I.

Die Berufung hat offensichtlich keine Aussicht auf Erfolg.

Die angefochtene Entscheidung beruht weder auf einer Rechtsverletzung im Sinne des § 546 ZPO noch rechtfertigen die nach § 529 ZPO zugrunde zu legenden Tatsachen eine andere Entscheidung (§ 513 Abs. 1 ZPO).

Das Landgericht hat die Klage mit umfassender und zutreffender Begründung zu Recht abgewiesen, so dass das Berufungsvorbringen lediglich zu nachfolgenden Ausführungen veranlasst.

1. Dem Kläger steht ein Anspruch auf Ersatz eines entstandenen immateriellen Schadens wegen eines klägerseits behaupteten Verstoßes gegen die DSGVO weder aus Art. 82 Abs. 1 DSGVO noch aus einem anderen Rechtsgrund zu.

Dabei kann dahinstehen, ob die Beklagte zurechenbar gegen die DSGVO verstoßen hat; denn es fehlt jedenfalls an einem ersatzfähigen Schaden i.S.d. Art. 82 Abs. 1 DSGVO. Entgegen der klägerischen Auffassung konnte das Landgericht die Frage eines der Beklagten zurechenbaren Datenschutzverstoßes daher offenlassen.

a. Ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO setzt eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, einen der betroffenen Person entstandenen Schaden und einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden voraus; der bloße Verstoß gegen Bestimmungen der DSGVO reicht demnach nicht aus (EuGH, Urteil vom 04.05.2023, C-300/21, juris Rn. 36, 42). Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person (EuGH, a.a.O., juris Rn. 50).

Zwar braucht ein immaterieller Schaden, den die betroffene Person erlitten hat, keinen bestimmten Grad an Erheblichkeit zu erreichen, so dass auch immaterielle Bagatellschäden dem Grunde nach nicht ausgeschlossen sind, da der Erwägungsgrund 146 Satz 3 DSGVO für eine weite Auslegung des Schadensbegriffs in Art. 82 Abs. 1 DSGVO spricht (EuGH, a.a.O., juris Rn. 51). Folglich kann auch die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Person erfolgt sein sollte (EuGH, Urteil vom 14.12.2023, C-340/21, juris Rn. 82). Die betroffene Person muss aber gleichwohl nachweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen. Insbesondere ist, wenn sich diese Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH, a.a.O., juris Rn. 84 f.).

Zusammengefasst bedarf es daher neben der – auch hier vorgebrachten – bloßen Behauptung eines Kontrollverlusts oder eines Zustands großen Unwohlseins und Sorge über möglichen Datenmissbrauch bzw. diesbezüglicher Ängste, Stresses und eingetretener Komfort- und Zeiteinbußen (vgl. z.B. Klageschrift, S. 20; Replik, S. 15 f.; Berufungsbegründung S. 64) weiterer objektiver Faktoren, welche die Befürchtung eines künftigen Datenmissbrauchs aufgrund des Datenschutzverstoßes plausibel erscheinen lassen (vgl. Mörsdorf/Momtazi, NJW 2024, 1074, 1077).

b. Solch objektive Faktoren hat der Kläger nicht substantiiert dargelegt, jedenfalls aber nicht nachgewiesen.

Zunächst ist festzuhalten, dass von den vom behaupteten Datenschutzverstoß betroffenen personenbezogenen Daten des Klägers einzig dessen E-Mail-Adresse – sie lautet ohne ersichtlichen Bezug zum Kläger: … – überhaupt geeignet sein kann, einen Kontrollverlust etc. im o.g. Sinn zu begründen.

Der Kläger hat im Rahmen seiner Anhörung vom 12.04.2024 schon keine objektiven Faktoren im o.g. Sinn geschildert. Er hat lediglich unspezifisch angegeben, dass er inzwischen jede Menge immer besser gemachte Spamnachrichten erhalte (Sitzungsniederschrift vom 12.04.2024, S. 2).

Demgegenüber hat der Kläger nicht dargelegt, dass ihn das Bekanntwerden seiner E-Mail-Adresse im Darknet dazu veranlasst habe, über die im Zusammenhang mit dem Empfang von E-Mails ohnehin empfohlenen Verhaltensweisen (vgl. hierzu beispielsweise https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/spam-phishing-co_node.html) hinaus weitere Konsequenzen zu ziehen, die die Befürchtung eines künftigen Datenmissbrauchs plausibel erscheinen ließen. Insbesondere sah er sich trotz seiner behaupteten Ängste etc. nicht dazu veranlasst, seine E-Mail-Adresse zu ändern. Im Übrigen sind Spamnachrichten, ohne deren Häufigkeit zu konkretisieren, zur Überzeugung des Senats nicht geeignet, irgendwelche Ängste etc. auszulösen. Denn mit Spam-E-Mails muss sich gerichtsbekannt eine Vielzahl von E-Mail-Nutzern auseinandersetzen; dies ist Teil des allgemeinen Lebensrisikos dieses Personenkreises.

Darüber hinaus fehlt es an der substantiierten Darlegung, jedenfalls aber am Nachweis eines Kausalzusammenhangs zwischen dem behaupteten Datenschutzverstoß und dem geltend gemachten Schaden. Zwar hat der Kläger angegeben, dass er jede Menge Spamnachrichten erhalte (Sitzungsniederschrift vom 12.04.2024, S. 2). Der Empfang von Spam-E-Mails in nicht näher konkretisierter Größenordnung kann aber ebenso auf die Nutzung des Internets als solchem zurückzuführen sein, wobei hinsichtlich der klägerischen E-Mail-Adresse weitere, nicht der Beklagten zuzurechnende Datenlecks im Raum stehen. Der behauptete Datenschutzverstoß vor rund fünf Jahren und der Empfang von Spam-E-Mails steht daher in keinerlei nachweisbarem Zusammenhang.

2. Der auf Feststellung gerichtete Klageantrag ist mangels Feststellungsinteresses bereits unzulässig.

Eine Klage auf Feststellung der Verpflichtung zum Ersatz bereits eingetretener und künftiger Schäden ist grundsätzlich zulässig, wenn die Möglichkeit eines Schadenseintritts besteht. Ein Feststellungsinteresse ist allerdings dann zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund gegeben ist, mit dem Eintritt eines – nachweisbaren – Schadens wenigstens zu rechnen (vgl. BGH, Beschluss vom 09.01.2007, VI ZR 133/06, juris Rn. 5).

Zwar sind die klägerseits genannten personenbezogenen Daten (vgl. Klageerwiderung, S. 6; Replik, S. 16 ff.) nach wie vor im Darknet zugänglich. Die vom Kläger behauptete Wahrscheinlichkeit eines Schadenseintritts infolge des behaupteten Datenschutzverstoßes ist aber umso unwahrscheinlicher, je länger der Vorfall zurückliegt. Im Streitfall liegt der behauptete Datenschutzverstoß rund fünf Jahre zurück. Dem Kläger ist es schon bei der Geltendmachung eines immateriellen Schadensersatzanspruchs (Klageantrag zu 1.) nicht gelungen, den Kausalzusammenhang zwischen dem behaupteten Datenschutzverstoß und dem geltend gemachten immateriellen Schaden substantiiert darzulegen bzw. nachzuweisen. Die Möglichkeit eines Schadenseintritts bleibt daher theoretisch. Dies gilt umso mehr, als der Kläger seit Bekanntwerden des behaupteten Datenschutzverstoßes seine E-Mail-Adresse mit dem stetigen Risiko weiternutzt, dass diese in rechtswidriger Art und Weise durch Dritte verwendet wird (vgl. OLG Dresden, Urteil vom 30.01.2024, 4 U 1481/23, juris Rn. 54).

Soweit sich der Kläger in diesem Zusammenhang auf eine Entscheidung des OLG Stuttgart (Urteil vom 22.11.2023, 4 U 20/23) beruft, gilt nichts anderes. In dem dort zu entscheidenden Fall mag der dortige Klägervortrag eine nicht nur theoretische Möglichkeit eines Schadenseintritts begründet haben. Hier ist dies jedoch nicht der Fall (vgl. OLG Köln, Urteil vom 07.12.2023, 15 U 108/23, juris Rn. 67; OLG Hamm, Beschluss vom 21.12.2023, 7 U 137/23, juris Rn. 9 ff.).

3. Zu Recht hat das Landgericht den auf Unterlassung gerichteten Klageantrag als unzulässig abgewiesen.

Mit seinem Klageantrag zu 3. verlangt der Kläger es zu unterlassen, die Klägerseite betreffenden personenbezogenen Daten, welche die Beklagte im Rahmen der Account-Erstellung sowie ihm Rahmen der Nutzung des Musikstreaming-Dienstes … verarbeitete, selbst und/oder durch Dritte und/oder Auftragsverarbeiter zu verarbeiten, ohne geeignete technische und organisatorische Maßnahmen i.S.v. Art. 32 DSGVO zu ergreifen und/oder ergreifen zu lassen, welche die unbefugte Offenlegung von bzw. den unbefugten Zugang zu personenbezogenen Daten betreffend die Klägerseite verhindern, wie jedoch geschehen mit Datenvorfall 2019.

a. Dieser Antrag ist unzulässig.

aa. Zum einen ist der Antrag zu unbestimmt.

Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem Unterlassungsantrag regelmäßig der Fall, wenn die konkret angegriffene Verletzungsform antragsgegenständlich ist (BGH, Urteil vom 09.03.2021, VI ZR 73/20, juris Rn. 15).

Im Streitfall fehlt dem Klageantrag zu 3. jedoch ein vollstreckungsfähiger Inhalt. Der Formulierung lässt sich nicht entnehmen, welche konkreten Maßnahmen die Beklagte ergreifen soll. Sie beschränkt sich darauf, geeignete technische und organisatorische Maßnahmen i.S.v. Art. 32 DSGVO zu fordern, ohne dass daraus ersichtlich wird, welche Maßnahmen konkret gefordert werden. Ohne eine solche Konkretisierung ist für die Beklagte aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde. Darüber hinaus wäre für das Vollstreckungsgericht – auch und insbesondere angesichts der unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Einzelfall durchzuführenden Verhältnismäßigkeitsprüfung (vgl. Gola/Heckmann/Piltz, DSGVO/BDSG, 3. Aufl., Art. 32 DSGVO Rn. 9) – nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Beklagten veranlasst werden müssten. Die auslegungsbedürftige Antragsformulierung lässt sich auch nicht durch Auslegung unter Heranziehung des Vortrags der Klagepartei eindeutig präzisieren (vgl. OLG Dresden, Urteil vom 05.12.2023, 4 U 709/23, juris Rn. 59).

bb. Zum anderen ist der Antrag mit der geforderten Androhung nach § 890 Abs. 2 ZPO unzulässig. Die Titulierung einer Unterlassungsverpflichtung kann – auch unter Berücksichtigung der Grundsätze der Effektivität und Äquivalenz – eine gleichfalls nach § 890 ZPO vollstreckbare Verpflichtung zur Handlung nur beinhalten, wenn der Schuldner der Pflicht zur Unterlassung ausschließlich genügen kann, indem er die hierfür erforderliche positive Handlung vornimmt. Ob ein Titel Handlungspflichten auferlegt oder Unterlassung fordert, ist im Wege der Auslegung mit Blick auf den Schwerpunkt der jeweils in Rede stehenden Verpflichtung zu beurteilen (vgl. OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, juris Rn. 221).

Vorliegend fordert der Kläger mit dem Klageantrag zu 3. im Schwerpunkt ein aktives Tun, das nicht nach § 890 ZPO, sondern als vertretbare Handlung nach § 887 ZPO zu vollstrecken ist. Denn der Kläger will gar kein Unterlassen der Verarbeitung seiner personenbezogenen Daten, sondern er begehrt, dass die Beklagte geeignete technische und organisatorische Maßnahmen i.S.v. Art. 32 DSGVO ergreift (vgl. OLG Dresden, a.a.O., juris Rn. 61).

b. Der auf Unterlassung gerichtete Klageantrag ist jedenfalls unbegründet. Der vom Kläger geltend gemachte Anspruch kann weder aus Art. 17 DSGVO noch aus §§ 823, 1004 BGB hergeleitet werden.

aa. In der DSGVO ist kein Individualanspruch auf Unterlassung der Übermittlung von Daten an Dritte normiert. Die DSGVO kennt ihrem Wortlaut nach als möglicherweise einschlägige Ansprüche zugunsten der von Datenverarbeitung betroffenen Personen lediglich einen Anspruch auf Löschung von personenbezogenen Daten (Art. 17 DSGVO), insbesondere, wenn sie unrechtmäßig verarbeitet wurden, und auf Schadensersatz aus Art. 82 für einen Schaden aufgrund eines Verstoßes gegen die DSGVO (OLG Frankfurt, Urteil vom 30.03.2023, 16 U 22/22, juris Rn. 49).

Nachdem Art. 17 DSGVO lediglich ein Löschungsrecht bezüglich personenbezogener Daten einräumt, jedoch gerade keine weitergehenden Rechte bezüglich der Datenverarbeitungsvorgänge an sich normiert worden sind, können keine Unterlassungsansprüche geltend gemacht werden, die im Ergebnis die Verarbeitungsvorgänge des Verantwortlichen reglementieren können. Mit einem Unterlassungsantrag kann danach nicht verbunden werden, dem Verarbeiter der Daten bestimmte Verarbeitungsmethoden vorzugeben. Im Ergebnis geht es jeweils immer nur darum, bei Rechtsverletzungen ein effektives Rechtsfolgensystem zur Verfügung zu stellen (OLG Stuttgart, a.a.O., juris Rn. 570; vgl. auch OLG Frankfurt, Urteil vom 30.03.2023, 16 U 22/22, Rn. 50 ff.).

Darüber hinaus folgt allein aus der Tatsache, dass es Dritten gelungen ist, auf Daten zuzugreifen und sie zu veröffentlichen, noch nicht, dass der Verantwortliche keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz ergriffen habe (BeckOK/Quaas, DatenschutzR, Stand: 01.05.2024, Art. 82 DSGVO Rn. 14a, m.w.N.).

bb. Dem Kläger steht ein Anspruch auf Unterlassung auch nicht aus den §§ 1004 Abs. 1 Satz 2 BGB i.V.m. § 823 Abs. 2 BGB i.V.m. mit den nach Auffassung des Klägers verletzten Art. 6 Abs. 1 DSGVO oder Art. 17, 18 DSGVO zu.

Hinsichtlich eines etwaigen Anspruchs aus §§ 823, 1004 BGB fehlt es jedenfalls am Nachweis eines Schadenseintritts bzw. einer Eigentumsbeeinträchtigung (s.o.).

4. Der auf Auskunft gerichtete Klageantrag ist zwar zulässig, aber unbegründet.

Zutreffend führt das Landgericht aus, dass die Beklagte den klägerischen Auskunftsanspruch – soweit ihr dies möglich war – bereits erfüllt hat. Darüber hinaus bestehen angesichts des Parteivortrags keinerlei Anhaltspunkte dafür, dass die Beklagte Kenntnis davon hat, welche Daten von welchem Empfänger gestohlen wurden und/oder durch welche Empfänger zu welchem Zeitpunkt durch den Datenvorfall aus dem Jahr 2019 erlangt werden konnten.

5. Mangels Hauptanspruchs besteht kein Anspruch auf die geltend gemachten Nebenforderungen.

6. Es ist weder eine Vorlage an den Gerichtshof der Europäischen Union nach Art. 267 Abs. 3 AEUV noch eine Aussetzung des Verfahrens entsprechend § 148 ZPO im Hinblick auf die klägerseits angeführten Vorabentscheidungsverfahren veranlasst.

Sämtliche streitentscheidende Fragen sind, soweit sie das Unionsrecht betreffen, bereits höchstrichterlich geklärt. Insbesondere setzt ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO – wie ausgeführt – einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und dem geltend gemachten Schaden voraus, dessen Nachweis dem Kläger vorliegend nicht gelungen ist (vgl. OLG Dresden, Urteil vom 05.12.2023, 4 U 709/23, juris Rn. 62).

II.

Der Senat beabsichtigt, den Streitwert für das Berufungsverfahren auf 3.500,00 € festzusetzen und insofern auch von seiner Befugnis zur Abänderung des Streitwerts für die erste Instanz (§ 63 Abs. 3 Satz 1 Nr. 2 GKG) Gebrauch zu machen.

Das Landgericht Nürnberg-Fürth hat zunächst die Streitwerte hinsichtlich der Klageanträge Ziff. 1, Ziff. 2 und Ziff. 4 zutreffend bemessen und für Klageantrag Ziff. 1 1.000,00 € und je 500,00 € für Klageanträge Ziff. 2 und 4 in Ansatz gebracht. Soweit das Landgericht den Klageantrag Ziff. 3 mit 500,00 € bewertet hat, erscheint dies zu niedrig und der Senat setzt hierfür 1.500,00 € an.

Der Streitwert für nichtvermögensrechtliche Ansprüche wird gemäß § 48 Abs. 2 Satz 1 GKG unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache sowie der Vermögens- und Einkommensverhältnisse der Parteien, nach Ermessen bestimmt; es kann dann im konkreten Einzelfall von dem in § 23 Abs. 3 Satz 2 Hs. 2 RVG vorgesehenen Regelstreitwert erheblich abzuweichen sein (OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, juris Rn. 275; vgl. zu einer Herabsetzung auf 500,00 EUR jeweils nur BGH, Beschluss vom 17.01.2023, VI ZB 114/21, juris Rn. 11; BGH, Beschluss vom 28.01.2021, III ZR 162/20, juris Rn. 9).

Dabei ist das Gericht an übereinstimmende Angaben der Parteien zur Höhe des Streitwerts nicht gebunden (BGH, Beschluss vom 08.10.2012, X ZR 110/11, juris Rn. 4); dies gilt erst recht für die Angaben der Klagepartei in der Klageschrift.

Unter Zugrundelegung dieser Maßstäbe ist festzuhalten, dass sich der Klageantrag Ziff. 3 im Wesentlichen auf eine Wiederholungsgefahr bezüglich nur eines Teils der vermeintlich und tatsächlich vorliegenden Datenschutzverstöße der Beklagten stützt und der Streitwert deshalb jedenfalls nicht oberhalb der vermeintlich insgesamt bereits erlittenen Beeinträchtigungen liegen kann (OLG Hamm, a.a.O., Rn. 280 f.).

III.

Da die Berufung keine Aussicht auf Erfolg hat, legt das Gericht aus Kostengründen die Rücknahme der Berufung nahe. Im Falle der Berufungsrücknahme ermäßigen sich vorliegend die Gerichtsgebühren von 4,0 auf 2,0 Gebühren (vgl. Nr. 1222 des Kostenverzeichnisses zum GKG).

Hierzu besteht Gelegenheit zur Stellungnahme binnen zwei Wochen nach Zustellung dieses Hinweises.