5 U 93/24

I. Auf die Berufung des Klägers wird das Urteil des Landgerichts Hamburg vom 14.08.2024, Az. 308 O 110/23, in der Fassung des Berichtigungsbeschlusses vom 27.09.2024 teilweise abgeändert und insgesamt wie folgt neu gefasst: 1. Die Beklagte wird verurteilt, an den Kläger 100,- € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz ab 18.03.2023 zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, dem Kläger künftige materielle und künftige derzeit noch nicht vorhersehbare immaterielle Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstehen. 3. Die Beklagte wird verurteilt, den Kläger von vorgerichtlichen Rechtsanwaltskosten in Höhe von 220,27 € gegenüber der B. Rechtsanwaltsgesellschaft mbH freizustellen. 4. Im Übrigen wird die Klage abgewiesen. II. Im Übrigen wird die Berufung des Klägers zurückgewiesen. III. Von den Kosten des Rechtsstreits erster Instanz haben der Kläger 90 % und die Beklagte 10 % zu tragen. Von den Kosten des Berufungsverfahrens haben der Kläger 85 % und die Beklagte 15 % zu tragen. IV. Das Urteil ist vorläufig vollstreckbar. V. Die Revision wird nicht zugelassen. Beschluss Der Streitwert wird für das Berufungsverfahren auf insgesamt bis zu 4.000,- € und in Abänderung gem. § 63 Abs. 3 GKG für die erste Instanz auf insgesamt bis zu 5.000,- € festgesetzt. I. Der Kläger macht – nach übereinstimmenden Teilerledigungserklärungen hinsichtlich des Auskunftsantrags – noch Schadensersatz-, Feststellungs- und Unterlassungsansprüche wegen einer Verletzung der Datenschutz-Grundverordnung (DSGVO) durch die Beklagte geltend. Die Beklagte, die ihren Sitz in Irland hat, betreibt das soziale Netzwerk Facebook, bei welchem der Kläger ein Nutzerkonto unterhält. Neben den immer einsehbaren Pflichtangaben können die Nutzer in ihrem Profil weitere Daten zu ihrer Person angeben und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern („Freunde“, [auch] „Freunde von Freunden“, „öffentlich“) auf diese Daten zugreifen können. Die Beklagte stellt hierfür Privatsphäre-Einstellungen zur Verfügung, mit denen die Nutzer bestimmen können, inwieweit sie Informationen, die sie zur Verfügung stellen, öffentlich einsehbar machen möchten. Über Funktion und Bedeutung der Privatsphäre-Einstellungen informierte die Beklagte ihre Nutzer im sog. Hilfebereich des Nutzerkontos. Bei Einrichtung seines Nutzerkontos gab der Kläger seine Mobilfunknummer an. Ferner hinterlegte er in seinem Facebook-Konto seinen Wohnort, seinen Beziehungsstatus und sein Geschlecht. Während des relevanten Zeitraums konnten Nutzer, wenn sie wollten, eine Telefonnummer zu ihrem Profil hinzufügen. Wenn ein Nutzer dies tat, war die Standard-Einstellung für die Zielgruppenauswahl auf „Freunde“ voreingestellt (nur Freunde des Nutzers konnten die Telefonnummer auf dem Facebook-Profil des Nutzers sehen). Die hier relevante Suchbarkeitseinstellung ermöglichte es Nutzern wie dem Kläger festzulegen, ob sein Nutzerkonto auf der Facebook-Plattform anhand einer Telefonnummer gefunden werden konnte. Demnach war es potenziell möglich, Nutzer anhand einer Telefonnummer zu finden, wenn ihre Einstellung für die Telefonnummer auf „alle“ lautete. Der Kläger hatte es im Hinblick auf die Suchbarkeitseinstellungen seines Profils, bei denen unter anderem festgelegt werden konnte, wer ihn anhand seiner Telefonnummer finden konnte, bei der Standardvoreinstellung „alle“ belassen; diesen Kreis hätte er stattdessen auch auf „Freunde von Freunden“ oder „Freunde“ (ab Mai 2019 außerdem: „nur ich“) begrenzen können (vgl. Screenshot der Suchbarkeitseinstellung des Klägers, Anlage B17). Diese Suchbarkeitseinstellung galt noch im gegenständlichen Zeitraum. War die Suchbarkeitseinstellung eines Nutzers – wie vorliegend beim klägerischen Profil – im Hinblick auf die Telefonnummer auf „alle“ gestellt, erlaubte es die von der Beklagten implementierte sog. Kontakt-Import-Funktion bis September 2019 jedem Facebook-Nutzer, das Profil eines anderen Nutzers mit Hilfe der von diesem hinterlegten Telefonnummer zu finden. Hierzu konnten Nutzer Kontakte von Mobilgeräten auf Facebook hochladen, um mit Hilfe der Telefonnummern die jeweiligen Nutzer zu finden. Dies war auch dann möglich, wenn die Zielgruppenauswahl des jeweiligen Nutzers im Hinblick auf die Telefonnummer nicht auf „öffentlich“ gestellt war. Im Zeitraum von Januar 2018 bis September 2019 ordneten unbekannte Dritte durch die Eingabe randomisierter Nummernfolgen über die Kontakt-Import-Funktion des Netzwerks Telefonnummern zu Nutzerkonten zu und griffen die zu diesen Nutzern vorhandenen Daten ab (sog. Scraping). Die auf diese Weise erlangten und nunmehr mit einer Telefonnummer verknüpften Daten von ca. 533 Millionen Nutzern wurden im April 2021 im Internet öffentlich verbreitet. Hiervon waren auch persönliche Daten des Klägers, nämlich dessen Telefonnummer (Mobilfunknummer), betroffen. Mit Schreiben vom 03.03.2023 forderte der Kläger außergerichtlich von der Beklagten Zahlung immateriellen Schadensersatzes i.H.v. 2.500,- €, Anerkennung der Schadensersatzpflicht, Unterlassung, Auskunft sowie Freistellung von vorgerichtlichen Rechtsanwaltskosten i.H.v. 1.134,55 € (Anlage K18). Mit Schreiben vom 06.07.2023 wies die Beklagte die klägerischen Ansprüche zurück (Anlage B16). Wegen des näheren Sach- und Streitstandes bis zur Entscheidung in erster Instanz und der erstinstanzlich gestellten Anträge wird gem. § 540 Abs. 1 Satz 1 Nr. 1 ZPO auf das Urteil des Landgerichts Bezug genommen. Das Landgericht hat mit Urteil vom 14.08.2024 die Klage abgewiesen. Wegen der weiteren Einzelheiten wird auf das angegriffene Urteil in der Fassung des Berichtigungsbeschlusses vom 27.09.2024 Bezug genommen. Hiergegen richtet sich die Berufung des Klägers, mit der er zuletzt noch immateriellen Schadensersatz (mindestens 1.000,- €), Feststellung der Schadensersatzpflicht, Unterlassung und Freistellung von vorgerichtlichen Rechtsanwaltskosten begehrt. Mit Schriftsatz vom 20.02.2025 hat der Kläger eine Antragsanpassung vorgenommen, die insbesondere den Unterlassungsantrag zu Ziff. 3a) betrifft. Der Kläger meint, die Klage sei insgesamt zulässig. Im Hinblick auf den Klageantrag zu Ziff. 2) (Feststellungsantrag) sei das erforderliche Feststellungsinteresse gegeben. Die Unterlassungsanträge zu Ziff. 3a) und 3b) seien hinreichend bestimmt. Der Kläger meint weiter, die Klage sei im noch geltend gemachten Umfang begründet. Ihm, dem Kläger, stehe ein Schadensersatzanspruch nach Art. 82 Abs. 1, 2 DSGVO zu. Der Kläger beruft sich auf das Fehlen einer wirksamen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Die Funktion der Suchbarkeit des Profils durch Dritte anhand der Mobilfunknummer sei auch nicht für die Erfüllung des zwischen den Parteien geschlossenen Vertrags erforderlich gewesen, Art. 6 Abs. 1 lit. b DSGVO. Die Beklagte habe ferner gegen die Vorgaben zur Gewährleistung einer angemessenen Sicherheit bei der Verarbeitung der personenbezogenen Daten nach Art. 5 Abs. 1 lit. f DSGVO verstoßen. Zudem habe die Beklagte gegen die Verpflichtung zur Vornahme datenschutzfreundlicher Voreinstellungen nach Art. 25 Abs. 2 DSGVO verstoßen. Ihm, dem Kläger, sei ein ersatzfähiger, immaterieller Schaden entstanden, der einen Schadensersatzanspruch i.H.v. mindestens 1.000,- € begründe. Er leide aufgrund des Scraping-Vorfalls und der damit verbundenen Betrugsversuche unter Ängsten und Sorgen. Nach den Angaben des Klägers in dessen Parteianhörung liege ein nachweisbarer immaterieller Schaden vor. Die Umstände des Einzelfalls rechtfertigten die geltend gemachte Höhe des Schadensersatzanspruchs. Der Feststellungsantrag gem. Ziff. 2) sei ebenfalls begründet. Der geltend gemachte Unterlassungsanspruch sei aus § 1004 Abs. 1 Satz 2 BGB analog i.V.m. § 823 Abs. 1 BGB i.V.m. § 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO und unmittelbar aus Art. 17 DSGVO begründet. Es liege Wiederholungsgefahr vor. Der zugrunde liegende Sachverhalt habe sich nicht nachhaltig verändert. Die Beklagte habe keine strafbewehrte Unterlassungsverpflichtungserklärung abgegeben. Der Auskunftsanspruch habe sich durch die Auskunft der Beklagten nach Klageerhebung erledigt. Die Parteien haben den Auskunftsantrag zu Ziff. 4) übereinstimmend für erledigt erklärt. Der Kläger hat mit Schriftsatz vom 20.02.2025 zudem eine Antragsanpassung im Hinblick auf den Unterlassungsantrag zu Ziff. 3a) vorgenommen. Der Kläger beantragt zuletzt, das landgerichtliche Urteil vom 14.08.2024, Az. 308 O 110/23, in der Fassung des Berichtigungsbeschlusses vom 27.09.2024 abzuändern und: 1. Die Beklagte wird verurteilt, an die Klagepartei immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, der aber mindestens 1.000,- € beträgt, nebst Zinsen i.H.v. fünf Prozentpunkten über dem Basiszinssatz seit dem 18.03.2023 zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klagepartei künftige materielle und künftige derzeit noch nicht vorhersehbare immaterielle Schäden zu ersetzen, die der Klagepartei durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstehen. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,- €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, a. eine Verarbeitung personenbezogene Daten des Klägers, namentlich Telefonnummer, Facebook-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt und Beziehungsstatus, über die Eingabe der Telefonnummer des Klägers in das Kontakt-Import-Tool und die darüber hergestellt Verknüpfung der eigegebenen Telefonnummer mit weiteren öffentlichen personenbezogenen Daten des Nutzerprofils des Klägers zu ermöglichen, ohne dass die Beklagten zum Zeitpunkt der Verwendung des Kontakt-Import-Tools unter Eingabe der Telefonnummer Sicherheitsmaßnahmen in Form einer Implementierung von Sicherheits-CAPTCHAs und der Überprüfung massenhafter IP-Abfragen oder vergleichbaren Sicherheitsmaßnahmen vorgehalten hat; b. die Telefonnummer der Klagepartei auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Information darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontakt-Import-Tools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger-App, hier ebenfalls die Berechtigung verweigert wird. 4. […] 5. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten in Höhe von 1.134,55 € gegenüber der BRR Automotive Rechtsanwaltsgesellschaft mbH freizustellen. Die Beklagte beantragt, die Berufung zurückzuweisen. Die Beklagte verteidigt das landgerichtliche Urteil unter Wiederholung und Vertiefung ihres erstinstanzlichen Vorbringens. Sie meint, der Abruf der Daten im zeitlichen Anwendungsbereich der DSGVO sei nicht dargelegt. Der Scraping-Sachverhalt habe nach ihrer, der Beklagten, Kenntnis im – auch vorliegend relevanten – Zeitraum von Januar 2018 bis September 2019 (siehe Klageerwiderung, Abschnitt A.I.1.; B.I.2.b)) stattgefunden und somit teilweise in einem Zeitraum, in dem die DSGVO noch keine Anwendung fand. Sie, die Beklagte, bestreite mit Nichtwissen, dass das konkrete Datenscraping im vorliegenden Fall nach dem 25.05.2018 stattgefunden habe. Zudem liege im Streitfall kein Kontrollverlust des Klägers im Hinblick auf dessen Mobil-Telefonnummer vor. Die Telefonnummer des Klägers sei bereits vor dem Scraping-Vorfall auf anderen Internetseiten veröffentlicht worden. Wegen des weiteren Vortrags wird ergänzend auf die von den Parteien eingereichten Schriftsätze nebst Anlagen sowie die Sitzungsprotokolle Bezug genommen. II. 1. Die zulässige Berufung des Klägers hat lediglich im tenorierten Umfang Erfolg. Im Übrigen ist sie nicht begründet. Entgegen der Ansicht des Landgerichts steht dem Kläger unter Berücksichtigung der Rechtsprechung des Bundesgerichtshofs (Urt. v. 18.11.2024, VI ZR 10/24, GRUR 2024, 1910) ein Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1 DSGVO i.H.v. 100,- € zu. Der Feststellungsantrag ist zulässig und begründet. Es besteht - aus einem begründeten Gegenstandswert von 1.100,- € - auch ein Anspruch auf Freihaltung von vorgerichtlichen Rechtsanwaltskosten i.H.v. 220,27 €. Im Übrigen hat das Landgericht im Ergebnis auch unter Berücksichtigung der Rechtsprechung des Bundesgerichtshofs (Urt. v. 18.11.2024, Az. VI ZR 10/24, GRUR 2024, 1910) zutreffend entschieden und die Klage zu Recht abgewiesen. a. Der Klageantrag zu Ziff. 1) (Zahlung immateriellen Schadensersatzes in angemessener Höhe, mindestens 1.000,- €) ist zulässig und i.H.v. 100,- € begründet. aa. Der Antrag ist zulässig, insbesondere hinreichend bestimmt i.S.v. § 253 Abs. 2 Nr. 2 ZPO.Eine unzulässige alternative Klagehäufung liegt nicht vor, da der Kläger mit dem Antrag zu 1) nicht mehrere selbständige prozessuale Ansprüche geltend macht, sondern vielmehr einen einheitlichen Anspruch auf Ersatz eines immateriellen Schadens, der sich nur aus mehreren Datenschutzverstößen der Beklagten ergeben haben soll. Es handelt sich um einen einheitlichen Streitgegenstand, soweit der Kläger den geltend gemachten Schaden auf den behaupteten Scraping-Vorfall und die damit in unmittelbarem Zusammenhang stehende behauptete fehlerhafte Umsetzung der Benachrichtigungs- und Auskunftspflichten durch die Beklagte stützt (BGH GRUR 2024, 1910 Rn. 18). Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 Satz 2 DSGVO. Der Kläger als betroffene Person hat seinen gewöhnlichen Aufenthalt in Deutschland. bb. Der Antrag ist - insoweit abweichend zur landgerichtlichen Entscheidung - i.H.v. 100,- € begründet. In dieser Höhe steht dem Kläger ein Anspruch auf Zahlung von Schadensersatz aus Art. 82 Abs. 1 DSGVO zu. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. aaa. Der Anwendungsbereich von Art. 82 Abs. 1 DSGVO ist in räumlicher, sachlicher und zeitlicher Hinsicht eröffnet. Auch dann, wenn sich der Kläger bereits vor dem Inkrafttreten der DSGVO zum 25.05.2018 (Art. 99 Abs. 2 DSGVO) auf der Plattform der Beklagten angemeldet hat, war die Beklagte jedenfalls ab dem Zeitpunkt des Inkrafttretens der DSGVO verpflichtet, den dort statuierten Vorschriften gerecht zu werden (BGH GRUR 2024, 1910 Rn. 19). Dass sich der die Daten des Klägers betreffende Scraping-Vorfall insgesamt schon vor dem 25.05.2018 zugetragen habe, ist weder dargetan noch ersichtlich. Durch die Formulierung der Klageanträge zu Ziff. 2) und 4) geht das Berufungsgericht davon aus, dass der Kläger vorliegend geltend macht, das gegenständliche Scraping sei im Jahr 2019, jedenfalls im Anwendungsbereich der DSGVO und damit nach dem 25.05.2018 erfolgt. Dies korrespondiert mit der vorgerichtlichen Stellungnahme der Beklagten gemäß Anlage B16, in der die Beklagte als Zeitraum „bis September 2019“ angeführt hat, ohne das Jahr 2018 überhaupt zu erwähnen. Der Kläger stützt sämtliche Klageanträge auf DSGVO-Verstöße und macht den Anwendungsbereich der DSGVO geltend. Soweit die Beklagte auf ihren Vortrag in der Klageerwiderung vom 09.10.2023 verweist, so hat sie zwar darin einen Zeitraum von Januar 2018 bis September 2019 als den Zeitraum benannt, in dem das Datenscraping im Rahmen des Scraping-Sachverhalts stattgefunden habe und diesen Zeitraum als „relevanten Zeitraum“ bezeichnet. Dass sich der konkret auf den Kläger bezogene Vorfall vollständig vor dem 25.05.2018 zugetragen habe, hat jedoch die Beklagte in erster Instanz nicht geltend gemacht. Zum „relevanten Zeitraum“ Januar 2018 bis September 2019 hat die Beklagte vielmehr vorgetragen, dass in diesem Zeitraum die „Kontakt-Import-Funktion“ implementiert gewesen sei. Mittels dieser Funktionalität hätten die Scraper nach dem Verständnis der Beklagten Kontakte hochgeladen, die mögliche Telefonnummern von Nutzern enthielten, um so festzustellen, ob diese Telefonnummern mit einem Facebook-Konto verbunden seien (Rn. 73 der Klageerwiderung). Soweit die Scraper festgestellt hätten, dass eine Telefonnummer mit einem Facebook-Konto (in Übereinstimmung mit der jeweiligen Suchbarkeits-Einstellung des Nutzers) verknüpft gewesen sei, hätten sie die öffentlich einsehbaren Informationen (in Übereinstimmung mit der Zielgruppenauswahl des Nutzers) aus dem betreffenden Nutzerprofil kopiert und die Telefonnummer den abgerufenen, öffentlich einsehbaren Daten sodann hinzugefügt (Rn. 73 der Klageerwiderung). Dass sich der den Kläger betreffende Scraping-Sachverhalt vollständig vor dem 25.05.2018 zugetragen habe, ist damit bereits nicht geltend gemacht. Vielmehr war in erster Instanz unstreitig, dass sich das den Kläger betreffende Geschehen (auch) nach dem 25.05.2018 ereignet hat. Der Einwand der Beklagten im Berufungsverfahren, der Kläger habe vorliegend nicht hinreichend dargelegt und bewiesen, dass seine Daten im zeitlichen Anwendungsbereich der DSGVO abgerufen worden seien, bleibt vor dem Hintergrund des Vorgenannten ohne Erfolg. Es liegt insoweit nach Ansicht des Berufungsgerichts ein neues Bestreiten vor, das nur unter den Voraussetzungen gem. § 531 Abs. 2 ZPO zulässig ist. Das Vorliegen der Voraussetzungen des § 531 Abs. 2 ZPO kann insoweit aber nicht festgestellt werden. Gem. § 531 Abs. 2 Satz 1 Nr. 1 ZPO sind neue Angriffs- und Verteidigungsmittel im Berufungsrechtszug zuzulassen, wenn sie einen Gesichtspunkt betreffen, der vom Gericht des ersten Rechtszugs erkennbar übersehen oder für unerheblich gehalten worden ist. Ungeschriebene weitere Voraussetzung für die Zulassung neuen Vortrags nach dieser Regelung ist, dass die nach Auffassung des Berufungsgerichts fehlerhafte Rechtsansicht des erstinstanzlichen Gerichts zumindest mitursächlich dafür geworden ist, dass sich Parteivorbringen in die Berufungsinstanz verlagert hat (BGH NJW-RR 2021, 249 Rn. 11). Eine solche Mitursächlichkeit lässt sich vorliegend jedoch nicht feststellen. Dass sich der die Daten des Klägers betreffende Scraping-Vorfall insgesamt schon vor dem 25.05.2018 und damit außerhalb des Anwendungsbereichs der DSGVO ereignet habe, dafür gab es in erster Instanz weder Parteivortrag noch Anhaltspunkte. Sämtliche Klageanträge sind - wie ausgeführt - auf Verstöße gegen die DSGVO gerichtet. Der Kläger hat auf S. 19 der Klageschrift geltend gemacht, dass vorliegend der Anwendungsbereich der DSGVO eröffnet sei. Die Beklagte hat in ihrer Klageerwiderung sämtliche DSGVO-Verstöße in Abrede genommen, ohne den Anwendungsbereich der DSGVO im Streitfall in Frage zu stellen. Es liegt daher nicht der Fall vor, dass die Rechtsansicht des Erstrichters die Beklagte davon abgehalten hätte, zum Zeitpunkt des den Kläger betreffenden Scraping abweichend vorzutragen. bbb. Die Beklagte hat auch als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO gehandelt, da sie Inhaberin des sozialen Netzwerkes Facebook ist, von dem die Daten des Klägers „gescraped“ wurden und da sie innerhalb dieses Netzwerks selbst auch den entsprechenden Suchautomatismus durch die Kontakt-Import-Funktion (Contact Import Tool, CIT) zur Verfügung gestellt hat, der im Rahmen des streitgegenständlichen Datenschutzvorfalls benutzt wurde (OLG Köln GRUR-RS 2023, 37347 Rn. 21). ccc. Die Beklagte hat gegen die DSGVO verstoßen. Für die Beurteilung, ob ein Verstoß gegen die DSGVO vorliegt, ist dabei Art. 5 Abs. 2 DSGVO maßgebend, wonach der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO enthaltenen Grundsätze der Datenverarbeitung verantwortlich ist und deren Einhaltung nachweisen können muss. Die Beklagte muss mithin nachweisen, dass sie nicht gegen die Grundsätze der Datenverarbeitung verstoßen hat. (1) Die Beklagte hat durch die unstreitig bestehende Voreinstellung, wonach die Suchbarkeit nach der Telefonnummer des Klägers auf „alle“ voreingestellt war, gegen den Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. b) und c), Art. 25 Abs. 2 Satz 1 und 3 DSGVO verstoßen (vgl. BGH GRUR 2024, 1910 Rn. 86). (a) Der Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c) DSGVO besagt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen („Datenminimierung“). Dies wird konkretisiert durch Art. 25 Abs. 2 Satz 1 DSGVO. Nach dieser Vorschrift trifft der Verantwortliche geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden (Datenschutz durch datenschutzfreundliche Voreinstellungen). Diese Regelung beinhaltet die Verpflichtung zu Voreinstellungen, die verhindern, dass die Daten ohne weiteres, also ohne bewusste persönliche Änderung der Voreinstellung, der Öffentlichkeit oder sonst einem unbestimmten Adressatenkreis zugänglich gemacht werden (Heberlein in Ehmann/Selmayr, DSGVO, 3. Aufl., Art. 5 Rn. 31). Die Vorgabe, die Daten nicht „einer unbestimmten Zahl natürlicher Personen“ zugänglich zu machen, ist nach ihrem Zweck darauf ausgelegt, dass der Personenkreis derjenigen, die Zugriff auf die Daten des Betroffenen haben können, für diesen überschaubar sein soll (BGH GRUR 2024, 1910 Rn. 89). Die Regelung des Art. 25 Abs. 2 DSGVO hat dabei gerade die Voreinstellungen von sozialen Netzwerken im Blick (BGH GRUR 2024, 1910 Rn. 89). Dahinter steht die Erkenntnis, dass werksseitig vorgegebene Voreinstellungen durch die Nutzer nur selten verändert werden. Es soll daher verhindert werden, dass Nutzer durch Voreinstellungen, die eine über die erforderliche Verarbeitung hinausgehende extensive Datennutzung vorsehen, dazu verleitet werden, ihre Datenschutzrechte abzuwählen, ohne dies zu realisieren (BGH GRUR 2024, 1910 Rn. 89). Diesen Anforderungen wurde das Vorgehen der Beklagten zum maßgeblichen Zeitpunkt des Scraping-Vorfalls nicht gerecht (BGH GRUR 2024, 1910 Rn. 90). Im Streitfall sah die standardmäßige Voreinstellung der Beklagten für die Suchbarkeit eines Nutzerprofils über die Telefonnummer vor, dass „alle“ anderen Facebook-Nutzer eine entsprechende Rufnummernsuche durchführen konnten. Gleichzeitig wurde über die Suchbarkeit der Rufnummer auch die Zugänglichkeit zu weiteren Profildaten eröffnet, was sich konkret in der Vorgehensweise der Scraper niederschlug, die den Umstand ausnutzten, über die Verknüpfung der Rufnummer sodann die „öffentlichen“ personenbezogenen Daten des Nutzerprofils abzugreifen. Eine Einschränkung der Suchbarkeit konnte nur durch aktive Veränderung der Suchbarkeitseinstellungen durch den Nutzer selbst herbeigeführt werden. Datenschutzfreundlichere Einstellungsoptionen – insbesondere die erst im Jahr 2019 eingeführte Suchbarkeitsoption „nur ich“ – wurden demgegenüber nur als opt out-Lösungen angeboten, obwohl die Nutzbarkeit des sozialen Netzwerks als solche hiervon nicht abhing, da eine Suche auch über die Eingabe des Namens möglich gewesen wäre. (b) Eine (Vor-)Einstellung, wonach ein Nutzerprofil über die Telefonnummer von „allen“ Nutzern gefunden werden kann, ist zur Vertragszweckerfüllung entgegen der Ansicht der Beklagten nicht erforderlich und damit nicht gem. Art. 6 Abs. 1 Unterabs. 1 lit. b) DSGVO gerechtfertigt (vgl. BGH GRUR 2024, 1910 Rn. 91). Die Beklagte hat die Suchbarkeit über die Telefonnummer über die Kontakt-Import-Funktion bzw. das Contact Import Tool (CIT) von Facebook zwischenzeitlich entfernt. Nach dem Vortrag der Beklagten sei die Suche von Nutzern anhand der Telefonnummer in der Facebook-Suchfunktion deaktiviert worden. Es sei eine weitere Schutzmaßnahme für den Kontakt-Importer der Facebook-Plattform eingeführt worden, wonach ein übereinstimmender Kontakt nur dann angezeigt werde, wenn die beiden Nutzer einander zu kennen schienen (der sog. „Social Connection Check“). Die Beklagte habe die Kontakt-Import-Funktion schließlich dergestalt überarbeitet, dass sie die Anzeige direkter Kontaktübereinstimmungen durch eine Liste mit Kontaktvorschlägen, der „Menschen, die du kennen könntest“- Funktion (sog. People you may know-Funktion, PYMK-Funktion) ersetzte. Diesem spezifizierten Beklagtenvorbringen ist der Kläger nicht erheblich entgegengetreten. Jedenfalls belegen die von der Beklagten nach September 2019 dargetanen Maßnahmen, dass die Suchbarkeit über die Telefonnummer nicht erforderlich ist und auch nicht erforderlich war. (c) Eine Einwilligung des Klägers (Art. 6 Abs. 1 Unterabs. 1 lit. a) DSGVO) in die Suchbarkeit über die Telefonnummer für „alle“ Nutzer liegt ebenfalls nicht vor. Nach Art. 6 Abs. 1 Unterabs. 1 lit. a) DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke freiwillig in informierter Weise und unmissverständlich i.S.v. Art. 4 Nr. 11 DSGVO erteilt hat. Erforderlich ist ein aktives Verhalten des Einwilligenden; Stillschweigen, bereits angekreuzte Kästchen oder eine Untätigkeit der betroffenen Person stellen keine Einwilligung dar (EuGH NJW 2021, 841 Rn. 35 f.). Es ist zudem der Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a) Var. 3 DSGVO zu berücksichtigen (OLG Hamm GRUR 2023, 1791 Rn. 101). Soweit der Kläger möglicherweise vor dem 25.05.2018 in die Suchbarkeit seines Profils über die Mobilfunknummer eingewilligt hat, konnte eine solche Einwilligung unter Geltung der DSGVO jedenfalls keine rechtfertigende Wirkung mehr entfalten; denn nach Erwgr. 171 Satz 3 DSGVO musste eine vorab erteilte Einwilligung bereits den Bedingungen der DSGVO entsprechen, um fortzugelten (OLG Hamm GRUR 2023, 1791 Rn. 102). Daran fehlt es vorliegend. Denn ein erforderliches aktives Verhalten des Einwilligenden ist im Streitfall weder dargetan noch ersichtlich. Soweit die Beklagte darauf verweist, dass der Kläger jederzeit entsprechende Änderungen seiner Suchbarkeitseinstellungen hätte vornehmen können, liegt hierin nicht das erforderliche aktive Verhalten des Nutzers. Auch soweit die Beklagte darauf hinweist, dass die Suchbarkeitseinstellungen leicht zu finden gewesen seien und dass die Beklagte ihre Nutzer auf verschiedenen Kanälen umfassend über die ihnen zur Verfügung stehenden Privatsphäreeinstellungen informiert habe, ist diesem Vortrag kein aktives Verhalten des Klägers zu entnehmen, in dem eine Zustimmung zur Suchbarkeit über die Telefonnummer für „alle“ Nutzer liegen könnte. Eine Einwilligung i.S.e. aktiven Verhaltens des Nutzers behauptet die Beklagte daher schon nicht. Zudem steht der Annahme einer wirksamen Einwilligung auch entgegen, dass die Beklagte nicht transparent und ausreichend über die Bedeutung der Suchbarkeitseinstellung informiert hat (vgl. OLG Hamm GRUR 2023, 1791 Rn. 105). (2) Darauf, ob noch weitere Verstöße gegen die DSGVO vorliegen, kommt es nicht an, da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion hat, jedoch keine Abschreckungs- oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führt (BGH GRUR 2024, 1910 Rn. 25). Soweit der Kläger seinen Anspruch zusätzlich auf einen Verstoß gegen Benachrichtigungs- und Meldepflichten stützt, fehlt es jedenfalls an der Ursächlichkeit für den geltend gemachten Schaden (BGH GRUR 2024, 1910 Rn. 26). ddd. Dem Kläger ist auch ein immaterieller Schaden entstanden. (1) Ein solcher Schaden liegt in dem Verlust der Kontrolle über seine Daten. (a) Nach der Rechtsprechung des Bundesgerichtshofs stellt der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO dar (BGH GRUR 2024, 1910 Rn. 31). Der Begriff des immateriellen Schadens ist autonom unionsrechtlich zu definieren. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht zwar nach der Rechtsprechung des Europäischen Gerichtshofs nicht aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH GRUR-RS 2024, 13978 Rn. 24). Allerdings muss ein Schaden keinen bestimmten Grad an Schwere oder Erheblichkeit erreichen (vgl. EuGH GRUR-RS 2024, 13978 Rn. 26). Schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden darstellen, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH GRUR-RS 2024, 26255 Rn. 145, 156). Nach dem ersten Satz des 85. Erwägungsgrundes der DSGVO, kann „[e]ine Verletzung des Schutzes personenbezogener Daten ... – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste ... oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“. Aus dieser beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Europäischen Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen Verlust der Kontrolle („the mere loss of control“, „la simple perte de contrôle“) über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (BGH GRUR 2024, 1910 Rn. 30 unter Verweis auf die Rspr. des EuGH). Steht ein Kontrollverlust fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (BGH GRUR 2024, 1910 Rn. 31). (b) Einen solchen Kontrollverlust hat der Kläger erlitten. Hierfür ist es nach der Rechtsprechung des Bundesgerichtshofs nicht erforderlich, dass der Kläger im Einzelnen ausführt, welchen anderen Personen er seine Daten – insbesondere seine Telefonnummer – offengelegt hat. Es genügt jedenfalls, wenn er angibt, dies zuvor bewusst und ausgewählt getan zu haben, d.h. die Daten nicht allgemein veröffentlicht zu haben (BGH GRUR 2024, 1910 Rn. 41). Der Kläger hat in seiner Parteianhörung vor dem Landgericht angegeben, er gehe mit seiner privaten Handy-Nummer sehr vorsichtig um und gebe sie nur an Bekannte, an Familienmitglieder oder engere Bekannte oder Personen, die ihm wichtig seien, weiter. Häufig gebe er auch seine Firmennummer an. Dies genügt unter Berücksichtigung der Rechtsprechung des Bundesgerichtshofs nach Ansicht des Berufungsgerichts für das Vorliegen eines Kontrollverlusts im Hinblick auf die private Telefonnummer. Selbst wenn - wie die Beklagte im Berufungsverfahren geltend macht - die Telefonnummer des Klägers schon vor dem gegenständlichen Scraping-Vorfall auf Internetseiten Dritter zu finden gewesen sei, so ist insofern nicht davon auszugehen, dass der Kläger damit seine Daten „allgemein veröffentlicht“ hätte. Mit einer Verknüpfung der Mobil-Telefonnummer zu einem den Kläger betreffenden Datensatz - wie hier gegenständlich - ist dies nicht vergleichbar. Dass die Telefonnummer im Vergleich zu den in Art. 9 DSGVO genannten besonders sensiblen Daten weniger geheimhaltungsbedürftig ist, steht nicht dem Schadensersatzanspruch dem Grunde nach entgegen, sondern wirkt sich nur auf die Höhe eines etwaigen Schadensersatzanspruches aus (BGH GRUR 2024, 1910 Rn. 42). Der Kontrollverlust bezieht sich auf die Telefonnummer. Jedenfalls im Hinblick auf die Verifizierung der Telefonnummer und Zuordnung zum klägerischen Facebook-Profil lässt sich unter Berücksichtigung der Rechtsprechung des Bundesgerichtshofs ein Kontrollverlust des Klägers auch im Streitfall nicht verneinen. Die Umstände des Datenabflusses, wie sie mit dem hier vorliegenden Scraping-Vorfall vorliegen, sind jedenfalls von solcher Qualität, dass sie einen „Kontrollverlust“ unabhängig davon begründen, wie die „Kontrolle“ des Klägers über seine Telefonnummer zuvor beschaffen war. Dies liegt insbesondere daran, dass die unbekannten Dritten die Telefonnummern im Wege des Scrapings gezielt deswegen mit den abgerufenen Nutzerdaten verknüpften und als Datensatz im Internet veröffentlichten, damit diese Sammlung von verifizierten und mit Namen versehenen Telefonnummern in missbräuchlicher Weise verwendet werden können. (2) Ein weiterer, über den Kontrollverlust hinausgehender Schaden im Hinblick auf die vorgetragene „Sorge“ des Klägers lässt sich im Streitfall – wie das Landgericht zu Recht angenommen hat – nicht feststellen. Macht der Betroffene psychische Beeinträchtigungen geltend, die über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen, so muss dies vom darlegungs- und beweisbelasteten Kläger dargetan und ggf. bewiesen werden (vgl. BGH GRUR 2024, 1910 Rn. 101). Die Behauptung einer Befürchtung, die über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgeht, muss individuell erfolgen. Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen genügt ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH GRUR-RS 2024, 13978 Rn. 35f.). Für eine ordnungsgemäße Darlegung muss das Gericht nach allgemeinen Grundsätzen anhand des Parteivortrags beurteilen können, ob die gesetzlichen Voraussetzungen der an eine Behauptung geknüpften Rechtsfolgen erfüllt sind (BGH GRUR 2024, 1910 Rn. 34). Das Gericht muss in die Lage versetzt werden, aufgrund des tatsächlichen Vorbringens der Partei zu entscheiden, ob die gesetzlichen Voraussetzungen für das Bestehen des geltend gemachten Rechts vorliegen (BGH GRUR 2024, 1910 Rn. 34). Nach Maßgabe der vorgenannten Grundsätze hat der Kläger im Streitfall nur solche Unannehmlichkeiten dargetan, die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängen. Der Kläger macht geltend, aufgrund des Scraping-Vorfalls und damit verbundener Betrugsversuche unter Ängsten und Sorgen zu leiden. Er habe seit dem Jahr 2021 eine Vielzahl von Spam-E-Mails und Spam-Anrufen erhalten, die ihm Angst bereitet hätten. Er habe wegen der Stresssituation auch Medikamente verschrieben bekommen. Damit macht der Kläger keinen über einen Kontrollverlust hinausgehenden, individuellen Schaden geltend. Die E-Mail-Adresse ist unstreitig kein Gegenstand des gegenständlichen Scraping-Vorfalls gewesen, so dass behauptete Ängste und Sorgen im Zusammenhang mit dem Erhalt von Spam-E-Mails nicht mit dem gegenständlichen Vorwurf in Zusammenhang zu bringen sind. Auch im Hinblick auf die gescrapte Mobil-Telefonnummer des Klägers vermag das Berufungsgericht mit dem Landgericht keinen Kausalzusammenhang zwischen dem Scraping-Vorfall und den vom Kläger behaupteten Unannehmlichkeiten festzustellen. Der Vorfall soll sich im Jahr 2019 ereignet haben. Der Kläger behauptet die Häufung der Spam-Vorfälle seit dem Jahr 2021. Die Berufung des Klägers setzt sich insoweit mit den zutreffenden Gründen des landgerichtlichen Urteils nicht auseinander. Eine abweichende Bewertung ist daher nicht veranlasst. eee. Die Höhe des Schadensersatzes ist auf 100,- € zu schätzen, § 287 ZPO. Eine auf Art. 82 DSGVO gestützte Entschädigung in Geld muss den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang ausgleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DSGVO dagegen nicht erfüllen. Folglich darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen hat (BGH GRUR 2024, 1910 Rn. 96 m.w.N.).Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen (BGH GRUR 2024, 1910 Rn. 97). Ist allein ein Schaden in Form eines Kontrollverlusts in Bezug auf personenbezogene Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, sind bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DSGVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter sind die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (z.B. Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich könnte in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insbesondere eines Rufnummernwechsels) dienen (BGH GRUR 2024, 1910 Rn. 99). Nach der Rechtsprechung des Bundesgerichtshofs bestehen keine Bedenken, den notwendigen Ausgleich für den eingetretenen Kontrollverlust als solchem in einem Fall wie dem streitgegenständlichen in einer Größenordnung von 100,- € zu bemessen (BGH GRUR 2024, 1910 Rn. 100). Da der Streitfall mit dem vom Bundesgerichtshof entschiedenen Fall vergleichbar ist, schätzt das Berufungsgericht vorliegend den Schaden des Klägers durch den bloßen Kontrollverlust auf 100,- € (§ 287 ZPO). b. Der Feststellungsantrag zu Ziff. 2) ist zulässig und begründet. aa. Gegenstand des Feststellungsantrags sind künftige materielle und künftige derzeit noch nicht vorhersehbare immaterielle Schäden. bb. Es genügt - im Hinblick auf das erforderliche Feststellungsinteresse - die bloße Möglichkeit des künftigen Eintritts der geltend gemachten Schäden (BGH GRUR 2024, 1910 Rn. 48). cc. Die Möglichkeit des Eintritts künftiger Schäden ist hier ohne Weiteres zu bejahen. Der Kläger wurde durch den vorliegenden Verstoß gegen die Datenschutz-Grundverordnung in seinem Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG bzw. in seinem Recht auf Schutz der personenbezogenen Daten gem. Art. 8 GRCh verletzt (BGH GRUR 2024, 1910 Rn. 49). Bei einer fortdauernden Veröffentlichung der personenbezogenen Daten des Klägers, insbesondere seiner Telefonnummer, besteht das Risiko einer missbräuchlichen, insbesondere betrügerischen Nutzung dieser Daten mit der Folge eines etwaigen künftigen materiellen Schadens fort. In Anbetracht des gegebenen Kontrollverlusts über die Telefonnummer ist eine künftige Schadensentwicklung auch nicht nur rein theoretischer Natur (BGH GRUR 2024, 1910 Rn. 49). Dies gilt auch vorliegend. c. Offenbleiben kann, ob der zuletzt gestellte Unterlassungsantrag zu Ziff. 3a) zulässig ist. Er ist jedenfalls nicht begründet. aa. Mit diesem Antrag begehrt der Kläger nunmehr die Unterlassung, „eine Verarbeitung personenbezogener Daten des Klägers, namentlich Telefonnummer, Facebook-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt und Beziehungsstatus, über die Eingabe der Telefonnummer des Klägers in das Kontakt-Import-Tool und die darüber hergestellte Verknüpfung der eingegebenen Telefonnummer mit weiteren öffentlichen personenbezogenen Daten des Nutzerprofils des Klägers zu ermöglichen, ohne dass die Beklagten zum Zeitpunkt der Verwendung des Kontakt-Import-Tools unter Eingabe der Telefonnummer Sicherheitsmaßnahmen in Form einer Implementierung von Sicherheits-CAPTCHAs und der Überprüfung massenhafter IP-Abfragen oder vergleichbaren Sicherheitsmaßnahmen vorgehalten hat“. bb. Diese Klageänderung im Berufungsverfahren ist gem. § 533 ZPO trotz fehlender Zustimmung der Beklagten zulässig. cc. Offenbleiben kann die hinreichende Bestimmtheit i.S.v. § 253 Abs. 2 Nr. 2 ZPO im Hinblick auf die verwendeten Begriffe „vergleichbare Sicherheitsmaßnahmen“, „Sicherheits-CAPTCHAs“ sowie „Überprüfung massenhafter IP-Abfragen“. Es ist einem Kläger zumutbar, die künftig zu unterlassende Verletzungshandlung zu konkretisieren (vgl. BGH GRUR 2024, 1910 Rn. 56-58). Eine Bezugnahme auf den Scraping-Vorfall als konkrete Verletzungsform enthält der Unterlassungsantrag (weiterhin) nicht. dd. Selbst wenn der neu gestellte Unterlassungsantrag zu Ziff. 3a) nunmehr zulässig wäre, ist er nicht begründet. Es fehlt an der Begehungsgefahr für den Anspruch gem. §§ 1004, 823 BGB bzw. §§ 280 Abs. 1, 241 Abs. 2 BGB. Eine Wiederholung des gegenständlichen Scraping-Vorfalls ist unter Berücksichtigung des vorliegenden Sach- und Streitstandes nicht ernstlich zu besorgen. Im vorliegenden Fall hat die Beklagte die Suchbarkeit über die Telefonnummer über die Kontakt-Import-Funktion bzw. das Contact Import Tool (CIT) von Facebook zwischenzeitlich entfernt. Ihrem diesbezüglichen spezifizierten Vorbringen ist der Kläger nicht erheblich entgegengetreten. Unstreitig ist es seitdem nicht wieder zu einem vergleichbaren Vorfall gekommen. Soweit an den Wegfall der Wiederholungsgefahr strenge Anforderungen zu stellen sind, geht das Berufungsgericht davon aus, dass die im Streitfall gegebene Änderung der tatsächlichen Umstände nicht lediglich vorübergehend geschehen ist. Hierfür spricht auch, dass der gegenständliche Vorfall Jahre zurückliegt. Die Möglichkeit, dass die Beklagte die inkriminierte Funktionsweise ohne entsprechende Einwilligung wieder einführt, hält der Senat daher für eine rein theoretische. Eine Wiederholung des konkret gegenständlichen Geschehens ist daher nicht zu erwarten. d. Der Unterlassungsantrag zu Ziff. 3b) ist - unter Berücksichtigung der Rechtsprechung des Bundesgerichtshofs - zulässig. Er ist jedoch nicht begründet. aa. Mit diesem Antrag begehrt der Kläger die Unterlassung, „die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf ,privat' noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird“. bb. Dieser Unterlassungsantrag ist - unter Berücksichtigung der Rechtsprechung des Bundesgerichtshofs - trotz seiner weiten Formulierung bestimmt i.S.v. § 253 Abs. 2 Nr. 2 ZPO (BGH GRUR 2024, 1910 Rn. 62). Das Begehren des Klägers ist darauf gerichtet, dass die Beklagte seine Telefonnummer nicht - wie zur Zeit des Scraping-Vorfalls - auf Basis einer von ihm erteilten Einwilligung weiterverarbeitet, da diese Einwilligung nach seinem Verständnis mangels Transparenz unwirksam ist, weil ihm das Ausmaß der Datenverarbeitung betreffend seine Telefonnummer bei Erteilung der Einwilligung nicht verständlich war (BGH GRUR 2024, 1910 Rn. 63). Die Verletzungshandlung, die die Beklagte unterlassen soll, ist nach der Antragsformulierung eine Verarbeitung der mitgeteilten Telefonnummer aufgrund einer unwirksamen Einwilligung (BGH GRUR 2024, 1910 Rn. 63). Unter Berücksichtigung des vorliegenden Sach- und Streitstandes begehrt der Kläger - auch bei Auslegung nach Antrag und Begründung - nicht, dass die Beklagte jegliche Verarbeitung seiner Telefonnummer unterlässt, die über die notwendige Zwei-Faktor-Authentifizierung hinausgeht. Derartiges macht der Kläger vorliegend nicht spezifiziert geltend. Es geht ihm - wie ausgeführt - um die Verarbeitung auf Grundlage einer unwirksamen Einwilligung. Insoweit unterscheidet sich dieser Verletzungsvorwurf vom Verstoß gegen den Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. b), lit. c), Art. 25 Abs. 2 Satz 1 und 3 DSGVO, der Grundlage für den immateriellen Schadensersatz und den Feststellungsausspruch ist. cc. Für den Antrag zu Ziff. 3b) fehlt es unter Berücksichtigung der Rechtsprechung des Bundesgerichtshofs auch nicht am Rechtsschutzbedürfnis. Das Rechtsschutzbedürfnis des Klägers entfällt insbesondere nicht dadurch, dass er seine Telefonnummer aus seinem Nutzerkonto selbst löschen könnte. Insofern ist sein Rechtsschutzziel - die Untersagung einer unrechtmäßigen Verarbeitung seiner Telefonnummer - mit dem dann erreichten Ergebnis der Löschung seiner Telefonnummer nicht identisch (BGH GRUR 2024, 1910 Rn. 68). Auch die Möglichkeit des Klägers, seine Privatsphären-Einstellungen so zu ändern, dass sich seine Einwilligung zur Verarbeitung seiner Telefonnummer auf die Nutzung der Zwei-Faktor-Authentifizierung beschränkt, lässt das Rechtsschutzbedürfnis nicht entfallen (BGH GRUR 2024, 1910 Rn. 69). dd. Der Unterlassungsantrag zu Ziff. 3b) ist jedoch unbegründet. Dem Kläger steht kein Unterlassungsanspruch aus §§ 1004 analog, 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1, Art. 17 DSGVO oder aus §§ 280 Abs. 1, 241 Abs. 2 BGB (vgl. BGH GRUR 2024, 1910 Rn. 83) zu. Es fehlt an der erforderlichen Begehungsgefahr (Erstbegehungsgefahr und/oder Wiederholungsgefahr). aaa. Die Anwendung von §§ 1004, 823 BGB wird durch die DSGVO nicht ausgeschlossen (OLG Schleswig GRUR-RS 2024, 32502 Rn. 62). Jedenfalls kommt als Anspruchsgrundlage §§ 280 Abs. 1, 241 Abs. 2 BGB in Betracht. bbb. Wiederholungsgefahr ist die auf Tatsachen gegründete objektiv ernstliche Besorgnis weiterer Störungen; maßgeblicher Zeitpunkt ist die letzte mündliche Tatsachenverhandlung (Herrler in Grüneberg, BGB, 83. Aufl., § 1004 Rn. 32). Zwar begründet eine vorausgegangene rechtswidrige Beeinträchtigung idR eine tatsächliche Vermutung für die Wiederholungsgefahr (Herrler in Grüneberg, BGB, 83. Aufl., § 1004 Rn. 32 m.w.N.). Jedoch ist im Streitfall keine auf Tatsachen gegründete objektiv ernstliche Besorgnis einer weiteren Störung im Sinne einer unrechtmäßigen Verarbeitung auf Grundlage einer unwirksamen Einwilligung wie beim gegenständlichen Scraping-Vorfall gegeben. Es sind hier die Besonderheiten des vorliegend gegenständlichen Scraping-Vorfalls zu berücksichtigen. (1) Der Antrag zu Ziff. 3b) ist - wie ausgeführt - darauf gerichtet, dass die Beklagte die klägerische Telefonnummer nicht auf Basis einer Einwilligung weiterverarbeitet, die mangels Transparenz unwirksam ist. Im Streitfall berühmt sich die Beklagte indes nicht, über eine Einwilligung des Klägers zu verfügen, auf deren Grundlage sie die Telefonnummer des Klägers verarbeiten könnte. Sie stützt sich nicht auf eine Einwilligung des Klägers als Rechtsgrundlage. Die Beklagte macht geltend, einschlägige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten des Klägers sei Art. 6 Abs. 1 lit. b) DSGVO (Erforderlichkeit der Datenverarbeitung zur Vertragserfüllung; hier in Bezug auf die Bereitstellung eines sozialen Netzwerks). Sie, die Beklagte, habe eine Einwilligung des Nutzers gar nicht benötigt; die Datenverarbeitung sei deswegen rechtmäßig, weil sie für die Erfüllung des Nutzervertrags erforderlich sei. Eine Einwilligung hole die Beklagte nur für andere Fälle ein, etwa wenn ein Nutzer seine eigenen Kontakte im Rahmen der Kontakt-Importer-Funktion hochladen möchte. Die Beklagte stützt sich damit schon nicht für ihre Verarbeitung der klägerischen Telefonnummer auf eine Einwilligung, von der der Kläger meint, dass sie deswegen unwirksam sei, weil sie auf Grundlage unübersichtlicher und unvollständiger Informationen erlangt worden sei. Eine dahingehende Anspruchsberühmung fehlt und damit eine insoweit erstmals ernsthaft drohende Beeinträchtigung. (2) Zudem lässt sich zum maßgeblichen Zeitpunkt des Schlusses der mündlichen Verhandlung auch keine Wiederholungsgefahr (mehr) feststellen. Der Störer kann die Vermutung der Wiederholungsgefahr widerlegen, indem er Tatsachen darlegt und ggf. beweist, die ernsthaft nahelegen, dass es künftig nicht mehr zu einer weiteren Störung kommen wird (Spohnheimer in BeckOGK, BGB, Stand: 01.11.2024, § 1004 Rn. 270.3 m.w.N.). Es geht - wie ausgeführt - um die Unterlassung einer unrechtmäßigen Verarbeitung der Telefonnummer auf Grundlage einer unwirksamen Einwilligung und nicht um den Verstoß gegen den Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. b), lit. c), Art. 25 Abs. 2 Satz 1 und 3 DSGVO. Eine Wiederholung des gegenständlichen Scraping-Vorfalls ist unter Berücksichtigung des vorliegenden Sach- und Streitstandes - wie ausgeführt - nicht ernstlich zu besorgen. Im vorliegenden Fall hat die Beklagte die Suchbarkeit über die Telefonnummer über die Kontakt-Import-Funktion bzw. das Contact Import Tool (CIT) von Facebook zwischenzeitlich entfernt. Ihrem diesbezüglichen spezifizierten Vorbringen ist der Kläger nicht erheblich entgegengetreten. Unstreitig ist es seitdem nicht wieder zu einem vergleichbaren Vorfall gekommen. Soweit an den Wegfall der Wiederholungsgefahr strenge Anforderung zu stellen sind, geht der Senat davon aus, dass die im Streitfall gegebene Änderung der tatsächlichen Umstände nicht lediglich vorübergehend geschehen ist. Hierfür spricht auch, dass der gegenständliche Vorfall Jahre zurückliegt. Die Möglichkeit, dass die Beklagte die inkriminierte Funktionsweise ohne entsprechende Einwilligung wieder einführt, hält der Senat daher für eine rein theoretische. Eine Wiederholung des konkret gegenständlichen Geschehens ist daher nicht zu erwarten. e. Der Anspruch auf Freistellung von vorgerichtlichen Rechtsanwaltskosten aus Art. 82 Abs. 1 DSGVO ist teilweise begründet. aa. Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren, grundsätzlich zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden. Nach Auffassung des Bundesgerichtshofs kann in Fällen der vorliegenden Art die Erforderlichkeit der Beauftragung eines Rechtsanwalts nicht verneint werden; hierbei ist insbesondere zu berücksichtigen, dass zum Zeitpunkt des anwaltlichen Schreibens eine Vielzahl von Rechtsfragen in Zusammenhang mit Art. 82 DSGVO weder durch den Europäischen Gerichtshof noch durch die nationalen Gerichte geklärt war (BGH GRUR 2024, 1910 Rn. 80). Der der Berechnung der Rechtsanwaltsgebühren zugrunde zu legende Gegenstandswert ist aus der Summe aus begründeter Schadensersatzforderung (100,- €), dem Wert des Auskunftsverlangens (500,- €) und dem Wert des Feststellungsverlangens im Hinblick auf die Ersatzpflicht künftiger Schäden (500,- €) zu bilden (vgl. Abmahnung Anlage K18). Hinsichtlich des Auskunftsverlangens ist zu berücksichtigen, dass ein Verzug mit der Auskunftserteilung im Zeitpunkt der anwaltlichen Beauftragung nicht Voraussetzung für die Erstattungsfähigkeit der Anwaltskosten ist. Denn zwischen den Parteien besteht im Hinblick auf die Nutzung des sozialen Netzwerkes der Beklagten ein Vertragsverhältnis, so dass vertragliche Pflichtverletzungen grundsätzlich einen Schadensersatzanspruch und in diesem Zusammenhang auch einen Auskunftsanspruch begründen können (vgl. zur Relevanz des Nutzungsvertrags: BGH GRUR 2024, 1910 Rn. 83). Begründet sind vorgerichtliche Rechtsanwaltskosten i.H.v. 220,27 € (1,3 Geschäftsgebühr aus einem Gegenstandswert von 1.100,- € zzgl. 20,- € Post- und Telekommunikationspauschale und zzgl. Mwst.). f. Die im Ausspruch zu Ziff. I.1. tenorierten Zinsen ergeben sich aus Verzug (§§ 286, 288 BGB). 2. Der Schriftsatz der Beklagten vom 05.03.2025 hat keinen Anlass zur Wiedereröffnung der mündlichen Verhandlung gegeben, §§ 156, 296a ZPO. 3. Die prozessualen Nebenentscheidungen beruhen auf §§ 97, 91a, 92, 708 Nr. 10, 711, 713 ZPO. Hinsichtlich des für erledigt erklärten Auskunftsantrags sind die Kosten gem. § 91a ZPO nach billigem Ermessen zu verteilen. Der Kläger wäre insoweit voraussichtlich unterlegen gewesen, da die Erfüllung bereits vor Rechtshängigkeit eingetreten ist. 4. Die Voraussetzungen für eine Zulassung der Revision nach § 543 Abs. 2 ZPO liegen nicht vor. Die Rechtssache hat weder grundsätzliche Bedeutung noch erfordern die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts. Es handelt sich vorliegend um eine Einzelfallentscheidung, die auf der Anwendung bereits bestehender höchstrichterlicher Rechtsprechung beruht. 5. Die Streitwertfestsetzung berücksichtigt die Entscheidung des Bundesgerichtshofs (Beschluss vom 10.12.2024, Az. VI ZR 7/24, GRUR 2025, 269). Hiernach ist der Streitwert vorliegend für das Berufungsverfahren wie folgt zu bemessen: 1.000,- € (Zahlungsantrag) + 500,- € (Feststellungsantrag) + 1.500,- € (Unterlassungsanträge) + 500,- € (Auskunftsantrag) = 3.500,- €. Da in erster Instanz 2.500,- € Schadensersatz begehrt worden sind, ist der Streitwert für die erste Instanz um 1.500,- € höher, somit mit insgesamt 5.000,- € zu bemessen.