6 U 190/23

Leitsatz: 1. Die Formulierung „[…] wegen Verstößen gegen die Datenschutzgrundverordnung vor und im Nachgang zum streitgegenständlichen Scraping-Vorfall“ ist hinreichend bestimmt, sofern damit zum Ausdruck gebracht werden soll, dass die geltend gemachten Datenschutzverstöße (auch) zeitlich vor und nach dem Scraping-Vorfall begangen worden sind. 2. Der Übergang vom erstinstanzlich nur hilfsweise zum in der Berufungsinstanz unbedingt gestellten Antrag auf Schadensersatzfeststellung ist nach § 533 ZPO zulässig. 3. Die Beklagte hat jedenfalls deshalb gegen die Datenschutzgrundverordnung verstoßen, weil sie nach deren Inkrafttreten im Zeitraum des streitgegenständlichen Scrapings gegen den Grundsatz der Datenminimierung verstoßen und personenbezogene Daten der Klagepartei ohne wirksame Einwilligung bereitgestellt hat. 4. Neben dem Kontrollverlust rechtfertigt die nach § 287 ZPO wahrscheinlich erscheinende Befürchtung eines Datenmissbrauchs einen immateriellen Schadensersatz in Höhe von 200 €. I. Das am 26.10.2023 verkündete Urteil des Landgerichts Kassel (10 O 35/23) wird unter Zurückweisung der weitergehenden Berufung teilweise abgeändert und klarstellend insgesamt wie folgt neu gefasst: 1. Die Beklagte wird verurteilt, an die Klagepartei immateriellen Schadensersatz in Höhe von 200 Euro nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 21.02.2023 zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klagepartei künftige materielle und künftige derzeit noch nicht vorhersehbare immaterielle Schäden zu ersetzen, die der Klagepartei durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000 Euro, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, a) für personenbezogene Daten der Klagepartei, wie insbesondere Vorname, Nachname, Geschlecht, Stadt und Beziehungsstatus, Voreinstellungen zu wählen, durch die ohne bewusste persönliche Änderung der Voreinstellungen seitens der Klagepartei (Zielgruppenauswahl) die genannten personenbezogenen Daten der Öffentlichkeit zugänglich gemacht werden und für die Suchbarkeit der Klagepartei im Netzwerk der Beklagten solche Voreinstellungen zu wählen, dass alle Nutzer des Netzwerks der Beklagten die Klagepartei anhand ihrer Telefonnummer suchen können, so wie im Zeitraum vor September 2019 die standardmäßige Voreinstellung (Suchbarkeitseinstellung) im Netzwerk der Beklagten für die Suchbarkeit eines Nutzerprofils über die Telefonnummer vorsah, dass „alle“ anderen Nutzer eine entsprechende Rufnummernsuche durchführen konnten und im Wege dieser Rufnummernsuche Zugang zu den aufgrund erstgenannter Voreinstellungen für das Profil öffentlich sichtbaren Profildaten erhielten; b) die Telefonnummer der Klagepartei auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, nämlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird. 4. Im Übrigen wird die Klage abgewiesen. II. Von den erstinstanzlichen Kosten des Rechtsstreits tragen die Klagepartei 43 % und die Beklagte 57 %. Von den Kosten des Berufungsverfahrens tragen die Klagepartei 37 % und die Beklagte 63 %. III. Das Urteil ist vorläufig vollstreckbar. IV. Der Streitwert wird die erste Instanz auf 3.000 Euro und für die Berufungsinstanz für den Zeitraum bis zum 18.04.2024 auf 3.500 Euro und für den Zeitraum ab dem 19.04.2024 auf 3.000 Euro festgesetzt. I. Die Klagepartei macht gegen die Beklagte Ansprüche wegen Datenschutzverstößen geltend. Die Beklagte betreibt das soziale Netzwerk Facebook. Die Klagepartei unterhielt dort ein Nutzerkonto. Sie stellte bei Facebook persönliche Daten ein. Hierzu gehörten die zur Registrierung erforderlichen Angaben ihres Vor- und Nachnamens und ihres Geschlechts. Diese Angaben sowie die dem jeweiligen Nutzer durch die Beklagte zugewiesene Nutzer-ID waren auf den Profilseiten der Nutzerkontos entsprechend der Voreinstellung der Beklagten stets für jedermann (auch außerhalb von Facebook) öffentlich einsehbar, nicht aber eine vom Nutzer hinterlegte Telefonnummer. Neben den immer einsehbaren Pflichtangaben konnten die Nutzer in ihrem Profil weitere Daten zu ihrer Person angeben und in dem von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern („Freunde“, [auch] „Freunde von Freunden“, „öffentlich“) auf diese Daten zugreifen konnten. Die Beklagte stellte hierfür Privatsphäre-Einstellungen zur Verfügung, mit denen die Nutzer bestimmen konnten, inwieweit sie Informationen, die sie zur Verfügung stellten, öffentlich einsehbar machten (nachfolgend: Zielgruppenauswahl). Über Funktion und Bedeutung dieser Privatsphäre-Einstellungen informierte die Beklagte die Nutzer im sog. Hilfebereich des Nutzerkontos. Bei den Suchbarkeitseinstellungen ihres Profils, mit denen unter anderem festgelegt werden konnte, wer den Nutzer anhand der hinterlegten Telefonnummer finden konnte, hatte die Klagepartei es bei der Standardvoreinstellung „alle“ belassen. Diesen Kreis hätte sie stattdessen auf „Freunde“, „Freunde von Freunden“ und (ab Mai 2019) „nur ich“ begrenzen können. War die Suchbarkeitseinstellung eines Nutzers - wie bei der Klagepartei - im Hinblick auf die Telefonnummer auf „alle“ gestellt, ermöglichte es die von der Beklagten implementierte sog. Kontakt-Import-Funktion (im Folgenden auch Kontaktimporttool) bis September 2019 jedem Facebook-Nutzer, das Profil mithilfe der hinterlegten Telefonnummer zu finden. Dies war selbst dann möglich, wenn die Telefonnummer im Nutzerprofil entsprechend der Voreinstellung der Beklagten nicht öffentlich einsehbar war. In der Zeit von Januar 2018 bis September 2019 suchten unbekannte Dritte über das Kontaktimporttool mit automatisiert erstellten Ziffernfolgen nach Nutzerkonten, denen entsprechende Telefonnummern zugeordnet waren. Bei einer Übereinstimmung griffen sie öffentlich einsehbare Profidaten der Nutzer ab (sog. Scraping) und verknüpften diese mit der jeweiligen Telefonnummer. Die gesammelten Datensätze von ca. 533 Mio. Nutzern wurden im April 2021 frei im Internet (Darknet) zum Download bereitgestellt. Davon betroffen waren auch personenbezogene Daten der Klagepartei, namentlich ihre Mobilfunknummer verknüpft mit ihrer Nutzer-ID, ihrem Vor- und Nachnamen, Geschlecht, Wohnort und Arbeitgeber. Die Klagepartei hat erstinstanzlich mindestens 1.000 Euro immateriellen Schadenersatz, hilfsweise, für den Fall, dass dem Klageantrag zu 1 stattgegeben wird, Schadenersatzfeststellung, Unterlassung (mit dem Antrag zu 3 a) in etwas anderer Fassung) und Auskunft begehrt (vgl. LGU 5 f.). Von einer Bezugnahme auf die tatsächlichen Feststellungen im angefochtenen Urteil und von der Darstellung etwaiger Änderungen und Ergänzungen und einer weiteren Darstellung wird gemäß §§ 540 Abs. 1 Satz 1, Abs. 2, 313a Abs. 1 Satz 1 ZPO abgesehen. Das Landgericht hat die Klage abgewiesen. Die Klagepartei hat ihre Berufung gegen die Abweisung des Auskunftsantrags mit Schriftsatz vom 17.04.2025 vor der Berufungsverhandlung zurückgenommen (EA 583) und zuletzt beantragt: 1. Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe wegen Verstößen gegen die Datenschutzgrundverordnung vor und im Nachgang zum streitgegenständlichen Scraping-Vorfall zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens insgesamt jedoch 1.000 Euro nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite künftige materielle und künftige derzeit noch nicht vorhersehbare immaterielle Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000 Euro, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, a) für personenbezogene Daten der Klagepartei, wie insbesondere Vorname, Nachname, Geschlecht, Stadt und Beziehungsstatus, Voreinstellungen zu wählen, durch die ohne bewusste persönliche Änderung der Voreinstellungen seitens der Klagepartei (Zielgruppenauswahl) die genannten personenbezogenen Daten der Öffentlichkeit zugänglich gemacht werden und für die Suchbarkeit der Klagepartei im Netzwerk der Beklagten solche Voreinstellungen zu wählen, dass alle Nutzer des Netzwerks der Beklagten die Klagepartei anhand ihrer Telefonnummer suchen können, so wie im Zeitraum vor September 2019 die standardmäßige Voreinstellung (Suchbarkeitseinstellung) im Netzwerk der Beklagten für die Suchbarkeit eines Nutzerprofils über die Telefonnummer vorsah, dass „alle“ anderen Nutzer eine entsprechende Rufnummernsuche durchführen konnten und im Wege dieser Rufnummernsuche Zugang zu den aufgrund erstgenannter Voreinstellungen für das Profil öffentlich sichtbaren Profildaten erhielten; b) die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird. Die Beklagte beantragt, die Berufung zurückzuweisen. II. Die zulässige, insbesondere form- und fristgerecht eingelegte, Berufung der Klagepartei hat nur teilweise Erfolg. A. Die Klage ist zulässig. 1. Der Zahlungsantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO). Die Klagepartei begehrt immateriellen Schadensersatz wegen des streitgegenständlichen Scraping-Vorfalls. Mit der Formulierung „[…] wegen Verstößen gegen die Datenschutzgrundverordnung vor und im Nachgang zum streitgegenständlichen Scraping-Vorfall“ soll, wie von ihren Prozessbevollmächtigten in Parallelsachen klargestellt worden ist (vgl. z.B. OLG Frankfurt a.M., Urteile v. 02.05.2025 - 6 U 117/23, 6 U 123/23), nur zum Ausdruck gebracht werden, dass die geltend gemachten Datenschutzverstöße (auch) zeitlich vor und nach dem Scraping-Vorfall begangen worden sind. Diese Verstöße bilden mit dem Scraping-Vorfall einen einheitlichen Streitgegenstand (vgl. BGH, Urt. v. 18.11.2024 - Az. VI ZR 10/24, GRUR 2024, 1910 Rn. 16, 18). 2. Der Übergang von dem erstinstanzlich nur hilfsweise auf den zweitinstanzlich unbedingt gestellten Antrag auf Schadensersatzfeststellung (Antrag zu 2; dazu, dass es sich um eine nachträgliche Klageerweiterung bzw. Anspruchshäufung handelt, vgl. z.B. BGH, Beschluss v 06.12.2006 - XII ZR 97/04, NJW 2007, 909 Rn. 30; Bacher in BeckOK ZPO, 56. Edition, Stand: 01.03.2025, § 263 Rn. 5.1.), ist sachdienlich (§ 533 Nr. 1 ZPO) und auf Tatsachen gestützt, die das Berufungsgericht seiner Verhandlung und Entscheidung ohnehin nach § 529 ZPO zugrunde zu legen hat (§ 533 Nr. 2 ZPO). 3. Der Unterlassungsantrag zu 3 a) ist zulässig. a) Die Klageänderung in der Berufungsinstanz ist sachdienlich (§ 533 Nr. 1 ZPO) und ebenfalls auf Tatsachen gestützt, die nach § 529 ZPO zugrunde zu legen sind (§ 533 Nr. 2 ZPO). b) Der auf ein einheitliches Verbot gerichtete Unterlassungsantrag zu 3 a) (vgl. die „und“-Verknüpfung) ist auch hinreichend bestimmt. Für die Beklagte wird deutlich, unter welchen Voraussetzungen die Klagepartei Unterlassung begehrt (vgl. BGH, GRUR 2024, 1910 Rn. 64). Der Antrag lässt erkennen, durch welche konkrete Maßnahme (datenschutzwidrige Voreinstellungen) die Beklagte gegen die Datenschutzgrundverordnung verstoßen hat (vgl. insofern BGH, GRUR 2024, 1910 Rn. 57). Außerdem enthält er eine Bezugnahme auf die konkrete Verletzungsform (vgl. BGH, GRUR 2024, 1910 Rn. 58, 63). c) Für den Unterlassungsantrag zu 3 a) besteht auch ein Rechtsschutzbedürfnis. Dieses entfällt insbesondere nicht dadurch, dass die Klagepartei Teile der Daten aus ihrem Nutzerkonto löschen oder die Such- und Sichtbarkeitseinstellungen teilweise selbst ändern kann. Denn die (zu unterlassende) Verletzungshandlung liegt in den Voreinstellungen der Beklagten und der daraus resultierenden, für die Klagepartei teilweise unbewussten Verarbeitung ihrer Daten, insbesondere ihrer streitgegenständlichen Telefonnummer. Das Rechtsschutzziel der Klagepartei besteht insofern nicht darin, ihr eine (bewusste) Änderung der (Vor-)Einstellungen zu ermöglichen. 4. Der Unterlassungsantrag zu 3 b) ist ebenfalls zulässig. Er lässt sich unter Heranziehung des Klagevorbringens hinreichend bestimmt dahin auslegen, dass die Klagepartei ein Unterlassen jeglicher Verarbeitung ihrer Telefonnummer durch die Beklagte begehrt, die über die notwendige Verarbeitung für die Zwei-Faktor-Authentifizierung hinausgeht (vgl. BGH, GRUR 2024, 1910 Rn. 62). B. Die Klage ist teilweise begründet. 1. Die Klagepartei kann von der Beklagten nach Art. 82 DSGVO die Zahlung von 200 Euro immateriellem Schadensersatz nebst Prozesszinsen verlangen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutzgrundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. z.B. BGH, Urt. v 11.02.2025 - VI ZR 365/22, juris Rn. 12 mwN). Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines (immateriellen) Schadens verlangt. Nicht nachzuweisen hat sie ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht eine Haftung für vermutetes Verschulden vor; die Exkulpation obliegt nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen (vgl. BGH, GRUR 2024, 1910 Rn. 21 mwN). Die Beklagte hat bei der Verarbeitung der Daten im zeitlichen Anwendungsbereich der Datenschutzgrundverordnung (a) gegen die Bestimmungen der DSGVO verstoßen, (b) woraus der Klagepartei kausal ein (einheitlicher) immaterieller Schaden in Gestalt eines Kontrollverlustes (c) und durch psychische Beeinträchtigungen, die über die mit dem eingetretenen Kontrollverlust unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen (d), erwachsen ist, so dass der allein für den Kontrollverlust gerechtfertigte Schadensersatz von 100 Euro angemessen zu erhöhen ist (e). a) Der streitgegenständliche Scraping-Vorfall fällt in den zeitlichen Anwendungsbereich der Datenschutzgrundverordnung. Die Klagepartei hat erstinstanzlich behauptet, der Scraping-Vorfall habe sich im Jahr 2019 ereignet (vgl. z.B. S. 4, 21, 24 der Klageschrift). Dem ist die Beklagte bis zum Schluss der erstinstanzlichen Verhandlung nicht erkennbar entgegengetreten. Sie hat nur pauschal darauf verwiesen, „relevanter Zeitraum“ des Datenscrapings sei „Januar 2018 bis September 2019“ (vgl. z.B. S. 17 f. der Klageerwiderung, GA 154 f.), ohne auch nur Zweifel an der zeitlichen Anwendbarkeit der Datenschutzgrundverordnung zu äußern. Der Vortrag der Klagepartei - der entgegen der Auffassung der Beklagten nicht ohne jeden Anhaltspunkt ins Blaue hinein erfolgt ist (vgl. z.B. Anlage B10, Anlagenband; siehe insofern z.B. BGH, Urt. v. 13.07.2021 - VI ZR 128/20, juris Rn. 22 mwN) - ist daher gemäß § 138 Abs. 3 ZPO als zugestanden anzusehen. Daran ändert der Umstand nichts, dass das Landgericht festgestellt hat, dass der Scraping-Vorfall (insgesamt) in der Zeit von Januar 2018 bis September 2019 stattfand (LGU 3). Soweit die Beklagte erst gegen Ende der Berufungsinstanz mit Nichtwissen bestritten hat, dass das streitgegenständliche Scraping im Jahr 2019 stattgefunden habe, ist sie mit diesem neuen Verteidigungsvorbringen gemäß § 531 Abs. 2 Satz 1 ZPO präkludiert. Ein Bestreiten mit Nichtwissen (§ 138 Abs. 4 ZPO) sollte auch unzulässig sein. Der Scraping-Vorfall fällt allein in die Sphäre der Beklagten. Die Klagepartei steht außerhalb des Geschehensablaufs. Sie besitzt keine Kenntnisse von den maßgeblichen Tatsachen und keine Aufklärungsmöglichkeit. Dafür, dass ihre Daten bereits vor dem 25.05.2018 „gescrapt“ worden wären, besteht kein Anhaltspunkt. b) Im Streitfall hat die Beklagte die Daten der Klagepartei jedenfalls deshalb nicht datenschutzkonform verarbeitet und damit gegen die Datenschutzgrundverordnung verstoßen, weil sie nach deren Inkrafttreten am 25.05.2018 (Art. 99 Abs. 2 DSGVO) im Zeitraum des streitgegenständlichen Scrapings gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) verstoßen (siehe insofern BGH, GRUR 2024, 948 Rn. 87) und personenbezogene Daten der Klagepartei ohne wirksame Einwilligung bereitgestellt hat. Nach Art. 5 Abs. 1 Buchst. c DSGVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“). Diese Vorgabe wird (u.a.) durch die Vorgaben zur datenschutzfreundlichen Voreinstellung in Art. 25 DSGVO konkretisiert. Nach Art. 25 Abs. 2 DSGVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Damit beinhaltet Art. 25 Abs. 2 Satz 3 DSGVO die ausdrückliche Verpflichtung zu Voreinstellungen, die verhindern, dass die Daten ohne Weiteres, also ohne bewusste persönliche Änderung der Voreinstellung, der Öffentlichkeit oder sonst einem unbestimmten Adressatenkreis zugänglich gemacht werden (vgl. BGH, GRUR 2024, 1910 Rn. 88). Die Regelung des Art. 25 Abs. 2 DSGVO hat dabei gerade die Voreinstellungen von sozialen Netzwerken im Blick. Sie soll verhindern, dass Nutzer durch Voreinstellungen, die eine über die erforderliche Verarbeitung hinausgehende extensive Datennutzung vorsehen, dazu verleitet werden, ihre Datenschutzrechte abzuwählen, ohne dies zu realisieren (vgl. BGH, GRUR 2024, 1910 Rn. 89 mwN). Diesen Anforderungen wurde das Vorgehen der Beklagten im Zeitraum des Scraping-Vorfalls nicht gerecht (vgl. BGH, GRUR 2024, 1910 Rn. 90 mwN). Die standardmäßige Voreinstellung ihres Netzwerks für die Suchbarkeit eines Nutzerprofils über die Telefonnummer sah vor, dass „alle“ anderen Facebook-Nutzer eine entsprechende Rufnummernsuche durchführen konnten. Gleichzeitig wurde über die Suchbarkeit der Rufnummer die Zugänglichkeit zu weiteren Profildaten eröffnet. Für diese weiteren Profildaten (etwa Arbeitgeber oder Wohnort) nahm die Beklagte ebenfalls Voreinstellungen vor, die teilweise zur Sichtbarkeit der Profildaten führten. Diese Voreinstellungen machten sich die Scraper zunutze, indem sie über die Verknüpfung der Rufnummer (jedenfalls) „öffentliche“ personenbezogene Daten des Nutzerprofils abgriffen. Eine Einschränkung der Suchbarkeit konnte nur durch aktive Veränderung der Suchbarkeitseinstellungen durch den Nutzer selbst herbeigeführt werden. Datenschutzfreundlichere Einstellungsoptionen - insbesondere die erst 2019 eingeführte Suchbarkeitsoption „nur ich“ - wurden nur als Opt out-Lösungen angeboten, obwohl die Nutzbarkeit des sozialen Netzwerks als solche hiervon nicht abhing, da eine Suche auch über die Eingabe des Namens möglich gewesen wäre (vgl. BGH, GRUR 2024, 1910 Rn. 90). Diese gegen Art. 5 Abs. 1 Buchst. c, Art. 25 Abs. 2 DSGVO verstoßenden Voreinstellungen waren weder erforderlich (Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO) noch von einer wirksamen Einwilligung der Klagepartei gedeckt (Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO) (siehe insofern BGH, GRUR 2024, 1910 Rn. 91). Es ist weder dargetan noch ersichtlich, dass die Beklagte die Klagepartei im Zuge des Registrierungsverfahrens transparent, d.h. in verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache (Art. 7 Abs. 2, Erwgr. 42 DSGVO), um Einwilligung ersucht und die Klagepartei ihre Einwilligungserklärung auf dieser Grundlage in informierter Weise und unmissverständlich abgegeben hätte (Art. 4 Nr. 11 DSGVO), und dass die Einwilligungserklärung freiwillig erfolgt wäre (Art. 7 Abs. 4, Erwgr. 42, 43 DSGVO). Gegen eine freiwillige Einwilligung spricht auch, dass die Beklagte auf dem Markt für soziale Netzwerke eine beherrschende Stellung innehat (vgl. insgesamt BGH, GRUR 2024, 1910 Rn. 44 mwN). Der Umstand, dass sich eine wirksame Einwilligung der Klagepartei in die datenschutzwidrige Verarbeitung ihrer Daten nicht feststellen lässt, geht zu Lasten der hierfür darlegungs- und beweisbelasteten Beklagten. c) Durch die Datenschutzverstöße der Beklagten hat die Klagepartei einen Kontrollverlust erlitten, der als immaterieller Schaden im Sinne von Art. 82 DSGVO zu werten ist. Schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten stellt einen immateriellen Schaden dar, ohne dass der Nachweis zusätzlicher spürbarer negativer Folgen erforderlich ist (vgl. BGH, GRUR 2024, 1910 Rn. 30 f. mwN; Urt. v 11.02.2025 - VI ZR 365/22, juris Rn. 14 f.; siehe auch Urt. v. 28.01.2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 12 f.). Allerdings muss die betroffene Person nachweisen, dass sie einen solchen in einem bloßen Kontrollverlust bestehenden Schaden erlitten hat (vgl. BGH, GRUR 2024, 1910 Rn. 31 mwN). Dies steht vorliegend aufgrund des von der Klagepartei wiedergegebenen sog. Leak-Datensatzes mit ihrer Facebook-Nutzer-ID, ihrer Mobilfunknummer, ihrem Vor- und Nachnamen, Geschlecht, Wohnort und (u.a.) Arbeitgeber fest (§ 286 Abs. 1 ZPO; vgl. S. 1 des Schriftsatzes vom 30.05.2023, GA 119). Es besteht kein Hinweis darauf, dass diese Daten nicht aus dem Scraping-Vorfall bei der Beklagten stammten oder der Datensatz nicht authentisch wäre (vgl. auch die vorgerichtliche Auskunft der Beklagten in Anlage B16, Anlagenband zum SS v 25.07.2023). Mithilfe des Kontaktimporttools wurde bei dem Scraping-Vorfall die Mobilfunknummer der Klagepartei ermittelt und (u.a.) mit ihrem Vor- und Nachnamen verknüpft. Die zusammengeführten Daten wurden im sog. Darknet veröffentlicht, ohne dass sich feststellen ließe, dass die Klagepartei wirksam in eine damit verbundene Verarbeitung (Bereitstellung) ihrer personenbezogenen Daten durch die Beklagte eingewilligt hätte Ob die Klagepartei ihre Telefonnummer vorher schon bestimmten Empfängern mitgeteilt hatte, kann dahingestellt bleiben. Der durch das Scraping und die dauerhafte Preisgabe der mit ihrem Namen verknüpften Telefonnummer im Internet (Darknet) einhergehende Kontrollverlust unterscheidet sich wesentlich von den Risiken, die mit einer bewussten und zielgerichteten Weitergabe der Telefonnummer an bestimmte Empfänger verbunden sind. Das Risiko, auch Dritte könnten Daten der Klagepartei nicht datenschutzkonform verarbeiten, steht - solange es sich nicht vor dem Eintritt des Scraping-Vorfalls verwirklicht hatte - der Annahme eines Kontrollverlusts nicht entgegen (vgl. BGH, GRUR 2024, 1910 Rn. 42). Es ist auch nicht ersichtlich, dass die zusammengeführten und im Darknet veröffentlichten Daten der Klagepartei bereits vor dem Scraping-Vorfall in entsprechender Weise im Internet abrufbar gewesen wären, so dass zuvor schon ein vergleichbares Risiko eines Datenmissbrauchs durch Dritte bestanden hätte. Zwar hat die Beklagte zuletzt darauf verwiesen, personenbezogene Daten der Klagepartei, unter anderem ihr vollständiger Name, Herkunfts- und Wohnort, Beziehungsstatus, Beruf und Arbeitsplatz ließen sich unschwer über Google im Internet auffinden (vgl. S. 23 f. des Schriftsatzes vom 16.04.2025, EA 564 f.). Abgesehen davon, dass dies für die streitgegenständliche Mobilfunknummer („[…]567“) nicht dargetan und auch nicht erkennbar ist (im zweiten Screenshot ist die andere (wohl Festnetz-)Nummer „[…] 905“ enthalten), hat die Klagepartei bestritten, dass die betreffenden Daten bereits zum streitgegenständlichen Zeitpunkt („sprich im Jahr 2019“) im Internet öffentlich zugänglich waren. Auch mit diesem Verteidigungsvorbringen ist die Beklagte damit gemäß § 531 Abs. 1 Satz 1 ZPO präkludiert. Unabhängig davon ist eine derartige Veröffentlichung personenbezogener Daten ebenfalls nicht mit dem gänzlich unkontrollierten Abfließen und Zugänglichmachen des Namens der Klagepartei verknüpft mit ihrer Telefonnummer in illegalen, frei zugänglichen Internetkanälen in einer Sammlung mit einer Vielzahl weiterer entsprechender Datensätze vergleichbar. Das Risiko eines Datenmissbrauchs ist insoweit deutlich höher, auch besteht für die Klagepartei keine Möglichkeit, den durch das Scraping gewonnenen Datensatz wieder aus dem Internet zu entfernen. d) Durch die Datenschutzverstöße der Beklagten hat sich die Klagepartei über den eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinaus - als Teil des nach Art. 82 DSGVO zu kompensierenden Schadens - nach Einschätzung des Senats begründeten Befürchtungen ausgesetzt gesehen, Dritte könnten ihre im Darknet veröffentlichten Daten, insbesondere ihre Telefonnummer, missbräuchlich verwenden. aa) Die Klagepartei hat - von der Beklagten insgesamt bestritten - behauptet hat, sie sei wegen des Scraping-Vorfalls in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch der ihn betreffenden Daten verblieben. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Seit dem Vorfall erhalte sie unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und Phishing-Attacken. Das habe dazu geführt, dass sie nur noch mit äußerster Vorsicht auf jegliche E-Mails und Nachrichten reagieren könne und jedes Mal einen Betrug fürchte und Unsicherheit verspüre. bb) Der Senat hält es - ohne dass es einer Beweisaufnahme bedarf - mit dem für die Schadenszumessung genügenden „Beweismaß“ des § 287 ZPO für überwiegend wahrscheinlich, dass die Klagepartei jedenfalls die begründete Befürchtung, Dritte könnten ihre im Darknet veröffentlichten Daten, insbesondere ihre Telefonnummer, missbräuchlich verwenden (vgl. insofern BGH, GRUR 2024, 1910 Rn. 32 mwN), und damit korrespondierende psychische Beeinträchtigungen erlitten hat. (1) Diese Feststellung erfordert keine Beweiserhebung am Maßstab des § 286 ZPO. Die Bemessung des Schadensersatzes aus Art. 82 Abs. 1 DSGVO richtet sich nach nationalem Recht. Zwar ist in Deutschland für Umstände, die zur haftungsbegründenden Kausalität gehören, § 286 ZPO maßgeblich. Soweit es um die haftungsausfüllende Kausalität geht, ist aber die Verfahrensvorschrift des § 287 ZPO anwendbar (vgl. BGH, GRUR 2024, 1910 Rn. 93 mwN), die dann nicht nur für die Höhe des Schadens gilt, sondern auch für die Frage, ob überhaupt ein (weiterer) Schaden entstanden ist (vgl. z.B. BGH, Urt. v 12.07.2016 - KZR 25/14, NJW 2016, 3527 Rn. 42 mwN - Lottoblock II; GRUR 2024, 1910 Rn. 84). Bei deliktischen oder vertraglichen Schadensersatzansprüchen, die die Verletzung eines Rechtsguts voraussetzen, gehört die primäre Rechtsgutverletzung zur haftungsbegründenden Kausalität und die Ursächlichkeit der Verletzungshandlung für alle weiteren (Folge-)Schäden einschließlich der fehlerbedingten Verschlimmerung von Vorschäden zur haftungsausfüllenden Kausalität (BGH, Urt. v. 12.02.2008 - VI ZR 221/06, NJW 2008, 1381 Rn. 9). Entsteht ein Schadensersatzanspruch dagegen unabhängig von der Verletzung eines Rechtsguts, ist bereits der erste Schaden der haftungsausfüllenden Kausalität zuzuordnen (BGH, NJW 2016, 3527 Rn. 42 mwN - Lottoblock II). Vorliegend kann dahinstehen, ob Schadensersatzansprüche nach Art. 82 DSGVO eine entsprechende Rechtsgutsverletzung voraussetzen. Eine solche ist hier jedenfalls eingetreten. Die Beklagte hat das Recht der Klagepartei auf Schutz ihrer personenbezogenen Daten (Art. 8 GrCH, vgl. Art. 1 Abs. 2 DSGVO) bzw. auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG), und damit ihr allgemeinen Persönlichkeitsrecht als ein sonstiges absolut geschütztes Rechtsgut im Sinne von § 823 Abs. 1 BGB verletzt (vgl. BGH, GRUR 2024, 1910 Rn. 48). Mit dem festgestellten Kontrollverlust über die abgeflossenen und im Darknet veröffentlichten personenbezogenen Daten ist auch bereits ein immaterieller Schaden eingetreten (vgl. z.B. BGH, GRUR 2024, 1910 Rn. 31). Daher stellen sich die weiteren, die immaterielle Schadensersatzverpflichtung erhöhenden psychischen Beeinträchtigungen als weitere Schadenspositionen dar, für deren Zubilligung das Beweismaß des § 287 ZPO und damit zur Überzeugungsbildung eine überwiegende Wahrscheinlichkeit genügt (vgl. insofern BGH, NJW 2008, 1381 Rn. 9 mwN). (2) Gemessen daran erscheint die begründete Befürchtung eines Datenmissbrauchs zumindest überwiegend wahrscheinlich. Die Telefonnummer der Klagepartei wurde verknüpft mit (u.a.) deren Vor- und Nachnamen in einer Sammlung mit entsprechenden Daten anderer Facebook-Nutzer im Darknet veröffentlicht. Das Risiko einer missbräuchlichen, insbesondere betrügerischen, Nutzung dieser Daten liegt insofern besonders nahe, zumal für die Klagepartei keine Möglichkeit besteht, ihre Daten aus dem Darknet und etwaigen weiteren „dunklen Kanälen“ zu entfernen und zu verhindern, dass diese „in die falschen Hände“ geraten. (3) Bei dieser Sachlage bedarf es weder einer Vernehmung der Klagepartei zu den behaupteten Befürchtungen noch ihrer Anhörung. (a) Eine Parteivernehmung nach § 448 ZPO setzt u.a. einen Anfangsbeweis voraus. Danach darf die beweispflichtige Partei nur dann nach § 448 ZPO förmlich vernommen werden, wenn für die Richtigkeit ihrer Darstellung eine gewisse Wahrscheinlichkeit spricht, sei es auch ohne Beweisaufnahme nur aufgrund der Lebenserfahrung (BGH, Urt. v. 24.04.1991 - IV ZR 172/90, juris Rn. 20). Die gewisse, hier überwiegende, Wahrscheinlichkeit genügt im Rahmen des § 287 ZPO aber bereits zur Überzeugungsbildung von dem (weiteren) Schadenseintritt. Sie erübrigt damit die Parteivernehmung. (b) Eine persönliche Anhörung der Klagepartei, die der Bundesgerichtshof in seiner Entscheidung über den auch hier streitgegenständlichen Scraping-Vorfall bei der Beklagten „gegebenenfalls“ für notwendig erachtet hat, ist ebenfalls nicht erforderlich. Die Parteianhörung ist im Gegensatz zur Parteivernehmung kein Beweismittel (BGH, Urt. v. 16.10.1987 - V ZR 170/86, NJW-RR 1988, 394, 395 mwN [juris Rn. 11]). Dem Tatrichter ist es selbst im Anwendungsbereich des § 286 ZPO grundsätzlich erlaubt, allein aufgrund des Vortrags der Parteien und ohne Beweiserhebung festzustellen, was für wahr und was für nicht wahr zu erachten ist. Er kann dabei im Rahmen der freien Würdigung des Verhandlungsergebnisses den Behauptungen und Angaben einer Partei unter Umständen auch dann glauben, wenn diese ihre Richtigkeit sonst nicht - auch nicht mittels Parteivernehmung, weil es an der erforderlichen Anfangswahrscheinlichkeit fehlt - beweisen kann, und ihr im Einzelfall sogar den Vorzug vor den Bekundungen eines Zeugen oder des als Partei vernommenen Prozessgegners geben (BGH, Urt. v. 27.09.2017 - XII ZR 48/17, juris Rn. 12). Diese Grundsätze gelten insbesondere für den Nachweis innerer Tatsachen wie beispielsweise von Entscheidungskonflikten (vgl. BGH, Urt. v. 21.06.2022 - VI ZR 310/21, juris Rn. 10). Insofern wird das Gericht - auch im Rahmen des nach § 287 Abs. 1 Satz 2 ZPO eingeräumten weiten Ermessens über das Ob und den Umfang einer Beweisaufnahme - die Klagepartei nicht anhören müssen, wenn es den Anspruch für überwiegend wahrscheinlich hält. Denn § 287 ZPO soll dem von einer rechtswidrigen Handlung Betroffenen die Darlegung und den Nachweis seines Schadens erleichtern (BGH, Beschl. v. 15.12.2020 - XI ZB 24/16, juris Rn. 75). bb) Der Umstand, dass die Klagepartei nur noch mit äußerster Vorsicht auf Textnachrichten (SMS) und E-Mails reagieren mag, verstärkt die durch den Datenschutzverstoß der Beklagten eingetretene immaterielle Beeinträchtigung nicht merklich. Dabei handelt es sich um eine Unannehmlichkeit, wie sie nicht nur jeden Betroffenen des Scraping-Vorfalls trifft, weil eine entsprechende Vorsicht wegen des niemals auszuschließenden Risikos eines Datenmissbrauchs im Internet immer angezeigt ist. cc) Soweit die Klagepartei behauptet hat, sie habe Zeit und Mühe aufgewendet, indem sie sich mit dem „Datenleak“ auseinandersetzen, den Sachverhalt ermitteln, sich um eine Auskunft der Beklagten kümmern und selbst weitere Maßnahmen habe ergreifen müssen, ist nicht ersichtlich, welchen erheblichen Eigenaufwand sie insoweit neben den von ihr bereits vorgerichtlich mandatierten Prozessbevollmächtigten gehabt hätte. Jedenfalls fällt dieser Aufwand - soweit er überhaupt immaterielle Beeinträchtigungen begründen kann - neben dem Kontrollverlust und der begründeten Befürchtung eines Datenmissbrauchs nicht erheblich ins Gewicht. dd) Auf die Frage, ob die Klagepartei über die begründeten Befürchtungen eines Datenmissbrauchs hinaus psychische Beeinträchtigungen wie etwa großes Unwohlsein, große Sorge oder Ängste erlitten hat, kommt es nicht an. Hätte die Klagepartei tatsächlich derart erhebliche psychische Beeinträchtigungen davongetragen, müsste sie sich nach § 254 BGB ein überwiegendes Mitverschulden anrechnen lassen (vgl. insofern z.B. OLG Frankfurt am Main, Beschl. v 02.07.2024 - 6 U 41/24, WRP 2025, 90 Rn. 20 [juris Rn. 31]). In dem Fall hätte sie die schwere Beeinträchtigung maßgeblich mitverursacht, indem sie ihre im Darknet veröffentlichte Telefonnummer nicht zeitnah geändert hat, um sich von den großen Sorgen oder vielleicht sogar echten Ängsten zu befreien (§ 254 Abs. 2 Satz 1 BGB). ee) Soweit die Klagepartei ihren Anspruch zusätzlich auf einen Verstoß gegen Benachrichtigungs- und Meldepflichten stützt, fehlt es jedenfalls an der Ursächlichkeit für den geltend gemachten Schaden (vgl. BGH, GRUR 2024, 1910 Rn. 26). e) Der Senat schätzt den immateriellen Schaden der Klagepartei der Höhe nach auf insgesamt 200 Euro (§ 287 ZPO). Der Senat hält als notwendigen Ausgleich für den eingetretenen Kontrollverlust als solchen einen Schadensersatzbetrag in Höhe von 100 Euro für angemessen (siehe auch BGH, GRUR 2024, 1910 Rn. 100, der keine Bedenken gegen eine Entschädigung in dieser Größenordnung hat). Die vom Scraping betroffenen personenbezogenen Daten der Klagepartei gehören nicht zu den besonders sensiblen Daten im Sinne von Art. 9 Abs. 1 DSGVO (vgl. auch BGH, GRUR 2024, 1910 Rn. 42, 99). Zwar waren bzw. sind die kombinierten Daten der Klagpartei einschließlich ihrer Telefonnummer einem unbegrenzten Empfängerkreis über einen längeren Zeitraum im Internet zugänglich gewesen. Allerdings hätte die Klagepartei die Kontrolle über ihre Daten mit verhältnismäßig geringem Aufwand wiedererlangen können, indem sie ihre Rufnummer wechselt (vgl. BGH, GRUR 2024, 1910 Rn. 99). Es ist nicht ersichtlich, dass Dritte allein mit ihrem Vor- und Nachnamen, ihrer Facebook-ID und den weiteren personenbezogenen Angaben im Leak-Datensatz ohne ihre Mobilfunknummer vergleichbar Missbrauch betreiben könnten. Davon ausgehend rechtfertigt insbesondere die vom Senat im Rahmen seines Schätzungsermessens (§ 287 ZPO) angenommene begründete Befürchtung der Klagepartei, ihre im Darknet und etwaigen weiteren „dunklen Kanälen“ veröffentlichen Daten könnten missbräuchlich verwendet werden, die Annahme eines (geschätzten) Gesamtschadens von 200 Euro. Dabei ist bereits mitberücksichtigt, dass die Klagepartei mit der Mandatierung ihrer Prozessbevollmächtigten jedenfalls gewissen (lästigen) Zusatzaufwand gehabt hat, ohne dass es darauf ankäme, ob eine solcher Zeitaufwand für sich betrachtet einen Anspruch auf immateriellen Schaden begründen kann. Ein höherer Schadensersatz kommt vorliegend nicht in Betracht. Die auf Art. 82 DSGVO gestützte Entschädigung in Geld soll den konkret erlittenen Schaden in vollem Umfang ausgleichen. Sie hat keine Abschreckungs- oder Straffunktion (vgl. z.B. BGH, GRUR 2024, 1910 Rn. 96 mwN). Daher dürfen etwa die Schwere des Verstoßes des Verantwortlichen gegen die Datenschutzgrundverordnung und der Umstand, dass dieser gegebenenfalls mehrere Verstöße gegenüber derselben Person begangen hat, nicht berücksichtigt werden (vgl. BGH; GRUR 2024, 1910 Rn. 96 mwN). Für einen höher zu bewertenden immateriellen Schaden besteht im Streitfall keine Grundlage. Zwar darf die Entschädigung nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausginge. Ist der Schaden - wie hier - gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen (vgl. BGH, GRUR 2024, 1910 Rn. 97 mwN). Eine andere Bewertung ist nicht deshalb geboten, weil der Gerichtshof der Europäischen Union Art. 82 Abs. 1 DSGVO dahin auslegt, dass ein durch die Verletzung personenbezogener Daten verursachter Schaden „seiner Natur nach“ nicht weniger schwerwiegend ist als eine Körperverletzung (vgl. auch BGH, GRUR 2024, 1910 Rn. 97 mwN). Der Gerichtshof geht insoweit lediglich davon aus, die grundsätzliche Annahme, eine Körperverletzung wiege „von Natur aus“ schwerer als ein immaterieller Schaden, könnte den Grundsatz eines vollständigen und wirksamen Schadensersatzes für erlittene Schäden in Frage stellen; in Bezug auf die Höhe des Schadens könne daher nicht generell davon ausgegangen werden, der Schaden sei seiner Natur nach weniger schwerwiegend als eine Körperverletzung (vgl. z.B. EuGH, Urt. v 20.06.2024 - C-182/22 und C-189/22, NJW 2024, 2599 Rn. 38 f. - Scalable Capital; Urt. v 04.10.2024 - C-507/23, GRUR-RS 2024, 26255 Rn. 151). Dies schließt nicht aus, dass der immaterielle Schaden im Einzelfall weniger schwer wiegt als eine (leichte) Körperverletzung. f) Der Anspruch auf Prozesszinsen seit dem 21.02.2023 folgt aus § 291 bzw. § 286 Abs. 1 Satz 2 i.V.m. §§ 288 Abs. 2, 247, 187 Abs. 1 (analog) BGB. Die Klage ist der Beklagten am 20.02.2023 zugestellt worden (GA 101). 2. Die Klagepartei hat auch Anspruch auf die Feststellung der Verpflichtung der Beklagten, ihr alle künftigen materiellen und derzeit noch nicht vorhersehbaren immateriellen Schäden zu erstatten. Aufgrund des Verstoßes gegen die Datenschutzgrundverordnung und die Verletzung der Klagepartei in ihrem Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG) bzw. auf Schutz ihrer personenbezogenen Daten (Art. 8 GRCh) besteht (insbesondere) bei fortdauernder Veröffentlichung der personenbezogenen Daten der Klagepartei (v.a. ihres vollständigen Namens in Verbindung mit ihrer Telefonnummer) die nicht rein theoretische Möglichkeit künftiger Schäden (siehe insofern BGH, GRUR 2024, 1910 Rn. 48 f.). Dafür, dass die Daten nicht mehr öffentlich zugänglich wären, besteht kein Anhaltspunkt. In dem Fall wäre auch nicht auszuschließen, dass Dritte die Daten bereits anderswo zu missbräuchlichen Zwecken gespeichert haben, wie dies die Klagepartei zuletzt dargetan hat (vgl. S. 12 ihres Schriftsatzes vom 17.04.2025, EA 593) 3. Die Klagepartei kann gemäß dem Antrag zu 3 a) Unterlassung verlangen. a) Es besteht jedenfalls ein vertraglicher Unterlassungsanspruch wegen der Verletzung einer aus § 241 Abs. 2 BGB folgenden Rücksichtnahmepflicht (vgl. BGH, Urt. v. 02.05.2024 - I ZR 12/23, GRUR 2024, 948 Rn. 13 ff. mwN - Tierkrankenwagen). aa) Nach § 241 Abs. 2 BGB kann ein Schuldverhältnis einen Teil zur Rücksichtnahme auf die Rechte, Rechtsgüter und Interessen des anderen Teils verpflichten. Der zwischen der Klagepartei und der Beklagten durch die Registrierung der Klagepartei in dem sozialen Netzwerk der Beklagten zustande gekommene Nutzungsvertrag stellt ein solches Schuldverhältnis dar. Wesentlicher Gegenstand dieses Nutzungsvertrages war die Einstellung von persönlichen Daten der Klagepartei im sozialen Netzwerk der Beklagten. Die für die Registrierung erforderliche die Angabe des Vor- und Nachnamens und des Geschlechts der Nutzer sowie die Nutzer-lD waren dabei stets öffentlich einsehbar. Der Schutz personenbezogener Daten bei der Datenverarbeitung ist ein Interesse des Einzelnen, bei dessen Verletzung ein in „seiner Natur“ nicht weniger schwerwiegender Schaden als bei einer Körperverletzung entstehen kann (vgl. z.B. BGH, GRUR 2024, 1910 Rn. 97 mwN). Erhebt, verarbeitet und speichert ein Vertragspartner personenbezogene Daten des anderen Vertragspartners zum Zwecke der Vertragserfüllung (hier Betrieb und Nutzung eines sozialen Netzwerkes), trifft ihn zum Schutz dieses Rechtsguts aus § 241 Abs. 2 BGB die Verpflichtung, bei der vertraglich vereinbarten Datenverarbeitung die zwingenden Vorgaben der DSGVO einzuhalten. Wie die Bieter und Bewerber in Vergabeverfahren ein von § 241 Abs. 2 BGB geschütztes Interesse an einer vergaberechtskonformen Ausschreibung haben (vgl. BGH, Urt. v. 09.06.2011 - Az. X ZR 143/10, WM 2012, 228 Rn. 11 f. - Rettungsdienstleistungen II; Urt. v. 05.06.2012 - Az. X ZR 161/11, WM 2013, 1140 Rn. 8 - Fachpersonalklausel), haben die Inhaber personenbezogener Daten ein von § 241 Abs. 2 BGB geschütztes Interesse an einer gesetzeskonformen Verarbeitung ihrer Daten im Rahmen des Vertragsverhältnisses. Aus diesem von § 241 Abs. 2 BGB geschützten Interesse folgt im Fall der Verletzung der hierauf ausgerichteten - nicht ausdrücklich vereinbarten und gesetzlich nicht ausdrücklich normierten - Rücksichtnahmepflichten ein Unterlassungsanspruch (vgl. BGH, GRUR 2024, 948 Rn.15 mwN - Tierkrankenwagen). Dies gilt jedenfalls, solange das Nutzerverhältnis besteht (siehe dagegen z.B. BGH, Urt v. 11.09.2008 - I ZR 74/06, juris Rn. 16 f. - bundesligakarten.de; Urt. v 05.06.2012 - X ZR 161/11, juris Rn. 14 ff. - Fachpersonalklausel, zum fehlenden Anspruch auf Unterlassung der Verletzung künftiger, noch nicht geschlossener Verträge). Ein Unterlassungsanspruch aus §§ 280, 249 BGB nur für die Dauer der Verletzungshandlung würde dem Recht der Nutzer auf Schutz ihrer personenbezogenen Daten (Art. 8 GRCh) bzw. auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m Art. 1 Abs. 1 GG) nicht hinreichend gerecht (siehe auch BGH, Urt. v. 08.11.2022 - II ZR 91/21, GmbHR 2023, 334 Rn. 64). bb) Im Streitfall hat die Beklagte die Daten der Klagepartei, wie oben bereits dargetan wurde, nicht datenschutzkonform verarbeitet. Sie hat jedenfalls bis September 2019 gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) verstoßen und personenbezogene Daten der Klagepartei ohne wirksame Einwilligung verarbeitet (bereitgestellt). b) Für die auch für einen vertraglichen Unterlassungsanspruch erforderliche Begehungsgefahr (vgl. z.B. BGH, Urt. v 29.07.2021 - III ZR 179/20, NJW 2021, 3179 Rn. 103 - Hassredevorwurf; GRUR 2024, 948 Rn. 14 - Tierkrankenwagen) spricht vorliegend aufgrund der begangenen Pflichtverletzung eine tatsächliche Vermutung (vgl. z.B. BGH, NJW 2021, 3179 Rn. 103 mwN - Hassredevorwurf). Die Wiederholungsgefahr ist nicht dadurch widerlegt, dass die Beklagte die Voreinstellungen und das Kontaktimporttool geändert haben mag. Eine Änderung der tatsächlichen Verhältnisse berührt die Wiederholungsgefahr nur dann, wenn durch sie jede Wahrscheinlichkeit für eine Aufnahme des unzulässigen Verhaltens durch den Verletzer beseitigt ist (vgl. z.B. BGH, Urt. v 04.07.2019 - I ZR 161/18, GRUR 2020, 299 Rn. 19 mwN - IVD-Gütesiegel; Urt. v 05.03.2020 - I ZR 32/19, GRUR 2020, 738 Rn. 67 - Internet-Radiorecorder). Dies ist nicht der Fall. Die Beklagte könnte jederzeit zu den ursprünglichen Einstellungen zurückkehren. Soweit sich der Antrag zu 3 a) mit dem Beziehungsstatus auf einen Datenpunkt bezieht, der nicht erkennbar Teil des Nutzerprofils der Klagpartei und damit vom Scraping-Vorfall betroffen war, enthält der „insbesondere“-Halbsatz eine rein beispielhafte Aufzählung von personenbezogenen Nutzerdaten, die nach der Voreinstellung der Beklagten bei Einstellen in das Profil im Verletzungszeitraum öffentlich sichtbar waren. Es handelt es sich um eine in den Kernbereich der konkreten Verletzungsform fallende Verallgemeinerung (dazu, dass sich die Vermutung der Wiederholungsgefahr auch auf kerngleiche Verletzungshandlungen erstreckt, vgl. z.B. BGH, Urt. v. 23.01.2024 - I ZR 147/22, GRUR 2024, 319 Rn. 50 mwN - Eindrehpapier). 4. Die Klagepartei kann aufgrund der bestehenden vertraglichen Beziehungen zur Beklagten ferner verlangen, dass diese es unterlässt, die Telefonnummer der Klagepartei auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde (Antrag 3 b)). Der Unterlassungsanspruch ergibt sich als vertraglicher Anspruch wegen der Verletzung einer aus § 241 Abs. 2 BGB folgenden Rücksichtnahmepflicht. Wie oben bereits dargetan wurde, war die Verarbeitung der Telefonnummer der Klagepartei nicht von einer wirksamen Einwilligung gedeckt (Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO) (siehe insofern BGH, GRUR 2024, 1910 Rn. 91). Es ist weder dargetan noch ersichtlich, dass die Beklagte die Klagepartei in verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache über den Umstand informiert hätte, dass mit ihrer Telefonnummer selbst dann über das Kontaktimporttool nach ihrem Profil gesucht werden kann, wenn diese dort entsprechend der Voreinstellung der Beklagten nicht sichtbar ist. Soweit die im Zusammenhang mit dem Unterlassungsantrag zu 3 b) aufgeworfenen Rechtsfragen nicht schon durch das Urteil des Bundesgerichtshofs entschieden sind (BGH, GRUR 2024, 1910 Rn. 59 bis 71), wird auf die obenstehenden Ausführungen Bezug genommen. 6. Für die Gewährung des von dem Unterbevollmächtigten der Klagepartei in der Berufungsverhandlung vorsorglich beantragten Schriftsatznachlasses auf den Beklagtenschriftsatz vom 24.04.2025 (EA 622 ff.) besteht kein Grund. Dieser Schriftsatz enthält keinen neuen erheblichen Sach- oder Rechtsvortrag. III. Die prozessualen Nebenentscheidungen beruhen auf §§ 92 Abs. 1, 708 Nr. 10, 711, 713 ZPO. IV. Der Streitwert wird entsprechend den vom Bundesgerichtshof für die sog. Scraping-Verfahren aufgestellten Grundsätzen für die erste Instanz in teilweiser Abänderung des der Streitwertfestsetzung mit Beschluss vom 26.10.2023 (GA 517; vgl. § 63 Abs. 3 Satz 1 Nr. 2 GKG) auf 3.000 Euro festgesetzt, von denen 1.000 Euro auf den Zahlungsantrag, insgesamt 1.500 Euro auf die Unterlassungsanträge und 500 Euro auf den Auskunftsantrag entfallen (vgl. BGH, Beschl. v. 10.12.2024 - VI ZR 7/24, GRUR 2025, 269 Rn. 13 ff.; Beschl. v. 10.12.2024 - VI ZR 22/24, juris Rn. 12 ff.). In der Berufungsinstanz hat der Streitwert wegen des zunächst unbedingt gestellten Feststellungsantrags anfänglich 3.500 Euro betragen. Durch die Rücknahme der Berufung gegen die Abweisung des Auskunftsantrags hat er sich vor der Berufungsverhandlung auf 3.000 Euro reduziert. V. Für die Zulassung der Revision besteht kein Anlass. Die Voraussetzungen des § 543 Abs. 2 Satz 1 ZPO liegen nicht vor.