9 U 88/23

Leitsatz: 1. Der zeitliche Anwendungsbereich der DSGVO ist eröffnet, wenn sich aus dem gesamten Vorbringen einschließlich etwaiger Beschlüsse der irischen Datenschutzbehörde ergibt, dass der Datenschutzvorfall nach dem 25. Mai 2018 erfolgte.(Rn.10) 2. Der bloße Kontrollverlust rechtfertigt im Anschluss an die Rechtsprechung des Bundesgerichtshofes einen Schadenersatzanspruch im untersten Bereich.(Rn.40) (Rn.52) (Rn.56) 3. Zum Streitwert bei Verfahren wegen der Verletzung von Vorschriften der DSGVO.(Rn.103) I. Auf die Berufung des Klägers wird das Urteil der 10. Zivilkammer des Landgerichts Magdeburg vom 20. April 2023 abgeändert und wie folgt neu gefasst: 1. Die Beklagte wird verurteilt, an den Kläger 100,00 EUR nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 4. August 2022 zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, dem Kläger alle materiellen künftigen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter über das Kontakt-Import-Tool auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, die Telefonnummer des Klägers für Zwecke der Zwei-Faktor-Authentifizierung auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der A. -Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird. 4. Die Beklagte wird verurteilt, an den Kläger vorgerichtliche Rechtsverfolgungskosten von 113,53 EUR nebst Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 20. August 2022 zu zahlen. 5. Im Übrigen wird die Klage abgewiesen. II. Die weitergehende Berufung des Klägers wird zurückgewiesen. III. Von den Kosten des Rechtsstreits beider Instanzen trägt der Kläger 75 v. H. und die Beklagte 25 v. H. IV. Das Urteil ist vorläufig vollstreckbar. Beschuss 1. Der Streitwert für das erstinstanzliche Verfahren wird – insoweit in Abänderung der erstinstanzlichen Wertfestsetzung – auf 2.100 EUR festgesetzt. 2. Der Streitwert des Berufungsverfahrens beträgt bis zum 23. Mai 2025 2.100 EUR und ab dem 23. Mai 2025 1.800 EUR. 3. Der Antrag der Beklagten auf Aussetzung des Verfahrens wird zurückgewiesen. I. Die Klägerseite macht gegen die Beklagte Ansprüche wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung im Zusammenhang mit einem sogenannten „Scraping-Vorfall“ geltend, der im April 2021 bekannt wurde. Anhand eines von der Beklagten für die Plattform genutzten sog. Kontakt-Import-Tools (KIT) war es in den Jahren 2018/2019 möglich, Nutzer anhand ihrer Telefonnummer zu finden, solange ihre „Suchbarkeitseinstellung“ für Telefonnummern auf die Standardeinstellung „Alle“ gesetzt war. Bei diesem Vorfall wurden Telefonnummer, Name und A. -ID und Geschlecht des Klägers (im Folgenden: Klagepartei) erlangt und – so ihr Vortrag – in einem „Hacker-Forum“ veröffentlicht, wobei es unstreitig ist, dass die Telefonnummer nicht im eigentlichen Sinne „gescrapt", sondern von den Scrapern als randomisierte Nummernfolge in das KIT eingepflegt und dann bei Auffinden des Profils der Klagepartei ihrem Namen und den sonstigen dort vorhandenen Daten nur zugeordnet wurde. Erstinstanzlich hat der Kläger die Zahlung eines immateriellen Schadensersatzes in Höhe von 1.000,00 EUR (als Ausgleich für Datenschutzverstöße etc.) beantragt sowie Auskunft, Feststellung, Unterlassung und vorgerichtliche Rechtsanwaltskosten begehrt. Das Landgericht hat die Klage abgewiesen. Dagegen richtet sich die Berufung der Klagepartei. Wegen der weiteren Einzelheiten des Sach- und Streitstandes sowie der erstinstanzlichen Sachanträge wird auf den Tatbestand des angegriffenen Urteils Bezug genommen. Von einer Darstellung des Sach- und Streitstands im Übrigen wird gemäß §§ 540 Abs. 2, 313a Abs. 1 Satz 1 ZPO abgesehen. II. Die Berufung der Klagepartei ist zulässig, insbesondere form- und fristgerecht eingelegt und ebenso begründet worden (§§ 511, 517, 519 f. ZPO). Die Berufung ist im tenorierten Umfang begründet. Der Klagepartei steht gegen die Beklagte ein Anspruch auf Zahlung in Höhe von 100,00 EUR, Feststellung der Schadenersatzpflicht der Beklagten für künftige Schäden aus dem Scraping-Vorfall im Jahr 2018/2019 über das Kontakt-Import-Tool gemäß Art. 82 Abs. 1 DSGVO, ein Unterlassungsanspruch sowie vorgerichtliche Rechtsanwaltskosten zu. A. Die internationale Zuständigkeit deutscher Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn die Klagepartei hat ihren gewöhnlichen Aufenthalt in Deutschland. Ebenso ergibt sich die internationale Zuständigkeit aus Art. 17 Abs. 1 lit. c, 18 Abs. 1 Brüssel Ia-VO, da die Klagepartei als Verbraucherin gehandelt hat, sowie aus Art. 16 Abs. 1 Brüssel Ia-VO, weil sich die Beklagte (entsprechend Ziffer 4 ihrer Nutzungsbedingungen, Anlage B19, Bl. I 674 ff. d. A.) in beiden Instanzen rügelos eingelassen hat (vgl. etwa BGH, Urteil vom 5. Juli 2023, IV ZR 375/21, Rn. 11, juris). Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25. Mai 2018 in Kraft getretenen Datenschutzgrundverordnung ist eröffnet. Die Zuständigkeit im Übrigen ist im Hinblick auf § 513 Abs. 2 ZPO und § 17a Abs. 5 GVG nicht zu prüfen, wenn auch – unter Berücksichtigung aller Klageanträge – die sachliche Eingangszuständigkeit des Landgerichts gegebenenfalls nicht eröffnet war. 1. Der sachliche Anwendungsbereich folgt aus Art. 2 Abs. 1 DSGVO, der für die automatisierte Verarbeitung personenbezogener Daten gilt. Bei den streitgegenständlichen Daten der Klagepartei (Nutzer-ID, Name, Geschlecht, Telefonnummer) handelt es sich um solche personenbezogenen Daten, die von der Beklagten im Rahmen des von ihr betriebenen sozialen Netzwerks A. automatisiert verarbeitet wurden. Entgegen der Ansicht der Beklagten kann für die erforderliche Einwilligung in die Datenverarbeitung nicht auf den Scraping-Vorfall selbst abgestellt werden, bei dem – so die Argumentation der Beklagten – die Beklagte selbst keine Datenverarbeitung vorgenommen hat. Maßgeblich ist vielmehr die Zurverfügungstellung und Speicherung der Daten im Rahmen des Registrierungsverfahrens (ebenso: OLG Celle, Urteil vom 5. März 2025, 5 U 129/24, Rn. 16, juris). 2. Die Eröffnung des räumlichen Anwendungsbereichs der Datenschutz-Grundverordnung beruht auf Art. 3 Abs. 1 DSGVO, der auf die Verarbeitung personenbezogener Daten Anwendung findet, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der Europäischen Union erfolgt. Bei der Beklagten handelt es sich um ein Unternehmen nach dem Recht der Irischen Republik mit Sitz in Irland. Da die Beklagte das soziale Netzwerk A. für Nutzer in der Europäischen Union betreibt, ist sie auch Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. 3. Entgegen der Ansicht der Beklagten ist auch der zeitliche Anwendungsbereich der DSGVO eröffnet, weil die hier in Rede stehenden Verstöße des Daten-Scrapings über das KIT nach deren Inkrafttreten am 25. Mai 2018 erfolgt sind. Das Bestreiten der Beklagten mit Nichtwissen und ihre Berufung auf ihr günstige obergerichtliche Rechtsprechung (OLG Stuttgart, Urteil vom 26. Juni 2024, 4 U 172/23, Rn. 48 ff., juris) greift nicht durch. Die Beklagte hat ihrer sekundären Darlegungslast nicht genügt, weil hier der Grundsatz der Darlegungs- und Beweislast bei der Klagepartei der Einschränkung bedarf, da diese als primär darlegungsbelastete Partei außerhalb des maßgeblichen Geschehensablaufs steht und keine Kenntnisse von den maßgeblichen Tatsachen besitzt und den Sachverhalt von sich aus nicht ermitteln kann, während der Beklagten die erforderliche tatsächliche Aufklärung ohne weiteres möglich und auch zuzumuten ist (vgl. hierzu: BGH, Urteil vom 5. Oktober 2023, III ZR 216/22, Rn. 31; BGH, Urteil vom 4. Februar 2021, III ZR 7/20, Rn. 19; juris). Der Senat hat aufgrund des gesamten Akteninhalts und insbesondere der Entscheidung der irischen Datenschutzbehörde vom 25. November 2022 gemäß § 286 Abs. 1 ZPO (vgl. zu den diesbezüglichen Kriterien z.B. BGH, Urteil vom 7. November 2024, III ZR 79/23, Rn. 39 f., juris) die hinreichende Überzeugung gewonnen, dass das behauptete Daten-Scraping durch Nutzung des Kontakt-Import-Tools nach dem 25. Mai 2018 erfolgt ist. Hierfür sprechen folgende Umstände: - Aus der Pressemitteilung der Beklagten vom 6. April 2021 (Anlage B 10) ergibt sich, dass „böswillige Akteure die Daten vor September 2019 von der Plattform gescrapt“ hätten, in dem sie „den Kontakt-Importer vor September 2019 verwendet“ hätten und „das Problem im Jahr 2019 behoben worden sei“. Diese Formulierung schließt natürlich nicht aus, dass der streitgegenständliche Vorfall dann schon ziemlich weit zeitlich vor dem Zeitpunkt „September 2019“ erfolgt sein kann und also insbesondere auch schon vor dem 25. Mai 2018 (so: OLG Stuttgart, Urteil vom 26. Juni 2024, 4 U 172/23, Rn. 38; entgegen OLG Celle, Urteil vom 5. März 2025, 5 U 129/24, Rn. 9; OLG Koblenz, Urteil vom 11. Februar 2025, Rn. 10, juris), entscheidende Anhaltspunkte dafür, dass der Vorfall nach dem 25. Mai 2018 stattgefunden hat, ergeben sich aus dem Bericht der irischen Datenschutzbehörde (Anlage K 3), mit dem sich die Beklagte nicht hinreichend tiefgründig auseinandersetzt. Zwar ist richtig, dass die Beklagte bereits im März 2018 Telefonnummernscraping entdeckt hatte (vgl. Rn. 27 und 106 des Berichts), dieses Scraping betraf allerdings zunächst die sog. A. -Suche, wie sich aus Rn. 41 des Berichts ergibt. Deshalb beschränkte die irische Datenschutzbehörde ihre weiteren Untersuchungen u.a. auf die hier streitgegenständliche KIT-Methode (Rn. 44). Gegenüber der irischen Datenschutzbehörde hat die Beklagte zudem eingeräumt, dass das Scraping innerhalb des zeitlichen Anwendungsbereiches der DSGVO erfolgt sei (dort Rn. 28 und 87), weil die Beklagte die Scraper im August 2019 identifiziert hat und außerdem eine Verbindung zu den rund 533 Millionen A. -Nutzern herzustellen sei (Rn. 100). Diese Einschätzung korrespondiert mit der Mitteilung der Beklagten im dortigen Verfahren, dort Rn. 118, dass das KIT im Oktober 2018 modifiziert worden sei. Dabei räumte sie ein, dass die Scraper neue Taktiken des Scrapens gefunden hätten (Rn. 119). Die Ermittlungsergebnisse der irischen Datenschutzbehörde zum zeitlichen Anwendungsbereich, von dem diese ausgeht, hätte die Beklagten substantiiert ausräumen müssen. Soweit die Klagepartei rügt, diese Anlage, die sie selbst vorgelegt hat, liege nur in englischer Sprache vor, steht dies einer Verwertbarkeit nicht entgegen. Auf Übersetzungen fremdsprachiger Urkunden kommt es nicht an. § 184 GVG gilt nicht für eingereichte Urkunden (vgl. Lückemann in Zöller, ZPO, 35. Aufl., § 184 GVG Rn. 1). § 142 Absatz 3 ZPO stellt lediglich eine Ermessensvorschrift dar. Wenn alle Beteiligten die Sprache verstehen, kann von der Übersetzung abgesehen werden (vgl. Greger a. a. O, § 142 ZPO Rn. 17). Vorliegend konnte ohne Weiteres davon ausgegangen werden, dass die Parteien, insbesondere auch die Klagepartei, die die Urkunde vorgelegt und sich ausdrücklich auf sie bezogen hat, die englische Sprache verstehen. Darüber hinaus hat sich die Klagepartei mit Schreiben vom 31. Januar 2022 selbst in englischer Sprache an die Beklagte gewandt (Anlage K 1, Anlagenband). Für die Beklagte gilt dies, weil sie eine juristische Person irischen Rechts ist, so dass der Senat ihr (ausreichende) Englischkenntnisse, auch aufgrund ihres weltweiten Agierens, unterstellt. Auch die Mitglieder des Senats sind der englischen (Rechts)Sprache hinreichend mächtig, so dass der Inhalt der Urkunde auch ohne Übersetzung beurteilt werden kann (KG Berlin, Urteil vom 28. November 2018, 24 U 75/18, Rn. 39, juris). - Auch mit ihrem Schreiben vom 9. Dezember 2021 (Anlage B 16) erfolgt keine Eingrenzung auf die Zeit vor dem 25. Mai 2018 durch die Beklagte. - Soweit die Beklagte mit Schriftsatz vom 12. März 2025 (dort s. 5) ergänzend mitgeteilt hat, nicht im Besitz der Rohdaten zu sein, welche die durch das Scraping abgerufenen Daten enthielten und aufgrund der seit dem Sachverhalt vergangenen Zeit würden auch keine Log-Dateien oder Ähnliches vorgehalten, die ihr die Aufklärung ermöglichen könnten, wie der Scraping-Sachverhalt genau abgelaufen sei und insbesondere wann die Daten der Klagepartei abgegriffen worden seien, folgt hieraus nichts anderes. Wie sich aus dem Bericht der irischen Datenschutzbehörde (Anlage K 3) ergibt, war die Beklagte in der Lage, detailliert zu den einzelnen Datenschutzvorfällen (A. -Suche, KIT und Messenger) vorzutragen. Im Ergebnis hat die irische Datenschutzbehörde einen Datenschutzverstoß bejaht, wonach Vorname, Nachname, Telefonnummer und Wohnort im zeitlichen Anwendungsbereich der DSGVO mittels KIT hätten gescrapt werden können (Rn. 146). Gerade auch im Hinblick auf die diesbezügliche ständige Rechtsprechung des Bundesgerichtshofs, dass eine Überzeugungsbildung i.S.d. § 286 Abs. 1 ZPO nicht immer eine mathematisch lückenlose Gewissheit voraussetzt (z.B. Urteil vom 29. Juli 2021, VI ZR 1118/20, Rn. 19, juris), genügen diese Tatsachen – auch unter Berücksichtigung der dagegen gerichteten Argumentation der Beklagten – dem Senat, den zeitlichen Anwendungsbereich der DSGVO vorliegend zu bejahen (ebenso z.B. OLG Dresden, Urteil vom 5. Dezember 2023, 4 U 1094/23, Rn. 33; OLG Celle, Urteil vom 5. März 2025, 5 U 129/24, Rn. 11, juris). 4. Neben der DSGVO ist auf das Rechtsverhältnis der Parteien gemäß Art. 3 Abs. 1, Art. 6 Abs. 2 Rom I-VO nach den Nutzungsbedingungen der Beklagten deutsches Recht anwendbar. B. Die Berufung der Klagepartei zum Schadenersatzanspruch ist in geringem Umfang i.H.v. 100 EUR begründet. 1. Der Antrag ist entgegen der Ansicht der Beklagten zulässig im Hinblick auf § 253 ZPO hinreichend bestimmt. Die Klagepartei stützt ihren Anspruch nicht auf mehrere angebliche Verstöße gegen die DSGVO und damit mehrere Streitgegenstände in Form einer unzulässigen alternativen Klagehäufung (vgl. BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 16, juris), sondern entspricht den Anforderungen des § 253 Abs. 2 Nr. 2 ZPO, wonach die Klageschrift neben einem bestimmten Antrag eine bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs enthalten muss (BGH, Urteil vom 17. Januar 2023, VI ZR 203/22; BGH, Beschluss vom 24. März 2011, I ZR 108/09; OLG Hamm, Urteil vom 15. August 2023, I-7 U 19/23, Rn. 49; OLG Köln, Urteil vom 7. Dezember 2023, I-15 U 67/23, Rn. 30, juris). Der geltend gemachte Anspruch auf Ersatz immateriellen Schadens in angemessener Höhe, mindestens aber von € 1.000,00, den die Klagepartei auf den behaupteten Scraping-Vorfall ist der Streitgegenstand. Von ihm werden sämtliche mit der inkriminierten Datenverarbeitung im Zusammenhang stehenden gerügten Verstöße gegen die Datenschutz-Grundverordnung umfasst, weil diese bei natürlicher Betrachtung nicht isoliert beurteilt werden. Der geltend gemachte Ersatzanspruch bildet keinen teilbaren Streitgegenstand in dem Sinne, dass auf die verschiedenen von der Klagepartei behaupteten Datenschutzverstöße unterschiedliche Beträge entfielen und diese einer gesonderten rechtlichen Beurteilung zugänglich wären. Vielmehr führen mehrere Verstöße nicht zu einer Erhöhung des Schadensersatzes (vgl. EuGH, Urteil vom 11. April 2024, C-741/21, Rn. 59 f., 64 f., juris). 2. Der Antrag zu 1. ist jedoch nur teilweise begründet, da der Klagepartei der geltend gemachte Schadensersatz aus Art. 82 Abs. 1 DSGVO oder aus einer anderen Anspruchsgrundlage allein in Höhe von 100 EUR zusteht. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen im Sinne von § 4 Nr. 7 DSGVO. Voraussetzungen dieses Anspruchs sind also ein Verstoß des Verantwortlichen gegen die DSGVO und ein kausal auf diese Pflichtverletzung zurückzuführender materieller oder immaterieller Schaden des Betroffenen (EuGH, Urteil vom 4. Mai 2023, C-300/21 Rn. 32, juris), der für diese Anspruchsvoraussetzungen die Beweislast trägt (EuGH, Urteil vom 24. Januar 2024, C-687/21 Rn. 61, juris). Dabei hat derjenige, der geltend macht, von negativen Folgen eines Verstoßes gegen die DSGVO betroffen zu sein, nachzuweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Beruft er sich auf die Befürchtung, seine personenbezogenen Daten könnten aufgrund des Verstoßes missbräuchlich verwendet werden, hat das nationale Gericht zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH, Urteil vom 14. Dezember 2023, C-340/21 Rn. 84 f., juris). a) Der Beklagten ist eine Pflichtverletzung jedenfalls insofern zur Last zu legen, als sie gegen den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 b und c, Art. 25 Abs. 2 Satz 1 und 3 DSGVO verstoßen hat, indem sie die Voreinstellung für die Auffindbarkeit eines Nutzerprofils anhand der Telefonnummer auf „alle“ setzte. aa) Nach Art. 5 Abs. 1 lit. c), 25 Abs. 2 Satz 1 und 3 DSGVO muss die Datenverarbeitung gemäß § 4 Nr. 2 DSGVO dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß begrenzt sein. Ausnahmen und Einschränkungen des Grundsatzes des Schutzes solcher Daten sind auf das absolut Notwendige zu beschränken (Grundsatz der Datenminimierung; EuGH, Urteil vom 24. Februar 2024, C-175/20, Rn. 73, juris). Angesichts des umfassenden Verarbeitungsbegriffs des Art. 4 Nr. 2 DSGVO (jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung) ist in Bezug auf den hier inmitten stehenden Scraping-Vorfall ohne Weiteres von einer Datenverarbeitung der Beklagten in Form der Speicherung, des Abfragens, der Offenlegung durch Übermittlung, der Bereitstellung und Verknüpfung i.S.d. Art. 82 Abs. 1 DSGVO auszugehen (BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 23). Die Grundsätze des Art. 5 DSGVO werden durch konkrete Vorgaben zur technischen Ausgestaltung und insbesondere durch Vorgaben in Bezug auf datenschutzfreundliche Voreinstellungen in Art. 25 DSGVO konkretisiert (vgl. zum Verhältnis von Art. 5 und Art. 25 DSGVO Heberlein in: Ehmann/Selmayr, DSGVO, 3. Aufl., Art. 5 Rn. 6 und 31; Schantz in: BeckOK DatenschutzR, 49. Ed. [Stand: 1. November 2021], Art. 5 DSGVO Rn. 25; Herbst in: Kühling/Buchner, DSGVO - BDSG, 4. Aufl. 2024, Art. 5 DSGVO Rn. 59 und Hartung in: Kühling/Buchner, DSGVO - BDSG, 4. Aufl. 2024, Art. 25 DSGVO Rn. 25). Nach Art. 25 Abs. 2 DSGVO hat der Verantwortliche demnach geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Damit beinhaltet Art. 25 Abs. 2 Satz 3 DSGVO die ausdrückliche Verpflichtung zu Voreinstellungen, die verhindern, dass die Daten ohne Weiteres, also ohne bewusste persönliche Änderung der Voreinstellung, der Öffentlichkeit oder sonst einem unbestimmten Adressatenkreis zugänglich gemacht werden (Heberlein in: Ehmann/Selmayr, DSGVO, 3. Aufl. 2024, Art. 5 Rn. 31; BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 86, 88; OLG Koblenz, Urteil vom 11. Februar 2025, 3 U 145/24, Rn. 12; OLG Celle, Urteil vom 5. März 2025, 5 U 129/24, Rn. 13; juris). bb) Dem genügt die zum Zeitpunkt der Abschöpfung der Daten unstreitig von der Beklagten vorgegebene Standardeinstellung „alle“, die nur durch eine aktive Veränderung der Suchbarkeitseinstellung durch den Nutzer eingeschränkt („Freunde“ oder „Freunde von Freunden“) oder ausgeschlossen („nur ich“) werden konnte, nicht. Datenminimierendem Vorgehen hätte es demgegenüber entsprochen, dem Nutzer ausgehend von der datenschutzfreundlichsten Voreinstellung der Suchbarkeit („nur ich“) die Erweiterung des zugriffsberechtigten Personenkreises durch eigene Aktivität zu ermöglichen (OLG Dresden, Urteil vom 10. Dezember 2024, 4 U 808/24, Rn. 7; OLG Koblenz, Urteil vom 11. Februar 2025, 3 U 145/24, Rn. 12, juris). Wie sich aus Anlage B 17 ergibt, war die Suchbarkeit der Klagepartei auch auf „alle“ eingestellt. cc) In diesem Verstoß gegen die Vorschrift des Art. 5 Abs. 1 lit. c) DSGVO liegt zugleich eine konkrete unrechtmäßige Datenverarbeitung (EuGH, Urteil vom 4. Mai 2023, C-60/22, Rn. 54-57, juris), sodass sich Bedenken gegen die Anwendbarkeit des Art. 82 Abs. 1 DSGVO im Hinblick auch auf bloße Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb eines konkreten Verarbeitungsvorganges nicht ergeben (BGH, a.a.O., Rn. 23; OLG Koblenz, Urteil vom 11. Februar 2025, 3 U 145/24, Rn. 15, juris). Entgegen der Ansicht der Beklagten kann für die erforderliche Einwilligung in die Datenverarbeitung nicht auf den Scraping-Vorfall selbst abgestellt werden, bei dem – so die Argumentation der Beklagten – die Beklagte selbst keine Datenverarbeitung vorgenommen hat. Maßgeblich ist vielmehr die Zurverfügungstellung und Speicherung der Daten im Rahmen des Registrierungsverfahrens (OLG Celle, Urteil vom 5. März 2025, 5 U 129/24, Rn. 16, juris). b) Das Handeln der Beklagten – das systematische Belassen der Suchbarkeitseinstellung auf „alle“ – war ab dem 25. Mai 2018 auch nicht deshalb gerechtfertigt, weil die Klagepartei in die Verwendbarkeit ihrer Telefonnummer im Rahmen der Suchbarkeitsfunktion i.S.v. Art. 6 Abs. 1 Unterabschnitt 1b bis f DSGVO eingewilligt hätte. Denn jedenfalls genügt die bereits mit ursprünglicher Anmeldung der Klagepartei bei der Beklagten im Rahmen des Registrierungsverfahrens abgegebene Einwilligung nicht den Anforderungen von Art. 4 Nr. 11 DSGVO. Die in Art. 6 Abs. 1 Unterabs. 1 lit. a) bis f) DSGVO vorgesehenen Rechtfertigungsgründe sind eng auszulegen (EuGH, Urteil vom 4. Juli 2023, C-252/21, Rn. 93; BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 43 ff., 91, juris). Auch die im April 2018 von der Beklagten zur Verfügung gestellten Bedingungen genügen den Anforderungen der DSGVO nicht, weil entgegen Art. 13 Abs. 1 lit. c) DSGVO die entsprechende Einwilligung der Klagepartei nicht zum Zeitpunkt der Erhebung der Daten für alle Zwecke vorlag (BeckOK DatenschutzR/Schmidt-Wudy, 51. Ed. 1.2.2025, DS-GVO Art. 13 Rn. 79, beck-online). Aus der von der Beklagten vorgelegten Anlage B 5 (Wie kann ich festlegen, wer mich über meine E-Mail-Adresse oder Handynummer auf A. finden kann?) wird nicht hinreichend klar, dass der Nutzer, auch ohne seine Telefonnummer in der Zielgruppenauswahl auf „öffentlich“ zu stellen, über seine Handynummer gefunden werden kann. Vielmehr erweckt der folgende Hinweis zur separaten Festlegung den Eindruck, dass der Nutzer nur dann anhand der Telefonnummer gefunden werden kann, wenn er festlegt, wer seine Telefonnummer sehen kann. Auch die von der Beklagten vorgelegte Anlage B 6 umschreibt die Suchbarkeit mittels KIT nicht ausreichend klar. Aus der Datenrichtlinie (B 9), auf die über die Registrierungsseite verwiesen wird, ist dazu ebenfalls zur Verwendung der KIT nichts zu entnehmen, insbesondere nicht, dass die Telefonnummer ohne Veränderungen der Einstellungen angesichts der Standardvoreinstellung für die Suchbarkeit über die Telefonnummer auf „für alle“ bereits mit deren Angabe genutzt werden kann, um den Nutzer auf A. und insbesondere auch über das KIT zu finden (ebenso OLG Celle, Urteil vom 5. März 2025, 5 U 129/24, Rn. 15; OLG Koblenz, Urteil vom 11. Februar 2025, 3 U 145/24, Rn. 18; OLG Dresden, Urteil vom 10. Dezember 2024, 4 U 808/24, Rn. 12 – 14; OLG Hamm, Urteil vom 15. August 2023, 7 U 19/23, Rn. 112, 117 ff. und OLG Oldenburg, Urteil vom 21. Mai 2024, 13 U 100/23, Rn. 30 ff., juris). c) Außerdem war die Einstellung für die Ermöglichung des Vertragszweckes – Kontaktaufnahme – nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO. Erforderlichkeit liegt vor, wenn der Hauptgegenstand des Vertrages ohne die betreffende Verarbeitung nicht erfüllt werden könnte (EuGH, Urteil vom 4. Juli 2023, C-252/21, Rn. 98, juris). Den Nutzern des Netzwerks der Beklagten war und ist es – wie schon der Umstand zeigt, dass sie heutzutage nicht mehr erforderlich ist – möglich, andere Nutzer über die Eingabe des Namens zu finden, sodass die ohnehin nicht zwingend dauerhaft im Nutzerprofil zu hinterlegende Telefonnummer zum Auffinden anderer Nutzer nicht unerlässlich gewesen ist (BGH, a.a.O., Rn. 90; so auch OLG Hamm, Urteil vom 15. August 2023, I-7 U 19/23, Rn. 94 ff., OLG Stuttgart, Urteil vom 22. November 2023, 4 U 20/23, Rn. 502 ff.; OLG Düsseldorf, Urteil vom 14. März 2025, I-16 U 94/24, Rn. 21; Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 24. April 2025, 5 U 59/23, Rn. 82, juris). Das Vorliegen anderer Rechtsgrundlagen für die Suchbarkeit des Nutzerprofils der Klagepartei anhand ihrer Mobilfunknummer sind nicht ersichtlich. Insbesondere scheidet eine Rechtfertigung über Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO (vgl. Anlage B 18) vorliegend aus (wie OLG Hamm, Urteil vom 15. August 2023, I-7 U 19/23, Rn. 105 ff., juris). Die Beklagte kann sich zur Rechtfertigung ihrer Verarbeitung der personenbezogenen Daten nicht auf eine Einwilligung der Klagepartei im Sinne des Art. 5 Abs. 1 lit. a) Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a) DSGVO berufen, weil eine solche schon allein auf Grund des Umstandes, dass die Beklagte mit ihrer Voreinstellung „alle“ zur Suchbarkeit zum Zeitpunkt der Bedingungsänderungen am 19. April 2018 unverändert eine „Opt-Out-Einwilligung“ vorsah und auch in den weiteren Schritten keine transparente Information erfolgte, keine wirksame Einwilligung vorweisen (Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 24. April 2025, 5 U 59/23, Rn. 101, juris). Folglich hat die Beklagte nicht wie geboten sichergestellt, dass das – wie auch bei der Klagepartei – voreingestellte und ab dem 25. Mai 2018 unzulässige Opt-Out entfiel und die fortgesetzte Datenverarbeitung durch eine der DSGVO entsprechende Einwilligung gedeckt wurde. Da zudem seit dem 25. Mai 2018 eine Einwilligung nur durch ein aktives Tun und nicht durch stillschweigendes Akzeptieren von Voreinstellungen erfolgen kann (siehe oben), hätte die Beklagte die Nutzer im Rahmen der Änderung der Nutzungsbedingungen etc. mithin sämtliche bisherigen Voreinstellungen durchlaufen lassen müssen, diese – wie erst seit Mai 2019 möglich – auf „nur ich“ voreinstellen und ihre aktive Einwilligung nach umfassender Information zu hiervon abweichenden neuen Einstellungen einholen müssen (OLG Hamm, Urteil vom 15. August 2023, I-7 U 19/23, Rn. 126; Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 24. April 2025, 5 U 59/23, Rn. 111, juris). d) Soweit nach den obigen Ausführungen haftungsbegründende und der Beklagten zuzurechnende Verletzungen der DSGVO vorliegen, sind diese auch von ihr zu vertreten. Art. 82 DSGVO ist dahin auszulegen, dass das Verschulden vermutet wird, wenn der Verantwortliche nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist (EuGH, Urteil vom 4. Oktober 2024, C-507/23, juris Rn. 24; EuGH, Urteil vom 21. Dezember 2023, C-667/21, Rn. 103, juris). e) Ob die Beklagte tatsächlich, wie es die Klagepartei vorgetragen hat, auch gegen sie treffende Verpflichtungen aus Art. 5 Abs. 1 lit. a), b) und f), 13, 14,15, 17, 18, 21 und 34 Abs. 1 und 2 DSGVO verstoßen hat, bedarf keiner weiteren Prüfung. Ob einer oder mehrere Verstöße gegen die DSGVO zu einem festgestellten Schaden geführt haben, ist vor dem Hintergrund der ausschließlichen Ausgleichsfunktion des Anspruches aus Art. 82 Abs. 1 DSGVO ohne Belang. Weder die Anzahl verwirklichter Verstöße, noch ihre Schwere, noch die Frage des Verschuldensgrades haben Einfluss auf die Höhe des Schadensersatzes. Der Schadensersatzanspruch hat allein eine Ausgleichsfunktion (EuGH, Urteil vom 11. April 2024, C-741/24, Rn. 57; EuGH, Urteil vom 25. Januar 2024, C-687/​21, Rn. 50; BGH, a.a.O., Rn. 25, 96, alle juris). 3. Die Klagepartei war auch von dem Datenschutzvorfall betroffen. Sie ist nach eigenen Angaben, die der Senat in der Anhörung der Klagepartei am 3. Juni 2025 erhoben hat, seit dem Jahr 2009 A. -Nutzer. Soweit die Beklagte eine Betroffenheit vom Datenschutzvorfall mit der Klageerwiderung, dort S. 35 bestritten hat, ist ihr Vorbringen nach § 138 Abs. 1 ZPO unbeachtlich. Es steht in einem von der Beklagten nicht aufgelösten Widerspruch zu dem in erster Instanz vorgelegten Schreiben vom 9. Dezember 2021 (Anlage B 16), in dem sie die Betroffenheit der Klagepartei ausdrücklich bestätigt. Die Beklagte hat nicht dargelegt, weshalb ihre Auskunft vom 9. Dezember 2021 nicht richtig gewesen sein soll. Auf ein Bestreiten mit Nichtwissen gemäß § 138 Abs. 4 ZPO konnte sie sich angesichts ihres eigenen Schreibens nicht mehr zurückziehen. Zudem hat die Klagepartei den Leak-Datensatz (Bl. 11 Bd. II d. A. – 4… , 1, ... , I.... ,P…. ,… ,,,,,5… ) vorgelegt. Auch wenn dieser für sich allein einen Nachweis der Betroffenheit der Klagepartei nicht führen würde, so ist in der Gesamtschau mit dem Schreiben der Beklagten vom 9. Dezember 2021 davon auszugehen, dass die Klagepartei betroffen war. 4. Ein nach Art. 82 Abs. 1 DSGVO zu kompensierender immaterieller Schaden ergibt sich vorliegend aus einem Kontrollverlust (unter (a)). Darüber hinaus kann sich die Klagepartei zur Vertiefung ihres Anspruchs nicht auf sonstige Befürchtungen, Sorgen oder Ähnlichem (unter (b)) oder aus Spam-Kontakten und ihren Folgen (unter (c)) stützen. a) Ein haftungsbegründender immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO kann nach der Rechtsprechung des Europäischen Gerichtshofs schon in dem – selbst kurzzeitigen – Verlust der Kontrolle über personenbezogene Daten liegen, ohne dass der Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Insofern schließt sich der Senat nach nochmaliger eigener Prüfung der Rechtsprechung des Gerichtshofs und dem vom Bundesgerichtshof hierzu vertretenen Verständnis an (vgl. BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 30, juris). Unter einem Verlust der Kontrolle versteht der Senat dabei eine Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, weil sie etwa an ihm unbekannte Dritte gelangt oder ohne nennenswerte Eingrenzung preisgegeben sind. Das ist der Fall bei einem Scraping und bei einer Veröffentlichung der Daten im Internet, aber noch nicht – beispielsweise – bei einer Weitergabe der Telefonnummer an bestimmte Empfänger oder ihre Verwendung zur Zwei-Faktor-Authentifizierung bei Nutzung von Benutzerkonten (Accounts). In einem solchen Fall sind die Daten noch nicht allgemein veröffentlicht (vgl. BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 41; OLG Düsseldorf, Urteil vom 14. März 2025, I-16 U 94/24, Rn. 26, juris). Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteil vom 20. Juni 2024, C-590/22, Rn. 36; BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 32 mwN, juris). Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen reicht ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (EuGH, Urteil vom 4. Oktober 2024, C-200/23, Rn. 145; EuGH, Urteil vom 20. Juni 2024, C-590/22, Rn. 33; BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 31 mwN; BGH, Urteil vom 28. Januar 2025, VI ZR 109/23, Rn. 17, OLG Koblenz, Urteil vom 11. Februar 2025, 3 U 145/24, Rn. 23). Insoweit muss die betroffene Person den Nachweis erbringen, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (vgl. EuGH, Urteil vom 20. Juni 2024, C-590/22, Rn. 33 - PS GbR; EuGH, Urteil vom 11. April 2024, C-741/21, Rn. 36 und 42, juris). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 31; BGH, Urteil vom 28. Januar 2025, VI ZR 109/23, Rn. 17, juris). b) Entgegen der Auffassung der Beklagten steht vorliegend ein „objektiver Kontrollverlust“ fest. Eine Situation des Kontrollverlusts hat die Klagepartei im Hinblick auf ihre Mobilfunknummer und ihre Verknüpfung mit ihrer A. -ID sowie ihren Vor- und Nachnamen und Geschlecht dargelegt. Insofern reicht es aus, wenn ein Betroffener eine Veröffentlichung seiner Daten im Internet vorträgt und angibt, diese Daten nicht zuvor in einer vergleichbaren Weise allgemein veröffentlicht zu haben (siehe BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 39 ff.; OLG Düsseldorf, Urteil vom 14. März 2025, I-16 U 94/24, Rn. 27, juris). Nach den persönlichen Ausführungen in der mündlichen Verhandlung vor dem Senat am 6. Mai 2025 ist der Senat davon überzeugt, dass die Klagepartei ihre Mobiltelefonnummer insbesondere im Internet stets mit Bedacht und nicht wahllos preisgegeben hat. Daher ist auch nicht anzunehmen, dass sie die Kontrolle über das personenbezogene Datum „Telefonnummer“ bereits aufgrund früherem sorglosen Umgang verloren hätte (so allerdings OLG Hamm, Urteil vom 5. November 2024, 7 U 83/24, Rn. 37 juris in dem dort zu entscheidenden Fall). Anhaltspunkte dafür, dass diese Angaben nicht stimmen könnten, hat der Senat nicht. Soweit die Klagepartei, wie sie wusste – stets öffentlich, auf ihrem Nutzerprofil Namen, Geschlecht und A. -ID, angegeben hat, kommt ein Kontrollverlust über diese personenbezogenen Daten im vorstehenden Sinne nicht in Betracht. Auch ohne die Ausnutzung des Kontakt-Import-Tools sind diese personenbezogenen Daten stets öffentlich für jedermann weltweit einsehbar, sodass sich die Klagepartei mit der Eingabe dieser Daten bei der Registrierung im Netzwerk der Beklagten der Kontrolle begeben hat (OLG Dresden, Urteil vom 10. Dezember 2024, 4 U 808/24, Rn. 18; OLG Koblenz, Urteil vom 11. Februar 2025, 3 U 145/24, Rn. 23; OLG Düsseldorf, Urteil vom 14. März 2025, I-16 U 94/24, Rn. 28, juris). Auf dieser Grundlage vermag der Senat für den einzelnen Streitfall nicht die Überzeugung zu gewinnen, dass die Klagepartei über den Kontrollverlust ihrer Telefonnummer und der Geschlechtsangabe und alltägliche Empfindungen hinaus von begründeten Befürchtungen, die mit einem realen, sicheren emotionalen Schaden einhergehen, betroffen war. c) Die Übersendung von Spams begründet entgegen der Ansicht der Klagepartei allenfalls den gerügten Verstoß gegen die Datenschutz-Grundverordnung, jedoch nicht für sich genommen zugleich einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO (vgl. EuGH, Urteil vom 11. April 2024, C-741/21, Rn. 18 f., 30, 37, 43; EuGH, Urteil vom 20. Juni 2024, C-590/22, Rn. 34-36; BGH, Urteil vom 28. Januar 2025, VI ZR 109/23, Rn. 22; OLG Hamm, Urteil vom 29. November 2024, I-25 U 25/24, Rn. 54 juris). Außerdem steht nicht fest, dass die Spam-Anrufe und -SMS zumindest mitursächlich auf den Datenschutzverstößen der Beklagten, die zu 533 Millionen generierter Datensätze geführt haben, beruhen. Die Klagepartei hat weder hinreichend dargelegt noch – selbst gemessen am Maßstab des § 287 ZPO – bewiesen, dass diese auf den streitgegenständlichen Scraping-Vorfall zurückzuführen sind. Daher gilt im streitgegenständlichen Fall: Das nachvollziehbare und glaubhafte Ärgern über Spam-Kontakte stellt, die die Klagepartei in Anlage K 8 (Anlagenband Kläger) dargelegt hat und die mit nur zwei Seiten einen eher geringen Umfang haben – wie allgemein Beunruhigung, Ärger, Unmut und Zorn – zwar nach Auffassung des Bundesgerichtshofs, der sich der Senat anschließt, aufgrund der Vorgaben des EuGH einen immateriellen Schaden dar (vgl. obiter BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 84 mwN, juris). Insoweit fehlt es hier aber an dem Nachweis, warum das Ärgern bzw. die Sorge und die Unannehmlichkeiten jedenfalls mitursächlich auf die Datenschutzverstöße – und nicht nur auf die Spam-Anrufe und -Nachrichten, von denen nicht feststeht, dass sie ihrerseits auf Datenschutzverstößen beruhen – zurückzuführen sind (ebenso: OLG Hamm, Urteil vom 18. Dezember 2024, I-11 U 168/23, Rn. 31, juris). d) Soweit die Beklagte einen Kausalzusammenhang zwischen unterstellter Pflichtverletzung und vermeintlichem Kontrollverlust für die Klagepartei bestreitet, greift dies im Ergebnis nicht durch. Der Senat hat nach der persönlichen Anhörung der Klagepartei gemäß § 141 ZPO die hinreichende Überzeugung davon gewonnen, dass vorliegend sowohl das eine wie das andere zu bejahen ist. Zudem genügt der Vortrag der Beklagten nicht den Anforderungen an ein in diesem Fall zu forderndes qualifiziertes Bestreiten. Die von der Klagepartei behauptete negative Tatsache, die Kontrolle über die Daten nicht schon zuvor verloren zu haben, sie insbesondere nicht bereits allgemein veröffentlicht zu haben, hätte die Beklagte mit der konkreten Angabe bestreiten müssen, wodurch ein Kontrollverlust schon zuvor eingetreten sein soll (vgl. zu dieser sekundären Darlegungslast: BGH, Urteile vom 11. Oktober 2007, IX ZR 105/06, Rn. 12, und vom 8. Januar 2019, II ZR 139/17, Rn. 31; auch BAG, Urteil vom 16. Dezember 2021, 2 AZR 356/21, Rn. 31 ff., juris). Einen solchen Vortrag hat sie nicht gehalten. e) Aufgrund der Pflichtverletzung der Beklagten steht der Klagepartei ein Schadensersatzanspruch in Höhe von 100,00 EUR gemäß Art. 82 Abs. 1 DSGVO zu. aa) Die Datenschutz-Grundverordnung enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DSGVO geschuldeten Schadensersatzes, so dass sich die Bemessung entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung, mithin § 287 ZPO richtet (BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 93, juris). Dabei unterliegt die innerstaatliche Verfahrensautonomie bei der Ermittlung des nach Art. 82 Abs. 1 DSGVO zu ersetzenden Schadens den sich aus dem unionsrechtlichen Äquivalenz- und Effektivitätsgrundsatz ergebenden Einschränkungen (BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 94, juris). Eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ist in Anbetracht der Ausgleichsfunktion des in dieser Vorschrift vorgesehenen Schadensersatzanspruchs als „vollständig und wirksam“ im Sinne von Erwägungsgrund 146 Satz 6 DSGVO anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung konkret erlittenen Schaden in vollem Umfang auszugleichen. Eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DSGVO nicht erfüllen. Infolgedessen darf bei der Bemessung einer Geldentschädigung weder die Schwere des Verstoßes gegen die Daten-schutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch – wie bereits ausgeführt – der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen hat oder ob er vorsätzlich oder fahrlässig gehandelt hat (BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 96, juris). Im Ergebnis soll die zuzusprechende Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausgeht. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen (BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 97, juris). Dies gilt auch unter Berücksichtigung des Umstands, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger gewichtig ist als eine Körperverletzung (BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 97, juris). bb) Bei der auf § 287 ZPO gestützten Bemessung des Entschädigungsbetrags sind dann, wenn wie hier ein Schaden nur in Form eines Kontrollverlusts eingetreten ist, weil weitere Schäden nicht nachgewiesen sind, bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckmäßige Verwendung zu berücksichtigen. Zudem sind die Art des Kontrollverlusts, die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung des personenbezogenen Datums in den Blick zu nehmen. In Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich ist, kann auch der hypothetische – insbesondere finanzielle – Aufwand für die Wiedererlangung der Kontrolle als Anhalt für einen effektiven Schadensausgleich dienen (siehe zum Ganzen BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 99, juris). cc) Für die Bemessung eines Schadensersatzanspruches in Fällen wie dem vorliegenden orientiert sich der Senat an dem Urteil des Bundesgerichtshofs vom 18. November 2024 (VI ZR 10/24, dort Rn. 92 ff., juris) und nicht an dem Urteil des EuGH vom 8. Januar 2025, T 354/22, weil dort eine Verletzung der DSGVO aufgrund einer Datenübermittlung durch die Kommission selbst und nicht durch ein Scraping von Dritten erfolgte und noch nicht einmal die Anspruchsnorm in jenem Verfahren mit der in dem vorliegenden Verfahren identisch war. Zudem handelte es sich bei der dem EuGH-Urteil zugrundeliegenden Datenübermittlung auch nicht um einen unkontrollierbaren Datenabfluss, sondern um die gezielte und datenschutzwidrige Übermittlung der IP-Adresse an bekannte Server der E. Platform, Inc. in den USA ohne entsprechendes Sicherheitszertifikat. Insgesamt erachtet der Senat für den festgestellten bloßen Kontrollverlust allein der Telefonnummer und des Geschlechts als solchen einen immateriellen Schaden in Höhe von 100,00 EUR als angemessen (vgl. dazu BGH, a.a.O., Rn. 99, 100). Gegenteiliges ergibt sich schließlich auch nicht aus dem Urteil des Bundesgerichtshofs vom 28. Januar 2025 (VI ZR 183/22, juris), weil der dortige Lebenssachverhalt abweicht. Jedenfalls aber hat der Bundesgerichtshof in jenem Verfahren keine eigene Bemessung der Höhe eines Schadensersatzanspruches vorgenommen. Vielmehr hatte dort lediglich die Klagepartei Revision eingelegt und der Bundesgerichtshof hat lediglich ausgeführt, dass jedenfalls ein Anspruch über die vom dortigen Berufungsgericht zugesprochenen 500,00 EUR hinaus nicht in Betracht komme (a.a.O., Rn. 13). Darüber, ob nicht sogar dieser ausgeurteilte Betrag von 500,00 EUR zu hoch ausgefallen war, hatte der Bundesgerichtshof prozessual nicht zu befinden. f) Eine Minderung der Höhe des Schadenersatzes wegen der Durchführung schadenseindämmender Maßnahmen durch die Beklagte kommt schon deshalb nicht in Betracht, weil nicht ersichtlich ist, dass die Beklagte außer der Abschaltung des Kontakt-Import-Tools Maßnahmen zur Verhinderung der Veröffentlichung der Daten im Darknet ergriffen haben könnte. g) Der Schadensersatzanspruch der Klagepartei ist auch nicht aufgrund eines im bislang unterbliebenen Rufnummernwechsel zu sehenden Mitverschuldens zu kürzen. Dass der Kläger seine Mobilfunknummer bislang nicht gewechselt hat, dies aber könnte, ist bei der Bemessung des Schadensersatzbetrags vom Senat bereits berücksichtigt worden. 5. Rechtsgrundlagen des deutschen Rechts vermitteln der Klagepartei keinen weitergehenden Schadensersatzanspruch. a) Ein Anspruch aus § 823 Abs. 1 BGB in Verbindung mit Art. 2 Abs. 1, Art. 1 Abs. 1 GG erfordert eine hinreichend schwerwiegende Persönlichkeitsverletzung oder Verletzung des Rechts auf informationelle Selbstbestimmung, deren Ausgleich eine Geldzahlung rechtfertigt (BGH, Urteil vom 12. März 2024, VI ZR 1370/20, Rn. 70; OLG Hamm, Urteil vom 29. November 2024, I-25 U 12/24, Rn. 32, juris). Daran fehlt es im vorliegenden Fall im Hinblick auf den bloßen Kontrollverlust und auch unter Zugrundelegung der von der Klagepartei geschilderten Auswirkungen durch betrügerische Kontaktversuche. b) Ein Anspruch aus § 7 BDSG a.F. oder § 823 Abs. 1 BGB in Verbindung mit Art. 2 Abs. 1, Art. 1 Abs. 1 GG wegen einer Persönlichkeitsrechtsverletzung kommt nicht in Betracht (vgl. OLG Hamm, Urteil vom 15. August 2023, 7 U 19/23, Rn. 202-204, juris). Während § 7 BDSG a.F. nur den Ersatz eines materiellen Schadens vorsieht (BGH, Urteil vom 29. November 2016, VI ZR 530/15, Rn. 11 ff.; OLG Köln, Urteil vom 16. Dezember 2022, 7 U 184/21, Rn. 11 ff., juris), setzt ein Anspruch aus § 823 Abs. 1 BGB in Verbindung mit Art. 2 Abs. 1, Art. 1 Abs. 1 GG regelmäßig ebenfalls eine schwerwiegende Persönlichkeitsrechtsverletzung voraus, die hier offensichtlich nicht gegeben ist. c) Die Voraussetzungen eines Anspruchs aus § 280 Abs. 1 BGB und § 823 Abs. 2 BGB bedürfen keiner weiteren Erörterung, weil sich aus diesen Rechtsgrundlagen – ihre Voraussetzungen unterstellt – kein Anspruch auf einen über 100,00 EUR hinausgehenden Schadensbetrag ergeben würden. Die für die Bemessung der Schadenshöhe im Rahmen des Anspruchs gemäß Art. 82 DSGVO maßgeblichen Gesichtspunkte sind für die Schadensbemessung im Rahmen der vorstehenden Anspruchsgrundlagen ebenfalls maßgeblich. Die unionsrechtlichen Beschränkungen bewirken im vorliegenden Fall keine Beschränkung des Schadens, so dass dieser unter alleiniger Anwendung nationalen Rechts nicht höher zu bemessen wäre. Insbesondere fällt ein Verschulden der Beklagten (nach den o. g. Umständen liegt dem Scraping-Vorfall allenfalls ein fahrlässiges Verschulden zugrunde) nicht so ins Gewicht, dass es neben dem zu leistenden Ausgleich einen weiteren, in der Summe höheren Entschädigungsbetrag rechtfertigt. d) Ein Anspruch auf Schadensersatz folgt auch nicht aus § 280 Abs. 1, § 241 Abs. 2 BGB (vgl. zum Nutzungsvertrag auch BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 83 m. w. N., Rn. 50, juris), da es bereits an einem immateriellen Schaden der Klagepartei mangelt und insoweit im Rahmen von § 253 Abs. 2 BGB die Erheblichkeits-/Bagatellgrenze für den Ersatz immateriellen Schadens nicht überschritten ist (vgl. zur Gesundheitsverletzung: BGH, Urteil vom 6. Dezember 2022, VI ZR 168/21, Rn. 18, juris). C. Der Antrag zu 2. auf Feststellung weiteren Schadenersatzes ist zulässig und begründet. a) Für die Bejahung der Zulässigkeit reicht die bloße Möglichkeit des künftigen Eintritts der geltend gemachten Schäden für die Annahme eines Feststellungsinteresses; eine darüberhinausgehende hinreichende Schadenswahrscheinlichkeit ist nicht erforderlich (BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 48, juris). Bei Verletzung einer Norm zum Schutz des Vermögens fehlt es nur dann an einem feststellbaren Rechtsverhältnis, wenn der Eintritt irgendeines Schadens noch ungewiss ist; die Klagepartei muss daher für die Zulässigkeit der Klage eine Vermögensgefährdung, das heißt die Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts, substantiiert dartun (BGH, Urteil vom 15. Oktober 1992, IX ZR 43/92, Rn. 77; BGH, Urteil vom 21. Juli 2005, IX ZR 49/02, Rn. 7; BGH, Urteil vom 24. Januar 2006, XI ZR 384/03, Rn. 27; BGH, Urteil vom 10. Juli 2014, IX ZR 197/12, Rn. 11; BGH, Urteil vom 15. März 2016, XI ZR 122/14, Rn. 43; alle juris). Ausreichend ist, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann (BGH, Urteil vom 15. Oktober 1992, IX ZR 43/92, Rn. 77; BGH, Urteil vom 10. Juli 2014, IX ZR 197/12, Rn. 11, juris). Dagegen genügt bei Verletzung eines absoluten Rechts oder aber in solchen Fällen, in denen bereits ein (Teil-)Schaden eingetreten ist, dass künftige Schadensfolgen – wenn auch nur entfernt – möglich, ihre Art und ihr Umfang, sogar ihr Eintritt aber noch ungewiss sind; auf die Wahrscheinlichkeit weiterer Schäden kommt es hier nicht an (BGH, Urteil vom 29. Juni 2021, VI ZR 52/18, Rn. 30, juris). Ein Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund gegeben ist, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH, Beschluss vom 9. Januar 2007, VI ZR 133/06, Rn. 5, juris). Auch die primär als Anspruchsgrundlage herangezogene Vorschrift des Art. 82 DSGVO hat jedenfalls dann, wenn – wie hier – mit einem möglichen Verstoß gegen Art. 5 DSGVO auch eine unrechtmäßige Datenverarbeitung gerügt wird, eine Verletzung des Rechts auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh zum Inhalt (vgl. Art. 1 Abs. 2 DSGVO). Dabei kann die Möglichkeit ersatzpflichtiger künftiger Schäden ohne Weiteres zu bejahen sein, wenn ein deliktsrechtlich geschütztes absolutes Rechtsgut verletzt wurde und bereits ein Schaden eingetreten ist (BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 48, juris). b) Die Möglichkeit künftiger Schäden reicht hier aus, weil es nicht um reine Vermögensschäden geht, sondern um Schäden, die aus der von der Klagepartei behaupteten Verletzung ihres Rechts auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG, mithin ihres allgemeinen Persönlichkeitsrechts als einem sonstigen absolut geschützten Rechtsgut im Sinne von § 823 Abs. 1 BGB, resultieren (vgl. BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 48, juris). Bei der fortdauernden Veröffentlichung der personenbezogenen Daten der Klagepartei (insbesondere ihres Namens und ihres Geschlechts in Verbindung mit ihrer Telefonnummer) besteht das Risiko einer missbräuchlichen, insbesondere betrügerischen Nutzung dieser Daten mit der Folge eines materiellen oder immateriellen Schadens fort. In Anbetracht des bereits eingetretenen und noch andauernden Kontrollverlusts über diese Daten ist eine künftige Schadensentwicklung auch nicht nur rein theoretischer Natur (vgl. BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 49; OLG Stuttgart, Urteil vom 22. November 2023, 4 U 20/23, Rn. 236 ff., juris). D. Unterlassungsanträge Der Unterlassungsantrag zu 3.b) ist zulässig und begründet. Im Übrigen hat die Berufung zum Antrag zu 3.a) keinen Erfolg. 1. Mit dem neuen Antrag zu 3.a), dessen Zulässigkeit im Hinblick auf § 533 ZPO dahinstehen kann, verlangt die klägerische Partei Unterlassung insoweit, als eine Verarbeitung personenbezogener Daten der Klägerseite, namentlich Telefonnummer, A. -ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt und Beziehungsstatus, über die Eingabe der Telefonnummer der Klägerseite in das Kontakt-Import-Tool und die darüber hergestellte Verknüpfung der eingegebenen Telefonnummer mit weiteren öffentlichen personenbezogenen Daten des Nutzerprofils der Klägerseite ermöglicht wird, ohne dass die Beklagte zum Zeitpunkt der Verwendung des Kontakt-Import-Tools unter Eingabe der Telefonnummer Sicherheitsmaßnahmen in Form einer Implementierung von Sicherheits-CAPTCHAs und der Überprüfung massenhafter IP-Abfragen oder vergleichbaren Sicherheitsmaßnahmen vorgehalten hat. Der Antrag genügt nicht den Bestimmtheitsanforderungen des § 253 Abs. 2 Nr. 2 ZPO. a) Für die hinreichende Bestimmung eines Klageantrags im Sinne des § 253 Abs. 2 Nr. 2 ZPO muss der erhobene Anspruch konkret bezeichnet werden, so dass der Rahmen der gerichtlichen Entscheidungsbefugnis abgesteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung erkennbar, das Risiko eines Unterliegens der Klagepartei nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abgewälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwartbar ist. Ein Unterlassungsantrag darf nicht derart undeutlich gefasst sein, dass die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsverfahren überlassen bleibt (BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 52, juris). Erforderlich ist eine Bezugnahme auf die konkrete Verletzungsform und dass der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll (BGH, Urteil vom 18. November 2024, VI ZR 10/24, juris, Rn. 53). b) An diesen Anforderungen gemessen ist der Antrag des Klägers zu Ziffer 3.a) auch nach der Umstellung nicht hinreichend bestimmt. Dem Antrag mangelt es an einem vollstreckungsfähigen Inhalt. Die „Implementierung von Sicherheits-CAPTCHAs und die Überprüfung massenhafter IP-Abfragen oder vergleichbarer Sicherheitsmaßnahmen“ sind ebenso wie die ursprünglichen Anträge zu unbestimmt und nicht vollstreckbar. Bei dem Wort CAPTCHA handelt es sich um einen Sammelbegriff für Sicherheitsmechanismen, die prüfen, ob ein Mensch oder eine Maschine agiert. Eine eindeutige Zuordnung ist mangels „offizieller“ Definition nicht möglich. Die Überprüfung massenhafter IP-Abfragen oder vergleichbarer Sicherheitsmaßnahmen ist noch weiter gefasst und daher ebenso nicht bestimmbar. 2. Erfolg hat die Berufung demgegenüber, soweit sie sich gegen die Abweisung des Unterlassungsantrags zu Ziffer 3.b. wendet. a) Dieser Unterlassungsantrag ist zulässig. aa) Der Antrag ist trotz seiner weiten Formulierung hinreichend bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO. Denn er lässt sich unter Heranziehung des Klagevorbringens dahingehend auslegen, dass die Klagepartei ein Unterlassen jeglicher Verarbeitung ihrer Telefonnummer durch die Beklagte begehrt, die über die notwendige Verarbeitung für die Zwei-Faktor-Authentifizierung hinausgeht (siehe auch BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 62, juris). Er verlangt, dass die Beklagte die Telefonnummer der Klagepartei im Übrigen nicht auf Basis einer von der Klagepartei erteilten Einwilligung weiterverarbeitet, da diese Einwilligung nach dem Verständnis der Klagepartei unwirksam ist, weil ihr das Ausmaß der Datenverarbeitung betreffend ihre Telefonnummer bei Erteilung der Einwilligung nicht verständlich war. Damit wird der Beklagten ohne Weiteres deutlich, für welche Zwecke sie die Telefonnummer der Klagepartei noch verarbeiten darf und für welche die Klagepartei die Unterlassung der Datenverarbeitung begehrt. Der Unterlassungsantrag konkretisiert darüber hinaus die inkriminierte Verletzungshandlung, nämlich die behauptete unrechtmäßige Verarbeitung auf Grundlage einer unwirksamen Einwilligung. Aus welchen Gründen die Einwilligung unwirksam sein soll, ergibt sich aus der weiteren Formulierung des Antrags. Nur zur Klarstellung für Fälle der Zwangsvollstreckung hat der Senat die zulässige Verarbeitung für Zwecke der Zwei-Faktor-Authentifizierung in den Unterlassungstenor aufgenommen. bb) Der Klagepartei fehlt für den solchermaßen zu verstehenden Antrag auch nicht das Rechtsschutzbedürfnis. Das Rechtsschutzbedürfnis fehlt, wenn eine Klage oder ein Antrag objektiv schlechthin sinnlos ist, wenn also der Kläger oder Antragsteller unter keinen Umständen mit seinem prozessualen Begehren irgendeinen schutzwürdigen Vorteil erlangen kann. Das ist etwa der Fall, wenn ein einfacherer oder billigerer Weg zur Erreichung des Rechtsschutzziels besteht oder der Antragsteller kein berechtigtes Interesse an der beantragten Entscheidung hat. Dafür gelten jedoch strenge Maßstäbe (vgl. BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 67, juris). Zu einem vergleichbaren, denselben Scraping-Vorgang im Datenarchiv der Beklagten betreffenden Unterlassungsantrag hat der Bundesgerichtshof bereits entschieden, dass die dem Nutzer mögliche Löschung der Mobiltelefonnummer aus seinem Nutzerprofil bei der Beklagten kein einfacherer und billigerer Weg ist, um die geforderte Unterlassung zu erreichen, weil sich der Nutzer damit der Sicherheitsvorteile einer Zwei-Faktor-Authentifizierung begebe. Allerdings stelle die Möglichkeit des Nutzers, seine Privatsphäre-Einstellungen so zu ändern, dass sich seine Einwilligung zur Verarbeitung seiner Telefonnummer auf die Nutzung zur Zwei-Faktor-Authentifizierung beschränkt („nur ich“), ebenso wie ein dem Nutzer möglicher Widerruf einer etwa erteilten Einwilligung gemäß Art. 7 Abs. 3 Satz 1 DSGVO einen einfacheren und dementsprechend billigeren Weg dar (BGH, Urteil vom 18. November 2024, Rn. 69, juris). Der Bundesgerichtshof hat das Rechtsschutzbedürfnis deshalb nicht verneint, weil das dortige Berufungsgericht keine Feststellungen zu dem Klägervortrag getroffen hatte, dass sich aus einer von der Beklagten erteilten Information mit der Überschrift „Möglicherweise verwenden wir deine Telefonnummer für diese Zwecke“ die Besorgnis von Verarbeitungsvorgängen jenseits der Zwei-Faktor-Authentifizierung ergebe. Hiernach ist ein Rechtsschutzbedürfnis für den Unterlassungsantrag zu 3.b) nicht zu verneinen. Das Rechtsschutzbedürfnis entfällt nicht dadurch, dass die Klagepartei ihre Telefonnummer aus dem Nutzerkonto selbst löschen könnte. Dadurch würde sich die Klagepartei der Möglichkeit begeben, ihre Telefonnummer zur Zwei-Faktor-Authentifizierung für die Anmeldung in ihrem Nutzerkonto zu verwenden. Auch die Möglichkeit der Klagepartei, die Suchbarkeits-Einstellung bezüglich der Telefonnummer auf „nur ich“ zu stellen, lässt ihr Rechtsschutzbedürfnis nicht entfallen. Aus zwei von der Klagepartei im Verfahren vorgelegten Online-Informationen der Beklagten ergibt sich, dass die Beklagte ihre Telefonnummer „möglicherweise“ noch für weitere Zwecke verwendet. So heißt es in einer Information zu „Handy-Einstellungen“ wie folgt: „Mit einer aktuellen Handynummer kannst du dein Passwort ganz einfach zurücksetzen und SMS-Benachrichtigungen erhalten. Zudem können wir dir und anderen verbesserte Werbung zeigen.“ Weitere mögliche Verwendungen ergeben sich aus einer Online-Information der Beklagten mit der Überschrift „Möglicherweise verwenden wir deine Mobilnummer für diese Zwecke“. Darin findet sich etwa ein Hinweis auf die Möglichkeit der Verwendung für Zwecke der personalisierten Werbung. Zwar hat die Beklagte hierzu vorgetragen, dass die in der betreffenden Information angegebenen Verwendungszwecke nicht auf alle Nutzer zuträfen. Sie hat dies aber entgegen ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO für die Einhaltung der Prinzipien des Art. 5 Abs. 1 DSGVO nicht näher ausgeführt, insbesondere nicht im Hinblick auf die konkrete Situation der Klagepartei ausgeschlossen, dass sie davon betroffen sein könnte. Sie hat auch nicht erläutert, wie die Klagepartei insoweit über ihre Einstellungen gegebenenfalls selbst einfach Abhilfe schaffen könnte. b) Der Unterlassungsantrag ist auch begründet. Dabei kann dahinstehen, ob sich ein Unterlassungsanspruch aus Vorschriften der DSGVO ergibt. Jedenfalls ergibt er sich für die Klagepartei gemäß § 280 Abs. 1, § 241 Abs. 2 BGB aus dem mit der Beklagten geschlossenen Nutzungsvertrag selbst. Aus der Verletzung von Vertragspflichten nach § 280 Abs. 1 BGB kann sich ein vorbeugender Unterlassungsanspruch ergeben, wenn, ebenso wie bei einem gesetzlichen Unterlassungsanspruch nach § 823 Abs. 1 BGB i.V.m. § 1004 Abs. 1 Satz 2 BGB analog, eine Erstbegehungs- beziehungsweise Wiederholungsgefahr besteht (vgl. BGH, Urteil vom 18. November 2024, VI ZR 10/24, juris, Rn. 83, mit Verweis auf BGH, Urteile vom 2. Mai 2024, I ZR 12/23, Rn. 14, vom 29. Juli 2021 - III ZR 179/20, Rn. 102 f., und vom 8. November 2022 - II ZR 91/21, Rn. 64, juris). Dabei begründet ein einmal erfolgter Vertragsverstoß die tatsächliche Vermutung für seine Wiederholung, nicht nur für identische Verletzungsformen, sondern auch für andere Vertragspflichtverletzungen, soweit die Verletzungshandlungen im Kern gleichartig sind (BGH, Urteil vom 29. Juli 2021, III ZR 192/20, Rn. 115 - 116; Urteil vom 20. Juni 2013, I ZR 55/12, Rn. 18; Beschluss vom 3. April 2014, I ZB 42/11, Rn. 12; jew. mwN, juris). Grundsätzlich kann der Verantwortliche jedoch dadurch, dass er den Datenschutzverstoß z.B. mit technischen Mitteln wie dem Schließen einer Sicherheitslücke abstellt, die Vermutung der Wiederholungsgefahr widerlegen. Hier hat die Beklagte mit der zum Datenabgriff führenden Datenverarbeitung Pflichten aus dem Nutzungsvertrag verletzt, weil eine rechtswirksame Einwilligung der Klagepartei in die mit der Suchfunktion verbundene Datenverarbeitung nicht vorgelegen hat. Die Verschuldensvermutung des § 280 Abs. 1 Satz 2 BGB hat die Beklagte nicht widerlegt. c) Für die für den Unterlassungsanspruch notwendige Wiederholungsgefahr spricht nach der von der Beklagten begangenen Pflichtverletzung eine tatsächliche Vermutung (vgl. BGH, Urteil vom 29. Juli 2021, III ZR 179/20, Rn. 103, juris). Dabei begründet die Verletzung einer Vertragspflicht die Vermutung für eine Wiederholungsgefahr nicht nur für identische Verletzungsformen, sondern auch für andere Vertragspflichtverletzungen, soweit die Verletzungshandlungen im Kern gleichartig sind (BGH, Urteil vom 29. Juli 2021, III ZR 192/20, Rn. 116 m.w.N., juris). Für eine Widerlegung dieser Vermutung ausreichende Anhaltspunkte, an die strenge Anforderungen zu stellen sind, hat die Beklagte nicht vorgetragen. Es ist nach den Erklärungen der Beklagten nicht auszuschließen, dass die Klagepartei noch von Verwendungen beziehungsweise Verarbeitungen ihrer Mobilfunknummer durch die Beklagte betroffen ist, die über die Verarbeitung zur Zwei-Faktor-Authentifizierung hinausgehen. Dass diese Verarbeitungen nach Art. 6 DSGVO rechtmäßig wären, lässt sich nicht feststellen, weil die Beklagte – wie schon ausgeführt – der ihr gemäß Art. 5 Abs. 1 Buchst. a, Abs. 2 DSGVO obliegenden Rechenschaftspflicht nicht genügt hat. Zu Rechtfertigungsgründen für die nach ihren Online-Informationen möglichen anderweitigen Verwendungen hat sie nicht ansatzweise etwas vorgetragen. Vor diesem Hintergrund vermag der Senat eine die Wiederholungsgefahr ausschließende Sondersituation nicht festzustellen (vgl. dazu BGH, Urteil vom 27. April 2021, VI ZR 166/19, Rn. 23, OLG Düsseldorf, Urteil vom 13. März 2025, I-16 U 135/23, Rn. 67, juris). E. Über den Auskunftsanspruch ist nicht mehr zu entscheiden, weil die Klagepartei die Berufung in der Berufungsinstanz mit Schriftsatz vom 23. Mai 2025 zurückgenommen hat. F. 1. Der Zinsanspruch folgt aus §§ 288 Abs. 1, 291, 187 Abs. 1 analog BGB einen Tag nach Zustellung der Klage. Da diese hier mangels Zustellungsnachweises nicht festgestellt werden kann, ist die Verteidigungsanzeige der Beklagten vom 3. August 2022 zugrunde zu legen. 2. Klageantrag zu 5) - vorgerichtliche Rechtsanwaltsgebühren Der Klagepartei steht in tenorierter Höhe schließlich auf der Grundlage von Art. 82 Abs. 1 DSGVO ein Anspruch auf Erstattung der vorgerichtlichen Rechtsanwaltskosten zu. Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren und der Geschädigte im Innenverhältnis zu seinem Rechtsanwalt zur Zahlung verpflichtet ist, grundsätzlich zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden. a) Maßgeblich ist hierbei für die Beurteilung der Erforderlichkeit darauf abzustellen, wie sich die voraussichtliche Entwicklung des Schadensfalles aus der Sicht des Geschädigten darstellt. Die Erforderlichkeit ist zu verneinen, wenn die Verantwortlichkeit für den Schaden und die Haftung nach Grund und Höhe von vornherein derart klar sind, dass aus der Sicht des Geschädigten kein vernünftiger Zweifel daran bestehen kann, dass der Schädiger seiner Ersatzpflicht ohne Weiteres nachkommen werde. Zum Zeitpunkt der vorgerichtlichen Beauftragung bzw. Tätigkeit der Prozessbevollmächtigten der Klagepartei (Aufforderungsschreiben vom 15. November 2021) stellten sich im Hinblick auf die geltend gemachten Schadensersatz- und Auskunftsansprüche zahlreiche Rechtsfragen, die höchstrichterlich nicht geklärt waren und den Bundesgerichtshof veranlasst haben, dem Europäischen Gerichtshof ein Vorabentscheidungsersuchen vorzulegen (Beschluss vom 26. September 2023, VI ZR 97/22), die erst nach Klageerhebung beantwortet wurden (BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 79 juris). b) Da die Klagepartei zunächst ausweislich des Aufforderungsschreibens ihre Prozessbevollmächtigten zunächst mit der außergerichtlichen Geltendmachung beauftragt hatte, hat sie Anspruch auf eine Geschäftsgebühr für die außergerichtliche Tätigkeit nach Ziffer 2300 VV RVG. Ausgangspunkt für die Berechnung der geltend gemachten Kosten vorgerichtlicher Vertretung ist der Wert der außergerichtlich berechtigt geltend gemachten Ansprüche, nämlich auf Zahlung eines Schadensersatzes von 100,00 EUR, auf Erteilung von Auskünften gemäß Art. 15 Abs. 1 DSGVO, die die Beklagte anschließend auch erteilt hat und dessen Wert der Senat in ständiger Rechtsprechung mit 300,00 EUR bemisst (Senat, Beschluss vom 15. Oktober 2024, 9 W 37/24, Rn. 16, juris; Beschlüsse vom 27. November 2024, 9 W 42/24, 9 W 44/24, vom 28. November 2024, 9 W 47/24, vom 27. Februar 2025, 9 U 113/24 n.v.) sowie dem Anerkenntnis der Einstandspflicht für zukünftige Schäden, dessen Wert der Senat ebenfalls mit 300,00 EUR bemisst. Soweit die Klagepartei gegen die Beklagte daneben vorgerichtlich einen Unterlassungsanspruch geltend gemacht hat, ist dieser Antrag mangels Bestimmtheit unzulässig gewesen (siehe hierzu BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 51 ff.) und daher zu Unrecht erhoben worden. Auf der Grundlage des festzusetzenden Gegenstandswertes von 700,00 EUR für die außergerichtliche Tätigkeit ergeben sich zu erstattende Kosten von 113,53 EUR (1,3 Geschäftsgebühr Nr. 2300 VV RVG: 75,40 EUR, Auslagen Nr. 7001 u. 7002 VV RVG: 20,00 EUR und 19 v.H. Umsatzsteuer Nr. 7008 RVG). Der Ausspruch zur Verzugsverzinsung folgt aus §§ 291, 288 Abs. 1 BGB. G. 1. Die prozessualen Nebenentscheidungen beruhen auf §§ 92 Abs. 1, 97 Abs. 1, 516 Abs. 3 S. 1, 708 Nr. 10, 711, 713 ZPO. 2. Die Revision ist nicht zuzulassen. Ein Zulassungsgrund nach § 543 Abs. 2 Satz 1 ZPO ist nicht gegeben, weil es sich jeweils um eine Einzelfallentscheidung handelt, mit denen sich der Senat nicht in Widerspruch zu den Entscheidungen anderer Oberlandesgerichte, insbesondere der Entscheidungen des OLG Dresden, Urteil vom 10. Dezember 2024, 4 U 808/24, Rn. 35 – 37, juris und des OLG Koblenz, Urteil vom 11. Februar 2025, 3 U 145/24, Rn. 51, juris, setzt. Die im vorliegenden Rechtsstreit zu prüfenden, entscheidungserheblichen Rechtsfragen sind durch die Rechtsprechung des Europäischen Gerichtshofes und jetzt durch die Rechtsprechung des Bundesgerichtshofs zum Leitentscheidungsverfahren, Urteil vom 18. November 2024, VI ZR 10/24, hinreichend geklärt. 3. Der Senat sieht ferner keinen Anlass für die Einleitung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV oder für die Aussetzung des vorliegenden Verfahrens analog § 148 ZPO. Mit der vorliegenden Einzelfallentscheidung weicht der Senat nicht von der Rechtsprechung des Europäischen Gerichtshofes ab und entscheidet auch nicht über noch zu klärende Rechtsfragen der DSGVO. Der Senat folgt zudem der Rechtsprechung des Bundesgerichtshofes, der bei seiner Entscheidung im Leitentscheidungsverfahren ebenfalls keinen Grund mehr gesehen hat, das ihm vorliegende Verfahren im Hinblick auf die noch zu Art. 82 DSGVO anhängigen Vorabentscheidungsverfahren auszusetzen, vgl. Rn. 81 ff. der o. g. Entscheidung des Bundesgerichtshofes. Eine Aussetzung des Verfahrens in entsprechender Anwendung von § 148 ZPO bis zu einer Entscheidung des EuGH (vgl. zur Möglichkeit BGH, Beschluss vom 2. April 2019, XI ZR 488/17, Rn. 10 mwN; Zöller/Greger, ZPO, 35. Aufl., § 148 Rn. 3b) in dem dort anhängigen Verfahren C-273/25 auf Grund des Vorlagebeschlusses des Landgerichts Erfurt vom 3. April 2025 (Geschäftsnummer 8 O 895/23) war hier mangels Vorgreiflichkeit nicht geboten. Für die mit dem Vorlagebeschluss aufgeworfenen Rechtsfragen bedarf es keines Vorabentscheidungsersuchens. Die richtige Auslegung des Unionsrechts ist derart offenkundig, dass für einen vernünftigen Zweifel kein Raum bleibt (vgl. etwa BGH, Beschluss vom 11. Februar 2020, XI ZR 648/18, Rn. 12, juris). Die erste Vorlagefrage im Hinblick auf den Kontrollverlust hat der EuGH bereits entschieden. Er hat unter Bezugnahme auf ErwG 85 DSGVO (vgl. ferner ErwG 75 DSGVO) klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteil vom 4. Oktober 2024, C-200/23, Rn. 145, 156 i.V.m. 137- Agentsia po vpisvaniyata; EuGH, Urteil vom 20. Juni 2024, C-590/22, Rn. 33 - PS GbR; EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 42; vgl. zuvor bereits EuGH, Urteil vom 25. Januar 2024, C-687/21, Rn. 66 - MediaMarktSaturn; EuGH, Urteile vom 14. Dezember 2023, C-456/22, Rn. 17-23 - Gemeinde Ummendorf sowie - C-340/21, Rn. 82 - Natsionalna agentsia za prihodite, alle juris). Der Schaden kann – soweit nachgewiesen – in einem bloßen Kontrollverlust als solchem bestehen (vgl. EuGH, Urteil vom 20. Juni 2024, C-590/22, Rn. 33 - PS GbR; EuGH, Urteil vom 11. April 2024, C-741/21, Rn. 36 und 42). Soweit die Vorlagefrage auch dahin verstanden werden könnte, dass die Befürchtung einer missbräuchlichen Verwendung einzelner Daten mitumfasst sein könnte, ist auch diese Frage bereits entschieden. Denn der EuGH hat über die in der Vorlagefrage angesprochene Problematik hinaus klargestellt, dass die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, ausreicht, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024, C-687/21, Rn. 67 - MediaMarktSaturn; vom 14. Dezember 2023, C-340/21, Rn. 85 - Natsionalna agentsia za prihodite, juris). Diese Sichtweise hat der Bundesgerichtshof bestätigt (BGH, Urteil vom 18. November 2024, VI ZR 10/24, Rn. 30, 32, juris). Die zweite Vorlagefrage ist europarechtlich nicht relevant. Hierzu hat der EuGH in dem Verfahren C-300/21 entschieden, dass die Ermittlung des Umfangs des im Rahmen des Art. 82 DSGVO geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaates ist (EuGH, Urteil vom 4. Mai 2023, C-300/21 - Österreichische Post, Rn. 54, juris). Die Frage des Umfangs des Schadenersatzes bestimmt sich durch den Umgang des Kontrollverlustes und mithin nach der Menge der vom Kontrollverlust betroffenen Daten und ist in Ermangelung einschlägiger unionsrechtlicher Vorschriften nach deutschem Recht zu bestimmen (Artt. 3 Abs. 1, 6 Abs. 2 Rom I-VO). 4. Die Streitwertfestsetzung beruht für beide Instanzen auf § 3 ZPO. Die Abänderung der landgerichtlichen Streitwertentscheidung beruht auf § 66 Abs. 3 GKG, § 3 ZPO. Der Streitwert für den Klagantrag zu 1. ist – wie von der Klagepartei beantragt – auf 1.000 EUR festzusetzen. Der Antrag auf Feststellung hinsichtlich etwaiger zukünftiger Schäden (Klageantrag zu 2.) ist mit insgesamt 500 EUR zu bewerten. Der Wert einer positiven Feststellungsklage ist unter Rückgriff auf § 3 ZPO zu bestimmen. Dabei wird regelmäßig von einem entsprechenden Leistungsantrag auszugehen sein, jedoch wegen der fehlenden Vollstreckbarkeit ein Abschlag von in der Regel 20 v. H. vorgenommen (Zöller-Herget, ZPO. 35. Aufl., § 3, Rn. 16.76; BGH, Beschluss vom 23. Februar 2022, IV ZR 282/21, Rn. 4, juris). Allerdings handelt es bei dem Abschlag nur um einen Anhaltspunkt für den Regelfall, denn bei jeder nach § 3 ZPO vorzunehmenden Bewertung ist auch auf die weiteren Umstände des Einzelfalls abzustellen, soweit sie für die wirtschaftlichen Interessen der Klagepartei an der Erreichung des prozessualen Ziels von Bedeutung sind (BGH, aaO, Rn. 5). Maßgeblich ist daher nicht nur die Höhe des drohenden Schadens, sondern auch, wie hoch oder gering das Risiko eines Schadenseintritts ist, sodass gegebenenfalls auch ein höherer Abschlag als 20 v. H. in Betracht kommt (BGH, Beschluss vom 29. Oktober 2008, XII ZB 75/08, Rn. 8, juris; Elzer in Toussaint, Kostenrecht, 54. Aufl. 2024, ZPO § 3 Rn. 19; Zöller-Herget, 35. Aufl., ZPO, § 3 Rn. 16.76). Im Einzelfall kann die Gefahr einer Verwirklichung der festgestellten Schadensersatzpflicht so unwahrscheinlich sein, dass der Feststellung jede selbständige wirtschaftliche Bedeutung fehlt oder nur der Ansatz eines „Erinnerungswerts“ gerechtfertigt ist (so etwa BGH, Beschluss vom 28. November 1990, VIII ZB 27/90, Rn. 12, juris: - 500 DM anstelle 80 v. H. von 13.000 DM). Bei sehr vagem Vortrag zu weiteren Schäden wurde auch der pauschale Ansatz von 500,00 EUR oder 1.000,00 EUR nicht beanstandet (vgl. BGH, Beschluss vom 1. Juli 2021, III ZR 253/20, Rn. 5, juris; Elzer in Toussaint, Kostenrecht, ZPO, 54. Aufl., § 3 Rn. 19 mwN.). Bei der Festsetzung ist hier zu berücksichtigen, dass bei einem längere Zeit zurückliegenden Datenschutzverstoß – wie hier 2018/2019 und damit 4 Jahre vor Klageeinreichung und sieben Jahre bei Durchführung der Berufungsverhandlung – der Nachweis der Ursächlichkeit künftiger Schäden absehbar mit Schwierigkeiten verbunden ist, insbesondere, wenn jenseits des bloßen Kontrollverlusts der Eintritt nachweisbarer Schäden bislang nicht aufgezeigt wird (BGH, Beschluss vom 10. Dezember 2024, VI ZR 7/24, Rn. 15; vgl. auch OLG Dresden, Beschluss vom 31. Juli 2023, 4 W 396/23, Rn. 6; OLG Frankfurt, Beschluss vom 18. Juli 2023, 6 W 40/23, Rn. 11; OLG Karlsruhe, Beschluss vom 5. Juli 2023, 10 W 5/23, Rn. 8; OLG Stuttgart, Beschluss vom 3. Januar 2023, 4 AR 4/22, Rn. 15; OLG Dresden, Beschluss vom 28. September 2022, 17 AR 36/22, Rn. 8, OLG Zweibrücken, Beschluss vom 12. Juli 2024, 8 U 21/24, Rn. 7, juris). Soweit der Bundesgerichtshof in einem Verfahren betreffend Schadenersatzansprüche wegen Verletzung der Pflichten aus der DSGVO den Streitwert für den Feststellungsantrag auf 500 EUR festgesetzt hat (BGH, Beschluss vom 10. Dezember 2024, VI ZR 7/24, Rn. 15, juris), ist der hier streitgegenständliche Fall nicht vergleichbar, weil schon der Klagevortrag so allgemein und rudimentär war, dass eine konkrete Betroffenheit der Klagepartei von einem Datenschutzvorfall nicht vorgetragen war. Angesichts dieses lückenhaften Vortrages kann auch von einem über dem untersten Wert bestehenden Feststellungsinteresse nicht ausgegangen werden. Der Unterlassungsanspruch (Klageanträge zu 3.a) und b)) ist in Abweichung von der Streitwertangabe der Klagepartei nach der ständigen Rechtsprechung des Senats auf insgesamt 500,00 EUR festzusetzen. Der Streitwert ist bei einem Unterlassungsantrag nach allgemeinen Regeln unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien, nach Ermessen zu bestimmen (§ 48 Abs. 2 Satz 1, Abs. 1 GKG, § 3 ZPO). Maßgeblich bei einem Unterlassungsantrag nach – wie im Streitfall geltend gemacht – bereits erfolgter Verletzungshandlung ist das Interesse des Anspruchstellers an der Unterbindung weiterer gleichartiger Verstöße, welches maßgeblich durch die Art des Verstoßes, insbesondere seine Gefährlichkeit und Schädlichkeit für den Inhaber des verletzten Rechts bestimmt wird. Allerdings kann auch anderen, von der bereits erfolgten Verletzungshandlung unabhängigen Faktoren – etwa dem Grad der Wahrscheinlichkeit künftiger Zuwiderhandlungen – Rechnung zu tragen sein. Das Gefährdungspotential ist dabei allein mit Blick auf das konkrete Streitverhältnis zu bestimmen (vgl. BGH, Beschluss vom 10. Dezember 2024, VI ZR 7/24, Rn. 14; BayObLG, Beschluss vom 16. August 2024, 101 AR 103/24 e, Rn. 44 ff.; OLG Hamm, Urteil vom 15. August 2023, I-7 U 19/23, Rn. 275 ff. jeweils mwN, juris). Die Klagepartei argumentiert mit der bereits eingetretenen Rechtsverletzung und führt in der Klageschrift aus, die Wiederholungsgefahr könne nicht ausgeschlossen werden. Es sei nicht „prüffähig“, ob die Beklagte in technischer und organisatorischer Hinsicht alle notwendigen und erforderlichen, jedenfalls aber ihr zumutbaren Maßnahmen ergriffen habe, um ein neuerliches Abgreifen von Daten zu verhindern (Bayerisches Oberstes Landesgericht, Beschluss vom 10. März 2025, 101 AR 5/25 e, Rn. 35 - 37, juris). Der Wert des Auskunftsanspruchs (Klageantrag zu 5.) beträgt – wie der Senat in vergleichbaren Fällen annimmt – 300,00 EUR. Im Hinblick auf die Auskunftserteilung gilt: Der Wert des zur Auskunftserteilung erforderlichen Aufwands ist nach freiem Ermessen gemäß §§ 2, 3 ZPO festzulegen (BGH, Beschluss vom 20. Februar 2008, IV ZB 14/07, juris; Zöller). Er bestimmt sich nach dem wirtschaftlichen Interesse des Klägers an der Erteilung der Auskunft (BGH, Beschluss vom 14. Oktober 2015, IV ZB 21/15, Rn. 9, juris) und ist nicht identisch mit dem Leistungsanspruch, sondern in der Regel nur mit einem Teilwert des Anspruchs zu bemessen, dessen Durchsetzung die verlangte Information dienen soll. Dabei werden üblicherweise 1/4 bis 1/10 angesetzt (vgl. BGH, Beschluss vom 28. Januar 2021, III ZR 162/20, juris). Der Umstand, dass der Auskunftsanspruch nach der Datenschutzgrundverordnung nicht zwingend der Vorbereitung eines anderen Anspruches dient, rechtfertigt keinen höheren Ansatz (ebenso OLG Dresden, Beschluss vom 31. Juli 2023, 4 W 396/23, Rn. 12, juris). Im Hinblick auf die Rechtsprechung des Bundesgerichtshofs (BGH, aaO) zum Wert eines im Wege eines Annexantrags geltend gemachten Auskunftsanspruchs im Zusammenhang mit Leistungs- und Unterlassungsanträgen wegen (behaupteter) Rechtsverletzungen durch die Betreiber von sozialen Netzwerken erscheint der Wert des geltend gemachten Anspruchs mit 300 EUR angemessen bewertet (ebenso OLG Celle, Beschluss vom 9. Januar 2025, 5 U 173/23, Rn. 3; OLG Karlsruhe, Beschluss vom 5. Juli 2023, 10 W 5/23, Rn. 17, juris; von einem geringeren Wert von nur 250,00 EUR ausgehend: OLG Hamm, Beschluss vom 17. Januar 2023, 7 W 3/23, Rn. 23; Bayerisches Oberstes Landesgericht, Beschluss vom 10. März 2025, 101 AR 5/25 e, Rn. 38 – 39, OLG Dresden, Urteil vom 11. Februar 2025, 4 U 1283/24, Rn. 34 und OLG Düsseldorf, Urteil vom 21. November 2024, I-6 U 114/23, Rn. 171: je 500 EUR, juris).