6 O 181/22

Leitsatz: Ein Schadensersatzanspruch wird nicht allein dadurch begründet, dass das Datenschutzrecht verletzt wurde. Für einen Schadensersatzanspruch muss die Verletzungshandlung zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Ein Schmerzensgeld ist nicht schon für einen Bagatellverstoß (hier: Furcht vor Kontrollverlust) ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit zu gewähren. Es muss nämlich für den Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. (Rn.48) 1. Die Klage wird abgewiesen. 2. Der Kläger hat die Kosten des Rechtsstreits zu tragen. 3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar. Beschluss Der Streitwert wird auf 19.600,00 € festgesetzt. I. Die Klage ist nur teilweise zulässig. 1. Das Landgericht Stralsund ist international, sachlich und örtlich zuständig. Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt EuGVVO (Brüssel IaVO). Gemäß Art. 1 Abs. 1 EuGVVO ist die EuGVVO sachlich anwendbar auf Zivil- und Handelssachen. Vorliegend handelt es sich um eine Zivilsache. Die deutsche Gerichtsbarkeit folgt aus Art. 6 Abs. 1, Art. 18 Abs. 1 2. Alt EuGVVO. Ein ausschließlicher Gerichtstand gemäß Art. 24 EuGVVO ist nicht ersichtlich. Gemäß Art. 18 Abs. 1 2. Alt EuGVVO kann die Klage eines Verbrauchers gegen den anderen Vertragspartner entweder vor den Gerichten des Mitgliedstaats erhoben werden, in dessen Hoheitsgebiet dieser Vertragspartner seinen Wohnsitz hat, oder ohne Rücksicht auf den Wohnsitz des anderen Vertragspartners vor dem Gericht des Ortes, an dem der Verbraucher seinen Wohnsitz hat. Die Klagepartei ist gemäß Art. 17 Abs. 1 EuGVVO Verbraucher und hat ihren Wohnort innerhalb des Bezirks des Landgerichts Stralsund. Die internationale Zuständigkeit deutscher Gerichte ergibt sich ferner aus Art. 79 Abs. 2 DSGVO. Danach können Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Gemäß Art. 4 Nr. 7, 8 DSGVO sind Verantwortliche natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Auftragverarbeitende sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Die Beklagte ist Verantwortliche im Sinne dieser Normen. Die örtliche Zuständigkeit folgt aus Art. 18 Abs. 1 2. Alt. EuGVVO und Art. 79 Abs. 2 S. 2 DSGVO, § 44 Abs. 1 S. 2 BDSG 2. Die Klage ist hinsichtlich des Antrages zu 1.) auch hinreichend bestimmt. a) Ein Antrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis, § 308 ZPO, absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung, § 322 ZPO, erkennen lässt, das Risiko eines Unterliegens des Kl. nicht durch vermeidbare Ungenauigkeit auf den Bekl. abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH, Urteil vom 14.12.1998, Az. II ZR 330/97). Eine Bezifferung des Klageantrages ist jedoch nicht immer notwendig. Sie kann unterbleiben, wenn dem Kläger eine genaue Bezifferung nicht möglich ist. Ausreichend ist dann, dass der Kläger lediglich eine ungefähre Größenordnung des verlangten Betrages angibt (BGH, Urteil vom 13.10.1981, Az. VI ZR 162/80). Diesen Anforderungen wird die Klage gerecht, indem sie die Höhe des Schadensersatzes in das Ermessen des Gerichts stellt und zugleich einen Größenrahmen vorgibt. b) Weitere Voraussetzung ist, dass der Kläger den Grund des erhobenen prozessualen Anspruchs nennt, also die tatsächlichen Verhältnisse anführt, aus denen er die in Anspruch genommene Rechtsfolge abgeleitet wissen will (MüKoZPO/Becker-Eberhard, 6. Aufl. 2020, ZPO § 253 Rn. 75-81). Der Sachverhalt ist so zu individualisieren, dass er den Anspruch von anderen Ansprüchen abgrenzt (Zöller/Greger, ZPO, 34. Auflage, § 253 Rn.11). Diese Individualisierung dient auch dem Schutz des Beklagten, für den erkennbar sein muss, welchen prozessualen Ansprüchen er ausgesetzt ist, um seine Rechtsverteidigung danach auszurichten. Der Kläger muss die gebotene Bestimmung des Streitgegenstandes daher selbst vornehmen und kann sie nicht zur Disposition des Gerichts stellen (BGH, Beschluss vom 24.03.2011, Az. I ZR 108/09). Unzulässig ist eine Klage dann, wenn bei einer Teilleistungsklage, mit der mehrere selbständige prozessuale Ansprüche geltend gemacht werden, nicht genau angegeben wird, wie sich der eingeklagte Betrag auf die einzelnen Ansprüche verteilen soll und in welcher Reihenfolge diese Ansprüche zur Entscheidung des Gerichts gestellt werden sollen. Das ist hier aber nicht der Fall. Der Kläger hat mit der Replik mitgeteilt, dass der Antrag zu 1.) so zu verstehen ist, dass aufgrund des kumulativen Zusammenwirkens der vorgetragenen Datenverletzungen im Vorfeld des hier streitgegenständlichen „Scraping“-Sachverhalts und der Verletzung der Benachrichtigungspflichten im Anschluss daran ein größerer Schaden für die Klägerseite entstanden ist. Für die Beklagte besteht daher auch keine Unklarheit, auf welchen Gesichtspunkt das Gericht die Entscheidung stützen wird. Bei kumulativer Geltendmachung darf sich das Gericht gerade nicht einen Verstoß „aussuchen“, sondern muss (bei Stattgabe) alle Verstöße durchprüfen (so auch u.a. LG Frankfurt, Urteil vom 02.03.2023, Az. 2-03 O 164/22). 3. a) Auch der Antrag zu 2.) ist, entgegen der Auffassung der Beklagten, hinreichenden Bestimmtheit. Zwar ist der Beklagten dahingehend zuzustimmen, dass aus der Formulierung „künftige Schäden“, „die bereits entstanden sind“ überhaupt nicht ersichtlich, ob die Klagepartei die Einstandspflicht der Beklagten für zukünftig eintretende Schäden oder aber die Einstandspflicht für in der Vergangenheit eingetretene Schäden festgestellt haben möchte. Aus der Klageerwiderung wird jedoch deutlich ersichtlich, dass die Klagepartei die Feststellung der Ersatzpflicht künftiger Schäden begehrt, also grade nicht von solchen, die bereits entstanden sind aber noch nicht mit der Klage geltend gemacht worden sind. b) Der Antrag zu 2.) ist aber unzulässig, da es an einem Feststellungsinteresse gem. § 256 Abs.1 ZPO fehlt. Der Kläger vermochte nicht hinreichend darzulegen, aus welchem Grund aufgrund des hier streitgegenständlichen „Scraping“-Vorfalls zukünftig ein Schaden einzutreten droht. Ein Interesse an der Feststellung folgt regelmäßig dann, wenn aufgrund einer bereits eingetretenen Verletzung eines absoluten Rechts die Möglichkeit besteht, dass Schäden eintreten werden. Bei Rechtsgütern dieser Art legt die Rechtsprechung einen großzügigen Maßstab an. Ein berechtigtes Interesse wird nur dann verneint, wenn aus Sicht des Klägers bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH, Beschluss vom 09. Januar 2007 - VI ZR 133/06; BGH, Urteil vom 16. Januar 2001 - VI ZR 381/99; Saarländisches Oberlandesgericht Saarbrücken, Urteil vom 20. Februar 2014 - 4 U 411/12). Eine Klage ist aber dann unzulässig, wenn ein bestehendes Risiko nur minimal über dem allgemeinen Lebensrisiko liegt und sein Eintritt daher als äußerst gering anzusehen ist (BGH, Urteil vom 2.4.2014 – VIII ZR 19/13). Die Klagepartei muss die Wahrscheinlichkeit nach den allgemeinen zivilprozessualen Grundsätzen substantiiert dartun (BGH, Hinweisbeschluss vom 4. März 2015, Az. IV ZR 36/14). Die Klagepartei stützt ihr Begehren auf Vorschriften der DSGVO. Die DSGVO dient dem Schutz natürlicher Personen bei der Verwendung personenbezogener Daten, Art. 1 Abs.1 DSGVO. Die DSGVO definiert den Datenschutz als ein Grundrecht und dient der Wahrung dieses Grundrechts, wodurch zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts beigetragen werden soll. Die unzulässige Verwendung personenbezogener Daten kann, je nach Art der Verwendung dieser Daten im Einzelfall, ein erheblicher Eingriff in das allgemeine Persönlichkeitsrecht darstellen. Damit die Prüfung der Wahrscheinlichkeit eines solchen Eingriffs in das allgemeine Persönlichkeitsrecht gelingen kann, obliegt es der Klagepartei einen Sachverhalt darzulegen, aus dem sich ein Schadenseintritt wahrscheinlich ergeben kann. Das ist der Klagepartei hier nicht gelungen. Sie trägt vor, täglich durch Spam- und Phishing-Mails belästigt worden zu sein. Insbesondere beinhalten diese Spam-Mails Einladungen zu Gewinnspielen und Informationen über angeblichen Erbschaften aus verschiedenen Ländern, aber auch Versuche, die Passwörter der Accounts der Klägerseite abzugreifen. Darüber habe die Klägerseite fast täglich Anrufe von unbekannten Nummern erhalten, wo ihr diverse ''Geschäftsangebote'' gemacht worden seien, insbesondere Anfragen, ob sie Geld in eine Firma investieren möchte oder bereits in Kryptowährungen investiert hätte, sowie auch Einladungen zu dubiosen Befragungen. Diese Anrufer seien sehr penetrant, unfreundlich und würden kaum Deutsch sprechen. Des Weiteren wurde sei ein Virusangriff über die betroffene E-Mailadresse festgestellt worden, welcher aber von der Praxissoftware, der Kläger arbeite als Zahnarzt und verwende seine E-Mail Adresse sowohl beruflich als auch privat, abgewehrt worden sei. Ein solcher Sachverhalt vermag die Wahrscheinlichkeit des Eintritts eines zukünftigen Schadensereignisses, welches über dem allgemeinen Lebensrisiko liegt, nicht zu begründen. Die Belästigung durch Spam- oder Phishing-Mails stellt, wie der Kläger zutreffend ausführt, lediglich eine Belästigung aber keine Schädigung dar. Sie alleine vermag einen Schadensersatzanspruch nicht herzuleiten. Auch die bloße Einladung zu Gewinnspielen oder die Information über angebliche Erbschaften ist schon dem Grunde nach überhaupt nicht geeignet einen Schadensersatzanspruch zu begründen. Der Vortrag, es hätte Versuche gegeben, Passwörter der Accounts der Klägerseite abzugreifen ist komplett unsubstantiiert und nicht zu berücksichtigen. Es fehlen Angaben dazu, um was für Accounts es sich handeln soll, wie diese Versuche im Konkreten aussahen und inwieweit die Beklagte und der hier im Raum stehende „Scraping“-Sachverhalt in einem Zusammenhang hierzu steht. Nicht ansatzweise ersichtlich ist, inwieweit das bloße Unterbreiten eines Geschäftsangebots oder das Angebot zum Investieren in eine Firma oder in Kryptowährungen einen Schaden verursachen soll und inwieweit die Beklagte ein solches Schadensereignis zu vertreten haben soll. Selbiges gilt für unerfreuliche, penetrante, nicht auf Deutsch geführte Telefonanrufe. Hier stellt sich schon die Frage warum die Klagepartei solche Telefonate überhaupt führt, wenn sie derartig belästigend sind. Auch hinsichtlich des vermeintlichen Virusangriffs ist völlig unklar, wieso ein solcher wahrscheinlich einen zukünftigen Schaden begründen soll. Es fehlt jeder Anhaltspunkt dafür wie und wieso die hier veröffentlichten personenbezogenen Daten im Zusammenhang mit diesem Virusangriff stehen. Das der Angriff abgewehrt wurde spricht außerdem grade gegen den Eintritt eines zukünftigen Schadens. Unklar bleibt auch, inwieweit die Veröffentlichung personenbezogener Daten des Klägers überhaupt Auswirkungen auf die Datensicherheit seiner Zahnarztpraxis haben. Gegen ein Feststellungsinteresse spricht auch der weitere Vortrag der darlegungs- und beweisbelasteten Klagepartei. Sie trägt selbst vor, dass „noch nicht abgesehen werden [kann], welche dritten Parteien Zugriff auf die Daten […] erhalten haben und für welche konkreten kriminellen Zwecke die Daten missbraucht wurden und werden“. 4. Auch der Klageantrag zu 5.) wird den Bestimmtheitsanforderungen nicht gerecht. Bei Unterlassungsklagen muss die Verletzungshandlung, deren Unterlassen der Kläger begehrt, derartig genau beschrieben werden, dass er den Gegenstand des Verfahrens und damit den Umfang der Entscheidungsbefugnis des Gerichts sowie die Rechtskraft seiner Entscheidung genau fixiert. Der Beklagte muss sich gegen den Vorwurf erschöpfend verteidigen können. Die Verurteilung muss deutlich erkennen lassen, was ihm verboten ist. Die Entscheidung darüber darf nicht dem Vollstreckungsverfahren überlassen bleiben (BGH, Urteil vom 11.10.1990, Az. I ZR 35/89). Soweit mit der Klage beantragt wird, dass die Beklagte es zu unterlassen hat „personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, unbefugten Dritten […] zugänglich zu machen“, wird sie den oben genannten Anforderungen nicht gerecht. Durch die nicht abschließende Auflistung der personenbezogenen Daten wird für die Beklagte nicht ersichtlich, in welchem Umfang das Verbot gilt. Es ist ihr somit nicht möglich, ihr Verhalten rechtskonform auszuüben. Es ist nämlich nicht so, dass grundsätzlich alle personenbezogenen Daten nicht zugänglich gemacht werden dürfen. Soweit der klägerische Antrag neben der ausdrücklich genannten Telefonnummer auch die personenbezogenen Daten Nutzer-ID, Familiennamen, Vornamen und Geschlecht erfassen soll, handelt sich bei diesen Datenpunkten um immer öffentliche Nutzerinformationen, so dass es schon keine unbefugten Dritten geben kann, welchen der Zugriff verweigert werden kann. 5. Unzulässig ist auch der Antrag zu 6.). Damit Gegenstand und Umfang der gerichtlichen Entscheidungsbefugnis erkennbar abgegrenzt werden können, sich die Beklagte erschöpfend verteidigen kann und die Entscheidung darüber, was dem beklagten verboten ist, nicht dem Vollstreckungsgericht überlassen bleibt, ist ein Unterlassungsantrag, der lediglich den Wortlaut des Gesetzes wiederholt, grundsätzlich zu unbestimmt. Abweichendes kann dann gelten, wenn entweder bereits der gesetzliche Verbotstatbestand selbst entsprechend eindeutig und konkret gefasst oder der Anwendungsbereich einer Rechtsnorm durch eine gefestigte Auslegung geklärt ist, sowie auch dann, wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert (BGH, Urteil vom 16. November 2006 – I ZR 191/03 m.W.N.) Aus dem hier vorliegenden Antrag wird nicht ersichtlich, in welchem Umfang das Unterlassen der Beklagten begehrt wird. Soweit die Klagepartei in ihrem Antrag die Unterlassung der Verarbeitung „personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer“ begehrt ist schon nicht ersichtlich, um welche konkreten Daten es sich handelt, deren Verarbeitung unterlassen werden soll (so auch OLG Dresden, Beschluss vom 21.04.2021, Az. 4 W 239/21). Somit fehlt es bereits an einer konkret bezeichneten Verletzungshandlung. Es wäre dem Vollstreckungsgericht überlassen zu entscheiden, was der Beklagten verboten ist. II. Soweit die Klage zulässig ist, ist sie aber unbegründet. 1. Der Antrag zu 1.) war mangels Eintritt eines Schadens abzuweisen. Das LG Essen hat hierzu bereit mit Urteil vom 10.11.2022, Az. 6 O 111/22, wie folgt ausgeführt: „Unabhängig davon fehlt es an einem ersatzfähigen Schaden des Klägers im Sinne des Art. 82 Abs. 1 DSGVO. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31). Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, beispielsweise die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31; vgl. LG Köln, Urteil vom 07.10.2020 – 28 O 71/20). Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt (vgl. LG Landshut, Urteil vom 06.11.2020 – 51 O 513/20). Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund Nr. 146, auch wenn er in der DSGVO nicht näher definiert wird). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen (Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 17 m. w. N.; Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 82 Haftung und Recht auf Schadenersatz Rn. 10 b). Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insbesondere durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen Nr. 75 kann ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl oder –betrug, Rufschädigung, Verluste der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar (vgl. Urteil der Kammer: LG Essen, Urteil vom 23.9.2021, Az.: 6 O 190/21, ZD 2022, 50; LG Köln, Urteil vom 18.05.2022, Az.: 28 O 328/21, BeckRS 2022, 11236). Dies wird auch aus Art 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DSGVO erzielen (LG München I, Urteil vom 09.12.2021, Az.: 31 O 16606/20, BKR 2022, 131). Allein eine Verletzung des Datenschutzrechts als solche – die die Kammer nicht festzustellen vermochte – begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (vgl. LG Hamburg, Urteil vom 04.09.2020 – 324 S 9/19). Verletzung und Schaden sind nicht gleichzusetzen. Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (vgl. LG Landshut, Urteil vom 06.11.2020 – 51 O 513/20). In den Erwägungsgründen Nr. 75 und 85 werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Zudem nennt Erwägungsgrund 75 auch die bloße Verarbeitung einer großen Menge personenbezogener Daten einer großen Anzahl von Personen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund Nr. 146 S. 6), das heißt „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein (AG Diez v. 7. 11. 2018, Az. 8 C 130/18), um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen, s. Urteil der Kammer 6 O 190/21, nicht rechtskräftig). Gemessen an diesen Grundsätzen hat der Kläger schon keine spürbare Beeinträchtigung – hervorgerufen durch Datenverlust – von persönlichen Belangen dargelegt. Der Kläger trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 auf der eingangs benannten Seite sei es zu einem Anstieg von SMS und Mails gekommen. Zugleich hat er aber im Rahmen seiner Anhörung gemäß § 141 ZPO bekundet, seit Entdeckung des Scraping-Vorfalls im April 2021 nichts an seinen Profileinstellungen bei F. geändert zu haben. Schon dieser Umstand lässt die Angabe, Furcht vor einem Kontrollverlust über seine Daten zu haben, unplausibel erscheinen. Unabhängig davon genügt aber selbst die Annahme nicht, dass der Kläger unter einer Furcht vor einem Kontrollverlust leidet, um einen Schaden im Sinne der DSGVO zu bejahen. Der Kläger spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-Mails und Nachrichten. Unerwünschte E-Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen F.-Account haben und dort ihre Telefonnummer hinterlegt haben. Der Hinweis des Klägers darauf, dass nur den Wenigsten eine konkrete (und wohl auch erhebliche) Schadendarstellung gelingen dürfte und er wegen der Reichweite und der Größe des behaupteten Datenlecks schon aufgrund einer bloßen Gefährdung einen Schaden unter Bezugnahme auf LG München (Urteil vom 9.12.2021 – 31 O 16606/20, BeckRS 21/41707 und Urteil vom 20.1.2022 – 3 O 17493/20 – BeckRS 6105) bejahen will, ist diese Rechtsprechung nicht ohne Weiteres auf die vorliegende Konstellation übertragbar. Das LG München hat Schadensersatz aufgrund einer Gefährdung eines Identitätsmissbrauch zugesprochen. In dem zu Grunde liegenden Fall wurden Daten veröffentlicht, nämlich „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“. Vorliegend geht es um ein öffentliches Profil nebst Telefonnummer und damit deutlich weniger sensible Daten. Eine Telefonnummer kann man wechseln. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich (so auch: LG Karlsruhe, Urteil vom 09.02.2021, Az.: 4 O 67/20, ZD 2022, 55). Insbesondere würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund Nr. 75. Der Erwägungsgrund Nr. 75 stützt die bisher vertretene Auffassung der Kammer (s. Urteil der Kammer vom 23.9.2021, Az.: 6 O 190/21, ZD 2022, 50), da aus Risiken für die Rechte und Freiheiten natürlicher Personen physische, materielle oder immaterielle Schaden entstehen können. Insoweit sind Schäden aber kein zwangsweise Produkt aus einem Risiko für die Rechte und Freiheiten natürlicher Personen aus einer Verarbeitung personenbezogenen Daten, vielmehr sind diese nur fakultativ. Der Sinn der Verordnung wird aber nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes Risiko bestehen, dass die Daten missbraucht werden.“ 2. Die Klagepartei hat auch keinen Schadensersatzanspruch aufgrund einer vermeintlichen Verletzung von Auskunftspflichten nach Art. 15 DSGVO. Gemäß Art. 15 DSGVO hat eine betroffene Person des Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Der betroffenen Person sind diese Daten auf Antrag hin zur Verfügung zu stellen. Durch dieses Auskunftsrecht wird eine hinreichende Transparenz von Datenverarbeitungsprozessen gewährleistet. Auch eine Verletzung des Auskunftsrechts nach Art. 15 DSGVO vermag eine Pflichtverletzung nach Art. 82 DSGVO und somit einen Schadensersatzanspruch zu begründen (OLG Köln, Urteil vom 14.07.2022, Az. I-15 U 137/21; a.A. AG Strausberg, Urteil vom 13.10.2022 Az. 25 C 95/21). Gemäß Art. 82 As.1 DSGVO kann jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, Schadensersatz verlangen. Nach dem Wortlaut der Norm ist der Haftungstatbestand somit nicht auf bloße Datenverarbeitungsvorgänge beschränkt. Zwar heißt es im Erwägungsgrund Nr. 146, dass der Verantwortliche oder der Auftragsverarbeiter solche Schäden ersetzen sollen, die einer Person aufgrund einer Verarbeitung entstehen. Im Wortlaut der Rechtsverordnung findet diese Einschränkung jedoch keine Erwähnung. Es spricht auch nichts dafür, dass Art. 82 Abs.1 DSGVO durch Art. 82 Abs.2 DSGVO, dieser benennt ausdrücklich die Datenverarbeitung, eingeschränkt werden soll. Hätte der Verordnungsgeber eine solche Einschränkung tatsächlich gewollt, hätte er bereits in Abs.1 nicht den „Verstoß gegen die Verordnung“, sondern wie in Abs. 2 die „Verarbeitung“ sanktioniert. Darüber hinaus meint „Verarbeitung“ gemäß Art. 4 Nr. 2 DSGVO auch die Offenlegung durch Übermittlung worunter auch die Auskunft zu erfassen ist. Erforderlich für einen Schadensersatzanspruch ist aber neben dem Eintritt eines solchen Schadens die Ursächlichkeit der Pflichtverletzung für den eingetretenen Schaden. Da der Schaden grade durch den Rechtsverstoß entstanden sein muss genügt es nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es zu einem Rechtsverstoß gekommen ist (Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 42). Die Klagepartei vermochte nicht zu beweisen, dass ihr aufgrund einer etwaigen Auskunftspflichtverletzung überhaupt ein Schaden entstanden ist. Gemäß § 286 Abs. 1 ZPO hat das Gericht unter Berücksichtigung des gesamten Inhalts der Verhandlungen und des Ergebnisses einer etwaigen Beweisaufnahme nach freier Überzeugung zu entscheiden, ob eine tatsächliche Behauptung für wahr oder für nicht wahr zu erachten sei. Dabei dürfen keine "unerfüllbaren Beweisanforderungen" gestellt werden (BGHZ 7, 116 BVerwGE 7, 48), und das Gericht darf keine unumstößliche Gewissheit bei der Prüfung verlangen, ob eine Behauptung wahr und erwiesen ist. Der Richter darf und muss sich aber in tatsächlich zweifelhaften Fällen mit einem für das praktische Leben brauchbaren Grad von Gewissheit begnügen, der den Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen. Die Klagepartei nimmt hinsichtlich des behaupteten Schadens in ihrer Klageschrift Bezug auf ein Urteil des Arbeitsgerichts Neumünster (Urteil vom 11.08.2020, Az. A Ca 247 c/20) sowie des Arbeitsgericht Düsseldorf (Urteil vom 05.03.2020, Az. 9 Ca 6557/18). In beiden Urteilen hätten die Gerichte einen Schadensersatz zugesprochen, da ein Schaden bereits in der Ungewissheit der Verarbeitung der eigenen Daten läge. Diese Ungewissheit bestehe auch hier. Diesen Vortrag hat die Beklagte bestritten. Ein Beweisangebot hat die Klagepartei nicht vorgelegt. Auch das Gericht hat erhebliche Zweifel am Wahrheitsgehalt des klägerischen Vortrags. Der wortidentische Sachvortrag befindet sich nämlich in einer Vielzahl vor dem hiesigen Gericht anhängigen Verfahren. Zutreffend führt daher die Beklagte aus, dass dies gegen den Eintritt eines individuellen Schadens spricht. 3. Die Klagepartei hat auch keinen Anspruch auf Auskunft gemäß Art. 15 DSGVO. Die Beklagte hat den Anspruch bereits vollständig erfüllt. Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (BGH, Urteil vom 15. Juni 2021 – VI ZR 576/19). Die Klagepartei trägt vor, die Beklagte habe durch ihr eigenes Tool (CIT) Daten der Klägerseite an Dritte übermittelt. Die mit Schreiben vom 04.05.2022 erteilte Auskunft der Beklagten erhalte hierzu keinerlei konkrete Aussage und sei somit unvollständig. Die Beklagte trat dem entgegen und teilte mit Schreiben vom 04.05.2022 mit, dass Daten gegenüber Dritten nicht offengelegt wurden. Somit wurde die verlangte Auskunft im Rahmen einer Negativauskunft erteilt. Soweit der Kläger vorträgt, dass nicht darüber informiert wurde, wer auf die Daten zugegriffen hat und auch nicht, welche Daten genau abgegriffen wurden, begründet auch das keinen Verstoß gegen die Auskunftspflicht aus Art. 15 DSGVO. Die Beklagte teilte hierzu mit, dass sie hierüber keine Kenntnis hat und zur Beantwortung von Fragen betreffend der Verarbeitungstätigkeit Dritter nicht imstande ist. 4. Ein Anspruch auf Erstattung vorgerichtlicher Rechtverfolgungskosten besteht nicht. Bei der Beurteilung der Frage, ob und in welchem Umfang der dem Geschädigten zustehende Schadensersatzanspruch gemäß § 249 Abs. 1 BGB die Erstattung von Rechtsanwaltskosten umfasst, ist zwischen dem Innenverhältnis des Geschädigten zu dem für ihn tätigen Rechtsanwalt und dem Außenverhältnis des Geschädigten zum Schädiger zu unterscheiden. Voraussetzung für einen Erstattungsanspruch ist grundsätzlich, dass der Geschädigte im Innenverhältnis zur Zahlung der in Rechnung gestellten Kosten verpflichtet ist und die konkrete anwaltliche Tätigkeit im Außenverhältnis aus der maßgeblichen Sicht des Geschädigten mit Rücksicht auf seine spezielle Situation zur Wahrnehmung seiner Rechte erforderlich und zweckmäßig war (BGH, Urteil vom 22. Juni 2021 - VI ZR 353/20 Rn. 6; Urteil vom 24. Januar 2022 - VIa ZR 100/21 Rn. 12). Hinsichtlich des Außenverhältnisses hat das Gericht keine Zweifel an der Erforderlichkeit und Zweckmäßigkeit der vorgerichtlichen Anwaltstätigkeit. Maßgeblich ist an dieser Stelle die ex-ante-Sicht einer vernünftigen, wirtschaftlich denkenden Person in der Situation des Geschädigten, wobei keine überzogenen Anforderungen zu stellen sind (vgl. BGH, Urteil vom 29. Oktober 2019 - VI ZR 45/19 Rn. 21, NJW 2020, 144; Urteil vom 24. Februar 2022 - VII ZR 320/21 Rn. 18 m.w.N., NJW-RR 2022, 707). Bei den hier im Streit stehenden Datenschutzbestimmungen handelt es sich um eine umfangreiche, juristisch nicht einfache und von Gericht teils konträr beantwortete Streitfrage. Die Ansprüche der Klägerpartei sind auch nicht dem Grund und Höhe nach von vornherein unzweifelhaft gewesen. Ob eine vorprozessuale anwaltliche Zahlungsaufforderung im Innenverhältnis des Mandanten zum Rechtsanwalt eine Geschäftsgebühr nach Nr. 2300 VV RVG auslöst oder als der Vorbereitung der Klage dienende Tätigkeit nach § 19 Abs. 1 Satz 2 Nr. 1 RVG zum Rechtszug gehört und daher mit der Verfahrensgebühr nach Nr. 3100 VV RVG abgegolten ist, bestimmt sich nach Art und Umfang des im Einzelfall erteilten Mandats. Erteilt der Mandant den unbedingten Auftrag, im gerichtlichen Verfahren tätig zu werden (vgl. Vorbemerkung 3 Abs. 1 Satz 1 VV RVG), lösen bereits Vorbereitungshandlungen die Gebühren für das gerichtliche Verfahren aus, und zwar auch dann, wenn der Anwalt zunächst nur außergerichtlich tätig wird. Für das Entstehen der Geschäftsgebühr nach Nr. 2300 VV RVG ist dann kein Raum mehr. Anders liegt es, wenn sich der Auftrag auf die außergerichtliche Tätigkeit des Anwalts beschränkt oder der Prozessauftrag jedenfalls unter der aufschiebenden Bedingung erteilt wird, dass zunächst vorzunehmende außergerichtliche Einigungsversuche erfolglos bleiben. Hierzu hat die beweispflichtige Klagepartei schon nicht hinreichend vorgetragen. III. 1. Die Kostenentscheidung folgt aus § 91 ZPO und die Entscheidung über die vorläufige Vollstreckbarkeit aus § 709 ZPO. 2. Der Streitwert war auf 19.600,00 € festzusetzen. Der Antrag zu 1.) war mit der geltend gemachten Untergrenze von 2.000,00 € zu beziffern. Das Gericht hat sich an diese Summe hinsichtlich des Feststellungsantrages zu 2.) orientiert und einen 20% Feststellungsabschlag berücksichtigt und also den Antrag zu 2.) mit 1.600 € festgesetzt. Auch der Antrag zu 3.) war mit der geltend gemachten Untergrenze von 1.000,00 € zu berücksichtigen. Hinsichtlich der Anträge zu 4.), 5.) und 6.) hat das Gericht jeweils den Auffangstreitwert von 5.000,00 € berücksichtigt. Gemäß § 48 Abs.2 GKG ist der Streitwert in nichtvermögensrechtlichen Streitigkeiten unter Berücksichtigung aller Umstände des Einzelfalles zu bestimmen. Im Fall des Fehlens jeglicher Anhaltspunkte ist grundsätzlich der Auffangstreitwert des § 23 Abs.3 S.2 RVG zu berücksichtigen. Allerdings muss für die konkrete Streitigkeit geprüft werden, ob dieser Wert dem unabhängig von den in § 48 Abs.2 genannten Bewertungskriterien im Normalfall bestehenden Gewicht einer solchen Streitigkeit gerecht wird. Für eine niedrigere Streitwertfestsetzung spricht, dass es sich um eine unterdurchschnittlich umfängliche Sache handelt, deren Aktenumfang alleine aufgrund ausufernder Textbausteine künstlich aufgebläht wurde. Für die Berücksichtigung des Auffangstreitwertes spricht aber, dass es sich bei der Beklagten um ein international operierendes Unternehmen und bei dem Verfahren um eines von sehr vielen vergleichbaren in der gesamten Republik handelt Die Parteien streiten über Schadensersatz-, Auskunfts- und Unterlassungsansprüche aufgrund vermeintlicher Verstöße gegen die DSGVO. Die Beklagte ist Anbieterin der Facebook-Plattform auf dem Gebiet der Europäischen Union. Der Kläger ist Nutzer der Facebook-Plattform. Facebook-Nutzer können über verschiedene Kanäle auf den Facebook-Dienst zugreifen, einschließlich durch die Website-URL https://www.facebook.com/ sowie über Apps für Mobiltelefone und Tablet-PCs. Die Dienste der Beklagten ermöglichen es den Nutzern, persönliche Profile für sich zu erstellen und diese mit Freunden zu teilen. Auf diesen persönlichen Profilen können die Nutzer Angaben zu verschiedenen Daten zu ihrer Person machen und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern auf ihre Daten zugreifen können. Zur vollständigen Nutzung der Plattform ist zumindest eine Registrierung erforderlich. Diese erfolgt zunächst über die Eingabe bestimmter notwendiger Grunddaten in eine Eingabemaske. Im unteren Bereich dieser Maske sind die Nutzungsbedingungen sowie die Datenrichtlinie der Beklagten blau markiert und verlinkt. Die Nutzer müssen bestimmte Informationen bei der Registrierung angeben, die als Teil des Nutzerprofils immer öffentlich einsehbar sind. Dazu gehören Name, Geschlecht und Facebook-Id. Die Sichtbarkeit sonstiger eingegebener Daten wie Telefonnummer, E-Mail-Adresse, Wohnort Geburtsdatum, Stadt oder Beziehungsstatus, sind von einer Zielgruppenauswahl des Nutzers abhängig. Ergänzend kann der Nutzer auch die „Suchbarkeits-Einstellungen“ anpassen. Hierunter fällt unter anderem die Einstellung, die festlegt, wer das Profil eines Nutzers anhand einer Telefonnummer finden kann. Anfang April 2021 wurde durch die Medien öffentlich über den Scraping-Sachverhalt berichtet, wonach die gescrapten Datensätze von ca. 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet öffentlich verbreitet wurden. Bei diesem Vorfall wurden bei der Beklagten personenbezogene Daten aus dem Datenbestand von Facebook mittels des Facebook-Tools Kontakt-Importer (CIT, Contact - Import - Tool) "gescrapt", also aus öffentlich zugänglichen Daten ausgelesen und persistiert. Nutzer konnten dabei während des relevanten Zeitraums ihre Kontakte von ihren Mobilgeräten auf Facebook hochladen, um diese Kontakte auf der Facebook-Plattform zu finden und mit ihnen in Verbindung zu treten. Die Scraper luden mithilfe der Kontakt-Importer-Funktion Kontakte, unterlegt mit potentiellen Telefonnummern, hoch, um so festzustellen, ob diese Telefonnummern mit einem Facebook-Konto verbunden waren. Soweit die Scraper feststellen konnten, dass eine Telefonnummer mit einem Facebook-Konto verknüpft war, kopierten sie die nach der Zielgruppenauswahl öffentlich einsehbaren Informationen aus dem betreffenden Nutzerprofil und fügten die Telefonnummer sodann den abgerufenen Daten hinzu. Mit Schreiben vom 05.04.2022 zur Zahlung von 2.000,00 EUR Schadensersatz nach Art. 82 Abs. 1 DS-GVO und zur Unterlassung zukünftiger Zugänglichmachung der Klägerdaten an unbefugte Dritte sowie zur Auskunft darüber aufgefordert, welche konkreten Daten im April 2019 abgegriffen und veröffentlicht wurden. Mit Schreiben ihrer Prozessbevollmächtigten vom 04.05.2022 antwortete die Beklagte und teilte u. a. mit, dass es auf Grundlage der bislang vorgenommenen Analysen gelungen sei, der Nutzer ID des Klägers die Datenkategorien Nutzer ID, Vorname, Nachname, Land, Geschlecht und Telefonnummer zuzuordnen, die nach ihrem Verständnis in den durch Scraping abgerufenen Daten erscheinen und mit den auf dem Facebook-Profil des Klägers verfügbaren Informationen übereinstimmen. Dabei wurde auch darauf hingewiesen, dass nach Verständnis der Beklagten die Telefonnummer des Klägers nicht vom Facebook-Profil abgerufen worden sei, sondern unter Anwendung der Methode der Telefonnummernaufzählung. Das Schreiben enthielt des Weiteren Auszüge aus der Datenrichtlinie der Beklagten sowie einen Hinweis auf die Bereitstellung seitens der Beklagten gespeicherter Daten des Klägers nebst der Möglichkeit des Downloads derselben unter einer angegebenen URL. Die Klagepartei behauptet, seine personenbezogenen Daten, wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum und Telefonnummer seien durch den streitgegenständlichen Datenvorfall abgerufen und im Internet veröffentlicht worden. Die Beklagte habe aufgrund unzureichender technischer Maßnahmen dieses Datenleck nicht erkennen und verhindern können. Er würde täglich durch Spam- und Phishing-Mails belästigt. Insbesondere beinhalten diese Spam-Mails Einladungen zu Gewinnspielen und Informationen über angeblichen Erbschaften aus verschiedenen Ländern, aber auch Versuche, die Passwörter der Accounts der Klägerseite abzugreifen. Darüber hinaus bekomme die Klägerseite fast täglich Anrufe von unbekannten Nummern, wo ihr diverse ''Geschäftsangebote'' gemacht werden, insbesondere Anfragen, ob sie Geld in eine Firma investieren möchte oder bereits in Kryptowährungen investiert hat, sowie auch Einladungen zu dubiosen Befragungen. Diese Anrufer seien sehr penetrant, unfreundlich und sprechen kaum Deutsch. Die betroffene E-Mail-Adresse und Telefonnummer werde sowohl beruflich als auch privat genutzt. Dies ist nur noch sehr eingeschränkt möglich, da sich das Misstrauen gegenüber den eintreffenden Nachrichten in der letzten Zeit verstärkt hätte. Des Weiteren sei ein Virusangriff über die betroffene E-Mailadresse festgestellt, welcher aber von der Praxissoftware abgewehrt wurde. Die Klägerseite sei als Zahnarzt tätig und somit auf den sicheren Umgang mit personenbezogenen Daten besonders angewiesen. Ein Angriff auf die Patientendaten habe daher ein enormes Schadenspotential sowohl für die Klägerseite als auch für ihre Patienten. Durch die vermeintlich unzureichende Auskunft sei der Kläger von einem Gefühl des Kontrollverlustes hinsichtlich der eigenen Daten. Die Klagepartei beantragt, 1. die Beklagte zu verurteilen, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Telefonnummer (+49171xxxxxxx) sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen, 2. festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden, 3. die Beklagte zu verurteilen, an die Klägerin für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DS-GVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen, 4. die Beklagte zu verurteilen, der Klägerseite Auskunft über die die Klägerseite betreffenden weiteren personenbezogenen Daten zu erteilen, die durch Unbefugte erlangt werden konnten, namentlich welche Daten außer der Telefonnummer der Klägerseite durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch „Web Scraping“, die Anwendung des Kontaktimporttools oder auf andere Weise unbefugt erlangt werden konnten, 5. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, wie geschehen anlässlich des sogenannten Facebook-Datenleaks, das nach Aussage der Beklagten im Jahr 2019 stattfand, 6. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, insbesondere die Telefonnummer, ohne Einholung einer Einwilligung oder Erfüllung sonstiger gesetzlicher Erlaubnistatbestände zu verarbeiten. 7. die Beklagte zu verurteilen, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 973,66 EUR zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz zu zahlen. Die Beklagte beantragt, die Klage abzuweisen.