LG Stuttgart: Schadensersatzanspruch gem. Art. 82 DSGVO setzt Wahrscheinlichkeit des Schadens voraus / 2024

veröffentlicht am 11. Oktober 2024

LG Stuttgart, Urteil vom 24.01.2024, Az. 27 O 92/23
Art. 82 Abs. 1 DSGVO, § 286 ZPO

Das LG Stuttgart hat entschieden, dass der Kläger eines Schadensersatzanspruchs gem. Art. 82 DSGVO nachzuweisen hat, dass der Schadenseintritt wahrscheinlich und nicht nur möglich ist. Zitat: „Bei primären Vermögensschäden muss der Betroffene zur Begründung des Feststellungsinteresses darlegen, dass ein auf die Verletzungshandlung zurückzuführender Schaden wahrscheinlich ist (BGH, Urteil vom 26.07.2018 – I ZR 274/16, WM 2018, 1591 Rn. 23). Zur Wahrscheinlichkeit eines materiellen Schadens trägt die Klägerin aber nicht substantiiert vor. Ihr Vorbringen zum Schaden erschöpft sich in der Darlegung eines immateriellen Schadens. Nachdem die Betroffenheit der Klägerin von dem streitgegenständlichen API-Bug gerade nicht nachgewiesen ist, käme die Feststellung eines Schadensersatzanspruchs im Übrigen auch in der Sache nicht in Betracht.“ Weiter führte die Kammer aus: Ein Schadensersatzanspruch gemäß Art. 82 DSGVO wegen eines Scraping-Vorfalls auf Twitter (jetzt X), so die Kammer, setze voraus, dass eine Verletzung des Schutzes personenbezogener Daten des klagenden Nutzers vorgelegen habe. Dies wiederum erfordere, dass der Twitter-Account des klagenden Nutzers von dem API-Bug betroffen gewesen sei, wobei seine Betroffenheit von dem klagenden Nutzer zur vollen Überzeugung des Gerichts nachzuweisen sei. Zum Volltext der Entscheidung:


Landgericht Stuttgart

Urteil

1. Die Klage wird abgewiesen.

2. Die Klägerin trägt die Kosten des Rechtsstreits.

3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.

Streitwert: 8.000,00 €.

Tatbestand

Die Klägerin macht gegen die Beklagte Ansprüche wegen der Verletzung der Datenschutzgrundverordnung im Zusammenhang mit einem sog. Scraping-Vorfall geltend.

Die Beklagte betreibt eine Echtzeitkommunikationsplattform im Internet, welche über die Internetseite www.twitter.com aufgerufen werden kann. Dieser sog. Twitter-Dienst wurde zwischenzeitlich in „X“ umbenannt, nachfolgend wird jedoch weiterhin die zum Zeitpunkt der streitgegenständlichen Vorgänge verwendete Bezeichnung Twitter-Dienst verwendet. Um sich in Deutschland für die Nutzung des Twitter-Dienstes zu registrieren und einen Twitter-Account anzulegen, muss ein Nutzer eine E-Mail-Adresse oder eine Telefonnummer angeben und ferner seinen Klarnamen sowie sein Geburtsdatum offenlegen.

Im Sommer des Jahres 2021 bestand beim Twitter-Dienst eine offene API-Schnittstelle. Hierbei handelt es sich um eine Schnittstelle zum Austausch von Informationen zwischen zwei unabhängigen Softwarekomponenten. Diese offene Schnittstelle ermöglichte es Hackern, durch das Probieren zufällig gewählter E-Mail-Adressen und Mobiltelefonnummern im Falle eines „Treffers“ – d.h. einer real existenten und bei Twitter hinterlegten E-Mail-Adresse oder Telefonnummer – aus den Systemen von Twitter die für den Nutzer vergebene Identifikationsnummer (Twitter-ID) zu erhalten. Dieser sog. API-Bug ermöglichte es Hackern, die Twitter-Accounts der betroffenen Nutzer aufzufinden. Ob die offene Schnittstelle es darüber hinaus ermöglichte, bei Twitter hinterlegte, vom jeweiligen Nutzer aber nicht auf seinem Account öffentlich gemachte Daten wie Klarname und Geburtsdatum aus den Systemen von Twitter zu erlangen, ist zwischen den Parteien streitig.

Öffentlich bekannt wurde der API-Bug, nachdem im Sommer 2022 hieraus erlangte Daten im Internet angeboten wurden. Am 05.08.2022 veröffentlichte die Beklagte eine Pressemitteilung und gab hierbei auszugsweise an:

„Im Januar 2022 erhielten wir über unser Bug Bounty Programm einen Bericht über eine Schwachstelle in den Systemen von Twitter. Wenn jemand eine E-Mail-Adresse oder Telefonnummer an die Systeme von Twitter übermittelte, teilten die Systeme von Twitter der Person infolge der Schwachstelle mit, mit welchem Twitter-Konto die übermittelten E-Mail-Adressen oder Telefonnummern verknüpft waren, falls vorhanden. Dieser Fehler resultierte aus einer Aktualisierung unseres Codes im Juni 2021. Als wir davon erfuhren, haben wir ihn sofort untersucht und behoben. Zu diesem Zeitpunkt hatten wir keine Hinweise darauf, dass jemand die Schwachstelle ausgenutzt hätte.

Im Juli 2022 erfuhren wir durch einen Pressebericht, dass jemand dies möglicherweise ausgenutzt hatte und anbot, die von ihm zusammengestellten Informationen zu verkaufen. Nachdem wir eine Stichprobe der zum Verkauf stehenden Daten überprüft hatten, bestätigten wir, dass ein Angreifer das Problem ausgenutzt hatte, bevor es angegangen wurde.

Wir werden die Kontoinhaber direkt benachrichtigen, von denen wir bestätigen können, dass sie von diesem Problem betroffen sind (…)“

Die Klägerin hatte sich bei Twitter zunächst unter Verwendung ihrer E-Mail-Adresse a[…]@aol.com registriert, zur Nutzung der Twitter-App auf ihrem Mobiltelefon registrierte sie sich später zusätzlich mit ihrer Mobiltelefonnummer. Ob der Twitter-Account der Klägerin von dem API-Bug betroffen ist, ist zwischen den Parteien streitig. Eine individuelle Benachrichtigung der Beklagten wegen des API-Bug erhielt die Klägerin nicht. Mit Anwaltsschriftsatz vom 15.05.2023 (Anlage K 1) machte die Klägerin gegenüber der Beklagten Ansprüche auf Schmerzensgeld, Auskunft und Unterlassung geltend. Mit Anwaltsschriftsatz vom 15.06.2023 (Anlage B 14) wies die Beklagte die Ansprüche zurück.

Die Klägerin bringt vor,

ihr Twitter-Account sei von dem API-Bug betroffen. Der API-Bug habe den unbekannten Hackern auch ermöglicht, den von der Klägerin bei ihrer Registrierung bei Twitter angegebenen Klarnamen sowie ihr Geburtsdatum aus den Systemen von Twitter zu erhalten. Dieses Datenleck habe zur Folge gehabt, dass die Klägerin sowohl per E-Mail als auch per SMS in erheblichem Umfang Spam-Nachrichten sowie ferner unseriösen Telefonanrufen ausgesetzt sei. Bei der Klägerin habe dies zu einem Unwohlsein geführt, zumal sie den lebenslangen Kontrollverlust ihrer Daten befürchten müsse und ferner zu befürchten sei, dass ihre Daten durch Dritte missbräuchlich verwendet werden könnten. Der API-Bug sei nur möglich gewesen, weil die Beklagte keine ausreichenden Sicherungsmaßnahmen ergriffen habe. Die Beklagte hafte daher der Klägerin nach Art. 82 DSGVO auf Schadensersatz. Ferner hafte die Beklagte auf Auskunft sowie Unterlassung.

Die Klägerin beantragt:

1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Handynummer bzw. Mailadresse der Klägerseite sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 3.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB zu zahlen;

2. Die Beklagte wird verurteilt, an die Klägerseite für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 2.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB zu zahlen;

3. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2021 erfolgte, entstanden sind und/oder noch entstehen werden;

4. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu € 250.000,00, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, namentlich Telefonnummer und Mailadresse sowie die Twitter-ID Dritten über eine API-Schnittstelle zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen;

5. Die Beklagte wird verurteilt, dem Kläger Auskunft über den personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch die Nutzung der API-Schnittstelle erlangt werden konnten;

6. Die Beklagte wird verurteilt, die Klägerseite von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von € 1.134,55 nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit freizuhalten.

Die Beklagte beantragt, die Klage abzuweisen.

Die Beklagte bringt vor, die Klägerin sei von dem im Jahr 2021 aufgetretenen Softwarefehler nicht betroffen. Die Beklagte habe in einer internen Untersuchung festgestellt, dass 5,4 Mio. Nutzer des Twitter-Dienstes von dem API-Bug betroffen gewesen seien, wozu die Klägerin nicht gehöre. Die von der Klägerin geltend gemachten Ansprüche scheiterten daher schon an ihrer fehlenden Betroffenheit. Die geltend gemachten Ansprüche bestünden aber auch dann nicht, wenn die Klägerin von dem API-Bug betroffen wäre. Es treffe nicht zu, dass es aufgrund des API-Bug im Hinblick auf die hiervon betroffenen Accounts möglich gewesen wäre, den Klarnamen und das Geburtsdatum aus den Systemen von Twitter zu erlangen. Dass die Klägerin aufgrund des API-Bug vermehrt Spam-Nachrichten erhalte und deswegen ein dauerndes Gefühl des Unwohlseins verspüre, werde bestritten. Etwaige Spam-E-Mails und unerwünschte Anrufe seien jedenfalls nicht durch den API-Bug verursacht worden. Überdies bedeutet die Lästigkeit von Spam-E-Mails und unerwünschten Anrufen keinen Schaden im Rechtssinne. Ein Auskunftsanspruch habe schon im rechtlichen Ausgangspunkt nicht bestanden, weil die Auskunftspflicht nach Art. 15 Abs. 1 Buchst. c DSGVO lediglich die beabsichtigte Offenlegung von Daten im Blick habe, nicht hingegen das sog. Scraping durch Dritte. Auch ein Unterlassungsanspruch komme bereits im rechtlichen Ausgangspunkt nicht in Betracht, weil die DSGVO einen Unterlassungsanspruch gerade nicht vorsehe und aufgrund des abschließenden Charakters ein Rückgriff auf § 1004 BGB versperrt sei.

Das Gericht hat die Klägerin in der mündlichen Verhandlung informatorisch als Partei angehört. Im Hinblick auf das Ergebnis der Parteianhörung sowie das mündliche Vorbringen der Parteien wird auf das Protokoll der mündlichen Verhandlung vom 30.11.2023 Bezug genommen. Im Hinblick auf das schriftsätzliche Vorbringen wird wegen der weiteren Einzelheiten auf die gewechselten Schriftsätze verwiesen.

Entscheidungsgründe

I.
Das angerufene Landgericht Stuttgart ist international zuständig, was die Beklagte auch nicht in Abrede gestellt hat.

Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter wegen Ansprüchen nach der DSGVO sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat (Art. 79 Abs. 2 Satz 1 DSGVO). Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist (Art. 79 Abs. 2 Satz 2 DSGVO). Nachdem die Klägerin an ihrem Wohnsitzgericht Klage erhoben hat, besteht eine Vermutung dahingehend, dass sie an ihrem Aufenthaltsort geklagt hat (vgl. OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, juris Rn. 251). Nachdem die Klägerin als Verbraucherin gehandelt hat, ergibt sich die internationale Zuständigkeit deutscher Gerichte überdies aus Art. 17 Abs. 1 Buchst. c, Art. 18 Brüssel Ia-VO.

II.
Die Klage ist im Wesentlichen auch im Übrigen zulässig, jedoch unbegründet, teilweise ist die Klage unzulässig.

1. Der von der Klägerin mit dem Klageantrag Ziff. 1 geltend gemachte Schadensersatzanspruch gemäß Art. 82 DSGVO setzt zunächst voraus, dass eine Verletzung des Schutzes personenbezogener Daten der Klägerin vorgelegen hat. Dies erfordert, dass der Twitter-Account der Klägerin von dem API-Bug betroffen gewesen ist, wobei ihre Betroffenheit von der Klägerin zur vollen Überzeugung des Gerichts nachzuweisen ist (§ 286 ZPO). Diesen Nachweis hat die Klägerin nicht geführt.

a) Der Beweisantritt der Klägerin besteht darin, dass die von dem australischen Sicherheitsforscher Tony Hunt betriebene Internetplattform https:///haveibeenpwned.com unter Eingabe der E-Mail-Adresse der Klägerin ihre Betroffenheit ausweise. Dem Beweisangebot der Klägerin, diese Internetseite in Augenschein zu nehmen und die E-Mail-Adresse a[…]@aol.com einzugeben, ist das Gericht nachgegangen, wie in der mündlichen Verhandlung erörtert worden ist. Es trifft demnach zu, dass die Internetseite https:///haveibeenpwned.com die Betroffenheit der Klägerin von dem API-Bug bei Twitter ausweist, was die Beklagte auch nicht ausdrücklich bestritten hat. Hieraus ergibt sich aber nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend sind und die Klägerin von dem API-Bug tatsächlich betroffen ist.

Es ist nicht bekannt, auf welcher Grundlage der Betreiber der Internetseite https:///haveibeenpwned.com Tony Hunt (oder Troy Hunt) die Betroffenheit individueller Nutzer ermittelt. Allein der Hinweis der Klägerin in ihrem nachgelassenen Schriftsatz vom 20.12.2023, dass auch das Bundesamt für Sicherheit in der Informationstechnik in einer Pressemitteilung auf die Internetseite https:///haveibeenpwned.com verwiesen hat, genügt nicht für den Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com richtig sind. Die von der Klägerin in ihrem nachgelassenen Schriftsatz in Bezug genommene Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik stammt vom 17.01.2019 und hat mit dem streitgegenständlichen API-Bug bei Twitter nichts zu tun. Soweit das Bundesamt für Sicherheit in der Informationstechnik in der Pressemitteilung ausgeführt hat, „Angaben des IT-Sicherheitsforschers Troy Hunt zufolge, der den Datensatz aufgefunden hat, können Internetnutzer über die Plattform https:///haveibeenpwned.com prüfen, ob ihre E-Mail-Adressen und Zugangsdaten in dem aktuellen Datenfund enthalten sind“, ergibt sich daraus auch nicht die Auffassung des Bundesamts für Sicherheit in der Informationstechnik nicht, dass die Angaben der in Bezug genommenen Internetseite über jeden Zweifel erhaben wären. Überdies bezieht sich diese Pressemitteilung gerade auf einen Datensatz, welcher von dem IT-Sicherheitsforscher Troy Hunt selbst im Internet aufgefunden worden sein soll. Hieraus ergibt sich ein Anhaltspunkt, weshalb Troy Hunt als Betreiber der Internetseite https:///haveibeenpwned.com den Inhalt des im Internet veröffentlichten Datensatzes kennt. Woher Troy Hunt hingegen verlässliche Kenntnis davon haben soll, welche Twitter-Accounts von dem API-Bug betroffen sind, wird von der Klägerin nicht erläutert und bleibt damit offen.

Ergänzend ist noch anzumerken, dass sich die Behauptung der Klägerin, im Rahmen des API-Bug hätten auch Daten über ihr Geschlecht und ihr Geburtsdatum erlangt werden können, aus der von der Klägerin selbst in Bezug genommen und für verlässlich angesehenen Internetseite https:///haveibeenpwned.com gerade nicht ergibt. Diese vom Gericht eingesehene Website nennt weder das Geschlecht noch das Geburtsdatum als von dem API-Bug bei Twitter betroffene Daten.

b) Auch die Angaben der Klägerin im Rahmen ihrer Parteianhörung, ab Anfang des Jahres 2022 ein erhöhtes Spamaufkommen festgestellt zu haben, genügt zum Nachweis ihrer Betroffenheit von dem API-Bug nicht. Abgesehen davon, dass das Datenleck bei Twitter nach dem Vortrag der Klägerin schon im Juni 2021 und nicht erst Anfang 2022 bestanden haben soll, begründet allein ein vermehrtes Spamaufkommen nicht den Nachweis, hierfür müsse ein Datenleck bei Twitter ursächlich sein. Namentlich die von der Klägerin beschriebenen Spam-Nachrichten, durch welche eine Mitteilung eines angeblichen Paketdienstleisters wie beispielsweise DHL fingiert wird, treten auch bei dem erkennenden Einzelrichter sowie dessen Familienmitgliedern auf, obwohl niemand einen Twitter-Account unterhält.

2. Soweit die Klägerin mit ihrem Klageantrag Ziff. 2 immateriellen Schadenersatz wegen verzögerter Auskunftserteilung verlangt, ist ein solcher Anspruch schon nicht schlüssig vorgetragen.

Selbst wenn zugunsten der Klägerin unterstellt wird, dass ihr gegen die Beklagte ein Auskunftsanspruch aus Art. 15 DSGVO zugestanden hat, die Beklagte mit der Auskunftserteilung in Verzug geraten ist und die Vorschrift des Art. 82 Abs. 1 DSGVO auch den Verzugsschaden wegen verzögerter Auskunftserteilung erfasst, ist jedenfalls ein Schaden der Klägerin, der gerade auf die unterbliebene Auskunftserteilung zurückgeht, nicht dargelegt. Die Klägerin begründet ihren immateriellen Schaden allein mit der Lästigkeit des erhöhten Spamaufkommens sowie der Sorge um die Sicherheit ihrer Daten. Dieser immaterielle Schaden ist nach dem Vorbringen der Klägerin durch das von Hackern ausgenutzte Datenleck bei Twitter entstanden. Dass neben diesem immateriellen Schaden ein abgrenzbarer anderer immaterieller Schaden durch die verzögerte Auskunftserteilung entstanden wäre, ist weder schlüssig vorgetragen noch ersichtlich.

3. Soweit die Klägerin mit dem Klageantrag Ziff. 3 die Feststellung des Anspruchs auf Ersatz künftiger materieller Schäden dem Grunde nach begehrt, ist die Klage unzulässig.

Bei primären Vermögensschäden muss der Betroffene zur Begründung des Feststellungsinteresses darlegen, dass ein auf die Verletzungshandlung zurückzuführender Schaden wahrscheinlich ist (BGH, Urteil vom 26.07.2018 – I ZR 274/16, WM 2018, 1591 Rn. 23). Zur Wahrscheinlichkeit eines materiellen Schadens trägt die Klägerin aber nicht substantiiert vor. Ihr Vorbringen zum Schaden erschöpft sich in der Darlegung eines immateriellen Schadens. Nachdem die Betroffenheit der Klägerin von dem streitgegenständlichen API-Bug gerade nicht nachgewiesen ist, käme die Feststellung eines Schadensersatzanspruchs im Übrigen auch in der Sache nicht in Betracht.

4. Soweit die Klägerin mit dem Klageantrag Ziff. 4 die Unterlassung begehrt, personenbezogene Daten der Klägerin über eine API-Schnittstelle zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen, ist die Klage unbegründet.

Dabei kann dahinstehen, ob die Regelung der DSGVO abschließend ist und damit den Rückgriff auf § 1004 BGB versperrt (vgl. dazu BGH, Beschluss vom 26.09.2023 – VI ZR 97/22, WM 2023, 2096 Rn. 19 ff; OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, juris Rn. 570). Wird der Rechtsstandpunkt der Klägerin als zutreffend unterstellt, wonach ein Unterlassungsanspruch im Rahmen der DSGVO im Ausgangspunkt möglich ist, so setzte ein Unterlassungsanspruch jedenfalls eine Verletzungshandlung voraus. Nachdem die Betroffenheit der Klägerin von dem API-Bug gerade nicht nachgewiesen ist, kommt ein Unterlassungsanspruch nicht in Betracht.

5. Soweit die Klägerin mit dem Klageantrag Ziff. 5 Auskunft darüber verlangt, welche Daten durch welche Empfänger zu welchem Zeitpunkt durch die Nutzung der API-Schnittstelle erlangt werden konnten, ist ein etwaiger Auskunftsanspruch jedenfalls erfüllt. Nachdem – wie ausgeführt – die Betroffenheit der Klägerin von dem API-Bug gerade nicht nachweisbar ist, kann eine gegebenenfalls von der Beklagten geschuldete Auskunft nur in der Negativauskunft liegen, die Klägerin sei nicht betroffen. Diese Auskunft ist im Rahmen der Klageerwiderung erteilt worden.

III.
Nachdem die geltend gemachten Ansprüche in der Sache nicht bestehen, kommt auch der mit dem Klageantrag Ziff. 6 geltend gemachte Anspruch auf Ersatz vorgerichtlicher Anwaltskosten nicht in Betracht. Ein Anspruch auf Ersatz vorgerichtlicher Anwaltskosten besteht auch dann, wenn zu Gunsten der Klägerin unterstellt wird, dass ihr ein Anspruch auf Erteilung einer „Negativauskunft“ (fehlende Betroffenheit vom API-Bug) zugestanden hat, der erst im Rahmen der Klageerwiderung erfüllt worden ist. Die Beklagte war jedenfalls nicht verpflichtet, die Klägerin unaufgefordert über ihre fehlende Betroffenheit zu informieren. Mit der Geltendmachung des Auskunftsanspruchs durch den Anwaltsschriftsatz der Klägerin vom 15.05.2023 (Anlage K 1) sind die vorgerichtlichen Anwaltskosten bereits angefallen und daher nicht dadurch verursacht worden, dass die Beklagte in ihrem Antwortschreiben vom 15.06.2023 (Anlage B 14) keine ausdrückliche Auskunft der Nicht-Betroffenheit erteilt hat.

IV.
Die Kostenentscheidung folgt aus § 91 Abs. 1 ZPO, die Entscheidung zur vorläufigen Vollstreckbarkeit aus § 709 Satz 2 ZPO.

V.
Bei der Festsetzung des Streitwerts hat das Gericht entsprechend der von der Klägerin mit den jeweiligen Klageanträgen mitgeteilten Mindestvorstellungen eines Schmerzensgeldes den Klageantrag Ziff. 1 mit 3.000,00 € und den Klageantrag Ziff. 2 mit 2.000,00 € bemessen. Die Klageanträge Ziff. 3, Ziff. 4 und Ziff. 5 hat das Gericht jeweils mit 1.000,00 € bemessen. Die von der Klägerin vertretenen höheren Werte erscheinen nicht sachgerecht. Bei dem Feststellungsantrag (Klageantrag Ziff. 3) fehlt es an jeglichen Anhaltspunkten für einen drohenden materiellen Schaden. Der mit dem Klageantrag Ziff. 4 geltend gemachte Unterlassungsanspruch ist nicht höher zu bewerten, nachdem keinerlei konkrete Anhaltspunkte für eine Wiederholungsgefahr – die Betroffenheit der Klägerin von dem streitgegenständlichen API-Bug unterstellt – bestehen. Auch der Auskunftsanspruch (Klageantrag Ziff. 5) ist nicht höher zu bewerten, nachdem nicht erkennbar ist, welches quantifizierbare materielle Interesse die Klägerin an der Auskunftserteilung hat.

I