5 U 101/23

Leitsatz: An einem Verlust der Kontrolle über Daten, der einen Schadensersatzanspruch nach Art. 82 DSGVO begründen könnte, fehlt es, wenn die klägerische Partei die in Rede stehenden Daten bereits zuvor bewusst der Öffentlichkeit preisgegeben hatte. Daran fehlt es regelmäßig, wenn die klägerische Partei bereits zuvor einmal Opfer eines Datenlecks geworden war, denn in diesem Fall gibt sie ihre Daten nicht bewusst preis. (Rn.138) (Rn.141) (Rn.142) Auf die Berufung des Klägers wird das Urteil der Einzelrichterin der 4. Zivilkammer des Landgerichts Kiel vom 28. Juni 2023 teilweise abgeändert und unter Zurückweisung der Berufung im Übrigen wie folgt neu gefasst: 1. Die Beklagte wird verurteilt, an die klägerische Partei € 100,00 nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz p. a. seit dem 10. August 2022 zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der klägerischen Partei alle künftigen Schäden zu ersetzen, die der klägerischen Partei durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstehen. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu € 250.000,00, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, a) eine Verarbeitung personenbezogener Daten der Klägerseite, namentlich Telefonnummer, Facebook-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt und Beziehungsstatus, über die Eingabe der Telefonnummer der Klägerseite in das Kontakt-Import-Tool und die darüber hergestellte Verknüpfung der eigegebenen Telefonnummer mit weiteren öffentlichen personenbezogenen Daten des Nutzerprofils der Klägerseite zu ermöglichen, ohne dass die Beklagte zum Zeitpunkt der Verwendung des Kontakt-Import-Tools unter Eingabe der Telefonnummer Sicherheitsmaßnahmen in Form einer Implementierung von Sicherheits-CAPTCHAs und der Überprüfung massenhafter IP-Abfragen oder vergleichbaren Sicherheitsmaßnahmen vorgehalten hat, b) die Telefonnummer der klägerischen Partei auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat" noch durch Verwendung des Kontakt-Import-Tools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird. 4. Die Beklagte wird verurteilt, an die klägerische Partei € 367,23 nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz p. a. seit dem 1. Dezember 2022 zu zahlen. Im Übrigen wird die Klage abgewiesen. Die Kosten des Rechtsstreits tragen die klägerische Partei zu 40 % und die Beklagte zu 60 %. Das Urteil ist vorläufig vollstreckbar. I. Die Parteien streiten um Schadensersatz, Unterlassungs-, Feststellungs- und Auskunftsansprüche aus einem Scraping-Vorfall auf der Plattform der Beklagten, der im April 2021 bekannt wurde. Bei diesem Vorfall wurden Mobiltelefonnummer, Name, Facebook-ID, Geschlecht, Beziehungsstatus und Arbeitgeber des Klägers (im Folgenden: klägerische Partei) erlangt und - so sein Vortrag - in einem „Hacker-Forum" veröffentlicht, wobei es unstreitig ist, dass die Telefonnummer nicht im eigentlichen Sinne „gescrapt", sondern von den Scrapern als randomisierte Nummernfolge in das sogenannte Contact Import Tool (CIT) eingepflegt und dann bei Auffinden des Profils der klägerischen Partei ihrem Namen und den sonstigen dort vorhandenen Daten nur zugeordnet wurde. Wegen der weiteren Einzelheiten des Sach- und Streitstandes sowie der erstinstanzlichen Sachanträge wird auf den Tatbestand des angegriffenen Urteils Bezug genommen. Das Landgericht hat die Klage abgewiesen. Die klägerische Partei verfolgt mit der gegen dieses Urteil gerichteten Berufung ihre erstinstanzlichen Anträge mit Ausnahme des Auskunftsantrags zu 4. Die klägerische Partei beantragt, Es wird unter Aufhebung des am 29.06.2023 zugestellten Urteil des Landgerichts Kiel (4 O 62/22) beantragt, wie folgt zu erkennen: 1. Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. 2. und 3. wie erkannt. 5. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 EUR zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz. Die Beklagte beantragt, die Berufung zurückzuweisen. Hinsichtlich der weiteren Einzelheiten des Sach- und Streitstandes in der Berufungsinstanz wird auf die von den Parteien gewechselten Schriftsätze nebst Anlagen verwiesen. II. Die zulässige Berufung des Klägers ist teilweise begründet. Der Kläger hat einen Anspruch auf Zahlung von Schadensersatz in Höhe von € 100,00; auch der Feststellungsantrag zu 2. und die Unterlassungsanträge zu 3. sind zulässig und begründet. A) Das Landgericht ist zuständig gewesen. 1. Es besteht eine internationale Zuständigkeit deutscher Gerichte. aa) Die internationale Zuständigkeit der deutschen Gerichte folgt vorliegend im zeitlichen Anwendungsbereich der DSGVO nach Art. 99 Abs. 2 DSGVO ab dem 25. Mai 2018 aus Art. 79 Abs. 2 Satz 1 DSGVO in Verbindung mit Erwägungsgrund 22 DSGVO sowie aus Art. 79 Abs. 2 Satz 2 Hs. 1 DSGVO, jeweils als unmittelbar geltendes Recht (Art. 288 Abs. 2 AEUV), und § 44 Abs. 1 Satz 2 BDSG, da die Beklagte in Deutschland eine Niederlassung und die klägerische Partei als betroffene Person im Sinne von Art. 4 Nr. 1 DSGVO ihren gewöhnlichen Aufenthalt in Deutschland hat (vgl. BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18, Rn. 16 mwN; BGH Urteil vom 23. Mai 2023 - VI ZR 476/18, Rn. 27 mwN). bb) Soweit es darauf ankommen sollte, folgt die internationale Zuständigkeit der deutschen Gerichte vorliegend vor dem zeitlichen Anwendungsbereich der DSGVO ab dem 25. Mai 2018 aus Art. 7 Nr. 2, Art. 63 Abs. 1 lit a, lit. c und Abs. 2 EuGVVO, da die Beklagte ihren satzungsgemäßen Sitz, jedenfalls ihre Hauptniederlassung in Irland hat, das schädigende Ereignis aus unerlaubter Handlung auch in Deutschland eingetreten ist (vgl. im Verhältnis zu den USA über § 32 ZPO BGH, Urteil vom 27. Februar 2018 - VI ZR 489/16, Rn. 15 ff. mwN) und das vorgeworfene Verhalten auch nicht - Vorrang begründend - als Verstoß gegen die vertraglichen Verpflichtungen angesehen werden kann, wie sie sich anhand des Vertragsgegenstands ermitteln lassen (vgl. dazu EuGH Urteil vom 13. März 2014 - C-548/12, Rn. 20 ff., insbesondere Rn. 24 f.; BGH, Urteil vom 24. Juni 2014 – VI ZR 315/13, Rn. 20). Jedenfalls greift Art. 26 Abs. 1 Satz 1 EuGVVO, da sich die Beklagte bereits erstinstanzlich, aber auch zweitinstanzlich - zudem Ziff. 4.4 der seit April 2018 geltenden Nutzungsbedingungen (Anlage B 19) entsprechend - rügelos eingelassen hat (vgl. BGH, Urteil vom 21. Juli 2023 - V ZR 112/22, Rn. 15; BGH, Urteil vom 5. Juli 2023 - IV ZR 375/21, Rn. 11; BGH, Urteil vom 15. Februar 2018 - I ZR 201/16, Rn. 20). cc) Die Zuständigkeit im Übrigen ist im Hinblick auf § 513 Abs. 2 ZPO und § 17a Abs. 5 GVG nicht zu prüfen, wenn auch - unter Berücksichtigung aller Klageanträge - die sachliche Eingangszuständigkeit des Landgerichts gegebenenfalls nicht eröffnet war. B) Berufung und Klage sind zulässig und überwiegend begründet. Die Zahlungsanträge zu 1. und 5. haben zum Teil und der Feststellungsantrag zu 2. und der Unterlassungsantrag zu 3. haben in vollem Umfang Erfolg. 1. Der auf Ersatz immateriellen Schadens gerichtete Antrag zu 1. ist zulässig, aber nur teilweise begründet. a) Der Antrag ist zulässig. Soweit die Beklagte geltend macht, der Antrag zu 1. sei nicht hinreichend bestimmt, weil er auf mehrere angebliche Verstöße gegen die DSGVO gestützt werde und damit mehrere Streitgegenstände in Form einer unzulässigen alternativen Klagehäufung vorlägen, greift dies nicht durch. Die klägerische Partei macht nicht mehrere selbständige, auf verschiedene Datenschutzverstöße gestützte prozessuale Ansprüche alternativ geltend, sondern vielmehr einen einheitlichen Anspruch auf Ersatz eines immateriellen Schadens, der sich aus mehreren Datenschutzverstößen der Beklagten ergeben soll (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 16). aa) Nach § 253 Abs. 2 Nr. 2 ZPO muss die Klageschrift neben einem bestimmten Antrag eine bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs enthalten. Damit werden der Streitgegenstand abgegrenzt und die Grenze der Rechtshängigkeit und der Rechtskraft festgelegt sowie Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts bestimmt. Der Kläger muss die gebotene Bestimmung des Streitgegenstandes vornehmen und kann sie nicht zur Disposition des Gerichts stellen. Dies erfordert auch der Schutz des Beklagten, für den erkennbar sein muss, welche prozessualen Ansprüche gegen ihn erhoben werden, um seine Rechtsverteidigung danach ausrichten zu können. Für die damit erforderliche Individualisierung des Streitgegenstands ist es entsprechend dem Zweck der Klageerhebung, dem Beklagten den Willen des Klägers zur Durchsetzung seiner Forderungen zu verdeutlichen, im Allgemeinen ausreichend, wenn der Anspruch als solcher identifizierbar ist. Dazu gehört bei mehreren Streitgegenständen auch die Benennung der Reihenfolge, in der diese zur Überprüfung durch das Gericht gestellt werden. Der Kläger kann die Auswahl, über welche selbständigen Ansprüche bis zur Höhe der eingeklagten Forderung entschieden werden soll, nicht dem Gericht überlassen (BGH, Urteil vom 17. Januar 2023 - VI ZR 203/22; BGH, Beschluss vom 24. März 2011 – I ZR 108/09; OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 49; OLG Köln, Urteil vom 7. Dezember 2023 – I-15 U 67/23, juris Rn. 30). Der Streitgegenstand wird bestimmt durch das Rechtsschutzbegehren (Antrag), in dem sich die vom Kläger in Anspruch genommene Rechtsfolge konkretisiert, und den Lebenssachverhalt (Anspruchsgrund), aus dem der Kläger die begehrte Rechtsfolge herleitet (§ 253 Abs. 2 Nr. 2 ZPO). Zum Anspruchsgrund sind alle Tatsachen zu rechnen, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten Tatsachenkomplex gehören. Vom Streitgegenstand werden damit alle materiell-rechtlichen Ansprüche erfasst, die sich im Rahmen des gestellten Antrags aus dem zur Entscheidung unterbreiteten Lebenssachverhalt herleiten lassen (BGH, Urteil vom 14. März 2017 - VI ZR 605/15, Rn. 17 mwN; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 17). bb) Danach bildet unter den Umständen des Streitfalles der geltend gemachte Anspruch auf Ersatz immateriellen Schadens in angemessener Höhe, mindestens aber von € 1.000,00, den die klägerische Partei auf den behaupteten Scraping-Vorfall und die damit in unmittelbarem Zusammenhang stehende behauptete fehlerhafte Umsetzung der Benachrichtigungs- und Auskunftspflichten durch die Beklagte stützt, einen einheitlichen Streitgegenstand. Von ihm werden sämtliche mit der inkriminierten Datenverarbeitung im Zusammenhang stehenden gerügten Verstöße gegen die Datenschutz-Grundverordnung umfasst. Denn bei natürlicher Betrachtung können die Verstöße gegen die Datenschutz-Grundverordnung nicht isoliert beurteilt werden, da sie sämtlich in einem einheitlichen Geschehen wurzeln, das hinsichtlich der damit verbundenen Folgen nicht in einzelne Datenschutzverstöße aufgespalten werden kann. Auch bildet der geltend gemachte Ersatzanspruch keinen teilbaren Streitgegenstand in dem Sinne, dass auf die verschiedenen von der klägerischen Partei behaupteten Datenschutzverstöße unterschiedliche Beträge entfielen und diese einer gesonderten rechtlichen Beurteilung zugänglich wären. Nach der Europäischen Gerichtshofs (im Folgenden: Gerichtshof) kommt dem in Art. 82 Abs. 1 DSGVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zu. Er erfüllt keine Abschreckungs- oder gar Straffunktion, weshalb auch das Vorliegen mehrerer auf denselben Verarbeitungsvorgang bezogener Verstöße nicht zu einer Erhöhung des Schadensersatzes führt (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 59 f., 64 f.). Diese Wertung würde unterlaufen, wenn unterschiedliche, aber sämtlich auf den Scraping-Vorfall bezogene Datenschutzverstöße in gesonderte Lebenssachverhalte aufgespalten würden und damit kumulativ geltend gemacht werden könnten (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 18). b) Der Antrag zu 1) ist jedoch nur teilweise begründet, da der klägerischen Partei der geltend gemachte Schadensersatz aus Art. 82 Abs. 1 DSGVO oder aus einer anderen Anspruchsgrundlage allein in Höhe von € 100,00 zusteht. Nach Art. 82 Abs. 1 DSGVO (Verordnung (EU) 2016/679) hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Nach der Rechtsprechung des Gerichtshofes erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteil vom 4. Oktober 2024 - C-507/23, juris Rn. 24 - Patērētāju tiesību aizsardzības centrs; EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 34; EuGH, Urteil vom 25. Januar 2024 - C-687/21, Rn. 58 – MediaMarktSaturn; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 21). Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines (immateriellen) Schadens verlangt (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 35; EuGH, Urteil vom 25. Januar 2024 - C-687/21, Rn. 60 f. – MediaMarktSaturn; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 21). Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruches nach Art. 82 Abs. 1 DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 44 ff.; EuGH, Urteil vom 21. Dezember 2023 - C-667/21, Rn. 94 - Krankenversicherung Nordrhein; vgl. ferner ErwG 146 Satz 2 DSGVO; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 21). Dessen zeitlicher, sachlicher und räumlicher Anwendungsbereich ist eröffnet (vgl. OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 56 ff., OLG Köln, Urteil vom 7. Dezember 2023 – I-15 U 67/23, juris Rn. 33); auch lassen sich Verstöße der Beklagten gegen die DSGVO im Zuge der Datenverarbeitung feststellen (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 56, 84 ff.; letztlich offen gelassen („Der Beklagten dürften Verstöße […] vorzuwerfen sein, […]“) vom OLG Köln, Urteil vom 7. Dezember 2023 – I-15 U 67/23, juris Rn. 35 f.; vgl. dazu BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 86 ff.). Die klägerische Partei hat auch das Vorliegen eines immateriellen Schadens schlüssig dargelegt und bewiesen, zudem auch die Verursachung eines immateriellen Schadens durch die nicht der DSGVO entsprechende Datenverarbeitung seitens der Beklagten dargelegt und bewiesen. aa) Der Anwendungsbereich von Art. 82 Abs. 1 DSGVO ist in zeitlicher, sachlicher und räumlicher Hinsicht eröffnet. (1) In zeitlicher Hinsicht ist der Anwendungsbereich eröffnet. Denn auch wenn sich die klägerische Partei gegebenenfalls bereits vor dem 25. Mai 2018 auf der Plattform der Beklagten angemeldet hat, war die Beklagte jedenfalls ab dem Zeitpunkt des Inkrafttretens der DSGVO verpflichtet, den dort statuierten Vorschriften gerecht zu werden; der Scraping-Vorfall selbst hat nach dem übereinstimmenden Vortrag der Parteien jedenfalls nicht vor dem 25. Mai 2018 stattgefunden (OLG Köln, Urteil vom 7. Dezember 2023 – I-5 U 67/23, juris Rn. 33; differenzierend für die jeweiligen vermeintlichen Verstöße: OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 61 ff.). Hinsichtlich der zeitlichen Anwendbarkeit ist nicht der Zeitpunkt der Registrierung eines Nutzerkontos im sozialen Netzwerk der Beklagten maßgeblich, sondern der Zeitpunkt des Scraping-Vorfalls. Dieser hat jedenfalls in Bezug auf die klägerische Partei nicht vor dem 25. Mai 2018 und damit dem Zeitpunkt stattgefunden, seit dem die Datenschutz-Grundverordnung gilt (Art. 99 Abs. 2 DSGVO; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 19). Die klägerische Partei hat in der Klage behauptet, dass die Daten im Jahr 2019 gescrapt worden seien. Das hat die Beklagte in erster Instanz nicht hinreichend bestritten. Sie nennt zwar in der Klageerwiderung (Seite 11 Rn. 24) den Zeitraum von Januar 2018 bis September 2019. An dieser Stelle erläutert sie aber, wie das Facebook-Profil in dem angegebenen Zeitraum eingestellt war. Ergänzend führt sie an, dass sich das Scraping innerhalb dieses Zeitraums, in dem das Facebook-Profil in der dort beschriebenen Weise eingestellt war, ereignet habe. Damit bestreitet sie den von der klägerischen Partei behaupteten Zeitraum nicht, sondern greift ihn auf. Zugleich hat sie die Behauptung der klägerischen Partei mit der in der Klageerwiderung vorgelegten Pressemitteilung Anlage B 10 (auch anrufbar unter: https://about.fb.com/de/news/2021/04/die-fakten-zu-medienberichten-ueber-facebook-daten/), in der es heißt, „Aufgrund der von uns ergriffenen Maßnahmen sind wir zuversichtlich, dass das spezifische Problem, das ihnen das Scrapen dieser Daten im Jahr 2019 ermöglichte, nicht mehr besteht.“ sowie „Als uns bewusst wurde, wie böswillige Akteure diese Funktion im Jahr 2019 nutzten, haben wir Änderungen am Kontakt-Importer vorgenommen.“, unstreitig gestellt. Überdies hat sie sowohl vorgerichtlich in der Auskunft an die klägerische Partei (Anlage KGR 5) angegeben, dass die Daten im Zeitraum „bis September 2019“ erlangt worden seien, als auch in erster Instanz diese Behauptung wiederholt. Wenn die Beklagte diesen Vortrag in der Berufungsinstanz nunmehr bestreitet und ihr Vorbringen in der Klageerwiderung anders verstanden wissen will, ist sie mit diesem neuen Vortrag nach § 531 Abs. 2 ZPO ausgeschlossen. Ist eine Behauptung in erster Instanz unstreitig, ist das Bestreiten in der Berufungsinstanz nicht zu berücksichtigen, wenn die Partei nicht aufzeigt, warum es ihr nicht möglich war, bereits in erster Instanz zu bestreiten (BGH, Beschluss vom 12. Oktober 2021 – VIII ZR 51/20, Rn. 14). Entsprechender Vortrag fehlt. Dass die Daten zu einem unbekannten Zeitpunkt im Zeitraum Januar 2018 bis September 2019 gescrapt worden sind, ist im Berufungsrechtszug auch nicht unstreitig. Zwar spricht die klägerische Partei in der Berufungsbegründung (Seite 6 - eA 14) davon, dass sich das Scraping im vorgenannten Zeitraum ereignet habe. Diesen Vortrag hat sie aber vor der mündlichen Verhandlung (§ 137 Abs. 1 ZPO) mit Schriftsatz vom 25. Februar 2025 (Seite 17 - eA 264) geändert und behauptet nunmehr wie in erster Instanz, der Vorfall habe sich im Jahr 2019 ereignet. Auf die etwaige Widersprüchlichkeit dieser Behauptungen käme es erst an, wenn die Behauptung der Beklagten im Berufungsrechtszug zu berücksichtigen wäre, was nach dem Vorstehenden aber nicht der Fall ist (§ 531 Abs. 2 ZPO). Wenn die Beklagte nunmehr im Berufungsrechtszug erklärt, sie könne nicht sagen, wann das Scrapen stattgefunden habe, es könne auch seit Anfang Januar 2018 gewesen sein, ist dies überdies ohnehin nicht ausreichend. Sie muss vielmehr vortragen, welche tatsächlichen Anhaltspunkte sie dazu bewegen, von ihrem bisherigen Vorbringen abzurücken. (2) Der sachliche Anwendungsbereich der DSGVO ist eröffnet. Der Betrieb eines sozialen Netzwerkes durch Sammlung/Speicherung jedenfalls des Namens und Geschlechts von Mitgliedern und die automatisierte Vernetzung der Mitglieder sowie deren Beschickung mit individualisierter Werbung fällt in den sachlichen Anwendungsbereich der DSGVO im Sinne des Art. 2 Abs. 1 DSGVO; die Tätigkeit unterfällt - was die Beklagte aber auch schon nicht in Anspruch nimmt - keinem Ausnahmetatbestand im Sinne von Art. 2 Abs. 2 bis Abs. 4 DSGVO oder der Öffnungsklausel nach Art. 85 Abs. 2 DSGVO (vgl. konkret zur Beklagten EuGH, Urteil vom 4. Juli 2023 - C-252/21, Rn. 27; EuGH, Urteil vom 5. Juni 2018 - C-210/16, Rn. 30; siehe zu einer Internetsuchmaschine auch BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18, Rn. 13 f.). Bei den hier in Rede stehenden Daten (Mobiltelefonnummer, Name, Facebook-ID, Geschlecht, Beziehungsstatus und Arbeitgeber) handelt es sich um personenbezogene Daten im Sinne der Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7, Art. 2 Abs. 1 in Verbindung mit Art. 4 Nr. 1 DSGVO. Die personenbezogenen Daten (konkret jedenfalls Telefonnummer, Facebook-ID, Familienname, Vorname sowie Geschlecht) hat die Beklagte auch im Sinne von Art. 2 Abs. 1 in Verbindung mit Art. 4 Nr. 2 DSGVO automatisiert verarbeitet (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 77 ff.; OLG Köln, Urteil vom 7. Dezember 2023 – I-15 U 67/23, juris Rn. 33; vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 19). (3) Der räumliche Anwendungsbereich der DSGVO (Art. 3 Abs. 1 DSGVO) ist eröffnet. Die Beklagte ist Verantwortliche der Verarbeitung im Sinne von Art. 4 Nr. 7 DSGVO (vgl. konkret zur Beklagten EuGH, Urteil vom 4. Juli 2023 - C-252/21, Rn. 86 ff.; EuGH, Urteil vom 28. April 2022 - C-319/20, Rn. 34; EuGH, Urteil vom 5. Juni 2018 - C-210/16, Rn. 30; siehe auch BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18, Rn. 13). Sie hat ihren Sitz in Irland, betreibt jedenfalls für die Tätigkeit ihrer Datenverarbeitung eine Niederlassung in Irland, also innerhalb der Union (vgl. auch BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18, Rn. 15; OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 81 – 83; vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 19). bb) Die Beklagte hat auch als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO gehandelt, da sie Inhaberin des sozialen Netzwerkes ist, von dem die Daten der klägerischen Partei „gescrapt" wurden und da sie innerhalb dieses Netzwerks selbst auch den entsprechenden Suchautomatismus durch das CIT zur Verfügung gestellt hat, der im Rahmen des streitgegenständlichen Datenschutzvorfalls benutzt wurde (OLG Köln, Urteil vom 7. Dezember 2023 – I-15 U 67/23, juris Rn. 34; OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 89). cc) Der Beklagten sind auch Verstöße gegen die Vorschriften der DSGVO vorzuwerfen. (1) Der Beklagten sind Verstöße gegen Art. 5 Abs. 1 lit. b), 25 Abs. 2, 32 Abs. 1 DSGVO vorzuwerfen, weil sie keine geeigneten technischen und organisatorischen Maßnahmen getroffen hat, die sicherstellen konnten, dass durch die von ihr gewählten Voreinstellungen im Rahmen der Suchbarkeit des Profils mithilfe der Telefonnummer und das Zur-Verfügung-Stellen des CIT nur solche personenbezogenen Daten der klägerischen Partei verarbeitet wurden, die für den jeweiligen bestimmten Verarbeitungszweck erforderlich waren. (a) Dabei bedarf es im Streitfall keiner Entscheidung, ob ein Verstoß gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO nicht nur die unrechtmäßige Verarbeitung von personenbezogenen Daten erfasst, wie es Art. 82 Abs. 2 Satz 1 und ErwG 146 Satz 1 DSGVO nahelegen (vgl. auch EuGH, Urteil vom 4. Mai 2023 - C-300/21, Rn. 36 - Österreichische Post: „Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO"), oder ob grundsätzlich auch bloße Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb eines konkreten Verarbeitungsvorgangs haftungsbegründend sein können (zum Streitstand siehe Paal, ZfDR 2023, 325, 334 ff.; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris Rn. 381 ff.; offengelassen auch von OLG Oldenburg, Urteil vom 21. Mai 2024 - 13 U 100/23, juris Rn. 24; jeweils mwN). Denn angesichts des umfassenden Verarbeitungsbegriffs des Art. 4 Nr. 2 DSGVO (jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung) wäre auch bei einem engeren Verständnis des Art. 82 Abs. 1 DSGVO in Bezug auf den hier inmitten stehenden Scraping-Vorfall ohne Weiteres von einer Datenverarbeitung der Beklagten in Form der Speicherung, des Abfragens, der Offenlegung durch Übermittlung, der Bereitstellung und Verknüpfung auszugehen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 23). Entsprechend hat der Gerichtshof bereits entschieden, dass bei Verstößen gegen die Vorschriften der Art. 5 bis 11 DSGVO, mithin des zweiten Kapitels der Datenschutz-Grundverordnung, die Grundsätze für die Verarbeitung von Daten aufstellen, zugleich eine unrechtmäßige Datenverarbeitung vorliegt (vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22, Rn. 54-57 - Bundesrepublik Deutschland [Elektronisches Gerichtsfach]). Bedenken gegen die Anwendbarkeit des Art. 82 Abs. 1 DSGVO auf Verstöße gegen Art. 5 DSGVO bestehen daher nicht (vgl. auch bereits EuGH, Urteil vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 42 f. - MediaMarktSaturn; EuGH, Urteil vom 14. Dezember 2023 - C-340/21, Rn. 52 f. - Natsionalna agentsia za prihodite). Aber auch für Verstöße gegen Vorschriften aus dem vierten Kapitel der Datenschutz-Grundverordnung (Art. 24 bis 43 DSGVO) hat der Gerichtshof zu einzelnen Vorschriften bereits angenommen, dass ein Schadensersatzanspruch aus Art. 82 DSGVO möglich ist (vgl. zu einem Verstoß gegen Art. 32 DSGVO EuGH, Urteil vom 25. Januar 2024 - C-687/21, Rn. 42 f. - MediaMarktSaturn; EuGH, Urteil vom 14. Dezember 2023 - C-340/21, Rn. 52 f. - Natsionalna agentsia za prihodite; für Verstöße gegen Art. 26 und 30 DSGVO EuGH, Urteil vom 4. Mai 2023 - C-60/22, Rn. 66 f. - Bundesrepublik Deutschland [Elektronisches Gerichtsfach]; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 24). (b) Es kommt in diesem Zusammenhang auch nicht darauf an, ob einer oder mehrere Verstöße gegen die Datenschutz-Grundverordnung festgestellt werden können, da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führt (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 59 f., 64 f.; OLG Oldenburg, Urteil vom 21. Mai 2024 - 13 U 100/23, juris Rn. 24; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 25, 96). (c) Die Beklagte traf die Darlegungslast dahin, die betroffenen personenbezogenen Daten der klägerischen Partei entsprechend der DSGVO verarbeitet zu haben. Obwohl es sich bei dem für die Haftung nach Art. 82 DSGVO erforderlichen Verstoß gegen die DSGVO im Zuge der Datenverarbeitung um eine anspruchsbegründende Voraussetzung handelt, ist nicht die klägerische Partei für einen solchen Verstoß darlegungs- und beweisbelastet: Nach der Rechtsprechung des Europäischen Gerichthofs ist es nur, soweit der jeweils maßgebliche unionsrechtliche Rechtsakt keine spezifischen Bestimmungen hierzu enthält, Sache des nationalen Gerichts, die Beweislastregelungen der nationalen Rechtsordnung anzuwenden, sofern damit die Wirksamkeit des Unionsrechts nicht beeinträchtigt und die Einhaltung der sich aus dem Unionsrecht ergebenden Verpflichtungen sichergestellt wird (so BVerwG, Urteil vom 2. März 2022 - 6 C 7/20, Rn. 48 unter Verweis auf: EuGH, Urteil vom 3. Oktober 2013 - C-113/12, Rn. 61; EuGH, Urteil vom 9. Juli 2020 - C-86/19, Rn. 44; EuGH, Urteil vom 21. Dezember 2021 - C-124/20, Rn. 65; siehe auch Schlussanträge des Generalanwalts vom 20. Juni 2019 - C-212/18, Rn. 47; siehe im Kontext zur Bemessung des Schadensersatzes nach Art. 82 Abs. 2 DSGVO: EuGH Urteil vom 4. Mai 2023 - C-300/21, Rn. 53 ff., insbesondere auch zum Grundsatz der Effektivität und Äquivalenz). Die DSGVO enthält indes in Art. 5 Abs. 2 DSGVO eine spezifische Beweislastregelung. Danach ist nämlich der für die Datenverarbeitung Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO enthaltenen Grundsätze der Datenverarbeitung verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht"). Er muss damit also generell - und entgegen dem Ansatz der Beklagten auch im Zivilprozess - nach dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält (EuGH, Urteil vom 4. Juli 2023 - C-252/21, Rn. 95, 152, 154; EuGH, Urteil vom 4. Mai 2023 - C-60/22, Rn. 53; EuGH, Urteil vom 24. Februar 2022 - C-175/20, Rn. 77 f., 81; vgl. zu Art. 32, 24 DSGVO speziell auch GA Pitruzzella Schlussanträge vom 27. April 2023 - C-340/21, Rn. 45-53; siehe auch BVerwG, Urteil vom 1. März 2022 - 6 C 7 /20, Rn. 49 f.). Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren (EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Tenor zu 3. und Rn. 48 ff., Rn. 57). Gemessen daran hat die Beklagte als die für die Datenverarbeitung Verantwortliche weder schlüssig dargelegt noch gar bewiesen, dass ihre streitgegenständliche, zum Scraping-Vorfall bei der klägerischen Partei führende Verarbeitung entgegen dem klägerischen Vorbringen nicht gegen die in Art. 5 Abs. 1 DSGVO normierten Grundsätze verstoßen hat. (d) Die von der Beklagten vorgenommene Voreinstellung der Suchbarkeitseinstellungen auf „alle" hat schon nicht dem Grundsatz der Datenminimierung entsprochen, wie er in Art. 5 Abs. 1 lit. b) und c), Art. 25 Abs. 2 Satz 1 und 3 DSGVO festgehalten ist (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 22, 86 ff.; OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 127 f.). (aa) Der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO verlangt, dass die Datenverarbeitung dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt ist. Nach ständiger Rechtsprechung des Gerichtshofs müssen sich die Ausnahmen und Einschränkungen des Grundsatzes des Schutzes solcher Daten auf das absolut Notwendige beschränken (EuGH, Urteil vom 24. Februar 2022 - C-175/20, Rn. 73 mwN; vgl. auch bereits EuGH, Urteil vom 11. Dezember 2019 - C-708/18, Rn. 46 - Asociaţia de Proprietari bloc M5A-ScaraA; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 87; Frenzel in: Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 5 Rn. 34 ff.; Schantz in: BeckOK DatenschutzR, 49. Ed. [Stand: 1. November 2021], Art. 5 DSGVO Rn. 24 ff.). (bb) Die Grundsätze des Art. 5 DSGVO werden durch konkrete Vorgaben zur technischen Ausgestaltung und insbesondere durch Vorgaben in Bezug auf datenschutzfreundliche Voreinstellungen in Art. 25 DSGVO konkretisiert (vgl. zum Verhältnis von Art. 5 und Art. 25 DSGVO Heberlein in: Ehmann/Selmayr, DSGVO, 3. Aufl., Art. 5 Rn. 6 und 31; Schantz in: BeckOK DatenschutzR, 49. Ed. [Stand: 1. November 2021], Art. 5 DSGVO Rn. 25; Herbst in: Kühling/Buchner, DSGVO - BDSG, 4. Aufl. 2024, Art. 5 DSGVO Rn. 59 und Hartung in: Kühling/Buchner, DSGVO - BDSG, 4. Aufl. 2024, Art. 25 DSGVO Rn. 25). Nach Art. 25 Abs. 2 DSGVO hat der Verantwortliche demnach geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Damit beinhaltet Art. 25 Abs. 2 Satz 3 DSGVO die ausdrückliche Verpflichtung zu Voreinstellungen, die verhindern, dass die Daten ohne Weiteres, also ohne bewusste persönliche Änderung der Voreinstellung, der Öffentlichkeit oder sonst einem unbestimmten Adressatenkreis zugänglich gemacht werden (Heberlein in: Ehmann/Selmayr, DSGVO, 3. Aufl. 2024, Art. 5 Rn. 31; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 88). Die Vorgabe, die Daten nicht „einer unbestimmten Zahl natürlicher Personen" zugänglich zu machen, ist nach ihrem Zweck darauf ausgelegt, dass der Personenkreis derjenigen, die Zugriff auf die Daten des Betroffenen haben können, für diesen überschaubar sein soll. Die Regelung des Art. 25 Abs. 2 DSGVO hat dabei gerade die Voreinstellungen von sozialen Netzwerken im Blick (Hansen in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, Art. 25 DSGVO Rn. 42 und 53; Hartung in: Kühling/Buchner, DSGVO - BDSG, 4. Aufl. 2024, Art. 25 DSGVO Rn. 26; Nolte/Werkmeister in: Gola/Heckmann, DSGVO/BDSG, 3. Aufl. 2022, Art. 25 DSGVO Rn. 28; vgl. bereits das Arbeitspapier der Art. 29 Arbeitsgruppe, WP 163, 12). Dahinter steht die Erkenntnis, dass werkseitig vorgegebene Voreinstellungen durch die Nutzer nur selten verändert werden. Es soll daher verhindert werden, dass Nutzer durch Voreinstellungen, die eine über die erforderliche Verarbeitung hinausgehende extensive Datennutzung vorsehen, dazu verleitet werden, ihre Datenschutzrechte abzuwählen, ohne dies zu realisieren (vgl. auch das Arbeitspapier der Kommission zur Folgenabschätzung einer Datenschutzverordnung SEC(2012)72 final, Seite 21 f. zum unzureichenden Risikobewusstsein und der Unterschätzung von Risiken für die Privatsphäre bei Nutzern sozialer Netzwerke; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 89 mwN). (cc) Diesen Anforderungen wurde das Vorgehen der Beklagten zum maßgeblichen Zeitpunkt des Scraping-Vorfalls nicht gerecht (vgl. auch die Entscheidung der Irischen Datenschutz Kommission vom 25. November 2022 - IN-21-4-2, Rn. 182 f.; OLG Dresden, RDV 2024, 246; 247 f.; LG Freiburg, Urteil vom 15. September 2023 - 8 O 21/23, juris Rn. 118 ff.). Die standardmäßige Voreinstellung der Beklagten sah für die Suchbarkeit eines Nutzerprofils über die Telefonnummer vor, dass „alle" anderen Facebook-Nutzer eine entsprechende Rufnummernsuche durchführen konnten. Gleichzeitig wurde über die Suchbarkeit der Rufnummer auch die Zugänglichkeit zu weiteren Profildaten eröffnet, was sich konkret in der Vorgehensweise der Scraper niederschlug, die den Umstand ausnutzten, über die Verknüpfung der Rufnummer sodann die „öffentlichen" personenbezogenen Daten des Nutzerprofils abzugreifen. Eine Einschränkung der Suchbarkeit konnte nur durch aktive Veränderung der Suchbarkeitseinstellungen durch den Nutzer selbst herbeigeführt werden. Datenschutzfreundlichere Einstellungsoptionen - insbesondere die erst 2019 eingeführte Suchbarkeitsoption „nur ich" - wurden demgegenüber nur als opt out-Lösungen angeboten, obwohl die Nutzbarkeit des sozialen Netzwerks als solche hiervon nicht abhing, da eine Suche auch über die Eingabe des Namens möglich gewesen wäre (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 90). (e) Die Beklagte hat nicht schlüssig dargelegt, dass sie die personenbezogenen Daten der klägerischen Partei rechtmäßig im Sinne des Art. 6 Abs. 1 DSGVO verarbeitet hat. Die von der Beklagten gewählte Voreinstellung stellt sich auch im Fall der klägerischen Partei als unrechtmäßig dar. Die Vorgehensweise der Beklagten im Streitfall ist nicht durch eine - hier mangels Erforderlichkeit (vgl. Art. 6 Abs. 1 Unterabs. 1 lit. b) - f) DSGVO) zur Rechtfertigung allein in Betracht kommende - wirksame Einwilligung der klägerischen Partei in die Verwendbarkeit ihrer Telefonnummer im Rahmen der Suchbarkeitsfunktion gerechtfertigt (Art. 6 Abs. 1 Unterabs. 1 lit. a) DSGVO; vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 43 ff., 91; OLG Oldenburg, Urteil vom 21. Mai 2024 – 13 U 100/23, juris Rn. 30 ff.; OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 90 ff.). Es ist nicht festzustellen, dass sich die im Rahmen der Registrierung erteilte Einwilligung der klägerischen Partei auf die konkrete Datenverarbeitung - hier: die Öffentlichkeit der Daten in Verbindung mit der Suchbarkeitsfunktion - bezieht (Art. 4 Nr. 11 DSGVO; vgl. EuGH, Urteil vom 1. Oktober 2019 - C-673/17, NJW 2019, 3433 Rn. 58, 60 - planet49), das der klägerischen Partei im Zuge des Registrierungsverfahrens unterbreitete Ersuchen um Einwilligung transparent, d.h. in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgte (Art. 7 Abs. 2, ErwG 42 DSGVO), die klägerische Partei ihre Einwilligungserklärung auf dieser Grundlage in informierter Weise und unmissverständlich abgegeben hat (Art. 4 Nr. 11 DSGVO) und die Einwilligungserklärung letztlich freiwillig erfolgt ist (Art. 7 Abs. 4, ErwG 42, 43 DSGVO). Hierbei ist auch die beherrschende Stellung der Beklagten auf dem Markt für soziale Netzwerke zu berücksichtigen (vgl. EuGH, Urteil vom 4. Juli 2023 - C-252/21, NJW 2023, 2997 Rn. 140 ff. - Meta Platforms; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 44). (aa) Die Beklagte hat mit Telefonnummer, Facebook-ID, Familienname, Vorname sowie Geschlecht und Beziehungsstatus personenbezogene Daten der klägerischen Partei im Sinne des Art. 5 Abs. 1 lit. a) Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a), Art. 7 in Verbindung mit Art. 4 Nr. 1 DSGVO als Verantwortliche im Sinne von Art. 82 Abs. 1, Abs. 2, Art. 5 Abs. 1 lit. a) Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a), Art. 7 in Verbindung mit Art. 4 Nr. 7 DSGVO ab dem 25. Mai 2018 fortgesetzt verarbeitet im Sinne von Art. 5 Abs. 1 lit. a) Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a), Art. 7 in Verbindung mit Art. 4 Nr. 2 DSGVO. Die (weitere) Datenverarbeitung war deshalb nur dann rechtmäßig, wenn ab diesem Zeitpunkt ein Rechtfertigungsgrund nach Art. 6 Abs. 1 Unterabs. 1 DSGVO vorlag. Daran fehlt es (vgl. OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 84 ff.; OLG Oldenburg, Urteil vom 21. Mai 2024 – 13 U 100/23, juris Rn. 30 ff.). Konkret nicht ausgeräumt hat die Beklagte jedenfalls Verstöße gegen Art. 5 Abs. 1 lit. b), Art. 25 Abs. 1 und Abs. 2 DSGVO (vgl. OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 92 ff., auch zu weiteren Verstößen). (bb) Zunächst war die Datenverarbeitung mit Blick auf die Suchbarkeit eines Nutzerprofils über die Mobilfunktelefonnummer per Such- und Kontaktimportfunktion und insbesondere die diesbezügliche Voreinstellung der Suchbarkeit für „alle" - entgegen der Ansicht der Beklagten - nicht zur Vertragszweckerfüllung erforderlich und damit nicht gemäß Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO gerechtfertigt (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 94 ff.). Soweit die Beklagte die streitgegenständliche, mittlerweile deaktivierte Suchbarkeit des Nutzerprofils über die Telefonnummer für „alle" unter Nutzung der Such- oder Kontaktimportfunktion als für die Vertragserfüllung essentiell, da zur Vernetzung der Nutzer untereinander erforderlich, erachtet, vermag sich der Senat dem (wie OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 95 ff.) nicht anzuschließen: (1) Damit eine Verarbeitung personenbezogener Daten als für die Erfüllung eines Vertrags erforderlich im Sinne des Art. 6 Abs. 1 Unterabs. 1 lit. b) DSGVO angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte (EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 98). Der etwaige Umstand, dass eine solche Verarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist insoweit für sich genommen unerheblich. Entscheidend für die Anwendung des in Art. 6 Abs. 1 Unterabs. 1 lit. b) DSGVO genannten Rechtfertigungsgrundes ist nämlich, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen (EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 99). Dabei ist im Fall eines Vertrages, der mehrere Dienstleistungen oder mehrere eigenständige Elemente einer Dienstleistung umfasst, die unabhängig voneinander erbracht werden können, die Anwendbarkeit von Art. 6 Abs. 1 Unterabs. 1 lit. b) DSGVO für jede dieser Dienstleistungen gesondert zu beurteilen (EuGH, Urteil vom 4. Juli 2023 – C-52/21, Rn. 100). (2) Demzufolge ergibt sich schon allein aus dem Umstand, dass die Beklagte nur hinsichtlich bestimmter personenbezogener Daten vorgab und -gibt, dass diese „immer öffentlich", also zwecks Vernetzung sichtbar und damit suchbar sein müssen, und dem Umstand, dass sie den Nutzern im Rahmen der Zielgruppenauswahl und der Suchbarkeitseinstellungen freistellt, ob und wem die nicht „immer öffentlichen" Daten gezeigt werden bzw. ob und wer nach ihnen suchen kann, dass diese Daten nicht objektiv unerlässlich waren und sind, um eine (hinreichende) Verknüpfung der Nutzer der Beklagten zu ermöglichen. Dass dies (unter Umständen) für die Nutzer (und vor allem im Hinblick auf die Werbezweckrichtung und damit das Geschäftsmodell der Beklagten) wünschenswert gewesen sein mag, reicht gerade nicht. Ob der einzelne Nutzer (sich) diesen Wunsch erfüllen mochte, musste ihm vielmehr im Rahmen einer informierten Einwilligung selbst überlassen bleiben (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 99). (3) Ohne Erfolg beruft sich die Beklagte in rechtlicher Hinsicht darauf, die vorgenannten Vorgaben des Gerichtshofs, die der Senat zugrunde legt, bezögen sich nur auf die vom dortigen Vorabentscheidungsersuchen betroffenen Off-Facebook-Daten und beträfen einen anderen Verarbeitungszweck und ließen sich deshalb auf den vorliegenden Fall nicht übertragen. Wenn auch der Kontext, zu dem sich der EuGH zur Auslegung der geforderten Erforderlichkeit für die Vertragserfüllung geäußert hat, ein anderer war, so besteht jedoch keinerlei Zweifel daran, dass diese Aussagen des Gerichtshofs allgemeingültig sind (vgl. explizit EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 98, siehe oben). Dafür, dass der EuGH insoweit eine differenzierende Begriffsbestimmung für geboten hielte, besteht keinerlei Anhaltspunkt (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 100). (4) Ebenso wenig lässt sich in Anwendung der Begriffsbestimmung durch den EuGH eine Erforderlichkeit der streitgegenständlichen Suchbarkeit des Profils per Suchbarkeits- oder Kontaktimportfunktion über eine künstliche Aufspaltung des einheitlichen Nutzungsvertrags in mehrere gesonderte Verträge oder eigenständige Elemente, jeweils in sich geschlossen auf bestimmte Funktionen des Online-Netzwerks, annehmen. Zwar sind mehrere Dienstleistungen oder mehrere eigenständige Elemente einer Dienstleistung, die unabhängig voneinander erbracht werden können, im Hinblick auf die Anwendbarkeit von Art. 6 Abs. 1 Unterabs. 1 lit. b) DSGVO für jede dieser Dienstleistungen gesondert zu beurteilen (EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 100). Jedoch können vorliegend die Such- oder die Kontaktimportfunktion gerade nicht als eigenständige Elemente einer Dienstleistung betrachtet werden; denn sie dienen schlicht dem von der Beklagten beschriebenen Hauptnutzungszweck der Plattform einer möglichst einfachen Vernetzung der Nutzer untereinander. Ihnen fehlt folglich jeglicher eigenständige Charakter, sie sind Mittel zum Zweck, aber eben kein unerlässliches mit Blick auf die Vernetzung der Nutzer (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 101 ff.). (b) Auch eine Rechtfertigung über Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO (vgl. Anlage B 18) scheidet vorliegend aus (wie OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 105 ff.). (aa) Verarbeitungen personenbezogener Daten sind nach Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO unter drei kumulativen Voraussetzungen rechtmäßig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 106; EuGH, Urteil vom 17. Juni 2021, M.I.C.M. - C-597/19, Rn. 106 mwN). (bb) Jedenfalls das Vorliegen der zweiten Voraussetzung der Erforderlichkeit lässt sich nicht feststellen. Entscheidend hierfür ist, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere die durch die Art. 7 und 8 der EU-Grundrechtecharta garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen (EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 108 mwN). Zudem ist die Voraussetzung der Erforderlichkeit der Datenverarbeitung gemeinsam mit dem sogenannten Grundsatz der „Datenminimierung" zu prüfen, der in Art. 5 Abs. 1 lit. c) DSGVO verankert ist und verlangt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sind (EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 109 mwN; siehe oben). Dass die Suchbarkeit über die Telefonnummer auf den verschiedenen Ebenen, insbesondere per Kontaktimportfunktion von Facebook oder im Facebook-Messenger, nicht erforderlich ist und war, wird schon dadurch belegt, dass diese Funktion zum 6. September 2019 endgültig und vollständig aus allen Anwendungsbereichen eliminiert wurde (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 107 ff.). (c) Die Beklagte kann sich zur Rechtfertigung ihrer Verarbeitung der personenbezogenen Daten nicht auf eine Einwilligung der klägerischen Partei im Sinne des Art. 5 Abs. 1 lit. a) Var. 1, Art. 6 Abs. 1 Unterabs. 1 lit. a) DSGVO berufen. Auch wenn die in Art. 6 Abs. 1 Unterabs. 1 lit. b) bis lit. f) DSGVO vorgesehenen Rechtfertigungsgründe nicht greifen, kann die Verarbeitung personenbezogener Daten infolge einer wirksamen Einwilligung der betroffenen Person rechtmäßig sein (EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 93). Eine wirksame Einwilligung der klägerischen Partei im Sinne von Art. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7 DSGVO in die Suchbarkeit ihres Nutzerprofils über die Mobilfunktelefonnummer lag allerdings nicht vor (wie OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 111 ff.; OLG Oldenburg, Urteil vom 21. Mai 2024 – 13 U 100/23, juris Rn. 30 ff.). (aa) Nach Art. 6 Abs. 1 Unterabs. 1 lit. a) DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke freiwillig in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt hat (EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 91 f.; EuGH, Urteil vom 11. November 2020 – C-61/19, Rn. 35 f.). Dabei gilt es, auch den Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a) Var. 3 DSGVO zu berücksichtigen (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 113). (bb) Soweit die klägerische Partei möglicherweise vor dem 25. Mai 2018 in die Suchbarkeit ihres Profils über die Mobilfunknummer eingewilligt hat, konnte eine solche Einwilligung unter Geltung der DSGVO jedenfalls keine rechtfertigende Wirkung mehr entfalten; denn nach Erwägungsgrund 171 Satz 3 DSGVO musste eine vorab erteilte Einwilligung bereits den Bedingungen der DSGVO entsprechen, um fortzugelten. Daran fehlt es vorliegend, weil auch die im April 2018 von der Beklagten der klägerischen Partei mit Blick auf den Geltungsbeginn der DSGVO zur Verfügung gestellten neuen Nutzungsbedingungen vom 19. April 2018 (Anlage B 19) und die zur Verfügung gestellte neue Datenrichtlinie vom 19. April 2018 (Anlage B 20) den Anforderungen der DSGVO nicht genügen. Hierauf ist allein abzustellen, da die Beklagte zu Änderungen ihrer allgemeinen Nutzungsbedingungen nach dem 19. April 2018, etwa zum 31. Juli 2019 (EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 32), die noch Relevanz haben könnten, nichts vorgetragen hat (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 114). (cc) Unter Berücksichtigung der historischen Entwicklung von der Datenschutz-Richtlinie (im Folgenden: DSRL) zur DSGVO und bei europarechts-autonomer Auslegung erfordert eine wirksame Einwilligung seit dem 25. Mai 2018 ein aktives Verhalten des Einwilligenden. Entsprechend Erwägungsgrund 32 Satz 3 DSGVO folgt aus Stillschweigen, bereits angekreuzten Kästchen oder Untätigkeit der betroffenen Person keine Einwilligung mehr (EuGH, Urteil vom 11. November 2020 – C-61/19, Rn. 35 f.; EuGH, Urteil vom 1. Oktober 2019 – C-673/17, Rn. 51 ff., insbesondere Rn. 61 ff.). Gemessen daran kann die Beklagte schon allein auf Grund des Umstandes, dass sie mit ihrer Voreinstellung „alle" zur Suchbarkeit zum Zeitpunkt der Bedingungsänderungen am 19. April 2018 unverändert eine „Opt-Out-Einwilligung" vorsah, keine wirksame Einwilligung vorweisen (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 116; OLG Oldenburg, Urteil vom 21. Mai 2024 – 13 U 100/23, juris Rn. 32 ff.). (dd) Zudem steht der Annahme einer wirksamen Einwilligung auch entgegen, dass die Beklagte nicht transparent und ausreichend über die Bedeutung der Suchbarkeitseinstellung informiert hat. Eine Einwilligung „in informierter Weise“ (Art. 4 Nr. 11 DSGVO) hätte vorausgesetzt, dass die Beklagte die klägerische Partei transparent über die Suchbarkeit des Nutzerprofils anhand der Telefonnummer informiert hätte. Die Beklagte hat jedoch nicht dargelegt, dies getan zu haben (OLG Oldenburg, Urteil vom 21. Mai 2024 – 13 U 100/23, juris Rn. 33). Es erfolgten nur pauschale Hinweise im ersten Schritt des (Bestätigungs-) Verfahrens zur Anpassung des Nutzungsvertrages an die DSGVO: Im zweiten Schritt - nach dem Klick auf „Los geht`s" - folgte ebenfalls keine transparente Information: Eine ausreichende Information über die (weiterhin, also ohne individuelle Änderung unverändert voreingestellte) Suchbarkeit hätte sich nur in dem Link zu Nutzungsbedingungen „verbergen" können, da nur zu diesen eine Zustimmung („Ich stimme zu") abgefragt wurde; so heißt es in der Anmerkung zum Zustimmungsfeld nur „Indem du auf „Ich stimme zu" klickst, akzeptierst du die aktualisierten Nutzungsbedingungen". Die Zustimmung „Ich stimme zu" bezieht sich damit ausdrücklich nicht auch auf die Datenrichtlinie, die Cookie-Richtlinie oder die bisherigen Einstellungen hinsichtlich der Daten, der Privatsphäre und der Sicherheit (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 117 ff.; OLG Oldenburg, Urteil vom 21. Mai 2024 – 13 U 100/23, juris Rn. 34). Allein unter Ziffer 2 der Nutzungsbedingungen (Anlage B 19), wobei Datenrichtlinie und Einstellung verlinkt sind, heißt es wie folgt: „2. Unsere Datenrichtlinie und deine Privatsphäre-Einstellungen Wir erfassen und verwenden deine personenbezogenen Daten, um die oben beschrieben Dienste für dich bereitzustellen. In unserer Datenrichtlinie erfährst du, wie wir deine Daten erfassen und verwenden. Wir empfehlen dir außerdem, deine Privatsphäre-Einstellungen in deinen Einstellungen zu überprüfen. Diese legen die Art und Weise fest, wie wir Daten verwenden." Auch im Übrigen lassen sich den Nutzungsbedingungen vom 19. April 2018 (Anlage B 19) keinerlei Angaben zu Suchbarkeitseinstellungen entnehmen. Es wurde somit in keiner Weise überhaupt darauf hingewiesen, dass eine (erneute) Zustimmung zur Datenrichtlinie oder erst recht zu den bisherigen Privatsphäre-Einstellungen erforderlich war. Dies widersprach Erwägungsgrund 42 Satz 2 DSGVO, wonach eine betroffene Person wissen soll, dass und in welchem Umfang eine Einwilligung erteilt wird (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 120 ff.). (ee) Folglich hat die Beklagte nicht wie geboten sichergestellt, dass das - wie auch bei der klägerischen Partei - voreingestellte und ab dem 25. Mai 2018 unzulässige Opt-Out entfiel und die fortgesetzte Datenverarbeitung durch eine der DSGVO entsprechende Einwilligung gedeckt wurde. Da zudem seit dem 25. Mai 2018 eine Einwilligung nur durch ein aktives Tun und nicht durch stillschweigendes Akzeptieren von Voreinstellungen erfolgen kann (siehe oben), hätte die Beklagte die Nutzer im Rahmen der Änderung der Nutzungsbedingungen etc. mithin sämtliche bisherigen Voreinstellungen durchlaufen lassen müssen, diese - wie erst seit Mai 2019 möglich - auf „nur ich" voreinstellen und ihre aktive Einwilligung nach umfassender Information zu hiervon abweichenden neuen Einstellungen einholen müssen (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 126). (d) Ob die Beklagte ihrer Darlegungslast mit Blick auf mögliche weitere Verstöße gegen die DSGVO zeitlich nach dem Scraping-Vorfall und der Veröffentlichung im Darknet nachgekommen ist, kann dahinstehen; denn hinsichtlich der seitens der klägerischen Partei gerügten Verstöße gegen die Meldepflicht nach Art. 33 DSGVO, die Benachrichtigungspflicht nach Art. 34 DSGVO sowie die Nicht- bzw. Schlechterfüllung des Auskunftsrechts nach Art. 15 DSGVO hat die klägerische Partei keinen konkreten auf die fehlenden Informationen zurückzuführenden Schaden dargelegt noch ist ein solcher sonst ersichtlich. Dass das Scrapen aufgrund einer rechtzeitigen Information noch konkret bezüglich der klägerischen Partei hätte verhindert oder die Veröffentlichung des Leak-Datensatzes mitsamt den Daten der klägerischen Partei hätte verhindert werden können, ist schon nicht ersichtlich, hätte aber auch allenfalls zum Entfallen des aus Sicht der klägerischen Partei erst auf Grund der Veröffentlichung entstandenen Schadens und gerade nicht zu einer Vertiefung oder Begründung desselben geführt. Dasselbe gilt für eine gerügte Verletzung von Art. 17 (Recht auf Löschung/ „Recht auf Vergessenwerden“) und 18 DSGVO (Recht auf Einschränkung der Verarbeitung) (OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, juris Rn. 147 ff.; vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 26). dd) Der klägerischen Partei ist ein immaterieller Schaden durch die genannten Datenschutzverstöße der Beklagten entstanden. (1) Die von der DSGVO verwandten Begriffe „immaterieller" und „materieller" Schaden sind unionsautonom auszulegen und setzen nach dem Wortlaut der Norm, der Systematik und Telos des Art. 82 Abs. 2, Abs. 1 DSGVO sowie der Art. 77-84 DSGVO und den Erwägungsgründen 75, 85 und 146 DSGVO einen über den schlichten Verstoß gegen die DSGVO hinausgehenden Schaden voraus (so EuGH Urteil vom 4. Mai 2023 - C-300/21, Leitsatz 1 und Rn. 29-42; EuGH, Urteil vom 14. Dezember 2023 – C-456/22, Leitsatz und Rn. 21; EuGH, Urteil vom 11. April 2024 – C-741/21, Leitsatz und Tenor zu 1. und Rn. 32 ff., 43; EuGH, Urteil vom 20. Juni 2024 – C-590/22, Tenor zu 1. und Rn. 20 ff.; Generalanwalt Campos Sánchez-Bordona, Schlussanträge vom 6. Oktober 2022 - C-300/21, juris Rn. 117; OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, Rn. 152). Der Begriff des „immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., EuGH, Urteil vom 20. Juni 2024 - C-590/22, Rn. 31 - PS GbR; EuGH, Urteil vom 25. Januar 2024 - C-687/21, Rn. 64 - MediaMarktSaturn; EuGH, Urteil vom 4. Mai 2023 - C-300/21, Rn. 30 und 44 - Österreichische Post). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, Rn. 25 - PS GbR; EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 34; EuGH, Urteil vom 4. Mai 2023 - C-300/21, Rn. 42 - Österreichische Post; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 28; BGH, Urteil vom 28. Januar 2025 – VI ZR 109/23, Rn. 9; BGH, Urteil vom 28. Januar 2025 – VI ZR 109/23, Rn. 12). Insoweit hat der Gerichtshof festgestellt, dass aus dem Wortlaut von Art. 82 Abs. 1 DSGVO klar hervorgeht, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, Rn. 32; EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 77; EuGH, Urteil vom 14. Dezember 2023 – C-456/22, Leitsatz und Rn. 14; EuGH, Urteil vom 25. Januar 2024, MediaMarktSaturn, C-687/21, Rn. 58 mwN; EuGH, Urteil vom 11. April 2024 – C-741/21, Rn. 34). (2) Ein solcher Schaden setzt jedoch - entgegen möglicherweise bestehendem innerstaatlichen Recht (vgl. für das deutsche Deliktsrecht zuletzt etwa BGH, Urteil vom 6. Dezember 2022 - VI ZR 168/21, Rn. 18 mwN) - nach Wortlaut, Erwägungsgründen 10, 146 DSGVO und Telos nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urteil vom 4. Mai 2023 - C-300/21, Rn. 44-51; EuGH, Urteil vom 14. Dezember 2023 – C-456/22, Leitsatz und Rn. 16; EuGH, Urteil vom 25. Januar 2024, MediaMarktSaturn, C-687/21, Rn. 59; EuGH, Urteil vom 11. April 2024 – C-741/21, Rn. 36; EuGH, Urteil vom 20. Juni 2024 – C-590/22, Rn. 26; vgl. auch BAG, Vorlagebeschluss vom 26. August 2021 - 8 AZR 253/20 (A), Rn. 33; offen gelassen BVerfG, Beschluss vom 14. Januar 2021 - 1 BvR 2853/19, Rn. 19 ff.; siehe zu Störungen und Belästigungen sowie Zorn und Ärger in Abgrenzung gegenüber Schäden GA Campos Sánchez-Bordona Schlussanträge vom 6. Oktober 2022 - C-300/21, Rn. 111 ff.; GA Pitruzzella Schlussanträge vom 27. April 2023 - C-340/21, Rn. 79 ff. und insbesondere Rn. 83 und EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 85 zur von den nationalen Gerichten zu beantwortenden Frage des Schadens im Einzelfall; siehe auch OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, Rn. 154 und unten; BGH, Urteil vom 28. Januar 2025 – VI ZR 109/23, Rn. 9). (3) Weiter ist im vorliegenden Fall festzustellen, dass Art. 82 Abs. 1 DSGVO nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DSGVO von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte (EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 79). (4) Somit schließt der Wortlaut von Art. 82 Abs. 1 DSGVO nicht aus, dass der in dieser Bestimmung enthaltene Begriff „immaterieller Schaden“ eine Situation wie die hiesige umfasst, in der sich die betroffene Person, um Schadenersatz nach dieser Bestimmung zu erhalten, auf ihre Befürchtung beruft, dass ihre personenbezogenen Daten aufgrund des eingetretenen Verstoßes gegen die DSGVO in Zukunft von Dritten missbräuchlich verwendet werden (EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 80; EuGH, Urteil vom 20. Juni 2024 – C-590/22, Tenor zu 2. und Rn. 29 ff.). Diese wörtliche Auslegung wird zweitens durch den 146. Erwägungsgrund der DSGVO bestätigt, der speziell den in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruch betrifft und in dessen drittem Satz es heißt, dass „[d]er Begriff des Schadens… im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Eine Auslegung des Begriffs „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO, die nicht die Fälle umfasst, in denen die von einem Verstoß gegen die DSGVO betroffene Person sich auf die Befürchtung beruft, dass ihre eigenen personenbezogenen Daten in Zukunft missbräuchlich verwendet werden, entspräche jedoch nicht einer weiten Auslegung dieses Begriffs, wie sie vom Unionsgesetzgeber beabsichtigt ist (vgl. entsprechend EuGH, Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, Rn. 37 und 46; EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 81). Weiterhin hat der Gerichtshof in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO (vgl. ferner ErwG 75 DSGVO) klargestellt, dass schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteil vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137- Agentsia po vpisvaniyata; EuGH, Urteil vom 20. Juni 2024 - C-590/22, Rn. 33 - PS GbR; EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 42; vgl. zuvor bereits EuGH, Urteil vom 25. Januar 2024 - C-687/21, Rn. 66 - MediaMarktSaturn; EuGH, Urteile vom 14. Dezember 2023 - C-456/22, Rn. 17-23 - Gemeinde Ummendorf sowie - C-340/21, Rn. 82 - Natsionalna agentsia za prihodite). Im ersten Satz des 85. Erwägungsgrundes der DSGVO heißt es, dass „[e]ine Verletzung des Schutzes personenbezogener Daten … - wenn nicht rechtzeitig und angemessen reagiert wird - einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person". Aus dieser beispielhaften Aufzählung der „Schäden", die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden" insbesondere auch den bloßen Verlust der Kontrolle („the mere loss of control", „la simple perte de contrôle") über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (EuGH, Urteil vom 4. Oktober 2024 - C-200/23, juris Rn. 145 - Agentsia po vpisvaniyata; EuGH, Urteil vom 14. Dezember 2023 - C-340/21, Rn. 82 - Natsionalna agentsia za prihodite; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 30; BGH, Urteil vom 28. Januar 2025 – VI ZR 109/23, Rn. 16 f.). Drittens und letztens wird die so vorgenommene Auslegung durch die Ziele der DSGVO gestützt, denen die Definition des Begriffs „Schaden“ in vollem Umfang entsprechen muss, wie es im dritten Satz des 146. Erwägungsgrundes der DSGVO heißt. Eine Auslegung von Art. 82 Abs. 1 DSGVO dahin, dass der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre jedoch nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird (EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 83; vgl. zum Ganzen auch: BGH, Beschluss vom 26. September 2023 – VI ZR 97/22, Vorlagefrage 4 und Rn. 31). (5) Allerdings muss eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (vgl. in diesem Sinne EuGH, Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, Rn. 50; EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 84; EuGH, Urteil vom 14. Dezember 2023 – C-456/22, Leitsatz und Rn. 21; EuGH, Urteil vom 25. Januar 2024 – C-687/21, Leitsatz 4; EuGH, Urteil vom 11. April 2024 – C-741/21, Rn. 35). Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (EuGH, Urteil vom 20. Juni 2024 - C-590/22, Rn. 27 - PS GbR; EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 36; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 29; BGH, Urteil vom 28. Januar 2025 – VI ZR 109/23, Rn. 12). Auch insoweit muss die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust als solchem bestehenden - Schaden erlitten hat (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, Rn. 33 - PS GbR; EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 36 und 42). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 31; BGH, Urteil vom 28. Januar 2025 – VI ZR 109/23, Rn. 17). Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 85). Entsprechend stellt der Gerichtshof auch darauf ab, dass die „konkret erlittenen Schäden" vollständig ausgeglichen werden müssen (EuGH, Urteil vom 4. Mai 2023 - C-300/21, Rn. 58; EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 84; EuGH, Urteil vom 14. Dezember 2023 – C-456/22, Rn. 22; EuGH, Urteil vom 21. Dezember 2023 – C-667/21, Leitsatz 4; OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, Rn. 155). Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rechtsprechung des Gerichtshofs voraus, dass dieser „tatsächlich und sicher" besteht (vgl. etwa zur Haftung der Union im Sinne von Art. 340 Abs. 2 AEUV (Amtshaftung für von EU-Bediensteten oder Organen verursachte Schäden) jeweils mwN: EuGH, Urteil vom 13. Dezember 2018 - C-150/17 P, Rn. 86; EuGH, Urteil vom 13. Mai 2017 - C-45/15 P, Rn. 61; EuGH, Urteil vom 4. April 2017 - C-337/15 P, Rn. 91-94; zur Haftung von Privatpersonen im Sinne von Art. 94 VO/2100/94: EuGH Urteil vom 16. März 2023 - C-522/21, Rn. 38, 46, 49, wobei unter Rn. 37 dargestellt wird, dass ein pauschal festzusetzender Strafschadensersatz wie bei Art. 83 und 84 DSGVO ausscheidet; zur Haftung von Mitgliedstaaten nach nationalem Recht wegen Verstoßes gegen Unionsrecht: EuGH, Urteil vom 25. März 2021 - C-501/18, Rn. 112, 122, 127; OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23, Rn. 156). Insoweit hat der Gerichtshof bereits entschieden, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, und zwar ihre Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben – keine Straf-, sondern eine Ausgleichsfunktion hat. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken (vgl. u. a. EuGH, Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten] - C-300/21, Rn. 38 und 40, EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 59; EuGH, Urteil vom 20. Juni 2024 – C-182/22 und C-189/22, Rn. 22 ff.). Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den erlittenen Schaden in vollem Umfang auszugleichen (EuGH, Urteil vom 20. Juni 2024 – C-182/22 und C-189/22, Rn. 24). Aber auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, Rn. 67 - MediaMarktSaturn; EuGH, Urteil vom 14. Dezember 2023 - C-340/21, Rn. 85 - Natsionalna agentsia za prihodite). Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, Rn. 36 - PS GbR; EuGH, Urteil vom 14. Dezember 2023 - C-340/21, Rn. 75-86 - Natsionalna agentsia za prihodite). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, Rn. 35 - PS GbR; EuGH, Urteil vom 25. Januar 2024 - C-687/21, Rn. 68 – MediaMarktSaturn; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 32; BGH, Urteil vom 28. Januar 2025 – VI ZR 109/23, Rn. 19). (6) Der Betroffene, der Ersatz des immateriellen Schadens verlangt, muss folglich geltend machen (und ggf. nachweisen), dass der Verstoß gegen die Datenschutz-Grundverordnung negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 33). Das Risiko der Nichterweislichkeit - auch in Bezug auf das konkrete Ausmaß eines etwaigen Schadens - verbleibt beim Anspruchsteller (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 35; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 37). (7) Diesen Darlegungserfordernissen genügt das Vorbringen der klägerischen Partei (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 38 ff.). (a) Der Scraping-Vorfall bei der Beklagten als solcher steht ebenso fest wie die anschließende Veröffentlichung der abgegriffenen Daten im Internet. Die klägerische Partei hat bereits erstinstanzlich den Inhalt des von den Scrapern geleakten, auf ihn bezogenen Datensatzes in Form eines wörtlichen Zitats wiedergegeben und geltend gemacht, es handele sich um seine Mobiltelefonnummer, Name, Facebook-ID, Geschlecht, Beziehungsstatus und Arbeitgeber. Zum Kontrollverlust hat die klägerische Partei angegeben, ihre Telefonnummer stets bewusst und zielgerichtet weiterzugeben und diese nicht wahl- und grundlos der Öffentlichkeit, wie etwa im Internet, zugänglich zu machen. Zu den weitergehenden Folgen hat die klägerische Partei vorgetragen, wegen des Scraping-Vorfalls in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch der sie betreffenden Daten verblieben zu sein. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Seit dem Vorfall erhalte sie unregelmäßig unbekannte Kontaktversuche via SMS und/ oder Anrufen. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und Phishing-Attacken. Das habe dazu geführt, dass sie nur noch mit äußerster Vorsicht auf jegliche E-Mails und Nachrichten reagieren könne und jedes Mal einen Betrug fürchte und Unsicherheit verspüre. Zur aufgewendeten Zeit und Mühe trug die klägerische Partei vor, sie habe sich mit dem „Datenleak" auseinandersetzen, den Sachverhalt ermitteln, sich um eine Auskunft der Beklagten kümmern und selbst weitere Maßnahmen ergreifen müssen. (b) Dieses Vorbringen genügt sowohl hinsichtlich des eingetretenen Kontrollverlustes bezüglich ihrer oben genannten Daten als auch hinsichtlich der sich hieraus entwickelnden besonderen Befürchtungen und Bemühungen den Anforderungen an einen hinreichend substantiierten Klagevortrag. Insbesondere war die klägerische Partei nicht gehalten, im Einzelnen auszuführen, welchen anderen Personen sie ihre Daten - insbesondere ihre Telefonnummer - offengelegt hat. Es genügt jedenfalls, wenn sie wie hier angibt, dies zuvor bewusst und ausgewählt getan zu haben, d.h. die Daten nicht allgemein veröffentlicht zu haben. Die Darlegungslast wird auch nicht dadurch erhöht, dass die Telefonnummer im Vergleich zu den in Art. 9 DSGVO genannten besonders sensiblen Daten weniger geheimhaltungsbedürftig ist. Dieser Umstand mag sich zwar auf die Höhe eines etwaigen Schadensersatzanspruches auswirken, beeinflusst die prozessuale Darlegungslast zum Anspruch dem Grunde nach hingegen nicht. Das Risiko, auch Dritte könnten ihre Telefonnummer nicht datenschutzkonform verarbeiten, steht - solange sich dieses nicht unstreitig vor dem Eintritt des Scraping-Vorfalls verwirklicht hatte - der Darlegung eines Kontrollverlusts nicht entgegen. Insoweit unterscheidet sich der durch das Scraping und die dauerhafte Preisgabe der mit dem Namen der klägerischen Partei verknüpften Telefonnummer im Internet behauptete Kontrollverlust wesentlich von den Risiken, die mit einer bewussten und zielgerichteten Weitergabe der Telefonnummer an bestimmte Empfänger verbunden sind (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 38 ff.). (8) Vorliegend hat die klägerische Partei einen Kontrollverlust mit nachfolgenden Unannehmlichkeiten auch nachgewiesen, nicht aber weitergehende psychische Beeinträchtigungen. (a) Ein Kontrollverlust liegt vor. Entgegen der von der Beklagten in der mündlichen Verhandlung geäußerten Rechtsauffassung ist ein Kontrollverlust nicht deshalb ausgeschlossen, weil die klägerische Partei bereits vor dem streitgegenständlichen Scraping Opfer eines Datenlecks war. Kontrolle über seine Daten - insbesondere seine Telefonnummer - hat, wer sie bewusst und ausgewählt offenlegt, d.h. sie nicht allgemein veröffentlicht (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 41). Wer Opfer eines Datenlecks wird, veröffentlicht seine Daten nicht allgemein. Ob dies in besonders gelagerten Fällen anders zu sehen ist, bedarf vorliegend keiner Entscheidung. Ein solcher besonders gelagerter Fall liegt hier jedenfalls nicht vor. Die, wie dem Senat aus Parallelverfahren bekannt, akribisch forschende Beklagte konnte nicht ermitteln, dass die klägerische Partei bereits einmal Opfer eines Datenlecks geworden war. Das hat sie erst selbst im Rahmen ihrer persönlichen Anhörung offenbart. Ein Kontrollverlust liegt vor. Der Scraping-Vorfall bei der Beklagten als solcher steht ebenso fest wie die anschließende Veröffentlichung der abgegriffenen Daten und deren Verfügbarkeit im Internet. Die klägerische Partei hat bereits erstinstanzlich den Inhalt des von den Scrapern geleakten, auf sie bezogenen Datensatzes in Form eines wörtlichen Zitats wiedergegeben und geltend gemacht, es handele sich um ihre Mobiltelefonnummer, Name, Facebook-ID, Geschlecht, Beziehungsstatus und Arbeitgeber. Zum Kontrollverlust hat die klägerische Partei angegeben, diese Daten und insbesondere ihre Telefonnummer stets bewusst und zielgerichtet weiterzugeben und diese nicht wahl- und grundlos der Öffentlichkeit, wie etwa im Internet, zugänglich zu machen. Insofern hat ihre Anhörung vor dem Senat ergeben, dass die klägerische Partei zwar zuvor in vielerlei Form im Internet unterwegs war und ist, nicht aber, dass ihre Mobiltelefonnummer in Zusammenhang mit ihrem Namen (hierum geht es im Wesentlichen) bereits zuvor derart öffentlich bzw. häufig Verwendung gefunden hätte, dass bereits vor dem streitgegenständlichen Vorfall von einem Verlust der Kontrolle hierüber anzunehmen wäre. Die klägerische Partei hat insofern zwar angegeben, auf diversen Social-Media-Plattformen angemeldet zu sein, nämlich neben Facebook noch bei Instagram, Steam und Mastodon, und auch Streamingdienste wie Netflix sowie Messengerdienste wie WhatsApp zu nutzen. Sie hat aber deutlich gemacht, darauf zu achten, möglichst wenig Daten öffentlich werden zu lassen und vor allem ihre Telefonnummer gegenüber dem jeweiligen Dienst nur anzugeben, wenn dies für eine Zwei-Faktor-Authentifizierung oder aus sonstigen Gründen unabweislich notwendig sei. Wenn sie lediglich optional angegeben werden könne, gebe sie ihre Telefonnummer bewusst nicht an. In sozialen Plattformen, wie der von der Beklagten betriebenen, habe sie die Einstellungen stets so gewählt, dass allein sie selbst / nur Freunde die Telefonnummer sehen könne. Im beruflichen Verkehr nutze sie ihre private Telefonnummer nicht. Eine eigene Internetseite unterhalte sie seit 2015 nicht mehr; dort habe sie auch nur ihre E-Mail-Adresse, aber nicht ihre Mobiltelefonnummer angegeben. In den Foren myspace und twitter nutze sie keinen Klarnamen. Auch wenn sie im Internet einkaufe, gebe sie nur die unumgänglich notwendigen Daten an, um das Einkaufen und insbesondere die Lieferung der gekauften Waren zu ermöglichen. Der Senat ist von der Richtigkeit dieser Angaben überzeugt. Die klägerische Partei hat sich freimütig und offen zu ihrem Verhalten in der digitalen Welt geäußert. Gründe, an der Richtigkeit ihrer Angaben zu zweifeln, sind nicht ersichtlich. Hinzu kommt, dass die klägerische Partei im Rahmen ihrer Anhörung eingeräumt hat, bereits zuvor einmal Opfer eines Datenlecks geworden zu sein, was bislang im Prozess nicht bekannt gewesen war. Auch die Beklagte, die, was dem Senat aus Parallelverfahren bekannt ist, akribisch forscht, ob Daten der jeweiligen klägerischen Parteien im Internet zu finden sind, hat nichts vorgebracht, was zu Zweifeln Anlass gäbe. Ein Kontrollverlust ist damit durch den streitgegenständlichen Vorfall eingetreten. (b) Weitergehende psychische Beeinträchtigungen hat die klägerische Partei hingegen nicht bewiesen. Zu den weitergehenden Folgen hat die klägerische Partei schriftsätzlich geäußert, wegen des Scraping-Vorfalls in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch der sie betreffenden Daten zu sein. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Seit dem Vorfall erhalte sie unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und Phishing-Attacken. Das habe dazu geführt, dass sie nur noch mit äußerster Vorsicht auf jegliche E-Mails und Nachrichten reagieren könne und jedes Mal einen Betrug fürchte und Unsicherheit verspüre. Zur aufgewendeten Zeit und Mühe hat die klägerische Partei vorgetragen, sie habe sich mit dem „Datenleak" auseinandersetzen, den Sachverhalt ermitteln, sich um eine Auskunft der Beklagten kümmern und selbst weitere Maßnahmen ergreifen müssen. Eine über den Kontrollverlust hinausgehende psychische Beeinträchtigung liegt darin zur Überzeugung des Senats nicht. Die klägerische Partei hat bei ihrer Anhörung auf den Senat nicht den Eindruck gemacht, besondere Sorge hinsichtlich möglichen Missbrauchs ihrer Daten zu haben. Sie ist nach wie vor vielfach im Internet aktiv, hat ihre Telefonnummer nicht geändert und schildert auch abnehmende Unannehmlichkeiten durch Spam-Mails, Anrufe unbekannter Dritter oder Betrugsversuche. Die vorstehenden Umstände sind aber bei der Bemessung der Höhe des Schadensersatzes zu berücksichtigen. (9) Soweit der Beklagten möglicherweise ein Verstoß gegen die Meldepflicht nach Art. 33 Abs. 1 DSGVO, die Benachrichtigungspflicht nach Art. 34 Abs. 1 DSGVO wegen einer unterlassenen Meldung des Datenschutzvorfalls vorzuwerfen ist, hat die klägerische Partei jedenfalls keine immateriellen Schäden geltend gemacht, die auf diesen Verstoß zurückzuführen sind (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 26). Dabei kann dahinstehen, ob - wie dies die Beklagte geltend macht - ein Verstoß gegen diese Vorschriften nicht in den Schutzbereich von Art. 82 DSGVO fällt, weil der Datenschutzverstoß nicht im Zuge einer Verarbeitung entstanden sein soll. Denn die behaupteten immateriellen Schäden in Form von Angst, Sorge, Unwohlsein sowie Belästigung durch Spam-Anrufe bzw. Spam-SMS könnten, selbst wenn man sie im Rahmen des Art. 82 Abs. 1 DSGVO ausreichen lassen wollte (vgl. dazu Vorlagefrage 4 in: BGH, Beschluss vom 26. September 2023 – VI ZR 97/22, Rn. 31), jedenfalls nicht kausal auf einen Verstoß der Beklagten gegen Art. 33 Abs. 1, 34 Abs. 1 DSGVO zurückgeführt werden. Dabei kommt es auch nicht auf die Frage der genauen Verteilung der Darlegungs- und Beweislast für die Kausalitätsfragen im Rahmen des Art. 82 Abs. 1 DSGVO (dazu OLG Stuttgart, Urteil vom 31. März 2021 - 9 U 34/21 – im darauf folgenden Verfahren vor dem BGH - VI ZR 111/21 ist die Klage zurückgenommen worden) an. Denn die für diese Schäden nach eigenen Angaben der klägerischen Partei maßgebliche Veröffentlichung der Telefonnummer in Verbindung mit seinem Namen im sogenannten Darknet hätte - anderes macht auch die klägerische Partei selbst gar nicht geltend - durch eine Meldung der Beklagten bei ihr oder der Aufsichtsbehörde offensichtlich nicht mehr verhindert werden können. Die klägerische Partei hat auch nichts dazu vorgetragen - und es ist auch sonst nicht ersichtlich - ob und in welcher Weise sie sich bei früherer Information der Beklagten vor den angeblich erlittenen Schäden (Angst, Unsicherheit, Misstrauen, Belästigung durch Anrufe etc.) geschützt hätte bzw. wie sie die irische Datenschutzbehörde bei einer frühzeitigen Information vor diesen angeblichen Auswirkungen hätte schützen können. Soweit die klägerische Partei sich im Rahmen der Verstöße gegen Art. 33 Abs. 1, 34 Abs. 1 DSGVO darauf beruft, sie hätte bei früherer Information zeitnah Schritte zur Risikominimierung und Absicherung einleiten können, ist auch dies kein hinreichender Vortrag, um einen bei ihr entstandenen immateriellen Schaden feststellen zu können. Auch hier fehlen jegliche Angaben der klägerischen Partei dazu, um welche Schritte es sich gehandelt hätte und welche Auswirkungen sie gehabt hätten - zumal sie wie gezeigt - die Sicherheitseinstellungen im Profil nicht geändert und auch ihre Telefonnummer beibehalten hat. Soweit die klägerische Partei behauptet, dass die von Seiten der Beklagten unterlassene Meldung des Vorfalls bei der Aufsichtsbehörde ihren Schaden vertieft bzw. intensiviert habe, ist auch dieser Vortrag - trotz entsprechender Rüge der Beklagten - pauschal und unsubstantiiert geblieben. (10) Soweit die klägerische Partei ihren Schadensersatzanspruch schließlich auf eine Verletzung von Art. 15 DSGVO im Hinblick auf eine vermeintlich unzureichende Auskunft der Beklagten über den Scraping-Vorfall stützt, greift auch dies nicht durch. Dabei kann auch hier dahinstehen, ob ein Verstoß gegen diese Vorschrift in den Schutzbereich von Art. 82 DSGVO fällt. Denn die Beklagte hat im Hinblick auf die von der klägerischen Partei geforderte Auskunft ihre Verpflichtung aus Art. 15 DSGVO nicht verletzt, da sie weder eine verspätete noch eine unvollständige Auskunft erteilt hat. Die Prozessbevollmächtigten der klägerischen Partei haben mit Schreiben vom 3. November 2021 (Anlage K 1) Auskunft darüber gefordert, „ob Sie unsere Mandantschaft betreffende personenbezogene Daten ... im Zusammenhang mit dem im April 2021 bekannt gewordenen Datenschutzvorfall verarbeiten". Insofern bezog sich das außergerichtliche klägerische Auskunftsersuchen ausdrücklich nur auf den streitgegenständlichen Scraping-Vorfall. Zu diesem Auskunftsersuchen hat die Beklagte in der Folgezeit - nach dem Vortrag der klägerischen Partei mit Schreiben vom 23. August 2021 (Anlage K 2), nach dem Vortrag der Beklagten mit dem inhaltlich im wesentlichen gleichlautenden Schreiben vom 25. November 2021 (Anlage B 16) - auch Stellung genommen. Sie hat hinsichtlich der allgemein von ihr verarbeiteten Daten der klägerischen Partei auf ihr Information-Tool verwiesen und hinsichtlich der konkret verlangten Auskünfte über den Scraping-Vorfall mitgeteilt, es handele sich dabei nicht um eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, so dass der Anwendungsbereich des Art. 15 DSGVO nicht eröffnet sei. Insofern liegt eine Auskunft vor, die erkennbar den Gegenstand des berechtigten Auskunftsbegehrens der klägerischen Partei vollständig abdeckt. Eine Verletzung von Art. 15 Abs. 1 DSGVO durch die Beklagte scheitert daran, dass sie die Auskunft hinsichtlich der allgemeinen Daten der klägerischen Partei - soweit eine solche überhaupt verlangt worden sein sollte - (unstreitig) erfüllt hat und sich hinsichtlich der von der klägerischen Partei primär begehrten Daten bezüglich des Scraping-Vorfalls - Namen der Scraper, Datum des Zugriffs etc. - jedenfalls von Anfang an auf Unmöglichkeit berufen konnte. Soweit die klägerische Partei in diesem Zusammenhang die Entscheidung des Gerichtshofs vom 12. Januar 2023 (C-154/21) zur Reichweite des Auskunftsanspruchs anführt, kann auch dies der Berufung nicht zum Erfolg verhelfen. Der Europäische Gerichtshof hat zwar die Regelung in Art. 15 Abs. 1 lit. c) DSGVO dahingehend ausgelegt, dass sich das Auskunftsrecht des Betroffenen gegen den Verantwortlichen auch auf die Identität des Empfängers der Daten bezieht. Er hat jedoch gleichzeitig klargestellt, dass diese Verpflichtung zur Auskunft über die Identität des Empfängers nicht eingreift, wenn es dem Verantwortlichen - wie vorliegend der Fall - nicht möglich ist, die Empfänger zu identifizieren und sich in diesen Fällen das Auskunftsrecht auf Informationen über die Kategorie von Empfängern bezieht (EuGH, Urteil vom 12. Januar 2023 – C-154/21, Tenor und Rn. 28 ff., 51). Auch auf die weitere Rechtsfrage, ob ein Auskunftsbegehren nach Art. 15 Abs. 1 DSGVO dann schon als erfüllt anzusehen ist, wenn der Auskunftspflichtige nur deutlich machen kann, sich vollständig erklärt zu haben (u.a. BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19, Rn. 19) und die Frage der inhaltlichen Richtigkeit und Vollständigkeit dann möglicherweise im Verfahren auf Abgabe einer eidesstattlichen Versicherung (§§ 259, 260 BGB analog) zu klären wäre, kommt es wegen der Unmöglichkeit - die ganz zweifelsfrei den Anspruch zu Fall bringt - nicht mehr an. ee) Der klägerischen Partei steht der Höhe nach ein Anspruch in Höhe von € 100,00 zu. (1) Die Datenschutz-Grundverordnung enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DSGVO geschuldeten Schadensersatzes. Insbesondere können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DSGVO genannten Kriterien herangezogen werden (EuGH, Urteil vom 4. Oktober 2024 - C-507/23, juris Rn. 39 ff. - Patērētāju tiesību aizsardzības centrs; EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 57, 62). Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung (EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 58; EuGH, Urteil vom 25. Januar 2024 - C-687/21, Rn. 53 - MediaMarktSaturn; EuGH, Urteil vom 21. Dezember 2023 - C-667/21, Rn. 83 und 101 - Krankenversicherung Nordrhein; jeweils mwN). In Deutschland ist somit insbesondere die Verfahrensvorschrift des § 287 ZPO anzuwenden (BAG, NJW 2022, 2779 Rn. 14; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 93). (2) Die innerstaatliche Verfahrensautonomie bei der Ermittlung des nach Art. 82 DSGVO zu ersetzenden Schadens unterliegt indes mehreren aus dem Unionsrecht folgenden Einschränkungen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 94 ff.). (a) Die Modalitäten der Schadensermittlung dürfen bei einem - wie im Streitfall - unter das Unionsrecht fallenden Sachverhalt nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz). Auch dürfen sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz) (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-507/23, juris Rn. 31 - Patērētāju tiesību aizsardzības centrs; EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, Rn. 32 - Scalable Capital; EuGH, Urteil vom 4. Mai 2023 - C-300/21, Rn. 53 - Österreichische Post; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 95). (b) In Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs, wie sie in ErwG 146 Satz 6 DSGVO zum Ausdruck kommt, ist eine auf Art. 82 DSGVO gestützte Entschädigung in Geld als „vollständig und wirksam" anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DSGVO dagegen nicht erfüllen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, Rn. 42 - PS GbR; vgl. auch EuGH, Urteil vom 4. Oktober 2024 - C-507/23, juris Rn. 43 f. - Patērētāju tiesību aizsardzības centrs; EuGH, Urteile vom 20. Juni 2024 - C-182/22 und C-189/22, Rn. 23 - Scalable Capital; EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 59; EuGH, Urteil vom 25. Januar 2024 - C-687/21, Rn. 47 - MediaMarktSaturn). Folglich darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen (EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 60 und 64 f.) und ob er vorsätzlich gehandelt hat (EuGH, Urteile vom 20. Juni 2024 - C-182/22 und C-189/22, Rn. 29 f. - Scalable Capital; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 96). Im Ergebnis soll die Höhe der Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausginge (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, Rn. 60; EuGH, Urteil vom 25. Januar 2024 - C-687/21, Rn. 48 - MediaMarktSaturn). Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-507/23, juris Rn. 35 - Patērētāju tiesību aizsardzības centrs; EuGH, Urteile vom 20. Juni 2024 - C-182/22 und C-189/22, Rn. 45 f. - Scalable Capital). Dies gilt auch unter Berücksichtigung des Umstandes, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung (vgl. dazu EuGH, Urteil vom 4. Oktober 2024 - C-200/23, juris Rn. 151- Agentsia po vpisvaniyata; EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, Rn. 39 - Scalable Capital; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 97). (3) Daraus ergeben sich Vorgaben sowohl in Bezug auf die Untergrenze als auch auf die Obergrenze des nach Art. 82 Abs. 1 DSGVO zu gewährenden Schadensersatzes, die das Schätzungsermessen des Tatgerichts (§ 287 ZPO) rechtlich begrenzen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 98 ff.). (a) Wenn allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten vorliegt, weil weitere Schäden nicht nachgewiesen sind, sind bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DSGVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter sind die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (z.B. Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich könnte in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insbesondere eines Rufnummernwechsels) dienen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 99). (b) Äußerst zweifelhaft erscheint daher, ob hier eine Festsetzung in „gegebenenfalls nur einstelliger Höhe" mit dem Effektivitätsgrundsatz zu vereinbaren wäre (so aber obiter OLG Celle, Urteil vom 4. April 2024 - 5 U 31/23, juris Rn. 102). Dagegen hat der Bundesgerichtshof von Rechts wegen keine Bedenken, den notwendigen Ausgleich für den eingetretenen Kontrollverlust als solchem in einem Fall wie dem streitgegenständlichen in einer Größenordnung von € 100,00 (so obiter OLG Hamm, GRUR-RS 2024, 16856 Rn. 40) zu bemessen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 100). (c) Macht der Betroffene psychische Beeinträchtigungen geltend, die über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen, ist das Gericht gegebenenfalls gehalten, den Betroffenen anzuhören, um die notwendigen Feststellungen hierzu treffen zu können. Ausgehend davon wird es gegebenenfalls einen Betrag als Ausgleich festzusetzen haben, der über dem im Falle eines bloßen Kontrollverlustes zuzusprechenden Betrag liegt (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 101). Die klägerische Partei hat aber nach den vorstehenden Ausführungen keine über den Kontrollverlust hinausgehenden psychischen Beeinträchtigungen. (4) Vorliegend ist ein Schadensersatz in Höhe von € 100,00 zuzusprechen. Es ist zwar ein Kontrollverlust anzunehmen, psychische Beeinträchtigungen, die über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen, indes nicht (siehe oben). Die Bemessung des Schadensersatzes nach den genannten Kriterien ergibt das folgende Bild: Die klägerische Partei ist zwar zur Überzeugung des Senats sensibel, was die Weitergabe ihrer Daten angeht. Das hat sie im Rahmen ihrer Anhörung deutlich gemacht. Sie nutzt die digitale Welt aber in besonderem Maße und gibt ihre Daten, auch wenn sie sich bemüht, sie unter Kontrolle zu halten, dementsprechend häufig preis. Überdies sind „nur“ Mobiltelefonnummer, Name, Facebook-ID, Geschlecht, Beziehungsstatus und Arbeitgeber der klägerischen Partei erbeutet worden. All diese Daten, auch die Mobiltelefonnummer gehören nicht zu besonders sensiblen Daten. Vor diesem Hintergrund trifft sie der im Ausgangspunkt leichte Kontrollverlust in einem „leichten“ Ausmaß. Hinzu kommt allerdings, dass die Daten, insbesondere die Mobilfunknummer zur Überzeugung des Senats (§ 287 ZPO) dazu benutzt wurden, die klägerische Partei mit Spam-SMS und ungewollten Anrufen zu Werbe- oder Betrugszwecken zu belästigen. So hat sie im Rahmen ihrer Anhörung geschildert, etwa zur Zeit der medialen Berichterstattung über den streitgegenständlichen Vorfall vermehrt mit Anrufen bzw. SMS unbekannter Herkunft belästigt worden zu sein, sowohl zu Werbe- als auch zu Betrugszwecken. Anfangs seien es nahezu tägliche SMS oder Anrufe gewesen, inzwischen eher nur noch ein Anruf pro Monat und einige SMS. Hinzu kommt, dass die Telefonnummer der klägerischen Partei einem unbegrenzten Personenkreis durch Abrufe im Internet für einen langen Zeitraum zugänglich (gewesen) ist, wovon offenbar Gebrauch gemacht worden ist. Die Höhe des Schadensersatzes begrenzend ist indes zu berücksichtigen, dass die klägerische Partei ihre Telefonnummer nicht geändert hat, mithin die Belästigung offenbar nicht unerträglich gewesen ist bzw. ist, sowie dass der hypothetische Aufwand für die Wiedererlangung der Kontrolle in Form des Aufwands für einen Rufnummernwechsel nicht besonders hoch ist. Allerdings ist die Begrenzung wiederum nicht allzu hoch zu bemessen, weil die klägerische Partei ihre Telefonnummer bereits seit vielen Jahren nutzt und es deshalb besonders aufwendig ist, ihre Änderung allen potentiellen Anrufern bekannt zu machen. Anhaltspunkte dafür, dass zusätzlich zu dem bloßen Kontrollverlust sonstige Gründe vorliegen könnten, den Schadensersatz in anderer Höhe zuzusprechen, sind weder konkret vorgetragen noch ersichtlich. Soweit die klägerische Partei diesbezüglich anführt, in der Entscheidung des Gerichts der Europäischen Union (EuG) vom 8. Januar 2025 (T-354/22, Rn. 195 ff.) sei ein Schadensersatz in Höhe von € 400,00 zugesprochen worden, so betrifft dies einen vom vorliegenden zu unterscheidenden Einzelfall. Dort ging es um einen Verlust der IP-Adresse, die in ein fremdes Land abgeflossen war. Die IP-Adresse macht konkrete an das Netz angebundene Geräte adressierbar und damit erreichbar. Nach Auffassung des Senats handelt es sich hierbei um einen schon nach der Art der abgegriffenen Daten erheblich schwereren Fall mit erheblich höherem Potential für etwaige Straftaten durch Dritte. c) Eine andere Anspruchsgrundlage, die einen höheren Ersatz geben könnte, kommt für den mit dem Antrag zu 1) geltend gemachten Anspruch auf Ersatz eines immateriellen Schadens nicht in Betracht. Da weder eine deliktische Haftung der Beklagten aus § 823 Abs. 1 BGB i.V.m. dem Recht der klägerischen Partei auf informationelle Selbstbestimmung noch eine vertragliche Haftung wegen Pflichtverletzung im Rahmen des zwischen den Parteien bestehenden Nutzungsvertrages, auf den nach den Nutzungsbedingungen der Beklagten deutsches Recht anzuwenden ist (vgl. dazu BGH, Urteil vom 12. Juli 2018 - III ZR 183/17), einen Ersatz für immaterielle Schäden in der von der klägerischen Partei behaupteten Form vorsieht, kommt es auf die Frage eines Vorrangs der europarechtlichen Schadensersatzregelungen der DSGVO vor nationalen Schadensersatzbestimmungen grundsätzlich nicht an. Selbst wenn man hier mit Blick auf Erwägungsgrund Nr. 146 Satz 4 der DSGVO etwa das nationale Institut der Geldentschädigung für anwendbar halten wollte, fehlt es ersichtlich an einer über das Gesagte hinausgehenden schweren Persönlichkeitsrechtsverletzung, zu deren Ausgleich eine (weitergehende) Geldzahlung in Betracht gezogen werden könnte. d) Dazu steht der klägerischen Partei ein Anspruch auf Zahlung von Rechtshängigkeitszinsen im Sinne der §§ 291, 288 Abs. 1 BGB zur Seite, deren Beginn vorliegend nicht angegriffen wird. 2. Der Antrag zu 2) auf Feststellung einer Ersatzpflicht für künftige materielle sowie künftige derzeit noch nicht vorhersehbare immaterielle Schäden ist zulässig und begründet. a) Der Antrag ist zulässig. aa) Es reicht die bloße Möglichkeit des künftigen Eintritts der geltend gemachten Schäden für die Annahme eines Feststellungsinteresses; eine darüberhinausgehende hinreichende Schadenswahrscheinlichkeit ist nicht erforderlich (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 48). (1) Bei Verletzung einer Norm zum Schutz des Vermögens fehlt es an einem feststellbaren Rechtsverhältnis, solange der Eintritt irgendeines Schadens noch ungewiss ist; hier muss der Kläger daher schon für die Zulässigkeit der Klage eine Vermögensgefährdung, das heißt die Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts, substantiiert dartun (BGH, Urteil vom 15. Oktober 1992 – IX ZR 43/92, juris Rn. 77; BGH, Urteil vom 21. Juli 2005 – IX ZR 49/02, juris Rn. 7; BGH, Urteil vom 24. Januar 2006 – XI ZR 384/03, Rn. 27; BGH, Urteil vom 10. Juli 2014 – IX ZR 197/12, Rn. 11; BGH, Urteil vom 15. März 2016 – XI ZR 122/14, Rn. 43). Ausreichend ist, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann (BGH, Urteil vom 15. Oktober 1992 – IX ZR 43/92, juris Rn. 77; BGH, Urteil vom 10. Juli 2014 – IX ZR 197/12, Rn. 11). Grund dafür ist der Schutz des möglichen Schädigers, dem nicht ein Rechtsstreit über gedachte Fragen aufgezwungen werden soll, von denen ungewiss ist, ob sie jemals praktische Bedeutung erlangen könnten. (2) Dagegen genügt bei Verletzung eines absoluten Rechts oder aber in solchen Fällen, in denen bereits ein (Teil-)Schaden eingetreten ist, wenn künftige Schadensfolgen – wenn auch nur entfernt – möglich, ihre Art und ihr Umfang, sogar ihr Eintritt aber noch ungewiss sind (BGH, Urteil vom 16. Januar 2001 – VI ZR 381/99, juris Rn. 7; BGH, Urteil vom 24. Januar 2006 – XI ZR 384/03, Rn. 27; BGH, Beschluss vom 9. Januar 2007 – VI ZR 133/06, Rn. 5; BGH, Urteil vom 29. Juni 2021 – VI ZR 52/18, Rn. 30), auf die Wahrscheinlichkeit weiterer Schäden kommt es hier nicht an (BGH, Urteil vom 29. Juni 2021 – VI ZR 52/18, Rn. 30). Ein Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund gegeben ist, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH, Beschluss vom 9. Januar 2007 – VI ZR 133/06, Rn. 5). (3) Die Möglichkeit künftiger Schäden reicht hier aus, weil es nicht um reine Vermögensschäden geht, sondern um Schäden, die aus der von der klägerischen Partei behaupteten Verletzung ihres Rechts auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG, mithin ihres allgemeinen Persönlichkeitsrechts als einem sonstigen absolut geschützten Rechtsgut im Sinne von § 823 Abs. 1 BGB, resultieren (vgl. BGH, Urteil vom 5. Oktober 2021 - VI ZR 136/20, Rn. 28; BGH, Urteil vom 29. Juni 2021 – VI ZR 10/18, Rn. 30; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 48). Auch die primär als Anspruchsgrundlage herangezogene Vorschrift des Art. 82 DSGVO hat jedenfalls dann, wenn - wie hier - mit einem möglichen Verstoß gegen Art. 5 DSGVO auch eine unrechtmäßige Datenverarbeitung gerügt wird, eine Verletzung des Rechts auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh zum Inhalt (vgl. Art. 1 Abs. 2 DSGVO). Dabei kann die Möglichkeit ersatzpflichtiger künftiger Schäden ohne Weiteres zu bejahen sein, wenn ein deliktsrechtlich geschütztes absolutes Rechtsgut verletzt wurde und bereits ein Schaden eingetreten ist (BGH, Urteil vom 30. Juli 2020 - VI ZR 397/19, Rn. 29; BGH, Urteil vom 17. Oktober 2017 - VI ZR 423/16, Rn. 49 mwN; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 48). bb) Nach diesen Grundsätzen ist die Möglichkeit des Eintritts künftiger Schäden hier ohne Weiteres zu bejahen. Die klägerische Partei wurde durch den Verstoß gegen die Datenschutz-Grundverordnung in ihrem Recht auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG bzw. in ihrem Recht auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh verletzt. Bei der fortdauernden Veröffentlichung der personenbezogenen Daten der klägerischen Partei (insbesondere ihres Namens in Verbindung mit ihrer Telefonnummer) besteht das Risiko einer missbräuchlichen, insbesondere betrügerischen Nutzung dieser Daten mit der Folge eines materiellen oder immateriellen Schadens fort. In Anbetracht des bereits eingetretenen und noch andauernden Kontrollverlusts über diese Daten ist eine künftige Schadensentwicklung auch nicht nur rein theoretischer Natur (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 49; OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, juris Rn. 236 ff.). b) Der Antrag ist auch begründet. Auf Grundlage der genannten Feststellungen (schon eingetretener Schaden durch Kontrollverlust) kann der Feststellungsanspruch auch in der Sache nicht verneint werden (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 50). Wie gesehen besteht das Risiko einer missbräuchlichen, insbesondere betrügerischen Nutzung der Daten der klägerischen Partei mit der Folge eines materiellen oder immateriellen Schadens fort. 3. Der auf Unterlassung gerichtete Antrag zu 3) ist teilweise unzulässig gewesen (Antrag zu 3a), hinsichtlich der Anträge zu 3a) und 3b) aber (nunmehr) zulässig und begründet. a) Der ursprüngliche Klageantrag zu Ziffer 3a) ist unzulässig gewesen, da er nicht hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO ist (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 51 ff.). Mit dem Antrag zu 3a) hat die klägerische Partei Unterlassung insoweit verlangt, als ihre personenbezogenen Daten „unbefugten Dritten" über das CIT zugänglich gemacht werden, ohne dass die „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen" vorgesehen würden, um die „Ausnutzung des Systems" zu verhindern. aa) Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH, Urteil vom 9. März 2021 - VI ZR 73/20, Rn. 15). Dies bedeutet bei einem Unterlassungsantrag insbesondere, dass dieser nicht derart undeutlich gefasst sein darf, dass die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt (vgl. BGH, Urteil vom 28. Juli 2022 - I ZR 205/20, Rn. 12; BGH, Urteil vom 2. Juni 2022 - I ZR 140/15, Rn. 26; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 52). Eine hinreichende Bestimmtheit ist bei einem Unterlassungsantrag für gewöhnlich gegeben, wenn eine Bezugnahme auf die konkrete Verletzungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll (st. Rspr.; vgl. BGH, Urteil vom 2. Juni 2022 - I ZR 140/15, Rn. 26 mwN; BGH, Urteil vom 9. März 2021 - VI ZR 73/20, Rn. 15; BGH, Urteil vom 15. Januar 2019 - VI ZR 506/17, Rn. 12 mwN; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 53). Die Verwendung auslegungsbedürftiger Begriffe im Klageantrag ist zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungshandlung ausrichtet (BGH, Urteil vom 2. Juni 2022 - I ZR 140/15, Rn. 26; BGH, Urteil vom 9. September 2021 - I ZR 113/20, Rn. 12 mwN; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 53). Demgegenüber sind Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, grundsätzlich als zu unbestimmt und damit unzulässig anzusehen. Abweichendes kann gelten, wenn entweder bereits der gesetzliche Verbotstatbestand selbst entsprechend eindeutig und konkret gefasst oder der Anwendungsbereich einer Rechtsnorm durch eine gefestigte Auslegung geklärt ist, oder wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert. Die Bejahung der Bestimmtheit setzt in solchen Fällen allerdings grundsätzlich voraus, dass zwischen den Parteien kein Streit darüber besteht, dass das beanstandete Verhalten das fragliche Tatbestandsmerkmal erfüllt. Die Wiedergabe des gesetzlichen Verbotstatbestands in der Antragsformulierung ist auch unschädlich, wenn sich das mit dem selbst nicht hinreichend klaren Antrag Begehrte im Tatsächlichen durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht infrage gestellt ist, sondern sich ihr Streit ausschließlich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt. Eine auslegungsbedürftige Antragsformulierung kann im Übrigen hinzunehmen sein, wenn dies zur Gewährleistung effektiven Rechtsschutzes erforderlich ist (st. Rspr.; vgl. nur BGH, Urteil vom 28. Juli 2022 - I ZR 205/20, Rn. 12; BGH, Urteil vom 22. Juli 2021 - I ZR 194/20, Rn. 34 mwN; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 54). bb) An diesen Anforderungen gemessen ist der ursprüngliche Antrag der klägerischen Partei zu Ziffer 3a), nicht hinreichend bestimmt gewesen. Er lässt sich auch unter Heranziehung des Klagevorbringens nicht in einer Weise auslegen, dass die klägerische Partei ein hinreichend bestimmtes Unterlassen begehrt (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 55). (1) Insbesondere der Begriff des unbefugten Dritten, aber auch die an Art. 32 Abs. 1 DSGVO und damit an den bloßen Gesetzeswortlaut angelehnte Formulierung der „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen" sowie die Formulierung „Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme" sind unbestimmt. Dem steht nicht entgegen, dass die Beklagte in der Wahl der von ihr zu ergreifenden Maßnahmen eine Auswahl haben muss, solange diese geeignet sind, das konkrete Rechtsschutzziel zu erreichen (vgl. BGH, Beschluss vom 22. Februar 2024 - III ZR 63/23, Rn. 11; BGH, Urteil vom 5. Dezember 2023 - KZR 101/20, Rn. 75; jeweils zu Unterlassungsansprüchen nach § 1004 BGB). Auch insoweit wäre es - auch mit Blick auf die Gewährung effektiven Rechtsschutzes (BGH, Urteil vom 26. Januar 2017 - I ZR 207/14, Rn. 18) – der klägerischen Partei zumutbar gewesen, die künftig zu unterlassende Verletzungshandlung weiter zu konkretisieren (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 56). (2) Die klägerische Partei begehrt sinngemäß, dass die Beklagte keine Funktion anbietet, die es Dritten erlaubt, auf seine personenbezogenen Daten zuzugreifen, wenn die Beklagte nicht durch geeignete Sicherheitsmaßnahmen einem Missbrauch dieser Funktion entgegenwirkt. Eine Eingrenzung der Verletzungshandlung findet allerdings nur insoweit statt, als auf die Kontakt-Import-Funktion Bezug genommen wird, welche die klägerische Paratei im Rahmen der Klageschrift als Einfallstor für das Datenscraping identifiziert hat. Der pauschale Hinweis auf eine Ausnutzung der Kontakt-Import-Funktion ist für eine Konkretisierung jedoch nicht hinreichend. Er lässt nicht erkennen, durch welche konkrete Maßnahme die Beklagte gegen die Datenschutz-Grundverordnung verstoßen hat, obwohl eine weiter gehende Konkretisierung - etwa durch Hinweis auf die Default-Einstellung der Suchbarkeitseinstellungen auf „alle", sofern dies das Klageziel sein sollte - möglich gewesen wäre. Auch der Begriff der „unbefugten Personen" hätte durch eine Darlegung der konkreten Verletzungshandlung näher definiert werden können (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 57). (3) Die Konkretisierung des Antrags ist auch nicht deswegen entbehrlich, weil sich eine solche aus dem Klagevorbringen ergäbe. Die klägerische Partei hat zur Erläuterung ihres Rechtsschutzziels lediglich angegeben, sie verfolge ein Unterlassen, dass personenbezogene Daten ohne ausreichende Sicherheitsvorkehrungen verarbeitet werden. Eine Bezugnahme auf den Scraping-Vorfall als konkrete Verletzungsform enthält der Unterlassungsantrag nicht. Auch eine nähere Darlegung, welche konkrete Verletzungshandlung durch die Beklagte zu unterlassen sei, fehlt ebenso wie eine Erläuterung, in welchen Fällen von einer „Ausnutzung" der Kontakt-Import-Funktion bzw. von einer Nutzung durch „unbefugte Personen" auszugehen sei (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 58). b) Der nunmehr gestellte Klageantrag zu 3a) ist hingegen zulässig. Mit dem neuen Antrag zu 3a) verlangt die klägerische Partei Unterlassung insoweit, als eine Verarbeitung personenbezogener Daten der Klägerseite, namentlich Telefonnummer, Facebook-ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt und Beziehungsstatus, über die Eingabe der Telefonnummer der Klägerseite in das Kontakt-Import-Tool und die darüber hergestellte Verknüpfung der eigegebenen Telefonnummer mit weiteren öffentlichen personenbezogenen Daten des Nutzerprofils der Klägerseite ermöglicht wird, ohne dass die Beklagte zum Zeitpunkt der Verwendung des Kontakt-Import-Tools unter Eingabe der Telefonnummer Sicherheitsmaßnahmen in Form einer Implementierung von Sicherheits-CAPTCHAs und der Überprüfung massenhafter IP-Abfragen oder vergleichbaren Sicherheitsmaßnahmen vorgehalten hat. aa) An den oben genannten Anforderungen gemessen ist der nunmehr gestellte Antrag der klägerischen Partei zu Ziffer 3a) hinreichend bestimmt. Er lässt sich jedenfalls unter Heranziehung des Klagevorbringens in einer Weise auslegen, dass die klägerische Partei ein hinreichend bestimmtes Unterlassen begehrt. (1) Es wird nicht mehr der Begriff des „unbestimmten Dritten“ verwendet und es liegt nicht mehr eine an Art. 32 Abs. 1 DSGVO und damit an den bloßen Gesetzeswortlaut angelehnte Formulierung möglichen Sicherheitsmaßnahmen vor sowie auch nicht die Formulierung „Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme". Die Beklagte muss in der Wahl der von ihr zu ergreifenden Maßnahmen eine Auswahl haben, solange diese geeignet sind, das konkrete Rechtsschutzziel zu erreichen (vgl. BGH, Beschluss vom 22. Februar 2024 - III ZR 63/23, Rn. 11; BGH, Urteil vom 5. Dezember 2023 - KZR 101/20, Rn. 75; jeweils zu Unterlassungsansprüchen nach § 1004 BGB). Hier hat die klägerische Partei die künftig zu unterlassende Verletzungshandlung weiter konkretisiert (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 56). (2) Die klägerische Partei begehrt nach wie vor sinngemäß, dass die Beklagte keine Funktion anbietet, die es Dritten erlaubt, auf ihre personenbezogenen Daten zuzugreifen, wenn die Beklagte nicht durch geeignete Sicherheitsmaßnahmen einem Missbrauch dieser Funktion entgegenwirkt. Die Verletzungshandlung hat sie nunmehr aber insoweit eingegrenzt, als nicht bloß auf die Kontakt-Import-Funktion pauschal Bezug genommen wird, welche die klägerische Partei im Rahmen der Klageschrift als Einfallstor für das Datenscraping identifiziert hat. Vielmehr beschreibt die klägerische Partei im Antrag bereits diejenigen Vorgänge, die zum massenhaften Abgreifen der (auch ihrer) Daten führen konnte („über die Eingabe der Telefonnummer der Klägerseite in das Kontakt-Import-Tool und die darüber hergestellte Verknüpfung der eigegebenen Telefonnummer mit weiteren öffentlichen personenbezogenen Daten des Nutzerprofils der Klägerseite.“) und benennt auch mit Beispielen, welche Art von Sicherheitsmaßnahmen für die Beklagte möglich wären („ohne dass die Beklagte zum Zeitpunkt der Verwendung des Kontakt-Import-Tools unter Eingabe der Telefonnummer Sicherheitsmaßnahmen in Form einer Implementierung von Sicherheits-CAPTCHAs und der Überprüfung massenhafter IP-Abfragen oder vergleichbaren Sicherheitsmaßnahmen vorgehalten hat“). Es lässt sich im neuen Antrag zu 3a) erkennen, durch welche konkrete Maßnahme die Beklagte gegen die Datenschutz-Grundverordnung verstoßen hat. bb) Das Klagevorbringen im Übrigen enthält nunmehr auch zur Erläuterung ihres Rechtsschutzziels die Angabe, welches Unterlassen sie konkret in Anbetracht des – geschilderten – Scraping-Vorfalls verfolgt, solange nicht bestimmte Sicherheitsmaßnahmen durch die Beklagte ergriffen werden. Eine Bezugnahme auf den Scraping-Vorfall als konkrete Verletzungsform enthält der Unterlassungsantrag mithin ebenso wie eine nähere Darlegung, welche konkrete Verletzungshandlung durch die Beklagte zu unterlassen sei. cc) Die Klageänderung hinsichtlich des Klageantrages zu 3a) ist zulässig. Sie erfüllt die Anforderungen von § 533 ZPO, sie ist insbesondere (ungeachtet der fehlenden Einwilligung der Beklagten) sachdienlich. (1) Maßgebend für die Beurteilung der Sachdienlichkeit ist neben einer Abwägung der beiderseitigen Interessen in erster Linie der Gesichtspunkt der Prozesswirtschaftlichkeit. Dabei kommt es allein auf die objektive Beurteilung an, ob und inwieweit die Zulassung der Klageänderung den sachlichen Streitstoff im Rahmen des anhängigen Rechtsstreits ausräumt und einem anderenfalls zu gewärtigenden weiteren Rechtsstreit vorbeugt (BGH, Urteil vom 11. Mai 2009 - II ZR 137/08, Rn. 4 mwN). Unter diesem Gesichtspunkt ist nicht die beschleunigte Erledigung des anhängigen Prozesses, sondern die Erledigung der Streitpunkte zwischen den Parteien entscheidend (BGH, Urteil vom 27. September 2006 - VIII ZR 19/04, Rn. 10). Deshalb steht eine Verzögerung des Berufungsverfahrens der Sachdienlichkeit der Klageerweiterung nicht entgegen (BGH, Urteil vom 27. September 2006 - VIII ZR 19/04, Rn. 10; Urteil vom 4. Juli 2012 - VIII ZR 109/11, Rn. 20). Auch ist die Einführung eines neuen Streitgegenstandes Definitionsmerkmal jeder Klageänderung und für sich allein noch kein Grund, ihre Sachdienlichkeit zu verneinen (BGH, Urteil vom 11. Mai 2009 - II ZR 137/08, Rn. 6). Insofern setzt die Zulässigkeit einer Klageänderung in zweiter Instanz neben der Sachdienlichkeit bereits gemäß § 533 Nr. 2 ZPO voraus, dass der neu geltend gemachte Anspruch an den bisherigen Prozessstoff anknüpft, den das Berufungsgericht seiner Verhandlung und Entscheidung gemäß §§ 529, 533 Nr. 2 ZPO ohnehin zugrunde zu legen hat (vgl. auch Rimmelspacher in: MüKo, ZPO, 6. Aufl. 2020, § 533 Rn. 13). Die Sachdienlichkeit kann bei der gebotenen prozesswirtschaftlichen Betrachtungsweise daher im Allgemeinen nur dann verneint werden, wenn ein völlig neuer Streitstoff in den Rechtsstreit eingeführt werden soll, bei dessen Beurteilung das Ergebnis der bisherigen Prozessführung nicht verwertet werden kann (BGH, Urteil vom 27. September 2006 - VIII ZR 19/04, Rn. 10). (2) Nach diesen Maßstäben ist die Klageänderung vorliegend sachdienlich. Es geht um einen einheitlichen Lebenssachverhalt, nämlich den streitgegenständlichen Scraping-Vorfall. Es spricht der Gesichtspunkt der Prozesswirtschaftlichkeit für die Sachdienlichkeit der Klageänderung. Der Unterlassungsantrag ist zwar umformuliert worden, betrifft im Kern aber das gleiche Begehren und den gleichen Prozessstoff. c) Der Klageantrag zu 3b) ist zulässig (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 59 ff.). Mit dem Antrag zu 3b) verlangt die klägerische Partei Unterlassung insoweit, als ihre Telefonnummer auf Grundlage einer Einwilligung verarbeitet wird, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat" noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird. aa) Der Unterlassungsantrag ist trotz seiner weiten Formulierung bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO. Er lässt sich unter Heranziehung des Klagevorbringens dahingehend auslegen, dass die klägerische Partei ein Unterlassen jeglicher Verarbeitung ihrer Telefonnummer durch die Beklagte, die über die notwendige Verarbeitung für die Zwei-Faktor-Authentifizierung hinausgeht, begehrt (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 62 ff.). Der Antrag ist nicht so zu verstehen, dass die klägerische Partei „die Unterlassung der Verarbeitung seiner [ihrer] Telefonnummer ohne eindeutige Informationen, dass diese auch bei der Einstellung 'privat' ausgelesen werden kann", begehrt (so aber OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23, juris Rn. 245, 247). Diese Information lag der klägerischen Partei jedenfalls zum Zeitpunkt der Klageerhebung bereits vor, so dass ein entsprechendes Verständnis den Antrag sinnentleerte und der Auslegungsregel zuwiderliefe, nach der im Zweifel dasjenige gewollt ist, was nach den Maßstäben der Rechtsordnung vernünftig ist und der wohlverstandenen Interessenlage entspricht (vgl. hierzu BGH, Urteil vom 15. Mai 2024 - VIII ZR 293/23, Rn. 22; BGH, Urteil vom 14. Mai 2024 - XI ZR 51/23, Rn. 15; jeweils mwN). Vielmehr begehrt die klägerische Partei, dass die Beklagte ihre Telefonnummer nicht - wie zur Zeit des Scraping-Vorfalls - auf Basis einer von ihr erteilten Einwilligung weiterverarbeitet, da diese Einwilligung nach ihrem Verständnis mangels Transparenz unwirksam ist, weil ihr das Ausmaß der Datenverarbeitung betreffend ihre Telefonnummer bei Erteilung der Einwilligung nicht verständlich war. Der Unterlassungsantrag konkretisiert darüber hinaus die inkriminierte Verletzungshandlung, nämlich die behauptete unrechtmäßige Verarbeitung auf Grundlage einer unwirksamen Einwilligung. Aus welchen Gründen die Einwilligung unwirksam sein soll, ergibt sich aus der weiteren Formulierung des Antrags. Nach Ansicht der klägerischen Partei wurde diese „wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt […], namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf 'privat' noch durch Verwendung der Kontakt-Import-Funktion verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird" (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 63). bb) Der so verstandene Unterlassungsantrag ist hinreichend bestimmt, da der Beklagten ohne weiteres deutlich wird, für welche Zwecke sie die Telefonnummer der klägerischen Partei noch verarbeiten darf und für welche die klägerische Partei die Unterlassung der Datenverarbeitung begehrt (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 64). d) Auch kann das Vorliegen eines Rechtsschutzbedürfnisses nicht verneint werden (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 65 ff.). aa) Eine Klage ist als unzulässig abzuweisen, wenn für sie kein Rechtsschutzbedürfnis besteht. Das Erfordernis des Rechtsschutzbedürfnisses soll verhindern, dass Rechtsstreitigkeiten in das Stadium der Begründetheitsprüfung gelangen, für die eine solche Prüfung nicht erforderlich ist. Grundsätzlich haben Rechtssuchende allerdings einen Anspruch darauf, dass die staatlichen Gerichte ihr Anliegen sachlich prüfen und darüber entscheiden. Das Rechtsschutzbedürfnis fehlt jedoch, wenn eine Klage oder ein Antrag objektiv schlechthin sinnlos ist, wenn also der Kläger oder Antragsteller unter keinen Umständen mit seinem prozessualen Begehren irgendeinen schutzwürdigen Vorteil erlangen kann (BGH, Urteil vom 29. September 2022 - I ZR 180/21, Rn. 10 mwN; vgl. bereits BGH, Urteil vom 14. März 1978 - I ZR 68/76, NJW 1978, 2031, 2032 [unter II. 2. a]; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 66). Dies ist etwa dann der Fall, wenn ein einfacherer oder billigerer Weg zur Erreichung des Rechtsschutzziels besteht oder der Antragsteller kein berechtigtes Interesse an der beantragten Entscheidung hat. Dafür gelten allerdings strenge Maßstäbe. Das Rechtsschutzbedürfnis fehlt (oder entfällt) nur dann, wenn das Betreiben des Verfahrens eindeutig zweckwidrig ist und sich als Missbrauch der Rechtspflege darstellt (BGH, Beschluss vom 24. September 2019 - VI ZB 39/18, Rn. 28; BGH, Urteil vom 14. März 1978 - VI ZR 68/76, NJW 1978, 2031, 2032 [unter II. 2. a]; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 67). Auch darf der Kläger nicht auf einen verfahrensmäßig unsicheren Weg verwiesen werden (vgl. BGH, Urteil vom 29. September 2022 - I ZR 180/21, Rn. 16 mwN; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 67). bb) Nach diesem Maßstab kann ein Rechtsschutzbedürfnis bezüglich der Unterlassungsanträge zu 3a) und 3b) nicht verneint werden. Das Rechtsschutzbedürfnis der klägerischen Partei entfällt insbesondere nicht dadurch, dass sie ihre Telefonnummer aus ihrem Nutzerkonto selbst löschen könnte. Insofern ist ihr Rechtsschutzziel - die Untersagung einer unrechtmäßigen Verarbeitung ihrer Telefonnummer - mit dem dann erreichten Ergebnis der Löschung ihrer Telefonnummer nicht identisch. Insbesondere würde sich die klägerische Partei der Möglichkeit der Zwei-Faktor-Authentifizierung für die Anmeldung in ihrem Nutzerkonto begeben (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 68). Auch die Möglichkeit der klägerischen Partei, ihre Privatsphären-Einstellungen so zu ändern, dass sich ihre Einwilligung zur Verarbeitung ihrer Telefonnummer auf die Nutzung der Zwei-Faktor-Authentifizierung beschränkt, lässt das Rechtsschutzbedürfnis nicht entfallen. Zwar hätte die klägerische Partei die Suchbarkeitseinstellungen bezüglich ihrer Telefonnummer seit Mai 2019 auf „nur ich" abändern können und liegt hierin - wie auch in einem ausdrücklichen Widerruf ihrer Einwilligung nach Art. 7 Abs. 3 Satz 1 DSGVO - im Verhältnis zu einem entsprechenden Unterlassungstitel ein einfacherer und dementsprechend auch billigerer Weg. Doch hat die klägerische Partei vorgetragen, dass die Beklagte nach eigenen Angaben (vgl. die Online-Information der Beklagten mit der Überschrift „Möglicherweise verwenden wir deine Telefonnummer für diese Zwecke:") ihre Telefonnummer „möglicherweise" noch für weitere Zwecke verwendet. Es ist nicht ersichtlich, über welche Einstellungen die klägerische Partei selbst insoweit Abhilfe schaffen könnte (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 69). cc) Der so verstandene Unterlassungsantrag enthält auch kein im Sinne des § 890 Abs. 2 ZPO unzulässiges Antragsbegehren bzw. ist nicht auf ein zukünftiges aktives Tun gerichtet (so aber OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 239). Die klägerische Partei begehrt die Unterlassung der Verarbeitung ihrer Mobiltelefonnummer, soweit diese über die Nutzung der Zwei-Faktor-Authentifizierung hinausgeht. Gegenstand ihres Begehrens ist demgegenüber nicht, die Kontakt-Import-Funktion aufgrund eines verständlichen Hinweises oder unter Wahrung der Sicherheitsanforderungen nutzen zu können (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 70). e) Die Anträge zu 3a) und 3b) sind (nunmehr) auch begründet. Es besteht jeweils ein Unterlassungsanspruch aus dem Nutzungsvertrag selbst gemäß § 280 Abs. 1, § 241 Abs. 2 BGB. aa) Jedenfalls bei einer Verletzung vertraglicher Rücksichtnahmepflichten im Sinne des § 241 Abs. 2 BGB, durch die die Erreichung des Vertragszwecks bedroht wird, kann aus § 280 Abs. 1 BGB nicht nur Schadensersatz, sondern im Falle des Bestehens einer Erstbegehungs- oder Wiederholungsgefahr auch Unterlassung verlangt werden (BGH, Urteil vom 2. Mai 2024 – I ZR 12/23, Leitsatz 1 und Rn. 13 ff.; BGH, Urteil vom 8. November 2022 - II ZR 91/21, Rn. 64; BGH, Urteil vom 29. Juli 2021 - III ZR 179/20, Rn. 102; BGH, Urteil vom 5. Juni 2012 - X ZR 161/11, Rn. 15 f.; jeweils mwN; vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 83). bb) Der klägerischen Partei steht danach im Sinne des Antrags zu 3b) ein Anspruch auf Unterlassung jeglicher Verarbeitung ihrer Telefonnummer durch die Beklagte, die über die notwendige Verarbeitung für die Zwei-Faktor-Authentifizierung hinausgeht, zu (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 71) bzw. darauf, dass ihre Telefonnummer auf Grundlage einer Einwilligung verarbeitet wird, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat" noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird. Es ist bereits ausgeführt worden, dass die Einwilligung der klägerischen Partei in diesem Sinne unübersichtlich und unvollständig war, nämlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf „privat" noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird (siehe oben zu B 1. b) cc) (1) (d) und (e)). Gleichfalls steht der klägerischen Partei ein Unterlassungsanspruch hinsichtlich der Ermöglichung der Verarbeitung ihrer personenbezogenen Daten mit Verknüpfung durch Eingabe ihrer Telefonnummer mit weiteren öffentlichen persönlichen Daten ihres Nutzerprofils ohne Sicherheitsmaßnahmen wie die beispielhaft von der klägerischen Partei im Antrag zu 3a) genannten zu. Dies ergibt sich bereits aus der Begründetheit des Antrags zu 3b). cc) Ob ein solcher Unterlassungsanspruch hinsichtlich einer Verarbeitung von Daten (allein) aus Art. 17 DSGVO hergeleitet werden kann und ob alternativ oder daneben möglicherweise auch Unterlassungsansprüche nach nationalem Recht aus §§ 823, 1004 analog BGB geltend gemacht werden können (vgl. zum Streitstand die Ausführungen bei OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23 Rn. 261 ff. sowie Vorlagenfragen 1 ff. bei BGH, Beschluss vom 26. September 2023 – VI ZR 97/22), kann offen bleiben, da sich jedenfalls mit dem oben Ausgeführten vertragliche Ansprüche aus §§ 280 Abs. 1, 241 Abs. 2 BGB ergeben (vgl. OLG Köln, Urteil vom 7. Dezember 2023 – I-15 U 67/23, juris Rn. 82). 4. Der Klageantrag zu 4) mit dem zunächst geltend gemachten Auskunftsanspruch ist zurückgenommen worden. 5. Die klägerische Partei hat einen Anspruch auf Erstattung ihrer vorgerichtlichen Rechtsanwaltskosten in Höhe von € 367,23 unmittelbar aus Art. 82 Abs. 1 DSGVO. a) Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren, grundsätzlich zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden (vgl. BGH, Urteil vom 17. November 2015 - VI ZR 492/14, Rn. 9; BGH, Urteil vom 4. März 2008 - VI ZR 176/07, Rn. 5; BGH, Urteil vom 4. Dezember 2007 - VI ZR 277/06, Rn. 13; BGH, Urteil vom 8. November 1994 - VI ZR 3/94, juris Rn. 7; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 79). Dabei ist maßgeblich, wie sich die voraussichtliche Abwicklung des Schadensfalls aus der Sicht des Geschädigten darstellt. Ist die Verantwortlichkeit für den Schaden und damit die Haftung von vornherein nach Grund und Höhe derart klar, dass aus der Sicht des Geschädigten kein vernünftiger Zweifel daran bestehen kann, dass der Schädiger ohne weiteres seiner Ersatzpflicht nachkommen werde, so wird es grundsätzlich nicht erforderlich sein, schon für die erstmalige Geltendmachung des Schadens gegenüber dem Schädiger einen Rechtsanwalt hinzuzuziehen. In derart einfach gelagerten Fällen kann der Geschädigte grundsätzlich den Schaden selbst geltend machen, so dass sich die sofortige Einschaltung eines Rechtsanwalts nur unter besonderen Voraussetzungen als erforderlich erweisen kann, wenn etwa der Geschädigte aus Mangel an geschäftlicher Gewandtheit oder sonstigen Gründen wie etwa Krankheit oder Abwesenheit nicht in der Lage ist, den Schaden selbst anzumelden (vgl. BGH, Urteil vom 8. November 1994 - VI ZR 3/94, juris Rn. 9; BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 79). b) Nach diesen Maßstäben kann ein materiell-rechtlicher Kostenerstattungsanspruch aus Art. 82 Abs. 1 DSGVO für die anwaltliche Tätigkeit (Anlage K 1) nicht verneint werden. Die Beauftragung eines Rechtsanwalts war erforderlich, jedenfalls mit Blick auf die neben den Auskunftsansprüchen bereits in diesem Schreiben geltend gemachten Schadensersatz- und Unterlassungsansprüche. Dabei ist auch zu berücksichtigen, dass zum Zeitpunkt des genannten Schreibens eine Vielzahl von Rechtsfragen in Zusammenhang mit Art. 82 DSGVO weder durch den Gerichtshof noch durch die nationalen Gerichte geklärt war (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, Rn. 80). c) Der klägerischen Partei steht mithin ein Anspruch auf Erstattung einer 1,3-Gebühr zuzüglich Auslagenpauschale und Umsatzsteuer bezüglich des Schadensersatzanspruchs zu einem Streitwert von € 100,00, des Feststellungsantrages mit einem Wert von € 500,00 sowie der Unterlassungsanträge mit einem Wert von jeweils € 750,00, insgesamt € 2.100,00, zu. Es ergibt sich ein Anspruch in Höhe von € 367,23. d) Dazu steht der klägerischen Partei ein Anspruch auf Zahlung von Rechtshängigkeitszinsen im Sinne der §§ 291, 288 Abs. 1 BGB zur Seite, deren Beginn vorliegend nicht angegriffen wird. C) Die Nebenentscheidungen beruhen auf den § 92 Abs. 1, § 708 Nr. 10, §§ 711, 713 ZPO. D) Die Revision ist nicht zuzulassen. Die Revision ist nach § 543 Abs. 2 ZPO zuzulassen, wenn die Rechtssache grundsätzliche Bedeutung hat oder die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts erfordert. Hier ist die Revision nicht zuzulassen, da die wesentlichen Rechtsfragen seit der Entscheidung des Bundesgerichtshofs im Urteil vom 18. November 2024 (VI ZR 10/24) geklärt sind und im Übrigen der Rechtsstreit seinen Schwerpunkt im Tatsächlichen hat (immaterieller Schaden). Dass andere Oberlandesgerichte die Zulässigkeit des Unterlassungsantrags zu 3.a) anders beurteilen als der Senat, ist derzeit nicht ersichtlich. E) Der Senat sieht auch keinen Anlass für die Einleitung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV oder für die Aussetzung des vorliegenden Verfahrens bis zur Entscheidung des Europäischen Gerichtshofs in benannten Verfahren, da die genannte Entscheidung des Bundesgerichtshofs auf Entscheidungen des Europäischen Gerichtshofs beruht und diese zur Anwendung bringt. Auch die vom Bundesgerichtshof im Verfahren VI ZR 97/22 (BGH, Beschluss vom 26. September 2023 – VI ZR 97/22, Vorlagefragen 1 bis 6) formulierten Vorlagefragen führen hier nicht zu einer Pflicht des Senats, das Verfahren auszusetzen. Denn auch die in diesem Verfahren vorgelegten Fragen sind bereits entschieden bzw. für den hiesigen Rechtsstreit nicht entscheidungserheblich, wie der Bundesgerichtshof selbst in der genannten Entscheidung (BGH, Urteil vom 18. November 2024 – VI ZR 10/24) auch ausdrücklich ausführt.