverstöße im Streit. Die Beklagte betreibt die Social-Media-Plattform Webseite 1 auf dem Gebiet der Europäischen Union, die über die Website und Apps abrufbar ist. Die Klägerin ist Nutzerin von Unternehmen 1.com. Die Dienste der Beklagten ermöglichen den Nutzern ein persönliches Nutzerprofil zu erstellen und dieses mit Freunden zu teilen. Wird ein Unternehmen 1.-Konto eröffnet, werden zur Erstellung eines Nutzerprofils verschiedene Daten abgefragt. Die Klägerin gab im Registrierungsprozess folgende erforderliche Daten an: Ihren Vor- und Nachnamen, ihr Geschlecht und ihr Geburtsdatum. Dabei sind der angegebene Vor- und Nachname, eine von Unternehmen 1 erstellte Benutzer-ID und das Geschlecht als "immer öffentliche Nutzerinformationen" stets öffentlich auf dem eigenen Nutzerprofil zu finden. Der Veröffentlichung dieser Daten muss bei der Registrierung zugestimmt werden. Andere Daten, die dem Profil hinzugefügt werden können, sind dann von allen Profilbesuchern einzusehen, sofern dies die jeweiligen persönlichen Profileinstellungen ("Zielgruppenauswahl") vorsehen. Zudem regeln die sog. Suchbarkeitseinstellungen, wer das Profil des Nutzers etwa anhand der Telefonnummer (mittels der Kontakt-Importer-Funktion, s.u.) finden kann. Nach ihren Angaben meldete sich die Klägerin 2010/2011 bei Unternehmen 1 an und fügte auch ihre Handynummer den Nutzereinstellungen hinzu. Nach den Suchbarkeitseinstellungen war die Suche nach dem klägerischen Profil mittels ihrer Handynummer aktiviert bis zum 10.6.2019, somit die Suchbarkeitseinstellungen auf "everyone" gestellt (s. den Screenshot Bl.95 d.A, Anl. B17). Ab diesem Zeitpunkt stellte die Klägerin die Suchbarkeitseinstellung für die Telefonnummer auf "only me". Dritte sammelten in der Zeit von Januar 2018 bis September 2019 mittels sog. Scraping (dt.: "Abschöpfen") automatisiert Daten aus den Unternehmen 1-Profilen einer Vielzahl von Nutzern (im Folgenden: Scraping-Vorfall). Es handelte sich dabei um Profilinformationen, die entweder "immer öffentlich" oder aber zu diesem Zeitpunkt aufgrund der Privatsphäreeinstellungen der Nutzer öffentlich einsehbar waren. Zusätzlich erbeuteten die Scraper teilweise Handy- bzw. Telefonnummern, die mit dem entsprechenden Nutzerprofil verknüpft waren, mittels "Telefonnummernaufzählung". Dabei machten sich die Scraper die Kontakt-Importer-Funktion (Contact Importer Tool (CIT)) von Unternehmen 1 zunutze. Mittels dieser Funktion war es Nutzern möglich, ihre Kontakte von ihren Mobilgeräten auf Unternehmen 1 hochzuladen, um diese Kontakte auf Unternehmen 1 zu finden und mit ihnen in Verbindung zu treten. Die Scraper erstellten Listen verschiedener potenzieller (zwölfstelliger) Telefonnummern und luden diese mittels der Kontakt-Importer-Funktion hoch. Sofern eine Telefonnummer mit dem entsprechenden Nutzerprofil verknüpft war, wurde diese den gescrapten Daten hinzugefügt. Anfang April 2021 wurden die gescrapten Datensätze inklusive der Telefonnummern im Internet veröffentlicht. In welchem Umfang die Klägerin davon betroffen war, ist zwischen den Parteien streitig. Die Klägerin hat keinen authentischen, sie betreffenden Auszug aus dem Internet vorgelegt. Auf das klägerische Auskunftsschreiben vom 26.4.2022 antworteten die Prozessbevollmächtigten der Beklagten mit Schreiben v. 12.5.2022 (Anlage KGR 5), lehnten eine Zahlung und Unterlassung ab. Die Land1 Datenschutzbehörde (DPC) verhängte gegen die Beklagte aufgrund eines am 25.11.2022 ergangenen - nicht rechtskräftigen - Urteils eine Geldbuße von 265 Millionen Euro und führte aus, dass die Beklagte es nicht verhindert habe, dass etwa 533 Millionen Datensätze mit persönlichen Informationen von Unternehmen 1 Nutzern abgegriffen und veröffentlicht worden seien. Die Klägerin behauptet, durch das Scraping seien Daten wie Telefonnummer, Facebook-ID, Name, Vorname, Geschlecht, Bundesland, Stadt und weitere korrelierende Daten abgegriffen worden. Die gescrapten Daten der Klägerseite seien im Internet in einem bekannten "Hacker-Forum" zum Download eingestellt und damit öffentlich verbreitet worden (Bl. 8 d.A). Sie habe durch Scraping und Veröffentlichung der Daten einen erheblichen Kontrollverlust über ihre Daten erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer sie betreffenden Daten verblieben (Bl.9 d.A). Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Sie sei in ständiger Sorge, dass die veröffentlichten Daten von Kriminellen für unlautere Zwecke verwendet werden könnten. (Bl 32 d.A). Sie erhalte seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail und dubiose Aufforderungen zum Anklicken von unbekannten Links. Dass die benannten Daten in Kombination sogar im sogenannten darknet gehandelt würden, vergrößere die Ängste und den Stress der Klägerseite (Bl. 201 d.A.). Sie habe sich mit dem Datenleak auseinandersetzen müssen, den Sachverhalt ermittelt, soweit es ihr möglich gewesen sei, habe sich hieraufhin um eine Auskunft gegenüber der Beklagten gekümmert und habe selbst weitere Maßnahmen ergreifen müssen. Die Klägerin beantragt, 1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Telefonnummer (Telefonnummer 2) sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, e-mail Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, an die Klägerin für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Auskunft i.S.d. Art. 15 DS-GVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1000 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen. 4. Die Beklagte wird verurteilt, der Klägerseite Auskunft über die die Klägerseite betreffenden weiteren personenbezogenen Daten zu erteilen, die durch Unbefugte erlangt werden konnten, namentlich welche Daten außer der Telefonnummer der Klägerseite durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch "Web-Scraping", die Anwendung des Kontaktimporttools oder auf andere Weise unbefugt erlangt werden konnten. 5. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere Telefonnummer, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, wie geschehen anlässlich des sogenannten Facebook-Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand. 6. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, ohne Einholung einer Einwilligung oder Erfüllung sonstiger gesetzlicher Erlaubnistatbestände zu verarbeiten. 7. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 486,83 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte behauptet, sie halte keine Kopie der Rohdaten vor, welche die durch Scraping abgerufenen Daten enthalten würden. Daher habe der Klägerin lediglich mitgeteilt werden können, welche Datenkategorien betroffen sein könnten. Die Beklagte bestreitet, dass die Datenpunkte Telefonnummer und email Adresse vom Unternehmen 1 Profil der Klagepartei abgerufen worden seien. Die Telefonnummer sei nicht offengelegt oder unbefugt zugänglich gemacht worden. Einen Missbrauch klägerischer Daten bestreitet die Beklagte mit Nichtwissen (Bl. 245 d.A.). Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien und ihren Prozessbevollmächtigten gewechselten Schriftsätze nebst Anlagen und auf das Protokoll der mündlichen Verhandlung vom 9.3.2023 Bezug genommen.