Zum Hauptinhalt springen

Verstoß: Erstellung von Persönlichkeitsprofilen und fehlende Auskunft dazu

  • Beschreibung
    Die beklagte Plattform erstellt mit den Daten ihrer Nutzer (einschließlich Off-Site-Daten) Persönlichkeitsprofile, um den Nutzern gezielt Werbung auszuspielen. Für diese Datenverarbeitung gibt es aus Sicht des Gerichts keine Rechtsgrundlage. Zudem wurde nicht hinreichend darüber aufgeklärt.
  • Aktenzeichen
    Landgericht Berlin II, Urteil vom 04.04.2025 - 39 O 56/24
  • Kategorie(n)
    Werbung und Tracking
  • Betrag
    2000 €

Tenor:

  1. Die Beklagte wird verurteilt, Auskunft nach Art. 15 Abs. 1 a), c), g) und h) DSGVO darüber zu erteilen, welche der folgenden personenbezogenen Daten der Klagepartei seit dem 25.05.2018 mit Hilfe der „XXXX“ erfasst, an die Server der Beklagten weitergeleitet, dort gespeichert und anschließend verwendet wurden und im Zuge dessen mit dem Nutzeraccount des Netzwerks „XXXX“ unter dem Benutzernamen „XXXX“ der Klagepartei verknüpft wurden,

a) auf Dritt-Webseiten und -Apps entstehende personenbezogene  Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d. h.

  • E-Mail der Klagepartei 
  • Telefonnummer der Klagepartei
  • Vorname der Klagepartei 
  • Nachname der Klagepartei
  • Geburtsdatum der Klagepartei
  • Geschlecht der Klagepartei 
  • Ort der Klagepartei 
  • Externe Ids anderer Werbetreibender (von der Meta Ltd. „external_ID” genannt)
  • IP-Adresse des Clients
  • User-Agent des Clients (d.h. gesammelte Browserinformationen)
  • interne Klick-ID der Meta Ltd.
  • interne Browser-ID der Meta Ltd. 
  • Abonnement-ID 
  • Lead-ID 
  • anon_id 
  • die Advertising ID des Betriebssystems Android (von der Meta Ltd. „XXXX“ genannt) 

sowie bezogen auf sämtliche so verarbeiteten personenbezogenen Daten der Klagepartei

b) auf Dritt-Webseiten

  • die URLs der Webseiten samt ihrer Unterseiten
  • der Zeitpunkt des Besuchs
  • der Referrer (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist)
  • die von der Klagepartei auf der Website angeklickten Buttons
  • weitere von der Meta „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren

c) in mobilen Dritt-Apps

  • der Name der App sowie
  • der Zeitpunkt des Besuchs
  • die von der Klagepartei in der App angeklickten Buttons sowie
  • die von der Meta „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren

außerdem für jedes erhobene Datum,

  • ob, und wenn   ja   welche   konkreten   personenbezogenen   Daten   der Klagepartei die Beklagte seit dem 25.05.2018 zu welchem Zeitpunkt an Dritte (Werbepartner, sonstige Partner, im Konzern verbundene Unternehmen oder sonstige Dritte) weitergegeben hat, unter Benennung dieser Dritten,
  • ob, und wenn ja welche konkreten Daten der Klagepartei die Beklagte seit dem 25.05.2018 zu welchem Zeitpunkt (Beginn, Dauer, Ende) in welchem Drittstaat gespeichert hat,
  • inwieweit die    Daten    der    Klagepartei    für    eine    automatisierten Entscheidungsfindung   einschließlich   Profiling   verwendet   wurden   und werden. Die Beklagte hat hierfür aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und angestrebte Auswirkung einer solchen Verarbeitung für die betroffene Person zu erteilen.

 

  1. Die Beklagte wird verpflichtet, nach vollständiger Auskunftserteilung gemäß Ziffer 1. sämtliche gemäß Ziffer 1. a) seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu löschen sowie sämtliche gemäß den Ziffern 1. b) sowie 1. c) seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen.

 

  1. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klagepartei gemäß Ziffer 1. mit Hilfe der XXXX zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden.

 

  1. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten in Höhe von 367,23 EUR brutto freizustellen.

 

  1. Die Beklagte wird verurteilt, an die Klagepartei 2.000,00 EUR nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 21.12.2023 zu zahlen. 

 

  1. Im Übrigen wird die Klage abgewiesen.

 

  1. Die Kosten des Rechtsstreits haben der Kläger und die Beklagte zu jeweils 50 % zu tragen.

 

  1. Das Urteil   ist   vorläufig   vollstreckbar, für   den   Kläger   jedoch   nur   gegen Sicherheitsleistung in Höhe von 4.500,00 EUR. Der Kläger darf die Vollstreckung der Beklagten durch Sicherheitsleistung oder Hinterlegung in Höhe von 110 % des aufgrund des Urteils gegen sie vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrags leistet.

 

Tatbestand:

Die Parteien streiten über Auskunfts-, Löschungs-, Unterlassungs- und Schadensersatzansprüche  im  Zusammenhang  mit  der  Verarbeitung  personenbezogener Daten der Klagepartei durch die Beklagte.

Die in Dublin, Irland, geschäftsansässige Beklagte betreibt für Nutzer in der Europäischen Union u. a. das soziale Netzwerk XXXX. Dieses Netzwerk ermöglicht es den Nutzern nach ihrer Registrierung, persönliche Profile u. a. mit Fotos und Videos zu erstellen sowie mit anderen Nutzern in Kontakt zu treten. Um ein Konto zu registrieren und anschließend zu nutzen, muss ein zukünftiger Nutzer den Nutzungsbedingungen (Anlage B2) zustimmen. In den Nutzungsbedingungen wird den Nutzern ein Link zur Datenschutzrichtlinie (Anlage K1) bereitgestellt.

Als Gegenleistung für die Nutzung ihres Sozialnetzwerks fordert die Beklagte kein Geld. Sie erzielt Einnahmen insbesondere dadurch, dass sie Werbetreibenden die Möglichkeit bietet, gegen Entgelt Anzeigen auf ihren Sozialnetzwerken zu schalten. Wenn ein Nutzer dieser Sozialnetzwerke über die Einstellung „Informationen von Werbepartnern zu deinen Aktivitäten“ seine Einwilligung erteilt hat, stimmt die Beklagte die angezeigte Werbung zur Effektivierung ihres Geschäftsmodells spezifisch auf die Interessen dieses Nutzers ab (sog. personalisierte Werbung). Sie wertet hierzu Daten aus, die Nutzer in ihrem Profil direkt zur Verfügung gestellt haben, die während der Verwendung ihrer Netzwerke durch den Nutzer entstanden sind (sog. On-Site-Daten) und solche, die ihr von Drittunternehmen übermittelt wurden (sog. Off-Site- Daten).

Für die Übermittlung der Off-Site-Daten bietet die Beklagte den Drittunternehmen verschiedene digitale Werkzeuge, die sog. XXXX (bestehend aus „Meta Pixel“, „App Events über XXXX-SDK“, „XXXX“ und „App XXXX“), an, die diese für ihre Webseiten bzw. Apps verwenden können. Dies geschieht durch das Einfügen eines Skripts entweder direkt im Code ihrer Websites/Apps („Meta Pixel“ für Webseiten bzw. „App Events über XXXX-SDK“ für Apps) oder auf den Servern der Drittunternehmen ("XXXX" und "App XXXX"). Während die Datenerfassung im ersten Fall auf dem Nutzergerät stattfindet und nur vom technisch durchschnittlich versierten Nutzer nicht bemerkt wird, können im Fall einer serverseitigen Implementierung selbst technisch versierte Webseiten- bzw. Appnutzer eine Datenerfassung nicht erkennen. Drittunternehmen,  die  die  XXXX  nutzen  wollen,  müssen  hierfür  den „Nutzungsbedingungen für XXXX“ (Anlage B5) der Beklagten zustimmen.

Hat ein Drittunternehmen die XXXX in seiner Webseite/App oder auf seinem Server eingebunden, werden die dort aus Nutzer-Aktionen gewonnenen Daten (z. B. Seitenaufrufe, Suchvorgänge, Formulareingaben, getätigte Käufe sowie angeschaute bzw. angeklickte Werbeanzeigen) gesammelt, an die Beklagte weitergeleitet und von ihr gespeichert. Sofern sich der betreffende Nutzer in einem der Netzwerke der Beklagten registriert hat, werden seine gesammelten Off-Site-Daten von der Beklagten zudem automatisch mit der zu seinem Nutzerkonto gehörenden „Meta-ID“ verknüpft und so vollständig individualisiert. Dabei erfolgen diese Prozesse, d.h. sowohl die Sammlung, Übertragung, Speicherung als auch die Zuordnung der Off-Site-Daten, unabhängig davon, ob unter der Einstellung „Informationen von Werbepartnern zu deinen Aktivitäten“ eine Einwilligung erteilt wurde oder nicht. Aufgrund bestimmter technischer Ausgestaltungen (sog. digitaler Fingerabdruck) kann die Zuordnung der gesammelten und gespeicherten Daten zu einem bestimmten Nutzer mit einer Genauigkeit von über 99,4 % auch dann zutreffend durch die Beklagte erfolgen, wenn der betreffende Nutzer gerade nicht in einem ihrer Netzwerke eingeloggt ist oder deren Apps installiert hat.

Mit anwaltlichen Schreiben vom 22.11.2023 (Anlage K3) ließ die Klagepartei die Beklagte vorgerichtlich wegen vermeintlicher Verstöße gegen Datenschutzbestimmungen zur Auskunft, Unterlassung und Zahlung von Schadensersatz unter Fristsetzung bis zum 13.12.2023 auffordern.

Als Antwort  auf  das  Auskunftsverlangen  übermittelte  die  Beklagte  das  Schreiben  vom 18.12.2024 (Anlage B8). Darin verwies sie die Klagepartei u. a. auf die sog. Self-Service-Tools (bestehend aus den Funktionen „Zugriff auf deine Informationen“, „Deine Informationen herunterladen“ und „Deine Aktivitäten außerhalb der Meta-Technologien“), mit denen auf die in ihrem XXXX-Account hinterlegten persönlichen Daten zugegriffen werden könne.

Die Klagepartei behauptet, sie unterhalte seit dem 25.05.2018 ein Benutzerkonto mit dem Nutzernamen „XXXX“ bei XXXX und bewege sich regelmäßig auf einer Vielzahl von Webseiten, bei denen die XXXX entweder direkt oder jedenfalls auf dem zugrundeliegenden Server Verwendung fänden. Sie ist im Wesentlichen der Ansicht, die Verarbeitung ihrer Off- Site-Daten durch die Beklagte sei ohne eine hierfür eingeholte Einwilligung rechtswidrig. Ferner sei die Beklagte sowohl hinsichtlich der an sie mittels der XXXX übermittelten als auch von ihr weiterverarbeiteten personenbezogenen Daten als Verantwortlicher im Sinne der DSGVO anzusehen.

 

Die Klagepartei beantragt zuletzt wörtlich,

 

  1. Die Beklagte zu verurteilten, Auskunft nach Art. 15 Abs. 1 a), c), g) und h) DSGVO darüber zu erteilen, welche der folgenden personenbezogenen Daten der Klagepartei seit dem 25.05.2018 mit Hilfe der „XXXX“ erfasst, an die Server der Beklagten weitergeleitet, dort gespeichert und anschließend verwendet wurden und im Zuge dessen mit dem Nutzeraccount des Netzwerks „XXXX“ unter dem Benutzernamen „XXXX“ der Klagepartei verknüpft wurden,

a) auf Dritt-Webseiten und -Apps entstehende  personenbezogene  Daten  der Klagepartei, ob direkt oder in gehashter Form übertragen, d. h.

  • E-Mail der Klagepartei 
  • Telefonnummer der Klagepartei 
  • Vorname der Klagepartei 
  • Nachname der Klagepartei 
  • Geburtsdatum der Klagepartei 
  • Ort der Klagepartei 
  • Externe Ids  anderer  Werbetreibender  (von  der  Meta    „external_ID” genannt)
  • IP-Adresse des Clients
  • User-Agent des Clients (d.h. gesammelte Browserinformationen)
  • interne Klick-ID der Meta Ltd.
  • interne Browser-ID der Meta Ltd. 
  • Abonnement-ID 
  • Lead-ID 
  • anon_id 
  • die Advertising ID des Betriebssystems Android (von der Meta Ltd. „XXXX“ genannt) 

sowie  bezogen  auf  sämtliche  so  verarbeiteten  personenbezogenen  Daten  der Klagepartei

b) auf Dritt-Webseiten

  • die URLs der Webseiten samt ihrer Unterseiten
  • der Zeitpunkt des Besuchs
  • der Referrer (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist),
  • die von der Klagepartei auf der Webseite angeklickten Buttons sowie 
  • weitere von der Meta „Events“ genannte Daten, die die Interaktionen der
  • Klagepartei auf der jeweiligen Webseite dokumentieren

c) in mobilen Dritt-Apps

  • der Name der App sowie
  • der Zeitpunkt des Besuchs
  • die von der Klagepartei in der App angeklickten Buttons sowie
  • die von  der  Meta  „Events“  genannte  Daten,  die  die  Interaktionen  der Klagepartei in der jeweiligen App dokumentieren

außerdem für jedes erhobene Datum,

  • ob, und   wenn   ja   welche   konkreten   personenbezogenen   Daten   der Klagepartei die Beklagte seit dem 25.05.2018 zu welchem Zeitpunkt an Dritte (Werbepartner, sonstige Partner, im Konzern verbundene Unternehmen oder sonstige Dritte) weitergegeben hat, unter Benennung dieser Dritten,
  • ob, und wenn ja welche konkreten Daten der Klagepartei die Beklagte seit dem 25.05.2018 zu welchem Zeitpunkt (Beginn, Dauer, Ende) in welchem Drittstaat gespeichert hat,
  • inwieweit die    Daten    der    Klagepartei    für    eine    automatisierten Entscheidungsfindung   einschließlich   Profiling   verwendet   wurden   und werden. Die Beklagte hat hierfür aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und angestrebte Auswirkung einer solchen Verarbeitung für die betroffene Person zu erteilen.
  1. Die Beklagte zu verpflichten, nach vollständiger Auskunftserteilung gemäß dem Antrag zu 1. sämtliche gemäß dem Antrag zu 1. a) seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu löschen sowie sämtliche gemäß den Anträgen zu 1. b) sowie zu 1. c) seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen.

 

  1. Die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klagepartei gemäß dem Antrag zu 1. mit Hilfe der XXXX zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden

 

  1. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten in Höhe von 367,23 EUR brutto freizustellen.

 

sowie auf zweiter Stufe nach Auskunftserteilung (Stufenklage)

 

  1. Die Beklagte zu verurteilen, an die Klagepartei eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 2.000,00 EUR beträgt, nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 21.12.2023, zu zahlen.

 

Die Beklagte beantragt, 

die Klage abzuweisen.

Sie ist insbesondere der Ansicht, die Einholung einer Einwilligung der Klagepartei zur Übermittlung von Off-Site-Daten mittels der XXXX obliege allein den Drittunternehmen, die die XXXX eingebunden und insoweit den zugrunde liegenden Nutzungsbedingungen der Beklagten zugestimmt haben. Allein die Drittunternehmen seien für die Erhebung und Übermittlung der Daten an die Beklagte verantwortlich; deren Verhalten sei der Beklagten nicht zurechenbar.

Wegen der weiteren Einzelheiten des Sach- und Streitstands wird auf die zwischen den Parteien gewechselten Schriftsätze nebst den dazu eingereichten Anlagen verwiesen.

Die Kammer hat den Rechtsstreit gemäß § 348 Abs. 3 Satz 1 Nr. 2, Satz 2 ZPO durch Beschluss übernommen. Im Schriftsatz vom 27.02.2025 hat der Kläger sinngemäß angegeben, dass  mit  der  Umdeutung  der  Stufenklage  zur  objektiven  Klagehäufung Einverständnis besteht, sofern ein Mindestbetrag von 2.000,00 EUR zuerkannt werde.

 

Entscheidungsgründe

I. Die Klage ist zulässig und in dem aus dem Tenor ersichtlichen Umfang begründet.

1. Der Klageantrag zu 5. ist analog § 133 BGB dahin auszulegen, dass die Klagepartei tatsächlich die Zuerkennung eines Schadensersatzes in Höhe von mindestens 5.000,00 EUR begehrt.

Sie hat zwar in ihrem Klageantrag nur die Zuerkennung eines Mindestbetrags von 2.000,00 EUR benannt. Klageanträge sind jedoch im Zweifel so auszulegen, dass dasjenige gewollt ist, was aus Sicht der Prozesspartei nach den Maßstäben der Rechtsordnung vernünftig ist und deren wohlverstandener Interessenlage entspricht. Für eine vom Wortlaut der Prozesshandlung abweichende Auslegung ist lediglich Voraussetzung, dass der abweichende Wille aus dem Schriftsatz oder sonstigen zu dessen Auslegung heranzuziehenden Umständen hervorgeht und sowohl für den Gegner als auch für das Gericht offensichtlich ist (vgl. nur BGH, Beschluss vom 13. Mai 2014 – X ZR 25/13 –, juris Rn. 9 m. w. N.).

Demgemäß ist der Klageantrag im Hinblick auf die Begründung der Klage, in der die Klagepartei tatsächlich „von einem angemessenen Mindestschadensersatz i.H.v. 5.000 Euro“ ausgeht und hierfür aus ihrer Sicht vergleichbare gerichtliche Entscheidungen heranzieht, entsprechend weiter zu fassen.

2. Die so zu verstehende Klage ist zulässig, insbesondere ist das Landgericht Berlin international, sachlich und örtlich zuständig sowie das mit dem Klageantrag zu 3. verfolgte Unterlassungsbegehren hinreichend bestimmt.

a. Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 79 Abs. 2 Satz 2 DSGVO (in Verbindung mit Art. 82 Abs. 6 DSGVO). Die Klagepartei als betroffene Person hat ihren gewöhnlichen Aufenthalt im Hoheitsgebiet der Bundesrepublik Deutschland. Die sachliche und örtliche Zuständigkeit des Landgerichts Berlin ergibt sich jedenfalls aus § 39 ZPO, da sich die Beklagte rügelos zur Sache eingelassen hat.

b. Der Klageantrag zu 3. ist hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO.

Nach § 253 Abs. 2 Nr. 2 ZPO ist ein Klageantrag hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (vgl. BGH, Urteil vom 21. März 2018 – VIII ZR 68/17 –, juris Rn. 15 m. w. N.). Dies bedeutet bei einem Unterlassungsantrag insbesondere, dass dieser nicht derart undeutlich gefasst sein darf, dass die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, juris Rn. 52 f.).

Diesen Anforderungen genügt der Klageantrag zu 3. trotz seiner weiten Formulierung. Er lässt sich unter Heranziehung des Klageantrags zu 1. dahin auslegen, dass die Klagepartei der Beklagten

−   das Erfassen ihrer personenbezogenen Daten im Sinne des Klageantrags zu 1. Auf Drittseiten und -Apps,

−   die Weiterleitung ihrer personenbezogenen Daten im Sinne des Klageantrags zu 1., die auf Drittseiten und -Apps erfasst wurden, an die Beklagte,

−   die Speicherung ihrer personenbezogenen Daten im Sinne im Sinne des Klageantrags zu 1., die auf Drittseiten und -Apps erfasst und an die Beklagte weitergeleitet wurden sowie

− jegliche   weitere   Verwendung   ihrer   bei   der   Beklagten   gespeicherten personenbezogenen Daten im Sinne   im Sinne des Klageantrags zu 1., die auf Drittseiten und -Apps erfasst und an die Beklagte weitergeleitet wurden,

verbieten lassen möchte (vgl. LG Aschaffenburg, Hinweisbeschluss vom 14. Januar 2025 – 31 O 98/24 –,  S. 3 f., auffindbar in den Anlagen zum Schriftsatz vom 25.03.2025, wie auch die sonstigen im Nachfolgenden ohne Fundstelle aufgeführten Urteile).

 

3. Die Klage hat auch in der Sache weitgehend Erfolg.

Der Klagepartei stehen gegen die Beklagte die geltend gemachten Ansprüche auf Auskunft, Löschung bzw. Anonymisierung, Unterlassung, Freistellung und Schadensersatz in dem Umfang zu, der aus dem Tenor hervorgeht.

 

a. Auskunft

 

Die Klagepartei kann von der Beklagten gemäß Art. 15 Abs. 1 DSGVO Auskunft über ihre von der Beklagten verarbeiteten personenbezogenen Daten verlangen.

aa. Die DSGVO ist räumlich (Art. 3 Abs. 1 DSGVO) und, da die bei der Beklagten gespeicherten Informationen personenbezogene Daten der Klagepartei enthalten, auch sachlich (Art. 2 Abs. 1 DSGVO) anwendbar. In zeitlicher Hinsicht folgt die Anwendbarkeit daraus, dass ausschließlich die Datenverarbeitung in einem nach dem Inkrafttreten der DSGVO am 25.05.2018 (Art. 99 Abs. 2 DSGVO) liegenden Zeitraum, nämlich ab dem 25.05.2018, streitgegenständlich ist.

bb. Gemäß Art. 15 Abs. 1 a), c), g) und h) DSGVO hat eine natürliche Person das Recht, von dem Verantwortlichen (Art. 4 Nr. 7 DSGVO) eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten (Art. 4 Nr. 1 DSGVO) verarbeitet werden (Art. 4 Nr. 2 DSGVO); ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf die in § 15 Abs. 1 Halbsatz 2 a) bis h) DSGVO aufgeführten Informationen.

Davon ausgehend gilt hier Folgendes:

(1) Bei sämtlichen im Klageantrag zu 1. genannten Daten handelt es sich unzweifelhaft um Informationen, die sich auf die Klagepartei beziehen, diese jedenfalls indirekt identifizierbar machen und somit als personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO zu qualifizieren sind.

(2) Die Beklagte ist im Hinblick auf die mittels der XXXX übermittelten und anschließend von ihr weiterverarbeiteten personenbezogenen Daten (gemeinsam) Verantwortlicher im Sinne der Art. 4 Nr. 7, 26 Abs. 1 Satz 1 DSGVO.

Gemäß Art. 4 Nr. 7 DSGVO ist Verantwortlicher diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Eine gemeinsame Verantwortung besteht nach Art. 26 Abs. 1 Satz 1 DSGVO, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verwendung festlegen. Ziel dieser Bestimmungen ist es, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (vgl. EuGH, Urteil vom 29. Juli 2019 – C-40/17 –, juris Rn. 66 m. w. N.).

Daran gemessen ist die Beklagte gemeinsam mit den jeweiligen Webseiten- bzw. Appanbietern, die die XXXX implementiert haben, verantwortlich für die dadurch erfolgte Erhebung und Übermittlung personenbezogener Daten.

Nach der Rechtsprechung des Gerichtshof der Europäischen Union (im Folgenden: EuGH) in Sachen „Fashion ID“ ist in einer Situation, in welcher ein Webseitenbetreiber in seine Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, sowohl der Webseitenbetreiber als auch der Plugin-Ersteller verantwortlich. Dem liegt zugrunde, dass diese durch die bewusste Einbindung des Plugins mit dem Ziel, verbesserte Produktwerbung anzubieten, über Zweck und Mittel der Erhebung personenbezogener Daten und deren Weitergabe durch Übermittlung entscheiden (vgl. EuGH, Urteil vom 29. Juli 2019 – C-40/17 –, juris Rn. 75 ff.). Diese Argumentation ist auf die streitgegenständlichen XXXX ohne Weiteres zu übertragen (so auch LG Aschaffenburg, Hinweisbeschluss vom 14. Januar 2025 – 31 O 98/24 –, S. 6 f.; LG Landau, Versäumnisurteil vom 26. Februar 2024 – 2 O 239/23 –, S. 11 f.; LG München I, Urteil vom 27. Januar 2025 – 6 O 14304/23 –, S. 14).

Darüber hinaus ist die Beklagte unzweifelhaft (allein) verantwortlich für die anschließende Speicherung und Individualisierung der über die XXXX erhaltenen Off-Site-Daten.

(3) Anders als die Beklagte meint, hat die Klagepartei ausreichend zu ihrer individuellen Betroffenheit durch die streitgegenständliche Datenverarbeitung vorgetragen.

Es genügt hierfür, dass sich die Klagepartei auf allgemeine Informationen zum Geschäftsmodell der Beklagten, zum Vorgehen in technischer Hinsicht sowie der – wegen der Vielzahl von Webseiten („30 % bis 40 % der Webseiten weltweit“), in denen unstreitig XXXX implementiert sind – erheblichen Wahrscheinlichkeit einer Betroffenheit von Nutzern durch die streitgegenständliche Datenverarbeitung gestützt hat. Kenntnisse dazu, auf welchen Dritt- Webseiten (bzw. Servern) die XXXX der Beklagten tatsächlich eingesetzt werden, und damit in der Folge Vortrag dazu, welche dieser Webseiten die Klagepartei im Einzelnen aufgesucht hat, kann von ihr mangels Zumutbarkeit nicht erwartet werden. Da bei einer serverseitigen Implementierung der XXXX unstreitig selbst von technisch versierten Nutzern eine Datenerhebung gar nicht erkannt werden kann, wäre die Klagepartei nämlich andernfalls faktisch gezwungen, der Beklagten ihr gesamtes Internetnutzungsverhalten offenzulegen. Zudem benötigt die Beklagte diese Angaben für ihre Verteidigung nicht: Es bedarf lediglich der Überprüfung ihrer Datenbanken, um zu sehen ob und welche Datensätze der Klagepartei sie von einem ihrer Vertragspartner erhalten hat (vgl. LG Aachen, Urteil vom 21. November 2024 – 12 O 470/23 –, S. 9; LG Ellwangen (Jagst), Urteil vom 27. Februar 2025 – 2 O 222/24 –, S. 27 f.; LG Karlsruhe, Hinweisbeschuss vom 28. Juni 2024 – 20 O 35/23 –, S. 3; LG Lübeck, Urteil vom 10. Januar 2025 – 15 O 269/23 –, juris Rn. 135 ff.).

cc. Der Auskunftsanspruch ist durch Übermittlung des als Anlage B8 eingereichten Schreibens nicht im Wege der Erfüllung untergegangen.

Nach § 362 Abs. 1 BGB ist ein Auskunftsanspruch (nur) erfüllt, wenn die getätigten Angaben nach dem ausdrücklich oder schlüssig erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt folglich voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH, Urteil vom 15. Juni 2021 – VI ZR 576/19 –, juris Rn. 19 f. m. w. N.). Letzteres ist hier der Fall.

Dies ergibt sich bereits daraus, dass sich die in dem vorgelegten Schreiben erteilten Auskünfte auf diejenigen personenbezogenen Daten beschränken, die von der Beklagten für die Bereitstellung personalisierter Werbung verwendet werden. Zwar spricht die Beklagte dort (ebenso wie in ihren Schriftsätzen) durchgängig von der „streitgegenständlichen Datenverarbeitung“. Aus dem Gesamtkontext ergibt sich jedoch, dass sie hierunter lediglich eine Datenverarbeitung zum Zwecke personalisierter Werbung versteht. Eine derartige Einschränkung des Auskunftsbegehrens auf lediglich eine Datenverarbeitung zum Zwecke der Bereitstellung personalisierter Werbung lässt sich jedoch weder dem vorgerichtlichen Auskunftsverlangen der Klagepartei noch deren Vorbringen im Prozess entnehmen. Vielmehr hat die Klagepartei mehrfach, zuletzt mit Schriftsatz vom 21.03.2025 ausdrücklich klargestellt, dass die Datenverarbeitung, zu der sich die Beklagte überhaupt äußert, nur einen unwesentlichen Teil des tatsächlich von ihr beanstandeten Datenschutzverstoßes darstelle. Streitgegenständlich soll vielmehr „die durch die Bereitstellung und den Betrieb der streitgegenständlichen XXXX ermöglichte Voreinstellung bzw. systematische Funktionsweise der Erstverarbeitung von personenbezogenen Daten des Klägers (i. S. d. Erfassung, Weiterleitung und Erstspeicherung auf den Servern der Beklagten) unabhängig davon [sein], welchem bestimmten Zweck diese dient“ (so auch LG Mainz, Urteil vom 25. Februar 2025 – 9 O 14/24 –, S. 8).

Ebenso wenig ist der bloße Verweis auf das Vorhandensein von „Self-Service-Tools“ auf XXXX ausreichend. So hat die Beklagte bereits nicht hinreichend dargelegt, dass sich damit sämtliche von der Klagepartei begehrten Informationen abrufen lassen. Im Gegenteil: Sie führt auf der von ihr auf Seite 3 ihres außergerichtlichen Schreibens angegebenen Hilfeseite (https://www.XXXX.com/help/XXXX/) gerade auf, mehr Einzelheiten und Aktivitäten zu erhalten „als du unter ,Aktivitäten außerhalb von Meta-Technologien' siehst“ (so auch LG Münster, Urteil vom 29. Januar 2025 – 4 O 241/23 –, S. 13).

Gleiches gilt in Bezug auf die Aussage der Beklagten, sie habe keine Verarbeitung personenbezogener Daten der Klageseite festgestellt, die „in den Anwendungsbereich des Art. 22 Abs. 1 DSGVO fällt“ (vgl. Klageerwiderung vom 19.12.2024, S. 52), weil unklar bleibt, was genau damit gemeint sein soll (vgl. LG Karlsruhe, Hinweisbeschluss vom 28. Juni 2024 – 20 O 35/23 –, S. 8).

 

b. Löschung

Darüber hinaus steht der Klagepartei aus Art. 17 Abs. 1 d) DSGVO ein Anspruch auf Löschung zu.

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person gegen den Verantwortlichen einer Datenverarbeitung u. a. einen Anspruch auf unverzügliche Löschung der sie betreffenden personenbezogenen Daten, wenn sie ihre Einwilligung widerruft, auf die sich die Verarbeitung stützt und es an einer anderen Rechtsgrundlage dafür fehlt (Art. 17 Abs. 1 b) DSGVO) oder die Verarbeitung unrechtmäßig erfolgte (Art. 17 Abs. 1 d) DSGVO).

Diese Voraussetzungen liegen hier vor.

aa. Die Klagepartei ist tatsächlich durch eine Verarbeitung der im Klagantrag zu 1. aufgeführten personenbezogenen Daten betroffen (siehe oben).

bb. Die Beklagte ist in Bezug auf die Übermittlung, Speicherung und Individualisierung der personenbezogenen Daten der Klagepartei „Verantwortlicher“ im Sinne der Art. 4 Nr. 7, 26 Abs. 1 Satz 1 DSGVO (siehe oben).

cc. Die Datenverarbeitung durch die Beklagte erfolgte rechtswidrig.

Im Ausgangspunkt ist bereits die Sammlung und Entgegennahme der von Drittunternehmen stammenden personenbezogenen Daten als „Erheben“ durch die Beklagte im Sinne von Art. 4 Nr. 2 DSGVO zu qualifizieren, weil sie diese Daten gezielt (auch) für eine personalisierte Werbeeinblendung generiert (so auch LG Aschaffenburg, Hinweisbeschluss vom 14. Januar 2025 – 31 O 98/24 –, S. 6 f.; LG München I, Urteil vom 27. Januar 2025 – 6 O 14304/23 –, S. 13).

Offen bleiben kann dabei, ob die Drittanbieter insoweit in jedem Fall eine ausreichende – d. h. hinreichend bestimmte und transparente – Einwilligung der Klagepartei eingeholt haben. Hierauf kommt es nicht entscheidend an, weil die Beklagte diese Daten zudem gespeichert und individualisiert hat. Diese weitergehende Art der Datenverarbeitung wäre aber selbst von einer unterstellten rechtswirksamen Einwilligung in eine Weiterleitung von Daten, die Drittanbieter eingeholt hätten, nicht erfasst (so auch LG Stuttgart, Urteil vom 5. Februar 2025 – 27 O 190/23 –, juris Rn. 76 und 80 ff.).

Die Datenspeicherung und -individualisierung betreffend liegt weder eine gesonderte Einwilligung der Klagepartei gemäß Art. 6 Abs. 1 a) vor noch ist diese Verarbeitung der Off- Site-Daten durch einen der in Art. 6 Abs. 1 b) bis f) DSGVO normierten Rechtfertigungsgründe gedeckt.

(1) Von einer insoweit erteilten Einwilligung nach Art. 6 Abs. 1 a) DSGVO ist nicht auszugehen.

Die Klagepartei hat in Abrede gestellt, eine solche Einwilligung jemals erteilt zu haben. Dennoch hat die Beklagte, ungeachtet der sie als Verantwortliche treffenden Darlegungs- und Beweislast (vgl. EuGH, Urteil vom 4. Juli 2023 – C-252/21 –, juris Rn. 152 und 154; Urteil vom 24. Februar 2022 – C-175/20 –, juris Rn. 77), zu einer rechtswirksamen Einwilligung nichts vorgetragen.

Ohnehin hätte die Klagepartei eine derartige Einwilligung jedenfalls konkludent mit der Einreichung der Klage widerrufen. Hiermit hat sie unmissverständlich zum Ausdruck gebracht, dass sie nicht (mehr) will, dass die Beklagte auf Basis der XXXX ihre personenbezogenen Daten speichert und weiterverarbeitet. Vor diesem Hintergrund ist auch irrelevant, ob er Kläger in seinen XXXX-Einstellungen die Cookies von Drittanbietern zugelassen hat oder welche sonstigen Einstellungen er dort getätigt oder nicht getätigt hat (vgl. LG Münster, Urteil vom 29. Januar 2025 – 4 O 241/23 –, S. 16). Dies gilt im Übrigen gleichermaßen für die vorherige Erheibung und Übermittlung an die Beklagte.

(2) Eine Notwendigkeit nach Art. 6 Abs. 1 b) DSGVO scheidet aus.

Dass die Speicherung und Personalisierung der personenbezogenen Daten objektiv unerlässlich sind, um dem Nutzer die Dienste des sozialen Netzwerks XXXX zur Verfügung zu stellen, vermag die Kammer nicht zu erkennen. Derartiges hat die Beklagte auch nicht vorgetragen. Schließlich stellt sie es ihren Nutzern – bei fortbestehendem Nutzungsvertrag – gerade frei, der Verwendung von Off-Site-Daten für personalisierte Werbung zu widersprechen; in diesem Fall wäre ein Rückgriff auf diese Daten aber gar nicht erforderlich (so auch LG Stuttgart, Urteil vom 5. Februar 2025 – 27 O 190/23 –, juris Rn. 76 und 80 ff.).

(3) Eine Rechtfertigung gem. Art. 6 Abs. 1 c) bis e) DSGVO kommt ebenfalls nicht in Betracht, da weder eine rechtliche Verpflichtung noch ein öffentliches oder lebenswichtiges Interesse zur entsprechenden Datenverarbeitung ersichtlich oder dargetan ist.

d) Eine nach Art. 6 Abs. 1 f) DSGVO vorzunehmende Interessenabwägung fällt ebenfalls nicht zugunsten der Beklagten aus.

Dem berechtigten Interesse der Beklagten an einem „profitablen Dienst“ kommt kein höheres Gewicht zu als dem Recht der Nutzer auf Datensicherheit und -minimierung sowie informationelle Selbstbestimmung (so auch LG Landau, Versäumnisurteil vom 26. Februar 2024 – 2 O 239/23 –, S. 12). Der EuGH hat insoweit bereits entschieden, dass auch wenn die Dienste eines sozialen Online-Netzwerks unentgeltlich sind, der Nutzer dieses Netzwerks vernünftigerweise nicht damit rechnen könne und müsse, dass dessen Betreiber seine personenbezogenen Daten ohne seine Einwilligung zum Zweck der Personalisierung der Werbung verarbeitet oder sogar noch umfänglicher nutzt. Daher sei davon auszugehen, dass die Interessen und Grundrechte eines solchen Nutzers bereits gegenüber dem Interesse dieses Betreibers an einer solchen Personalisierung der Werbung, mit der er seine Tätigkeit finanziert, überwiegen, so dass die von ihm zu solchen Zwecken vorgenommene Verarbeitung nicht unter Art. 6 Abs. 1 f) DSGVO fallen könne (vgl. EuGH, Urteil vom 4. Juli 2023 – C-252/21 –, juris Rn. 117). Davon ausgehend kann erst Recht die rein „präventive“ Speicherung und Individualisierung personenbezogener Daten nicht gemäß Art. 6 Abs.1 f) DSGVO gerechtfertigt sein.

Soweit die Beklagte geltend macht, die Speicherung der Off-Site-Daten sei zu nicht näher erläuterten „Sicherheits- und Integritätszwecken“ notwendig, trägt sie damit zum Tatbestandsmerkmal des berechtigten Interesses nicht mit der erforderlichen Substanz vor (so auch LG Stuttgart, Urteil vom 5. Februar 2025 – 27 O 190/23 –, juris Rn. 85; LG Lübeck, Urteil vom 10. Januar 2025 – 15 O 269/23 –, juris Rn. 130).

c. Anonymisierung

Soweit anstelle des berechtigten Löschungsverlangens die vollständige Anonymisierung der die Klagepartei betreffenden personenbezogenen Daten zur Wahl der Beklagten gestellt wird, folgt ein solcher Anspruch entweder als spezielle Form der Löschung unmittelbar aus Art. 17 Abs. 1 DSGVO (so Herbst in: Kühling/Buchner, DS-GVO BDSG, 4. Auflage 2024, Art. 17 Rn. 39a; LG Münster, Urteil vom 29. Januar 2025 – 4 O 241/23 –, S. 16) oder als Einschränkung der Verarbeitung aus Art. 18 Abs. 1 b) DSGVO (so LG Aachen, Urteil vom 21. November 2024 – 12 O 470/23 –, S. 12; LG Ellwangen (Jagst), Urteil vom 27. Februar 2025 – 2 O 222/24 –, S. 34; LG Landau, Versäumnisurteil vom 26. Februar 2024 – 2 O 239/23 –, S. 14; LG Mainz, Urteil vom 25. Februar 2025 – 9 O 14/24 –, S. 12; LG München I, Urteil vom 27. Januar 2025 – 6 O 14304/23 –, S. 20).

d. Unterlassung

Die Klagepartei kann verlangen, dass es die Beklagte unterlässt, die in Ziffer 1. genannten personenbezogenen Daten mithilfe der XXXX zu erheben, an ihre Server weiterzuleiten, dort zu speichern und weiterzuverarbeiten.

Ob sich dieser Anspruch im Fall einer – wie hier – unrechtmäßigen Datenverarbeitung aus den Art. 17 Abs. 1, 79 DSGVO (vgl. ausf. LG Ellwangen (Jagst), Urteil vom 27. Februar 2025 – 2 O 222/24 –, S. 28) oder aus einer entsprechenden Anwendung des § 1004 Abs. 1 Satz 2 BGB in Verbindung mit § 823 Abs. 1 BGB, Art. 2 Abs. 1 GG ergibt, kann letztlich dahinstehen. Denn jedenfalls die Ansicht, nach der die DSGVO keine Unterlassungsansprüche kenne und dennoch einen Rückgriff auf nationales Rechts sperre, überzeugt nicht. Andernfalls würde nicht nur das in der DSGVO verankerte und bereits in den Erwägungsgründen zum Ausdruck kommende Ziel unterlaufen, einen umfassenden Schutz bei der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten. Vielmehr wäre dem Betroffenen entgegen Art. 79 Abs. 1 DSGVO auch jegliche Möglichkeit genommen, dem Verantwortlichen eine unrechtmäßige Datenverarbeitung für die Zukunft effektiv zu verbieten (vgl. ausf. LG Aschaffenburg, Hinweisbeschluss vom 14. Januar 2025 – 31 O 98/24 –, S. 5 f.).

Da die Voraussetzungen für eine Löschung der erlangten, gespeicherten und weiterverarbeiteten Daten vorliegen (siehe oben), kann die Beklagte auch die Unterlassung einer Fortsetzung dieser rechtswidrigen Datenverarbeitung für die Zukunft verlangen.

e. Schadensersatz

aa. Angesichts der rechtswidrigen Datenverarbeitung steht der Klagepartei zumindest gemäß Art. 82 Abs. 1 DSGVO ein Schadensersatzanspruch in Höhe von 2.000,00 EUR gegen die Beklagte zu.

Dies berücksichtigend ist die Kammer befugt, bereits jetzt über diesen Anspruch zu entscheiden. Die Klagepartei hat nämlich klargestellt, die Stufenklage sei im Falle der Zuerkennung eines solchen Betrags mangels fortbestehender Notwendigkeit in eine ungestufte objektive Klagehäufung gemäß § 260 ZPO umzudeuten.

(1) Der Schadensersatzanspruch besteht dem Grunde nach.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Wie der EuGH in mittlerweile gefestigter Rechtsprechung entschieden hat, muss ein auf diese Vorschrift gestützter Schadensersatzanspruch drei kumulative Voraussetzungen erfüllen: Es muss eine Verarbeitung personenbezogener Daten unter Verstoß gegen Bestimmungen der DSGVO erfolgt, der betroffenen Person ein (materieller oder immaterieller) Schaden entstanden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden gegeben sein (vgl. EuGH, Urteil vom 4. Mai 2023 – C-300/21 –, juris Rn. 32 und 36; Urteil vom 14. Dezember 2023 – C-340/21, Rn. 77; Urteil vom 21. Dezember 2023 – C-667/21 –, Rn. 90; Urteil vom 25. Januar 2024 – C-687/21 –, Rn. 58; Urteil vom 11. April 2024 – C-741/21 –, Rn. 34; Urteil vom 20. Juni 2024 – C-590/22 –, Rn. 22). Die Darlegungs- und Beweislast für das Vorliegen dieser Voraussetzungen trifft die Person, die auf Grundlage des Art. 82 DSGVO einen Schadensersatzanspruch geltend macht (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, juris Rn. 21).

Diese Voraussetzungen sind gegeben.

(1.1) Die Beklagte hat gegen die DSGVO verstoßen, indem sie unrechtmäßig Daten verarbeitet hat (siehe oben).

(1.2) Der Klagepartei ist hierdurch ein erstattungsfähiger immaterieller Schaden entstanden.

Der Begriff des immateriellen Schadens ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu definieren (st. Rspr., vgl. EuGH, Urteil vom 20. Juni 2024 – C-590/22 –, juris Rn. 31; Urteil vom 25. Januar 2024 – C-687/21 –, juris Rn. 64; Urteil vom 4. Mai 2023 – C-300/21 –, juris Rn. 30 und 44). In diesem Zusammenhang hat der EuGH in seiner jüngeren Rechtsprechung mehrfach klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (vgl. nur EuGH, Urteil vom 4. Oktober 2024 – C-200/23 –, juris Rn. 145 und 156; Urteil vom 20. Juni 2024 – C-590/22 –, juris Rn. 33).

Danach begründet die streitgegenständliche rechtswidrige Speicherung und Individualisierung der mittels der XXXX übermittelten personenbezogenen Daten der Klagepartei einen immateriellen Schaden in Form eines Kontrollverlusts. Denn die Beklagte hat eine Vielzahl von Daten der Klagepartei ohne deren Willen und ohne deren Zugriffs- oder Einwirkungsmöglichkeit erhalten, um diese nach eigenem Gutdünken weiterzuverwerten (so auch LG Mainz, Urteil vom 25. Februar 2025 – 9 O 14/24 –, S. 12 f.; LG Münster, Urteil vom 29. Januar 2025 – 4 O 241/23 –, S. 18; LG Stuttgart, Urteil vom 5. Februar 2025 – 27 O 190/23 –, juris Rn. 91).

(2) Jedoch ist der Schadensersatzanspruch nur in Höhe von 2.000,00 EUR gerechtfertigt, so dass die darüber hinausgehende Klage abzuweisen ist.

Die DSGVO enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DSGVO geschuldeten Schadensersatzes, insbesondere können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DSGVO genannten Kriterien herangezogen werden (vgl. EuGH, Urteil vom 4. Oktober 2024 – C-507/23 –, juris Rn. 39 ff.; Urteil vom 11. April 2024 – C-741/21 –, juris Rn. 57 und 62). Vielmehr richtet sich die Bemessung entsprechend dem Grundsatz der Verfahrensautonomie – wenngleich mit mehreren aus dem Unionsrecht folgenden Einschränkungen (vgl. dazu BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, juris Rn. 94 ff.) – nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung (vgl. EuGH, Urteil vom 11. April 2024 – C-741/21 –, juris Rn. 58; Urteil vom 25. Januar 2024 – C-687/21 –, juris Rn. 53; Urteil vom 21. Dezember 2023 – C- 667/21 –, juris Rn. 83 und 101). In Deutschland ist somit insbesondere die Verfahrensvorschrift des § 287 ZPO anzuwenden (vgl. BGH, a. a. O., Rn. 93 m. w. N.).

Ist nach den Feststellungen des Gerichts ein Schaden – hier in Form eines Kontrollverlusts an personenbezogenen Daten – gegeben, ist bei dessen Schätzung insbesondere die Sensibilität der konkret betroffenen personenbezogenen Daten, deren typischerweise zweckgemäße Verwendung, die Art und Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle in den Blick zu nehmen (vgl. BGH, a. a. O., Rn. 99).

Bei Anwendung dieser Maßstäbe hält die Kammer in der Gesamtschau nur einen Schadensersatz in Höhe von 2.000,00 EUR für billig und angemessen.

Dabei hat die Kammer zwar u. a. die Vielzahl der betroffenen Daten und deren Betroffenheitsdauer, aber insbesondere auch berücksichtigt, dass der Klagepartei aufgrund der Datenschutzrichtlinie bekannt gewesen sein könnte, dass entsprechende Daten gesammelt und ggf. weitergegeben wurden (so auch LG Landau, Versäumnisurteil vom 26. Februar 2024 – 2 O 239/23 –, S. 16). Da die Klagepartei zudem bewusst davon abgesehen hat, konkrete Einzelheiten zu ihrem Nutzerverhalten im Internet offenzulegen, konnten besondere Umstände – vor allem eine Betroffenheit besonders sensibler Daten aus dem Kernbereich des Persönlichkeitsrechts der Klagepartei, da diese allenfalls theoretisch denkbar wäre – bei der Bemessung des Schadensersatzes keinen Niederschlag finden (so auch LG Mainz, Urteil vom 25. Februar 2025 – 9 O 14/24 –, S. 13).

bb. Aus § 823 Abs. 1 BGB in Verbindung mit Art. 1 und Art. 2 GG wegen einer Verletzung des allgemeinen Persönlichkeitsrechts kann die Klagepartei keinen weiteren Schadensersatzanspruch herleiten. Denn der Regelung des Art. 82 DSGVO kommt insoweit als abschließender Spezialregelung eine Sperrwirkung gegenüber nationalem Recht zu.

Das Landgericht Nürnberg-Fürth führt dazu in seinem Urteil vom 28. November 2024 – 6 O 6188/23 –, auf Seite 30 wie folgt aus:

„Zwar ist die Kontrolle über die eigenen Daten, etwa bei Fragen der Speicherung, über das Recht auf informationelle Selbstbestimmung gewährleistet, welches eine Ausprägung des allgemeinen Persönlichkeitsrechts darstellt, und wird im Rahmen der mittelbaren Drittwirkung als sonstiges Recht vom Schadensersatzanspruch des § 823 Abs. 1 BGB geschützt (Grüneberg, BGB, 82. Auflage, § 823 Rn. 132). Jedoch ist durch Art. 82 DSGVO eine einheitliche und abschließende Anspruchsgrundlage für Schadensersatz bei personenbezogenen Daten geschaffen worden, die gegenüber dem nationalen Recht vorrangig ist (OLG Frankfurt vom 30.03.2023, Az. 16 U 22/22, juris Rn. 58f.). Dafür spricht schon ErwGr. 9 DSGVO, der von der Schaffung eines einheitlichen Schutzniveaus in der Union ausgeht. Der angestrebten Vollharmonisierung würde es entgegenlaufen, wenn in den nationalen Rechtsordnungen unterschiedliche zusätzliche Schadensersatzansprüche vorhanden wären, so dass der DSGVO insoweit eine Sperrwirkung zukommt (Laue/Nink/Kremer, Datenschutzrecht in der betrieblichen Praxis, 3. Auflage, § 13 Haftung, Sanktionen und Rechtsbehelfe Rn. 22). Dem steht auch nicht entgegen, dass ErwGr. 146 S. 3 DSGVO erklärt, dass der Schadensersatz nach DSGVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gilt. Demnach bleiben zwar weitere Schadensersatzansprüche grundsätzlich erhalten (Ehmann/Selmayr/Nemitz, DS-GVO, 3. Auflage, Art. 82 Rn. 11). Dazu zählt auch der allgemeine Schadenersatzanspruch des deutschen Rechts auf Grundlage von § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG (Verletzung des allgemeinen Persönlichkeitsrechts), der weiterhin anwendbar bleibt (Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 82 DSGVO Rn. 32). Dies bedeutet aber nicht, dass Schadensersatzansprüche, die gerade mit DSGVO-Verstößen begründet werden, mit anderen Anspruchsgrundlagen als Art. 82 DSGVO verfolgt werden könnten. Dies dürfte daher im Übrigen auch der Einordnung von DSGVO-Normen als Schutzgesetz im Sinne von § 823 Abs. 2 BGB entgegenstehen (Borges/Keil, Big Data, 1. Auflage, § 7 Haftung für Daten und Analysen Rn. 267).“

Das Landgericht Lübeck ergänzt diese Ausführungen in seinem Urteil vom 10. Januar 2025 – 15 O 269/23 –, juris unter Rn. 160 wie folgt:

„[...] Überzeugend sind die obigen Ausführungen insbesondere auch deshalb, weil der Schadensersatzanspruch aus § 823 Abs. 1 BGB i.V.m. Art. 1, 2 GG in seiner Genese überhaupt erst entwickelt wurde, um Betroffene über das vom Bundesverfassungsgericht zuerkannte Grundrecht  auf  informationelle  Selbstbestimmung  vor  intransparenter Verarbeitung oder Nutzung seiner personenbezogenen Daten zu schützen, mithin eine im deutschen Recht ansonsten bestehende Rechtsschutzlücke zu schließen (vgl. hierzu insb. auch   BeckOGK/T.   Hermann, 1.11.2024,   BGB   § 823   Rn.   1285).   Eine   derartige Rechtsschutzlücke besteht nach Gültigkeit des Art. 82 Abs. 1 DSGVO jedoch nicht mehr, da dieser den Anspruch erhebt, sämtliche materiellen und immateriellen Schäden zu schließen. Es muss daher im Anwendungsbereich des Art. 82 DSGVO zum Ersatz immaterieller Schäden nicht mehr auf den Anspruch auf Geldentschädigung zurückgegriffen werden, der sich aus dem Schutzauftrag der Art. 2 Abs. 1 GG, Art. 1 Abs. 1 GG ergibt (a.a.O., Rn. 1287).“

Die Argumentationen beider Landgerichte macht sich die Kammer nach Prüfung vollumfänglich zu eigen.

 

f. Freistellung

Da die Kosten einer erforderlichen und zweckmäßigen außergerichtlichen Rechtsverfolgung auch für einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO ersatzfähig sind (vgl. BGH, Urteil vom 18.11.2024 – VI ZR 10/24, NJW 2025, 298 Rn. 79 f), kann die Klagepartei hier als Nebenforderung die Freistellung von vorgerichtlichen Rechtsanwaltskosten auf Grundlage desjenigen Gegenstandswerts fordern, der ihrer berechtigten Klageforderung entspricht (vgl. nur BGH, Urteil vom 18. Juli 2017 – VI ZR 465/16 –, juris Rn. 7 m. w. N.).

aa. Die vorgerichtliche anwaltliche Tätigkeit waren zur Wahrnehmung der Rechte der Klagepartei erforderlich und zweckmäßig.

Maßgeblich ist an dieser Stelle die ex-ante-Sicht einer vernünftigen, wirtschaftlich denkenden Person in der Situation des Geschädigten, wobei keine nach der ständigen höchstrichterlichen Rechtsprechung überzogenen Anforderungen zu stellen sind (vgl. nur BGH, Urteil vom 22. September 2022 – VII ZR 786/21 –, juris Rn. 21 m. w. N.). Da es sich vorliegend nicht um einen einfach gelagerten Schadensfall handelte, bei dem die Haftung der Beklagten nach Grund und Höhe aus der Sicht des Geschädigten von vornherein unzweifelhaft gewesen wäre, durfte sich die Klagepartei schon für die erstmalige Geltendmachung seines Schadens gegenüber der Beklagten anwaltlicher Hilfe bedienen (vgl. BGH, Urteil vom 29. Oktober 2019 – VI ZR 45/19 –, juris Rn. 21 ff. m. w. N.).

bb. Dementsprechend sind für die vorprozessuale Tätigkeit der jetzigen Prozessbevollmächtigten der Klagepartei Rechtsanwaltskosten im Umfang einer 1,3 Geschäftsgebühr aus einem Gegenstandswert von 3.000,00 EUR (Auskunft: 500,00 EUR, Löschung: 500,00 EUR und Schadensersatz: 2.000,00 EUR) nebst einer Post- und Telekommunikationspauschale von 20,00 EUR zuzüglich 19 % Umsatzsteuer, mithin insgesamt 367,23 EUR brutto, freistellungsfähig.

Der Umstand, dass die Klagepartei insoweit keine Gebührenrechnung seiner Prozessbevollmächtigten vorgelegt, sondern die Forderung lediglich in der Klageschrift berechnet, steht nicht entgegen. Ein Befreiungsanspruch gemäß § 257 BGB setzt die Erteilung einer Rechnung nicht voraus: Da die zu ersetzende Aufwendung in der Eingehung einer Verbindlichkeit besteht, kann der Ersatzberechtigte vielmehr schon Befreiung von der lediglich übernommenen, aber noch nicht erfüllten Pflicht verlangen (vgl. nur OLG Hamm, Urteil vom 3. September 2013 – 4 U 58/13 –, juris Rn. 24; OLG Oldenburg, Urteil vom 21. März 2012 – 3 U 69/11 –, juris Rn. 67).

 

II. Die Zinsforderung findet ihre Rechtfertigung in den §§ 286, 288 Abs. 1 BGB. Der bloße Vortrag, dass sie „keine Aufzeichnungen über den Erhalt des vorgerichtlichen Schreibens habe“, stellt nämlich kein Bestreiten des Zugangs am 22.11.2023 durch die Beklagte dar. Abgesehen davon hat die Beklagte auch vorgerichtlich auf dieses Schreiben geantwortet.

 

III. Die Kostenentscheidung folgt aus § 92 Abs. 1 Satz 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit ergibt sich aus den §§ 708 Nr. 11 Alt. 2, 709 Satz 1 und Satz 2,711 ZPO.