Tenor

Die Klage wird abgewiesen.

Die Kosten des Rechtsstreits einschließlich der durch die Nebenintervention verursachten Kosten trägt die Klägerin.

Das Urteil ist vorläufig vollstreckbar gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages.

1

Tatbestand:

2

Die Parteien streiten um Schadensersatzansprüche wegen eines behaupteten Datenschutzverstoßes vom 31.05.2025 zwischen 09:27 Uhr und 10:43 Uhr.

3

Die Parteien streiten um Ansprüche wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung (DSGVO) im Zusammenhang mit einem Cyberangriff. Die Klägerin unterhält bei der Beklagten zu 1) einen fortbestehenden Riestervertrag zur privaten Altersvorsage. Die Beklagte zu 2) ist als Auftragsverarbeiterin für die Beklagte zu 1) tätig, wobei die Klägerin das Vorliegen eines wirksamen Auftragsverarbeitungsvertrags zwischen den Beklagten mit Nichtwissen bestreitet. Die Beklagte zu 2) verwendet zur Verarbeitung und Übertragung der hierfür anfallenden Daten die Transfersoftware „G.“ des Anbieters I., so auch zum Zeitpunkt des streitgegenständlichen Datenlecks.

4

Am Morgen des 31.05.2023 wurde die Beklagte zu 2) Ziel eines Hackerangriffs. Über das Hochladen einer sog. „Web-Shell“ auf den betroffenen Server der Beklagten zu 2), gelang es unbekannten Angreifern, sich Zugriff auf deren System zu verschaffen und Kundendaten - darunter auch solche der Klägerin - abzugreifen. Bei dem Angriff handelte es sich um einen sog. „zero-day-exploit“, mithin um eine Sicherheitslücke, die dem Softwarehersteller zuvor unbekannt war.

5

Bei den vom Datenabfluss betroffenen Kundendaten handelte es sich jedenfalls um Datentypen der folgenden Art:

6

- Vor- und Zuname

7

- Adresse

8

- Geburtsdatum sowie gegebenenfalls Geburtsort und Geburtsname

9

- Steueridentifikationsnummer

10

- Sozialversicherungsnummer

11

- in Einzelfällen Angaben zum tatsächlichen Entgelt

12

Die Beklagte zu 2) wurde noch am Abend des 31.05.2023 vom Anbieter der G.-Anwendung über den Vorfall informiert. Am 02.06.2023 konnte das infiltrierte System sodann mit einem vom Hersteller bereitgestellten Sicherheitspatch gesichert werden.

13

Die Klägerin behauptet, sie erhalte seit dem Datenleck Anrufe sowie SMS von unbekannten Nummern. Seit sie um ihre Betroffenheit wisse, löse dies bei ihr Sorgen und Ängste aus. Aufgrund des Entwendens der Daten sei sie besorgt darüber, Opfer eines Identitätsdiebstahls werden zu können und dadurch insbesondere finanzielle Nachteile zu erleiden. Ferner behauptet sie, dass die Entwendung ihrer Daten sie auch künftig einem erhöhten Missbrauchsrisiko aussetzten würde. Die Klägerin behauptet, dass unzureichende technische und organisatorische Maßnahmen (TOM) zur Sicherung der Verarbeitung personenbezogener Daten Voraussetzung dafür wären, um einem derartigen Cyberangriff erfolgreich zu sein. Die Beklagten hätten jeweils unzureichende Schutzmaßnahmen zur Verhinderung des Vorfalls ergriffen. Die Klägerin ist der Ansicht, dass bereits der Einsatz der G.-Software fahrlässig gewesen sei. Hierzu behauptet sie, dass diese bereits seit einigen Jahren mit Schwachstellen in Hinblick auf deren Integrität negativ auffalle. Sie meint, dass die Beklagten dies hätten berücksichtigen müssen.

14

Die Klägerin hat ursprünglich beantragt: 1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 3.000,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten mit den personenbezogenen Daten der Klagepartei, der nach bisherigen Informationen am 31.05.2023 erfolgte, noch entstehen werden. 3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu € 250.000,00, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, namentlich Geburtsort, Geburtsname, Steueridentifikationsnummer, Sozialversicherungsnummer, Unterschrift, Entgelt der Klagepartei, personenbezogene Daten zu Kindern und / oder zum Ehepartner, sowie Angaben zum tatsächlichen Gehalt, Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen und ohne, dass eine Einwilligung des Klägers vorliegt oder ein Rechtfertigungsgrund nach der DSGVO. 4. Die Beklagte wird verurteilt, die Klagepartei von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 973,65 € nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz ab Rechtshängigkeit freizustellen.

15

Nach einer Teilklagerücknahme sowie einer Klageerweiterung auf die jetzige Beklagte zu 2) beantragt sie nunmehr:

16

1. 17

   Die Beklagten werden als Gesamtschuldner verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.000,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen.

18

2. 19

   Es wird festgestellt, dass die Beklagten verpflichtet sind, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten mit den personenbezogenen Daten der Klagepartei, der nach bisherigen Informationen am 31.05.2023 erfolgte, noch entstehen werden.

20

3. 21

   Die Beklagte zu 1) wird verurteilt, die Klagepartei von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 800,39 € nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz ab Rechtshängigkeit freizustellen.

22

Die Beklagte beantragt,

23

die Klage abzuweisen.

24

Die Beklagte zu 1) behauptet, dass keine weiteren Datentypen vom Vorfall betroffen seien, insbesondere nicht die Telefonnummer, E-Mail Adresse oder Bankdaten der Klägerin. Die Sicherheit der G.-Anwendung zum Zeitpunkt des Vorfalls werde durch diverse Zertifizierungen belegt. Die Beklagten hätten erstmals vom Hersteller im Nachgang zu dem bereits erfolgten Datenabfluss von der Sicherheitslücke erfahren. Die Beklagte zu 1) meint, dass sie zuvor sowohl auf die Datenschutzkonformität der G. Anwendung - als Marktführer im Bereich der Managed-File-Transfer-Software - als auch auf die datenschutzrechtlich pflichtgemäße Auftragsverarbeitung der Beklagten zu 2) habe vertrauen dürfen. Die Beklagten hätten zu keinem Zeitpunkt Zugriff oder Einblick auf den Quellcode der Software gehabt, der allein dem Hersteller selbst bekannt sei, womit ihnen eine eigene Überprüfung auf Sicherheitslücken unmöglich gewesen sei. Unabhängig hiervon sei der Klägerin auch kein kausaler materieller oder immaterieller Schaden entstanden, mit einem solchen sei auch künftig nicht zu rechnen. Die Beklagte zu 1) ist der Ansicht, der Feststellungsantrag sei bereits mangels Feststellungsinteresse unzulässig. Die sich dem vorgenannten Vortrag anschließenden Beklagte zu 2) behauptet, die G.-Anwendung sei zum Zeitpunkt des Datenschutzvorfalls unter Berücksichtigung des Stands der Technik eine sichere Anwendung und habe als unüberwindbar gegolten. Die Beklagte zu 2) habe daher davon ausgehen dürfen, dass die Software dem Stand der Technik entsprochen habe.

25

Die Klage ist der Beklagten zu 1) am 07.05.2024 zugestellt worden. Die Klageerweiterung auf die Beklagte zu 2) ist dieser am 13.05.2025 zugestellt worden, nachdem die Klägerin der Beklagten zu 2) zuvor den Streit verkündet hatte.

26

Hinsichtlich der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen Bezug genommen.

27

Entscheidungsgründe:

28

Die Klage hat keinen Erfolg.

29

Der nach der gemäß §§ 269, 264 Nr. 2 ZPO zulässigen Teilklagerücknahme noch gestellte Klageantrag zu 1) ist nicht begründet. Unter keinem rechtlichen Gesichtspunkt hat die Klägerin gegen die Beklagten einen Anspruch auf Schmerzensgeld. Ein solcher Anspruch folgt insbesondere nicht aus Art. 82 Abs. 1, 2 DSGVO.

30

Gemäß Art. 82 Abs. 4 DSGVO haften sowohl der Verantwortliche (hier die Beklagte zu 1) gemäß Art. 4 Nr. 7 DSGVO) als auch der Auftragsverarbeiter (hier die Beklagte zu 2) gemäß Art. 4 Nr. 8 DSGVO) gesamtschuldnerisch für einen verursachten Schaden. Soweit die Klägerin ein wirksames Auftragsverarbeitungsverhältnis zwischen den Beklagten mit Nichtwissen bestreitet (Bl. 162 d. A.), ist dieses Bestreiten gemäß § 138 Abs. 4 ZPO unbeachtlich, da er im Widerspruch zu ihrem vorherigen Vortrag (z.B. auf Bl. 8 f. d. A) steht. Denn die Klägerin trägt selbst vor, dass die Daten durch die Beklagte zu 2) als Dienstleister der Beklagten zu 1) verarbeitet worden sind.

31

Zudem kann das Gericht keinen schuldhaften Verstoß der Beklagten gegen die DSGVO annehmen. Insbesondere kann ein schuldhafter Verstoß gegen Art. 5 Abs. 1 lit. f), 24, 32 DSGVO nicht angenommen werden.

32

Nach Art. 5 Abs. 1 f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen, wobei dies der Verantwortliche nach Art. 5 Abs. 2 DSGVO nachzuweisen hat. Nach Art. 24 Abs. 1 S. 1 DSGVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Nach Art. 24 Abs. 2 DSGVO müssen diese Maßnahmen die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen, sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, und zwar unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

33

Die DSGVO verlangt ein Risikomanagementsystem einzuführen, aber nicht die Beseitigung des Risikos von Verletzungen des Schutzes personenbezogener Daten (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Aus dem Wortlaut der Art. 24 und 32 DSGVO ergibt sich, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf geeignet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 30, juris). Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind. Dabei steht dem Verantwortlichen ein gewisser Entscheidungsspielraum zu (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 43, juris).

34

Die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 f) und Art. 32 DSGVO gewährleisten, obliegt dem für die betreffende Verarbeitung Verantwortlichen (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 52, juris). Wenn eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO von Cyberkriminellen und damit von „Dritten“ im Sinne von Art. 4 Nr. 10 DSGVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 f), Art. 24 und Art. 32 DSGVO obliegt, ermöglicht hat (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 71, juris). Hackerangriffe oder Datenlecks entlasten (nur), wenn der Verantwortliche die übliche Sorgfalt zum Schutz der Daten angewendet hat, wobei zu berücksichtigen ist, dass die DSGVO nicht erfordert, alle theoretisch möglichen Schutzvorkehrungen vorzusehen (Quaas, in: BeckOK DatenschutzR, 51. Edition Stand: 01.02.2025, Art. 82, Rn. 18).

35

Ein pflichtwidriger Verstoß der Beklagten gegen die DSGVO kann vor diesem Hintergrund nicht festgestellt werden. Die Beklagten haben die Einhaltung ihrer datenschutzrechtlichen Pflichten substantiiert und ausführlich dargelegt, dies vermag die Klägerin mit ihrem bloßen Bestreiten nicht zu entkräften. Die Klägerin unterliegt vielmehr irrig der Annahme, der erfolgreiche Angriff liefere ein belastbares Indiz für unzureichende technische und organisatorische Maßnahmen im Vorfeld. Ein derartiger Rückschluss ist jedoch verfehlt (vgl. dazu OLG Stuttgart, BeckRS 2021, 6282 Rn. 52). Soweit sie darauf abstellt, dass die Beklagten weitere technische Maßnahmen hätten ergreifen können, wovon sie einige aufzählt, ergibt sich hieraus keine Umsetzungspflicht, deren Nichteinhaltung einen datenschutzrechtlichen Verstoß begründen kann. Die Beklagten sind lediglich dazu verpflichtet, geeignete Maßnahmen zu treffen, die darauf gerichtet sich, eine Datenschutzverletzung so weit wie möglich zu verhindern (vgl. EuGH ZD 2024, 150, 152 Rn. 30 f.). Dies ist nicht gleichbedeutend mit sämtlichen, den Stand der Technik erschöpfenden Maßnahmen. Unzureichend wären die von den Beklagten beschriebenen TOM nur dann, wenn sich zuvor konkrete Anhaltspunkte für die Fehleranfälligkeit der - zum Zeitpunkt des Vorfalls - marktführenden G.-Anwendung ergeben hätten. Die Klägerin behauptet insoweit pauschal und ohne nähere Darlegung. Sie verweist hierzu auf einen unergiebigen öffentlichen Beitrag sowie auf sog. CVE-Einträge einer Fehlerdatenbank. Daraus ergibt sich indes nicht, ob die Beklagten diese Umstände vor dem Cyberangriff konkret wahrgenommen haben oder hätten wahrnehmen müssen, da insbesondere die letztgenannte Quelle vielmehr dafür spricht, dass das Programm seitens des Herstellers regelmäßig überprüft und sicherheitstechnisch weiterentwickelt wurde und wird. Gegen die Annahme, dass die Beklagten entsprechende Bedenken hätten haben müssen, spricht der Umstand, dass weltweit ca. 2.500 Unternehmen und Institutionen dem - insoweit unvorhergesehenen - sog. „zero-day-exploit“ zum Opfer fielen. Die Beklagte zu 1) hatte keinen Anlass zur verstärkten Kontrolle der Beklagten zu 2), Zweifel an der Eignung der Beklagten zu 2) als Auftragsverarbeiterin wurden nicht vorgetragen.

36

Selbst wenn man einen Verstoß unterstellen würde, würde dies vorliegend nicht zu einem Schmerzensgeldanspruch führen. Den der Vortrag bzgl. der Sorgen, Ängste und des Gefühls eines Kontrollverlustes bleibt vollkommen unsubstantiiert. Auch fehlt hinreichender Vortrag zur Kausalität der behaupteten Datenschutzverstöße für die Schäden. Der Anspruch auf Schadensersatz gemäß Art. 82 Art. 1, 2 DSGVO resultiert nicht allein aus einem - mit dem Vorfall eines Datenmissbrauchs stets einhergehenden - Kontrollverlust. Erforderlich ist vielmehr ein konkreter, tatsächlicher und darüberhinausgehender Schaden. Die von der Klägerin vorgetragenen Sorgen und Ängste um ihre erhöhte Risikoanfälligkeit sind innere Vorgänge, die unter Heranziehung von Beweiszeichen objektiver Art näher darzulegen sind (vgl. LG Mainz GRUR-RS 2024, 42662 Rn. 28; OLG Hamm GRUR 2023, 1791). Alltägliche, negative Empfindungen allein begründen keinen ersatzfähigen (psychischen) Schaden. Der Vortrag der Klägerin, sie erhielte seit dem Vorfall vermehrt unerwünschte Anrufe, SMS sowie Spam-E-Mails, ist unschlüssig, da sie eine Betroffenheit dieser Datentypen bereits nicht hinreichend darlegt und derartige Kontaktversuche - wie allgemein bekannt - auch anlasslose, unregelmäßige Vorkommnisse des Alltags sein können. Es entspricht der allgemeinen Lebenswirklichkeit, dass man von derartigen Kontaktversuchen betroffen ist. Im Übrigen hat die Klägerin auch nicht vorgetragen, ihre E-Mail oder Telefonnummer in Reaktion hierauf ausgetauscht, oder ihr Verhalten im Internet anderweitig angepasst zu haben, was diese Vorfälle - als objektives Beweiszeichen - hätte plausibilisieren können.

37

In der Folge besteht auch kein Zinsanspruch.

38

Der Klageantrag zu 2) ist bereits unzulässig. Er ist weder hinreichend bestimmt noch besteht ein Feststellungsinteresse.

39

Ein Klageantrag ist i.S.v. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH, Urteil vom 9. März 2021 - VI ZR 73/20, VersR 2021, 795 Rn. 15). Dabei ist die Verwendung auslegungsbedürftiger Begriffe im Klageantrag zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungshandlung ausrichtet (BGH, Urteile vom 2. Juni 2022 - I ZR 140/15, BGHZ 234, 56 Rn. 26; vom 9. September 2021 - I ZR 113/20, GRUR 2021, 1425 Rn. 12 mwN). Bei einem - wie vorliegend - auf Vornahme einer Handlung gerichteten Antrag muss deren Art und Umfang bestimmt bezeichnet sein (Anders, in: Anders/Gehle, ZPO, 83. Aufl. 2025, § 253 Rn. 48).

40

Daran gemessen ist der Klageantrag zu 1) nicht hinreichend bestimmt. Die begehrte Feststellung bezieht sich auf die Verpflichtung, den „unbefugten Zugriff Dritter (…) zu verhindern“. Es ist jedoch auch unter Zugrundelegung des Vortrages der Klägerin nicht ersichtlich, in welchen Fällen konkret von einem unbefugten Zugriff durch Dritte auszugehen ist und welche Voraussetzungen eine „geeignete Datentransfer Software“ dementsprechend zu erfüllen hätte. Dies gilt insbesondere vor dem Hintergrund, dass die DSGVO ein risikobasiertes Maßnahmenkonzept vorschreibt und gerade nicht die Beseitigung jedweden Risikos von Verletzungen der personenbezogenen Daten verlangt (vgl. EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Der Klageantrag lässt sich damit nicht in einer Weise auslegen, dass die Klägerin eine nach Art und Umfang hinreichend bestimmte Handlung begehrt, was den Streit in unzulässiger Weise in die Zwangsvollstreckung verlagern würde (vgl. zum Begriff „unbefugter Dritter“ auch BGH, Urteil v. 18.11.2024 - VI ZR 10/24, GRUR 2024, 1910, Rn. 56, 58).

41

Überdies ist der Klageantrag zu 2) auch mangels Feststellungsinteresse i.S.d. § 256 Abs. 1 ZPO unzulässig. Ein Interesse an der Feststellung einer Ersatzpflicht für künftige Schäden rein materieller Art - wie sie die Klägerin vorliegend mit dem Antrag zu 2) geltend macht - hängt von der Wahrscheinlichkeit des ausstehenden Schadenseintritts ab (OLG Brandenburg BeckRS 2020, 42937 Rn. 3). Ist hingegen bei verständiger Würdigung des Einzelfalls nicht mit dem Eintritt eines künftigen Schadens zu rechnen, so ist bereits eine derartige Möglichkeit zu verneinen (OLG Hamm GRUR 2023, 1793, 1803 Rn. 192ff.). Die Klägerin hat vorliegend keine Umstände vorgetragen, die den Eintritt künftiger Schäden über eine bloß theoretische Befürchtung hinaus wahrscheinlich werden lassen. Die Sicherheitslücke konnte durch ein Herstellerupdate am 02.06.2023 behoben werden. Seit dem knapp 2 ½ Jahre zurückliegenden Vorfall vom 31.05.2023 hat die Klägerin keine materiellen Schäden erlitten. Dabei verringert sich eine solche Möglichkeit stetig mit fortschreitendem Zeitablauf (OLG Köln GruR-RS 2023, 36757 Rn. 54). Die pauschalen Ausführungen der Klägerin zu hypothetisch erhöhten Risiken - die sich teilweise auf Daten beziehen, die dem Angriff bereits nicht anheimfielen - ändern hieran nichts. Gegen die Annahme, dass die Klägerin selbst mit künftigen Vermögensschäden rechnet, spricht auch, dass die Klägerin nicht vorträgt, entsprechende Schutzvorkehrungen getroffen zu haben, etwa durch Änderung ihrer Rufnummer, E-Mail-Adresse oder Bankverbindung. Schließlich trägt die Klägerin selbst vor, zum jetzigen Zeitpunkt noch nicht absehen zu können, welche Folgen durch die entwendeten persönlichen Daten eintreten werden.

42

In der Folge ist mangels Hauptforderung auch der Klageantrag zu 3) unbegründet.

43

Die prozessualen Nebenentscheidungen basieren auf den §§ 91 Abs. 1, 100, 101 Abs. 1 Hs. 1, 269 Abs. 3 S. 2, Abs. 4 S. 1, 709 S. 2 ZPO. § 269 Abs. 3 S. 3 ZPO findet keine Anwendung.

44

Der Streitwert wird auf 10.000,00 € festgesetzt.