LG Nürnberg-Fürth, Endurteil v. 15.05.2024 – 10 O 5104/23

Titel:

Keine Vermutung der Kausalität zwischen Datenrechtsverstoß und Schaden

Normenkette:

DSGVO Art. 4 Nr. 2, Nr. 10, Art. 24, Art. 32, Art. 82 Abs. 1

Leitsätze:

1. Der Verantwortliche haftet lediglich für kausal durch die rechtswidrige Verarbeitung verursachte Schäden. Eine Mitursächlichkeit des Verstoßes gegen die DSGVO genügt, indes greift für das Tatbestandsmerkmal der Kausalität nach Art. 82 DSGVO gerade keine Vermutung. Diese betrifft nach dem Wortlaut des Art. 82 Abs. 3 DSGVO nur das Verschulden. Daher trägt die klagende Partei die Darlegungs- und Beweislast für die Kausalität nach allgemeinen zivilprozessualen Grundsätzen. (Rn. 52 – 53 und 71) (redaktioneller Leitsatz)

2. Ein Kontrollverlust über personenbezogenen Daten kann einen immateriellen Schaden darstellen, jedoch muss dieser durch die klagende Partei konkret dargelegt und bewiesen werden. (Rn. 55 – 61 und 63) (redaktioneller Leitsatz)

3. Zwar umfasst der Begriff der Verarbeitung nach Art. 4 Nr. 2 DSGVO nicht nur einzelne Vorgänge der Datenverarbeitung, sondern auch Vorgangsreihen, sodass denkbar wäre, dass ein einzelner Verstoß in diesem Zusammenhang die gesamte Vorgangsreihe „infiziert“. Art. 82 Abs. 1 DSGVO macht aber deutlich, dass der Schaden „wegen eines Verstoßes gegen diese Verordnung“ entstanden sein muss, also gerade der Rechtsverstoß zu dem Schaden geführt haben muss. (Rn. 63) (redaktioneller Leitsatz)

4. Eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch Dritte i.S.v. Art. 4 Nr. 10 DSGVO ist allein nicht ausreichend, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht geeignet i.S.d. Art. 24, 32 DSGVO waren. (Rn. 66) (redaktioneller Leitsatz)

Schlagworte:

Zuständigkeit, Schadensersatz, Auskunftsanspruch, Kausalität, Kontrollverlust, Rechtsverstoß, Streitwert

Fundstelle:

GRUR-RS 2024, 22108

Tenor

1. Die Klage wird abgewiesen.

2. Der Kläger hat die Kosten des Rechtsstreits zu tragen.

3. Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Vollstreckung der Beklagten durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des zu vollstreckenden Betrags leistet.

Beschluss

Der Streitwert wird auf 2.500,00 € festgesetzt.

Tatbestand

Die Parteien streiten über Ansprüche auf Schadensersatz, Feststellung künftiger Schäden, Unterlassung sowie Auskunft wegen von der Klagepartei geltend gemachter Verstöße gegen die Datenschutzgrundverordnung.

Die Beklagte betreibt einen Musikstreaming-Dienst. Die Klagepartei nutzte den Musikstreaming-Dienst der Beklagten. Die Beklagte beauftragte das Unternehmen ... (Im Folgenden: „Auftragsverarbeiter“), die Muttergesellschaft von ..., um Kundendatenverwaltungsdienste („CMR-Dienste“) für die Beklagte vorzunehmen.

Unbekannte Dritte haben personenbezogene Daten der Nutzer der Beklagten entwendet, boten die Datensätze von Nutzern seit dem 06.11.2022 zum Verkauf im D. und diese seit dem 23.11.2022 für jedermann frei zugänglich zum Herunterladen an.

In den abgegriffenen Datensätzen können der Name, Vorname, Nutzername, Geburtsdatum, Geschlecht, Sprache, Land, E-Mail-Adresse, User-ID, Daten über die Nutzung des ...-Dienstes (Akquise-Herkunft, kostenloser oder kostenpflichtiger Charakter des Kontos) und Präferenzen (Anzahl der Lieblingssongs, Kommunikationspräferenzen) enthalten sein.

Mit anwaltlichem Schreiben (Anlage K1) forderte die Klägerseite die Beklagte zur Zahlung von Schadensersatz, Erstattung außergerichtlicher Rechtsanwaltskosten, Auskunft und Unterlassung auf. Die Beklagte antwortete hierauf mit anwaltlichem Schreiben (Anlage K2) und einer E-Mail (Anlage B14). Sie wies die Ansprüche größtenteils zurück und antwortete auf das Auskunftsbegehren. Wegen der Einzelheiten wird auf die Schreiben vollumfänglich Bezug genommen.

Die Klagepartei behauptet, die betroffenen Datensätze seien bereits im Jahr 2019 von den Hackern abgegriffen worden. Sie sei vom Datenleck bei der Beklagten betroffen. Insoweit seien ihre personenbezogenen Daten in der abrufbaren Datenbank im D. enthalten.

Die Klagepartei trägt vor, die Beklagte habe keine hinreichenden technischen und organisatorischen Maßnahmen getroffen. Der Datenabgriff sei möglich gewesen oder zumindest erleichtert worden, weil die Beklagte oder ihre Auftragsverarbeiter nach dem Stand der Technik keine geeigneten Sicherheitsmaßnahmen implementiert haben.

Die Klagepartei behauptet, sie habe einen Schaden aufgrund der Datenschutzverletzungen und des daraus resultierenden Datenlecks erlitten. Aufgrund des Vorfalls habe sie einen Kontrollverlust über die sie betreffenden Daten erlitten und verbliebe in einem Zustand großen Unwohlseins und großer Sorge, insbesondere über den Missbrauch ihrer personenbezogener Daten. Sie erhalte seit dem Vorfall zudem unregelmäßig Kontaktversuche an ihre E-Mail-Adresse. Diese enthielten unter anderem Betrugsversuche und potenzielle Virenlinks. Dies habe dazu geführt, dass sie nur noch mit äußerster Vorsicht auf jegliche Emails und Nachrichten reagieren könne, jedes Mal einen Betrug fürchte und Unsicherheit verspüre.

Die Klagepartei trägt weiter vor, sie sei wegen des gesamten Vorgehens der Beklagten verunsichert und verärgert. Die Beklagte habe weder die Klagepartei als betroffene Person noch die zuständige Aufsichtsbehörde von dem Datenleck informiert.

Die Klagepartei meint im Wesentlichen, der Klageantrag zu 2) sei hinreichend bestimmt und es bestehe dafür ein Feststellungsinteresse, da eine gewisse Wahrscheinlichkeit für künftige Schäden gegeben sei. Auch das mit dem Klageantrag zu 3) verfolgte Unterlassungsbegehren sei zulässig, da mangels konkreter Informationen zu den von der Beklagten vorgenommenen Sicherheitsvorkehrungen ein gewisses Maß an Verallgemeinerung gestattet sei, auch wenn dies dazu führe, dass das Vollstreckungsgericht Wertungen vornehmen müsse.

Die Klägerseite ist der Ansicht, ein Schadensersatzanspruch nach Art. 82 DSGVO sei gegeben. Der Anwendungsbereich der DSGVO sei eröffnet, da die Klagepartei vom Datenleck bei der Beklagten betroffen sei und eine Verarbeitung ihrer personenbezogenen Daten vorläge.

Die Klägerseite meint weiter, die Beklagte habe gegen die DSGVO verstoßen. So habe die Beklagte keine hinreichenden technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO vorgehalten, die Klagepartei als Betroffene (Art. 34 DSGVO) und die Aufsichtsbehörde (Art. 33 DSGVO) zu spät oder nicht informiert und sie sei dem Auskunftsverlangen der Klagepartei gemäß Art. 15 DSGVO nicht ausreichend nachgekommen.

Die Klagepartei ist zudem der Ansicht, ihr sei ein Schaden iSd Art. 82 DSGVO entstanden. So habe sie einen Kontrollverlust erlitten. Sie habe zudem Ängste, Sorgen und Befürchtungen vor einem möglichen künftigen Missbrauch ihrer personenbezogenen Daten. Der durch den Kontrollverlust eingetretene Schaden habe sich durch subjektive Beeinträchtigungen, wie Angst, Stress, Komfort- und Zeiteinbußen sowie dem Gefühl des Unwohlseins noch verstärkt.

Die Klagepartei meint weiter, die Kausalität zwischen den Verstößen der Beklagten und den Schäden sei gegeben, da ohne die rechtswidrige Offenlegung der Daten kein signifikanter Kontrollverlust und weitere subjektiven Beeinträchtigungen bei ihr eingetreten wären. Auch könne sich die Beklagte nicht gemäß Art. 82 Abs. 3 DSGVO exkulpieren, da die gesetzliche Vermutung des Verschuldens durch die Beklagten nicht widerlegt sei.

Die Klagepartei ist weiter der Ansicht, die Beklagte habe das Auskunftsbegehren nicht ordnungsgemäß erfüllt, da insbesondere Angaben zu den konkreten Empfängern der personenbezogenen Daten fehlen würden.

Die Klagepartei beantragt,

1.: Die Beklagte wird verurteilt, an die Klägerseite immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.
2.: Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.
3.: Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (...) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (...) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, die Klägerseite betreffenden personenbezogenen Daten, welche die Beklagte im Rahmen der AccountErstellung sowie ihm Rahmen der Nutzung des Musikstreaming-Dienstes ... verarbeitete, selbst und/oder durch Dritte und/oder Auftragsverarbeiter zu verarbeiten, ohne geeignete technische und organisatorische Maßnahmen i.S.v. Art. 32 DSGVO zu ergreifen und/oder ergreifen zu lassen, welche die unbefugte Offenlegung von bzw. den unbefugten Zugang zu personenbezogenen Daten betreffend die Klägerseite verhindern, wie jedoch geschehen mit Datenvorfall 2019.
4.: Die Beklagte wird verurteilt der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten von welchem Empfänger gestohlen wurden und/oder durch welche Empfänger zu welchem Zeitpunkt durch den Datenvorfall aus dem Jahr 2019 erlangt werden konnten.
5.: Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 500,75 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte behauptet, ihre Ermittlungsergebnisse lägen den Schluss nahe, dass der Hackerangriff erst am 06.11.2022 und nicht im Jahr 2019 stattgefunden habe. Lediglich der abgegriffene Datensatz stamme aus dem Jahr 2019. Der Datensatz weise eine hohe Ähnlichkeit zu Daten des Auftragsverarbeiters auf. Die Vertragsbeziehung zu dem Auftragsverarbeiter sei zum 30.11.2020 beendet worden.

Die Beklagte trägt vor, sie habe sich die Löschung der Datensätze beim Auftragsverarbeiter bereits am 30.11.2020 zum 01.12.2020 versichern und erneut am 22.02.2023 bestätigen lassen. Der Auftragsverarbeiter habe im Juni 2023 eingeräumt, dass drei seiner Mitarbeiter die Datensätze der Nutzer von einer Produktiv in eine Nicht-Produktivumgebung überführt haben. Dies sei vertraglich nicht gestattet gewesen und die Beklagte habe hiervon keine Kenntnis gehabt. Einen Angriff auf die eigene IT-Infrastruktur könne sie ausschließen.

Sie habe von dem Cyberangriff erst am 08.11.2022 um 15:33 Uhr Kenntnis erlangt. Die betroffenen Personen habe sie nach Bekanntwerden des Vorfalls am 11.12.2022 auf der unternehmenseigenen Webseite und Anfang 2023 mittels einer individuellen E-Mail über den Cyberangriff informiert.

Die Beklagte trägt vor, ihre und die vom Auftragsverarbeiter getroffenen Sicherheitsvorkehrungen seien dem Risiko angemessen. Ihre eigenen IT-Systeme seien von dem streitgegenständlichen Cyberangriff nicht betroffen.

Die Beklagte behauptet, die Klagepartei habe keinen immateriellen Schaden erlitten. Insbesondere fehle dem formelhaften und pauschalen Vortrag der Bezug zur Klagepartei. Ein von der Klagepartei vorgetragener Schaden fände zudem nicht seine Ursache in dem streitgegenständlichen Datenleck. Die Beklagte trägt weiter vor, sie habe vollständig Auskunft gegenüber der Klagepartei erteilt.

Die Beklagte meint im Wesentlichen, die Klage sei hinsichtlich der Klageanträge zu 2), 3) und 5) unzulässig. Der Klageantrag zu 2) sei zu unbestimmt und der Klagepartei fehle hierbei das Feststellungsinteresse. Auch das mit dem Klageantrag zu 3) verfolgte Unterlassungsbegehren sei unzulässig, da es sich hierbei um eine verdeckte Leistungsklage handle. Außerdem sei der mit dem Klageantrag zu 5) geltend gemachte Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten bereits unzulässig, da insoweit geltend gemachte Ansprüche gemäß § 86 Abs. 1 S. 1 VVG auf den Rechtsschutzversicherer übergegangen seien.

Die Beklagte ist der Ansicht, sie habe nicht gegen die DSGVO verstoßen, weshalb kein Anspruch der Beklagten auf Schadensersatz, Feststellung künftiger Schäden oder Unterlassung bestehe. Insbesondere habe sie und der Auftragsverarbeiter dem Risiko angemessene technische und organisatorische Maßnahmen iSd Art. 32 DSGVO vorgehalten. Die Klagepartei trage die Beweislast für den Nachweis eines kausalen Schadens. Sie habe nicht nachgewiesen, dass Pflichtverletzungen der Beklagten ursächlich für die behaupteten Schäden seien.

Die Beklagte ist weiter der Ansicht, der Klageantrag zu 2) sei überdies unbegründet, da jedenfalls keine Anhaltspunkte für die Möglichkeit eines künftigen Schadenseintritts bestehen. Das Auskunftsbegehren der Klagepartei sei gemäß § 362 Abs. 1 BGB vollständig erfüllt.

Das Gericht hat die Klagepartei in der mündlichen Verhandlung informatorisch angehört.

Wegen der weiteren Einzelheiten wird Bezug genommen auf die eingereichten Schriftsätze nebst Anlagen und das Protokoll der mündlichen Verhandlung.

Entscheidungsgründe

Die Klage hat keinen Erfolg. Der Klageantrag zu 3) ist bereits unzulässig. Die Klageanträge zu 1), 2), 4) und 5) sind unbegründet.

Die Klage ist teilweise zulässig. Hinsichtlich des Klageantrags zu 3) ist die Klage unzulässig.

I. Das Landgericht Nürnberg-Fürth ist international, sachlich und örtlich zuständig.

1. Die internationale Zuständigkeit der deutschen Gerichte folgt aus Art. 79 Abs. 2 S. 2 DSGVO, da die Klägerseite ihren gewöhnlichen Aufenthalt in Deutschland hat.

Nach Art. 79 Abs. 2 S. 2 DSGVO können solche Klagen wahlweise auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

Vorliegend hat die Klagepartei als betroffene Person (Art. 4 Nr. 1 DSGVO) ihren gewöhnlichen Aufenthalt und ihren Wohnsitz in Deutschland. Die Beklagte ist Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, da sie allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten der Klagepartei entscheidet (Vgl. EuGH, Urteil vom 5. Juni 2018 – C-210/16 –, Rn. 30, juris).

2. Das Landgericht Nürnberg-Fürth ist jedenfalls in Folge des rügelosen Einlassens der Beklagten sachlich zuständig geworden, § 39 S.1 ZPO. Die örtliche Zuständigkeit folgt aus § 44 Abs. 1 S. 2 BDSG.

II. Der Klageantrag zu 2) ist zulässig.

1. Der Klageantrag zu 2) ist hinreichend bestimmt.

Bei Ansprüchen auf Schadensersatz ist eine bestimmte Bezeichnung des zum Ersatz verpflichtenden Ereignisses erforderlich (BGH, NJW 1983, 2247). Zur Ermittlung des Klagebegehrens ist nicht allein auf den Antrag selbst abzustellen, sondern auch die Klagebegründung heranzuziehen (BGH, Urteil vom 15.06.2021 – VI ZR 576/19 –, Rn. 32, juris). Zwar lässt die Formulierung des auf Feststellung der Ersatzpflicht für „künftige (…) Schäden“, die „entstanden sind“ gerichteten Klageantrags in sich widersprüchlich, da künftige Schäden noch nicht entstanden sind. Auch lässt der Klageantrag zu 2) keine Abgrenzung zu dem mit dem Klageantrag zu 1) begehrten Ersatz des immateriellen Schadens erkennen. Allerdings ergibt sich aus der Klageschrift (Ziff. B.II.2.), dass sich der Antrag auf künftige Schäden richtet, die ihr aus dem Abhandenkommen ihrer personenbezogenen Daten ihr noch entstehen könnten, soweit sie nicht vom Klageantrag zu 1) umfasst sind. So verstanden, genügt der Antrag den Anforderungen an die Bestimmtheit (Vgl. OLG Dresden, Urteil vom 5. Dezember 2023 – 4 U 1094/23 –, Rn. 50, juris).

2. Die Klagepartei hat hinsichtlich des Klageantrags zu 2) ein Feststellungsinteresse gemäß § 256 Abs. 1 ZPO.

Ein Feststellungsantrag ist schon zulässig, wenn die Schadensentwicklung noch nicht abgeschlossen ist und der Kläger seinen Anspruch deshalb ganz oder teilweise nicht beziffern kann. Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH Urt. v. 29.6.2021 – VI ZR 52/18, GRUR-RS 2021, 18696 Rn. 30; BGH, Urteil vom 2. April 2014 – VIII ZR 19/13 –, Rn. 18, juris; BGH, Beschluss vom 9. 1. 2007 – VI ZR 133/06, NJW-RR 2007, 601). Diese Rechtsprechung ist auf Ansprüche aus Art. 82 DSGVO zu übertragen (OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23 –, Rn. 236, juris; OLG Hamm GRUR-RS 2023, 22505 Rn. 193; aA).

Es ist vorliegend nicht auszuschließen, dass der Klagepartei bei den behaupteten Verstößen gegen die DSGVO und der Veröffentlichung ihrer personenbezogenen Daten ein Schaden auch künftig entstehen könnte (vgl. OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23 –, Rn. 236 ff., juris). Man muss bei verständiger Würdigung damit rechnen, dass zumindest eine gewisse Wahrscheinlichkeit für das Eintreten eines künftigen Schadens nicht auszuschließen ist. Denn ein Missbrauch von abhanden gekommenen personenbezogenen Daten kann Jahre nach dem ursprünglichen Datenleck passieren. Unbefugte Dritte müssen dabei die erlangten Daten nicht sofort verwenden.

III. Der Klageantrag zu 3) ist unzulässig.

Grundsätzlich ist ein Klageantrag hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des Unterliegens der Klagepartei nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird. Der Klageantrag ist der Auslegung zugänglich. Dabei ist auch die Klagebegründung heranzuziehen (vgl. Zöller/Greger, ZPO, 34. Auflage, § 253 Rn. 13 m.w.N.).

Nach § 253 Abs. 2 Nr. 2 ZPO darf ein Unterlassungsantrag – und nach § 313 Abs. 1 Nr. 4 ZPO eine darauf beruhende Verurteilung – nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt. Aus diesem Grund sind Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, grundsätzlich als zu unbestimmt und damit als unzulässig anzusehen. Abweichendes kann gelten, wenn der gesetzliche Verbotstatbestand eindeutig und konkret gefasst ist, sein Anwendungsbereich durch eine gefestigte Auslegung geklärt ist oder der Kläger hinreichend deutlich macht, dass er kein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert. Die Bestimmtheit des Unterlassungsantrags setzt in solchen Fällen allerdings grundsätzlich voraus, dass zwischen den Parteien kein Streit darüber besteht, dass das beanstandete Verhalten das fragliche Tatbestandsmerkmal erfüllt. Die Wiedergabe des gesetzlichen Verbotstatbestands in der Antragsformulierung ist auch unschädlich, wenn sich das mit dem nicht hinreichend klaren Antrag begehrte durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht in Frage steht, sondern sich deren Streit auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt. Eine auslegungsbedürftige Antragsformulierung kann im Übrigen hinzunehmen sein, wenn eine weitergehende Konkretisierung nicht möglich und die gewählte Antragsformulierung zur Gewährung effektiven Rechtsschutzes erforderlich ist (BGH, Urteil vom 26. Januar 2017 – I ZR 207/14 –, Rn. 18, juris m.w.N.).

Nach diesen Kriterien weist der Klageantrag zu 3) keine hinreichende Bestimmtheit auf.

Aus dem Antrag ist nicht hinreichend ersichtlich, welche Maßnahmen die Beklagte konkret zur Erfüllung ihrer Pflicht zu ergreifen hat. Ohne eine solche Konkretisierung ist für die Beklagte nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde. Darüber hinaus wäre für das Vollstreckungsgericht nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Beklagten veranlasst werden müssten. Dies gilt vorliegend umso mehr, als Gegenstand des Unterlassungsantrages nicht lediglich die Unterlassung der Gewährleistung desjenigen Schutzniveaus zum Zeitpunkt des streitgegenständlichen Datenleaks ist, sondern darüber hinausgehend und mit Blick auf etwaige zukünftige Entwicklungen und Verstöße die Unterlassung der Zugänglichmachung von personenbezogenen Daten ohne die möglichen Sicherheitsmaßnahmen. In der Sache beansprucht die Klägerseite damit aber lediglich ein Verbot im Umfang des Gesetzeswortlauts des Art. 32 Abs. 1 DSGVO. Die auslegungsbedürftige Antragsformulierung lässt sich auch durch Auslegung unter Heranziehung des Sachvortrags der Klägerseite nicht eindeutig präzisieren, da insoweit kein Vortrag erfolgt ist. Sie ist entgegen der Auffassung der Klägerseite auch nicht unter dem Gesichtspunkt der Gewährung effektiven Rechtsschutzes ausnahmsweise hinzunehmen. Es steht der Klägerseite frei, eine hinreichende Konkretisierung zu erreichen, indem sie ihr Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert, was sie vorliegend nicht getan hat.

Die Klage ist, soweit sie zulässig ist, unbegründet.

I. Der Klageantrag zu 1) ist unbegründet. Die Klagepartei hat gegenüber der Beklagten keinen Anspruch auf Schadensersatz gemäß Art. 82 DSGVO.

1. Der Anwendungsbereich der DSGVO ist eröffnet. Der sachliche Anwendungsbereich der DSGVO ist vorliegend gemäß Art. 2 DSGVO gegeben, da die Beklagte unstreitig personenbezogene Daten der Klagepartei im Rahmen des Musikstreaming-Dienstes verarbeitet und kein Ausschlussgrund des Art. 2 Abs. 2, 3 DSGVO vorliegt. Auch der räumliche Anwendungsbereich nach Art. 3 Abs. 1 DSGVO ist eröffnet. Die Beklagte ist als Betreiberin der Plattform ... unstreitig Verantwortliche i.S.d. Art. 82, Art. 4 Nr. 7 DSGVO, da sie über die Mittel und Zwecke der Datenverarbeitung bestimmt. Sie hat ihren Sitz in ... .

Die ... ist im vorliegenden Fall Auftragsverarbeiter iSd Art. 4, Nr. 8, Art. 28 DSGVO, da diese personenbezogene Daten der Nutzer von ... zumindest bis 30.11.2020 im Auftrag der Beklagten verarbeitete. Die Beklagte bestimmte mit dem Auftragsverarbeitungsvertrag (Anlage B2) die Mittel und Zwecke der Verarbeitung, weshalb keine eigene Verantwortlichkeit der ... (im Folgenden: Auftragsverarbeiter) vorliegt.

2. Ob ein der Beklagten zurechenbarer Verstoß gegen die DSGVO gegeben ist kann vorliegend dahinstehen, da jedenfalls kein kausaler Schaden aufgrund einer Verletzung der DSGVO von der Beklagten hinreichend dargelegt ist oder ein solcher vorliegt.

Ein für einen Schaden ursächlicher Verstoß gegen Art. 32 DSGVO liegt nicht vor. Selbst unter der Annahme einer Verletzung von Art. 32 DSGVO, bleibt die Klägerseite den Nachweis eine kausalen Schadens gemäß Art. 82 DSGVO fällig.

a. Der Verantwortliche haftet lediglich für kausal durch die rechtswidrige Verarbeitung verursachte Schäden (EuGH Urt. v. 25.1.2024 – C-687/21 = NZA 2024, 320 (323) Rn. 58, 61; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 41). Eine Mitursächlichkeit des Verstoßes gegen die DSGVO genügt (OLG Stuttgart ZD 2021, 375; LG Köln ZD 2022, 52 Rn. 21) .

Die Klagepartei trägt die Darlegungs- und Beweislast für die Kausalität nach allgemeinen zivilprozessualen Grundsätzen. Für die Frage der haftungsbegründenden Kausalität gilt § 286 ZPO. § 286 ZPO erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet (BGH Urt. v. 23.6.2020 – VI ZR 435/19, VersR 2021, 1497 Rn. 13; OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23 –, Rn. 196, juris). Die insoweit notwendige volle Überzeugung kann sich die Kammer ggf. auch allein durch eine Parteianhörung nach § 141 ZPO verschaffen (BGH Urt. v. 06.12.2022 – VI ZR 168/21, Rn. 19).

b. Ein solcher brauchbarer Grad an Gewissheit, der Zweifeln Schweigen gebietet, liegt zur Überzeugung des Gerichts nicht vor. Die Klagepartei bleibt selbst bei Annahme eines Verstoßes gegen die DSGVO und eines Schadens in Form eines Kontrollverlustes beweisfällig für einen auf einer Verletzung der DSGVO beruhenden Schaden.

aa. Grundsätzlich ist das Gericht der Überzeugung, dass ein Kontrollverlust über personenbezogenen Daten einen immateriellen Schaden darstellen kann.

Der Schadensbegriff des Art. 82 DSGVO ist unionsrechtlich auszulegen und setzt nach dem Wortlaut der Norm, der Systematik und Telos des Art. 82 Abs. 2, Abs. 1 DSGVO sowie der Art. 77 ff. DSGVO und den Erwägungsgründen 75, 85 und 146 DSGVO einen über den schlichten Verstoß gegen die DSGVO hinausgehenden Schaden voraus (so EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 29-42; GA Campos Sánchez-Bordona Schlussantr. v. 6.10.2022 – C-300/21, GRUR-RS 2022, 26562 Rn. 117; OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23 –, Rn. 152, juris). Ein Schaden i.S.d. Art. 82 DSGVO kann nach dem Wortlaut materieller oder immaterieller Art sein. Ein immaterieller Schaden liegt dabei jedoch noch nicht in der bloßen Verletzung einer Norm der DSGVO (EuGH, Urteil vom 4. Mai 2023 – C-300/21; OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23).

Ein solcher Schaden setzt nach Wortlaut, Erwägungsgründen 10, 146 DSGVO und dem Telos nicht voraus, dass der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (so EuGH Urt. v. 4.5.2023 – C-300/21, GRUR-RS 2023, 8972 Rn. 44-51; OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23 –, Rn. 154, juris).

Hierbei ist zu beachten, dass nach Erwägungsgrund 146 der DSGVO der Schadensbegriff weit und den Zielen der DSGVO entsprechend ausgelegt werden soll. So wird aus Erwägungsgrund 7 der DSGVO das Ziel ersichtlich, dass natürliche Personen die Kontrolle über ihre eigenen Daten besitzen sollten. Einen Schaden erst dann anzunehmen, wenn es etwa zu einer mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden (öffentlichen) „Bloßstellung“, einem Identitätsdiebstahl, einer Weitergabe intimer Informationen oder einer anderen „ernsthaften Beeinträchtigung für das Selbstbild oder Ansehen einer Person“ kommt, und ein „besonderes immaterielles Interesse“ zu verlangen, das über den allein durch die Verletzung an sich hervorgerufenen Ärger oder sonstige Gefühlsschäden hinausgeht, verkennt den autonom und nach Erwägungsgrund 146 ausdrücklich weit auszulegenden Begriff des Schadens (Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 18a).

So sieht Erwägungsgrund 75 der DSGVO, dass eine Verarbeitung „zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere […] wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren.“

Ebenso ist Erwägungsgrund 85 der DSGVO zu beachten, der einen Kontrollverlust als Schaden bezeichnet. Danach kann eine Verletzung des Schutzes personenbezogener Daten „einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte […]“ nach sich ziehen (Vgl. hierzu Gola/Heckmann/Gola, 3. Aufl. 2022, DS-GVO Art. 4 Rn. 112).

Mit dem Wort „insbesondere“ in Erwägungsgrund 75 bringt der europäische Gesetzgeber zum Ausdruck, dass er eine nicht abschließende Aufzählung von für ihn möglich gehaltenen Schadensereignissen im Erwägungsgrund 75 getroffen hat und bereits in einem Kontrollverlust den eingetretenen Schaden sieht (Ähnlich: Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 18b). Dies wird an den anderen aufgezählten Fallgruppen deutlich. So sind eine Diskriminierung, ein Identitätsdiebstahl oder -betrug, ein finanzieller Verlust, eine Rufschädigung, ein Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, die unbefugten Aufhebung der Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile bereits ein materieller oder immaterieller Schaden. Es erschließt sich nicht, warum sich bei einem Kontrollverlust ein (immaterieller) Schaden erst bei der betroffenen Person in Form einer emotionalen Betroffenheit zeigen muss.

bb. Die Klagepartei bleibt vorliegend jedoch den Nachweis fällig, dass selbst bei Annahme einer Verletzung von Art. 32 DSGVO und eines Schadens im Sinne eines Kontrollverlusts, dieser kausal auf eine Verletzung von Art. 32 DSGVO zurückzuführen ist.

(1) Der Schaden muss gerade durch den Rechtsverstoß entstanden sein. Es genügt nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es zu einem Rechtsverstoß gekommen ist. Zwar umfasst der Begriff der Verarbeitung nach Art. 4 Nr. 2 DSGVO nicht nur einzelne Vorgänge der Datenverarbeitung, sondern auch Vorgangsreihen, sodass denkbar wäre, dass ein einzelner Verstoß in diesem Zusammenhang die gesamte Vorgangsreihe „infiziert“. Art. 82 Abs. 1 DSGVO macht aber deutlich, dass der Schaden „wegen eines Verstoßes gegen diese Verordnung“ entstanden sein muss, also gerade der Rechtsverstoß zu dem Schaden geführt haben muss (Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 42). Insoweit gilt die conditio-sine-qua-non-Formel (Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 82, Rn. 13).

(2) Selbst unterstellt die Beklagte oder deren Auftragsverarbeiter hätten keine hinreichende technischen und organisatorischen Maßnahmen getroffen, kann nur aufgrund des Abgreifens der personenbezogenen Daten der Klagepartei durch Hacker nicht der Rückschluss oder die Vermutung gefolgert werden, dass der Datenabgriff durch unbefugte Dritte aufgrund von nicht hinreichenden geeigneten technischen und organisatorischen Maßnahmen bei der Beklagten oder deren Auftragsverarbeiter ermöglicht oder verursacht worden ist.

Vorliegend ist es unklar, wie die personenbezogenen Daten der Klagepartei von den Hackern abgegriffen worden sind. Über die genaue Vorgehensweise sind weder von der Klagepartei noch von der Beklagten hinreichende Tatsachen vorgetragen und dargelegt.

Nach dem EuGH ist eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch Dritte iSv Art. 4 Nr. 10 DSGVO allein nicht ausreichend, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht geeignet iSd Art. 24, 32 DSGVO waren (EuGH, Urteil vom 14.12.2023 – C-340/21 = MMR 2024, 231 Rn. 39).

Nach dem Vortrag der Beklagten fand der Cyberangriff bei dem Auftragsverarbeiter statt. Drei Mitarbeiter hätten die personenbezogenen Daten der Nutzer von ... unberechtigterweise in eine Nichtproduktivumgebung überführt. Ob die personenbezogenen Daten sodann aus dieser Nichtproduktivumgebung von den Hackern abgegriffen worden sind, bleibt unklar. Eine (Mit-)Ursächlichkeit der Beklagten oder deren Auftragsverarbeiter ist daher für das Gericht nicht feststellbar.

(3) Soweit die Klagepartei sodann zur Kausalität des Schadens ausführt (Replik Ziff. B.II.2.d.), knüpft sie an den von ihr selbst vorgetragenen Schaden eines Kontrollverlusts und an die „rechtswidrige Offenlegung“ an. Dabei knüpft sie nicht an eine Verletzung der DSGVO durch die Beklagte oder deren Auftragsverarbeiter an.

Nach dem Vortrag der Klägerseite sollen die unzureichenden Schutzmaßnahmen den Datenabgriff ermöglicht bzw. erleichtert haben. Da insoweit unklar ist, wie der Datenabgriff durch die Hacker erfolgt ist, ist dieser Vortrag der Klagepartei als Vortrag „ins Blaue hinein“ zu werten. Es steht eben nicht fest, sondern bleibt insoweit unklar, ob der Datenabgriff aufgrund fehlender technischen und organisatorischen Maßnahmen bei der Beklagten oder deren Auftragsverarbeiter stattfinden konnte. Dabei stellt es keinen Automatismus dar, dass der konkrete Datenabgriff selbst bei der Annahme unzureichender Kontrollmechanismen ermöglicht oder erleichtert worden ist oder mit an Sicherheit grenzender Wahrscheinlichkeit verhindert worden wäre. Die Klagepartei selbst legt einen solchen Ursachenzusammenhang auch nach Darlegung der getroffenen technischen und organisatorischen Maßnahmen durch die Beklagte nicht in nachvollziehbarer Weise dar. Vielmehr stellt sie stets die Vermutung an, nicht hinreichender technischer und organisatorischer Maßnahmen iSd Art. 32 DSGVO hätten zum Datenabgriff geführt. Welche konkreten Maßnahmen fehlen und zum Datenabgriff geführt haben, legt sie nicht dar.

Insoweit die Klägerseite ausführt, es seien die Ausübung von Kontrollrechten aus dem Auftragsverarbeitungsvertrag und Maßnahmen in Bezug auf den Datenmissbrauch durch Mitarbeiter nicht gegeben (Replik Ziff. A.), ist es für das Gericht aufgrund der Unklarheit des Datenabgriffs nicht ersichtlich, dass dieser deswegen erfolgte. Gleiches gilt für den Vortrag der Klägerseite, dass der Auftragsverarbeiter nicht gewissenhaft und sorgfältig von der Beklagten ausgewählt worden sein soll (Replik Ziff. A.).

Es greift für das Tatbestandsmerkmal der Kausalität nach Art. 82 DSGVO gerade keine Vermutung. Diese betrifft nach dem Wortlaut des Art. 82 Abs. 3 DSGVO nur das Verschulden. Die Klagepartei hat vorliegend nicht den Nachweis erbracht, dass fehlenden Kontrollmechanismen, den Datenabgriff ermöglichten oder erleichterten.

Das Gericht konnte sich nach dem Vortrag der Parteien nur davon überzeugen, dass Hacker die personenbezogenen Daten der Klagepartei, die sie bei der Beklagten angegeben hat, abgegriffen haben.

Grundsätzlich können in einem Datenverlust durch das Abgreifen und Veröffentlichen von personenbezogenen Daten (immaterielle) Schäden in Form von Spam oder Belästigungsanrufe eintreten. Ob solche Schäden vorliegend substantiiert durch die Klägerseite vorgetragen sind, kann dahinstehen, da jedenfalls keine Kausalität zwischen dem Datenleck und den Spam-E-Mails von der Klägerseite hinreichend darlegt ist.

Es steht nicht fest, dass einerseits der Datenabgriff aufgrund einer Verletzung der DSGVO durch die Beklagte oder deren Auftragsverarbeiter resultiert (Vgl. Ziff. B.I.2.b.) und andererseits die Spam-E-Mails ihre Ursache im Datenleck finden. Es besteht zwar die Möglichkeit, dass die personenbezogenen Daten der Klagepartei aus dem Datenleck für die Spam-E-Mails verwendet werden. Jedoch ist ein konkreter Ursachenzusammenhang nicht hinreichend von der Klagepartei dargelegt.

Dem Gericht ist es aus eigener Wahrnehmung bekannt, dass auch Personen, die nicht vom Datenleck bei der Beklagten betroffen sind, Spam-E-Mails erhalten. Es kann vorliegend viele Ursachen für diese Spam-E-Mails geben. Es besteht die Möglichkeit, dass die Klagepartei ihre personenbezogenen Daten an anderer Stelle weitergegeben oder diese an anderer Stelle abgegriffen wurden und diese von dort für die Spam-E-Mails durch genutzt werden oder an unbefugte Dritte gelangt sind. Allein der Umstand, dass die E-Mail-Adresse der Klagepartei im abgegriffenen Datensatz enthalten war, lässt nicht die Schlussfolgerung zu, dass die Absender der Spam-E-Mails die E-Mail-Adresse der Klagepartei aus dem Datenleck bei der Beklagten haben.

(d) Das Gericht kann überdies keinen immateriellen Schaden feststellen, soweit die Klägerseite Befürchtungen über einen zukünftigen Missbrauch ihrer personenbezogenen Daten oder ein Unwohlsein aufgrund des Datenabgriffs behauptet.

Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann grundsätzlich einen „immateriellen Schaden“ im Sinne des Art. 82 DSGVO darstellen (EuGH Urt. v. 14.12.2023 – C-340/21, BeckRS 2023, 35786 Rn. 86).

Eine solche subjektive Beeinträchtigung in Form von Befürchtungen über den Missbrauch der Daten oder ein Unwohlsein aufgrund des Datenabgriffs kann das Gericht nach der informatorischen Anhörung des Klägers jedoch nicht feststellen. Die Klagepartei hat kein Unwohlsein oder eine Beeinträchtigung bestätigt.

Die Klagepartei hat insoweit nur angegeben, achtsamer mit ihren Daten seit Bekanntwerden des Datenabgriffs umzugehen. Dies konnte das Gericht so nicht feststellen und ist für das Gericht wenig glaubhaft. Insbesondere hat die Klagepartei keine konkrete Verhaltensänderung nach Bekanntwerden des Datenlecks angegeben. Auch gab die Klagepartei an, schon immer auf ihre Daten zu achten. Die Klagepartei gibt ihre Daten jedoch bei zahlreichen Online-Diensten, wie ..., ... und zahlreichen Shoppingportalen an. Die Klagepartei hat insoweit jedenfalls keine Vorbehalte ihre personenbezogenen Daten im Internet anzugeben. Eine höhere Achtsamkeit alleine aufgrund des vorliegenden Datenabgriff ist daher wenig glaubhaft.

Der Vortrag in der Klageschrift zum großen Unwohlsein und zur großen Sorge über möglichen Missbrauch der betreffenden Daten ist für eine weitere Beeinträchtigung zu pauschal. Insbesondere wird diese Formulierung in zahlreichen Schriftsätzen der Prozessbevollmächtigten der Klagepartei verwendet. Eine Konkretisierung und objektive Nachvollziehbarkeit dieses Unwohlseins z.B. in Form einer Verhaltensänderung der Klagepartei lässt sich so vorliegend nicht feststellen.

3. Die Klagepartei ist der ihr obliegenden Darlegungs- und Beweislast hinsichtlich eines Schadens wegen etwaiger Verstöße gegen Art. 15 DSGVO, Art. 33 DSGVO und Art. 34 DSGVO nicht hinreichend nachgekommen.

Hinsichtlich der seitens der Klagepartei gerügten Verstöße gegen die Meldepflicht nach Art. 33 DSGVO und die Benachrichtigungspflicht nach Art. 34 DSGVO ist kein konkreter auf die fehlenden Informationen zurückzuführenden Schaden ersichtlich. Dass das Abhandenkommen der personenbezogenen Daten der Klagepartei aufgrund einer rechtzeitigen Information noch konkret bezüglich der Klagepartei hätte verhindert oder die Veröffentlichung des Leak-Datensatzes mitsamt den Daten der Klagepartei hätte verhindert werden können, ist schon nicht ersichtlich, hätte aber auch allenfalls zum Entfallen des aus Sicht der Klagepartei erst auf Grund der Veröffentlichung der personenbezogenen Daten entstandenen Schadens und gerade nicht zu einer Vertiefung oder Begründung desselben geführt.

Auch soweit die Klägerseite vorträgt, sie habe einen immateriellen Schaden wegen einer unzureichenden Auskunft der Beklagten gemäß Art. 15 DSGVO erlitten, kann das Gericht neben eines fehlenden Verstoßes gegen Art. 15 DSGVO (s. Ziff. B.III.) bereits keinen Schaden feststellen.

Die von der Klagepartei vorgetragenen subjektiven Beeinträchtigungen in Form einer Intensivierung des Kontrollverlusts, des Unwohlseins, großer Sorgen sowie Ärger hätten sich durch die unterbliebenen Informationen verstärkt, konnte das Gericht nicht feststellen.

Insoweit hat sich nach der informatorischen Anhörung der Klagepartei nicht bestätigt, dass die aus Sicht der Klägerseite unzureichende Benachrichtigung der Klagepartei selbst, der Aufsichtsbehörde oder eine unzureichende Auskunft der Beklagten Sorgen, Ängste sowie Ärger schürt oder ein Unwohlsein auslöst.

II. Der Klageantrag zu 2) ist unbegründet.

Die Klagepartei hat keinen Anspruch auf Feststellung künftiger materieller Schäden.

Nach dem BGH ist ein Feststellungsantrag begründet, wenn die sachlichen und rechtlichen Voraussetzungen eines Schadensersatzanspruchs vorliegen, also ein haftungsrechtlich relevanter Eingriff gegeben ist, der zu möglichen künftigen Schäden führen kann (BGH, Urteil vom 17. Oktober 2017 – VI ZR 423/16 –, BGHZ 216, 149-174, Rn. 49; ähnlich MüKoZPO/Becker-Eberhard, 5. Aufl., § 256 Rn. 32).

Im vorliegenden Fall ist ein Schadensersatzanspruch der Klagepartei gegenüber der Beklagten nicht gegeben (Vgl. Ziff. I.), weshalb kein haftungsrechtlich relevanter Eingriff nach den vorstehenden Anforderungen vorliegt.

III. Der Klageantrag zu 4) ist unbegründet. Der Klagepartei steht kein Anspruch gemäß Art. 15 Abs. 1 DSGVO gegenüber der Beklagten zu. Die Beklagte hatte den Auskunftsanspruch, soweit er bestand, bereits gemäß § 362 Abs. 1 BGB erfüllt.

1. Grundsätzlich besteht nach Art. 15 Abs. 1 DSGVO ein Anspruch auf Auskunft der betroffenen Person gegen den Verantwortlichen in dem in Art. 15 Abs. 1 lit. a) – lit. h) DSGVO bezeichneten Umfang, wenn der Verantwortliche personenbezogene Daten verarbeitet (vgl. BGH, Urteil vom 15.06.2021 – VI ZR 576/19 = NJW 2021, 1381).

a.Der Anspruch erstreckt sich nicht auf eine Verarbeitung personenbezogener Daten durch Dritte. Soweit die personenbezogene Daten von unbefugten Dritten verarbeitet wurden, ist jedenfalls nicht die Beklagte auskunftspflichtig (Vgl. LG Aachen Urt. v. 10.2.2023 – 8 O 177/22, GRUR-RS 2023, 2621 Rn. 96-98; LG Essen Urt. v. 10.11.2022 – 6 O 111/22, GRUR-RS 2022, 34818 Rn. 101; LG Regensburg Endurteil v. 11.5.2023 – 72 O 1413/22, GRUR-RS 2023, 13826 Rn. 82).

b.Der Anspruch nach Art. 15 DSGVO umfasst vorliegend nicht die namentliche Auskunft über die drei von der Beklagten benannten Mitarbeiter des Auftragsverarbeiters.

Arbeitnehmer sind nicht als „Empfänger“ im Sinne von Art. 15 Abs. 1 Buchst. c DSGVO […] anzusehen, wenn sie personenbezogene Daten unter der Aufsicht dieses Verantwortlichen und im Einklang mit seinen Weisungen verarbeiten (EuGH Urt. v. 22.6.2023 – C-579/21, BeckRS 2023, 14515 Rn. 7).

Wenn sind die praktische Wirksamkeit, der durch die DSGVO eingeräumten Rechte sicherzustellen und die Rechte und Freiheiten anderer Personen kollidieren, sind diese gegeneinander abzuwägen. Nach Möglichkeit sind Modalitäten zu wählen, die die Rechte und Freiheiten anderer Personen nicht verletzen, wobei zu berücksichtigen ist, dass diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird (EuGH Urt. v. 22.6.2023 – C-579/21, BeckRS 2023, 14515 Rn. 80).

Vorliegend haben die drei Mitarbeiter des Auftragsverarbeiters die personenbezogenen Daten der Klagepartei in einer Nicht-Produktivumgebung verarbeitet.

Die Klagepartei legt nicht dar, welche Rechte sie durch eine nicht namentliche Nennung der Mitarbeiter des Auftragsverarbeiters nicht oder nur eingeschränkt ausüben kann. Insoweit kann die Klagepartei alle in Art. 15 – Art. 21 DSGVO gegenüber der Beklagten als Verantwortliche und dem Auftragsverarbeiter geltend machen.

2. Die Beklagte hat den Auskunftsanspruch der Klagepartei gemäß den Anforderungen des Bundesgerichtshofs (BGH, Urteil vom 15. Juni 2021 – VI ZR 576/19) zudem erfüllt, § 362 Abs. 1 BGB.

100

Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urteil vom 3. September 2020 – III ZR 136/18, GRUR 2021, 110 Rn. 43 m.w.N.). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (BGH, Urteil vom 15. Juni 2021 – VI ZR 576/19 –, Rn. 19 – 20, juris; vgl. auch OLG Dresden, Urteil vom 16. April 2024 – 4 U 213/24 –, Rn. 75, juris).

101

Die Beklagte hat mit Anwaltsschreiben und E-Mail (Anlagen K1, B14) zunächst Auskunft über die Verarbeitung personenbezogener Daten der Klagepartei gegeben. Mit der Klageerwiderung gab die Beklagte weiter Auskunft über die verarbeiteten personenbezogenen Daten der Klagepartei (Klageerwiderung Ziff. B.I.2.3.; Anlage B6). Damit hat die Beklagte das Auskunftsersuchen der Beklagten hinreichend nach den Anforderungen des Bundesgerichtshofs erfüllt.

102

IV. Der Klageantrag zu 5) ist jedenfalls unbegründet. Ob der geltend gemachte Anspruch auf Erstattung der vorgerichtlichen Rechtsanwaltskosten gemäß § 86 Abs. 1 Satz 1 VVG auf den Rechtsschutzversicherer übergegangen ist, kann daher unentschieden bleiben.

103

Einerseits teilt der Klageantrag zu 5) als Nebenforderung das Schicksal der Hauptforderungen, da die Klage zu den Klageanträgen zu 1), 2), 3) und 4) unbegründet oder bereits unzulässig ist.

104

Andererseits war die Beklagte vor Beauftragung der Prozessbevollmächtigten aufgrund eigener Tätigkeit der Klagepartei nicht in Verzug gemäß § 286 BGB. Die Beklagte sah sich erstmalig mit dem Anwaltsschreiben der Klägervertreter (Anlage K1) mit den Ansprüchen der Klagepartei konfrontiert. Es erfolgte die Mandatierung der Klägervertreter folglich vor dem Zugang des Aufforderungsschreibens bei der Beklagten. Die Klagepartei legt auch nicht dar, dass die vor Verzugseintritt erfolgte Mandatierung der Prozessbevollmächtigten zur effektiven Durchsetzung der klägerischen Ansprüche aufgrund der Schwierigkeit der Sach- und Rechtslage erforderlich und notwendig war.

105

V. Die von der Klagepartei geltend gemachten Zinsen teilen als Nebenforderung das Schicksal der Hauptforderung.

106

Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO. Die Entscheidung zur vorläufigen Vollstreckbarkeit folgt aus § 708 Nr. 11, § 711, § 709 ZPO.

107

Der Streitwert ist auf 2.500 € festzusetzen.

108

1. Der Streitwert für den Klageantrag zu 1) ist wegen der Angabe eines Mindestbetrags (Vgl. Zöller, ZPO, 35. Auflage 2024, § 3 Rn. 16.171) auf 1.000 € festzusetzen.

109

2. Der Streitwert für den Klageantrag zu 2) ist gemäß § 3 ZPO nach Schätzung des Klägerinteresses auf 500,00 € festzusetzen. Das Gericht schätzt dieses Interesse unter Berücksichtigung der hinsichtlich etwaiger künftiger Schäden ersichtlich schwierig nachzuweisenden Kausalität auf 500,00 € (Vgl. OLG Hamm, Urteil vom 15. August 2023 – I-7 U 19/23 –, Rn. 279, juris; OLG Frankfurt, Beschluss vom 18. Juli 2023 – 6 W 40/23 –, Rn. 11, juris; OLG Karlsruhe, Beschluss vom 5. Juli 2023 – 10 W 5/23 –, Rn. 15, juris).

110

3. Gemäß § 3 ZPO wird der Wert von dem Gericht nach freiem Ermessen festgesetzt. Für den nichtvermögensrechtlichen Anspruch im Klagantrag Ziff. 3 wird der Streitwert gem. § 48 Abs. 2 GKG unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien, nach Ermessen bestimmt. Der in 23 Abs. 3 S. 2 RVG genannten Ausgangswert von 5.000,00 € gibt grundsätzlich nur einen ersten Anhalt, der nach den Umständen des Einzelfalls zu ermäßigen oder zu erhöhen ist (LG München, Beschluss vom 09.07.2019 – 2 T 2032/19, BeckRS 2019, 13929; OLG Saarbrücken, BeckRS 2018, 33509). Bei einer Unterlassungsklage ist dabei insbesondere auch das Unterlassungsinteresse der Klagepartei und damit ihre auf Grund des zu beanstandenden Verhaltens zu besorgende wirtschaftliche Beeinträchtigung zu berücksichtigen (OLG Hamm, NJW-RR 2014, 894, m.w.N.).

111

Zu berücksichtigen ist zudem die Stellung der Beteiligten sowie Art, Umfang und Gefährlichkeit der zu unterlassenden oder begehrten Handlung (vgl. BGH Beschluss vom 25.4.2023 – VI ZR 111/22, GRUR 2023, 1143 Rn. 13 m. w. N.). Das Gericht ist bei der Streitwertbemessung nicht an die subjektiven Wertangaben in der Klageschrift gebunden (so explizit BGH Beschluss vom 8.10.2012 – X ZR 110/11, GRUR 2012, 1288 Rn. 4; OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23 –, Rn. 276, juris).

112

Ausgehend von diesen Maßstäben hält das Gericht für den Klageantrag zu 3) einen Streitwert von 500,00 € für angemessen. Dabei berücksichtigt das Gericht insbesondere die wirtschaftliche Beeinträchtigung, die von dem beanstandeten Verhalten zu besorgen ist und die beseitigt werden soll entsprechend des geltend gemachten Schadensersatzanspruchs in Höhe von 1.000,00 € (Klageantrag zu 1). Der Klageantrag zu 3) stützt sich im Wesentlichen auf eine Wiederholungsgefahr bezüglich nur eines Teils der vermeintlich vorliegenden Datenschutzverstöße der Beklagten. Abgesehen von den unterschiedlichen Zeiträumen des den Klageanträgen Ziff. 1 und 2 zugrundeliegenden Geschehens in der Vergangenheit und den von Klageantrag Ziffer 3 erfassten Wiederholungen in der Zukunft sind keine Umstände erkennbar, die eine unterschiedliche wirtschaftliche Bewertung rechtfertigen könnten. Dass ein zukünftiger gleichgelagerter Vorfall eine signifikant größere wirtschaftliche Bedeutung entfalten könnte, als das im Verhältnis der Parteien mit insgesamt 1.500 Euro für die Klageanträge 1 und 2 zu bemessende Interesse, hat die Klagepartei nicht aufgezeigt (OLG Karlsruhe, Beschluss vom 5. Juli 2023 – 10 W 5/23 –, Rn. 16, juris). Der Streitwert für den Klageantrag zu 3) kann deshalb jedenfalls nicht oberhalb der vermeintlich insgesamt mit den Klageanträgen zu 1) und 2) vorgetragenen Beeinträchtigungen liegen (Vgl auch OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23 –, Rn. 281, juris).

113

4. Der Streitwert für den Klageantrag zu 4) ist auf 500 € festzusetzen, da insoweit keine besonderen Umstände hinzutreten, die über einen massenhaften gewährten Auskunftsanspruch hinausginge, der ein allgemeines Informationsinteresse befriedigen soll (Vgl. LAG Nürnberg, Beschluss vom 30.10.2020 – 2 Ta 123/20 = ZD 2021, 326 Rn. 25 m.w.N.).

114

5. Der Klageantrag zu 5) ist als Nebenforderung nicht streitwerterhöhend.