A.

Die Parteien streiten über Auskunfts-, Löschungs-/ Anonymisierungs- und Zahlungsansprüche aufgrund der von der Klägerseite behaupteten Verletzungen datenschutzrechtlicher Vorschriften durch die Beklagte.

Der zwischen den Parteien unstreitige Sachverhalt lässt sich wie folgt zusammenfassen:

Plattformnutzung durch die Klagepartei

Die Klagepartei ist seit dem 21.10.2021 Nutzerin der von der Beklagten betriebenen Plattform … Sie nutzt diese unter dem Benutzernamen „…“. Betreiberin des Netzwerks ist die Beklagte (…).

Funktionsweise der Plattform

Die Nutzung der Plattform ist kostenfrei. Allerdings wird den Nutzern Werbung angezeigt, die auf den Interessen des jeweiligen Nutzers basiert. Dafür nutzt und verarbeitet die Beklagte verschiedene Daten, die sie in ihrer Datenschutzrichtlinie (Anlage K 1 Seite 5) aufführt und auf die sie bei der Registrierung ebenso hinweist wie auf die Cookie-Richtlinie. Zu diesen Daten gehören

- neben den persönlichen Informationen, die der Nutzer bei der Registrierung angibt,

- das Nutzungsverhalten des jeweiligen Nutzers in Produkten der Beklagten (= sog. Onsite-Daten),

- Informationen über Freunde und Follower des Nutzers

- und deren Nutzungsverhalten in Produkten der Beklagten sowie

- Informationen über die technischen Geräte, mit Hilfe derer der Kunde die Produkte der Beklagten nutzt.

- Zudem sammelt die Beklagte „Informationen von Partnern über Handlungen, die du sowohl innerhalb als auch außerhalb unserer Produkte durchführst.

Dazu können z. B. andere von dir besuchte Websites, von dir verwendete Apps oder von dir gespielte Online-Spiele gehören“ (Anlage K 1 Seite 6; sog. Offsite-Daten). Unter „Partnern“ versteht die Beklagte „Personen, Unternehmen, Organisationen oder Einrichtungen, die unsere Produkte nutzen oder integrieren, um ihre Produkte und Dienstleistungen zu bewerben, zu vertreiben oder zu unterstützen“ (Anlage K 1 Seite 10).

…-Tools

Um diese sog. Offsite-Daten erheben zu können, hat die Beklagte sogenannte „…-Tools“ entwickelt. „Sie unterstützen Websitebetreiber*innen…, darunter auch Werbetreibende, bei der Integration ihrer Apps und Websites mit … … Gleichzeitig können sie Personen, die diese nutzen oder daran Interesse haben, besser erreichen und ihnen einen besseren Service bieten. Zu diesen …-Tools gehören beispielsweise das …-Pixel, die C# …, App-Events über …, OfflineC# … und die App … Wir empfangen außerdem Daten der …-Tools als Impressionen und Klickdaten (z. B. „Gefällt mir“-Angaben oder die Anzahl der Klicks auf den „Teilen“-Button), die durch soziale Plugins von … und … Login übermittelt werden. Darüber hinaus empfangen wir Daten von bestimmten …s, beispielsweise den Messenger-Kund*innenabgleich von der … oder aus bestimmten Pilot-, Test-, Alpha- oder Beta-Programmen, die wir von Zeit zu Zeit anbieten…“ („Die …-Tools“, Anlage B 3, Seite 3).

Funktion der …-Tools

Die …-Tools dienen dazu, dass bei Drittanbietern entstandene personenbezogene Informationen an die Beklagte übersandt werden. Dazu zählen u.a. der sog. „…Pixel“ und die „C# … “. Der …-Pixel wird in Form eines Programmcodes im Hintergrund des Browsers ausgeführt, ohne dass der Nutzer dies bemerkt („Glossar“, Anlage K 4 Seite 5). „Die C# … ist ein …Tool, das Marketingdaten direkt und zuverlässig von deinem Server [= dem Server des Gewerbetreibenden] an die …-Systeme übermittelt, die deine Werbeanzeigen ausliefern“ („…-Playbook“, Anlage K 11 Seite 5), so dass die … C# … unabhängig gegenüber cookieblockenden Technologien ist („…Playbook“, Anlage K 11 Seite 6). Folglich kann der Nutzer dieses …-Tool nicht abschalten (s. auch „Glossar“, Anlage K 4 Seite 2). Die Beklagte empfiehlt den Nutzern ihrer …- Tools, diese in Kombination zu verwenden. „Heute sollte das Pixel zusammen mit anderen resilienten Lösungen verwendet werden, damit du die Customer Journey vollständig erfassen kannst“ („…-Playbook“, Anlage K 11 Seite 5).

Personenbezogene Informationen Zu den personenbezogenen Informationen, die mit Hilfe der …-Tools erfasst werden, gehören zum einen Kontaktinformationen, „mit denen Einzelpersonen identifiziert werden können, wie Namen, E-Mail-Adressen und Telefonnummern“ (“ …-Tools Nutzungsbedingungen“, Anlage B 5 Seite 1). Zum anderen gehören hierzu aber auch sogenannte „Event-Daten“. Dabei handelt es sich um „sonstige Informationen, die du über Personen und ihre Handlungen teilst, die sie auf deinen Websites und in deinen Apps oder Shops vornehmen, wie z.B. Besuche auf deinen Websites, Installationen deiner Apps und Käufe deiner Produkte“ (“ …-Tools Nutzungsbedingungen“, Anlage B 5 Seite 1).

Nutzungsvereinbarungen der Beklagten mit den Drittanbietern Für die Nutzung dieser …-Tools hat die Beklagte Nutzungsbedingungen mit den Drittanbietern vereinbart (“ …-Tools Nutzungsbedingungen“, Anlage B 5). Demnach ist der Nutzer der …-Tools gem. Ziff. 3d der Nutzungsbedingungen verpflichtet sicherzustellen, dass der Endnutzer „alle erforderlichen Einwilligungen erteilt“. Beim Öffnen einer Drittwebsite erscheint bei ordnungsgemäßer Einrichtung durch den Betreiber der Website eine zusätzliche Schaltfläche, auf welcher der Nutzer eine Einstellung betreffend die weitere Nutzung der Drittwebsite treffen kann. Beispielsweise hat er die Wahl zwischen einer weiteren entgeltfreien Nutzung mit Werbung und Tracking oder aber einer entgeltlichen Weiternutzung, ohne dass seine Daten an Werbetreibende weitergegeben werden (s. Screenshot auf Seite 28 der Replik vom 05.12.2024, Blatt 166 LGA).

„Das Gerät einer Person kommuniziert direkt mit dem Erstanbieter-Server, um die Inhalte von der Website oder App zu laden (z. B. Artikel/Bilder usw., die von der Website oder App veröffentlicht werden); auf Anweisung des Drittanbieters kommuniziert das Gerät auch mit Drittanbieter-Servern, z.B. LinkedIn, Google, Twitter oder …(unter anderen), um Technologien oder Funktionen zu laden, die von diesen Unternehmen angeboten werden und die das Drittunternehmen auf seiner Website oder in seiner App integriert oder eingebettet hat“ (Duplik vom 03.02.2025, Rn 26, unter B. II.a., Seite 20, Blatt 280 LGA).

Kontrolle durch die Beklagte

Eine Kontrolle durch die Beklagte sehen die Nutzungsbedingungen nicht vor.

Vielmehr heißt es im …-Hilfebereich für Unternehmen, Anlage B 6, Seite 1:

„…s Systeme sind zwar darauf ausgelegt, potenziell unzulässige Informationen herauszufiltern, die sie erkennen können, aber letztendlich bist du für die Daten verantwortlich, die du mit … teilst“.

Die Beklagte und der Drittanbieter sind ausweislich der Nutzungsbedingungen (“ …-Tools Nutzungsbedingungen, Anlage B 5 Seite 5 unter 5 a. ii.) „gemeinsam Verantwortliche gemäß Art. 26 DSGVO“ für die Erhebung personenbezogener Informationen über die …-Tools und ihre anschließende Übermittlung an die Beklagte.

Handlungsmöglichkeiten der Nutzer

Besucht ein Nutzer eine mit einem solchen Tool präparierte Webseite oder App, erhebt und erfasst das …-Tool die o. g. Informationen zum Gerät des Nutzers und die Tätigkeiten des Nutzers auf der Webseite oder der App. Dies kann der Nutzer auch nicht mit Datenschutzeinstellungen auf der Plattform der Beklagten verhindern. Er kann aber Einfluss darauf nehmen, wie die Beklagte die so in ihren Machtbereich gelangten Daten weiter nutzt.

Im Rahmen der Nutzung des Netzwerks … nimmt die Beklagte nämlich auf Folgendes Bezug:

- Bei der Einrichtung des Netzwerks muss der Nutzer den Nutzungsbedingungen zustimmen.

- Im Rahmen der Registrierung verweist die Beklagte den Nutzer auf die Datenschutzrichtlinie (“Datenschutzrichtlinie“ Anlage K 1) sowie auf die Cookie-Richtlinie. Aus der Datenschutzrichtlinie ergibt sich insbesondere, dass diese alle vom Nutzer bereitgestellten Informationen und Geräteinformationen erfasst sowie alle benutzten …-Produkte, einschließlich der über die …-Tools übersandten Informationen der Drittunternehmen, und diese miteinander verbunden werden. So heißt es auf Seite 9 der Datenschutzrichtlinie, Anlage K1:

„Partner teilen auch Informationen wie deine E-Mail-Adresse, Cookies und deine Geräte-ID für Werbezwecke mit uns. … Wir erhalten diese Informationen unabhängig davon, ob du bei unseren Produkten angemeldet bist bzw. ein Konto auf ihnen hast oder nicht. … Partner geben außerdem ihre Kommunikation mit dir an uns weiter, wenn sie uns anweisen, Dienstleistungen für ihr Unternehmen zu erbringen, wie Unterstützung bei der Verwaltung ihrer Kommunikation… Partner nutzen unsere -Tools, Integrationen und …Audience NetworkTechnologien, um Informationen mit uns zu teilen. Diese Partner erheben deine Informationen, wenn du ihre Website oder Appbesuchst oder ihre Dienste nutzt…“.

Sodann hat der Nutzer auf der Plattform der Beklagten die Möglichkeit, folgende Einstellungen zu treffen:

- Deaktivierung/Verwendung optionaler Cookies

- Informationen von Werbepartnern zu Aktivitäten verwenden/nicht verwenden, um Werbung anzuzeigen.

Das heißt, der Nutzer kann zwar durch die Einstellungen auf der Plattform verhindern, dass die an die Beklagte übermittelten Daten für personalisierte Werbung verwendet werden. Er kann aber nicht verhindern, dass die Beklagte die über Dritte generierten Daten überhaupt erhält.

Verbreitung der …-Tools

Die von der Beklagten angebotenen und vertriebenen …-Tools laufen auf mannigfachen, reichweitenstarken Webseiten und Apps in Deutschland im Hintergrund. Hierzu gehören

- zahlreiche große Nachrichtenseiten und -Apps (z.B. spiegel.de, bild.de, welt.de, faz.net, stern.de),

- die großen Reiseseiten und -Apps (z.B. tripadvisor.de, hrs.de, holidaycheck.de, kayak.de, momondo.de),

- Seiten und Apps, die medizinische Hilfe bieten (z.B. apotheken.de, shopapotheke.de, docmorris.de, aerzte.de, heliosgesundheit.de, jameda.de),

- Dating- und Erotikseiten (parship.de, amorelie.de, orion.de, lovescout24.de), – aber auch Seiten mit Inhalten aus der innersten Intimsphäre (krebshilfe.de, tfpfertility.com, niewieder-alkohol.de, nvve.nl) („Medien“, Anlage K 2).

Die bei ihren Nutzern angefallenen Daten sendet die Beklagte weltweit in Drittstaaten, insbesondere in die USA (Klageschrift Seite 12, Blatt 12 LGA).

Die Klägerin hat nicht in personalisierte Werbung eingewilligt.

Die Klagepartei legte ein anwaltliches Schreiben vom 28.11.2023 vor (Anlage K 3), in dem die Klagepartei die Beklagte unter Fristsetzung zum 19.12.2023 unter anderem aufforderte, ihr ein Schmerzensgeld in Höhe von 5.000,- € für behauptete Eingriffe in das Recht auf informationelle Selbstbestimmung in Form von Verstößen gegen Verpflichtungen aus der DSGVO zu zahlen.

Die Klagepartei hat in der ersten Instanz zuletzt beantragt,

1. Die Beklagte wird verurteilt, Auskunft nach Art. 15 Abs. 1 lit. a., c., g. und h. DSGVO darüber zu erteilen, welche personenbezogenen Daten die Beklagte seit dem 21.10.2021 verarbeitet und im Zuge dessen mit dem Nutzeraccount des Netzwerks „…“ unter dem Benutzernamen „…“ der Klagepartei verknüpft hat, dies insbesondere, aber nicht ausschließlich durch die „…- Tools“,

a) auf Dritt-Webseiten und -Apps die personenbezogenen Daten, die der Identifizierung der Klagepartei dienen, ob direkt oder in gehashter Form übertragen, d.h.

E-Mail der Klagepartei

Telefonnummer der Klagepartei

Vorname der Klagepartei

Nachname der Klagepartei

Geburtsdatum der Klagepartei

Geschlecht der Klagepartei

Ort der Klagepartei

Externe IDs anderer Werbetreibender (von der …[ ] “external_ID”genannt) '

IP-Adresse des Clients

User-Agent des Clients (d.h. gesammelte Browserinformationen)

interne Klick-ID der …[ ] 

interne Browser-ID der …[ ]

Abonnement -ID

Lead-Id

anon_id

sowie bezogen auf sämtlich so verarbeiteten personenbezogenen Daten der Klagepartei

b) auf Dritt-Webseiten

die URLs der Webseiten samt ihrer Unterseiten

der Zeitpunkt des Besuchs

der Referrer (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist),

die auf der Webseite angeklickten Buttons sowie

weitere von der …„Events“ genannte Daten, die die Interaktionen auf der jeweiligen Webseite dokumentieren

c) in mobilen Dritt-Apps

der Name der App sowie

Der Zeitpunkt des Besuchs

Die in der App angeklickten Buttons sowie

Die von der …„Events“ genannte Daten, die die Interaktionen in der jeweiligen App dokumentieren

außerdem für jedes erhobene Datum, ob, und wenn ja welche konkreten personenbezogenen Daten der Klagepartei die Beklagte seit dem

21.10.2021zu welchem Zeitpunkt an Dritte (Werbepartner, sonstige Partner, im Konzern verbundene Unternehmen oder sonstige Dritte) weitergegeben hat, unter Benennung dieser Dritten,

ob, und wenn ja welche konkreten Daten der Klagepartei die Beklagte seit dem 21.10.2021 zu welchem Zeitpunkt (Beginn, Dauer, Ende) in welchem Drittstaat gespeichert hat;

inwieweit die Daten der Klagepartei für eine automatisierten Entscheidungsfindung einschließlich Profiling verwendet wurden und werden. Die Beklagte hat hierfür aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und angestrebte Auswirkung einer solchen Verarbeitung für die betroffene Person zu erteilen.

2. Die Beklagte wird verpflichtet, nach vollständiger Auskunftserteilung gem. des Antrags zu 1 sämtliche gem. des Antrags zu 1 a. seit dem 21.10.2021 bereits gespeicherten personenbezogenen Daten vollständig zu löschen sowie sämtliche gem. des Antrags zu 1 b. sowie c. seit dem 21.10.2021 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen.

3. Die Beklagte wird verurteilt, an die Klagepartei eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 5.000,00 Euro beträgt, nebst Zinsen i.H.v. fünf Prozentpunkten über dem Basiszinssatz seit dem 27.12.2023, zu zahlen.

4. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten i.H.v. 713,76 Euro freizustellen.

Das Landgericht hat nach Anhörung der Klagepartei mit Urteil vom 07.07.2025 der Klage teilweise stattgegeben und wie folgt entschieden:

1. Die Beklagte wird verurteilt, folgende auf Dritt-Webseiten und -Apps entstandene personenbezogene Daten der Klägerin, die seit dem 21.10.2021, direkt oder in gehashter Form, an die Server der Beklagten übertragen, von dieser verarbeitet und im Zuge dessen mit dem Nutzeraccount des Netzwerks „…“ unter dem Benutzernamen „…“ der Klägerin verknüpft wurden, zu löschen:

E-Mail-Adresse der Klägerin Telefonnummer der Klägerin Vorname der Klägerin Nachname der Klägerin Geburtsdatum der Klägerin Geschlecht der Klägerin Ort der Klägerin Externe IDs anderer Werbetreibender (von der …[ ] “external_ID”genannt) ' IP-Adresse des Clients User-Agent des Clients (d.h. gesammelte Browserinformationen) interne Klick-ID der …[ ] interne Browser-ID der …[ ] Abonnement -ID Lead-Id Anon_id

2. Die Beklagte wird verurteilt, folgende personenbezogene Daten der Klägerin, die seit dem 21.10.2021, direkt oder in gehashter Form, an die Server der Beklagten übertragen, von dieser verarbeitet und im Zuge dessen mit dem Nutzeraccount des Netzwerks „…“ unter dem Benutzernamen „…“ der Klägerin verknüpft wurden, zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen:

a) auf Dritt-Webseiten entstandene Daten:

die URLs der Webseiten samt ihrer Unterseiten der Zeitpunkt des Besuchs der Referrer (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist), die auf der Webseite angeklickten Buttons weitere von der Beklagten „Events“ genannte Daten, die die Interaktionen auf der jeweiligen Webseite dokumentieren b) in mobilen Dritt-Apps entstandene Daten:

der Name der App der Zeitpunkt des Besuchs die in der App angeklickten Buttons die von der Beklagten „Events“ genannten Daten, die die Interaktionen in der jeweiligen App dokumentieren

2. Die Beklagte wird verurteilt, an die Klägerin 250,00 € nebst Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit 27.12.2023 zu bezahlen.

3. Im Übrigen wird die Klage abgewiesen.

4. Von den Kosten des Rechtsstreits trägt die Klägerin 81%, die Beklagte 19%.

Gegen das ihnen am 09.07.2025 (Klagepartei) bzw. 08.07.2025 (Beklagtenpartei) zugestellte Urteil legten beide Parteien Berufung ein und zwar die Klagepartei (im Folgenden: Klägerin) mit Schriftsatz vom 07.08.2025, begründet mit Schriftsatz vom 20.10.2025 (Blatt 24 ff. d.A.), und die Beklagte (im Folgenden: Beklagte) mit Schriftsatz vom 22.07.2025, begründet mit Schriftsatz vom 20.10.2025 (Blatt 50 ff. d.A.).

Die Klagepartei macht im Berufungsverfahren im Wesentlichen Folgendes geltend:

Mangels erheblichen Bestreitens der Beklagten sei es unstreitig, dass es zu einer Verarbeitung besonders sensibler Daten gekommen sei, für die die Beklagte keine Rechtfertigungsgründe vorbringen könne. Die Beklagte, die schließlich nicht bestreite, dass auch die Klagepartei von ihren Datenverarbeitungssystemen betroffen sei, treffe eine sekundäre Darlegungslast. Fälschlich behaupte die Beklagte, die Klagepartei hätte einen konkreten Verarbeitungszweck zu benennen und verkenne, dass sie selbst hierzu vorzutragen habe. Sie müsse darlegen und beweisen, auf welche Weise und zu welchen Zwecken (Art. 5 Abs. 1 b DSGVO) die Daten erhoben würden und ob die Voraussetzungen des Art. 6 Abs. 1 DSGVO erfüllt seien.

Die Beklagte gehe schriftsätzlich lediglich auf die Zustimmungs- und Steuerungsmöglichkeiten hinsichtlich der Weiterverarbeitung zum Zweck der Bereitstellung personalisierter Werbung ein. Sie ignoriere hierbei vehement, dass sich die Klagepartei nicht auf diesen unwesentlichen Teilaspekt beschränkt habe.

Die Klägerin führt diverse Urteile in ihrem Sinne ins Feld.

Zu den Ansprüchen im Einzelnen:

Zum Auskunftsanspruch:

- Die Erfüllung des Auskunftsverlangens sei von der Beklagten überhaupt nicht eingewandt worden; diese sei auch nicht erfolgt. Die Beklagte habe lediglich versucht, den Streitgegenstand in ihrem Sinne auf die Zwecke der Bereitstellung personalisierter Werbung zu beschränken. Der Streitgegenstand aber werde von der Klagepartei bestimmt.

- Über das Auskunftstool der Beklagten seien lediglich rudimentäre Daten abrufbar, die nicht ansatzweise den Umfang des Auskunftsbegehrens erreichten.

Zum Entschädigungsanspruch:

- Das Landgericht habe den Entschädigungsanspruch deutlich zu niedrig festgesetzt und verkenne, dass nach der Rechtsprechung des EuGH der erlittene Schaden in vollem Umfang auszugleichen sei. Das EuG sehe im reinen Kontrollverlust einen Schaden, der mit 400,- € zu bewerten sei (T354/22, Urteil vom 08.01.2025).

- Soweit das Landgericht ausführe, dass Feststellungen zur Sensibilität der betroffenen Daten nicht hätten getroffen werden können, verkenne es, dass die Klagepartei anhand der aufgezeigten Beispielseiten, die mit …-Tools arbeiteten, sehr wohl sensible Datenkategorien betroffen seien. Das habe die Beklagte auch nie bestritten, sondern berufe sich darauf, dass die Verarbeitung besonders sensibler Daten „vertraglich untersagt“ sei.

- Auch der Anspruch aus § 823 BGB i.V.m.Art. 2 Abs. 1, Art. 1 Abs. 1 GG sei viel zu niedrig beziffert worden. Insbesondere in Fällen, in denen Persönlichkeitsrechte zu rein wirtschaftlichen Zwecken rücksichtslos kommerzialisiert werden sollten, habe von der Geldentschädigung ein „echter Hemmungseffekt“ auszugehen (vgl. BGHZ 128, 1 = NJW 1995, 861 (865); BGH NJW 1996, 984 (985). Dem Präventionsgedanken komme also erhebliche Bedeutung zu, schließlich handele die Beklagte zielgerichtet und gewinnorientiert, aber auch die Genugtuungsfunktion sei zu berücksichtigen.

- Das Recht der Klagepartei auf informationelle Selbstbestimmung sei ganz erheblich beeinträchtigt und bestehe in einem umfänglichen Kontrollverlust. Die Klagepartei wisse nicht mehr und könne nicht mehr wissen, was die Beklagte über sie wisse (Verweis auf BVerfG, 15.12.1983, 1 BvR 209/83 u.a.).

Zur Freistellung von vorgerichtlichen Rechtsanwaltskosten:

- Das erstinstanzliche Gericht vertrete die irrige Auffassung, der Anspruch auf Freistellung der vorgerichtlichen Rechtsanwaltskosten bestehe nicht, da die anwaltliche Tätigkeit nicht zweckversprechend gewesen sei. Die Klageseite hätte davon ausgehen müssen, dass die Beklagte zu keinerlei Zugeständnissen bereit sei. Zum Zeitpunkt der vorgerichtlichen Tätigkeit in diesem Verfahren sei jedoch nicht absehbar gewesen, wie die Beklagte reagieren würde.

Die Klagepartei wendet sich gegen das landgerichtliche Urteil soweit sie beschwert ist sowie gegen die Berufung der Beklagten und beantragt daher in der Berufungsinstanz:

das erstinstanzliche Urteil des Landgericht Augsburg vom 07.07.2025 abzuändern und neu zu fassen wie folgt:

1. Die Beklagte wird verurteilt, Auskunft nach Art. 15 Abs. 1 lit. a., c., g. und h. DGSVO darüber zu erteilen, welche personenbezogenen Daten die Beklagte seit dem 21.10.2021 verarbeitet und im Zuge dessen mit dem Nutzeraccount des Netzwerks ” …” unter dem Benutzernamen „…“ der Klagepartei verknüpft hat, dies insbesondere, aber nicht ausschließlich durch die „…Tools“,

a. auf Dritt-Webseiten und -Apps die personenbezogenen Daten, die der Identifizierung der Klagepartei dienen, ob direkt oder in gehashter Form übertragen, d.h.

E-Mail der Klagepartei Telefonnummer der Klagepartei Vorname der Klagepartei Nachname der Klagepartei Geburtsdatum der Klagepartei Geschlecht der Klagepartei Ort der Klagepartei Externe IDs anderer Werbetreibender (von der … [ ] “external_ID” genannt)

IP-Adresse des Clients User-Agent des Clients (d.h. gesammelte Browserinformati onen) interne Klick-ID der …[ ] interne Browser-ID der …[ ] Abonnement -ID Lead-ID anon_id sowie bezogen auf sämtliche so verarbeiteten personenbezogenen Daten der Klagepartei

b. auf Dritt -Webseiten die URLs der Webseiten samt ihrer Unterseiten der Zeitpunkt des Besuchs der Referrer (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist), die auf der Webseite angeklickten Buttons sowie weitere von der …„Events“ genannte Daten, die die Interaktionen auf der jeweiligen Webseite dokumentieren

c. in mobilen Dritt -Apps der Name der App sowie der Zeitpunkt des Besuchs die in der App angeklickten Buttons sowie die von der …„Events“ genannte Daten, die die Interaktionen in der jeweiligen App dokumentieren außerdem für jedes erhobene Datum,

ob, und wenn ja welche konkreten personenbezogenen Daten der Klagepartei die Beklagte seit dem 21.10.2021zu welchem Zeitpunkt an Dritte (Werbepartner, sonstige Partner, im Konzern verbundene Unternehmen oder sonstige Dritte) weitergegeben hat, unter Benennung dieser Dritten,

ob, und wenn ja welche konkreten Daten der Klagepartei die Beklagte seit dem 21.10.2021 zu welchem Zeitpunkt (Beginn, Dauer, Ende) in welchem Drittstaat gespeichert hat;

inwieweit die Daten der Klagepartei für eine automatisierten Entscheidungsfindung einschließlich Profiling verwendet wurden und werden.

Die Beklagte hat hierfür aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und angestrebte Auswirkung einer solchen Verarbeitung für die betroffene Person zu erteilen.

2. Die Beklagte wird verpflichtet, nach vollständiger Auskunftserteilung gem. des Antrags zu 1. sämtliche gem. des Antrags zu 1 a. seit dem 21.10.2021 bereits gespeicherten personenbezogenen Daten vollständig zu löschen sowie sämtliche gem. des Antrags zu 1 b. sowie c. seit dem 21.10.2021 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen.

3. Die Beklagte wird verurteilt, an die Klagepartei eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 1.500,00 Euro beträgt, nebst Zinsen i.H.v. fünf Prozentpunkten über dem Basiszinssatz seit dem 27.12.2023, zu zahlen.

4. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten i.H.v. 713,76 Euro freizustellen.

In Bezug auf die Berufung der Beklagten (dazu sogleich) beantragt die Klagepartei, die Berufung der Beklagten zurückzuweisen.

Die Beklagte beantragt,

das Urteil des Landgerichts Augsburg vom 7. Juli 2025 (das „angefochtene Urteil“), Az. 113 O 860/24, … zugestellt am 8. Juli 2025, abzuändern, soweit der Klage stattgegeben wurde, und die Klage insgesamt abzuweisen.

Hilfsweise, für den Fall, dass die Berufung keinen Erfolg hat, beantragt sie, die Revision zuzulassen.

Im Hinblick auf die Berufung der Klagepartei beantragt die Beklagte, die klägerische Berufung zurückzuweisen.

Hilfsweise, für den Fall, dass die klägerische Berufung Erfolg hat, die Revision zuzulassen.

Die Beklagte macht im Wesentlichen in der Berufungsinstanz geltend:

Das landgerichtliche Urteil könne keinen Bestand haben, soweit die Klage nicht abgewiesen worden sei. Die Berufung sei schon unzulässig, weil die Klagepartei beantrage, das Urteil neu zu fassen, und zwar auch insoweit als sie nicht beschwert sei.

- Unzutreffende Tatsachenfeststellungen durch das Landgericht:

Fälschlicherweise habe das Landgericht festgestellt, dass die Beklagte ein sog. „Digital Fingerprinting“ durchführe. Die Nutzer hätten tatsächlich aber verschiedene Möglichkeiten, die Nutzung ihrer Daten zu begrenzen, einschließlich der Aufhebung der Verknüpfung von geteilten Informationen mit ihrem Konto.

- Fehlende Substantiierung des klägerischen Vortrags Der klägerische Vortrag kranke daran, dass die Klagepartei nicht substantiiert vortrage, inwiefern sie persönlich von der Datenverarbeitung betroffen ist. Die Klageseite habe es schon versäumt vorzutragen,

- auf welchen Webseiten sie wann unterwegs gewesen sei, und dies zu belegen, – ob auf diesen Webseiten …-Tools installiert seien, was die Klägervertreter ja angesichts der eingereichten Screenshots technisch bewerkstelligen könnten – welche Daten die Drittwebseite oder Drittanbieter-App über das …-Tool an die Beklagte übersandt habe.

Der pauschale Verweis auf die meistbesuchten Webseiten in Deutschland reiche nicht, auch in einem einzelnen von Tausenden anderen Massenverfahren müsse substantiiert vorgetragen werden. Die Klageseite müsse doch nur ihre Browserverlaufsprotokolle prüfen und vorlegen.

Die Beklagte könne sich so nicht ordnungsgemäß gegen die Klage verteidigen. Bei der dennoch erfolgten Überprüfung einiger der von der Klagepartei als meistbesuchte Webseiten Deutschlands bezeichneten Webseiten habe eine Überprüfung durch die Beklagte sogar ergeben, dass in dem von der Beklagten angefragten Zeitraum (von wenigen Monaten) jedenfalls 7 der genannten Webseiten keine …-Tools verwendet hätten, da kein „traffic“ an [die Beklagte] gesendet worden sei (s. Screenshot in der Berufungsbegründung vom 20.10.2025, Seite 14, Blatt 64 d.A.). Schließlich sei ja auch zu bedenken, dass die …-Tools jederzeit wieder entfernt werden könnten. Damit stütze sich das Landgericht auf bloße Wahrscheinlichkeiten, nicht aber auf Tatsachen.

Eine sekundäre Darlegungslast treffe [die Beklagte] vor diesem Hintergrund gerade nicht.

- keine rechtswidrige Datenverarbeitung

Die Klagepartei haben keinen Verarbeitungszweck konkretisiert und nicht erläutert, warum dieser rechtswidrig sein soll. Ohne konkreten Verarbeitungszweck könne die Rechtmäßigkeit nach Art. 6 DSGVO bereits nicht geprüft werden (Verweis auf Erwägungsgrund 63).

Die Beklagte verstehe die verworrenen klägerischen Ausführungen dahingehend, dass es allein um [das] Geschäftsmodell [der Beklagten] gehe, die Schaltung personalisierter Werbung. In der vorgelegten Datenschutzrichtlinie habe die Beklagte aber für die Verarbeitungszwecke jeweils Rechtsgrundlagen angegeben.

Die Beklagte habe den Nutzern mit der Einstellung „Deine Aktivitäten außerhalb der …-Technologie“ die Möglichkeit gegeben, eine Zusammenfassung der Informationen zu erhalten, die Drittunternehmen über die Nutzeraktivitäten an die Beklagte weitergeben.

In jedem Fall müssten die Drittunternehmen Rechte und Erlaubnisse des Nutzers einholen, bevor sie Daten, die mithilfe der …-Tools erhoben worden seien, an die Beklagte weitergäben. Auch die C# … könnten die Drittunternehmen so integrieren, dass keine Daten an … übertragen würden, bis die Einwilligung eingeholt worden sei. Entsprechende Anleitungen und Hilfestellungen stelle [die Beklagte] zur Verfügung (Anlage B 18 und Anlage B 19).

„Sobald ein Drittunternehmen Daten über die streitgegenständlichen Tools an [die Beklagte] übermittelt hat, verarbeitet [sie] die übermittelten Daten – einschließlich der technischen Standarddaten – rechtmäßig für verschiedene Zwecke als Verantwortliche auf Grundlage der in der Datenschutzerklärung beschriebenen Rechtsgrundlagen“ (Berufungsbegründung vom 20.10.2025, Seite 33, Rn 74, Bl. 82 d.A.).

Zu den einzelnen Ansprüchen:

Zum Auskunftsanspruch:

Richtig habe das Landgericht erkannt, dass die Beklagte diesen jedenfalls gem. § 362 Abs. 1 BGB durch die Anlage B 8 erfüllt habe.

Zum Löschungs- und Anonymisierungsanspruch

- Der Löschungs- und Anonymisierungsantrag sei bereits unzulässig. Ihm fehle es an der erforderlichen Konkretisierung, schließlich nenne die Klagepartei keine konkreten Daten. Es sei völlig unklar, was die Klägerseite denn gelöscht wissen wolle. [Die Beklagte] könne nicht erkennen, welche Maßnahmen denn zu ergreifen oder nicht zu ergreifen seien.

Es fehle zudem an der nach § 259 ZPO erforderlichen Besorgnis nicht rechtzeitiger Leistung. Schließlich könnten die Nutzer die entsprechenden Einstellungen wählen und damit eine Verknüpfung mit ihrem Konto unterbinden oder ihr Konto auf der Plattform einfach löschen. Zudem habe die Beklagte ausweislich der Nutzungsbedingungen für die …-Tools, dort Ziffer 4.b, die Event-Daten nach spätestens 2 Jahren zu löschen. Wie in der Datenschutzrichtlinie erläutert, dürfe [die Beklagte] „Kundendaten bei Bedarf aufbewahren, z.B. aus Rechtsgründen“

(Berufungsbegründung vom 20.10.2025, III.1, Rn 79, Seite 35, Blatt 84 d.A.).

- Nachdem die Klägerseite in die Verarbeitung der …-Tools-Daten zur Bereitstellung personalisierter Werbung nicht eingewilligt habe, sei der von der Klagepartei erklärte Widerruf der Einwilligung – anders als vom Landgericht angenommen – unerheblich. [Die Beklagte] berufe sich nicht für jeden Verarbeitungszweck auf die Einwilligung des Nutzers.

- Die DSGVO stelle keine Anspruchsgrundlage für den klägerseits geltend gemachten Anspruch auf Anonymisierung dar. Die Anonymisierung sei kein Minus, sondern ein Aliud zur Löschung. Der insoweit geltend gemachte Anspruch ergebe sich weder aus Art. 17, noch aus Art. 18 DSGVO.

Jedenfalls aber könne der Nutzer unter der Einstellung „Ihre Aktivitäten außerhalb der …-Technologien“ die bisherigen von Drittunternehmen geteilten Aktivitäten von seinem Plattformkonto trennen und zukünftige Speicherungen mit seinem Plattformkonto unterbinden.

Zum Antrag auf Entschädigung Es liege – wie dargelegt – schon kein Verstoß gegen die DSGVO vor, weil die Beklagte ausweislich ihrer Datenschutzrichtlinie (Anlage K 1, dort Seite 68) den Grundsatz der Datenminimierung beachtet habe, Art. 5 Abs. 1 DSGVO (“Wir bewahren Informationen so lange auf, wie wir sie benötigen, um ein Feature oder eine Dienstleistung bereitzustellen“).

Selbst wenn die Beklagte gegen die DSGVO verstoßen hätte, hätte das Landgericht bei richtigem Verständnis der Rechtsprechung des EuGH aufgrund des fehlenden Nachweises eines konkreten Schadens der Klagepartei keine Entschädigung zusprechen dürfen. Eine bloß hypothetische Befürchtung des Missbrauchs der klägerischen Daten stelle keinen Schaden dar. „Die Klageseite hat lediglich subjektive Gefühle von Sorge und Angst in Bezug auf imaginäre Ereignisse behauptet. Diese Ängste sind unbegründet, da [die Beklagte] keine dieser Dinge tut … Und, soweit [sie] die Daten für andere begrenzte Zwecke verwendet (die die Klageseite nicht konkret benannt hat), … verwendet [sie] die von ihr über die streitgegenständlichen Tools übermittelten Tools Daten auch dazu, um die Klageseite, Nutzer und das Internet insgesamt vor Cybervorfällen zu schützen – was kaum ein böswilliger Zweck ist … (Berufungsbegründung vom 20.10.2025, unter IV. 1 b), Rn 105, Seite 45, Blatt 94 d.A.).

Die Klägerseite habe auch keinen „Kontrollverlust“ über ihre Daten wie bei den sog. „Scraping-Fällen“ erlitten. Die Nutzung der streitgegenständlichen Tools, über die sich die Klageseite beschwere, sei rechtmäßig, legal und allgegenwärtig im modernen Internet. Es liege gerade kein unbefugter Zugriff Dritter auf die Daten der Klagepartei vor. Die Klageseite habe schlicht keine hinreichend begründeten Schriftsätze zu ihrem angeblichen Schaden eingereicht und sei jedenfalls ihrer Beweislast nicht nachgekommen. Dies hätten zahlreiche erstinstanzliche Gerichte auch richtig erkannt.

Das Gericht habe auch verkannt, dass ein Kontrollverlust schon deshalb ausgeschlossen sei, weil die Plattformnutzer über die Einstellungen entscheiden könnten, ob sie z.B. optionale Cookies zulassen oder nicht. Aus der Datenschutzerklärung ergebe sich zudem, wie die Beklagte Informationen sammelt, verwendet, teilt und überträgt und auch die entsprechenden Rechtsgrundlagen aus der DSGVO.

Bei der Festsetzung der Höhe der Entschädigung habe das Gericht völlig verkannt, dass das Sammeln von Informationen über (potentielle) Kunden seit Jahrzehnten ein Geschäftsmodell für gezielte Werbebotschaften sei. „Die Rolle der Beklagten besteht lediglich darin, die Effizienz dieses gängigen Geschäftsmodells zu steigern und eine bessere Zugänglichkeit zu diesem für ein breiteres Spektrum kleinerer Unternehmen zu erreichen. [Die Beklagte] selbst wird und kann die Daten der Klageseite nicht zu Gewinnzwecken verkaufen (Berufungsbegründung vom 20.10.2025, unter IV. 2, Rn 109, Seite 47, Blatt 96 d.A.).

Der Wert der Nutzung der Plattform werde von Nutzern in der EU auf 32,23 US-Dollar pro Monat geschätzt. Das bekomme die Klagepartei umsonst und habe damit keinen Schaden erlitten.

Der klägerische Verweis auf die sog. „Bindl-Entscheidung“ des Europäischen Gerichts, T- 354/22, gehe fehl. Die Klagepartei habe weder einen Verstoß gegen die EU- Datenschutzverordnung 2018/1725, noch ein angebliches Risiko des Zugriffs durch die US-Regierung behauptet.

Schließlich aber spreche das Verhalten der Klagepartei gegen einen immateriellen Schaden ihrerseits: Sie nutze weiterhin die Plattform der Beklagten und habe auch kein werbefreies Abonnement abgeschlossen.

Auf einen Zahlungsanspruch nach deutschem Recht könne sich die Klagepartei nicht berufen, weil das Datenschutzrecht in der EU von der DSGVO vollständig harmonisiert werde. Aber unabhängig davon seien die Voraussetzungen eines Schadenersatzanspruches wegen Verletzung von Persönlichkeitsrechten nicht erfüllt.

Zum Freistellungsanspruch

Dieser scheitere bereits daran, dass die Klagepartei eine Rechtsschutzversicherung abgeschlossen habe und daher Zahlung nur an diese verlangen könne. [Die Beklagte] verfüge im Übrigen nicht über Aufzeichnungen zum Zugang des vorgerichtlichen Schreibens der Klagepartei. Die Klägervertreter hätten durch die Erhebung von 7.000 Parallelverfahren im Übrigen gezeigt, an einer außergerichtlichen Lösung kein Interesse zu haben.

In einem weiteren Schriftsatz vom 09.12.2025 (Blatt 191 ff. d.A.), der nach der mündlichen Verhandlung eingereicht wurde und der nicht nachgelassen war, machte die Beklagte weitere Ausführungen zur Berechtigung der von ihr vorgenommenen Datenverarbeitung.

Der Senat hat am 27.11.2025 mündlich verhandelt. Auf die Schriftsätze der Parteien samt Anlagen, auch die der ersten Instanz, das landgerichtliche Urteil sowie das Protokoll der mündlichen Verhandlung auch in erster Instanz wird ergänzend Bezug genommen.

B.

Die Berufung der Klägerin hat insoweit Erfolg, als ihr der begehrte Auskunftsanspruch zuzusprechen war. Dagegen hat ihr Begehren, statt der vom Landgericht zugesprochenen 250,- € von der Beklagten 1.500 € zu erhalten, nur in geringem Umfang Erfolg.

Die Berufung der Beklagten war in vollem Umfang zurückzuweisen.

Die Sache ist auch unter Berücksichtigung des nach Schluss der mündlichen Verhandlung eingereichten, nicht nachgelassenem Schriftsatz der Beklagten vom 09.12.2025 entscheidungsreif. Ein Anlass zum Wiedereintritt in die mündliche Verhandlung besteht nicht, § 156 Abs. 1, 2 ZPO. Vielmehr ist der Vortrag nach § 296a Satz 1 ZPO verspätet.

I. Sowohl die Berufung der Klägerin als auch die Berufung der Beklagten sind zulässig. Die Berufung der Klägerin gegen das Urteil des Landgerichts, Klägerin am 09.07.2025 zugestellt wurde, ist statthaft, § 511 ZPO, und wurde form- und fristgerecht am 07.08.2025 eingelegt, §§ 517, 519 ZPO. Sie wurde auch fristgerecht innerhalb der mit Verfügungen vom 11.08.2025 und 07.10.2025 gewährten Fristverlängerung begründet, § 520 ZPO.

Die Berufung der Beklagten gegen das Urteil des Landgerichts, Beklagten am 08.07.2025 zugestellt wurde, ist statthaft, § 511 ZPO, und wurde form- und fristgerecht am 22.07.2025 eingelegt, §§ 517, 519 ZPO. Sie wurde auch fristgerecht innerhalb der zuletzt mit Verfügungen vom 07.10.2025 gewährten Fristverlängerung begründet, § 520 ZPO.

Dass die Klägerin in ihren Anträgen eine vollständige Neufassung des erstinstanzlichen Urteils formuliert, macht die Berufung nicht unzulässig. Aus dem Vortrag der Klagepartei wird hinreichend deutlich, dass sich die Klägerin allein insoweit gegen das landgerichtliche Urteil wendet, als ihr Begehr teilweise abgewiesen wurde.

Die Berufung der Klägerin erweist sich zum Teil als begründet; die Berufung der Beklagten war vollumfänglich zurückzuweisen.

II. Die Klage erweist sich als zulässig.

Die internationale Zuständigkeit, die auch in der Berufung von Amts wegen zu prüfen ist (vgl. für die Revision BGHZ 153, 82 (84 ff.) = NJW 2003, 426), folgt aus Artt. 17 Abs. 1 lit. c, 18 Abs. 1 Alt. 2 Brüssel Ia-VO.

Soweit die Klägerin von der Beklagten verlangt, bestimmte Daten „vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen“, erweist sich der Klageantrag (Ziff. 4 Hs. 2, vgl. Bl. 116 d. BerA) als hinreichend bestimmt i.S.v. § 253 Abs. 2 Nr. 2 a.E. ZPO. Denn anders als bei einem alternativen Klageantrag, soll es hier nicht dem Gericht, sondern der Beklagten überlassen bleiben, ob sie löscht oder stattdessen anonymisiert, sodass sich für die Beklagte keine unzumutbare Unbestimmtheit ergäbe (s. zu der Unterscheidung nur MüKoZPO/Becker-Eberhard, 7.

Aufl. 2025, ZPO § 260 Rn. 23; i.E. auch OLG Düsseldorf, Urteil vom 21. September 2023 – VI-5 U 4/22 (Kart) –, Rn. 68, juris). Dass es prozessual möglich sein muss, der Beklagten ein Wahlrecht einzuräumen, beweist schon § 264 Abs. 1 BGB.

III. Die Klage ist hinsichtlich des Auskunfts- und Löschungsanspruchs sowie im Hinblick auf den Zahlungsanspruch im tenorierten Umfang begründet.

Die Anwendung deutschen Rechts folgt vorliegend aus der Rechtswahl der Parteien (Art. 3 Abs. 1, 6 Abs. 2 Rom I-VO – vgl. die Nutzungsvereinbarung in Anlage B2), sie ergäbe sich im Übrigen aus Art. 6 I lit. b Rom I-VO, weil ein Verbrauchervertrag vorliegt.

Der Klägerin steht ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von 750,- € zu (dazu sogleich 1.), daneben ein Anspruch auf Auskunft (dazu 2.) und ein Anspruch auf Löschung (dazu 3.) sowie ein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten (dazu 4.).

Die Datenschutz-Grundverordnung (im Folgenden DSGVO) ist vorliegend sachlich (Art. 2), räumlich (Art. 3) und auch zeitlich (vgl. Art. 99 Abs. 2) anwendbar.

Zahlungsanspruch

Der Senat geht davon aus, dass die Klägerin einen einheitlichen Anspruch auf Schadenersatz aus Art. 82 Abs. 1 DSGVO (vgl. hierzu BGH NJW 2025, 298 Rn. 55) geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der sog. – Tools) wurzelt (s. sehr deutlich Berufungserwiderung vom 10.11.2025, S. 2 = Bl. 102 d.A).

Mit den Worten des BGH (a.a.O., Rn. 21) erfordert ein derartiger Anspruch nach der Rechtsprechung des EuGH „einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind […] Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 I DSGVO den Ersatz eines (immateriellen) Schadens verlangt […]. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 I DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 III DSGVO dem Verantwortlichen […].“

Ein solcher Anspruch besteht vorliegend in Höhe von 750,- €.

a) Für den Senat steht fest, dass die Beklagte mithilfe der …-Tools eine potenziell unbegrenzte Menge an Daten der Klägerin verarbeitet, indem sie die Aktivitäten der Klägerin auf Dritt-Webseiten und Dritt-Apps verfolgt (so auch EuGH GRUR 2023, 1131 Rn. 118 betr. […]).

a) Technische Grundlage und Datenschutzeinstellungen

(1) Über die sog. – Tools („u.a. …-Pixel, C# … (vormals bekannt als …#), das …-SDK für App Events, Offline-C# … und die App …, s. Anlage B5) erhält die Beklagte …-Tool-Daten, d.h. Kontaktinformationen und/oder Event-Daten (z.B. Besuche auf einer Webseite, Installation einer App, Kauf eines Produkts) von ihren Vertragspartnern, den (hier) sog. Drittanbietern.

(2) Bestimmte technische Standarddaten (s. hierzu z.B. Duplik, Rz. 24 = Bl. 279 LGA) gelangen automatisch an die Beklagte, wenn die Klägerin eine Webseite aufruft, deren Anbieter die – Tools in seine Webseite eingebettet hat. Nach einer vereinfachten Darstellung des EuGH (BeckRS 2019, 15831 – Fashion ID; näher Duplik, Rz. 23 ff. = Bl. 296 ff. d.A.) ist es „eine Eigenart des Internets, dass der Browser des Internetbesuchers Inhalte aus verschiedenen Quellen darstellen kann. […] Hierzu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. […]“.

(3) Weitere (sog. Event-) Daten werden dann automatisch an die Beklagte übertragen, wenn der Drittanbieter bei der Einbettung der – Tools in seine Webseite oder App eine entsprechende Einstellung vorgenommen hat (Duplik, Rz. 29. = Bl. 282 LGA).

Die …-Tools-Nutzungsbedingungen verlangen in diesem Fall von dem Drittanbieter, die erforderlichen Angaben und Datenschutzbelehrungen zu erteilen und die notwendige Einwilligung einzuholen (Anlage B5). Die Beklagte überprüft dies nicht.

(4) Wie die Beklagte mit den bei ihr eingegangenen Informationen weiter verfährt, hängt von den Datenschutz-Einstellungen des jeweiligen Nutzers ab.

(a) Erlaubt der Nutzer der Beklagten nicht, Cookies und vergleichbare Technologien in anderen Apps und auf anderen Webseiten zu nutzen, so kann er sich dort nicht mehr mit seinem …-Konto anmelden und die dort erhobenen Daten werden nicht verwendet, um relevante Werbung zu zeigen. Sie werden aber in eingeschränktem Umfang genutzt, um für Sicherheit und Integrität zu sorgen und es kann sein, dass die Beklagte aggregierte Informationen zu Aktivitäten erhält, nicht aber die persönliche Cookie-Information des Nutzers (Anlage B 7, S. 41).

(b) Entscheidet sich der Nutzer dafür, Werbung mithilfe der Informationen von Werbepartnern zu seinen Aktivitäten relevanter zu machen, erhält er stärker personalisierte Werbung. Entscheidet er sich dagegen, (s. Anlage B 7, S. 43), werden die Daten dennoch – für andere Zwecke – verarbeitet (Duplik, Rz. 63= Bl. 296 LGA), z.B. zum Schutz der Sicherheit und Integrität der Server (a.a.O. Rz. 65) oder zur Messung der Effektivität von Werbekampagnen (Anlage K11, S. 23: „die C# … ist nötig, um die Events von Nutzer*innen zu aggregieren, die sich gegen die Nutzung ihrer Daten entschieden haben“; hierzu Duplik, Rz. 62 = Bl. 295 LGA).

(c) Der Nutzer hat weiter die Möglichkeit, die Verknüpfung künftiger Aktivitäten mit seinem Konto aufzuheben und frühere Aktivitäten zu löschen (Anlage B7, S. 44 ff.). In diesem Fall erhält die Beklagte aber weiterhin Informationen zu seinen Aktivitäten, die für Messungen sowie zur Verbesserung der Werbesysteme verwendet werden (Anlage B7, S. 56).

b) Die (zumindest inzident getroffene) Feststellung des Landgerichts, wonach die Klägerin von der streitgegenständlichen Datenverarbeitung betroffen sei, weil davon auszugehen sei, dass die Klägerin Seiten von Drittanbietern besuche, auf welchen – Tools geschaltet seien, bindet den Senat nach § 529 Abs. 1 Nr. 1 ZPO, weil keine Anhaltspunkte für Zweifel an ihrer Richtigkeit oder Vollständigkeit bestehen.

(1) Die Klägerin kann und muss nicht wissen, auf welchen (Dritt-) Webseiten und Apps – Tools Verwendung finden, sie darf sich insoweit auf Vermutungen stützen (vgl. z.B. BGH BeckRS 2015, 10851). Die Beklagte kann sich hingegen nicht auf ein pauschales Bestreiten beschränken, sie müsste konkret vortragen, weil (nur) sie es kann (§ 138 Abs. 1, Abs. 2 ZPO).

(2) Dass die Klägerin sich um eine gewisse Plausibilisierung ihrer Vermutung bemüht, indem sie – gestützt auf Nachforschungen ihrer Prozessbevollmächtigten – vorträgt, dass allein „der …Pixel […] auf 30 – 40% aller Internetseiten und der ganz überwiegenden Mehrzahl der meistbesuchten 100 Webseiten Deutschlands verbaut“ sei (Replik, S. 50 = Bl. 188 LGA.; vgl. auch Anlage K2), gereicht ihr nicht zum Nachteil. Das pauschale Bestreiten dieses Vortrags als unsubstantiiert ist unwirksam.

(3) Die Behauptung der Klägerin, sie verbringe durchschnittlich acht Stunden im Internet und nutze viele Webseiten und Apps, auf denen die – Tools vorzufinden seien, ist ebenfalls hinreichend substantiiert. Nachdem die Beklagte genau weiß, von welchen Drittseiten sie Informationen über Aktivitäten der Klägerin erhalten hat, könnte sie den Vortrag der Klägerin konkret bestreiten.

b) Hierin liegt ein Verstoß gegen den Grundsatz der Datenminimierung, der in Art. 5 Abs. 1 lit. b), lit. c), Art. 25 Abs. 2 S. 1, 3 DSGVO verankert ist.

a) Der Grundsatz der Datenminimierung sichert die Verhältnismäßigkeit der Datenverarbeitung und besagt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen (EuGH NZA 2024, 1407 Rn. 49 f.; NZA 2023, 1523). Der Verantwortliche darf die Daten nicht allgemein und unterschiedslos erheben, sondern muss von der Erhebung solcher Daten absehen, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (EuGH NZA 2024, 1407 Rn. 59). In zeitlicher Hinsicht ist der Zeitraum der Datenerhebung als solcher und der Zeitraum, in dem die Möglichkeit besteht, den Betroffenen zu identifizieren, auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (sog. Speicherbegrenzung, s. EuGH a.a.O. Rn. 52 f.; EuZW 2022, 527).

b) Zwischen den Parteien ist unstreitig, dass die von den (Dritt-) Webseiten und Apps stammenden „Kontaktinformationen“ und/oder „Event-Daten“ (Anlage B5) ungefiltert und damit – in den Worten des EuGH (s.o.) – allgemein und unterschiedslos von der Beklagten verarbeitet werden. Der Senat sieht hierin – wie der EuGH (NZA 2024, 1407 Rn. 62 ff.) in einem […] betreffenden Fall – einen unverhältnismäßigen Eingriff in die durch Art. 7, 8 GRCharta geschützten Rechte der Klägerin auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten. Der EuGH weist zurecht darauf hin, „dass eine solche Verarbeitung besonders umfassend [ist], da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von … aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird“ (EuGH NZA 2024, 1407 Rn. 62; NZA 2023, 1523).

c) Personenbezogen i.S.v. Art. 4 Nr. 1 DSGVO sind die verarbeiteten Daten schon deshalb, weil die Beklagte unstreitig in der Lage ist, diese Daten (z.B. über die verwendete IP-Adresse oder individuelle Geräteinformationen) dem Benutzerkonto der Klägerin zuzuordnen (vgl. Erwägungsgrund 26 zur DSGVO: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren […]“; s. auch EuGH BeckRS 2016, 82520 zu dynamischen IP-Adressen).

d) Die Beklagte ist zur Überzeugung des Senats für die Erhebung, Übermittlung, Speicherung und Verwertung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.

(1) Die Verantwortlichkeit für die Speicherung und Verarbeitung liegt auf der Hand, sie wurde auch vom Landgericht angenommen und in der Berufung nicht angegriffen.

(2) Die Beklagte ist – gemeinsam mit dem jeweiligen Drittanbieter – auch für die Erhebung und Übermittlung verantwortlich (EuGH BeckRS 2019, 15831 Rn. 79, 96 – Fashion ID). Das liegt daran, dass durch die Einbettung der …-Tools in eine Webseite oder App quasi eine „dynamische Verweisung“ auf die jeweils aktuelle Version des Tools entsteht. Die Kontrolle über die Programmierung und in der Folge über die Funktionalität des Tools verbleibt damit bei der Beklagten. Diese entscheidet (mit), welche Daten erhoben und übermittelt werden. Dass eine „gemeinsame Verantwortlichkeit für die Datenverarbeitung mit dem jeweiligen Drittunternehmen gem. der DSGVO betreffend die Erhebung und Übermittlung zusätzlicher Daten an [die Beklagte] über gewisse – Tools“ besteht, hat die Beklagte eingeräumt (Duplik, Rz. 43, 47 = Bl. 287 f. LGA vgl. auch die Nutzungsbedingungen für die – Tools in Anlage B5, dort S. 5).

c) Die Datenverarbeitung seitens der Beklagten ist nicht nach Art. 6 Abs. 1 DSGVO gerechtfertigt.

a) Von Bedeutung ist dabei zunächst, „dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es nach Art. 13 I Buchst. c dieser Verordnung, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, dem Verantwortlichen, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren“ (EuGH GRUR 2023, 1131 Rn. 95). Anders als die Beklagte meint, muss nicht die Klägerin bestimmte Verarbeitungszwecke in Frage stellen, sondern hat die Beklagte zu erklären, zu welchem Zweck sie welche Daten erhoben hat und weshalb die Verarbeitung der Daten rechtmäßig sein soll. Die Beklagte verweist in der Berufungsbegründung (S. 22, Fn. 9) selbst auf die sog.

Einwilligungsleitlinien des Europäischen Datenschutzausschusses (dort, Rz. 118), in denen es heißt: „[…] ist es sehr wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. […] Deshalb sollten Verantwortliche von Anfang an deutlich machen, welcher Zweck auf welche Daten Anwendung findet und auf welcher Rechtsgrundlage die Verarbeitung beruht.“

b) Die Beklagte stützt sich ausweislich ihrer Berufungsbegründung (Rz. 51 = Bl. 74 d.A.) für die Verarbeitungszwecke auf unterschiedliche Rechtsgrundlagen, sie sich aus ihrer Datenschutzrichtlinie ergäben. Ein Blick in die als Anlage K1 vorliegende Datenschutzrichtlinie bestätigt diesen Befund. Hier findet sich auf annähernd 70 (!) Seiten (Anlage K1, S. 82 – 150) eine Darstellung zu den Rechtfertigungsgründen i.S.v. Art. 6 Abs. 1 DSGVO, den Gründen für die Datenverarbeitung („Warum und wie wir deine Informationen verarbeiten“) und der verwendeten Informationskategorien“). Für die vorliegend relevante

Informationskategorie „Information von Partnern, Anbietern und Dritten“ finden sich dabei – sinngemäß – die folgenden Eintragungen:

Rechtsgrundlage	Verarbeitungszweck
Einwilligung	Personalisierung von Werbeanzeigen
Erfüllung eines Vertrags	Personalisierung der …-Produkte
	Bereitstellung und Verbesserung von …-Produkten, u.a. Inhalte analysieren
	Förderung von Schutz, Integrität und Sicherheit in und auf den …-Produkten
	Übermittlung, Speicherung oder Verarbeitung deiner Informationen weltweit, intern wie extern
Erfüllung einer rechtlichen Verpflichtung	Verarbeitung von Informationen, wenn nach dem Gesetz erforderlich
Berechtigte Interessen	Personalisierung der …-Produkte
	Bereitstellung und Verbesserung von …-Produkten, u.a. Inhalte analysieren Förderung von Schutz, Integrität und Sicherheit in und auf den …-Produkten

Bereitstellung von Messungen, Analysen und anderen Unternehmens-Services für Unternehmen, Werbetreibende und andere Partner:

Kommunikation, Interaktion und Teilen von Inhalten über die Produkte der …-Unternehmen hinweg:

Intelligence und Statistik Identifizierung/Personalisierung iRv …Audience Network

Zuschneiden von Werbeanzeigen Forschung und Innovation für soziale Zwecke Anonymisieren von Informationen Beantwortung rechtlicher Anfragen Förderung von Schutz, Integrität und Sicherheit außerhalb der Erfüllung von Verträgen … bei Nutzung nicht bekannter Geräte Förderung von Schutz, Integrität und Sicherheit Forschung und Innovation für soziale Zwecke Beantwortung rechtlicher Anfragen Produktverbesserung Im öffentlichen Interesse durchgeführte

Aufgaben Forschung für soziale Zwecke Förderung von Schutz, Integrität und Sicherheit Schutz deiner wesentlichen Interessen oder der einer Schutz wesentlicher Interessen anderen Person

c) Im vorliegenden Einzelfall nimmt die Beklagte eine Personalisierung der Werbung mangels Einwilligung der Klägerin nicht vor. Mit diesem Zweck kann sie die Verarbeitung der Daten folglich nicht begründen und will dies auch nicht.

d) Es erscheint nach allgemeiner Lebenserfahrung nicht ganz unwahrscheinlich, dass unter den verarbeiteten Daten auch solche sind, die dem besonderen Schutz des Art. 9 DSGVO unterliegen („sensible Daten“). In einem solchen Fall muss die Verarbeitung des gesamten Datensatzes an Art. 9 Abs. 2 DSGVO gemessen werden (EuGH GRUR 2023, 1131 Rn. 89), wobei die Beklagte zum Umfang und der Art und Weise der Datenverarbeitung nicht konkret vorgetragen hat.

Die Klägerin hat bereits in der Replik (dort Seite 38 f., Blatt 176 f. LGA) näher zu ihrem Nutzungsverhalten ausgeführt und insbesondere erläutert, dass sie zu gesundheitlichen (u.a. Schwangerschaft und Geburt) sowie zu politischen, weltanschaulichen und finanziellen Themen recherchiere und auch Arzttermine online vereinbare. Sie hat dies in ihrer persönlichen Anhörung vor dem Landgericht auch bestätigt. Damit ist vorliegend davon auszugehen, dass bei Drittanbietern tatsächlich auch sensible Daten i.S.v. Art. 9 Abs. 1 DSGVO erhoben wurden.

e) Eine Rechtfertigung der Datenverarbeitung nach Art. 6 Abs. 1 lit. b) – f) DSGVO bzw. nach Art. 9 Abs. 2 DSGVO scheitert zur Überzeugung des Senats schon daran, dass die Beklagte nicht hinreichend genau bezeichnet, welche Daten sie zu welchem Zweck erhebt. Dass ihr dies angesichts der Menge der betroffenen Daten womöglich nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, verdeutlicht nur den eklatanten Verstoß gegen den Grundsatz der Datenminimierung.

f) Selbst wenn man dies anders sehen und es für ausreichend erachten wollte, dass die Beklagte – ohne auf die konkret verarbeiteten Daten einzugehen – in allgemeiner Form auf ihre Datenschutzrichtlinie verweist, gelangte man nicht zur einer Rechtfertigung der Datenverarbeitung:

(1) Die Verarbeitung der personenbezogenen Daten ist für die Erfüllung des Nutzungsvertrages nicht erforderlich i.S.v. Art. 6 Abs. 1 UABs.1 lit. b DSGVO:

(a) Die auch insoweit darlegungs- und beweisbelastete (EuGH GRUR 2023, 1131 Rn. 98) Beklagte hat nicht hinreichend konkret dargestellt, weshalb die Verarbeitung der Daten „objektiv unerlässlich [war], um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist“ (EuGH a.a.O.).

(b) Die von der Beklagten ins Feld geführten Sicherheits- und Integritätszwecke wurden bis zur mündlichen Berufungsverhandlung nur an einer Stelle näher erläutert (Abgleich von IP-Adressen, s. Berufungserwiderung, S. 12 = Bl. 127 LGA). Auch insoweit aber fehlt es an hinreichend präzisem Vortrag zu konkreten, die Klägerin betreffenden Datenverarbeitungsvorgängen (z.B.: Wann wurde welche IP-Adresse verarbeitet und weshalb war die Verarbeitung im konkreten Fall aus Sicherheitsgründen notwendig?). Sollte der Vortrag der Beklagten zu so verstehen sein, dass IP-Adressen immer ausgewertet werden, wäre eine solche Vorgehensweise nicht unerlässlich, um den Nutzungsvertrag mit der Klägerin zu erfüllen. Die Beklagte erklärt im Übrigen aber auch im nicht nachgelassenen Schriftsatz vom 09.12.2025 weder, wie die „relativ kleine“ Anzahl“ (s. Rn 7, Blatt 199 d.A.) verdächtiger IP-Adressen zustande kommt, noch, welche Folgen eine Übereinstimmung nach sich zieht, weshalb der Nutzer also im Ergebnis von der angeblich erforderlichen Datenverarbeitung profitiert (durch einen Gewinn an Datensicherheit) und nicht etwa unter ihr leidet, weil er in den möglicherweise unbegründeten Verdacht krimineller Aktivität geraten kann.

(2) Den ergänzenden Vortrag im Schriftsatz vom 09.12.2025 konnte der Senat schon nach § 296a ZPO nicht berücksichtigen.

Unabhängig davon unternimmt die Beklagte aber auch in diesem Schriftsatz nicht den Versuch, konkrete Datenverarbeitungsvorgänge zu rechtfertigen. Die Verarbeitung der personenbezogenen Daten ist auch nicht zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, Art. 6 Abs. 1 UABs.1 lit. f) DSGVO.

(a) Nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO ist eine Verarbeitung personenbezogener Daten unter den folgenden drei Voraussetzungen rechtmäßig: „Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen“ (EuGH GRUR 2023, 1131 Rn. 106).

(b) Indem die Beklagte im vorliegenden Verfahren nicht hinreichend genau bezeichnet, welche Daten sie zu welchem Zweck erhoben und verarbeitet hat, ermöglicht sie es dem Senat nicht, eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO zu prüfen. Das bestätigt den Befund des Bundeskartellamtes, wonach der Vortrag der Beklagten keine hinreichend klare Artikulation der berechtigten Interessen darstellt, die der Abwägungsprüfung mit den Interessen und Rechten der betroffenen Personen zugänglich wäre (BKartA, Beschluss v. 19.02.2019 in Bezug auf … [B6-22/16], Rn. 727 ff., 736 ff., 796 ff.). Unabhängig davon ist angesichts von Art und Umfang der verarbeiteten Daten mehr als zweifelhaft, ob die von der Beklagten in allgemeiner Form dargestellten Verarbeitungszwecke gegenüber den Interessen und Grundrechten des Nutzers (Art. 7, 8 GRCharta) Vorrang beanspruchen können (vgl. EuGH GRUR 2023, 1131 Rn. 123 bezogen auf das Ziel der Produktverbesserung).

(c) Die Beklagte macht nicht geltend, dass sie gesetzlich verpflichtet sei, personenbezogene Daten präventiv zu erheben und – gleichsam auf Vorrat – zu speichern, um jegliche Anfrage einer nationalen Behörde, die darauf abzielt, bestimmte Daten über ihre Nutzer zu erlangen, beantworten zu können. Eine derartige gesetzliche Verpflichtung liegt auch fern. Eine Rechtfertigung nach Art. 6 Abs. 1 UABs.1 lit. c) DSGVO scheidet damit von vornherein aus (vgl. EuGH GRUR 2023, 1131 Rn. 132).

(d) Eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. d) DSGVO kommt bei der gebotenen engen Auslegung von Art. 6 Abs. 1 DSGVO (EuGH GRUR 2023, 1131 Rn. 93) nur in Betracht, wenn lebenswichtige Interessen zu schützen sind, wobei der Normgeber z.B. die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen im Blick hatte (46. ErwG). Konkreter Vortrag der Beklagten in diese Richtung fehlt, eine Rechtfertigung scheidet in Anbetracht der von der Beklagten angebotenen Dienste wirtschaftlicher und kommerzieller Art aus (EuGH GRUR 2023, 1131 Rn. 137).

(e) Die Beklagte hat nicht vorgetragen, dass ihr Aufgaben übertragen wurden, die im öffentlichen Interesse liegen oder dass ihr öffentliche Gewalt übertragen wurde, womit auch eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO ausscheidet (vgl. EuGH GRUR 2023, 1131 Rn. 133) .

(f) Angesichts des Umstands, dass schon die Rechtfertigungsgründe nach Art. 6 DSGVO – wie ausgeführt – nicht erfüllt sind, erübrigen sich weitere Ausführungen zu den noch strengeren Regelungen in Art. 9 Abs. 2 DSGVO.

Nachdem der Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO keine Abschreckungs- oder Straffunktion erfüllt (BGH NJW 2025, 298, Rn. 25 m.w.N.), kann dahinstehen, ob weitere Verstöße gegen die DSGVO vorliegen.

d) Art. 82 DSGVO sieht eine Haftung für vermutetes Verschulden vor (BGH GRUR-RS 2025, 32135 Rn. 13; s. auch EuGH NJW 2024, 1561 Rn. 44). Der Senat vermag dem Vortrag der Beklagten keine Anhaltspunkte für eine Exkulpation nach Art. 82 Abs. 3 DSGVO zu entnehmen. Die Beklagte macht geltend, dass sie rechtmäßig gehandelt habe, nicht, dass sie für die – aus Sicht der Klagepartei anspruchsbegründenden – Umstände nicht verantwortlich sei.

e) Durch den Verstoß gegen den Grundsatz der Datenminimierung ist der Klägerin ein immaterieller Schaden im weiten, autonom unionsrechtlichen Sinne des Art. 82 Abs. 1 DSGVO (vgl. hierzu EuGH NJW 2025, 3137 Rn. 55; BGH GRUR-RS 2025, 32135 Rn. 25 m.w.N.) entstanden.

a) Nach aktueller Rechtsprechung des EuGH kann „der – selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten […] einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat“ (EuGH ZD 2024, 519 Rn. 33; zustimmend BGH GRUR-RS 2025, 32135 Rn. 27 ff.). Zusätzliche spürbare negative Folgen müssen nicht hinzutreten (EuGH r+s 2024, 1080 Rn. 156).

b) Für die Klägerin stellt die Tatsache, dass eine erhebliche Menge personenbezogener Daten, die ihrem Benutzerkonto zugeordnet sind oder die ihr – z.B. mittels eines Abgleiches von IP-Adressen – zugeordnet werden können, sich auf Servern der Beklagten in der ganzen Welt (s. Datenschutzrichtlinie in Anlage K1, S. 72) und bei bestimmten Dritten befinden, einen Kontrollverlust dar. Als Dritte, mit denen Informationen geteilt werden, bezeichnet die Datenschutzrichtlinie der Beklagten (Anlage K1, dort S. 48) Werbetreibende, Unternehmen, die Produkte für die Beklagten vermarkten oder die mit Kundenservice oder Umfragen beauftragt werden und Forscher.

c) Dahinstehen kann bei dieser Betrachtung, ob einzelne der streitgegenständlichen Daten bei lebensnaher Betrachtung auch von anderen Anbietern von Internetdiensten erhoben und gespeichert wurden. Denn dann läge jedenfalls eine Intensivierung des Kontrollverlusts vor, die ebenfalls einen immateriellen Schaden darstellt (BGH GRUR-RS 2025, 32135 Rn. 35).

d) Die – auf der Anhörung der Klägerin beruhende – Feststellung des Landgerichts, wonach ein über den bloßen Kontrollverlust hinausgehender Schaden nicht eingetreten ist, wird mit der Berufung nicht angegriffen. Anhaltspunkte für Zweifel an der Richtigkeit oder Vollständigkeit der Feststellung des Landgerichts sind nicht ersichtlich.

f) Der Senat folgt der Auffassung des Bundesgerichtshofes (NJW 2025, 298 Rn. 96), wonach „eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als 'vollständig und wirksam' anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 I DS-GVO dagegen nicht erfüllen (vgl. EuGH […]).

Folglich darf weder die Schwere des Verstoßes gegen die DatenschutzGrundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen (EuGH […]) und ob er vorsätzlich gehandelt hat […].“ Der Senat schätzt, dass im konkreten Fall angesichts der von der Klägerin geschilderten Nutzungsart und des Nutzungsumfangs ein Betrag von 750,- € erforderlich, aber auch ausreichend ist, um den eingetretenen Kontrollverlust auszugleichen, § 287 ZPO:

- Die Klägerin hat bereits in der Replik zumindest die Themenkreise (Seite 39, Blatt 177 LGA) dargelegt, über die sie sich im Internet informiert, auch wenn sie die entsprechenden konkreten Webseiten nicht offengelegt hat. Sie hat dies in ihrer Anhörung vor dem Landgericht noch weiter präzisiert (Protokoll vom 19.05.2025, Seite 2f., Blatt 473 f. LGA). Der Senat geht deshalb davon aus, dass eine ganz erhebliche Menge an Informationen verarbeitet wurde und darunter auch sensible Daten i.S.v. Art. 9 DSGVO waren.

- Dass die Klägerin in der mündlichen Verhandlung vor dem Landgericht geltend gemacht hat, unter psychischen Problemen und einer Angststörung zu leiden, macht es für den Senat nachvollziehbar, dass die Klägerin durch ihre Prädisposition in besonderem Maße unter dem Gefühl des Kontrollverlusts ihrer Daten leidet. Dies war zu berücksichtigen; einzuwerten war andererseits aber auch, dass die geschilderten psychischen Probleme nicht erst auftraten als die Klägerin die Praktiken der Beklagten entdeckte, sondern hierdurch „nur“ verstärkt wurden.

- Der Empfängerkreis der Daten ist vorliegend begrenzt: Er umfasst die Beklagte und solche Dritte, mit denen sie bestimmte Informationen teilt. Frei im Internet verfügbar sind die Daten danach nicht.

- Ausweislich der Datenschutzrichtlinie der Beklagten (Anlage B1, S. 67 ff.) behält die Beklagte Daten so lange, wie sie benötigt werden, um die Produkte der Beklagten bereitzustellen, rechtliche Verpflichtungen zu erfüllen oder bestimmte Interessen zu schützen. Dies wird am Beispiel einer Suche auf [einer Plattform] erläutert: Der Suchverlauf wird dabei gespeichert, bis der Nutzer ihn löscht, nur die Informationen zum verwendeten Gerät oder einem Standort werden nach sechs Monaten gelöscht. Es ist damit – auch in zeitlicher Hinsicht – von einem erheblichen Kontrollverlust auszugehen.

- Der Senat hat weiter berücksichtigt, welchen Zwecken die Verarbeitung der Daten dient, wobei er sich insoweit auf die Datenschutzrichtlinie der Beklagten stützt.

- Eine Überzeugung dahingehend, dass die Klägerin die Möglichkeit hätte, die Kontrolle über ihre Daten selbständig zurückzuerlangen, hat sich der Senat schon deshalb nicht bilden können, weil die Beklagte die bei ihr vorhandenen Daten nicht benannt hat. Der pauschale Hinweis auf die Möglichkeit, bestimmte Einstellungen vorzunehmen oder Aktivitäten zu trennen (vgl. Anlage B7) führt deshalb nicht weiter.

- Bei der Schätzung des Schadens hat der Senat den Grad des Verschuldens nicht berücksichtigt.

g) Ein darüber hinausgehender Zahlungsanspruch wegen Verletzung des allgemeinen Persönlichkeitsrechts der Klagepartei durch die Beklagte nach § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG steht der Klageseite nicht zu.

a) Zwar kann die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung begründen, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann (ständige Rechtsprechung des BGH, s. nur BGH NJW 2024, 2836 Rn. 70).

(1) Der Bundesgerichtshof hat den Entschädigungsanspruch im Spannungsfeld von allgemeinem Persönlichkeitsrecht und Pressefreiheit entwickelt, um zu verhindern, dass schwerwiegende Verletzungen der Würde und Ehre eines Menschen durch Presseveröffentlichungen ohne Sanktion bleiben könnten und dass hierdurch der Rechtsschutz der Persönlichkeit verkümmert (BGH NJW 2014, 2029 Rn. 40 m.w.N.). Entschädigungen wurden demnach in solchen Fällen zugesprochen, in denen eine Person durch Berichte in Printmedien (s. z.B. BGH 1995, 861 – Caroline von Monaco), im Fernsehen (s. z.B. OLG Hamm GRUR 2004, 970 – Stefan Raab) oder im Internet (BGH NJW 2014, 2029 – www.stern.de) öffentlich bloßgestellt wurden. Bei der Bemessung der Höhe der Entschädigung sollen die „Bedeutung und Tragweite des Eingriffs, also das Ausmaß der Verbreitung der Veröffentlichung, die Nachhaltigkeit und Fortdauer der Interessen- oder Rufschädigung des Verletzten, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens“ berücksichtigt werden (BGH a.a.O., Rn. 38).

(2) Der vorliegende Fall ist insofern anders gelagert, als mit der informationellen Selbstbestimmung ein anderer (Teil-) Gehalt des allgemeinen Persönlichkeitsrechts betroffen ist. Der Senat geht zwar davon aus, dass auch die Verletzung des Rechts auf informationelle Selbstbestimmung einen Entschädigungsanspruch im o.g. Sinne begründen kann (so wohl auch BGH NJW 2024, 2836 Rn. 71). Auch insoweit müsste aber ein schwerwiegender Eingriff in das allgemeine Persönlichkeitsrecht nachgewiesen sein und die Beeinträchtigung dürfte nicht in anderer Weise aufgefangen werden können.

(3) Für den Senat liegt auf der Hand, dass ein „schwerwiegender Eingriff“ im Sinne der Rechtsprechung des Bundesgerichtshofes von der Klägerin nicht vorgetragen wurde. Entscheidend ist dabei, dass die Klägerin nicht im Kernbereich der Persönlichkeit betroffen ist und dass sie betreffende Daten nicht in die allgemeine Öffentlichkeit gelangt sind. Der Umfang der Datenverarbeitung allein (insb. Menge/Art der Daten; Dauer/Zweck der Verarbeitung) und die Tatsache, dass von einem vorsätzlichen Verhalten auszugehen ist, begründen die notwendige besondere Schwere des Eingriffs nicht.

(4) Es kommt hinzu, dass Art. 82 DSGVO für Eingriffe in das Recht auf informationelle Selbstbestimmung gerade einen Schadensersatzanspruch bereithält. Durch die ihr zugesprochene Entschädigung in Höhe von 500,- € für den erlittenen Kontrollverlust sowie durch die Auskunft und die anschließende Löschung wird die von der Klägerin erlittene Beeinträchtigung befriedigend aufgefangen.

h) Angesichts der unverhältnismäßig hohen, weit übersetzten Zuvielforderung der Klägerin war der Betrag nicht zu verzinsen (BGH, Urteil vom 12.07.2006, X ZR 157/05 (KG), Rn 16).

Auskunftsanspruch

d) Der Klägerin steht der geltend gemachte Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO nicht mehr zu, soweit sie nach der Verknüpfung der erhobenen Daten mit ihrem Konto fragt. Diese Frage hat die Beklagte bereits mit „nein“ beantwortet und damit die Auskunft erteilt, was insoweit (in einem geringfügigen Teilaspekt des Auskunftsantrags) bereits zur Erfüllung geführt hat, § 362 Abs. 1 BGB.

Nicht erfüllt und gegeben ist der Auskunftsanspruch, soweit die Klägerin nach der Verarbeitung fragt (“welche personenbezogenen Daten die Beklagte seit dem 21.10.2021 verarbeitet“ hat), was den weit überwiegenden Teil des Auskunftsanspruchs ausmacht:

a) Unstreitig verarbeitet die Beklagte die Klägerin betreffende personenbezogene Daten im Sinn des Art. 4 Nr. 1 und 2 DSGVO, denn mit Hilfe der …-Tools erhebt die Beklagte Daten der Klägerin (u.a. IP-Adresse, Geräteinformationen, sog. „EventDaten“), erfasst und speichert diese Daten. Wie ausgeführt, gehören zu diesen personenbezogenen Informationen laut den …-Tools Nutzungsbedingungen (Anlage B 5 Seite 1) auch Namen, E-Mail-Adressen und Telefonnummern.

b) In der Folge gewährt Art. 15 Abs. 1 Halbsatz 2 der Klägerin ein Recht auf Auskunft über diese personenbezogenen Daten und darüber hinausgehende Informationen, die in Buchstaben a) – h) näher genannt werden.

Soweit das Landgericht Art. 15 Abs. 2 DSGVO dahingehend auslegen will, dass die Klagepartei lediglich das Recht habe, über die geeigneten Garantien gem. Art. 46 DSGVO unterrichtet zu werden, entspricht dies nicht der Systematik der Regelungen in Art. 15 DSGVO: Das Recht auf Auskunft über geeignete Garantien in Art. 15 Abs. 2 DSGVO steht neben dem Recht auf Auskunft nach Art. 15 Abs. 1 DSGVO. Etwas anderes ist der Regelung nicht zu entnehmen. Im Übrigen wäre es systemwidrig, dass derjenige Nutzer schlechter stehen soll, dessen Daten ins Ausland übermittelt wurden, und der in der Folge keinen Anspruch auf Auskunft nach Art. 15 Abs. 1 DSGVO über seine Daten geltend machen können soll als der Nutzer, dessen Daten nicht ins Ausland übermittelt wurden.

c) Die Beklagte ist auch im Sinn des Art. 4 Nr. 7 DSGVO verantwortlich, s. bereits oben unter Ziffer 1. b) dd).

e) Der Anspruch ist auch nicht etwa dadurch erfüllt worden (§ 362 Abs. 1 BGB), dass die Beklagte vorgerichtlich auf ihre sog. Selbsthilfetools verwiesen und der Klägerin eine entsprechende Anleitung zur Verfügung gestellt hat.

Zwar hat die Beklagte mit der Anlage B 8 Informationen für die Klägerin bereitgestellt, die diese befähigen sollen, sich ihrerseits Informationen über die bei der Beklagten über die Klägerin vorhandenen Daten zu erschließen. Wie die Beklagte aber selbst in ihrem Anschreiben an die Klagepartei (Anlage B 8), dort Seite 9, ausführt, ist schon nicht gewährleistet, dass die Nutzer die vollständige Information über alle von der Beklagten gespeicherten Daten erhalten, wenn sie das sog. Selbsthilfetool nutzen. So führt die Beklagte aus: „Einige Informationen, die du gelöscht hast, werden eventuell aus Sicherheitsgründen vorübergehend gespeichert. Sie erscheinen aber nicht, wenn du auf deine Informationen zugreifst oder sie herunterlädst“.

Im Übrigen erläutert die Beklagte in der Anlage B 8, dass auf dem dort vorgestellten Weg des Selbsthilfe-Tools nur solche Daten in Erfahrung gebracht werden können, die darauf beruhen, dass die Klagepartei über die Einstellung „Informationen über Aktivitäten von Werbepartnern“ in personalisierte Werbung eingewilligt hat. So führt die Beklagte auf Seite 4 der Anlage B 8 aus: „Sofern sich Ihre Mandantschaft entscheidet, zukünftig in die streitgegenständliche Datenverarbeitung einzuwilligen, stellt [die Beklagte] leicht verständliche Self-Service-Tools auf … zur Verfügung“. Auch wenn der Senat nicht verkennt, dass die Beklagte in der mündlichen Verhandlung vor dem Senat am 27.11.2025 nunmehr ausführte, dass „das Selbstbedienungstool nicht nur Angaben betreffend Daten zum Zwecke personalisierter Werbung“ enthalte (Protokoll Seite 2, Blatt 189 d.A.), ist er insgesamt nicht davon überzeugt, dass die Hinweise B 8 bereits die beantragte Auskunft vermitteln:

Unstreitig erhält die Beklagte ausweislich ihrer eigenen Darstellung über ihre …-Tools von den diese benutzenden Werbepartnern auch dann Informationen zur Klagepartei, wenn gerade keine Einwilligung in personalisierte Werbung durch die Klägerin auf der Plattform vorliegt. Diese Daten werden zwar nicht mit dem Plattformkonto der Klagepartei verknüpft, aber bei der Beklagten erfasst und gespeichert, folglich verarbeitet im Sinn der DSGVO, und könnten – über die IP-Adresse – der Klagepartei einfach zugeordnet werden. Und diese Daten können schon nach dem eigenen Bekunden der Beklagten nicht über das sog. Selbsthilfetool abgerufen werden.

Im Übrigen hat die Beklagte in der mündlichen Verhandlung vor dem Senat ausführen lassen, dass das Selbstbedienungstool nicht alle Daten ungefiltert enthalte, sondern lediglich eine Zusammenfassung (Protokoll vom 27.11.2025, Seite 2, Blatt 189 d.A.).

Das Auskunftsbegehren der Klagepartei ist damit nicht erfüllt. Etwas anderes konnte die insoweit beweisbelastete Beklagte jedenfalls nicht nachweisen.

Löschungs-/ Anonymisierungsanspruch

Die Klägerin kann aus Art. 17 DSGVO ferner eine Löschung der von ihr durch Bezugnahme auf den Auskunftsanspruch hinreichend bestimmt bezeichneten personenbezogenen Daten verlangen.

d) Einen Anspruch auf Anonymisierung kennt die DSGVO demgegenüber nicht, ein solcher ist auch kein ‚Minus‘ zur Löschung, nachdem er mit erheblichem Aufwand verbunden sein kann.

e) Auch ein vertraglicher Anspruch aus einer wirksamen Abrede über eine alternative Erfüllungsmodalität besteht nicht.

a) Zwar hat die Klägerin der Beklagte ein Erfüllungssurrogat angeboten (s. Formulierung der Anträge in der Berufungsbegründung, dort Nr. 2), i.e. nach Wahl der Beklagten Anonymisierung statt Löschung. Eine solche Abrede ist aufgrund der Vertragsfreiheit grundsätzlich zulässig. Dem steht auch nicht etwa entgegen, dass die DSGVO keinen Anspruch auf Anonymisierung gewährt. Vielmehr steht es dem Gläubiger grundsätzlich frei, sich mit einem Aliud als Erfüllungssurrogat zufriedenzugeben und das Erlöschen seines Anspruchs hinzunehmen. Es bleibt den Parteien eines Schuldverhältnisses also unbenommen, eine gesonderte Vereinbarung darüber zu treffen, dass die Schuld durch eine andere als die zunächst versprochene Schuld erfüllt werden soll (s. nur Schmidt, in: Münchener Kommentar zum BGB, 10. Auflage 2025, Rn 2 zu § 364).

b) Wie der Inhalt dieses Angebots der Klageseite auf eine wahlweise Erfüllung durch Anonymisierung materiellrechtlich genau einzuordnen ist, ob eine Wahlschuld im Sinne von § 262 BGB intendiert ist oder hingegen eine – nach h.M. (s. nur BeckOGK/Krafka, 1.10.2025, BGB § 262 Rn. 5 m.w.N.) wegen des kaum passenden gesetzlichen Wahlschuldregimes davon zu unterscheidende – Ersetzungsbefugnis, braucht vorliegend ebenso wenig entschieden zu werden wie die Frage, ob eine wirksam vereinbarte alternative Erfüllungsmodalität entgegen der wohl h.A. (s. nur MüKoZPO/Becker-Eberhard, 7. Aufl. 2025, ZPO § 260 Rn. 24 m.w.N.) in den Tenor einer Verurteilung zur Löschung aufzunehmen wäre, weil sie den Anspruch auf Löschung gleichsam qualitativ verkürzt und ein Kläger, der eine solche Wahlmöglichkeit materiellrechtlich wirksam vereinbart hat, dementsprechend „zu viel“ beantragt, wenn er dennoch uneingeschränkte Verurteilung zur Leistung beantragt.

Denn die Beklagte hat vorliegend das klägerische Angebot (= anstelle einer Löschung die Daten zu anonymisieren) unmissverständlich zurückgewiesen und damit abgelehnt.

Vorgerichtliche RA-Kosten

Ein Anspruch auf Ersatz vorgerichtlicher Anwaltskosten in der tenorierten Höhe beruht auf Art. 82 Abs. 1 DSGVO.

Der Senat hat dabei einen berechtigten Gegenstandswert von 1.750,- € zugrunde gelegt (Zahlungsanspruch 750,- €; Auskunft 500,- €, Löschung 500,- €).

Soweit die Beklagte geltend macht, sie „könne den Erhalt des vorgerichtlichen Schreibens“ nicht bestätigen (Klageerwiderung Rn 59 Blatt 94 sowie Rn 138, Blatt 126 LGA), bestreitet sie den Zugang der vorgerichtlichen Korrespondenz schon nicht substantiiert. Im Übrigen aber hat die Beklagte – wie ausgeführt – ihre Pflichten aus dem Vertragsverhältnis mit der Klageseite verletzt, sodass dieser ein Schadenersatzanspruch zusteht, der auch die Kosten der Mandatierung eines Rechtsanwalts umfasst. Dass dieser mandatiert wurde, ergibt sich unschwer aus der Anlage K 3.

Soweit das Landgericht ausgeführt hat, dass die Mandatierung eines Rechtsanwalts nicht zweckmäßig gewesen sei, weil die anwaltlichen Vertreter der Klägerin aus einer Vielzahl von Verfahren gewusst hätten, dass die Beklagte zur außergerichtlichen Beilegung der Angelegenheit nicht willens sei, vermag dies nicht zu überzeugen. Es ist schon völlig unklar, wieviele Verfahren im hier relevanten Zeitpunkt schon gerichtshängig geworden waren. Zum anderen erscheint es gerade angesichts der Verfahrensmassen unklar, ob die Beklagte sich nicht womöglich doch durch zahlreiche im Ergebnis identische erstinstanzliche Urteile oder ein obergerichtliches oder höchstrichterliches Urteil zukünftig vergleichsbereit zeigen würde oder nicht.

IV. Die Kostenentscheidung beruht auf §§ 92 Abs. 1 Satz 1, 97 ZPO.

Die Klägerin, die in der Berufungsinstanz insgesamt nur noch einen Zahlbetrag von 1.500,- € anstrebte, also 1.250,- € mehr als das Landgericht ihr zugesprochen hatte, unterliegt lediglich mit einem Wert von 750,- € am Gesamtstreitwert der Berufung von 2.500,- €, also zu 30%. Das geringfügige Unterliegen der Klägerin im Rahmen des Auskunftsanspruchs war vereinfachend außer Betracht zu lassen.

Die Kosten der ersten Instanz waren der Klägerin zu 70% aufzuerlegen. Ihr Zahlungsantrag belief sich vor dem Landgericht noch auf 5.000,- €, wovon ihr nur 750,- € zuzusprechen waren, sodass sie insgesamt mit einem Wert von 1.750,- € von 6.000,- € obsiegen konnte, also zu 30%.

V. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf §§ 708 Ziff. 10, 711 ZPO.

VI. Der Senat lässt die Revision unter dem Gesichtspunkt des Gewichts für die beteiligten Verkehrskreise (s. BGH NJW 2003, 3765) zu. Es ist allgemein bekannt, dass schon jetzt eine hohe fünfstellige Zahl vergleichbarer Verfahren geführt wird. Die wirtschaftliche Bedeutung für die Beklagte (und andere Anbieter vergleichbarer Dienstleistungen) liegt vor diesem Hintergrund auf der Hand. Auch Rechtsschutzversicherer und Gerichte wird man zu den beteiligten Verkehrskreisen zählen können.