Leitsatz: 1. Voreinstellungen eines sozialen Netzwerks sind nach dem Grundsatz der "Datenschutzfreundlichkeit" so auszugestalten, dass nur die Verarbeitung standardmäßig ausgeführt wird, die unbedingt erforderlich ist, um den vorgesehenen rechtmäßigen Zweck zu erreichen; eine Suchbarkeitsvoreinstellung aus "alle" steht hiermit nicht im Einklang (Festhaltung Senat, Urteile vom 5.12.2023, 4 U 709/23 und 4 U 1094/23). 2. Ein "Kontrollverlust" reicht allein für einen immateriellen Schaden im Sinne des Art. 82 DSGVO nicht aus, wenn die hierauf abzielende Befürchtung unter Berücksichtigung der Umstände des Einzelfalls nicht glaubhaft ist; für die eine solche Befürchtung tragenden Umstände, liegt die Beweislast beim Anspruchsteller. 3. Liegt der Datenschutzverstoß (hier "Scraping") bereits mehrere Jahre zurück, reicht die bloß theoretische Möglichkeit, dass es in Zukunft zu einem Schaden kommen könnte, für ein Feststellungsinteresse nicht aus. Auch ein Rechtsschutzinteresse für einen weitergehenden Unterlassungsanspruch besteht dann nicht. OLG Dresden, 4. Zivilsenat, Urteil vom 23. Januar 2024, Az.: 4 U 1313/23

2  Oberlandesgericht Dresden Zivilsenat Aktenzeichen: 4 U 1313/23 Landgericht Chemnitz, 1 O 1304/22 IM NAMEN DES VOLKES ENDURTEIL In dem Rechtsstreit M...... S......, ... - Kläger, Berufungskläger u. Berufungsbeklagter - Prozessbevollmächtigte: G...... R...... Rechtsanwälte Partnerschaftsgesellschaft mbB, ... gegen M......, ... vertreten durch die Mitglieder des Board of Directors - Beklagte, Berufungsbeklagte u. Berufungsklägerin - Prozessbevollmächtigte: F...... B...... D...... Rechtsanwälte Steuerberater PartG mbB, ... wegen Verstöße gegen die Datenschutz-Grundverordnung, Persönlichkeitsrechtsverletzung hat der 4. Zivilsenat des Oberlandesgerichts Dresden durch Vorsitzenden Richter am Oberlandesgericht S......, Richterin am Oberlandesgericht Z...... und Richterin am Oberlandesgericht P...... aufgrund der mündlichen Verhandlung vom 16.01.2024 am 23.01.2024 für Recht erkannt: I. Auf die Berufung der Beklagten wird das Urteil des Landgerichts Chemnitz - Az 1 O 1304/22 - vom 29.06.2023 aufgehoben und die Klage abgewiesen. II. Die Berufung des Klägers wird zurückgewiesen.

3  III. Der Kläger trägt die Kosten des Rechtsstreits. IV. Das Urteil ist vorläufig vollstreckbar, bezüglich der Anträge zu 4), 5) und 6) gegen Sicherheitsleistung in Höhe von 110 % des jeweils beizutreibenden Betrages. Die Klägerin kann die Vollstreckung wegen der auf die übrigen Anträge entfallenden Kosten durch Sicherheitsleistung oder Hinterlegung in Höhe von 110 % des jeweils beizutreibenden Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in gleicher Höhe leistet. V. Die Revision wird zugelassen. Beschluss: Der Streitwert wird für beide Instanzen - die erstinstanzliche Festsetzung in dem angefochtenen Urteil wird insoweit abgeändert - auf insgesamt 6.000,00 EUR festgesetzt. (im einzelnen: Ziffer 1: 2.000 EUR, Ziffer 2: 500 EUR, Ziffer 3: 1.000 EUR, Ziffer 4: 500 EUR, Ziffer 5: 1.000 EUR, Ziffer 6: 1.000 EUR) Gründe I. Der Kläger nimmt die Beklagte auf Schadensersatz, Unterlassung, Auskunft und Nebenforderungen im Zusammenhang mit einem sog. Scraping-Vorfall auf dem von der Beklagten betriebenen sozialen Netzwerk Facebook im Zeitraum zwischen Januar 2018 und September 2019 in Anspruch. Unter www.facebook.de stellt die Beklagte dort verschiedene Dienste zur Verfügung, deren Nutzung kostenfrei ist, für die die Nutzer aber im Gegenzug ihre personenbezogenen Daten zur Verfügung stellen. Den Nutzern dient das Online-Netzwerk dazu, sich untereinander zu vernetzen, Kontakt zu "Freunden" zu halten und herzustellen sowie neue Menschen, Gruppen, Unternehmen, Organisationen usw. kennenzulernen. Geregelt ist dies in einem Nutzungsvertrag, den jeder Nutzer durch Bestätigung der Schaltfläche "Registrieren" abschließt, wobei es unumgänglich ist, zugleich den für das Portal festgelegten Allgemeinen Nutzungsbedingungen zuzustimmen und die Datenrichtlinie zur Kenntnis zu nehmen. Danach erfasst die Beklagte nutzer- und gerätebezogene Daten über Nutzeraktivitäten innerhalb und außerhalb des sozialen Netzwerks und ordnet sie den Facebook-Konten der betroffenen Nutzer zu. Mit der Registrierung verbunden ist es, dass Vorname, Nachname, Benutzer-ID, Nutzername und Geschlecht im Internet als "immer öffentliche" Nutzerinformationen sichtbar sind und auch gesucht werden können. Abhängig von der sog. Zielgruppenauswahl sind ggf. weitere Nutzerinformationen auffindbar (u. a. Telefonnummern, Wohnort, Stadt, Beziehungsstatus, Geburtstag und Email-Adresse); Voraussetzung hierfür ist, dass der Nutzer zuvor die Zielgruppenauswahl auf "öffentlich" festgelegt hat. Im Unterschied hierzu kann ein registrierter Nutzer nach der Mobilfunknummer, die ein anderer Nutzer eingegeben hat, auch dann suchen, wenn die Zielgruppenauswahl nicht auf öffentlich gestellt ist. Dies war Ausgangspunkt des streitgegenständlichen Scraping-Vorfalls. Der Kläger registrierte sich zu einem nicht näher bekannten Zeitpunkt auf der Facebook-Plattform mit seiner E-Mailadresse [email protected] und gab dabei die zwingend für die Registrierung erforderlichen und stets öffentlich einsehbaren Daten „Name, Vorname, Geschlecht und Nutzer-ID“ an. Er behauptet ferner, dass er seine Telefonnummer, seine

4  E-Mail-Adresse, das Geburtsdatum und den Wohnort angegeben habe. Die Suchbarkeit der Klagepartei (über die Telefonnummer) war seit dem 14. April 2014 bis mindestens zum Ende des Relevanten Zeitraums auf „Everyone“, d.h. „Alle“, eingestellt (B16, B17, Bl. 90 LG eA). Zu einem nicht mehr näher aufklärbaren Zeitraum zwischen Januar 2018 und September 2019 kam es auf dem von der Beklagten betriebenen sozialen Netzwerk zu zahlreichen Scraping Attacken, von denen mehr als 500 Millionen Nutzer weltweit betroffen waren. Bis April 2018 erfolgten diese Attacken über die Suchfunktion der Facebook-Plattform, bei der über Anfragen fiktiver Nutzer und Telefonnummern öffentlich zugängliche Nutzerinformationen gescraped wurden, sobald eine Telefonnummer einem Nutzer zugeordnet werden konnte. Nach Deaktivierung dieser Suchmöglichkeit erfolgte das Scraping über das sog. Contact-import-Tool (im folgenden CIT), das sich sowohl auf der Facebook-Plattform direkt als auch auf dem an diese angebundenen Facebook-Messenger befand. Dabei wurden künstlich generierte Telefonnummern als vermeintliche Kontakte fiktiver Nutzer hochgeladen, wodurch es in vielen Fällen gelang, die zu diesen Telefonnummern passenden konkret-individuell angezeigten Nutzer zu identifizieren ("one-to-one") und ihnen ihre öffentlichen Nutzerinformationen zuzuordnen. Das CIT) wurde daraufhin von der Beklagten deaktiviert, auf der Plattform am 10.10.2018 und auf dem Messenger am 06.09.2019 und durch die "Personen-die-du-kennen-könntest" (People-you-may-know auch: social-connection check) Funktion ersetzt, die keine one-to-one Zuordnung mehr ermöglicht, sondern den hochgeladenen Kontakten eines Nutzers nur noch eine Liste mehrerer möglicherweise in Betracht kommender Personen anzeigt. Der Kläger, dessen Telefonnummer in der Suchbarkeits-Einstellung im Zeitraum des Scraping-Vorfalls auf „öffentlich“ voreingestellt war, ist - soweit jedenfalls unstreitig - hinsichtlich der nachfolgenden personenbezogenen Datenpunkte:  Telefonnummer  Nutzer ID  Vorname  Nachname  Land  Geschlecht, von diesem Datenschutzvorfall betroffen (Bl. 164 eA LG, vgl. Anl. B17). Hinsichtlich der Email-Adresse des Klägers und weiterer Daten ist die Betroffenheit des Klägers streitig. Gestützt hierauf hat der Kläger erstinstanzlich eine Vielzahl von Datenschutzverstößen durch die Beklagte behauptet, die sich sowohl auf die Erstregistrierung, die Weiterverarbeitung ihrer Daten nach Inkrafttreten der Datenschutzgrundverordnung und die Behandlung des Scraping-Vorfalls nach dessen Bekanntwerden erstrecken. Er hat die Auffassung vertreten, wegen dieser Verstöße und der erlittenen Ängste und Sorgen wegen des eingetretenen Kontrollverlusts stünden ihm immaterieller Schadensersatz und weitere Folgeansprüche zu. Zur weiteren Sachdarstellung wird auf den Tatbestand des Urteils des LG Chemnitz vom 29.06.2023 Bezug genommen. Das Landgericht Chemnitz hat mit dem angefochtenen Urteil - auf das wegen der weiteren Einzelheiten Bezug genommen wird - festgestellt, dass die Beklagte verpflichtet ist, dem

5  Kläger alle zukünftigen Schäden aus dem unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten zu ersetzen. Darüber hinaus hat es die Beklagte verpflichtet, es zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, wie geschehen anlässlich des sogenannten Facebook-Datenleaks und ohne Einholung einer Einwilligung oder Erfüllung sonstiger gesetzlicher Erlaubnistatbestände zu verarbeiten. Zudem hat es die Beklagte zur Zahlung der geltend gemachten vorgerichtlichen Rechtsanwaltkosten verurteilt. Im Übrigen hat es die Klage abgewiesen. Hiergegen haben beide Parteien selbständige Berufungen eingelegt, mit der sie ihr erstinstanzliches Vorbringen wiederholen und vertiefen. Der Kläger beantragt unter Zurückweisung der Berufung der Beklagten das Urteil des Landgerichts abzuändern und insgesamt wie folgt zu erkennen: 1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Telefonnummer (00000000000) sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, künftig entstehen werden. 3. Die Beklagte wird verurteilt, an die Klägerseite für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen. 4. Die Beklagte wird verurteilt, der Klägerseite Auskunft über die die Klägerseite betreffenden weiteren personenbezogenen Daten zu erteilen, die durch Unbefugte erlangt werden konnten, namentlich welche Daten außer der Telefonnummer der Klägerseite durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch „Web Scraping“, die Anwendung des Kontaktimporttools oder auf andere Weise unbefugt erlangt werden konnten. 5. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, unbefugten Dritten über eine

6  Software zum Importieren von Kontakten zugänglich zu machen, wie geschehen anlässlich des sogenannten Facebook-Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand. 6. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, ohne Einholung einer Einwilligung oder Erfüllung sonstiger gesetzlicher Erlaubnistatbestände zu verarbeiten. 7. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 486,83 EUR zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz zu zahlen. Die Beklagte beantragt, Die Berufung des Klägers zurückzuweisen sowie das Urteil des Landgerichts Chemnitz vom 29.06.2023, Az 1 O 1304/22, im Umfang der Beschwer der Beklagten abzuändern und die Klage abzuweisen. Wegen der Einzelheiten des Vorbringens der Parteien in der Berufungsinstanz wird auf ihre Schriftsätze nebst Anlagen verwiesen. II. Die Berufung des Klägers ist unzulässig, soweit er sich gegen die Abweisung des Auskunftsanspruchs wendet und im Übrigen unbegründet. Die Berufung der Beklagten ist zulässig und begründet. Berufung des Klägers Die selbstständige Berufung des Klägers, mit der dieser wegen Datenschutzverstößen immateriellen Schadensersatz (Klageantrag zu 1) begehrt, auch wegen Nichterteilung einer Auskunft (Klageantrag zu 2) und sich gegen die Abweisung eines weiteren Auskunftsanspruchs (Klageantrag zu 4) wendet, hat keinen Erfolg. A. Der Senat hat bereits Zweifel ob die Berufung insofern die Anforderungen an eine wirksame Berufungsschrift erfüllt. 1. Nach § 520 Abs. 3 Satz 2 Nr. 2 ZPO muss die Berufungsbegründung die Umstände bezeichnen, aus denen sich nach Ansicht des Berufungsklägers die Rechtsverletzung und deren Erheblichkeit für die angefochtene Entscheidung ergeben; nach § 520 Abs. 3 Satz 2 Nr. 3 ZPO muss sie konkrete Anhaltspunkte bezeichnen, die Zweifel an der Richtigkeit oder

7  Vollständigkeit der Tatsachenfeststellungen im angefochtenen Urteil begründen und deshalb eine erneute Feststellung gebieten. Erforderlich und ausreichend ist die Mitteilung der Umstände, die aus der Sicht des Berufungsklägers den Bestand des angefochtenen Urteils gefährden; die Vorschrift stellt keine besonderen formalen Anforderungen hierfür auf (vgl. nur BGH, Beschluss vom 04.08.2021, - VII ZB 15/21 - juris - m.w.N.). Zur Bezeichnung des Umstandes, aus dem sich die Entscheidungserheblichkeit der Verletzung materiellen Rechts ergibt, genügt regelmäßig die Darlegung einer Rechtsansicht, die dem Berufungskläger zufolge zu einem anderen Ergebnis als dem des angefochtenen Urteils führt (vgl. BGH, a.a.O.). Die Berufungsbegründung muss aber auf den konkreten Streitfall zugeschnitten sein. Es reicht nicht aus, die Auffassung des Erstgerichts mit formularmäßigen Sätzen oder allgemeinen Redewendungen zu rügen oder lediglich auf das Vorbringen in erster Instanz zu verweisen (vgl. BGH, a.a.O.). Dabei ist aber stets zu beachten, dass formelle Anforderungen an die Einlegung eines Rechtsmittels im Zivilprozess nicht weitergehen dürfen, als es durch ihren Zweck geboten ist (Senat, Beschluss vom 03.11.2022 – 4 U 1473/22 –, Rn. 5, - juris). 2. Vorliegend hat das Landgericht die Klageabweisung hinsichtlich des immateriellen Schadensersatzes mit den konkreten Umständen des Einzelfalles begründet und dabei namentlich darauf abgestellt, dass der Kläger im Ergebnis seiner informatorischen Anhörung im Verhandlungstermin vom 30.05.2023 nicht überzeugend habe darstellen können, dass er infolge des streitgegenständlichen „Scraping-Vorfalls“ und dem damit zwingend einhergehenden Kontrollverlust über seine dabei abgegriffenen Daten ein Unwohlsein erlitten habe. Vielmehr habe er keine Auswirkungen des „Scraping-Vorfalls“ gespürt, da er Spam-Mails und -Nachrichten auch schon zeitlich vor dem Vorfall erhalten und gerade nicht befürchtet habe, dass seine Daten für missbräuchliche und betrügerische Zwecke verwendet würden. Beim Kläger sei daher keine besonders hohe persönliche Betroffenheit festzustellen, er habe auch im Nachhinein keinerlei Anstrengungen unternommen, um sich gegen das Missbrauchsrisiko zu schützen und ihm sei bislang kein Nachteil entstanden. Dem tritt die Berufung nur mit allgemeinen Ausführungen zu den Erwägungsgründen der DSGVO, den Feststellungen des Irischen Datenschutzbeauftragten sowie Marktmacht und Gesamtumsatz der Beklagten entgegen, ohne sich mit den Ausführungen, die zur Teilklageabweisung geführt haben, auseinanderzusetzen. Die Ausführungen zum Schadenersatz wegen unterlassener Auskunft und zum Auskunftsanspruch selbst beschränken sich auf allgemeine dogmatische Ausführungen und zahlreiche Zitate aus Urteilen, die einen Bezug zu den konkreten Ausführungen in der angefochtenen Entscheidung oder eine Auseinandersetzung mit den Gründen nicht erkennen lassen. Schließlich fehlt auch jegliche Auseinandersetzung mit der im Einzelnen begründeten Annahme des Landgerichts, der geltend gemachte Auskunftsanspruch sei durch das Schreiben der Beklagten vom 03.06.2022 bereits erfüllt. Die Berufung tritt dem allein mit Urteilen zu der – hier sich aber nicht stellenden – Frage entgegen, ob eine Erfüllung des Auskunftsanspruches voraussetzt, dass sich die Inhaberschaft an dem jeweils streitgegenständlichen Profil feststellen lasse. B. Selbst wenn man gleichwohl annähme, dass der Kläger in der Berufungsbegründung vom 29.09.2023 sich noch hinreichend mit der angefochtenen Entscheidung auseinandergesetzt hat, bliebe seine Berufung gleichwohl ohne Erfolg. Die hiermit noch geltend gemachten Ansprüche bestehen nicht. 1. Die Leistungsklage ist zulässig.

8  a) Die internationale Zuständigkeit deutscher Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn der Kläger hat seinen gewöhnlichen Aufenthalt in Deutschland. Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung ist eröffnet. b) Der Zahlungsantrag (Klageantrag zu 1) ist hinreichend bestimmt gemäß § 253 ZPO. Dem steht nicht entgegen, dass der geltend gemachte Schadensersatzanspruch auf mehrere behauptete Verstöße gestützt wird. Entgegen der Ansicht der Beklagten liegt keine Häufung unzulässiger alternativer Klagegründe bzw. Streitgegenstände vor. Der Streitgegenstand wird durch den Klageantrag, in dem sich die vom Kläger in Anspruch genommene Rechtsfolge konkretisiert, und den Lebenssachverhalt bestimmt, aus dem der Kläger die begehrte Rechtsfolge herleitet (§ 253 Abs. 2 Nr. 2 ZPO). Zum Anspruchsgrund sind alle Tatsachen zu rechnen, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten Tatsachenkomplex gehören, den der Kläger zur Stützung seines Rechtsschutzbegehrens dem Gericht vorträgt (vgl. BGH, Urteil vom 22.10.2013 – XI ZR 42/12, Rn 15 – juris). Der Kläger begehrt mit dem Klageantrag zu 1) eine Entschädigungsleistung, die sich auf behauptete Verstöße gegen die DSGVO gründet – vor und nach deren Inkrafttreten - infolge der Veröffentlichung seiner Daten und des Scraping-Vorfalls, damit auf einem einheitlichen Lebenssachverhalt und einen dadurch näher bestimmten Streitgegenstand (vgl. Senat, Urteil vom 05.12.2023, 4 U 1094/23, - juris; i.E. ebenso OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 51 - juris; OLG Köln, Urteil vom 7.12.2023,15 U 108/23, Anlagenkonvolut B). Dieser ist dadurch gekennzeichnet, dass der Kläger zum Zeitpunkt des Scrapings auf der von der Beklagten betriebenen Facebook-Plattform angemeldet war. Maßgeblich ist, ob die Beklagte zu diesem Zeitpunkt hinreichende Datenschutzvorkehrungen getroffen hatte, mit denen sie das Abgreifen der Daten hätte verhindern können, und wie sie im Nachhinein mit dem Vorfall umgegangen ist. Miteinander verknüpft sind sämtliche Einzelaspekte dieses Vorgangs durch die Daten, welche die Klagepartei bei der Registrierung hinterlegt hat. Dies stellt bei natürlicher Betrachtung einen einheitlichen Sachverhalt dar. 2. Dem Kläger steht kein Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO zu. a) Ansprüche nach Vorschriften des deutschen Rechts kommen von vornherein nicht in Betracht. Zur Begründung und zur Vermeidung von Wiederholungen wird auf die Ausführungen des Senats in dem Urteil vom 15.12.2023, Az 4 U 1094/23, Bezug genommen. b) Somit allein denkbare Ansprüche aus Art. 82 DSGVO kommen indes ebenfalls nicht in Betracht. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen, wenn die Regelung zeitlich, sachlich und räumlich anwendbar ist, eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO vorliegt sowie ein Schaden der betroffenen Person und ein

9  Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden gegeben ist (EuGH Urteil vom 04.05.2023 - C-300/21, GRUR-RS 2023, 8972 Rn. 36). Soweit der zeitliche Anwendungsbereich der DSGVO betroffen ist, hat die Beklagte zwar gegen Bestimmungen der DSGVO verstoßen. Einen darauf beruhenden kausalen Schaden hat der Kläger indes nicht nachgewiesen. aa) Vorliegend waren nur Datenschutzverstöße nach Inkrafttreten der DSGVO am 25.05.2018 zu berücksichtigen (Art. 99 Abs. 2 DSGVO). Verstöße im Rahmen des Anmeldeprozesses, der beim Kläger vor dem Jahr 2018 erfolgt ist, sind von Art. 82 DSGVO nicht erfasst. Dies betrifft den Vorwurf der unzureichenden Information bei erstmaliger Erhebung seiner Daten im Rahmen der Registrierung (Art. 13 DSGVO) und den Verstoß gegen die Pflicht zu einer Datenschutzfolgenabschätzung (Art. 35 DSGVO) vor Festlegung der Kriterien für die Suchbarkeitsfunktion und die Einführung des CIT. bb) Demgegenüber ist zugunsten des Klägers zu unterstellen, dass der streitgegenständliche Scraping-Vorfall sich entsprechend seinem Vorbringen im Jahr 2019 und damit nach Inkrafttreten der DSGVO ereignet hat, denn die Beklagte hat dies jedenfalls nicht substantiiert in Abrede gestellt. Soweit sie mit Nichtwissen bestreitet, dass seine Telefonnummer vom Facebookprofil abgerufen worden sei, ist dies nicht ausreichend. Der Kläger hatte im relevanten Zeitraum die Suchbarkeit seiner Telefonnummer auf „alle“ gestellt und seine Telefonnummer wurde mit seinem Namen im Darknet veröffentlicht. Die Beklagte hat auch in ihrem vorgerichtlichen Antwortschreiben (Anlage B16) eingeräumt, dass das Nutzerkonto des Klägers von dem Scraping-Vorfall betroffen gewesen ist. Vor diesem Hintergrund genügt ein einfaches Bestreiten nicht.bb). cc) Die Beklagte hat darüber hinaus jedenfalls mit der Belassung der Voreinstellung "alle" in der Suchfunktion gegen Art. 5 Abs. 1 lit. a, b, Art. 6 Abs. 1 Unterabs. 1 DSGVO, Art. 25 Abs. 1 und Abs. 2 DSGVO verstoßen. Insoweit wird zur Begründung auf das bereits vorerwähnte Urteil des Senats vom 15.12.2023, Az 4 U 1094/23, Bezug genommen (dort unter II. 1. b) b. iii, iv). dd) Ob der Beklagten ein Verstoß gegen Melde- und Benachrichtigungspflichten nach Art. 33, 34 DSGVO zur Last fällt, kann ebenfalls dahinstehen. Ebenso braucht hier nicht entschieden zu werden, ob ein solcher Verstoß überhaupt Grundlage für einen Schadensersatzanspruch nach Art. 82 DSGVO sein könnte. In Rechtsprechung und Literatur wird insofern zwar die Auffassung vertreten, die Formulierung in Art. 82 Abs. 1 DSGVO „wegen eines Verstoßes gegen diese Verordnung“ sei vor dem Hintergrund des Erwägungsgrundes 146 weit auszulegen. Art. 82 Abs. 2 S. 1 DSGVO erfasse jede nicht mit der Verordnung in Einklang stehende Verarbeitung (Paal/Pauly, DS-GVO/Frenzel, 3. Aufl. 2021, DSGVO Art. 82 Rn. 8 f.; LG Stuttgart ZD 2023, 278 Rn. 43 f.; LG Aachen v. 10.02.2023 – 8 O 177/22 Rn. 47; LG Paderborn ZD 2023, 290 Rn. 48; BeckOK DatenschutzR/Quaas, 42. Ed. 01.08.2022, DSGVO Art. 82 Rn. 14; Ebner, ZD 2023, 282, beck-online). Zumindest für Verstöße gegen die Melde- und Benachrichtigungspflichten legt jedoch bereits deren Wortlaut nahe, dass diese als rein objektivrechtliche Pflichten zu verstehen sein sollen, die keinen individualschützenden Charakter haben und daher als Schadensersatzgrundlage nicht in Betracht kommen (Becker in: Plath, DSGVO/BDSG/TTDSG, 4. Aufl. 2023, Art. 82 EUV 2016/679, Rn. 3). Dies entspricht auch der Rechtsprechung des EuGH, der zu Art. 17, 18 DSGVO bereits entschieden hat, dass nicht jeder Verstoß gegen Vorschriften der DSGVO die Datenverarbeitung mit der Folge von

10  Ansprüchen auf Löschen oder Einschränkung der Verarbeitung unrechtmäßig macht (EuGH, Urteil vom 04.05. 2023 – C-60/22 –, - juris, Orientierungssatz; vgl. Lapp, jurisPR-ITR 15/2023 Anm. 4). Dies kann jedoch auch dahinstehen, nachdem sich weder dem Klage- noch dem Berufungsvorbringen entnehmen lässt, dass der eingetretene Schaden durch eine rechtzeitige Erfüllung dieser Pflichten noch hätte verhindert werden können (vgl. Senat a.a.O.; ebenso OLG Hamm, aaO. Rn 148, OLG Köln, a.a.O., Gründe S. 18). c) Ob der Kläger darüber hinaus zu Recht weitere Verstöße gegen die DSGVO geltend macht, kann allerdings genauso offenbleiben wie die Frage, ob die Beklagte ihrer Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 32 DSGVO) nachgekommen ist (vgl. EuGH, Urteil vom 14.12.2023, C-340/21, - juris). Denn der Kläger hat einen kausal auf diesen Verstößen beruhenden Schaden nicht nachweisen können. Nach Art. 82 der DSGVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird; der bloße Verstoß gegen Bestimmungen der DSGVO reicht demnach nicht aus (EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 42, - juris; Urteil vom 14.12.2023, C-456/22, 21, - juris) Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person (vgl. EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 50; Urteile vom 14.12.2023, C-340/21, Rn. 84, - juris, und C-456/22,Tenor, S.2, GRUR-RS 2023, 35767; OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 151, - juris). aa) Dass er infolge von Verstößen gegen die DSGVO materielle Schäden erlitten hat, wird vom Kläger bereits nicht behauptet. bb) Ein Schadenersatzanspruch ist aber auch nicht gegeben, soweit der Kläger als Folge von der Beklagten anzulastenden Datenschutzverstößen immaterielle Schäden in Form eines Verlusts der Kontrolle über die ihn betreffenden personenbezogenen Daten verbunden mit dem Gefühl des Kontrollverlusts, des Beobachtetwerdens, der Hilflosigkeit und der Angst erlitten haben will. Da der Erwägungsgrund 146 S. 3 DSGVO für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DSGVO spricht, braucht ein immaterieller Schaden, den die betroffene Person erlitten hat, zwar keinen bestimmten Grad an Erheblichkeit zu erreichen und sind auch immaterielle „Bagatellschäden“ dem Grunde nach nicht ausgeschlossen (EuGH, a.a.O.). So kann auch die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 - C - 340/21, Rn. 82 - juris). Allerdings muss gleichwohl geprüft werden, ob die Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH a.a.O., Rn 85). Die betroffene Person muss auch in einem solchen Fall den Nachweis erbringen, dass sie tatsächlich einen über die bloße Verletzung der Bestimmungen dieser Verordnung hinausgehenden Schaden – so geringfügig er auch sein mag - erlitten hat (vgl. EuGH, a.a.O., C 456/22, Rn. 22). Hiervon ist im Streitfall nicht auszugehen.

11  (a) Ein immaterieller Schaden des Klägers ist nicht festzustellen hinsichtlich derjenigen Daten, deren Angabe für die Registrierung auf der Plattform der Beklagten zwingend erforderlich und auf seinem Profil als „immer öffentlich“ eingestellt waren wie der Name und Vorname, das Geschlecht und die Facebook ID. Dem Erfordernis eines konkreten Schadens liefe es zuwider, würde man in Bezug auf diese Daten bereits einen abstrakten "Kontrollverlust" des - im Ergebnis sogar eines jeden - Plattformnutzers ausreichen lassen. Dem liegt die Annahme zugrunde, dass auch freiwillig auf einem sozialen Netzwerk eingegebene Daten jedenfalls bis zu einer unberechtigten Datenverarbeitung durch den Betreiber oder einen Dritten in der vollständigen Kontrolle des Betroffenen verbleiben. Diese Annahme trifft indes nicht zu, was schon daraus folgt, dass der Nutzer mit dem Beitritt zu einem sozialen Netzwerk in die Verwendung dieser Daten zur Auswahl und Personalisierung von Werbeanzeigen und gesponserten Inhalten (vgl. "Wie verwenden wir diese Informationen? – Werbeanzeigen und andere gesponserte Inhalte" aus der Datenrichtlinie der Beklagten) und in die "Teilung mit Drittpartnern" unter den dort ebenfalls beschriebenen Bedingungen einwilligt. Auch wenn an derartige Drittpartner keine "Informationen, die dich persönlich identifizieren" herausgegeben werden, kommt es aufgrund der Einbindung dieser Daten in einen anonymisierten Datenpool, der anschließend den Werbepartnern zur Verfügung gestellt wird, dazu, dass der Nutzer in der Folge personalisierter Werbung ausgesetzt ist. Aus der Datenrichtlinie "Teilen mit Drittpartnern – Werbetreibende " lässt sich entnehmen, dass dies so weit geht, dass einem "Werbetreibenden" durch die Beklagte bestätigt wird, "welche Facebook-Werbeanzeigen dich dazu veranlasst haben, einen Kauf zu tätigen oder eine Handlung durchzuführen". Unabhängig davon, dass Werbetreibende allein aufgrund dieser Informationen noch nicht die Telefonnummer mit den sonstigen Daten des Nutzers in Verbindung bringen können, kann sich dieser aber allein infolge der Anmeldung zum Netzwerk der Beklagten keineswegs sicher sein, aufgrund seines Nutzerverhaltens nicht von Drittanbietern identifiziert und zu Werbezwecken angesprochen zu werden. Durch das Scraping dieser vom Nutzer freiwillig zur Verfügung gestellten Daten wird der bereits durch die Anmeldung eingetretene Kontrollverlust nach Auffassung des Senats nicht in einer Weise vertieft, dass hieraus ein konkreter immaterieller Schaden abgeleitet werden könnte. Da den entsprechenden Datensätzen ein wirtschaftlicher Wert beigemessen werden kann, kann in einem solchen Kontrollverlust zwar ein – wenngleich geringer – Wert liegen; für einen immateriellen Schaden fehlt es jedoch beim Abgreifen öffentlicher Nutzerdaten an einer konkreten Darlegung. Da zudem jede Weiterverarbeitung von Daten denknotwendig dazu führt, dass dem Nutzer der Überblick, was mit diesen Daten geschehen ist oder wird, immer weiter entgleitet, worin ebenfalls ein "Kontrollverlust" gesehen werden kann, würde die Zuerkennung eines immateriellen Schadens auf dieser Grundlage dazu führen, dass in Widerspruch zur Rechtsprechung des EuGH gerade kein Schaden nachgewiesen werden müsste, sondern letztlich allein der Datenschutzverstoß den Ersatzanspruch nach Art. 82 DSGVO auslösen würde. Der „Kontrollverlust über die Daten“ stellt daher lediglich eine Umschreibung des Gesetzesverstoßes dar, hingegen keinen davon zu unterscheidenden Schaden immaterieller oder materieller Art (vgl. Senat, Urteile vom 05.12.2023, a.a.O., so auch OLG Köln, a.a.O, Gründe S. 10; OLG Stuttgart, Urteil vom 22.11.2023,- 4 U 20/23 -, GRUS-RS, 2023, 32883, Rn. 123; OLG Düsseldorf, Urteil vom 09.03.2023 -16 U 154/21 -, Rn 35 - juris). (b) Hinsichtlich der mit seinem Facebook-Nutzerkonto verbundenen Emailadresse ist der Kläger der Darstellung der Beklagten, diese sei nicht geleakt worden und somit von der Veröffentlichung im Darknet nicht betroffen, nicht entgegengetreten. Mangels Sachvortrags des insoweit darlegungs- und beweisbelasteten Klägers ist ein Schadenersatzanspruch wegen Verstoßes gegen Vorschriften der DSVGO daher nicht begründet. Unabhängig davon

12  hat der Kläger einen immateriellen Schaden wegen eines etwaigen Kontrollverlusts über Email-Daten nicht nachgewiesen. Nach seinen Angaben im Termin zur mündlichen Verhandlung vor dem Landgericht hat der Kläger bereits vor dem streitgegenständlichen Scraping-Vorfall Spam- E-Mails erhalten, so dass sich ein sicherer Zusammenhang mit dem Vorfall jedenfalls nicht herstellen lässt. (c) Der Kläger hat aber auch einen immateriellen Schaden hinsichtlich der Veröffentlichung seines Namens in Verbindung mit seiner Mobilfunknummer nicht nachweisen können. (aa) Es fehlt bereits die Darlegung, wie er mit diesen konkreten Daten vor dem Scraping-Vorfall umgegangen ist und in welchem Umfang er diese Daten an wen weitergegeben hat. Ob in der Tat beim Kläger ein Kontrollverlust hinsichtlich dieser konkreten Daten eingetreten ist, kann nur durch einen Vergleich des Zustandes vor und nach dem Scraping-Vorfall ermittelt werden. Der Sachvortrag des Klägers erschöpft sich insoweit aber in der Wiedergabe der erkennbar für eine Vielzahl von Fällen wortgleich formulierten pauschalen Behauptung, „die Klägerseite gibt die Telefonnummer stets bewusst und zielgerichtet weiter und macht diese nicht wahl- und grundlos der Öffentlichkeit zugänglich, wie etwa im Internet.“. (bb) Die Darstellung, wie der Kläger konkret mit seiner Mobilfunknummer umgeht und an wen er diese auf welchem Weg weitergibt, ist für die Beurteilung eines für die Prüfung des immateriellen Schadensersatzes maßgeblichen Kontrollverlusts schon deshalb nicht entbehrlich, weil es sich dabei dem Grunde nach um Daten handelt, die ihrer Zweckbestimmung nach auf Kommunikation mit Dritten und Offenlegung gegenüber diesen ausgerichtet sind und die im täglichen Leben auch regelmäßig anderen zugänglich gemacht werden. Die Angaben des Klägers zur konkreten Verwendung der Mobilfunknummer waren deshalb keinesfalls entbehrlich. Hinzu kommt, dass die Weitergabe der Mobilfunknummer an Dritte, sei es im privaten oder beruflichen Umfeld, regelmäßig Risiken mit sich bringt, da auch in diesen Fällen Dritte über personenbezogene Daten verfügen und es damit eben nicht mehr der alleinigen Kontrolle des Betroffenen unterliegt, ob diese Personen unbefugt, unabsichtlich oder im Rahmen technischer Vorfälle die Nummer anderen Personen zugänglich machen (so auch überzeugend OLG Köln, a.a.O., Gründe S. 12). Mit der Veröffentlichung der Mobilfunknummer einer benannten Person im Internet ist daher jedenfalls nicht zwangsläufig ein auch nur kurzzeitiger Verlust der Hoheit über diese Daten im Sinne einer zusätzlichen und merklichen Einbuße einer vormals bestehenden - vollständigen - Kontrolle verbunden. (cc) Entgegen der Ansicht des Klägers handelt es sich bei dem Mobilfunkanschluss einer Person gerade nicht um hochsensible Daten, bei denen ein besonders hohes Schutzniveau zu gewährleisten ist. Nach Art. 9 DSGVO i.V.m. Erwägungsgrund 51 sind dies vielmehr nur solche Daten, bei denen im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für Grundrechte und Grundfreiheiten auftreten können, d.h. genetische oder biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung, sowie Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Im Vergleich mit den in Art. 9 DSGVO benannten sensiblen Daten werden bei der Verarbeitung von Mobilfunknummern keine derartigen grundrechtsrelevanten Eingriffsmöglichkeiten eröffnet. (d) Ohnehin steht aus einem - zu Gunsten des Klägers unterstellten - Kontrollverlust, der auf

13  der Veröffentlichung der mit seinem Namen verknüpften Mobilfunknummer im Internet beruht, ein immaterieller Schaden erst dann fest, wenn sich hieraus die konkrete Befürchtung ableiten lässt, dass ein Datenmissbrauch durch Dritte droht. (aa) Dass bereits ein bloßer Kontrollverlust ohne eine solche aus den gegebenen Umständen ableitbare Befürchtung ausreichend wäre, lässt sich entgegen dem Berufungsvorbringen den 75. und 85. Erwägungsgründen nicht entnehmen. In beiden Erwägungsgründen werden Fallbeispiele für Schäden genannt. Diese Aufzählung zeigt, dass der Schaden vergleichbar sein muss u.a. mit einer Diskriminierung, Rufschädigung, finanziellem Verlust, Identitätsdiebstahl, Verlust der Vertraulichkeit von Berufsgeheimnissen oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen. Im 85. Erwägungsgrund wird der Verlust der Kontrolle der Daten als Schaden zwar genannt, jedoch betrifft dieser Erwägungsgrund die Verpflichtung des Verantwortlichen zur Benachrichtigung. Im Erwägungsgrund Nr. 75, der den Schadensersatzanspruch betrifft, wird u.a. ausgeführt, dass es einen Schaden darstellen kann, wenn z.B. die betroffene Person daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren, „wenn aus personenbezogenen Daten die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen“ hervorgehen und wenn „genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilung und Straftaten“ und persönliche Aspekte bewertet werden, insbesondere solche, die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen [betreffen].“, verarbeitet werden. Dies zeigt ebenfalls, dass bestimmte „negative Folgen“ für die betreffende Person eintreten müssen, die im Hinblick auf die konkrete Person eine Missbrauchsbefürchtung rechtfertigen (so jetzt ausdrücklich EuGH, Urteil vom 14.12.2023, C-340/21 Rn. 85). (bb) Eine solche konkrete Befürchtung kann freilich auch bei einer psychischen Beeinträchtigung unterhalb der Schwelle zu einer Angststörung gegeben sein, sofern diese hinreichend konkret dargelegt und glaubhaft gemacht wird. Erforderlich ist hierfür, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat (OLG Hamm, a.a.O., Rn. 164 - 165, - juris). Dies folgt daraus, dass es sich bei solchen Umständen um innere, dem Beweis nur eingeschränkt zugängliche Tatsachen handelt, auf die mittelbar aus äußeren Tatsachen geschlossen werden muss. Hierfür trägt der Anspruchssteller die Darlegungs- und Beweislast mit dem für § 286 ZPO erforderlichen Beweismaß, so dass erst eine Wahrscheinlichkeit ausreicht, die Zweifeln Schweigen gebietet, ohne dieses indes endgültig auszuschließen. Diesen Anforderungen genügt der Vortrag des Klägers nicht. Vorliegend sind gesundheitliche oder psychische Beeinträchtigungen bereits nicht behauptet worden. Dass bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, Grundlage für einen Schadensersatzanspruch sein können, hält der Senat jedenfalls dann für nicht gerechtfertigt, wenn – wie hier – die Veröffentlichung der Mobilfunknummer im Darknet ersichtlich keinerlei Einfluss auf die Lebensführung nach sich gezogen hat und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist (vgl. Senat, a.a.O., OLG Hamm, a.a.O., OLG Stuttgart, a.a.O., OLG Köln, a.a.O.). Dass der Kläger „zusätzlich Zeit und Mühe aufgewendet“ hat, um sich vor drohendem (weiteren) Missbrauch zu schützen, lässt sich nicht feststellen. Aus der Anhörung des Klägers in der mündlichen Verhandlung vor dem Landgericht ergibt sich vielmehr, dass er nach Kenntnisnahme von

14  dem Scraping-Vorfall keine weiteren Konsequenzen aus dem Bekanntwerden seiner Telefonnummer im Darknet gezogen hat. Er hat insbesondere eine Änderung seiner Telefonnummer - zur Vorbeugung gegen den angeblich befürchteten Missbrauch und auch nicht vor dem Hintergrund der geschilderten Schwierigkeiten und Befürchtungen - nicht einmal in Betracht gezogen. Zudem hat er sich nicht von Facebook abgemeldet oder zumindest die sogenannten Suchbarkeitseinstellungen geändert und auch nicht die - auf dem Profil nicht verpflichtend zu hinterlegende - Telefonnummer gelöscht. Hinsichtlich der sogenannten Suchbarkeitseinstellungen hat er vielmehr eingeräumt, dass diese seit Beginn seiner Nutzung von Facebook gleichgeblieben sind. Sein schriftsätzlicher, lediglich pauschal gehaltener Vortrag, er habe sich beobachtet gefühlt, sei hilflos gewesen und sich in Sorge und Angst befunden, lässt sich mit dieser Erklärung nicht in Übereinstimmung bringen. Entsprechend der Würdigung des Klägervorbringens durch das Landgericht, auf die im einzelnen ergänzend Bezug genommen wird, hat sich der Senat keine ausreichende Überzeugung im Sinne des § 286 ZPO davon verschaffen können, dass vom Kläger nur pauschal behauptete, negativen Gefühle oder psychische Beeinträchtigungen - und gegebenenfalls welche - im Zusammenhang mit dem streitgegenständlichen Scraping-Vorfall stehen. (cc) Mangels ausreichend konkreten Sachvortrags lässt sich auch nicht hinreichend sicher feststellen, ob und in welchem Umfang der Kläger durch unerwünschte SMS bzw. Spam-SMS und Nachrichten belästigt wurde und inwieweit dies auf den Scraping-Vorfall zurückzuführen ist. cc) Schließlich lässt sich aufgrund seines Sachvortrags auch der erforderliche Kausalzusammenhang zwischen dem Scraping-Vorfall und den vom Kläger behaupteten Unannehmlichkeiten nicht sicher feststellen. Gegen einen zeitlichen Zusammenhang zwischen dem Auftreten von schriftlichen Anfragen, Kontaktanfragen von dubiosen Frauen über die Plattform bzw. die implementierte Messenger-Funktion und dem streitgegenständlichen Scraping-Vorfall, spricht vielmehr entscheidend, dass im Rahmen seiner informatorischen Anhörung vor dem Landgericht erklärt hat, er habe solche Anfragen bereits lange vor dem Vorfall bekommen und daher selbst keinen Zusammenhang hergestellt. Er habe von dem Scraping-Vorfall erst 2022 über eine Werbeanzeige einer Kanzlei erfahren, dort seine Daten angegeben, eine Prüfung durchgeführt und so erfahren, dass er wohl betroffen sei. Dass er darüber hinaus unerbetene, belästigende oder dubiose Anrufe auf seinem Mobiltelefon erhalten hat, wird von ihm nicht einmal behauptet. Die - insoweit zu seinen Gunsten unterstellte - Übermittlung von dubiosen Anfragen kann zudem grundsätzlich schon deshalb nicht gerade auf den Scraping-Vorfall bei Facebook zurückgeführt werden, weil davon regelmäßig auch Personen, deren Daten nicht gescrapt wurden, in vergleichbarer Weise betroffen sind. Es ist allgemein - und auch den Senatsmitgliedern aus eigener Erfahrung - bekannt, dass Personen, die keine sozialen Netzwerke nutzen, ebenfalls derartige Mitteilungen oder Anrufe erhalten. Ein Zusammenhang zwischen gehäuften Kontaktaufnahmen ab dem Jahr 2021 mit dem Scraping- Ereignis aus dem Jahr 2019, ist daher nicht belegt oder offensichtlich. Die Befürchtung eines Missbrauchs gründet sich vielmehr auf der allgemeinen Gefahr, die mit der Nutzung eines internetfähigen Mobiltelefons einhergeht und die alle Nutzer in ähnlicher Weise trifft und nicht auf den Kontrollverlust durch das Scraping Ereignis. 3. Das Landgericht hat ebenfalls einen Anspruch des Klägers auf Auskunft nach Art. 15 DSGVO (Klageantrag Ziffer 4) zu Recht abgewiesen, denn dieser ist durch das Schreiben der Beklagten vom 23.09.2022 (Anlage K5) erfüllt worden, § 362 BGB. Erfüllt im Sinne des

15  § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Wesentlich für die Erfüllung des Auskunftsanspruchs ist allein die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urteil vom 03.09.2020 - III ZR 136/18, GRUR 2021, 110 Rn. 43 mwN). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll (BGH, Urteil vom 15.06.2021 – VI ZR 576/19 –, Rn. 19 - 20, - juris; Senat, Urteil vom 31.08.2021 – 4 U 324/21 –, Rn. 18, - juris). Dies ist auch hier der Fall. Das zur Akte gereichte anwaltliche Antwortschreiben der Beklagten enthält eine Beschreibung des Scrapings, die Mitteilung, dass die Beklagte keine Kopie der Rohdaten hält, welche abgerufen worden waren und eine Auflistung der Datenpunkte, die gescrapt wurden. Des Weiteren enthält das Schreiben eine Erläuterung des Datenabrufs über die immer öffentlichen Daten, das Facebook-Profil und die Kontaktimportfunktion sowie den Hinweis auf das Handeln möglicherweise mehrerer Scraper. Die Beklagte hat einen link übersandt, auf der über den individuellen Nutzer gespeicherte Daten eingesehen werden können. Ebenso ist ihrer Erklärung zu entnehmen, dass sie die Scraper namentlich nicht kennt. Damit hat die Beklagte zu erkennen gegeben, dass sie vollständig Auskunft erteilt hat. Soweit die Klagepartei weitergehend Auskunft darüber verlangt, wer Empfänger der Daten ist, steht ihrem Anspruch § 275 Abs. 1 BGB entgegen. Insofern weist die Beklagte unwidersprochen darauf hin, dass ihr die Identitäten der Scraper nicht bekannt seien, weswegen ihr eine Auskunftserteilung unmöglich ist. 3. Ein Schadensersatz wegen Verletzung der Auskunftspflicht (Klageantrag Ziff. 3) steht der Klagepartei schon deshalb nicht zu, weil die Beklagte ihre Auskunftspflicht - wie unter Ziffer 2 b) ausgeführt - nicht verletzt hat. Unabhängig davon rechtfertigt die Verletzung der Auskunftspflicht nach Art. 15 DSGVO keinen Schadensersatzanspruch, weil nicht ersichtlich ist, welcher Schaden der Klagepartei daraus entstanden sein soll. Berufung der Beklagten Die Berufung der Beklagten ist zulässig und begründet. A. Die vom Landgericht zugesprochene Feststellungsklage hält der Senat für unzulässig, denn für den Klageantrag Ziffer 2 fehlt das erforderliche Feststellungsinteresse nach § 256 Abs. 1 ZPO. Ein Feststellungsantrag ist bereits dann zulässig, wenn die Schadensentwicklung noch nicht gänzlich abgeschlossen und der Kläger aus diesem Grund nicht im Stande ist, seinen Anspruch deshalb ganz oder teilweise zu beziffern (OLG Hamm, Urteil vom 21.05.2019 – 9 U 56/18). Das Feststellungsinteresse ist daher nur dann zu verneinen, wenn aus der Sicht des Geschädigten keinerlei Besorgnis besteht, zumindest mit dem Eintritt eines Schadens zu rechnen (BGH, Beschluss vom 09.01.2007 –VI ZR 133/06). Vorliegend sind zwar die Daten des Klägers noch im Internet abrufbar; wer bereits in der Vergangenheit darauf zugegriffen

16  hat und dies ggfs. in Zukunft noch in missbräuchlicher Weise tun wird, ist unklar. Dabei kann auch nicht ausgeschlossen werden, dass dem Kläger bereits ein Schaden zugefügt wurde, von dem er bislang nur noch keine Kenntnis hat (LG Freiburg, a.a.O., Rn. 63ff, juris). Andererseits ist die von ihm behauptete Wahrscheinlichkeit eines Schadenseintritts infolge des Scraping-Vorfalls umso unwahrscheinlicher, je länger der Vorfall zurückliegt, denn der Kausalzusammenhang lässt sich nicht mehr beweisen. Im Hinblick darauf, dass vier Jahre nach dem Scraping-Vorfall und dem unbefugten Zugriff Dritter auf die Daten ein kausaler materieller Schaden nicht entstanden ist und auch keine konkreten Anhaltspunkte dafür bestehen, dass dem Kläger eine Gefährdung seines Vermögens drohen könnte, bleibt die Möglichkeit eines Schadenseintritts theoretisch. Im Hinblick auf seinen Vortrag zu dubiosen Kontaktanfragen steht der Annahme eines kausalen Schadens darüber hinaus entgegen, dass eine Gefährdung zu keinem Zeitpunkt bestand, denn er ist weder vor noch nach dem Scraping-Vorfall auf solche Anfragen eingegangen. Zudem hat er solche Anfragen bereits sehr lange vor dem Vorfall erhalten. Der Befürchtung, es könnten materielle Schäden infolge einer - nach dem Scraping-Vorfall - notwendigen Änderung der Telefonnummer eintreten, steht entgegen, dass der Kläger von Anrufen über seine Mobilfunknummer bislang nicht betroffen gewesen ist und den Vorfall bislang nicht einmal zum Anlass genommen hat, seine Suchbarkeitseinstellungen oder die bei Facebook hinterlegte Telefonnummer zu löschen. Kriminelle haben auch keine Kenntnis von „privaten Details“, die ein betrügerisches Vorgehen bei Telefonanrufen erleichtern würden. Es kann nach alledem davon ausgegangen werden, dass mit dem Eintritt eines materiellen Schadens nicht mehr zu rechnen ist (vgl. OLG Hamm, Urteil vom 15.08.2023- 7 U 19/23, Rn. 215 - juris, vgl. Senat, Urteil vom 05.12.2023 - 4 U 709/23 - juris), unabhängig davon, dass ein Feststellungsantrag auch nicht begründet wäre. Die Auffassung des OLG Stuttgart (Urteil vom 22.11.2023 – 4 U 20/23 -, GRUR-RS 2023, 32883, Rn. 92 ff.), das Feststellungsinteresse sei infolge des Kontrollverlusts über die Daten gegeben, teilt der Senat nicht. Dem Vortrag des Klägers lassen sich keine Anhaltspunkte dafür entnehmen, dass im Hinblick auf die konkret betroffenen Daten und das Verhalten des Klägers noch ein materieller Schaden drohen könnte (vergleiche auch OLG Hamm, Urteil vom 15 2823 – 7 U 19/23 –, juris, Rn. 214 ff., so auch OLG Köln, a.a.O., Gründe S. 24). B. Der Kläger hat keinen Anspruch auf Unterlassung gemäß Ziffer 5 seines Klageantrags. 1. Es kann vorliegend dahinstehen, ob im Anwendungsbereich der Datenschutzgrundverordnung ein Unterlassungsanspruch aus Art. 17 DSGVO analog oder §§ 823, 1004 BGB auch dann in Betracht kommt, wenn ein Löschungsanspruch nicht geltend gemacht wird und ob – wie das OLG Hamm aaO. Rn 219 angenommen hat – der Unterlassungsantrag auch deswegen unzulässig ist, weil es sich hierbei um eine verdeckte Leistungsklage handelt, die überdies auf ein zukünftiges Tun gerichtet ist, ohne dass insoweit die Voraussetzungen des § 259 ZPO gegeben sind. 2. Denn der Antrag ist mangels Rechtsschutzbedürfnis unzulässig. Angesichts des Umstandes, dass der Unterlassungsanspruch ausdrücklich mit der möglichen Verwendung der Telefonnummer über das CIT begründet wird, dieses Tool aber unstreitig spätestens seit Oktober2019 nicht mehr besteht, ist jedenfalls ein Rechtsschutzbedürfnis für einen in die Zukunft gerichteten Unterlassungsantrag nicht mehr zu erkennen, unbeschadet der durch den Vorlagebeschluss des BGH (aaO) aufgeworfenen Frage, ob dieser nicht ohnehin von

17  einer Wiederholungsgefahr abhängt. Eine solche Wiederholungsgefahr wäre jedenfalls zu verneinen. Dabei begründet ein einmal erfolgter Vertragsverstoß die tatsächliche Vermutung für seine Wiederholung. Die Verletzung einer Unterlassungsverpflichtung begründet zwar die Vermutung der Wiederholungsgefahr nicht nur für identische Verletzungsformen, sondern auch für andere Vertragspflichtverletzungen, soweit die Verletzungshandlungen im Kern gleichartig sind (BGH, Urteil vom 29.07.2021 – III ZR 192/20 –, Rn. 115 - 116,- juris; Urteil vom 20.06.2013 - I ZR 55/12, NJW 2014, 775 Rn. 18; Beschluss vom 03.04.2014 - I ZB 42/11, NJW 2014, 2870 Rn. 12; jew. m.w.N.). An die Entkräftung dieser Vermutung sind strenge Anforderungen zu stellen. Sie ist ausnahmsweise dann als widerlegt anzusehen, wenn der Eingriff durch eine einmalige Sondersituation veranlasst war (BGH, Urteil vom 27.04.2021 – VI ZR 166/19 –, Rn. 23, -juris; Senat, Beschluss vom 4.10.2021 – 4 W 625/21 –, Rn. 5, - juris). Eine solche Sondersituation ist vorliegend allerdings mit Blick auf die Deaktivierung des CIT und dessen Ersatz durch die people-you-may-know (social-connection-check) Funktion gegeben. Eine solche aufwändige Umprogrammierung der Suchfunktion eines Unternehmens mit weit über einer Milliarde Nutzern erfordert einen derartigen Aufwand, dass nicht davon auszugehen ist, dass diese Umprogrammierung alsbald wieder rückgängig gemacht und die hiervon ausgehende Gefahr erneut in Kauf genommen würde. Dass sich der hier festgestellte Schadenshergang wiederholt, könnte der Nutzer überdies selbst in diesem Fall durch eine einfache Änderung der Voreinstellungen bewirken. Stellt er die Einstellungen von „alle“ auf „nur ich“ zurück, und würden seine Daten dann (erneut) gescraped, so wäre das indes ein anderer Schadenshergang. C. Der unter Ziff. 6 geltend gemachte Antrag, es zu unterlassen, die Telefonnummer des Klägers unter den dort genannten Einschränkungen weiterzuverarbeiten, ist unzulässig. Zum einen ist nach der Formulierung unklar, ob es sich hierbei überhaupt um einen Unterlassungs,- oder nicht vielmehr um einen Antrag auf zukünftige Leistung handelt, ohne dass die Voraussetzungen des § 259 ZPO vorlägen. Es fehlt aber insbesondere an einem Rechtsschutzbedürfnis. Der Antrag ist darauf gestützt, der Beklagten die Weiterverarbeitung auf der Grundlage einer für unwirksam erachteten Einwilligung zu untersagen. Diesem Begehren kann aber mit einem Widerruf dieser Einwilligung nach Art. 7 Abs. 3 DSGVO jederzeit Rechnung getragen werden, ohne dass hierfür ein Unterlassungsanspruch geltend gemacht werden müsste. D. Die Zuerkennung von vorgerichtlichen Rechtsanwaltskosten ist mangels Hauptanspruch nicht begründet. III. Die Kostenentscheidung folgt aus § 91 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit aus §§ 708 Nr. 10 für die Anträge zu 1 und 2, im Übrigen aus § 709 S. 2 ZPO. Die Revision war zuzulassen, nachdem der BGH mit Beschluss vom 26.09.2023 – VI ZR 97/22 dem EuGH weitere Fragen zur Schadensermittlung bei Ansprüchen nach Art. 82 DSGVO gestellt hat, die auch im vorliegenden Verfahren eine Rolle spielen. Die Streitwertfestsetzung beruht auf §§ 48 Abs. 2 GKG, 3 ZPO und orientiert sich überwiegend an den Werten, die der Senat im Beschluss vom 31.07.2023 – 4 W 396/23 –,- juris zugrunde gelegt hat.

18  S...... Z...... P......