Die Klage hat teilweise Erfolg.

A. Zulässigkeit

Die Klage ist zulässig.

1. Das Landgericht Nürnberg- Fürth ist international, sachlich und örtlich zuständig.

Die internationale Zuständigkeit der deutschen Gerichte folgt aus Art. 79 Abs. 2 Satz 2 DSGVO, weil der Kläger als betroffene Person seinen gewöhnlichen Aufenthalt in Deutschland hat (vgl. BGH, Urteil vom 23.05.2023 – VI ZR 476/18, Rn. 27, juris; BGH, Urteil vom 27.07.2020 – VI ZR 405/18, juris Rn. 16).

Die örtliche Zuständigkeit ergibt sich nach § 44 Abs. 1 BDSG. Ferner handelt es sich um ein streitwertabhängiges Verfahren, das sachlich den Landgerichten zugewiesen ist, §§ 71 Abs. 1 i.V.m. 23 Nr. 1 GVG.

2. Die Klageanträge, sind mit Ausnahme eines Teils des Klageantrags zu Ziff. 2, zulässig.

2.1 Der erste Teil des Klageantrags zu 2., mit dem eine Löschung begehrt wird, steht unter der Bedingung, dass die Beklagte zuvor vollständig Auskunft erteilt hat. Hierbei handelt es sich um eine im Rahmen des § 259 ZPO zulässige Bedingung, die im Sinne des § 253 Abs. 2 Nr. 2 ZPO hier auch genau bezeichnet ist (zur Zulässigkeit vgl. Zöller, ZPO, 35. Auflage 2024, § 259 Rn. 2; Musielak / Voit, ZPO, 21. Auflage 2024, § 259 Rn. 2). Die Kategorie der „vollständigen Auskunftserteilung“ ist zwar kein feststehender Rechtsbegriff. Im Rahmen der Vollstreckung wäre hier aber lediglich die Frage zu klären, ob Erfüllung im Sinne von § 362 BGB eingetreten ist. Mit dieser Frage hat sich das Gericht aufgrund des Antrags zu 1) ohnehin auseinanderzusetzen (vgl. dazu auch weiter unten unter B. I. 2).

2.2 Hingegen ist der zweite Teil des Klageantrags zu 2. unzulässig.

Soweit die Klagepartei von der Beklagten wahlweise Anonymisierung oder Löschung der gem. dem Antrag zu 1 b sowie c seit dem … bereits gespeicherten Daten begehrt, handelt es sich um eine alternative Klagehäufung, die wegen fehlender Bestimmtheit gemäß § 253 Abs. 2 Nr. 2 ZPO unzulässig ist, da weder eine Wahlschuld im Sinne von § 262 BGB noch ein Fall der elektiven Konkurrenz vorliegt (vgl. OLG München vom 02.09.2021 – 8 U 1796/18; Reichold, in: Thomas/Putzo, ZPO, 44. Auflage, § 260 Rn. 7).

a) Gemäß § 262 BGB steht dem Schuldner im Zweifel ein Wahlrecht zu, wenn mehrere Leistungen in der Weise geschuldet sind, dass nur die eine oder die andere zu bewirken ist. Es besteht insoweit nur ein einheitlicher Anspruch mit alternativem Inhalt, durch die Wahl auf eine bestimmte Leistung konkretisiert wird. Ein Fall der elektiven Konkurrenz liegt vor, wenn dem Gläubiger wahlweise mehrere, inhaltlich verschiedene Rechte zur Auswahl gestellt werden, die einander nach bindender Auswahl eines Anspruchs ausschließen.

b) Die im Antrag genannten Ansprüche auf Anonymisierung bzw. Löschung der gespeicherten Daten stehen indes nicht auf solche Weise nebeneinander. Denn die Klagepartei hat gegen die Beklagte keinen Anspruch auf Anonymisierung:

Die DSGVO kennt einen Anspruch auf Anonymisierung nicht. Ein solcher Anspruch folgt entgegen der Ansicht der Klagepartei auch nicht aus Art. 17 Abs. 1 DSGVO. Bei der Anonymisierung handelt es sich nicht um ein „Minus“ zur Löschung, sondern um ein aliud. Denn Löschen bedeutet das physische Beseitigen der Daten so, dass sie nicht weiterverarbeitet werden können. Dagegen beseitigt Anonymisieren nur den Personenbezug und ermöglicht, dass Daten weiterverarbeitet werden können. In der DSGVO gibt es keine Hinweise, dass eine Anonymisierung von Daten eine Datenlöschung ersetzen kann. Vielmehr verändert diese Gleichsetzung die Risikosituation der betroffenen Person: Die Daten sind nicht beseitigt, sondern werden durch ihre Verstreuung und durch die Fortentwicklung von Analysetechniken dem Risiko der Re- Identifikation ausgesetzt (Roßnagel, ZD 2021, 188). Auch kann in dem gestellten Antrag auf Anonymisierung keine wirksame Einwilligung der betroffenen Person in die Ersetzung der Löschung durch Anonymisierung gesehen werden (dazu Stürmer ZD 2020, 626), da dann für den Datenverantwortlichen unklar bliebe, welcher Umfang der Veränderung und Weiterverarbeitung der Daten von der Einwilligung der betroffenen Person gedeckt sein soll.

2.3 Der Antrag auf Löschung ist, obwohl einheitlich im Klageantrag zu 2. gestellt, vom restlichen Klageantrag abtrennbar und als solcher zulässig.

B. Begründetheit

Die Klage ist im tenorierten Umfang begründet.

1. Die Klagepartei hat gegen die Beklagte einen Anspruch auf die begehrte Auskunftserteilung aus Art. 15 Abs. 1 DSGVO.

Grundsätzlich besteht nach Art. 15 Abs. 1 DSGVO ein Anspruch auf Auskunft der betroffenen Person gegen den Verantwortlichen in dem in Art. 15 Abs. 1 lit. a) – lit. h) bezeichneten Umfang, wenn der Verantwortliche personenbezogene Daten verarbeitet (vgl. BGH vom 15.06.2021 – VI ZR 576/19 = NJW 2021, 1381).

1.1 Der sachliche Anwendungsbereich ist vorliegend gemäß Art. 2 DSGVO eröffnet, da die Beklagte personenbezogene Daten der Klagepartei über das Netzwerk verarbeitet, insbesondere durch die Einbindung der ihrerseits entwickelten … Tools auf dritten Webseiten und in Apps von ihr oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entschieden wird. Ein Ausschlussgrund nach Art. 2 Abs. 2, 3 DSGVO liegt nicht vor. Auch der räumliche Anwendungsbereich nach Art. 3 Abs. 1 DSGVO ist eröffnet. Die Beklagte ist als Betreiberin des Netzwerks Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO. Sie hat ihren Sitz in Irland und damit eine Niederlassung innerhalb der Europäischen Union.

1.2 Das Gericht ist davon überzeugt, dass die im Antrag zu 1 genannten personenbezogenen Daten der Klagepartei von der Beklagten verarbeitet werden. Nach Art. 4 Nr. 2 DSGVO ist jeder Vorgang, der personenbezogene Daten verwendet, als Verarbeitung zu verstehen, unabhängig davon, ob er mit oder ohne automatisierte Verfahren durchgeführt wird. Bereits das Erheben und Erfassen von Daten ist als Verarbeitung zu verstehen (Klabunde/Horváth, in: Ehmann/Selmayr, Datenschutz- Grundverordnung, 3. Auflage, Art. 4 Rn. 23). Die Klagepartei hat nachvollziehbar vorgetragen, dass die Beklagte mittels … Tools Informationen über die Bewegungen des Klägers auf Dritt- Webseiten erlangt und verarbeitet und sich durch ihre Datenschutzrichtlinie auch vorbehält, dies zu tun. Das Vorbringen der Klagepartei zu Aktionen auf hiervon betroffenen DrittWebseiten ist entgegen der Auffassung der Beklagten auch hinreichend substantiiert. Es genügt, dass die Klagepartei sich hierfür auf allgemeine Informationen zum Geschäftsmodell der Beklagten und zum Vorgehen in technischer Hinsicht gestützt hat. Kenntnisse dazu, auf welchen Dritt- Webseiten die Beklagte die … Tools konkret weltweit einsetzt, und mithin Vortrag dazu, welche dieser Seiten die Klagepartei im Einzelnen genutzt hat, kann von ihr nicht erwartet werden. Der dahingehende Vortrag der Klagepartei ist von der Beklagten auch gar nicht wirksam bestritten worden. Zwar hat die Beklagte eine „streitgegenständliche Datenverarbeitung“ mehrfach negiert. Das Vorbringen ist jedoch uneindeutig und damit unsubstantiiert. Die Beklagte hat den wiederholt von ihr verwendeten Begriff der „streitgegenständlichen Datenverarbeitung“ dahin gehend bestimmt, es handele sich um die Verarbeitung der personenbezogenen Daten der Klagepartei, welche die Beklagte aus den … Tools erhalten hat, „um der Klageseite personalisierte Werbung anzuzeigen“ (Klageerwiderung vom …). Die Beklagte hat weiter vorgetragen, der Nutzer müsse ausdrücklich in die Einstellung „Informationen über Aktivitäten von Werbepartnern“ einwilligen; tue er das nicht, nehme die Beklagte keine „streitgegenständliche Datenverarbeitung“ vor (Klageerwiderung vom …). Damit geht die Beklagte aber in keiner Weise auf den Vortrag der Klagepartei ein, dass sie, selbst wenn ein Nutzer nicht eingewilligt hat, sehr wohl Daten über die Nutzung von Dritt- Webseiten via ihrer … Tools erhält und speichert. Sie behauptet lediglich, dies nicht zu dem Zweck zu tun, um der Klagepartei personalisierte Werbung anzuzeigen. Die Beklagte hat den Vortrag der Klagepartei auch teilweise ausdrücklich bestätigt, indem sie zugegeben hat, dass zwar einerseits keine über Cookies erhobenen Daten verwendet, andererseits aber eingeschränkt Daten, die über Cookies erhoben wurden, für eingeschränkte Zwecke genutzt würden

1.3 Die Beklagte schuldet die Auskunft in dem Umfang, wie von der Klagepartei beantragt.

Insbesondere ist der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet, der betroffenen Person gem. Art. 15 Abs. 1 Hs. 2 lit c die Identität der konkreten Empfänger zu benennen (EuGH EuZW 2023, 226; Schmidt- Wudy, in: BeckOK Datenschutzrecht, Stand 01.08.2024, Art. 15 Rn. 58). Es besteht auch ein Anspruch auf Offenlegung des konkreten Zeitpunkts. Denn der Zeitpunkt der Verarbeitung ermöglicht es erst, die Rechtmäßigkeit der Verarbeitung überprüfen zu können, da zum Zeitpunkt der Verarbeitung die in den Art. 5 und 6 DSGVO vorgesehenen Voraussetzungen für die Rechtmäßigkeit erfüllt sein müssen (EuGH vom 22.6.2023 – C- 579/21 = NZA 2023, 889).

Auskunft über alle verfügbaren Informationen über die Herkunft der Daten ist gem. Art. 15 Abs. 1 Hs. 2 lit. g geschuldet. Einzige Voraussetzung für die Pflicht zur Auskunft über die Herkunft der Daten ist, dass diese Daten nicht beim Betroffenen erhoben wurden (vgl. BGH, BeckRS 2022, 5496). Ob der Verantwortliche die Daten selbst aktiv beschafft hat oder von einem Dritten mitgeteilt erhalten hat, ist ohne Belang (a.a.O.).

Findet ein Verfahren nach Art. 22 DSGVO statt, so ist dies schließlich im Rahmen des Abs. 1 Hs. 2 lit. h zu beauskunften.

1.4 Die Beklagte hat den Anspruch nicht erfüllt.

Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Vielmehr führt der Verdacht, dass eine erteilte Auskunft unvollständig oder unrichtig ist, grundsätzlich zu einem Anspruch auf eidesstattliche Versicherung der Vollständigkeit der erteilten Auskunft (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19, NJW 2021, 2726f.).

Vorliegend hat die Beklagte den Anspruch mit den als Anlage B 8 und B8a vorgelegten Schreiben an die Klagepartei vom … bzw. … nicht erfüllt. Die dort erteilte Auskunft enthält so erhebliche Lücken, dass sie nicht nur als unvollständig, sondern als schlichtweg nicht erteilt anzusehen ist.

Dies liegt zum einen darin begründet, dass die Beklagte den Umfang der von der Klagepartei gewünschten Auskunft abweichend definiert hat (s. oben). Die Aussagen der Beklagten in ihrem Schreiben an die Klagepartei in Anlagen B 8 und B8a sind insofern nichtssagend und steht im Widerspruch zu der Aussage der Beklagten, dass zwar einerseits keine über Cookies erhobenen Daten verwendet, andererseits aber eingeschränkt Daten, die über Cookies erhoben wurden, für eingeschränkte Zwecke genutzt würden (Klageerwiderung vom …).

Soweit die Beklagte in der genannten Anlage vorgetragen hat, sie habe „keine Verarbeitung in Bezug auf die personenbezogenen Daten der Klageseite festgestellt, die in den Anwendungsbereich von Art. 22 Abs. 1 DSGVO“ fallen, kommt auch dieser Aussage schon kein Auskunftscharakter zu, weil unklar ist, was mit Daten „im Anwendungsbereich von Art. 22 Abs. 1 DSGVO“ gemeint sein soll. Findet ein Verfahren nach Art. 22 DSGVO statt, so hat der Verantwortliche gem. Art. 15 Abs. 2 lit. h der betroffenen Person das Bestehen der automatisierten Entscheidungsfindung sowie deren Folgen mitzuteilen (Schmidt- Wudy, in: BeckOK Datenschutzrecht, Stand 01.08.2024, Art. 15 Rn. 77; Paal, in: Paal/Pauly, DSGVO, 3. Auflage 2021, Art. 15 Rn. 31).

Zum anderen beschränkt sich das Schreiben größtenteils auf Informationen über die Möglichkeit, über die Webseite der Beklagten Auskünfte zu erlangen, dies über mehrseitige Klick- Anleitungen.

Konkrete Auskünfte enthält das Schreiben dagegen nicht.

Daher war der Klageantrag zu Ziff. 1 zuzusprechen.

2. Die Klagepartei hat aus den unter Ziffer 1. ausgeführten Gründen einen Anspruch gegen die Beklagte auf Löschung der unter Antrag 1a genannten Daten gem. Art. 17 Abs. 1 d) DSGVO.

2.1 Es liegt eine unrechtmäßige Datenverarbeitung vor, die zum Löschungsanspruch führt.

Die Beklagte kann sich nicht auf die geltend gemachte Einwilligung der Nutzer nach Art. 6 Abs. 1 a), Art. 9 Abs. 2 a) DSGVO ihr gegenüber (hierzu unter a.) oder Drittunternehmern gegenüber (hierzu unter d.) berufen. Die Datenverarbeitung ist auch nicht für die Vertragserfüllung nach Art. 6 Abs. 1 b), Art. 9 Abs. 2 b) DSGVO erforderlich (hierzu unter b.). Die Verarbeitung ist schließlich nicht durch überwiegende Interessen der Beklagten oder der Drittanbieter gegenüber den Interessen und Rechten der betroffenen Personen nach Art. 6 Abs. 1 f) DSGVO gerechtfertigt (hierzu unter c.).

a) Die für die Nutzung des … Netzwerks verlangte Zustimmung in die Datenverarbeitungskonditionen stellt keine freiwillige Einwilligung gemäß Art. 6 Abs. 1 a), Art. 9 Abs. 2 a) DSGVO dar.

aa) Art. 6 Abs. 1 a) und Art. 9 Abs. 2 a DSGVO verlangen die Einwilligung der betroffenen Person im Hinblick auf die Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke bzw. die Verarbeitung besonderer Kategorien von Daten.

Die Beklagte behauptet, die Einwilligung werde dadurch erteilt, dass die Nutzer den Schalter „Optionale Cookies erlauben“ bzw. einen solchen bei „Informationen über Aktivitäten von Werbepartnern“ aktivieren.

Selbst bei erteilter Einwilligung ist eine solche jedoch nicht als freiwillig i.S.d. Art. 4 Nr. 11 DSGVO anzusehen.

Der Ausdruck „Einwilligung“ bedeutet „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (EuGH vom 04.07- 2023 – C- 252/21 = GRUR 2023, 1131; Schild, in: BeckOK Datenschutzrecht, Stand 01.08.2024, Art. 4 DSGVO Rn. 122). Eine betroffene Person hat eine Einwilligung nur dann freiwillig gegeben, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (vgl. Erwägungsgrund 42 DSGVO).

Nach der Intention des Gesetzgebers kann eine Einwilligung zudem mangels Freiwilligkeit unwirksam sein, wenn zwischen den Vertragsparteien ein Ungleichgewicht vorliegt (vgl. Erwägungsgrund 43 der DSGVO). Ist dieses indiziert, ist eine Abwägung anhand der Umstände des Einzelfalls vorzunehmen, wobei insbesondere die Erforderlichkeit der Datenfreigabe für den jeweiligen Vertrag, das Vorliegen zumutbarer Alternativen und die Beantwortung der Frage entscheidend ist, ob ein angemessener Interessenausgleich stattgefunden hat (EuGH vom 04.072023 – C- 252/21 = GRUR 2023, 1131).

bb) Die Klagepartei wurde vorliegend schon nicht im erforderlichen Umfang über die Datenverarbeitung durch die Beklagte in Kenntnis gesetzt.

Der unter der Schaltfläche „Optionale Cookies erlauben” aufgeführte Text (siehe die unstreitig gebliebene bildliche Darstellung S. … der Replik vom …) stellt keine umfassende Erläuterung der Datenverarbeitung der Beklagten dar.

Der jeweilige Nutzer kann durch diese insbesondere Dauer, Umfang und Zweck der Datenverarbeitung nicht vollständig erfassen. So spricht die Beklagte ausschließlich von „optionalen Cookies”. Welche Cookies sie als „optional” und welche sie als „nicht optional” betrachtet, wird aus dem Text der Beklagten nicht deutlich. Ebenso bleibt unklar, inwieweit das streitgegenständliche Digital Fingerprinting mit umfasst ist. Nach dem Wortlaut geht es ausschließlich um Cookies. Es wird nicht ersichtlich, wie und für welche Zwecke diese Cookies genutzt werden. Die Beklagte führt aus: „Mithilfe dieser Cookies können andere Unternehmen Informationen über deine Aktivitäten in ihren Apps und auf ihren Websites mit uns teilen”. Weder führt die Beklagte aus, um welche Art von Informationen es geht, noch wird klar, was für einen Unterschied die „Einwilligung” machen soll. Denn auch ohne Einwilligung werden die Daten augenscheinlich verwendet: „Wenn Du diese Cookies nicht erlaubst, verwenden wir Informationen in eingeschränkten Umfang…”, „Wenn Du diese Cookies nicht erlaubst, kann es sein, dass wir weiterhin aggregierte Informationen zu Aktivitäten in diesen Apps und auf diesen Websites erhalten. Deine persönlichen Cookie- Informationen sind darin jedoch nicht enthalten.” Für den Nutzer ist zudem nicht klar, auf welchen Webseiten bzw. in welchen Apps „von anderen Unternehmen“ die Datenerfassung erfolgt. Die Beklagte stellt eine entsprechende Datenbank nicht zur Verfügung.

Auch der unter der Schaltfläche „Informationen über Aktivitäten von Werbepartnern” aufgeführte Text (Abbildung 3 der Klageerwiderung vom …) stellt keine ausreichende Erläuterung der Datenverarbeitung der Beklagten dar. Aus Sicht des Nutzers besteht nur eine Einstellmöglichkeit dahingehend, welche Werbung diesem angezeigt wird. So heißt es hier „Ja, meine Werbung mithilfe dieser Informationen relevanter machen“ und „Wir zeigen dir Anzeigen, die - basierend darauf, was dir bereits gefällt – relevanter für dich sind“. Aus der Schaltfläche ergibt sich folglich nicht, dass durch die Einwilligung bzw. die Verweigerung Einfluss auf die Datenverarbeitung genommen werden kann, die nicht die bloße Darstellung von Werbung betrifft.

Auch die Datenschutzrichtlinie der Beklagten kann dieses Informationsdefizit nicht kompensieren. Auf diese wird in der in Rede stehenden Schaltfläche „optionale Cookies“ schon nicht erkennbar Bezug genommen, sodass ein durchschnittlich aufmerksamer und verständiger Nutzer auf die relevanten Informationen schon gar nicht zu stoßen vermag. Zudem ist die Datenschutzrichtlinie derart offen formuliert, dass der Umfang der Datenverarbeitung wiederum im Unklaren bleibt. So heißt es im Abschnitt „Informationen von Partnern, Anbietern und sonstigen Dritten“ (S. … der Anlage K 1): „Wir erheben und erhalten Informationen von Partnern, Anbietern für Messlösungen, Anbietern von Marketinglösungen und sonstigen Dritten zu vielen deiner Informationen und Aktivitäten auf und außerhalb von unseren Produkten. Hier sind einige Beispiele für Informationen, die wir über dich erhalten: Deine Geräteinformationen, Websites, die du besuchst, und CookieDaten, etwa durch soziale Plugins oder das …, Apps, die du nutzt, Spiele, die du spielst, Käufe und Transaktionen, die du über unsere Produkte tätigst und bei denen du eine CheckoutFunktion nutzt, die nicht von … ist, Werbeanzeigen, die du dir ansiehst, und wie du mit ihnen interagierst, Wie du die Produkte und Dienste bzw. Dienstleistungen unserer Partner online oder persönlich nutzt“. Aus diesem nicht abschließenden Beispielskatalog kann der Nutzer nichts Konkretes ableiten. Er kann nicht wissen, in welchen Konstellationen welche Daten verarbeitet werden. Möglich ist, dass er annimmt, es werde ab dem Zeitpunkt der Einwilligung schlicht seine gesamte Aktivität bei Dritten registriert, ebenso kann er aber davon ausgehen, dass die Beklagte die Datengewinnung entsprechend der erstgenannten Beispiele eher restriktiv betreibt. Auch die einzelnen genannten Beispiele sind für sich betrachtet mehrdeutig. Dass der Betreiber einer Drittwebseite bzw. einer Drittanbieter- App Informationen übermittelt, welche Webseite bzw. App der Nutzer nutzt, ist für sich genommen noch nachvollziehbar. Inwieweit allerdings welche Informationen darüber geteilt werden, welche Werbeanzeigen sich der Nutzer ansieht und wie mit diesen intergargiert wird, ist intransparent. Wieder kann der Nutzer sowohl von einer Erfassung aller irgendwie erfassbaren Interaktionen als auch von einem restriktiveren Vorgehen ausgehen. Ebenfalls unklar ist die Ausführung zum zuletzt aufgeführten Beispiel, nach welchem die Beklagte Informationen des Nutzers darüber erhält, wie dieser „die Produkte und Dienste bzw. Dienstleistungen unserer Partner online oder persönlich nutzt“. Hierunter kann dem Wortlaut nach schlicht die Kontrolle der gesamten Nutzung von Drittwebseiten und Drittanbieter- Apps fallen. Auch kann der Datenschutzrichtlinie nicht entnommen werden, bei bzw. von welchen Dritten Informationen erhoben und erhalten werden. Dies ist schon deshalb nicht möglich, weil die Beklagte an dieser Stelle weder eine Liste zur Verfügung stellt, auf der diese Dritten aufgeführt sind noch die Dritten in sonstiger Weise kenntlich macht.

In Anbetracht des Umfangs der fraglichen Datenverarbeitung und ihrer erheblichen Auswirkungen auf die Nutzer des Netzwerks sowie angesichts des Umstands, dass diese Nutzer vernünftigerweise nicht damit rechnen können, dass andere Daten als die, die ihr Verhalten innerhalb des … Netzwerks betreffen, von der Beklagten verarbeitet werden, wäre es, um die nötige Transparenz im Sinne des 43. Erwägungsgrunds der DSGVO zu gewährleisten insofern erforderlich, dass eine Einwilligung gesondert für die Verarbeitung der netzwerkinternen Daten einerseits und der netzwerkexternen Daten andererseits erteilt werden kann (so auch EuGH vom 04.07- 2023 – C- 252/21 = GRUR 2023, 1131). Eine derartige Möglichkeit hat die Beklagte jedoch nicht dargetan.

cc) Die Klagepartei ist durch die Verarbeitung der personenbezogenen Daten auch unangemessen benachteiligt. Die streitgegenständliche Datenverarbeitung betrifft solche Vorgänge, die auf Drittwebseiten bzw. bei der Nutzung von Drittanbieter- Apps stattfinden. Die Erfassung ist keinesfalls notwendig, um die Funktionen des … Netzwerks zur Verfügung stellen zu können. Vielmehr dient sie vorwiegend den wirtschaftlichen Interessen der Beklagten, welcher eine enorme Marktmacht zukommt und der gegenüber sich der einzelne private Nutzer in einer erheblich unterlegenen Position befindet (vgl. auch BKartA vom …). Dem Nutzer, der sich zur Nutzung eines … Netzwerkes entschließt und auch seinem Hauptinteresse, nämlich mit möglichst vielen Bekannten in Kontakt treten bzw. bleiben zu können, entsprechen möchte, bleibt nach lebensnaher Betrachtung in vielen Fällen nur die Wahl eines Netzwerkes der Beklagten. Dem jeweiligen Nutzer, der an der Nutzung eines … Netzwerkes gelegen ist, stehen auch keine geeigneten Alternativen zur Verfügung. So führt es insbesondere auch nicht zu einem angemessenen Interessenausgleich, dass die Beklagte ihren Nutzern seit … anbietet, ihre Dienste gegen Entrichtungen eines monatlichen Entgeltes werbefrei nutzen zu können. Denn es spielt für die Datenverarbeitung auf Drittwebseiten und in Drittanbieter- Apps keine Rolle, ob sich der jeweilige Nutzer für eine kostenpflichtige Nutzung entschließt. Dem Nutzer wird durch das Abonnement bei der Beklagten nur die Möglichkeit verschafft, sein Konto „werbefrei“ nutzen zu können.

b) Der Vollständigkeit halber bleibt festzuhalten, dass die Beklagte sich auch nicht auf Art. 6 Abs. 1 b) DSGVO, die Erfüllung eines Vertrags, stützen kann. Die Beklagte hat mitgeteilt, dass sie sich auf diesen Rechtfertigungsgrund nicht (mehr) ausdrücklich beruft. Die Voraussetzungen sind auch nicht erfüllt: Damit eine Verarbeitung personenbezogener Daten als für die Erfüllung eines Vertrags erforderlich im Sinne dieser Norm angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil, der für die betroffene Person bestimmten Vertragsleistung ist. Die Beklagte hat hier nicht nachgewiesen, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte.

Was die auf die Personalisierung der Inhalte gestützte Rechtfertigung betrifft, so ist eine solche Personalisierung für den Nutzer zwar insofern von Nutzen, als sie es u.a. ermöglicht, dass ihm ein Inhalt angezeigt wird, der weitgehend seinen Interessen entspricht. Gleichwohl erscheint die Personalisierung der Inhalte nicht erforderlich, um dem Nutzer die Dienste des … OnlineNetzwerks anzubieten. Diese Dienste können gegebenenfalls in Form einer gleichwertigen Alternative an ihn erbracht werden, die nicht mit einer derartigen Personalisierung verbunden ist, so dass diese nicht objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der Dienste ist. Eine Verarbeitung personenbezogener Daten, die von Drittanbietern stammen, scheint jedenfalls nicht erforderlich zu sein, um die Erbringung des Netzwerk- Dienstes zu ermöglichen (siehe auch EuGH vom 04.07- 2023 – C- 252/21 = GRUR 2023, 1131 zur …).

c) Von den übrigen Rechtfertigungsgründen des Art. 6 Abs. 1 DSGVO kommen lit c) – e) nicht in Betracht, dies schon deshalb, weil eine Datenverarbeitung nicht auf Vorrat erfolgen darf, für den Fall, dass eine der in Art. 6 Abs. 1 c) – e) DSGVO geregelten Situationen oder Aufgaben eintritt oder übertragen wird. Einer der dort besonders normierten Zwecke wird durch die Beklagte derzeit nicht erfüllt. Die streitgegenständliche Datenverarbeitung aus konzerneigenen Diensten und über die … Tools sind schließlich auch nicht nach der gemäß Art. 6 Abs. 1 f) DSGVO gebotenen Interessenabwägung gerechtfertigt.

Art. 6 Abs. 1 f) erklärt die Verarbeitung personenbezogener Daten dann für rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die datenschutzbezogenen Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen.

Eine Erforderlichkeit der streitgegenständlichen Datenverarbeitung ist von der Beklagten weder hinreichend vorgetragen worden noch sonst ersichtlich.

aa) Die Beklagte geht davon aus, die Datenverarbeitung von „App- , Browser- und Geräteinformationen“, hier insbesondere die der „Informationen von Cookies und ähnlichen Technologien“, sowie die von „Informationen von Partnern, Anbietern und Dritten“ sei nach S. … der Datenschutzrichtlinie gerechtfertigt, wenn die Beklagte „zur Offenlegung von Informationen verpflichtet ist“. Ebenfalls würden Informationen in Fällen verarbeitet, in denen dies dem Schutz des Nutzers oder dazu dient, Schäden zu verhindern („Wesentliches Interesse“), vgl. S. … der Datenschutzrichtlinie der Beklagten. Die Datenverarbeitung von „App- , Browser- und Geräteinformationen“, hier insbesondere die der „Informationen von Cookies und ähnlichen Technologien“, sowie die von „Informationen von Partnern, Anbietern und Dritten“ sei gem. S. … der Datenschutzrichtlinie zum „Schutz […] wesentlicher Interessen“ des Nutzers oder einer anderen Person gerechtfertigt. Zudem würden Informationen so verarbeitet, wie es im öffentlichen Interesse erforderlich sei („Öffentliches Interesse“), vgl. S. … der Datenschutzrichtlinie der Beklagten. Die Datenverarbeitung von „App- , Browser- und Geräteinformationen“, hier insbesondere die der „Informationen von Cookies und ähnlichen Technologien“, sowie die von „Informationen von Partnern, Anbietern und Dritten“ soll nach S. … der Datenschutzrichtlinie der „Forschung für soziale Zwecke“ und der „Förderung von Schutz, Integrität und Sicherheit“ dienen.

Diese geltend gemachten Ziele der Personalisierung einschließlich der zielgerichteten Werbung, die Mess- und Analysezwecke, die Nutzer- und Netzwerksicherheit sowie die erwähnten Forschungszwecke und Reaktionen auf rechtliche Anfragen, können grundsätzlich berechtigte Interessen nach Art. 6 Abs. 1 f) DSGVO darstellen. Entscheidend ist dabei allerdings, ob das rechtmäßige Interesse für die Prüfung der Ausgewogenheit hinreichend klar artikuliert ist und tatsächlich sowie gegenwärtig existiert.

bb) Die berechtigten Interessen sind auf dieser Grundlage schon nicht hinreichend klar artikuliert worden. Denn die beweisbelastete Beklagte (zur Beweislast für das Bestehen berechtigter Interessen i.S.v. Art. 6 Abs. 1 f) DSGVO siehe LG Kassel GRUR- RS 2024, 25765) trägt im vorliegenden Verfahren berechtigte Interessen lediglich in allgemeiner Form vor und wiederholt lediglich die Ausführungen zu den berechtigten Interessen in den Rechtsgrundlagen, auf die die Datenrichtlinie verweist. Der Vortrag stellt keine hinreichend verständliche Spezifizierung der berechtigten Interessen dar, die der Abwägungsprüfung mit den Interessen und Rechten der betroffenen Personen zugänglich wäre. Denn er substantiiert weder im Einzelnen die eigenen Interessen, wie etwa die Sicherheitsinteressen, noch ist eine differenzierte Darstellung ersichtlich, aus der sich die Erforderlichkeit, der im Einzelnen erfassten und erfassbaren Daten sowie ihrer Zuordnung zu dem Nutzerkonto ergibt. Auch erklärt sich die Beklagte nicht zur Art der Datenverarbeitung, insbesondere zu dem für die Personalisierung des Dienstes und die Werbung eingesetzten Profiling und dem Beitrag der betroffenen Daten hierzu.

cc) Nach Art. 6 Abs. 1 f) DSGVO sind in der Interessenabwägung nicht nur die berechtigten Interessen der Beklagten, sondern auch die berechtigten Interessen Dritter zu berücksichtigen.

Dies können im vorliegenden Fall grundsätzlich nicht nur die Interessen der kommerziellen Partner, sondern auch diejenigen der breiteren Gemeinschaft der Netzwerk- Nutzer sein. Letztere sind dabei allerdings nur schwerlich als Dritte anzusehen, da sie als solche gemeinschaftlich von der Datenverarbeitung betroffen sind. Diese können daher allenfalls bei der Bewertung der Interessen und Rechte der betroffenen Personen zu berücksichtigen sein (siehe unter dd.). Insgesamt dürften sich die hier geltend gemachten Interessen Dritter mit denjenigen decken, welche die Beklagte auch für sich selbst in Anspruch nimmt. Dies gilt schließlich auch für ein öffentliches Interesse an der von der Beklagten erwähnten Verhinderung von rechtswidrigen oder strafbaren Handlungen. Unterstellt die Beklagte ginge über die – von ihr nicht näher vorgetragenen und belegten besonderen rechtlichen Verpflichtungen – hinaus, um zur Rechtsdurchsetzung beizutragen oder private Akteure bei ihren Bemühungen zur Bekämpfung rechtswidriger Handlungen zu unterstützen, so wäre auch in solchen Fällen besonders wichtig, dafür zu sorgen, dass die Grenzen von Art. 6 Abs. 1 f) DSGVO voll respektiert werden. Denn einem privaten Wirtschaftsteilnehmer wie der Beklagten kommt gerade kein schutzwürdiges Interesse daran zu, Strafverfolgungs- und Strafvollstreckungsbehörden zu informieren, um Straftaten zu verhindern, aufzudecken und zu verfolgen, da ein solches Interesse mit ihrer wirtschaftlichen und kommerziellen Tätigkeit nichts zu tun hat (EuGH vom 04.07- 2023 – C- 252/21 = GRUR 2023, 1131; Buchner/Petri, in: Kühling/Buchner- DSGVO, 4. Auflage, Art. 6 Rn. 147a).

dd) Zu berücksichtigen und abzuwägen sind schließlich die Interessen und Rechte der betroffenen Personen, in diesem Fall der Nutzer. Dazu gehören insbesondere das Interesse und Recht der Nutzer an der Wahrung der informationellen Selbstbestimmung und ihrer Privatsphäre. Die streitgegenständliche Datenverarbeitung der personenbezogenen Daten umfasst in hohem Umfang sensible Daten. Dies betrifft sämtliche Kommunikationsdaten und - inhalte der Nutzer, Kontakte, Geräteinformationen, Standortinformationen, Signalinformationen und nach dem unbestrittenen Vortrag der Klagepartei auch das umfassende Verhalten auf Seiten von Drittanbietern. Der erhebliche Umfang an Daten macht den Nutzer identifizierbar und stellt eine Verfolgbarkeit im Internet sicher, ohne dass Steuerungsmöglichkeiten für die betroffenen Nutzer bestehen. Besonders kritisch ist, dass die Daten zu einem ganz überwiegenden Teil für die Zwecke der Personalisierung und Individualisierung des Dienstes der Beklagten erfasst sind und geeignet sind, ein detailliertes Profiling durchzuführen.

d) Die Klagepartei hat auch auf Dritt- Webseiten und in Dritt- Apps keine wirksame Einwilligung zur Verarbeitung der dort angefallenen Daten erteilt. Die Beklagte trägt hier gem. Art. 7 Abs. 1 DSGVO die Beweislast für eine Rechtfertigung nach Art. 6 Abs. 1 lit. a DSGVO. Eine “Auslagerung” dieser Verantwortung an die Webseitenbetreiber, die die entsprechenden Einwilligungen einholen sollen, ist zudem nicht möglich. Die Beklagte ist alleinige “Verantwortliche” für die durch sie selbst vorgenommene Verarbeitung der Daten durch die eigenen … Tools (vgl. auch EuGH vom 29.07.2019 – C- 40/17 = MMR 2019, 579).

Daher war der Klageantrag zu 2., insoweit er zulässig war, zuzusprechen.

3. Ein Schadensersatzanspruch ist gegeben, allerdings nur in Höhe von 500,00 €, Art. 82 Abs. 1 DSGVO.

3.1 Ein Anspruch besteht dem Grunde nach gemäß Art. 82 Abs. 1 DSGVO.

Demnach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.

Es handelt sich hierbei um drei kumulativ erforderliche Anspruchsvoraussetzungen. Es muss ein Verstoß gegen die DSGVO vorlegen, ein Schaden entstanden sein und ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen (EuGH vom 14.12.2023, C- 456/22, juris, Rn. 14). Hierfür ist der Anspruchsteller beweisbelastet (BeckOK DatenschutzR, Stand 01.08.2024, Art. 82 DSGVO Rn. 16, 27).

Für die Bejahung eines immateriellen Schadens bedarf es keiner Erheblichkeitsschwelle („Bagatellgrenze“). Insbesondere kann im Hinblick auf die in ErwGr. 146 S. 3 DSGVO beabsichtigte weite Auslegung des Schadensbegriffes nicht verlangt werden, dass der Anspruchsteller einen spürbaren Nachteil erfahren oder die Beeinträchtigung objektiv sein muss. Auch bedarf es keiner bestimmten Dauer des Schadens, um den Anspruch zu bejahen (EuGH vom 14.12.2023, C- 456/22, juris, Rn. 16 – 19). Andererseits reicht ein bloßer Verstoß gegen die DSGVO noch nicht aus. Der Anspruchsteller muss vielmehr beweisen, dass als Folge eines Verstoßes ein Schaden – so geringfügig er auch sein mag – eingetreten ist (EuGH, vom 14.12.2023, C- 456/22, juris, Rn. 22). Ferner ergibt sich aus ErwGr. 85 S. 1 DSGVO, dass eine Verletzung des Schutzes personenbezogener Daten zu einem Schaden führen kann, der im Kontrollverlust über die eigenen personenbezogenen Daten liegen kann. Einer konkreten missbräuchlichen Verwendung dieser Daten zum Nachteil des Anspruchsstellers bedarf es hierfür nicht (EuGH vom 14.12.2023, C- 340/21, juris, Rn. 82). Dementsprechend reicht es für einen Schaden etwa aus, dass ein von einem Verstoß betroffener Anspruchsteller lediglich befürchtet, dass seine personenbezogenen Daten durch Dritte in der Zukunft missbräuchlich verwendet werden könnten, wobei das nationale Gericht prüfen muss, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH vom 14.12.2023, C- 340/21, juris, Rn. 75 – 86). Folglich reicht für die Bejahung des immateriellen Schadens bei einem Verstoß gegen die DSGVO bereits ein Kontrollverlust aus, darüber hinausgehende psychische – und bloße Unannehmlichkeiten übersteigende – Beeinträchtigungen können aber einen höheren Ausgleichsbetrag als Schadensersatz rechtfertigen (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24, juris, Rn. 45, 101). Der reine Kontrollverlust ist also bereits ein haftungsbegründender Schaden, psychische Nachteile betreffen dann nur noch die haftungsausfüllende Kausalität der Schadenshöhe (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24, juris, Rn. 84).

a) Wie unter 2.1 ausgeführt, verarbeitet die Beklagte die personenbezogenen Daten der Klagepartei auf unrechtmäßige Weise. Insbesondere ist die Datenverarbeitung weder durch eine Einwilligung der Klagepartei noch durch einen anderen Zulässigkeitstatbestand der Art. 6, 9 DSGVO gestattet.

b) Hierdurch hat die Klagepartei auch einen Schaden erlitten.

Hinsichtlich des geltend gemachten Schadens hat sich das Gericht auf der Grundlage des gesamten Inhalts der Verhandlungen, § 286 Abs. 1 ZPO, von einem – kompensationsfähigen – Kontrollverlust überzeugen können; zusätzlich auch hinsichtlich eines weiteren individuellen Schadens.

c) Der Schaden ist vorliegend auch kausal auf die Datenschutzverletzung der Beklagten zurückzuführen.

Der Verantwortliche haftet für kausal durch die rechtswidrige Verarbeitung verursachte Schäden (Kühling/Buchner/Bergt, DS- GVO BDSG, 4. Auflage, Art. 82 Rn. 41 zust. LG Paderborn vom 19.12.2022, Az. 3 O 99/22, GRUR- RS 2022, 39349 Rn. 128). Eine Mitursächlichkeit des Verstoßes gegen die DSGVO genügt (LG Paderborn, a.a.O., Rn. 129 mit Verweis u.a. auf LG Köln vom 03.08.2021, Az. 5 O 84/21, ZD 2022, 52, 53).

So liegt es auch hier. Die Beklagte hat rechtswidrig personenbezogene Daten des Klägers gespeichert und hierdurch dessen Kontrollverlust über seine entsprechenden Daten hervorgerufen.

d) Die Haftung der Beklagten ist auch nicht nach Art. 82 Abs. 3 DSGVO ausgeschlossen. Denn dies würde den Nachweis erfordern, dass der Verantwortliche – hier: die Beklagte – in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Es ist umstritten, ob es für den Umstand, dass jemand für den Schaden verantwortlich ist, eines Verschuldens bedarf oder, ob es sich bei Art. 82 DSGVO um eine Gefährdungshaftung handelt, die den Schädiger nur ausnahmsweise aus der Haftung entlässt (ganz ungewöhnliche Kausalverläufe, höhere Gewalt, Fehlverhalten des Geschädigten) und unabhängig von einem Verschulden ist (vgl. Sydow/Marsch, DS- GVO/BDSG, 3. Auflage, Art. 82 Rn. 18 – 20; BeckOK DatenschutzR, Stand 01.08.2024, Art. 82 DSGVO Rn. 17 – 18). Die Beweislast trifft jedenfalls, wie sich aus dem eindeutigen Wortlaut der Norm ergibt, den Schädiger.

Das Gericht konnte vorliegend offenlassen, welche der aufgeführten beiden Ansichten für den Entlastungsbeweis konkret gelten. Denn es ist kein Beklagtenvortrag vorhanden oder anderweitige Umstände ersichtlich, die den Voraussetzungen von einer dieser Ansichten genügen würde.

3.2 Der Anspruch ist der Höhe nach mit 500,00 € und damit nur teilweise gerechtfertigt.

Das Gericht hält diesen Betrag für angemessen und ausreichend, um den immateriellen Schaden auszugleichen und hat hierfür den Schaden nach § 287 ZPO geschätzt.

a) Für den Anspruch aus Art. 82 DSGVO enthält die Verordnung keine spezifischen Vorgaben zur Schadensbemessung. Vielmehr richtet sich dies nach den innerstaatlichen Vorschriften der Mitgliedstaaten zum Umfang der finanziellen Entschädigung, soweit die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität gewahrt bleiben. Zu berücksichtigen ist dabei allerdings, dass Art. 82 DSGVO nur eine Ausgleichsfunktion hat, so dass der aufgrund des Verstoßes erlittene Schaden vollständig auszugleichen ist (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24, juris, Rn. 92ff.). Ist der Schaden gering, so ist auch nur Schadensersatz in geringer Höhe zuzusprechen und dabei ist zu berücksichtigen, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung (BGH, a.a.O., Rn. 97). Eine Straf- oder Abschreckungsfunktion, die etwa zur Einbeziehung der Schwere des Verstoßes in die Schadensbemessung führen würde, ist allerdings nicht von Art. 82 DSGVO umfasst. Dementsprechend gilt, dass auch im Hinblick auf die in ErwGr. 146 (Schadensersatz) und ErwGr. 148 (behördliche Maßnahmen und Sanktionen) DSGVO unterschiedlichen Regelungsziele es nicht möglich ist, die Bemessungskriterien des Art. 83 DSGVO (Allgemeine Bedingungen für die Verhängung von Geldbußen) in entsprechender Anwendung auf die Schadensbemessung des Art. 82 DSGVO zu übertragen (EuGH vom 11.04.2024, C- 741/21, juris, Rn. 55 – 65). Daher ist es naheliegend für die Bemessung der Schadenshöhe auf die nationale Vorschrift des § 253 BGB zurückzugreifen (BeckOK DatenschutzR, Stand 01.08.2024, Art. 82 DSGVO Rn. 31; zust. LG Essen vom 10.11.2022, Az. 6 O 111/22, juris, Rn. 104, juris). Ein Gesichtspunkt kann dabei sein, zu welchem Grad intime, finanziell bedrohliche, potentiell ehrverletzende oder kränkende und persönlich wichtige, insbesondere in das (Familien- )Gemeinschaftsleben oder das berufliche Umfeld eingreifend, die unrechtmäßig verarbeiteten Daten betroffen sind (Vgl. LG Paderborn vom 19.12.2022, Az. 3 O 99/22, GRUR- RS 2022, 39349 Rn. 134 mit Verweis auf Dickmann, r+s 2018, 345, 353). Insofern es den reinen Kontrollverlust betrifft, so sind maßgebliche Kriterien der tatrichterlichen Schadensschätzung insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DSGVO) und deren typischerweise zweckgemäße Verwendung, die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24, juris, Rn. 99).

Innerhalb dieses abgesteckten Rahmens, der sowohl die Unter- als auch Obergrenze des zu gewährenden Schadensersatzes vorgibt, kann das Gericht eine Schadensschätzung nach § 287 ZPO vornehmen (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24, juris, Rn. 98.; OLG Oldenburg vom 14.05.2024, Az. 13 U 114/23, juris, Rn. 34; BeckOK DatenschutzR, Stand 01.08.2024, Art. 82 DSGVO Rn. 31a; zust. LG Essen vom 10.11.2022, Az. 6 O 111/22, juris, Rn. 104, juris).

Vorliegend hat sich das Gericht maßgeblich davon leiten lassen, dass die Beklagte durch die unbestritten hohe Verbreitung ihrer … Tools im Internet ein hohes Datenaufkommen generiert und dadurch Nutzerdaten, auch der Klagepartei, in großem Umfang zusammenführt. Damit geht ein nicht unerheblicher Kontrollverlust an personenbezogenen Daten einher. Das Gericht geht bei einem bloßen Kontrollverlust davon aus, dass ein Betrag von 250,00 € für die Ausgleichsfunktion des Art. 82 DSGVO ausreichend ist und orientiert sich diesbezüglich an Entscheidungen zu den sogenannten „Scraping“ – Fällen. Insoweit es dort zu Verurteilungen kam, so wurde Schadensersatz von 100,00 € bis 500,00 € zugesprochen; dies wurde unter anderem damit begründet, dass die betroffenen Daten (u.a. Name, Telefonnummer, Geschlecht) nicht besonders sensibel – betroffen waren etwa keine Gesundheits- oder Kontodaten – seien (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24, juris, Rn. 100 „Scraping – Fall “: 100,00 €; LG Paderborn vom 19.12.2022, Az. 3 O 99/22, GRUR- RS 2022, 39349 Rn. 133 – 138: 500,00 €; LG Nürnberg- Fürth vom 20.10.2023, Az. 10 O 1510/22, GRUR- RS 2023, 30671, Rn. 127 – 133: 250,00 €; LG Freiburg vom 08.02.2024, Az. 8 O 212/23, GRUR- RS 2024, 4526, Rn. 74 – 76: 100,00 €; OLG Oldenburg vom 14.05.2024, Az. 13 U 114/23, juris, Rn. 34 – 36: 250,00 €).

Hinsichtlich eines weitergehenden psychischen Schadens ist zunächst zu bemerken, dass der diesbezügliche Sachvortrag, unter anderem „die Klagepartei hat die Kontrolle über die Daten…vollständig verloren“ (Klageschrift vom …), nahezu wortgleich in einer Vielzahl von gleichgelagerten Fällen, die durch die Prozessbevollmächtigten der Klagepartei gegen die Beklagte geführt werden, erfolgt. Aber auch bei einem aus Textbausteinen zusammengesetzten Schriftsatz, aus dem sich ein für einen Rechtssatz schlüssiger Sachvortrag ergibt, ist es bei dessen Erheblichkeit grundsätzlich geboten, die Partei persönlich anzuhören, die dabei als Anspruchssteller weiterhin – auch in Bezug auf das konkrete Ausmaß eines etwaigen Schadens – beweisbelastet bleibt (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24, juris, Rn. 33 – 37).

In ihrer informatorischen Anhörung hat die Klagepartei glaubhaft vorgebracht, dass sie im Internet über diverse Lebensbereiche recherchiere (Politik, Finanzen / Kapitalanlage, Gesundheitsthemen). Durch die streitgegenständliche Datenverarbeitung fühle sie sich unwohl, dass im Hintergrund Daten über sie gesammelt werden, fühle sie sich überwacht und in der Privatsphäre beeinträchtigt. Auch gab sie glaubhaft an, dass sie besonders darüber geschockt gewesen sei, dass die … Tools auch auf der Internetseite des „…“ Anwendung gefunden haben und sie diese regelmäßig vor Wahlen genutzt habe. Zwar gab die Beklagtenvertreterin hierzu an, dass das … Tool nicht mehr auf der Webseite „…“ aktiv. Jedoch war es für das Gericht aus dem Eindruck der Anhörung nachvollziehbar, dass die Klagepartei sich auch weiterhin psychisch diversen und grundlegenden Bereichen der Internetrecherche ihrer Persönlichkeitsentfaltung, wie etwa politischer Information, Gesundheit und Finanzthemen, beeinträchtigt fühlt. Dies rechtfertigt aus Sicht des Gerichts einer weitergehenden Schadenskompensation in Höhe von 250,00 €.

b) Eine Anspruchsminderung scheidet vorliegend aus, § 254 BGB.

Dabei ist es grundsätzlich umstritten, ob im Rahmen des Art. 82 DSGVO ein schadensminderndes Mitverschulden des Anspruchsstellers überhaupt zu berücksichtigen ist. Dies wird mitunter abgelehnt, da bei Art. 82 DSGVO entgegen seiner Vorgängernorm keine Haftungseinschränkung bei Mitverschulden vorsehe (Kühling/Buchner/Bergt, DS- GVO BDSG, 4. Auflage, Art. 82 Rn. 59). Hingegen wird auch vertreten, dass die Rechtsprechung des EuGH gerade die Anwendbarkeit nationaler Regelung eröffnet habe und daher § 254 BGB zur Bemessung der Schadenshöhe herangezogen werden könne (BeckOK, DatenschutzR, Stand 01.08.2024, Art. 82 DSGVO Rn. 35; Schaffland/Wiltfang, Datenschutz- Grundverordnung (DS- GVO)/Bundesdatenschutzgesetz (BDSG), 11. Erglfg. 2024, Art. 82 EUV 2016/679, Rn. 32).

Auch bei Anwendung von § 254 BGB wäre vorliegend kein Mitverschulden gegeben. Insbesondere könnte der Klagepartei nicht angelastet werden, ob sie bislang ihre Cookie – Einstellungen auf dem Netzwerk nicht geändert hat. Denn die Erläuterungen bei diesen Einstellungen sind nicht geeignet den Nutzer darüber umfassend aufzuklären, welche Daten durch die … Tools an die Beklagte übermittelt und von ihr gespeichert werden. Dasselbe gilt hinsichtlich der Schaltfläche „Informationen über Aktivitäten von Werbepartnern” und den Inhalt der Datenschutzrichtlinie der Beklagten. Hierzu wird auf die Ausführungen unter Ziff. 2.1 Bezug genommen. Dadurch wird die Klagepartei schon nicht in die Lage versetzt, eine aufklärungsgerechte Entscheidung zu treffen, ob und welcher Datenverarbeitung sie zustimmen möchte. Demnach kann ihr nicht anspruchskürzend vorgehalten werden, dass sie zumindest teilweise wieder die Kontrolle über ihre Daten erlangt und damit auch weniger emotionale Beschwerden und sonstige Einschränkungen der Lebensführung erlitten hätte.

3.3 Ein weiterer Anspruch ergibt sich nicht aus der Verletzung des allgemeinen Persönlichkeitsrechts, § 823 Abs. 1 BGB i.V.m. Art. 1, 2 GG.

Denn der Regelung des Art. 82 DSGVO kommt insoweit eine Sperrwirkung zu.

Zwar ist die Kontrolle über die eigenen Daten, etwa bei Fragen der Speicherung, über das Recht auf informationelle Selbstbestimmung gewährleistet, welches eine Ausprägung des allgemeinen Persönlichkeitsrechts darstellt, und wird im Rahmen der mittelbaren Drittwirkung als sonstiges Recht vom Schadensersatzanspruch des § 823 Abs. 1 BGB geschützt (Grüneberg, BGB, 82. Auflage, § 823 Rn. 132). Jedoch ist durch Art. 82 DSGVO eine einheitliche und abschließende Anspruchsgrundlage für Schadensersatz bei personenbezogenen Daten geschaffen worden, die gegenüber dem nationalen Recht vorrangig ist (OLG Frankfurt vom 30.03.2023, Az. 16 U 22/22, juris Rn. 58f.). Dafür spricht schon ErwGr. 9 DSGVO, der von der Schaffung eines einheitlichen Schutzniveaus in der Union ausgeht. Der angestrebten Vollharmonisierung würde es entgegenlaufen, wenn in den nationalen Rechtsordnungen unterschiedliche zusätzliche Schadensersatzansprüche vorhanden wären, so dass der DSGVO insoweit eine Sperrwirkung zukommt (Laue/Nink/Kremer, Datenschutzrecht in der betrieblichen Praxis, 3. Auflage, § 13 Haftung, Sanktionen und Rechtsbehelfe Rn. 22). Dem steht auch nicht entgegen, dass ErwGr. 146 S. 3 DSGVO erklärt, dass der Schadensersatz nach DSGVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gilt. Demnach bleiben zwar weitere Schadensersatzansprüche grundsätzlich erhalten (Ehmann/Selmayr/Nemitz, DS- GVO, 3. Auflage, Art. 82 Rn. 11). Dazu zählt auch der allgemeine Schadenersatzanspruch des deutschen Rechts auf Grundlage von § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG (Verletzung des allgemeinen Persönlichkeitsrechts), der weiterhin anwendbar bleibt (Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 82 DSGVO Rn. 32). Dies bedeutet aber nicht, dass Schadensersatzansprüche, die gerade mit DSGVO- Verstößen begründet werden, mit anderen Anspruchsgrundlagen als Art. 82 DSGVO verfolgt werden könnten. Dies dürfte daher im Übrigen auch der Einordnung von DSGVO – Normen als Schutzgesetz im Sinne von § 823 Abs. 2 BGB entgegenstehen (Borges/Keil, Big Data, 1. Auflage, § 7 Haftung für Daten und Analysen Rn. 267).

Daher kann es vorliegend dahinstehen, ob bei der Bejahung eines Anspruchs aus § 823 Abs. 1 BGB i.V.m. Art. 1, 2 GG von einem anderen und gegebenenfalls höheren Schadensumfang als bei Art. 82 DSGVO auszugehen wäre.

3.4 Im Ergebnis war demnach der Schadensersatzanspruch nur teilweise zuzusprechen und im Übrigen, insoweit die Klagepartei darüber hinaus eine Zahlung von mindestens weiteren 4.500,00 € begehrte, abzuweisen.

Der Klageanspruch in Ziff. 3 ist daher nur teilweise gerechtfertigt.

C. Nebenforderungen

1. Ein Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten besteht nicht. Zwar sind vorgerichtliche Rechtsanwaltskosten insbesondere vom Schadensersatz des Art. 82 Abs. 1 DSGVO umfasst und hierüber kompensierbar (BeckOK, Datenschutzrecht, 49. Ed. 1.8.2024, DSGVO Art. 82 Rn. 29 mit Verweis auf OLG Schleswig Urteil vom 02.07.2021, Az. 17 U 15/21, BeckRS 2021, 16986 Rn. 53). Bei dem vorgerichtlichen Vorgehen der Klägervertreter handelte es sich nicht um eine zweckentsprechende Rechtsverfolgung. Den Klägervertretern musste aus der Vielzahl der von ihnen betreuten Mandate – ebenso wie dem Gericht – bekannt sein, dass die Beklagte auf außergerichtliche Aufforderungen hin zu keinerlei Erfüllung bereit ist (vgl. für die Diesel- Masseverfahren OLG Karlsruhe NJW- RR 2024, 155). Die Klägervertreter mussten jedenfalls annehmen und die Klagepartei darüber aufklären, dass ein zunächst nur auf die außergerichtliche Geltendmachung beschränktes Mandat nicht zielführend ist und nur unnötige Kosten verursacht. Es lag der Schluss nahe, die Ansprüche des Klägers nur mittels Erhebung einer Klage realisieren zu können, so dass sich die Klägervertreter veranlasst gesehen haben mussten, sich unmittelbar ein unbedingtes Mandat zur Klageerhebung erteilen zu lassen (LG Nürnberg- Fürth, Urteil vom 02.11.2023, Az. 6 O 2382/23, BeckRS 2023, 32830, Rn. 31). Zudem ist der Zugang des vorgerichtlichen Rechtsanwaltsschreibens vom … (Anlage K 3) der Klagepartei bei der Beklagten strittig und nicht belegt.

2. Der Zinsanspruch folgt ab Klagezustellung aus §§ 291, 288 Abs. 1 BGB. Ein früherer Verzug durch ein außergerichtliches Schreiben der Prozessbevollmächtigten ist nicht gegeben, unter anderem da hier eine weit übersetzte Zahlung von 5.000 € verlangt wurde. Macht der Gläubiger einen weit übersetzten Leistungsumfang geltend, kann er aus einer Mahnung keine Rechte herleiten, vor allem dann nicht, wenn der Schuldner den wirklich geschuldeten Leistungsumfang nicht zuverlässig ermitteln kann (BGH NJW 1991, 1286; Lorenz, in: BeckOK- BGB, Stand 01.08.2024, § 286 Rn. 28).

D. Nebenentscheidungen

1. Kosten des Rechtsstreits: § 92 Abs. 1 S. 1 ZPO

2. Vorläufige Vollstreckbarkeit: §§ 708 Nr. 11, 711 S. 1, 2 i.V.m. 709 S. 1, 2 ZPO

3. Die Festsetzung des Streitwerts beruht auf § 48 Abs. 1 S. 1 GKG i.V.m. § 3 ZPO.

3.1 Den Streitwert für den Auskunftsantrag zu Ziff. 1 hat das Gericht gemäß § 3 ZPO in Verbindung mit § 48 Abs. 2 GKG auf 500,00 € geschätzt, da es vorliegend um das Informationsinteresse geht (Zöller, ZPO, 35. Auflage 2024, § 3 Rn. 16.53a).

3.2 Den Streitwert des Löschungs- und Anonymisierungsantrags der Ziff. 2 hat das Gericht gemäß § 3 ZPO in Verbindung mit § 48 Abs. 2 GKG auf 500,00 € geschätzt und hat sich dabei von der Beeinträchtigung, die von dem beanstandeten Verhalten zu besorgen ist und die beseitigt werden soll, leiten lassen (vgl. Zöller, a.a.O., § 3 Rn. 16.43, 16.172).

3.3 Soweit die Klagepartei mit dem Antrag zu Ziff. 3. einen immateriellen Schadensersatz geltend gemacht hat, so war dieser Antrag auf den klägerseits angegebenen Mindestbetrag, mithin auf 5.000,00 € zu bemessen (vgl. Zöller, ZPO, 35. Auflage 2024, § 3 Rn. 16.171 mit weiteren Nachweisen).

3.4 Dem Antrag zu Ziff. 4., der die Freistellung von vorgerichtlichen Rechtsanwaltskosten geltend macht, kam als Nebenforderung – hier: Kosten – keine eigenständige Bedeutung zu, § 4 Abs. 1 Hs. 2 ZPO.

3.5 Dies ergab einen zu addierenden Streitwert von insgesamt 6.000,00 €, § 39 Abs. 1 GKG.