Seite drucken Entscheidung als PDF runterladen
Insbesondere zuletzt das Urteil des EuGH vom 20.06.2024 – C-590/22 (BeckRS 2023, 35786) bestärkt den Senat in seiner Rechtsauffassung (OLG Hamm, Urteil vom 15.08.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 151-160; OLG Hamm, Beschluss vom 21.12.2023 – 7 U 137/23, GRUR-RS 2023, 37310 = juris Rn. 6; dem folgend OLG München, Urteil vom 24.04.2024 – 34 U 2306/23e, GRUR-RS 2024, 8563 = juris Rn. 32, Rn. 35 m. w. N.; OLG Oldenburg, Urteil vom 21.05.2024 – 13 U 100/23, BeckRS 2024, 12013 = juris Rn. 43; OLG Saarbrücken, Urteil vom 03.05.2024 – 5 U 72/23, GRUR-RS 2024, 10977 = juris Rn. 24; OLG Celle, Urteil vom 04.04.2024 – 5 U 31/23, GRUR-RS 2024, 6435 = juris Rn. 67; OLG Köln, Urteil vom 07.12.2023 – I-15 U 33/23, GRUR-RS 2023, 36757 = juris Rn. 39; OLG Dresden, Urteil vom 05.12.2023 – 4 U 1094/23, GRUR-RS 2023, 36858 = juris Rn. 45; OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883 = juris Rn. 294), dass im Rahmen eines Anspruchs aus Art. 82 DSGVO ein mit einer unrechtmäßigen Datenverarbeitung als negative Folge einhergehender Kontrollverlust als solcher die Annahme eines immateriellen Schadens nicht trägt.
Der Senat hält zudem weiter daran fest, dass es einer konkret individuellen Darlegung der über den Kontrollverlust hinausgehenden, kausal auf das Scraping zurückzuführenden persönlichen Beeinträchtigungen bedarf (vgl. Senat, Urteil vom 15.08.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 164 f.), die im Zweifel im Rahmen einer persönlichen Anhörung nach § 141 ZPO im Hinblick auf die Beweislast des Klägers zur Überzeugung des Gerichts nach § 286 ZPO – hier gar widerlegt – festzustellen sind (BGH, Beschluss vom 25.10.2022 – VI ZR 382/21, BeckRS 2022, 35153 Rn. 13, 15; BGH, Urteil vom 26.02.2009 – I ZR 155/07, BeckRS 2009, 9695 Rn. 8).
Im Einzelfall kann es – wie hier – bereits an einem Kontrollverlust fehlen, wenn die gescrapte Handynummer vor dem Scrapingvorfall schon unmittelbar oder mittelbar an einen unbestimmten Kreis weitergegeben worden ist (im Anschluss an OLG Köln, Urteil vom 07.12.2023 – I-15 U 33/23, GRUR-RS 2023, 36757 = juris Rn. 37).
Die Berufung der Klägerin gegen das am 7.11.2023 verkündete Urteil der Einzelrichterin der 2. Zivilkammer des Landgerichts Detmold (2 O 33/23) wird zurückgewiesen.
Die Kosten der Berufung trägt die Klägerin.
Dieses und das angefochtene Urteil sind ohne Sicherheitsleistung vorläufig vollstreckbar.
Die Klägerin darf die Zwangsvollstreckung durch Sicherheitsleistung in Höhe von 110 % des aufgrund der Urteile jeweils vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Zwangsvollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet.
Die Revision wird im Hinblick auf den Antrag zu 1) zugelassen.
Gründe
2I.
3Die Beklagte betreibt die Plattform Y., die Klägerin nutzt diese. Die Parteien streiten um die Rechtsfolgen einer von der Klägerin geltend gemachten Verletzung der Vorschriften der Datenschutzgrundverordnung. Insbesondere macht die Klägerin einen immateriellen Schaden geltend.
4Im Zeitraum von Januar 2018 bis September 2019 kam es bei der Beklagten zu einem Scraping-Vorfall, bei dem Unbekannte auch die Daten der Klägerin abgriffen. Der Senat geht dabei davon aus, dass den Scrapern dies mittels Generierung von Telefonnummern gelang und sie die gescrapten Daten wie folgt zusammenstellten:
5NutzerID
Vorname
Nachname
Land
Geschlecht
Telefonnummer
Wegen der Einzelheiten wird auch auf das Senatsurteil vom 15.08.2023 (Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 3-22), dem insoweit ein identischer Ablauf zugrunde liegt, verwiesen.
13Wegen der weiteren Einzelheiten des Sach- und Streitstands vor dem Landgericht, insbesondere der gestellten Anträge, wird auf den Tatbestand des erstinstanzlichen Urteils vom 07.11.2023, berichtigt durch Beschluss vom 20.12.2023, Bezug genommen (Bl. 523 ff., 554 ff. der erstinstanzlichen elektronischen Akte, im Folgenden: eGA I-Bl.).
14Das Landgericht hat die Klage abgewiesen, den Antrag zu 1 mit der Begründung, es fehle an einem Schaden. Der mit den Datenschutzverstößen einhergehende Kontrollverlust stelle keinen Schaden dar. Einen immateriellen Schaden in Form einer persönlichen oder psychologischen Beeinträchtigung habe die Klägerin nicht schlüssig dargelegt. Wegen der weiteren Einzelheiten wird auf die Entscheidungsgründe des angefochtenen Urteils Bezug genommen (eGA I-530 ff.).
15Hiergegen richtet sich die form- und fristgerecht eingelegte Berufung der Klägerin. Wegen der einzelnen Berufungsangriffe wird zur Vermeidung von Wiederholungen auf die Berufungsbegründung vom 15.04.2024 Bezug genommen (Bl. 85 ff. der zweitinstanzlichen elektronischen Gerichtsakte, im Folgenden: eGA II-Bl.).
16Die Klägerin beantragt,
17unter Abänderung des angefochtenen Urteils
181. die Beklagte zu verurteilen, an sie immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, der aber mindestens 1.000 Euro beträgt, nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 03.02.2023 zu zahlen;
192. festzustellen, dass die Beklagte verpflichtet ist, ihr alle zukünftigen materiellen Schäden, die ihr durch den unbefugten Zugriff Dritter auf ihre im Datenarchiv der Beklagten gespeicherten persönlichen Daten, der nach Aussagen der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden, zu ersetzen;
203. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen,
21a. ihre personenbezogenen Daten, namentlich Telefonnummer, Y.-ID, Familienname, Vorname, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus, unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern,
22b. ihre Telefonnummer auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Information darüber, dass die Telefonnummer auch bei Einstellung auf „privat“ noch durch Verwendung des Kontakt-Import-Tools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Y.-Messenger-App, hier ebenfalls die Berechtigung verweigert wird;
234. die Beklagte zu verurteilen, Auskunft darüber zu erteilen, welche sie betreffenden personenbezogenen Daten durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussagen der Beklagten im Jahr 2019 erfolgte, durch den Dritten erlangt werden konnten;
245. die Beklagte zu verurteilen, sie von vorgerichtlichen Rechtsanwaltskosten in Höhe von 1.134,55 EUR gegenüber der W. mbH freizustellen.
25Die Beklagte beantragt,
26die Berufung zurückzuweisen.
27Wegen der Einzelheiten ihres Vorbringens in der Berufungsinstanz wird auf die Berufungserwiderung vom 13.06.2024 (eGA II-151 ff.) Bezug genommen.
28Der Senat hat die Klägerin in der mündlichen Verhandlung vom 21.06.2024 persönlich angehört. Wegen des Inhalts und des Ergebnisses der Anhörung wird auf den als Anlage zum Protokoll genommenen Berichterstattervermerk (eGA II-524 ff.) Bezug genommen.
29II.
301.
31Die zulässige Berufung der Klägerin hat keinen Erfolg, da sie unbegründet ist. Die Einwendungen der Klägerin haben keinen Erfolg. Die Klage ist insgesamt aus den im Urteil des Senats vom 15.8.2023 (Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 41 ff.) genannten Gründen abzuweisen.
32a)
33Der zulässige Antrag zu 1 ist unbegründet. Der Klägerin steht gegen die Beklagte kein Anspruch auf Ersatz immateriellen Schadens wegen des geltend gemachten Datenverlustes zu.
34aa)
35Ein solcher Anspruch folgt insbesondere nicht aus Art. 82 Abs. 1 DSGVO. Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
36(1)
37Die Beklagte hat als Verantwortliche (hierzu Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 82 m. w. N.) in mehrfacher Hinsicht gegen die Datenschutzgrundverordnung verstoßen.
38(a)
39Die Datenschutzgrundverordnung ist – mit Blick auf die vom Senat im Folgenden festgestellten Verstöße – in räumlicher, zeitlicher und sachlicher Hinsicht auf den streitgegenständlichen Scraping-Vorfall anwendbar (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 60-83).
40(b)
41Die Beklagte hat gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 UnterAbs. 1, Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 und Abs. 2, Art. 5 Abs. 1 lit. f und Art. 32 DSGVO verstoßen. Hiervon muss der Senat jedenfalls ausgehen, da die Beklagte Verstöße gegen diese Vorschriften nicht konkret ausgeräumt hat, obwohl ihr das nach Art. 5 Abs. 2 DSGVO oblegen hat.
42Soweit die Beklagte – unter Berufung auf Entscheidungen des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) – annimmt, die Beweislast für das Vorliegen eines Verstoßes liege bei dem Betroffenen, so trifft diese Ansicht nicht zu. Zwar liegt die Beweislast für die tatbestandlichen Voraussetzungen einer Anspruchsgrundlage grundsätzlich beim Anspruchsteller; allein dies besagt die von der Beklagten zitierte Entscheidung des Gerichtshofs (EuGH Urt. v. 21.12.2023 – C-667/21, GRUR-RS 2023, 36822 Rn. 99). Art. 5 Abs. 2 DSGVO regelt nach zutreffender Ansicht aber im Rahmen seines Anwendungsbereichs – also bei Verstößen gegen Art. 5 Abs. 1 DSGVO – auch die Beweislast im zivilrechtlichen Verfahren (EuGH Urt. v. 11.7.2024 – C-757/22, GRUR-RS 2024, 16262 Rn. 52; Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 87 f. m. w. N.).
43(aa)
44Insbesondere stellte die Suchbarkeit eines Nutzerprofils über die Mobilfunktelefonnummer per Such- und Kontaktimportfunktion eine unrechtmäßige Datenverarbeitung dar, da die Beklagte keine der unter Art. 6 Abs. 1 UnterAbs. 1 lit. a bis f DSGVO genannten Rechtfertigungsgründe substantiiert dargelegt und bewiesen hat. Wegen der Einzelheiten wird zur Vermeidung von Wiederholungen auf das Senatsurteil vom 15.8.2023 Bezug genommen (Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 92-126 m. w. N.; EuGH Urt. v. 11.7.2024, – C-757/22, GRUR-RS 2024, 16262 Rn. 59 f.). Soweit sich die Beklagte auf Art. 6 Abs. 1 UnterAbs. 1 lit. b DSGVO beruft, trifft dies aus den Gründen des Senatsurteils vom 15.8.2023 (Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 94-103) nicht zu. Insbesondere ist die Suchbarkeit über die Telefonnummer für die Vertragserfüllung nicht essentiell.
45(bb)
46Zudem hat die Beklagte gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 2 DSGVO verstoßen, indem sie datenunfreundliche Voreinstellungen vorgegeben hat oder – im Falle eines Beitritts der Klägerin vor dem 25.05.2018, dem Geltungsbeginn der Datenschutzgrundverordnung (Art. 99 Abs. 2 DSGVO) – nicht sichergestellt hat, dass unfreundliche Voreinstellungen zu diesem Datum unter Abkehr vom "Opt-Out"-System geändert wurden. Die gegenteilige Ansicht der Beklagten trifft nicht zu. Der Senat hält insofern an seiner Bewertung aus dem Senatsurteil vom 15.8.2023 fest (Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 127 f.), die im Übrigen auch die Irische Datenschutzbehörde teilt.
47(cc)
48Zudem ist von einem Verstoß der Beklagten gegen Art. 5 Abs. 1 lit. f, Art. 32 DSGVO auszugehen, da die Beklagte weder substantiiert dargelegt noch bewiesen hat, die angemessenen Sicherheitsvorkehrungen – insbesondere gegen das sog. Scraping – eingehalten zu haben. Das im Senatsurteil vom 15.8.2023 hierzu Ausgeführte (Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 129-145) gilt entsprechend. Damit geht einher, dass die Beklagte auch einen Verstoß im Rahmen ihrer Datenverarbeitung gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 DSGVO ("privacy by design") nicht ausgeräumt hat (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 146). Dies ist ihr auch nicht mit der Berufungserwiderung gelungen.
49(2)
50Ein auf diese Verstöße der Beklagten gegen die Bestimmungen der Datenschutzgrundverordnung zurückzuführender immaterieller Schaden der Klägerin lässt sich jedenfalls nicht feststellen.
51Nach der Rechtsprechung des Gerichtshofs muss ein Schaden neben den Verstoß gegen die Datenschutzgrundverordnung treten, um einen Anspruch auf Schadensersatz auszulösen; der immaterielle Schaden besteht nicht schon in der Verletzung der Vorschriften der Datenschutzgrundverordnung (vgl. nur zuletzt EuGH Urt. v. 20.6.2024 – C-182/22, C-189/22, BeckRS 2024, 13981 Rn. 41 m. w. N sowie entsprechend schon BGH Beschl. v. 12.12.2023 – VI ZR 277/22, BeckRS 2023, 40381 Rn. 5).
52(a)
53Soweit sich die Klägerin schriftsätzlich auf die Befürchtung der missbräuchlichen Verwendung ihrer Daten, die nach Rechtsprechung des Gerichtshofs einen – zu beweisenden – immateriellen Schaden darstellt (vgl. EuGH Urt. v. 20.6.2024 – C-590/22, BeckRS 2024, 13978 Rn. 32; EuGH Urt. v. 14.12.2023 – C-340/21, BeckRS 2023, 35786 Rn. 81, 83), wenn damit einhergehend negative Folgen vorliegen (vgl. EuGH Urt. v. 20.6.2024 – C-590/22, BeckRS 2024, 13978 Rn. 35), beruft, kann dahinstehen, ob auch die pauschale, ersichtlich nicht auf den vorliegenden Einzelfall zugeschnittene, sondern in einer Vielzahl gleichgelagerter Verfahren wortgleiche stereotype Benennung einer solchen negativen Folge schon der klägerischen Darlegungslast genügt. Soweit ersichtlich, ist dies nur für auf den Streitfall bezogenen Vortrag höchstrichterlich bejaht worden (vgl. BGH Beschl. v. 12.12.2023 – VI ZR 277/22, BeckRS 2023, 40381 Rn. 6). Daher hat der Senat zur Sachverhaltsaufklärung die Klägerin persönlich gemäß § 141 ZPO zur schriftsätzlich vorgetragenen inneren Tatsache, ihren Empfindungen, angehört – zumal auch Erklärungen der persönlich angehörten Partei als „Inhalt der Verhandlungen“ gemäß § 286 Abs. 1 Satz 1 ZPO in die richterliche Überzeugungsbildung einzubeziehen sind (so BGH Beschl. v. 25.10.2022 – VI ZR 382/21, BeckRS 2022, 35153 Rn. 13).
54In Würdigung der (fehlenden) Angaben der Klägerin im Rahmen ihrer persönlichen Anhörung zu inneren Empfindungen in Abweichung zum schriftsätzlichen Vortrag (vgl. zu dieser Vorgehensweise BGH Beschl. v. 25.10.2022 – VI ZR 382/21, BeckRS 2022, 35153 Rn. 15 sowie BGH Urt. v. 26.2.2009 – I ZR 155/07, BeckRS 2009, 9695 Rn. 8) ist der Senat davon überzeugt, dass ein immaterieller Schaden in Form der Befürchtung der missbräuchlichen Datenverwendung mit negativen Folgen bei der Klägerin nicht vorliegt. Die Klägerin hat in ihrer persönlichen Anhörung weder geschildert, sich vor Datenmissbrauch zu fürchten, noch Beweisanzeichen (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 164 f. m. w. N.) dargelegt, die auf eine Furcht schließen lassen. Das Ergebnis der Anhörung hat den Senat vielmehr davon überzeugt (§ 286 ZPO), dass eine solche Furcht bei der Klägerin nicht vorhanden ist. Die Klägerin hat beim Senat den Eindruck hinterlassen, eine selbstbewusste und erfahrene Frau zu sein, die genau weiß, wie sie sich bei Betrugsversuchen zu verhalten hat, und etwaigen Betrügern ohne Furcht entgegentritt.
55Davon zeugt die Einlassung der Klägerin in ihrer Anhörung vor dem Senat, dass sie bei Anrufen, die sie auf den Datenverlust bei der Beklagten zurückführt, nicht mit einem sofortigen Gesprächsabbruch reagiere, sondern mit einer weiteren Unterhaltung, die sie mit dem Ziel führe, herauszufinden, wie weit die Gesprächspartner gingen (Berichterstattervermerk S. 1 Abs. 1, eGA II-524).
56Zudem weiß die Klägerin, dass sie durch die Frage, woher der Gesprächspartner ihre Telefonnummer habe, schnell zum Gesprächsabbruch bewegen kann (Berichterstattervermerk S. 1 Abs. 1, eGA II-524). Schließlich lässt der Umstand, dass die Klägerin beruflich mit der Datenschutzgrundverordnung zu tun hat (Berichterstattervermerk S. 1 Abs. 1, eGA II-524), auf einen professionellen Umgang mit dem Datenverlust schließen und gerade nicht auf einen furchtbesetzten. Unabhängig davon spricht der Umstand, dass die Klägerin trotz des von ihr behaupteten Mehraufkommens an Spam-Anrufen und -SMS dennoch ihre Telefonnummer behalten hat (Berichterstattervermerk S. 1 Abs. 4, eGA II-524), indiziell gegen die Annahme von Furcht vor Datenmissbrauch. Vor dem Hintergrund, dass sich schon keine Befürchtung feststellen lässt, erklärt sich auch plausibel, dass die Klägerin – wie es erforderlich gewesen wäre (so EuGH Urt. v. 20.6.2024 – C-590/22, BeckRS 2024, 13978 Rn. 36 explizit) – keinerlei Angaben zu negativen Folgen einer vermeintlichen Befürchtung gemacht hat.
57(b)
58Soweit die Klägerin den Erhalt von Spam-Anrufen und -SMS im Rahmen des immateriellen Schadens geltend macht, steht nicht fest, dass die Spam-Anrufe und -SMS zumindest mitursächlich auf den Datenschutzverstößen der Beklagten, die zu 533 Millionen generierter Datensätze geführt haben, beruhen. Die Klägerin hat weder hinreichend dargelegt noch – selbst gemessen am Maßstab des § 287 ZPO – bewiesen, dass diese auf den streitgegenständlichen Scraping-Vorfall zurückzuführen sind. Es ist dem Senat aus eigener Anschauung hinreichend bekannt, dass es auch, ohne vom streitgegenständlichen Scraping-Vorfall betroffen zu sein, regelmäßig zu Spam-Kontakten kommen kann bzw. kommt. Den notwendigen Kausalitätsnachweis kann die Klägerin daher mit ihrem diesbezüglichen unter Beweis gestellten Vortrag nicht führen (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 189-200).
59Zudem ist der Vortrag der Klägerin auch insoweit schon nicht schlüssig, als der Empfang von Spam als solcher – ohne weitere negativen Folgen – bereits keinen immateriellen Schaden darstellt (vgl. hierzu EuGH Urt. v. 20.6.2024 – C-590/22, BeckRS 2024, 13978 Rn. 34-36). Solche negativen Folgen sind weder von der Klägerin dargetan noch sonst ersichtlich.
60Sie selbst hat von Ärger oder anderen negativen Alltagsgefühlen aufgrund des Spam-Aufkommens in ihrer persönlichen Anhörung nicht berichtet. Unabhängig davon, dass Beunruhigung, Ärger, Unmut und Zorn als solche schon keinen immateriellen Schaden darstellen (so Generalanwalt Collins Schlussantr. v. 26.10.2023 – C-182/22, C-189/22, BeckRS 2023, 29211 Rn 24, insoweit ohne Widerspruch durch die nachfolgende Entscheidung des EuGH Urt. v. 20.06.2024 – C-182/22, C-189/22, BeckRS 2024, 13981; Generalanwalt Pitruzzella Schlussantr. v. 27.4.2023 – C-340/21, BeckRS 2023, 8707 Rn. 79-83 m. w. N., insoweit ohne Widerspruch durch die nachfolgende Entscheidung des EuGH Urt. v. 14.12.2023 – C-340/21, BeckRS 2023, 35786; Generalanwalt Campos Sanchez-Bordona Schlussantr. v. 6.10.2022 – C-300/21, GRUR-RS 2022, 26562 Rn. 112-116, insoweit ohne Widerspruch durch die nachfolgende Entscheidung des EuGH Urteil v. 4.5.2023 – C-300/21, GRUR-RS 2023, 980 Rn. 43-51; entsprechend BGH EuGH-Vorlage v. 26.9.2023 – VI ZR 97/22, GRUR-RS 2023, 30210, noch nicht beschieden), würde es bereits an der Darlegung durch die Klägerin fehlen, warum der Ärger jedenfalls mitursächlich auf die Datenschutzverstöße – und nicht nur auf die Spam-Anrufe und -Nachrichten, von denen nicht feststeht, dass sie ihrerseits auf Datenschutzverstößen beruhen – zurückzuführen ist.
61(b)
62Der von der Klägerin geltend gemachte Kontrollverlust stellt für sich gesehen keinen immateriellen Schaden dar (hierzu unter (aa)). Unabhängig davon liegt ein Kontrollverlust bei der Klägerin nicht vor (hierzu unter (bb)).
63(aa)
64Nach mittlerweile gefestigter Rechtsprechung des Gerichtshofes kann der – selbst kurzzeitige – Verlust der Kontrolle über Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (EuGH Urt. v. 20.6.2024 – C-590/22, BeckRS 2024, 13978 Rn. 33 m. w. N.; siehe zum rein hypothetischen Risiko EuGH Urt. v. 25.1.2024 – C-687/21, r+s 2024, 381 Rn. 68).
65Daraus folgt aber nicht, dass ein Kontrollverlust per se einen immateriellen Schaden darstellt, wie der Senat bereits in seinem Urteil vom 15.8.2023 (Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 151-160; dem folgend: OLG München Urt. v. 24.4.2024 – 34 U 2306/23e, GRUR-RS 2024, 8563 = juris Rn. 32, Rn. 35 m. w. N.; OLG Oldenburg (Oldenburg) Urt. v. 21.5.2024 – 13 U 100/23, BeckRS 2024, 12013 = juris Rn. 43; OLG Saarbrücken Urt. v. 3.5.2024 – 5 U 72/23, GRUR-RS 2024, 10977 = juris Rn. 24; OLG Celle Urt. v. 4.4.2024 – 5 U 31/23, GRUR-RS 2024, 6435 = juris Rn. 67; OLG Köln Urt. v. 7.12.2023 – I-15 U 33/23, GRUR-RS 2023, 36757 = juris Rn. 39; OLG Dresden Urt. v. 5.12.2023 – 4 U 1094/23, GRUR-RS 2023, 36858 = juris Rn. 45; OLG Stuttgart Urt. v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883 = juris Rn. 294) ausgeführt hat.
66Vielmehr bedarf es eines über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schadens in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund des auf einem Datenschutzverstoß beruhenden Kontrollverlustes. Nachdem der Gerichtshof mit Blick auf die Befürchtung eines Kontrollverlustes oder einer missbräuchlichen Verwendung von Daten die bloße Befürchtung ohne nachgewiesene negative Folgen nicht als ausreichend zur Begründung eines immateriellen Schadens qualifiziert hat (so EuGH Urt. v. 20.6.2024 – C-590/22, BeckRS 2024, 13978 Rn. 35 explizit), kann für den Kontrollverlust nichts anderes gelten. Auch dieser kann ohne nachgewiesene negative Folgen nicht zu einem Anspruch auf Schadensersatz führen. Ebenso wie materielle Folgen eines Kontrollverlustes (wie z.B. die Kosten eines Rufnummernwechsels) der Darlegung und des Nachweises bedürfen, erfordert ein immaterieller Schaden die Darlegung und den Nachweis, dass der Kontrollverlust zu persönlichen / psychologischen Beeinträchtigungen geführt hat. Dies deckt sich mit dem Befund, dass der aus Art. 82 Abs. 1 DSGVO folgende Anspruch auf Schadensersatz lediglich die Funktion hat, einen konkreten Schaden zu auszugleichen (EuGH Urt. v. 20.6.2024 – C-182/22, C-189/22, BeckRS 2024, 13981 Rn. 24). Ließe man einen für den Betroffenen folgenlosen Kontrollverlust als immateriellen Schaden zu, müsste die Höhe des Schadensersatzes konsequent auf null EUR lauten. Denn für die Bemessung des Ersatzes des immateriellen Schadens kommt es letztlich im Hinblick auf die Ausgleichsfunktion des Art. 82 Abs. 1 DSGVO nur auf die konkreten Auswirkungen für die betroffene Person an, nicht aber – dazu ausführlich sogleich – bspw. auf Strafzwecke, Schwere des Verschuldens, Schwere des Verstoßes gegen die DSGVO oder die Anzahl der Verstöße gegen die Datenschutzgrundverordnung im Hinblick auf einen Vorgang (vgl. m. w. N. nur EuGH Urt. v. 20.6.2024 – C-182/22, C-189/22, BeckRS 2024, 13981 Rn. 28 ff.; EuGH Urt. v. 20.6.2024 – C-590/22, BeckRS 2024, 13978 Rn. 41; EuGH Urt. v. 11.4.2024 – C-741/21, r+s 2024, 385 Rn. 64).
67Auch systematische Gründe sprechen gegen die Annahme, ein Kontrollverlust stelle per se einen immateriellen Schaden dar. Zwar gibt es kein den §§ 249 ff. BGB vergleichbares europäisches allgemeines Schadensrecht. Doch setzt eine Vielzahl von Normen einen immateriellen Schaden voraus. Gemeinsam ist diesen Vorschriften in der Auslegung, dass als immaterieller Schaden eine negative innere Tatsache des Geschädigten angesehen wird, etwa die Trauer durch den Verlust eines nahen Angehörigen; hingegen wird der Verlust des nahen Angehörigen als solcher nicht als Schaden erwähnt (vgl. EuGH Urt. v. 10.12.2015 – C-350/14, r + s 2016, 195 = juris Rn. 27; entsprechend zum nationalen Hinterbliebenengeld: BGH Urt. v. 6.12.2022 – VI ZR 73/21, r+s 2023, 182 = juris Rn. 14, 20 (Linderung seelischen Leids; Ausgleich des Verlusts als solcher nicht möglich); siehe zum nationalen Schockschaden BGH Urt. v. 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 14). Wenn schon der Verlust eines Angehörigen an sich zur Begründung eines immateriellen Schadens nicht ausreicht, dann ist dies aus Wertungsgesichtspunkten erst recht nicht beim Verlust der Kontrolle über Daten der Fall.
68(bb)
69Unabhängig davon scheitert ein Anspruch – jedenfalls im Hinblick auf Namen, Land, Geschlecht und Mobilfunknummer – daran, dass die Klägerin einen Kontrollverlust nicht hinreichend dargelegt hat.
70Wie bereits dem Wortlaut des Begriffs „Kontrollverlust“ zu entnehmen ist, setzt dieser voraus, dass der Betroffene zunächst die Kontrolle über das konkrete personenbezogene Datum – der Gerichtshof spricht insoweit von Datenhoheit (EuGH, Urt. v. 14.12.2023 – C-456/22, GRUR-RS 2023, 35767 Rn. 22) – hatte und diese Kontrolle später gegen seinen Willen durch den streitgegenständlichen Datenschutzverstoß verloren hat. Dabei muss der potentiell Geschädigte darlegen, dass er die Hoheit über die Daten nicht schon zuvor verloren hatte. Dies gilt jedenfalls bei Daten, bei denen es sich – wie etwa bei dem Namen, dem jedenfalls im europäischen Kulturkreis fast immer aus dem Vornamen ableitbaren Geschlecht und der Telefonnummer – nicht um ein per se sensibles oder der Geheimhaltung unterliegendes personenbezogenes Datum handelt, sondern im Gegenteil um ein Identifizierungsmerkmal. Im Hinblick auf die Telefonnummer ist dabei von Bedeutung, dass es sich um ein solches Datum handelt, das nach seiner Zweckbestimmung dem Betroffenen ermöglichen soll, in Kontakt mit anderen, identifizierbaren Personen zu treten und das daher im täglichen Leben auch solchen anderen Personen oft in großem Umfang zugänglich gemacht wird. In solchen Fällen ist der Betroffene gehalten, dazu vorzutragen, wie er im privaten, geschäftlichen und/oder beruflichen Umfeld mit diesen Daten vor dem streitgegenständlichen Scraping-Vorfall umgegangen ist, ob und unter welchen Bedingungen er sie an wen weitergegeben hat und dass insofern durch die Veröffentlichung nach dem Scraping-Vorfall tatsächlich ein Verlust der zuvor über diese Daten durch ihn noch ausgeübten Kontrolle eingetreten ist (vgl. OLG Köln Urt. v. 7.12.2023 – I-15 U 33/23, GRUR-RS 2023, 36757 = juris Rn. 37).
71Die Klägerin ist dieser Darlegungslast nicht nur nicht nachgekommen, sondern hat in ihrer persönlichen Anhörung Umstände vorgetragen, die darauf hindeuten, dass ein Kontrollverlust bereits vor dem streitgegenständlichen Scraping-Vorfall stattgefunden hat.
72Der Kontrollverlust der Klägerin über ihre Daten ist bei Zugrundelegung ihrer Angaben vor dem streitgegenständlichen Scraping-Vorfall eingetreten. Soweit die Telefonnummer der Klägerin betroffen ist, hat sie angegeben, diese sowohl privat als auch beruflich zu verwenden (Berichterstattervermerk S. 1, Abs. 4, eGA II-524). Ebenso hat sie angegeben, ihre dienstlichen Visitenkarten, die auch ihre privat-dienstliche Mobilfunknummer enthalten habe, an ihre Kunden weitergegeben zu haben. In diesem Zusammenhang ist im Sinne einer tatsächlichen Vermutung damit zu rechnen, dass neben den privaten auch die geschäftlichen Kontakte der Klägerin deren auf der Visitenkarte hinterlegte Daten im Adressbuch ihres Mobiltelefons speichern, was lebensnah auch von der Klägerin gewollt sein wird; typischerweise wird zumindest ein Teil dieser Personen – wie der Senat aus eigener Anschauung weiß – ein soziales Netzwerk nutzen und dort das Adressbuch hochladen. Damit hat die Klägerin an den üblicherweise auf einer Visitenkarte angeführten Daten – Nachname, Vorname und daraus ableitbares Geschlecht sowie Telefonnummer und aufgrund der Länderkennungsvorwahl auch Land – bereits durch die Weitergabe der Visitenkarten die Datenhoheit verloren. Gegenteiliges hätte die Klägerin – da sie für das Tatbestandsmerkmal des Schadens darlegungs- und beweisbelastet ist – darlegen und ggf. beweisen müssen.
73c)
74Ein weiterer immaterieller Schaden ist von der Klägerin nicht geltend gemacht worden noch sonst ersichtlich. Dies gilt vor allem im Hinblick auf solche immateriellen Schäden, die auf etwaigen Verletzungen der Pflichten der Beklagten aus Art. 15, 33 und 34 DSGVO beruhen könnten (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 147-149).
75d)
76Sollte an den in Rede stehenden Daten – entgegen der Ansicht des Senats – ein Kontrollverlust eingetreten sein und sollte es sich dabei – ebenfalls entgegen der Ansicht des Senats – bereits um einen immateriellen Schaden handeln, so stünde zur Überzeugung des Senats fest, dass dieser Kontrollverlust auf Datenschutzverstößen der Beklagten beruhte. Ein angemessener Anspruch auf Ersatz dieses immateriellen Schadens nach Art. 82 Abs. 1 DSGVO beliefe sich unter Abwägung aller Umstände des Einzelfalls auf 100 EUR. Dieser Betrag ist zum Ausgleich eines etwaigen Schadens erforderlich, aber auch ausreichend und entspricht der Billigkeit (vgl. § 253 Abs. 2 BGB).
77Bei der – grundsätzlich nach nationalem Recht vorzunehmenden – Bemessung der Höhe des Schadensersatzes sind im Rahmen der Billigkeit alle dafür relevanten Umstände des Einzelfalls – insbesondere Art, Intensität und Dauer der erlittenen Rechtsverletzung (vgl. MüKoBGB/Oetker, 9. Aufl. 2022, BGB § 253 Rn. 36) – in eine Gesamtbetrachtung (vgl. BGH Urt. v. 22.3.2022 – VI ZR 16/21, NJW 2022, 1957 Rn. 8) unter Berücksichtigung der Funktion des Art. 82 Abs. 1 DSGVO einzubeziehen und gegeneinander abzuwägen.
78Was die Bemessung der Höhe des etwaigen gemäß Art. 82 DSGVO geschuldeten Schadenersatzes betrifft, haben die nationalen Gerichte in Ermangelung einer Bestimmung mit diesem Gegenstand in der DSGVO die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (EuGH Urt. v. 20.6.2024 – C-182/22, C-189/22, BeckRS 2024, 13981 Rn. 27; EuGH Urt. v. 11.4.2024 – C-741/21, r+s 2024, 385 Rn. 42 m. w. N.), weswegen der aus § 253 Abs. 2 BGB stammende – unter den unionsrechtlichen Grundsätzen der Äquivalenz und Effektivität auszulegende – Grundsatz der Billigkeit zur Bemessung der Höhe des Schadensersatzes als Maßstab heranzuziehen ist.
79Art. 82 Abs. 1 DSGVO ist nach der Rechtsprechung des Gerichtshofs dahingehend auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch – insbesondere im Fall des immateriellen Schadens – ausschließlich eine Ausgleichsfunktion erfüllt, hingegen keine Straf- oder Abschreckungsfunktion. Eine auf diese Bestimmung gestützte Entschädigung in Geld soll es ermöglichen, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden in vollem Umfang auszugleichen. Art. 82 DSGVO hat – anders als andere, ebenfalls in Kapitel VIII enthaltene Bestimmungen, und zwar ihre Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben – keine Straffunktion. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der Datenschutzgrundverordnung auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken (vgl. EuGH Urt. v. 20.6.2024 – C-182/22, C-189/22, BeckRS 2024, 13981 Rn. 22 ff. m. w. N.). Im Lichte des europarechtlichen Effektivitätsgrundsatzes (vgl. Art. 4 Abs. 3 EUV) muss die Höhe dennoch so bestimmt werden, dass sie den Schaden tatsächlich in vollem Umfang auszugleichen in der Lage ist. Dies kann auch ein Schadensersatz in geringer Höhe sein (vgl. EuGH Urt. v. 20.6.2024 – C-182/22, C-189/22, BeckRS 2024, 13981 Rn. 45). Nicht zu berücksichtigen ist im Hinblick auf die ausschließliche Ausgleichsfunktion des in Art. 82 Abs. 1 DSGVO verankerten Schadenersatzanspruchs hingegen die Schwere des Verschuldens oder ein etwaiger Vorsatz (vgl. EuGH Urt. v. 20.6.2024 – C-182/22, C-189/22, BeckRS 2024, 13981 Rn. 28 ff.) sowie die Schwere des Verstoßes gegen die Datenschutzgrundverordnung (vgl. EuGH Urt. v. 20.6.2024 – C-590/22, BeckRS 2024, 13978 Rn. 41 m. w. N.) sowie die Anzahl der Verstöße gegen die Datenschutzgrundverordnung im Hinblick auf einen Vorgang (vgl. EuGH Urt. v. 11.4.2024 – C-741/21, r+s 2024, 385 Rn. 64).
80Vor diesem Hintergrund ist in die zur Bemessung des Schadensersatzes vorzunehmende Abwägung einzustellen, dass der Klägerin ein – unterstellter –immaterieller Schaden entstanden ist, der in einem Kontrollverlust – aber auch nur in diesem – besteht. Insbesondere ist nach dem Gesagten nicht die Befürchtung vor Datenmissbrauch zu kompensieren, da eine solche Befürchtung zur Überzeugung des Senats widerlegt ist. Der Kontrollverlust beschränkt sich dabei auf nicht sonderlich sensible Daten, sondern solche der Sozialsphäre der Klägerin. Der Name der Klägerin als solcher ist auch anderweitig im Internet auffindbar, wie sie selbst bekundet hat. Auch wenn dies für die Telefonnummer nach den Bekundungen der Klägerin nicht gilt, so ist die Telefonnummer doch auf Kommunikation mit anderen angelegt. Gelangt sie in die Hand von Dritten, die nach dem Willen der Klägerin nicht in ihren Besitz gelangen sollen, wiegt dies entsprechend nicht so schwer wie der Kontrollverlust über Daten, die von vornherein auf Geheimhaltung – wie etwa Arztdaten – angelegt sind. Dennoch ist zu berücksichtigen, dass die in Rede stehenden Daten der Klägerin auf einer insgesamt ca. 533 Millionen Datensätze umfassenden Liste im Darknet veröffentlicht worden sind, was einen Missbrauch durch Kriminelle wahrscheinlicher als bei zusammenhangloser Erwähnung auf einer Homepage im Internet erscheinen ließ – wobei das persönliche Risiko, für einen Missbrauchsversuch ausgewählt zu werden, wiederum durch die Vielzahl der Datensätze relativiert wird.
81bb)
82Ein Anspruch auf Ersatz immateriellen Schadens aus § 823 Abs. 1 BGB, Art. 2 Abs. 1, Art. 1 Abs. 1 GG wegen der Verletzung des allgemeinen Persönlichkeitsrechts scheidet aus. Zwar kann die schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts die Zahlung von Schmerzensgeld zur Folge haben; dies scheidet aber im vorliegenden Fall jedenfalls mangels Schwere der Verletzung aus.
83Nach der ständigen Rechtsprechung des Bundesgerichtshofs begründet die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann. Ob eine so schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, dass die Zahlung einer Geldentschädigung erforderlich ist, kann nur aufgrund der gesamten Umstände des Einzelfalls beurteilt werden. Hierbei sind insbesondere die Bedeutung und Tragweite des Eingriffs, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen. Die Zubilligung einer Geldentschädigung unter den genannten Voraussetzungen findet ihre sachliche Berechtigung in dem Gedanken, dass das Persönlichkeitsrecht gegenüber schwerwiegenden Beeinträchtigungen anderenfalls ohne ausreichenden Schutz bliebe mit der Folge, dass der Rechtsschutz der Persönlichkeit verkümmern würde (BGH Urt. v. 12.3.2024 – VI ZR 1370/20, BeckRS 2024, 14074 Rn. 70 m. w. N.; vgl. auch BGH Urt. v. 5.10.2004 – VI ZR 255/03, NJW 2005, 215, 216 m. w. N.).
84Nach diesen Grundsätzen ist die Zahlung einer Geldentschädigung nicht erforderlich. (vgl. auch Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 204). Offenbleiben kann in diesem Zusammenhang, ob der Kontrollverlust an den im vorliegenden Fall in Rede stehenden Daten überhaupt eine Verletzung des allgemeinen Persönlichkeitsrechts der Klägerin darstellt. Jedenfalls wiegt die Beeinträchtigung nicht schwer. Die Daten betreffen nicht die Privat- oder Intimsphäre der Klägerin, sondern lediglich deren Sozialsphäre. Das gilt auch für das Datum Geschlecht, das nach immer noch gängiger Anschauung in Deutschland – was sich etwa durch die Ableitbarkeit aus dem Vornamen oder durch die Anrede mit „Frau“ oder „Herr“ ausdrückt – der Sozialsphäre zuzuordnen ist. Die Telefonnummer ist ein Datum, das auf Kommunikation und deshalb auf Weitergabe angelegt ist.
85cc)
86Ein Anspruch auf Schadensersatz folgt auch nicht aus § 280 Abs. 1, § 241 Abs. 2 BGB da es bereits an einem immateriellen Schaden der Klägerin mangelt und insoweit im Rahmen von § 253 Abs. 2 BGB die Erheblichkeits- / Bagatellgrenze für den Ersatz immateriellen Schadens nicht überschritten ist (vgl. zur Gesundheitsverletzung BGH Urt. v. 6.12.2022 – VI ZR 168/21, r+s 2023, 130 Rn. 18).
872.
88Im Hinblick auf den Klageantrag zu 2 fehlt es bereits an der Darlegung der – praktischen und nicht nur theoretischen – Möglichkeit des Eintritts eines zukünftigen materiellen oder immateriellen Schadens (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 207-218). Nach dem bisherigen Vortrag der Klägerin ist bisher kein konkreter materieller Schaden entstanden; Rechtsanwaltskosten werden gesondert geltend gemacht. Es ist im Hinblick auf die Kenntnis der Klägerin von drohenden Phishing-Anrufen und -SMS auch nicht mit dem Eintritt eines Schadens zu rechnen. Das gilt erst recht vor dem Hintergrund, dass die Klägerin – wie sie in ihrer persönlichen Anhörung vor dem Senat bekundet hat (Berichterstattervermerk S. 1 Abs. 1, eGA II-524) – beruflich mit dem Datenschutzrecht zu tun hat und daher für solche Fragen sensibilisiert ist, mit Spam-Anrufen und Betrugsversuchen rechnet und sich eine Strategie zurechtgelegt hat, wie sie bei solchen Anrufen reagiert (Berichterstattervermerk S. 1 Abs. 1, eGA II-524). Einen Schaden durch einen – vorgenommenen oder beabsichtigten – Rufnummernwechsel hat die Klägerin schon nicht geltend gemacht.
893.
90Der Antrag zu 3.a., der darauf gerichtet ist, eine Kontaktimportfunktion ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen zu unterbinden, ist nicht zuletzt im Hinblick auf § 890 Abs. 2 ZPO und § 259 ZPO unzulässig (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 219-234). Es ist dem Senat aus anderen Verfahren bekannt, dass die Kontaktimportfunktion in der bis zum September 2019 bestehenden Funktionalität nicht mehr verfügbar ist.
91Der Antrag zu 3.b. ist ebenfalls nicht zuletzt im Hinblick auf § 890 Abs. 2 ZPO und § 259 ZPO sowie das fehlende Rechtsschutzbedürfnis unzulässig (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 236 f.).
924.
93Der dem Antrag zu 4 zugrundeliegende Auskunftsanspruch ist durch Erfüllung erloschen (§ 362 Abs. 1 BGB; vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 = juris Rn. 249-254), konkret durch das Schreiben der Beklagten vom 23.08.2021 (Anlage B16, eGA I-337 ff.). Durch die Auskunft, Y. O. halte keine Kopien der Rohdaten, welche die durch Scraping abgerufenen Daten enthielten, hat die Beklagte auch erklärt, dass weitere Kenntnisse zum Auskunftsverlangen der Klägerin nicht vorlägen. Dies hat die Beklagte zudem ausdrücklich in der mündlichen Verhandlung vor dem Senat bestätigt (Protokoll der mündlichen Verhandlung vom 21.06.2024, S. 2, eGA II-522).
945.
95Bezüglich des Antrags zu 5 ist die Klage unbegründet. Ein solcher Anspruch ergibt sich insbesondere nicht aus Art. 82 Abs. 1 DSGVO.
96Ein Anspruch der Klägerin scheidet zunächst deswegen aus, weil der Senat davon ausgehen muss, dass ein etwaiger Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten nach § 86 Abs. 1 Satz 1 VVG auf den Rechtsschutzversicherer übergegangen ist und es daher an der Aktivlegitimation mangelt. Wie sich aus der Zahlungsmitteilung vom 7.9.2022 (Bl. VIII Kostenheft Landgericht) ergibt, hat ein Rechtsschutzversicherer die Gerichtskosten eingezahlt. Die Klägerin hat auf Nachfrage im Termin ausgeführt, die Rechtsanwaltskosten seien entsprechend ausgeglichen (Berichterstattervermerk S. 2 letzter Abs., eGA II-525).
97Damit können Bedenken dahin, ob die Klägerin überhaupt das Entstehen eines Anspruchs ihres Prozessbevollmächtigten gegen sie auf Zahlung vorgerichtlicher Kosten und damit einen Schaden ordnungsgemäß dargelegt hat, dahinstehen. Voraussetzung für einen Erstattungsanspruch ist grundsätzlich, dass der Geschädigte im Innenverhältnis zur Zahlung der in Rechnung gestellten Kosten verpflichtet ist. Eine separate Verpflichtung zur Zahlung von vorgerichtlichen Kosten (Geschäftsgebühr nach Nr. 2300 VV RVG), besteht nur, wenn – wofür vorliegend Anhaltspunkte fehlen – sich der Auftrag nur auf die außergerichtliche Tätigkeit des Anwalts beschränkt oder der Prozessauftrag unter der aufschiebenden Bedingung erteilt wird, dass zunächst vorzunehmende außergerichtliche Einigungsversuche erfolglos bleiben (BGH Urt. v. 15.12.2022, VII ZR 177/21, juris Rn. 33 m. w. N.). Eine Vermutung zugunsten des Geschädigten, dass dieser einen nur bedingten Klageauftrag erteilt hat, besteht nicht (vgl. BGH Beschl. v. 23.6.2022, VII ZR 394/21, juris Rn. 22). Der Geschädigte hat daher darzulegen und im Streitfall zu beweisen, dass er seinem Anwalt einen Auftrag zur vorgerichtlichen Vertretung erteilt hat (BGH Urt. v. 15.12.2022, VII ZR 177/21, juris Rn. 36 m. w. N.; zum Ganzen auch: OLG Bamberg Urt. v. 27.2.2024 – 10 U 22/23 e, juris Rn. 20).
98III.
991.
100Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO, der Ausspruch der vorläufigen Vollstreckbarkeit auf § 708 Nr. 10, § 711 ZPO.
1012.
102Die Revision war im Hinblick auf den Klageantrag zu 1 zuzulassen, da die Rechtssache grundsätzliche Bedeutung hat (§ 543 Abs. 2 Satz 1 Nr. 1 und 2 ZPO; vgl. OLG Celle Urt. v. 4.4.2024 – 5 U 31/23, GRUR-RS 2024, 6435 = juris Rn. 112; OLG Oldenburg Urt. v. 21.5.2024 – 13 U 100/23, BeckRS 2024, 12013 = juris Rn. 65; OLG München Urt. v. 24.4.2024 – 34 U 2306/23e, GRUR-RS 2024, 8563 = beck Rn. 38). Grund für eine weitergehende Zulassung der Revision besteht nicht, da die übrigen im vorliegenden Rechtsstreit entscheidungserheblichen Rechtsfragen durch die Rechtsprechung des Bundesgerichtshofs hinreichend geklärt und im Übrigen solche des Einzelfalls sind.