LG Ansbach, Endurteil v. 15.10.2025 – 3 O 560/24

Titel:

Zulässige Übermittlung personenbezogener Daten in ein Drittland

Normenketten:

ZPO § 253, § 256

DSGVO Art. 6, Art. 13, Art. 14, Art. 15, Art. 23, Art. 45, Art. 46, Art. 47, Art. 49, Art. 79, Art. 82

BGB § 823

GG Art. 1, Art. 2

Leitsätze:

1. Im vorliegenden Fall bestehen keine Ansprüche auf Ersatz immaterieller Schäden wegen der Übermittlung personenbezogener Daten in die Vereinigten Staaten; die streitgegenständliche Datenverarbeitung stellt sich als rechtmäßig dar. (Rn. 31 – 32) (redaktioneller Leitsatz)

2. Die hier gegenständliche Übermittlung von Daten in die USA ist rechtmäßig erfolgt. Nach Art. 45 Abs. 1 DSGVO dürfen personenbezogene Daten in ein Drittland übermittelt werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet; Angemessenheitsbeschlüsse im Sinne des Art. 45 DSGVO bieten eine umfassende Legitimation für Datenübermittlungen, da sie sich auf ganze Länder, Gebiete oder ein oder mehrere spezifische Sektoren in einem Drittland beziehen. (Rn. 33) (redaktioneller Leitsatz)

3. Die potentielle Weitergabe von Daten an US-Geheimdienste oder Ermittlungsbehörden, unter anderem an die NSA, begründet keinen Verstoß gegen die DSGVO; soweit US-Regierungsbehörden einschließlich der Geheimdienste nach US-amerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. (Rn. 36) (redaktioneller Leitsatz)

Schlagworte:

Klageantrag, Feststellungsinteresse, Unterlassungsanspruch, Auskunftsanspruch, Schadensersatz, Datenübermittlung, Rechtsschutzbedürfnis

Fundstelle:

GRUR-RS 2025, 35075

Tenor

1. Die Klage wird abgewiesen.

2. Der Kläger hat die Kosten des Rechtsstreits zu tragen.

3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.

Beschluss

Der Streitwert wird auf 8.500,00 € festgesetzt.

Tatbestand

Der Kläger macht gegenüber der Beklagten Ansprüche aus behaupteten Verstößen gegen die EU-Datenschutzgrundverordnung geltend.

Die in Irland ansässige Beklagte ist Betreiberin der Social-Media Plattform www.f....com. Es handelt sich um einen globalen Dienst, der den Nutzern die Erstellung eines eigenen Nutzerprofils, welches sie mit anderen Nutzern teilen können, erlaubt. Darüber hinaus können Nutzer sich u.a. sozial vernetzen sowie Inhalte teilen und konsumieren. Zu diesem Zweck unterhält die Beklagte an verschiedenen Standorten weltweit, darunter auch in Europa und in den USA, Rechenzentren, zwischen denen regelmäßig Inhalte und Nutzerdaten übertragen werden.

Der Kläger ist bei F... mit seiner E-Mail-Adresse p...@gmx.de registriert.

In ihren Nutzungsbedingungen erläutert die Beklagte Rechte und Pflichten der Vertragsparteien. Die Nutzungsbedingungen enthalten die folgende Passage (Anlage B1, S. 5):

„Sicherstellung des Zugriffs auf unsere Produkte:

Damit wir unsere globalen Dienste betreiben und es dir ermöglichen können, dich weltweit mit Menschen zu vernetzen, müssen wir Inhalte und Daten an unsere Rechenzentren, Partner, Dienstleister, Anbieter und Systeme auf der ganzen Welt übermitteln und dort speichern und verteilen, also auch in Länder/n außerhalb des Landes, in dem du wohnst. Die Nutzung dieser globalen Infrastruktur ist für die Bereitstellung unserer Produkte erforderlich und unerlässlich. Diese Infrastruktur kann Meta Platforms, Inc., Meta Platforms Ireland Limited oder deren verbundenen Unternehmen gehören, von diesen betrieben oder kontrolliert werden.“

Die Beklagte überträgt Daten der Nutzer, darunter jene des Klägers, an den Mutterkonzern, die Meta Platforms Inc., in die Vereinigten Staaten, wo diese ansässig ist.

Mit Schreiben seiner Prozessbevollmächtigten vom 25.04.2024 (Anlage DB4) forderte der Kläger die Beklagte auf, Auskunft über Datentransfers in die USA zu erteilen, eine strafbewehrte Unterlassungserklärung betreffend die Übermittlung von Daten des Klägers an außereuropäische Empfänger abzugeben, ein Schmerzensgeld zu zahlen, eine Einstandspflicht für Folgeschäden anzuerkennen und die dem Kläger entstandenen Anwaltskosten auszugleichen. Ob eine Reaktion der Beklagten auf dieses Schreiben erfolgte, ist zwischen den Parteien streitig.

Der Kläger ist der Ansicht, das Vorgehen der Beklagten sei rechtswidrig, da die USA kein mit der Europäischen Union vergleichbares Datenschutzniveau gewährleisten würden. Der Datentransfer verstoße gegen Art. 46 DSGVO. Es greife keine der Ausnahmen aus Art. 49 DSGVO, die die Datenübertragung rechtfertigen könne. Dies habe auch die irische Datenschutzbehörde so festgestellt. In die Datenverarbeitung habe die Klagepartei auch nicht eingewilligt. Die Angemessenheitsbeschlüsse der EU-Kommission gemäß Art. 45 DSGVO seien vom EuGH in den Urteilen „Schrems I“ und „Schrems II“ für ungültig erklärt worden, da in den USA kein angemessenes Datenschutzniveau vorhanden sei. Das fehlende Datenschutzniveau könne auch nicht durch die Standartvertragsklauseln (SCC) von 2010 und 2021 kompensiert werden. Dem Kläger stehe daher ein Schmerzensgeldanspruch nach Art. 82 Abs. 1 DSGVO und ein Anspruch auf Feststellung des Ersatzes künftiger Schäden zu.

Der Kläger behauptet, durch die – nach seiner Ansicht rechtswidrige – Übertragung und Speicherung der persönlichen Daten auf US-amerikanischen Servern sei er spürbar beeinträchtigt. Er verspüre einen schwerwiegenden, erheblichen Kontrollverlust über die eigenen Daten und befände sich im Zustand großen Unwohlseins und großer Sorge über einen potentiellen Datenmissbrauch. Aufgrund der weitreichenden Zugriffsmöglichkeiten auf jene Daten fühle er sich dauerhaft beobachtet und überwacht. Dieses Gefühl mache sich insbesondere bemerkbar, wenn sich elektronische Geräte in der Nähe befänden, auf welche theoretisch seitens der US-amerikanischen National Security Agency (NSA) zugegriffen werden könne. Durch die weitreichenden Zugriffsmöglichkeiten der Nachrichtendienste bestünden Gefahren für seine Persönlichkeitsrechte, etwa durch das Lesen privater, sogar höchstpersönlicher Nachrichten durch die Geheimdienste. Er sei darüber hinaus besorgt, dass möglicherweise eine Überwachung durch eingebaute Kameras von Endgeräten wie z.B. Smartphone, Laptop etc. erfolge. Außerdem misstraue er verstärkt eingehenden E-Mails, Anrufen und Benachrichtigungen unbekannter Absender bzw. Anrufer. Im Hinblick auf eine etwaige Einreise in die USA befürchte er negative Auswirkungen durch die Übertragung der personenbezogenen Daten in die USA.

Ferner ist der Kläger der Ansicht, die Beklagte habe den Auskunftsanspruch nicht erfüllt. Das Schreiben seiner Prozessbevollmächtigter vom 25.04.2024 sei unbeantwortet geblieben. Auch aus diesem Grund stünde ihm ein weiterer Schmerzensgeldanspruch zu. Der Unterlassungsanspruch ergebe sich aus § 1004 BGB analog, § 823 Abs. 1 BGB, § 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO sowie Art. 17 DSGVO.

Der Kläger beantragt:

1.: Die Beklagte wird verurteilt, an den Kläger als Ausgleich für die rechtswidrige Übermittlungen personenbezogener Daten in die Vereinigten Staaten sowie die Speicherung personenbezogener Daten auf dort befindlichen Servern einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.500,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz der EZB seit Rechtshängigkeit zu zahlen.
2.: Die Beklagte wird verurteilt, an den Kläger für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.000,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz der EZB seit Rechtshängigkeit zu zahlen.
3.: Es wird festgestellt, dass die Beklagte verpflichtet ist, dem Kläger alle materiellen künftigen Schäden zu ersetzen, die dem Kläger durch die Übertragung der personenbezogenen Daten des Klägers in die Vereinigten Staaten und deren Speicherung auf dort befindlichen Servern sowie den potentiellen Zugriff Dritter, vor allem der US-amerikanischen Geheimdienste auf die Datensammlungen der Beklagten entstanden sind und/oder noch entstehen werden.
4.: Die Beklagte wird verurteilt, es bei Meldung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem Vertreter (Director) zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, sämtliche personenbezogene Daten des Klägers, namentlich Telefonnummer, F...ID, Familiennamen, Vornamen, Geschlecht, Bundesland, Land, Stadt, Beziehungsstatus ohne das Vorliegen eines Rechtfertigungsgrundes in Form eines Angemessenheitsbeschlusses im Sinne des Art. 45 Abs. 3 DSGVO oder einer Garantie im Sinne des Art. 46 Abs. 1 DSGVO in ein nicht der Europäischen Union angehöriges Land, insbesondere die Vereinigten Staaten, zu übermitteln und auf dort befindlichen Servern zu speichern, wenn nicht einer der in Art. 49 Abs. 1 DSGVO genannten Ausnahmefälle einschlägig ist.
5.: Die Beklagte wird verurteilt, dem Kläger Auskunft über personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten in das außereuropäische Ausland, insbesondere die Vereinigten Staaten, übertragen wurden und werden, ob und zu welchem Zweck Behörden wie Nachrichtendienste, sonstige Geheimdienste oder die National Security Agency (NSA) Zugang zu diesen Daten gewährt wurde.
6.: Die Beklagte wird verurteilt, den Kläger von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 887,03 € freizustellen.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte ist der Ansicht, die Datenübertragung erfolge rechtmäßig, sodass ihr ein Datenschutzvorstoß nicht zur Last gelegt werden könne. Hierzu verweist die Beklagte darauf, dass seit dem Inkrafttreten der DSGVO am 25.05.2018 die Datenübermittlungen auf der Grundlage der Standardvertragsklauseln gemäß dem Anhang zum Beschluss der Kommission (2010/87/EU vom 05.02.2010) über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern („2010 SCCs“) erfolgt sei. Ab dem 31.08.2021 erfolge die Datenübermittlungen auf der Grundlage der Standardvertragsklauseln im Anhang zum Durchführungsbeschluss (EU) 2021/914 der Kommission vom 04.06.2021 („2021 SCCs“). Die 2010 SCCs und die 2021 SCCs böten geeignete Garantien gemäß Art. 46 Abs. 1, 2 und 5 DSGVO und einen gültigen Mechanismus, mit dem Verantwortliche ein angemessenes Schutzniveau bieten können. Am 10.07.2023 habe die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO erlassen. Damit habe sie beschlossen, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten biete, die aus der EU an Organisationen in die USA übermittelt werden. Dieser Beschluss sei für alle Gerichte der EU bindend. Meta Platforms Inc. habe die Zertifizierung ihrer Beteiligung am EU-US-DPF beantragt. Die Zertifizierung sei am 07.09.2023 erteilt worden.

Außerdem greife die Ausnahmeregelung des Art. 49 Abs. 1 lit. b DSGVO. Der Betrieb einer weltweiten Social-Media-Plattform mache es erforderlich, Nutzerdaten auch auf Server an anderen Standorten zu übertragen. Insbesondere könne es die Beklagte ihren europäischen Nutzern nicht untersagen, sich mit US-amerikanischen Nutzern zu verbinden und deren Beiträge zu kommentieren und umgekehrt. Ohne die Möglichkeit des Transfers von Nutzerdaten zwischen den USA und der EU müsste die Beklagte den Betrieb von F... für EU-Nutzer einstellen. Die Bußgeldentscheidung der irischen Datenschutzbehörde sei auf die Rechtslage ohne Einfluss und ferner für das Gericht nicht bindend.

Es fehle darüber hinaus an einem kausalen materiellen oder immateriellen Schaden der Klagepartei. Einen solchen habe der Kläger nicht hinreichend substantiiert dargelegt.

Der Auskunftsanspruch aus Art. 15 DSGVO sei unzulässig, da es dem Kläger an einem Rechtsschutzbedürfnis gehle. Er könne die Auskunft über die von der Beklagten verarbeiteten Daten des Klägers ohne Klageerhebung selbst erlangen. Darüber hinaus sei der Auskunftsanspruch unbegründet, da er erfüllt sei, soweit eine Auskunftspflicht bestanden habe. Mit Schreiben vom 15.08.2024 (Anlage B14) habe die Beklagte dem Kläger mitgeteilt, dass er Informationen über die von der Beklagten gespeicherten personenbezogenen Daten selbst über die F...-Plattform mittels einer Reihe von Selbstbedienungstools abrufen könne und sie habe dem Kläger eine Anleitung hierzu übersandt. Des Weiteren habe sie die relevante Passage ihrer Datenschutzrichtlinie betreffend die Verwendung der erhobenen Informationen angeführt. Die Beklagte sei nicht verpflichtet, Informationen über gezielte Anfragen von US-Regierungsbehörden nach Section 702 des Foreign Surveillance Act (FISA) offenzulegen, da ihr dies nach US-amerikanischem Recht untersagt ist, was unstreitig ist. Es sei zudem nicht ersichtlich, inwieweit die behauptete unzureichende Auskunftserteilung zu einem Schaden beim Kläger geführt habe.

Die Beklagte ist des Weiteren der Ansicht, der Feststellungsantrag sei bereits unzulässig. Es fehle das erforderliche Feststellungsinteresse, da ein künftiger Schaden infolge einer Datenübermittlung auf US-Server der Beklagten nicht wahrscheinlich sei. Der Antrag sei überdies zu unbestimmt, soweit die Feststellung einer Schadenersatzverpflichtung für bereits entstandene Schäden begehrt werde.

Auch der Unterlassungsanspruch sei unzulässig. Die begehrte Unterlassung werde nicht hinreichend konkretisiert. Dem Kläger fehle es außerdem am Rechtsschutzbedürfnis, da er sein Ziel selbst durch Löschung seines F...-Kontos einfach erreichen könne. Der Klageantrag zu 4) sei zudem unbegründet. Die DSGVO sehe keine Unterlassungsansprüche vor, ebenso wenig könne dahingehen auf nationales Recht zurückgegriffen werden.

Die Beklagte erhebt im Hinblick auf Schadensersatz- und Unterlassungsansprüche betreffend Datenübermittlungen, die vor Ende des Jahres 2020 stattgefunden haben, die Einrede der Verjährung.

Wegen des weiteren Vorbringens der Parteien wird auf die gewechselten Schriftsätze und vorgelegten Urkunden und auf das Sitzungsprotokoll vom 01.10.2025 Bezug genommen. Der Kläger wurde am 01.10.2025 informatorisch angehört.

Entscheidungsgründe

Die Klage ist teilweise unzulässig und im Übrigen unbegründet.

1. Das Landgericht Ansbach ist international, sachlich und örtlich zuständig. Die internationale Zuständigkeit folgt aus Art. 6 Abs. 1,18 Abs. 1 EuGVVO sowie aus Art. 82 Abs. 6, Art. 79 Abs. 2 S. 2 DSGVO. Die örtliche Zuständigkeit ergibt sich aus Art. 18 Abs. 1 2. Alt. EuGVVO und Art. 79 Abs. 2 S. 2 DSGVO, § 44 Abs. 1 S. 2 BDSG und die sachliche aus §§ 71 Abs. 1, 23 Nr. 1 GVG, §§ 3, 5 ZPO.

2. Der Klageantrag zu 3) ist unzulässig. Es fehlt an einem rechtlichen Interesse des Klägers an der Feststellung (§ 256 Abs. 1 ZPO).

a. Der Klageantrag zu 3) ist zum einen nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO. Der Antrag bezieht sich auf „künftige Schäden“, „die dem Kläger (…) entstanden sind und/oder noch entstehen werden.“ Auch unter Berücksichtigung schriftsätzlichen Vorbringens des Klägers ist für das Gericht nicht ersichtlich, ob sich der Antrag nur auf künftige Schäden oder auch bereits entstandene, aber gegebenenfalls noch nicht bekannte Schäden erstrecken soll (LG München I, Urteil vom 11.07.2025 – 44 O 5971/24).

b. Daneben fehlt es an einem rechtlichen Interesse des Klägers an der Feststellung (§ 256 Abs. 1 ZPO). Für das Vorliegen eines rechtlichen Interesses bedarf es einer hinreichenden Wahrscheinlichkeit eines auf die Verletzungshandlung zurückführenden Schadenseintritts, denn es ist nicht Sinn des Feststellungsantrags, rein theoretische Fragen, die keine praktische Bedeutung für den Kläger haben, zu klären (BGH NJW 2022, 1093; BGH NJW-RR 2019, 1332). Die bloße Möglichkeit eines Vermögensschadens genügt nur dann für ein Feststellungsinteresse, wenn ein anderweitiger Vermögensschaden bereits eingetreten ist und der Eintritt weiterer Vermögensschäden im Rahmen der noch nicht abgeschlossenen Schadensentwicklung mit einer hinreichenden Wahrscheinlichkeit zu befürchten ist (BGH NJW 2022, 1093). Dies hat der Kläger nicht substantiiert dargelegt.

(1) Soweit der Kläger die Feststellung einer Schadenersatzverpflichtung zu bereits entstandenen materiellen Schäden begehrt, lässt er jeglichen Vortrag dazu vermissen, dass ihm bereits Schäden entstanden seien, deren Höhe noch nicht abschließend beziffert werden könne. Dass einmal eine nicht autorisierte Abbuchung von der Kreditkarte des Klägers stattgefunden haben soll, die ohnehin auf Grund einer erfolgten Rückbuchung nicht zu einem Vermögensschaden geführt hat, lässt sich mit dem vorliegenden Fall nicht in Verbindung bringen, nachdem selbst der Kläger nicht vorträgt, bei der Beklagten seine Kreditkartendaten angegeben zu haben.

(2) Soweit der Feststellungsantrag sich auf künftige Schäden bezieht, fehlt es an der Darlegung einer hinreichenden Wahrscheinlichkeit dafür, dass sich für den Kläger materielle Schäden aus einem Datenzugriff Dritter auf von der Beklagten auf US-Server übertragene personenbezogenen Daten des Klägers ergeben werden. Es steht bereits nicht fest, ob es überhaupt zu unbefugten Datenzugriffen Dritter gekommen ist. Wie überhaupt ein materieller Schaden daraus erwachsen soll, dass ein US-Geheimdienst auf Daten des Klägers zugreift, trägt er ebenfalls nicht vor. Das bloße „ungute Gefühl“, nicht zu wissen, wie die eigenen Daten verarbeitet werden, genügt nicht, um diesen Umstand und den Eintritt eines Vermögensschadens als hinreichend wahrscheinlich erscheinen zu lassen.

3. Der Klageantrag zu) 4 ist nicht hinreichend bestimmt im Sinne von § 253 Abs. 2 Nr. 2 Alt. 2 ZPO und daher ebenfalls unzulässig. Ein Klageantrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt. Dies bedeutet bei einem Unterlassungsantrag insbesondere, dass dieser nicht derart undeutlich gefasst sein darf, dass die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt. Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, sind grundsätzlich als zu unbestimmt und damit unzulässig anzusehen (BGH GRUR 2024, 1910 Rn. 52 ff.).

Diesen Anforderungen genügt der Klageantrag zu 4) nicht. Der Antrag auf Unterlassung der Datenübermittlung sämtlicher personenbezogener Daten des Klägers in ein Drittland außerhalb der EU, sofern nicht ein Rechtfertigungsgrund in Form eines Angemessenheitsbeschlusses im Sinne des Art. 45 Abs. 3 DSGVO oder einer Garantie im Sinne des Art. 46 Abs. 1 DSGVO vorliegt, beinhaltet in Bezug auf die Aufzählung der Rechtfertigungsgründe in der DSGVO Rechtsnormen, deren Anwendung eine Subsumtion durch das Vollstreckungsgericht erforderlich machen würde. Eine solche Subsumtion kann jedoch gerade nicht dem Vollstreckungsverfahren überlassen werden (BGH NJW 1991, 1114).

4. Der Klageantrag zu 5) ist hingegen zulässig. Ein Rechtsschutzbedürfnis ist gegeben. Das allgemeine Rechtsschutzbedürfnis liegt zwar nicht vor, wenn statt der Klage ein einfacherer oder billigerer Weg zur Erreichung des Rechtsschutzziels besteht (vgl. BGH GRUR 2024, 1910), die Frage, ob die Beklagte mit Schreiben vom 15.08.2024 ihre Auskunftspflicht erfüllt hat, ist jedoch eine Frage der Begründetheit und nicht der Zulässigkeit.

II.

Darüber hinaus ist die Klage jedenfalls unbegründet.

1. Dem Kläger stehen keine Ansprüche auf Ersatz immaterieller Schäden für die rechtswidrige Übermittlung personenbezogener Daten in die Vereinigten Staaten sowie die Speicherung personenbezogener Daten auf dort befindlichen Servern zu.

a. Ein solcher Anspruch folgt nicht aus Art. 82 Abs. 1 DSGVO. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Anspruch scheitert schon daran, dass ein Verstoß der Beklagten gegen die DSGVO im Hinblick auf die Datenübertragung und Speicherung personenbezogener Daten des Klägers in die USA nicht vorliegt. Die streitgegenständliche Datenverarbeitung stellt sich als rechtmäßig dar. In diesem Zusammenhang ist zu beachten, dass im Fall einer Datenübermittlung in ein Drittland neben den allgemeinen Anforderungen an die Rechtsgrundlage gem. Art. 5 Abs. 1 DSGVO i.V.m. Art. 6 DSGVO zusätzlich die Art. 44 ff. DSGVO einzuhalten sind. Danach ist die Datenübermittlung in ein Drittland nur aufgrund eines sog. Angemessenheitsbeschlusses der EU-Kommission gemäß Art. 45 DSGVO oder aufgrund geeigneter Garantien gern. Art. 46 DSVGO zulässig. Letzteres ist insbesondere dann erfüllt, wenn verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO oder sog. Standdarddatenschutzklauseln vorliegen. Falls weder ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO, noch geeignete Garantien nach Art. 46 DSGVO vorliegen, ist eine Übermittlung nur unter den Bedingungen des Art. 49 Abs. 1 DSGVO zulässig.

(1) Die Übermittlung der Daten in die USA durch die Beklagte ist seit 10.07.2023 gemäß Art. 45 Abs. 1 DSGVO rechtmäßig erfolgt. Nach Art. 45 Abs. 1 DSGVO dürfen personenbezogene Daten in ein Drittland übermittelt werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet. Angemessenheitsbeschlüsse im Sinne des Art. 45 DSGVO bieten eine umfassende Legitimation für Datenübermittlungen, da sie sich auf ganze Länder, Gebiete oder ein oder mehrere spezifische Sektoren in einem Drittland beziehen. In diesem Fall bedarf die Datenübermittlung auch keiner besonderen aufsichtsbehördlichen Genehmigung, da ein Angemessenheitsbeschluss unmittelbare Wirkung entfaltet (Art. 45 Abs. 1 S. 2, Erwägungsgrund 103 zur DSGVO). Die EU-Kommission hat mit Beschluss vom 10.07.2023 – (EU) 2023/1795, ABl. 2023 L 231, 118 (sog. EU-US Data Privacy Framework) – festgestellt, dass in den USA ein angemessenes Schutzniveau für personenbezogene Daten vorhanden ist; der Beschluss umfasst auch die Anforderungen von Daten aus Gründen der nationalen Sicherheit. Dieser Angemessenheitsbeschluss ist gemäß Art. 288 Abs. 4 AEUV für die Mitgliedsstaaten bindend. Das EuG hat die Wirksamkeit Angemessenheitsbeschlusses mit seinem Urteil vom 03.09.2025 (Az. T-553/23, Philippe Latombe vs. Europäische Kommission; „Latombe-Entscheidung“) bestätigt. Die Muttergesellschaft der Beklagten, Meta Platforms, Inc. wurde zudem die Zertifizierung nach dem EU-US Data Privacy Framework am 07.09.2023 erteilt (LG Hagen, Urteil vom 07.05.2025 – 10 O 226/24).

(2) Auch die Datenübermittlung der Beklagten aus der EU in die Vereinigten Staaten für den Zeitraum davor, also seit dem Inkrafttreten der DSGVO am 25.05.2018 bis zum 09.07.2023, war rechtmäßig. Nach Art. 46 Abs. 2 lit. c DSGVO durfte die Beklagte die personenbezogenen Daten des Klägers auf der Grundlage der Standardvertragsklauseln gemäß dem Anhang zum Beschluss der Kommission (2010/87/EU vom 05.02.2010) über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in die USA übermitteln. Insbesondere wurde der Beschluss der Kommission (2010/87/EU vom 05.02.2010) vom EuGH in dem Urteil Schrems-II (EuGH, Urteil vom 16.07.2020 – C-311/18, GRUR-RS 2020, 16082) auch nicht für ungültig erklärt (das Schrems I-Urteil ist für den vorliegenden Rechtsstreit nicht relevant, da es die Rechtslage vor Inkrafttreten der DSGVO betrifft). Ab dem 31.08.2021 konnte die Beklagte die Daten auf der Grundlage der Standardvertragsklauseln im Anhang zum Durchführungsbeschluss (EU) 2021/914 der Kommission vom 04.06.2021 übermitteln. Solange der EuGH bestehende Standarddatenschutzklauseln nicht für ungültig erklärt hat, sind sie als von der Kommission erlassene Durchführungsrechtsakte für die Mitgliedstaaten und somit auch für die Datenschutzaufsichtsbehörden verbindlich (Art. 288 Abs. 4 AEUV). Der Beschluss der irischen Datenschutzbehörde vom 12.05.2023 ist hingegen für deutsche Gerichte nicht bindend. (LG Hagen, Urteil vom 07.05.2025 – 10 O 226/24). Ohnehin lässt sich dem Vorbringen des Klägers bereits nicht entnehmen, ob vor dem 11.07.2023 bzw. 07.09.2023 eine Übertragung seiner Daten durch die Beklagte in die USA überhaupt erfolgt ist. Der Kläger hat schon nicht dargelegt, wann er ein Benutzerkonto bei der Beklagten angelegt hat, sodass unklar ist, ob er bereits vor dem 11.07.2023 bzw. 07.09.2023 Nutzer der Plattform F... war.

(3) Im Übrigen ist eine Übermittlung der personenbezogenen Daten des Klägers in die USA auch auf Grundlage der Art. 6 Abs. 1 lit. B, 49 Abs. 1 lit. b DSGVO zulässig, auf eine Einwilligung des Klägers kommt es daher nicht an. Hiernach ist eine Übermittlung personenbezogener Daten an ein Drittland zulässig, wenn die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person erforderlich ist. Die Beklagte trägt nachvollziehbar vor, dass die Übermittlung der Daten in die USA notwendig sei, um F...-Dienste bereitzustellen und damit die Verträge mit EU-Nutzern zu erfüllen. Dies erschließt sich vor dem Hintergrund, dass es sich bei dem sozialen Netzwerk F... um ein weltweites soziales Netzwerk handelt, über welches Nutzer weltweit miteinander in Kontakt treten können. Hierfür ist es zwangsläufig erforderlich, dass Daten international ausgetauscht werden. Die Beklagte weist hierauf in ihren Nutzungsbedingungen auch hin (LG Hagen, Urteil vom 07.05.2025, Az. 10 O 226/24).

(4) Auch die potentielle Weitergabe von Daten an US-Geheimdienste oder Ermittlungsbehörden, unter anderem an die NSA, begründet keinen Verstoß gegen die DSGVO. Soweit US-Regierungsbehörden einschließlich der Geheimdienste von der Konzernmutter der Beklagten nach US-amerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre (vgl. LG Passau GRUR-RS 2024, 3875; LG Bochum, Urteil vom 15. Mai 2024 – I-5 O 334/23).

b. Der Anspruch folgt auch nicht aus § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG, oder § 823 Abs. 2 BGB i.V.m. Art. 13, 14 DSGVO zu. Denn Schadensersatzansprüche und Unterlassungsansprüche des nationalen Rechts – soweit diese auf Verstöße gegen Regeln zur Verarbeitung personenbezogener Daten und anderer Regelungen der DSGVO gestützt sind – finden keine Anwendung, weil die Vorschriften der DSGVO eine abschließende, weil voll harmonisierende europäische Regelung bilden. Wegen dieses Anwendungsvorrangs des unionsweit abschließend vereinheitlichten Datenschutzrechts kann ein Anspruch nicht auf Vorschriften des nationalen deutschen Rechts gestützt werden.

Auf nationales Recht kann nur zurückgegriffen werden, wenn sich aus der DSGVO eine entsprechende Öffnungsklausel ergibt (OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23 Rn. 559; OLG Frankfurt GRUR 2023, 904). Eine solche Öffnungsklausel liegt aber nicht vor. Der Begriff „gerichtlicher Rechtsbehelf“ in Art. 79 Abs. 1 DSGVO meint nur verfahrensmäßige Rechtsbehelfe im Sinne von Klagen und Anträgen und nicht materielle Ansprüche. Hinzu kommt, dass der Rechtsbehelf der betroffenen Person die Durchsetzung der ihr „aufgrund dieser Verordnung“ zustehenden Rechte ermöglichen soll. Da die Regelung mithin nur die Durchsetzung und den Rechtsschutz für die „aufgrund dieser Verordnung“ der betreffenden Person „zustehenden Rechte“ sichert, kann die Bestimmung nicht Grundlage für die Einräumung materieller Ansprüche sein, die die DSGVO selbst nicht einräumt bzw. kennt (OLG Frankfurt GRUR 2023, 904).

2. Der Klageantrag zu 5) ist ebenfalls unbegründet. Ein Auskunftsanspruch des Klägers gegen die Beklagte nach Art. 15 Abs. 1 DSGVO besteht nicht. Nach Art. 15 Abs. 1 Halbsatz 1 DSGVO hat der Betroffene das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet worden sind. Ist dies der Fall, so hat der Betroffene gemäß Art. 15 Abs. 1 2. HS DSGVO ein Recht auf Auskunft über diese personenbezogenen Daten, über die Verarbeitungszwecke und über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen.

a. Soweit ein Auskunftsanspruch der Klägerin aus Art. 15 Abs. 1 DSGVO bestand, ist er infolge Erfüllung gemäß § 362 Abs. 1 BGB untergegangen. Die Beklagte ist dem klägerischen Auskunftsersuchen jedenfalls mit Schreiben vom 15.08.2024 (Anlage B14) nachgekommen. Dass der Kläger dieses nicht erhalten hätte, wird von ihm nicht substantiiert vorgetragen. Dem klägerischen Vortrag, sein Schreiben sei „unbeantwortet geblieben“ und eine „Reaktion der Beklagten sei unterblieben“, lässt sich nicht entnehmen, ob er das Schreiben lediglich inhaltlich nicht als ausreichend ansieht oder tatsächlich nicht erhalten haben will.

In dem Schreiben vom 15.08.2024 erteilte die Beklagte der Klägerin Auskunft in Form einer Instruktion unter Nutzung eines Selbstbedienungstools zur Einsichtnahme der von ihr bei der Beklagten gespeicherten Daten und deren Verwendung. Zudem kann der Kläger über die von der Beklagten zur Verfügung gestellten „Self-Service“-Tools jederzeit ohne Weiteres selbst auf die von ihm begehrten Informationen zugreifen. Ihm ist es zuzumuten, auf der Webseite der Beklagten die Seite „Einstellungen und Privatsphäre“ aufzusuchen, um dort die von der Beklagten über sie gespeicherten personenbezogenen Daten einzusehen. Dabei genügt die Beklagte den Anforderungen des Art. 12 Abs. 1 DSGVO an eine präzise, transparente, verständliche und leicht zugängliche Information.

b. Hinsichtlich des Auskunftsverlangens, ob und zu welchem Zweck Behörden wie Nachrichtendiensten, sonstigen Geheimdiensten oder der NSA Zugang zu den Daten gewährt hat, ist eine solche Auskunft nach Art. 23 Abs. 1 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG ausgeschlossen, sodass insoweit ebenfalls kein Auskunftsanspruch besteht.

Grundsätzlich erstreckt sich das Auskunftsrecht aus Art. 15 DSGVO zwar auch auf Informationen dazu, ob und welchen Empfängern der Verantwortliche personenbezogene Daten des Betroffenen weitergegeben hat. Da das Recht auf den Schutz der personenbezogenen Daten im Hinblick auf seine gesellschaftliche Funktion zu betrachten und demgemäß unter Wahrung des Verhältnismäßigkeitsgrundsatzes gegen andere Grundrechte abgewogen werden muss (Erwägungsgrund 4 der DSGVO), gilt dies aber nicht uneingeschränkt. Gemäß Art. 23 DSGVO können u.a. Auskunftsansprüche eingeschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und dies in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt. Nach § 29 Abs. 1 S. 2 BDSG besteht das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.

Schon begriffsnotwendigerweise sind potentiell an Geheimdienste erteilte Auskünfte dem Wesen nach geheimhaltungsbedürftig. Insoweit handelt es sich um ein das Auskunftsinteresse des Klägers überwiegendes berechtigtes Interesse eines Dritten (vgl. LG Arnsberg, Urteil vom 24.03.2025 – 1-7 O 117/24; LG Amberg, Urteil vom 06.05.2025 – 11 O 407/24; LG Hagen, Urteil vom 07.05.2025 – 10 O 226/24). Hierauf hat die Beklagte den Kläger mit Schreiben vom 15.08.2024 (Anlage B14) hingewiesen.

3. Der Kläger hat auch keinen Anspruch auf Ersatz immateriellen Schadens wegen einer nicht den gesetzlichen Anforderungen entsprechenden Datenauskunft. Mangels Bestehens eines Auskunftsanspruchs ist auch für den mit Klageantrag zu 2) geltend gemachten Schadensersatzanspruch kein Raum. Darüber hinaus hat der Kläger aber auch schon nicht dargelegt, welcher konkrete Schaden bei ihm auf Grund auf der von ihm als unzureichend bewerteten Auskunft eingetreten sein soll.

4. Mangels Hauptanspruch besteht auch kein Anspruch auf die geltend gemachten Nebenforderungen.

III.

Die Kostenentscheidung beruht auf § 91 ZPO.

Die Entscheidung über die vorläufige Vollstreckbarkeit ergibt sich aus den § 709 ZPO.

Den Streitwert hat das Gericht gemäß § 48 GKG i.V.m. § 3 ZPO, § 39 Abs. 1 GKG festgesetzt. Dabei waren die Schmerzensgeldanträge (Klageanträge zu 1) und 2) mit dem jeweiligen Mindestbetrag, insgesamt in Höhe von 2.500,00 €, der Unterlassungsantrag (Klageantrag zu 4) mit dem „Auffangstreitwert“ von 5.000,00 € und der Antrag auf Schadensfeststellung und Auskunft (Klageantrag zu 3) und 5) mit jeweils 500,00 € zu bemessen.