Landgericht Bielefeld Urteil, 19. Dez. 2022 - 8 O 157/22

LANDGERICHT BIELEFELD

URTEIL

 

Tenor

Die Klage wird abgewiesen.

Die Klägerin trägt die Kosten des Rechtsstreits.

Das Urteil ist vorläufig vollstreckbar. Der Klägerin wird nachgelassen, die Vollstreckung durch die Beklagte gegen Sicherheitsleistung in Höhe von 110 % des auf Grund des Urteils zu vollstreckenden Betrages abzuwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet.

Tatbestand

Zwischen den Parteien stehen Ansprüche aufgrund behaupteter Datenschutzverstöße im Streit.

Die Beklagte betreibt die Social-Media-Plattform "A." auf dem Gebiet der Europäischen Union, die über die Website "www.A..com" und Apps abrufbar ist. Die Klägerin ist Nutzerin von A.. A. ermöglicht den Nutzern etwa, ein persönliches Nutzerprofil zu erstellen und zu teilen.

Wird ein A.-Konto eröffnet, werden zur Erstellung eines Nutzerprofils verschiedene Daten abgefragt (dazu s. Bl. 8 ff. dA). Die Klägerin gab im Registrierungsprozess erforderlicherweise ihren Vor- und Nachnamen, ihr Geschlecht und ihr Geburtsdatum an. Dabei sind der angegebene Vor- und Nachname, eine von A. erstellte Benutzer-ID und das Geschlecht als "immer öffentliche Nutzerinformationen" stets öffentlich auf dem eigenen Nutzerprofil zu finden. Der Veröffentlichung dieser Daten muss bei der Registrierung zugestimmt werden. Andere Daten, die dem Profil hinzugefügt werden können, sind dann von allen Profilbesuchern einzusehen, sofern dies die jeweiligen persönlichen Profileinstellungen (sog. Zielgruppenauswahl) vorsehen (zu den von der Klägerin einsehbaren Profildaten s. den Screenshot Bl. 153 dA). Zudem regeln die sog. Suchbarkeitseinstellungen, wer das Profil der Nutzerin etwa anhand der Telefonnummer (mittels der sog. Kontakt-Importer-Funktion, s.u.) finden kann.

Die Klägerin fügte bei der Registrierung oder einige Zeit später zudem ihre Handynummer den Nutzereinstellungen hinzu. Diese Eingabe erfolgte freiwillig. Nach der Zielgruppenauswahl war die Handynummer auf dem Profil der Klägerin nicht zu finden. Nach den Suchbarkeitseinstellungen war die Suche nach dem klägerischen Profil mittels der Handynummer aktiviert. Jedenfalls bis zum Erhalt der Klageerwiderung waren die Suchbarkeitseinstellungen auf "alle" gestellt (s. den Screenshot Bl. 155 dA).

Dritte sammelten in der Zeit von Januar 2018 bis September 2019 mittels sog. Scraping (dt.: "Schaben", "Kratzen" - gemeint ist der Vorgang des Extrahierens, Kopierens, Speicherns sowie der Wiederverwendung fremder Inhalte im Netz) automatisiert Daten aus den A.-Profilen einer Vielzahl von Nutzern (im Folgenden: Scraping-Vorfall). Es handelte sich dabei um Profilinformationen, die entweder "immer öffentlich" oder aber zu diesem Zeitpunkt aufgrund der Privatsphäreeinstellungen der Nutzer öffentlich einsehbar waren. Zusätzlich erbeuteten die Scraper teilweise Handy- bzw. Telefonnummern, die mit dem entsprechenden Nutzerprofil verknüpft waren, mittels "Telefonnummernaufzählung". Dabei machten sich die Scraper die Kontakt-Importer-Funktion von A. zunutze. Mittels dieser Funktion war es Nutzern möglich, ihre Kontakte von ihren Mobilgeräten auf A. hochzuladen, um diese Kontakte auf A. zu finden und mit ihnen in Verbindung zu treten. Die Scraper erstellten Listen verschiedener potenzieller Telefonnummern und luden diese mittels der Kontakt-Importer-Funktion hoch. Sofern eine Telefonnummer mit dem entsprechenden Nutzerprofil verknüpft war, wurde diese den gescrapten Daten hinzugefügt.

Anfang April 2021 wurden die gescrapten Datensätze inklusive der Telefonnummern, darunter Daten der Klägerin, im Internet veröffentlicht.

Mit E-Mail v. 13.8.2021 (Bl. 53 dA) machte die Klägerin über ihre Prozessbevollmächtigten Zahlungs-, Unterlassungs- und Auskunftsansprüche geltend. Mit Schreiben v. 28.10.2021 (Bl. 249 dA) antworteten die Prozessbevollmächtigten der Beklagten, lehnten eine Zahlung und Unterlassung ab und nahmen insbesondere Bezug auf eine Anleitung bezüglich des "Access Your Information"-Tools und des "Deine Informationen herunterladen"-Tools zur Einsichtnahme in personenbezogene Daten.

Die Klägerin behauptet, durch das Scraping seien Daten wie Telefonnummer, Name, Wohnort und E-Mail-Adresse abgegriffen worden. In der Replik behauptet sie, der im Darknet für jedermann abrufbare Datensatz enthalte folgende personenbezogene Daten:

"xxxxxxx".

Sie habe durch Scraping und Veröffentlichung der Daten einen erheblichen Kontrollverlust über ihre Daten erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer sie betreffenden Daten verblieben. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Sie erhalte seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Sie habe sich mit dem Scraping-Vorfall und der Herkunft der Daten auseinandersetzen, den Sachverhalt ermitteln und sich um eine Auskunft gegenüber der Beklagten kümmern müssen. Sie habe Stress, Komfort- und Zeiteinbußen erlitten. Der Vorfall habe zu einem Gefühl des Kontrollverlustes, des Beobachtetwerdens und der Hilfslosigkeit, mithin einem überschattenden Gefühl der Angst geführt. Wäre ihr bewusst gewesen, dass die Beklagte unzureichende Sicherheitsmaßnahmen hinsichtlich der Verknüpfbarkeit der Telefonnummer und der übrigen Daten ergriffen hätte, so hätte sie die Option der Suche nach der Telefonnummer zu keinem Zeitpunkt aktiviert.

Die Klägerin beantragt:

1. Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,

a. personenbezogenen Daten der Klägerseite, namentlich Telefonnummer, A.ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,

b. die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf "privat" noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der A.-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird.

4. Die Beklagte wird verurteilt der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten.

5. Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte behauptet, sie halte keine Kopie der Rohdaten, welche die durch Scraping abgerufenen Daten enthalten würden. Daher habe der Klägerin lediglich mitgeteilt werden können, welche Datenkategorien betroffen sein könnten. Einen Missbrauch klägerischer Daten bestreitet die Beklagte mit Nichtwissen.

Das Gericht hat in der mündlichen Verhandlung v. 19.12.2022 die Klägerin persönlich angehört. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien und ihren Prozessbevollmächtigten gewechselten Schriftsätze nebst Anlagen und auf das Protokoll der mündlichen Verhandlung v. 19.12.2022 Bezug genommen.

Gründe

Die Klage ist zulässig, aber unbegründet.

I.

Die Klage ist zulässig.

1.

Der Klageantrag zu 1) ist hinreichend bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Soweit die Beklagte eingewendet hat, die Klägerin mache einen einzigen immateriellen Schadensersatz aufgrund verschiedener behaupteter Verstöße gegen die DSGVO und verschiedener Schäden geltend, trägt dies nicht die Unbestimmtheit.

Ein Klageantrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens der Klägerin nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (s. nur BGH 21.11.2017, II ZR 180/15, NJW 2018, 1259 Rn. 8 mwN).

Die von der Klägerin behaupteten Verstöße gegen die DSGVO knüpfen zeitlich an der Registrierung auf A., der späteren Eingabe der Handynummer, am fehlenden Schutz der klägerischen Daten und fehlender Informationen über den Scraping-Vorfall seitens der Beklagten an. Sie bedienen als Auslöser allerdings allesamt den Scraping-Vorfall und die Veröffentlichung der Daten im Internet. Insoweit verbindet der von der Klägerin geltend gemachte immaterielle Schaden die verschiedenen Verstöße zu einem Lebenssachverhalt. Soweit die behaupteten Verstöße eigenständig zu betrachten wären und einen jeweils eigenständigen Schadensersatzanspruch bedingen, stünden sie überdies in einem zulässigen, weil kumulativen Verhältnis zueinander (vgl. § 260 ZPO).

2.

Der Klageantrag zu 2) ist ebenfalls hinreichend bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Denn anders als die Beklagte meint, ist aus dem Inhalt des Klageantrags ersichtlich, dass es der Klägerin um den Ersatz "künftiger" Schäden geht, die aus dem Scraping-Vorfall resultieren. Die Verwendung der Vergangenheitsform "entstanden sind" mag missverständlich sein und einer Auslegung offen stehen, führt aber nicht zur Unbestimmtheit des Klageantrags. Denn ebenfalls hat die Klägerin die Zukunftsform "noch entstehen werden" verwendet, die offensichtlich mit dem Ersatz "künftiger" Schäden vereinbar ist.

Es bedarf zudem keiner Entscheidung, ob die Klägerin das nach § 256 Abs. 1 ZPO erforderliche Feststellungsinteresse schlüssig behauptet hat. Denn dieses ist nur für ein stattgebendes Urteil echte Prozessvoraussetzung. Wenn die Klage - wie vorliegend - hingegen unbegründet ist, kann sie unabhängig von einem bestehenden Feststellungsinteresse aus sachlichen Gründen abgewiesen werden (vgl. die st. Rspr., BGH 10.10.2017, XI ZR 456/16, NJW 2018, 227 Rn. 16; s.a. Zöller/Greger, 34. Aufl. 2022, § 256 ZPO Rn. 7).

3.

Auch der Klageantrag zu 3) ist zulässig. Der Begriff "Stand der Technik" bzw. die Formulierung "nach dem Stand der Technik möglichen Sicherheitsmaßnahmen" ist auslegungsbedürftig, aber hinreichend bestimmt, § 253 Abs. 2 Nr. 2 ZPO.

Eine solch verallgemeinernde Formulierung ist hinzunehmen. Der Stand der Technik beschreibt einen Zustand, der aufgrund der sich ständig wandelnden Technik aktuell vorherrscht, sich aber gleichermaßen rasch ändern kann. Insoweit ist es der Klägerin unmöglich, den derzeitigen Stand der Technik explizit zu benennen. Je nach dem Stand der Technik sind dabei verschiedene, aufeinander aufbauende Sicherheitsmaßnahmen möglich, die nicht näher konkretisiert werden können. Es bedeutet keinen effektiven Rechtsschutz, müsste bei einer solchen expliziten Benennung erneut geklagt werden, sobald sich der Stand der Technik und mithin die Sicherheitsmaßnahmen ändern (so auch LG Gießen 3.11.2022, 5 O 195/22, GRUR-RS 2022, 30480 Rn. 16; vgl. i.Ü. BGH 21.5.2015, I ZR 183/13, GRUR 2015, 1237 Rn. 13).

Die weiteren von den Parteien in diesem Zusammenhang diskutierten Aspekte betreffen nach Auffassung des erkennenden Gerichts Fragen der Begründetheit des Antrags, nicht der Unbestimmtheit im Rahmen der Zulässigkeit.

II.

Die Klage ist unbegründet.

1.

Die Klägerin hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DSGVO oder einer anderen denkbaren Anspruchsgrundlage. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Kontrovers diskutiert wird, unter welchen Voraussetzungen ein ersatzfähiger immaterieller Schadensersatz entsteht und sodann gewährt werden kann (eine Zusammenfassung in Korch NJW 2021, 978).

Das Merkmal des immateriellen Schadens ist autonom auszulegen (für alle: Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17 ff.). Erwägungsgrund 146 (und in diesem S. 3) zur DSGVO sieht vor, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshof weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DSGVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis zum Begriff des Schadens - etwa eine enge Auslegung - ist mithin nicht angezeigt (vgl. dazu BVerfG 14.1.2021, 1 BvR 2853/19, NJW 2021, 1005, 1007). Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DSGVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten ("entstanden") ist (OLG Frankfurt a.M. 2.3.2022, 13 U 206/20, GRUR-RS 2022, 4491 Rn. 61 ff.; LG Essen 10.11.2022, 6 O 111/22, GRUR-RS 2022, 34818 Rn. 75; LG Gießen 3.11.2022, 5 O 195/22, GRUR-RS 2022, 30480 Rn. 18). Diesen muss die Klägerin darlegen und ggf. beweisen (s. OLG Frankfurt a.M. 2.3.2022, 13 U 206/20, GRUR-RS 2022, 4491 Rn. 57, 65; Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 20 mwN).

Auch und gerade unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, kann das Gericht nicht erkennen (§ 287 Abs. 1 ZPO), dass die Klägerin einen solchen Schaden tatsächlich erlitten hat.

Die in den Schriftsätzen beschriebenen formelhaften Ängste und Sorgen, das Unwohlsein, die aufgewendete Zeit und der Stress haben sich in der persönlichen Anhörung in der mündlichen Verhandlung nicht mehr gezeigt. Sie sind Teil einer Klageschrift und Replik, die mit dem gleichen Inhalt in einer Vielzahl von Verfahren rechtshängig wurden. Schon deswegen war der persönliche Eindruck des erkennenden Gerichts von der Klägerin in ihrer Anhörung in der mündlichen Verhandlung entscheidend. In dieser hat die Klägerin zunächst geschildert, sie habe sich 2011 auf A. angemeldet und sei auch bis heute dort angemeldet.

Es ist festzuhalten, dass alle Daten - bis auf die Handynummer - aus dem öffentlichen Profil der Klägerin "abgelesen" wurden, die sie als immer öffentliche Nutzerinformationen bei der Registrierung bereitwillig angegeben hat. Ein Identitätsdiebstahl hat insoweit nicht stattgefunden. Soweit diese Daten öffentlich waren, standen sie bereits bei ihrer Eingabe nicht mehr unter der ausschließlichen klägerischen Kontrolle. Ein Kontrollverlust kann sich daraus gerade nicht ergeben.

Die schriftsätzliche Argumentation, die Klägerin sei verstärkt misstrauisch bzgl. Spam-E-Mails, ist zurückzuweisen. Die E-Mail-Adresse der Klägerin war nach Überzeugung des Gerichts nicht betroffen. Während dies in der Klage noch behauptet wurde (s. nur: "unbekannte Kontaktversuche via [...] E-Mail (Bl. 24 dA)"; "Auch von [der Klagepartei] wurden Daten wie [...] Mailadresse abgegriffen" (Bl. 24 dA)), hat sich dies aus der persönlichen Anhörung gerade nicht ergeben: Die Klägerin hat bekundet, sie wisse nicht so richtig, ob ihre E-Mail betroffen wäre. Sie habe seit April 2021 nicht merklich mehr Spam-E-Mails bekommen. Eine Veröffentlichung der klägerischen E-Mail-Adresse entspricht nicht den schriftsätzlichen Schilderungen der Klägerin bezüglich des Scraping-Vorfalls. Es wäre völlig unklar, wie die Scraper an die E-Mail-Adresse der Klägerin gekommen sein sollten. Im von der Klägerin zur Verfügung gestellten Datensatz ist die E-Mail-Adresse auch nicht zu finden.

Das Gericht konnte nicht erkennen, dass die Klägerin sich tatsächlich "beobachtet" gefühlt hat. Sie wirkte nicht hilflos oder sah sich zu einem reinen Objekt der Datenverarbeitung degradiert. Zu erkennen war lediglich eine "Erschrockenheit" über die Veröffentlichung der Handynummer im Internet, die nicht genügt. Diese Erschrockenheit hat die Klägerin in der persönlichen Anhörung geschildert. Das Gericht hält daher schriftsätzlich behauptete Sorgen und Ängste der Klägerin nicht für glaubhaft. Die Klägerin war bis zum Schluss der mündlichen Verhandlung auf A. angemeldet. (Drastische) Konsequenzen hat sie nicht gezogen. Im Hinblick auf die schriftsätzlichen Behauptungen ist ein solches Verhalten aber gerade nicht plausibel. Sie hat, und das ist mitentscheidend, entsprechende Suchbarkeitseinstellungen bzgl. ihrer Handynummer jedenfalls bis zum Erhalt der Klageerwiderung nicht geändert. Ihre Handynummer hat sie aus den Nutzereinstellungen nicht entfernt.

Soweit die Klägerin Ängste und Misstrauen bzgl. Spam-SMS, im konkreten bzgl. des Erhalts sog. "Paketshop-SMS" dargelegt hat, ist unklar, ob diese SMS tatsächlich im Zusammenhang mit dem Scraping-Vorfall verschickt wurden. Es ist gerichtsbekannt, dass auch Inhaber von Mobilfunknummern, die niemals bei A. angemeldet waren, solche oder ähnliche Spam-SMS enthalten. Im Übrigen ist ein geschärftes Bewusstsein beim Erhalt von SMS stets angezeigt.

Das erkennende Gericht ist nicht davon überzeugt, dass die Klägerin überhaupt irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Anders als schriftsätzlich vorgetragen, musste sich die Klägerin gerade nicht mit der Beklagten selbst auseinandersetzen. Sie musste insbesondere nicht selbst um Auskunft bitten oder weitere Nachforschungen bzgl. des Scraping-Vorfalls anstellen und hat dies auch nicht getan. Sie musste auch nicht den Sachverhalt ermitteln. Sie hat geschildert, sie habe auf einer Internetseite vom Datenleck bei A. gelesen. Dort habe sie erfahren, dass es im April 2021 zum besagten Vorfall gekommen sei. Entweder auf dieser Seite oder nach dem Klicken auf einen Link, der woanders hingeführt habe, habe sie ihre Handynummer eingeben und dann überprüfen können, ob sie vom Scraping-Vorfall betroffen sei. Nachdem dort angezeigt worden sei, dass ihre Handynummer betroffen wäre, habe sie direkt das Angebot bekommen, von den hiesigen Prozessbevollmächtigten vertreten zu werden.

Eine Vorlagepflicht nach Art. 267 AEUV bestand nicht.

2.

Der Feststellungsantrag zu 2) ist unbegründet, weil der Eintritt künftiger Schäden - mangels Vorliegen eines Schadens - bereits nicht hinreichend wahrscheinlich ist.

3.

Der Unterlassungsanspruch (§§ 1004 analog, 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1, Art. 17 DSGVO - Antrag zu 3) - unterliegt der Abweisung.

Er bezieht sich zunächst auf einige Datenpunkte, die nach Überzeugung des Gerichts überhaupt nicht - sofern sie überhaupt von der Klägerin veröffentlich wurden, veröffentlicht werden können oder auf A. abgefragt werden - Teil des Scraping-Vorfalls gewesen sind, nämlich "Bundesland" und "Beziehungsstatus". Auch der Datenpunkt "Stadt" ist nicht Teil des von der Klägerin selbst zur Verfügung gestellten Datensatzes.

Hinsichtlich der Datenpunkte "A.ID" (gemeint ist: Benutzer-ID), "Familienname", "Vorname" und "Geschlecht" handelt es sich zudem um die immer öffentlichen Nutzerinformationen, die auf der Profilseite der Klägerin stets eingesehen werden können, auch von "unbefugten Dritten", ohne dass Sicherheitsmaßnahmen überhaupt notwendig sind. Dem hat die Klägerin mit der Registrierung zugestimmt. Überdies sind alle diese Datenpunkte bereits nach dem Vortrag der Klägerin nicht, wie im Unterlassungsantrag formuliert, über "eine Software zum Importieren von Kontakten" zugänglich gemacht worden, sondern wurden bereits nach klägerischem Vortrag automatisiert von der klägerischen A.-Profilseite gescraped.

Hinsichtlich der "Telefonnummer" ist festzustellen, dass die Klägerin - unstreitig - weder vor dem Scraping-Vorfall noch danach jedenfalls bis zum Erhalt der Klageerwiderung die Suchbarkeitseinstellung eingeschränkt hat, was ihr jederzeit möglich gewesen wäre. Einer Verarbeitung kann daher schon entgegengewirkt werden, wenn die Handynummer aus den Nutzereinstellungen entfernt wird. Der Datenpunkt "Land" folgt aus der Vorwahl der angegebenen Handynummer.

4.

Der Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO - Antrag zu 4) - unterliegt der Abweisung, weil dieser nach Überzeugung des Gerichts durch den außergerichtlichen Schriftsatz der Beklagten v. 28.10.2021 (Bl. 249 ff. dA) bereits erfüllt (§ 362 Abs. 1 BGB) wurde.

Weitergehende Auskunft kann die Klägerin nicht verlangen. Ihr ist nämlich einerseits bekannt, welche Daten durch den Scraping-Vorfall erlangt und veröffentlicht wurden. Schließlich hat sie in der Replik den behaupteten Datensatz

"xxxxxxxx"

selbst vorgelegt. Andererseits hat die Beklagte glaubhaft und mehrfach versichert, sie halte keine "Rohdaten" des Scraping-Vorfalls.

5.

Die Nebenforderungen - Antrag zu 5) - teilen das Schicksal der übrigen Klageanträge und unterliegen der Abweisung.

III.

Die prozessualen Nebenentscheidungen beruhen auf §§ 91 Abs. 1, 708 Nr. 11, 711 ZPO.

IV.

Der Streitwert wird auf 6.800 € festgesetzt.