Leitsatz: 1. Voreinstellungen eines sozialen Netzwerks sind nach dem Grundsatz der "Datenschutzfreundlichkeit" so auszugestalten, dass nur die Verarbeitung standardmäßig ausgeführt wird, die unbedingt erforderlich ist, um den vorgesehenen rechtmäßigen Zweck zu erreichen; eine Suchbarkeitsvoreinstellung aus "alle" steht hiermit nicht im Einklang (Festhaltung Senat, Urteile vom 5.12.2023, 4 U 709/23 und 4 U 1094/23). 2. Ein "Kontrollverlust" reicht allein für einen immateriellen Schaden im Sinne des Art. 82 DSGVO nicht aus, wenn die hierauf abzielende Befürchtung unter Berücksichtigung der Umstände des Einzelfalls nicht glaubhaft ist; für die eine solche Befürchtung tragenden Umstände, liegt die Beweislast beim Anspruchsteller. 3. Liegt der Datenschutzverstoß (hier "Scraping") bereits mehrere Jahre zurück, reicht die bloß theoretische Möglichkeit, dass es in Zukunft zu einem Schaden kommen könnte, für ein Feststellungsinteresse nicht aus. Auch ein Rechtsschutzinteresse für einen weitergehenden Unterlassungsanspruch besteht dann nicht. OLG Dresden, 4. Zivilsenat, Urteil vom 31. Januar 2024, Az.: 4 U 1168/23

2  Oberlandesgericht Dresden Zivilsenat Aktenzeichen: 4 U 1168/23 Landgericht Chemnitz, 1 O 848/22 IM NAMEN DES VOLKES URTEIL In dem Rechtsstreit M...... H......, ... - Kläger und Berufungsbeklagter - Prozessbevollmächtigte: Rechtsanwälte W...... B...... S......, ... gegen M......, ... vertreten durch den Direktor ... - Beklagte und Berufungsklägerin - Prozessbevollmächtigte: F...... B...... D...... Rechtsanwälte Steuerberater PartG mbB, ... wegen Persönlichkeitsverletzung, Verstöße gegen die Datenschutz-Grundverordnung hat der 4. Zivilsenat des Oberlandesgerichts Dresden durch Vorsitzenden Richter am Oberlandesgericht S......, Richterin am Oberlandesgericht R...... und Richterin am Oberlandesgericht P...... aufgrund der mündlichen Verhandlung vom 23.01.2024 am 30.01.2023 für Recht erkannt: 1. Auf die Berufung der Beklagten wird das Urteil des Landgerichtes Chemnitz vom 05.06.2023 - 1 O 848/22 - aufgehoben und die Klage abgewiesen.

3  2. Die Kosten des Rechtsstreites beider Instanzen trägt der Kläger. 3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110% des jeweils beizutreibenden Betrages vorläufig vollstreckbar. 4. Die Revision wird zugelassen. Beschluss: Der Streitwert des Berufungsverfahrens wird auf 5.500 EUR festgesetzt. Gründe I. Die Klagepartei nimmt die Beklagte als Betreiberin des sozialen Netzwerkes Facebook wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung in der Zeit von 2018 bis 2019 in Zusammenhang mit einem „Scraping Vorfall“ auf immaterielle Entschädigung, Feststellung, Unterlassung und Auskunft in Anspruch. Die Beklagte betreibt in der Europäischen Union das soziale Online-Netzwerk Facebook und bietet Dienste an, die für private Nutzer kostenlos sind. Das Geschäftsmodell der Beklagten basiert auf der Finanzierung durch Online-Werbung, die auf den individuellen Nutzer des sozialen Netzwerks insbesondere nach Maßgabe seines Konsumverhaltens, seiner Interessen, seiner Kaufkraft und seiner Lebenssituation zugeschnitten ist. Die Facebook-Plattform ermöglicht es Nutzern, persönliche Profile zu erstellen und diese mit Freunden oder der Öffentlichkeit zu teilen und sich auszutauschen. Die Klagepartei ist Nutzerin des von der Beklagten betriebenen sozialen Netzwerkes Facebook, auf das sie nach Registrierung auf der Website oder über Apps für Mobiltelefone und Tablets zugreifen kann. Mit der Registrierung wird jede Klagepartei auf die Datenschutz- und Cookierichtlinien der Beklagten hingewiesen und muss den Nutzungsbedingungen zustimmen, wodurch ein Nutzungsvertrag abgeschlossen wird. Hierbei sind die Angabe des Vor- und Nachnamens, des Geschlechtes und eine generierte Nutzer-ID zwingende Voraussetzung für die Registrierung. Diese Daten sind stets öffentlich. Bei der Angabe von weiteren fakultativen Daten (z. B. Geburtsdatum, Wohnort, E-Mail-Adresse und Telefonnummer) können in der Privatsphäreneinstellung unterschiedliche Einstellungen gewählt werden. Der Nutzer kann entscheiden, ob diese Daten für alle, also „öffentlich“ oder für „Freunde“ oder „Freunde von Freunden“ einsehbar sind. Bei der Zielgruppenauswahl wird festgelegt, wer einzelne Informationen im Facebook-Profil des Nutzers sehen kann, bei der Suchbarkeitseinstellung, wer das Profil eines Nutzers z. B. anhand einer Telefonnummer finden kann. Die Standardeinstellung für die Suchbarkeit nach der Telefonnummer war während des relevanten Zeitraumes „alle“. Das Auffinden eines Nutzerprofils auf der Facebook-Plattform mittels einer Telefonnummer fand u. a. mit dem von der Beklagten angebotenen Contact Import Tool (CIT) statt. Das CIT ermöglichte es Nutzern, ihre Kontakte von ihren Mobilgeräten auf der Facebook - Plattform zu finden und mit ihnen in Verbindung zu treten. Die Klagepartei ist bei Facebook registiert. Die Suchbarkeitseinstellung bezüglich der Telefonnummer war ab dem 15.02.2015 auf „alle“ gestellt (Anlage B17). Die Telefonnummer war auf dem Facebook-Profil nicht öffentlich einsehbar.

4  Im Zeitraum von Januar 2018 bis September 2019 kam es auf der Facebook-Plattform zu einem sogenannten Scraping, also dem massenhaften, automatisierten Sammeln persönlicher Daten von Facebook-Nutzern. Dritte nutzten hierfür das Contact Import Tool und luden einen großen Satz von Telefonnummern bzw. Ziffernkombinationen hoch, um festzustellen, ob diese mit Facebook-Nutzern übereinstimmen. Sie konnten so den generierten Telefonnummern ein bestimmtes Nutzerprofil zuordnen und die öffentlich einsehbaren Daten - das heißt die stets zwingend öffentlichen Daten und die vom Nutzer öffentlich eingestellten Daten - einsehen. Dies bemerkte die Beklagte für die Facebook Plattform im Laufe des Jahres 2018 und deaktivierte das CIT im Oktober 2018. Als es auch bei dem Messenger zum Scraping kam, wurde es auch dort im September 2019 deaktiviert. Anfang April 2021 wurden in einem Hackerforum die Namen und teilweise weitere Daten, wie z. B. Telefonnummer und Wohnort, von 533 Mio Nutzern veröffentlicht. Am 06.04.2021 veröffentlichte die Beklagte eine Information über das Scraping (Anlage B10). Die Klagepartei ist von dem Datenschutzvorfall betroffen. Nach ihrem Vorbringen sind Name, Telefonnummer, Facebook-ID, Geschlecht, Wohnort und Land veröffentlicht. Die irische Datenschutzbehörde (DPC) hat gegen die Beklagte wegen dieses Scraping-Vorfalls am 25.11.2022 eine Geldbuße in Höhe von 265 Mio EUR verhängt und der Beklagten unzureichende Sicherheitsmaßnahmen vorgeworfen. Der Bescheid wurde von der Beklagten angefochten. Die Klagepartei hat im Juni 2021 die Beklagte zur Zahlung von Schadensersatz und zur Unterlassung der zukünftigen Zugänglichmachung von Daten aufgefordert und Auskunft darüber begehrt, welche konkreten Daten vom Scraping betroffen waren. Mit Schreiben vom 09.09.2021 hat die Beklagte darauf geantwortet (Anlage B16). Die Klagepartei hat behauptet, dass die Beklagte keine ausreichenden Vorkehrungen zum Schutz der Daten ergriffen habe. Es seien keine branchenüblichen Sicherheitsmaßnahmen, wie Captchas oder eine Plausibilitätsüberprüfung der Anfragen im CIT eingerichtet worden. Die Einstellungen und Hinweise zur Privatsphäre bei der Registrierung seien undurchsichtig und verwirrend gestaltet. Eine Information über etwaige Risiken sei nicht erfolgt. Die Voreinstellungen seien nicht datenschutzfreundlich und würden daher dem Prinzip der Datenminimierung widersprechen. Durch die Pflichtverletzungen der Beklagten, sei es zu einer Veröffentlichung ihrer Daten im Darknet gekommen. Der Beklagten sei zudem vorzuwerfen, dass sie ihren Informationspflichten nicht nachgekommen sei. Sie habe über den Datenschutzvorfall weder die Klagepartei noch die zuständige Behörde informiert. Die Daten könnten zu kriminellen Zwecken missbraucht werden. Die Klagepartei habe wegen des Scraping in erheblichem Ausmaß die Kontrolle über ihre abgegriffenen Daten verloren und sei vermehrt von Unbekannten via E-Mail und SMS kontaktiert worden. Dies führe zu großen Sorgen über einen möglichen Missbrauch der Daten und stelle einen immaterieller Schaden dar. Ein materieller Schaden sei zu befürchten. Die Beklagte sei zur Unterlassung ihrer rechtwidrigen Datenverarbeitung verpflichtet. Die vorgerichtlichen Auskünfte seien unzureichend. Die Beklagte hat behauptet, die Daten seien nicht durch mangelhafte Sicherheitssysteme in die Hände Dritter gefallen. Es liege nur ein automatisiertes massenhaftes Sammeln ohnehin öffentlicher und damit nicht vertraulicher Daten vor. Daten wie z. B. „Bundesland“ seien nicht durch Scraping erlangt worden, da sie nicht den Profilfeldern der Plattform entsprächen. Sie habe ausreichende technische und organisatorische Vorkehrungen gegen das Scraping

5  getroffen. So habe sie Übertragungsbeschränkungen eingesetzt, die die Anzahl der konkreten Datenabfragen, die pro Nutzung der IP-Adresse in einem bestimmten Zeitraum gestellt werden können, reduziere. Sie beschäftige ein Team von Mitarbeitern, um Scrapingaktivitäten zu erkennen und zu verhindern. Sie habe auch Captcha-Abfragen (automatisierter Turing Test, um Computer von Menschen zu unterscheiden) genutzt. Dies sei eine Möglichkeit herauszufinden, ob hinter einer Anfrage ein menschlicher Nutzer stehe. Gänzlich verhindern lasse sich das Scraping öffentlich einsehbarer Daten nicht. Des Weiteren habe die Beklagte die CIT-Funktion nach dem Vorfall dergestalt geändert, dass sie die Anzeige direkter Kontaktübereinstimmungen durch eine Liste mit Kontaktvorschlägen, der „Menschen, die Du kennen könntest“- Funktion ersetzt habe. Die Datenrichtlinien und die Hinweise zur Privatspähreneinstellung seien hinreichend klar. Die Beklagte habe z. B. einen Privatssphärencheck angeboten, in dem die Nutzer ihre Einstellungen überprüfen konnten. Der Klageantrag Ziffer 1 auf Zahlung sei unzulässig, weil er nicht ausreichend bestimmt sei. Es werde eine Vielzahl vermeintlicher Verstöße gerügt, diese stellten unterschiedliche Streitgegenstände dar. Es sei nicht ersichtlich, womit der immaterielle Schaden begründet werde. Ein erstattungsfähiger immaterieller Schaden sei nicht entstanden. Soweit ein Kontrollverlust und Sorgen vor einer Weiterverbreitung der Daten beklagt würden, finde sich der identische Vortrag auch in den weiteren ca. 6.000 Klagen gegen die Beklagte. Der Kontrollverlust sei kein erstattungsfähiger Schaden. Für den Feststellungsantrag Ziffer 2 fehle es an einem Feststellungsinteresse, denn es sei fernliegend, dass mit den gescrapten Daten ein Vermögensschaden der Klagepartei noch herbeigeführt werden könne. Jedenfalls fehle eine hinreichende Wahrscheinlichkeit des Schadenseintritts. Die abgegriffenen Daten erhöhten nicht die Gefahr schwerwiegender Internetverbrechen, denn die Daten seien ohnehin öffentlich einsehbar gewesen. Der Klageantrag Ziffer 3 sei unzulässig, da er nicht hinreichend bestimmt sei. Der Auskunftsanspruch bestehe schon deshalb nicht, weil die Auskunft erteilt worden sei. Das Landgericht Chemnitz hat der Klage mit Urteil vom 05.06.2023 - auf das wegen der Einzelheiten Bezug genommen wird - teilweise stattgegeben und die Beklagte zur Zahlung von Schadensersatz in Höhe von 500,00 € und zur Unterlassung gemäß Antrag Ziffer 3 a verurteilt und festgestellt, dass die Beklagte zur Erstattung von künftigen Schäden verpflichtet ist. Im Übrigen hat es die Klage abgewiesen. Hiergegen richtet sich die Berufung der Beklagten. Sie meint, dass die Informationspflichten ebenso wie die Benachrichtigungspflichten kein Anknüpfungspunkt für einen Schadensersatzanspruch sein könnten. Ein Schadensersatzanspruch könne allenfalls auf Pflichtverstöße gestützt werden, die im Rahmen der Verarbeitung geschehen seien. Unabhängig davon fehle es auch an einem Verstoß der Beklagten gegen die Regelungen der Datenschutzgrundverordnung. Der Informationspflicht sei die Beklagte durch Bereitstellung der neuen, an die DSGVO angepassten Datenrichtlinie im April 2018 nachgekommen (Anlage B20). Sie sei aber nicht verpflichtet gewesen, über die Funktionsfähigkeit des CIT aufzuklären. Die Daten seien rechtmäßig gemäß Art. 6 Abs. 1 Satz 1b DSGVO erhoben worden. Die Beklagte habe auch ihre Pflicht zur Implementierung angemessener technischer und organisatorischer Maßnahmen nicht verletzt. Es habe keine unbefugte Offenlegung stattgefunden, denn die Möglichkeit Nutzerprofile mit Hilfe der CIT zu suchen, sei im Einklang mit den individuellen Privatsphäreeinstellungen erfolgt. Eine Benachrichtigungspflicht des Nutzers liege nicht vor, weil kein hohes Risiko für dessen persönliche Freiheiten vorgelegen habe. Eine Verletzung der Pflicht, datenschutzfreundliche Voreinstellungen zu wählen, liege ebenfalls nicht vor, denn diese Suchfunktion diene dem Unternehmenszweck, Menschen miteinander zu verbinden. Die Beklagte treffe jedenfalls

6  kein Verschulden. Im Übrigen liege kein Schaden vor. Der bloße Kontrollverlust reiche nicht aus. Es sei fernliegend, dass unbefugte Dritte mit den betroffenen Daten einen Vermögensschaden der Klagepartei herbeiführen könnten, zumal seit dem Scraping-Sachverhalt über drei Jahre vergangen seien. Ein Unterlassungsanspruch bestehe nicht. Ein Rückgriff auf nationales Recht sei entsprechend den Regelungen der Datenschutzgrundverordnung ausgeschlossen. Darüber hinaus liege keine Wiederholungsgefahr vor. Zudem sei das Begehren rechtsmissbräuchlich. Es sei widersprüchlich, dass die Klagepartei die Plattform nutzen wolle, was voraussetze, dass bestimmte Daten angegeben werden, die stets öffentlich seien, andererseits aber die Beklagte verpflichtet werden sollte, es zu unterlassen, diese Daten Dritten zugänglich zu machen. Dies sei nicht möglich. Die Beklagte beantragt, das Urteil des Landgerichtes Chemnitz vom 05.06.2022, Az. 1 O 848/22 im Umfang der Beschwer der Beklagten abzuändern und die Klage abzuweisen. Die Klagepartei beantragt, die Berufung zurückzuweisen. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die gewechselten Schriftsätze nebst Anlagen sowie die Protokolle der mündlichen Verhandlungen Bezug genommen. II. A Die internationale Zuständigkeit deutscher Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn die Klagepartei hat ihren gewöhnlichen Aufenthalt in Deutschland. Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung ist eröffnet. B Die zulässige Berufung der Beklagten ist begründet. 1. Der Klagepartei steht kein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DSGVO zu. 1.1 Der Zahlungsantrag ist hinreichend bestimmt gemäß § 253 ZPO. Dem steht nicht entgegen, dass der geltend gemachte Schadensersatzanspruch auf mehrere behauptete Verstöße gestützt wird. Entgegen der Ansicht der Beklagten liegt keine Häufung unzulässiger alternativer Klagegründe bzw. Streitgegenstände vor. Der Streitgegenstand wird durch den Klageantrag, in dem sich die vom Kläger in Anspruch genommene Rechtsfolge konkretisiert, und den Lebenssachverhalt bestimmt, aus dem der

7  Kläger die begehrte Rechtsfolge herleitet (§ 253 Abs. 2 Nr. 2 ZPO). Zum Anspruchsgrund sind alle Tatsachen zu rechnen, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten Tatsachenkomplex gehören, den der Kläger zur Stützung seines Rechtsschutzbegehrens dem Gericht vorträgt (vgl. BGH, Urteil vom 22.10.2013 – XI ZR 42/12, Rn 15 – juris). Die Klagepartei begehrt mit dem Klageantrag zu 1) eine Entschädigungsleistung, die sich auf behauptete Verstöße gegen die DSGVO gründet - vor und nach deren Inkrafttreten - infolge der Veröffentlichung ihrer Daten und des Scraping-Vorfalls, damit auf einem einheitlichen Lebenssachverhalt und einen dadurch näher bestimmten Streitgegenstand (i.E. ebenso OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 51 - juris). Dieser ist dadurch gekennzeichnet, dass die Klagepartei zum Zeitpunkt des Scrapings auf der von der Beklagten betriebenen Facebook-Plattform angemeldet war. Maßgeblich ist, ob die Beklagte zu diesem Zeitpunkt hinreichende Datenschutzvorkehrungen getroffen hatte, mit denen sie das Abgreifen der Daten hätte verhindern können, und wie sie im Nachhinein mit dem Vorfall umgegangen ist. Miteinander verknüpft sind sämtliche Einzelaspekte dieses Vorgangs durch die Daten, welche die Klagepartei bei der Registrierung hinterlegt hat. Dies stellt bei natürlicher Betrachtung einen einheitlichen Sachverhalt dar. 1.2. Der Klagepartei steht kein Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO zu. Die Beklagte hat zwar bei der Verarbeitung der Daten gegen die Bestimmungen der DSGVO verstoßen (a), jedoch ist der Klagepartei daraus kein kausaler Schaden entstanden (b). a) Die Beklagte hat in mehrfacher Hinsicht bei der Datenverarbeitung gegen die DSGVO verstoßen. Sie hat gegen das Gebot der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DSGVO verstoßen (aa). Die Handynummer wurde ohne rechtfertigenden Grund nach Art. 6 DSGVO verarbeitet (bb). Offenbleiben kann, ob sie ausreichende technische und organisatorische Maßnahmen nach Art. 24, 32 DSGVO ergriffen hat (cc) und ob sie ihrer Benachrichtigungspflicht aus Art. 34, 25 DSGVO und ihrer Auskunftspflicht aus Art. 15 DSGVO nachgekommen ist (dd). Verstöße im Rahmen des Anmeldeprozesses fallen aus dem zeitlichen Anwendungsbereich der DSGVO heraus, da die Klagepartei den Registrierungsprozess bereits im Jahr 2011/2012 vorgenommen hat. Die Datenerhebung war insoweit vor dem 25.05.2018 abgeschlossen. Allerdings unterfällt die zeitlich nach dem 25.05.2018 liegende Weiterverarbeitung der Daten den Anforderungen der DSGVO, denn aus Erwägungsgrund 171 Satz 2 DSGVO sowie aus Art. 4 Nr. 2 DSGVO und Art. 24 Abs. 1 DSGVO ergibt sich die Pflicht, die Datenverarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO bereits begonnen hatten, bis zum 25.05.2018 in Einklang mit der Verordnung zu bringen (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 72 - juris; vgl. auch Generalanwalt P...... Schlussanträge v. 27.4.2023 - C-340/21, Rn. 43 - juris). Zudem folgt aus Erwägungsgrund 171 Satz 3 DSGVO, dass die Beklagte zum 25.05.2018 zur Einholung neuer Einwilligungen verpflichtet gewesen ist, soweit bereits bestehende Einwilligungen nicht den Anforderungen an diese Verordnung entsprachen.

8  Es ist davon auszugehen, dass das Scraping nach dem 24.05.2018 erfolgte, da die Beklagte im Rahmen ihrer sekundären Darlegungslast nicht vorgetragen hat, dass sich der Vorfall vor dem Inkrafttreten der DSGVO ereignet hat aa) Die Beklagte hat gegen Art. 25 Abs. 2 DSGVO verstoßen, denn in dem relevanten Zeitraum war die Standardeinstellung für die Suchbarkeit nach der Telefonnummer auf „alle“ und damit nicht datenschutzfreundlich (data protection by default) auf „nur ich“ eingestellt. Dies hat die Beklagte eingeräumt. Nach Art. 25 Abs. 2 DSGVO muss die Beklagte geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch die Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Bei der Registrierung soll dem Betroffenen nämlich gewährleistet werden, dass er nur in eine solche Verarbeitung einwilligt, die die Veröffentlichung seiner Daten ohne sein Eingreifen kategorisch ausschließt (vgl. LG Freiburg (Breisgau), Urteil vom 15.09.2023 - 8 O 21/23, Rn 122 - juris). Der Betreiber eines sozialen Netzwerks soll damit verpflichtet werden, die Default-Einstellungen so zu treffen, dass Inhalte der Nutzer nicht standardmäßig mit anderen Nutzern oder Dritten geteilt werden (vgl. LG Freiburg a.a.O.). Als Voreinstellung ist daher der kleinstmögliche Empfängerkreis vorzusehen (vgl. LG Freiburg (Breisgau), Urteil vom 15.09.2023 - 8 O 21/23, Rn 122 - juris). Da der Kläger sich bereits vor dem 25.05.2018 registriert hat, hatte die Beklagte sicherzustellen, dass die datenschutzunfreundliche Voreinstellung zum 25.05.2018 unter Abkehr des „opt-out“ Systems geändert wird (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 128 - juris). Hierfür ist nichts ersichtlich. Die gewählte Voreinstellung war zur Erfüllung des Vertragszweckes nicht erforderlich, denn der Nutzer konnte auch ohne die Einstellung der Suchbarkeit auf „alle“ nach der Telefonnummer mit anderen in Kontakt treten und sich austauschen. Personen, die bereits über die Telefonnummer eines anderen Nutzers verfügen, können ohne weiteres mit ihm in Kontakt treten und sich auf facebook vernetzen. Es ist auch nicht ersichtlich, dass für den Geschäftszweck des Netzwerkes, personalisierte online Werbung zu platzieren, eine solche Sucheinstellung erforderlich war, zumal der Nutzer die Einstellung auch auf „nur ich“ setzen und die Plattform gleichwohl nutzen konnte. Die Verletzung dieser Regelung hat auch dazu geführt, dass die Klagepartei es bei der Voreinstellung belassen hat und ihre Telefonnummer von den Scrapern ihrem Profil zugeordnet werden konnte. bb) Die Beklagte hat die Handynummer der Klagepartei mit der ab dem 25.05.2018 fortgesetzten Verarbeitung in der Suchbarkeitsfunktion ohne ausreichenden Rechtfertigungsgrund gemäß Art. 6 DSGVO verarbeitet. Die weitere Datenverarbeitung ist nur dann rechtmäßig, wenn ab diesem Zeitpunkt mindestens einer der Bedingungen des Art. 6 DSGVO vorliegt. Dies ist nicht der Fall. (a) Die Verarbeitung war zur Erfüllung des Vertragszweckes nicht erforderlich i.S.d. Art. 6 Abs.1 b) DSGVO. Damit eine Verarbeitung personenbezogener Daten als für die Erfüllung eines Vertrags erforderlich im Sinne von Art. 6 Abs.1 b) DSGVO angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger

9  Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, dass der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte (vgl. EuGH, Urteil vom 04.07.2023 - C - 252/21, Rn 98 - juris; vgl. OLG Hamm Urteil vom 15.08.2023 - 7 U 19/23, Rn 97 - juris). Dafür ist nichts ersichtlich. Der Contact Import Tool mag zwar für den Nutzer praktisch sein, aber zur Nutzung der Plattform ist die Funktion nicht notwendig. Der Nutzer kann facebook auch nutzen, ohne seine Telefonnummer in der Suchbarkeitsfunktion auf „alle“ zu setzen. Die Beklagte hat jedenfalls nicht dargetan, dass die Funktion unerlässlich für die Vertragsdurchführung gewesen ist. Die fehlende Erforderlichkeit der Auffindbarkeit über das CIT Tool ergibt sich schon daraus, dass die Angabe der Telefonnummer bei der Anmeldung bei Facebook nicht zwingend ist und das CIT im Jahr 2018 für den PC und 2019 für den Messenger Dienst ausgeschaltet wurde, ohne dass die Nutzbarkeit der Plattform wesentlich gelitten hätte. Auf die Ausführungen unter aa) wird im Übrigen Bezug genommen. (b) Die Beklagte konnte sich ab dem 25.05.2018 nicht auf eine wirksame Zustimmung der Klagepartei stützen, Art. 6 Abs.1 a), Art. 5 Abs.1 a), Art. 13 Abs.1 DSGVO, da sie diese über die Zwecke der Verarbeitung der Telefonnummer nicht transparent informiert hat. Die Beklagte kann sich insoweit nicht auf die vor dem 25.05.2018 erklärte Einwilligung stützen, denn diese konnte unter der Geltung der DSGVO keine rechtfertigende Wirkung mehr entfalten (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 114 - juris). Nach Erwägungsgrund Nr. 171 DSGVO musste eine vorab erteilte Einwilligung bereits den Bedingungen der DSGVO entsprechen, um fortzugelten. Daran fehlt es. Denn auch die im April 2018 von der Beklagten zur Verfügung gestellten Bedingungen genügen den Anforderungen der DSGVO nicht (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 114 - juris). Auf eine wirksame Zustimmung beruft sich die Beklagte letztendlich nicht, sie liegt auch nicht vor. Die wirksame Zustimmung setzt die Information des Nutzers nach Art. 5 Abs.1 a) DSGVO und Art. 13 Abs. 1 DSGVO voraus. Es ist bei der Einwilligung eine Voraussetzung ihrer Wirksamkeit, dass über die Datenverarbeitungsvorgänge Transparenz hergestellt wird, bevor die betreffende Person die Einwilligung erteilt (vgl. Taeger in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 6 Rn 37; vgl. OLG Hamm, Urteil vom 25.08.2023 - 7 U 19/23, Rn 113 - juris). Art. 13 Abs. 1 c) DSGVO verlangt bei der Erhebung personenbezogener Daten bei der betroffenen Person, dass der Verantwortliche der Person zum Zeitpunkt der Erhebung der Daten die Zwecke mitteilt, für die die personenbezogenen Daten verarbeitet werden sollen. Dabei sind alle Zwecke anzugeben, die die verantwortliche Stelle im Zeitpunkt der Erhebung verfolgt (vgl. LG Freiburg, Urteil vom 15.09.2023 - 8 O 21/23, Rn 88 - juris). Die Informationspflicht aus Art. 13 DSGVO soll die betroffenen Personen von Beginn an in die Lage versetzen, bestimmen und einschätzen zu können, wer was wann über sie weiß (vgl. LG Freiburg, Urteil vom 15.09.2023 - 8 O 21/23, Rn 88 - juris). Nach ihrem Zweck müssen die Informationspflichten (ggf. unmittelbar) vor Beginn der Datenerhebung erfüllt werden. Denn die Informationen sollen der betroffenen Person auch ermöglichen, darüber zu entscheiden, ob sie in die Verarbeitung ihrer Daten einwilligt bzw. ob sie hiergegen Einwände erhebt. Dieser Zweck würde bei einer Information nach Beginn der Datenerhebung verfehlt oder zumindest beeinträchtigt (LG Freiburg a.a.O.). Die von der Beklagten vorgelegte Anlage B 6 enthält keinen Hinweis, dass die Klagepartei allein anhand der angegebenen Telefonnummer, die nicht „öffentlich“ sichtbar ist, gefunden werden kann. Wörtlich weist die Beklagte zur Verwendung der Handynummer auf folgendes

10  hin: „Um dir Personen, die du kennen könntest, vorzuschlagen, damit du dich mit ihnen auf Facebook verbinden kannst.“ Damit ist die Suchbarkeit mittels CIT nicht ausreichend klar umschrieben. Eine ausreichende Aufklärung erfolgt auch nicht unter der Rubrik „So kann man dich finden und kontaktieren“ aus dem Unterpunkt „Wer kann dich anhand der angegebenen Telefonnummer finden?“ „Alle“ hingewiesen wird. Denn daraus ergibt sich für den Nutzer nicht mit ausreichender Klarheit, dass er allein anhand der Telefonnummer gefunden werden kann, auch wenn diese nicht „öffentlich“ einsehbar ist. Aus der vorgelegten Anlage B 20 ergibt sich lediglich, wie die Beklagte die Daten für Werbezwecke nutzen wird, es lässt sich den Informationen aber nicht entnehmen, wie die Telefonnummer für die Suchbarkeit von Dritten genutzt werden kann. Die Registrierungsseite von Facebook weist auf die – verlinkte – Datenrichtlinie hin. Dort wurde der Nutzer jedoch nicht darüber aufgeklärt, dass und wie seine Telefonnummer im Rahmen des Einsatzes des CIT verwendet wird. Insbesondere wurde ihm nicht verdeutlicht, dass die Telefonnummer ohne Veränderungen der Einstellungen angesichts der Standardvoreinstellung für die Suchbarkeit über die Telefonnummer auf „für alle“ bereits mit deren Angabe genutzt werden kann, um ihn auf Facebook und insbesondere auch über das CIT zu finden. Dazu hätte dem Nutzer erläutert werden müssen, dass die Verwendung des CIT der Messenger App es anderen Benutzern ermöglicht, mittels Abgleichs von in deren Smartphone gespeicherten Telefonkontakten mit der Mobilfunknummer des Nutzers im Falle eines „Treffers“ dessen Benutzerprofil als „Freund“ hinzufügen und auf die entsprechenden Daten zuzugreifen (so LG Freiburg (Breisgau)); Urteil vom 15.09.2023 - 8 O 21/23, Rn 90 - juris). cc) Im Hinblick auf die unter aa) und bb) festgestellten Verstöße der Beklagten kann offenbleiben, ob sie zudem gegen ihre Verpflichtung verstoßen hat, ausreichende geeignete technische und organisatorische Maßnahmen zu treffen, um die personenbezogenen Daten gegen unbefugte Zugriffe Dritter zu schützen, Art. 24, 32 DSGVO. dd) Offenbleiben kann ebenfalls, ob die Beklagte ihre Benachrichtigungspflicht aus Art. 34 DSGVO gegenüber der Klagepartei, aus Art. 33 DSGVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DSGVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich (vgl. hierzu auch OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 147 - juris). Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen Anrufe sowie spam sms und spam e-mails können nur auf dem Scraping Vorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein. Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DSGVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rechtsprechung des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DSGVO voraus (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, Rn 36 - juris; vgl. Moos/Schlefzig in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 82 Rn 22). Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund

11  einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. b) Aus den aufgeführten Verstößen gegen die DSGVO ist der Klagepartei aber kein kausaler immaterieller Schaden gemäß Art. 82 DSGVO entstanden. Ihr obliegt die Darlegungs- und Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und dem Schaden. Dieser Beweis ist nicht erbracht worden. Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (so EuGH Urteil vom 04.05.2023 - C - 300/21, Rn 36 - juris). Der europäische Gerichtshof stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, 49, 50 - juris). Allerdings muss der Schaden tatsächlich und sicher entstanden sein (vgl. EuGH, Urteil vom 04.04.2017 - C - 337/15, Rn 91 - juris). Hierbei hat der Europäische Gerichtshof in einem behaupteten Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schanden gesehen (vgl. EuGH, Urteil vom 04.04.2017 - C - 337/15, Rn 95 - juris). aa) Durch den Kontrollverlust der Mobiltelefonnummer und deren Veröffentlichung im Darknet ist kein materieller Schaden eingetreten. Dies behauptet die Klagepartei auch nicht. bb) Der Kontrollverlust der Daten und deren Veröffentlichung im Darknet hat im vorliegenden Fall zu keinem immateriellen Schaden im Sinne von Art. 82 DSGVO bei der Klagepartei geführt. Soweit die Daten der Klagepartei ohnehin öffentlich einsehbar sind - wie Vor- und Nachname, Geschlecht und Nutzer ID - liegt schon objektiv kein Kontrollverlust vor. Denn diese Daten sind mit der Registrierung anzugeben und zwingend stets öffentlich und für jedermann weltweit einsehbar. Auch ohne Scraping ist ein Auslesen dieser Daten und deren Verbreitung im Internet jederzeit möglich. Mit der Registrierung bei der Beklagten standen diese stets öffentlichen Daten nicht mehr unter der ausschließlichen Kontrolle der Klagepartei. Sie hat vielmehr bewusst auf die Kontrolle verzichtet. Aber auch der Kontrollverlust der Mobilnummer begründet im vorliegenden Fall für die Klagepartei keinen Schadensersatzanspruch. Nach der Rechtsprechung des EuGH (Urteil vom 14.12.2023 C - 340/21 - juris) kann der Kontrollverlust grundsätzlich einen immateriellen Schaden begründen. Aus dieser beispielhaften Aufzählung im Erwägungsgrund Nr. 85 der „Schäden“, die den betroffenen Personen entstehen können geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine

12  missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 - C - 340/21, Rn 82 - juris). Allerdings muss eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (vgl. EuGH, a.a.O. Rn 84). Wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist aber gleichwohl zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH a.a.O., Rn 85). An dem Erfordernis eines kausalen Schadens hat der Europäische Gerichtshof festgehalten. Die betroffene Person muss die Tatsachen, die dazu führen können, dass ein „tatsächlich erlittener immaterieller Schaden“ infolge der Verletzung des Schutzes personenbezogener Daten anerkannt werden kann, genau und nicht nur allgemein darlegen, auch wenn er nicht eine im Voraus festgelegte Schwelle von besonderer Schwere erreicht. Entscheidend ist, dass es sich nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und auch vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen personenbezogenen Daten und die Bedeutung, die sie im Leben der betroffenen Person haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen, mit der Datenverletzung verbundenen Beeinträchtigung hat (vgl. Schlussanträge des GA P...... vom 27.04.2023 - C 340/21, Rn 83 - juris). Im konkreten Fall und unter Berücksichtigung der Umstände kann aber die Befürchtung der Klagepartei, dass die Daten missbräuchlich verwendet werden, nicht als begründet angesehen werden. Zu den besonderen Umständen gehört die Art des Datums. Wird die Kontrolle über sensible Daten, wie z.B. Gesundheitsdaten, Daten über die sexuelle Orientierung, Daten über rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, Daten über Bankverbindungen, Vermögenswerte, Einkommen, Beruf oder Berufsgeheimnisse verloren, liegt eine missbräuchliche Verwendung nicht fern (vgl. Art. 9 Abs. 1 DSGVO). Insbesondere bei Daten, die den persönlichen Lebensbereich betreffen, besteht die Gefahr einer Rufschädigung oder Diskrimierung. Ebenso geht der Verlust der Kontrolle von Daten über Vermögenswerte, Bankverbindungen und Berufsgeheimnisse mit dem Risiko eines materiellen Schadens einher. Im vorliegenden Fall wurde die Kontrolle nur über die Telefonnummer verloren. Mit der Telefonnummer und der durch das Scraping erfolgten Verknüpfung mit einem bestimmten Namen ist lediglich eine Kontaktaufnahme mit der betroffenen Person möglich. Ein Missbrauch drängt sich unter den gegebenen Umständen nicht auf. Die Telefonnummer kann zwar auch missbräuchlich zur Übersendung von spam sms oder betrügerischen Anrufen genutzt werden, jedoch kann ein materieller Schaden erst dann entstehen, wenn bei einer spam sms der mitgesendete link verwendet wird oder die betroffene Person auf den Anruf reagiert, dem betrügerischen Anrufer Auskunft gibt oder auf dessen Aufforderung Geld überweist. Die Lästigkeit, die mit den ungebetenen Anrufen von angeblichen Bankmitarbeitern, von automatischen Ansagen sowie mit der Zusendung von angeblichen Sendungsbenachrichtigungen oder anderen spam sms einhergeht, kann aber grundsätzlich schon deshalb nicht als begründete Befürchtung eines Mißbrauches der Daten angesehen werde, weil davon Personen, deren Daten nicht gescrapt wurden, in vergleichbarer Weise

13  betroffen sind. Es ist allgemein - und auch den Senatsmitgliedern aus eigener Erfahrung - bekannt, dass Personen, die keine sozialen Netzwerke nutzen, ebenfalls viele spam sms mit angeblichen Sendungsbenachrichtigungen und betrügerische Anrufe auf ihren Mobiltelefonen erhalten. Ein Zusammenhang der gehäuften Kontaktaufnahmen ab dem Jahr 2021 mit dem Scraping Ereignis aus dem Jahr 2018, ist nicht nachweisbar. Soweit die Klagepartei in den Schriftsätzen Sorgen, Unwohlsein und Ängste wegen der Anrufe von unbekannten Nummern oder infolge von spam sms oder spam e-mails erlitten haben will, hat sie lediglich angegeben, vermehrt spam sms (z. B. falsche Sendungsbenachrichtigungen) und Anrufe von unbekannten Nummern vor ca. ein einhalb Jahren erhalten zu haben (mündliche Verhandlung vor dem Landgericht vom 05.05.2023). Von dem Scraping habe der Kläger vor ca. zwei, drei Jahren aus dem Internet Kenntnis erlangt. Inwiefern eine Verbindung zu dem in den Jahren 2018 und 2019 stattgefundenen Scraping-Vorfall bestehen soll, ist weder dem Vorbringen der Klagepartei zu entnehmen, noch anderweitig ersichtlich, schon weil gerichtsbekannt - wie bereits ausgeführt - nicht nur Facebook Nutzer, deren Daten gescrapt wurden, sondern auch Personen, die überhaupt keine sozialen Medien benutzen, von derartigen Belästigungen betroffen sind. Die Sorge vor einem Missbrauch, der allgemein bei jeder Nutzung eines internetfähigen Mobiltelefons auftreten kann und alle Nutzer in ähnlicher Weise trifft, ist aber nach Art. 82 DSGVO nicht ersatzfähig. cc) Eine darüber hinausgehende konkrete emotionale Beeinträchtigung der Klagepartei ist zur Überzeugung des Senates indes nicht eingetreten. Die schriftsätzlich allgemeine gehaltene Behauptung der Klagepartei, sie sei in einen Zustand großen Unwohlseins und Sorge über einen möglichen Missbrauch geraten, genügt den o.a. Darlegungsanforderungen nicht. Die Ausführungen sind schon nicht auf die konkrete Person der Klagepartei bezogen, sondern werden in einer Vielzahl von Klagen gleichlautend wiederholt. Allgemeine Sorgen, Ängste und Unwohlsein sind alltägliche Empfindungen, die keine begründete Befürchtung rechtfertigen. Erforderlich ist vielmehr der konkrete Nachweis eines realen und sicheren emotionalen Schadens (vgl. Schlussanträge des Generalanwaltes P...... vom 27.04.2023 - C -340/21, Rn 82, 83, - juris). Da im Allgemeinen jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen kann (vgl. Schlussanträge des Generalanwaltes C... S... von 06.10.2022 - C 300/21, Rn 113 - juris) und ein Schadensersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergibt, einem „Schadensersatz ohne Schaden“ recht nahe kommt, der nicht von Art. 82 erfasst ist (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, Rn. 36 ff - juris), reicht demgegenüber allein der potenzielle oder hypothetische Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten nicht aus (vgl. Schlussanträge des Generalanwaltes C... vom 26.10.2023 - C 182/22, Rn 24 - juris). Im vorliegenden Fall hat die Klagepartei keinen emotionalen Schaden glaubhaft gemacht. Der Kläger gab im Rahmen seiner Anhörung vor dem Landgericht an, dass diese Anrufe und sms für ihn „nervig und extrem anstrengend“ gewesen seien, da ständig „irgendwie das Handy geklingelt“ habe. Er habe im Internet einen Test gemacht und ihm sei auf der Internetseite der Anwaltskanzlei seiner Prozessbevollmächtigten mitgeteilt worden, dass er von dem Scraping Vorfall betroffen sei. Vor dem Senat hat er angegeben, dass er nunmehr ein Identifikationstool nutze, das Anrufe als spam anzeige und mit dem unbekannte Nummern geblockt werden können. Seine Handynummer habe er nicht gewechselt, weil er ein „Gewohnheitsmensch“ sei. Diese Ausführungen belegen keinen über die bloße Belästigung hinausgehenden emotionalen Schaden in der konkreten Person des Klägers.

14  Diese Belästigung hat jedenfalls nicht ein Ausmaß erreicht, den Scraping-Vorfall zum Anlass zu nehmen, die Handynummer unverzüglich nach Kenntniserlangung zu ändern, um einem etwaig befürchteten Missbrauch vorzubeugen. Hat die betroffene Person aber schon keinen Anlass gesehen, ihre Handynummer zu ändern, lässt dies regelmäßig den Rückschluss zu, dass sie ihre Befürchtung nicht als hinreichend konkret ansieht. Erst recht gilt dies, wenn - wie hier - die Klagepartei Amazon, Google und Netflix unter Hinterlegung der Telefonnummer nutzt und damit zum Ausdruck bringt, dass sie dort dem Grundsatz der Datensparsamkeit keine sehr hohe Bedeutung beimisst. Soweit der Kläger in der mündlichen Verhandlung behauptet hat, er habe am 13.01.2024 einen Test gemacht und festgestellt, dass auch seine e-mail Adresse, die er auch bei facebook angegeben habe, betroffen sei, steht dies im Widerspruch zu seinem bisherigen Vortrag. Im Übrigen konnte auch der Kläger nicht sagen, ob auch seine e-mail Adresse von dem streitgegenständlichen Scraping Vorfall betroffen ist. 2. Der Klagepartei steht kein Anspruch auf Feststellung der Verpflichtung der Beklagten, alle künftigen (materiellen) Schäden zu erstatten, zu. Der Antrag ist bereits unzulässig, weil ihm das Rechtsschutzbedürfnis fehlt, § 256 ZPO. Grundsätzlich hängt die Zulässigkeit einer Feststellungsklage bei reinen Vermögensschäden von der Wahrscheinlichkeit eines auf die Verletzung zurückzuführenden Schadenseintrittes ab (vgl. BGH, Urteil vom 10.07.2014 - IX ZR 197/12, Rn. 11 - juris). Ausreichend ist, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann (BGH, a.a.O.). Bei der Verletzung eines absoluten Rechtes genügt aber die ausreichende Möglichkeit des Eintrittes eines Schadens (vgl. BGH, Urteil vom 29.06.2021 - VI ZR 52/18, Rn. 30 - juris). Die Möglichkeit materieller Schäden reicht hier für die Annahme eines Feststellungsinteresses mithin aus (so BGH, Urteil vom 29.06.2021 - VI ZR 52/18, Rn. 30 - juris). Ein Feststellungsinteresse ist nur dann zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines derartigen Schadens wenigstens zu rechnen (vgl. BGH, Beschluss vom 09.01.2007 - VI ZR 133/06, Rn. 5 - juris). Dies ist der Fall. Vorliegend ist auch vier Jahre nach dem Vorfall kein Schaden eingetreten. Die Klagepartei macht zwar geltend, dass gleichwohl in der Zukunft aufgrund der Veröffentlichung ihrer Telefonnummer eine erhebliche Belästigung durch betrügerische Anrufe möglich sei, weil es nicht selten passiere, dass sich Anrufer als Bankmitarbeiter ausgäben, um an sensible Kontaktdaten der angerufenen Person zu gelangen. Es bestehe daher weiter die Gefahr der missbräuchlichen Nutzung der entwendeten Daten. Diese Auffassung teilt der Senat schon deshalb nicht, weil die Wahrscheinlichkeit eines Schadenseintritts mit zunehmender Distanz zum Scraping-Ereignis abnimmt und sich der Kausalzusammenhang dadurch immer schwerer beweisen lässt. Dies gilt hier auch deshalb, weil die Klagepartei ihre Handy-Nummer im Internet auch bei anderen Gelegenheiten, z. B. bei Paypal und bei der Bank verwendet. Im Hinblick darauf, dass vier Jahre nach dem Scraping-Vorfall und dem unbefugten Zugriff Dritter auf die Daten ein kausaler materieller Schaden nicht entstanden ist und auch keine konkreten Anhaltspunkte dafür bestehen, dass der Klagepartei eine Gefährdung ihres Vermögens drohen könnte, kann nach alledem davon ausgegangen werden, dass mit dem Eintritt eines materiellen Schadens nicht mehr zu rechnen ist (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn. 215 - juris).

15  Die Auffassung des OLG Stuttgart (Urteil vom 22.11.2023 – 4 U 20/23 - Rn 233 ff. - juris), das Feststellungsinteresse sei infolge des Kontrollverlusts über die Daten gegeben, teilt der Senat nicht. Dem Vortrag der Klagepartei lassen sich keine Anhaltspunkte dafür entnehmen, dass im Hinblick auf die konkret betroffenen Daten und sein Verhalten noch ein materieller Schaden drohen könnte (vergleiche auch OLG Hamm, Urteil vom 15 2823 – 7 U 19/23 – juris, Rn. 214 ff., so auch OLG Köln, Urteil vom 07.12.2023 - 15 U 33/23 - juris). 3. Die Klagepartei hat keinen Anspruch auf Unterlassung gemäß Ziffer 3 a) ihres Antrages. Der Antrag ist zu unbestimmt und daher unzulässig. Der Antrag hat folgenden Wortlaut: „a. personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, FacebookID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,“ Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem Unterlassungsantrag regelmäßig der Fall, wenn die konkret angegriffene Verletzungsform antragsgegenständlich ist (vgl. BGH; Urteil vom 09.03.2021 - VI ZR 73/20, Rn 15 - juris). Der Antrag Ziffer 3 a) hat indes keinen vollstreckungsfähigen Inhalt. Die Begriffe „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen“ und „unbefugten Dritten“ sind zu unbestimmt und nicht vollstreckbar. Der Formulierung lässt sich nicht entnehmen, welche konkreten Maßnahmen die Beklagte ergreifen soll (vgl. LG Köln, Urteil vom 24.05.2023, Rn 46 - juris). Sie beschränkt sich nicht auf die Wiedergabe des gesetzlichen Verbotstatbestandes Art. 32 Abs. 1 DSGVO, sondern greift aus den dort genannten, zur Gewährleistung eines angemessenen Schutzniveaus zu berücksichtigenden Umständen (Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen) isoliert den Stand der Technik heraus. Es ist aus dem Antrag bei dieser Fassung nicht hinreichend ersichtlich, welche Maßnahmen konkret gefordert werden. Ohne eine solche Konkretisierung ist für die Beklagte aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde (vgl. LG Lübeck, Urteil vom 25.05.2023 - 15 O 74/22, Rn 59 - juris). Darüber hinaus wäre für das Vollstreckungsgericht - auch und insbesondere angesichts des unbestimmten Standes der Technik - nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Beklagten veranlasst werden müssten (vgl. LG Lübeck a.a.O.). Schließlich steht zwischen den Parteien im Streit, welche Maßnahmen dem Stand der Technik entsprechen. Die auslegungsbedürftige Antragsformulierung lässt sich auch nicht durch Auslegung unter Heranziehung des Vortrags der Klagepartei eindeutig präzisieren. Des Weiteren ist im Hinblick darauf, dass die Plattform darauf angelegt ist, andere Personen zu finden und Kontakte herzustellen, auch nicht klar, wer „unbefugter Dritter“ sein soll. Eine

16  Zwangsvollstreckung wäre nicht möglich. Darüber hinaus ist der Antrag Ziffer 3 a mit der geforderten Androhung nach § 890 Abs. 2 ZPO unzulässig. Die Titulierung einer Unterlassungsverpflichtung kann - auch unter Berücksichtigung der Grundsätze der Effektivität und Äquivalenz - eine gleichfalls nach § 890 ZPO vollstreckbare Verpflichtung zur Handlung nur beinhalten, wenn der Schuldner der Pflicht zur Unterlassung ausschließlich genügen kann, indem er die hierfür erforderliche positive Handlung vornimmt. Ob ein Titel Handlungspflichten auferlegt oder Unterlassung fordert, ist im Wege der Auslegung mit Blick auf den Schwerpunkt der jeweils in Rede stehenden Verpflichtung zu beurteilen (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 221 - juris). Vorliegend fordert die Klagepartei mit dem Antrag Ziffer 3 a im Schwerpunkt ein aktives Tun, das nicht nach § 890 ZPO, sondern als vertretbare Handlung nach § 887 ZPO zu vollstrecken ist - nämlich zukünftig Kontaktimportfunktionen nur im Einklang mit den einzuhaltenden Sicherheitsvorkehrungen "freizuschalten", um Zugriffe unbefugter Dritter nach Möglichkeit von vorneherein zu verhindern - so wie es die DSGVO verlangt (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 222 - juris). Die Klagepartei will gar kein Unterlassen der Nutzung der Kontaktimportfunktion, was sie durch eine schlichte Umstellung der Suchbarkeitseinstellungen hätte erreichen können und tatsächlich inzwischen erreicht hat, sondern sie will, dass sie die bzw. zukünftig irgendeine andere Kontaktimportfunktion unter Wahrung der Sicherheitsanforderungen nutzen kann (vgl. OLG Hamm a.a.O.). C 1. Eine Aussetzung des Verfahrens entsprechend § 148 ZPO war im Hinblick auf den Beschluss des Bundesgerichtshofes vom 26.09.2023 (VI ZR 97/22) nicht veranlasst. Soweit im vorliegenden Verfahren Sorgen, Unwohlsein und Ängste wegen der Anrufe von Unbekannten sowie der spam mails und spam sms als Schaden im Sinne von Art. 82 DSGVO geltend gemacht werden, sind diese nicht festzustellen und es fehlt hier - wie bereits ausgeführt - an einem Kausalzusammenhang zwischen dem Scraping und den geschilderten Ereignissen. Der hier auf das Sraping kausal zurückzuführende Verlust der Kontrolle über die Daten, ist nicht Gegenstand der Vorlage des Bundesgerichtshofes. Eine Vorlage an den Europäischen Gerichtshof ist auch im Übrigen nicht veranlasst. Die Fragen, die die Klagepartei in ihrem Schriftsatz vom 05.01.2023 aufgeworfen hat, sind zum überwiegenden Teil durch die Entscheidungen des Europäischen Gerichtshofes (Urteil vom 14.12.2023 - C - 340/21 - juris; Urteil vom 04.05.2023 - C - 300/21 - juris) bereits geklärt. Zum Teil sind die Fragen nicht entscheidungserheblich. Schließlich entscheidet der Senat nicht als letztinstanzliches Gericht und ist zur Vorlage daher nicht verpflichtet. 2. Die Entscheidung über die Kosten folgt aus § 91 Abs.1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 ZPO. 3. Die Revision war gemäß § 543 Abs.2 Nr. 2 ZPO zur Sicherung einer einheitlichen Rechtsprechung zuzulassen. Es sind Tausende von Parallelverfahren in Deutschland anhängig. Soweit die Zulässigkeit der Feststellungsklage betroffen ist, weicht der Senat

17  zudem von der Rechtsprechung des OLG Stuttgart (Urteil vom 22.11.2023 - 4 U 20/23, Rn 238 - juris) ab. 4. Die Streitwertfestsetzung beruht auf § 3 ZPO. Zur Begründung wird auf die Beschlüsse des Senates vom 31.07.2023 (4 W 396/23 und 4 W 388/23 - beides juris) Bezug genommen. Die nach Beginn der mündlichen Verhandlung erfolgte Rücknahme der Anschlussberufung wirkt sich auf die Streitwertbemessung nicht aus (§ 4 ZPO). S...... R...... P......