I.
Die Klägerin macht gegen die Beklagte Ansprüche auf Schadensersatz, Unterlassung und Auskunft aufgrund angenommener Datenschutzverstöße der Beklagten im Zusammenhang mit einem sogenannten Datenabgriff ("Scraping") in dem von der Beklagten betriebenen sozialen Netzwerk A. geltend.
Die Klägerin nutzt seit vielen Jahren einen A.-Account unter dem aus ihrem Namen abgeleiteten Pseudonym "B.". Bei ihrer Anmeldung bei A. machte sie von der fakultativen Möglichkeit Gebrauch, dort auch ihre Mobilfunknummer zu hinterlegen. Eine solchermaßen zum Profil hinzugefügte Mobilfunknummer ließ sich von allen auf A. registrierten Nutzern auch dann suchen, wenn sie von dem die Telefonnummer einstellenden A.-Nutzer in der für andere Nutzer eröffneten Zielgruppenauswahl nicht als "öffentlich" und damit als für andere im Grundsatz nicht sichtbar eingestellt war. Die Standardeinstellungen auf der A.-Plattform der Beklagten sahen in der sogenannten Suchbarkeitseinstellung bis zu einer späteren Änderung durch die Beklagte eine Suchbarkeit durch "alle" vor. Des Weiteren bestand für A.-Nutzer über die sogenannte "Kontakt-Importer-Funktion", mit der es möglich war, Telefonkontakte vom Smartphone in den sogenannten Messenger von A. hochzuladen, die Möglichkeit, diejenigen Kontakte zu finden und mit ihnen auf A. in Verbindung zu treten, die auf der A.-Plattform unter Angabe ihrer Rufnummer ebenfalls registriert waren. Um eine Suchbarkeit über die Suchfunktion auf der Plattform und über die Kontaktimportfunktion auszuschließen oder einzuschränken, war es ursprünglich erforderlich, die A.-Standardeinstellungen zu ändern.
Aus der Suchfunktion auf der Plattform sowie aus der Kontaktimportfunktion ergab sich die technische Möglichkeit, unter Verwendung gängiger Rufnummernformate eine Vielzahl von Ziffernfolgen beziehungsweise mutmaßlichen Telefonnummern zu generieren und zu nutzen, um auf der A.-Plattform nach dazu passenden Nutzern zu suchen. Stimmte eine Nummer mit der hinterlegten Nummer eines Nutzers überein, so wurden dessen öffentliche Nutzerinformationen der eingegebenen Nummer zugeordnet und abgerufen. Ab Januar 2018 kam es durch Unbekannte unter Nutzung dieser Funktionalitäten zu einem massenhaften Abgriff von Daten von A.-Accounts, von dem auch die Klägerin betroffen war. Im Jahr 2021 tauchten abgegriffene Daten im Internet auf. Die Beklagte bestätigte der Klägerin mit einem Schreiben vom 26. August 2021 (Anlage B16, Bl. 266-278 GA LG), dass nach ihren Informationen durch das Scraping von den Einzeldaten der Klägerin die "Nutzer ID", der Vorname und der Nachname abgeschöpft worden seien.
Von einer weitergehenden Darstellung des Tatbestands wird gemäß § 540 Abs. 2, § 313a Abs. 1 Satz 1 ZPO abgesehen, weil ein Rechtsmittel gegen die Entscheidung gemäß § 543, § 544 Abs. 2 Nr. 1 ZPO nicht zulässig ist.
II.
Die Berufung der Klägerin hat keinen Erfolg. Sie ist zulässig, aber unbegründet. Das angefochtene landgerichtliche Urteil beruht weder auf einer Rechtsverletzung noch rechtfertigen die nach § 529 ZPO zugrunde zu legenden Tatsachen eine andere Entscheidung.
1.
Die auch in der Berufungsinstanz von Amts wegen zu prüfende internationale Zuständigkeit der deutschen Gerichte folgt aus Art. 79 Abs. 2 Satz 1 DS-GVO, weil die Klägerin als betroffene Person ihren gewöhnlichen Aufenthalt in Deutschland hat und die Datenschutz-Grundverordnung nach dem Vorbringen der Parteien in zeitlicher, sachlicher und räumlicher Hinsicht anwendbar ist.
Der zeitliche Anwendungsbereich der gemäß Art. 99 Abs. 2 DS-GVO am 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung ist eröffnet. Zwischen den Parteien ist gemäß § 138 Abs. 3 ZPO unstreitig, dass die Klägerin erst im Jahr 2019 und damit nach dem Inkrafttreten der Datenschutz-Grundverordnung von möglichen Datenschutzverstößen der Beklagten durch das Abschöpfen ihrer eigenen personenbezogenen Daten betroffen war. Dem entsprechenden Vorbringen der Klägerin ist die Beklagte nicht entgegengetreten.
Der sachliche Anwendungsbereich der Datenschutz-Grundverordnung ist ebenfalls eröffnet. Gemäß Art. 2 Abs. 1 DS-GVO gilt die Datenschutz-Grundverordnung unter anderem für die automatisierte Verarbeitung personenbezogener Daten. Bei den hier im Fokus stehenden Daten der Klägerin, die sich in dem sogenannten Leak-Datensatz ("000000,000000, B.,C.-Stadt, Germany ,,,00/0/00/0 00, 00, 00 AM"") wiederfinden, den die Klägerin im Laufe des Verfahrens vorgelegt hat, handelt es sich um solche personenbezogenen Daten, weil sie sich gemäß der Definition in Art. 4 Nr. 1 DS-GVO auf eine identifizierte - betroffene - Person beziehen. Diese Daten wurden, jedenfalls soweit es um die Angaben der Mobilfunknummer, der A.-ID und des Pseudonyms ging, von der Beklagten im Rahmen des von ihr betriebenen sozialen Netzwerks A. automatisiert verarbeitet.
Schließlich ist auch der räumliche Anwendungsbereich der Datenschutz-Grundverordnung eröffnet. Gemäß Art. 3 Abs. 1 DS-GVO findet die Datenschutz-Grundverordnung auf die Verarbeitung personenbezogener Daten Anwendung, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der Europäischen Union erfolgt. Bei der Beklagten handelt es sich um ein Unternehmen nach dem Recht der irischen Republik mit Sitz in Irland, mithin mit einer Niederlassung innerhalb der Europäischen Union. Da die Beklagte das soziale Netzwerk A. für Nutzer in der Europäischen Union betreibt, ist sie auch Verantwortliche im Sinne von Art. 4 Nr. 7 DS-GVO.
2.
Der auf Ersatz eines immateriellen Schadens gerichtete Klageantrag zu 1. ist zulässig, aber unbegründet. Der Klägerin steht gegen die Beklagte kein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO zu.
a)
Entgegen der Ansicht der Beklagten begegnet der Antrag nicht schon Bestimmtheitsbedenken. Wie die Klägerin klargestellt hat, stützt sie ihr Klagebegehren nicht auf eine unzulässige Häufung alternativer Klagegründe oder Streitgegenstände. Vielmehr geht es ihr um den Ersatz eines immateriellen Schadens, der sich aus mehreren Datenschutzverstößen der Beklagten ergeben haben soll. Insoweit nimmt die Klägerin auf den einen von ihr beschriebenen Scraping-Vorfall Bezug, von dem sie im Jahr 2019 betroffen war. Damit liegt dem geltend gemachten Schadensersatzanspruch aber ein eindeutig abgrenzbarer, einheitlicher Lebenssachverhalt und damit ein einheitlicher Streitgegenstand zugrunde.
Da es bei Klagen, die auf Ersatz immaterieller Schäden gerichtet sind, keiner Bezifferung des Anspruchs bedarf, sondern vielmehr ausreicht, wenn vom Kläger eine Mindestvorstellung mitgeteilt wird, auf die sich der Ersatzbetrag belaufen soll, konnte die Klägerin ihren Antrag auch wie geschehen unter Nennung eines Mindestbetrags formulieren.
b)
Der zulässige Antrag ist jedoch unbegründet. Gemäß Art. 82 Abs. 1 DS-GVO setzt ein Schadensersatzanspruch nach dieser Vorschrift einen Verstoß des Verantwortlichen gegen die Datenschutz-Grundverordnung, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus (vgl. auch EuGH, Urteile vom 4. Mai 2023 - C-300/21, ZIP 2023, 1244, 1246, Rn. 32, und vom 25. Januar 2024 - C-687/21, DB 2024, 519, 523, Rn. 58). Zwar hat die Beklagte entgegen der Ansicht des Landgerichts gegen die Datenschutz-Grundverordnung verstoßen, die Klägerin hat dadurch aber keinen ersatzfähigen Schaden erlitten.
aa)
Der von Art. 82 Abs. 1 DS-GVO verlangte Verstoß gegen die Datenschutz-Grundverordnung liegt vor. Dabei kann hier dahinstehen, ob jeder Verstoß gegen materielle oder formelle Bestimmungen der Datenschutz-Grundverordnung oder erst eine verordnungswidrige Datenverarbeitung im Sinne von Art. 82 Abs. 2 Satz 1 DS-GVO einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO begründen kann (siehe zum Meinungsstreit OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris, Rn. 381 ff.). Da die Beklagte - wie noch auszuführen ist - personenbezogene Daten der Klägerin ohne die nach Art. 6 Abs. 1 DS-GVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die Datenschutz-Grundverordnung, sondern auch eine verordnungswidrige Datenverarbeitung vor.
(1)
Gemäß Art. 4 Nr. 2 DS-GVO fällt unter den Begriff der Datenverarbeitung neben der Offenlegung durch Übermittlung und Verbreitung auch jede andere Form der Bereitstellung personenbezogener Daten. Die auf der A.-Plattform der Beklagten vormals technisch mögliche Suche des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer - die ungeachtet der Ungewissheiten über den exakten Ablauf des Scraping-Vorfalls zwischen den Parteien unstreitig ist - stellte eine von der Beklagten ermöglichte Form der Bereitstellung von personenbezogenen Daten der Klägerin dar. Die Suchfunktionalität oder Suchbarkeit ermöglichte es anderen Nutzern, das Nutzerprofil der Klägerin mit deren öffentlichen Profildaten mittels Such- oder Kontaktimportfunktion anhand ihrer Mobilfunknummer zu finden. Den unbekannten "Scrapern" ermöglichte diese Funktionalität, das Nutzerprofil der Klägerin anhand automatisch generierter Nummernfolgen nach Art von Telefonnummern, bei denen es sich mangels Kenntnis von der Telefonnummerneigenschaft einer bestimmten Person zunächst noch nicht um personenbezogene Daten handelte, zu finden und die den Suchtreffer auslösende, automatisch generierte Ziffernfolge als Mobilfunknummer zu identifizieren und der Klägerin zuzuordnen sowie mit ihren weiteren öffentlichen Nutzerprofildaten nach Art des Leak-Datensatzes zu verknüpfen.
(2)
Gemäß Art. 6 Abs. 1 Unterabs. 1 DS-GVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der dort genannten Voraussetzungen beziehungsweise Rechtsgrundlagen für die Verarbeitung vorliegt. Die Darlegungs- und Beweislast für eine rechtmäßige Datenverarbeitung trägt der Verantwortliche (EuGH, Urteil vom 4. Juli 2023 - C-252/21, juris, Rn. 95), hier also die Beklagte. Danach war die Datenverarbeitung rechtswidrig. Für die Funktionalität, welche die Suchbarkeit des Nutzerprofils der Klägerin anhand der Mobilfunknummer ermöglichte, hat die Beklagte keine der Rechtmäßigkeitsbedingungen nach Art. 6 Abs. 1 Unterabs. 1 DS-GVO dargelegt.
(a)
Die Beklagte beruft sich als Rechtsgrundlage für die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer auf Art. 6 Abs. 1 Unterabs. 1 Buchst. b DS-GVO. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Erfüllung eines Vertrags erforderlich ist. Die Beklagte vertritt insofern die Auffassung, dass die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer für die Erfüllung des Hauptzwecks des mit der Klägerin geschlossenen Nutzungsvertrags, die gegenseitige Auffindbarkeit der Nutzer untereinander zwecks Vernetzung miteinander zu ermöglichen, erforderlich gewesen sei. Wörtlich führt sie hierzu in der Berufungserwiderung aus (Bl. 165 GA OLG):
"Einem solchen sozialen Netzwerk ist es immanent, dass die einzelnen Nutzer (so auch die Klagepartei) Freunde und generell ihnen bekannte Personen finden und sich miteinander vernetzen können. Solche Verknüpfungen werden durch die Verwendung von Funktionen, wie der Kontakt-Importer-Funktion, hergestellt, die, wie im Hilfebereich und in der Datenrichtlinie erläutert, die Telefonnummern von Nutzern erfordern. Die Kontakt-Importer-Funktion ist deswegen ein für Nutzer der A.-Plattform wesentliches Tool. Die Daten werden mithin für die Erfüllung des Nutzervertrags auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b) DSGVO erhoben."
Entgegen der Ansicht der Beklagten lagen die Voraussetzungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DS-GVO jedoch nicht vor (siehe OLG Hamm, Urteil vom 15. August 2023 - I-7 U 19/23, juris, Rn. 94 ff.). Die in Art. 6 Abs. 1 Unterabs. 1 Buchst. a bis f DS-GVO vorgesehenen Rechtfertigungsgründe sind eng auszulegen (EuGH, Urteil vom 4. Juli 2023 - C-252/21, juris, Rn. 93). Die Verarbeitung personenbezogener Daten ist zur Erfüllung eines Vertrags im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DS-GVO erforderlich, wenn die Datenverarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne die Datenverarbeitung nicht erfüllt werden könnte. Der Umstand, dass die Datenverarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, genügt nicht. Entscheidend ist, dass die Datenverarbeitung des Verantwortlichen für die ordnungsgemäße Erfüllung des mit dem Betroffenen geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen (EuGH, Urteil vom 4. Juli 2023 - C-252/21, juris, Rn. 98 f. und 125).
Nach diesen Maßgaben war die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DS-GVO (so auch OLG Hamm, Urteil vom 15. August 2023 - I-7 U 19/23, juris, Rn. 94 ff., OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris, Rn. 502 ff.). Die Suchbarkeit der Nutzerprofile anhand der Mobilfunknummer war zur Erfüllung des von der Beklagten angeführten Hauptzwecks des Nutzervertrags - die gegenseitige Auffindbarkeit zwecks Vernetzung - nicht unerlässlich. Vielmehr konnten sich die Nutzer gegenseitig zum Beispiel auch über ihre Namen finden (siehe OLG Dresden, Urteil vom 5. Dezember 2023 - 4 U 1094/23, juris, Rn. 34; OLG Oldenburg, Urteil vom 21. Mai 2024 - 13 U 100/23, juris, Rn. 29). Gerade um der entsprechenden Suchmöglichkeit willen ist der Nutzername auf der Plattform A. stets öffentlich einsehbar. Dass die Suchbarkeit über die Mobilfunknummer nach der eigenen Bewertung der Beklagten daneben nicht erforderlich war, zeigt sich daran, dass eine Telefonnummer nicht zu den Pflichtangaben zählte, die im Rahmen der Erstanmeldung bei A. anzugeben waren. Vielmehr war die Angabe einer Telefonnummer durch die A.-Nutzer - wie das Landgericht für den Senat bindend festgestellt hat - fakultativ. Darüber hinaus konnte die standardmäßige Voreinstellung der Suchbarkeit auch nach der Telefonnummer der Nutzer von diesen abgewählt werden. Die Beklagte hat jene die Telefonnummern betreffende Suchfunktionalität später auch eingeschränkt.
(b)
Das Vorliegen anderer Rechtsgrundlagen für die Suchbarkeit des Nutzerprofils der Klägerin anhand ihrer Mobilfunknummer führt die Beklagte nicht an. Sie sind hier auch nicht ersichtlich (siehe OLG Hamm, Urteil vom 15. August 2023 - I-7 U 19/23, juris, Rn. 104 ff.). Insbesondere hat die Klägerin nicht in informierter Weise und unmissverständlich gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. a DS-GVO ihre Einwilligung in die betreffende Datenverarbeitung erteilt. Das hätte vorausgesetzt, dass die Beklagte die Klägerin transparent über die Suchbarkeit des Nutzerprofils anhand der Mobilfunknummer informiert hätte. Das ist jedoch weder dargelegt noch ersichtlich. Die geänderten Nutzungsbedingungen der Beklagten vom 19. April 2018, denen die Klägerin zustimmen musste, enthielten ebenso wenig Informationen über die Suchbarkeit des Nutzerprofils anhand der Mobilfunknummer wie die Datenrichtlinie, auf welche die Nutzungsbedingungen Bezug nahmen. Schließlich folgte auch aus der Verlinkung der Privatsphäre-Einstellungen in den Nutzungsbedingungen sowie den Privatsphäre-Tools und Hilfebereichsseiten der Plattform keine transparente Information über die Suchbarkeit anhand der Mobilfunknummer. Die Klägerin musste sich mit diesen Informationsmöglichkeiten nicht befassen, sondern durfte wegen Art. 25 Abs. 2 Satz 1 und 3 DS-GVO darauf vertrauen, dass die Beklagte die jeweils datenschutzfreundlichsten Voreinstellungen gewählt hatte, die gewährleisteten, dass ihre Telefonnummer ohne ihr Zutun nur dem kleinstmöglichen Empfängerkreis zugänglich gemacht werden würde (siehe OLG Oldenburg, Urteil vom 14. Mai 2024 - 13 U 114/23, juris, Rn. 22 ff.).
bb)
Zwar ist damit ein Datenschutzverstoß der Beklagten jedenfalls wegen der Bereitstellung der Mobilfunknummer als personenbezogenes Datum der Klägerin zu bejahen. Insofern kommt es für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auch nicht darauf an, ob der Beklagten wegen dieses Datenverarbeitungsvorgangs über den einen festgestellten Datenschutzverstoß hinaus noch weitere Datenschutzverstöße anzulasten sind. Das Vorliegen mehrerer Datenschutzverstöße durch ein und denselben Verarbeitungsvorgang bleibt auf die Höhe eines etwaigen Schadensersatzanspruchs ohne Auswirkungen (siehe EuGH, Urteil vom 11. April 2024 - C-741/21, juris, Rn. 64 f.). Es kann jedoch nicht festgestellt werden, dass die Klägerin durch den vorgenannten Datenschutzverstoß der Beklagten einen Schaden im Sinne von Art. 82 Abs. 1 DS-GVO erlitten hat.
(1)
Nach der Rechtsprechung des Gerichtshofs der Europäischen Union sind die in Art. 82 Abs. 1 DS-GVO enthaltenen Begriffe "materieller oder immaterieller Schaden" sowie "Schadenersatz" autonom und einheitlich auszulegen, weil die Datenschutz-Grundverordnung für sie nicht auf das Recht der Mitgliedstaaten verweist (EuGH, Urteil vom 4. Mai 2023 - C-300/21, ZIP 2023, 1244, 1246, Rn. 30). Maßgeblich ist danach das Begriffsverständnis, wie es in der Rechtsprechung des Gerichtshofs ausgeformt worden ist. Die Darlegungs- und Beweislast für das Vorliegen eines Schadens auf der Grundlage dieses Begriffsverständnisses trifft nach dieser Rechtsprechung sodann den jeweiligen Kläger (EuGH, Urteil vom 25. Januar 2024 - C-687/21, DB 2024, 519, 523, Rn. 61). Hiernach hat die Klägerin einen ihr entstandenen Schaden bereits nicht ausreichend dargelegt.
(2)
Entgegen der Auffassung der Klägerin liegt in dem Verlust der Kontrolle über personenbezogene Daten als solches noch kein ersatzfähiger Schaden.
(a)
Hiergegen kann die Klägerin nicht schon mit Erfolg die Erwägungsgründe 75 und 85 DS-GVO anführen. Zwar wird in Erwägungsgrund 85 DS-GVO der Verlust der Kontrolle über personenbezogene Daten als Beispielsfall eines Schadens aufgeführt. Insoweit ist aber zu beachten, dass die Erwägungsgründe keinen normativen Charakter haben, sondern nur als Auslegungshilfe der Bestimmungen der Verordnung dienen (vgl. EuGH, Urteile vom 19. Juni 2014 - C-345/13, juris, Rn. 31, und vom 26. Oktober 2023 - C-307/22, juris, Rn. 44).
Nach der insoweit für den Senat maßgeblichen Auslegung des Art. 82 Abs. 1 DS-GVO durch den Gerichtshof der Europäischen Union begründet der bloße Kontrollverlust keinen immateriellen Schaden im Sinne der Vorschrift. Zwar soll der Begriff des Schadens, der der betroffenen Person entstehen kann, auch den bloßen "Verlust der Kontrolle" über ihre eigenen Daten infolge des Verstoßes gegen die DS-GVO erfassen können (EuGH, Urteile vom 14. Dezember 2023 - C-340/21, juris, Rn. 82, und vom 11. April 2024 - C-741/21, juris, Rn. 42). Insofern kann sich ein immaterieller Schaden auch aus dem nur kurzzeitigen Verlust der Kontrolle über personenbezogene Daten ergeben (EuGH, Urteile vom 25. Januar 2024 - C-687/21, DB 2024, 519, 523, Rn. 66, und vom 11. April 2024 - C-741/21, juris, Rn. 42). Daraus folgt jedoch nicht, dass eine Person, die von einem Verstoß gegen Vorschriften der DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen - zu denen der Senat nach seinem Verständnis dieser Rechtsprechung auch den Kontrollverlust zählt - einen immateriellen Schaden darstellen (EuGH, Urteile vom 4. Mai 2023 - C-300/21, ZIP 2023, 1244, 1247, Rn. 50, vom 14. Dezember 2023 - C-340/21, juris, Rn. 84, und vom 11. April 2024 - C-741/21, juris, Rn. 42). Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten nicht zu einer Entschädigung führen (EuGH, Urteil vom 25. Januar 2024 - C-687/21, DB 2024, 519, 523, Rn. 68). Wenn sich eine Person auf die Befürchtung beruft, ihre personenbezogenen Daten könnten zukünftig missbräuchlich verwendet werden, muss das nationale Gericht prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH, Urteil vom 14. Dezember 2023 - C-340/21, juris, Rn. 85). Zudem kommt nach Art. 82 Abs. 1 DS-GVO ein Schadensersatzanspruch wegen einer solchen begründeten Befürchtung nur in Betracht, wenn diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, juris, Rn. 36). Nach dieser Rechtsprechung stellt ein folgenloser Kontrollverlust keinen immateriellen Schaden dar (siehe auch OLG Dresden, Urteil vom 16. April 2024 - 4 U 213/24, juris, Rn. 56 ff.; OLG Hamm, Urteil vom 21. Juni 2024 - 7 U 154/23, juris, Rn. 45 ff.; OLG Köln, Urteil vom 7. Dezember 2023 - I-15 U 33/23, juris, Rn. 39 ff.; OLG München, Urteil vom 24. April 2024 - 34 U 2306/23 e, juris, Rn. 32; OLG Oldenburg, Urteil vom 21. Mai 2024 - 13 U 100/23, juris, Rn. 43; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris, Rn. 294; zustimmend Paal, NJW 2024, 1689, 1694).
(b)
Hiervon abgesehen kann nach dem Verlauf der mündlichen Verhandlung vor dem Senat auch noch nicht einmal festgestellt werden, dass die Klägerin infolge des Scraping-Vorfalls einen Kontrollverlust über zentrale in dem Leak-Datensatz enthaltene Daten erlitten hat. Das betrifft an erster Stelle ihre Mobilfunknummer. Die Klägerin hat die ihr vom Senat benannte mehrdeutige Formulierung aus ihrer erstinstanzlichen Replik und aus ihrer Berufungsbegründung, "die Klägerseite gibt die Telefonnummer stets bewusst und zielgerichtet weiter, und macht diese nicht wahl- und grundlos der Öffentlichkeit zugängig, wie etwa im Internet", auf den erteilten richterlichen Hinweis nicht klargestellt und hat nicht erklärt, die Mobilfunknummer nicht schon zuvor im Internet veröffentlicht zu haben (vgl. zu vergleichbaren Fallgestaltungen auch OLG Hamm, Urteil vom 21. Juni 2024 - 7 U 154/23, juris, Rn. 51; OLG Köln, Urteile vom 7. Dezember 2023 - I-15 U 33/23, juris, Rn. 37, und I-15 U 67/23, juris, Rn. 42). Die A.-ID und das von der Klägerin anstelle ihres Namens gewählte Pseudonym waren ohnehin öffentliche, für jedermann auf A. und von außerhalb der Plattform einsehbare Angaben, so dass insoweit ein Kontrollverlust im Sinne einer Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, zum Zeitpunkt des Datenabgriffs schon längst eingetreten war.
(3)
Auch mit ihrem weiteren Vortrag hat die Klägerin einen ihr entstandenen immateriellen Schaden nicht dargelegt.
(a)
Soweit die Klägerin behauptet, infolge des Scraping-Vorfalls in einen Zustand großen Unwohlseins und großer Sorge über einen etwaigen Missbrauch ihrer Daten geraten zu sein und ein Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit verspürt zu haben, ist ihr Vortrag nicht geeignet, einen immateriellen Schaden darzulegen. Zwar können entsprechende Empfindungen grundsätzlich einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DS-GVO darstellen. Mit den Ausführungen in ihren Schriftsätzen legt die Klägerin eine entsprechende individuelle Betroffenheit jedoch nicht dar. Wie der Senat aus einer Vielzahl bei ihm anhängiger Parallelverfahren und auch aus dem Vorbringen der Parteien weiß, handelt es sich bei den betreffenden Formulierungen lediglich um Textbausteine, die wortlautidentisch vieltausendfach Verwendung gefunden haben. Sie lassen infolgedessen keinen Rückschluss auf individuelle Empfindungen der Klägerin zu (siehe auch OLG Hamm, Urteil vom 15. August 2023 - I-7 U 19/23, juris, Rn. 162 ff.; OLG Köln, Urteil vom 7. Dezember 2023 - I-15 U 67/23, juris, Rn. 48 ff.).
(b)
Es kommt hinzu, dass die Klägerin mit den Angaben im Rahmen ihrer informatorischen Anhörung durch das Landgericht auch weder darlegen noch beweisen konnte, dass sie der Scraping-Vorfall bei der Beklagten mental belastet hat oder sogar immer noch belastet. Nach den landgerichtlichen Feststellungen, an die der Senat gemäß § 529 Abs. 1 ZPO gebunden ist, hat sie sich gedanklich allein mit den sie erreichenden Spamanrufen und Spam-SMS befasst. Auch soweit die Klägerin im Rahmen ihrer Anhörung körperliche Reaktionen angesprochen hat, standen diese nach den protokollierten Angaben im Zusammenhang mit den Anrufen und Textnachrichten. Diese vermögen den geltend gemachten Schadensersatzanspruch jedoch nicht zu begründen. Ein ursächlicher Zusammenhang zwischen den Anrufen und Textnachrichten auf ihrem Mobiltelefon und dem Scraping-Vorfall lässt sich nicht feststellen. Spamanrufe und Spamnachrichten gehören inzwischen zum allgemeinen Lebensrisiko und können unterschiedliche Ursachen haben. Darüber hinaus hat die Klägerin deren erstmaliges Auftreten im Rahmen ihrer informatorischen Anhörung durch das Landgericht noch nicht einmal in einer Weise eingrenzen können ("ab irgendeinem Zeitpunkt"), aus der sich eine zeitliche Koinzidenz mit dem Scraping-Vorfall ergeben würde. Nichts anderes ergibt sich aus der von ihr vorgelegten Anlage K6. Aus diesem Screenshot von SMS-Nachrichten ergibt sich nicht, von wann diese stammen.
(c)
Aus dem Vorstehenden folgt, dass auch der von der Klägerin geschilderte Erhalt von Spamanrufen und Spam-SMS im Sinne einer eigenständigen Belästigung den von ihr verfolgten Schadensersatzanspruch nicht zu begründen vermag. Es steht, wie gerade ausgeführt, nicht fest, dass zwischen diesen und dem Scraping-Vorfall bei der Beklagten ein ursächlicher Zusammenhang besteht. Das gilt erst recht für den von der Klägerin schriftsätzlich angesprochenen Erhalt von Spam-Mails. Insofern bestehen nach dem von ihr vorgelegten Leak-Datensatz schon Zweifel, ob ihre E-Mail-Adresse von dem Datenabgriff überhaupt betroffen war.
3.
Der Feststellungsantrag (Klageantrag zu 2.), der sich nach den schriftsätzlichen Ausführungen der Klägerin (Replik vom 14. November 2022, Bl. 338 GA LG) und auch mit Blick auf den Klageantrag zu 1. nur auf zukünftige materielle Schäden bezieht, ist jedenfalls mangels des nach § 256 Abs. 1 ZPO erforderlichen Feststellungsinteresses unzulässig.
In Ermangelung unionsrechtlicher Vorschriften ist es nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung eines jeden Mitgliedstaats, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe festzulegen, die zum Schutz der Rechte der Bürger bestimmt sind. Grenzen bilden insoweit lediglich der unionsrechtliche Äquivalenzgrundsatz, wonach die Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sein dürfen als bei gleichartigen Sachverhalten, die dem innerstaatlichen Recht unterliegen, sowie der unionsrechtliche Effektivitätsgrundsatz, wonach die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich gemacht oder übermäßig erschwert werden darf (EuGH, Urteil vom 4. Mai 2023 - C-300/21, ZIP 2023, 1244, 1247, Rn. 53). Da die DS-GVO den durch Art. 7 und Art. 8 GRCh garantierten Schutz personenbezogener Daten umsetzt (vgl. BVerfG, Beschluss vom 6. November 2019 - 1 BvR 276/17, juris, Rn. 42, 48, 65, 83 f.), ist auf die Verletzung des durch Art. 82 Abs. 1 DS-GVO in Verbindung mit Art. 8 GRCh gewährleisteten Rechts auf Schutz personenbezogener Daten unter Berücksichtigung des europarechtlichen Äquivalenz- und Effektivitätsgrundsatzes der Maßstab für die Annahme eines Feststellungsinteresses zu übertragen, der auch bei der Verletzung eines absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB gilt (vgl. OLG Hamm, Urteil vom 15. August 2023 - I-7 U 19/23, juris, Rn. 209; OLG Oldenburg, Urteil vom 14. Mai 2024 - 13 U 114/23, juris, Rn. 38). Danach reicht für die Annahme eines Feststellungsinteresses die Möglichkeit weiterer materieller oder immaterieller Schäden aus (BGH, Urteil vom 29. Juni 2021 - VI ZR 52/18, juris, Rn. 30). Ein Feststellungsinteresse ist im Einklang hiermit nur zu verneinen, wenn aus Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines weiteren Schadens wenigstens zu rechnen (BGH, Urteil vom 9. Januar 2007 - VI ZR 133/06, juris, Rn. 5).
Eine solche Möglichkeit eines zukünftigen Schadenseintritts ist aber im Hinblick auf materielle Schäden weder ausreichend dargetan noch ersichtlich. Die Klägerin hat bis heute - inzwischen sind rund fünf Jahre seit dem Scraping-Vorfall vergangen - keine materiellen Schäden dargelegt, die ihr durch das Scraping entstanden sein sollen. Es kommt hinzu, dass sich die Daten des von der Klägerin vorgelegten Leak-Datensatzes für Betrugstaten kaum eignen. Sie sind weder umfangreich noch besonders sensibel, weil sie für einen Identitätsdiebstahl nicht ausreichen. Der Datensatz enthält nur das von der Klägerin gewählte Pseudonym, aber nicht ihren Klarnamen und auch keine Adress- oder Kontodaten. Angesichts dessen sowie des Umstands, dass die Klägerin ihre Telefonnummer bis heute nicht gewechselt hat, für die Problematik von Spamanrufen und Spam-SMS ausweislich ihrer Angaben vor dem Landgericht aber sensibilisiert ist, spricht zur Überzeugung des Senats nichts dafür, dass mit dem Eintritt materieller Schäden noch zu rechnen ist.
4.
Die beiden als Klageanträge zu 3.a. und 3.b. formulierten Unterlassungsanträge sind jeweils schon unzulässig. Daher kann dahinstehen, auf welche Rechtsgrundlage sie gegebenenfalls gestützt werden könnten.
Wie bereits erwähnt, ist es nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung, unter Beachtung des Äquivalenzgrundsatzes und des Effektivitätsgrundsatzes die verfahrensrechtlichen Modalitäten der Rechtsbehelfe festzulegen. Nach dem insoweit anwendbaren § 253 Abs. 2 Nr. 2 ZPO fehlt es dem Klageantrag zu 3.a. an der hinreichenden Bestimmtheit. Ein Klageantrag ist danach nur dann hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet. Das ist unter anderem nur dann der Fall, wenn aus dem durch Urteil titulierten Antrag vollstreckt werden kann, ohne dass sich der Streit der Parteien im Vollstreckungsverfahren fortsetzt (BGH, Urteil vom 9. März 2021 - VI ZR 73/20, juris, Rn. 15). So verhält es sich hier nicht. Die Entscheidung darüber, was der Beklagten konkret verboten sein soll beziehungsweise von ihr an Sicherheitsvorkehrungen verlangt werden kann, bleibt letztlich dem Vollstreckungsgericht überlassen (siehe OLG Köln, Urteil vom 7. Dezember 2023 - I-15 U 67/23, juris, Rn. 75). Der Antrag, der nicht auf eine konkrete Verletzungsform Bezug nimmt, sondern auf eine zukünftige, wohl datenschutzkonforme Ausgestaltung der Kontaktimportfunktion gerichtet ist, definiert die wertungsabhängigen Begriffe des "unbefugten Dritten" sowie der "nach dem Stand der Technik möglichen Sicherheitsmaßnahmen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern", nicht näher.
Auch der Klageantrag zu 3.b. ist entgegen § 253 Abs. 2 Nr. 2 ZPO zu unbestimmt und damit unzulässig. Der Bestimmtheitsgrundsatz verlangt außer der bereits erwähnten Anforderung, dass der Rechtsstreit nicht wegen einer Unbestimmtheit des Klageantrags in das Vollstreckungsverfahren verlagert werden darf, dass durch den konkret bezeichneten Anspruch der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) genau absteckt wird, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) zu erkennen sind sowie das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt wird (BGH, Urteil vom 9. März 2021 - VI ZR 73/20, juris, Rn. 15). Diesen Anforderungen wird der Klageantrag zu 3.b. schon deshalb nicht gerecht, weil er nicht eine bestimmte, von der Klägerin bereits erteilte Einwilligung zur Datenverarbeitung seiner Telefonnummer für die von der Beklagten bereitgestellten Kontaktfunktionen in Bezug nimmt. Stattdessen verlangt die Klägerin damit von der Beklagten ganz abstrakt, ohne Rücksicht auf ihre aktuellen Einstellungen zu der Suchbarkeit ihrer Telefonnummer, eine Datenverarbeitung ihrer Telefonnummer zum Zweck der Herstellung von Kontakten dann nicht vorzunehmen, wenn irgendwann eine Einwilligung von ihr ohne hinreichende Aufklärung erteilt wurde oder noch erteilt werden sollte. Mit einem solchermaßen unbestimmten Klageantrag soll das Risiko des Unterliegens in unzulässiger Weise auf die Beklagte abgewälzt werden, weil es danach gar nicht darauf ankommt, ob die Klägerin bislang und heute noch eine nicht hinreichend aufgeklärte Einwilligung zu der Datenverarbeitung seiner Telefonnummer erteilt hat.
Für einen hinreichend bestimmten Klageantrag würde der Klägerin im Übrigen das Rechtsschutzbedürfnis fehlen. Nach deutschem Zivilprozessrecht ist eine Klage nur zulässig, wenn für sie ein Rechtsschutzbedürfnis besteht. Dieses fehlt, wenn ein einfacherer oder billigerer Weg zur Erreichung des Ziels besteht oder der Antragsteller kein berechtigtes Interesse an der Entscheidung hat (BGH, Beschluss vom 24. September 2019 - VI ZB 39/18, juris, Rn. 28). Letzteres ist der Fall, wenn der Antrag schlechthin sinnlos ist und der Antragsteller mit ihm unter keinen Umständen einen schutzwürdigen Vorteil erlangen kann (BGH, Urteil vom 29. September 2022 - I ZR 180/21, juris, Rn. 10). Der Antrag zu 3.b. ist darauf gerichtet, der Beklagten die Weiterverarbeitung personenbezogener Daten auf der Grundlage einer für unwirksam erachteten Einwilligung zu untersagen. Diesem Begehren kann auf einfacherem Weg mit einem Widerruf gemäß Art. 7 Abs. 3 Satz 1 DS-GVO jederzeit Rechnung getragen werden (OLG Dresden, Urteil vom 16. April 2024 - 4 U 213/24, juris, Rn. 72). Dass die Beklagte diesen Widerruf nicht beachten würde, hat weder die Klägerin dargelegt noch sind Umstände für eine solche Annahme ersichtlich. Vielmehr weiß die Klägerin spätestens mit diesem Verfahren, dass die Datenschutzeinstellung "privat" nicht die Datenverarbeitung der Telefonnummer durch die Kontaktimportfunktion oder die A.-Messenger-App verhindert hat. Mithilfe dieses Wissens kann sie unstreitig durch Überprüfung und gegebenenfalls Veränderung der Suchbarkeitseinstellungen ihres A.-Accounts ohne gerichtliche Hilfe selbst Vorsorge dafür treffen, dass eine entsprechende Datenverarbeitung zukünftig nicht mehr stattfindet (vgl. OLG Köln, Urteil vom 7. Dezember 2023 - I-15 U 67/23, juris, Rn. 81).
(5)
Der von der Klägerin mit der Berufung weiterverfolgte, auf Art. 15 Abs. 1 DS-GVO gestützte Auskunftsanspruch ist mit den Erklärungen der Beklagten in deren Schreiben vom 26. August 2021 jedenfalls gemäß § 362 Abs. 1 BGB durch Erfüllung erloschen. Auch hier ist es in Ermangelung unionsrechtlicher Vorschriften Sache der innerstaatlichen Rechtsordnung, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe unter Beachtung des Äquivalenz- und Effektivitätsprinzips festzulegen. Erfüllt im Sinne von § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen (BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19, juris, Rn. 19). Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen (BGH, a.a.O.). Danach hat die Beklagte die begehrte Auskunft mit ihrem Schreiben vom 26. August 2021 vollständig erteilt. Soweit die Klägerin die abweichende Auffassung vertritt, die Beklagte müsse noch die "Scraper" konkret benennen, verkennt sie, dass diese der Beklagten nach deren Vorbringen nicht bekannt sind. Schon aus diesem Grund steht die fehlende Nennung der "Scraper" der Erfüllungswirkung des Schreibens vom 26. August 2021 nicht entgegen.
(6)
Unbegründet ist schließlich der Antrag der Klägerin auf Ersatz vorgerichtlicher Rechtsanwaltskosten. Die von der Klägerin verfolgten Klageanträge zu 1. bis 3. waren von Anfang an unzulässig oder unbegründet, so dass ein Anspruch auf Erstattung von Rechtsanwaltskosten insoweit nicht besteht. Ein anderes Ergebnis ergibt sich auch nicht im Hinblick auf den von der Klägerin verfolgten Auskunftsanspruch (Klageantrag zu 4.). Ein Anspruch der Klägerin auf Ersatz von Anwaltskosten aus §§ 280 Abs. 2, 281 Abs. 1 BGB scheidet insoweit aus. Dass sich die Beklagte mit der Erfüllung des Auskunftsanspruchs zum Zeitpunkt der Mandatierung der Prozessbevollmächtigten der Klägerin bereits in Verzug befand, ist weder dargetan noch ersichtlich.
III.
Die Entscheidung über die Kosten beruht, weil die Berufung der Klägerin erfolglos geblieben ist, auf § 97 Abs. 1 ZPO.
Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711, 713 ZPO.
Gründe, das Verfahren zur Durchführung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV auszusetzen, bestehen nicht. Soweit sie entscheidungserheblich ist, ist die Auslegung der maßgeblichen unionsrechtlichen Begriffe zumindest eindeutig geklärt. Die von der Klägerin im Schriftsatz vom 7. Mai 2024 geäußerte abweichende Rechtsauffassung überzeugt nicht. Die von ihr dort als Grund für eine Aussetzung genannten Verfahren des Gerichtshofs der Europäischen Union sind sämtlich abgeschlossen. Der Gerichtshof hat in seinen in diesen Verfahren ergangenen Urteilen - nach Auffassung des Senats - letztlich auch schon den Teil der Art. 82 Abs. 1 DS-GVO betreffenden Fragen beantwortet, die Gegenstand des Vorlagebeschlusses des Bundesgerichtshofs vom 26. September 2023 - VI ZR 97/22 - sind. Eines Vorabentscheidungsverfahrens bedarf es auch nicht bezüglich der Frage der Erfüllung eines Auskunftsverlangens nach Art. 15 Abs. 1 DS-GVO. Insoweit ist die richtige Anwendung des Unionsrechts derart offenkundig, dass keinerlei Raum für einen vernünftigen Zweifel an der Entscheidung der Frage bleibt.
Ein Grund zur Zulassung der Revision besteht ebenfalls nicht. Die Voraussetzungen des § 543 Abs. 2 ZPO liegen nicht vor. Weder hat die Rechtssache grundsätzliche Bedeutung noch erfordern die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts. Die nicht durch die Rechtsprechung des Bundesgerichtshofs geklärten streitentscheidenden Rechtsfragen sind durch die Rechtsprechung des Gerichtshofs der Europäischen Union geklärt.
