3 O 95/23 – Sonstiges

Die Klage wird abgewiesen. Die Klägerin trägt die Kosten des Rechtsstreits. Das Urteil ist vorläufig vollstreckbar. Der Klägerin wird nachgelassen, die Vollstreckung durch Sicherheitsleistung in Höhe von 110% des aufgrund des Urteils vollstreckbaren Betrages abzuwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet. Die Klage wird abgewiesen. Die Klägerin trägt die Kosten des Rechtsstreits. Das Urteil ist vorläufig vollstreckbar. Der Klägerin wird nachgelassen, die Vollstreckung durch Sicherheitsleistung in Höhe von 110% des aufgrund des Urteils vollstreckbaren Betrages abzuwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet. Tatbestand: Die Klägerin macht gegen die Beklagte Ansprüche auf Schadensersatz sowie Feststellung der Ersatzpflicht, Unterlassung, Auskunft und Erstattung vorgerichtlicher Anwaltskosten unter Verweis auf Verstöße gegen die DSGVO geltend. Die Beklagte betreibt unter www.U..com die gleichnamige Social-Media-Plattform (im Folgenden „U.“). Die Nutzer können sich auf der Plattform persönliche Profile erstellen und sich so mit anderen Nutzern vernetzen, kommunizieren, Kontakt zu Freunden halten und neue Menschen, Unternehmen, Organisationen und Gruppen kennenlernen. Auf ihren Profilen können die Nutzer Angaben zu verschiedenen Daten zu ihrer Person eintragen und entscheiden, welche anderen Gruppen von Nutzern Zugriff auf ihre Daten haben. Die Klägerin ist Nutzerin dieser Plattform. Bei der Erstellung seines U.-Profils trägt der Nutzer Vor- und Zuname, Handynummer oder E-Mail-Adresse, Geschlecht und Geburtsdatum in die Registrierungsmaske ein. Bestimmte Informationen über den jeweiligen Nutzer (Vorname, Nachname, Benutzer-ID, Nutzername, Geschlecht, Profil- und Titelbild) sind im Internet für jedermann, ohne sich dabei eine eigenes U.-Profil zulegen zu müssen, sichtbar. Zusätzlich können auch andere Nutzerinformationen sichtbar sein (z.B. Telefonnummer, E-Mail-Adresse, Wohnort, Stadt, Beziehungsstatus). Die Voreinstellung für die Sichtbarkeit dieser übrigen eingetragenen Informationen ist nach klägerischem Vortrag „alle“ bzw. „öffentlich“, kann jedoch durch Einstellung abgeändert werden. So kann eingestellt werden, wer einzelne Informationen im U.-Profil einsehen kann. Unter der Rubrik „Handy-Einstellungen“ sind auch Einstellungen zur Handynummer möglich, so auch die Einstellung „Nur du kannst deine Nummer sehen“. Unter dem Punkt „Informationen zur Verwendung der Telefonnummer“ – überschrieben mit „Möglicherweise verwenden wir deine Mobilnummer für diese Zwecke“ heißt es u.a.: „Wir verkaufen jedoch keinesfalls personenbezogene Informationen an Dritte, auch nicht deine Mobilnummer. Beachte: Du kannst festlegen, wer deine Telefonnummer sehen kann und wer auf U. nach dir suchen kann. In unserer Datenrichtlinie erfährst du mehr darüber, wie U. deine Telefonnummer verwendet.“ Von der o.g. Sichtbarkeitseinstellung unterscheiden sich die sog. Suchbarkeitseinstellungen, über die der Nutzer festlegen kann, ob und wer ihn über seine Telefonnummer finden kann. Voreingestellt war hier die Option „Alle“. Um eine Suchbarkeit über die Suchfunktion auszuschließen, mussten diese Voreinstellungen auf „Freunde von Freunden“, „Freunde“ oder ab Mai 0000 auf „nur ich“ umgestellt werden. Die Suchbarkeitseinstellungen des klägerischen U.-Profils waren seit dem 00.00.0000 auf „alle“ eingestellt (vgl. Anlage B17, Bl. 291 eA). Ebenfalls öffentlich einsehbar mit dem U.-Profil der Klägerin ist deren Firmen-Homepage https://skinfuture-lounge.de. Auf dieser finden sich unter anderem für jedermann öffentlich einsehbar die private Mobilfunknummer und private Anschrift der Klägerin. U. bietet die Funktion an, die im Smartphone eines Nutzers gespeicherten Personenkontakte mit Nutzern auf U. zu synchronisieren, d.h. die gespeicherten Telefonnummern werden mit den bei U. hinterlegten Telefonnummern abgeglichen, um die hinter den Nummern stehenden Personen als Freunde hinzuzufügen, auch wenn diese Nummern in der Rubrik „Handy-Einstellungen“ nicht für die Öffentlichkeit freigegeben waren. Außerdem konnten Nutzer ihre Kontakte in den sogenannten Messenger von U. hochladen. Damit war es möglich, diejenigen dieser Kontakte, die auf U. ebenfalls registriert waren, zu finden und mit ihnen in Verbindung zu treten (sog. Kontakt-Importer-Funktion). Dazu gab es unter dem Punkt „mehr dazu“ die folgenden Hinweise: „Weshalb Kontakte hochladen? U. und Messenger machen mit Freunden und Familie einfach mehr Spaß. Wenn du das Hochladen von Kontakten aktivierst, werden die Daten deiner Telefonkontakte fortlaufend synchronisiert. Dadurch kannst du Personen, die du bereits kennst, einfacher finden und sie dich ebenso.“ Auch insoweit waren die vorbeschriebenen Suchbarkeitseinstellungen maßgeblich. Im Hilfebereich der U.-Homepage stellt die Beklagte ihren Nutzern Informationen unter der Überschrift „Privatssphäre, Datenschutz und Sicherheit“ über die Privatsphäre-Einstellungen zur Verfügung (vgl. Anlagen B2-B8, Bl. 222 ff. eA). Ferner enthält die Datenrichtlinie, auf die Nutzer bei der Registrierung hingewiesen werden, Informationen zu den Privatsphäre-Einstellungen (Anlage B9, Bl. 230 ff. eA). Im Zeitraum von Januar N01 bis September N02 kam es zu dem sog. „Scraping-Vorfall“ auf U., welcher im April N03 öffentlich bekannt wurde. Dabei sammelten Dritte zeitlich versetzt Daten von ca. 533 Millionen U.-Nutzern aus einer Vielzahl von Ländern in einer Liste. Das Abgreifen der Daten erfolgte durch das Kontakt-Importer-Tool, mit Hilfe dessen Dritte fiktive Nummern überprüfen konnten und so wahllos erstellte Telefonnummern konkreten U.-Profilen zuordnen konnten. Diese Profile wurden dann besucht und die öffentlich eingestellten Daten in großem Umfang abgeschöpft, was laut Nutzungsbedingungen der Beklagten verboten ist. Anfang April N03 wurden die Daten in einem Leak-Datensatz im Darknet veröffentlicht. Die Scraper griffen bei der Beklagten hinterlegte Nutzerinformationen wie U.-ID, Name und Geschlecht ab und veröffentlichten diese zusammen mit der Telefonnummer im oben genannten Leak-Datensatz, u.a. auf der Seite raidforums.com (Hacker-Forum). Die Beklagte deaktivierte die Suchfunktion für Telefonnummern im April N01. Die Scraper nutzten daraufhin verstärkt die Kontakt-Import-Funktion. Die Beklagte deaktivierte daher am 10.10.N01 die Kontaktimportfunktion und den U.-Messenger am 00.00.N02. Zu weiteren Scraping-Vorfälle bei der Beklagten kam es seitdem nicht mehr. Die Klägerin forderte die Beklagte außergerichtlich zur Zahlung von mindestens 3.000,00 Euro und Unterlassung sowie Auskunft auf, woraufhin die Beklagte einen Schadensersatz- und Unterlassungsanspruch zurückwies. Sie teilte mit Schreiben vom 00.00.0000 (Anl. B16, Bl. 267 ff. eA) mit, dass sich unter den abgegriffenen Daten auch solche der Klägerin befinden. Am 00.00.0000 verhängte die irische Datenschutzbehörde gegen die Beklagte ein Bußgeld in Höhe von 265 Millionen Euro unter Verweis darauf, dass die Beklagte nicht ausreichend – etwa auch durch nutzerfreundliche Voreinstellungen – verhindert habe, dass etwa 553 Millionen Datensätze mit persönlichen Informationen von U.-Nutzern abgegriffen und veröffentlich wurden. Die Klägerin behauptet, bei den im April N03 veröffentlichten Daten handele es sich um TelefonnummerU.ID, Name, Vorname, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus und weitere korrelierende Daten. Auch von ihr seien die Datenpunkte Handynummer, U.-ID, Vorname, Nachname, Wohnort, Land, Geburtsort, Land, Berufsstätte abgegriffen worden. In der Leak-Liste sei konkret folgender Datensatz enthalten: N04, N05, M., D., I., F., I., F., Meine eigene Firma. Sie behauptet, die Zuordnung der Telefonnummern sei aufgrund einer Sicherheitslücke bei der Beklagten möglich gewesen. Die hinterlegten Telefonnummern seien nicht öffentlich freigegeben gewesen. Die Beklagte habe keinerlei Sicherheitsmaßnahmen vorgehalten, um ein Ausnutzen des bereitgestellten Tools zu verhindern. Demnach habe die Beklagte die Daten der Klägerin nach dem damaligen Stand der Technik nicht ausreichend geschützt. Es seien keine Sicherheitscaptchas verwendet worden, um sicherzustellen, dass es sich bei der Anfrage zur Synchronisierung um die Anfrage eines Menschen und nicht um eine automatisch generierte handelt. Auch sei kein Mechanismus zur Überprüfung der Plausibilität der Anfragen vorhanden gewesen. Außerdem sei aus anderen Verfahren gegen die Beklagte bekannt, dass trotz entsprechender Änderungen der Voreinstellungen beispielsweise auf „nur ich“ hinsichtlich der Suchbarkeit über die Telefonnummer ein Abgriff der Daten durch die Scraper dennoch möglich gewesen sei – nämlich nach September N01 bzw. Januar N02. Die Klägerin meint, das Kontaktimporttool der Beklagten verstoße gegen die DSGVO. Darüber hinaus seien die Einstellungen zur Sicherheit der Telefonnummer auf U. so undurchsichtig und kompliziert gestalten, dass ein Nutzer tatsächlich keine sicheren Einstellungen erreichen könne. Der U.-Nutzer werde bei der Erstellung seines Accounts mit einer Informationsflut hinsichtlich der Nutzungsbedingungen, der Verwendung von Cookies und Datenschutzrichtlinien konfrontiert. Es gebe eine Fülle an Einwendungen und Untereinstellungen, die über verschiedene Links zu erreichen seien. Aufgrund der Vielzahl an Einstellungsmöglichkeiten sei mit hoher Wahrscheinlichkeit zu erwarten, dass ein Nutzer die voreingestellten Standardeinstellungen beibehalte und nicht selbstständig ändere. Durch die vielschichtigen Einstellungsmöglichkeiten werde ein Gefühl der Sicherheit für den Nutzer erzeugt. Nach den Grundsätzen eines nutzerfreundlichen Datenschutzes und dem in der DSGVO niedergelegten Prinzips der Datenminimierung und des „privacy by default" (=datenschutzfreundliche Voreinstellungen) seien dabei besonders datenschützende Voreinstellungen geboten. Allein hierdurch könne der Nutzer bewusst entscheiden, welche Daten er für wen freigeben wolle und erlange Kontrolle über seine Daten. Es sei unklar, was genau mit „finden" gemeint sei und was dies für die Verarbeitung der Daten bedeute. Die Beklagte erwähne mit keinem Wort, dass die Telefonnummer zur Identifizierung des Nutzers und seines Profils verwendet werden könne. Die Daten wie Name und Rufnummer könnten und würden für gezielte Phishing-Attacken genutzt werden. Durch Zuordnung von Telefonnummern zu weiteren Daten wie Mail-Adresse oder Anschrift bestehe die Möglichkeit des Identitätsdiebstahls, die Übernahme von Accounts oder gezielte Phishing-Nachrichten. Sie habe einen erheblichen Kontrollverlust erlitten, der mit Ängsten, Stress, Komfort- und Zeiteinbußen einhergehe. Sie erhalte regelmäßig dubiose SMS, E-Mails und Anrufe von unbekannten Telefonnummern. Sie habe deshalb ein Gefühl des Beobachtetwerdens und der Hilflosigkeit. Teilweise habe sie umgangssprachlich schlaflose Nächte deswegen. Die Beklagte habe es pflichtwidrig unterlassen, die zuständige Datenschutzbehörde W.ion über den Vorfall zu informieren. Die Klägerin ist der Ansicht, die Beklagte habe gegen die Transparenz- und Informationspflichten aus Art. 5, Abs. 1 a), 13, 14 DSGVO verstoßen, nicht die angemessenen technischen und organisatorischen Sicherheitsmaßnahmen i.S.v. Art. 24, 32 DSGVO vorgenommen, durch die datenschutzunfreundlichen Voreinstellungen gegen Art. 25 DSGVO verstoßen und sei ihrer Meldepflicht gem. Art. 33, 34 DSGVO nicht nachgekommen. Sie vertritt die Ansicht, die Beklagte habe die ihr nach Art. 15 DSGVO obliegenden Auskünfte nicht erteilt. Das vorprozessuale Schreiben der Beklagten vom 00.00.0000 (Anl. B16, Bl. 267 ff. eA) genüge den Anforderungen nicht, da es keine Auskünfte darüber enthalte, welche Daten der Klägerin übermittelt worden seien. Die Klägerin beantragt, 1. die Beklagte zu verurteilen, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Handynummer der Klägerseite sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 3.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB zu zahlen, 2. die Beklagte zu verurteilen, an die Klägerin für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 2.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB zu zahlen, 3. festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr N02 erfolgte, entstanden sind und/oder noch entstehen werden, 4. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu € 250.000,00, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, a. personenbezogene Daten der Klägerseite, namentlich Telefonnummer, U.ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, b. die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert wird, 5. die Beklagte zu verurteilen, der Klägerseite Auskunft über personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch eine „Web-Scraping“-Anwendung des Kontaktimporttools erlangt werden konnten und zudem – soweit sie erklärt, Auskünfte nicht abgeben zu können – mögliche Negativ-Auskünfte an Eides statt zu versichern, 6. die Beklagte zu verurteilen , die Klägerseite von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von € 1.134,55 nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit freizuhalten Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte ist der Ansicht, die Klage sei bereits weitgehend unzulässig. Der Klageantrag zu 1) sei zu unbestimmt, da zwei unterschiedliche Streitgegenstände vorlägen. Im Hinblick auf den Antrag zu 3) sei nicht ersichtlich – vielmehr widersprüchlich -, ob bereits entstandene Schäden oder zukünftig entstehende Schäden ersetzt werden sollen. Hinsichtlich des erforderlichen Feststellungsinteresses fehle es schon nach klägerischem Vortrag an einer hinreichenden Wahrscheinlichkeit für einen künftigen Schadenseintritt. Ebenso sei der Antrag zu 4) zu unbestimmt formuliert, da er teilweise auslegungsbedürftige Begriffe verwende, welche auch unter Heranziehung der Klagebegründung nicht ausgelegt werden könnten. Die Klage sei aber auch unbegründet, da die vorgeworfenen Verstöße gegen die DSGVO nicht vom Schutzbereich des Art. 82 DSGVO umfasst seien. Die behaupteten Pflichtverstöße seien nicht im Zusammenhang mit der „Verarbeitung“ der Daten erfolgt. Die Daten seien weder durch Hacking, noch infolge einer Schwachstelle, eines Fehlers oder eines Sicherheitsverstoßes in den Systemen der Beklagten gelangt. Dritte hätten automatisiert unter Ausnutzung zulässiger Funktionen öffentlich einsehbare Daten abgeschöpft. Die Beklagte ist der Ansicht, sie stelle ihren Nutzern die nach Art. 13, 14 DSGVO erforderlichen Informationen zur Datenverarbeitung zur Verfügung; es liege kein Verstoß gegen die Transparenzpflichten der DSGVO vor. Sie habe alle Nutzer über die Möglichkeiten der Anpassung ihrer Suchbarkeits-Einstellungen und Zielgruppenauswahl informiert. Die Beklagte behauptet, es sei unmöglich, das Scraping öffentlich einsehbarer Daten völlig zu verhindern, da dabei rechtmäßige und gewöhnliche Nutzerfunktionen ausgenutzt würden; es gäbe allenfalls Mittel, um Scraping zu begrenzen. Es gäbe keine formellen oder vorgeschriebenen Branchen- oder Industriestandards zur Bekämpfung von Scraping. Die Beklagte beschäftige ein Team von Datenwissenschaftlern, -analysten und Softwareingenieuren zur Bekämpfung von Scraping, habe Übertragungsbeschränkungen implementiert, die die Anzahl von Anfragen von bestimmten Daten reduzieren und gehe grundsätzlich mittels Unterlassungsaufforderungen, Kontosperrungen und Gerichtsverfahren gegen Scraper vor. Auch im hier relevanten Zeitraum habe sie Capcha-Abfragen genutzt. Wegen des weiteren Sach- und Streitstandes und des Inhalts der persönlichen Anhörung der Klägerin wird insbesondere auf das Protokoll der mündlichen Verhandlung vom 00.00.0000 verwiesen. Entscheidungsgründe: Die Klage hat in der Sache keinen Erfolg. Denn sie ist in Teilen bereits unzulässig, im Übrigen unbegründet. I. Das Landgericht ist international, sachlich und örtlich zuständig. Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1, 2. Alt EuGVVO. Gemäß Art. 1 Abs. 1 EuGVVO ist die EuGVVO sachlich anwendbar auf Zivil- und Handelssachen. Vorliegend handelt es sich um eine Zivilsache. Die deutsche Gerichtsbarkeit folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1, 2. Alt EuGVVO. Gemäß Art. 18 Abs. 1 2. Alt. EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Die Klägerin ist gemäß Art. 17 Abs. 1 EuGVVO Verbraucher. Sie gibt an, einen Nutzungsvertrag mit der Beklagten geschlossen zu haben über die Nutzung der Social Media-Plattform U. mittels eines Benutzerkontos zu privaten Zwecken. Der Klägerin hat ihren Wohnort in I./ Deutschland. Die internationale Zuständigkeit deutscher Gerichte ergibt sich ferner aus Art. 79 Abs. 2 DSGVO. Danach können Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeitenden bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeitenden um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Gemäß Art. 4 Nr. 7, 8 DSGVO sind Verantwortliche natürliche und juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Auftragsverarbeitende sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Unstreitig ist die Beklagte Verantwortliche im Sinne der oben genannten Vorschriften. Das Landgericht Essen ist durch rügelose Einlassung der Beklagten sachlich zuständig gemäß § 39 ZPO. Die Beklagte hat nach entsprechendem Hinweis auf die aufgrund des Streitwerts unter 5.000,00 Euro an sich gegebene sachliche Zuständigkeit des Amtsgerichts gemäß §§ 23 Nr. 1, 71 GVG rügelos mündlich zur Hauptsache verhandelt. Die örtliche Zuständigkeit des Landgerichts Essen ergibt sich aus Art. 18 Abs. 1, 2. Alt. EuGVVO. Danach kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedsstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Das Landgericht Essen ist unabhängig davon nach Art. 79 Abs. 2 S. 2 DSGVO, § 44 Abs.1 S. 2 BDSG örtlich zuständig (besonderer Gerichtsstand). Der Klägerin hat ihren Wohnsitz in I. und damit im Bezirk des angerufenen Gerichts. Der Zulässigkeit der Klage steht nicht die Unbestimmtheit des Klageantrags zu 1) entgegen. Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrages ausnahmsweise zulässig. Ein Verstoß gegen den in § 253 Abs. 2 Nr. 2 ZPO normierten Bestimmtheitsgrundsatz liegt dann nicht vor, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 ZPO oder vom billigen Ermessen des Gerichts abhängig ist. Die nötige Bestimmtheit soll hier dadurch erreicht werden, dass der Kläger in der Klagebegründung die Berechnungs-bzw. Schätzgrundlagen umfassend darzulegen und die Größenordnung seiner Vorstellungen anzugeben hat (vgl. Greger in: Zöller, 33. Aufl. 2020, § 253 Rn. 14). Diese Voraussetzungen liegen hier vor. Die Klägerin hat sowohl in der Klagebegründung als auch bereits in dem Klageantrag zu 1) einen Mindestbetrag angegeben. Soweit die Beklagte meint, der Antrag zu 1) sei bereits deshalb unbestimmt, weil er auf zwei Lebenssachverhalten fuße und damit zwei Streitgegenstände betreffe, deren Verhältnis zueinander nicht hinreichend bestimmt sei, so ist dem entgegenzuhalten, dass tatsächlich nur ein Lebenssachverhalt zu beurteilen ist, nämlich derjenige, ob die Beklagte vor dem Scraping durch Dritte im Zeitraum von Januar N01 bis September N02 hinreichende Datenschutzvorkehrungen getroffen hatte und danach etwaige Lücken geschlossen bzw. ihre Nutzer unzureichend bzw. intransparent informiert hat. Der Antrag zu 3), gerichtet auf die Feststellung künftiger Schäden, ist unzulässig. Denn es fehlt an einem Feststellungsinteresse i.S.d. § 256 Abs. 1 ZPO. Erforderlich hierfür ist das Vorliegen der Möglichkeit zukünftiger (materieller oder immaterieller) Schäden (BGH NJW N03, 3130; OLG Hamm, Urt. V. 15.08.2023, 7 U 19/23). Dementsprechend ist das Feststellungsinteresse zu verneinen, wenn bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines solchen Schadens wenigstens zu rechnen (vgl. OLG Hamm, a.a.O, juris Rn. 208 ff. mwN). So liegt der Fall hier. Der Klägerin ist bisher offenbar weder ein konkreter materieller noch immaterieller Schaden entstanden. Hierzu fehlen bereits jegliche konkrete Darlegungen, sodass davon auszugehen ist, dass ein solcher Schaden rein theoretischer Natur und damit mit einem Schadenseintritt nicht zu rechnen ist, zumal der Scraping-Vorfall mittlerweile mehrere Jahre zurückliegt. Der Antrag zu 4 a) und b) ist ebenfalls unzulässig. Eine verständige Auslegung des Antrages zu 4a) ergibt, dass es sich hierbei nicht um eine Unterlassungsklage, sondern tatsächlich um eine verdeckte Leistungsklage handelt. Denn die Klägerin begehrt entgegen der Formulierung in erster Linie eine Freischaltung von Kontaktimportfunktionen in Einklang mit den nach der DSGVO einzuhaltenden Sicherheitsstandards (vgl. OLG Hamm, a.a.O., juris Rn. 222). Der Antrag auf Verurteilung zu einer künftigen Leistung iSv § 259 ZPO ist unzulässig, da die Voraussetzung der Besorgnis der nicht rechtzeitigen Leistung nicht gegeben ist. Die streitgegenständliche Funktion des Kontaktimport-Tools ist nach dem Scraping-Vorfall unstreitig nicht mehr existent. Anhaltspunkte, die notwendigen Sicherheitsmaßnahmen würden in Zukunft nicht eingehalten werden, sind weder dargelegt noch ersichtlich. Weitere derartige Vorfälle hat es offenbar nicht mehr gegeben (vgl. OLG Hamm, a.a.O. juris Rn. 225 ff.). Im Übrigen ist der Antrag auch unbestimmt, da er keinerlei Konkretisierung des verlangten Handelns enthält. Im Sinne des Vorstehenden ist der Antrag zu 4b) auf zukünftige Leistung gerichtet, weil eine Wiederholung befürchtet wird, und damit wiederum unzulässig. Der Antrag ist auf ein aktives Tun gerichtet, nämlich zukünftig die Mobilfunknummern nur nach Maßgabe einer infolge ausreichender Information wirksam erteilten Einwilligung im Rahmen einer Suchfunktion zu verarbeiten. Die Beklagte hat die streitgegenständliche Funktion jedoch bereits am 00.00.N02 abgeschafft, sodass zum Zeitpunkt der Klageerhebung schon keine Besorgnis der Leistungsverweigerung mehr bestand und auch heute nicht besteht (s.o.). Außerdem fehlt der Klägerin für den Antrag zu Ziffer 4 b) das Rechtsschutzbedürfnis. Die Klägerin hat nämlich spätestens mit dem vorgerichtlichen Schreiben der Beklagten vom 00.00.0000 (B16) die Bedeutung und Konsequenzen der vorgenommenen Einstellungen gekannt. Wenn sie dies gleichwohl nicht zum Anlass genommen hat, diese Einstellungen in der Folgezeit zu ändern, ist in diesem Verhalten eine Einwilligung zu sehen, was das Unterlassungsbegehren trotz erteilter Einwilligung unzulässig macht. II. Die weitere Klage ist nicht begründet. Die Klägerin hat gegen die Beklagte unter keinem rechtlichen Gesichtspunkt Ansprüche auf immateriellen Schadensersatz oder Auskunft. 1. Die Klägerin hat gegen die Beklagte keinen Anspruch auf immateriellen Schadensersatz. Ein Anspruch gegen die Beklagte ergibt sich weder aus nationalen Vorschriften noch aus Art. 82 DSGVO. Es fehlt jedenfalls an der Kausalität zwischen den behaupteten Pflichtverletzungen der Beklagten und einem vermeintlichen Schadenseintritt. Zudem ist bereits kein konkreter Schaden der Klägerin hinreichend dargelegt worden. Die Kammer folgt in der rechtlichen Bewertung des Sachverhalts zunächst insgesamt der Auffassung des OLG Hamm mit Urteil vom 15.08.2023, 7 U 19/23. Demnach ist die Beklagte im zeitlichen Anwendungsbereich der DSGVO (Geltung gemäß Art. 99 Abs. 2 DSGVO seit dem 00.00.N01) als Betreiberin von U., als Datenverantwortliche im Sinne der Vorschriften anzusehen. In dieser Funktion hat sie Daten der Klägerin den Vorschriften von Art. 5 DSGVO zuwider in nicht gerechtfertigter Weise im Sinne von Art. 6 DSGVO verarbeitet. Das gilt entsprechend der vorgenannten Rechtsprechung, auf deren Begründung im Einzelnen verwiesen wird (OLG Hamm, a.a.O., juris Rn. 94 ff.), für die Datenverarbeitung hinsichtlich der Suchbarkeit der Nutzerprofile über die Mobilfunknummer über die Such- und Kontaktimportfunktion und vor allem die diesbezügliche Voreinstellung der Suchbarkeit für „alle“. Desweiteren liegt ein Verstoß gegen das Gebot des Art. 25 DSGVO vor, da der Grundsatz der datenschutzfreundlichen Grundeinstellungen nicht eingehalten wurde (OLG Hamm, a.a.O., juris Rn. 127 f.). Zudem entsprach die Datenverarbeitung auch nicht den Grundsätzen der Sicherheit der Verarbeitung i.S.v. Art. 32 DSGVO (OLG Hamm, a.a.O. juris, Rn. 129 ff.). Demnach erreichten die getroffenen Maßnahmen zur Sicherung der Informationssysteme in technischer und qualitativer Hinsicht ein nicht ausreichend akzeptables Niveau. Dagegen fallen etwaige Verstöße der Beklagten gegen die Vorschrift des Art. 13 DSGVO (Informationspflicht) und Art. 35 DSGVO (Datenschutz-Folgenabschätzung) bereits nicht in den zeitlichen Anwendungsbereich der Norm, denn es ist auf den Zeitpunkt der Datenerhebung bzw. -verarbeitung abzustellen, welche vor dem 00.00.N01 stattfand (vgl. OLG Hamm a.a.O., juris, Rn. 71, 75). Hinsichtlich des geltend gemachten Schadensersatzanspruchs fehlt es aber sowohl an einer Kausalität der Pflichtverletzungen für den Schadenseintritt als auch an der Darlegung eines konkreten Schadens an sich. Die Klägerin hat bereits nicht dargelegt, dass die behaupteten Schäden auf die Datenschutzverstöße durch die Beklagte zurückzuführen sind. Insbesondere aufgrund der durch die Beklagte erteilten Informationen zu Einstellungsmöglichkeiten im Zusammenhang mit der Telefonnummer, die die Klägerin nicht genutzt hat, fehlt es an dem erforderlichen Kausalzusammenhang zwischen dem nicht gerechtfertigten Verhalten der Beklagten und dem eingetretenen Schaden. Die Möglichkeit, die unstreitigen Voreinstellungen der Beklagten zu ändern, hat die Klägerin offensichtlich nicht genutzt. Soweit vorgetragen wird, dass es selbst bei Änderung dieser zu dem Scraping-Vorfall gekommen wäre, so entbehrt dieser Vortrag jeglicher Substanz. Angesichts des Umstandes, dass die Klägerin sich selbst dazu entschlossen hat, sich öffentlich durch jedermann über ihre Telefonnummer suchen zu lassen, auch wenn diese nur ihr selbst angezeigt wird, kann nicht festgestellt werden, dass die dargelegten Verstöße der Beklagten den behaupteten Schaden kausal verursacht haben. Die Telefonnummer als solche ist eben grundsätzlich nicht einsehbar, sondern wird nur der Klägerin angezeigt. Dennoch ist es technisch möglich, bei Kenntnis der Telefonnummer oder künstlichem Generieren von Nummern – auch mit der zufälligen Generierung der Mobilfunknummer der Klägerin – sie so auf U. zu finden. Die Klägerin hat sich damit über die Suchbarkeitsfunktion durch „alle“ über die Mobilfunknummer selbst gegen eine entsprechende Vertraulichkeit ausgesprochen. Dass sie sich möglicherweise trotz der Hilfestellungen und Hinweise, die nach Inaugenscheinnahme durch die Kammer über die zur Akte gereichten Screenshots über den Unterschied zwischen der (Nicht-) Anzeige der Telefonnummer und der Suchbarkeit über seine Mobilfunknummer nicht hinreichend informiert hat, geht indes nicht zu Lasten der Beklagten, die Informationsmöglichkeiten und Hilfestellungen zur Verfügung gestellt hat. Die genannten Einstellungen waren von der Klägerin zum Zeitpunkt des Scrapings bereits gewählt, wie sich aus dem von der Beklagten zur Akte gereichten Screenshot (Anlage B 17) ergibt. Auch wegen eines etwaigen Verstoßes der Beklagten gegen Art. 33 DSGVO, nämlich einer unterlassenen Anzeige der Beklagten an die Datenschutzbehörde, ist kein kausaler Schaden entstanden. Zu dem Zeitpunkt, als die Daten gescrapt wurden (N01/N02) und der Beklagten in der Folge durch die Veröffentlichung bekannt geworden sind, ist der von der Klägerin behauptete Schaden – Veröffentlichung der Daten verbunden mit einem unguten Gefühl/ Kontrollverlust – bereits entstanden gewesen. Die Meldung gegenüber der Aufsichtsbehörde ermöglicht es dieser, über Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung zu entscheiden (vgl. LG Essen, Urteil vom 23.9.N03, AZ.: 6 O 190/21, ZD 2022, 50, m.w.N.). Der Beklagten wurde der Datenschutzvorfall spätestens am 00.00.N03 bekannt, denn zu diesem Zeitpunkt schilderte sie ihr Vorgehen zu dem Scraping-Vorfall auf ihrer Website. Dass eine Eindämmung der Rechtsgutsverletzung zu diesem Zeitpunkt noch möglich gewesen ist, ist unabhängig von den sonstigen Voraussetzungen nicht ansatzweise ersichtlich und auch von der Klägerin nicht vorgetragen. Schließlich ist der Klägerin selbst bei unterstellter Verletzung der für die Beklagte bestehenden Auskunftspflicht nach Art. 15 DSGVO kein kausaler Schaden i.S.v. Art. 82 DSGVO entstanden. Es ist schon nicht ersichtlich, wie eine nach (den vagen) Angaben des Klägers zu erfolgende Auskunft der Beklagten den in Rede stehenden Schadenseintritt hätte verhindern sollen. Letztlich fehlt es vorliegend auch an einer ausreichenden Darlegung der Kausalität im Allgemeinen. Die Klägerin hat nicht dargelegt, dass der durch das Scraping hervorgetretene Kontrollverlust mitursächlich für die behaupteten unerwünschten Kontaktaufnahmen war. Solche betreffen auch Personen ohne U.-Account, wie der Kammer aus eigener Anschauung bekannt ist, und gehören zum allgemeinen Risiko der Internetnutzung. Es ist weitestgehend unklar und unbekannt, ob und welche Daten der Klägerin an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu dem – zu Gunsten des Klägerin als wahr unterstellten - vermehrten unerwünschten E-Mail- und Anrufaufkommen geführt hat. Zumindest hat die Klägerin aber die streitgegenständliche Mobilfunknummer auch auf ihrer öffentlichen Firmen-Homepage angegeben. Da diese dort für jedermann einsehbar ist, besteht unter anderem auch die Möglichkeit, dass es aufgrund dessen zu unerwünschten Anrufen und SMS kommt. Darüber hinaus hat die Klägerin einen konkreten Schadenseintritt nicht ansatzweise dargelegt. Der von der Klägerin behauptete „völlige Kontrollverlust“ genügt als solcher nicht für einen Anspruch auf Schadensersatz (vgl. OLG Hamm, a.a.O. sowie OLG Hamm, Beschl. v. 21.12.2023, 7 U 137/23; OLG Köln, Urteil v. 07.12.2023, 15 U 33/23). Vielmehr betrifft er das generelle Risiko der nicht gesetzeskonformen Datenverarbeitung, ist also deren zwangsläufige und generelle Folge, woraus aber eben noch kein Schaden im Einzelfall resultiert. Für einen solchen bedarf es darüber hinausgehender immaterieller Schäden, wie z.B. konkrete persönliche bzw. psychologische Beeinträchtigungen. Die Klägerin hat diese weder ausdrücklich noch durch Darstellung von Beweisanzeichen, durch welche auf das Vorliegen innerer Tatsachen geschlossen werden kann, schlüssig dargelegt. Der Vortrag hierzu erfolgte vielmehr in der Vielzahl der der Kammer bekannten Verfahren nahezu wortgleich und blieb auch nach mehrfacher Rüge der fehlenden Individualisierung durch die Gegenseite weiterhin pauschal. Es hätte nahe gelegen, konkret die Missbrauchsversuche aufgrund der gescannten Daten und die Reaktionen des Klägers hierauf darzustellen. Ein Indiz für einen tiefgreifenderen Vertrauensverlust und damit einhergehende Beeinträchtigungen hätte beispielsweise eine Löschung des U.-Accounts durch die Klägerin oder eine Änderung der Mobilfunknummer sein können. Zu beidem kam es aber nicht. Des Weiteren hat die Klägerin im Rahmen ihrer persönlichen Anhörung in größerem Umfang von Spam-/Phishing-Mails berichtet, die nach dem oben gesagten gerade nicht der Beklagten zugerechnet werden können und demzufolge auch nicht zur Darlegung des behaupteten Schadens herangezogen und berücksichtigt werden können Zudem entspricht es auch nicht der allgemeinen Lebenserfahrung, dass das öffentliche Bekanntwerden der eigenen Mobilfunknummer regelmäßig zu Beeinträchtigungen führt (vgl. zur Schadensproblematik und Anforderungen der Darlegung im Einzelnen: OLG Hamm, a.a.O., juris Rn. 150 ff.). Selbst wenn mit der Entscheidung des EuGH vom 14.12.2023 (Az. C-340/21) einen reinen Kontrollverlust für die Begründung eines ersatzfähigen Schadens ausreichen lässt, führt dies zu keinem anderen Ergebnis. Die Klägerin hat gerade nicht dargelegt, dass dieser durch den Scraping-Vorfall entstanden ist. Vielmehr hat sie freiwillig die Kontrolle über ihre Daten aufgegeben, als sie sich dazu entschloss, sich bei der Beklagten von jedermann über ihre Telefonnumer suchen lassen zu können und insbesondere ihre Suchbarkeitseinstellungen auch in der Folge nicht veränderte – nicht einmal, nachdem sie Kenntnis davon erlangte, auch von dem Scraping-Vorfall betroffen zu sein, nämlich spätestens mit dem anwaltlichen Auskunftsschreiben der Beklagten vom 00.00.0000, welches zudem noch einmal eine Anleitung für die Umstellung der Privatsphäre-Einstellung enthielt. Auch andere Maßnahmen, um sich vor Dritten, die in den Besitz ihrer Telefonnummer gelangt sind, zu schützen, hat sie – wie bereits aufgezeigt - nicht dargelegt. Ein Anspruch auf immateriellen Schadensersatz kommt auch nicht nach anderen nationalen Vorschriften in Betracht. Selbst wenn die DSGVO gegenüber nationalen Vorschriften keine Sperrwirkung entfalten sollte, fehlt es für andere Schadensersatzansprüche ebenfalls an der Kausalität zwischen einem Datenschutzverstoß der Beklagten und dem behaupteten Schaden sowie einer hinreichenden Darlegung desselben. 2. Aus den gleichen Gründen besteht auch kein Anspruch auf Ersatz weiterer Immaterieller Schäden. Hinzu kommt, dass nicht ersichtlich ist, wie allein aus dem Umstand der Nichterfüllung eines Anspruchs ein immaterieller Schaden entstehen kann. 3. Schließlich hat die Klägerin gegen die Beklagte keinen weiteren Auskunftsanspruch gem. Art. 15 DSGVO. Soweit der Anspruch besteht, ist er erfüllt (§ 362 BGB). Die Beklagte hat im Rahmen der außergerichtlichen Korrespondenz die geforderten Auskünfte erteilt soweit es ihr überhaupt möglich war – insbesondere mitgeteilt, dass sie keine Kopie der Rohdaten vorhalte. Eine andere Beurteilung ergibt sich auch nicht aufgrund dessen, dass die Beklagte im Rahmen des außergerichtlichen Schreibens nicht beantwortet hat, welchen Empfängern die Daten der Klägerin durch Ausnutzung des Kontakt-Import-Tools im Sinne des Art. 15 Abs. 1 c) DSGVO zugänglich gemacht wurden. Denn das Scraping ist unstreitig von außen erfolgt und es nicht erkennbar, wer diese Daten gescraped hat. Die begehrte Auskunftserteilung ist aufgrund des Vorganges des Scrapings unter Ausnutzung von Daten, die auf „öffentlich“ gestellt sind, unmöglich. Ebenso ist im Rechtssinne unmöglich (und es wird auch nicht näher dargelegt, wie die Beklagte dies mitteilen können soll), zu informieren, wann die Daten gescraped wurden. Die Beklagte hat der Klägerin im Ergebnis also alle Informationen mitgeteilt, die ihr im Zuge des Scraping-Vorfalls zur Verfügung standen. Weitere Angaben kann sie nicht machen. Sie ist folglich hierzu auch nicht verpflichtet.Zudem ist zu berücksichtigen, dass ein Auskunftsanspruch grds. dann erfüllt ist, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Umfang darstellen soll (vgl OLG Hamm, juris Rn 249 ff) . Das ist vorliegend der Fall, denn das vorgenannte Schreiben soll erkennbar das gestellte Auskunftsbegehren abdecken. Diesbezüglich hat die Klägerin auch keinen Anspruch auf Versicherung an Eides statt gem. §§ 259, 260 BGB (analog), soweit die Beklagte nach eigenem Vorbringen keine weiteren Auskünfte erteilt. Die Voraussetzungen für eine analoge Anwendung der Vorschriften §§ 259, 260 BGB liegen nach Ansicht des Gerichts nicht vor, da die DSGVO insofern abschließende Regelungen enthält (vgl. auch LG Bonn, Urt. v. 11.03.2022 – Az. 9 O 224/21). Aber selbst wenn eine analoge Anwendung trotz des Geltungsbereichs der DSGVO zulässig wäre, hat die Klägerin nicht ausreichend dargelegt, dass die Beklagte ihre Angaben hinsichtlich einer unmöglichen weiteren Auskunft nicht mit der erforderlichen Sorgfalt getätigt hat, was jedoch Voraussetzungen für eine Versicherung an Eides statt wäre (vgl. Palandt/Grüneberg BGB § 259 Rn. 13 m.w.N.). 4. Mangels Anspruchs in der Hauptsache besteht auch kein Anspruch auf Zahlung von Rechtshängigkeitszinsen gemäß § 291 BGB oder außergerichtlicher Rechtsanwaltskosten gemäß § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DSGVO. . III. Die Kostenentscheidung folgt aus § 91 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit ergibt sich aus §§ 708 Nr. 11, 711 ZPO. Verkündet am 11.06.2024Grimberg, Justizbeschäftigteals Urkundsbeamtin der Geschäftsstelle