OLG München, Endurteil v. 18.12.2025 – 14 U 881/25 e

Titel:

Ansprüche bei Verarbeitung personenbezogener Daten durch Plattformen und Drittanbieter-Tools nach DSGVO

Normenkette:

DSGVO Art. 4 Nr. 7, Art. 5 Abs. 1, Art. 15, Art. 25 Abs. 2, Art. 82

Leitsätze:

1. Die Verarbeitung personenbezogener Daten durch Drittanbieter-Tools ohne ausreichende Zweckbindung und Einwilligung verstößt gegen den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 DSGVO und begründet einen Schadensersatzanspruch nach Art. 82 DSGVO. (Rn. 82 – 100) (redaktioneller Leitsatz)

2. Für einen Kotrollverlust durch die Nutzung von Drittanbieter-Tools kann eine Entschädigung in Höhe von 250 € angemessen sein. (Rn. 114) (redaktioneller Leitsatz)

3. Ein Anspruch auf Löschung personenbezogener Daten gemäß Art. 17 DSGVO besteht, wenn die Daten ohne rechtmäßige Grundlage verarbeitet wurden; ein Anspruch auf Anonymisierung ist nicht gegeben. (Rn. 137 – 142) (redaktioneller Leitsatz)

Schlagworte:

Berufung, Werbung, Schadensersatzanspruch, Unterlassungsanspruch, Rechtsanwaltskosten, Revision, Feststellung, Unterlassungsantrag, Unterlassung, Daten, Ermessen, Nutzung, Verschulden, Auskunft, personenbezogene Daten, Verarbeitung personenbezogener Daten, Recht auf informationelle Selbstbestimmung

Vorinstanz:

LG Augsburg, Urteil vom 03.03.2025 – 103 O 4707/23

Weiterführende Hinweise:

Revision zugelassen

Fundstelle:

GRUR-RS 2025, 36464

Tenor

I. Auf die Berufungen des Klägers und der Beklagten wird das Urteil des Landgerichts Augsburg vom 03.03.2025, Az. 103 O 4707/23, teilweise abgeändert und – unter Zurückweisung der Berufungen im Übrigen – wie folgt neu gefasst:

1. Die Beklagte wird verurteilt, an die Klagepartei 250,- € nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 29.02.2024 zu zahlen.

2. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten die folgenden personenbezogene Daten der Klagepartei mit Hilfe der … … Tools zu erheben, an die Server der Beklagten weiterzugeben, die Daten dort zu speichern und anschließend zu verwenden, sofern ihr die Verarbeitung nicht gesetzlich erlaubt ist, insbesondere nach Art. 6 Abs. 1 S. 1 lit. a) – f) DSGVO oder – im Falle der Verarbeitung sensibler Daten im Sinne von Art. 9 Abs. 1 – nach Art. 9 Abs. 2 DSGVO:

a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d. h. * E-Mail der Klagepartei * Telefonnummer der Klagepartei * Vorname der Klagepartei * Nachname der Klagepartei * Geburtsdatum der Klagepartei * Geschlecht der Klagepartei * Ort der Klagepartei * Externe IDs anderer Werbetreibender (von der … [ ] „external_ID” genannt) * IP-Adresse des Clients * User-Agent des Clients (d. h. gesammelte Browserinformationen) * interne Klick-ID der … [ ] * interne Browser-ID der … [ ] * Abonnement-ID * Lead-ID anon_id sowie folgende personenbezogene Daten der Klagepartei

b) auf Webseiten * die URLs der Webseiten samt ihrer Unterseiten * der Zeitpunkt des Besuchs * der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist) * die von der Klagepartei auf der Webseite angeklickten Buttons sowie * weitere von der … „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren

c) in mobilen Dritt-Apps * der Name der App sowie * der Zeitpunkt des Besuchs * die von der Klagepartei in der App angeklickten Buttons sowie * die von der … „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren.

3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, bis zur Vornahme der Löschung jegliche über die aktuelle Speicherung hinausgehende Verarbeitung der seit dem 25.05.2018 erhobenen personenbezogenen Daten der Klagepartei im Sinne von Ziff. 2 a), b), c) zu unterlassen, sofern ihr die Verarbeitung nicht gesetzlich erlaubt ist, insbesondere nach Art. 6 Abs. 1 S. 1 lit. a) – f) DSGVO oder – im Falle der Verarbeitung sensibler Daten im Sinne von Art. 9 Abs. 1 – nach Art. 9 Abs. 2 DSGVO.

4. Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks ” …” unter dem Benutzernamen „…“ der Beklagten die Erhebung mit Hilfe der … … Tools, die Weitergabe an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung der in Ziff. 2 a), b), c) bezeichneten personenbezogenen Daten der Klagepartei nicht gestattet, sofern ihr die Verarbeitung nicht gesetzlich erlaubt ist, insbesondere nach Art. 6 Abs. 1 S. 1 lit. a) – f) DSGVO oder – im Falle der Verarbeitung sensibler Daten i.S.v. Art. 9 Abs. 1 – nach Art. 9 Abs. 2 DSGVO.

5. Die Beklagte wird verurteilt, sämtliche seit dem 25.05.2018 gespeicherten personenbezogenen Daten der Klagepartei im Sinne von Ziff. 2 a), b), c) spätestens einen Monat nach rechtskräftigem Abschluss des Verfahrens vollständig zu löschen und der Klagepartei die Löschung zu bestätigen.

6. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten i.H.v. 627,13 Euro freizustellen.

7. Im Übrigen wird die Klage abgewiesen.

II. Die Kosten des Berufungsverfahrens und des Verfahrens in erster Instanz werden gegeneinander aufgehoben.

III. Das Urteil ist für beide Parteien vorläufig vollstreckbar. Die Beklagte darf die Vollstreckung der Klägerin durch Sicherheitsleistung in Höhe von 8.000,- € abwenden, wenn nicht die Klägerin vor der Vollstreckung Sicherheit in dieser Höhe leistet. Die Klägerin darf die Vollstreckung der Beklagten durch Sicherheitsleistung in Höhe von 110% des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages leistet.

IV. Die Revision gegen dieses Urteil zum Bundesgerichtshof wird zugelassen.

Entscheidungsgründe

Die Parteien streiten über Ansprüche auf Schadensersatz, Unterlassung, Feststellung und Löschung und Freistellung von vorgerichtlichen Anwaltskosten aufgrund behaupteter Verletzungen der DSGVO.

Das Landgericht hat den in erster Instanz unstreitigen Sachverhalt bündig und zutreffend wie folgt zusammengefasst:

Die Klagepartei ist deutsche Nutzerin der Plattform … Sie nutzt das Netzwerk seit dem 01.01.2018 unter dem Benutzernamen „…“.

Betreiberin des Netzwerks ist die Beklagte, […].

Als Gegenleistung für die kostenfreie Nutzung des Netzwerks wird den Nutzern Werbung angezeigt, die auf den Interessen des jeweiligen Nutzers basiert. Hierfür nutzt und verarbeitet die Beklagte folgende Daten:

- Daten, die der Nutzer der Beklagten auf … zur Verfügung stellt (verpflichtend Benutzernamen, Email Adresse, Telefonnummer und Alter)

- Onsite-Daten, die als Ergebnis der Aktivitäten des Nutzers auf … gesammelt werden

- Die streitgegenständlichen Offsite-Daten ihrer Nutzer, die die Beklagte von Drittunternehmen erhält und welche Informationen über die Aktivität der Nutzer auf Websites und Apps der Drittunternehmen enthalten.

Für die Erhebung der Offsite-Daten wurden durch die Beklagte sog. „… … Tools“ entwickelt, die Unternehmen wie Webseitenbetreibern und App-Entwicklern Werbeeinnahmen verschaffen können und aus diesem Grund von diesen auf ihren Webseiten und in ihren Apps eingebunden werden. … … Tools laufen auf zahlreichen reichweitenstarken Webseiten und Apps im Hintergrund.

Vorrangiger Zweck dieser … Tools ist es, Drittunternehmen bei der Integration von … Produkten zu unterstützen sowie die Effektivität ihrer bei … geschalteten Werbeanzeigen zu messen und auf … Produkten Personen zu erreichen, die ihre Produkte oder Dienstleistungen nutzen oder an diesen interessiert sein könnten. Bei den Daten, die die Drittunternehmen vom Nutzer unbemerkt erheben und an die Beklagte übermitteln handelt es sich um „event data“ (Daten zur Aktivität auf der Webseite oder der App des Drittunternehmens) sowie weitere Daten.

Besucht ein Nutzer eine mit einem solchen Tool präparierte Webseite oder App, erhebt und erfasst das … Tool die o. g. Informationen zum Gerät des Nutzers und die Tätigkeiten. Nachdem das Drittunternehmen die personenbezogenen Daten eines Nutzers erhoben und mithilfe der … … Tools an … übermittelt hat, hängt die Frage, ob … diese für Werbezwecke nutzt, maßgeblich von den von Nutzern über verschiedene Einstellungen getroffenen Entscheidungen ab.

Bei dem Netzwerk … gibt es mehrschichtige Datenschutzinformationen. Zunächst setzt die Einrichtung des Nutzerkontos bei dem Netzwerk voraus, dass der Nutzer den Nutzungsbedingungen zustimmt. Bei der Registrierung wird zudem auf die Datenschutzrichtlinie sowie die Cookie-Richtlinie hingewiesen. Aus der Datenschutzrichtlinie (Anlage K1) ergibt sich insbesondere, dass die vom Nutzer bereitgestellten Informationen und Geräteinformationen für alle benutzten …-Produkte, einschließlich der über die … … Tools übersandten Informationen der Drittunternehmen erfasst und miteinander verbunden werden. Die Betreiber der Drittwebsites sind grundsätzlich vertraglich gegenüber der Beklagten dazu verpflichtet, vor Erfassung der Daten und deren Weiterleitung an die Beklagte, vom jeweiligen Nutzer eine Einwilligung zu erholen. Beim Öffnen einer Drittwebsite erscheint eine zusätzliche Schaltfläche, auf welcher der Nutzer eine Einstellung betreffend die weitere Nutzung der Drittwebsite treffen kann. Beispielsweise hat er die Wahl zwischen einer weiteren kostenfreien Nutzung mit Werbung und Tracking oder alternativ gegen Entgelt ohne Weitergabe seiner Daten an Werbetreibende (s. Screenshot Replik, Bl. 179 d. A.). Ob die Einwilligung seitens des Betreibers des Drittwebsite tatsächlich eingeholt wurde, kontrolliert die Beklagte nicht. Auf der Seite der Beklagten wiederum hat der Nutzer die Möglichkeit folgende Einstellungen zu treffen:

- Deaktivierung/Verwendung optionaler Cookies

- Informationen von Webepartnern zu Aktivitäten verwenden/nicht verwenden, um Werbung anzuzeigen

Auch wenn der Nutzer auf der Seite von … die Verwendung optionaler Cookies deaktiviert hat und nicht zugestimmt hat, dass Informationen von Werbepartnern zu seinen Aktivitäten durch die Beklagte verwendet werden, wird bei Aufruf einer Drittwebsite der … Pixel sofort geladen.

Der … Pixel liest die User-ID des Nutzers aus dem Third Party Cookie der Beklagten aus und übermittelt die User-ID zusammen mit den für das Digital Fingerprinting nutzbaren, als User Agent bezeichneten Daten sowie der IP-Adresse direkt an die Beklagte. Dies geschieht, noch bevor der Besucher eine Auswahl betreffend die weitere Nutzung der Drittwebsite getroffen hat. Die Beklagte wurde durch die Klägerin mit Replik vom 01.10.2024 zur Auskunft aufgefordert, welche personenbezogenen Daten der Klägerin mit Hilfe der … … Tools verarbeitet hat. Eine Auskunft erfolgte nicht.

Gestritten haben die Parteien in erster Instanz unter anderem über die – bewusst zum Schutz der Privat- und Intimsphäre der Klägerin nur in Ansätzen konkretisierte – Behauptung der Klägerin, sie nutze eine Vielzahl von Websites und Apps, auf denen die … … Tools vorzufinden seien und ihre Annahme, dieser Vortrag genüge, um einen Datenschutzverstoß der Beklagten zu belegen. Die Klägerin berichtete in ihrer Anhörung vor dem Landgericht, sie nutze z.B. Amazon, PayPal und Google.

Die Klägerin behauptete in erster Instanz außerdem, sie habe die Kontrolle über die Daten und Spuren, die sie bei der täglichen Nutzung des Internets hinterlasse und die tiefe Einblicke in ihre Persönlichkeit ermöglichten, vollständig verloren. Die Klägerin ließ schriftsätzlich vortragen, sie habe Angst davor, dass ihre Daten missbräuchlich verwendet werden könnten, und empfinde hierdurch einen schweren Eingriff in ihre Privatsphäre. Im Rahmen ihrer Anhörung durch das Landgericht beschrieb die Klägerin, dass sie sich durch nicht streitgegenständliche Aspekte ihres Internetkonsums (Werbung bei …; teils sexistische Anfragen bei …#) belästigt fühle, dass sie aber „aufgrund der Datenerhebung und Verarbeitung keinerlei körperliche Beschwerden erlitten“ habe (Sitzungsprotokoll vom 25.11.2024, Bl. 454 f. d.A.).

Das Landgericht urteilte:

Die Beklagte wird verurteilt, zu unterlassen, die folgenden auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten erhobenen personenbezogene Daten der Klägerin zu speichern und zu verwenden.

a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d. h.

E-Mail der Klagepartei Telefonnummer der Klagepartei Vorname der Klagepartei Nachname der Klagepartei Geburtsdatum der Klagepartei Geschlecht der Klagepartei Ort der Klagepartei Externe IDs anderer Werbetreibender (von der … [ ] „external_ID” genannt)

IP-Adresse des Clients User-Agent des Clients (d. h. gesammelte Browserinformationen) interne Klick-ID der … [ ] interne Browser-ID der … [ ] Abonnement-ID Lead-ID anon_id sowie folgende personenbezogene Daten der Klagepartei b) auf Webseiten die URLs der Webseiten samt ihrer Unterseiten der Zeitpunkt des Besuchs der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist),

die von der Klagepartei auf der Webseite angeklickten Buttons weitere von der … „Events“ genannt Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren c) in mobilen Dritt -Apps der Name der App sowie der Zeitpunkt des Besuchs die von der Klagepartei in der App angeklickten Buttons sowie die von der … „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren.

Für jeden Fall der Zuwiderhandlung wird der Beklagten die Verhängung eines Ordnungsgeldes bis zu 250.000 Euro oder einer Ordnungshaft bis zu 6 Monaten angedroht.

2. Die Beklagte wird verurteilt, die über die aktuelle Speicherung hinausgehende Verarbeitung i. S. d. Art. 4 Nr. 2 DSGVO sämtlicher unter Ziffer 1 a), b) und c) aufgeführten, seit dem 25.05.2018 bereits von der Beklagten verarbeiteten personenbezogenen Daten, bis zur Erfüllung des Löschungsanspruchs nach rechtskräftigem Abschluss des Verfahrens zu unterlassen.

Für jeden Fall der Zuwiderhandlung wird der Beklagten die Verhängung eines Ordnungsgeldes bis zu 250.000 Euro oder einer Ordnungshaft bis zu 6 Monaten angedroht.

3. Die Beklagte wird verpflichtet, sämtliche gem. Ziffer 1 a), b) und c) seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten der Klagepartei einen Monat nach rechtskräftigem Abschluss des Verfahrens vollständig zu löschen und die Löschung der Klägerin gegenüber zu bestätigen.

4. Die Beklagte wird verurteilt, an die Klägerin 250,00 €, nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 29.02.2024, zu zahlen.

Die Klage wurde im Übrigen abgewiesen. Dies betrifft die folgenden weitergehenden Anträge der Klägerin (s. genauer Endurteil, S. 8 ff.) im Hinblick auf die genannten personenbezogenen Daten:

−	Die Feststellung, „dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks ” …” unter dem Benutzernamen „…“ der Beklagten die Erhebung mit Hilfe der … … Tools, die Weitergabe an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung […] nicht gestattet“.
−	Die Unterlassung der Erhebung der Daten mittels der … … Tools und die Weitergabe an die Server der Beklagten.
−	In Bezug auf die Daten nach b)/c) eine vollständige Anonymisierung oder wahlweise Löschung.
−	Eine Entschädigung von mindestens 5.000,- €
−	Die Freistellung von vorgerichtlichen Anwaltskosten in Höhe von 800,39 €.

Gegen dieses Urteil haben beide Parteien Berufung eingelegt.

Die Klagepartei beantragt, das erstinstanzliche Urteil des Landgerichts Augsburg vom 03.03.2025 abzuändern und neu zu fassen wie folgt:

1. Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks ” …” unter dem Benutzernamen „…“ der Beklagten die Erhebung mit Hilfe der … … Tools, die Weitergabe an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung von folgenden personenbezogenen Daten nicht gestattet:

2. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klagepartei gem. dem Antrag zu 1. mit Hilfe der … … Tools zu erheben, an die Server der Beklagten weiterzugeben, die Daten dort zu speichern und anschließend zu verwenden.

3. Die Beklagte wird verurteilt, die über die aktuelle Speicherung hinausgehende Verarbeitung i. S. d. Art. 4 Nr. 2 DSGVO sämtlicher unter dem Antrag zu 1 a., b. und c. aufgeführten, seit dem 25.05.2018 bereits von der Beklagten verarbeiteten personenbezogenen Daten bei Meidung eines für jeden Fall der Zuwiderhandlung vom 2 Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, bis zur Erfüllung des Löschungsanspruchs nach rechtskräftigem Abschluss des Verfahrens zu unterlassen, insbesondere diese nicht an Dritte zu übermitteln.

4. Die Beklagte wird verpflichtet, sämtliche gem. dem Antrag zu 1 a. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten der Klagepartei einen Monat nach rechtskräftigem Abschluss des Verfahrens vollständig zu löschen und der Klagepartei die Löschung zu bestätigen sowie sämtliche gem. dem Antrag zu 1 b. sowie c. seit dem 25.05.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen.

5. Die Beklagte wird verurteilt, an die Klagepartei eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 5.000,00 Euro beträgt, nebst Zinsen i. H. v. fünf Prozentpunkten über dem Basiszinssatz seit dem 26.12.2023, zu zahlen.

6. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten i.H.v. 800,39 Euro freizustellen.“

Die Klägerin macht mit ihrer Berufung geltend:

Eine Feststellung dahingehend, welche Rechte der Beklagten aus dem Nutzungsvertrag zustehen, könne im Falle des Eintritts weiterer Schäden eine erneute gerichtliche Auseinandersetzung vermeiden. Hierin liege das Feststellungsinteresse der Klägerin. Unabhängig davon sei der Feststellungsantrag jedenfalls als Zwischenfeststellung nach § 256 Abs. 2 ZPO zulässig.

Ein Unterlassungsanspruch bestehe auch im Hinblick auf die Erhebung und Übermittlung der Daten, weil sich der durch die DSGVO vermittelte Datenschutz auf diese Vorgänge erstrecke.

Die beantragte Anonymisierung der Daten sei als anteilige Löschung i.S.v. Art. 17 DSGVO zu begreifen, das Recht auf Anonymisierung folge außerdem aus Art. 18 Abs. 1 lit. b), Abs. 2 DSGVO und aus § 280 Abs. 1, 241 Abs. 2, 242 BGB.

Der immaterielle Schaden der Klägerin sei deutlich zu niedrig beziffert worden: Die Klägerin werde ganz erheblich in ihrem Recht auf informationelle Selbstbestimmung beeinträchtigt. Ihr Kontrollverlust bestehe darin, dass sie nicht mehr wisse und auch nicht wissen könne, was die Beklagte über sie weiß.

Der Geldentschädigungsanspruch folge zudem aus § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG, er setze keinen über den Grundrechtseingriff hinausgehenden Schaden voraus. Die Beklagte verletze das Recht der Klägerin, nicht überwacht zu werden, der Persönlichkeitsschutz und die Genugtuungsfunktion rechtfertigten eine viel höhere Entschädigung.

Der Anspruch auf Freistellung von vorgerichtlichen Rechtsanwaltskosten bestehe schon deshalb, weil im Zeitpunkt der vorgerichtlichen Tätigkeit noch nicht absehbar gewesen sei, wie die Beklagte reagieren werde.

Die Beklagte beantragt, die Berufung der Klägerin zurückzuweisen und das Urteil des Landgerichts Augsburg vom 3. März 2025 (das „angefochtene Urteil“), Az. 103 O 4707/23, … zugestellt am 7. März 2025, abzuändern, soweit der Klage stattgegeben wurde, und die Klage insgesamt abzuweisen.

Die Beklagte beanstandet:

Das Landgericht habe rechtsfehlerhaft festgestellt, dass [die Beklagte] „Digital Fingerprinting“ durchführe.

Die Klägerin habe nicht dargelegt und bewiesen, (1) welche Webseiten oder Apps sie besucht und/oder genutzt habe, (2) dass diese Webseiten und Apps … … Tools verwenden und (3) welche personenbezogenen Daten auf diesem Wege an die Beklagte übermittelt worden seien. Die Beklagte treffe in diesem Zusammenhang keine sekundäre Darlegungslast.

Entgegen der Annahme des Landgerichts fehle es … nicht an einer Rechtsgrundlage gemäß Art. 6 DSGVO, um die von Drittunternehmen über die streitgegenständlichen … Tools an … übermittelten Daten zu speichern und zu verwenden Das Landgericht habe schon nicht davon ausgehen dürfen, dass im konkreten Einzelfall überhaupt Daten von Drittunternehmen übermittelt wurden, die [die Beklagte] hätte speichern können.

Die Klägerin habe weder einen Verarbeitungszweck konkretisiert noch erläutert, warum diese (nicht konkretisierten) Verarbeitungszwecke angeblich rechtswidrig sein sollen (vgl. hierzu vertiefend Berufungserwiderung, Rz. 11 ff. = Bl. 159 ff. d. BerA).

Die Beklagte stütze sich für die Verarbeitung der von Drittunternehmen über die streitgegenständlichen … Tools erhaltenen Nutzerdaten zu Sicherheits- und Integritätszwecken als Verantwortlicher auf die Rechtsgrundlage der vertraglichen Notwendigkeit („Erfüllung eines Vertrages“), der berechtigten Interessen und des öffentlichen Interesses.

Der Unterlassungsantrag sei nicht hinreichend bestimmt, weil er auch eine Speicherung und Verwendung von Daten untersage, deren Verarbeitung nach Art. 6 DSGVO erlaubt sei, z.B. um die Sicherheit der Server zu schützen. Er sei im Übrigen faktisch auf ein Tun gerichtet. … könne im Übrigen erst nach Zuordnung der erhobenen Daten zu einem Benutzerkonto beurteilen, ob in Bezug auf diese Daten weitere Maßnahmen vorgenommen werden dürfen oder nicht, dies abhängig von den Einstellungen des Nutzers. Art. 17 DSGVO enthalte im Übrigen keine Rechtsgrundlage für einen Unterlassungsanspruch. Sehe der Senat das anders, müsse er das Verfahren aussetzen. Es fehle unter anderem deshalb an einer Wiederholungsgefahr, weil die Klägerin es selbst in der Hand habe, durch entsprechende Einstellungen bei … bzw. den (Dritt-) Webseiten und Apps die Datenerhebung über die streitgegenständlichen … Tools zu verhindern.

Der Löschung- und Anonymisierungsantrag sei nicht hinreichend bestimmt und er widerspreche dem Unterlassungsantrag bezüglich der bereits erhobenen Daten. Zudem seien die Voraussetzungen des § 259 ZPO nicht gegeben.

Bezogen auf die zugesprochene Geldentschädigung habe das Landgericht übersehen, dass die bloß hypothetische Befürchtung des Missbrauchs von Daten keinen Kontrollverlust im Sinne der Rechtsprechung des Bundesgerichtshofes darstelle. Selbst wenn man das anders sehen wolle, habe das Landgericht die zugesprochene Höhe fehlerhaft bemessen.

In ihrer Berufungserwiderung vom 06.11.2025 vertieft die Beklagte zuvörderst erstinstanzlichen Vortrag und solchen aus der eigenen Berufungsbegründung. Sie erläutert, dass keine Daten von (Dritt-) Webseiten und Apps erhoben würden, wenn der Drittanbieter seine Homepage entsprechend programmiere. Die Beklagte stelle Drittunternehmen entsprechende Informationen zur Verfügung (s. z.B. Anlage B18).

Für die begehrte Feststellung sei kein Interesse der Klägerin erkennbar: Die Klägerin verfolge ihr Rechtsschutzziel parallel auf dem einfacheren Weg der Leistungsklage, zudem begehre sie die Klärung einer abstrakten Rechtsfrage. Es komme hinzu, dass der Antrag nicht hinreichend bestimmt sei. Auch eine Zwischenfeststellung scheide aus, weil keine Bedeutung für Folgeprozesse bestehe.

Der Unterlassungsantrag sei insofern zu weit gefasst, als er der Beklagten auch die Verarbeitung zu offenkundig rechtmäßigen Zwecken untersagen würde (z.B. Sicherheit der Server). Der Antrag sei im Übrigen unbestimmt und er stelle eine verdeckte Klage auf Vornahme einer Handlung dar. Infolge der aktuellen „Quirin-Privatbank-Entscheidung“ des EuGH stehe im Übrigen fest, dass Art. 17 DSGVO keinen Unterlassungsanspruch vorsehe. Diesen sehe auch das nationale Recht nicht vor (Rz 101 ff. = Bl. 192 ff. d. BerA).

Der Löschungs- und Anonymisierungsantrag sei unzulässig, da er dem parallel gestellten Unterlassungsantrag widerspreche und nicht hinreichend bestimmt sei. Eine nicht rechtzeitige Leistung sei nicht zu besorgen, § 259 ZPO. Der Antrag sei auch unbegründet, die DSGVO sehe weder in Art. 17 noch in Art. 18 ein Recht auf Anonymisierung vor. Die Klägerin könne Informationen über Aktivitäten zudem von ihrem …-Konto trennen oder das gesamte Konto löschen.

Eine Entschädigung stehe der Klägerin nicht zu, erst recht nicht in der beantragten Höhe: Aus Art. 82 DSGVO folge der Anspruch nicht, die Klägerin könne sich auch nicht auf konkurrierende Ansprüche nach nationalem Recht stützen, deren Voraussetzungen lägen aber ohnehin nicht vor: Insbesondere habe die Klägerin eine schwerwiegende, die Erheblichkeitsgrenze übersteigende Verletzung des Persönlichkeitsrechts nicht dargelegt. Für alle in Betracht kommenden Ansprüche gelte, dass die Klägerin – mittels der Datenschutzeinstellungen der Beklagten – zu jeder Zeit die Kontrolle über ihre Daten habe (Rz. 141 = Bl. 205 d. BerA), weshalb von einem Kontrollverlust keine Rede sein könne.

Die Klägerin beantragt, die Berufung der Beklagten zurückzuweisen.

In ihrer Berufungserwiderung vom 28.10.2025 vertieft die Klägerin ihren erstinstanzlichen Vortrag, wonach Gegenstand der Klage die gesamte Datenverarbeitung seitens der Beklagten sei und nicht lediglich diejenige zum Zweck der Bereitstellung personalisierter Werbung. Die Klägerin stütze sich auf einen Verstoß der Beklagten gegen die Pflicht zur datenschutzkonformen Gestaltung der technischen Systeme, Art. 25, Art. 5 Abs. 1 DSGVO. Zu möglichen Verarbeitungszwecken müsse nicht etwa die Klägerin vortragen, sondern die Beklagte.

Der Senat verweist ergänzend auf die Schriftsätze der Parteien samt Anlagen. Der Senat hat die Sach- und Rechtslage mit den Parteivertretern in der mündlichen Berufungsverhandlung vom 27.11.2025 eingehend erörtert.

Die Klagepartei hat klargestellt, dass Ziff. 4 ihrer Anträge so zu verstehen sei, dass die Löschung spätestens einen Monat nach Rechtskraft zu erfolgen habe.

Die Beklagtenseite hat klargestellt, dass sie sich auf eine Einwilligung nur stütze, soweit es darum gehe, die erhobenen Daten zu nutzen, um personalisierte Werbung anzubieten.

Nach Schluss der mündlichen Verhandlung, in der keine Schriftsatzfristen gewährt wurden, gingen noch Schriftsätze beider Seiten bei Gericht ein.

Die Berufungen sind zulässig und teilweise begründet. Die Klage ist zulässig und teilweise begründet.

Die Klage erweist sich als zulässig.

Die internationale Zuständigkeit, die auch in der Berufung von Amts wegen zu prüfen ist (vgl. für die Revision BGHZ 153, 82 (84 ff.) = NJW 2003, 426), folgt aus Artt. 17 I lit. c, 18 I Alt. 2 Brüssel Ia-VO.

II.

Soweit die Klägerin die Feststellung begehrt, wonach der zwischen den Parteien bestehende „Nutzungsvertrag“ es der Beklagten verwehrt, bestimmte – hinreichend genau bezeichnete – personenbezogene Daten von Dritt-Webseiten und Dritt-Apps zu erheben, weiterzugeben, zu speichern und zu verwenden, ergibt sich die Zulässigkeit der Klage aus § 256 Abs. 2 ZPO.

1. Die begehrte Feststellung richtet sich auf das Nichtbestehen eines

Rechtsverhältnisses. Ein Rechtsverhältnis ist eine aus dem vorgetragenen Sachverhalt abgeleitete rechtliche Beziehung von Personen untereinander oder zu einem Gegenstand, die ein subjektives Recht enthält oder aus der ein solches Recht entspringen kann (Seiler, in: Thomas/Putzo § 256 Rn. 5 unter Hinweis auf BGH NJW-RR 2015, 398 Rn. 17). Nach BGH NJW 1984, 1556 fallen hierunter „auch einzelne Folgen solcher Rechtsbeziehungen, z.B. einzelne Ansprüche (…)“. Vorliegend verbindet die Parteien unstreitig ein Vertrag zur Nutzung von …, nach dem Verständnis des Senats begehrt die Klägerin die Feststellung, dass der Beklagten ein von ihr aus diesem Vertrag hergeleitetes und in Anspruch genommenes Recht nicht zusteht.

2. Dahinstehen kann, ob die Klägerin mit Blick auf die von ihr parallel erhobenen Unterlassungs- und Schadensersatzansprüche ein Interesse an der begehrten Feststellung hat, weil ein solches für die Zwischenfeststellung nach § 256 Abs. 2 ZPO nicht notwendig ist.

3. Bei der Zwischenfeststellungsklage genügt grundsätzlich schon die bloße Möglichkeit, dass das inzidenter ohnehin zu klärende Rechtsverhältnis zwischen den Parteien noch über den gegenwärtigen Streitgegenstand hinaus Bedeutung hat oder gewinnen kann (st. Rspr. seit RGZ 170, 328 [330]). Das ist vorliegend schon deshalb der Fall, weil sich – vom Vortrag der Parteien ausgehend – nicht ausschließen lässt, dass die von Drittanbietern stammenden und der begehrten Feststellung unterliegenden Daten der Klägerin in die Hände Nichtberechtigter geraten (z.B. durch die in der Datenschutzerklärung der Beklagte angesprochenen „Angriffsversuche auf […] Server“) und dass hieraus neuerlich Ansprüche der Klägerin entstehen.

III.

Die Unterlassungsanträge sind hinreichend bestimmt.

1. Nach § 253 Abs. 2 Nr. 2 ZPO darf ein Verbotsantrag nicht derart undeutlich gefasst sein, dass Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und letztlich die Entscheidung darüber, was dem Beklagten verboten ist, dem Vollstreckungsgericht überlassen bleibt (stRspr, s. z.B. BGH NJW-RR 2016, 363 Rn. 10). Vorliegend bestehen derartige Bedenken nicht, weil die Klägerin in ihren Anträgen die Daten, von deren Verarbeitung die Beklagte absehen soll, exakt bezeichnet (E-Mail der Klagepartei; Telefonnummer der Klagepartei; […]) und auch die beanstandeten Verarbeitungsformen präzise benennt. Dass sich die Klägerin dabei an den – durch Rechtsprechung und Literatur deutlich konturierten – Begriffen des Art. 4 Nr. 2 DSGVO orientiert, sorgt für mehr und nicht für weniger Klarheit. Die Klägerin begehrt nach alledem gerade kein Verbot im Umfang des Gesetzeswortlauts, sondern orientiert sich mit ihrem Unterlassungsbegehren an der konkreten Verletzungshandlung (vgl. hierzu BGH NJW 2020, 3386 Rn. 39.).

2. Dass die Beklagte – z.B. durch eine entsprechende Gestaltung der … … Tools – (aktiv) handeln muss, um den Unterlassungsanspruch erfüllen zu können, hindert die Unterlassungsanordnung nicht (st. Rspr., z.B. BGH GRUR 2013, 1030 Rn. 21; BGH GRUR 2018, 1044 Rn. 57). Unter die von der Beklagten vorzunehmenden Handlungen kann auch die Einwirkung auf Dritte fallen (vgl. BGH NJW 2017, 2119 Rn. 35).

IV.

1. Der auf Löschung bestimmter Daten spätestens einen Monat nach Rechtskraft gerichtete Antrag (s. Ziff. 4 Hs. 1 der Berufungsanträge, Bl. 116 d. BerA) erweist sich bei entsprechendem Verständnis als zulässig.

a. Ein Fall der §§ 257 ff. ZPO liegt dabei nicht vor, weil der Anspruch auf Löschung bereits fällig ist (§ 271 Abs. 1 ZPO). Dies zumindest, wenn man – im Sinne der Klage – unterstellt, dass die streitgegenständliche Datenverarbeitung unrechtmäßig war (Art. 17 Abs. 1 lit. d) DSGVO). Ein vorgeschaltetes Begehren nach Art. 18 Abs. 1 lit. b) DSGVO, welches die Fälligkeit „unterbrechen“ würde, hat die Klägerin im vorliegenden Fall nicht geltend gemacht.

b. Dass die Klägerin entgegen § 260 ZPO („dieselbe Prozessart“) eine einstweilige Regelung dahingehend anstreben könnte, es der Beklagte bis einen Monat nach Rechtskraft zu untersagen, den bestehenden Löschungsanspruch zu erfüllen, lag von vornherein fern.

c. Die Klägerin hat in der mündlichen Berufungsverhandlung klargestellt, dass sie eine Löschung spätestens einen Monat nach Rechtskraft begehrt. So verstanden, begegnet der Klageantrag keinen Zulässigkeitsbedenken.

2. Soweit die Klägerin von der Beklagten verlangt, bestimmte Daten „vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen“, erweist sich der Klageantrag (Ziff. 4 Hs. 2, vgl. Bl. 116 d. BerA) als hinreichend bestimmt i.S.v. § 253 Abs. 2 Nr. 2 a.E. ZPO. Denn es soll anders als bei einem alternativen Klageantrag nicht dem Gericht, sondern der Beklagten überlassen bleiben, ob sie löscht oder stattdessen anonymisiert, sodass sich für die Beklagte keine unzumutbare Unbestimmtheit ergäbe (s. zu der Unterscheidung nur MüKoZPO/Becker-Eberhard, 7. Aufl. 2025, ZPO § 260 Rn. 23; i.E. auch OLG Düsseldorf, Urteil vom 21. September 2023 – VI-5 U 4/22 (Kart) –, Rn. 68, juris). Dass es prozessual möglich sein muss, der Beklagten ein Wahlrecht einzuräumen, beweist schon § 264 Abs. 1 BGB.

Die Klage ist teilweise begründet.

Die Anwendung deutschen Rechts folgt vorliegend aus der Rechtswahl der Parteien (Art. 3 Abs. 1, 6 Abs. 2 Rom I-VO – vgl. die Nutzungsvereinbarung in Anlage B2), sie ergäbe sich im Übrigen aus Art. 6 I lit. b Rom I-VO, weil ein Verbrauchervertrag vorliegt.

Dem Kläger steht ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von 250,- € zu (dazu sogleich I.), daneben Ansprüche auf Unterlassung einer Verarbeitung bestimmter personenbezogener Daten (dazu II.), ein Anspruch auf Feststellung eines Verstoßes gegen den Nutzungsvertrag (dazu III.) und auf Löschung (dazu IV.) sowie ein Anspruch auf Freistellung von vorgerichtlichen Rechtsanwaltskosten (dazu V.).

Die Datenschutz-Grundverordnung (im Folgenden DSGVO) ist vorliegend sachlich (Art. 2), räumlich (Art. 3) und auch zeitlich (vgl. Art. 99 Abs. 2) anwendbar.

Der Senat geht davon aus, dass die Klägerin einen einheitlichen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO (vgl. hierzu BGH NJW 2025, 298 Rn. 16) geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der sog. … … Tools) wurzelt (s. sehr deutlich Berufungserwiderung vom 28.10.2025, S. 5 = Bl. 140 d.BerA).

Mit den Worten des BGH (a.a.O., Rn. 21) erfordert ein derartiger Anspruch nach der Rechtsprechung des EuGH „einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind […] Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 I DSGVO den Ersatz eines (immateriellen) Schadens verlangt […]. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 I DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 III DSGVO dem Verantwortlichen […].“

Ein solcher Anspruch besteht vorliegend in Höhe von 250,- €.

1. Für den Senat steht fest, dass die Beklagte mithilfe der … … Tools eine potenziell unbegrenzte Menge an Daten der Klägerin verarbeitet, indem sie die Aktivitäten der Klägerin auf Dritt-Webseiten und Dritt-Apps verfolgt (so auch EuGH GRUR 2023, 1131 Rn. 118 betr. …#).

1.1. Technische Grundlage und Datenschutzeinstellungen

1.1.1. Über die sog. … … Tools („u.a. …-Pixel, C# … (vormals bekannt als …#), das …- … für App Events, Offline-C# … und die App …“, s. Anlage B5) erhält die Beklagte …-Tool-Daten, d.h. Kontaktinformationen und/oder Event-Daten (z.B. Besuche auf einer Webseite, Installation einer App, Kauf eines Produkts) von ihren Vertragspartnern, den (hier) sog. Drittanbietern.

1.1.2. Bestimmte technische Standarddaten (s. hierzu z.B. Duplik, Rz. 31 = Bl. 300 d.A.) gelangen automatisch an die Beklagte, wenn die Klägerin eine Webseite aufruft, deren Anbieter die … … Tools in seine Webseite eingebettet hat. Nach einer vereinfachten Darstellung des EuGH (BeckRS 2019, 15831 – Fashion ID; näher Duplik, Rz. 23 ff. = Bl. 296 ff. d.A.) ist es „eine Eigenart des Internets, dass der Browser des Internetbesuchers Inhalte aus verschiedenen Quellen darstellen kann. […] Hierzu übermittelt der Browser dem Server des Drittanbieters die IPAdresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. […]“

1.1.3. Weitere (sog. Event-) Daten werden dann automatisch an die Beklagte übertragen, wenn der Drittanbieter bei der Einbettung der … … Tools in seine Webseite oder App eine entsprechende Einstellung vorgenommen hat (Duplik, Rz. 35 f. = Bl. 301 f. d.A.). Die … Tools Nutzungsbedingungen verlangen in diesem Fall von dem Drittanbieter, die erforderlichen Angaben und Datenschutzbelehrungen zu erteilen und die notwendige Einwilligung einzuholen (Anlage B5). Die Beklagte überprüft dies nicht.

1.1.4. Wie die Beklagte mit den bei ihr eingegangenen Informationen weiter verfährt, hängt von den Datenschutz-Einstellungen des jeweiligen Nutzers ab.

1.1.4.1. Erlaubt der Nutzer der Beklagten nicht, Cookies und vergleichbare Technologien in anderen Apps und auf anderen Webseiten zu nutzen, so kann er sich dort nicht mehr mit seinem …-Konto anmelden und die dort erhobenen Daten werden nicht verwendet, um relevante Werbung zu zeigen. Sie werden aber in eingeschränktem Umfang genutzt, um für Sicherheit und Integrität zu sorgen und es kann sein, dass die Beklagte aggregierte Informationen zu Aktivitäten erhält, nicht aber die persönliche Cookie-Information des Nutzers (Anlage B7, S. 41).

1.1.4.2. Entscheidet sich der Nutzer dafür, Werbung mithilfe der Informationen von Werbepartnern zu seinen Aktivitäten relevanter zu machen, erhält er stärker personalisierte Werbung. Entscheidet er sich dagegen, (s. Anlage B7, S. 43), werden die Daten dennoch – für andere Zwecke – verarbeitet (Duplik, Rz. 60 = Bl. 312 d.A.), z.B. zum Schutz der Sicherheit und Integrität der Server (a.a.O. Rz. 61) oder zur Messung der Effektivität von Werbekampagnen (Anlage K11, S. 23: „die C# … ist nötig, um die Events von Nutzer*innen zu aggregieren, die sich gegen die Nutzung ihrer Daten entschieden haben“; hierzu Duplik, Rz. 58 = Bl. 311 d.A.).

1.1.4.3. Der Nutzer hat weiter die Möglichkeit, die Verknüpfung künftiger Aktivitäten mit seinem Konto aufzuheben und frühere Aktivitäten zu löschen (Anlage B7, S. 44 ff.). In diesem Fall erhält die Beklagte aber weiterhin Informationen zu seinen Aktivitäten, die für Messungen sowie zur Verbesserung der Werbesysteme verwendet werden (Anlage B7, S. 56).

1.2. Die Feststellung des Landgerichts, wonach die Klägerin von der streitgegenständlichen Datenverarbeitung betroffen sei, weil davon auszugehen sei, dass die Klägerin Seiten von Drittanbietern besuche, auf welchen … … Tools geschaltet seien, bindet den Senat nach § 529 Abs. 1 Nr. 1 ZPO, weil keine Anhaltspunkte für Zweifel an ihrer Richtigkeit oder Vollständigkeit bestehen.

1.2.1. Die Klägerin kann und muss nicht wissen, auf welchen (Dritt-) Webseiten und Apps … … Tools Verwendung finden, sie darf sich insoweit auf Vermutungen stützen (vgl. z.B. BGH BeckRS 2015, 10851). Die Beklagte kann sich hingegen nicht auf ein pauschales Bestreiten beschränken, sie müsste konkret vortragen, weil (nur) sie es kann (§ 138 Abs. 1, Abs. 2 ZPO).

1.2.2. Dass die Klägerin sich um eine gewisse Plausibilisierung ihrer Vermutung bemüht, indem sie – gestützt auf Nachforschungen ihrer Prozessbevollmächtigten – vorträgt, dass allein „der … Pixel […] auf 30 – 40% aller Internetseiten und der ganz überwiegenden Mehrzahl der meistbesuchten 100 Webseiten Deutschlands verbaut“ sei (Replik, S. 49 = Bl. 200 d.A.; vgl. auch Anlage K2), gereicht ihr nicht zum Nachteil. Das pauschale Bestreiten dieses Vortrags als unsubstantiiert ist unwirksam.

1.2.3. Die Behauptung der Klägerin, sie verbringe durchschnittlich eine Stunde im Internet und nutze viele Webseiten und Apps, auf denen die … … Tools vorzufinden seien, ist ebenfalls hinreichend substantiiert. Nachdem die Beklagte genau weiß, von welchen Drittseiten sie Informationen über Aktivitäten der Klägerin erhalten hat, könnte sie den Vortrag der Klägerin konkret bestreiten.

2. Hierin liegt ein Verstoß gegen den Grundsatz der Datenminimierung, der in Art. 5 Abs. 1 lit. b), lit. c), Art. 25 Abs. 2 S. 1, 3 DSGVO verankert ist.

2.1. Der Grundsatz der Datenminimierung sichert die Verhältnismäßigkeit der Datenverarbeitung und besagt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen (EuGH NZA 2024, 1407 Rn. 49 f.; NZA 2023, 1523). Der Verantwortliche darf die Daten nicht allgemein und unterschiedslos erheben, sondern muss von der Erhebung solcher Daten absehen, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (EuGH NZA 2024, 1407 Rn. 59). In zeitlicher Hinsicht ist der Zeitraum der Datenerhebung als solcher und der Zeitraum, in dem die Möglichkeit besteht, den Betroffenen zu identifizieren, auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (sog. Speicherbegrenzung, s. EuGH a.a.O. Rn. 52 f.; EuZW 2022, 527).

2.2. Zwischen den Parteien ist unstreitig, dass die von den (Dritt-) Webseiten und Apps stammenden „Kontaktinformationen“ und/oder „Event-Daten“ (Anlage B5) ungefiltert und damit – in den Worten des EuGH (s.o.) – allgemein und unterschiedslos von der Beklagten verarbeitet werden. Der Senat sieht hierin – wie der EuGH (NZA 2024, 1407 Rn. 62 ff.) in einem … betreffenden Fall – einen unverhältnismäßigen Eingriff in die durch Art. 7, 8 GRCharta geschützten Rechte der Klägerin auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten. Der EuGH weist zurecht darauf hin, „dass eine solche Verarbeitung besonders umfassend [ist], da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von … aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird“ (EuGH NZA 2024, 1407 Rn. 62; NZA 2023, 1523).

2.3. Personenbezogen i.S.v. Art. 4 Nr. 1 DSGVO sind die verarbeiteten Daten schon deshalb, weil die Beklagte unstreitig in der Lage ist, diese Daten (z.B. über die verwendete IP-Adresse oder individuelle Geräteinformationen) dem Benutzerkonto der Klägerin zuzuordnen (vgl. Erwägungsgrund 26 zur DSGVO: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren […]“; s. auch EuGH BeckRS 2016, 82520 zu dynamischen IP-Adressen).

2.4. Die Beklagte ist zur Überzeugung des Senats für die Erhebung, Übermittlung, Speicherung und Verwendung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.

2.4.1. Die Verantwortlichkeit für die Speicherung und Verarbeitung liegt auf der Hand, sie wurde auch vom Landgericht angenommen und in der Berufung nicht angegriffen.

2.4.2. Die Beklagte ist – gemeinsam mit dem jeweiligen Drittanbieter – auch für die Erhebung und Übermittlung verantwortlich (EuGH BeckRS 2019, 15831 Rn. 79, 96 – Fashion ID). Das liegt daran, dass durch die Einbettung der … … Tools in eine Webseite oder App quasi eine „dynamische Verweisung“ auf die jeweils aktuelle Version des Tools entsteht. Die Kontrolle über die Programmierung und in der Folge über die Funktionalität des Tools verbleibt damit bei der Beklagten. Diese entscheidet (mit), welche Daten erhoben und übermittelt werden. Dass eine „gemeinsame Verantwortlichkeit für die Datenverarbeitung mit dem jeweiligen Drittunternehmen gem. der DSGVO betreffend die Erhebung und Übermittlung zusätzlicher Daten an … über gewisse … … Tools“ besteht, hat die Beklagte eingeräumt (Duplik, Rz. 41, 45 = Bl. 304 f. d.A. vgl. auch die Nutzungsbedingungen für die … … Tools in Anlage B5, dort S. 5).

2.5. Nachdem der Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO keine Abschreckungs- oder Straffunktion erfüllt (BGH NJW 2025, 298, Rn. 25 m.w.N.), kann dahinstehen, ob weitere Verstöße gegen die DSGVO vorliegen.

3. Die Datenverarbeitung seitens der Beklagten ist nicht nach Art. 6 Abs. 1 DSGVO gerechtfertigt.

3.1. Von Bedeutung ist dabei zunächst, „dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es nach Art. 13 I Buchst. c dieser Verordnung, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, dem Verantwortlichen, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren“ (EuGH GRUR 2023, 1131 Rn. 95). Anders als die Beklagte meint, muss nicht die Klägerin bestimmte Verarbeitungszwecke in Frage stellen, sondern hat die Beklagte zu erklären, zu welchem Zweck sie welche Daten erhoben hat und weshalb die Verarbeitung der Daten rechtmäßig sein soll. Die Beklagte verweist in der Berufungsbegründung (S. 22, Fn. 10) selbst auf die sog. Einwilligungsleitlinien des Europäischen Datenschutzausschusses (dort, Rz. 118), in denen es heißt: „[…] ist es sehr wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. […] Deshalb sollten Verantwortliche von Anfang an deutlich machen, welcher Zweck auf welche Daten Anwendung findet und auf welcher Rechtsgrundlage die Verarbeitung beruht.“

3.2. Die Beklagte stützt sich ausweislich ihrer Berufungsbegründung (Rz. 52 = Bl. 76 d. BerA) für die Verarbeitungszwecke auf unterschiedliche Rechtsgrundlagen, sie sich aus ihrer Datenschutzrichtlinie ergäben. Ein Blick in die als Anlage K1 vorliegende Datenschutzrichtlinie bestätigt diesen Befund. Hier findet sich auf annähernd 70 (!) Seiten (Anlage K1, S. 82 – 150) eine Darstellung zu den Rechtfertigungsgründen i.S.v. Art. 6 Abs. 1 DSGVO, den Gründen für die Datenverarbeitung („Warum und wie wir deine Informationen verarbeiten“) und der verwendeten Informationskategorien“). Für die vorliegend relevante Informationskategorie „Information von Partnern, Anbietern und Dritten“ finden sich dabei – sinngemäß – die folgenden Eintragungen:

Rechtsgrundlage Verarbeitungszweck

Einwilligung Personalisierung von Werbeanzeigen Erfüllung eines Vertrags Personalisierung der …-Produkte Bereitstellung und Verbesserung von …-Produkten, u.a. Inhalte analysieren Förderung von Schutz, Integrität und Sicherheit in und auf den …-Produkten Übermittlung, Speicherung oder Verarbeitung deiner Informationen weltweit, intern wie extern Erfüllung einer rechtlichen Verarbeitung von Informationen, wenn nach dem Gesetz Verpflichtung erforderlich Berechtigte Interessen Personalisierung der …-Produkte Bereitstellung und Verbesserung von …-Produkten, u.a. Inhalte analysieren Förderung von Schutz, Integrität und Sicherheit in und auf den …-Produkten Bereitstellung von Messungen, Analysen und anderen Unternehmens-Services für Unternehmen, Werbetreibende und andere Partner:

Kommunikation, Interaktion und Teilen von Inhalten über die Produkte der …-Unternehmen hinweg:

… Intelligence und Statistik Identifizierung/Personalisierung iRv … Audience Network Zuschneiden von Werbeanzeigen Forschung und Innovation für soziale Zwecke Anonymisieren von Informationen Beantwortung rechtlicher Anfragen Förderung von Schutz, Integrität und Sicherheit außerhalb der Erfüllung von Verträgen … bei Nutzung nicht bekannter Geräte Förderung von Schutz, Integrität und Sicherheit Forschung und Innovation für soziale Zwecke Beantwortung rechtlicher Anfragen Produktverbesserung Im öffentlichen Interessen durchgeführte Aufgaben Forschung für soziale Zwecke Förderung von Schutz, Integrität und Sicherheit Schutz deiner wesentlichen Interessen oder der einer Schutz wesentlicher Interessen anderen Person

3.3. Im vorliegenden Einzelfall nimmt die Beklagte eine Personalisierung der Werbung mangels Einwilligung der Klägerin nicht vor. Mit diesem Zweck kann sie die Verarbeitung der Daten damit nicht begründen.

3.4. Es erscheint nach allgemeiner Lebenserfahrung zwar nicht ganz unwahrscheinlich, dass unter den verarbeiteten Daten auch solche sind, die dem besonderen Schutz des Art. 9 DSGVO unterliegen („sensible Daten“). In einem solchen Fall müsste die Verarbeitung des gesamten Datensatzes an Art. 9 Abs. 2 DSGVO gemessen werden (EuGH GRUR 2023, 1131 Rn. 89), wobei die Beklagte zum Umfang und der Art und Weise der Datenverarbeitung nicht konkret vorgetragen hat. Weil die Klägerin sich aber zunächst gar nicht und dann (vgl. Sitzungsprotokoll des Landgerichts, Bl. 454 f. d. A.) nur oberflächlich zu den von ihr genutzten Internetseiten geäußert hat, kann der Senat nicht mit der nötigen Sicherheit davon ausgehen, dass bei Drittanbietern auch sensible Daten i.S.v. Art. 9 Abs. 1 DSGVO erhoben wurden.

3.5. Eine Rechtfertigung der Datenverarbeitung nach Art. 6 Abs. 1 lit. b) – f) DSGVO scheitert zur Überzeugung des Senats schon daran, dass die Beklagte nicht hinreichend genau bezeichnet, welche Daten sie zu welchem Zweck erhebt. Dass ihr dies angesichts der Menge der betroffenen Daten womöglich nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, verdeutlicht nur den eklatanten Verstoß gegen den Grundsatz der Datenminimierung.

3.6. Selbst wenn man dies anders sehen und es für ausreichend erachten wollte, dass die Beklagte – ohne auf die konkret verarbeiteten Daten einzugehen – in allgemeiner Form auf ihre Datenschutzrichtlinie verweist, gelangt man nicht zu einer Rechtfertigung der Datenverarbeitung:

3.6.1. Die Verarbeitung der personenbezogenen Daten ist für die Erfüllung des Nutzungsvertrages nicht erforderlich i.S.v. Art. 6 Abs. 1 UABs.1 lit. b DSGVO:

3.6.1.1. Die auch insoweit darlegungs- und beweisbelastete (EuGH GRUR 2023, 1131 Rn. 98) Beklagte hat nicht hinreichend konkret dargestellt, weshalb die Verarbeitung der Daten „objektiv unerlässlich [war], um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist“ (EuGH a.a.O.).

3.6.1.2. Es erscheint bereits zweifelhaft, ob die von der Beklagten in der Berufung angesprochene Personalisierung von Funktionen, Inhalten und Vorschlägen zu Personen, Gruppen und Veranstaltungen (Berufungsbegründung, S. 24 ff., 27 = Bl. 77 ff., 80 d. BerA) notwendiger Bestandteil der Vertragsleistung seitens der Beklagten ist. Jedenfalls aber ist die streitgegenständliche Verarbeitung von Daten zur Erreichung dieses Zweckes nicht „objektiv unerlässlich“, sondern ließe sich eine hinreichende Personalisierung schon durch Onsite-Daten erreichen.

100

3.6.1.3. Die von der Beklagten weiter ins Feld geführten Sicherheits- und Integritätszwecke wurden bis zur mündlichen Berufungsverhandlung nur an einer Stelle näher erläutert (Abgleich von IP-Adressen, s. Berufungsbegründung, S. 34 = Bl. 87 d.A.). Auch insoweit aber fehlt es an hinreichend präzisem Vortrag zu konkreten, die Klägerin betreffenden Datenverarbeitungsvorgängen (z.B.: Wann wurde welche IP-Adresse verarbeitet und weshalb war die Verarbeitung im konkreten Fall aus Sicherheitsgründen notwendig?). Sollte der Vortrag der Beklagten zu so verstehen sein, dass IP-Adressen immer ausgewertet werden, wäre eine solche Vorgehensweise nicht unerlässlich, um den Nutzungsvertrag mit der Klägerin zu erfüllen. Die Beklagte erklärt im Übrigen weder, wie der „relativ kleine“ Pool verdächtiger IP-Adressen (s. Berufungsbegründung, S. 34 = Bl. 87 d.A.) zustande kommt, noch, welche Folgen eine Übereinstimmung nach sich zieht, weshalb der Nutzer also im Ergebnis von der angeblich erforderlichen Datenverarbeitung profitiert (durch einen Gewinn an Datensicherheit) und nicht etwa unter ihr leidet, weil er in den möglicherwiese unbegründeten Verdacht krimineller Aktivität geraten kann.

101

3.6.1.4. Den ergänzenden Vortrag im Schriftsatz vom 08.12.2025 konnte der Senat nach § 296a ZPO nicht berücksichtigen. Unabhängig davon unternimmt die Beklagte aber auch in diesem Schriftsatz nicht den Versuch, konkrete Datenverarbeitungsvorgänge zu rechtfertigen.

102

3.6.2. Die Verarbeitung der personenbezogenen Daten ist auch nicht zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, Art. 6 Abs. 1 UABs.1 lit. f) DSGVO.

103

3.6.2.1. Nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO ist eine Verarbeitung personenbezogener Daten unter den folgenden drei Voraussetzungen rechtmäßig: „Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen“ (EuGH GRUR 2023, 1131 Rn. 106).

104

3.6.2.2. Indem die Beklagte im vorliegenden Verfahren nicht hinreichend genau bezeichnet, welche Daten sie zu welchem Zweck erhoben und verarbeitet hat, ermöglicht sie es dem Senat nicht, eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO zu prüfen. Das bestätigt den Befund des Bundeskartellamtes, wonach der Vortrag der Beklagten keine hinreichend klare Artikulation der berechtigten Interessen darstellt, die der Abwägungsprüfung mit den Interessen und Rechten der betroffenen Personen zugänglich wäre (BKartA, Beschluss v. 19.02.2019 in Bezug auf … [B6-22/16], Rn. 727 ff., 736 ff., 796 ff.). Unabhängig davon ist angesichts von Art und Umfang der verarbeiteten Daten mehr als zweifelhaft, ob die von der Beklagten in allgemeiner Form dargestellten Verarbeitungszwecke gegenüber den Interessen und Grundrechten des Nutzers (Art. 7, 8 GRCharta) Vorrang beanspruchen können (vgl. EuGH GRUR 2023, 1131 Rn. 123 bezogen auf das Ziel der Produktverbesserung).

105

3.6.3. Die Beklagte macht nicht geltend, dass sie gesetzlich verpflichtet ist, personenbezogene Daten präventiv zu erheben und – gleichsam auf Vorrat – zu speichern, um jegliche Anfrage einer nationalen Behörde, die darauf abzielt, bestimmte Daten über ihre Nutzer zu erlangen, beantworten zu können. Eine derartige gesetzliche Verpflichtung liegt auch fern. Eine Rechtfertigung nach Art. 6 Abs. 1 UABs.1 lit. c) DSGVO scheidet damit von vornherein aus (vgl. EuGH GRUR 2023, 1131 Rn. 132).

106

3.6.4. Eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. d) DSGVO kommt bei der gebotenen engen Auslegung von Art. 6 Abs. 1 DSGVO (EuGH GRUR 2023, 1131 Rn. 93) nur in Betracht, wenn lebenswichtige Interessen zu schützen sind, wobei der Normgeber z.B. die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen im Blick hatte (46. ErwG). Konkreter Vortrag der Beklagten in diese Richtung fehlt, eine Rechtfertigung scheidet in Anbetracht der von der Beklagten angebotenen Dienste wirtschaftlicher und kommerzieller Art aus (EuGH GRUR 2023, 1131 Rn. 137).

107

3.6.5. Die Beklagte hat nicht vorgetragen, dass ihr Aufgaben übertragen wurden, die im öffentlichen Interesse liegen oder dass ihr öffentliche Gewalt übertragen wurde, womit auch eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO ausscheidet (vgl. EuGH GRUR 2023, 1131 Rn. 133).

108

4. Art. 82 DSGVO sieht eine Haftung für vermutetes Verschulden vor (BGH GRUR-RS 2025, 32135 Rn. 13; s. auch EuGH NJW 2024, 1561 Rn. 44). Der Senat vermag dem Vortrag der Beklagten keine Anhaltspunkte für eine Exkulpation nach Art. 82 Abs. 3 DSGVO zu entnehmen. Die Beklagte macht geltend, dass sie rechtmäßig gehandelt habe, nicht, dass sie für die – aus Sicht der Klagepartei anspruchsbegründenden – Umstände nicht verantwortlich sei.

109

5. Durch den Verstoß gegen den Grundsatz der Datenminimierung ist der Klägerin ein immaterieller Schaden im weiten, autonom unionsrechtlichen Sinne des Art. 82 Abs. 1 DSGVO (vgl. hierzu EuGH NJW 2025, 3137 Rn. 55; BGH GRUR-RS 2025, 32135 Rn. 25 m.w.N.) entstanden.

110

5.1. Nach aktueller Rechtsprechung des EuGH kann „der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten […] einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat“ (EuGH ZD 2024, 519 Rn. 33; zustimmend BGH GRUR-RS 2025, 32135 Rn. 27 ff.). Zusätzliche spürbare negative Folgen müssen nicht hinzutreten (EuGH r+s 2024, 1080 Rn. 156).

111

5.2. Für die Klägerin stellt die Tatsache, dass eine erhebliche Menge personenbezogener Daten, die ihrem Benutzerkonto zugeordnet sind oder die ihr – z.B. mittels eines Abgleiches von IP-Adressen – zugeordnet werden können, sich auf Servern der Beklagten in der ganzen Welt (s. Datenschutzrichtlinie in Anlage K1, S. 72) und bei bestimmten Dritten befinden, einen Kontrollverlust dar. Als Dritte, mit denen Informationen geteilt werden, bezeichnet die Datenschutzrichtlinie der Beklagten (Anlage K1, dort S. 48) Werbetreibende, Unternehmen, die Produkte für die Beklagten vermarkten oder die mit Kundenservice oder Umfragen beauftragt werden, und Forscher.

112

5.3. Dahinstehen kann bei dieser Betrachtung, ob einzelne der streitgegenständlichen Daten bei lebensnaher Betrachtung auch von anderen Anbietern von Internetdiensten erhoben und gespeichert wurden. Denn dann läge jedenfalls eine Intensivierung des Kontrollverlusts vor, die ebenfalls einen immateriellen Schaden darstellt (BGH GRURRS 2025, 32135 Rn. 35).

113

5.4. Die – auf der Anhörung der Klägerin beruhende – Feststellung des Landgerichts, wonach ein über den bloßen Kontrollverlust hinausgehender Schaden nicht eingetreten ist, wird mit der Berufung nicht angegriffen. Anhaltspunkte für Zweifel an der Richtigkeit oder Vollständigkeit der Feststellung des Landgerichts sind nicht ersichtlich.

114

6. Der Senat folgt der Auffassung des Bundesgerichtshofes (NJW 2025, 298 Rn. 96), wonach „eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als 'vollständig und wirksam' anzusehen [ist], wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 I DS-GVO dagegen nicht erfüllen (vgl. EuGH […]). Folglich darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen (EuGH […]) und ob er vorsätzlich gehandelt hat […].“ Der Senat schätzt, dass vorliegend ein Betrag von 250,- € erforderlich, aber auch ausreichend ist, um den eingetretenen Kontrollverlust auszugleichen, § 287 ZPO.:

−	Die Klägerin hat sich entschieden, nicht offenzulegen, welche Internetseiten sie besucht. Der Senat geht deshalb davon aus, dass zwar eine ganz erhebliche Menge an Informationen verarbeitet wurde, er kann aber nicht mit der gebotenen Sicherheit feststellen, dass darunter sensible Daten i.S.v. Art. 9 DSGVO waren.
−	Der Empfängerkreis der Daten ist vorliegend begrenzt: Er umfasst die Beklagte und solche Dritte, mit denen sie bestimmte Informationen teilt (s.o., 5.2). Frei im Internet verfügbar sind die Daten danach nicht.
−	Ausweislich der Datenschutzrichtlinie der Beklagten (Anlage K1, S. 67 ff.) behält die Beklagte Daten so lange, wie sie benötigt werden, um die Produkte der Beklagten bereitzustellen, rechtliche Verpflichtungen zu erfüllen oder bestimmte Interessen zu schützen. Dies wird am Beispiel einer Suche auf [einer Plattform] erläutert: Der Suchverlauf wird dabei gespeichert, bis der Nutzer ihn löscht, nur die Informationen zum verwendeten Gerät oder einem Standort werden nach sechs Monaten gelöscht. Es ist damit – auch in zeitlicher Hinsicht – von einem erheblichen Kontrollverlust auszugehen.

− Der Senat hat weiter berücksichtigt, welchen Zwecken die Verarbeitung der Daten dient (vgl. oben, 3.2), wobei er sich insoweit auf die Datenschutzrichtlinie der Beklagten stützt.

− Eine Überzeugung dahingehend, dass die Klägerin die Möglichkeit hätte, die Kontrolle über ihre Daten selbständig zurückzuerlangen, hat sich der Senat schon deshalb nicht bilden können, weil die Beklagte die bei ihr vorhandenen Daten nicht benannt hat. Der pauschale Hinweis auf die Möglichkeit, bestimmte Einstellungen vorzunehmen oder Aktivitäten zu trennen (vgl. Anlage B7) führt deshalb nicht weiter.

− Bei der Schätzung des Schadens hat der Senat den Grad des Verschuldens ebenso wenig berücksichtigt wie die Tatsache, dass der Klägerin mit diesem Urteil ein Unterlassungsanspruch zugesprochen wird (BGH a.a.O.; zuletzt EuGH NJW 2025, 3137 Rn. 73 und Rn. 83).

115

7. Der Zinsanspruch folgt aus den §§ 291, 288 BGB. Die Klägerin hat es nicht unternommen, den – bestrittenen – Zugang eines verzugsbegründenden außergerichtlichen Schreibens zu beweisen.

116

8. Ein darüber hinausgehender Zahlungsanspruch wegen Verletzung des allgemeinen Persönlichkeitsrechts der Klagepartei durch die Beklagte nach § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG steht der Klageseite nicht zu.

117

8.1. Zwar kann die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung begründen, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann (ständige Rechtsprechung des BGH, s. nur BGH NJW 2024, 2836 Rn. 70).

118

8.2. Der Bundesgerichtshof hat den Entschädigungsanspruch im Spannungsfeld von allgemeinem Persönlichkeitsrecht und Pressefreiheit entwickelt, um zu verhindern, dass schwerwiegende Verletzungen der Würde und Ehre eines Menschen durch Presseveröffentlichungen ohne Sanktion bleiben könnten und dass hierdurch der Rechtsschutz der Persönlichkeit verkümmert (BGH NJW 2014, 2029 Rn. 40 m.w.N.). Entschädigungen wurden demnach in solchen Fällen zugesprochen, in denen eine Person durch Berichte in Printmedien (s. z.B. BGH 1995, 861 – Caroline von Monaco), im Fernsehen (s. z.B. OLG Hamm GRUR 2004, 970 – Stefan Raab) oder im Internet (BGH NJW 2014, 2029 – www.stern.de) öffentlich bloßgestellt wurden. Bei der Bemessung der Höhe der Entschädigung sollen die „Bedeutung und Tragweite des Eingriffs, also das Ausmaß der Verbreitung der Veröffentlichung, die Nachhaltigkeit und Fortdauer der Interessen- oder Rufschädigung des Verletzten, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens“ berücksichtigt werden (BGH a.a.O., Rn. 38).

119

8.3. Der vorliegende Fall ist insofern anders gelagert, als mit der informationellen Selbstbestimmung ein anderer (Teil-) Gehalt des allgemeinen Persönlichkeitsrechts betroffen ist. Der Senat geht zwar davon aus, dass auch die Verletzung des Rechts auf informationelle Selbstbestimmung einen Entschädigungsanspruch im o.g. Sinne begründen kann (so wohl auch BGH NJW 2024, 2836 Rn. 71). Auch insoweit müsste aber ein schwerwiegender Eingriff in das allgemeine Persönlichkeitsrecht nachgewiesen sein und die Beeinträchtigung dürfte nicht in anderer Weise aufgefangen werden können.

120

8.4. Für den Senat liegt auf der Hand, dass ein „schwerwiegender Eingriff“ im Sinne der Rechtsprechung des Bundesgerichtshofes von der Klägerin nicht vorgetragen wurde. Entscheidend ist dabei, dass die Klägerin nicht im Kernbereich der Persönlichkeit betroffen ist und dass sie betreffende Daten nicht in die allgemeine Öffentlichkeit gelangt sind. Der Umfang der Datenverarbeitung allein (insb. Menge/Art der Daten; Dauer/Zweck der Verarbeitung; s.o. I.6) und die Tatsache, dass von einem vorsätzlichen Verhalten auszugehen ist, begründen die notwendige besondere Schwere des Eingriffs nicht.

121

8.5. Es kommt hinzu, dass Art. 82 DSGVO für Eingriffe in das Recht auf informationelle Selbstbestimmung gerade einen Schadensersatzanspruch bereithält. Durch die ihr zugesprochene Entschädigung in Höhe von 250,- € für den erlittenen Kontrollverlust und durch das an die Beklagte gerichtete Verbot wird die von der Klägerin erlittene Beeinträchtigung befriedigend aufgefangen.

II.

122

Der Klägerin steht infolge der rechtswidrigen Datenverarbeitung seitens der Beklagten auch ein Unterlassungsanspruch im tenorierten Umfang zu.

123

1. Soweit die Klägerin beantragt, der Beklagten die zukünftige Erhebung und Verarbeitung von Daten zu untersagen, folgt der Unterlassungsanspruch nicht aus der DSGVO (EuGH NJW 2025, 3137), er kann sich aber – wie der EuGH überzeugend klargestellt hat (a.a.O., Rn. 46 ff.) – aus nationalen Vorschriften ergeben.

124

Im Hinblick auf bereits erhobene Daten beantragt die Klägerin neben dem Unterlassen einer weiteren Verarbeitung auch die Löschung der Daten. Es kann dahinstehen, ob Art. 17 Abs. 1 DSGVO jedenfalls in dieser Konstellation einen Unterlassungsanspruch gewährt (so BGH GRUR 2023, 1724 Rn. 20 unter Hinweis auf EuGH GRUR 2023, 184), weil der entsprechende Anspruch sich andernfalls wiederum aus nationalen Vorschriften ergäbe.

125

2. Im deutschen Recht folgt der Unterlassungsanspruch zur Überzeugung des Senats zum einen unmittelbar aus dem Nutzungsvertrag der Parteien und zum anderen aus einer entsprechenden Anwendung der §§ 1004 Abs. 1 S. 2, 823 Abs. 1 BGB.

126

2.1. Bei der Verletzung von Vertragspflichten ergibt sich jedenfalls dann ein Unterlassungsanspruch aus dem Vertrag, wenn bereits einmal Pflichten aus dem – fortbestehenden – Vertragsverhältnis verletzt wurden und die Vertragsverletzung noch andauert (so i.E. BGH NJW 2021, 3179, der diesen Anspruch aus § 280 Abs. 1 BGB ableitet). Genau so liegt der Fall hier: Durch die rechtswidrige Datenverarbeitung (s.o., I.1) hat die Beklagte gegen eine (Haupt- oder Neben-) Pflicht des Nutzungsvertrages verstoßen und sie tut es – soweit ersichtlich – weiterhin. Die – auch insoweit nötige (BGH a.a.O.) – Wiederholungsgefahr wird damit indiziert. Anhaltspunkte für eine Widerlegung der Vermutung sind weder vorgetragen noch ersichtlich.

127

2.2. Auch aus einer entsprechenden Anwendung der §§ 1004 Abs. 1 S. 2, 823 Abs. 1 BGB folgt der Unterlassungsanspruch: Der nicht erforderliche und auch nicht durch eine Einwilligung gedeckte Verstoß gegen den Grundsatz der Datenminimierung (s.o., I.) hat die Klägerin in ihrem allgemeinen Persönlichkeitsrecht verletzt, das sie gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe ihrer persönlichen Daten schützt (Recht auf informationelle Selbstbestimmung, vgl. hierzu Art. 7, 8 GRCh; Art. 8 EMRK; Rspr des EuGH seit 29/69 Rs. Stauder; Rspr des BVerfG zu Art. 2 Abs. 1, 1 Abs. 1 GG seit BVerfG NJW 1984, 419 – Volkszählungsurteil). Das rechtswidrige Verhalten dauert an, eine Wiederholungsgefahr ist damit indiziert. Anhaltspunkte für eine Widerlegung der Vermutung sind weder vorgetragen noch ersichtlich.

128

3. Der Beklagten ist aber nicht jegliche Erhebung, Weitergabe, Speicherung und Verwendung der streitgegenständlichen Daten zu untersagen, sondern nur eine solche, die ungerechtfertigt geschieht.

129

3.1. Der Beklagten ist in diesem Zusammenhang zuzugestehen, dass nach der Konzeption der DSGVO bestimmte Datenverarbeitungsvorgänge gerechtfertigt sein können, vgl. insb. Art. 6 Abs. 1, 9 Abs. 2 DSGVO. Aus der Tatsache, dass die Beklagte es im vorliegenden Verfahren nicht unternommen hat, einzelne Datenverarbeitungsvorgänge zu rechtfertigen, lässt sich nicht pauschal schließen, dass ihr eine solche Rechtfertigung in der Zukunft stets misslingen wird.

130

3.1.1. Denkbar ist insoweit, dass die Klägerin ihre Einwilligung zur Verarbeitung bestimmter personenbezogener Daten für einen oder mehrere bestimmte Zwecke, freiwillig, in informierter Weise und unmissverständlich i.S.v. Art. 4 Nr. 11 DSGVO erteilt (vgl. EuGH GRUR 2023, 1131 Rn. 91f.). Die Beklagte muss sich im Zeitpunkt der Datenverarbeitung sicher sein, dass eine wirksame Einwilligung vorliegt. Das gilt auch und gerade, wenn der Betreiber der Website oder App als Drittanbieter die Einwilligung einholt (vgl. zu dieser Konstellation EuGH BeckRS 2019, 15831). Liegt keine Einwilligung vor, so kann die Beklagte die Verarbeitung bestimmter Daten gegebenenfalls auf einen oder mehrere der weiteren – grundsätzlich abschließenden – Rechtfertigungsgründe des Art. 6 Abs. 1 DSGVO stützen. Dies kann aber nicht pauschal in abstrakter und präventiver Weise erfolgen (vgl. EuGH GRUR 2023, 1131 Rn. 137 zu Art. 6 Abs. 1 UAbs. 1 [lit. d]), sondern allenfalls bezogen auf spezifische Verarbeitungsvorgänge (Entschließung des Europäischen Parlaments v. 25.3.2021, P_19TA(2021)0111, Rn. 5; Ehmann/Selmayr/Heberlein, 3. Aufl. 2024, DS-GVO Art. 6). Die Verarbeitung sensibler Daten i.S.v. Art. 9 Abs. 1 DSGVO ist nur unter den Voraussetzungen des Art. 9 Abs. 2 DSGVO erlaubt.

131

3.1.2. Die bei der Beklagten bereits vorhandenen Daten sind bis zur Vornahme der Löschung zu speichern. Eine darüber hinausgehende Verarbeitung wird nur in Betracht kommen, um die sichere Speicherung (ohne inhaltliche Veränderung) und anschließende Löschung zu gewährleisten.

132

3.2. Dem Senat ist einerseits bewusst, dass jede Einschränkung eines Verbots eine zusätzliche Unbestimmtheit in das Verfahren hineinträgt, die womöglich später das Vollstreckungsverfahren mit besonderen Herausforderungen belasten könnte. Wo aber die materielle Rechtslage – wie häufig und auch hier – so ist, dass kein materiellrechtlicher Anspruch auf ein uneingeschränktes Verbot besteht, kann andererseits effektiver negatorischer Rechtsschutz allein dann gewährt werden, wenn es gelingt, die jeweiligen Verbotsgrenzen in den Tenor des Unterlassungsurteils aufzunehmen. Vor diesem Hintergrund muss im jeweiligen Einzelfall entschieden werden, welches Maß an Unbestimmtheit noch akzeptabel ist, um den Anspruch auf effektiven negatorischen Rechtsschutz nicht unzulässig zu verkürzen (vgl. Roth, in Stein, § 253 ZPO Rn. 37 m.w.N.; Thüringer Oberlandesgericht, Urteil vom 17. Juli 2002 – 2 U 59/02 –, juris; s. auch BGH GRUR 2007, 607 Rn. 17).

133

3.3. Der Senat erachtet die mit dem Verweis auf die Ausnahmetatbestände der Art. 6, 9 DSGVO einhergehende Unbestimmtheit im vorliegenden Fall als noch akzeptabel, weil die fehlende weitergehende Präzisierung der konkreten Verletzungshandlungen maßgeblich auf dem prozessualen Vorgehen der Beklagten beruht und weil zudem die Ausnahmetatbestände der Art. 6 und 9 DSGVO hinreichend konkretisiert und bestimmt sind und durch die – z.T. durchaus vergleichbare Sachverhalte betreffende – Rechtsprechung des EuGH (s. nur EuGH GRUR 2023, 1131 [ …] und EuGH NZA 2024, 1407 [ … (###) – Schrems] m.w.N.) eine zusätzliche Konturierung erfahren haben, sodass insbesondere mit Blick auf die Vollstreckung hinreichend deutlich wird, welches Verhalten untersagt wird. Der Senat konnte deshalb im Tenor auf diese gesetzlichen Regelungen Bezug nehmen.

134

3.3.1. Entscheidend ist dabei, dass es der Klägerin nicht möglich und auch nicht zumutbar ist, den Unterlassungsantrag auf konkrete Verletzungsformen zu beschränken (s.o., I.; vgl. allgemein BGH GRUR 2010, 749 Rn. 32). Die Klägerin kann nur vermuten, welche ihrer personenbezogenen Daten die Beklagte verarbeitet hat. Würde die Beklagte offenlegen, welche Daten der Klägerin sie in der Vergangenheit zu welchem Zweck verarbeitet hat, wäre der Klägerin eine Beschränkung des Unterlassungsantrages auf konkrete Verletzungshandlungen möglich und zumutbar. Diese wären der Beklagten dann untersagt, sowie (jedenfalls nach st. Rspr. im Wettbewerbsrecht, s. nur BGH GRUR 2010, 749 Rn. 32) bei entsprechender Antragstellung alle kernidentischen Zuwiderhandlungen. Dass die Beklagte konkrete Datenverarbeitungsvorgänge nicht benennt, kann der Klägerin nicht zum Nachteil gereichen.

135

3.3.2. Nur ein solches Ergebnis entspricht im Übrigen auch der – von der Beklagten angesprochenen – Konzeption der DSGVO: Diese strebt – ausweislich ihrer Erwägungsgründe – gerade mit Blick auf die technische Entwicklung ein hohes Datenschutzniveau und eine Minimierung der Verarbeitung personenbezogener Daten an. Natürliche Personen sollen wissen, welche personenbezogenen Daten zu welchem Zweck und in welchem Umfang verarbeitet werden. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden.

III.

136

Der zwischen den Parteien unstreitig bestehende Vertrag über die Nutzung [der Plattform] … erlaubt es der Beklagten nicht, personenbezogene Daten der Klägerin über Dritt-Webseiten und Dritt-Apps zu erheben, sie an die eigenen Server weiterzugeben, dort zu speichern und zu verwenden, sofern sie die Verarbeitung nicht im Einzelfall rechtfertigen kann (s.o., I., II.). Damit ist der Feststellungsantrag gemäß ZIff. 1 der Berufungsanträge begründet.

IV.

137

Die Klägerin kann aus Art. 17 Abs. 1 lit. d), 12 Abs. 3 DSGVO weiterhin eine Löschung der von ihr hinreichend bestimmt bezeichneten personenbezogenen Daten und die Mitteilung hierüber verlangen.

138

Einen Anspruch auf Anonymisierung kennt die DSGVO demgegenüber nicht, ein solcher ist auch kein ‚Minus‘ zur Löschung, nachdem er mit erheblich höherem Aufwand verbunden sein kann.

139

Auch ein vertraglicher Anspruch aus einer wirksamen Abrede über eine alternative Erfüllungsmodalität besteht nicht.

140

Zwar hat die Klägerin der Beklagten im Hinblick auf bestimmte Daten ein Erfüllungssurrogat angeboten (s. Klageantrag Ziff. 4), i.e. nach Wahl der Beklagten Anonymisierung statt Löschung. Eine solche Abrede ist aufgrund der Vertragsfreiheit grundsätzlich zulässig. Dem steht auch nicht etwa entgegen, dass die DSGVO keinen Anspruch auf Anonymisierung gewährt. Vielmehr steht es dem Gläubiger grundsätzlich frei, sich mit einem Aliud als Erfüllungssurrogat zufriedenzugeben und das Erlöschen seines Anspruchs hinzunehmen. Es bleibt den Parteien eines Schuldverhältnisses also unbenommen, eine gesonderte Vereinbarung darüber zu treffen, dass die Schuld durch eine andere als die zunächst versprochene Leistung erfüllt werden soll (s. nur Schmidt, in: Münchener Kommentar zum BGB, 10. Auflage 2025, Rn 2 zu § 364).

141

Wie der Inhalt dieses Angebots der Klageseite auf eine wahlweise Erfüllung durch Anonymisierung materiellrechtlich genau einzuordnen ist, ob eine Wahlschuld im Sinne von § 262 BGB intendiert ist oder hingegen eine – nach h.M. (s. nur BeckOGK/Krafka, 1.10.2025, BGB § 262 Rn. 5 m.w.N.) wegen des kaum passenden gesetzlichen Wahlschuldregimes davon zu unterscheidende – Ersetzungsbefugnis, braucht vorliegend ebenso wenig entschieden zu werden wie die Frage, ob eine wirksam vereinbarte alternative Erfüllungsmodalität entgegen der wohl h.A. (s. nur MüKoZPO/Becker-Eberhard, 7. Aufl. 2025, ZPO § 260 Rn. 24 m.w.N.) in den Tenor einer Verurteilung zur Löschung aufzunehmen wäre, weil sie den Anspruch auf Löschung gleichsam qualitativ verkürzt und ein Kläger, der eine solche Wahlmöglichkeit materiellrechtlich wirksam vereinbart hat, dementsprechend „zu viel“ beantragt, wenn er dennoch uneingeschränkte Verurteilung zur Leistung beantragt.

142

Denn die Beklagte hat vorliegend das klägerische Angebot, anstatt zu löschen zu anonymisieren, unmissverständlich zurückgewiesen und damit abgelehnt.

143

Ein Anspruch auf Freistellung von vorgerichtlichen Anwaltskosten in der tenorierten Höhe beruht auf Art. 82 Abs. 1 DSGVO. Der Senat vermag nicht davon auszugehen, dass das durch Anlage K3 hinreichend dokumentierte außergerichtliche Vorgehen im Zeitpunkt November 2023 ausnahmsweise unzweckmäßig gewesen sein soll. Die Beklagte hat nicht vorgetragen, wie viele außergerichtliche Schreiben sie zu diesem Zeitpunkt tatsächlich erhalten und negativ verbeschieden hat. Auffällig ist in diesem Zusammenhang insbesondere, dass die Beklagte in einer Vielzahl dem Senat bekannter Verfahren den Erhalt außergerichtlicher Schreiben nicht bestätigen konnte.

144

Der Senat hat einen Streitwert von 5.250,- € zugrunde gelegt (Schadensersatz 250,- €; Unterlassen 4.000,- €; Feststellung 500,- €; Löschung 500,- €).

145

Die Entscheidung über die Kosten des Rechtsstreits beruht auf den §§ 92 Abs. 1 S. 1, 97 Abs. 1 ZPO, wobei der Senat die Unterlassungsanträge mit insgesamt 4.000,- € bewertet hat, den Feststellungsantrag mit 500,- € und den Löschungsantrag mit 500,- €.

II.

146

Die Entscheidung zur vorläufigen Vollstreckbarkeit beruht auf §§ 708 Nr. 10, 711 ZPO.

III.

147

Der Senat lässt die Revision unter dem Gesichtspunkt des Gewichts für die beteiligten Verkehrskreise (s. BGH NJW 2003, 3765) zu. Es ist allgemein bekannt, dass schon jetzt eine hohe fünfstellige Zahl vergleichbarer Verfahren geführt wird. Die wirtschaftliche Bedeutung für die Beklagte (und andere Anbieter vergleichbarer Dienstleistungen) liegt vor diesem Hintergrund auf der Hand. Auch Rechtsschutzversicherer und Gerichte wird man zu den beteiligten Verkehrskreisen zählen können.