6 U 79/23

I. Das angefochtene Urteil wird teilweise abgeändert und klarstellend wie folgt neu gefasst: 1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Telefonnummer (…) sowie weiterer personenbezogener Daten der Klägerseite einen immateriellen Schadensersatz, in Höhe von 200,-- € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit 23.01.2023 zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, aufgrund einer von der Beklagten gesetzten Voreinstellung personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer oder sonstige nichtöffentliche Datenpunkte, Dritten, die nicht aufgrund eines Vertrages oder Gesetzes gegenüber der Beklagten hierzu berechtigt sind, namentlich Hackern und/oder Scrapern, über eine Software zum Importieren von Kontakten zugänglich zu machen, wie geschehen anlässlich des sogenannten soziales Netzwerk1-Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand. 4. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontakt-Import-Tools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und im Fall der Nutzung der soziales Netzwerk1-Messenger-App hier ebenfalls explizit die Berechtigung verweigert wird. 5. Im Übrigen wird die Klage abgewiesen. II. Von den Kosten des Rechtsstreits haben die Klägerseite 62 % und die Beklagte 38 % zu tragen. III. Das Urteil ist vorläufig vollstreckbar. IV. Der Streitwert wird für das Berufungsverfahren auf 5.500.- € sowie ab 11.03.2025 auf 3.000.- € festgesetzt. Für die erste Instanz wir der Streitwert auf 5.500.- € festgesetzt. I. Die Klagepartei macht Schadensersatz-, Feststellungs-, Unterlassungs- und Auskunftsansprüche wegen einer Verletzung der Datenschutz-Grundverordnung (DSGVO) durch die Beklagte geltend. Die Beklagte hat ihren Sitz in Land1. Sie betreibt das soziale Netzwerk1. Die Klagepartei unterhielt bei soziales Netzwerk1 ein Nutzerkonto. Die Klagepartei hatte auf dem Netzwerk persönliche Daten eingestellt. Hierzu gehörte die für die Registrierung erforderliche und für alle Nutzer stets öffentlich einsehbare Angabe ihres Vor- und Nachnamens, Geschlechts sowie der ihr zugewiesenen Nutzer-ID. Neben den immer einsehbaren Pflichtangaben konnten die Nutzer in ihrem Profil weitere Daten zu ihrer Person angeben und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern („Freunde“, [auch] „Freunde von Freunden“, „öffentlich“) auf diese Daten zugreifen können. Die Beklagte stellte hierfür Privatsphäre-Einstellungen zur Verfügung, mit denen die Nutzer bestimmen konnten, inwieweit sie Informationen, die sie zur Verfügung stellen, öffentlich einsehbar machen möchten. Über Funktion und Bedeutung der Privatsphäre-Einstellungen informierte sie ihre Nutzer im sog. Hilfebereich des Nutzerkontos. Die Klagepartei hatte in diesem Zusammenhang die Datenschutzeinstellung betreffend die Sichtbarkeit ihrer Mobiltelefonnummer so gesetzt, dass diese nur für sie sichtbar war. Bei den Suchbarkeitseinstellungen ihres Profils, bei denen unter anderem festgelegt werden konnte, wer sie anhand ihrer Telefonnummer finden kann, hatte die Klagepartei es bei der Standardvoreinstellung "alle" belassen; diesen Kreis hätte sie stattdessen auch auf „Freunde“, „Freunde von Freunden“ und (ab Mai 2019) „nur ich“ begrenzen können. War die Suchbarkeits-Einstellung eines Nutzers - wie bei der klagenden Partei - im Hinblick auf die Telefonnummer auf „alle“ gestellt, erlaubte es die von der Beklagten implementierte sog. Kontakt-Import-Funktion (im Folgenden auch Kontaktimporttool) bis September 2019 jedem soziales Netzwerk1-Nutzer, das Profil eines anderen Nutzers mit Hilfe der von diesem hinterlegten Telefonnummer zu finden. Hierzu konnten Nutzer Kontakte von Mobilgeräten auf soziales Netzwerk1 hochladen, um mit Hilfe der Telefonnummern die jeweiligen Nutzer zu finden. Dies war auch dann möglich, wenn die Zielgruppenauswahl des jeweiligen Nutzers im Hinblick auf die Telefonnummer nicht auf „öffentlich“, sondern etwa - wie hier - auf „[nur ich]“ gestellt war. In der Zeit von Januar 2018 bis September 2019 erstellten unbekannte Dritte umfangreiche Listen mit möglichen Telefonnummern. Mittels eines automatisierten Verfahrens suchten sie sodann nach soziales Netzwerk1-Nutzern mit der entsprechenden Telefonnummer. Wurde mittels des automatisierten Verfahrens eine zu einem soziales Netzwerk1-Nutzerkonto passende Telefonnummer gefunden, waren die sog. Scraper in der Lage, die mit der Telefonnummer verknüpften öffentlich zugänglichen Nutzerdaten abzurufen und abzuspeichern. Anfang April 2021 wurden Daten von ca. 533 Mio. Nutzern der Plattform der Beklagten sowie die den jeweiligen Profilen der Nutzer zugeordnete Telefonnummern im Internet durch unbekannte Dritte zum Download bereitgestellt. Von einer Bezugnahme auf die tatsächlichen Feststellungen in dem angefochtenen Urteil und von der Darstellung etwaiger Änderungen und Ergänzungen einer weiteren Darstellung wird gemäß §§ 540 Abs. 1, Abs. 2, 313 a Abs. 1 Satz 1 ZPO abgesehen. Die Klagepartei beantragt nach teilweiser Rücknahme der Berufung noch: 1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Telefonnummer (…) sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, aufgrund einer von der Beklagten gesetzten Voreinstellung personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer oder sonstige nichtöffentliche Datenpunkte, Dritten, die nicht aufgrund eines Vertrages oder Gesetzes gegenüber der Beklagten hierzu berechtigt sind, namentlich Hackern und/oder Scrapern, über eine Software zum Importieren von Kontakten zugänglich zu machen, wie geschehen anlässlich des sogenannten soziales Netzwerk1-Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand. 4. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontakt-Import-Tools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und im Fall der Nutzung der soziales Netzwerk1-Messenger-App hier ebenfalls explizit die Berechtigung verweigert wird. 5. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 800,39 EUR zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz zu zahlen. Die Beklagte beantragt, die Berufung zurückzuweisen. II. Die zulässige, insbesondere form- und fristgerecht eingelegte Berufung der Klagepartei hat nur zu einem Teil Erfolg. A. Die Klage ist zulässig. Die Unterlassungsanträge sind nach der Rechtsprechung des BGH zulässig. Der Antrag zu 3.) lässt sich unter Heranziehung des Klagevorbringens und durch die Bezugnahme auf die konkrete Verletzungsform hinreichend bestimmt auslegen. Hinsichtlich Antrag 4.) begehrt die Klagepartei das Verbot, die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, nämlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der soziales Netzwerk1-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird. Dies lässt Bestimmtheitsprobleme nicht erkennen. B. Die Klage ist teilweise begründet. 1. Die Klagepartei kann aufgrund der bestehenden vertraglichen Beziehungen verlangen, dass die Beklagte es unterlässt, aufgrund einer von der Beklagten gesetzten Voreinstellung personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer oder sonstige nichtöffentliche Datenpunkte, Dritten, die nicht aufgrund eines Vertrages oder Gesetzes gegenüber der Beklagten hierzu berechtigt sind, namentlich Hackern und/oder Scrapern, über eine Software zum Importieren von Kontakten zugänglich zu machen, (Unterlassungsantrag 3). Der Unterlassungsanspruch ergibt sich jedenfalls als vertraglicher Anspruch wegen der Verletzung einer aus § 241 Abs. 2 BGB folgenden Rücksichtnahmepflicht (vgl. BGH, Urt. v. 02.05.2024 - I ZR 12/23, GRUR 2024, 948 Rn. 15 m.w.N. - Tierkrankenwagen). Nach § 241 Abs. 2 BGB kann ein Schuldverhältnis einen Teil zur Rücksichtnahme auf die Rechte, Rechtsgüter und Interessen des anderen Teils verpflichten. Der zwischen der Klagepartei und der Beklagten durch die Registrierung der Klagepartei in dem sozialen Netzwerk der Beklagten zustande gekommene Nutzungsvertrag stellt ein solches Schuldverhältnis dar. Wesentlicher Gegenstand dieses Nutzungsvertrages war die Einstellung von persönlichen Daten der Klagepartei auf dem sozialen Netzwerk der Beklagten, welche dessen unmittelbarem Betrieb dienten. Dies zeigt sich bereits an dem unstreitigen Umstand, dass für die Registrierung die Angabe des Vor- und Zunamens und des Geschlechts der Klagepartei erforderlich und diese sowie die ihr zugewiesene Nutzer-lD für alle Nutzer stets öffentlich einsehbar waren. Der Schutz personenbezogener Daten bei der Datenverarbeitung ist jedenfalls ein Interesse des Einzelnen, bei dessen Verletzung ein in „seiner Natur“ nicht weniger schwerwiegender Schaden als bei einer Körperverletzung entstehen kann (so auch BGH, Urt. v. 18.11.2024 - Az. VI ZR 10/24, Rn. 97 m.w.N.). Erhebt, verarbeitet und speichert ein Vertragspartner personenbezogene Daten des anderen Vertragspartners zum Zwecke der Vertragserfüllung (hier Betrieb und Nutzung eines sozialen Netzwerkes), trifft ihn zum Schutz dieses Rechtsguts aus § 241 Abs. 2 BGB die Verpflichtung, bei der vertraglich vereinbarten Datenverarbeitung die zwingenden Vorgaben der DSGVO einzuhalten. Dabei ist an dieser Stelle nicht erheblich, ob der Scraping-Vorfall vor oder nach Inkrafttreten der DSGVO stattfand. Jedenfalls mit Inkrafttreten der DSGVO war die Beklagte zur Einhaltung des geltenden Rechts verpflichtet. Unstreitig wurde eine Änderung des Kontakt-Import-Tools jedoch erst im September 2019 vorgenommen; die DSGVO war bereits am 25.05.2018 in Kraft getreten. Wie die Bieter und Bewerber in Vergabeverfahren ein von § 241 Abs. 2 BGB geschütztes Interesse an einer vergaberechtskonformen Ausschreibung haben (vgl. BGH, Urt. v. 09.06.2011 - Az. X ZR 143/10, WM 2012, 228 Rn. 11 f. - Rettungsdienstleistungen II; Urt. v. 05.06.2012 - Az. X ZR 161/11, WM 2013, 1140 Rn. 8 - Fachpersonalklausel), haben die Inhaber personenbezogener Daten ein von § 241 Abs. 2 BGB geschütztes Interesse an einer gesetzeskonformen Verarbeitung ihrer Daten im Rahmen des Vertragsverhältnisses. Aus diesem von § 241 Abs. 2 BGB geschützten Interesse folgt im Fall der Verletzung der hierauf ausgerichteten - nicht ausdrücklich vereinbarten und gesetzlich nicht ausdrücklich normierten - Rücksichtnahmepflichten ein Unterlassungsanspruch (vgl. BGH, GRUR 2024, 948 Rn. 15 m.w.N. - Tierkrankenwagen). Im Streitfall hat die Beklagte die Daten der Klagepartei jedenfalls deshalb nicht datenschutzkonform verarbeitet, weil sie gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) verstoßen hat (siehe insofern BGH, Urt. v. 18.11.2024 - Az. VI ZR 10/24, Rn. 87). Nach Art. 5 Abs. 1 Buchst. c DSGVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“). Diese Vorgabe wird (u.a.) durch die Vorgaben zur datenschutzfreundlichen Voreinstellung in Art. 25 DSGVO konkretisiert. Nach Art. 25 Abs. 2 DSGVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Damit beinhaltet Art. 25 Abs. 2 Satz 3 DSGVO die ausdrückliche Verpflichtung zu Voreinstellungen, die verhindern, dass die Daten ohne Weiteres, also ohne bewusste persönliche Änderung der Voreinstellung, der Öffentlichkeit oder sonst einem unbestimmten Adressatenkreis zugänglich gemacht werden (vgl. BGH, Urt. v. 18.11.2024 - Az. VI ZR 10/24, Rn. 88). Die Regelung des Art. 25 Abs. 2 DSGVO hat dabei gerade die Voreinstellungen von sozialen Netzwerken im Blick. Sie soll verhindern, dass Nutzer durch Voreinstellungen, die eine über die erforderliche Verarbeitung hinausgehende extensive Datennutzung vorsehen, dazu verleitet werden, ihre Datenschutzrechte abzuwählen, ohne dies zu realisieren (vgl. BGH, Urt. v. 18.11.2024 - Az. VI ZR 10/24, Rn. 89 m.w.N.). Diesen Anforderungen wurde das Vorgehen der Bekl. im Zeitraum des Scraping-Vorfalls nicht gerecht (vgl. BGH, Urt. v. 18.11.2024 - Az. VI ZR 10/24, Rn. 90 m.w.N.). Die standardmäßige Voreinstellung ihres Netzwerks für die Suchbarkeit eines Nutzerprofils über die Telefonnummer sah vor, dass „alle“ anderen soziales Netzwerk1-Nutzer eine entsprechende Rufnummernsuche durchführen konnten. Gleichzeitig wurde über die Suchbarkeit der Rufnummer die Zugänglichkeit zu weiteren Profildaten eröffnet, was sich konkret in der Vorgehensweise der Scraper niederschlug, die diesen Umstand ausnutzten, über die Verknüpfung der Rufnummer sodann die „öffentlichen“ personenbezogenen Daten des Nutzerprofils abzugreifen. Eine Einschränkung der Suchbarkeit konnte nur durch aktive Veränderung der Suchbarkeitseinstellungen durch den Nutzer selbst herbeigeführt werden. Datenschutzfreundlichere Einstellungsoptionen - insbesondere die erst 2019 eingeführte Suchbarkeitsoption „nur ich“ - wurden nur als opt out-Lösungen angeboten, obwohl die Nutzbarkeit des sozialen Netzwerks als solche hiervon nicht abhing, da eine Suche auch über die Eingabe des Namens möglich gewesen wäre (vgl. BGH, Urt. v. 18.11.2024 - Az. VI ZR 10/24, Rn. 90). Diese gegen Art. 5 Abs. 1 Buchst. c, Art. 25 Abs. 2 DSGVO verstoßenden Voreinstellungen waren weder erforderlich (Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO) noch von einer wirksamen Einwilligung der Klagepartei gedeckt (Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO) (siehe insofern BGH, GRUR 2024, 1910 Rn. 91). Es ist weder dargetan noch ersichtlich, dass die Beklagte die Klagepartei im Zuge des Registrierungsverfahrens transparent, d.h. in verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache (Art. 7 Abs. 2, Erwgr. 42 DSGVO), um Einwilligung ersucht und die Klagepartei ihre Einwilligungserklärung auf dieser Grundlage in informierter Weise und unmissverständlich abgegeben hätte (Art. 4 Nr. 11 DSGVO), und dass die Einwilligungserklärung freiwillig erfolgt wäre (Art. 7 Abs. 4, Erwgr. 42, 43 DSGVO). Gegen eine freiwillige Einwilligung spricht auch, dass die Beklagte auf dem Markt für soziale Netzwerke eine beherrschende Stellung innehat (vgl. insgesamt BGH, GRUR Urt. v. 18.11.2024 - Az. VI ZR 10/24, Rn. 44 m.w.N.). Der Umstand, dass sich eine wirksame Einwilligung der Klagepartei in die datenschutzwidrige Verarbeitung ihrer Daten nicht feststellen lässt, geht zu Lasten der hierfür darlegungs- und beweisbelasteten Beklagten. Für die auch für einen vertraglichen Unterlassungsanspruch aus § 280 Abs. 1 BGB erforderliche Erstbegehungs- bzw. Wiederholungsgefahr (vgl. z.B. BGH, Urt. v 29.07.2021 - III ZR 179/20, NJW 2021, 3179 Rn. 103 - Hassredevorwurf; GRUR 2024, 948 Rn. 14 - Tierkrankenwagen) spricht vorliegend aufgrund der begangenen Pflichtverletzung eine tatsächliche Vermutung (vgl. z.B BGH, NJW 2021, 3179 Rn. 103 m.w.N. - Hassredevorwurf). Die Wiederholungsgefahr ist nicht dadurch widerlegt, dass die Beklagte die Voreinstellungen und das Kontaktimporttool geändert oder das Kontaktimporttool gar deaktiviert haben mag. Eine Änderung der tatsächlichen Verhältnisse berührt die Wiederholungsgefahr nur dann, wenn durch sie jede Wahrscheinlichkeit für eine Aufnahme des unzulässigen Verhaltens durch den Verletzer beseitigt ist (vgl. z.B. BGH, Urt. v 04.07.2019 - I ZR 161/18, GRUR 2020, 299 Rn. 19 m.w.N. - IVD-Gütesiegel; Urt. v 05.03.2020 - I ZR 32/19, GRUR 2020, 738 Rn. 67 - Internet-Radiorecorder). Dies ist hier nicht der Fall. Die Beklagte könnte jederzeit zu den ursprünglichen Einstellungen zurückkehren. Ein Rechtsschutzbedürfnis bezüglich der Unterlassungsanträge kann nicht verneint werden. Das Rechtsschutzbedürfnis der Klagepartei entfällt insbesondere nicht dadurch, dass sie die Daten aus ihrem Nutzerkonto selbst löschen oder die Such- und Sichtbarkeitseinstellungen selbst ändern könnte. Denn die (zu unterlassende) Verletzungshandlung liegt in den beklagtenseits zu wählenden Voreinstellungen und der daraus resultierenden, für die Klagepartei unbewussten Verarbeitung der ihrer Daten. Das Rechtsschutzziel der Klagepartei liegt mithin gerade nicht darin, ihr eine (bewusste) Änderung der (Vor-)Einstellungen zu ermöglichen. 2. Die Klagepartei kann aufgrund der bestehenden vertraglichen Beziehungen ferner verlangen, dass die Beklagte unterlässt, die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde (Klageantrag 4). Der Unterlassungsanspruch ergibt sich als vertraglicher Anspruch wegen der Verletzung einer aus § 241 Abs. 2 BGB folgenden Rücksichtnahmepflicht. Insbesondere war eine solche Verarbeitung der Telefonnummer der Klagepartei nicht von einer wirksamen Einwilligung gedeckt (Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO) (siehe insofern BGH, GRUR 2024, 1910 Rn. 91). Es ist weder dargetan noch ersichtlich, wie die Beklagte die Klagepartei in verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache über den Umstand informiert hat, dass ihre Telefonnummer selbst dann für das Kontaktimporttool durch andere verwendet werden konnte, wenn die Klagpartei die (datenschutzwidrigen) Voreinstellungen aktiv abgeändert und für die Verwendung der Telefonnummer die Einstellung „privat“ gewählt hatte. Der Umstand, dass sich eine wirksame Einwilligung der Klagepartei in die datenschutzwidrige Verarbeitung ihrer Daten nicht feststellen lässt, geht zu Lasten der hierfür darlegungs- und beweisbelasteten Beklagten. Soweit die im Zusammenhang mit dem Unterlassungsantrag zu Ziff. 3 aufgeworfenen Rechtsfragen nicht schon durch das Urteil des BGH entschieden sind (BGH, GRUR 2024, 1910, Rn. 59 bis 71), wird auf die obenstehenden Ausführungen vollumfänglich Bezug genommen. 3. Die Klagepartei kann nach Art. 82 DSGVO von der Beklagten die Zahlung von 200,- EUR immateriellen Schadensersatz verlangen. Nach der Rechtsprechung des Bundesgerichtshofs erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines (immateriellen) Schadens verlangt. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen (vgl. BGH, Urteil v. 18.11.2024 - VI ZR 10/24, Rn. 21 m.w.N.). a) Der Verstoß ist zu einem Zeitpunkt erfolgt, in dem die DSGVO bereits in Kraft getreten war. Das Landgericht insoweit zwar nur festgestellt, dass der Verstoß „im Januar 2018 - September 2019“ stattgefunden hat. Der Senat muss jedoch davon ausgehen, dass die Beklagte nicht ausreichend bestritten hat, dass der Verstoß 2019 stattgefunden hat. Die Klägerseite hat in der Klageschrift vorgetragen, „im Jahr 2019“ sei es zu dem streitgegenständlichen Scraping-Vorfall gekommen. Die Beklagte hat dies in erster Instanz nicht wirksam bestritten. Sie hat in der Klageerwiderung umfangreich (S. 26 - 32) zum Scraping-Sachverhalt vorgetragen, jedoch den klägerischen Vortrag nicht bestritten, dass dieser im Jahr 2019 stattgefunden haben soll. Der Auskunftsanspruch der Klagepartei bezieht sich u.a. auch auf die Offenlegung der Daten gegenüber Dritten (Art. 15 Abs. 1 lit. c DSGVO). Um allein schon diesen Auskunftsanspruch erfüllen zu können, muss die Beklagte Zugriffe Dritter dokumentieren/protokollieren. Kommt sie diesen Verpflichtungen nur unzureichend nach, ist dadurch im Nachhinein nicht mehr feststellbar, wann Zugriffe durch wen stattgefunden haben, und kommt der Auskunftsberechtigte, der noch dazu Vertragspartner der Beklagten ist, dadurch in Beweisschwierigkeiten, geht das zu Lasten der Beklagten. Die Klagepartei muss daher den Zeitpunkt des Datenabflusses nicht nachweisen, insbesondere muss sie nicht nachweisen, dass es erst nach Inkrafttreten der DSGVO zu dem Abfluss ihrer Daten gekommen ist (vgl. für das Arzthaftungsrecht: BGH NJW 1987, 1482; NJW 1996, 779 f.). Im Übrigen ist auch nach der Sphärentheorie zu berücksichtigen, dass die Rechtsverletzung innerhalb des Gefahren- und Verantwortungsbereichs der Beklagten stattgefunden hat und die Klägerseite die Einzelheiten - einschließlich des Zeitpunkts - der Rechtsverletzung nicht erkennen kann. In diesem Fall dreht sich die Darlegungs- und Beweislast um, so dass die Beklagte darlegen und ggf. beweisen muss, dass sie sich pflichtgemäß verhalten hat. Dazu muss sie die Einzelheiten vortragen, wann und wie es zu dem Verstoß gekommen ist, damit das Gericht beurteilen kann, ob ihr eine Sorgfaltspflichtverletzung und ein Verschulden vorzuwerfen ist. Der erstinstanzliche Vortrag ist hierzu nicht ausreichend. Die Beklagte hat in erster Instanz vorgetragen: „Dementsprechend waren der Name und das Geschlecht der Klagepartei im Zeitraum Januar 2018 bis September 2019, d.h. in dem Zeitraum, in dem das Datenscraping im Rahmen des Scraping-Sachverhaltes stattgefunden hat (der „relevante Zeitraum“) öffentlich auf ihrem soziales Netzwerk1-Profil einsehbar.“ Hierin ist kein ausreichend substantiiertes Bestreiten des klägerischen Vortrags zum Zeitpunkt zu sehen. Soweit die Beklagte in zweiter Instanz erstmals substantiiert zum Zeitpunkt des Scrapings vorgetragen hat und bestritten hat, dass dieser 2019 stattgefunden hat, ist dieser Vortrag nach § 531 ZPO zurückzuweisen. b) Die Beklagte hat bei der Verarbeitung der Daten gemäß den Ausführungen zu den Unterlassungsansprüchen gegen die Bestimmungen der DSGVO verstoßen, woraus der Klagepartei kausal ein (einheitlicher) immaterieller Schaden in Gestalt eines Kontrollverlustes (1) und durch psychische Beeinträchtigungen, die über die mit dem eingetretenen Kontrollverlust unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen (2), erwachsen ist, so dass der nach der Rechtsprechung des Bundesgerichtshofs für den Kontrollverlust allein in einer Größenordnung von 100,00 EUR zu bemessende Schadensersatz angemessen zu erhöhen ist (3). (1) Durch die Datenschutzverstöße der Beklagten hat die Klagepartei einen Kontrollverlust erlitten, der nach der Rechtsprechung des Bundesgerichtshofs als immaterieller Schaden im Sinne von Art. 82 DSGVO zu bewerten ist. Schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten stellt einen immateriellen Schaden dar, ohne dass der Nachweis zusätzlicher spürbarer negativer Folgen erforderlich ist. Allerdings muss die betroffene Person den Nachweis erbringen, dass sie einen solchen in einem bloßen Kontrollverlust bestehenden Schaden erlitten hat (vgl. BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 30, 31), es sei denn der Kontrollverlust muss als unstreitig angesehen werden. Letzteres ist der Fall. Über das Kontaktimporttool wurden bei dem Scraping-Vorfall die Telefonnummer der Klagepartei ermittelt, mit ihrem Vor- und Nachnamen verknüpft und die zusammengeführten Daten im sog. Darknet veröffentlicht, ohne dass sich feststellen ließe, dass die Klagepartei wirksam in eine solche Verarbeitung ihrer personenbezogenen Daten eingewilligt hätte Es ist auch weder festgestellt noch ersichtlich, dass die zusammengeführten und im Darknet veröffentlichten Daten der Klagepartei bereits vor dem Scraping-Vorfall in entsprechender Weise im Internet abrufbar gewesen wären, so dass zuvor schon ein vergleichbares Risiko eines Datenmissbrauchs durch Dritte bestanden hätte. Ob die Klagepartei ihre Telefonnummer zuvor schon bestimmten Empfängern mitgeteilt hatte oder ein einzelnes Datum an irgendeiner Stelle im Internet von der Klägerseite veröffentlicht wurde, kann dahingestellt bleiben. Der durch das Scraping und die dauerhafte Preisgabe der mit dem Namen der Klagepartei verknüpften Telefonnummer im Internet einhergehende Kontrollverlust unterscheidet sich wesentlich von den Risiken, die mit einer bewussten und zielgerichteten Weitergabe der Telefonnummer an bestimmte Empfänger verbunden sind. Die bewusste und zielgerichtete Weitergabe dieser Daten an bestimmte Empfänger ist - auch unter Berücksichtigung des grundsätzlich bestehenden objektiven Risikos nicht datenschutzkonformer Verwendung und des latenten subjektiven Bewusstseins hierum - qualitativ anders zu bewerten, als das durch das Scraping verursachte gänzlich unkontrollierte Abfließen der Daten in ersichtlich illegale Kanäle. Die erstgenannte Form der Weitergabe stellt keinen Kontrollverlust dar, da die Klagepartei über ihre Daten jederzeit (etwa durch Löschung) verfügen kann. Das Risiko, auch Dritte könnten Daten der Klagepartei nicht datenschutzkonform verarbeiten, steht nach der Rechtsprechung des BGH - solange sich dieses nicht unstreitig vor dem Eintritt des Scraping-Vorfalls verwirklicht hatte - der Darlegung eines Kontrollverlusts nicht entgegen (BGH, Urt. v. 18.11.2024 - Az. VI ZR 10/24, Rn. 42). Etwas Anderes gälte im Lichte der BGH-Rechtsprechung zum Kontrollverlust also nur dann, wenn es aufgrund der bewussten und zielgerichteten Weitergabe an Dritte vor dem hiesigen Datenleck ebenfalls zu einem unkontrollierten Abfluss der Daten an unbefugte Dritte gekommen wäre (vgl. BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 42). Der Vortrag der Beklagten zur bisherigen Datenpreisgabe seitens der Klagepartei nötigt nicht zu der Annahme eines Kontrollverlustes von einer vergleichbaren Dimension, wie er unmittelbar kausal auf den streitgegenständlichen Scraping-Vorfall zurückzuführen ist. (2) Durch die Datenschutzverstöße der Beklagten hat sich die Klagepartei über den eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinaus - als Teil des nach Art. 82 DSGVO zu kompensierenden Schadens - begründeten Befürchtungen ausgesetzt gesehen, Dritte könnten ihre im Darknet veröffentlichten Daten, insbesondere ihre Telefonnummer, missbräuchlich verwenden. Die Klagepartei hat - von der Beklagten insgesamt bestritten - behauptet, sie sei wegen des Scraping-Vorfalls in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch der sie betreffenden Daten verblieben. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Seit dem Vorfall erhalte sie unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und Phishing-Attacken. Der Senat hält - ohne dass es einer Beweisaufnahme bedarf - mit dem für die Schadenszumessung genügenden „Beweismaß“ des § 287 ZPO für überwiegend wahrscheinlich, dass die Klagepartei jedenfalls entsprechende begründete Befürchtungen und die damit korrespondierenden psychischen Beeinträchtigungen erlitten hat. (a) § 287 Abs. 1 ZPO gilt nämlich nicht nur für die Höhe des Schadens, sondern auch für die Frage, ob ein Schaden überhaupt entstanden ist - hier also, ob die Klägerseite über den Kontrollverlust hinaus weitere schadensersatzpflichtige (psychische) Beeinträchtigungen erlitten hat. Die Vorschrift ist zwar nur anwendbar, soweit es um die haftungsausfüllende Kausalität geht. Für Umstände, die zur haftungsbegründenden Kausalität gehören, ist § 286 ZPO maßgeblich. Bei deliktischen oder vertraglichen Schadensersatzansprüchen, die die Verletzung eines Rechtsguts voraussetzen, gehört die primäre Rechtsgutverletzung zur haftungsbegründenden Kausalität und die Ursächlichkeit der Verletzungshandlung für alle weiteren (Folge-)Schäden einschließlich der fehlerbedingten Verschlimmerung von Vorschäden zur haftungsausfüllenden Kausalität (BGH, Urt. v. 12.02.2008, VI ZR 221/06, Rn. 9). Entsteht ein Schadensersatzanspruch dagegen unabhängig von der Verletzung eines Rechtsguts, ist bereits der erste Schaden der haftungsausfüllenden Kausalität zuzuordnen (BGH, Urt. v. 12.06.2016, KZR 25/14, Rn. 42 m.w.N.). Vorliegend kann dahinstehen, ob Schadensersatzansprüche nach Art. 82 DSGVO, weil die Datenschutzgrundverordnung dem Schutz des Grundrechts auf informationelle Selbstbestimmung dient, eine entsprechende Rechtsgutsverletzung voraussetzt. Diese ist jedenfalls bereits mit dem festgestellten Kontrollverlust über die abgeflossenen personenbezogenen Daten eingetreten, so dass sich die weiteren, die immaterielle Schadensersatzverpflichtung erhöhenden psychischen Beeinträchtigungen als weitere Schadenspositionen darstellen, für deren Zubilligung das Beweismaß des § 287 ZPO genügt. (b) Gemessen daran erscheint die begründete Befürchtung eines Datenmissbrauchs jedenfalls überwiegend wahrscheinlich. Die Telefonnummer der Klagepartei wurde verknüpft mit deren Vor- und Nachnamen in einer Sammlung mit entsprechenden Daten anderer soziales Netzwerk1-Nutzer im Darknet veröffentlicht. Das Risiko einer missbräuchlichen, insbesondere betrügerischen, Nutzung dieser Daten liegt insofern besonders nahe, zumal für die Klagepartei keine Möglichkeit besteht, ihre Daten im Darknet löschen zu lassen und zu verhindern, dass diese „in die falschen Hände“ geraten. Der Umstand, dass die Klagepartei nur noch mit äußerster Vorsicht auf Textnachrichten (SMS) und E-Mails reagieren mag, verstärkt die durch den Datenschutzverstoß der Beklagten eingetretene immaterielle Beeinträchtigung nicht merklich. Dabei handelt sich um eine Unannehmlichkeit, wie sie nicht nur jeden Betroffenen des Scraping-Vorfalls trifft, weil eine entsprechende Vorsicht wegen des niemals auszuschließenden Risikos eines Datenmissbrauchs im Internet immer angezeigt ist. Soweit die Klagepartei behauptet hat, sie habe Zeit und Mühe aufgewendet, indem sie sich mit dem „Datenleak“ auseinandersetzen, den Sachverhalt ermitteln, sich um eine Auskunft der Beklagten kümmern und selbst weitere Maßnahmen habe ergreifen müssen, ist nicht ersichtlich, welchen erheblichen Eigenaufwand sie insoweit neben den von ihr bereits vorgerichtlich mandatierten Prozessbevollmächtigten gehabt hätte. Jedenfalls fällt dieser Aufwand - soweit er überhaupt immaterielle Beeinträchtigungen zu begründen vermag und keine materielle Schadensposition darstellt - neben dem Kontrollverlust und der begründeten Befürchtung eines Datenmissbrauchs nicht maßgeblich ins Gewicht. (c) Bei dieser Sachlage wäre eine Parteivernehmung der Klägerseite als beweispflichtiger Partei zu den erlittenen Befürchtungen eines Datenmissbrauchs nach § 448 ZPO widersinnig. Denn eine solche Parteivernehmung setzt u.a. einen Anfangsbeweis voraus. Danach darf die beweispflichtige Partei nur dann nach § 448 ZPO förmlich vernommen werden, wenn für die Richtigkeit ihrer Darstellung eine gewisse Wahrscheinlichkeit spricht, sei es auch ohne Beweisaufnahme nur aufgrund der Lebenserfahrung (BGH, Urteil vom 24.04.1991, IV ZR 172 / 90, Rn. 20 juris). Die gewisse, hier überwiegende Wahrscheinlichkeit genügt im Rahmen des § 287 ZPO aber bereits zur Überzeugungsbildung vom (weiteren) Schadenseintritt und erübrigt damit die Parteivernehmung. (d) Die persönliche Anhörung, die der Bundesgerichtshof in seiner Entscheidung über den auch hier streitgegenständlichen Scraping-Vorfall bei der Beklagten „gegebenenfalls“ für notwendig erachtet hat, ist ebenfalls nicht erforderlich. Die Parteianhörung ist im Gegensatz zur Parteivernehmung kein Beweismittel (BGH NJW-RR 1988, 394, 395 m.w.N.). Dem Tatrichter ist es nach § 286 ZPO jedoch grundsätzlich erlaubt, allein aufgrund des Vortrags der Parteien und ohne Beweiserhebung festzustellen, was für wahr und was für nicht wahr zu erachten ist. Er kann dabei im Rahmen der freien Würdigung des Verhandlungsergebnisses den Behauptungen und Angaben einer Partei unter Umständen auch dann glauben, wenn diese ihre Richtigkeit sonst nicht - auch nicht mittels Parteivernehmung, weil es an der erforderlichen Anfangswahrscheinlichkeit fehlt - beweisen kann, und ihr im Einzelfall sogar den Vorzug vor den Bekundungen eines Zeugen oder des als Partei vernommenen Prozessgegners geben (BGH, Urteil vom 27.09.2017, XII ZR 48/17, Rn. 12). Diese Grundsätze gelten insbesondere für den Nachweis innerer Tatsachen wie beispielsweise Entscheidungskonflikte, die durch unvernünftig erscheinende Erwägungen der beweispflichtigen Partei beruhen (vgl. BGH, Urteil vom 21.06.2022, VI ZR 310/21, Rn. 10). Insofern wird das Gericht - auch im Rahmen des nach § 287 Abs. 1 (2) ZPO eingeräumten weiten Ermessens über das Ob und den Umfang einer Beweisaufnahme - die Klagepartei nur anhören müssen, wenn es den weiteren immateriellen Schadensersatz wegen weitergehender psychischer Beeinträchtigungen ablehnen will, nicht dagegen, wenn es den Anspruch für überwiegend wahrscheinlich hält. Denn § 287 ZPO soll dem von einer rechtswidrigen Handlung Betroffenen die Darlegung und den Nachweis seines Schadens erleichtern (BGH, Beschl. v. 15.12.2020, XI ZB 24/16, Rn. 75). Hält das Gericht den Schadenseintritt jedoch für überwiegend wahrscheinlich, so dass der Schadensersatz nach § 287 ZPO zuzusprechen ist, bedarf es dieses Nachweises nicht mehr. Auf die Frage, ob die Klagepartei über die begründeten Befürchtungen eines Datenmissbrauchs hinaus psychische Beeinträchtigungen wie großes Unwohlsein, große Sorge, verstärktes Misstrauen, Ängste und Stress erlitten hat, kommt es für die Entscheidung des Rechtsstreits nicht an. Hätte die Klagepartei tatsächlich derart erhebliche psychische Beeinträchtigungen erlitten, müsste sie sich nach § 254 BGB ein überwiegendes Mitverschulden anrechnen lassen (vgl. insofern z.B. OLG Frankfurt am Main, Beschl. v 02.07.2024, 6 U 41/24, WRP 2025, 90 Rn. 20 [juris Rn. 31]). In dem Fall hätte sie die schwere Beeinträchtigung maßgeblich mitverursacht, indem sie ihre im Darknet veröffentlichte Telefonnummer nicht geändert hat, um sich von den großen Sorgen oder vielleicht sogar echten Ängsten zu befreien (§ 254 Abs. 2 Satz 1 BGB). Soweit die Klagepartei ihren Anspruch schließlich zusätzlich auf einen Verstoß gegen Benachrichtigungs- und Meldepflichten stützt, fehlt es jedenfalls an der Ursächlichkeit für den geltend gemachten Schaden (vgl. BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 26). (3) Der Senat schätzt den immateriellen Schaden der Klagepartei der Höhe nach (§ 287 ZPO) auf insgesamt 200,00 EUR. Der Senat hält insoweit als notwendigen Ausgleich für den eingetretenen Kontrollverlust als solchen einen Schadensersatzbetrag in Höhe von 100 Euro für angemessen (vgl. auch BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 100, der keine Bedenken gegen eine Entschädigung in dieser Größenordnung hat). Die vom Scraping betroffenen personenbezogenen Daten der Klagepartei gehören nicht zu den in Art. 9 Abs. 1 DSGVO genannten besonders sensiblen Daten (vgl. auch BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 42, 99). Zwar waren bzw. sind die kombinierten Daten der Klagpartei einschließlich ihrer Telefonnummer einem unbegrenzten Empfängerkreis über einen längeren Zeitraum zugänglich. Allerdings hätte die Klagepartei die Kontrolle über ihre Daten mit verhältnismäßig geringem Aufwand wiedererlangen können, indem sie ihre Rufnummer [/E-Mail] wechselt (vgl. BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 99). Es ist nicht ersichtlich, dass Dritte allein mit dem Vor- und Nachnamen (und der soziales Netzwerk1-ID) der Klagepartei ohne deren Telefonnummer Missbrauch betreiben könnten. Davon ausgehend rechtfertigt die vom Senat im Rahmen seines Schätzungsermessens (§ 287 ZPO) angenommene begründete Befürchtung der Klagepartei, ihre im Darknet veröffentlichen Daten könnten missbräuchlich verwendet werden, die Annahme eines (geschätzten) Gesamtschadens von 200,00 EUR. Dabei ist bereits mitberücksichtigt, dass die Klagepartei mit der Mandatierung ihrer Prozessbevollmächtigten jedenfalls gewissen (lästigen) Zusatzaufwand gehabt hat, ohne dass es darauf ankäme, ob eine solcher Zeitaufwand für sich betrachtet einen Anspruch auf immateriellen Schaden begründen kann. Ein höherer Schadensersatz kommt vorliegend nicht in Betracht. Die auf Art. 82 DSGVO gestützte Entschädigung in Geld soll den konkret erlittenen Schaden in vollem Umfang ausgleichen; sie hat keine Abschreckungs- oder Straffunktion (vgl. z.B. BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 96 m.w.N.). Daher dürfen etwa die Schwere des Verstoßes gegen die DSGVO und der Umstand, dass der Verantwortliche gegebenenfalls mehrere Verstöße gegenüber derselben Person begangen hat, nicht berücksichtigt werden (vgl. BGH; Urt. v. 18.11.2024, VI ZR 10/24, Rn. 96 m.w.N.). Für einen höher zu bewertenden immateriellen Schaden besteht keine Grundlage. Zwar darf die Entschädigung nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausginge. Ist der Schaden - wie hier - gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen (vgl. BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 97 m.w.N.). Eine andere Bewertung ist nicht deshalb geboten, weil der Gerichtshof der Europäischen Union Art. 82 Abs. 1 DSGVO dahin auslegt, dass ein durch die Verletzung personenbezogener Daten verursachter Schaden „seiner Natur nach“ nicht weniger schwerwiegend ist als eine Körperverletzung (vgl. auch BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 97 m.w.N.). Der Gerichtshof geht insoweit lediglich davon aus, die grundsätzliche Annahme, eine Körperverletzung wiege „von Natur aus“ schwerer als ein immaterieller Schaden, könnte den Grundsatz eines vollständigen und wirksamen Schadensersatzes für erlittene Schäden in Frage stellen. In Bezug auf die Höhe des Schadens könne daher nicht generell davon ausgegangen werden, der Schaden sei seiner Natur nach weniger schwerwiegend als eine Körperverletzung (vgl. z.B. EuGH, Urt. v 20.06.2024 - C-182/22 und C-189/22, NJW 2024, 2599 Rn. 38 f. - Scalable Capital; Urt. v 04.10.2024 - C-507/23, GRUR-RS 2024, 26255 Rn. 151). Dies schließt jedoch nicht aus, dass der immaterielle Schaden im Einzelfall weniger schwer wiegt als eine leichte Körperverletzung. 4. Der Klagepartei steht ein Anspruch auf Feststellung der Verpflichtung der Beklagten zu, alle künftigen materiellen sowie künftigen, derzeit noch nicht vorhersehbaren immateriellen Schäden zu erstatten. Aufgrund des Verstoßes gegen die DSGVO und die Verletzung der Klagepartei in ihrem Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG) bzw. auf Schutz ihrer personenbezogenen Daten (Art. 8 GRCh) besteht (insbesondere) bei fortdauernder Veröffentlichung der personenbezogenen Daten der Klagepartei (v.a. ihres Namens in Verbindung mit ihrer Telefonnummer) die nicht rein theoretische Möglichkeit künftiger Schäden (siehe insofern BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 48 f.). Dafür, dass die Daten nicht mehr öffentlich zugänglich wären, besteht kein Anhaltspunkt. In dem Fall wäre auch nicht auszuschließen, dass Dritte die Daten bereits anderswo zu missbräuchlichen Zwecken gespeichert haben. 5. Ein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten besteht nicht. Nach §§ 15 Abs. 1, 19 Abs. 1 Nr. 1 RVG gehören Schreiben, in denen der Gegner aufgefordert wird, die vertretene Partei klaglos zu stellen, als Teil der Vorbereitung der Klage zu den Tätigkeiten, die durch die Gebühren für das (sich anschließende) Gerichtsverfahren mit abgegolten werden. Etwas anderes gilt nur, wenn der Rechtsanwalt zunächst einen gesonderten Auftrag für ein außergerichtliches Tätigwerden erhält oder der Prozessauftrag unter der Bedingung erteilt wird, dass zunächst vorzunehmende außergerichtliche Einigungsversuche erfolglos bleiben (v. Seltmann, BeckOK RVG, 66. Edition, § 19 Rn. 6; OLG Frankfurt, Urt. v. 09.02.2006, 6 U 94/05, OLGR Frankfurt 2006, 978, 980). Da die Klägerseite nicht vorgetragen hat, dass sie ihren Prozessbevollmächtigten zuvor einen gesonderten Auftrag für ein außergerichtliches Tätigwerden oder einen bedingten Prozessauftrag erteilt hat, kommt eine Erstattung vorgerichtlicher Rechtsanwaltskosten mangels Entstehung entsprechender Kosten nicht in Betracht. Anders als in Rechtsstreitigkeiten des gewerblichen Rechtsschutzes oder in besonders aufwändigen Verfahren wie Arzthaftungsprozessen oder in Verkehrsunfallsachen ist in datenschutzrechtlichen Massenverfahren wie dem vorliegenden auch nicht zu vermuten, dass ein Auftrag zum außergerichtlichen Tätigwerden erteilt worden ist. In Bezug auf das Auskunftsverlangen ist auch weder dargetan noch ersichtlich, dass die Klagepartei dafür anwaltlicher Hilfe bedurft hätte. Im Übrigen, d.h. soweit die Prozessbevollmächtigten der Klagepartei die Beklagte vorgerichtlich zur Zahlung von Schadensersatz und Abgabe einer Unterlassungserklärung aufgefordert haben, besteht ein Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO auch deshalb nicht, weil die Beauftragung eines Rechtsanwalts mit einem vorgerichtlichen Tätigwerden nicht zweckmäßig war (siehe insofern z.B. BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 79 m.w.N.). Zum Zeitpunkt des vorgerichtlichen Anwaltsschreibens war eine Vielzahl von Rechtsfragen in Zusammenhang mit Art. 82 DSGVO weder durch den Gerichtshof der Europäischen Union noch durch die nationalen Gerichte geklärt (vgl. BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 80). Daher bestand in einem datenschutzrechtlichen Massenverfahren wie dem vorliegenden vorprozessual keine begründete Aussicht darauf, dass eine anwaltliche Aufforderung zur Abgabe einer Unterlassungserklärung und zur Zahlung von Schadensersatz Erfolg versprechend sein und einen Rechtsstreit vermeiden könnte. C. Die Kostenentscheidung folgt aus § 92 Abs. 1 ZPO. D. Das Urteil ist nach §§ 708 Nr. 10, 711, 713 ZPO vorläufig vollstreckbar. E. Der Streitwert ist im vorliegenden Verfahren entsprechend den vom Bundesgerichtshof für die sog. Scraping-Verfahren aufgestellten Grundsätzen auf 5.500.-- EUR festzusetzen, wobei auf die bezifferten Schmerzensgeldanträge 3.000 € EUR, 1.500,- auf die Unterlassungsanträge sowie je 500,- € auf die Anträge auf Auskunft und Schadensfeststellung entfallen (BGH, Beschl. v. 10.12.2024, VI ZR 7/24). Durch die teilweise Antragsrücknahme vor dem Termin ist der Streitwert auf 3.000 € reduziert. F. Für die Zulassung der Revision besteht kein Anlass, da die Voraussetzungen des t§ 543 Abs. 2 Satz 1 ZPO nicht erfüllt sind.