Immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO kann auch der bloße und kurzzeitige Verlust der Kontrolle… (Urteil des BGH 6. Zivilsenat)

BGH 6. Zivilsenat, Urteil vom 18.11.2024, AZ VI ZR 10/24, ECLI:DE:BGH:2024:181124UVIZR10.24.0

Art 82 Abs 1 EUV 2016/679

Leitsatz

Immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung sein. Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

Verfahrensgang

vorgehend BGH, 31. Oktober 2024, Az: VI ZR 10/24, Beschluss
vorgehend OLG Köln, 7. Dezember 2023, Az: I-15 U 67/23, Urteil

vorgehend LG Bonn, 29. März 2023, Az: 13 O 125/22

Tenor

Auf die Revision des Klägers wird das Urteil des 15. Zivilsenats des Oberlandesgerichts Köln vom 7. Dezember 2023 im Kostenpunkt und insoweit aufgehoben, als die Berufung des Klägers bezüglich der Anträge auf Ersatz immateriellen Schadens (Antrag zu Ziffer 1), auf Feststellung einer Ersatzpflicht für künftige Schäden (Antrag zu Ziffer 2), auf Unterlassung der Verwendung der Telefonnummer, soweit diese nicht von der Einwilligung des Klägers gedeckt ist (Antrag zu Ziffer 3b), und auf Ersatz der vorgerichtlichen Rechtsanwaltskosten (Antrag zu Ziffer 5) zurückgewiesen worden ist.

Im Übrigen wird die Revision zurückgewiesen.

Im Umfang der Aufhebung wird die Sache zur neuen Verhandlung und Entscheidung, auch über die Kosten des Revisionsverfahrens, an das Berufungsgericht zurückverwiesen.

Von Rechts wegen

Tatbestand

1

Der Kläger macht Schadensersatz-, Feststellungs-, Unterlassungs- und Auskunftsansprüche wegen einer Verletzung der Datenschutz-Grundverordnung (DSGVO) durch die Beklagte geltend.

2

Die Beklagte, die ihren Sitz in Irland hat, betreibt das soziale Netzwerk Facebook, bei welchem der Kläger ein Nutzerkonto unterhält. Der Kläger hatte auf dem Netzwerk persönliche Daten eingestellt. Hierzu gehörte die für die Registrierung erforderliche und für alle Nutzer stets öffentlich einsehbare Angabe seines Namens, Geschlechts sowie der ihm zugewiesenen Nutzer-ID.

3

Neben den immer einsehbaren Pflichtangaben können die Nutzer in ihrem Profil weitere Daten zu ihrer Person angeben und im von der Beklagten vorgegebenen Rahmen darüber entscheiden, welche anderen Gruppen von Nutzern („Freunde“, [auch] „Freunde von Freunden“, „öffentlich“) auf diese Daten zugreifen können. Die Beklagte stellt hierfür Privatsphäre-Einstellungen zur Verfügung, mit denen die Nutzer bestimmen können, inwieweit sie Informationen, die sie zur Verfügung stellen, öffentlich einsehbar machen möchten. Über Funktion und Bedeutung der Privatsphäre-Einstellungen informierte die Beklagte ihre Nutzer im sog. Hilfebereich des Nutzerkontos. Der Kläger hatte in diesem Zusammenhang seine Arbeitsstätte öffentlich einsehbar angegeben, die Datenschutzeinstellung betreffend die Sichtbarkeit seiner Mobiltelefonnummer jedoch so gesetzt, dass diese nur für ihn sichtbar war. Bei den Suchbarkeitseinstellungen seines Profils, bei denen unter anderem festgelegt werden konnte, wer ihn anhand seiner Telefonnummer finden kann, hatte der Kläger es bei der Standardvoreinstellung „alle“ belassen; diesen Kreis hätte er stattdessen auch auf „Freunde von Freunden“ oder „Freunde“ (ab Mai 2019 außerdem: „nur ich“) begrenzen können.

4

War die Suchbarkeits-Einstellung eines Nutzers – wie beim Kläger – im Hinblick auf die Telefonnummer auf „alle“ gestellt, erlaubte es die von der Beklagten implementierte sog. Kontakt-Import-Funktion bis September 2019 jedem Facebook-Nutzer, das Profil eines anderen Nutzers mit Hilfe der von diesem hinterlegten Telefonnummer zu finden. Hierzu konnten Nutzer Kontakte von Mobilgeräten auf Facebook hochladen, um mit Hilfe der Telefonnummern die jeweiligen Nutzer zu finden. Dies war auch dann möglich, wenn die Zielgruppenauswahl des jeweiligen Nutzers im Hinblick auf die Telefonnummer nicht auf „öffentlich“, sondern etwa – wie hier – auf „nur ich“ gestellt war.

5

Im Zeitraum von Januar 2018 bis September 2019 ordneten unbekannte Dritte durch die Eingabe randomisierter Ziffernfolgen über die Kontakt-Import-Funktion des Netzwerks Telefonnummern zu Nutzerkonten zu und griffen die zu diesen Nutzern vorhandenen Daten ab (sog. Scraping). Die auf diese Weise erlangten und nunmehr mit einer Telefonnummer verknüpften Daten von ca. 533 Millionen Nutzern wurden im April 2021 im Internet öffentlich verbreitet. Hiervon waren auch persönliche Daten des Klägers (Telefonnummer in Verknüpfung mit den Daten seines Nutzerkontos, d.h. Nutzer-ID, Vorname, Nachname, Geschlecht und Arbeitsstätte) betroffen. Nach dem Vortrag des Klägers informierte die Beklagte weder die zuständige Datenschutzbehörde noch ihn selbst über den Vorfall.

6

Der Kläger begehrt die Leistung von immateriellem Schadensersatz, weil die Beklagte in mehrfacher Hinsicht gegen die Datenschutz-Grundverordnung verstoßen und seine Daten nicht ausreichend geschützt habe. Er habe einen spürbaren Kontrollverlust über seine Daten erlitten, der zu einem massiven Anstieg von betrügerischen Kontaktversuchen geführt habe. Darüber hinaus begehrt er die Feststellung, dass die Beklagte verpflichtet ist, ihm in diesem Zusammenhang alle künftigen Schäden zu ersetzen, und macht Unterlassungs- und Auskunftsansprüche geltend. Mit Schreiben vom 23. August 2021 teilte die Beklagte dem Kläger mit, welche Daten sie über ihn gespeichert hat.

7

Das Landgericht hat der Klage teilweise stattgegeben und dem Kläger aus Art. 82 Abs. 1 DSGVO Schadensersatz in Höhe von 250 € sowie einen Teil der begehrten Rechtsverfolgungskosten zugesprochen. Im Übrigen hat es die Klage abgewiesen. Auf die vom Landgericht zugelassene Berufung der Beklagten hat das Oberlandesgericht die Entscheidung des Landgerichts unter Zurückweisung der Anschlussberufung des Klägers abgeändert und die Klage insgesamt abgewiesen. Mit seiner vom Oberlandesgericht zugelassenen Revision verfolgt der Kläger seine Ansprüche weiter.

Entscheidungsgründe

A.

8

Das Berufungsgericht hat zur Begründung seiner Entscheidung (GRUR-RS 2023, 37347
) im Wesentlichen
ausgeführt:

9

Der Antrag auf Feststellung einer Ersatzpflicht der Beklagten für zukünftige Schäden sei ebenso wie die Unterlassungsanträge bereits unzulässig. Hinsichtlich des Feststellungsantrags
fehle es an dem notwendigen Feststellungsinteresse. Es bestehe mit Blick auf den Zeitablauf seit dem Scraping-Vorfall kein Grund, mit einem (weiteren) Schadenseintritt zu rechnen; der diesbezügliche Vortrag des Klägers sei unzureichend. Der Unterlassungsantrag zu Ziffer 3a, mit dem begehrt werde, dass die Beklagte es unterlasse, „personenbezogene Daten der Klägerseite … unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern“, sei nicht hinreichend bestimmt. Hinsichtlich des Unterlassungsantrags zu Ziffer 3b, mit dem der Kläger begehre, dass die Beklagte es unterlasse, „die Telefonnummer der Klägerseite auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf ‚privat‘ noch durch Verwendung der Kontakt-Import-Funktion verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird“, fehle es jedenfalls an dem erforderlichen Rechtsschutzbedürfnis. Denn der Kläger könne, soweit dies nicht ohnehin schon geschehen sei, seine Telefonnummer ohne Weiteres der Suchbarkeitsfunktion entziehen; auch bleibe es ihm unbenommen, seine Telefonnummer insgesamt aus dem bei der Beklagten gespeicherten Datensatz zu löschen.

10

Im Übrigen seien die geltend gemachten Ansprüche unbegründet. Ein Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO bestehe nicht. Zwar sei der Anwendungsbereich der Vorschrift eröffnet und die Beklagte auch Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Auch könne offenbleiben, ob ein Verstoß gegen die Datenschutz-Grundverordnung vorliege. Denn dem Kläger sei jedenfalls kein immaterieller Schaden entstanden.

11

Der Kläger habe einen immateriellen Schaden nicht substantiiert dargelegt. Hinsichtlich der immer öffentlichen Daten seien diese durch die Zustimmung zu den Nutzungsbedingungen der Beklagten mit Einverständnis des Klägers ohnehin öffentlich gewesen. Bezüglich der Telefonnummer habe der Kläger eine Bekanntgabe in der Öffentlichkeit zwar nicht gewollt. Er habe jedoch einen Kontrollverlust bereits nicht ausreichend dargelegt, weil er nicht dargetan habe, dass er zuvor die Kontrolle über seine Telefonnummer innegehabt habe. Die Darlegung sei erforderlich, weil es sich bei der Telefonnummer nicht um eine per se sensible Information handele, da deren Verwendung gerade dem Zweck der Kontaktaufnahme mit anderen Personen diene. Zudem stelle der Kontrollverlust als solcher keinen Schaden dar, es sei vielmehr ein Nachweis erforderlich, dass durch den Kontrollverlust ein immaterieller Schaden entstanden sei. Hierfür fehle substantiierter Vortrag. Die Behauptung von Angst, Sorge und Unwohlsein genüge nicht, der Kläger müsse vielmehr konkrete Indizien bzw. objektive Beweisanzeichen für das Vorliegen dieser Emotionen vortragen. Die verwendeten Textbausteine seien nicht ausreichend. Eine erneute Anhörung des Klägers sei nicht erforderlich, diese würde auf eine Ausforschung hinauslaufen. Auch der Vortrag zu immateriellen Schäden durch Spam-SMS und -Anrufe sowie zur aufgewendeten Zeit und Mühe genüge nicht, da ebenfalls nur Textbausteine verwendet worden seien.

12

Der geltend gemachte Auskunftsanspruch bestehe nicht. Die Beklagte habe mit Schreiben vom 23. August 2021 Auskunft erteilt. Eine weiter gehende Auskunft über die Empfänger der Daten des Klägers sei der Beklagten mangels eigener Kenntnis der Scraper unmöglich.

13

Mangels eines Hauptanspruchs bestehe auch kein Anspruch auf Ersatz der vorgerichtlichen Rechtsanwaltskosten. Im Übrigen sei die vorgerichtliche Beauftragung eines Rechtsanwalts nicht erforderlich gewesen.

B.

14

Diese Erwägungen halten der revisionsrechtlichen Überprüfung nicht in jeder Hinsicht stand. Zu Recht
hat das Berufungsgericht allerdings angenommen, dass der Unterlassungsantrag zu Ziffer 3a unzulässig ist (III.) und die Klage hinsichtlich des Auskunftsanspruchs unbegründet (V.). Hinsichtlich des Anspruchs auf Ersatz immateriellen Schadens (I.), des Feststellungsantrags (II.), des weiteren Unterlassungsantrags zu Ziff. 3b (IV.) und des Antrags auf Erstattung der vorgerichtlichen Rechtsanwaltskosten (VI.) hat die Revision des Klägers jedoch Erfolg.

I.

15

Mit der Begründung des Berufungsgerichts kann ein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 Abs. 1 DSGVO nicht verneint werden.

16

1. Im Ergebnis zutreffend ist das Berufungsgericht davon ausgegangen, dass der Kläger mit seinem Antrag auf Zahlung eines immateriellen Schadensersatzes in Höhe von 1.000 € nicht mehrere selbständige, auf verschiedene Datenschutzverstöße gestützte prozessuale Ansprüche alternativ geltend macht, sondern vielmehr einen einheitlichen Anspruch auf Ersatz eines immateriellen Schadens, der sich aus mehreren Datenschutzverstößen der Beklagten ergeben soll. Soweit das Berufungsgericht allerdings den Antrag des Klägers auf Zahlung eines immateriellen Schadensersatzanspruches dahingehend ausgelegt hat, dass dieser einen Betrag von 500 € für den Scraping-Vorfall und einen weiteren Betrag von 500 € für eine unzureichende Auskunft der Beklagten geltend mache, begegnet diese Aufspaltung des einheitlichen Antrags Bedenken.

17

a) Der Streitgegenstand wird bestimmt durch das Rechtsschutzbegehren (Antrag), in dem sich die vom Kläger in Anspruch genommene Rechtsfolge konkretisiert, und den Lebenssachverhalt (Anspruchsgrund), aus dem der Kläger die begehrte Rechtsfolge herleitet (§ 253 Abs. 2 Nr. 2 ZPO). Zum Anspruchsgrund sind alle Tatsachen zu rechnen, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten Tatsachenkomplex gehören. Vom Streitgegenstand werden damit alle materiell-rechtlichen Ansprüche erfasst, die sich im Rahmen des gestellten Antrags aus dem zur Entscheidung unterbreiteten Lebenssachverhalt herleiten lassen (Senat, Urteil vom 14. März 2017 – VI ZR 605/15, NJOZ 2018, 1982 Rn. 17 mwN).

18

b) Danach bildet unter den Umständen des Streitfalles der geltend gemachte Anspruch auf Ersatz immateriellen Schadens in angemessener Höhe, mindestens aber von 1.000 €, den der Kläger auf den behaupteten Scraping-Vorfall und die damit in unmittelbarem Zusammenhang stehende behauptete fehlerhafte Umsetzung der Benachrichtigungs- und Auskunftspflichten durch die Beklagte stützt, einen einheitlichen Streitgegenstand. Von ihm werden sämtliche mit der inkriminierten Datenverarbeitung im Zusammenhang stehenden gerügten Verstöße gegen die Datenschutz-Grundverordnung umfasst. Denn bei natürlicher Betrachtung können die Verstöße gegen die Datenschutz-Grundverordnung nicht isoliert beurteilt werden, da sie sämtlich in einem einheitlichen Geschehen wurzeln, das hinsichtlich der damit verbundenen Folgen nicht in einzelne Datenschutzverstöße aufgespalten werden kann. Auch bildet der geltend gemachte Ersatzanspruch entgegen den in diese Richtung deutenden Ausführungen des Berufungsgerichts keinen teilbaren Streitgegenstand in dem Sinne, dass auf die verschiedenen vom Kläger behaupteten Datenschutzverstöße unterschiedliche Beträge entfielen und diese einer gesonderten rechtlichen Beurteilung zugänglich wären. Nach der Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden: Gerichtshof) kommt dem in Art. 82 Abs. 1 DSGVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zu. Er erfüllt keine Abschreckungs- oder gar Straffunktion, weshalb auch das Vorliegen mehrerer auf denselben Verarbeitungsvorgang bezogener Verstöße nicht zu einer Erhöhung des Schadensersatzes führt (vgl. EuGH, Urteil vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 59 f., 64 f. – juris). Diese Wertung würde unterlaufen, wenn unterschiedliche, aber sämtlich auf den Scraping-Vorfall bezogene Datenschutzverstöße in gesonderte Lebenssachverhalte aufgespalten würden und damit kumulativ geltend gemacht werden könnten.

19

2. Zutreffend ist das Berufungsgericht weiter davon ausgegangen, dass die Datenschutz-Grundverordnung räumlich (Art. 3 Abs. 1 DSGVO) und, da die bei der Beklagten gespeicherten Informationen des Klägers ohne Weiteres personenbezogene Daten des Klägers enthalten, auch sachlich (Art. 2 Abs. 1 DSGVO) anwendbar ist. Hinsichtlich der zeitlichen Anwendbarkeit ist nicht der Zeitpunkt der Registrierung eines Nutzerkontos im sozialen Netzwerk der Beklagten maßgeblich, sondern der Zeitpunkt des Scraping-Vorfalls. Dieser hat nach den Feststellungen des Berufungsgerichts jedenfalls in Bezug auf den Kläger nicht vor dem 25. Mai 2018 und damit dem Zeitpunkt stattgefunden, seit dem die Datenschutz-Grundverordnung gilt (Art. 99 Abs. 2 DSGVO).

20

3. Die internationale Zuständigkeit der deutschen Gerichte folgt aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 Satz 2 DSGVO. Der Kläger als betroffene Person hat seinen gewöhnlichen Aufenthalt in Deutschland.

21

4. Nach der Rechtsprechung des Gerichtshofes erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteile vom 4. Oktober 2024 – C-507/23, juris Rn. 24 – Patērētāju tiesību aizsardzības centrs; vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 34 – juris; vom 25. Januar 2024 – C-687/21, CR 2024, 160 Rn. 58 – MediaMarktSaturn). Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines (immateriellen) Schadens verlangt (vgl. EuGH, Urteile vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 35 – juris; vom 25. Januar 2024 – C-687/21, CR 2024, 160 Rn. 60 f. – MediaMarktSaturn). Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruches nach Art. 82 Abs. 1 DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen (vgl. EuGH, Urteile vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 44 ff. – juris; vom 21. Dezember 2023 – C-667/21, EuZW 2024, 270 Rn. 94 – Krankenversicherung Nordrhein; vgl. ferner ErwG 146 Satz 2 DSGVO).

22

a) Der erforderliche Verstoß gegen die Datenschutz-Grundverordnung ist revisionsrechtlich zu unterstellen, nachdem das Berufungsgericht letztlich offengelassen hat, ob eine Verletzung insbesondere von Art. 5 Abs. 1 Buchst. b, Art. 25 Abs. 2, Art. 32 Abs. 1 DSGVO vorliegt, und deshalb die hierzu erforderlichen Feststellungen nicht getroffen hat (s. hierzu aber unten B.VIII.1).

23

aa) Dabei bedarf es im Streitfall keiner Entscheidung, ob ein Verstoß gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO nicht nur die unrechtmäßige Verarbeitung von personenbezogenen Daten erfasst, wie es Art. 82 Abs. 2 Satz 1 und ErwG 146 Satz 1 DSGVO nahelegen (vgl. auch EuGH, Urteil vom 4. Mai 2023 – C-300/21, VersR 2023, 920 Rn. 36 – Österreichische Post: „Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO“), oder ob grundsätzlich auch bloße Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb eines konkreten Verarbeitungsvorgangs haftungsbegründend sein können (zum Streitstand siehe Paal, ZfDR 2023, 325, 334 ff.; OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, juris Rn. 381 ff.; offengelassen auch von OLG Oldenburg, Urteil vom 21. Mai 2024 – 13 U 100/23, juris Rn. 24; jeweils mwN). Denn angesichts des umfassenden Verarbeitungsbegriffs des Art. 4 Nr. 2 DSGVO (jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung) wäre auch bei einem engeren Verständnis des Art. 82 Abs. 1 DSGVO in Bezug auf den hier inmitten stehenden Scraping-Vorfall ohne Weiteres von einer Datenverarbeitung der Beklagten in Form der Speicherung, des Abfragens, der Offenlegung durch Übermittlung, der Bereitstellung und Verknüpfung auszugehen.

24

Entsprechend hat der Gerichtshof bereits entschieden, dass bei Verstößen gegen die Vorschriften der Art. 5 bis 11 DSGVO, mithin des zweiten Kapitels der Datenschutz-Grundverordnung, die Grundsätze für die Verarbeitung von Daten aufstellen, zugleich eine unrechtmäßige Datenverarbeitung vorliegt (vgl. EuGH, Urteil vom 4. Mai 2023 – C-60/22, ZD 2023, 606 Rn. 54-57 – Bundesrepublik Deutschland [Elektronisches Gerichtsfach]). Bedenken gegen die Anwendbarkeit des Art. 82 Abs. 1 DSGVO auf Verstöße gegen Art. 5 DSGVO bestehen daher nicht (vgl. auch bereits EuGH, Urteile vom 25. Januar 2024 – C-687/21, CR 2024, 160 Rn. 42 f. – MediaMarktSaturn; vom 14. Dezember 2023 – C-340/21, NJW 2024, 1091 Rn. 52 f. – Natsionalna agentsia za prihodite). Aber auch für Verstöße gegen Vorschriften aus dem vierten Kapitel der Datenschutz-Grundverordnung (Art. 24 bis 43 DSGVO) hat der Gerichtshof zu einzelnen Vorschriften bereits angenommen, dass ein Schadensersatzanspruch aus Art. 82 DSGVO möglich ist (vgl. zu einem Verstoß gegen Art. 32 DSGVO EuGH, Urteile vom 25. Januar 2024 – C-687/21, CR 2024, 160 Rn. 42 f. – MediaMarktSaturn; vom 14. Dezember 2023 – C-340/21, NJW 2024, 1091 Rn. 52 f. – Natsionalna agentsia za prihodite; für Verstöße gegen Art. 26 und 30 DSGVO Urteil vom 4. Mai 2023 – C-60/22, ZD 2023, 606 Rn. 66 f. – Bundesrepublik Deutschland [Elektronisches Gerichtsfach]).

25

bb) Es kommt in diesem Zusammenhang auch nicht darauf an, ob einer oder mehrere Verstöße gegen die Datenschutz-Grundverordnung festgestellt werden können, da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führt (vgl. EuGH, Urteil vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 59 f., 64 f. – juris; OLG Oldenburg, Urteil vom 21. Mai 2024 – 13 U 100/23, juris Rn. 24).

26

cc) Soweit der Kläger seinen Anspruch zusätzlich auf einen Verstoß gegen Benachrichtigungs- und Meldepflichten stützt, fehlt es mit dem Berufungsgericht jedenfalls an der Ursächlichkeit für den geltend gemachten Schaden.

27

b) Das Vorliegen eines immateriellen Schadens kann mit der Begründung des Berufungsgerichts nicht verneint werden.

28

aa) Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., EuGH, Urteile vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 31 – PS GbR; vom 25. Januar 2024 – C-687/21, CR 2024, 160 Rn. 64 – MediaMarktSaturn; vom 4. Mai 2023 – C-300/21, VersR 2023, 920 Rn. 30 und 44 – Österreichische Post). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteile vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 25 – PS GbR; vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 34 – juris; vom 4.  Mai 2023 – C-300/21, VersR 2023, 920 Rn. 42 – Österreichische Post).

29

Weiter hat der Gerichtshof ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat (EuGH, Urteile vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 26 – PS GbR; vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 36 – juris; vom 4. Mai 2023 – C-300/21, VersR 2023, 920 Rn. 51 – Österreichische Post). Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (EuGH, Urteile vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 27 – PS GbR; vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 36 – juris).

30

Schließlich hat der Gerichtshof in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO (vgl. ferner ErwG 75 DSGVO) klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteile vom 4. Oktober 2024 – C-200/23, juris Rn. 145, 156 i.V.m. 137- Agentsia po vpisvaniyata; vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 33 – PS GbR; vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 42 – juris; vgl. zuvor bereits EuGH, Urteile vom 25. Januar 2024 – C-687/21, CR 2024, 160 Rn. 66 – MediaMarktSaturn; vom 14. Dezember 2023 – C-456/22, NZA 2024, 56 Rn. 17-23 – Gemeinde Ummendorf sowie – C-340/21, NJW 2024, 1091 Rn. 82 – Natsionalna agentsia za prihodite). Im ersten Satz des 85. Erwägungsgrundes der DSGVO heißt es, dass „[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“. Aus dieser beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den
bloßen Verlust der Kontrolle („the mere loss of control“, „la simple perte de contrôle“) über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (EuGH, Urteile vom 4. Oktober 2024 – C-200/23, juris Rn. 145 – Agentsia po vpisvaniyata; vom 14. Dezember 2023 – C-340/21, NJW 2024, 1091 Rn. 82 – Natsionalna agentsia za prihodite).

31

Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (vgl. EuGH, Urteile vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 33 – PS GbR; vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 36 und 42 – juris). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.

32

Aber auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024 – C-687/21, CR 2024, 160 Rn. 67 – MediaMarktSaturn; vom 14. Dezember 2023 – C-340/21, NJW 2024, 1091 Rn. 85 – Natsionalna agentsia za prihodite). Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteile vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 36 – PS GbR; vom 14. Dezember 2023 – C-340/21, NJW 2024, 1091 Rn. 75-86 – Natsionalna agentsia za prihodite). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urteile vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 35 – PS GbR; vom 25. Januar 2024 – C-687/21, CR 2024, 160 Rn. 68 – MediaMarktSaturn).

33

bb) Der Betroffene, der Ersatz des immateriellen Schadens verlangt, muss folglich geltend machen (und ggf. nachweisen), dass der Verstoß gegen die Datenschutz-Grundverordnung negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen.

34

Für eine ordnungsgemäße Darlegung muss das Gericht nach allgemeinen Grundsätzen anhand des Parteivortrags beurteilen können, ob die gesetzlichen Voraussetzungen der an eine Behauptung geknüpften Rechtsfolgen erfüllt sind. Ein Sachvortrag zur Begründung eines Anspruchs ist demnach bereits dann schlüssig und erheblich, wenn die Partei Tatsachen vorträgt, die in Verbindung mit einem Rechtssatz geeignet und erforderlich sind, das geltend gemachte Recht als in der Person der Partei entstanden erscheinen zu lassen. Die Angabe näherer Einzelheiten ist nicht erforderlich, soweit diese für die Rechtsfolgen nicht von Bedeutung sind. Das Gericht muss nur in die Lage versetzt werden, aufgrund des tatsächlichen Vorbringens der Partei zu entscheiden, ob die gesetzlichen Voraussetzungen für das Bestehen des geltend gemachten Rechts vorliegen. Sind diese Anforderungen erfüllt, ist es Sache des Tatrichters, in die Beweisaufnahme einzutreten und dabei gegebenenfalls die benannten Zeugen oder die zu vernehmende Partei nach weiteren Einzelheiten zu befragen oder einem Sachverständigen die beweiserheblichen Streitfragen zu unterbreiten (vgl. zur st. Rspr. – auch zur Geltung bei Massenverfahren wie etwa den Dieselfällen – nur Senat, Urteile vom 6. Februar 2024 – VI ZR 526/20, WM 2024, 761 Rn. 11; vom 13. Juli 2021 – VI ZR 128/20, VersR 2021, 1252 Rn. 20; vom 18. Mai 2021 – VI ZR 401/19, VersR 2021, 1046 Rn. 19; jeweils mwN).

35

cc) Nach diesen Grundsätzen durfte das Berufungsgericht den Vortrag des Klägers zu einem Schaden in Gestalt von Kontrollverlust nicht schon als per se unzureichend für die Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO ansehen. Soweit das Berufungsgericht darüber hinaus den Vortrag des Klägers zu einem weitergehenden Schaden in Gestalt von Angst, Sorge und Unwohlsein wegen Spam-SMS und -Anrufen, sowie in Gestalt von aufgewandter Zeit und Mühe in der Auseinandersetzung mit dem Scraping-Vorfall und dem Schutz vor künftigem Missbrauch für zu unsubstantiiert gehalten hat, hat es die Darlegungsanforderungen überspannt.

36

(1) Zwar ist dem Berufungsgericht zuzugestehen, dass es in Prozessen wie denen wegen des Scraping-Vorfalls bei der Beklagten nicht selten zu beobachten ist, dass „standardisierte“, offenbar aus Textbausteinen zusammengesetzte Schriftsätze eingereicht werden, denen es teilweise am Bezug zum konkreten Fall und dem ihm zu Grunde liegenden spezifischen Sachverhalt fehlen mag. Für die Schlüssigkeit seiner Schadensersatzklage muss der Betroffene jedoch nur darlegen, dass und in welcher Weise gerade er von dem Scraping-Vorfall betroffen war und welche Folgen dies für ihn hatte (vgl. zu einer vergleichbaren Situation in Anlegerschutzprozessen BGH, Urteil vom 6. Dezember 2012 – III ZR 66/12, VersR 2013, 359 Rn. 15, bei denen es jedoch zumindest individuelle Anlageberatungsgespräche gab, die zu schildern waren; vgl. ferner BGH, Beschluss vom 21. März 2022 – VIa ZB 4/21, NJW-RR 2022, 642 Rn. 13 zum Einzelfallbezug einer Berufungsbegründung). Hierbei ist mit der Revision zu berücksichtigen, dass bei einem einheitlichen Vorgang wie dem hier vorliegenden Scraping-Vorfall, bei dem vergleichbare Daten von Millionen Nutzern abgegriffen und ins Internet gestellt wurden, auch der Vortrag der Betroffenen zu den ihnen hieraus erwachsenden individuellen Folgen jedenfalls im Ausgangspunkt notwendig vergleichbare Züge trägt.

37

Das Risiko der Nichterweislichkeit – auch in Bezug auf das konkrete Ausmaß eines etwaigen Schadens – verbleibt freilich beim Anspruchsteller (vgl. EuGH, Urteil vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 35 – juris).

38

(2) Diesen Darlegungserfordernissen hat das Vorbringen des Klägers genüge getan.

39

(a) Der Scraping-Vorfall bei der Beklagten als solcher steht ebenso fest wie die anschließende Veröffentlichung der abgegriffenen Daten im Internet. Wie die Revision zu Recht rügt, hatte der Kläger bereits erstinstanzlich den Inhalt des von den Scrapern geleakten, auf ihn bezogenen Datensatzes in Form eines wörtlichen Zitats wiedergegeben und geltend gemacht, es handele sich um seine Telefonnummer, seine Nutzer-ID bei Facebook, seinen Vor-und Nachnamen, sein Geschlecht sowie seine Arbeitsstätte. Zum Kontrollverlust hat der Kläger angegeben, seine Telefonnummer stets bewusst und zielgerichtet weiterzugeben und diese nicht wahl- und grundlos der Öffentlichkeit, wie etwa im Internet, zugänglich zu machen.

40

Zu den weitergehenden Folgen hat der Kläger vorgetragen, wegen des Scraping-Vorfalls in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch der ihn betreffenden Daten verblieben zu sein. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Seit dem Vorfall erhalte er unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und Phishing-Attacken. Das habe dazu geführt, dass er nur noch mit äußerster Vorsicht auf jegliche E-Mails und Nachrichten reagieren könne und jedes Mal einen Betrug fürchte und Unsicherheit verspüre. Zur aufgewendeten Zeit und Mühe trug der Kläger vor, er habe sich mit dem „Datenleak“ auseinandersetzen, den Sachverhalt ermitteln, sich um eine Auskunft der Beklagten kümmern und selbst weitere Maßnahmen ergreifen müssen.

41

(b) Dieses Vorbringen genügt sowohl hinsichtlich des eingetretenen Kontrollverlustes bezüglich seiner oben genannten Daten als auch hinsichtlich der sich hieraus entwickelnden besonderen Befürchtungen und Bemühungen den Anforderungen an einen hinreichend substantiierten Klagevortrag. Insbesondere war der Kläger nicht gehalten, im Einzelnen auszuführen, welchen anderen Personen er seine Daten – insbesondere seine Telefonnummer – offengelegt hat. Es genügt jedenfalls, wenn er wie hier angibt, dies zuvor bewusst und ausgewählt getan zu haben, d.h. die Daten nicht allgemein veröffentlicht zu haben.

42

Die Darlegungslast wird auch nicht dadurch erhöht, dass die Telefonnummer im Vergleich zu den in Art. 9 DSGVO genannten besonders sensiblen Daten weniger geheimhaltungsbedürftig ist. Dieser Umstand mag sich zwar auf die Höhe eines etwaigen Schadensersatzanspruches auswirken, beeinflusst die prozessuale Darlegungslast zum Anspruch dem Grunde nach hingegen nicht. Das Risiko, auch Dritte könnten seine Telefonnummer nicht datenschutzkonform verarbeiten, steht – solange sich dieses nicht unstreitig vor dem Eintritt des Scraping-Vorfalls verwirklicht hatte – der Darlegung eines Kontrollverlusts nicht entgegen. Insoweit unterscheidet sich der durch das Scraping und die dauerhafte Preisgabe der mit dem Namen des Klägers verknüpften Telefonnummer im Internet behauptete Kontrollverlust wesentlich von den Risiken, die mit einer bewussten und zielgerichteten Weitergabe der Telefonnummer an bestimmte Empfänger verbunden sind.

43

dd) Soweit das Berufungsgericht darüber hinaus in Bezug auf die „immer öffentlichen“ personenbezogenen Daten des Klägers (Name, Geschlecht und Nutzer-ID) einen Schaden abgelehnt hat, weil sich der Kläger durch seine im Zuge der Registrierung auf der Plattform der Beklagten erklärte Zustimmung mit den dort geltenden Nutzungsbedingungen damit einverstanden erklärt habe, dass diese Daten in die Öffentlichkeit gelangen, hält auch diese Begründung einer revisionsrechtlichen Überprüfung nicht stand. Hinreichende Feststellungen zu den zum Registrierungszeitpunkt des Klägers geltenden Nutzungsbedingungen und deren konkreter Einbindung in das Registrierungsverfahren hat das Berufungsgericht nicht getroffen (vgl. dagegen etwa die Darlegungen in OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23, juris Rn. 112, 117 ff.; OLG Oldenburg, Urteil vom 21. Mai 2024 – 13 U 100/23, juris Rn. 30 ff.). Dies wäre jedoch erforderlich gewesen, um die Wirksamkeit einer etwaigen Einwilligung des Klägers nach Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO zu prüfen.

44

Dabei wäre insbesondere zu erörtern gewesen, ob sich die nach der Annahme des Berufungsgerichts im Rahmen der Registrierung erteilte Einwilligung des Klägers auf die konkrete Datenverarbeitung – hier: die Öffentlichkeit der Daten in Verbindung mit der Suchbarkeitsfunktion – bezieht (Art. 4 Nr. 11 DSGVO; vgl. EuGH, Urteil vom 1. Oktober 2019 – C-673/17, NJW 2019, 3433 Rn. 58, 60 – planet49), ob das dem Kläger im Zuge des Registrierungsverfahrens unterbreitete Ersuchen um Einwilligung transparent, d.h. in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgte (Art. 7 Abs. 2, ErwG 42 DSGVO), ob der Kläger seine Einwilligungserklärung auf dieser Grundlage in informierter Weise und unmissverständlich abgegeben hat (Art. 4 Nr. 11 DSGVO) und ob die Einwilligungserklärung letztlich freiwillig erfolgt ist (Art. 7 Abs. 4, ErwG 42, 43 DSGVO), wobei auch die beherrschende Stellung der Beklagten auf dem Markt für soziale Netzwerke zu berücksichtigen ist (vgl. EuGH, Urteil vom 4. Juli 2023 – C-252/21, NJW 2023, 2997 Rn. 140 ff. – Meta Platforms).

45

ee) Die Rechtsfehler sind auch entscheidungserheblich. Es kann nicht ausgeschlossen werden, dass das Berufungsgericht, hätte es den Schadensbegriff im Sinne der jüngeren Rechtsprechung des Gerichtshofes ausgelegt und die Anforderungen an die Substantiierung des klagebegründenden Vortrags nicht in unzulässiger Weise überspannt, zu dem Ergebnis gelangt wäre, dass der Kläger durch den Scraping-Vorfall einen immateriellen Schaden – ob nun allein in Gestalt des Kontrollverlustes als solchem oder darüber hinaus auch in Gestalt der geltend gemachten psychischen Beeinträchtigungen – erlitten hat.

II.

46

1. Auch die
Abweisung des Feststellungsantrags als unzulässig beruht auf einem Rechtsfehler.

47

a) Der Kläger hat seinen Antrag im Berufungstermin dahingehend konkretisiert, dass er sich auf künftige materielle sowie auf künftige, derzeit noch nicht vorhersehbare immaterielle Schäden bezieht.

48

b) Im Ergebnis zutreffend hat das Berufungsgericht die bloße Möglichkeit des künftigen Eintritts der geltend gemachten Schäden zum Maßstab für die Annahme eines Feststellungsinteresses genommen; eine darüberhinausgehende hinreichende Schadenswahrscheinlichkeit ist nicht erforderlich. Die Möglichkeit künftiger Schäden reicht hier aus, weil es nicht um reine Vermögensschäden geht, sondern um Schäden, die aus der vom Kläger behaupteten Verletzung seines Rechts auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG, mithin seines allgemeinen Persönlichkeitsrechts als einem sonstigen absolut geschützten Rechtsgut im Sinne von § 823 Abs. 1 BGB, resultieren (vgl. Senat, Urteile vom 5. Oktober 2021 – VI ZR 136/20, VersR 2022, 1184 Rn. 28; vom 29. Juni 2021 – VI ZR 10/18, ZUM 2022, 311 Rn. 30). Auch die primär als Anspruchsgrundlage herangezogene Vorschrift des Art. 82 DSGVO hat jedenfalls dann, wenn – wie hier – mit einem möglichen Verstoß gegen Art. 5 DSGVO auch eine unrechtmäßige Datenverarbeitung gerügt wird, eine Verletzung des Rechts auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh zum Inhalt (vgl. Art. 1 Abs. 2 DSGVO). Dabei kann die Möglichkeit ersatzpflichtiger künftiger Schäden ohne Weiteres zu bejahen sein, wenn ein deliktsrechtlich geschütztes absolutes Rechtsgut verletzt wurde und bereits ein Schaden eingetreten ist (Senat, Urteil vom 30. Juli 2020 – VI ZR 397/19, NJW 2020, 2806 Rn. 29; vgl. eingehend Senat, Urteil vom 17. Oktober 2017 – VI ZR 423/16, BGHZ 216, 149 Rn. 49 mwN).

49

c) Nach diesen Grundsätzen ist die Möglichkeit des Eintritts künftiger Schäden hier ohne Weiteres zu bejahen. Der Kläger wurde durch den revisionsrechtlich zu unterstellenden Verstoß gegen die Datenschutz-Grundverordnung in seinem Recht auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG bzw. in seinem Recht auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh verletzt. Die Revision weist zutreffend darauf hin, dass bei der – mangels entgegenstehender Feststellungen nach dem Vortrag des Klägers revisionsrechtlich zugrunde zu legenden – fortdauernden Veröffentlichung der personenbezogenen Daten des Klägers (insbesondere seines Namens in Verbindung mit seiner Telefonnummer) das Risiko einer missbräuchlichen, insbesondere betrügerischen Nutzung dieser Daten mit der Folge eines materiellen oder immateriellen Schadens fortbesteht. In Anbetracht des hier zu unterstellenden bereits eingetretenen und noch andauernden Kontrollverlusts über diese Daten ist eine künftige Schadensentwicklung auch nicht nur rein theoretischer Natur.

50

2. Auf Grundlage der bisherigen Feststellungen kann der Feststellungsanspruch auch in der Sache nicht verneint werden. Von seinem Rechtsstandpunkt aus folgerichtig hat sich das Berufungsgericht bislang nicht damit befasst, ob die weiteren Voraussetzungen des Anspruchs, sei es aus Art. 82 Abs. 1 DSGVO, sei es aus Vertrag, gegeben sind.

III.

51

Keinen Erfolg hat die Revision hingegen, soweit sie sich gegen die Zurückweisung des Unterlassungsantrags zu Ziffer 3a wendet. Das Berufungsgericht hat den Klageantrag zu Ziffer 3a zu Recht als unzulässig angesehen, da er nicht hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO ist.

52

1. Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (Senat, Urteil vom 9. März 2021 – VI ZR 73/20, VersR 2021, 795 Rn. 15). Dies bedeutet bei einem Unterlassungsantrag insbesondere, dass dieser nicht derart undeutlich gefasst sein darf, dass die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt (vgl. BGH, Urteile vom 28. Juli 2022 – I ZR 205/20, VersR 2022, 1389 Rn. 12; vom 2. Juni 2022 – I ZR 140/15, BGHZ 234, 56 Rn. 26).

53

Eine hinreichende Bestimmtheit ist bei einem Unterlassungsantrag für gewöhnlich gegeben, wenn eine Bezugnahme auf die konkrete Verletzungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll (st. Rspr.; vgl. BGH, Urteil vom 2. Juni 2022 – I ZR 140/15, BGHZ 234, 56 Rn. 26 mwN; Senat, Urteile vom 9. März 2021 – VI ZR 73/20, VersR 2021, 795 Rn. 15; vom 15. Januar 2019 – VI ZR 506/17, AfP 2019, 40 Rn. 12 mwN). Die Verwendung auslegungsbedürftiger Begriffe im Klageantrag ist zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungshandlung ausrichtet (BGH, Urteile vom 2. Juni 2022 – I ZR 140/15, BGHZ 234, 56 Rn. 26; vom 9. September 2021 – I ZR 113/20, GRUR 2021, 1425 Rn. 12 mwN).

54

Demgegenüber sind Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, grundsätzlich als zu unbestimmt und damit unzulässig anzusehen. Abweichendes kann gelten, wenn entweder bereits der gesetzliche Verbotstatbestand selbst entsprechend eindeutig und konkret gefasst oder der Anwendungsbereich einer Rechtsnorm durch eine gefestigte Auslegung geklärt ist, oder wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert. Die Bejahung der Bestimmtheit setzt in solchen Fällen allerdings grundsätzlich voraus, dass zwischen den Parteien kein Streit darüber besteht, dass das beanstandete Verhalten das fragliche Tatbestandsmerkmal erfüllt. Die Wiedergabe des gesetzlichen Verbotstatbestands in der Antragsformulierung ist auch unschädlich, wenn sich das mit dem selbst nicht hinreichend klaren Antrag Begehrte im Tatsächlichen durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht infrage gestellt ist, sondern sich ihr Streit ausschließlich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt. Eine auslegungsbedürftige Antragsformulierung kann im Übrigen hinzunehmen sein, wenn dies zur Gewährleistung effektiven Rechtsschutzes erforderlich ist (st. Rspr.; vgl. nur BGH, Urteile vom 28. Juli 2022 – I ZR 205/20, VersR 2022, 1389 Rn. 12; vom 22. Juli 2021 – I ZR 194/20, GRUR 2021, 1534 Rn. 34 mwN).

55

2. An diesen Anforderungen gemessen ist der Antrag des Klägers zu Ziffer 3a, mit dem er begehrt, dass die Beklagte es unterlasse, personenbezogene Daten der Klägerseite unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, nicht hinreichend bestimmt. Er lässt sich auch unter Heranziehung des Klagevorbringens nicht in einer Weise auslegen, dass der Kläger ein hinreichend bestimmtes Unterlassen begehrt.

56

a) Insbesondere der Begriff des unbefugten Dritten, aber auch die an Art. 32 Abs. 1 DSGVO und damit an den bloßen Gesetzeswortlaut angelehnte Formulierung der „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ sowie die Formulierung „Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme“ sind unbestimmt. Dem steht nicht entgegen, dass die Beklagte in der Wahl der von ihr zu ergreifenden Maßnahmen eine Auswahl haben muss, solange diese geeignet sind, das konkrete Rechtsschutzziel zu erreichen (vgl. BGH, Beschluss vom 22. Februar 2024 – III ZR 63/23, juris Rn. 11; Urteil vom 5. Dezember 2023 – KZR 101/20, BGHZ 239, 116 Rn. 75; jeweils zu Unterlassungsansprüchen nach § 1004 BGB). Auch insoweit wäre es – auch mit Blick auf die Gewährung effektiven Rechtsschutzes (BGH, Urteil vom 26. Januar 2017 – I ZR 207/14, GRUR 2017, 422 Rn. 18) – dem Kläger zumutbar gewesen, die künftig zu unterlassende Verletzungshandlung weiter zu konkretisieren.

57

b) Der Kläger begehrt sinngemäß, dass die Beklagte keine Funktion anbietet, die es Dritten erlaubt, auf seine personenbezogenen Daten zuzugreifen, wenn die Beklagte nicht durch geeignete Sicherheitsmaßnahmen einem Missbrauch dieser Funktion entgegenwirkt. Eine Eingrenzung der Verletzungshandlung findet allerdings nur insoweit statt, als auf die Kontakt-Import-Funktion Bezug genommen wird, welche der Kläger im Rahmen der Klageschrift als Einfallstor für das Datenscraping identifiziert hat. Der pauschale Hinweis auf eine Ausnutzung der Kontakt-Import-Funktion ist für eine Konkretisierung jedoch nicht hinreichend. Er lässt nicht erkennen, durch welche konkrete Maßnahme die Beklagte gegen die Datenschutz-Grundverordnung verstoßen hat, obwohl eine weiter gehende Konkretisierung – etwa durch Hinweis auf die Default-Einstellung der Suchbarkeitseinstellungen auf „alle“, sofern dies das Klageziel sein sollte – möglich gewesen wäre. Auch der Begriff der „unbefugten Personen“ hätte durch eine Darlegung der konkreten Verletzungshandlung näher definiert werden können.

58

c) Die Konkretisierung des Antrags ist auch nicht deswegen entbehrlich, weil sich eine solche aus dem Klagevorbringen ergäbe. Der Kläger hat zur Erläuterung seines Rechtsschutzziels lediglich angegeben, er verfolge ein Unterlassen, dass personenbezogene Daten ohne ausreichende Sicherheitsvorkehrungen verarbeitet werden. Eine Bezugnahme auf den Scraping-Vorfall als konkrete Verletzungsform enthält der Unterlassungsantrag nicht. Auch eine nähere Darlegung, welche konkrete Verletzungshandlung durch die Beklagte zu unterlassen sei, fehlt ebenso wie eine Erläuterung, in welchen Fällen von einer „Ausnutzung“ der Kontakt-Import-Funktion bzw. von einer Nutzung durch „unbefugte Personen“ auszugehen sei.

IV.

59

Mit Erfolg wendet sich die Revision aber gegen die Zurückweisung des Klageantrags zu Ziffer 3b.

60

1. Dieser Unterlassungsantrag ist entgegen der Ansicht des Berufungsgerichts zulässig.

61

a) Das Berufungsgericht ist der Ansicht, es könne offenbleiben, ob der Antrag auf Unterlassung einer Verarbeitung der Telefonnummer des Klägers auf Basis einer auf unübersichtlichen und unvollständigen Informationen beruhenden Einwilligung hinreichend bestimmt sei. Jedenfalls aber fehle es an einem Rechtsschutzbedürfnis, weil der Kläger die entsprechenden Einstellungen selbst ändern könne. Sein Vortrag, Dritte könnten diese Einstellungen umgehen, sei zu pauschal gehalten und betreffe zudem einen anderen Streitgegenstand. Schließlich könne der Kläger seine Telefonnummer im sozialen Netzwerk der Beklagten auch löschen, da die Nutzung des Netzwerks hiervon nicht abhänge. Die Telefonnummer sei nur für die erstmalige Registrierung bzw. die fakultative Zwei-Faktor-Authentifizierung bei der Anmeldung in seinem Nutzerkonto erforderlich.

62

b) Der Unterlassungsantrag ist trotz seiner weiten Formulierung bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO. Er lässt sich unter Heranziehung des Klagevorbringens dahingehend auslegen, dass der Kläger ein Unterlassen jeglicher Verarbeitung seiner Telefonnummer durch die Beklagte, die über die notwendige Verarbeitung für die Zwei-Faktor-Authentifizierung hinausgeht, begehrt.

63

Der Antrag, der als Prozesserklärung vom Revisionsgericht selbst auszulegen ist (vgl. Senat, Urteil vom 16. April 2024 – VI ZR 223/21, WM 2024, 991 Rn. 17 mwN), ist nicht so zu verstehen, dass der Kläger „die Unterlassung der Verarbeitung seiner Telefonnummer ohne eindeutige Informationen, dass diese auch bei der Einstellung ‚privat‘ ausgelesen werden kann“, begehrt (so aber OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, juris Rn. 245, 247). Diese Information lag dem Kläger jedenfalls zum Zeitpunkt der Klageerhebung bereits vor, so dass ein entsprechendes Verständnis den Antrag sinnentleerte und der Auslegungsregel zuwiderliefe, nach der im Zweifel dasjenige gewollt ist, was nach den Maßstäben der Rechtsordnung vernünftig ist und der wohlverstandenen Interessenlage entspricht (vgl. hierzu BGH, Urteile vom 15. Mai 2024 – VIII ZR 293/23, MDR 2024, 924 Rn. 22; vom 14. Mai 2024 – XI ZR 51/23, juris Rn. 15; jeweils mwN). Vielmehr begehrt der Kläger, dass die Beklagte seine Telefonnummer nicht – wie zur Zeit des Scraping-Vorfalls – auf Basis einer von ihm erteilten Einwilligung weiterverarbeitet, da diese Einwilligung nach seinem Verständnis mangels Transparenz unwirksam ist, weil ihm das Ausmaß der Datenverarbeitung betreffend seine Telefonnummer bei Erteilung der Einwilligung nicht verständlich war. Der Unterlassungsantrag konkretisiert darüber hinaus – anders als der Unterlassungsantrag zu Ziffer 3a – die inkriminierte Verletzungshandlung, nämlich die behauptete unrechtmäßige Verarbeitung auf Grundlage einer unwirksamen Einwilligung. Aus welchen Gründen die Einwilligung unwirksam sein soll, ergibt sich aus der weiteren Formulierung des Antrags. Nach Ansicht des Klägers wurde diese „wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt […], namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf ‚privat‘ noch durch Verwendung der Kontakt-Import-Funktion verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird“.

64

Der so verstandene Unterlassungsantrag ist hinreichend bestimmt, da der Beklagten ohne weiteres deutlich wird, für welche Zwecke sie die Telefonnummer des Klägers noch verarbeiten darf und für welche der Kläger die Unterlassung der Datenverarbeitung begehrt.

65

c) Mit der Begründung des Berufungsgerichts kann auch das Vorliegen eines Rechtsschutzbedürfnisses nicht verneint werden.

66

aa) Eine Klage ist als unzulässig abzuweisen, wenn für sie kein Rechtsschutzbedürfnis besteht. Das Erfordernis des Rechtsschutzbedürfnisses soll verhindern, dass Rechtsstreitigkeiten in das Stadium der Begründetheitsprüfung gelangen, für die eine solche Prüfung nicht erforderlich ist. Grundsätzlich haben Rechtssuchende allerdings einen Anspruch darauf, dass die staatlichen Gerichte ihr Anliegen sachlich prüfen und darüber entscheiden. Das Rechtsschutzbedürfnis fehlt jedoch, wenn eine Klage oder ein Antrag objektiv schlechthin sinnlos ist, wenn also der Kläger oder Antragsteller unter keinen Umständen mit seinem prozessualen Begehren irgendeinen schutzwürdigen Vorteil erlangen kann (BGH, Urteil vom 29. September 2022 – I ZR 180/21, ZIP 2022, 2460 Rn. 10 mwN; vgl. bereits Senat, Urteil vom 14. März 1978 – I ZR 68/76, NJW 1978, 2031, 2032 [unter II. 2. a]).

67

Dies ist etwa dann der Fall, wenn ein einfacherer oder billigerer Weg zur Erreichung des Rechtsschutzziels besteht oder der Antragsteller kein berechtigtes Interesse an der beantragten Entscheidung hat. Dafür gelten allerdings strenge Maßstäbe. Das Rechtsschutzbedürfnis fehlt (oder entfällt) nur dann, wenn das Betreiben des Verfahrens eindeutig zweckwidrig ist und sich als Missbrauch der Rechtspflege darstellt (Senat, Beschluss vom 24. September 2019 – VI ZB 39/18, BGHZ 223, 168 Rn. 28; Urteil vom 14. März 1978 – VI ZR 68/76, NJW 1978, 2031, 2032 [unter II. 2. a]). Auch darf der Kläger nicht auf einen verfahrensmäßig unsicheren Weg verwiesen werden (vgl. BGH, Urteil vom 29. September 2022 – I ZR 180/21, ZIP 2022, 2460 Rn. 16 mwN).

68

bb) Nach diesem Maßstab kann ein Rechtsschutzbedürfnis bezüglich des Unterlassungsantrags zu Ziffer 3b nicht verneint werden. Das Rechtsschutzbedürfnis des Klägers entfällt insbesondere nicht dadurch, dass er seine Telefonnummer aus seinem Nutzerkonto selbst löschen könnte. Insofern ist sein Rechtsschutzziel – die Untersagung einer unrechtmäßigen Verarbeitung seiner Telefonnummer – mit dem dann erreichten Ergebnis der Löschung seiner Telefonnummer nicht identisch. Insbesondere würde sich der Kläger der Möglichkeit der Zwei-Faktor-Authentifizierung für die Anmeldung in seinem Nutzerkonto begeben.

69

Auch die Möglichkeit des Klägers, seine Privatsphären-Einstellungen so zu ändern, dass sich seine Einwilligung zur Verarbeitung seiner Telefonnummer auf die Nutzung der Zwei-Faktor-Authentifizierung beschränkt, lässt das Rechtsschutzbedürfnis nicht entfallen. Zwar hätte der Kläger die Suchbarkeitseinstellungen bezüglich seiner Telefonnummer seit Mai 2019 auf „nur ich“ abändern können und liegt hierin – wie auch in einem ausdrücklichen Widerruf seiner Einwilligung nach Art. 7 Abs. 3 Satz 1 DSGVO – im Verhältnis zu einem entsprechenden Unterlassungstitel ein einfacherer und dementsprechend auch billigerer Weg. Doch hat der Kläger vorgetragen, dass die Beklagte nach eigenen Angaben (vgl. die Online-Information der Beklagten mit der Überschrift „Möglicherweise verwenden wir deine Telefonnummer für diese Zwecke:“) seine Telefonnummer „möglicherweise“ noch für weitere Zwecke verwendet. Hierzu hat das Berufungsgericht keine Feststellungen getroffen und es ist nicht ersichtlich, über welche Einstellungen der Kläger selbst insoweit Abhilfe schaffen könnte.

70

d) Der so verstandene Unterlassungsantrag enthält auch kein im Sinne des § 890 Abs. 2 ZPO unzulässiges Antragsbegehren bzw. ist nicht auf ein zukünftiges aktives Tun gerichtet (so aber OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23, juris Rn. 239). Der Kläger begehrt die Unterlassung der Verarbeitung seiner Mobiltelefonnummer, soweit diese über die Nutzung der Zwei-Faktor-Authentifizierung hinausgeht. Gegenstand seines Begehrens ist demgegenüber nicht, die Kontakt-Import-Funktion aufgrund eines verständlichen Hinweises oder unter Wahrung der Sicherheitsanforderungen nutzen zu können.

71

2. Das Berufungsgericht hat – von seinem Rechtsstandpunkt konsequent – keine Feststellungen dazu getroffen, ob dem Kläger in der Sache ein Anspruch auf Unterlassung jeglicher Verarbeitung seiner Telefonnummer durch die Beklagte, die über die notwendige Verarbeitung für die Zwei-Faktor-Authentifizierung hinausgeht, zusteht. Hierzu wird in der wiedereröffneten Berufungsinstanz Gelegenheit bestehen.

V.

72

Soweit die Revision der Ansicht ist, dass dem Kläger ein weitergehender Auskunftsanspruch zusteht, hat sie keinen Erfolg.

73

1. Im Hinblick auf die begehrte Mitteilung, welche konkreten Daten abgegriffen worden seien, hat das Berufungsgericht festgestellt, dass mit dem Schreiben der Beklagten vom 23. August 2021 eine Auskunft vorliegt, die den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdeckt. Hiergegen wendet sich die Revision nicht (§ 559 Abs. 2 ZPO). Dieses Auskunftsbegehren hat die Beklagte folglich erfüllt (§ 362 Abs. 1 BGB).

74

2. Soweit sich die Revision demgegenüber dagegen wendet, dass das Berufungsgericht auch einen Anspruch des Klägers auf Mitteilung der konkreten Empfänger der in Bezug auf seine Person abgegriffenen Daten verneint hat, ist sie nicht begründet.

75

a) Im Ausgangspunkt ist der Revision allerdings zuzugeben, dass sich das Auskunftsrecht aus Art. 15 Abs. 1 Buchst. c DSGVO grundsätzlich auch auf Informationen darüber erstreckt, ob und wenn ja welchen konkreten Empfängern der Verantwortliche personenbezogene Daten des Betroffenen weitergegeben hat. Es muss der betroffenen Person durch die Ausübung dieses Auskunftsrechts nicht nur ermöglicht werden zu überprüfen, ob sie betreffende Daten richtig sind, sondern auch, ob diese Daten in zulässiger Weise verarbeitet werden, insbesondere ob sie gegenüber Empfängern offengelegt wurden, die zu ihrer Verarbeitung befugt sind (vgl. EuGH, Urteil vom 12. Januar 2023 – C-154/21, NJW 2023, 973 Rn. 37 ff. – RW/Österreichische Post AG).

76

Das Recht auf Schutz der personenbezogenen Daten ist jedoch kein uneingeschränktes Recht. Es muss vielmehr im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Grundsatzes der Verhältnismäßigkeit gegen andere Grundrechte abgewogen werden (ErwG 4 DSGVO). Insbesondere ist es unter bestimmten Umständen nicht möglich, Informationen über konkrete Empfänger zu erteilen. Daher kann das Auskunftsrecht beschränkt werden, wenn es nicht möglich ist, die Identität der konkreten Empfänger mitzuteilen. Dies gilt insbesondere, wenn die Empfänger noch nicht bekannt sind (vgl. EuGH, Urteil vom 12. Januar 2023 – C-154/21, NJW 2023, 973 Rn. 47 f. – RW/Österreichische Post AG).

77

b) Nach diesen Grundsätzen war die Beklagte unter den Umständen des Streitfalles zu einer weitergehenden Auskunft nicht verpflichtet. Nach den – von der Revision auch insoweit nicht angegriffenen – Feststellungen des Berufungsgerichts war es der Beklagten nicht möglich, die Identität der konkreten Empfänger mitzuteilen.

VI.

78

Soweit das Berufungsgericht die Voraussetzungen eines Anspruchs des Klägers auf Ersatz vorgerichtlicher Rechtsanwaltskosten aus Art. 82 Abs. 1 DSGVO für nicht gegeben erachtet hat, hält das angefochtene Urteil der revisionsrechtlichen Nachprüfung in Ansehung der vorstehenden Ausführungen ebenfalls nicht stand.

79

1. Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren, grundsätzlich zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden (vgl. Senat, Urteile vom 17. November 2015 – VI ZR 492/14, NJW 2016, 1245 Rn. 9; vom 4. März 2008 – VI ZR 176/07, VersR 2008, 985 Rn. 5; vom 4. Dezember 2007 – VI ZR 277/06, VersR 2008, 413 Rn. 13; vom 8. November 1994 – VI ZR 3/94, BGHZ 127, 348, 350, juris Rn. 7). Dabei ist maßgeblich, wie sich die voraussichtliche Abwicklung des Schadensfalls aus der Sicht des Geschädigten darstellt. Ist die Verantwortlichkeit für den Schaden und damit die Haftung von vornherein nach Grund und Höhe derart klar, dass aus der Sicht des Geschädigten kein vernünftiger Zweifel daran bestehen kann, dass der Schädiger ohne weiteres seiner Ersatzpflicht nachkommen werde, so wird es grundsätzlich nicht erforderlich sein, schon für die erstmalige Geltendmachung des Schadens gegenüber dem Schädiger einen Rechtsanwalt hinzuzuziehen. In derart einfach gelagerten Fällen kann der Geschädigte grundsätzlich den Schaden selbst geltend machen, so dass sich die sofortige Einschaltung eines Rechtsanwalts nur unter besonderen Voraussetzungen als erforderlich erweisen kann, wenn etwa der Geschädigte aus Mangel an geschäftlicher Gewandtheit oder sonstigen Gründen wie etwa Krankheit oder Abwesenheit nicht in der Lage ist, den Schaden selbst anzumelden (vgl. Senat, Urteil vom 8. November 1994 – VI ZR 3/94, BGHZ 127, 348, 351 f., juris Rn. 9).

80

2. Nach diesen Maßstäben kann auf der Grundlage der bisherigen Feststellungen des Berufungsgerichts ein materiell-rechtlicher Kostenerstattungsanspruch aus Art. 82 Abs. 1 DSGVO für die anwaltliche Tätigkeit (Schreiben vom 9. Juni 2021, Anlage K1) nicht verneint werden. Soweit das Berufungsgericht auch im Falle eines etwaigen Hauptanspruches die anwaltliche Beauftragung für die Geltendmachung eines Auskunftsanspruchs für nicht erforderlich erachtet hat, wird es sich mit den Voraussetzungen der Erforderlichkeit der Beauftragung eines Rechtsanwalts auch mit Blick auf die weiteren bereits in diesem Schreiben geltend gemachten Schadensersatz- und Unterlassungsansprüche zu befassen haben. Dabei wird auch zu berücksichtigen sein, dass zum Zeitpunkt des genannten Schreibens eine Vielzahl von Rechtsfragen in Zusammenhang mit Art. 82 DSGVO weder durch den Gerichtshof noch durch die nationalen Gerichte geklärt war.

VII.

81

Es besteht entgegen der Ansicht der Revision keine Veranlassung, das vorliegende Verfahren im Hinblick auf die noch zu Art. 82 DSGVO anhängigen Vorabentscheidungsersuchen auszusetzen.

82

1. Hinsichtlich der Frage, ob der Kontrollverlust der betroffenen Person über ihre personenbezogenen Daten bereits für sich genommen einen immateriellen Schaden begründet, besteht aufgrund der Entscheidungen des Gerichtshofes vom 14. Dezember 2023 (C-340/21 und C-456/22), vom 25. Januar 2024 (C-687/21), vom 11. April 2024 (C-741/21), vom 20. Juni 2024 (C-590/22 und C-182/22) und vom 4. Oktober 2024 (C-200/23) kein Klärungsbedarf mehr. Die Rechtslage ist durch die Rechtsprechung des Gerichtshofs in einer Weise geklärt, dass für einen vernünftigen Zweifel keinerlei Raum bleibt („acte éclairé“, vgl. EuGH, Urteile vom 6. Oktober 2021 – C-561/19, NJW 2021, 3303 Rn. 33 ff.; vom 6. Oktober 1982 – Rs. 283/81, NJW 1983, 1257, 1258).

83

2. Soweit der Senat dem Gerichtshof selbst mehrere Fragen zur Vorabentscheidung vorgelegt hat, welche die Herleitung und die Voraussetzungen eines Unterlassungsanspruches im Zusammenhang mit der Datenschutz-Grundverordnung thematisieren (Senat, Beschluss vom 26. September 2023 – VI ZR 97/22, VersR 2024, 582, Fragen 1, 2, 3 sowie 6; beim EuGH anhängig unter C-655/23), besteht derzeit keine Veranlassung zur Aussetzung, da deren Entscheidungserheblichkeit für den vorliegenden Fall mangels entsprechender Feststellungen des Berufungsgerichts nicht beurteilt werden kann. Es ist nicht auszuschließen, dass die zu treffenden Feststellungen geeignet sind, die Voraussetzungen eines etwaigen Unterlassungsanspruchs auch unabhängig von der Frage, ob die Datenschutz-Grundverordnung einen Rückgriff auf den gesetzlichen Unterlassungsanspruch nach nationalem Recht (in entsprechender Anwendung des § 1004 Abs. 1 Satz 2 BGB in Verbindung mit § 823 BGB) erlaubt, zu begründen. In Betracht käme insoweit insbesondere ein Unterlassungsanspruch aus dem Nutzungsvertrag selbst (§ 280 Abs. 1, § 241 Abs. 2 BGB, vgl. BGH, Urteile vom 2. Mai 2024 – I ZR 12/23, GRUR 2024, 948 Rn. 14 ff.; vom 8. November 2022 – II ZR 91/21, BGHZ 235, 57 Rn. 64; vom 29. Juli 2021 – III ZR 179/20, BGHZ 230, 347 Rn. 102; vom 5. Juni 2012 – X ZR 161/11, MDR 2012, 1224 Rn. 15; jeweils mwN).

84

3. Die vom Senat weiter vorgelegte Frage, ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen ist, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist (Senat, Beschluss vom 26. September 2023 – VI ZR 97/22, VersR 2024, 582, Frage 4), ist angesichts des im vorliegenden Fall geltend gemachten Kontrollverlustes als haftungsbegründendem Schaden (s.o. B.I.4.b) auf der Grundlage der bisherigen Feststellungen nur im Rahmen der haftungsausfüllenden Kausalität und Schadenshöhe relevant. Auch insoweit geht der Senat aber davon aus, dass seine Frage durch die zwischenzeitliche Rechtsprechung des Gerichtshofs (EuGH, Urteile vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 36 – PS GbR; vom 14. Dezember 2023 – C-340/21, NJW 2024, 1091 Rn. 75 ff. – Natsionalna agentsia za prihodite) überholt ist (so auch BAG, NZA 2024, 1499 Rn 14).

VIII.

85

Soweit die Revision Erfolg hat, kann der Senat mit Rücksicht auf die fehlenden Feststellungen sowohl zu den Voraussetzungen des Art. 82 Abs. 1 DSGVO als auch zu den für etwaige vertragliche Ansprüche bedeutsamen Umständen nicht in der Sache selbst entscheiden, § 563 Abs. 3 ZPO. Die Sache ist vielmehr zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen, § 563 Abs. 1 Satz 1 ZPO. Hinsichtlich des geltend gemachten Anspruchs aus Art. 82 Abs. 1 DSGVO weist der Senat für das weitere Verfahren auf Folgendes hin:

86

1. Bei der Prüfung eines Verstoßes gegen die Datenschutz-Grundverordnung wird das Berufungsgericht unbeschadet der Frage möglicher weiterer Verstöße jedenfalls zu berücksichtigen haben, dass die von der Beklagten vorgenommene Voreinstellung der Suchbarkeitseinstellungen auf „alle“ im Ausgangspunkt nicht dem Grundsatz der Datenminimierung entsprochen haben dürfte, wie er in Art. 5 Abs. 1 Buchst. b und c, Art. 25 Abs. 2 Satz 1 und 3 DSGVO festgehalten ist.

87

a) Der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 Buchst. c DSGVO verlangt, dass die Datenverarbeitung dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt ist. Nach ständiger Rechtsprechung des Gerichtshofs müssen sich die Ausnahmen und Einschränkungen des Grundsatzes des Schutzes solcher Daten auf das absolut Notwendige beschränken (EuGH, Urteil vom 24. Februar 2022 – C-175/20, ZD 2022, 271 Rn. 73 mwN; vgl. auch bereits EuGH, Urteil vom 11. Dezember 2019 – C-708/18, ZWE 2020, 337 Rn. 46 – Asociaţia de Proprietari bloc M5A-ScaraA).

88

b) Die Grundsätze des Art. 5 DSGVO werden durch konkrete Vorgaben zur technischen Ausgestaltung und insbesondere durch Vorgaben in Bezug auf datenschutzfreundliche Voreinstellungen in Art. 25 DSGVO konkretisiert (vgl. zum Verhältnis von Art. 5 und Art. 25 DSGVO Heberlein in Ehmann/Selmayr, DSGVO, 3. Aufl., Art. 5 Rn. 6 und 31; BeckOK DatenschutzR/Schantz, 49. Ed. [Stand: 1. November 2021], Art. 5 DSGVO Rn. 25; Voigt in Taeger/Gabel, DSGVO – BDSG – TTDSG, 4. Aufl., Art. 5 DSGVO Rn. 5; Herbst in Kühling/Buchner, DSGVO – BDSG, 4. Aufl., Art. 5 DSGVO Rn. 59 und Hartung in Kühling/Buchner, DSGVO – BDSG, 4. Aufl., Art. 25 DSGVO Rn. 25). Nach Art. 25 Abs. 2 DSGVO hat der Verantwortliche demnach geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Damit beinhaltet Art. 25 Abs. 2 Satz 3 DSGVO die ausdrückliche Verpflichtung zu Voreinstellungen, die verhindern, dass die Daten ohne Weiteres, also ohne bewusste persönliche Änderung der Voreinstellung, der Öffentlichkeit oder sonst einem unbestimmten Adressatenkreis zugänglich gemacht werden (Heberlein in Ehmann/Selmayr, DSGVO, 3. Aufl., Art. 5 Rn. 31).

89

Die Vorgabe, die Daten nicht „einer unbestimmten Zahl natürlicher Personen“ zugänglich zu machen, ist nach ihrem Zweck darauf ausgelegt, dass der Personenkreis derjenigen, die Zugriff auf die Daten des Betroffenen haben können, für diesen überschaubar sein soll. Die Regelung des Art. 25 Abs. 2 DSGVO hat dabei gerade die Voreinstellungen von sozialen Netzwerken im Blick (Hansen in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 25 DSGVO Rn. 42 und 53; Baumgartner/Gausling, ZD 2017, 308, 313; Keber/Keppeler in Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 3. Aufl., Art. 25 DSGVO Rn. 61; Laue/Nink/Kremer, Datenschutzrecht in der betrieblichen Praxis, 3. Aufl., § 9 Rn. 17; Hartung in Kühling/Buchner, DSGVO – BDSG, 4. Aufl., Art. 25 DSGVO Rn. 26; Nolte/Werkmeister in Gola/Heckmann, DSGVO/BDSG, 3. Aufl., Art. 25 DSGVO Rn. 28; vgl. bereits das Arbeitspapier der Art. 29 Arbeitsgruppe, WP 163, 12). Dahinter steht die Erkenntnis, dass werkseitig vorgegebene Voreinstellungen durch die Nutzer nur selten verändert werden (Baumgartner/Gausling, ZD 2017, 308, 312; Almada/Maranhao/Sartor in Spiecker gen. Döhmann/Papakonstantinou/Hornung/De Hert, General Data Protection Regulation, 2023, Art. 25 DSGVO Rn. 54; Keber/Keppeler in Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 3. Aufl., Art. 25 DSGVO Rn. 61). Es soll daher verhindert werden, dass Nutzer durch Voreinstellungen, die eine über die erforderliche Verarbeitung hinausgehende extensive Datennutzung vorsehen, dazu verleitet werden, ihre Datenschutzrechte abzuwählen, ohne dies zu realisieren (Almada/Maranhao/Sartor, aaO Rn. 54; vgl. auch das Arbeitspapier der Kommission zur Folgenabschätzung einer Datenschutzverordnung SEC(2012)72 final, S. 21 f. zum unzureichenden Risikobewusstsein und der Unterschätzung von Risiken für die Privatsphäre bei Nutzern sozialer Netzwerke).

90

c) Diesen Anforderungen wurde das Vorgehen der Beklagten zum maßgeblichen Zeitpunkt des Scraping-Vorfalls nicht gerecht (vgl. auch die Entscheidung der Irischen Datenschutz Kommission vom 25. November 2022 – IN-21-4-2, Rn. 182 f.; OLG Dresden, RDV 2024, 246; 247 f.; LG Freiburg, Urteil vom 15. September 2023 – 8 O 21/23, juris Rn. 118 ff.). Nach den Feststellungen des Berufungsgerichts sah die standardmäßige Voreinstellung der Beklagten für die Suchbarkeit eines Nutzerprofils über die Telefonnummer vor, dass „alle“ anderen Facebook-Nutzer eine entsprechende Rufnummernsuche durchführen konnten. Gleichzeitig wurde über die Suchbarkeit der Rufnummer auch die Zugänglichkeit zu weiteren Profildaten eröffnet, was sich konkret in der Vorgehensweise der Scraper niederschlug, die den Umstand ausnutzten, über die Verknüpfung der Rufnummer sodann die „öffentlichen“ personenbezogenen Daten des Nutzerprofils abzugreifen. Eine Einschränkung der Suchbarkeit konnte nur durch aktive Veränderung der Suchbarkeitseinstellungen durch den Nutzer selbst herbeigeführt werden. Datenschutzfreundlichere Einstellungsoptionen – insbesondere die erst 2019 eingeführte Suchbarkeitsoption „nur ich“ – wurden demgegenüber nur als opt out-Lösungen angeboten, obwohl die Nutzbarkeit des sozialen Netzwerks als solche hiervon nicht abhing, da eine Suche auch über die Eingabe des Namens möglich gewesen wäre.

91

d) Das Berufungsgericht wird gleichwohl noch zu prüfen haben, ob sich die von der Beklagten gewählte Voreinstellung auch im Fall des Klägers als unrechtmäßig darstellt oder ob die Vorgehensweise der Beklagten im Streitfall durch eine – hier mangels Erforderlichkeit (vgl. Art. 6 Abs. 1 Unterabs. 1 Buchst. b-f DSGVO) zur Rechtfertigung allein in Betracht kommende – Einwilligung des Klägers in die Verwendbarkeit seiner Telefonnummer im Rahmen der Suchbarkeitsfunktion gerechtfertigt ist (Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO; s. hierzu oben B.I.4.b.dd).

92

2. Sollte das Berufungsgericht im wiedereröffneten Berufungsverfahren einen Anspruch aus Art. 82 Abs. 1 DSGVO dem Grunde nach bejahen, wird es bei der Ermittlung der dann festzustellenden Höhe des immateriellen Schadens zudem von Folgendem auszugehen haben:

93

a) Die Datenschutz-Grundverordnung enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DSGVO geschuldeten Schadensersatzes. Insbesondere können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DSGVO genannten Kriterien herangezogen werden (EuGH, Urteile vom 4. Oktober 2024 – C-507/23, juris Rn. 39 ff. – Patērētāju tiesību aizsardzības centrs; vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 57, 62 – juris). Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung (EuGH, Urteile vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 58 – juris; vom 25. Januar 2024 – C-687/21, CR 2024, 160 Rn. 53 – MediaMarktSaturn; vom 21. Dezember 2023 – C-667/21, EuZW 2024, 270 Rn. 83 und 101 – Krankenversicherung Nordrhein; jeweils mwN). In Deutschland ist somit insbesondere die Verfahrensvorschrift des § 287 ZPO anzuwenden (BAG, NJW 2022, 2779 Rn. 14).

94

b) Die innerstaatliche Verfahrensautonomie bei der Ermittlung des nach Art. 82 DSGVO zu ersetzenden Schadens unterliegt freilich mehreren aus dem Unionsrecht folgenden Einschränkungen.

95

aa) Die Modalitäten der Schadensermittlung dürfen bei einem – wie im Streitfall – unter das Unionsrecht fallenden Sachverhalt nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz). Auch dürfen sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz) (vgl. EuGH, Urteile vom 4. Oktober 2024 – C-507/23, juris Rn. 31 – Patērētāju tiesību aizsardzības centrs; vom 20. Juni 2024 – C-182/22 und C-189/22, NJW 2024, 2599 Rn. 32 – Scalable Capital; vom 4. Mai 2023 – C-300/21, NJW 2023, 1930 Rn. 53 – Österreichische Post).

96

bb) In Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs, wie sie in ErwG 146 Satz 6 DSGVO zum Ausdruck kommt, ist eine auf Art. 82 DSGVO gestützte Entschädigung in Geld als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DSGVO dagegen nicht erfüllen (vgl. EuGH, Urteil vom 20. Juni 2024 – C-590/22, DB 2024, 1676 Rn. 42 – PS GbR; vgl. auch EuGH, Urteile vom 4. Oktober 2024 – C-507/23, juris Rn. 43 f. – Patērētāju tiesību aizsardzības centrs; vom 20. Juni 2024 – C-182/22 und C-189/22, NJW 2024, 2599 Rn. 23 – Scalable Capital; vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 59 – juris; vom 25. Januar 2024 – C-687/21, CR 2024, 160 Rn. 47 – MediaMarktSaturn). Folglich darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen (EuGH, Urteil vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 60 und 64 f. – juris) und ob er vorsätzlich gehandelt hat (EuGH, Urteil vom 20. Juni 2024 – C-182/22 und C-189/22, NJW 2024, 2599 Rn. 29 f. – Scalable Capital).

97

Im Ergebnis soll die Höhe der Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausginge (vgl. EuGH, Urteile vom 11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 60 – juris; vom 25. Januar 2024 – C-687/21, CR 2024, 160 Rn. 48 – MediaMarktSaturn). Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen (vgl. EuGH, Urteile vom 4. Oktober 2024 – C-507/23, juris Rn. 35 – Patērētāju tiesību aizsardzības centrs; vom 20. Juni 2024 – C-182/22 und C-189/22, NJW 2024, 2599 Rn. 45 f. – Scalable Capital). Dies gilt auch unter Berücksichtigung des Umstandes, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung (vgl. dazu EuGH, Urteile vom 4. Oktober 2024 – C-200/23, juris Rn. 151- Agentsia po vpisvaniyata; vom 20. Juni 2024 – C-182/22 und C-189/22, NJW 2024, 2599 Rn. 39 – Scalable Capital).

98

c) Daraus ergeben sich Vorgaben sowohl in Bezug auf die Untergrenze als auch auf die Obergrenze des nach Art. 82 Abs. 1 DSGVO zu gewährenden Schadensersatzes, die das Schätzungsermessen des Tatgerichts (§ 287 ZPO) rechtlich begrenzen.

99

aa) Ist nach den Feststellungen des Gerichts allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DSGVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (z.B. Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich könnte in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insbesondere eines Rufnummernwechsels) dienen.

100

bb) Äußerst zweifelhaft erscheint daher, ob hier eine Festsetzung in „gegebenenfalls nur einstelliger Höhe“ mit dem Effektivitätsgrundsatz zu vereinbaren wäre (so aber obiter OLG Celle, Urteil vom 4. April 2024 – 5 U 31/23, juris Rn. 102). Dagegen hätte der Senat von Rechts wegen keine Bedenken, den notwendigen Ausgleich für den eingetretenen Kontrollverlust als solchem in einem Fall wie dem streitgegenständlichen in einer Größenordnung von 100 € (so obiter OLG Hamm, GRUR-RS 2024, 16856 Rn. 40) zu bemessen.

101

cc) Macht der Betroffene psychische Beeinträchtigungen geltend, die über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen, ist das Tatgericht gegebenenfalls gehalten, den Betroffenen anzuhören, um die notwendigen Feststellungen hierzu treffen zu können. Ausgehend davon wird es gegebenenfalls einen Betrag als Ausgleich festzusetzen haben, der über dem im Falle eines bloßen Kontrollverlustes zuzusprechenden Betrag liegt.

Seiters                         Oehler                         Müller

                    Klein                          Böhm

Kategorien: Allgemein