OLG München, Endurteil v. 18.12.2025 – 14 U 1068/25 e

Titel:

Werbung, Berufung, Unterlassungsanspruch, Rechtsanwaltskosten, Revision, Drittstaat, Schadensersatzanspruch, Dienstleistungen, Auskunft, Nutzung, Anlage, Daten, Software, Unterlassungsantrag, personenbezogene Daten, informationelle Selbstbestimmung, Verarbeitung personenbezogener Daten

Schlagworte:

Vorinstanz:

LG Augsburg, Endurteil vom 27.02.2025 – 101 O 1844/24

Weiterführende Hinweise:

Revision zugelassen

Fundstelle:

GRUR-RS 2025, 36441

Tenor

1. Auf die Berufung der Klägerin wird das Urteil des Landgerichts Augsburg vom 27.02.2025, Az. 101 O 1844/24, teilweise abgeändert und wie folgt neu gefasst:

1.1. Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks „…“ unter der E-Mail-Adresse „…“ der Beklagten die Erfassung mithilfe der … … Tools, die Weiterleitung an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung von folgenden personenbezogenen Daten nicht gestattet:

a) auf Dritt-Webseiten und-Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d. h.

- E-Mail der Klagepartei

- Telefonnummer der Klagepartei

- Vorname der Klagepartei

- Nachname der Klagepartei

- Geburtsdatum der Klagepartei

- Geschlecht der Klagepartei

- Ort der Klagepartei

- externe IDs anderer Werbetreibender (von der … [ ] „external_ID“ genannt)

- IP-Adresse des Clients

- User-Agent des Clients (d.h. gesammelte Browserinformationen)

- interne Klick-ID der … [ ]

- interne Browser-ID der … [ ]

- Abonnement-ID – Lead-ID – anon_ID – die Advertising ID des Betriebssystems „Android“ (von der … [ ] „madid“ genannt) sowie folgende personenbezogene Daten der Klägerin

b) auf Webseiten

- die URLs der Webseiten samt ihrer Unterseiten

- der Zeitpunkt des Besuchs

- der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist)

- die von der Klagepartei auf der Webseite angeklickten Buttons

- weitere von der … „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren

c) in mobilen Dritt-Apps

– der Name der App

- der Zeitpunkt des Besuchs

- die von der Klagepartei in der App angeklickten Buttons,

- die von der … „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren, sofern die Beklagte die Datenverarbeitung nicht auf eine informierte Einwilligung i.S.d. Art. 6 Abs. 1 Satz 1lit. a) DSGVO oder einen Rechtfertigungsgrund nach Art. 6 Abs. 1 Satz 1 lit. b) bis f) oder Art. 9 Abs. 2 DSGVO stützen kann.

1.2. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,-- €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter zu vollstreckenden Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, auf Drittseiten und Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klägerin gemäß vorstehender Ziffer 1.1 mithilfe der … … Tools zu erheben, an die Server der Beklagten weiterzugeben, die Daten dort zu speichern und anschließend zu verwenden, sofern die Beklagte die Verarbeitung der personenbezogenen Daten nicht auf eine informierte Einwilligung i.S.d. Art. 6 Abs. 1 Satz 1 lit. a) DSGVO oder einen Rechtfertigungsgrund nach Art. 6 Abs. 1 Satz 1 lit. b) bis f) oder Art. 9 Abs. 2 DSGVO stützen kann.

1.3. Die Beklagte wird verurteilt, an die Klägerin 750,-- € nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz hieraus seit dem 16.07.2024 zu zahlen.

1.4. Im Übrigen wird die Klage abgewiesen.

2. Im Übrigen wird die Berufung zurückgewiesen.

3. Die Kosten des Rechtsstreits einschließlich der Kosten des Berufungsverfahrens werden gegeneinander aufgehoben.

4. Das Urteil ist vorläufig vollstreckbar. Die Beklagte darf die Vollstreckung der Klägerin durch Sicherheitsleistung in Höhe von 5.000,-- € abwenden, wenn nicht die Klägerin vor der Vollstreckung Sicherheit in dieser Höhe leistet. Die Klägerin darf die Vollstreckung der Beklagten durch Sicherheitsleistung in Höhe von 110% des aufgrund des Urteils für die Beklagte vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages leistet.

5. Die Revision der Klägerin und der Beklagten gegen dieses Urteil zum Bundesgerichtshof wird zugelassen.

Entscheidungsgründe

Die Klägerin nutzt das Netzwerk „…“ seit dem 09.07.2021 unter der E-Mail-Adresse „…“. Betreiberin des Netzwerks ist die Beklagte, […].

Die Nutzung der Plattform ist kostenfrei. Allerdings wird den Nutzern Werbung angezeigt, die auf den Interessen des jeweiligen Nutzers basiert. Dafür nutzt und verarbeitet die Beklagte verschiedene Daten, die sie in ihrer Datenschutzrichtlinie (Anlage K 1) aufführt und auf die sie bei der Registrierung ebenso hinweist wie auf die Cookie-Richtlinie. Zu diesen Daten gehören neben den persönlichen Informationen, die der Nutzer bei der Registrierung angibt, Informationen über

− das Nutzungsverhalten des jeweiligen Nutzers in Produkten der Beklagten (sog. OnsiteDaten)

− Informationen über Freunde und Follower des Nutzers

− deren Nutzungsverhalten in Produkten der Beklagten

− die technischen Geräte, mit deren Hilfe der Kunde die Produkte der Beklagten nutzt Darüber hinaus gehören zu den o.g. Daten auch

„Informationen von Partnern über Handlungen, die du sowohl innerhalb als auch außerhalb unserer Produkte durchführst. Dazu können z. B. andere von dir besuchte Websites, von dir verwendete Apps oder von dir gespielte Online-Spiele gehören“ („Datenschutzrichtlinie“ Anlage K 1 Seite 6; sog. Offsite-Daten).

Unter „Partnern“ versteht die Beklagte „Personen, Unternehmen, Organisationen oder Einrichtungen, die unsere Produkte nutzen oder integrieren, um ihre Produkte und Dienstleistungen zu bewerben, zu vertreiben oder zu unterstützen“ („Datenschutzrichtlinie“, Anlage K 1, S. 10).

Um diese sog. Offsite-Daten erheben zu können, hat die Beklagte sog. „…- …-Tools“ entwickelt.

„Sie unterstützen Websitebetreiber*innen […], darunter auch Werbetreibende, bei der Integration ihrer Apps und Websites mit … […] Gleichzeitig können sie Personen, die diese nutzen oder daran Interesse haben, besser erreichen und ihnen einen besseren Service bieten. Zu diesen …-Tools gehören beispielsweise das …-Pixel, die C# …, App-Events über …-SDK, Offline-C# … und die App … Wir empfangen außerdem Daten der …-Tools als Impressionen und Klickdaten (z. B. „Gefällt mir“Angaben oder die Anzahl der Klicks auf den „Teilen“-Button), die durch soziale Plugins von … und … Login übermittelt werden. Darüber hinaus empfangen wir Daten von bestimmten …s, beispielsweise den MessengerKund*innenabgleich von der … oder aus bestimmten Pilot-, Test-, Alpha- oder Beta-Programmen, die wir von Zeit zu Zeit anbieten […]“

(Anlage B 3, S. 3)

Die …- …-Tools dienen dazu, dass bei Drittanbietern entstandene personenbezogene Informationen an die Beklagte übersandt werden. Dazu zählen u.a. der sog. „… Pixel“ und die „C# …“. Der …-Pixel wird in Form eines Programmcodes im Hintergrund des Browsers ausgeführt, ohne dass der Nutzer dies bemerkt („Glossar“, Anlage K 4, S. 5). „Die C# … ist ein …- …-Tool, das Marketingdaten direkt und zuverlässig von deinem Server [= dem Server des Gewerbetreibenden] an die …-Systeme übermittelt, die deine Werbeanzeigen ausliefern“ („…-Playbook“, Anlage K 11, S. 4). Die Beklagte empfiehlt den Nutzern ihrer …-Tools, diese in Kombination zu verwenden:

„Heute sollte das Pixel zusammen mit anderen resilienten Lösungen verwendet werden, damit du die Customer Journey vollständig erfassen kannst.“ (“ …-Playbook, Anlage K 11, S. 5)

Zu den personenbezogenen Informationen, die mit Hilfe der …- …-Tools erfasst werden, gehören zum einen Kontaktinformationen, „mit denen Einzelpersonen identifiziert werden können, wie Namen, E-Mail-Adressen und Telefonnummern“ („…- …-Tools Nutzungsbedingungen“, Anlage B 5, S. 1). Zum anderen gehören hierzu aber auch sogenannte „Event-Daten“. Dabei handelt es sich um „sonstige Informationen, die du über Personen und ihre Handlungen teilst, die sie auf deinen Websites und in deinen Apps oder Shops vornehmen, wie z.B. Besuche auf deinen Websites, Installationen deiner Apps und Käufe deiner Produkte“ („…- …-Tools Nutzungsbedingungen“, Anlage B 5, S. 1).

Für die Nutzung dieser …- …-Tools hat die Beklagte Nutzungsbedingungen mit den Drittanbietern vereinbart („…- …-Tools Nutzungsbedingungen“, Anlage B 5). Demnach ist der Nutzer der …- …-Tools gem. Ziff. 3d der Nutzungsbedingungen verpflichtet sicherzustellen, dass der Endnutzer „alle erforderlichen Einwilligungen erteilt“. Beim Öffnen einer Drittwebsite erscheint bei ordnungsgemäßer Einrichtung durch den Betreiber der Website eine zusätzliche Schaltfläche, auf welcher der Nutzer eine Einstellung betreffend die weitere Nutzung der Drittwebsite treffen kann. Beispielsweise hat er die Wahl zwischen einer weiteren entgeltfreien Nutzung mit Werbung und Tracking oder aber einer entgeltlichen Weiternutzung, ohne dass seine Daten an Werbetreibende weitergegeben werden (s. Screenshot Replik, Bl. 155 – 272 LGA, dort S. 28 = Bl. 182 LGA).

Allerdings wird der …-Pixel sofort ohne Zustimmung des Nutzers geladen, denn:

„Das Gerät einer Person kommuniziert direkt mit dem Erstanbieter-Server, um die Inhalte von der Website oder App zu laden (z. B. Artikel/Bilder usw., die von der Website oder App veröffentlicht werden); auf Anweisung des Drittanbieters kommuniziert das Gerät auch mit Drittanbieter-Servern, z.B. LinkedIn, Google, Twitter oder … (unter anderen), um Technologien oder Funktionen zu laden, die von diesen Unternehmen angeboten werden und die das Drittunternehmen auf seiner Website oder in seiner App integriert oder eingebettet hat.“

(Schriftsatz der Beklagtenvertreterinnen vom 28.01.2025, Bl. 288 – 402 LGA, dort S. 19 = Bl. 307 LGA)

Eine Kontrolle durch die Beklagte sehen die Nutzungsbedingungen nicht vor. Vielmehr heißt es im …-Hilfebereich für Unternehmen (Anlage B 6, S. 1):

„ …s Systeme sind zwar darauf ausgelegt, potenziell unzulässige Informationen herauszufiltern, die sie erkennen können, aber letztendlich bist du für die Daten verantwortlich, die du mit … teilst“.

Die Beklagte und der Drittanbieter sind ausweislich der Nutzungsbedingungen („…- …- Tools Nutzungsbedingungen“, Anlage B 5 S. 5 unter Punkt 5 a. ii.) „gemeinsam Verantwortliche gemäß Art. 26 DSGVO“ für die Erhebung personenbezogener Informationen über die …- …Tools und ihre anschließende Übermittlung an die Beklagte.

Besucht ein Nutzer eine mit einem solchen Tool präparierte Webseite oder App, erhebt und erfasst das …- …-Tool die o. g. Informationen zum Gerät des Nutzers und die Tätigkeiten des Nutzers auf der Webseite oder der App. Dies kann der Nutzer auch nicht mit Datenschutzeinstellungen auf der Plattform der Beklagten verhindern. Er kann lediglich Einfluss darauf nehmen, wie die Beklagte die so in ihren Machtbereich gelangten Daten weiter nutzt.

Im Rahmen der Nutzung des Netzwerks … nimmt die Beklagte nämlich auf Folgendes Bezug:

Bei der Einrichtung des Netzwerks muss der Nutzer den Nutzungsbedingungen zustimmen.

Im Rahmen der Registrierung verweist die Beklagte den Nutzer auf die Datenschutzrichtlinie (Anlage K 1) sowie auf die Cookie-Richtlinie. Aus der Datenschutzrichtlinie ergibt sich insbesondere, dass diese alle vom Nutzer bereitgestellten Informationen und Geräteinformationen erfasst sowie alle benutzten …-Produkte, einschließlich der über die … … Tools übersandten Informationen der Drittunternehmen, und diese miteinander verbunden werden. So heißt es auf S. 9 f. der Datenschutzrichtlinie (Anlage K 1):

„Partner teilen auch Informationen wie deine E-Mail-Adresse, Cookies und deine Geräte-ID für Werbezwecke mit uns. … Wir erhalten diese Informationen unabhängig davon, ob du bei unseren Produkten angemeldet bist bzw. ein Konto auf ihnen hast oder nicht. … Partner geben außerdem ihre Kommunikation mit dir an uns weiter, wenn sie uns anweisen, Dienstleistungen für ihr Unternehmen zu erbringen, wie Unterstützung bei der Verwaltung ihrer Kommunikation… Partner nutzen unsere …-Tools, Integrationen und … Audience NetworkTechnologien, um Informationen mit uns zu teilen.

Diese Partner erheben deine Informationen, wenn du ihre Website oder App besuchst oder ihre Dienste nutzt…“.

Sodann hat der Nutzer auf der Plattform der Beklagten die Möglichkeit, folgende Einstellungen zu treffen:

− Deaktivierung/Verwendung optionaler Cookies

− Informationen von Webepartnern zu Aktivitäten verwenden/nicht verwenden, um Werbung anzuzeigen.

D.h., der Nutzer kann zwar durch die Einstellungen verhindern, dass die an die Beklagte übermittelten Daten für personalisierte Werbung verwendet werden. Er kann aber nicht verhindern, dass die Beklagte die über Dritte generierten Daten überhaupt erhält.

Die von der Beklagten angebotenen und vertriebenen …- …-Tools laufen auf mannigfachen, reichweitenstarken Webseiten und Apps in Deutschland im Hintergrund. Hierzu gehören

− zahlreiche große Nachrichtenseiten und -Apps (z.B. spiegel.de, bild.de, welt.de, faz.net, stern.de)

− die großen Reiseseiten und -Apps (z.B. tripadvisor.de, hrs.de, holidaycheck.de, kayak.de, momondo.de)

− Seiten und Apps, die medizinische Hilfe bieten (z.B. apotheken.de, shopapotheke.de, docmorris.de, aerzte.de, heliosgesundheit.de, jameda.de)

− Dating- und Erotikseiten (parship.de, amorelie.de, orion.de, lovescout24.de)

− Seiten mit Inhalten aus der innersten Intimsphäre (krebshilfe.de, tfpfertility.com, niewiederalkohol.de, nvve.nl) (BI. 8 d.A., Anlage K 2).

(Klageschrift vom 22.05.2024, S. 9, Anlage K 2)

Die bei ihren Nutzern angefallenen Daten sendet die Beklagte weltweit in Drittstaaten, insbesondere in die USA (a.a.O., S. 12).

Die Klägerin legte ein anwaltliches Schreiben vom 23.04.2024 (Anlage K 3) vor, in dem sie die Beklagte unter Fristsetzung zum 14.05.2024 unter anderem aufforderte, ihr ein Schmerzensgeld in Höhe von 5.000,- € für behauptete Eingriffe in das Recht auf informationelle Selbstbestimmung in Form von Verstößen gegen Verpflichtungen aus der DSGVO zu zahlen.

Die Klägerin hat mit Schriftsatz des Klägervertreters vom 22.05.2024, der Beklagten zugestellt am 15.07.2024, zunächst beantragt,

. Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks „…“ unter der E-Mail-Adresse „…“ die Verarbeitung von folgenden personenbezogenen Daten in folgendem Umfang seit dem 09.07.2021 nicht gestattet:

a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klägerin, ob direkt oder in gehashter Form übertragen, d. h.

- E-Mail der Klagepartei

- Telefonnummer der Klagepartei

- Vorname der Klagepartei

- Nachname der Klagepartei

- Geburtsdatum der Klagepartei

- Geschlecht der Klagepartei

- Ort der Klagepartei

- externe IDs anderer Werbetreibender (von der … [ ] „external_ID“ genannt)

- IP-Adresse des Clients

- User-Agent des Clients (d.h. gesammelte Browserinformationen)

- interne Klick-ID der … [ ]

- interne Browser-ID der … [ ]

- Abonnement-ID

- Lead-ID

- anon_ID sowie folgende personenbezogene Daten der Klägerin b) auf Webseiten

- die URLs der Webseiten samt ihrer Unterseiten

- der Zeitpunkt des Besuchs

- der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist)

- die von der Klagepartei auf der Webseite angeklickten Buttons

- weitere von der … „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren c) in mobilen Dritt-Apps – der Name der App

- der Zeitpunkt des Besuchs

- die von der Klagepartei in der App angeklickten Buttons

- die von der … „Events“ genannten Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,- €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, ohne wirksame Einwilligung der Klägerin auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten gem. dem Antrag zu 1. zu verarbeiten, solange im Einzelfall kein Rechtfertigungsgrund gem. Art. 6 Abs. 1 lit. b) – e) DSGVO vorliegt.

Die Beklagte wird verurteilt, an die Klägerin immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, der aber mindestens 5.000,- € beträgt, nebst Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 22.05.2024 zu zahlen.

Die Beklagte wird verurteilt, die Klägerin von vorgerichtlichen Rechtsanwaltskosten i.H.v. 1.134,55 € freizustellen.

Zugleich hat die Klägerin erklärt:

Die Beklagte wird aufgefordert, Auskunft nach Art. 15 Abs. 1 lit. a), c), g) und h) DSGVO darüber zu erteilen, welche personenbezogenen Daten gem. dem Antrag zu 1. lit. a) – c) die Beklagte seit dem 09.07.2021 verarbeitet und im Zuge dessen mit dem Nutzeraccount des Netzwerks „…“ unter der E-Mail-Adresse „…“ der Klägerin verknüpft hat, dies insbesondere, aber nicht ausschließlich durch die „… … Tools“, außerdem für jedes erhobene Datum ob, und wenn ja welche konkreten personenbezogenen Daten der Klagepartei die Beklagte seit dem 09.07.2021 zu welchem Zeitpunkt an Dritte (Werbepartner, sonstige Partner, im Konzern verbundene Unternehmen oder sonstige Dritte) weitergegeben hat, unter Benennung dieser Dritten, ob, und wenn ja welche konkreten personenbezogenen Daten der Klagepartei die Beklagte seit dem 09.07.2021 zu welchem Zeitpunkt (Beginn, Dauer, Ende) in welchem Drittstaat gespeichert hat, inwieweit die personenbezogenen Daten der Klagepartei für eine automatisierte Entscheidungsfindung einschließlich Profiling verwendet wurden und werden. Die Beklagte hat hierfür aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und angestrebte Auswirkung einer solchen Verarbeitung für die betroffene Person zu erteilen.

Mit Schriftsatz des Klägervertreters vom 16.01.2025, der Beklagtenvertreterin zugestellt am 20.01.2025, hat die Klägerin ihre Anträge wie folgt formuliert:

Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks „…“ unter der E-Mail-Adresse „…“ der Beklagten die Erfassung mithilfe der … … Tools, die Weiterleitung an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung von folgenden personenbezogenen Daten nicht gestattet:

Die unter den Unterpunkten a) – c) folgende Auflistung entspricht der des o.g. ursprünglichen Antrags.

Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,- €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckenden Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klägerin gem. dem Antrag zu 1. mithilfe der … … Tools zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden.

Die Beklagte wird verurteilt, an die Klägerin eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 5.000,- € beträgt, nebst Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 22.05. 2024 zu zahlen.

[Antrag auf Freistellung von vorgerichtlichen Rechtsanwaltskosten w.o.] Zugleich hat die Klägerin erklärt, sie fordere die Beklagte auf, der Klägerin persönlich – d.h. nicht [der Kanzlei des Klägervertreters] oder sonstigen Dritten, sondern ausschließlich der Klägerin – Auskunft nach Art. 15 Abs. 1 lit. a), c), d), g) und h) DSGVO darüber zu erteilen, welche der folgenden personenbezogenen Daten der Klägerin sie seit dem 09.07.2021 mit Hilfe der … … Tools verarbeitet und im Zuge dessen mit dem Nutzeraccount des Netzwerks „…“ unter der E-Mail-Adresse „…“ der Klägerin verknüpft hat:

auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klägerin, ob direkt oder in gehashter Form übertragen, d. h. es folgt eine Auflistung von Daten, die der unter Punkt 1. a) des ursprünglichen Klageantrags entspricht. auf Dritt-Webseiten es folgt eine Auflistung von Daten, die der unter Punkt 1. b) des ursprünglichen Klageantrags entspricht. in mobilen Dritt-Apps es folgt eine Auflistung von Daten, die der unter Punkt 1. c) des ursprünglichen Klageantrags entspricht. außerdem für jedes erhobene Datum

- den konkreten Verarbeitungszweck

- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

- alle verfügbaren Informationen über dessen Herkunft

- ob, und wenn ja welche konkreten personenbezogenen Daten der Klagepartei die Beklagte seit dem 09.07.2021 zu welchem Zeitpunkt an Dritte (Werbepartner, sonstige Partner, im Konzern verbundene Unternehmen oder sonstige Dritte) weitergegeben hat, unter Benennung dieser Dritten

- ob, und wenn ja welche konkreten personenbezogenen Daten der Klagepartei die Beklagte seit dem 09.07.2021 zu welchem Zeitpunkt (Beginn, Dauer, Ende) in welchem Drittstaat gespeichert hat

- inwieweit die personenbezogenen Daten der Klagepartei für eine automatisierte Entscheidungsfindung einschließlich Profiling verwendet wurden und werden. Die Beklagte hat hierfür aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und angestrebte Auswirkung einer solchen Verarbeitung für die betroffene Person zu erteilen.

Zugleich hat die Klägerin erklärt, sie fordere die Beklagte auf, Auskunft zu erteilen,

- auf welchen der in Anlage K 15 aufgeführten Webseiten momentan der … Pixel aktiv ist

- auf welchen der in Anlage K 15 aufgeführten Webseiten momentan die C# … aktiv ist

- auf welchen der in Anlage K 16 aufgeführten mobilen „Apps“ sowohl aus dem „Apps Store“ als auch aus dem „Google Play Store“ momentan die … aktiv ist

- auf welchen der in Anlage K 16 aufgeführten mobilen „Apps“ sowohl aus dem „Apps Store“ als auch aus dem „Google Play Store“ momentan die App … aktiv ist.

Diese Auskunft könne gegenüber dem Gericht erteilt werden, eine Erteilung an die Klägerin persönlich sei nicht notwendig.

Die Beklagte werde aufgefordert, die angeforderten Auskünfte innerhalb von 4 Wochen nach Zustellung dieses Schriftsatzes zu erteilen.

Das Landgericht hat die Klägerin im Rahmen der mündlichen Verhandlung vom 06.02.2025 persönlich angehört.

Die Klägerin hat erklärt, sie habe schon, bevor sie Kenntnis vom streitgegenständlichen Sachverhalt erlangt habe, unter einer generalisierten Angststörung gelitten und sei deshalb auch schon in psychologischer Behandlung gewesen. Der streitgegenständliche Sachverhalt sei dann aber auch Thema in der Behandlung gewesen.

Die Beklagte bestreitet mit Nichtwissen, dass der Sachverhalt Thema der Behandlung gewesen wäre.

Ergänzend wird Bezug genommen auf die im erstinstanzlichen Verfahren gewechselten Schriftsätze nebst Anlagen und das Protokoll der erstinstanzlichen mündlichen Verhandlung vom 06.02. 2025 (Bl. 482 – 484 LGA).

Das Landgericht Augsburg hat mit Endurteil vom 27.02.2025 entschieden:

Die Klage wird abgewiesen.

Zur Begründung hat das Landgericht ausgeführt:

1. Der Feststellungsantrag zu 1. sei mangels Feststellungsinteresse unzulässig. Sei Klage auf Leistung möglich und zumutbar, fehle das Feststellungsinteresse regelmäßig. Vorliegend werde mit dem Klageantrag zu 2., der sich auf die Behauptung derselben unrechtmäßigen Datenverarbeitung stütze, die Leistungsklage in Form der Unterlassungsklage erhoben. Ein darüber hinausgehendes Feststellungsinteresse bestehe nicht. Eine der anerkannten Ausnahmen vom Vorrang der Leistungsklage liege nicht vor.

2. Der Unterlassungsantrag sei unbegründet. Der Klägerin stehe kein Unterlassungsanspruch zu.

Nachdem Art. 17 DSGVO lediglich ein Löschungsrecht bzgl. personenbezogener Daten einräume, jedoch gerade keine weitergehenden Rechte bzgl. der Datenverarbeitungsvorgänge an sich normiert worden seien, könne darauf kein Unterlassungsanspruch gestützt werden, der im Ergebnis die Verarbeitungsvorgänge des Verantwortlichen reglementieren könnte. Art. 18 DSGVO sehe gleichfalls das von der Klägerin mit dem Antrag zu 2. begehrte vollständige Verarbeitungsverbot von Daten nicht vor, sondern wolle lediglich eine partielle Einschränkung der Verarbeitung ermöglichen. Für einen Unterlassungsanspruch biete die Norm keine Anhaltspunkte.

Schadensersatzansprüche und Unterlassungsansprüche des nationalen Rechts – soweit diese auf Verstöße gegen Regeln zur Verarbeitung personenbezogener Daten und andere Regelungen der DSGVO gestützt seien – fänden danach keine Anwendung, weil die Vorschriften der DSGVO eine abschließende vollharmonisierende europäische Regelung bildeten.

Ein Unterlassungsanspruch aus dem Nutzungsvertrag werde schon nicht behauptet.

3. Ein Anspruch auf Schadensersatz nach Art. 82 DSGVO bestehe nicht, weil nicht feststehe, dass tatsächlich eine unrechtmäßige Datenverarbeitung vorliege, die Art. 18 DSGVO voraussetze. Die Klägerin habe nicht dargelegt, welche Daten die Beklagte wann und wie unrechtmäßig verarbeitet haben solle. Auch mit welchen Drittunternehmen, die die streitgegenständlichen … Tools nutzten, die Klägerin in Kontakt gewesen sei, sei offen geblieben. Danach handele es sich beim Vortrag der Klägerin lediglich um Vermutungen ins Blaue hinein, die eine wie auch immer geartete Beweiserhebung nicht rechtfertigten.

Dies gelte auch, soweit die Klägerin ihren Anspruch auf §§ 823, 1004 oder 242 BGB stützen wolle.

4. Damit scheide auch ein Ersatz von Rechtsanwaltskosten aus.

Die Klägerin hat gegen das dem Klägervertreter am 04.03.2025 zugestellte Urteil mit Schriftsatz des Klägervertreters vom 03.04.2025, eingegangen beim Oberlandesgericht München am selben Tag, Berufung eingelegt und diese mit Schriftsatz des Beklagtenvertreters vom 31.07.2025 (im Folgenden: BB, Bl. 11 – 24 der Akte des Berufungsverfahrens – im Folgenden: BerA), eingegangen beim Oberlandesgericht München am selben Tag, begründet. Sie führt aus:

Die Beklagte bestreite nicht, dass sie personenbezogene Daten der Klägerin mit Hilfe ihrer … Tools auf Drittseiten und -Apps erfasst habe und weiterhin erfasse, diese an ihre Server weiterleite und dort speichere und weiterverarbeite. Sie bestreite auch nicht substantiiert die Weiterverarbeitung zu anderen Zwecken als zum Zweck der Anzeige personalisierter Werbung.

Streitgegenständlich seien die abstrakten Voreinstellungen und die Funktionsweise der Software … Tools gegenüber der Klägerin hinsichtlich der Erfassung und Weiterleitung von personenbezogenen Daten durch die Software sowie der erstmaligen Speicherung und anschließenden Weiterverarbeitung der Daten auf den Servern der Beklagten.

1. Die Klage sei insgesamt – auch hinsichtlich des Feststellungsantrags zu 1. zulässig.

a) Die Klägerin habe ein schutzwürdiges Interesse an der Feststellung des streitigen Rechtsverhältnisses.

Es komme ihr darauf an, das Netzwerk der Beklagten zukünftig im zulässigen Rahmen nutzen zu können, ohne dass die Beklagte rechtswidrig personenbezogene Daten verarbeitet. Diesem Interesse könne nicht durch die übrigen Anträge entsprochen werden. Die Rechte aus dem Nutzungsvertrag stellten das konkrete feststellungsfähige Rechtsverhältnis dar. Zukünftige Schäden durch weitere Eingriffe in die informationelle Selbstbestimmung der Klägerin gemäß § 823 Abs. 1 BGB seien offensichtlich zu besorgen. Die Möglichkeit der künftigen Schädigung bestehe auch, wenn das Gericht den übrigen Anträgen stattgebe. Zur Erreichung des Antragsziels stehe der Klägerin kein einfacherer und billigerer Weg zur Verfügung.

b) Der Feststellungsantrag zu 1. sei jedenfalls als Zwischenfeststellungsantrag gemäß § 256 Abs. 2 ZPO zulässig.

2. Die Klage sei begründet.

a) Der Antrag zu 2. auf Unterlassung künftiger Datenverarbeitung ergebe sich primär, aber nicht ausschließlich aus Art. 17, 79 DSGVO.

b) Der Antrag zu 3. auf Geldentschädigung bzw. immateriellen Schadensersatz sei ebenfalls begründet.

(1) Der Anspruch folge aus Art. 82 DSGVO.

aa) Das Landgericht habe den Anspruch zu Unrecht abgelehnt, weil es nicht von einem substantiierten Vortrag hinsichtlich des Verstoßes gegen die DSGVO ausgegangen sei.

Prozessual stehe fest, dass die Beklagte personenbezogene Daten der Klägerin auf die streitgegenständliche Art und Weise verarbeitet habe, dies weiterhin tue und hierunter auch sensible Daten i.S.d. Art. 9 DSGVO fielen.

Die Klägerin habe unter Bezugnahme auf Veröffentlichungen, Berichte, behördliche und gerichtliche Entscheidungen entsprechend vorgetragen.

Die Beklagte habe dies nicht – geschweige denn substantiiert – bestritten. Sie habe zum Umfang der Datenverarbeitung bisher keine Auskunft erteilt, obwohl sie hierzu gesetzlich verpflichtet sei.

Die Klägerin richte sich nicht gegen einzelne konkrete Datenverarbeitungen, sondern gegen die generelle Anwendung der Software … Tools auf sie als Person und deren von ihr nicht abstellbare Voreinstellungen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten durch diese Software. In dieser Anwendung und Voreinstellung sehe sie einen Verstoß gegen Art. 5 Abs. 1, 25 DSGVO und einen tiefgreifenden Eingriff in ihr Recht auf informationelle Selbstbestimmung, der die ständige Gefahr der Nachverfolgung und Protokollierung ihres digitalen Privatlebens mit sich bringe.

bb) Da das Geschäftsmodell der Beklagten und die grundsätzliche Funktionsweise der … Tools nicht streitig sei, komme es nicht darauf an, dass die Klägerin ohne Auskunft nicht in der Lage sei, den konkreten Umfang der Datenverarbeitung oder die betroffenen Webseiten im Einzelnen zu benennen.

Der Schaden gemäß Art. 82 DSGVO bestehe im umfassenden Kontrollverlust, der kausal durch den Verstoß gegen Art. 5 Abs. 1, 25 DSGVO entstehe (BGH, Urteil vom 18.11.2024 – VI ZR 10/24).

cc) Weiterer Vortrag der Klägerin hätte nicht zur Aufklärung des Sachverhalts beitragen können.

Auch bei einem Vortrag zur Nutzung konkreter Webseiten bzw. Apps von Drittanbietern wäre nicht sicher, dass zu den Zeitpunkten der jeweiligen Verwendung tatsächlich aktive … Tools auf diesen vorhanden gewesen wären und was anschließend mit den erfassten und an die Server der Beklagten übermittelten Daten geschehen wäre.

Die Beklagte verweigere der Klägerin die geschuldete Auskunft. Fest stehe, dass eine systematische Datenverarbeitung stattfinde. Die Beklagte bestreite lediglich, zuvor bereits verarbeitete Daten der Klägerin von Drittwebseiten und Drittanbieter-Apps zur Bereitstellung personalisierter Werbung zu nutzen.

(2) Der Anspruch folge auch aus Art. § 823 BGB i.V.m. Art. 1 Abs. 1, 2 Abs. 1 GG.

Der Anspruch auf Geldentschädigung setze keinen über den festgestellten Grundrechtseingriff in das Recht auf informationelle Selbstbestimmung hinausgehenden Schaden voraus. Es genüge die Beeinträchtigung des Persönlichkeitsrechts dadurch, dass die Klägerin aufgrund der unstreitigen Verarbeitung ihrer Daten und der unstreitigen Wirkungsweise der … Tools jederzeit mit einer Aufzeichnung ihres Surf-Verhaltens rechnen müsse und nicht wisse und auch nicht wissen könne, was die Beklagte über sie aufgezeichnet habe, d. h. was die Beklagte über sie wisse und wie sie diese Daten nutze.

Die … Tools der Beklagten befänden sich auf vielen größeren Webseiten und zahlreichen Apps. Dort verarbeiteten sie im Hintergrund umfassende Datenmengen. Dies ermögliche insbesondere die Erstellung eines Persönlichkeitsprofils.

Auf erfassbare pathologische Beeinträchtigungen komme es auch bei diesem Anspruch nicht an.

c) Der Antrag zu 4. auf Freistellung von vorgerichtlichen Rechtsanwaltskosten sei begründet. Die Klägerin habe insoweit einen Anspruch nach § 257 Satz 1 BGB.

Die vorgerichtlichen Rechtsanwaltskosten seien nach Art. 82 Abs. 1 DSGVO, § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, 2 Abs. 1 GG, §§ 280, 286 BGB, §§ 280, 241 Abs. 2 BGB i.V.m. § 249 Abs. 1 BGB ersatzfähig.

Die Klägerin beantragt,

das erstinstanzliche Urteil des Landgerichts Augsburg vom 27.02.2025 abzuändern und neu zu fassen wie folgt:

„. Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks „…“ unter der E-Mail-Adresse „…“ der Beklagten die Erfassung mithilfe der … … Tools, die Weiterleitung an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung von folgenden personenbezogenen Daten nicht gestattet:

a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klägerin, ob direkt oder in gehashter Form übertragen, d. h.“

- E-Mail der Klagepartei

- Telefonnummer der Klagepartei

- Vorname der Klagepartei

- Nachname der Klagepartei

- Geburtsdatum der Klagepartei

- Geschlecht der Klagepartei

- Ort der Klagepartei

- externe IDs anderer Werbetreibender (von der … [ ] „external_ID“ genannt)

- IP-Adresse des Clients

- User-Agent des Clients (d.h. gesammelte Browserinformationen)

- interne Klick-ID der … [ ]

- interne Browser-ID der … [ ]

- Abonnement-ID

- Lead-ID

- anon_ID sowie folgende personenbezogene Daten der Klägerin b) auf Webseiten

- die URLs der Webseiten samt ihrer Unterseiten

- der Zeitpunkt des Besuchs

- der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist)

- die von der Klagepartei auf der Webseite angeklickten Buttons

- weitere von der … „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren c) in mobilen Dritt-Apps – der Name der App

- der Zeitpunkt des Besuchs

- die von der Klagepartei in der App angeklickten Buttons

- die von der … „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren

Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,- €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckenden Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klägerin gemäß dem Antrag zu 1. mit Hilfe der … … Tools zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden.

Die Beklagte wird verurteilt, die Klägerin von vorgerichtlichen Rechtsanwaltskosten i.H.v. 1.134,55 € freizustellen.

Die Beklagte beantragt,

die klägerische Berufung zurückzuweisen.

hilfsweise, die Revision zuzulassen.

Sie führt aus:

1. Der Feststellungsantrag zu 1. sei unzulässig. Es fehle an einem Feststellungsinteresse. Die Klägerin ziele auf die Klärung einer abstrakten Rechtsfrage. Es fehle eine Klarstellung, welcher Verarbeitungszweck rechtswidrig wäre und unterlassen werden sollte. Schließlich stelle der Unterlassungsantrag eine unzulässige verdeckte Klage auf Vornahme einer Handlung dar.

Auch die Voraussetzungen eines Zwischenfeststellungsantrags gemäß § 256 Abs. 2 ZPO lägen nicht vor. Durch eine Umdeutung in einen solchen Antrag würden die Anforderungen an das Feststellungsinteresse umgangen. Eine Zwischenfeststellung hätte keine Bedeutung für Folgeprozesse.

2. Die Klägerin wende sich gegen keinen anderen Verarbeitungszweck als die Verarbeitung von …-Tools-Daten zur Bereitstellung personalisierter Werbung. Sie sei ihrer Darlegungslast nicht nachgekommen und habe nicht konkretisiert, welchen Verarbeitungszweck sie angreifen möchte.

Bezüglich personalisierter Werbung hole die Beklagte eine Einwilligung der Nutzer ein.

Hauptverantwortliche für die Erhebung und Übermittlung von …-Tools-Daten seien die Drittunternehmen. Diese müssten alle Offenlegungen vornehmen, Rechte und Genehmigungen einholen, bevor sie die Daten an die Beklagte weitergäben. Die Beklagte stelle die streitgegenständlichen … Tools bereit, die Implementierung und Einholung der Einwilligungen liege jedoch in erster Linie in der Verantwortung der Drittunternehmen.

Dies sei in den „… Tool Nutzungsbedingungen“, an die sie gebunden seien, festgelegt.

Die Beklagte stelle den Drittunternehmen Informationen zur Verfügung, wie sie das Senden von Daten durch die streitgegenständlichen … Tools wie … Pixel an die Beklagte pausieren oder blockieren könnten, bis der Besucher seine Einwilligungen erteilt habe. Eine entsprechende Option gebe es bei der C# … Die Klägerin könne über Cookie-Banner der besuchten Webseite oder App wählen, ob sie in die Platzierung nicht notwendiger Cookies einwillige oder nicht.

Sie könnte substantiiert vortragen, welche Drittwebseiten oder -Apps sie besucht habe und welche davon die streitgegenständlichen … Tools verwendeten.

Im Übrigen ergäben sich die Rechtsgrundlagen für die Verarbeitungszwecke der Beklagten aus deren Datenschutzrichtlinie.

3. Die Klageanträge seien nicht hinreichend substantiiert.

Die Klägerin habe ihre individuelle Betroffenheit nicht hinreichend substantiiert. Sie habe weder die besuchten Webseiten oder Apps noch die Zeitpunkte konkret angegeben.

Die Liste der angeblich meistbesuchten Webseiten (Anlage K 14) lege eine individuelle Betroffenheit der Klägerin nicht dar. In Massenverfahren könnten identische Behauptungen Zweifel an ihrer Richtigkeit aufkommen lassen.

Die Klägerin könne sich nicht auf angebliche Schwierigkeiten bei der Beweisbeschaffung berufen, um ihrer Beweislast zu entgehen.

Die Beklagte bestreitet diese Schwierigkeiten.

Sie treffe keine sekundäre Darlegungslast.

Selbst wenn die Behauptungen der Klägerin unstreitig wären, stützten sie die Klageanträge nicht.

Die Klägerin habe keinen Verarbeitungszweck konkretisiert, gegen den sie sich wende.

4. Der Unterlassungsantrag sei unzulässig.

Die Klägerin lege weder dar noch begründe sie, welche Verarbeitungszwecke rechtswidrig wären und untersagt werden sollten.

Der Antrag sei nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO. Er wiederhole lediglich abstrakt einzelne in Art. 4 Nr. 2 DSGVO aufgelistete Verarbeitungsvorgänge.

Ferner handele es sich um eine unzulässige verdeckte Klage auf Vornahme einer Handlung.

Ein Unterlassungsanspruch ergebe sich weder aus Art. 17 DSGV noch aus nationalem Recht.

Die Klägerin habe weder das Vorliegen oder Bevorstehen einer Verletzung ihres allgemeinen Persönlichkeitsrechts noch ein überwiegendes Interesse ihrerseits nachgewiesen. Auch bestehe keine Wiederholungsgefahr.

Die Klage überschreite den Rahmen des deutschen Zivilprozesses und wendet sich allgemein gegen das Geschäftsmodell der Beklagten.

5. Der Antrag auf Geldentschädigung sei abzuweisen.

100

Ein Anspruch ergebe sich insoweit weder aus Art. 82 DSGVO noch aus nationalem Recht.

101

Die Klägerin habe keine Verletzung ihres allgemeinen Persönlichkeitsrechts dargelegt. Sie könne auch die erforderliche Überschreitung der Erheblichkeitsschwelle nicht darlegen. Schließlich habe sie nicht dargelegt, dass nur eine Geldentschädigung geeignet sei, den behaupteten Schaden auszugleichen.

102

Die Klägerin könne die Verarbeitung ihrer …-Tools-Daten über die Einstellungen ihres …Kontos verwalten. Sie könne die Nutzung der Dienste der Beklagten einstellen.

103

Jedenfalls habe sie keinen Anspruch auf eine derart hohe Entschädigung.

104

Die Berufung sei auch im Hinblick auf den Antrag auf Freistellung von vorprozessualen Anwaltskosten zurückzuweisen. Die Klägerin habe eine Rechtsschutzversicherung, die ihre außergerichtlichen Kosten gedeckt habe. Es sei nicht notwendig gewesen, einen Anwalt einzuschalten. Die Beklagte sei nicht verpflichtet gewesen, auf das vorgerichtliche Schreiben der Klägerin zu antworten. Diese habe sich auch nicht ausdrücklich auf Rechte Betroffener gem. Kapitel III. der DSGVO berufen, sondern die Beklagte aufgefordert, anzuerkennen, dass sie bestimmte Informationen zur Verfügung stellen werde, und sich zu verpflichten, Daten zu löschen, wenn die Klägerin eine solche Forderung stelle. Im Übrigen sei angesichts der über 7.000 Parallelverfahren der Klägervertreter offensichtlich, dass sie nicht beabsichtigten, die Streitigkeiten vor Einleitung eines Gerichtsverfahrens beizulegen.

105

Im Falle einer Verurteilung der Beklagten sei hinsichtlich der vorläufigen Vollstreckbarkeit des Unterlassungsantrags nicht § 708 Nr. 10 ZPO, sondern § 709 Satz 1 ZPO anwendbar. Die Höhe der Sicherheitsleistung müsse sich an dem möglichen Schaden aufgrund einer ungerechtfertigten Vollstreckung orientieren.

106

Der Senat hat am 27.11.2025 mündlich verhandelt. Insoweit wird Bezug genommen auf das Sitzungsprotokoll (Bl. 120 – 122 BerA).

107

Die Beklagte hat am 09.10.2025 einen weiteren Schriftsatz der Beklagtenvertreterin (Bl. 123 – 133 LGA) eingereicht. Darin führt sie u.a. aus, dass die Verarbeitung von …-Tools-Daten auch Sicherheits- und Integritätszwecken im Zusammenhang mit der Erkennung anomaler Aktivitäten, die möglicherweise darauf abzielten, ihre Dienste zu stören, der Erkennung von feindlichen Akteuren, deren Handlungen gegen ihre Richtlinien verstoßen könnten, sowie der Fehlerbehebung und Betriebsdatenerfassung diente.

108

Die Klägerin hat am 09.12.2025 einen weiteren Schriftsatz des Klägervertreters eingereicht (Bl. 134 – 136 BerA).

II.

109

Die Berufung der Klägerin ist zulässig und teilweise begründet.

110

1. Die Berufung der Klägerin ist form- und fristgerecht eingelegt (§§ 517, 519 ZPO) und begründet (§ 520 ZPO) worden und auch im Übrigen zulässig.

111

2. Die Sache ist auch unter Berücksichtigung des nach Schluss der mündlichen Verhandlung eingereichten, nicht nachgelassenen Schriftsatzes der Beklagten vom 09.12.2025 entscheidungsreif. Ein Anlass zum Wiedereintritt in die mündliche Verhandlung besteht nicht (§ 156 Abs. 1, 2 ZPO). Vielmehr ist der Vortrag nach § 296 a Satz 1 ZPO verspätet, im Übrigen aber auch nicht mehr entscheidungserheblich.

112

3. Die Klage erweist sich als zulässig.

113

3.1. Die internationale Zuständigkeit, die auch in der Berufung von Amts wegen zu prüfen ist (vgl. für die Revision BGHZ 153, 82 (84 ff.) = NJW 2003, 426), folgt aus Artt. 17 I lit. c, 18 I Alt. 2 Brüssel Ia-VO.

114

3.2. Soweit die Klägerin die Feststellung begehrt, wonach der zwischen den Parteien bestehende „Nutzungsvertrag“ es der Beklagten verwehrt, bestimmte – hinreichend genau bezeichnete – personenbezogene Daten von Dritt-Webseiten und Dritt-Apps zu erheben, weiterzugeben, zu speichern und zu verwenden (Antrag zu 1.), ergibt sich die Zulässigkeit der Klage aus § 256 Abs. 2 ZPO.

115

3.2.1. Die begehrte Feststellung richtet sich auf das Nichtbestehen eines Rechtsverhältnisses.

116

Ein Rechtsverhältnis ist eine aus dem vorgetragenen Sachverhalt abgeleitete rechtliche Beziehung von Personen untereinander oder zu einem Gegenstand, die ein subjektives Recht enthält oder aus der ein solches Recht entspringen kann (Seiler, in: Thomas/Putzo § 256 Rn. 5 unter Hinweis auf BGH NJW-RR 2015, 398 Rn. 17). Nach BGH NJW 1984, 1556 fallen hierunter „auch einzelne Folgen solcher Rechtsbeziehungen, z.B. einzelne Ansprüche (…)“. Vorliegend verbindet die Parteien unstreitig ein Vertrag zur Nutzung [der Plattform …], nach dem Verständnis des Senats begehrt die Klägerin die Feststellung, dass der Beklagten ein von ihr aus diesem Vertrag hergeleitetes und in Anspruch genommenes Recht nicht zusteht.

117

3.2.2. Dahinstehen kann, ob die Klägerin mit Blick auf die von ihr parallel erhobenen Unterlassungs- und Schadensersatzansprüche ein Interesse an der begehrten Feststellung hat, weil ein solches für die Zwischenfeststellung nach § 256 Abs. 2 ZPO nicht notwendig ist.

118

3.2.3. Bei der Zwischenfeststellungsklage genügt grundsätzlich schon die bloße Möglichkeit, dass das inzidenter ohnehin zu klärende Rechtsverhältnis zwischen den Parteien noch über den gegenwärtigen Streitgegenstand hinaus Bedeutung hat oder gewinnen kann (st. Rspr. seit RGZ 170, 328 [330]). Das ist vorliegend schon deshalb der Fall, weil sich – vom Vortrag der Parteien ausgehend – nicht ausschließen lässt, dass die von Drittanbietern stammenden und der begehrten Feststellung unterliegenden Daten der Klägerin in die Hände Nichtberechtigter geraten (z.B. durch die in der Datenschutzerklärung der Beklagte angesprochenen „Angriffsversuche auf […] Server“) und dass hieraus neuerlich Ansprüche der Klägerin entstehen.

119

3.3. Der Unterlassungsantrag zu 2. ist hinreichend bestimmt.

120

3.3.1. Nach § 253 Abs. 2 Nr. 2 ZPO darf ein Verbotsantrag nicht derart undeutlich gefasst sein, dass Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und letztlich die Entscheidung darüber, was dem Beklagten verboten ist, dem Vollstreckungsgericht überlassen bleibt (stRspr, s. z.B. BGH NJW-RR 2016, 363 Rn. 10). Vorliegend bestehen derartige Bedenken nicht, weil die Klägerin in ihren Anträgen die Daten, von deren Verarbeitung die Beklagte absehen soll, exakt bezeichnet (E-Mail der Klagepartei; Telefonnummer der Klagepartei; […]) und auch die beanstandeten Verarbeitungsformen präzise benennt. Dass sich die Klägerin dabei an den – durch Rechtsprechung und Literatur deutlich konturierten – Begriffen des Art. 4 Nr. 2 DSGVO orientiert, sorgt für mehr und nicht für weniger Klarheit. Die Klägerin begehrt nach alledem gerade kein Verbot im Umfang des Gesetzeswortlauts, sondern orientiert sich mit ihrem Unterlassungsbegehren an der konkreten Verletzungshandlung (vgl. hierzu BGH NJW 2020, 3386 Rn. 39.).

121

3.3.2. Dass die Beklagte – z.B. durch eine entsprechende Gestaltung der … … Tools – (aktiv) handeln muss, um den Unterlassungsanspruch erfüllen zu können, hindert die Unterlassungsanordnung nicht (st. Rspr., z.B. BGH GRUR 2013, 1030 Rn. 21; BGH GRUR 2018, 1044 Rn. 57). Unter die von der Beklagten vorzunehmenden Handlungen kann auch die Einwirkung auf Dritte fallen (vgl. BGH NJW 2017, 2119 Rn. 35).

122

4. Die Klage ist teilweise begründet.

123

Die Anwendung deutschen Rechts folgt vorliegend aus der Rechtswahl der Parteien (Art. 3 Abs. 1, 6 Abs. 2 Rom I-VO – vgl. die Nutzungsvereinbarung in Anlage B2), sie ergäbe sich im Übrigen aus Art. 6 I lit. b Rom I-VO, weil ein Verbrauchervertrag vorliegt.

124

Der Klägerin steht ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von 750,- € zu (dazu sogleich 4.1.), daneben ein Anspruch auf Feststellung eines Verstoßes gegen den Nutzungsvertrag (dazu 4.2.), Ansprüche auf Unterlassung einer Verarbeitung bestimmter personenbezogener Daten (dazu 4.3.) und auf Erstattung vorgerichtlicher Rechtsanwaltskosten (dazu 4.4.).

125

Die Datenschutz-Grundverordnung (im Folgenden DSGVO) ist vorliegend sachlich (Art. 2), räumlich (Art. 3) und auch zeitlich (vgl. Art. 99 Abs. 2) anwendbar.

126

4.1. Der Senat geht davon aus, dass die Klägerin einen einheitlichen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DSGVO (vgl. hierzu BGH NJW 2025, 298 Rn. 55) geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der sog. … … Tools) wurzelt (s. Klageschrift S. 29: „der Verstoß“).

127

Mit den Worten des BGH (a.a.O., Rn. 21) erfordert ein derartiger Anspruch nach der Rechtsprechung des EuGH „einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind […] Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 I DSGVO den Ersatz eines (immateriellen) Schadens verlangt […]. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 I DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 III DSGVO dem Verantwortlichen […].“

128

Ein solcher Anspruch besteht vorliegend in Höhe von 750,- €.

129

4.1.1. Für den Senat steht fest, dass die Beklagte mithilfe der … … Tools eine potenziell unbegrenzte Menge an Daten der Klägerin verarbeitet, indem sie die Aktivitäten der Klägerin auf Dritt-Webseiten und Dritt-Apps verfolgt (so auch EuGH GRUR 2023, 1131 Rn. 118 betr. …#).

130

4.1.1.1. Technische Grundlage und Datenschutzeinstellungen

131

4.1.1.1.1. Über die sog. … … Tools („u.a. …-Pixel, C# … (vormals bekannt als …I), das … für App Events, Offline-C# … und die App …“, s. Anlage B5) erhält die Beklagte …Tool-Daten, d.h. Kontaktinformationen und/oder Event-Daten (z.B. Besuche auf einer Webseite, Installation einer App, Kauf eines Produkts) von ihren Vertragspartnern, den (hier) sog. Drittanbietern.

132

4.1.1.1.2. Bestimmte technische Standarddaten (s. hierzu z.B. Duplik, Rz. 31 = Bl. 308 f. LGA) gelangen automatisch an die Beklagte, wenn die Klägerin eine Webseite aufruft, deren Anbieter die … … Tools in seine Webseite eingebettet hat. Nach einer vereinfachten Darstellung des EuGH (BeckRS 2019, 15831 – Fashion ID; näher Duplik, Rz. 23 ff. = Bl. 304 ff. LGA) ist es „eine Eigenart des Internets, dass der Browser des Internetbesuchers Inhalte aus verschiedenen Quellen darstellen kann. […] Hierzu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. […]“

133

4.1.1.1.3. Weitere (sog. Event-) Daten werden dann automatisch an die Beklagte übertragen, wenn der Drittanbieter bei der Einbettung der … … Tools in seine Webseite oder App eine entsprechende Einstellung vorgenommen hat (Duplik, Rz. 35 f. = Bl. 310 f. LGA). Die … Tools Nutzungsbedingungen verlangen in diesem Fall von dem Drittanbieter, die erforderlichen Angaben und Datenschutzbelehrungen zu erteilen und die notwendige Einwilligung einzuholen (Anlage B5). Die Beklagte überprüft dies nicht.

134

4.1.1.1.4. Wie die Beklagte mit den bei ihr eingegangenen Informationen weiter verfährt, hängt von den Datenschutz-Einstellungen des jeweiligen Nutzers ab.

135

4.1.1.1.4.1. Erlaubt der Nutzer der Beklagten nicht, Cookies und vergleichbare Technologien in anderen Apps und auf anderen Webseiten zu nutzen, so kann er sich dort nicht mehr mit seinem …-Konto anmelden und die dort erhobenen Daten werden nicht verwendet, um relevante Werbung zu zeigen. Sie werden aber in eingeschränktem Umfang genutzt, um für Sicherheit und Integrität zu sorgen und es kann sein, dass die Beklagte aggregierte Informationen zu Aktivitäten erhält, nicht aber die persönliche Cookie-Information des Nutzers (Anlage B7, S. 41).

136

4.1.1.1.4.2. Entscheidet sich der Nutzer dafür, Werbung mithilfe der Informationen von Werbepartnern zu seinen Aktivitäten relevanter zu machen, erhält er stärker personalisierte Werbung. Entscheidet er sich dagegen, (s. Anlage B7, S. 43), werden die Daten dennoch – für andere Zwecke – verarbeitet (Duplik, Rz. 62 = Bl. 322 LGA), z.B. zum Schutz der Sicherheit und Integrität der Server (a.a.O. Rz. 63) oder zur Messung der Effektivität von Werbekampagnen (Anlage K11, S. 23: „die C# … ist nötig, um die Events von Nutzer*innen zu aggregieren, die sich gegen die Nutzung ihrer Daten entschieden haben“; hierzu Duplik, Rz. 60 = Bl. 321 LGA.).

137

4.1.1.1.4.3. Der Nutzer hat weiter die Möglichkeit, die Verknüpfung künftiger Aktivitäten mit seinem Konto aufzuheben und frühere Aktivitäten zu löschen (Anlage B7, S. 44 ff.). In diesem Fall erhält die Beklagte aber weiterhin Informationen zu seinen Aktivitäten, die für Messungen sowie zur Verbesserung der Werbesysteme verwendet werden (Anlage B7, S. 56).

138

4.1.1.2. Die Klägerin hat im Rahmen ihrer erstinstanzlich erfolgten persönlichen Anhörung erklärt, ihr sei aufgefallen, dass ihr zu zuvor gegoogelten Themen Werbung angezeigt wurde. Sie habe schon zuvor unter einer generalisierten Angststörung gelitten und sei auch schon in psychologischer Behandlung gewesen. Sie google viele Symptome und möchte nicht, dass ein Dritter wisse, wie es um ihre Gesundheit bestellt sei. Ihre generalisierte Angststörung sei dadurch „befeuert“ worden (Protokoll der erstinstanzlichen mündlichen Verhandlung vom 06.02.2025, Bl. 482 – 484, dort S. 2 = Bl. 483 LGA).

139

Die Beklagte hat insoweit mit Nichtwissen bestritten, dass der streitgegenständliche Sachverhalt Thema der Behandlung der Klägerin gewesen wäre (ebd.). Nicht bestritten und damit vom Senat zugrunde zu legen ist die restliche Erklärung der Klägerin, sie google viele Symptome, ihr sei zu gegoogelten Themen Werbung angezeigt worden und ihre bereits zuvor vorhandene generalisierte Angststörung sei durch ihre Aufklärung über den streitgegenständlichen Sachverhalt „befeuert“ worden.

140

4.1.1.2.1. Die Klägerin kann und muss nicht wissen, auf welchen (Dritt-) Webseiten und Apps … … Tools Verwendung finden, sie darf sich insoweit auf Vermutungen stützen (vgl. z.B. BGH BeckRS 2015, 10851). Die Beklagte kann sich hingegen nicht auf ein pauschales Bestreiten beschränken, sie müsste konkret vortragen, weil (nur) sie es kann (§ 138 Abs. 1, Abs. 2 ZPO).

141

4.1.1.2.2. Dass die Klägerin sich um eine gewisse Plausibilisierung ihrer Vermutung bemüht, indem sie – gestützt auf Nachforschungen ihrer Prozessbevollmächtigten – vorträgt, dass allein „der … Pixel […] auf 30 – 40% aller Internetseiten und der ganz überwiegenden Mehrzahl der meistbesuchten 100 Webseiten Deutschlands verbaut“ sei (Replik, S. 49 = Bl. 191 d.A.; vgl. auch Anlage K2), gereicht ihr nicht zum Nachteil. Das pauschale Bestreiten dieses Vortrags als unsubstantiiert ist unwirksam.

142

4.1.2. Nachdem der Klägerin unstreitig Werbung zu gegoogelten Themen gezeigt wurde (s.o. unter Punkt 4.1.1.2.), liegt ein Verstoß gegen den Grundsatz der Datenminimierung, der in Art. 5 Abs. 1 lit. b), lit. c), Art. 25 Abs. 2 S. 1, 3 DSGVO verankert ist, vor.

143

4.1.2.1. Der Grundsatz der Datenminimierung sichert die Verhältnismäßigkeit der Datenverarbeitung und besagt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen (EuGH NZA 2024, 1407 Rn. 49 f.; NZA 2023, 1523). Der Verantwortliche darf die Daten nicht allgemein und unterschiedslos erheben, sondern muss von der Erhebung solcher Daten absehen, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (EuGH NZA 2024, 1407 Rn. 59). In zeitlicher Hinsicht ist der Zeitraum der Datenerhebung als solcher und der Zeitraum, in dem die Möglichkeit besteht, den Betroffenen zu identifizieren, auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (sog. Speicherbegrenzung, s. EuGH a.a.O. Rn. 52 f.; EuZW 2022, 527).

144

4.1.2.2. Zwischen den Parteien ist unstreitig, dass die von den (Dritt-) Webseiten und Apps stammenden „Kontaktinformationen“ und/oder „Event-Daten“ (Anlage B5) ungefiltert und damit – in den Worten des EuGH (s.o.) – allgemein und unterschiedslos von der Beklagten verarbeitet werden. Der Senat sieht hierin – wie der EuGH (NZA 2024, 1407 Rn. 62 ff.) in einem … betreffenden Fall – einen unverhältnismäßigen Eingriff in die durch Art. 7, 8 GRCharta geschützten Rechte der Klägerin auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten. Der EuGH weist zurecht darauf hin, „dass eine solche Verarbeitung besonders umfassend [ist], da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von … aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird“ (EuGH NZA 2024, 1407 Rn. 62; NZA 2023, 1523).

145

4.1.2.3. Personenbezogen i.S.v. Art. 4 Nr. 1 DSGVO sind die verarbeiteten Daten schon deshalb, weil die Beklagte unstreitig in der Lage ist, diese Daten (z.B. über die verwendete IPAdresse oder individuelle Geräteinformationen) dem Benutzerkonto der Klägerin zuzuordnen (vgl. Erwägungsgrund 26 zur DSGVO: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren […]“; s. auch EuGH BeckRS 2016, 82520 zu dynamischen IP-Adressen).

146

4.1.2.4. Die Beklagte ist zur Überzeugung des Senats für die Erhebung, Übermittlung, Speicherung und Verwertung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.

147

4.1.2.4.1. Die Verantwortlichkeit für die Speicherung und Verarbeitung liegt auf der Hand.

148

4.1.2.4.2. Die Beklagte ist – gemeinsam mit dem jeweiligen Drittanbieter – auch für die Erhebung und Übermittlung verantwortlich (EuGH BeckRS 2019, 15831 Rn. 79, 96 – Fashion ID). Das liegt daran, dass durch die Einbettung der … … Tools in eine Webseite oder App quasi eine „dynamische Verweisung“ auf die jeweils aktuelle Version des Tools entsteht. Die Kontrolle über die Programmierung und in der Folge über die Funktionalität des Tools verbleibt damit bei der Beklagten. Diese entscheidet (mit), welche Daten erhoben und übermittelt werden. Dass eine „gemeinsame Verantwortlichkeit für die Datenverarbeitung mit dem jeweiligen Drittunternehmen gem. der DSGVO betreffend die Erhebung und Übermittlung zusätzlicher Daten an … über gewisse … … Tools“ besteht, hat die Beklagte eingeräumt (Duplik, Rz. 41, 45 = Bl. 313 f. LGA, vgl. auch die Nutzungsbedingungen für die … … Tools in Anlage B5, dort S. 5).

149

4.1.3. Die Datenverarbeitung seitens der Beklagten ist nicht nach Art. 6 Abs. 1 DSGVO gerechtfertigt.

150

4.1.3.1. Von Bedeutung ist dabei zunächst, „dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es nach Art. 13 I Buchst. c dieser Verordnung, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, dem Verantwortlichen, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren“ (EuGH GRUR 2023, 1131 Rn. 95). Anders als die Beklagte meint, muss nicht die Klägerin bestimmte Verarbeitungszwecke in Frage stellen, sondern hat die Beklagte zu erklären, zu welchem Zweck sie welche Daten erhoben hat und weshalb die Verarbeitung der Daten rechtmäßig sein soll. Die Beklagte verweist in der Berufungsbegründung (S. 23, Fn. 10) selbst auf die sog. Einwilligungsleitlinien des Europäischen Datenschutzausschusses (dort, Rz. 118), in denen es heißt: „[Es ist] sehr wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. […] Deshalb sollten Verantwortliche von Anfang an deutlich machen, welcher Zweck auf welche Daten Anwendung findet und auf welcher Rechtsgrundlage die Verarbeitung beruht.“

151

4.1.3.2. Die Beklagte stützt sich ausweislich ihrer Berufungsbegründung (Rz. 62 = Bl. 85 d. BerA) für die Verarbeitungszwecke auf unterschiedliche Rechtsgrundlagen, sie sich aus ihrer Datenschutzrichtlinie ergäben. Ein Blick in die als Anlage K1 vorliegende Datenschutzrichtlinie bestätigt diesen Befund. Hier findet sich auf annähernd 70 (!) Seiten (Anlage K1, S. 82 – 148) eine Darstellung zu den Rechtfertigungsgründen i.S.v. Art. 6 Abs. 1 DSGVO, den Gründen für die Datenverarbeitung („Warum und wie wir deine Informationen verarbeiten“) und den verwendeten „Informationskategorien“). Für die vorliegend relevante Informationskategorie „Information von Partnern, Anbietern und Dritten“ finden sich dabei – sinngemäß – die folgenden Eintragungen:

Rechtsgrundlage	Verarbeitungszweck
Einwilligung	Personalisierung von Werbeanzeigen
Erfüllung eines Vertrags	Personalisierung der …-Produkte
	Bereitstellung und Verbesserung von …Produkten, u.a. Inhalte analysieren
	Förderung von Schutz, Integrität und Sicherheit in und auf den …-Produkten
	Übermittlung, Speicherung oder Verarbeitung deiner Informationen weltweit, intern wie extern
Erfüllung einer rechtlichen Verpflichtung	Verarbeitung von Informationen, wenn nach dem Gesetz erforderlich
Berechtigte Interessen	Personalisierung der …-Produkte
	Bereitstellung und Verbesserung von …Produkten, u.a. Inhalte analysieren
	Förderung von Schutz, Integrität und Sicherheit in und auf den …-Produkten
	Bereitstellung von Messungen, Analysen und anderen Unternehmens-Services für Unternehmen, Werbetreibende und andere Partner:
	Kommunikation, Interaktion und Teilen von Inhalten über die Produkte der …-Unternehmen hinweg:
	… Intelligence und Statistik
	Identifizierung/Personalisierung iRv … Audience Network
	Zuschneiden von Werbeanzeigen
	Forschung und Innovation für soziale Zwecke Anonymisieren von Informationen

152

Beantwortung rechtlicher Anfragen Förderung von Schutz, Integrität und Sicherheit außerhalb der Erfüllung von Verträgen

… bei Nutzung nicht bekannter
Geräte	Förderung von Schutz, Integrität und Sicherheit
	Forschung und Innovation für soziale Zwecke
	Beantwortung rechtlicher Anfragen
Im öffentlichen Interessen	Produktverbesserung
durchgeführte Aufgaben	Forschung für soziale Zwecke
	Förderung von Schutz, Integrität und Sicherheit
Schutz wesentlicher Interessen	Schutz deiner wesentlichen Interessen oder der einer anderen Person

153

4.1.3.3. Eine Rechtfertigung der Datenverarbeitung nach Art. 6 Abs. 1 lit. b) – f) DSGVO scheitert zur Überzeugung des Senats schon daran, dass die Beklagte nicht hinreichend genau bezeichnet, welche Daten sie zu welchem Zweck erhebt. Dass ihr dies angesichts der Menge der betroffenen Daten womöglich nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, verdeutlicht nur den eklatanten Verstoß gegen den Grundsatz der Datenminimierung.

154

4.1.3.4. Selbst wenn man dies anders sehen und es für ausreichend erachten wollte, dass die Beklagte – ohne auf die konkret verarbeiteten Daten einzugehen – in allgemeiner Form auf ihre Datenschutzrichtlinie verweist, gelangt man nicht zu einer Rechtfertigung der Datenverarbeitung:

155

4.1.3.4.1. Die Verarbeitung der personenbezogenen Daten ist für die Erfüllung des Nutzungsvertrages nicht erforderlich i.S.v. Art. 6 Abs. 1 UABs.1 lit. b DSGVO:

156

4.1.3.4.1.1. Die auch insoweit darlegungs- und beweisbelastete (EuGH GRUR 2023, 1131 Rn. 98) Beklagte hat nicht hinreichend konkret dargestellt, weshalb die Verarbeitung der Daten „objektiv unerlässlich [war], um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist“ (EuGH a.a.O.).

157

4.1.3.4.1.2. Es erscheint bereits zweifelhaft, ob die von der Beklagten in der Berufung angesprochene Personalisierung von Funktionen, Inhalten und Vorschlägen zu Personen, Gruppen und Veranstaltungen (Berufungsbegründung, S. 25 ff., 28 = Bl. 85 ff., 88 d. BerA) notwendiger Bestandteil der Vertragsleistung seitens der Beklagten ist. Jedenfalls aber ist die streitgegenständliche Verarbeitung von Daten zur Erreichung dieses Zweckes nicht „objektiv unerlässlich“, sondern ließe sich eine hinreichende Personalisierung schon durch OnsiteDaten erreichen.

158

4.1.3.4.1.3. Die von der Beklagten weiter ins Feld geführten Sicherheits- und Integritätszwecke wurden bis zur mündlichen Berufungsverhandlung nur an einer Stelle näher erläutert (Abgleich von IP-Adressen, s. Berufungsbegründung, S. 35 = Bl. 95 d.A.). Auch insoweit aber fehlt es an hinreichend präzisem Vortrag zu konkreten, die Klägerin betreffenden Datenverarbeitungsvorgängen (z.B.: Wann wurde welche IP-Adresse verarbeitet und weshalb war die Verarbeitung im konkreten Fall aus Sicherheitsgründen notwendig?). Sollte der Vortrag der Beklagten zu so verstehen sein, dass IP-Adressen immer ausgewertet werden, wäre eine solche Vorgehensweise nicht unerlässlich, um den Nutzungsvertrag mit der Klägerin zu erfüllen. Die Beklagte erklärt im Übrigen weder, wie der Pool verdächtiger IP-Adressen zustande kommt, noch, welche Folgen eine Übereinstimmung nach sich zieht, weshalb der Nutzer also im Ergebnis von der angeblich erforderlichen Datenverarbeitung profitiert (durch einen Gewinn an Datensicherheit) und nicht etwa unter ihr leidet, weil er in den möglicherweise unbegründeten Verdacht krimineller Aktivität geraten kann.

159

4.1.3.4.2. Den ergänzenden Vortrag im Schriftsatz vom 09.12.2025 konnte der Senat nach § 296a ZPO nicht berücksichtigen. Unabhängig davon unternimmt die Beklagte aber auch in diesem Schriftsatz nicht den Versuch, konkrete Datenverarbeitungsvorgänge zu rechtfertigen. Die Verarbeitung der personenbezogenen Daten ist auch nicht zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, Art. 6 Abs. 1 UABs.1 lit. f)

160

DSGVO.

161

4.1.3.4.2.1. Nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO ist eine Verarbeitung personenbezogener Daten unter den folgenden drei Voraussetzungen rechtmäßig: „Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen“ (EuGH GRUR 2023, 1131 Rn. 106).

162

4.1.3.4.2.2. Indem die Beklagte im vorliegenden Verfahren nicht hinreichend genau bezeichnet, welche Daten sie zu welchem Zweck erhoben und verarbeitet hat, ermöglicht sie es dem Senat nicht, eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO zu prüfen. Das bestätigt den Befund des Bundeskartellamtes, wonach der Vortrag der Beklagten keine hinreichend klare Artikulation der berechtigten Interessen darstellt, die der Abwägungsprüfung mit den Interessen und Rechten der betroffenen Personen zugänglich wäre (BKartA, Beschluss v. 19.02.2019 in Bezug auf … [B6-22/16], Rn. 727 ff., 736 ff., 796 ff.). Unabhängig davon ist angesichts von Art und Umfang der verarbeiteten Daten mehr als zweifelhaft, ob die von der Beklagte in allgemeiner Form dargestellten Verarbeitungszwecke gegenüber den Interessen und Grundrechten des Nutzers (Art. 7, 8 GRCharta) Vorrang beanspruchen können (vgl. EuGH GRUR 2023, 1131 Rn. 123 bezogen auf das Ziel der Produktverbesserung).

163

4.1.3.4.3. Die Beklagte macht nicht geltend, dass sie gesetzlich verpflichtet sei, personenbezogene Daten präventiv zu erheben und – gleichsam auf Vorrat – zu speichern, um jegliche Anfrage einer nationalen Behörde, die darauf abzielt, bestimmte Daten über ihre Nutzer zu erlangen, beantworten zu können. Eine derartige gesetzliche Verpflichtung liegt auch fern. Eine Rechtfertigung nach Art. 6 Abs. 1 UABs.1 lit. c) DSGVO scheidet damit von vornherein aus (vgl. EuGH GRUR 2023, 1131 Rn. 132).

164

4.1.3.4.4. Eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. d) DSGVO kommt bei der gebotenen engen Auslegung von Art. 6 Abs. 1 DSGVO (EuGH GRUR 2023, 1131 Rn. 93) nur in Betracht, wenn lebenswichtige Interessen zu schützen sind, wobei der Normgeber z.B. die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen im Blick hatte (46. ErwG). Konkreter Vortrag der Beklagten in diese Richtung fehlt, eine Rechtfertigung scheidet in Anbetracht der von der Beklagten angebotenen Dienste wirtschaftlicher und kommerzieller Art aus (EuGH GRUR 2023, 1131 Rn. 137).

165

4.1.3.4.5. Die Beklagte hat nicht vorgetragen, dass ihr Aufgaben übertragen wurden, die im öffentlichen Interesse liegen, oder dass ihr öffentliche Gewalt übertragen wurde, womit auch eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO ausscheidet (vgl. EuGH GRUR 2023, 1131 Rn. 133).

166

4.1.3.5. Nachdem der Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO keine Abschreckungs- oder Straffunktion erfüllt (BGH NJW 2025, 298, Rn. 25 m.w.N.), kann dahinstehen, ob weitere Verstöße gegen die DSGVO vorliegen.

167

4.1.4. Art. 82 DSGVO sieht eine Haftung für vermutetes Verschulden vor (BGH GRUR-RS 2025, 32135 Rn. 13; s. auch EuGH NJW 2024, 1561 Rn. 44). Der Senat vermag dem Vortrag der Beklagten keine Anhaltspunkte für eine Exkulpation nach Art. 82 Abs. 3 DSGVO zu entnehmen. Die Beklagte macht geltend, dass sie rechtmäßig gehandelt habe, nicht, dass sie für die – aus Sicht der Klagepartei anspruchsbegründenden – Umstände nicht verantwortlich sei.

168

4.1.5. Durch den Verstoß gegen den Grundsatz der Datenminimierung ist der Klägerin ein immaterieller Schaden im weiten, autonom unionsrechtlichen Sinne des Art. 82 Abs. 1 DSGVO (vgl. hierzu EuGH NJW 2025, 3137 Rn. 55; BGH GRUR-RS 2025, 32135 Rn. 25 m.w.N.) entstanden.

169

4.1.5.1. Nach aktueller Rechtsprechung des EuGH kann „der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten […] einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat“ (EuGH ZD 2024, 519 Rn. 33; zustimmend BGH GRUR-RS 2025, 32135 Rn. 27 ff.). Zusätzliche spürbare negative Folgen müssen nicht hinzutreten (EuGH r+s 2024, 1080 Rn. 156).

170

4.1.5.2. Für die Klägerin stellt die Tatsache, dass eine erhebliche Menge personenbezogener Daten, die ihrem Benutzerkonto zugeordnet sind oder die ihr – z.B. mittels eines Abgleiches von IP-Adressen – zugeordnet werden können, sich auf Servern der Beklagten in der ganzen Welt (s. Datenschutzrichtlinie in Anlage K1, S. 72) und bei bestimmten Dritten befinden, einen Kontrollverlust dar. Als Dritte, mit denen Informationen geteilt werden, bezeichnet die Datenschutzrichtlinie der Beklagten (Anlage K1, dort S. 48 f.) Werbetreibende, Unternehmen, die Produkte für die Beklagten vermarkten oder die mit Kundenservice oder Umfragen beauftragt werden und Forscher.

171

4.1.5.3. Dahinstehen kann bei dieser Betrachtung, ob einzelne der streitgegenständlichen Daten bei lebensnaher Betrachtung auch von anderen Anbietern von Internetdiensten erhoben und gespeichert wurden. Denn dann läge jedenfalls eine Intensivierung des Kontrollverlusts vor, die ebenfalls einen immateriellen Schaden darstellt (BGH GRUR-RS 2025, 32135 Rn. 35).

172

4.1.6. Der Senat folgt der Auffassung des Bundesgerichtshofes (NJW 2025, 298 Rn. 96), wonach „eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als 'vollständig und wirksam' anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 I DS-GVO dagegen nicht erfüllen (vgl. EuGH […]). Folglich darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen (EuGH […]) und ob er vorsätzlich gehandelt hat […].“ Der Senat schätzt, dass vorliegend ein Betrag von 750,- € erforderlich, aber auch ausreichend ist, um den eingetretenen Kontrollverlust auszugleichen, § 287 ZPO:

− Die Klägerin ist aufgrund ihrer gesundheitlichen Probleme überdurchschnittlich empfindlich, und ihre Probleme wurden durch den streitgegenständlichen Vorfall „befeuert“.

− Da die Klägerin „viele Symptome“ googelt, ist nach der Lebenserfahrung davon auszugehen, dass ihr Surfverhalten sensible Daten erzeugt.

− Der Empfängerkreis der Daten ist vorliegend begrenzt: Er umfasst die Beklagte und solche Dritte, mit denen sie bestimmte Informationen teilt. Frei im Internet verfügbar sind die Daten danach nicht.

− Ausweislich der Datenschutzrichtlinie der Beklagten (Anlage K1, S. 67 ff.) behält die Beklagte Daten so lange, wie sie benötigt werden, um die Produkte der Beklagten bereitzustellen, rechtliche Verpflichtungen zu erfüllen oder bestimmte Interessen zu schützen. Dies wird am Beispiel einer Suche auf … erläutert: Der Suchverlauf wird dabei gespeichert, bis der Nutzer ihn löscht, nur die Informationen zum verwendeten Gerät oder einem Standort werden nach sechs Monaten gelöscht. Es ist damit – auch in zeitlicher Hinsicht – von einem erheblichen Kontrollverlust auszugehen.

− Der Senat hat weiter berücksichtigt, welchen Zwecken die Verarbeitung der Daten dient (vgl. oben, 4.1.3.2), wobei er sich insoweit auf die Datenschutzrichtlinie der Beklagten stützt.

− Eine Überzeugung dahingehend, dass die Klägerin die Möglichkeit hätte, die Kontrolle über ihre Daten selbständig zurückzuerlangen, hat sich der Senat schon deshalb nicht bilden können, weil die Beklagte die bei ihr vorhandenen Daten nicht benannt hat. Der pauschale Hinweis auf die Möglichkeit, bestimmte Einstellungen vorzunehmen oder Aktivitäten zu trennen (vgl. Anlage B7) führt deshalb nicht weiter.

− Bei der Schätzung des Schadens hat der Senat den Grad des Verschuldens ebenso wenig berücksichtigt wie die Tatsache, dass der Klägerin ein Unterlassungsanspruch zugesprochen wurde (BGH a.a.O.; zuletzt EuGH NJW 2025, 3137 Rn. 73 und Rn. 83).

173

4.1.7. Ein darüber hinausgehender Zahlungsanspruch wegen Verletzung des allgemeinen Persönlichkeitsrechts der Klagepartei durch die Beklagte nach § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG steht der Klageseite nicht zu.

174

4.1.7.1. Zwar kann die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung begründen, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann (ständige Rechtsprechung des BGH, s. nur BGH NJW 2024, 2836 Rn. 70).

175

4.1.7.1.1. Der Bundesgerichtshof hat den Entschädigungsanspruch im Spannungsfeld von allgemeinem Persönlichkeitsrecht und Pressefreiheit entwickelt, um zu verhindern, dass schwerwiegende Verletzungen der Würde und Ehre eines Menschen durch Presseveröffentlichungen ohne Sanktion bleiben könnten und dass hierdurch der Rechtsschutz der Persönlichkeit verkümmert (BGH NJW 2014, 2029 Rn. 40 m.w.N.). Entschädigungen wurden demnach in solchen Fällen zugesprochen, in denen eine Person durch Berichte in Printmedien (s. z.B. BGH 1995, 861 – Caroline von Monaco), im Fernsehen (s. z.B. OLG Hamm GRUR 2004, 970 – Stefan Raab) oder im Internet (BGH NJW 2014, 2029 – www.stern.de) öffentlich bloßgestellt wurden. Bei der Bemessung der Höhe der Entschädigung sollen die „Bedeutung und Tragweite des Eingriffs, also das Ausmaß der Verbreitung der Veröffentlichung, die Nachhaltigkeit und Fortdauer der Interessen- oder Rufschädigung des Verletzten, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens“ berücksichtigt werden (BGH a.a.O., Rn. 38).

176

4.1.7.1.2. Der vorliegende Fall ist insofern anders gelagert, als mit der informationellen Selbstbestimmung ein anderer (Teil-) Gehalt des allgemeinen Persönlichkeitsrechts betroffen ist. Der Senat geht zwar davon aus, dass auch die Verletzung des Rechts auf informationelle Selbstbestimmung einen Entschädigungsanspruch im o.g. Sinne begründen kann (so wohl auch BGH NJW 2024, 2836 Rn. 71). Auch insoweit müsste aber ein schwerwiegender Eingriff in das allgemeine Persönlichkeitsrecht nachgewiesen sein und die Beeinträchtigung dürfte nicht in anderer Weise aufgefangen werden können.

177

4.1.7.1.3. Für den Senat liegt auf der Hand, dass ein „schwerwiegender Eingriff“ im Sinne der Rechtsprechung des Bundesgerichtshofes von der Klägerin nicht vorgetragen wurde. Entscheidend ist dabei, dass die die Klägerin betreffenden Daten nicht in die allgemeine Öffentlichkeit gelangt sind. Der Umfang der Datenverarbeitung allein (insb. Menge/Art der Daten; Dauer/Zweck der Verarbeitung), die Ausprägung der Daten und die Tatsache, dass von einem vorsätzlichen Verhalten auszugehen ist, begründen die notwendige besondere Schwere des Eingriffs nicht.

178

4.1.7.1.4. Es kommt hinzu, dass Art. 82 DSGVO für Eingriffe in das Recht auf informationelle Selbstbestimmung gerade einen Schadenersatzanspruch bereithält. Durch die ihr zugesprochene Entschädigung in Höhe von 500,- € für den erlittenen Kontrollverlust und durch das an die Beklagte gerichtete Verbot wird die von der Klägerin erlittene Beeinträchtigung befriedigend aufgefangen.

179

4.2. Da die streitgegenständliche Datenverarbeitung rechtswidrig war (s.o. unter Punkt 4.1.), war die beantragte Feststellung zu treffen.

180

4.3. Der Klägerin steht infolge der rechtswidrigen Datenverarbeitung seitens der Beklagten auch ein Unterlassungsanspruch im tenorierten Umfang zu.

181

4.3.1. Soweit die Klägerin beantragt, der Beklagten die zukünftige Erhebung und Verarbeitung von Daten zu untersagen, folgt der Unterlassungsanspruch nicht aus der DSGVO (EuGH NJW 2025, 3137), er kann sich aber – wie der EuGH überzeugend klargestellt hat (a.a.O., Rn. 46 ff.) – aus nationalen Vorschriften ergeben.

182

4.3.2. Im deutschen Recht folgt der Unterlassungsanspruch zur Überzeugung des Senats zum einen unmittelbar aus dem Nutzungsvertrag der Parteien und zum anderen aus einer entsprechenden Anwendung der §§ 1004 Abs. 1 S. 2, 823 Abs. 1 BGB.

183

4.3.2.1. Bei der Verletzung von Vertragspflichten ergibt sich jedenfalls dann ein Unterlassungsanspruch aus dem Vertrag, wenn bereits einmal Pflichten aus dem – fortbestehenden – Vertragsverhältnis verletzt wurden und die Vertragsverletzung noch andauert (so i.E. BGH NJW 2021, 3179, der diesen Anspruch aus § 280 Abs. 1 BGB ableitet). Genau so liegt der Fall hier: Durch die rechtswidrige Datenverarbeitung hat die Beklagte gegen eine (Haupt- oder Neben-) Pflicht des Nutzungsvertrages verstoßen und sie tut es – soweit ersichtlich – weiterhin. Die – auch insoweit nötige (BGH a.a.O.) – Wiederholungsgefahr wird damit indiziert. Anhaltspunkte für eine Widerlegung der Vermutung sind weder vorgetragen noch ersichtlich.

184

4.3.2.2. Auch aus einer entsprechenden Anwendung der §§ 1004 Abs. 1 S. 2, 823 Abs. 1 BGB folgt der Unterlassungsanspruch: Der nicht erforderliche und auch nicht durch eine Einwilligung gedeckte Verstoß gegen den Grundsatz der Datenminimierung (s.o., I.) hat die Klägerin in ihrem allgemeinen Persönlichkeitsrecht verletzt, das sie gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten schützt (Recht auf informationelle Selbstbestimmung, vgl. hierzu Art. 7, 8 GRCh; Art. 8 EMRK; Rspr des EuGH seit 29/69 Rs. Stauder; Rspr des BVerfG zu Art. Art. 2 Abs. 1, 1 Abs. 1 GG seit BVerfG NJW 1984, 419 – Volkszählungsurteil).

185

Das rechtswidrige Verhalten dauert an, eine Wiederholungsgefahr ist damit indiziert.

186

Anhaltspunkte für eine Widerlegung der Vermutung sind weder vorgetragen noch ersichtlich.

187

4.3.3. Der Beklagten ist aber nicht jegliche Erhebung, Weitergabe, Speicherung und Verwendung der streitgegenständlichen Daten zu untersagen, sondern nur eine solche, die ungerechtfertigt geschieht.

188

4.3.3.1. Der Beklagten ist in diesem Zusammenhang zuzugestehen, dass nach der Konzeption der DSGVO bestimmte Datenverarbeitungsvorgänge gerechtfertigt sein können, vgl. insb. Art. 6, 9 DSGVO. Aus der Tatsache, dass die Beklagte es im vorliegenden Verfahren nicht unternommen hat, einzelne Datenverarbeitungsvorgänge zu rechtfertigen, lässt sich nicht pauschal schließen, dass ihr eine solche Rechtfertigung in der Zukunft stets misslingen wird.

189

Denkbar ist insoweit, dass die Klägerin ihre Einwilligung zur Verarbeitung bestimmter personenbezogener Daten für einen oder mehrere bestimmte Zwecke freiwillig, in informierter Weise und unmissverständlich i.S.v. Art. 4 Nr. 11 DSGVO erteilt (vgl. EuGH GRUR 2023, 1131 Rn. 91 f.). Die Beklagte muss sich im Zeitpunkt der Datenverarbeitung sicher sein, dass eine wirksame Einwilligung vorliegt. Das gilt auch und gerade, wenn der Betreiber der Website oder App als Drittanbieter die Einwilligung einholt (vgl. zu dieser Konstellation EuGH BeckRS 2019, 15831). Liegt keine Einwilligung vor, so kann die Beklagte die Verarbeitung bestimmter Daten gegebenenfalls auf einen oder mehrere der weiteren – grundsätzlich abschließenden – Rechtfertigungsgründe des Art. 6 Abs. 1 DSGVO stützen. Dies kann aber nicht pauschal in abstrakter und präventiver Weise erfolgen (vgl. EuGH GRUR 2023, 1131 Rn. 137 zu Art. 6 Abs. 1 UAbs. 1), sondern allenfalls bezogen auf spezifische Verarbeitungsvorgänge (Entschließung des Europäischen Parlaments v. 25.03.2021, P_19TA(2021)0111, Rn. 5; Ehmann/Selmayr/Heberlein, 3. Aufl. 2024, DS-GVO Art. 6). Die Verarbeitung sensibler Daten i.S.v. Art. 9 Abs. 1 DSGVO ist nur unter den Voraussetzungen des Art. 9 Abs. 2 DSGVO erlaubt.

190

Die bei der Beklagten bereits vorhandenen Daten sind bis zur Vornahme der Löschung zu speichern. Eine darüber hinausgehende Verarbeitung wird nur in Betracht kommen, um die sichere Speicherung und anschließende Löschung zu gewährleisten.

191

4.3.3.2. Dem Senat ist einerseits bewusst, dass jede Einschränkung eines Verbots eine zusätzliche Unbestimmtheit in das Verfahren hineinträgt, die womöglich später das Vollstreckungsverfahren mit besonderen Herausforderungen belasten könnte. Wo aber die materielle Rechtslage – wie häufig und auch hier – so ist, dass kein materiellrechtlicher Anspruch auf ein uneingeschränktes Verbot besteht, kann andererseits effektiver negatorischer Rechtsschutz allein dann gewährt werden, wenn es gelingt, die jeweiligen Verbotsgrenzen in den Tenor des Unterlassungsurteils aufzunehmen. Vor diesem Hintergrund muss im jeweiligen Einzelfall entschieden werden, welches Maß an Unbestimmtheit noch akzeptabel ist, um den Anspruch auf effektiven negatorischen Rechtsschutz nicht unzulässig zu verkürzen (vgl. Roth, in Stein, § 253 ZPO Rn. 37 m.w.N.; Thüringer Oberlandesgericht, Urteil vom 17. Juli 2002 – 2 U 59/02 –, juris; s. auch BGH GRUR 2007, 607 Rn. 17).

192

4.3.3.3. Der Senat erachtet die mit dem Verweis auf die Ausnahmetatbestände der Art. 6, 9 DSGVO einhergehende Unbestimmtheit im vorliegenden Fall als noch akzeptabel, weil die fehlende weitergehende Präzisierung der konkreten Verletzungshandlungen maßgeblich auf dem prozessualen Vorgehen der Beklagten beruht und weil zudem die Ausnahmetatbestände der Art. 6 und 9 DSGVO hinreichend konkretisiert und bestimmt sind und durch die – z.T. durchaus vergleichbare Sachverhalte betreffende Rechtsprechung des EuGH (s. nur EuGH GRUR 2023, 1131 [ … ] und EuGH NZA 2024, 1407 [ … (# …#) – Schrems] m.w.N.) – eine zusätzliche Konturierung erfahren haben, sodass insbesondere mit Blick auf die Vollstreckung hinreichend deutlich wird, welches Verhalten untersagt wird. Der Senat konnte deshalb im Tenor auf diese gesetzlichen Regelungen Bezug nehmen.

193

4.3.3.3.1. Entscheidend ist dabei, dass es der Klägerin nicht möglich und auch nicht zumutbar ist, den Unterlassungsantrag auf konkrete Verletzungsformen zu beschränken (vgl. allgemein BGH GRUR 2010, 749 Rn. 32). Die Klägerin kann nur vermuten, welche ihrer personenbezogenen Daten die Beklagte verarbeitet hat. Würde die Beklagte offenlegen, welche Daten der Klägerin sie in der Vergangenheit zu welchem Zweck verarbeitet hat, wäre der Klägerin eine Beschränkung des Unterlassungsantrages auf konkrete Verletzungshandlungen möglich und zumutbar. Diese wären der Beklagten dann untersagt, sowie (jedenfalls nach st. Rspr. im Wettbewerbsrecht, s. nur BGH GRUR 2010, 749 Rn. 32) bei entsprechender Antragstellung alle kernidentischen Zuwiderhandlungen. Dass die Beklagte konkrete Datenverarbeitungsvorgänge nicht benennt, kann der Klägerin nicht zum Nachteil gereichen.

194

4.3.3.3.2. Nur ein solches Ergebnis entspricht im Übrigen auch der – von der Beklagten angesprochenen – Konzeption der DSGVO: Diese strebt – ausweislich ihrer Erwägungsgründe – gerade mit Blick auf die technische Entwicklung ein hohes Datenschutzniveau und eine Minimierung der Verarbeitung personenbezogener Daten an. Natürliche Personen sollen wissen, welche personenbezogenen Daten zu welchem Zweck und in welchem Umfang verarbeitet werden. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden.

195

4.4. Soweit die Klägerin einen Anspruch auf Freistellung von vorgerichtlichen Rechtsanwaltskosten geltend macht, hat sie ihre Aktivlegitimation nicht hinreichend dargelegt.

196

Die Klägerin ist rechtsschutzversichert (vgl. Klageschrift, S. 36). Sie hat nicht vorgetragen, dass sie selbst die vorgerichtlichen Rechtsanwaltskosten getragen hätte. Damit ist davon auszugehen, dass – dem Zweck eines Rechtsschutzversicherungsvertrags entsprechend – der Rechtsschutzversicherer die vorgerichtlichen Rechtsanwaltskosten getragen hat, sodass ein gesetzlicher Forderungsübergang gem. § 86 Abs. 1 VVG erfolgt ist (vgl. HK-RVG/Janeczek, 9. Aufl. 2025, Anhang I IX. Rn. 108).

197

5. Die Entscheidung über die Kosten des Rechtsstreits beruht auf den §§ 92 Abs. 1 S. 1 Alt. 1, S. 2, 97 Abs. 1 ZPO, wobei der Senat neben dem Schadenersatzantrag i.H.v. 5.000,- € die Unterlassungsanträge mit insgesamt 4.000,- € und den Antrag auf Feststellung mit 500,- € bewertet hat.

198

6. Die Entscheidung zur vorläufigen Vollstreckbarkeit beruht auf §§ 708 Nr. 10, 711 S. 1 und 2 i.V.m. 709 S. 2 ZPO.