I.
Der Kläger macht gegen die Beklagte Ansprüche auf Schadensersatz, Unterlassung und Auskunft aufgrund angenommener Datenschutzverstöße der Beklagten im Zusammenhang mit einem sogenannten Datenabgriff ("Scraping") in dem von der Beklagten betriebenen sozialen Netzwerk A. geltend.
Der Kläger nutzt seit vielen Jahren einen A.-Account unter seinem Namen. Bei seiner Anmeldung bei A. machte er von der fakultativen Möglichkeit Gebrauch, dort auch seine Mobilfunknummer zu hinterlegen. Eine solchermaßen zum Profil hinzugefügte Mobilfunknummer ließ sich von allen auf A. registrierten Nutzern auch dann suchen, wenn sie von dem die Nummer einstellenden A.-Nutzer in der für andere Nutzer eröffneten Zielgruppenauswahl nicht als "öffentlich" und damit als für andere im Grundsatz nicht sichtbar eingestellt war. Die Standardeinstellungen auf der A.-Plattform der Beklagten sahen in der sogenannten Suchbarkeitseinstellung bis zu einer späteren Änderung durch die Beklagte eine Suchbarkeit durch "alle" vor. Des Weiteren bestand für A.-Nutzer über die sogenannte "Kontakt-Importer-Funktion", mit der es möglich war, Telefonkontakte vom Smartphone in den sogenannten Messenger von A. hochzuladen, die Möglichkeit, diejenigen Kontakte zu finden und mit ihnen auf A. in Verbindung zu treten, die auf der A.-Plattform unter Angabe ihrer Rufnummer ebenfalls registriert waren. Um eine Suchbarkeit über die Suchfunktion auf der Plattform und über die Kontaktimportfunktion auszuschließen oder einzuschränken, war es erforderlich, die A.-Standardeinstellungen zu ändern.
Aus der Suchfunktion auf der Plattform sowie aus der Kontaktimportfunktion ergab sich die technische Möglichkeit, unter Verwendung gängiger Rufnummernformate eine Vielzahl von Ziffernfolgen beziehungsweise mutmaßlichen Telefonnummern zu generieren und zu nutzen, um auf der A.-Plattform nach dazu passenden Nutzern zu suchen. Stimmte eine Nummer mit der hinterlegten Nummer eines Nutzers überein, so wurden dessen öffentliche Nutzerinformationen der eingegebenen Nummer zugeordnet und abgerufen. Ab Januar 2018 kam es durch Unbekannte unter Nutzung dieser Funktionalitäten zu einem massenhaften Abgriff von Daten von A.-Accounts, von dem auch der Kläger betroffen war. Im Jahr 2021 tauchten abgegriffene Daten im Internet auf. Die Beklagte bestätigte dem Kläger mit Schreiben vom 30. September 2021 (Anlage B16, Bl. 264-276 GA LG), dass nach ihren Informationen durch das Scraping von den Einzeldaten des Klägers die "Nutzer ID", der Vorname, der Nachname und das Geschlecht abgeschöpft worden seien.
Von einer weitergehenden Darstellung des Tatbestands wird gemäß § 540 Abs. 2, § 313a Abs. 1 Satz 1 ZPO abgesehen, weil ein Rechtsmittel gegen die Entscheidung gemäß § 543, § 544 Abs. 2 Nr. 1 ZPO nicht zulässig ist.
II.
Die Berufung des Klägers hat keinen Erfolg. Sie ist zulässig, aber unbegründet. Das angefochtene landgerichtliche Urteil beruht weder auf einer Rechtsverletzung noch rechtfertigen die nach § 529 ZPO zugrunde zu legenden Tatsachen eine andere Entscheidung.
1.
Die auch in der Berufungsinstanz von Amts wegen zu prüfende internationale Zuständigkeit der deutschen Gerichte folgt aus Art. 79 Abs. 2 Satz 1 DS-GVO, weil der Kläger als betroffene Person seinen gewöhnlichen Aufenthalt in Deutschland hat und die Datenschutz-Grundverordnung nach dem Vorbringen der Parteien in zeitlicher, sachlicher und räumlicher Hinsicht anwendbar ist.
Der zeitliche Anwendungsbereich der gemäß Art. 99 Abs. 2 DS-GVO am 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung ist eröffnet. Zwischen den Parteien ist gemäß § 138 Abs. 3 ZPO unstreitig, dass der Kläger erst im Jahr 2019 und damit nach dem Inkrafttreten der Datenschutz-Grundverordnung von möglichen Datenschutzverstößen der Beklagten durch das Abschöpfen seiner eigenen personenbezogenen Daten betroffen war. Dem entsprechenden Vorbringen des Klägers ist die Beklagte nicht entgegengetreten.
Der sachliche Anwendungsbereich der Datenschutz-Grundverordnung ist ebenfalls eröffnet. Gemäß Art. 2 Abs. 1 DS-GVO gilt die Datenschutz-Grundverordnung unter anderem für die automatisierte Verarbeitung personenbezogener Daten. Bei den hier im Fokus stehenden Daten des Klägers, die sich in dem sogenannten Leak-Datensatz ("000000,000000,B.,male,,,Single,,0/0/0000 00,00,00 AM") wiederfinden, den der Kläger im Laufe des Verfahrens vorgelegt hat, handelt es sich um solche personenbezogenen Daten, weil sie sich gemäß der Definition in Art. 4 Nr. 1 DS-GVO auf eine identifizierte - betroffene - Person beziehen. Diese Daten wurden, jedenfalls soweit es um die Angaben der Mobilfunknummer, der A.-ID, des Namens, des Geschlechts ("male") und des Beziehungsstatus ("Single") ging, von der Beklagten im Rahmen des von ihr betriebenen sozialen Netzwerks A. automatisiert verarbeitet.
Schließlich ist auch der räumliche Anwendungsbereich der Datenschutz-Grundverordnung eröffnet. Gemäß Art. 3 Abs. 1 DS-GVO findet die Datenschutz-Grundverordnung auf die Verarbeitung personenbezogener Daten Anwendung, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der Europäischen Union erfolgt. Bei der Beklagten handelt es sich um ein Unternehmen nach dem Recht der irischen Republik mit Sitz in Irland, mithin mit einer Niederlassung innerhalb der Europäischen Union. Da die Beklagte das soziale Netzwerk A. für Nutzer in der Europäischen Union betreibt, ist sie auch Verantwortliche im Sinne von Art. 4 Nr. 7 DS-GVO.
2.
Der auf Ersatz eines immateriellen Schadens gerichtete Klageantrag zu 1. ist zulässig, aber unbegründet. Dem Kläger steht gegen die Beklagte kein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO zu.
a)
Entgegen der Ansicht der Beklagten begegnet der Antrag nicht schon Bestimmtheitsbedenken. Wie der Kläger klargestellt hat, stützt er sein Klagebegehren nicht auf eine unzulässige Häufung alternativer Klagegründe oder Streitgegenstände. Vielmehr geht es ihm um den Ersatz eines immateriellen Schadens, der sich aus mehreren Datenschutzverstößen der Beklagten ergeben haben soll. Insoweit nimmt der Kläger auf den einen von ihm beschriebenen Scraping-Vorfall Bezug, von dem er im Jahr 2019 betroffen war. Damit liegt dem geltend gemachten Schadensersatzanspruch aber ein eindeutig abgrenzbarer, einheitlicher Lebenssachverhalt und damit ein einheitlicher Streitgegenstand zugrunde.
Da es bei Klagen, die auf Ersatz immaterieller Schäden gerichtet sind, keiner Bezifferung des Anspruchs bedarf, sondern vielmehr ausreicht, wenn vom Kläger eine Mindestvorstellung mitgeteilt wird, auf die sich der Ersatzbetrag belaufen soll, konnte der Kläger seinen Antrag auch wie geschehen unter Nennung eines Mindestbetrags formulieren.
b)
Der zulässige Antrag ist jedoch unbegründet. Gemäß Art. 82 Abs. 1 DS-GVO setzt ein Schadensersatzanspruch nach dieser Vorschrift einen Verstoß des Verantwortlichen gegen die Datenschutz-Grundverordnung, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus (vgl. auch EuGH, Urteile vom 4. Mai 2023 - C-300/21, ZIP 2023, 1244, 1246, Rn. 32, und vom 25. Januar 2024 - C-687/21, DB 2024, 519, 523, Rn. 58). Zwar hat die Beklagte entgegen der Ansicht des Landgerichts gegen die Datenschutz-Grundverordnung verstoßen, der Kläger hat dadurch aber keinen ersatzfähigen Schaden erlitten.
aa)
Der von Art. 82 Abs. 1 DS-GVO verlangte Verstoß gegen die Datenschutz-Grundverordnung liegt vor. Dabei kann hier dahinstehen, ob jeder Verstoß gegen materielle oder formelle Bestimmungen der Datenschutz-Grundverordnung oder erst eine verordnungswidrige Datenverarbeitung im Sinne von Art. 82 Abs. 2 Satz 1 DS-GVO einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO begründen kann (siehe zum Meinungsstreit OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris, Rn. 381 ff.). Da die Beklagte - wie noch auszuführen ist - personenbezogene Daten des Klägers ohne die nach Art. 6 Abs. 1 DS-GVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die Datenschutz-Grundverordnung, sondern auch eine verordnungswidrige Datenverarbeitung vor.
(1)
Gemäß Art. 4 Nr. 2 DS-GVO fällt unter den Begriff der Datenverarbeitung neben der Offenlegung durch Übermittlung und Verbreitung auch jede andere Form der Bereitstellung personenbezogener Daten. Die auf der A.-Plattform der Beklagten vormals technisch mögliche Suche des Nutzerprofils des Klägers anhand seiner Mobilfunknummer - die ungeachtet der Ungewissheiten über den exakten Ablauf des Scraping-Vorfalls zwischen den Parteien unstreitig ist - stellte eine von der Beklagten ermöglichte Form der Bereitstellung von personenbezogenen Daten des Klägers dar. Die Suchfunktionalität oder Suchbarkeit ermöglichte es anderen Nutzern, das Nutzerprofil des Klägers mit dessen öffentlichen Profildaten mittels Such- oder Kontaktimportfunktion anhand seiner Mobilfunknummer zu finden. Den unbekannten "Scrapern" ermöglichte diese Funktionalität, das Nutzerprofil des Klägers anhand automatisch generierter Nummernfolgen nach Art von Telefonnummern, bei denen es sich mangels Kenntnis von der Telefonnummerneigenschaft einer bestimmten Person zunächst noch nicht um personenbezogene Daten handelte, zu finden und die den Suchtreffer auslösende, automatisch generierte Ziffernfolge als Mobilfunknummer zu identifizieren und dem Kläger zuzuordnen sowie mit seinen weiteren öffentlichen Nutzerprofildaten nach Art des Leak-Datensatzes zu verknüpfen.
(2)
Gemäß Art. 6 Abs. 1 Unterabs. 1 DS-GVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der dort genannten Voraussetzungen beziehungsweise Rechtsgrundlagen für die Verarbeitung vorliegt. Die Darlegungs- und Beweislast für eine rechtmäßige Datenverarbeitung trägt der Verantwortliche (EuGH, Urteil vom 4. Juli 2023 - C-252/21, juris, Rn. 95), hier also die Beklagte. Danach war die Datenverarbeitung rechtswidrig. Für die Funktionalität, welche die Suchbarkeit des Nutzerprofils des Klägers anhand der Mobilfunknummer ermöglichte, hat die Beklagte keine der Rechtmäßigkeitsbedingungen nach Art. 6 Abs. 1 Unterabs. 1 DS-GVO dargelegt.
(a)
Die Beklagte beruft sich als Rechtsgrundlage für die Suchbarkeit des Nutzerprofils des Klägers anhand seiner Mobilfunknummer auf Art. 6 Abs. 1 Unterabs. 1 Buchst. b DS-GVO. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Erfüllung eines Vertrags erforderlich ist. Die Beklagte vertritt insofern die Auffassung, dass die Suchbarkeit des Nutzerprofils des Klägers anhand seiner Mobilfunknummer für die Erfüllung des Hauptzwecks des mit dem Kläger geschlossenen Nutzungsvertrags, die gegenseitige Auffindbarkeit der Nutzer untereinander zwecks Vernetzung miteinander zu ermöglichen, erforderlich gewesen sei. Wörtlich führt sie hierzu in der Berufungserwiderung aus (Bl. 173 f. GA OLG):
"Einem solchen sozialen Netzwerk ist es immanent, dass die einzelnen Nutzer (so auch die Klagepartei) Freunde und generell ihnen bekannte Personen finden und sich miteinander vernetzen können. Solche Verknüpfungen werden durch die Verwendung von Funktionen, wie der Kontakt-Importer-Funktion, hergestellt, die, wie im Hilfebereich und in der Datenrichtlinie erläutert, die Telefonnummern von Nutzern erfordern. Die Kontakt-Importer-Funktion ist deswegen ein für Nutzer der A.-Plattform wesentliches Tool. Die Daten werden mithin für die Erfüllung des Nutzervertrags auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b) DSGVO erhoben."
Entgegen der Ansicht der Beklagten lagen die Voraussetzungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DS-GVO jedoch nicht vor (siehe OLG Hamm, Urteil vom 15. August 2023 - I-7 U 19/23, juris, Rn. 94 ff.). Die in Art. 6 Abs. 1 Unterabs. 1 Buchst. a bis f DS-GVO vorgesehenen Rechtfertigungsgründe sind eng auszulegen (EuGH, Urteil vom 4. Juli 2023 - C-252/21, juris, Rn. 93). Die Verarbeitung personenbezogener Daten ist zur Erfüllung eines Vertrags im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DS-GVO erforderlich, wenn die Datenverarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne die Datenverarbeitung nicht erfüllt werden könnte. Der Umstand, dass die Datenverarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, genügt nicht. Entscheidend ist, dass die Datenverarbeitung des Verantwortlichen für die ordnungsgemäße Erfüllung des mit dem Betroffenen geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen (EuGH, Urteil vom 4. Juli 2023 - C-252/21, juris, Rn. 98 f. und 125).
Nach diesen Maßgaben war die Suchbarkeit des Nutzerprofils des Klägers anhand seiner Mobilfunknummer nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DS-GVO (so auch OLG Hamm, Urteil vom 15. August 2023 - I-7 U 19/23, juris, Rn. 94 ff., OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris, Rn. 502 ff.). Die Suchbarkeit der Nutzerprofile anhand der Mobilfunknummer war zur Erfüllung des von der Beklagten angeführten Hauptzwecks des Nutzervertrags - die gegenseitige Auffindbarkeit zwecks Vernetzung - nicht unerlässlich. Vielmehr konnten sich die Nutzer gegenseitig zum Beispiel auch über ihre Namen finden (siehe OLG Dresden, Urteil vom 5. Dezember 2023 - 4 U 1094/23, juris, Rn. 34; OLG Oldenburg, Urteil vom 21. Mai 2024 - 13 U 100/23, juris, Rn. 29). Gerade um der entsprechenden Suchmöglichkeit willen ist der Nutzername auf der Plattform A. stets öffentlich einsehbar. Dass die Suchbarkeit über die Mobilfunknummer nach der eigenen Bewertung der Beklagten daneben nicht erforderlich war, zeigt sich daran, dass eine Telefonnummer nicht zu den Pflichtangaben zählte, die im Rahmen der Erstanmeldung bei A. anzugeben waren. Vielmehr war die Angabe einer Telefonnummer durch die A.-Nutzer - wie das Landgericht für den Senat bindend festgestellt hat - fakultativ. Darüber hinaus konnte die standardmäßige Voreinstellung der Suchbarkeit auch nach der Telefonnummer der Nutzer von diesen abgewählt werden. Die Beklagte hat jene die Telefonnummern betreffende Suchfunktionalität später auch eingeschränkt.
(b)
Das Vorliegen anderer Rechtsgrundlagen für die Suchbarkeit des Nutzerprofils des Klägers anhand seiner Mobilfunknummer führt die Beklagte nicht an. Sie sind hier auch nicht ersichtlich (siehe OLG Hamm, Urteil vom 15. August 2023 - I-7 U 19/23, juris, Rn. 104 ff.). Insbesondere hat der Kläger nicht in informierter Weise und unmissverständlich gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. a DS-GVO seine Einwilligung in die betreffende Datenverarbeitung erteilt. Das hätte vorausgesetzt, dass die Beklagte den Kläger transparent über die Suchbarkeit des Nutzerprofils anhand der Mobilfunknummer informiert hätte. Das ist jedoch weder dargelegt noch ersichtlich. Die geänderten Nutzungsbedingungen der Beklagten vom 19. April 2018, denen der Kläger zustimmen musste, enthielten ebenso wenig Informationen über die Suchbarkeit des Nutzerprofils anhand der Mobilfunknummer wie die Datenrichtlinie, auf welche die Nutzungsbedingungen Bezug nahmen. Schließlich folgte auch aus der Verlinkung der Privatsphäre-Einstellungen in den Nutzungsbedingungen sowie den Privatsphäre-Tools und Hilfebereichsseiten der Plattform keine transparente Information über die Suchbarkeit anhand der Mobilfunknummer. Der Kläger musste sich mit diesen Informationsmöglichkeiten nicht befassen, sondern durfte wegen Art. 25 Abs. 2 Satz 1 und 3 DS-GVO darauf vertrauen, dass die Beklagte die jeweils datenschutzfreundlichsten Voreinstellungen gewählt hatte, die gewährleisteten, dass seine Telefonnummer ohne sein Zutun nur dem kleinstmöglichen Empfängerkreis zugänglich gemacht werden würde (siehe OLG Oldenburg, Urteil vom 14. Mai 2024 - 13 U 114/23, juris, Rn. 22 ff.).
bb)
Zwar ist damit ein Datenschutzverstoß der Beklagten jedenfalls wegen der Bereitstellung der Mobilfunknummer als personenbezogenes Datum des Klägers zu bejahen. Insofern kommt es für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auch nicht darauf an, ob der Beklagten wegen dieses Datenverarbeitungsvorgangs über den einen festgestellten Datenschutzverstoß hinaus noch weitere Datenschutzverstöße anzulasten sind. Das Vorliegen mehrerer Datenschutzverstöße durch ein und denselben Verarbeitungsvorgang bleibt auf die Höhe eines etwaigen Schadensersatzanspruchs ohne Auswirkungen (siehe EuGH, Urteil vom 11. April 2024 - C-741/21, juris, Rn. 64 f.). Es kann jedoch nicht festgestellt werden, dass der Kläger durch den vorgenannten Datenschutzverstoß der Beklagten einen Schaden im Sinne von Art. 82 Abs. 1 DS-GVO erlitten hat.
(1)
Nach der Rechtsprechung des Gerichtshofs der Europäischen Union sind die in Art. 82 Abs. 1 DS-GVO enthaltenen Begriffe "materieller oder immaterieller Schaden" sowie "Schadenersatz" autonom und einheitlich auszulegen, weil die Datenschutz-Grundverordnung für sie nicht auf das Recht der Mitgliedstaaten verweist (EuGH, Urteil vom 4. Mai 2023 - C-300/21, ZIP 2023, 1244, 1246, Rn. 30). Maßgeblich ist danach das Begriffsverständnis, wie es in der Rechtsprechung des Gerichtshofs ausgeformt worden ist. Die Darlegungs- und Beweislast für das Vorliegen eines Schadens auf der Grundlage dieses Begriffsverständnisses trifft nach dieser Rechtsprechung sodann den jeweiligen Kläger (EuGH, Urteil vom 25. Januar 2024 - C-687/21, DB 2024, 519, 523, Rn. 61). Hiernach hat der Kläger einen ihm entstandenen Schaden bereits nicht ausreichend dargelegt.
(2)
Entgegen der Auffassung des Klägers liegt in dem Verlust der Kontrolle über personenbezogene Daten als solches noch kein ersatzfähiger Schaden.
(a)
Hiergegen kann der Kläger nicht schon mit Erfolg die Erwägungsgründe 75 und 85 DS-GVO anführen. Zwar wird in Erwägungsgrund 85 DS-GVO der Verlust der Kontrolle über personenbezogene Daten als Beispielsfall eines Schadens aufgeführt. Insoweit ist aber zu beachten, dass die Erwägungsgründe keinen normativen Charakter haben, sondern nur als Auslegungshilfe der Bestimmungen der Verordnung dienen (vgl. EuGH, Urteile vom 19. Juni 2014 - C-345/13, juris, Rn. 31, und vom 26. Oktober 2023 - C-307/22, juris, Rn. 44).
Nach der insoweit für den Senat maßgeblichen Auslegung des Art. 82 Abs. 1 DS-GVO durch den Gerichtshof der Europäischen Union begründet der bloße Kontrollverlust keinen immateriellen Schaden im Sinne der Vorschrift. Zwar soll der Begriff des Schadens, der der betroffenen Person entstehen kann, auch den bloßen "Verlust der Kontrolle" über ihre eigenen Daten infolge des Verstoßes gegen die DS-GVO erfassen können (EuGH, Urteile vom 14. Dezember 2023 - C-340/21, juris, Rn. 82, und vom 11. April 2024 - C-741/21, juris, Rn. 42). Insofern kann sich ein immaterieller Schaden auch aus dem nur kurzzeitigen Verlust der Kontrolle über personenbezogene Daten ergeben (EuGH, Urteile vom 25. Januar 2024 - C-687/21, DB 2024, 519, 523, Rn. 66, und vom 11. April 2024 - C-741/21, juris, Rn. 42). Daraus folgt jedoch nicht, dass eine Person, die von einem Verstoß gegen Vorschriften der DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen - zu denen der Senat nach seinem Verständnis dieser Rechtsprechung auch den Kontrollverlust zählt - einen immateriellen Schaden darstellen (EuGH, Urteile vom 4. Mai 2023 - C-300/21, ZIP 2023, 1244, 1247, Rn. 50, vom 14. Dezember 2023 - C-340/21, juris, Rn. 84, und vom 11. April 2024 - C-741/21, juris, Rn. 42). Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten nicht zu einer Entschädigung führen (EuGH, Urteil vom 25. Januar 2024 - C-687/21, DB 2024, 519, 523, Rn. 68). Wenn sich eine Person auf die Befürchtung beruft, ihre personenbezogenen Daten könnten zukünftig missbräuchlich verwendet werden, muss das nationale Gericht prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH, Urteil vom 14. Dezember 2023 - C-340/21, juris, Rn. 85). Zudem kommt nach Art. 82 Abs. 1 DS-GVO ein Schadensersatzanspruch wegen einer solchen begründeten Befürchtung nur in Betracht, wenn diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, juris, Rn. 36). Nach dieser Rechtsprechung stellt ein folgenloser Kontrollverlust keinen immateriellen Schaden dar (siehe auch OLG Dresden, Urteil vom 16. April 2024 - 4 U 213/24, juris, Rn. 56 ff.; OLG Hamm, Urteil vom 21. Juni 2024 - 7 U 154/23, juris, Rn. 45 ff.; OLG Köln, Urteil vom 7. Dezember 2023 - I-15 U 33/23, juris, Rn. 39 ff.; OLG München, Urteil vom 24. April 2024 - 34 U 2306/23 e, juris, Rn. 32; OLG Oldenburg, Urteil vom 21. Mai 2024 - 13 U 100/23, juris, Rn. 43; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris, Rn. 294; zustimmend Paal, NJW 2024, 1689, 1694).
(b)
Hiervon abgesehen hat der Kläger hinsichtlich eines Teils der Daten aus dem Leak-Datensatz auch keinen Kontrollverlust erlitten. Die A.-ID, sein Name und sein Geschlecht waren ohnehin öffentliche, für jedermann auf A. und von außerhalb der Plattform einsehbare Angaben, so dass insoweit ein Kontrollverlust im Sinne einer Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, zum Zeitpunkt des Datenabgriffs schon längst eingetreten war.
(3)
Auch mit seinem weiteren Vortrag hat der Kläger einen ihm entstandenen immateriellen Schaden nicht dargelegt.
(a)
Soweit der Kläger behauptet, infolge des Scraping-Vorfalls in einen Zustand großen Unwohlseins und großer Sorge über einen etwaigen Missbrauch seiner Daten geraten zu sein und ein Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit verspürt zu haben, ist sein Vortrag nicht geeignet, einen immateriellen Schaden darzulegen. Zwar können entsprechende Empfindungen grundsätzlich einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DS-GVO darstellen. Mit den Ausführungen in seinen Schriftsätzen legt der Kläger eine entsprechende individuelle Betroffenheit jedoch nicht dar. Wie der Senat aus einer Vielzahl bei ihm anhängiger Parallelverfahren und auch aus dem Vorbringen der Parteien weiß, handelt es sich bei den betreffenden Formulierungen lediglich um Textbausteine, die wortlautidentisch vieltausendfach Verwendung gefunden haben. Sie lassen infolgedessen keinen Rückschluss auf individuelle Empfindungen des Klägers zu (siehe auch OLG Hamm, Urteil vom 15. August 2023 - I-7 U 19/23, juris, Rn. 162 ff.; OLG Köln, Urteil vom 7. Dezember 2023 - I-15 U 67/23, juris, Rn. 48 ff.).
(b)
Es kommt hinzu, dass der Kläger mit den Angaben im Rahmen seiner informatorischen Anhörung durch das Landgericht auch weder darlegen noch beweisen konnte, dass ihn der Scraping-Vorfall bei der Beklagten mental belastet hat oder sogar immer noch belastet. Nach den landgerichtlichen Feststellungen, an die der Senat gemäß § 529 Abs. 1 ZPO gebunden ist, hat er sich gedanklich allein mit den ihn erreichenden Anrufen und SMS-Nachrichten befasst. Diese vermögen den geltend gemachten Schadensersatzanspruch jedoch nicht zu begründen. Ein ursächlicher Zusammenhang zwischen den Anrufen und Textnachrichten auf seinem Mobiltelefon und dem Scraping-Vorfall lässt sich nicht feststellen. Spamanrufe und Spamnachrichten gehören inzwischen zum allgemeinen Lebensrisiko und können unterschiedliche Ursachen haben. Darüber hinaus hat der Kläger deren erstmaliges Auftreten im Rahmen seiner informatorischen Anhörung durch das Landgericht noch nicht einmal in einer Weise eingrenzen können, aus der sich eine zeitliche Koinzidenz mit dem Scraping-Vorfall ergeben würde. Er bekundete dort, nicht mehr genau sagen zu können, wann dies begonnen habe. Sein schriftsätzliches Berufungsvorbringen, Spam-Nachrichten erhalte er "seit dem Datenleck", ist mit diesem Anhörungsergebnis nicht in Einklang zu bringen. Im Ergebnis lässt sich auch nicht feststellen, dass die in der vom Kläger vorgelegten Anlage BK1 dokumentierten Spamnachrichten, die nach den angegebenen Jahreszahlen wohl aus dem Jahr 2023 stammen, im Zusammenhang mit dem Scraping-Vorfall bei der Beklagten stehen.
(c)
Aus dem Vorstehenden folgt, dass auch der vom Kläger geschilderte Erhalt von Spamanrufen und Spam-SMS im Sinne einer eigenständigen Belästigung den von ihm verfolgten Schadensersatzanspruch nicht zu begründen vermag. Es steht, wie gerade ausgeführt, nicht fest, dass zwischen diesen und dem Scraping-Vorfall bei der Beklagten ein ursächlicher Zusammenhang besteht. Das gilt erst recht für den vom Kläger schriftsätzlich angesprochenen Erhalt von Spam-Mails. Insofern bestehen nach dem von ihm vorgelegten Leak-Datensatz schon Zweifel, ob seine E-Mail-Adresse von dem Datenabgriff überhaupt betroffen war.
3.
Der Feststellungsantrag (Klageantrag zu 2.), der sich nach den schriftsätzlichen Ausführungen des Klägers (Replik vom 10. November 2022, Bl. 332 GA LG) und auch mit Blick auf den Klageantrag zu 1. nur auf zukünftige materielle Schäden bezieht, ist jedenfalls mangels des nach § 256 Abs. 1 ZPO erforderlichen Feststellungsinteresses unzulässig.
In Ermangelung unionsrechtlicher Vorschriften ist es nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung eines jeden Mitgliedstaats, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe festzulegen, die zum Schutz der Rechte der Bürger bestimmt sind. Grenzen bilden insoweit lediglich der unionsrechtliche Äquivalenzgrundsatz, wonach die Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sein dürfen als bei gleichartigen Sachverhalten, die dem innerstaatlichen Recht unterliegen, sowie der unionsrechtliche Effektivitätsgrundsatz, wonach die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich gemacht oder übermäßig erschwert werden darf (EuGH, Urteil vom 4. Mai 2023 - C-300/21, ZIP 2023, 1244, 1247, Rn. 53). Da die DS-GVO den durch Art. 7 und Art. 8 GRCh garantierten Schutz personenbezogener Daten umsetzt (vgl. BVerfG, Beschluss vom 6. November 2019 - 1 BvR 276/17, juris, Rn. 42, 48, 65, 83 f.), ist auf die Verletzung des durch Art. 82 Abs. 1 DS-GVO in Verbindung mit Art. 8 GRCh gewährleisteten Rechts auf Schutz personenbezogener Daten unter Berücksichtigung des europarechtlichen Äquivalenz- und Effektivitätsgrundsatzes der Maßstab für die Annahme eines Feststellungsinteresses zu übertragen, der auch bei der Verletzung eines absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB gilt (vgl. OLG Hamm, Urteil vom 15. August 2023 - I-7 U 19/23, juris, Rn. 209; OLG Oldenburg, Urteil vom 14. Mai 2024 - 13 U 114/23, juris, Rn. 38). Danach reicht für die Annahme eines Feststellungsinteresses die Möglichkeit weiterer materieller oder immaterieller Schäden aus (BGH, Urteil vom 29. Juni 2021 - VI ZR 52/18, juris, Rn. 30). Ein Feststellungsinteresse ist im Einklang hiermit nur zu verneinen, wenn aus Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines weiteren Schadens wenigstens zu rechnen (BGH, Urteil vom 9. Januar 2007 - VI ZR 133/06, juris, Rn. 5).
Eine solche Möglichkeit eines zukünftigen Schadenseintritts ist aber im Hinblick auf materielle Schäden weder ausreichend dargetan noch ersichtlich. Der Kläger hat bis heute - inzwischen sind rund fünf Jahre seit dem Scraping-Vorfall vergangen - keine materiellen Schäden dargelegt, die ihm durch das Scraping entstanden sein sollen. Es kommt hinzu, dass sich die Daten des vom Kläger vorgelegten Leak-Datensatzes für Betrugstaten kaum eignen. Sie sind weder umfangreich noch besonders sensibel, weil sie für einen Identitätsdiebstahl nicht ausreichen. Der Datensatz enthält keinerlei Adress- oder Kontodaten. Angesichts dessen sowie des Umstands, dass der Kläger seine Telefonnummer bis heute nicht gewechselt hat, für die Problematik von Spamanrufen und Spam-SMS ausweislich seiner Angaben vor dem Landgericht aber sensibilisiert ist, spricht zur Überzeugung des Senats nichts dafür, dass mit dem Eintritt materieller Schäden noch zu rechnen ist.
4.
Die beiden als Klageanträge zu 3.a. und 3.b. formulierten Unterlassungsanträge sind jeweils schon unzulässig. Daher kann dahinstehen, auf welche Rechtsgrundlage sie gegebenenfalls gestützt werden könnten.
Wie bereits erwähnt, ist es nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung, unter Beachtung des Äquivalenzgrundsatzes und des Effektivitätsgrundsatzes die verfahrensrechtlichen Modalitäten der Rechtsbehelfe festzulegen. Nach dem insoweit anwendbaren § 253 Abs. 2 Nr. 2 ZPO fehlt es dem Klageantrag zu 3.a. an der hinreichenden Bestimmtheit. Ein Klageantrag ist danach nur dann hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet. Das ist unter anderem nur dann der Fall, wenn aus dem durch Urteil titulierten Antrag vollstreckt werden kann, ohne dass sich der Streit der Parteien im Vollstreckungsverfahren fortsetzt (BGH, Urteil vom 9. März 2021 - VI ZR 73/20, juris, Rn. 15). So verhält es sich hier nicht. Die Entscheidung darüber, was der Beklagten konkret verboten sein soll beziehungsweise von ihr an Sicherheitsvorkehrungen verlangt werden kann, bleibt letztlich dem Vollstreckungsgericht überlassen (siehe OLG Köln, Urteil vom 7. Dezember 2023 - I-15 U 67/23, juris, Rn. 75). Der Antrag, der nicht auf eine konkrete Verletzungsform Bezug nimmt, sondern auf eine zukünftige, wohl datenschutzkonforme Ausgestaltung der Kontaktimportfunktion gerichtet ist, definiert die wertungsabhängigen Begriffe des "unbefugten Dritten" sowie der "nach dem Stand der Technik möglichen Sicherheitsmaßnahmen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern", nicht näher.
Auch der Klageantrag zu 3.b. ist entgegen § 253 Abs. 2 Nr. 2 ZPO zu unbestimmt und damit unzulässig. Der Bestimmtheitsgrundsatz verlangt außer der bereits erwähnten Anforderung, dass der Rechtsstreit nicht wegen einer Unbestimmtheit des Klageantrags in das Vollstreckungsverfahren verlagert werden darf, dass durch den konkret bezeichneten Anspruch der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) genau absteckt wird, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) zu erkennen sind sowie das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt wird (BGH, Urteil vom 9. März 2021 - VI ZR 73/20, juris, Rn. 15). Diesen Anforderungen wird der Klageantrag zu 3.b. schon deshalb nicht gerecht, weil er nicht eine bestimmte, von dem Kläger bereits erteilte Einwilligung zur Datenverarbeitung seiner Telefonnummer für die von der Beklagten bereitgestellten Kontaktfunktionen in Bezug nimmt. Stattdessen verlangt der Kläger damit von der Beklagten ganz abstrakt, ohne Rücksicht auf seine aktuellen Einstellungen zu der Suchbarkeit seiner Telefonnummer, eine Datenverarbeitung seiner Telefonnummer zum Zweck der Herstellung von Kontakten dann nicht vorzunehmen, wenn irgendwann eine Einwilligung von ihm ohne hinreichende Aufklärung erteilt wurde oder noch erteilt werden sollte. Mit einem solchermaßen unbestimmten Klageantrag soll das Risiko des Unterliegens in unzulässiger Weise auf die Beklagte abgewälzt werden, weil es danach gar nicht darauf ankommt, ob der Kläger bislang und heute noch eine nicht hinreichend aufgeklärte Einwilligung zu der Datenverarbeitung seiner Telefonnummer erteilt hat.
Für einen hinreichend bestimmten Klageantrag würde dem Kläger im Übrigen das Rechtsschutzbedürfnis fehlen. Nach deutschem Zivilprozessrecht ist eine Klage nur zulässig, wenn für sie ein Rechtsschutzbedürfnis besteht. Dieses fehlt, wenn ein einfacherer oder billigerer Weg zur Erreichung des Ziels besteht oder der Antragsteller kein berechtigtes Interesse an der Entscheidung hat (BGH, Beschluss vom 24. September 2019 - VI ZB 39/18, juris, Rn. 28). Letzteres ist der Fall, wenn der Antrag schlechthin sinnlos ist und der Antragsteller mit ihm unter keinen Umständen einen schutzwürdigen Vorteil erlangen kann (BGH, Urteil vom 29. September 2022 - I ZR 180/21, juris, Rn. 10). Der Antrag zu 3.b. ist darauf gerichtet, der Beklagten die Weiterverarbeitung personenbezogener Daten auf der Grundlage einer für unwirksam erachteten Einwilligung zu untersagen. Diesem Begehren kann auf einfacherem Weg mit einem Widerruf gemäß Art. 7 Abs. 3 Satz 1 DS-GVO jederzeit Rechnung getragen werden (OLG Dresden, Urteil vom 16. April 2024 - 4 U 213/24, juris, Rn. 72). Dass die Beklagte diesen Widerruf nicht beachten würde, hat weder der Kläger dargelegt noch sind Umstände für eine solche Annahme ersichtlich. Vielmehr weiß der Kläger spätestens mit diesem Verfahren, dass die Datenschutzeinstellung "privat" nicht die Datenverarbeitung der Telefonnummer durch die Kontaktimportfunktion oder die A.-Messenger-App verhindert hat. Mithilfe dieses Wissens kann er unstreitig durch Überprüfung und gegebenenfalls Veränderung der Suchbarkeitseinstellungen seines A.-Accounts ohne gerichtliche Hilfe selbst Vorsorge dafür treffen, dass eine entsprechende Datenverarbeitung zukünftig nicht mehr stattfindet (vgl. OLG Köln, Urteil vom 7. Dezember 2023 - I-15 U 67/23, juris, Rn. 81).
(5)
Der vom Kläger mit der Berufung weiterverfolgte, auf Art. 15 Abs. 1 DS-GVO gestützte Auskunftsanspruch ist mit den Erklärungen der Beklagten in deren Schreiben vom 30. September 2021 jedenfalls gemäß § 362 Abs. 1 BGB durch Erfüllung erloschen. Auch hier ist es in Ermangelung unionsrechtlicher Vorschriften Sache der innerstaatlichen Rechtsordnung, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe unter Beachtung des Äquivalenz- und Effektivitätsprinzips festzulegen. Erfüllt im Sinne von § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen (BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19, juris, Rn. 19). Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen (BGH, a.a.O.). Danach hat die Beklagte die begehrte Auskunft mit ihrem Schreiben vom 30. September 2021 vollständig erteilt. Soweit der Kläger die abweichende Auffassung vertritt, die Beklagte müsse noch die "Scraper" konkret benennen, verkennt er, dass diese der Beklagten nach deren Vorbringen nicht bekannt sind. Schon aus diesem Grund steht die fehlende Nennung der "Scraper" der Erfüllungswirkung des Schreibens vom 30. September 2021 nicht entgegen.
(6)
Unbegründet ist schließlich der Antrag des Klägers auf Ersatz vorgerichtlicher Rechtsanwaltskosten. Die vom Kläger verfolgten Klageanträge zu 1. bis 3. waren von Anfang an unzulässig oder unbegründet, so dass ein Anspruch auf Erstattung von Rechtsanwaltskosten insoweit nicht besteht. Ein anderes Ergebnis ergibt sich auch nicht im Hinblick auf den vom Kläger verfolgten Auskunftsanspruch (Klageantrag zu 4.). Ein Anspruch des Klägers auf Ersatz von Anwaltskosten aus §§ 280 Abs. 2, 281 Abs. 1 BGB scheidet insoweit aus. Dass sich die Beklagte mit der Erfüllung des Auskunftsanspruchs zum Zeitpunkt der Mandatierung der Prozessbevollmächtigten des Klägers bereits in Verzug befand, ist weder dargetan noch ersichtlich.
III.
Die Entscheidung über die Kosten beruht, weil die Berufung des Klägers erfolglos geblieben ist, auf § 97 Abs. 1 ZPO.
Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711, 713 ZPO.
Gründe, das Verfahren zur Durchführung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV auszusetzen, bestehen nicht. Soweit sie entscheidungserheblich ist, ist die Auslegung der maßgeblichen unionsrechtlichen Begriffe durch die Rechtsprechung des Gerichtshofs der Europäischen Union geklärt. Die vom Kläger im Schriftsatz vom 16. Februar 2024 als Grund für eine Aussetzung genannten Verfahren des Gerichtshofs der Europäischen Union sind sämtlich abgeschlossen. Der Gerichtshof hat in seinen in diesen Verfahren ergangenen Urteilen letztlich auch schon den Teil der Art. 82 Abs. 1 DS-GVO betreffenden Fragen beantwortet, die Gegenstand des Vorlagebeschlusses des Bundesgerichtshofs vom 26. September 2023 - VI ZR 97/22 - sind. Eines Vorabentscheidungsverfahrens bedarf es entgegen der Ansicht des Klägers auch nicht bezüglich der Frage der Erfüllung eines Auskunftsverlangens nach Art. 15 Abs. 1 DS-GVO. Insoweit ist die richtige Anwendung des Unionsrechts derart offenkundig, dass keinerlei Raum für einen vernünftigen Zweifel an der Entscheidung der Frage bleibt.
Ein Grund zur Zulassung der Revision besteht ebenfalls nicht. Die Voraussetzungen des § 543 Abs. 2 ZPO liegen nicht vor. Weder hat die Rechtssache grundsätzliche Bedeutung noch erfordern die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts. Die nicht durch die Rechtsprechung des Bundesgerichtshofs geklärten streitentscheidenden Rechtsfragen sind durch die Rechtsprechung des Gerichtshofs der Europäischen Union geklärt.
Der nicht nachgelassene Schriftsatz des Klägers vom 25. Oktober 2024, dessen Inhalt der Senat zur Kenntnis genommen und erwogen hat, gibt weder zu einer Wiedereröffnung der mündlichen Verhandlung noch zu einer für den Kläger in der Sache günstigeren Entscheidung Anlass.
