3 U 145/24

Leitsatz: 1. Der Annahme eines Kontrollverlusts an einem persönlichen in einem sozialen Netzwerk nicht öffentlich einsehbaren Datum durch einen Scraping-Vorfall steht nicht entgegen, dass der Nutzer dieses Datum schon außerhalb des Netzwerks bestimmten, von ihm bewusst ausgewählten, Empfängern bekannt gemacht hat (anders OLG Hamm, Urteil vom 5. November 2024 - I-7 U 83/24, juris, Rn. 37 für das personenbezogene Datum "Telefonnummer" bei früherem sorglosen Umgang).(Rn.24) 2. Der Antrag, es zu unterlassen, nicht durch Vertrag mit dem Netzwerkbetreiber oder Gesetz legitimierten Dritten nichtöffentliche personenbezogene Nutzerdaten über eine Software zum Importieren von Kontakten aufgrund einer von der Betreiberin eines sozialen Netzwerks gewählten datenschutzwidrigen Voreinstellung zugänglich zu machen, ist zulässig, insbesondere hinreichend bestimmt (Anschluss an BGH, Urteil vom 18. November 2024 - VI ZR 10/24, juris, Rn. 56, 58).(Rn.4) (Rn.37) 3. Die sich aus der datenschutzwidrigen Verarbeitung ergebende Verletzung des Rechts auf informationelle Selbststimmung (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG) ist geeignet, einen Unterlassungsanspruch des Nutzers aus § 280 Abs. 1 BGB i. V. m. § 241 Abs. 2 BGB und dem zwischen ihm und dem Netzwerkbetreiber geschlossenen Vertrag zu begründen. Die Wiederholungsgefahr ist nicht ausgeräumt, wenn die Betreiberin des sozialen Netzwerks den Datenschutzverstoß zwar abgestellt hat, sich gleichwohl aber ausdrücklich als zu dem inkriminierten Verhalten berechtigt ansieht.(Rn.45) 4. Die erkennbar generalisierende Erläuterung des Betreibers eines sozialen Netzwerks zur "möglichen" Nutzung personenbezogener Daten kann kein Rechtsschutzbedürfnis des Nutzers für einen Antrag begründen, der auf die Unterlassung eines Verhaltens gerichtet ist, das er selbst durch den Widerruf einer etwa erteilten Einwilligung oder Ausübung angebotener Einstellungsmöglichkeiten abstellen kann.(Rn.55) I. Auf die Berufung der Klägerin wird das Urteil der 4. Zivilkammer des Landgerichts Koblenz vom 15.01.2024, Az. 4 O 229/22, teilweise abgeändert und insgesamt wie folgt neu gefasst: 1. Die Beklagte wird verurteilt, an die Klägerin 100,00 € nebst Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit 22.10.2022 zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerin alle materiellen künftigen Schäden zu ersetzen, die ihr durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten im Jahr 2019 entstanden sind und / oder noch entstehen werden. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, aufgrund einer von ihr gesetzten Voreinstellung personenbezogene Daten der Klägerin, insbesondere die Telefonnummer oder sonstige nichtöffentliche Datenpunkte Dritten, die nicht aufgrund eines Vertrages oder Gesetzes gegenüber der Beklagten hierzu berechtigt sind, namentlich Hackern oder Scrapern, über eine Software zum Importieren von Kontakten zugänglich zu machen, wie geschehen anlässlich des sogenannten F.-Datenleaks im Jahr 2019. 4. Die Beklagte wird verurteilt, an die Klägerin vorgerichtliche Rechtsverfolgungskosten von 220,27 € nebst Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit 22.10.2022 zu zahlen. 5. Im Übrigen wird die Klage abgewiesen. II. Im Übrigen wird die Berufung der Klägerin zurückgewiesen. III. Von den Kosten des Rechtsstreits erster und zweiter Instanz haben die Klägerin 67,5 % und die Beklagte 32,5 % zu tragen. IV. Dieses und das angefochtene Urteil, soweit es Bestand hat, sind vorläufig vollstreckbar. V. Der Streitwert für das Berufungsverfahren wird auf 8.000,00 € festgesetzt. I. Die Klägerin begehrt von der Beklagten wegen eines sogenannten Scraping-Vorfalls auf der von ihr betriebenen Plattform „F.“ (dem Abgreifen von personenbezogenen Daten aus dem dort implementierten Kontakt-Import-Tool) – soweit nach vollständiger Klageabweisung durch das Landgericht für das Berufungsverfahren noch von Interesse – Zahlung immateriellen Schadensersatzes, die Feststellung der Verpflichtung der Beklagten, ihm weitere künftige Schäden, die durch den Zugriff auf deren Datenarchiv entstanden sind, zu ersetzen, Unterlassung sowie die Erstattung von Kosten vorgerichtlicher anwaltlicher Vertretung. Einer Darstellung tatsächlicher Feststellungen i. S. d. § 540 Abs. 1 Satz 1 Nr. 1 ZPO bedarf es darüber hinaus nicht, weil ein Rechtsmittel gegen das Urteil unzweifelhaft nicht zulässig ist, §§ 540 Abs. 2, 313a Abs. 1 Satz 1 ZPO i. V. m. §§ 543, 544 Abs. 1 Nr. 1 ZPO. II. Die zulässige Berufung des Klägers ist im tenorierten Umfang begründet. Die Klage ist zulässig, insbesondere ist die internationale Zuständigkeit deutscher Gerichte gegeben. Diese folgt aus Art. 82 Abs. 6 i. V. m. Art. 79 Abs. 2 Satz 1 VO (EU) 2016/679 („DSGVO“), da die Klägerin als betroffene Person ihren gewöhnlichen Aufenthalt in Deutschland hat (BGH, Urteil vom 18.11.2024, VI ZR 10/24, GRUR-RS 2024, 1910, Rn. 20). Die Klägerin kann die Zahlung eines immateriellen Schadensersatzes verlangen. Soweit ihr Begehren den Betrag von 100,00 € übersteigt, ist ihre Berufung jedoch unbegründet (1.). Ferner steht ihr der geltend gemachte Feststellungsanspruch zu (2.). Außerdem hat sie Anspruch auf Unterlassung, wie mit dem Antrag zu 3. in der zuletzt gestellten Fassung (vgl. Schriftsatz vom 10.01.2025) begehrt (3.). Hinsichtlich des Unterlassungsantrages zu 4. ist die Berufung unbegründet (4.). Schließlich kann die Klägerin die Erstattung vorgerichtlicher Rechtsverfolgungskosten in Höhe von 220,27 € beanspruchen (5.). Die Zahlungsansprüche sind antragsgemäß zu verzinsen (6.). Im Einzelnen: 1. Der Anspruch der Klägerin auf Zahlung eines immateriellen Schadensersatzes von 100,00 € ergibt sich aus Art. 82 Abs. 1 DSGVO. Danach hat innerhalb des räumlichen, sachlichen und zeitlichen Anwendungsbereichs der DSGVO (a.) gegen den für die Datenverarbeitung Verantwortlichen (b.) jede Person Anspruch auf Schadensersatz, der wegen eines Verstoßes gegen die DSGVO (c.) ein immaterieller Schaden (d.), der kausal auf jenen zurückzuführen ist (e.) entstanden ist, sofern der Verantwortliche nicht schuldlos gehandelt hat (f.). a. Der räumliche Anwendungsbereich der Verordnung ist gemäß Art. 3 Abs. 1 DSGVO eröffnet, denn die Verarbeitung der personenbezogenen Daten der Nutzer des Netzwerks erfolgt im Rahmen der Tätigkeiten der in der Europäischen Union niedergelassenen Beklagten (Irland). Der Betrieb eines sozialen Netzwerkes durch Sammlung und Speicherung jedenfalls des Namens und des Geschlechts von Mitgliedern und die automatisierte Vernetzung der Mitglieder sowie deren Beschickung mit individualisierter Werbung fällt in den sachlichen Anwendungsbereich der Verordnung im Sinne des Art. 2 Abs. 1 DSGVO (OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 81, juris). Nach dem schlüssigen und zunächst unbestrittenen Vortrag der Klägerin hat sich die als Zeitpunkt einer Datenschutzverletzung maßgebliche Abschöpfung der Daten der Klägerin aus den Archiven der Beklagten nach dem 24.05.2018, mithin im zeitlichen Anwendungsbereich der Verordnung (Art. 99 Abs. 2 DSGVO) zugetragen. Der erstmals in der Berufungsinstanz mit Schriftsatz vom 10.01.2025 gehaltene Vortrag der Beklagten, die Abschöpfung habe bis spätestens 24.05.2018 stattgefunden, hat unberücksichtigt zu bleiben. Insoweit hat die Beklagte schon nicht dargelegt, aus welchem Grunde ihr neues Vorbringen gemäß § 531 Abs. 2 ZPO zuzulassen wäre. b. Die Beklagte ist auch die im Sinne von Art. 4 Nr. 7 DSGVO für die Datenverarbeitung verantwortliche Stelle. c. Indem die Beklagte die Voreinstellung für die Auffindbarkeit eines Nutzerprofils anhand der Telefonnummer auf „alle“ setzte, hat sie gegen ihre Verpflichtung aus Art. 5 Abs. 1 lit. c), 25 Abs. 2 Satz 1 und 3 DSGVO verstoßen (aa.). Ihr Handeln war auch nicht gerechtfertigt (bb.). Ob etwa weitere Verstöße der Beklagten die Schadensersatzpflicht begründen können, kann dahinstehen (cc.). aa. Nach Art. 5 Abs. 1 lit. c), 25 Abs. 2 Satz 1 und 3 DSGVO muss die Datenverarbeitung dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß begrenzt sein. Ausnahmen und Einschränkungen des Grundsatzes des Schutzes solcher Daten sind auf das absolut Notwendige zu beschränken (EuGH, Urteil vom 24.02.2024, C-175/20, Rn. 73, juris). Dazu hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die auch gewährleisten, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Zweck dieser auch gerade die Voreinstellungen in sozialen Netzwerken in den Blick nehmenden Vorgabe ist es, dass der Personenkreis derjenigen, die auf die Daten des Betroffenen zugreifen können, für diesen überschaubar sein soll (BGH, a.a.O. Rn. 89). Dem genügt die zum Zeitpunkt der Abschöpfung der Daten unstrittige von der Beklagten vorgegebene Standardeinstellung „alle“, die nur durch eine aktive Veränderung der Suchbarkeitseinstellung durch den Nutzer eingeschränkt („Freunde“ oder „Freunde von Freunden“) oder ausgeschlossen („nur ich“) werden konnte, nicht (BGH, a.a.O., Rn. 90). Datenminimierendem Vorgehen hätte es demgegenüber entsprochen, dem Nutzer ausgehend von der datenschutzfreundlichsten Voreinstellung der Suchbarkeit („nur ich“) die Erweiterung des zugriffsberechtigten Personenkreises durch eigene Aktivität zu ermöglichen (OLG Dresden, Urteil vom 10.12.2024, 4 U 808/24, GRUR-RS 2024, 35688, Rn. 7; Landgericht Freiburg (Breisgau), Urteil vom 15.09.2023, 8 O 21/23, Rn. 122, juris). In diesem Verstoß gegen die Vorschrift des Art. 5 Abs. 1 lit. c) DSGVO liegt zugleich eine konkrete unrechtmäßige Datenverarbeitung (EuGH, Urteil vom 04.05.2023, C-60/22, EuGH ZD 2023, 606 Rn. 54-57), sodass sich Bedenken gegen die Anwendbarkeit des Art. 82 Abs. 1 DSGVO im Hinblick auch auf bloße Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb eines konkreten Verarbeitungsvorganges nicht ergeben (BGH, a.a.O., Rn. 23). bb. Das Handeln der Beklagten erweist sich auch nicht als gerechtfertigt. Auf eine wirksame Einwilligung der Klägerin gemäß Art. 6 Abs. 1 lit. a) DSGVO stützt sich die Beklagte ausdrücklich nicht. Ohne Erfolg beruft sie sich darauf, die von ihr vorgegebene Einstellung der Suchbarkeit auf „alle“ sei gemäß Art. 6 Abs. 1 lit. b) DSGVO gerechtfertigt, weil sie zur Erfüllung des Nutzungsvertrages, nämlich der Ermöglichung der Kontaktaufnahme und Vernetzung der Nutzer untereinander, erforderlich gewesen wäre. Erforderlichkeit in diesem Sinne ist gegeben, wenn der Hauptgegenstand des Vertrages ohne die betreffende Verarbeitung nicht erfüllt werden könnte (EuGH, Urteil vom 04.07.2023, C-252/21, Rn. 98, juris). Den Nutzern des Netzwerks der Beklagten war und ist es möglich, andere Nutzer über die Eingabe des Namens zu finden, sodass die ohnehin nicht zwingend dauerhaft im Nutzerprofil zu hinterlegende Telefonnummer zum Auffinden anderer Nutzer nicht unerlässlich gewesen ist (BGH, a.a.O., Rn. 90). Dass die spätere Deaktivierung der Suchbarkeit und direkten Zuordnung über die Telefonnummer zu einer wesentlichen Beeinträchtigung der Nutzbarkeit des nach wie vor von der Beklagten betriebenen Netzwerks geführt hätte, ist weder vorgetragen, noch ersichtlich. cc. Ob die Beklagte tatsächlich, wie es die Klägerin vorgetragen hat, auch gegen sie treffende Verpflichtungen aus Art. 5 Abs. 1 lit. a), b) und f), 13, 14,15, 17, 18, 21 und 34 Abs. 1 und 2 DSGVO verstoßen hat, bedarf keiner weiteren Prüfung. Ob einer oder mehrere Verstöße gegen die DSGVO zu einem festgestellten Schaden geführt haben, ist vor dem Hintergrund der ausschließlichen Ausgleichsfunktion des Anspruches aus Art. 82 Abs. 1 DSGVO ohne Belang. Weder die Anzahl verwirklichter Verstöße, noch ihre Schwere, noch die Frage des Verschuldensgrades haben Einfluss auf die Höhe des Schadensersatzes (EuGH, Urteil vom 11.04.2024, C-741/24, ZD 2024, 381 Rn. 57; BGH, a.a.O., Rn. 25, 96). d. Der Schaden der Klägerin besteht in einem Verlust der Kontrolle über das personenbezogene Datum „Telefonnummer“ (aa.). Darüberhinausgehende Schäden ergeben sich nicht (bb.), sodass ein immaterieller Schadensersatz in Höhe von 100,00 € als zur vollständigen und wirksamen Schadensausgleichung genügend anzusehen ist (cc.). aa. Dass auch die Daten der Klägerin von dem Scraping-Vorfall betroffen waren, ergibt sich aus dem unstreitigen Tatbestand der angefochtenen Entscheidung, dessen Unrichtigkeit oder Unvollständigkeit von keiner der Parteien im Rahmen einer Tatbestandsberichtigung geltend gemacht wurde (vgl. § 314 ZPO). Schon der reine (auch kurzfristige) sich aus dieser Abschöpfung ergebende Kontrollverlust an sich stellt einen ausgleichsfähigen Schaden dar, ohne, dass es auf den Nachweis zusätzlicher spürbarer negativer Folgen ankäme (EuGH, Urteil vom 04.10.2024, C-200/23, Rn. 145, juris; BGH, a.a.O., Rn. 30 f.). Nach ihren persönlichen Ausführungen in den mündlichen Verhandlungen vom 11.12.2023 (Bl. 278 ff. eAkte LG) und 21.01.2025 (Bl. 615 ff. eAkte OLG) ist der Senat davon überzeugt, dass die Klägerin ihre Mobiltelefonnummer insbesondere im Internet stets mit Bedacht und nicht wahllos preisgegeben hat. Daher ist auch nicht anzunehmen, dass sie die Kontrolle über das personenbezogene Datum „Telefonnummer“ bereits aufgrund früherem sorglosen Umgang verloren hätte (so allerdings OLG Hamm, Urteil vom 05.11.2024, 7 U 83/24, juris, Rn. 37 in dem dort zu entscheidenden Fall). Auch wenn sie der Natur der Sache nach ihre langjährige Telefonnummer bereits zu früheren Zeitpunkten Dritten, für deren stets datenschutzkonforme Handhabung sie nicht garantieren kann, bekannt gemacht hat, unterscheidet sich doch das durch die Abschöpfung der Telefonnummer aus dem Datenbestand der Beklagten und die anschließende freie Veröffentlichung im Internet mit der unbegrenzten Zugriffsmöglichkeit für jede Person (mit Zugang zum Internet) eingetretene Risiko wesentlich von dem der lediglich bewussten und zielgerichteten Weitergabe an bestimmte Empfänger (BGH, a.a.O., Rn. 42). Soweit die Klägerin, wie sie wusste stets öffentlich, auf ihrem Nutzerprofil Namen, Geschlecht und f.-ID, angegeben hat, kommt ein Kontrollverlust über ihre personenbezogenen Daten im vorstehenden Sinne nicht in Betracht. Auch ohne die Ausnutzung des Kontakt-Import-Tools sind diese personenbezogenen Daten stets öffentlich für jedermann weltweit einsehbar, sodass sich die Klägerin mit der Eingabe dieser Daten bei der Registrierung im Netzwerk der Beklagten der Kontrolle begeben hat (OLG Dresden, Urteil vom 10.12.2024, 4 U 808/24, GRUR-RS 2024, 35688, Rn. 18). Dass von der Abschöpfung weitere nichtöffentliche Daten betroffen gewesen wären, hat die Klägerin auf das diesbezügliche Bestreiten der Beklagten weder bezogen auf ihr Nutzerprofil konkretisiert noch substantiiert eigene betroffene Datenpunkte dargestellt. Die allgemein gebliebene Ausführung, dass ganz generell im Rahmen des streitgegenständlichen Scraping-Vorfalls Daten wie „Bundesland, Land, Stadt, Beziehungsstatus und weitere korrelierende Daten“ abgeschöpft worden seien, weist keinen hinreichenden Bezug zu dem Einzelfall der Klägerin auf. bb. Weitere immaterielle Schäden in Form von sich aus dem Kontrollverlust entwickelnden besonderen begründeten Befürchtungen oder Ängsten, die über die mit dem Kontrollverlust einhergehende Lästigkeit hinausweisen, hat die Klägerin nicht dargestellt. Bei dem Senat ist eine Vielzahl vergleichbar gelagerter Verfahren anhängig, in denen die Klägerinnen und Kläger – trotz jeweils individueller Persönlichkeitsstruktur – identisch oder annähernd identisch pauschal Zustände „großen Unwohlseins“ und der „Sorge über einen möglichen Missbrauch“ durch die Abschöpfung der Daten vortragen lassen. Auf dieser Grundlage vermag der Senat für den Streitfall allerdings nicht die Überzeugung zu gewinnen, dass die Klägerin über alltägliche Empfindungen hinaus von begründeten Befürchtungen, die mit einem realen, sicheren emotionalen Schaden einhergehen, betroffen war. Dies hat sich auch nicht aus ihrer persönlichen Anhörung ergeben, wobei der Senat ausdrücklich bemerkt, dass keinerlei Zweifel an der Glaubwürdigkeit der Klägerin bestehen. cc. Bei der Bemessung der Höhe des immateriellen Schadensersatzes ist allein von der Ausgleichsfunktion des Schadensersatzanspruches auszugehen. Die Schwere des Verstoßes, durch den der Schaden entstanden ist und der Umstand, ob der Verantwortliche mehrere Verstöße gegenüber derselben Person begangen hat, sind für die Bemessung des Betrages ebenso unerheblich, wie die Frage, ob der Verantwortliche vorsätzlich gehandelt hat (BGH, a.a.O., Rn. 96). Ist, wie hier, allein ein Schaden in Form eines Kontrollverlustes an personenbezogenen Daten gegeben, hat das Gericht bei der Schätzung gemäß § 287 ZPO insbesondere die Sensibilität der konkret betroffenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat es die Art des Kontrollverlustes (begrenzter / unbegrenzter Empfängerkreis), die Dauer des Kontrollverlustes und die Möglichkeit der Wiedererlangung der Kontrolle, etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung des personenbezogenen Datums in den Blick zu nehmen. Als Anhaltspunkt für einen noch effektiven Ausgleich kann in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich ist, der hypothetische Aufwand für diese Wiedererlangung dienen (BGH, a.a.O., Rn. 99). Ist im vorliegenden Fall der Kontrollverlust über die betroffene Rufnummer nach der Art der Veröffentlichung zwar als dauerhaft und der potentielle Empfängerkreis als groß anzusehen, so kann ihm doch mit dem Wechsel der Rufnummer begegnet werden. Dass dieser Aufwand Kosten von deutlich weniger oder mehr als 100,00 €, die auch nach der Rechtsprechung des Bundesgerichtshofs als grundsätzlich angemessene Schätzung angesehen werden, verursachen würde, ist im vorliegenden Fall nicht erkennbar. Der Senat schätzt auf dieser Grundlage den Betrag, der zum vollständigen Ausgleich des immateriellen Schadens erforderlich ist, auf 100,00 €. Eine andere Bemessung ergibt sich auch nicht anlässlich des Hinweises der Klägerin auf das Urteil des Gerichts der Europäischen Union vom 08.01.2025 (T-354/22). Darin hat es wegen des Verlustes der Kontrolle über eine IP-Adresse, die unter Verstoß gegen Art. 46 VO (EU) 2018/1725 in ein Drittland ohne entsprechendes Datenschutzniveau übermittelt worden war, einen immateriellen Schadensersatz von 400,00 € zugesprochen. Weder dieser Entscheidung selbst, die ohne Begründung und ohne Kenntlichmachung zum Inhalt einer Abwägung zu Angemessenheit und Höhe des Schadensersatzes auskommt (Rn. 199 der Entscheidung), noch den Ausführungen der Klägerin vom 10.01.2025 sind anderweitige überzeugende Anknüpfungspunkte für eine Schätzung zu entnehmen. e. Der Verstoß der Beklagten gegen Art. 5 Abs. 1 lit. c), 25 Abs. 2 Satz 1 und 3 DSGVO ist auch ursächlich für den eingetretenen Kontrollverlust. Hätte die Beklagte gemäß der sie treffenden Verpflichtung die Voreinstellung für die Suchbarkeit anhand einer Telefonnummer statt auf „alle“ auf „nur ich“ gesetzt, hätte die Klägerin, die in der persönlichen Anhörung glaubhaft ihr Bemühen um die gewissenhafte Begrenzung der Sichtbarkeit bzw. Verwendbarkeit ihrer Telefonnummer geschildert hat, eine Änderung der Einstellung auf „alle“ nicht aktiv vorgenommen. Den unbefugt zugreifenden Dritten hätte das Kontakt-Import-Tool danach weder einen Treffer zu der von ihnen zufällig generierten und eingespeisten Telefonnummer der Klägerin angezeigt, noch die Kombination mit den öffentlich einsehbaren Daten (Name, f.-ID und Geschlecht) der Klägerin ermöglicht. f. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruches nach Art. 82 Abs. 1 DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen (vgl. zu allem BGH, a.a.O., Rn. 21 m. w. N). Dieser ist nur dann von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, ihn also keinerlei Verschulden an dem Ereignis trifft, das den Schaden ausgelöst hat (Kühling/Buchner/Bergt, DSGVO BDSG, 4. Aufl. 2024, Art. 82 Rn. 49; BeckOK DatenschutzR/Quaas, 50. Ed. 1.8.2024, DS-GVO Art. 82 Rn. 17, beck-online). Diesen Nachweis vermag die Beklagte nicht zu führen. Die von ihr gewählte Voreinstellung der Suchbarkeitsfunktion „alle“, verbunden mit der unzureichenden Aufklärung der Nutzer hierüber, hat die Abschöpfung der Daten in dem eingetretenen großen Umfang erst ermöglicht. Dabei war es für sie ohne weiteres erkennbar, dass die von ihr gewählte Voreinstellung der Suchbarkeitsfunktion und die Tatsache, dass viele Millionen ihrer Nutzer es bei dieser Voreinstellung belassen hatten, ihr soziales Netzwerk zu einem besonders attraktiven Ziel für Datenscraping machen würde, woraus wiederum eine besondere Gefährdung dieser Nutzer und damit auch der Klägerin folgte. Dies gilt umso mehr, als es sich bei der Beklagten um ein weltweit agierendes Unternehmen handelt, welches über langjährige Erfahrung und spezifische technische Expertise im Betrieb von sozialen Netzwerken verfügt. Ob es, wie sie behauptet, vor dem streitgegenständlichen Datenschutzverstoß zur Frage des Scrapings keine Rechtsprechung, aufsichtsbehördliche Leitlinien oder Literatur gab, die weitergehende Anforderungen im Zusammenhang mit Scraping-Sachverhalten für erforderlich erachteten, ist daher nicht von Belang. 2. Der Feststellungsantrag ist zulässig (a.) und begründet (b.). a. Nach der gefestigten Rechtsprechung des Bundesgerichtshofs (Urteil vom 18.11.2024, VI ZR 10/24, GRUR-RS 2024, 1910, Rn. 48 m. w. N.), der der Senat folgt, ist ein Feststellungsinteresse für den Fall der Behauptung der Verletzung eines absolut geschützten Rechtsguts schon dann gegeben, wenn die bloße Möglichkeit des künftigen Schadenseintritts besteht. Ist ein deliktsrechtlich geschütztes Rechtsgut bereits verletzt und ein Schaden eingetreten, kann die Möglichkeit künftiger Schäden ohne Weiteres zu bejahen sein. Dies ist hier der Fall. Die Beklagte hat durch die rechtswidrige Verarbeitung des personenbezogenen Datums der Klägerin (II. 1. b. aa.) deren gemäß § 823 Abs. 1 BGB als sonstiges absolut geschütztes, Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs .1 GG) verletzt. Vor dem Hintergrund, dass der Kontrollverlust in Form der Veröffentlichung noch andauert, besteht die Gefahr der missbräuchlichen Benutzung ihrer Daten fort und ist auch nicht nur rein theoretischer Natur. b. Angesichts der feststehenden Rechtsverletzung der Beklagten und der feststehenden Schadensersatzpflicht nach Art. 82 Abs. 1 DSGVO (II. 1.) ist der Feststellungsantrag auch begründet. 3. Zulässig (a.) und begründet (b.) ist auch der Antrag der Klägerin, die Beklagte zu verurteilen, es zu unterlassen, aufgrund einer von ihr gesetzten Voreinstellung personenbezogene Daten der Klägerin, insbesondere die Telefonnummer oder sonstige nichtöffentliche Datenpunkte Dritten, die nicht aufgrund eines Vertrages oder Gesetzes gegenüber der Beklagten hierzu berechtigt sind, namentlich Hackern oder Srcapern, über eine Software zum Importieren von Kontakten zugänglich zu machen, wie geschehen anlässlich des sogenannten F.-Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand. a. Ob es sich bei der Konkretisierung der durch die Klägerin mit Schriftsatz vom 10.01.2025 (Bl. 585f. eAkte OLG) angekündigten Unterlassungsanträge lediglich um eine Klarstellung oder um eine Klageänderung handelt, kann dahinstehen, denn auch wenn man eine Klageänderung annimmt, genügt sie in jedem Falle den Voraussetzungen des § 533 ZPO im Hinblick auf die Sachdienlichkeit und die Gründung auf Tatsachen, die der Senat seiner Verhandlung und Entscheidung über die Berufung ohnehin nach § 529 ZPO zugrunde zu legen hat. Der Antrag ist unter Berücksichtigung des Klagevorbringens (Seite 12 des Schriftsatzes vom 10.01.2025, Bl. 596 eAkte OLG) dahingehend auszulegen, dass die Beklagte es unterlässt eine Funktion anzubieten, die es Dritten, ihrerseits unter Verstoß gegen datenschutzrechtliche Bestimmungen und die Nutzungsbedingungen der Beklagten, ermöglicht, auf nichtöffentliche personenbezogene Daten der Klägerin in der Weise zugreifen zu können, dass diese direkt mit weiteren, auch öffentlichen, personenbezogenen Daten der Klägerin verknüpft werden können. Der Antrag ist hinreichend bestimmt, da er die konkret beanstandete und zu unterlassende Verletzungshandlung, nämlich die Vorauswahl einer den Anforderungen der Art. 5 Abs. 1 lit. c), 25 Abs. 2 Satz 1 und 3 DSGVO widersprechenden Voreinstellung durch die Beklagte und die damit einhergehende Eröffnung der Möglichkeit für nach Gesetz oder Nutzungsbedingungen der Beklagten nicht berechtigte Dritte zu Abschöpfung und Kombination der Daten genau bezeichnet (vgl. hierzu: BGH, a. a. O., Rn. 56, 58). b. Der Unterlassungsanspruch ist auch begründet und beruht auf § 280 Abs. 1 BGB i. V. m. § 241 Abs. 2 BGB und dem zwischen den Parteien geschlossenen Nutzungsvertrag. Bei der Verletzung von Vertragspflichten kann sich aus § 280 Abs. 1 BGB ein Unterlassungsanspruch ergeben. Ein solcher setzt – ebenso wie ein gesetzlicher Unterlassungsanspruch entsprechend § 1004 Abs. 1 Satz 2 i. V. m. § 823 Abs. 1 BGB – eine Erstbegehungs- beziehungsweise Wiederholungsgefahr voraus (BGH Urteil vom 29.07.2021, III ZR 192/20, GRUR-RS 2021, 23182, Rn. 115), wobei ein Verstoß eine Wiederholungsgefahr indiziert. Gleiches soll bei einer Verletzung von nicht ausdrücklich vereinbarten und gesetzlich nicht ausdrücklich normierten Rücksichtnahmepflichten gelten (BGH, Urteil vom 02.05.2024, NJW 2024, 3375, Rn. 15). Auf der Grundlage des Nutzungsvertrages trifft die Beklagte die Pflicht zugunsten der Klägerin die gesetzlichen Vorschriften zum Schutz personenbezogener Daten einzuhalten und umzusetzen. Hiergegen hat die Beklagte verstoßen (II. 1.). Bei diesem Verstoß handelt es sich um die Verletzung eines absolut geschützten Rechts der Klägerin aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG (informationelle Selbstbestimmung), sodass der Klägerin die tatenlose Hinnahme einer fortgesetzten bzw. wiederholten Rechtsverletzung nicht zuzumuten ist. Die durch den begangenen Verstoß indizierte Wiederholungsgefahr gilt nicht nur für identische Verletzungsformen, sondern auch für andere Vertragspflichtverletzungen, soweit die Verletzungshandlungen im Kern gleichartig sind (OLG Dresden, a. a. O., Rn. 27). Die Ausräumung der Wiederholungsgefahr, an die strenge Anforderungen zu stellen sind, ist der Beklagten nicht gelungen. Zwar hat sie die im hier streitgegenständlichen Falle ausgenutzte Kontaktfunktion deaktiviert bzw. durch eine anders aufgebaute Funktion ersetzt, die eine direkte Zuordnung einer Telefonnummer zu den (immer) öffentlichen Daten eines Profils nicht mehr erlauben soll, indes hält die Beklagte nach wie vor (zuletzt mit Schriftsatz vom 10.01.2025, Bl. 520 eAkte OLG) rechtsirrig an der Auffassung fest, es sei ihr auch ohne wirksame Einwilligung des Nutzers erlaubt, unter Verstoß gegen den Grundsatz der Datenminimierung Voreinstellungen vorzuhalten, auf deren Grundlage nichtöffentliche Nutzerdaten zu dessen Auffindbarkeit herangezogen werden können. Hiervon ausgehend ist die Gefahr der Wiederholung wenigstens im Kern vergleichbarer Verletzungshandlungen nicht ausgeräumt. Ergibt sich der Unterlassungsanspruch, wie ausgeführt, auf vertraglicher Grundlage, kommt es auf die noch unerledigten Vorabentscheidungsersuchen des Bundesgerichtshofs an den Europäischen Gerichtshof, zu den Fragen, ob sich Unterlassungsansprüche der betroffenen Person auch aus der DSGVO selbst ergeben können, falls ja, ob hierfür eine Wiederholungsgefahr vonnöten ist und neben der DSGVO auch auf gesetzliche Unterlassungsansprüche nach nationalem Recht zurückgegriffen werden kann (BGH, Beschluss vom 26.09.2023, VI ZR 97/22, VersR 2024, 582), nicht an (BGH, Urteil vom 18.11.2024, VI ZR 10/24, GRUR-RS 2024, 1910, Rn. 83). 4. Mangels Rechtschutzbedürfnisses unzulässig ist hingegen der Antrag der Klägerin, die Beklagte zu verurteilen, es zu unterlassen ihre Telefonnummer auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontakt-Import-Tools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und im Fall der Nutzung der F.-Messenger-App hier ebenfalls explizit die Berechtigung verweigert wird, wenn auch seine Konkretisierung / Änderung zulässig ist (II. 3. a. entsprechend). Der Antrag lässt sich unter Heranziehung des Klagevorbringens (Seite 14 des Schriftsatzes vom 10.01.2025, Bl. 598 eAkte OLG) dahingehend auslegen, dass die Klägerin ein Unterlassen jeglicher Verarbeitung ihrer Telefonnummer durch die Beklagte, die über die notwendige Verarbeitung für die Zwei-Faktor-Authentifizierung und die Passwortwiederherstellung hinausgeht, begehrt. Er ist damit zwar hinreichend bestimmt (vgl. auch: BGH, a. a. O., Rn. 62). Ihm fehlt jedoch das Rechtsschutzbedürfnis. Ein solches ist zu verneinen, wenn eine Klage oder ein Antrag objektiv schlechthin sinnlos ist, der Kläger also unter keinen Umständen mit seinem prozessualen Begehren irgendeinen schutzwürdigen Vorteil erlangen kann (BGH, Urteil vom 29.09.2022, I ZR 280/21, ZIP 2022, 2460, Rn. 10). Dies ist zum Beispiel dann der Fall, wenn ein einfacherer oder billigerer Weg zur Erreichung des Rechtsschutzziels besteht. Zu einem vergleichbaren, denselben Scraping-Vorgang im Datenarchiv der Beklagten betreffenden Unterlassungsantrag hat der Bundesgerichtshof entschieden, dass die dem Nutzer mögliche Löschung der Mobiltelefonnummer aus seinem Nutzerprofil bei der Beklagten kein einfacherer und billigerer Weg ist, um die geforderte Unterlassung zu erreichen, weil sich der Nutzer damit der Sicherheitsvorteile einer Zwei-Faktor-Authentifizierung begebe. Er hat allerdings ausgeführt, dass die Möglichkeit des Nutzers, seine Privatsphäre-Einstellungen so zu ändern, dass sich seine Einwilligung zur Verarbeitung seiner Telefonnummer auf die Nutzung zur Zwei-Faktor-Authentifizierung beschränkt („nur ich“), ebenso wie ein dem Nutzer möglicher Widerruf einer etwa erteilten Einwilligung gemäß Art. 7 Abs. 3 Satz 1 DSGVO einen einfacheren und dementsprechend billigeren Weg darstellt (BGH, Urteil vom 18.11.2024, VI ZR 10/24, GRUR-RS 2024,1910, Rn. 69). In dem von dem Bundesgerichtshof entschiedenen Rechtsstreit hat dieser das Rechtsschutzbedürfnis gleichwohl nicht verneinen können, weil das dortige Berufungsgericht keine Feststellungen zu dem Vortrag des Klägers getroffen hatte, dass sich aus einer von der Beklagten erteilten Information mit der Überschrift „Möglicherweise verwenden wir deine Telefonnummer für diese Zwecke“ die Besorgnis von Verarbeitungsvorgängen jenseits der Zwei-Faktor-Authentifizierung ergebe. Zu dem im hier zu entscheidenden Rechtsstreit gleichlautenden Vortrag der Klägerin unter Vorlage der vorbeschriebenen Information (Seite 13 f. der Klageschrift vom 30.08.2022, Bl. 13 f. eAkte LG) trifft der Senat daran anschließend folgende Feststellungen: Dem Vortrag der Klägerin, aus der Information über die mögliche Nutzung der Telefonnummer durch die Beklagte ergebe sich die Besorgnis einer weitergehenden Verarbeitung und Nutzung ist die Beklagte entgegengetreten. Von der Klägerin unwidersprochen und für den Senat nachvollziehbar und überzeugend hat sie zu der von der Klägerin aufgegriffenen Information ausgeführt, dass es möglich ist, über die Privatsphäre-Einstellungen die von der Klägerin begehrte Folge selbst herbeizuführen und dass ihre Information eine allgemeine, den jeweiligen Einstellungen des Nutzers vorgelagerte Auskunft darstellt und nicht so zu verstehen ist, dass eine Verarbeitung und Nutzung der Telefonnummer unabhängig von den individuellen Einstellungen eines jeden Nutzers gleichwohl für die aufgeführten Zwecke erfolge (Seite 23 der Klageerwiderung vom 13.02.2023, Bl. 82 eAkte LG). Danach steht für den Senat fest, dass die begehrte Folge, nämlich die Verarbeitung der Telefonnummer der Klägerin nur zum Zwecke der Zwei-Faktor-Authentifizierung und zur Wiederherstellung des Passwortes auf einem einfacheren und billigeren Wege von der Klägerin selbst in den Einstellungen vorgenommen werden kann und ein Rechtsschutzbedürfnis deswegen zu verneinen ist. 5. Der Klägerin steht in tenorierter Höhe schließlich auf der Grundlage von Art. 82 Abs. 1 DSGVO ein Anspruch auf Erstattung derjenigen Kosten zu, die sie zur vorgerichtlichen Vertretung durch einen Rechtsanwalt aufgewendet hat. Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren (a.) und der Geschädigte im Innenverhältnis zu seinem Rechtsanwalt zur Zahlung verpflichtet ist (b.), grundsätzlich zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden (BGH, Urteil vom 17.11.2015, CI ZR 492/14, NJW 2016, 1245 Rn. 9). a. Maßgeblich ist hierbei für die Beurteilung der Erforderlichkeit darauf abzustellen, wie sich die voraussichtliche Entwicklung des Schadensfalles aus der Sicht des Geschädigten darstellt. Die Erforderlichkeit ist zu verneinen, wenn die Verantwortlichkeit für den Schaden und die Haftung nach Grund und Höhe von vornherein derart klar sind, dass aus der Sicht des Geschädigten kein vernünftiger Zweifel daran bestehen kann, dass der Schädiger seiner Ersatzpflicht ohne Weiteres nachkommen werde (BGH, Urteil vom 18.11.2024, VI ZR 10/24, GRUR-RS 2024, 1910, Rn. 79). Zum Zeitpunkt der vorgerichtlichen Beauftragung bzw. Tätigkeit der Prozessbevollmächtigten der Klägerin (Aufforderungsschreiben vom 09.06.2022, Anlage K4 zur Klageschrift, Bl. 42.95 eAkte LG) stellten sich im Hinblick auf die geltend gemachten Schadensersatz- und Unterlassungsansprüche zahlreiche Rechtsfragen, die höchstrichterlich nicht geklärt waren und den Bundesgerichtshof veranlasst haben, dem Europäischen Gerichtshof ein Vorabentscheidungsersuchen vorzulegen (Beschluss vom 26.09.2023, VI ZR 97/22). Soweit für den vorliegenden Streitfall von Interesse sind diese Fragen teils erst nach Klageerhebung beantwortet worden (BGH, Urteil vom 18.11.2024, VI ZR 10/24, GRUR-RS 2024, 1910, Rn. 82, 84 und Beschluss vom 23.06.2022, VII ZR 294/21, BeckRS 2022, 20173, Rn. 19). Die Inanspruchnahme anwaltlicher Vertretung ist deshalb als erforderlich anzusehen. b. Ob eine vorprozessuale anwaltliche Zahlungsaufforderung im Innenverhältnis des Mandanten zum Rechtsanwalt eine Geschäftsgebühr nach Nr. 2300 VV RVG auslöst oder als der Vorbereitung der Klage dienende Tätigkeit nach § 19 Abs. 1 Satz 2 Nr. 1 RVG zum Rechtszug gehört und daher mit der Verfahrensgebühr nach Nr. 3100 VV RVG abgegolten ist, bestimmt sich nach Art und Umfang des im Einzelfall erteilten Mandats. Gibt der Mandant den unbedingten Auftrag, im gerichtlichen Verfahren tätig zu werden (vgl. Vorbemerkung 3 Abs. 1 Satz 1 VV RVG), lösen bereits Vorbereitungshandlungen die Gebühren für das gerichtliche Verfahren aus, und zwar auch dann, wenn der Anwalt zunächst nur außergerichtlich tätig wird. Für das Entstehen der Geschäftsgebühr nach Nr. 2300 VV RVG ist dann kein Raum mehr. Anders liegt es, wenn sich der Auftrag auf die außergerichtliche Tätigkeit des Anwalts beschränkt oder der Prozessauftrag jedenfalls unter der aufschiebenden Bedingung erteilt wird, dass zunächst vorzunehmende außergerichtliche Einigungsversuche erfolglos bleiben (BGH, Beschluss vom 23.6.2022 – VII ZR 294/21, BeckRS 2022, 20173 Rn. 19). Wenngleich die Klägerin hierzu unter Vorlage des vorgerichtlichen Aufforderungsschreibens nicht ausdrücklich zu den Vereinbarungen im Innenverhältnis vorträgt, ergibt sich daraus doch die Geltendmachung einer Geschäftsgebühr für die außergerichtliche Tätigkeit nach Ziffer 2300 VV RVG. Hierin liegt, auch vor dem Hintergrund, dass die Beklagte dem diesbezüglichen Vortrag der Klägerin nicht entgegengetreten ist, der konkludente Vortrag einer zunächst auf die außergerichtliche Vertretung gerichteten Beauftragung (BGH, Beschluss vom 23.6.2022 – VII ZR 294/21, BeckRS 2022, 20173 Rn. 20). Ausgangspunkt für die Berechnung der geltend gemachten Kosten vorgerichtlicher Vertretung ist der Wert der außergerichtlich berechtigt geltend gemachten Ansprüche, nämlich auf Zahlung eines Schadensersatzes von 100,00 €, auf Erteilung von Auskünften gemäß Art. 15 Abs. 1 DSGVO, die die Beklagte anschließend auch erteilt hat und dessen Wert der Senat in ständiger Rechtsprechung mit 500,00 € bemisst (Beschlüsse vom 22.08.2024, 3 W 303/24 und 16.07.2024, 3 W 238/24 und vom 08.03.2024, 3 W 71/24, Rn. 12, juris) sowie dem Anerkenntnis der Einstandspflicht für zukünftige Schäden, dessen Wert der Senat mit 500,00 € bemisst. Soweit die Klägerin die Beklagte daneben vorgerichtlich aufgefordert hat „die rechtswidrige Verarbeitung [seiner] personenbezogenen Daten […] – hier das Zugänglichmachen für Unbefugte – gem. §§ 1004 analog, 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO zu unterlassen“ (Anlage K4 zur Klageschrift vom 30.08.2022 (Bl. 42.102 f. eAkte LG) ist dieser Antrag mangels Bestimmtheit unzulässig gewesen (siehe hierzu BGH, Urteil vom 18.11.2024, VI ZR 10/24, GRUR-RS 2024, 1910, Rn. 51 ff.) und zu Unrecht erhoben worden. Auf der Grundlage des zutreffend festzusetzenden Gegenstandswertes von 1.100,00 € für die außergerichtliche Tätigkeit ergeben sich zu erstattende Kosten von 220,27 €: Geschäftsgebühr Nr. 2300 VV RVG: 165,10 € Auslagen Nr. 7001 u. 7002 VV RVG: 20,00 € Umsatzsteuer Nr. 7008 RVG: 35,17 € 6. Der Zinsanspruch zu 1. und 5. beruht auf § 291 BGB i. V. m. § 288 Abs. 1 BGB. III. 1. Die Kostenentscheidung folgt aus §§ 92 Abs. 1, 97 Abs. 1 und, soweit die Berufung teilweise zurückgenommen worden ist (Zahlungsanträge teilweise und Auskunftsantrag vollständig), aus § 516 Abs. 3 ZPO. 2. Die vorläufige Vollstreckbarkeit ergibt sich aus §§ 708 Nr. 10, 711, 713 ZPO. 3. Die Festsetzung des Streitwerts auf 8.000,00 € beruht auf § 3 ZPO, §§ 47, 48 Abs. 2 GKG (Antrag zu 1. Zahlung: 2.000,00 €; Antrag zu 2. Feststellung: 500,00 €; Antrag zu 3. Zahlung: 1.000,00 €; Antrag zu 4. Auskunft: 500,00 €; Antrag zu 5. Unterlassung: 2.000,00 €; Antrag zu 6. Unterlassung: 2.000,00 €; Antrag zu 7. Nebenforderung: ohne eigenen Wert).