Inhalt

OLG München, Endurteil v. 26.06.2026 – 36 U 1054/25 e
Titel:

Mitverantwortlichkeit von Betreibern sozialer Netzwerke für mittels Business Tools erhobene personenbezogene Daten auf Drittseiten

Normenketten:
ZPO § 253 Abs. 2 Nr. 2
BGB § 823 Abs. 1, § 1004 Abs. 1 S. 2
DSGVO Art. 6, Art. 82
Leitsätze:
1. Ein auf Unterlassung der Nutzung bestimmter, im Klageantrag bezeichneter Daten aufgrund der Nutzung von Business Tools gerichtet ist, ist hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. (Rn. 74 – 80) (redaktioneller Leitsatz)
2. Ein Nutzer sozialer Netzwerke kann vom Betreiber die Unterlassung der Verarbeitung personenbezogener Daten verlangen, die mittels Business Tools auf Drittseiten und -Apps erhoben und ohne wirksame Einwilligung oder Rechtfertigung übermittelt werden. (Rn. 93 – 117) (redaktioneller Leitsatz)
3. Der Betreiber ist als Verantwortlicher im Sinne der DS-GVO auch für die auf Drittseiten erhobenen und an ihn übermittelten personenbezogenen Daten mitverantwortlich, wenn er die Kontrolle über die Erhebung und Verarbeitung durch technische Tools behält. (Rn. 99 – 102) (redaktioneller Leitsatz)
4. Die Nutzung personenbezogener Daten, die durch Business Tools generiert wurden, kann einen Anspruch auf immateriellen Schadensersatz in Höhe von 1.500 € begründen. (Rn. 138 – 162) (redaktioneller Leitsatz)
Schlagworte:
personenbezogene Daten, Business Tools, Feststellunganspruch, Unterlassungsanspruch, Passivlegitimation, Persönlichkeitsrecht, immaterieller Schadensersatz, Kontrollverlust
Vorinstanz:
LG München II, Urteil vom 27.02.2025 – 11 O 4629/23
Weiterführende Hinweise:
Revision zugelassen

Tenor

I. Auf die Berufung des Klägers wird das Urteil des Landgerichts München II vom 27.02.2025, Az. 11 O 4629/23, teilweise abgeändert und wie folgt neu gefasst:
1. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten folgende personenbezogene Daten des Klägers
a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten des Klägers, ob direkt oder in gehashter Form übertragen, d. h.
- E-Mail des Klägers
- Telefonnummer des Klägers
- Vorname des Klägers
- Nachname des Klägers
- Geburtsdatum des Klägers
- Geschlecht des Klägers
- Ort des Klägers
- Externe IDs anderer Werbetreibender (von der M. Ltd. "external_ID" genannt)
- IP-Adresse des Clients
- User-Agent des Clients (d. h. gesammelte Browserinformationen)
- interne Klick-ID der M. Ltd.
- interne Browser-ID der M. Ltd.
- Abonnement-ID – Lead-ID – anon_id
sowie folgende personenbezogene Daten des Klägers
b) auf Webseiten
- die URLs der Webseiten samt ihrer Unterseiten
- der Zeitpunkt des Besuchs
- der "Referrer" (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist),
- die von dem Kläger auf der Webseite angeklickten Buttons sowie
- weitere von der M. "Events" genannte Daten, die die Interaktionen des Klägers auf der jeweiligen Webseite dokumentieren
c) in mobilen Dritt-Apps
- der Name der App sowie
- der Zeitpunkt des Besuchs
- die von dem Kläger in der App angeklickten Buttons sowie
- die von der M. "Events" genannte Daten, die die Interaktionen des Klägers in der jeweiligen App dokumentieren
mit Hilfe der M. Business Tools zu verarbeiten.
2. Die Beklagte wird verurteilt, die weitere Verarbeitung sämtlicher unter Ziffer 1. aufgeführten, seit dem 25.05.2018 bereits von der Beklagten verarbeiteten personenbezogenen Daten bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, bis zur Erfüllung des Löschungsanspruchs nach rechtskräftigem Abschluss des Verfahrens zu unterlassen, namentlich diese nicht an Dritte weiterzugeben.
3. Die Beklagte wird verpflichtet, sämtliche in Ziffer 1. a) seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten des Klägers vollständig zu löschen.
4. Die Beklagte wird verurteilt, an den Kläger 1.500,00 € nebst Zinsen hieraus in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 14.12.2023 zu zahlen.
II. Im Übrigen wird die Klage abgewiesen.
III. Die weitergehende Berufung des Klägers wird zurückgewiesen.
IV. Von den Kosten des Rechtsstreits beider Instanzen tragen der Kläger 58% und die Beklagte 42%.
V. Das Urteil ist vorläufig vollstreckbar. Die Beklagte kann die Vollstreckung durch Sicherheitsleistung in Höhe von 4.000,00 € abwenden, wenn nicht der Kläger vor der Vollstreckung Sicherheit in dieser Höhe leistet. Der Kläger kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110% des auf Grund des Urteils vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages leistet.
VI. Die Revision gegen dieses Urteil zum Bundesgerichtshof wird zugelassen.
Beschluss
Der Streitwert wird für das Berufungsverfahren auf 9.000,00 € festgesetzt.

Entscheidungsgründe

I.
1
Der Kläger macht im Zusammenhang mit der Bereitstellung sog. M. Business Tools durch die Beklagte Feststellungs-, Unterlassungs-, Löschungs- und Schadensersatzansprüche wegen der Verletzung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung; im Folgenden: DS-GVO) geltend.
Der Entscheidung liegt folgender Sach- und Streitstand zugrunde:
2
1. Die Beklagte, die ihren Sitz in Irland hat und bis 27.10.2021 als „F. Ireland Ltd.“ firmierte, ist Betreiberin des Netzwerks „I.“.
3
Der Kläger nutzt das Netzwerk „I.“ unter dem Benutzernamen „…“ seit dem 07.04.2013.
4
Die Beklagte verwendet „M. Business Tools“. Mit Hilfe dieser digitalen Werkzeuge ist es der Beklagten möglich, Daten von Webseitenbetreibern und App-Herstellern zu erlangen, die etwa Informationen beinhalten, wie Nutzer mit den Webseiten und Apps von Drittunternehmen interagieren (z. B. Aufrufe, Käufe, angeklickte Werbeanzeigen). Details zur konkreten Anwendung und der Funktionsweise der Business Tools sind zwischen den Parteien streitig.
5
Die Beklagte verwendet im Verhältnis zu ihren Nutzern die Datenschutzrichtlinie (Anlage K1) und die Nutzungsbedingungen (Anlage B2). Für die Nutzung der Business Tools durch Drittunternehmen bestehen Nutzungsbedingungen (Anlage B5).
6
Das Landgericht hat als unstreitig festgestellt, dass der Kläger die Beklagte mit anwaltlichem Schreiben vom 15.11.2023 unter anderem aufforderte, die Vertragswidrigkeit der Datenverarbeitung anzuerkennen, sich zur Löschung und Anonymisierung zu verpflichten, Auskunft zu erteilen und Schmerzensgeld zu bezahlen (Anlage K3).
7
2. Der Kläger hat erstinstanzlich zusammengefasst zuletzt beantragt,
1.
festzustellen, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks „I.“ unter dem Benutzernamen „…“ die Verarbeitung im Einzelnen aufgeführter personenbezogenen Daten im näher benannten Umfang seit dem 25.05.2018 nicht gestattet;
2.
die Beklagte zur Unterlassung der Verarbeitung von personenbezogenen Daten gemäß Ziffer 1. auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten zu verurteilen;
3.
die Beklagte zu verurteilen, die weitere Verarbeitung der in Ziffer 1. aufgeführten personenbezogenen Daten zu unterlassen, insbesondere diese nicht an Dritte weiterzugeben, bis die Klagepartei die Beklagte zur Löschung auffordert, spätestens jedoch sechs Monate nach rechtskräftigem Abschuss des Verfahrens;
4.
die Beklagte zur vollständigen Löschung der gemäß Ziffer 1. a) bereits gespeicherten personenbezogenen Daten der Klagepartei auf ihre Aufforderung hin, spätestens jedoch sechs Monate nach rechtskräftigem Abschluss des Verfahrens, sowie zur Bestätigung der Löschung und zur vollständigen Anonymisierung der gemäß Ziffer 1. b) und c) bereits gespeicherten personenbezogenen Daten zu verurteilen;
5.
die Beklagte zur Zahlung von mindestens 5.000,00 € nebst Zinsen seit 14.12.2023 zu verurteilen;
6.
die Beklagte zur Freistellung von vorgerichtlichen Rechtsanwaltskosten in Höhe von 1.295,43 € zu verurteilen.
8
3. Das Landgericht München II hat die Klage mit Endurteil vom 26.02.2025 abgewiesen.
9
Den Feststellungsantrag (Ziffer 1.) hat das Landgericht als unzulässig abgewiesen, da der Kläger damit eine abstrakte Rechtsfrage klären lassen wolle, was nicht Gegenstand einer Feststellungsklage sein könne. Tatsächlich besuchte Webseiten, die einen konkreten Anknüpfungspunkt für eine Prüfung hätten bieten können, habe der Kläger nicht vorgetragen. Es werde lediglich die abstrakte Auslegung der Nutzungsbedingungen, losgelöst von einer konkreten Betroffenheit des Klägers, begehrt. Zudem fehle es am erforderlichen Rechtsschutzinteresse, da der Kläger dasselbe Ziel mit einer Leistungsklage verfolgen könne, wie er sie mit dem Antrag auf Unterlassung (Ziffer 2.) erhoben habe. Der Feststellungsantrag diene bloß dessen Vorbereitung.
10
Der Antrag auf Löschung und Anonymisierung der in Ziffer 1. a) benannten Daten (Ziffer 4.) sei ebenfalls unzulässig. Es fehle an der Besorgnis der Leistungsverweigerung, da die Beklagte mehrfach ihre grundsätzliche Bereitschaft zur Löschung der von Drittunternehmen übermittelten Daten erklärt habe. Mit der Option „Frühere Aktivitäten löschen“ biete sie eine Möglichkeit an, frühere Aktivitätsdaten von Dritten, die mit einem F.-Konto verknüpft gewesen seien, vollständig von diesem zu lösen und dadurch die identifizierende Verbindung aufzuheben. Mit der Option „Zukünftige Aktivitäten trennen“ könne die Speicherung zukünftiger Verbindungen verhindert werden. Für eine Löschung i. S. d. Art. 17 DS-GVO sei entscheidend, dass weder der Verantwortliche noch ein Dritter auf vorhandene personenbezogene Daten zugreifen könne. Durch das „Trennen“ der Aktivitäten werde jeglicher Bezug zu einer identifizierbaren natürlichen Person i. S. v. Art. 4 Nr. 1 DS-GVO aufgehoben. Dass die Beklagte nicht gewillt sei, den Kläger betreffende Daten zu löschen, oder dass sie ihn auch nach Aufhebung der Datenverbindung mit dem I.-Profil weiterhin identifizieren könne, habe er nicht hinreichend vorgetragen. Die beantragte Anonymisierung weise keinen eigenständigen Anwendungsbereich auf und könne nicht anstelle einer Löschung verlangt werden; sie sei lediglich ein Unterfall der Löschung.
11
Das Landgericht hat die Anträge des Klägers auf Unterlassung (Ziffern 2. und 3.) für unbegründet erachtet. In der Sache ziele der Unterlassungsanspruch unmittelbar darauf ab, dass die Beklagte die Daten nicht verarbeiten und weitergeben dürfe bzw. die bereits verarbeiteten Daten nicht weitergeben dürfe. Als Antrag auf Unterlassung bestimmter Datenverarbeitungsvorgänge sei der Antrag nicht mehr vom Schutzumfang des Art. 17 DS-GVO erfasst, der lediglich ein Löschungsrecht bezüglich personenbezogener Daten einräume, aber keine weitergehenden Rechte bezüglich der Datenverarbeitungsvorgänge an sich normiere. Unterlassungsansprüche aus §§ 823, 1004 BGB seien gesperrt.
12
Den Anspruch auf Zahlung eines immateriellen Schadensersatzes hat das Landgericht versagt. Voraussetzung nach Art. 82 DS-GVO bzw. nach §§ 280 Abs. 1, 823 Abs. 1, 253 BGB i. V. m. Art. 2 Abs. 1, 1 Abs. 1 GG sei, dass die Beklagte überhaupt rechtswidrig Daten des Klägers erhebe oder verarbeite. Der Vortrag des Klägers zur Verarbeitung seiner Daten auf Dritt-Webseiten oder Dritt-Apps durch die Beklagte sei in weiten Teilen sehr allgemein gefasst und weise wenig Bezug zu seiner konkreten Situation auf. Rückschlüsse auf die individuelle Betroffenheit des Klägers durch die Nutzung von I. könnten hieraus nicht gezogen werden. Der Kläger habe in seiner informatorischen Anhörung nicht mitteilen können, ob er den Nutzungsbedingungen zugestimmt habe und was er in den Einstellungen deaktivert habe und was nicht. Eine konkrete Nutzung bestimmter Webseiten, auf denen M. Business Tools verwendet werden, habe nicht festgestellt werden können. Ob zwischen den Internetaktivitäten des Klägers und der auf I. angezeigten Werbung ein kausaler Zusammenhang bestehe, sei nicht überprüfbar. Nicht nachvollziehbar sei überdies, ob der Kläger beim Besuch von Dritt-Webseiten unter Umständen direkt eine Einwilligung zur Datenverarbeitung durch diese erteilt habe. Die Beklagte treffe keine sekundäre Darlegungslast, da dem Kläger jedenfalls bekannt sei, welche Webseiten er genutzt habe. Eine rechtswidrige Datenübermittlung an unsichere Drittstaaten sei nicht ersichtlich. Die Plattformen I. und F. stammten aus den USA und tauschten als globale Plattformen zwangsläufig Daten grenzüberschreitend aus. Dies müsse jedem Nutzer der Plattform hinlänglich bekannt sein. Einen Anspruch auf Speicherung und Verarbeitung der Daten ausschließlich in Europa habe der Kläger nicht. Eine Verarbeitung der Daten von Dritt-Webseiten durch die Beklagte zum Zwecke der Überprüfung des Vorliegens einer Einwilligung sei zur Wahrnehmung berechtigter Interessen erforderlich.
13
Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die tatsächlichen Feststellungen des angefochtenen Urteils (§ 540 Abs. 1 Nr. 1 ZPO), wegen der Anträge erster Instanz wird auf den dortigen Tatbestand Bezug genommen.
14
4. Hiergegen wendet sich der Kläger mit der form- und fristgerecht eingelegten und begründeten Berufung.
15
Ziel des Klägers sei es, die zukünftige Protokollierung seines Surfverhaltens durch die Beklagte, d. h. die Ersterfassung von Identifizierungs- und Bewegungsdaten durch die M. Business Tools, die Weiterleitung der Daten an die Server der Beklagten und die dortige Erstspeicherung zu unterbinden. Weiteres Ziel sei das Begehren, das Ausmaß der bisher erfolgten Datenerfassung offenzulegen sowie die bisher gespeicherten Daten löschen zu lassen.
16
Die M. Business Tools zeichneten im Hintergrund die Klicks und Texteingaben aller Besucher der Webseiten und Apps auf und sendeten diese Daten an die Beklagte, selbst dann, wenn der Nutzer der Beklagten hierfür keine Einwilligung erteilt habe und bezüglich einiger Datenkategorien auch dann, wenn der Nutzer den Drittwebseiten (über Cookie-Banner) keine Einwilligung erteilt habe. Erst nach Verarbeitung aller Nutzerdaten bei der Beklagten wisse diese, zu wem die Daten gehören, und ob auf den jeweiligen Nutzer bezogene Rechtfertigungsgründe vorliegen (können).
17
Das Landgericht München II habe den Sachverhalt unzutreffend erfasst. Die Beklagte habe gar nicht bestritten, dass sie personenbezogene Daten des Klägers mit Hilfe ihrer Business Tools auf Drittseiten und -Apps erfasst habe und weiterhin erfasse, diese an ihre Server weiterleite und dort speichere und weiterverarbeite. Auch die weitere Verarbeitung nach Speicherung zu anderen Zwecken als zum Zweck der Anzeige personalisierter Werbung habe sie nicht substantiiert bestritten.
18
Da sich der Kläger nicht gegen einzelne, konkrete Datenverarbeitung richte, sondern gegen die generelle Anwendung der Software Business Tools auf ihn als Person und deren Voreinstellungen hinsichtlich der Verarbeitung seiner personenbezogenen Daten, müsse er die konkreten Verarbeitungsvorgänge nicht darlegen. Streitgegenständlich seien die abstrakten Voreinstellungen und Funktionsweisen der Business Tools hinsichtlich der Erfassung und Weiterleitung personenbezogener Daten des Klägers sowie der (erstmaligen) Speicherung und anschließenden Weiterverarbeitung der empfangenen Daten auf den Servern der Beklagten. Entscheidungsrelevant sei nicht, was die Beklagte dabei beim Kläger beobachtet habe, sondern dass sie sich das Recht herausnehme, den Kläger zu beobachten.
19
Der Kläger bestreitet, dass in Bezug auf seine Person und die ihn betreffenden Datenverarbeitungsvorgänge Sicherheits- und/oder Integritätsinteressen der Beklagten vorliegen bzw. vorlagen, dass die Verarbeitung seiner Daten erforderlich und angemessen (gewesen) sei, um diese angeblichen Interessen zu wahren und dass bei einer fehlenden Zustimmung bzw. bei Fehlen eines Nutzerkontos ausschließlich „Sicherheits- und Integritätszwecke“ mit der Datenverarbeitung verfolgt werden. Die Erhebung und Protokollierung des Surfverhaltens durch die Erfassung persönlicher und höchstpersönlicher Daten auf Dritt-Seiten und -Apps und Weiterleitung an die Server der Beklagten durch die M. Business Tools stelle einen schwerwiegenden Grundrechtseingriff dar. Die Beklagte sei ein privater Wirtschaftsteilnehmer, führe die anlasslose Überwachung gegenwärtig fort und könne ein umfangreiches Persönlichkeitsprofil (Kommunikationsprofil) vom Kläger erstellen.
20
Die Beklagte verstoße gegen die Grundsätze der Rechtmäßigkeit (Art. 5 Abs. 1 Buchst. a) DS-GVO) und der Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO). Auf Rechtfertigungsgründe nach Art. 6 Abs. 1, 9 Abs. 1 DS-GVO könne sie sich nicht stützen, da sie nicht prüfe oder prüfen könne, ob ihre Vertragspartner die Einwilligungen auf Dritt-Webseiten oder -Apps (ordnungsgemäß) einholen. Außerdem verstoße die Beklagte gegen die Grundsätze der Zweckbindung, Datenminimierung und Speicherbegrenzung (Art. 5 Abs. 1 Buchst. b), c) und e) DS-GVO), da sie keine konkreten, bestimmbaren Verarbeitungszwecke anführen könne und potentiell sämtliche personenbezogene Daten ihrer Nutzer ohne Unterscheidung nach Art und Sensibilität für einen beliebig langen Zeitraum speichere. Des Weiteren verstoße die Beklagte gegen den Grundsatz der Transparenz (Art. 5 Abs. 1 Buchst. a) DS-GVO), da sie die Nutzer nicht klar und verständlich über den Umfang der Datenverarbeitung informiere.
21
Der Feststellungsantrag (Ziffer 1.) sei zulässig. Das schutzwürdige Interesse des Klägers bestehe darin, das Netzwerk der Beklagten zukünftig im gesetzlich zulässigen Rahmen nutzen zu können, ohne dass die Beklagte rechtswidrig personenbezogene Daten von ihm verarbeite. Die Feststellung sei insbesondere erforderlich, um eine Gewissheit über das aktuell bestehende Rechtsverhältnis zu schaffen und eine erneute gerichtliche Feststellung zu vermeiden, sollten sich aus diesem künftig weitere Schäden ergeben. Das konkrete, feststellungsfähige Rechtsverhältnis bestehe in den Rechten aus dem Nutzungsvertrag der Parteien, d. h. in den behaupteten Rechten der Beklagten, über die sie in der Datenschutzrichtlinie informiere und die sie im Rahmen der Nutzung ihrer Dienstleistung durch den Kläger in Anspruch nehme. Zukünftige Schäden durch weitere Eingriffe in die informationelle Selbstbestimmung des Klägers gemäß § 823 Abs. 1 BGB seien offensichtlich zu besorgen. Zur Erreichung des Antragsziels stehe dem Kläger kein einfacherer und billigerer Weg zur Verfügung.
22
Jedenfalls sei der Feststellungsantrag als Zwischenfeststellungsantrag gemäß § 256 Abs. 2 ZPO zulässig. Feststellungsfähig sei, inwieweit der Kläger im Rahmen des Nutzungsvertrages mit der Beklagten verpflichtet sei, die Verarbeitung seiner personenbezogenen Daten zu dulden. Die begehrte Feststellung müsse für die Entscheidung über den Hauptanspruch, hier den Unterlassungsantrag, nur ganz oder teilweise vorgreiflich sein. Eines Feststellungsinteresses bedürfe es nicht.
23
Der Anspruch auf Unterlassung der künftigen Datenverarbeitung (Ziffer 2.) ergebe sich primär aus Art. 17, 79 DS-GVO. Mit dem Löschungsanspruch nach Art. 17 DS-GVO könne dem Datenverarbeitungsverstoß allenfalls reaktiv, nicht präventiv begegnet werden. Die Datenverarbeitung könne insgesamt nur dann effektiv verhindert werden, wenn bereits die Datenerfassung unterbleibe. Weitere Anspruchsgrundlagen seien §§ 1004 Abs. 1 S. 1 analog, 823 Abs. 1 BGB und §§ 280 Abs. 1, 241 Abs. 2 BGB.
24
Der Anspruch auf Unterlassung der weiteren Verarbeitung u. a. (Ziffer 3.) folge aus Art. 18 Abs. 1 Buchst. b) DS-GVO wie auch aus § 1004 Abs. 1 BGB analog i. V. m. Art. 2 Abs. 1, 1 Abs. 1 GG und §§ 280 Abs. 1, 241 Abs. 2, 242 BGB. Die von unrechtmäßiger Datenverarbeitung betroffene Person dürfe statt der Löschung die Einschränkung der Nutzung der personenbezogenen Daten verlangen. Die Beklagte habe keinen Bedarf an der Verarbeitung über die Speicherung der Daten hinaus geltend gemacht.
25
Der Antrag auf Löschung und Anonymisierung (Ziffer 4.) sei zulässig. Das Landgericht habe verkannt, dass die Beklagte gerade keine Löschung bzw. Anonymisierung anbiete. Die „Trennung“ der Daten in den Einstellungen sei offensichtlich keine Löschung i. S. v. Art. 17 DS-GVO, da die Daten auch danach weiterhin abrufbar seien und auch bei Zuweisung einer anderen „ID“ („MID“) dem Kläger zugeordnet werden könnten. Die Beklagte nehme die Datentrennung auch nur nach Opportunität vor oder gar nicht. Da der Kläger keinen konkreten Einblick in den Prozess habe, treffe die Beklagte eine sekundäre Darlegungslast. Die Anonymisierung sei als Unterfall der Löschung zu begreifen und kein Aliud, da die Bestandteilte der identifizierenden Daten irreversibel entfernt werden. Das Recht auf Anonymisierung folge im Übrigen aus Art. 18 Abs. 1 Buchst. b), Abs. 2 DS-GVO und aus §§ 280 Abs. 1, 241 Abs. 2, 242 BGB.
26
Zu Unrecht habe das Landgericht den Anspruch auf immateriellen Schadensersatz (Ziffer 5.) abgelehnt. Es stehe fest, dass die Beklagte personenbezogene Daten des Klägers durch Einsatz von M. Business Tools systematisch verarbeitet habe, dass sie dies momentan weiterhin tue und dass hierunter auch sensible Daten i. S. d Art. 9 DSGVO fallen. Es komme nicht darauf an, dass der Kläger ohne Auskunft der Beklagten nicht in der Lage sei, den konkreten Umfang der Datenverarbeitung oder die betroffenen Webseiten im Einzelnen zu benennen. Der Kläger wende sich gegen die generelle Anwendung der Business Tools auf ihn als Person und gegen die von ihm nicht abstellbaren Voreinstellungen hinsichtlich der Verarbeitung seiner personenbezogenen Daten. In der beständigen Gefahr der Nachverfolgung und Protokollierung seines digitalen Privatlebens liege ein Eingriff in das Recht des Klägers auf informationelle Selbstbestimmung. Der Schaden i. S. d. Art. 82 DS-GVO bestehe im umfassenden Kontrollverlust des Klägers. Auf eine Wahrnehmung berechtigter Interessen könne sich die Beklagte nicht berufen, da die Interessen und Grundrechte des Klägers das Interesse der Beklagten an einer Personalisierung der Werbung als Geschäftsmodell überwiegen. Pauschale „Sicherheits- und Integritätszwecke“ reichten nicht aus.
27
Der Entschädigungsanspruch folge im Übrigen aus § 823 BGB i. V. m. Art. 2 Abs. 1, 1 Abs. 1 GG. Eine Sperrwirkung habe Art. 82 DS-GVO mit Blick auf Erwägungsgrund 146 DSGVO nicht. Die erhebliche Beeinträchtigung des Persönlichkeitsrechts sei bereits in dem Umstand begründet, dass der Kläger aufgrund der Wirkungsweise der Business Tools weiterhin jederzeit mit einer Aufzeichnung seines Surfverhaltens rechnen müsse, nicht wissen könne, was die Beklagte über ihn aufgezeichnet habe und wie sie dieses Wissen verwende. Ein über den festgestellten Grundrechtseingriff hinausgehender Schaden sei hierfür nicht erforderlich. Auf erfassbare pathologische Beeinträchtigungen komme es nicht an.
28
Der Kläger beantragt,
1. Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks „I.“ unter dem Benutzernamen „…“ die Verarbeitung von folgenden personenbezogenen Daten in folgendem Umfang seit dem 25.05.2018 nicht gestattet:
a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d. h.
- E-Mail der Klagepartei
- Telefonnummer der Klagepartei
- Vorname der Klagepartei
- Nachname der Klagepartei
- Geburtsdatum der Klagepartei
- Geschlecht der Klagepartei
- Ort der Klagepartei
- Externe IDs anderer Werbetreibender (von der M, Ltd. „external_ID“ genannt)
- IP-Adresse des Clients
- User-Agent des Clients (d. h. gesammelte Browserinformationen)
- interne Klick-ID der M. Ltd.
- interne Browser-ID der M. Ltd.
- Abonnement-ID
- Lead-ID
- anon_id
sowie folgende personenbezogene Daten der Klagepartei
b) auf Webseiten
- die URLs der Webseiten samt ihrer Unterseiten
- der Zeitpunkt des Besuchs
- der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist),
- die von der Klagepartei auf der Webseite angeklickten Buttons sowie
- weitere von der M. „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren
c) in mobilen Dritt-Apps
- der Name der App sowie
- der Zeitpunkt des Besuchs
- die von der Klagepartei in der App angeklickten Buttons sowie
- die von der M. „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren.
2. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten gem. des Antrags zu 1. zu verarbeiten.
3. Die Beklagte wird verurteilt, die weitere Verarbeitung i. S. d. Art. 4 Nr. 2 DSGVO sämtlicher unter dem Antrag zu 1 a., b. und c. aufgeführten, seit dem 25.05.2018 bereits von der Beklagten verarbeiteten personenbezogenen Daten bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, insbesondere diese nicht an Dritte weiterzugeben, bis die Klagepartei die Beklagte zur Löschung auffordert, spätestens jedoch sechs Monate nach rechtskräftigem Abschluss des Verfahrens.
4. Die Beklagte wird verpflichtet, sämtliche gem. dem Antrag zu 1 a. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten der Klagepartei auf ihre Aufforderung hin, spätestens jedoch sechs Monate nach rechtskräftigem Abschluss des Verfahrens, vollständig zu löschen und der Klagepartei die Löschung zu bestätigen sowie sämtliche gem. dem Antrag zu 1 b. sowie c. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren.
5. Die Beklagte wird verurteilt, an die Klagepartei eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 5.000,00 Euro beträgt, nebst Zinsen i. H. v. fünf Prozentpunkten über dem Basiszinssatz seit dem 14.12.2023, zu zahlen.
6. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten i.H.v. 1.295,43 Euro freizustellen.
29
Die Beklagte beantragt,
die Berufung zurückzuweisen.
30
Die Beklagte verteidigt die Entscheidung des Landgerichts. Der Kläger habe noch keine Entscheidung darüber getroffen, ob er der Beklagten die Einwilligung zur Nutzung seiner über M.-Produkte gesammelten Informationen für Werbezwecke erteile oder ob er das werbefreie Abonnement abschließe. Die Beklagte verwende keine seiner Daten, um ihm Werbung anzuzeigen. Folglich führe die Beklagte keine Verarbeitung von Business-Tools-Daten zur Bereitstellung personalisierter Werbung für den Kläger durch.
31
Der Kläger wende sich allein gegen die Verarbeitung von Business-Tools-Daten zur Bereitstellung personalisierter Werbung als einzigem von ihm konkretisierten Verarbeitungszweck. Weitere spezifische Verarbeitungszwecke habe er nicht angegriffen. Daher sei auch die Behauptung des Klägers, er habe in die Datenverarbeitung nicht eingewilligt, irrelevant, da sich die Beklagte nicht für jeden Verarbeitungszweck auf eine Einwilligung stütze, sondern auf verschiedene Rechtsgrundlagen.
32
Es sei unzutreffend, dass Daten eines Nutzers unabhängig von seiner Einwilligung automatisch erhoben und an die Beklagte über die Business Tools übermittelt werden, sobald ein Drittunternehmen diese implementiert habe. Vielmehr übermittelten Drittunternehmen nur dann Daten über die Aktivitäten einer Person auf ihrer Webseite oder App über die Business Tools an die Beklagte, wenn diese Person tatsächlich mit einem Drittunternehmen interagiere, das eines der Business Tools nutze. Diese Drittunternehmen müssten entsprechend der Business Tool Nutzungsbedingungen alle Offenlegungen vornehmen sowie Rechte und Genehmigungen einholen, bevor sie Business-Tools-Daten an die Beklagte weitergeben.
33
Der Nutzer könne sodann über das Cookie-Banner der Webseite oder App wählen, ob er in die Platzierung nicht notwendiger Cookies auf seinem Gerät einwillige oder nicht. Ohne Einwilligung unterbleibe eine http-Anfrage und die Übertragung von technischen Standarddaten. Hierzu könnten sich die Drittunternehmen entweder M. Pixel oder einer ConversionsAPI bedienen. Die Drittunternehmen könnten wählen, ob sie Event-Daten (personenbezogene Informationen auf Webseiten und Apps oder Shops) und Kontaktinformationen (Informationen in gehashter Form, die Personen persönlich identifizieren) über die Business Tools mit der Beklagten teilen.
34
Der Nutzer könne die Zwecke, für die die Beklagte die Business-Tool-Daten eines Nutzers verarbeite (wenn überhaupt), über seine Benutzereinstellungen beeinflussen. F.- und I.-Nutzer müssten ausdrücklich zustimmen, „M.-Cookies auf anderen Apps und Websites” zuzulassen. Wenn ein Drittanbieter Business-Tool-Daten an die Beklagte übermittele und die Beklagte diese Informationen mit einem Konto verknüpfe, das der Platzierung optionaler „M. Cookies auf anderen Apps und Websites“ nicht zugestimmt habe, seien die Systeme der Beklagten standardmäßig so ausgelegt, dass das Event nicht über normale nachgelagerte Systeme gespeichert oder verarbeitet, sondern stattdessen bei der Erfassung verworfen („dropped“) werde, was bis zu etwa drei Stunden dauern könne. Die Beklagte könne „streng notwendige technische/betriebliche Aufzeichnungen über die Bearbeitung des Events erstellen“, die nicht zur Identifizierung einer natürlichen Person verwendet werden könnten, sondern nur dem Betrieb und der Sicherung des Dienstes dienten.
35
Davon gebe es eine enge Ausnahme, der nur ein kleiner Teil der eingehenden Event-Daten unterfalle. Für Nutzer, die ihre Zustimmung nicht erteilt haben, verwende die Beklagte die über Cookies und ähnliche Technologien auf anderen Apps und Webseiten gesammelten Daten nur zu Sicherheits- und Integritätszwecken. Dazu gehöre ‒ nicht abschließend ‒ die Erkennung anomaler Aktivitäten, die möglicherweise darauf abzielen, die Dienste der Beklagten zu stören (atypische Verhaltensmuster bei Empfangsraten, anomale Geräte-/Netzwerkaktivitäten), die Erkennung von feindlichen Akteuren, deren Handlungen gegen die Richtlinien der Beklagten verstoßen könnten (Hacking-Aktivitäten, Beeinflussungsmaßnahmen einschließlich koordinierter unechter Verhaltensweisen, Sicherheitsrisiken, insbesondere für Minderjährige, mögliche kriminelle Aktivitäten gefährlicher Organisationen, Daten aus verbotenen Quellen) sowie die Fehlerbehebung und Betriebsdatenerfassung. Umfang und Art der Verarbeitung durch die Beklagte zu Sicherheits- und Integritätszwecken würden durch das Verhalten und die Entscheidungen Dritter bestimmt – sowohl durch Angreifer als auch durch Opfer. Müsste die Beklagte Daten von Nutzern, die die Cookies auf Drittseiten und -apps nicht zugelassen haben, von der Sicherheits- und Integritätsprüfung ausschließen, könnte es zu Distributed-Denial-of-Service-Angriffen, der Verwendung von Fake-Konten oder zum Konten-Hacking kommen. Die Beklagte verarbeite personenbezogene Daten einschließlich Business-Tools-Daten über verschiedene M.-Dienste hinweg für Nutzer, die geschäftsfähig seien, für die Erfüllung der Verträge (Art. 6 Abs. 1 Buchst. b) DS-GVO), und für Nutzer unterhalb der Volljährigkeit aufgrund eines berechtigten Interesses (Art. 6 Abs. 1 Buchst. f) DS-GVO). Daten würden in der Regel bis zu 90 Tage lang aufbewahrt, bei Fortsetzung der Untersuchungen oder Feststellung von Verstößen auch länger.
36
Der Kläger müsse substantiiert vortragen, welche Drittwebseiten oder -apps er zu welcher Zeit besucht habe, welche davon zum Zeitpunkt des Besuchs die streitgegenständlichen Business Tools verwendet haben, ob er in die Platzierung nicht notwendiger Cookies eingewilligt habe und welche Daten die Drittwebseite oder -app über die Business Tools an die Beklagte übermittelt habe. Nur so werde die Beklagte in die Lage versetzt, sich gegen die Vorwürfe des Klägers angemessen zu verteidigen. Der Kläger müsse hierfür lediglich seinen Browserverlauf überprüfen. Die Beklagte treffe keine sekundäre Darlegungslast.
37
Der Kläger müsse weiter darlegen, inwiefern eine Verarbeitung der über die Business Tools übermittelten Daten rechtswidrig sein könne, auf welcher Grundlage er einen „Kontrollverlust“ oder „Angst vor Missbrauch“ empfinde und inwiefern die Handlungen der Beklagten diese Empfindungen verursacht haben können.
38
Die Klageanträge seien unklar. Die Daten, für die der Kläger Unterlassung, Löschung und Anonymisierung sowie Schadensersatz verlange, seien nur vage wiedergegeben.
39
Der Feststellungsantrag (Ziffer 1.) sei bereits unzulässig, da unbestimmt. Es fehle das Feststellungsinteresse. Der Antrag erfülle zudem nicht in Anforderungen des § 256 Abs. 1 ZPO. Eine Umdeutung in eine Zwischenfeststellungsklage gemäß § 256 Abs. 2 ZPO sei nicht möglich.
40
Der Unterlassungsantrag (Ziffer 2.) sei unzulässig, da der Kläger nicht darlege, welcher Verarbeitungszweck angeblich rechtswidrig sei und welche Verarbeitungszwecke, über die Verarbeitung von Business Tools Daten zur Bereitstellung personalisierter Werbung hinaus, untersagt werden sollen. Eine umfassende Untersagung der Verarbeitung aller zukünftig zu erhebender Daten sei unzulässig. Die Beklagte nutze die über die Business Tools erhaltenen Daten unter anderem für die vorbeschriebenen Sicherheitszwecke. Außerdem sei der Unterlassungsantrag unbestimmt, da er keine konkreten Datenverarbeitungszwecke oder vorgänge benenne. Im Übrigen handele es sich um eine verdeckte Klage auf Vornahme einer Handlung, da die Drittunternehmen über die Übersendung von Daten an die Beklagte entscheiden und die Beklagte daher Änderungen bei der Programmierung der Business Tools vornehmen müsste. Art. 17 DS-GVO biete keine Anspruchsgrundlage. Die Voraussetzungen der §§ 823 Abs. 1, 1004 BGB seien nicht dargetan. Die Verarbeitung von Business-Tool-Daten zur Bereitstellung personalisierter Werbung sei rechtmäßig, das allgemeine Persönlichkeitsrecht zumindest in keinem Fall beeinträchtigt. Die Interessen des Klägers überwiegen nicht das Interesse der Beklagten etwa mit Blick auf die Berufsfreiheit und die sichere Bereitstellung der Dienste. Eine Wiederholungsgefahr sei nicht dargelegt. Für den Kläger führe die Beklagte die Verarbeitung von Business Tools Daten zur Bereitstellung personalisierter Werbung gar nicht durch. Die Stattgabe des Unterlassungsantrags würde zur Einstellung des Betriebs der Business Tools führen. Bei Einstellung jeglicher Datenverarbeitung sei die Beklagte nicht in der Lage, die über die Business Tools erhaltenen Daten zu verarbeiten, um festzustellen, ob es sich dabei überhaupt um personenbezogene Daten des Klägers handele. Es sei zumindest eine gewisse Verarbeitung notwendig, um zu identifizieren, ob es sich um Daten des Klägers handele, bevor die Beklagte sodann je nach den Einstellungen des Nutzers entscheiden könne, ob sie in Bezug auf diese spezifischen Daten weitere Maßnahmen vornehmen könne oder nicht. Vor dem Erhalt bestimmter Event-Daten könne die Beklagte nicht wissen, ob diese dem Kläger zuzuordnen seien.
41
Der weitere Unterlassungsantrag (Ziffer 3.) sei zu weit gefasst und enthalte mit der theoretischen Löschungsaufforderung des Klägers eine unzulässige außerprozessuale Bedingung. Art. 18 Abs. 1 Buchst. b) DS-GVO biete hierfür keine Grundlage. Im Übrigen sei der Antrag widersprüchlich zu dem Antrag, die Verarbeitung der Daten des Klägers einzustellen.
42
Der Antrag auf Löschung und Anonymisierung (Ziffer 4.) sei unzulässig, widerspreche dem vorstehenden Unterlassungsantrag und sei unbestimmt. Die DS-GVO sehe kein Recht auf Anonymisierung vor. Der Kläger könne selbst über eine Einstellung die bisherigen von Drittunternehmen geteilten Informationen über Aktivitäten von seinem I.-Konto trennen, auch für die Zukunft. Die Anonymisierung sei kein Unterfall der Löschung, da sie eine Verarbeitung von Daten erfordere. Außerdem könne der Kläger sein I.-Konto selbst jederzeit löschen. Die Event-Daten dürften danach noch für maximal zwei Jahre gespeichert werden. Die Beklagte dürfe bei Bedarf Kontodaten z. B. aus Rechtsgründen weiter aufbewahren.
43
Der Kläger habe keinen Anspruch auf Schadensersatz nach Art. 82 DS-GVO (Ziffer 5.). Es fehle bereits an einem Verstoß der Beklagten gegen Vorschriften der DS-GVO. Der Kläger habe keinen tatsächlichen Schaden dargelegt. Ein „Kontrollverlust“ sei nicht eingetreten, zumal der Kläger über die Einstellungen die Verarbeitung der Daten steuern könne. Unbefugte Dritte hätten auf die Daten des Klägers nicht zugegriffen. Die Beklagte verarbeite keine besonderen Kategorien personenbezogener Daten des Klägers. Die Drittunternehmen dürften keine sensiblen Daten über die Business Tools an die Beklagte weitergeben. Nationales Recht sei wegen der Sperrwirkung nicht einschlägig, die Voraussetzungen von § 823 Abs. 1 BGB i. V. m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG nicht erfüllt. Ein Strafschadensersatz sei dem deutschen Zivilrecht fremd.
44
Zur Ergänzung des Sach- und Streitstandes wird auf die gewechselten Schriftsätze, insbesondere vom 28.07.2025, 28.08.2025, 31.10.2025, 05.03.2026, 09.03.2026 und 07.04.2026 nebst Anlagen sowie auf das Protokoll der mündlichen Verhandlung Bezug genommen. Die nicht nachgelassenen Schriftsätze vom 17.03.2026, „07.04.2026“ (Eingang 29.04.2026) und 12.06.2026 fanden Berücksichtigung, ohne dass eine Wiedereröffnung der Verhandlung veranlasst war.
II.
45
Das Oberlandesgericht München ist für das Verfahren international zuständig nach Art. 79 Abs. 2 S. 2, 82 Abs. 6 DS-GVO und hat nach Art. 6 Abs. 1, 6 Abs. 2, 3 Abs. 1 Rom I-VO deutsches Recht zugrunde zu legen.
46
1. Art. 79 Abs. 2 S. 2 DS-GVO gibt der betroffenen Person das Recht, eine Klage gegen einen nicht hoheitlich tätig gewordenen Verantwortlichen oder Auftragsverarbeiter bei den Gerichten des Mitgliedstaats zu erheben, in dem die betroffene Person ihren Aufenthaltsort hat.
47
Art. 82 Abs. 6 DS-GVO sieht für die Inanspruchnahme des Rechts auf Schadensersatz die Zuständigkeit der Gerichte vor, die nach den in Art. 79 Abs. 2 DS-GVO genannten Rechtsvorschriften des Mitgliedstaats zuständig sind.
48
Der Kläger als betroffene Person hat seinen gewöhnlichen Aufenthalt in Deutschland.
49
Der sachliche, räumliche und zeitliche Anwendungsbereich der DS-GVO ist eröffnet.
50
Nach Art. 2 Abs. 1 DS-GVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Es ist unstreitig, dass die bei der Beklagten gespeicherten Informationen personenbezogene Daten des Klägers enthalten, die gesammelt und gespeichert werden.
51
Art. 3 Abs. 1 DS-GVO erklärt die Verordnung in Bezug auf die Verarbeitung personenbezogener Daten für anwendbar, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Die Beklagte hat ihren Sitz in Irland.
52
Gemäß Art. 99 Abs. 2 DS-GVO gilt die Verordnung ab dem 25.05.2018. Dabei ist hinsichtlich der zeitlichen Anwendbarkeit nicht der Zeitpunkt der Registrierung eines Nutzerkontos im sozialen Netzwerk der Beklagten maßgeblich, sondern der Zeitpunkt des datenrelevanten Vorfalls (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298, juris Rdnr. 19 zum Scraping).
53
2. Nach Art. 6 Abs. 1 Buchst. a) der Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17.06.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I-VO) unterliegt ein Vertrag, den eine natürliche Person zu einem Zweck, der nicht ihrer beruflichen oder gewerblichen Tätigkeit zugerechnet werden kann („Verbraucher“), mit einer anderen Person geschlossen hat, die in Ausübung ihrer beruflichen oder gewerblichen Tätigkeit handelt („Unternehmer“), dem Recht des Staates, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, sofern der Unternehmer seine berufliche oder gewerbliche Tätigkeit in dem Staat ausübt, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat. Damit gelangt deutsches Recht zur Anwendung. Der Kläger ist Verbraucher im Sinne dieser Vorschrift.
54
Darüber hinaus enthalten die Nutzungsbedingungen der Beklagten für die „Handhabung von Streitfällen“ die Vereinbarung i. S. d. Art. 6 Abs. 2, 3 Abs. 1 Rom I-VO, dass der Nutzer, der den Dienst der Beklagten als Verbraucher nutzt, einen etwaigen Anspruch oder Streitfall von jedem zuständigen Gericht in dem Land seines Hauptwohnsitzes klären lassen kann und dass die Gesetze dieses Landes ohne Berücksichtigung kollisionsrechtlicher Bestimmungen gelten werden.
III.
55
Die zulässige Berufung hat in dem tenorierten Umfang Erfolg.
56
1. Der Kläger ist Nutzer des Netzwerks „I.“.
57
Das Landgericht hat die Behauptung des Klägers, er sei Nutzer von „I.“, als streitig behandelt. Tatsächlich hat die Beklagte dieses Vorbringen nicht substantiiert bestritten. Insbesondere ist sie in der mündlichen Verhandlung vom 22.01.2025 den Angaben des Klägers zu seinem Nutzerverhältnis in seiner informatorischen Anhörung vor dem Landgericht nicht entgegengetreten, sondern ist sogar darauf eingegangen und hat ihm vorgehalten, er müsse im Zuge der Registrierung den Nutzungsbedingungen zugestimmt haben. Damit legt der Senat als unstreitig zugrunde, dass ein Nutzungsvertrag zwischen den Parteien bestand.
58
2. Der auf Feststellung gerichtete Antrag, dass der Nutzungsvertrag der Parteien die Verarbeitung näher bezeichneter personenbezogenen Daten im näher spezifizierten Umfang seit dem 25.05.2018 nicht gestatte (Ziffer 1.), ist unzulässig. Es fehlt sowohl ein feststellungsfähiges Rechtsverhältnis als auch das Feststellungsinteresse i. S. d. § 256 ZPO. Eine Behandlung des Antrags als Zwischenfeststellungsklage i. S. d. § 256 Abs. 2 ZPO kommt nicht in Betracht.
59
a) Gemäß § 256 Abs. 1 ZPO kann unter anderem auf Feststellung des Bestehens oder Nichtbestehens eines Rechtsverhältnisses Klage erhoben werden, wenn der Kläger ein rechtliches Interesse daran hat, dass das Rechtsverhältnis durch richterliche Entscheidung alsbald festgestellt werde.
60
aa) Unter Rechtsverhältnis ist eine bestimmte, rechtlich geregelte Beziehung einer Person zu anderen Personen oder einer Person zu einer Sache zu verstehen. Dazu können auch einzelne, auf einem umfassenderen Rechtsverhältnis beruhende Rechte und Pflichten gehören, nicht dagegen bloße Elemente oder Vorfragen eines Rechtsverhältnisses, abstrakte Rechtsfragen, reine Tatsachen oder etwa die Wirksamkeit von Willenserklärungen oder die Rechtswidrigkeit eines Verhaltens (vgl. BGH, Urteil vom 07.03.2013, VII ZR 223/11, NJW 2013, 1744, juris Rdnr. 16; BGH, Urteil vom 19.04.2000, XII ZR 332/97, NJW 2000, 2280, juris Rdnr. 12; BGH, Urteil vom 20.04.2018, V ZR 106/17, NJW 2018, 3441, juris Rdnr. 13; BGH, Versäumnisurteil vom 27.03.2015, V ZR 296/13, NJW-RR 2015, 915, juris Rdnr. 7; BGH, Urteil vom 07.06.2001, I ZR 21/99, NJW 2001, 3789, juris Rdnr. 15 f.
61
Der Feststellungsantrag des Klägers richtet sich nicht auf die Feststellung des Bestehens oder Nichtbestehens des Vertrages über die Nutzung des Netzwerks der Beklagten, und auch nicht auf bestimmte Ansprüche oder Verpflichtungen der Parteien aus diesem Vertrag oder auf die Feststellung des Umfangs der Leistungspflicht der Beklagten. Die Formulierung „… dass der Nutzungsvertrag … nicht gestattet …“ legt zwar auf den ersten Blick nahe, der Kläger begehre die Feststellung, dass der Beklagten ein von ihr aus diesem Vertrag hergeleitetes und in Anspruch genommenes Recht nicht zustehe (vgl. OLG München, Urteil vom 18.12.2025, 14 U 1068/25, K& R 2026, 264, juris Rdnr. 238; OLG Stuttgart, Urteil vom 29.04.2026, 4 U 372/24, juris Rdnr. 107).
62
Eine solche, sich ausschließlich am Wortlaut orientierende Auslegung übersieht jedoch, dass die Rechtsbeziehung zwischen den Parteien nicht allein durch den Nutzungsvertrag geregelt wird, sondern dass sie maßgeblich von den Bestimmungen der DS-GVO beeinflusst wird. Nicht grundlos stützen sich beide Parteien zur Begründung ihrer jeweiligen Anträge entscheidend auf die DS-GVO, die als Umsetzung der Charta der Grundrechte der Europäischen Union in das Privatrecht hineinwirken kann (vgl. BVerfG, Beschluss vom 06.11.2019, 1 BvR 276/17, NJW 2020, 314, juris Rdnr. 95 ff. zur bis 24.05.2018 geltenden RL 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr). Die Feststellung der „Nichtgestattung“, die der Kläger anstrebt, ist daher nicht allein am Vertrag zu messen, sondern mit Blick auf die Bestimmungen der DS-GVO zu prüfen. Die Auslegung darf auch im Prozessrecht nicht am buchstäblichen Sinn des Ausdrucks haften, sondern hat den wirklichen Willen der Partei zu erforschen. Dabei ist der Grundsatz zu beachten, dass im Zweifel dasjenige gewollt ist, was nach den Maßstäben der Rechtsordnung vernünftig ist und der wohlverstandenen Interessenlage entspricht (BGH, Urteil vom 04.07.2014, V ZR 298/13, NJW 2014, 3314, juris Rdnr. 15; BGH, Versäumnisurteil vom 27.03.2015, V ZR 296/13, NJW-RR 2015, 915, juris Rdnr. 8; BGH, Urteil vom 01.08.2013, VII ZR 268/11, NJW 2014, 155, juris Rdnr. 30; BGH, Urteil vom 07.06.2001, I ZR 21/99, NJW 2001, 3789, juris Rdnr. 17). Der Kläger selbst beruft sich entscheidend darauf, dass die Beklagte mit ihrem Vorgehen gegen diverse Regelungen der DS-GVO verstoße und dass sie sich nicht auf Rechtfertigungsgründe berufen könne, die die DS-GVO vorsehe. Mithin geht es dem Kläger darum, nicht bloß die Vertragswidrigkeit des Handelns der Beklagten feststellen zu lassen, sondern die Rechtswidrigkeit der im Einzelnen aufgeführten Datenverarbeitungsvorgänge („… nicht gestattet“). Die Entscheidung über Rechtmäßigkeit oder Rechtswidrigkeit eines Handelns im Rahmen eines Vertragsverhältnisses kann jedoch nicht Gegenstand von § 256 Abs. 1 ZPO sein.
63
bb) Ein Feststellungsinteresse i. S. d. § 256 Abs. 1 ZPO ist gegeben, wenn dem konkreten, vom Feststellungsantrag betroffenen Recht des Klägers eine gegenwärtige Gefahr der Unsicherheit droht und der erstrebte Feststellungsausspruch geeignet ist, diese Gefahr zu beseitigen. Allerdings fehlt das Feststellungsinteresse, wenn der Kläger dasselbe Ziel mit einer Klage auf Leistung erreichen kann und diese möglich und zumutbar ist, weil er im Sinne einer besseren Rechtsschutzmöglichkeit den Streitstoff in einem Prozess klären kann. Zulässig ist eine Feststellungsklage trotz der Möglichkeit, Leistungsklage zu erheben, jedoch dann, wenn die Durchführung des Feststellungsverfahrens unter dem Gesichtspunkt der Prozesswirtschaftlichkeit zu einer sinnvollen und sachgemäßen Erledigung der aufgetretenen Streitpunkte führt (BGH, Urteil vom 09.11.2022, VIII ZR 272/20, NJW 2023, 1567, juris Rdnr. 30; BGH, Urteil vom 02.06.2022, VII ZR 160/21, HFR 2022, 1180, juris Rdnr. 11; BGH, Urteil vom 05.10.2021, VI ZR 136/20, NJW-RR 2022, 23, juris Rdnr. 15; BGH, Urteil vom 17.06.1994, V ZR 34/92, NJW-RR 1994, 1272, juris Rdnr. 15; BGH, Versäumnisurteil vom 27.03.2015, V ZR 296/13, NJW-RR 2015, 915, juris  Rdnr. 8).
64
Der Kläger zeigt selbst auf, dass ihm eine „Leistungsklage“ zur Verfügung steht, um sein Begehren zu erreichen. Für die Vergangenheit fordert der Kläger beziffert Schadensersatz und Löschung bzw. Anonymisierung der bereits erhobenen Daten, für die Zukunft formuliert der Kläger einen Unterlassungsantrag. Im Rahmen dieser Anträge sind die Rechtmäßigkeit der Datenverarbeitung durch die Beklagte oder etwaige Pflichtverletzungen der Beklagten im Rahmen der Datenverarbeitung ohnehin als Vorfragen zu klären. Die auf Leistung gerichteten Anträge erschöpfen damit sein Rechtsschutzziel. Für einen gesonderten Feststellungsantrag ist deshalb kein Raum.
65
Zudem kann mit Blick auf die Einwendungen der Beklagten ausgeschlossen werden, dass die begehrte Feststellung zu einer endgültigen Erledigung der aufgetretenen Streitpunkte führen kann. Die Vollstreckung einer bloßen Feststellung ist dem Kläger aus Rechtsgründen nicht möglich, die Vollstreckung eines etwaigen Unterlassungsgebots hingegen schon.
66
cc) Auf eine fortdauernde Schadensentwicklung, bei der ein Teil des Schadens bei Klageerhebung schon entstanden ist, die Entstehung weiterer Schäden aber noch zu erwarten ist (vgl. BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298, juris Rdnr. 48; BGH, Urteil vom 05.10.2021, VI ZR 136/20, NJW-RR 2022, 23, juris Rdnr. 25; BGH, Urteil vom 02.05.2022, VIa ZR 122/21, WM 2022, 1077, juris Rdnr. 15; BGH, Urteil vom 02.06.2022, VII ZR 160/21, HFR 2022, 1180, juris Rdnr. 25), kann sich der Kläger schon deswegen nicht berufen, weil sich der Feststellungsantrag gerade nicht auf die Feststellung einer weitergehenden Schadensersatzpflicht der Beklagten erstreckt.
67
b) Der Feststellungsantrag kann nicht in eine Zwischenfeststellungsklage umgedeutet werden.
68
Nach § 256 Abs. 2 ZPO kann der Kläger bis zum Schluss derjenigen mündlichen Verhandlung, auf die das Urteil ergeht, durch Erweiterung des Klageantrags beantragen, dass ein im Laufe des Prozesses streitig gewordenes Rechtsverhältnis, von dessen Bestehen oder Nichtbestehen die Entscheidung des Rechtsstreits ganz oder zum Teil abhängt, durch richterliche Entscheidung festgestellt werde.
69
Die Zwischenfeststellungsklage erfordert kein besonderes Feststellungsinteresse. Voraussetzung ist, dass die Feststellung des Rechtsverhältnisses für die Entscheidung des Rechtsstreits vorgreiflich ist (BGH, Urteil vom 17.06.1994, V ZR 34/92, NJW-RR 1994, 1272, juris Rdnr. 13). Die Zwischenfeststellungsklage kann allerdings nicht auf die Feststellung der Rechtswidrigkeit bzw. Unzulässigkeit eines Verhaltens gerichtet sein (BGH, Urteil vom 20.04.2018, V ZR 106/17, NJW 2018, 3441, juris Rdnr. 13).
70
Wie bereits ausgeführt, begehrt der Kläger ausdrücklich die Feststellung, dass der Nutzungsvertrag ‒ und nach Auslegung des Senats die DS-GVO ‒ die Beklagte nicht zu näher aufgeführten Datenverarbeitungsvorgängen hinsichtlich bestimmter Daten berechtigt. Diese Feststellung kann der Kläger auch nicht mit einem Antrag nach § 256 Abs. 2 ZPO erreichen.
71
3. Der Antrag auf Unterlassung der Verarbeitung personenbezogener Daten gemäß des Antrags Ziffer 1. „auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten“ ist zulässig und begründet.
72
a) Vorauszuschicken ist, dass der Senat den Antrag in der Weise auslegt, dass der Kläger die Unterlassung der künftigen Verarbeitung personenbezogener Daten begehrt, die auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten mittels der Business Tools erhoben und an die Beklagte weitergeleitet werden. Der Kläger hat das Ziel seiner Klage unmissverständlich klargestellt. Er möchte die zukünftige Protokollierung seines Surfverhaltens durch die Beklagte unterbinden. In diesem Zusammenhang hat er ausdrücklich die Erfassung seiner Daten durch die Business Tools, die Weiterleitung der Daten an die Server der Beklagten und die dortige (Erst-) Speicherung als aus seiner Sicht zu beanstandenden Vorgehensweisen aufgezählt. Es geht dem Kläger mithin nicht darum, der Beklagten die Verarbeitung von Daten auf Drittseiten und -Apps außerhalb ihrer Netzwerke zu untersagen, wie es der Wortlaut des Antrags nahelegen könnte. Die Beklagte hat hierzu ausgeführt, sie sei weder Inhaberin noch Verwalterin oder Betreiberin von Drittwebseiten oder -apps. Der Kläger wendet sich mithin gegen die Verarbeitung der zu seiner Person auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten gesammelten und an die Beklagte übermittelten Daten. Da der Kläger ausweislich seines Vorbringens davon ausgeht, dass über Drittwebseiten oder -apps erhobene Daten auch dann an die Beklagte übermittelt werden, wenn er seine Einwilligung über die Cookie-Abfrage nicht erteilt hat, ist der Antrag als uneingeschränkt auszulegen.
73
b) Der Unterlassungsantrag ist zulässig.
74
aa) Der Antrag ist hinreichend bestimmt i. S. d. § 253 Abs. 2 Nr. 2 ZPO. Danach muss die Klageschrift die bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs, sowie einen bestimmten Antrag enthalten.
75
(1) Dafür kommt es nicht darauf an, ob der maßgebende Lebenssachverhalt bereits in der Klageschrift vollständig beschrieben oder der Klageanspruch schlüssig oder substantiiert dargelegt worden ist. Vielmehr ist es ‒ entsprechend dem Zweck der Klageerhebung, dem Schuldner den Willen des Gläubigers zur Durchsetzung seiner Forderungen zu verdeutlichen ‒ im allgemeinen ausreichend, wenn der Anspruch als solcher identifizierbar ist (BGH, Urteil vom 18.07.2000, X ZR 62/98, NJW 2000, 3492, juris Rdnr. 17; BGH, Urteil vom 11.02.2004, VIII ZR 127/03, NJW-RR 2005, 216, juris Rdnr. 6).
76
Der Kläger muss im Rahmen der Zulässigkeit des Antrags zu einzelnen konkreten Datenverarbeitungsvorgängen, d. h. auf welcher Webseite oder App sie sich zu welcher Zeit ereignet haben etc., nicht vortragen. Seinen Anspruch hat der Kläger in Zusammenschau mit seinem Klagevorbringen genügend verdeutlicht.
77
(2) Ein Klageantrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Die Anforderungen an die Bestimmtheit des Klageantrags sind danach in Abwägung des zu schützenden Interesses des Beklagten, sich gegen die Klage erschöpfend verteidigen zu können, sowie seines Interesses an Rechtsklarheit und Rechtssicherheit hinsichtlich der Entscheidungswirkungen mit dem ebenfalls schutzwürdigen Interesse des Klägers an einem wirksamen Rechtsschutz festzulegen. Dies bedeutet bei einem Unterlassungsantrag insbesondere, dass dieser nicht derart undeutlich gefasst sein darf, dass die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt. Eine hinreichende Bestimmtheit ist bei einem Unterlassungsantrag für gewöhnlich gegeben, wenn eine Bezugnahme auf die konkrete Verletzungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll (BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298, juris Rdnr. 52 f.; BGH, Urteil vom 09.03.2021, VI ZR 73/20, NJW 2021, 1756, juris Rdnr. 15; BGH, Urteil vom 02.06.2022, I ZR 140/15, NJW 2022, 2980, juris Rdnr. 26; BGH, Urteil vom 28.07.2022, I ZR 205/20, NJW-RR 2022, 1417, juris Rdnr. 12; BGH, Urteil vom 31.03.2026, VI ZR 157/24, juris Rdnr. 20; BGH, Urteil vom 15.01.2019, VI ZR 506/17, NJW 2019, 781, juris Rdnr. 12).
78
Die Verwendung auslegungsbedürftiger Begriffe kommt in Betracht, wenn für den Kläger eine weitere Konkretisierung nicht möglich oder zumutbar ist, und für die Parteien kein Zweifel an ihrem Inhalt besteht, so dass die Reichweite von Antrag und Urteil feststeht (BGH, Urteil vom 31.03.2026, VI ZR 157/24, juris Rdnr. 20). Außerdem ist die Verwendung auslegungsbedürftiger Begriffe im Klageantrag zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungshandlung ausrichtet (BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298, juris Rdnr. 53; BGH, Urteil vom 02.06.2022, I ZR 140/15, NJW 2022, 2980, juris Rdnr. 26). Eine auslegungsbedürftige Antragsformulierung kann im Übrigen hinzunehmen sein, wenn dies zur Gewährleistung effektiven Rechtsschutzes erforderlich ist (BGH, Urteil vom 28.07.2022, I ZR 205/20, NJW-RR 2022, 1417, juris Rdnr. 12).
79
An diesen Anforderungen gemessen ist der Antrag des Klägers – in der Auslegung des Senats – hinreichend bestimmt. Der Unterlassungsantrag konkretisiert unter Heranziehung des Klagevorbringens die inkriminierte Verletzungshandlung, nämlich die behauptete unrechtmäßige Verarbeitung von an die Beklagte mittels Business Tools gelangter Daten. Die personenbezogenen Daten, deren Verarbeitung er zu unterbinden begehrt, hat er über die Verknüpfung zum Klageantrag Ziffer 1. hinreichend genau bezeichnet. Die Bezugnahme auf Dritt-Webseiten und Dritt-Apps steht der Bestimmtheit nicht entgegen. Der Unterlassungsantrag umfasst ersichtlich alle Dritt-Webseiten und Dritt-Apps, auf denen ein Business-Tool der Beklagten implementiert ist.
80
Dass sich der Kläger mit „Verarbeitung“ eines Begriffs der DS-GVO bedient, macht den Antrag nicht unbestimmt. Gemäß Art. 4 Nr. 2 DS-GVO bezeichnet „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Für beide Parteien besteht mit Blick auf die Legaldefinition mithin Klarheit über den Inhalt des Antrags.
81
bb) Dem Unterlassungsantrag fehlt nicht das Rechtsschutzbedürfnis.
82
(1) Das Rechtsschutzbedürfnis fehlt, wenn eine Klage oder ein Antrag objektiv schlechthin sinnlos ist, wenn also der Kläger unter keinen Umständen mit seinem prozessualen Begehren irgendeinen schutzwürdigen Vorteil erlangen kann. Dies ist etwa dann der Fall, wenn ein einfacherer oder billigerer Weg zur Erreichung des Rechtsschutzziels besteht oder der Kläger kein berechtigtes Interesse an der beantragten Entscheidung hat. Dafür gelten allerdings strenge Maßstäbe. Das Rechtsschutzbedürfnis fehlt (oder entfällt) nur dann, wenn das Betreiben des Verfahrens eindeutig zweckwidrig ist und sich als Missbrauch der Rechtspflege darstellt. Auch darf der Kläger nicht auf einen verfahrensmäßig unsicheren Weg verwiesen werden (BGH, Urteil vom 29.09.2022, I ZR 180/21, NJW-RR 2023, 66, juris Rdnr. 10, 16; BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298, juris Rdnr. 66 f.).
83
(2) Zwar weist die Beklagte zutreffend darauf hin, dass der Kläger sein Konto bei der Beklagten ohne weiteres löschen kann. Das damit erreichte Ergebnis deckt sich aber nicht mit dem Rechtsschutzziel des Klägers, der das Netzwerk der Beklagten nutzen möchte, von dieser aber nicht permanent „überwacht“ werden will. Wenn die Beklagte ihre Produkte auf dem europäischen Markt offeriert, unterwirft sie sich den Bestimmungen der DS-GVO. Erwägungsgrund 78 der DS-GVO stellt den Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen in den Vordergrund und gibt den Verantwortlichen auf, interne Strategien festzulegen und Maßnahmen zu ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Als Beispiele nennt der Erwägungsgrund die Minimierung der Verarbeitung personenbezogener Daten, die möglichst rasche Pseudonymisierung der personenbezogenen Daten sowie die Herstellung von Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten. Die DS-GVO gewährleistet für die Bürger ein einheitliches und hohes Datenschutzniveau bezüglich aller auf dem europäischen Markt zugelassener Anwendungen, wozu auch Plattformen der Sozialen Medien gehören (vgl. OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris Rdnr. 144). Könnte der Kläger darauf verwiesen werden, sein Konto bei der Beklagten zu löschen, würde der Schutzzweck der DS-GVO unterlaufen, da man den Kläger in diesem Fall verpflichten würde, sich selbst zu schützen.
84
(3) Auch der Verweis auf die Möglichkeit des Klägers, über die Einstellungen unter „Deine Aktivitäten außerhalb der M. Technologien“ die Verarbeitung einzuschränken, führt nicht zur Unzulässigkeit des Unterlassungsantrags.
85
„Bestimmte Aktivitäten trennen“ führt dazu, dass Aktivitäten von Apps und Websites, die der Nutzer auswählen muss, nicht mehr in seinen Konten gespeichert werden. „Frühere Aktivitäten löschen“ hat zur Folge, dass die von Drittunternehmen geteilten Informationen über Aktivitäten vom Konto des Nutzers getrennt werden. „Verknüpfung mit künftigen Aktivitäten aufheben“ bedeutet, dass Informationen, die Unternehmen und Organisationen zu Interaktionen mit dem Nutzer an die Beklagte übermitteln, zukünftig nicht mehr verknüpft werden. Der Transfer personenbezogener Daten von Drittunternehmen an die Beklagte bleibt davon aber unberührt (OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris Rdnr. 144).
86
c) Der Antrag ist auch begründet. Der Kläger hat Anspruch auf die begehrte Unterlassung gemäß §§ 1004 Abs. 1 S. 2 BGB analog, § 823 Abs. 1 BGB i. V. m. Art. 2 Abs. 1, Art. 1 Abs. 2 GG, Art. 6 DS-GVO wegen der Verletzung seines allgemeinen Persönlichkeitsrechts.
87
aa) Die DS-GVO selbst enthält keine Bestimmungen, die ausdrücklich oder implizit vorsehen, dass die betroffene Person über ein Recht verfügt, präventiv im Wege einer Klage zu verlangen, dass der für die Verarbeitung personenbezogener Daten Verantwortliche verpflichtet wird, einen künftigen Verstoß gegen die Bestimmungen der DS-GVO, insbesondere in Form der Wiederholung einer rechtswidrigen Verarbeitung, zu unterlassen. Die Mitgliedstaaten sind jedoch nicht daran gehindert, einen solchen präventiven Rechtsbehelf mit dem Ziel vorzusehen, dem Verantwortlichen aufzuerlegen, jede weitere Verletzung der Rechte aus der DS-GVO zu unterlassen (EuGH, Urteil vom 04.09.2025, C- 655/23, NJW 2025, 3137, juris Rdnr. 43, 46).
88
Es ist daher auf die allgemeinen zivilrechtlichen Regelungen zurückzugreifen, hier §§ 1004 Abs. 1 S. 2 BGB analog, § 823 Abs. 1 BGB. Der Unterlassungsanspruch setzt voraus, dass eine konkrete Gefahr (im Sinne einer Erstbegehungs- oder Wiederholungsgefahr) dafür besteht, dass die Beklagte gegenwärtig über die Business Tools gesammelte personenbezogene Daten des Klägers verarbeitet, die Beklagte Verantwortliche für diese Verarbeitung ist und sie eine Rechtfertigung gemäß Art. 6 DS-GVO für diese Datenverarbeitung nicht darlegt und beweist. Die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr wird durch das festgestellte rechtsverletzende Verhalten indiziert (OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris Rdnr. 146).
89
bb) Der Kläger war zur Substantiierung seines Unterlassungsanspruchs nicht gehalten, einzelne Webseiten oder Apps zu benennen, auf denen Business Tools der Beklagten implementiert sind und über die der Beklagten personenbezogene Daten des Klägers zur Verfügung gestellt wurden.
90
(1) Zwar muss grundsätzlich der Anspruchsteller alle Tatsachen behaupten und beweisen, aus denen sich sein Anspruch herleitet. Damit trifft den Kläger die Darlegungs- und Beweislast für den Unterlassungsanspruch. Der Grundsatz von Treu und Glauben gebietet jedoch eine sekundäre Darlegungslast des Gegners, wenn die darlegungs- und beweisbelastete Partei außerhalb des von ihr darzulegenden Geschehensablaufs steht und keine Kenntnisse von den maßgeblichen Tatsachen besitzt, während der Prozessgegner angesichts des unterschiedlichen Informationsstands beider Parteien zumutbar nähere Angaben machen kann (BGH, Urteil vom 05.10.2023, III ZR 216/22, NJW 2023, 3794, juris Rdnr. 31). Dabei obliegt es dem Prozessgegner im Rahmen der sekundären Darlegungslast auch, zumutbare Nachforschungen zu unternehmen. Genügt der Gegner seiner sekundären Darlegungslast nicht, gilt die Behauptung des Anspruchstellers nach § 138 Abs. 3 ZPO als zugestanden (BGH, Versäumnisurteil vom 04.02.2021, III ZR 7/20, NJW 2021, 1759, juris Rdnr. 19; BGH, Urteil vom 28.06.2016, VI ZR 559/14, NJW 2016, 3244, juris Rdnr. 18).
91
(2) Die Beklagte bestreitet nicht, dass zahlreiche Webseiten (aus dem Bereich Nachrichten, Medien, Shopping) ihre Business Tools verwenden. Sie muss sogar – als Teil ihres Geschäftsmodells – ein erhebliches Interesse daran haben, für eine möglichst weite Verbreitung ihrer Business Tools zu sorgen, da die auf diese Weise gesammelten Daten eines Nutzers nicht nur Drittunternehmen, sondern auch die Beklagte selbst in die Lage versetzen, dem Nutzer auf den von ihr betriebenen Plattformen, darunter auch „I.“, personalisierte Werbung anzuzeigen (sofern der Nutzer darin eingewilligt hat). Außerdem führt die Beklagte eigene Sicherheits- und Integritätsinteressen ins Feld, die ebenfalls eine weitreichende Erhebung und Verarbeitung von Daten bedingen, wenn die Beklagte allen von ihr in diesem Zusammenhang aufgelisteten Zielen gerecht werden will. Von einem durchschnittlichen Internetnutzer, der immer wieder online einkauft oder sich regelmäßig auf verschiedenen Webseiten oder Apps über Nachrichten, Wetter oder Politik informiert, kann nicht verlangt werden vorzutragen, welche der von ihm besuchten Webseiten oder Apps die Business Tools der Beklagten nutzen. Mit Blick auf die einfache Verfügbarkeit von Informationen im Internet und die Selbstverständlichkeit der Internetnutzung für vielfältigste Aufgaben ist es einem Nutzer auch nicht zumutbar, sein gesamtes Surfverhalten dauerhaft zu protokollieren und langfristig zu archivieren, um in einem Streitfall darzulegen, wann er welche Webseiten oder Apps aufgerufen hat. Eine Verpflichtung hierzu kann auch nicht mit der primären Darlegungslast des Klägers für den Unterlassungsantrag begründet werden. Die permanente „Selbstüberwachung“ eines Nutzers und die Vorhaltung aller Daten über sein Surfverhalten ist nicht geboten, da er dann sein gesamtes Internetnutzungsverhalten offenlegen müsste, was ersichtlich im eklatanten Widerspruch zum Normzweck der DS-GVO stünde wird (vgl. OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris Rdnr. 142).
92
Hinzu kommt, dass der Kläger mit den Anlagen K2, K13 und K14 Listen mit Webseiten vorgelegt hat, auf denen seiner Behauptung nach das Business Tool „M. Pixel“ implementiert sei. Dazu gehören auch Seiten namhafter Zeitungen und Banken. Die Beklagte hat dies nicht substantiiert bestritten, sondern lediglich moniert, der Kläger habe nicht dargetan, welche der dort aufgeführten Seiten er wann besucht habe, und es bestünden ‒ in Bezug auf Anlage K2 ‒ keine Anhaltspunkte dafür, dass die Webseiten die streitgegenständlichen Business Tools verwendeten. Letzteres kann die Beklagte jedoch unschwer feststellen. Jedenfalls hat die Beklagte die weite Verbreitung ihrer Business Tools nicht in Abrede gestellt. Im Übrigen ist offengeblieben, wie der Kläger eruieren soll, auf welchen der von ihm aufgerufenen Webseiten welche Business Tools der Beklagten aktiv waren und welche Daten hierüber an die Beklagte übermittelt wurden. Dass sich bei Aufruf einer Webseite ein Fenster öffnet und die Zustimmung zu Cookies abverlangt wird, ist aus Sicht des Nutzers noch kein sicherer Indikator dafür, dass die Beklagte dahintersteht. Es reicht daher aus, wenn mit einiger Wahrscheinlichkeit jedenfalls feststeht, dass der Kläger als Internetnutzer von der streitigen Datenverarbeitung erfasst wurde und wird (vgl. OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris Rdnr. 142). Dies ist hier der Fall.
93
cc) Die Beklagte hat in der Vergangenheit personenbezogene Daten des Klägers verarbeitet, wenngleich dieser seine Einwilligung zur Nutzung seiner über Business Tools gesammelten Informationen für Werbezwecke nicht erteilt hat.
94
(1) Mit Blick auf den umfassenden Verarbeitungsbegriff des Art. 4 Nr. 2 DSGVO, der jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten inkludiert (vgl. EuGH, Urteil vom 24.02.2022, C-175/20, K & R 2022, 260, juris Rdnr. 35), liegt bereits darin eine Verarbeitung.
95
Die Beklagte erhebt mit Hilfe der Business Tools Daten, erfasst und speichert sie. Wie die Beklagte mit den bei ihr erhobenen Informationen weiter verfährt, hängt zwar teilweise von den Datenschutz-Einstellungen des jeweiligen Nutzers ab. Nach ihrem eigenen Vorbringen nimmt die Beklagte zunächst einmal die von Drittanbietern übermittelten BusinessTool-Daten entgegen, und prüft, ob eine Zustimmung des Kontoinhabers unter „M. Cookies auf anderen Apps und Websites“ vorliegt. Allein diese Prüfung ist der Beklagten aber nur möglich, wenn sie die erhaltenen Daten individualisiert und mit einem Nutzerkonto verknüpft. Erlaubt der Nutzer die Nutzung der Cookies und vergleichbarer Technologien in Apps und Webseiten von Drittanbietern nicht, so werden die dort erhobenen Daten zwar nicht verwendet, um personalisierte Werbung zu erzeugen und anzuzeigen. Gleichwohl erhält und verwendet die Beklagte die Daten erst einmal, selbst wenn sie sie nach ihrer Behauptung nach bis zu drei Stunden verwirft. Sofern die Beklagte Sicherheits- und Integritätsinteressen berührt sieht, verwendet sie die Daten sogar noch weiter darüber hinaus ohne Rücksicht auf eine Einwilligung. Der Kläger kann mithin unabhängig von seiner Einwilligung die Erhebung personenbezogener Daten über die Business Tools, die Übersendung und die Speicherung gar nicht vollständig verhindern.
96
(2) Nach Art. 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
97
Dem Begriff ist schon mit Blick auf den Ausdruck „alle Informationen“ eine weite Bedeutung beizumessen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Dies ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (EuGH, Urteil vom 20.12.2017, C-434/16, NJW 2018, 767, juris Rdnr. 34 f. zu dem wortähnlichen Art. 2 Buchst. a) der RL 95/46; EuGH, Urteil vom 04.05.2023, C-487/21, NJW 2023, 2253, juris Rdnr. 23 f.; BGH, Urteil vom 18.12.2025, I ZR 115/25, MDR 2026, 174, juris Rdnr. 22).
98
Die vom Kläger in Klageantrag Ziffer 1. aufgelisteten Daten, die Gegenstand seines Unterlassungsanspruchs sind, fallen unter diese Definition. Die Beklagte räumt selbst ein, dass sie die von Drittanbietern übermittelten Daten daraufhin abgleicht, ob sie einem Nutzerkonto zuzuordnen sind. Zur Feststellung, ob eine natürliche Person identifizierbar ist, sollen nach Erwägungsgrund 26 S. 1 zur DS-GVO alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.
99
dd) Die Beklagte ist Verantwortliche i. S. d. Art. 4 Nr. 7 Halbs. 1 DS-GVO. Danach ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
100
Mit Blick auf das Ziel der DS-GVO, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihres Privatlebens, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des „Verantwortlichen“ weit zu verstehen. Zudem verweist der Begriff nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt. Jede natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, kann als für die Verarbeitung Verantwortlicher angesehen werden. Die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung setzt nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat. Verschiedene Akteure können in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (EuGH, Urteil vom 29.07.2019, C-40/17, NJW 2019, 2755, juris Rdnr. 65 ff. zur Vorgängerregelung 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und dem dort wortgleichen Art. 2 Buchst. d) S. 1).
101
Die Beklagte kann sich daher nicht darauf zurückziehen, dass die Drittanbieter die Daten nur übermitteln dürfen, wenn der Nutzer hierzu seine Einwilligung im Cookie-Banner erteilt hat, und dass sie die Drittanbieter entsprechend instruiert hat. Für zwei oder mehr Verantwortliche regelt Art. 26 Abs. 1 DS-GVO, dass sie gemeinsam Verantwortliche sind, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. In einer Vereinbarung soll in transparenter Form festgelegt werden, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Art. 13, 14 DS-GVO nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. Die Beklagte wird von ihrer Verantwortung durch Absprachen mit den Drittanbietern oder durch Hinweis auf deren eigene datenschutzrechtliche Verpflichtungen nicht befreit, da sie die Kontrolle über die Programmierung der Business Tools behält und sie weiterhin mitentscheidet, welche Daten erhoben und übermittelt werden. Indem die Beklagte Drittunternehmern ihre Business Tools anbietet, mit deren Hilfe sie unstreitig möglichst viele Daten der Drittseitennutzer für ihre eigenen Zwecke erhalten möchte, wird sie auch für die Datenerhebung auf Drittseiten zur Mitverantwortlichen im Sinne des Art. 26 DS-GVO.
102
Dementsprechend hat die Beklagte in den Nutzungsbedingungen der M. Business Tools die gemeinsame Verantwortlichkeit für die Erhebung und Übermittlung der Daten übernommen (vgl. Anlage B 5).
103
ee) Die Beklagte kann sich nicht auf eine Rechtfertigung der Verarbeitung personenbezogener Daten berufen.
104
(1) Die Darlegungs- und Beweislast dafür, dass die personenbezogenen Daten entsprechend Art. 5 DS-GVO verarbeitet werden, trägt der Verantwortliche (EuGH, Urteil vom 04.07.2023, C-252/21, NJW 2023, 2997, juris Rdnr. 95; EuGH, Urteil vom 24.02.2022, C-175/20, K& R 2022, 260, juris Rdnr. 77; EuGH, Urteil vom 11.07.2024, C-757/24, NJW 2024, 2523, juris Rdnr. 52). Dies führt damit zu einer Beweislastumkehr in dem Sinne, dass nicht die betroffene Person nachweisen muss, dass der Verantwortliche nicht rechtmäßig gehandelt und nicht die für die Umsetzung der Grundsätze geeigneten technischen und organisatorischen Maßnahmen getroffen hat, sondern dass umgekehrt der Verantwortliche nachweisen muss, dass die Verarbeitung der DS-GVO diesen Grundsätzen entspricht (Ehmann/Selmayr/Heberlein, DatenschutzGrundverordnung, 3. Auflage 2024, Art. 5 Rdnr. 43).
105
(2) Gemäß Art. 5 Abs. 1 Buchst. a) DS-GVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Die Rechtmäßigkeit nimmt Bezug auf Art. 6 Abs. 1 DS-GVO.
- Nach Art. 6 Abs. 1 Buchst. a) DS-GVO ist die Verarbeitung rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.
106
Dieser Tatbestand ist nicht erfüllt. Es kommt nicht darauf an, ob der Kläger auf den Webseiten oder Apps über das Cookie-Banner eine Einwilligung in die Datenerhebung durch die Business Tools i. S. d.
107
Art. 6 Abs. 1 Buchst. a) DS-GVO erteilt oder verweigert hat. Die Beklagte hat selbst eingeräumt, dass es Verarbeitungszwecke gibt, für die sie sich von vornherein nicht auf eine Einwilligung stützt, weil sie dies nicht für gesetzlich erforderlich erachtet. Dies sind insbesondere Daten, die die Beklagte zu Sicherheits- und Integritätszwecken verwendet, und die an sie auch dann übermittelt werden, wenn ein Nutzer die Einwilligung ablehnt. Darüber hinaus sieht die Beklagte zuvörderst die Drittunternehmen in der Pflicht, die Business Tools korrekt zu implementieren, alle Offenlegungen vorzunehmen sowie Rechte und Genehmigungen einzuholen, bevor sie Business-Tools-Daten an die Beklagte weitergeben. Die Drittunternehmen, die die Business Tools in ihre Webseiten oder Apps integriert hätten, könnten wählen, ob sie die Event-Daten und Kontaktinformationen mit der Beklagten teilen. Das bedeutet, dass es keinen von der Einwilligung abhängigen Automatismus gibt, ob Daten an die Beklagte übermittelt werden oder nicht, sondern dies von jedem einzelnen Drittunternehmen abhängt. Ebenso wenig überprüft die Beklagte, ob die Drittunternehmen die Daten auf der Grundlage einer Einwilligung weitergeleitet haben. Die Rechtmäßigkeit der Verarbeitung unter diesem Gesichtspunkt vermag die Beklagte daher nicht in jedem Fall festzustellen.
- Gemäß Art. 6 Abs. 1 Buchst. b) DS-GVO ist die Verarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen.
108
Die Ausführungen der Beklagten, für geschäftsfähige Nutzer sei ihr Vorgehen nach dieser Vorschrift notwendig, überzeugt nicht. Damit eine Verarbeitung personenbezogener Daten als für die Erfüllung eines Vertrags erforderlich im Sinne dieser Bestimmung angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte. Der etwaige Umstand, dass eine solche Verarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist insoweit für sich genommen unerheblich. Entscheidend für die Anwendung des Rechtfertigungsgrundes ist nämlich, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen (EuGH, Urteil vom 04.07.2023, C-252/21, NJW 2023, 2997, juris Rdnr. 98 f.).
109
Soweit die Beklagte Business-Tool-Daten erhält und speichert, um sie darauf abzugleichen, ob der individualisierbare Nutzer die Einwilligung erteilt hat, ihm auf dieser Grundlage personalisierte Werbung anzuzeigen, ist dieser Verarbeitungsvorgang nicht erforderlich, um dem Nutzer die Dienste des sozialen Netzwerks anzubieten. Darüber hinaus erstrecken sich die Ausführungen der Beklagten auf die Funktionsfähigkeit von I. insgesamt, ohne aufzuzeigen, warum die Datenverarbeitung konkret für den Vertrag mit dem Kläger unabdingbar ist.
- Art. 6 Abs. 1 Buchst. c) DS-GVO setzt für die Rechtmäßigkeit der Verarbeitung voraus, dass sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.
110
Nach Art. 6 Abs. 3 DS-GVO wird die Rechtsgrundlage für diese Verarbeitung entweder durch Unionsrecht oder das Recht der Mitgliedsstaaten festgelegt, dem der Verantwortliche unterliegt. Dabei muss die Rechtsgrundlage ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Ziel stehen und diese Verarbeitung innerhalb der Grenzen des unbedingt Notwendigen erfolgen (EuGH, Urteil vom 04.07.2023, NJW 2023, 2997, C-252/21, juris Rdnr. 138).
111
Eine derartige Rechtsgrundlage zeigt die Beklagte nicht auf. Allein der Verweis auf die Möglichkeit der Aufdeckung etwaiger Straftaten oder die Prävention von Delikten genügt nicht zur Speicherung personenbezogener Daten, wie sie die Beklagte mit Hinweis auf Sicherheits- und Integritätsinteressen vornimmt. Die Beklagte ist ein Privatunternehmen, dem keine Aufgaben der Strafverfolgung übertragen wurden. Sie ist nicht gesetzlich verpflichtet, personenbezogene Daten auf Vorrat zu erheben und zu speichern, um Anfragen nationaler Behörden nach Nutzerdaten beantworten zu können. Letztlich streicht die Beklagte diesen Gesichtspunkt auch nur als einen von mehreren heraus, stellt allerdings die Funktionalität ihres Modells eines sozialen Netzwerks als schützenswert in den Vordergrund, was i. S. d. Art. 6 Abs. 1 Buchst. d) DS-GVO nicht genügt.
- Nach Art. 6 Abs. 1 Buchst. e) DS-GVO muss die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
112
Insoweit gilt gleiches wie vor. Auch dieser Ausnahmetatbestand ist vor allem mit Blick auf das „Erfordernis“ nicht erfüllt. Eine Aufgabe im öffentlichen Interesse liegt z. B. im Hinblick auf die Forschung zum Wohle der Gesellschaft oder die Förderung von Schutz, Integrität und Sicherheit vor, wobei es angesichts der Art und des im Wesentlichen wirtschaftlichen und kommerziellen Charakters der Tätigkeit der Beklagten als privaten Wirtschaftsteilnehmers allerdings nicht ersichtlich ist, dass ihr eine solche Aufgabe übertragen worden ist (vgl. EuGH, Urteil vom 04.07.2023, NJW 2023, 2997, C- 252/21, juris Rdnr. 133).
- Art. 6 Abs. 1 Buchst. f) DS-GVO sieht vor, dass die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein muss, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
113
Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (EuGH, Urteil vom 04.07.2023, NJW 2023, 2997, C-252/21, juris Rdnr. 106).
114
In Erwägungsgrund 47 ist unter anderem festgehalten, dass das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen ist, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. Der Erwägungsgrund nennt die Verhinderung von Betrug als ein potentielles berechtigtes Interesse des jeweiligen Verantwortlichen für die Verarbeitung personenbezogener Daten im unbedingt erforderlichen Umfang. Erwägungsgrund 49 verweist auf das mögliche rechtliche Interesse unter anderem von Betreibern von elektronischen Kommunikationsnetzen und -diensten an der Gewährleistung der Netz- und Informationssicherheit, d.h. soweit durch die Verarbeitung personenbezogener Daten die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen. Beispielhaft sind die Verhinderung des Zugangs Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes sowie die Abwehr von Angriffen in Form der gezielten Überlastung von Servern („Denial of service„Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen genannt.
115
Die Beklagte führt hier zwar den Schutz Minderjähriger ins Feld, macht aber mit ihren Ausführungen deutlich, dass es ihr vor allem darum geht, etwaige Störquellen für die Funktionsweise ihres Netzwerks aufzufinden. Dabei bleibt die Beklagte vage, lässt offen, welche konkreten Daten sie zu welchem Zweck verarbeitet, und stellt zudem klar, dass sie keine abschließende Auflistung von Gründen angeben kann, warum sie personenbezogene Daten von Nutzern 90 Tage oder länger aufbewahrt. Die Beklagte nimmt insoweit ein Ermessen für sich in Anspruch, das eine Abwägung mit den Grundrechten der Nutzer und die Beurteilung, ob die Beklagte ein berechtigtes Interesse an der Datenverarbeitung hat, nicht zulässt. Eine anlasslose Massenüberwachung kann jedenfalls nicht durch das Interesse gerechtfertigt sein, einzelne Straftäter aufzuspüren (vgl. OLG Hamm, Urteil vom 09.03.2026, 8 U 21/25, juris Rdnr. 136). Insgesamt legt die Beklagte die Tatsachengrundlagen, die die Erforderlichkeit der Datenverarbeitung stützen sollen, schon nicht dar, obwohl dies vor der eigentlichen Interessenabwägung zu prüfen ist (BeckOK Datenschutzrecht/Albers/Veit, Stand 01.02.2026, Art. 6 DS-GVO Rdnr. 69; vgl. OLG Stuttgart, Urteil vom 29.04.2026, 4 U 372/24, juris Rdnr. 173 f.).
116
Der Senat sieht damit bereits Art. 5 Abs. 1 Buchst. a) DS-GVO als verletzt an, abgesehen davon, dass die Erläuterungen der Beklagten, wann sie Vorgänge für sicherheitsrelevant erachtet und die entsprechenden Daten deshalb länger speichert, dem Transparenzgebot nicht genügen.
117
(3) Darüber hinaus hat die Beklagte auch gegen Art. 5 Abs. 1 Buchst. b) Halbs. 1 DS-GVO verstoßen, der vorsieht, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Des Weiteren hat sie gegen den Grundsatz der Datenminimierung in Art. 5 Abs. 1 Buchst. c) DS-GVO verstoßen, wonach personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Die vorstehenden Erwägungen finden insoweit entsprechende Anwendung.
118
ff) Die vorangegangene rechtswidrige Beeinträchtigung begründet eine tatsächliche Vermutung für das Vorliegen einer Wiederholungsgefahr.
119
4. Der auf Unterlassen der weiteren Verarbeitung personenbezogener Daten bis zur Aufforderung der Löschung oder Ablauf einer Frist von sechs Monaten ab Rechtskraft gerichtete Unterlassungsantrag (Ziffer 3.) ist ebenfalls zulässig und begründet.
120
a) Der Senat legt den Antrag des Klägers in Zusammenschau mit dem Antrag auf Löschung und Anonymisierung in Ziffer 4. dahin aus, dass er die Verarbeitung der ihn betreffenden personenbezogenen Daten, über die die Beklagte aktuell noch verfügt und die sie nicht bereits aufgrund des Ablaufs von Speicherfristen etc. gelöscht hat, bis zur Erfüllung des Löschungsanspruchs einschränken möchte.
121
b) Der Kläger hat Anspruch auf Unterlassung nach Art. 18 Abs. 1 Buchst. b) DS-GVO. Dieser besagt, dass die betroffene Person das Recht hat, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt.
122
Das Recht auf Einschränkung der Verarbeitung kann auch im Zusammenhang mit einem Löschungsverlangen geltend gemacht werden. Zwar räumt Art. 18 Abs. 1 DSGVO dem Betroffenen dem Wortlaut nach ein Wahlrecht zwischen Einschränkung der Verarbeitung und Löschung ein. Der Senat erachtet eine gestaffelte Geltendmachung wie vorliegend allerdings nicht für ausgeschlossen. In beiden Fällen hat die betroffene Person ein schützenswertes Interesse daran, dass der Verantwortliche die fraglichen Daten nicht unbeschränkt weiterverarbeitet, während er prüft, ob ein Anspruch auf Löschung tatsächlich besteht (Simitis/Hornung/Spieker/Dix, Datenschutzrecht, 2. Auflage 2025, Art. 18 DS-GVO Rdnr. 3). Das Einschränkungsrecht gemäß Art. 18 Abs. 1 Buchst. b) DS-GVO gilt daher für den Zeitraum, bis die Daten auf ein geändertes Verlangen der betroffenen Person gelöscht werden. Die betroffene Person ist also durch die Ausübung des Wahlrechts zugunsten einer Einschränkung nicht an der späteren Ausübung ihres Löschungsrechts gehindert (Ehmann/Selmayr/Kamann/Braun, Datenschutz-Grundverordnung, 3. Auflage 2024, Art. 18 Rdnr. 17).
123
Die Voraussetzungen der Vorschrift liegen vor, da die Verarbeitung der personenbezogenen Daten des Klägers durch die Beklagte rechtswidrig war. Auf oben wird verwiesen.
124
c) Der Senat hat den Tenor entsprechend der Auslegung des Antrags angepasst und von der Aufnahme der Aufforderung des Klägers oder des Ablaufs von sechs Monaten nach Rechtskraft als Endzeitpunkte der begehrten Unterlassung abgesehen.
125
5. Der Kläger hat Anspruch auf Löschung der in Ziffer 1. a) aufgelisteten Daten, nicht aber auf Anonymisierung der in Ziffern 1. b) und c) aufgeführten Daten (Ziffer 4.).
126
a) Der Antrag ist nicht vollumfänglich zulässig.
127
aa) Der Antrag ist hinreichend bestimmt. Der Kläger nimmt erneut auf die Auflistung im Klageantrag Ziffer 1. Bezug und trennt zwischen den zu löschenden personenbezogenen Daten (Ziffer 1. a) und den zu anonymisierenden (Ziffern 1. b) und c). Es kann daher offenbleiben, ob ein Antrag auf wahlweise Löschung bzw. Anonymisierung hinreichend bestimmt wäre (vgl. OLG München, Urteil vom 18.12.2025, 14 U 2300/25, juris Rdnr. 222).
128
bb) Die Klage ist auf eine künftige Leistung i. S. d. § 259 ZPO gerichtet und setzt voraus, dass den Umständen nach die Besorgnis gerechtfertigt ist, dass der Schuldner sich der rechtzeitigen Leistung entziehen werde. Für die Besorgnis genügt, dass der Schuldner Anspruch oder Leistungspflicht ernstlich bestreitet. Bösgläubigkeit oder gar Böswilligkeit wird nicht gefordert (Münchener Kommentar zur ZPO/Becker-Eberhard, 7. Auflage 2025, § 259 Rdnr. 13). Die Beklagte bestreitet ihre Pflicht zur Löschung personenbezogener Daten jedenfalls insoweit, als sie sich berechtigt sieht, einen Teil der Daten aus Sicherheits- und Integritätsgründen weiterhin zu speichern. Dies reicht für eine Klage auf künftige Leistung aus.
129
Unzulässig ist hingegen der Antrag des Klägers auf Bestätigung der Löschung.
130
Dieser hat seine Grundlage in Art. 15 Abs. 1 DS-GVO, da die Löschung nach Art. 4 Nr. 2 DS-GVO eine Form der Datenverarbeitung darstellt. Davon erfasst ist die Negativauskunft, dass keine personenbezogenen Daten (mehr) verarbeitet werden (BeckOK Datenschutzrecht/Worms, Stand 01.11.2024, Art. 17 DS-GVO Rdnr. 89). Art. 12 Abs. 3 S. 1 DS-GVO statuiert, dass der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Art. 15 bis 22 DS-GVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellt. Diesbezüglich fehlt es jedoch an den Voraussetzungen des § 259 ZPO. Dass die Beklagte sich weigern wird, die entsprechende Auskunft zu erteilen, ist nicht ersichtlich.
131
cc) Dass der Kläger den Antrag von einer aufschiebenden Bedingung abhängig macht, führt nicht zur Unzulässigkeit. Der Antrag ist dennoch hinreichend bestimmt. Die Ereignisse, an die der Kläger die Löschung bzw. Anonymisierung anknüpft, sind unschwer feststellbar. Es handelt sich dabei um die Aufforderung des Klägers, die im Vorfeld einer Zwangsvollstreckung sicher festgestellt werden kann. Daneben hat der Kläger einen Endzeitpunkt für die vorzunehmenden Aktivitäten fixiert, der problemlos berechnet werden kann.
132
b) Der Antrag auf Löschung folgt aus Art. 17 Abs. 1 Buchst. d) DS-GVO. Danach hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
133
Zur fehlenden Rechtmäßigkeit wird auf oben verwiesen.
134
Soweit der Kläger die Löschung mit einer Aufforderung durch ihn, für den spätesten Zeitpunkt mit einem konkret bestimmbaren Datum verknüpft, ist dies allerdings von Art. 17 DS-GVO nicht gedeckt. Der Kläger nimmt ein Leistungsbestimmungsrecht i. S. d. § 315 Abs. 1 BGB in Anspruch, das ihm nicht eingeräumt ist. Die Löschung hat nach dem Gesetzeswortlaut unverzüglich i. S. d. § 121 BGB zu erfolgen. Art. 12 Abs. 3 S. 1 DS-GVO ergänzt das Unverzüglichkeitserfordernis, indem es eine Frist von einem Monat als absolute zeitliche Obergrenze für die Entscheidung über den Berichtigungsantrag und die Mitteilung hierüber an die betroffene Person setzt. Die Frist kann in komplexen Fällen um zwei Monate verlängert werden (Ehmann/Selmayr/Kamann/Braun, Datenschutz-Grundverordnung, 3. Auflage 2024, Art. 17 Rdnr. 42). Wird die Beklagte mithin zur Löschung der personenbezogenen Daten des Klägers rechtskräftig verurteilt, treten die in der DS-GVO vorgesehenen Fristen in Kraft. Für eine separate Aufforderung des Klägers ist daher kein Raum, zumal er mit dem selbst gewählten Endzeitpunkt von sechs Monaten ab Rechtskraft verdeutlicht, dass er sich vorbehält, gerade keine Aufforderung auszusprechen. Überdies ist kein Rechtsschutzbedürfnis des Klägers ersichtlich, warum die Daten, deren Löschung er grundsätzlich begehrt, über die gesetzlichen Frist hinaus Bestand haben soll. Die Einschränkungen des Klägers in der Antragsformulierung haben keinen Gehalt, da der Zeitpunkt der Löschung wie dargelegt nicht in seinem Belieben steht.
135
c) Einen Anspruch auf Anonymisierung kann der Kläger aus Art. 17 DS-GVO hingegen nicht herleiten, da hier nur die Löschung geregelt ist.
136
Eine weite Auslegung der Regelung, dass der Begriff des Löschens auch eine Anonymisierung umfasst, kommt nicht in Betracht. Der europäische Verordnungsgeber differenziert zwischen Löschung (Art. 4 Nr. 2 DS-GVO), Vernichtung (Art. 4 Nr. 2 DSGVO), Anonymisierung (Erwägungsgrund 26 zur DS-GVO) und Pseudonymisierung (Art. 4 Nr. 5 DS-GVO) von Daten, wobei er lediglich den Begriff der Pseudonymisierung definiert. Er hat trotz dieser Differenzierung die Anspruchsgrundlage in Art. 17 Abs. 1 Buchst. d) DS-GVO auf die Löschung beschränkt. Schutzzweck des Löschens ist, dass die Daten endgültig nicht mehr verwendbar, irreversibel unleserlich und nicht mehr verarbeitbar sind. Die Löschung betrifft den ganzen Teil der Daten. Die Anonymisierung der Daten ist dagegen eine Verfahrensweise, bei der ein Teil der Daten erhalten bleibt, aber die betroffene Person anhand der verbleibenden Daten nicht mehr identifiziert werden kann. Das kann mit einem erheblichen Mehraufwand gegenüber einer Löschung verbunden sein; dafür ist der verbleibende Teil der Daten trotz der Anonymisierung nutzbar. Daher ist die Anonymisierung auch kein Minus zur Löschung, sondern ein Aliud (OLG Hamm, Urteil vom 09.03.2026, 8 U 21/25, juris Rdnr. 143; OLG Stuttgart, Urteil vom 29.04.2026, 4 U 372/24, juris Rdnr. 220).
137
Art. 18 Abs. 1 Buchst. b) DS-GVO kann nicht als Anspruchsgrundlage für die Anonymisierung dienen. Danach hat die betroffene Person das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt. Dies entspricht jedoch nicht dem Rechtsschutzziel des Klägers, der mit der Anonymisierung begehrt, dass ihn betreffende und identifizierende personenbezogene Daten von der Beklagten unkenntlich gemacht werden. Die Beklagte soll diese Daten in Bezug auf den Kläger überhaupt nicht mehr verwenden dürfen, was über eine bloße Einschränkung der Nutzung hinausreicht.
138
6. Der Kläger hat wegen der streitgegenständlichen Datenverarbeitung Anspruch auf immateriellen Schadenersatz in Höhe von 1.500,00 € gemäß Art. 82 Abs. 1 DSGVO.
139
a) Der Kläger macht einen einheitlichen Anspruch auf Ersatz eines immateriellen Schadens geltend, der sich auf mehrere Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen wurzelt. Dies ist zulässig (BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298, juris Rdnr. 16; OLG Hamm, Urteil vom 09.03.2026, 8 U 21/25, juris Rdnr. 149).
140
b) Ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DS-GVO erfordert einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt (BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298, juris Rdnr. 21; EuGH, Urteil vom 04.10.2024, C-507/23, NJW 2025, 141, juris Rdnr. 24; EuGH, Urteil vom 11.04.2024, C-741/21, NJW 2024, 1561, juris Rdnr. 34 f.; EuGH, Urteil vom 25.01.2024, C-687/21, NJW 2024, 2009, juris Rdnr. 58; EuGH, Urteil vom 21.12.2023, C-667/21, K & R 2024, 114, juris Rdnr. 82; EuGH, Urteil vom 04.05.2023, C-300/21, NJW 2023, 1930, juris Rdnr. 32; EuGH, Urteil vom 14.12.2023, C-340/21, NJW 2024, 1091, juris Rdnr. 77).
141
Die DS-GVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DS-GVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind (EuGH, Urteil vom 04.05.2023, C-300/21, NJW 2023, 1930, juris Rdnr. 30; EuGH, Urteil vom 14.12.2023, C-456/22, K & R 2024, 112, juris Rdnr. 15). Dabei soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen der DS-GVO in vollem Umfang entspricht, namentlich dem Ziel, innerhalb der Union ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten (BGH, Urteil vom 28.01.2025, VI ZR 183/22, NJW 2025, 1059, juris Rdnr. 9; EuGH, Urteil vom 14.12.2023, C-456/22, K & R 2024, 112, juris Rdnr. 19 f.).
142
c) Hinsichtlich des Verstoßes der Beklagten gegen die DS-GVO wird auf oben Bezug genommen.
143
d) Der Kläger hat hinreichend dargelegt, dass ihm durch den Verstoß der Beklagten gegen die Datenschutzbestimmungen ein Schaden entstanden ist.
144
aa) Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Ein Schaden wird nicht bereits aufgrund des Verstoßes gegen die DS-GVO vermutet (EuGH, Urteil vom 20.06.2024, NJW 2024, 2599, C-182/22, juris Rdnr. 42). Der Eintritt eines Schadens im Rahmen einer rechtswidrigen Verarbeitung personenbezogener Daten ist nämlich eine nur potenzielle und keine automatische Folge einer solchen Verarbeitung. Außerdem führt ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden. Schließlich muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen (EuGH, Urteil vom 04.10.2024, C- 507/23, NJW 2025, 141, juris Rdnr. 27; EuGH, Urteil vom 04.05.2023, C- 300/21, NJW 2023, 1930, juris Rdnr. 37).
145
Es ist daher über einen Verstoß gegen die DS-GVO hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines tatsächlichen Schadens (durch diesen Verstoß) erforderlich, den die betroffene Person nachzuweisen hat. Andererseits darf der Ersatz eines immateriellen Schadens nicht davon abhängig gemacht werden, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat (BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298, juris Rdnr. 28 f.; EuGH, Urteil vom 25.01.2024, C-687/21, NJW 2024, 2009, juris Rdnr. 59 f.; EuGH, Urteil vom 11.04.2024, C-741/21, NJW 2024, 1561, juris Rdnr. 36; EuGH, Urteil vom 04.05.2023, C-300/21, NJW 2023, 1930, juris Rdnr. 46; EuGH, Urteil vom 20.06.2024, C-590/22, VersR 2024, 1302, juris Rdnr. 28).
146
Daher kann schon der ‒ selbst kurzzeitige ‒ Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen wie etwa eine missbräuchliche Verwendung der Daten zum Nachteil des Betroffenen erfordert (BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298, juris Rdnr. 30; EuGH, Urteil vom 04.10.2014, C-200/23, juris Rdnr. 145). Den erlittenen Schaden als solchen, d. h. den Kontrollverlust, muss der Betroffene allerdings nachweisen. Steht er fest, stellt er selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298, juris Rdnr. 31; EuGH, Urteil vom 20.06.2024, C-590/22, K& R 2024, 503, juris  Rdnr. 33).
147
bb) Der Kläger hat hinreichend dargetan, dass der Verstoß der Beklagten gegen die DS-GVO negative Folgen für ihn hatte, die einen immateriellen Schaden darstellen. Selbst nach dem von der Beklagten zuletzt beschriebenen Vorgehen ‒ das vom Kläger bestritten wurde ‒ nimmt sie die von den Drittanbietern übermittelten Daten entgegen ohne Prüfung darauf, ob diese die Business Tools richtig implementiert haben, ob sie ihre Nutzer ordnungsgemäß belehrt haben, ob sie die Einwilligung der Nutzer in die Datenerhebung entsprechend den Vorgaben erholt haben oder ob sie eine fehlende Einwilligung tatsächlich respektieren. Die Beklagte ordnet sodann diese (personenbezogenen) Daten einem Nutzerkonto zu. Damit liegen Daten der Nutzer zunächst einmal auf Servern der Beklagten. Die Beklagte behauptet weiter, die Daten nach bis zu drei Stunden zu löschen, wenn sie feststellt, dass der Nutzer die Einwilligung zur Bereitstellung personalisierter Werbung nicht erteilt hat. Andererseits behält sie bestimmte Daten, wenn sie dies für Sicherheits- und Integritätszwecke opportun hält, ohne dass eine klare Regelung ersichtlich wäre, welche Daten aus welchem Grund die Beklagte den von ihr aufgelisteten Kategorien unterwirft. Der Senat sieht in dieser Vorgehensweise einen Kontrollverlust des Klägers.
148
Weitergehende Schäden hat der Kläger nicht nachgewiesen.
149
e) Die Beklagte haftet nach Art. 82 Abs. 1 DS-GVO. Die Verschuldensvermutung des Art. 82 Abs. 3 DS-GVO hat sie nicht widerlegt.
150
Art. 82 DS-GVO sieht eine Haftung für vermutetes Verschulden vor. Damit hat nicht die betroffene Person im Rahmen eines Schadensersatzanspruches nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen nachzuweisen, sondern die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen (BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298, juris Rdnr. 21; EuGH, Urteil vom 11.04.2024, C-741/21, NJW 2024, 1561, juris Rdnr. 46; EuGH, Urteil vom 21.12.2023, C-667/21, K & R 2024, 114, juris Rdnr. 103). Nach Art. 82 Abs. 3 DS-GVO wird der Verantwortliche oder der Auftragsverarbeiter von der Haftung gemäß Art. 82 Abs. 2 DS-GVO befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
151
Die Beklagte ist „Herausgeberin“ der Business Tools und kontrolliert deren Programmierung. Dass Drittanbieter sie in ihre Apps oder Webseiten integrieren, lässt ihre Verantwortlichkeit nicht entfallen, mag es auch diesen obliegen, die Einwilligung der Nutzer in Cookies etc. zu erholen. Ziel der Beklagten ist es, eine möglichst große Anzahl von Daten zu generieren, um entweder den Drittanbietern den mit den Business Tools versprochenen Service zur Verfügung zu stellen oder selbst ihren Nutzern personalisierte Werbung anzuzeigen. Sogar wenn diese nicht zugestimmt haben, speichert die Beklagte die übermittelten Daten zumindest vorübergehend, wenn sie Sicherheits- und Integritätsinteressen berührt sieht, sogar mittel- oder längerfristig.
152
f) Ein Schadensersatz in Höhe von 1.500,00 € erscheint geboten, aber auch ausreichend.
153
aa) Die DS-GVO enthält keine Bestimmung über die Bemessung des nach Art. 82 DS-GVO geschuldeten Schadenersatzes. Folglich haben die nationalen Gerichte zum Zweck dieser Bemessung nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die vom EuGH definierten unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (EuGH, Urteil vom 11.04.2024, C-741/21, NJW 2024, 1561, juris Rdnr. 58; EuGH, Urteil vom 04.10.2024, C-507/23, NJW 2025, 141, juris Rdnr. 32; EuGH, Urteil vom 25.01.2024, C-687/21, NJW 2024, 2009, juris  Rdnr. 53; EuGH, Urteil vom 21.12.2023, C-667/21, K & R 2024, 114, juris  Rdnr. 83; EuGH, Urteil vom 04.05.2023, C-300/21, NJW 2023, 1930, juris Rdnr. 54; EuGH, Urteil vom 20.06.2024, NJW 2024, 2599, C-182/22, juris  Rdnr. 27).
154
Dabei ist zu berücksichtigen, dass dem in Art. 82 Abs. 1 DS-GVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zu kommt. Er erfüllt keine Abschreckungs- oder gar Straffunktion, weshalb auch das Vorliegen mehrerer auf denselben Verarbeitungsvorgang bezogener Verstöße nicht zu einer Erhöhung des Schadensersatzes führt (BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298, juris Rdnr. 18; EuGH, Urteil vom 11.04.2024, C-741/21, NJW 2024, 1561, juris Rdnr. 59 f., 64 f.; EuGH, Urteil vom 25.01.2024, C-687/21, NJW 2024, 2009, juris Rdnr. 47; EuGH, Urteil vom 21.12.2023, C-667/21, K & R 2024, 114, juris Rdnr. 85; BGH, Urteil vom 28.01.2025, VI ZR 183/22, NJW 2025, 1059, juris Rdnr. 10; EuGH, Urteil vom 20.06.2024, NJW 2024, 2599, C-182/22, juris Rdnr. 23).
155
Dies hat unter anderem zur Folge, dass sich die Schwere eines solchen Verstoßes nicht auf die Höhe des gewährten Schadenersatzes auswirken darf und der Schadenersatz nicht in einer Höhe bemessen werden darf, die über den vollständigen Ausgleich des Schadens hinausgeht (EuGH, Urteil vom 04.10.2024, C-507/23, NJW 2025, 141, juris Rdnr. 43; EuGH, Urteil vom 11.04.2024, C-741/21, NJW 2024, 1561, juris Rdnr. 60; EuGH, Urteil vom 25.01.2024, C-687/21, NJW 2024, 2009, juris Rdnr. 48, 52; EuGH, Urteil vom 21.12.2023, C-667/21, K & R 2024, 114, juris Rdnr. 86; EuGH, Urteil vom 20.06.2024, C-590/22, VersR 2024, 1302, juris Rdnr. 41). Darüber hinaus verlangt Art. 82 DS-GVO nicht, dass der Grad des Verschuldens des Verantwortlichen bei der Höhe des Schadenersatzes berücksichtigt wird (EuGH, Urteil vom 21.12.2023, C-667/21, K & R 2024, 114, juris Rdnr. 103; BGH, Urteil vom 28.01.2025, VI ZR 183/22, NJW 2025, 1059, juris Rdnr. 11; EuGH, Urteil vom 20.06.2024, NJW 2024, 2599, C-182/22, juris Rdnr. 28). Nicht relevant ist des Weiteren, dass der Verstoß gegen die DS-GVO zugleich einen Verstoß gegen nationale Vorschriften mit sich bringt, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen der DS-GVO zu präzisieren (EuGH, Urteil vom 20.06.2024, C-590/22, VersR 2024, 1302, juris Rdnr. 48). Ebenso wenig finden die Haltung und die Beweggründe des Verantwortlichen Eingang, zumindest dann nicht, wenn dies dazu dienen soll, der betroffenen Personen einen Schadensersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist (EuGH, Urteil vom 04.10.2024, C-507/23, NJW 2025, 141, juris Rdnr. 45).
156
Mithin ist in Anbetracht der Ausgleichsfunktion eine auf Art. 82 DS-GVO gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert (EuGH, Urteil vom 11.04.2024, C-741/21, NJW 2024, 1561, juris  Rdnr. 60 f.; EuGH, Urteil vom 04.10.2024, C-507/23, NJW 2025, 141, juris  Rdnr. 34, 40; EuGH, Urteil vom 21.12.2023, C-667/21, K & R 2024, 114, juris Rdnr. 84; EuGH, Urteil vom 04.05.2023, C-300/21, NJW 2023, 1930, juris  Rdnr. 58 BGH, Urteil vom 28.01.2025, VI ZR 183/22, NJW 2025, 1059, juris  Rdnr. 11; EuGH, Urteil vom 20.06.2024, C-590/22, VersR 2024, 1302, juris Rdnr. 42). Anhaltspunkte sind unter anderem die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DSGVO) und deren typischerweise zweckgemäße Verwendung, die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle (BGH, Urteil vom 18.11.2024, VI ZR 10/24, NJW 2025, 298, juris Rdnr. 99).
157
bb) Ausgehend davon bewertet der Senat den durch den Kontrollverlust entstandenen Schaden mit 1.500,00 €. Der Verstoß gegen die DS-GVO betrifft den persönlichen Lebensbereich des Klägers. Der Kläger konnte nicht überblicken, welche Daten die Beklagte nach ihren eigenen Angaben nach bis zu drei Stunden verwirft (das Vorbringen als zutreffend unterstellt) und welche Daten sie für Sicherheits- und Integritätszwecke aufbewahrt. Das Vorgehen der Beklagten ist geeignet, bei dem Kläger das Gefühl auszulösen, dass sein Privatleben kontinuierlich überwacht wird, ohne dass er hierauf durchgreifend Einfluss nehmen kann. Dabei ist nicht ausgeschlossen, dass die Datenverarbeitung auch sensible Informationen (E-Mail-Adressen, IP-Adressen, Name, Gesundheitsdaten etc.) umfasste, die für die Vertragszwecke nicht im Ansatz erforderlich waren.
158
Insofern hatte der Kläger, wenn seine Daten in den Verantwortungsbereich der Beklagten gelangten, keine Möglichkeit der Kontrolle mehr. Die Dauer des Verstoßes hängt von der Einschätzung der Beklagten ab, ob sie die Daten benötigt, um die Funktionsfähigkeit ihres Angebots aufrecht zu erhalten. Diese Handhabung praktizierte die Beklagte seit Inkrafttreten der DS-GVO, d. h. über mehrere Jahre hinweg.
159
Der Senat hält die vom Oberlandesgericht München (Urteil vom 18.12.2025, 14 U 2300/25) zuerkannten 750,00 € und die vom OLG Stuttgart (Urteil vom 29.04.2026, 4 U 353/24) zugesprochenen 500,00 € für untersetzt, zugleich die vom Oberlandesgericht Jena (Urteil vom 02.03.2026, 3 U 31/25) ausgeurteilten 3.000,00 € für überhöht. Der Senat orientiert sich an den Entscheidungen des Oberlandesgerichts Hamm (Urteil vom 09.03.2026, 8 U 13/25, 1.500,00 €), Oberlandesgerichts Dresden (Urteil vom 03.02.2026, 4 U 292/25, 1.500,00 €) und Oberlandesgericht Sachsen-Anhalt (Urteil vom 05.02.2026, 9 U 44/25, 1.250,00 €) und hält einen Schadensersatz in diesem Bereich auch im streitgegenständlichen Fall für angemessen.
160
g) Einen weitergehenden Schadensersatzanspruch wegen Verletzung des allgemeinen Persönlichkeitsrechts nach § 823 Abs. 1 BGB i. V. m. Art. 2 Abs. 1, 1 Abs. 1 GG hat der Kläger nicht.
161
Die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts kann zwar einen Anspruch auf eine Geldentschädigung begründen, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann. Ob eine so schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, dass die Zahlung einer Geldentschädigung erforderlich ist, kann nur aufgrund der gesamten Umstände des Einzelfalls beurteilt werden. Hierbei sind insbesondere die Bedeutung und Tragweite des Eingriffs, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen. Die Zubilligung einer Geldentschädigung unter den genannten Voraussetzungen findet ihre sachliche Berechtigung in dem Gedanken, dass das Persönlichkeitsrecht gegenüber schwerwiegenden Beeinträchtigungen anderenfalls ohne ausreichenden Schutz bliebe mit der Folge, dass der Rechtsschutz der Persönlichkeit verkümmern würde (BGH, Urteil vom 12.03.2024, VI ZR 1370/20, NJW 2024, 2836, juris Rdnr. 70; BGH, Urteil vom 15.09.2015, IV ZR 175/14, NJW 2016, 789, juris Rdnr. 38).
162
Der Senat ist allerdings der Auffassung, dass die Beeinträchtigung des Klägers schon durch den Zuspruch eines angemessenen Betrages gemäß Art. 82 DSGVO befriedigend aufgefangen werden kann.
163
h) Der Zinsausspruch folgt aus §§ 280 Abs. 1, 286 Abs. 1 BGB.
164
Der Kläger hat die Beklagte mit anwaltlichem Schreiben vom 15.11.2023 zur Zahlung von 5.000,00 € bis 06.12.2023 aufgefordert (Anlage K3). Die Beklagte hat zwar in der Berufungsinstanz (nochmals) vorgetragen, das vorgerichtliche Schreiben der Klägervertreter nicht erhalten zu haben. Das Landgericht hatte dies jedoch im unstreitigen Tatbestand festgestellt. Eine Berichtigung ist nicht erfolgt. Die Forderung ist zwar höher als der ausgeurteilte Betrag, jedoch nicht so übersetzt, dass sie nicht mehr als Mahnung behandelt werden könnte.
165
7. Der Kläger hat keinen Anspruch auf Erstattung der vorgerichtlichen Rechtsanwaltskosten nach Art. 82 Abs. 1 DS-GVO unter dem Gesichtspunkt erforderlicher Kosten einer zweckentsprechenden Rechtsverfolgung.
166
Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren, grundsätzlich zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden (BGH, Urteil vom 17.11.2015, VI ZR 492/14, NJW 2016, 1245, juris Rdnr. 9). Bei der Erforderlichkeit handelt es sich um eine echte, vom Geschädigten darzulegende und zu beweisende Anspruchsvoraussetzung und nicht lediglich um einen im Rahmen des § 254 BGB bedeutsamen, die Ersatzpflicht beschränkenden und damit in die Darlegungs- und Beweislast des Schädigers fallenden Umstand. Die Frage, ob diese Voraussetzung erfüllt ist, lässt sich nicht allgemein, sondern nur unter Berücksichtigung der konkreten Umstände des Einzelfalls beantworten (BGH, Urteil vom 27.07.2010, VI ZR 261/09, NJW 2010, 3035, juris Rdnr. 14, 26 f.; vgl. BGH, Urteil vom 22.06.2021, VI ZR 353/20, NJW-RR 2021, 1070, juris Rdnr. 6; BGH, Urteil vom 22.01.2019, VI ZR 403/17, juris Rdnr. 11).
167
Warum es erforderlich war, die Beklagte, die sich gerichtsbekannt gegen die Inanspruchnahme hinsichtlich jedweder Ansprüche verteidigt, nochmals vorgerichtlich separat zur Leistung aufzufordern, hat der Kläger nicht aufgezeigt.
IV.
168
Die Kostenentscheidung beruht für die erste Instanz auf §§ 91 Abs. 1, 92 Abs. 1 ZPO, für die Berufungsinstanz zusätzlich auf § 97 Abs. 1 ZPO.
169
Die Entscheidung zur vorläufigen Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711, 709 ZPO.
170
Die Streitwertfestsetzung ergibt sich aus §§ 47 Abs. 1 S. 1, 48 Abs. 1 S. 1 GKG in Verbindung mit § 3 ZPO. Maßgeblicher Zeitpunkt für die Bewertung des Gebührenstreitwerts ist nach § 40 GKG der Zeitpunkt der Antragstellung, die den Rechtszug einleitet, in der Berufungsinstanz also die Einreichung der Berufungsanträge.
171
Der Senat bemisst die Anträge wie folgt:

Ziffer 1. a):

500,00 €

Ziffer 1. b):

500,00 €

Ziffer 1. c):

500,00 €

Ziffer 2.:

1. 000,00 €

Ziffer 3.:

1. 000,00 €

Ziffer 4.:

500,00 €

Ziffer 5.:

5. 000,00 €

172
Der Antrag auf Zahlung der Kosten für die vorgerichtliche Rechtsverfolgung wirkt nicht streitwerterhöhend (BGH, Beschluss vom 25.09.2007, VI ZB 22/07, NJW-RR 2008, 374, juris Rdnr. 4 ff.).
V.
173
Der Senat hat die Revision gemäß § 543 Abs. 1 Nr. 1, Abs. 2 S. 1 Nr. 2 ZPO zugelassen. Die Sicherung einer einheitlichen Rechtsprechung ist mit Blick auf die Vielzahl der anhängigen Verfahren und die unterschiedliche Handhabung der Gerichte erforderlich.