Leitsatz: Ein Kontrollverlust infolge eines Datenschutzvorfalls bei einem Plattformbetreiber ist von dem Nutzer dazulegen und zu beweisen. Waren die betroffenen Daten bereits zuvor Gegenstand mehrfacher Datenabgriffe durch unbekannte Dritter und hatte der Nutzer diese Daten zudem selbst auf seiner Homepage veröffentlicht, fehlt es an einem Kontrollverlust. OLG Dresden, 4. Zivilsenat, Urteil vom 11. Februar 2025, Az.: 4 U 1283/24

Oberlandesgericht Dresden Zivilsenat Aktenzeichen: 4 U 1283/24 Landgericht Dresden, 3 O 340/24 IM NAMEN DES VOLKES ENDURTEIL In dem Rechtsstreit Z...... A......, ...... - Klägerin und Berufungsklägerin - Prozessbevollmächtigte: M...... Rechtsanwaltsgesellschaft mbH, ...... gegen ......, ...... vertreten durch ihre CEO ...... - Beklagte und Berufungsbeklagte - Prozessbevollmächtigte: Rechtsanwälte W...... & C...... LLP, ...... wegen Schadensersatz und Feststellung hat der 4. Zivilsenat des Oberlandesgerichts Dresden durch Vorsitzenden Richter am Oberlandesgericht Schlüter, Richter am Oberlandesgericht Dr. Lubini und Richterin am Oberlandesgericht Riechert aufgrund der mündlichen Verhandlung vom 04.02.2025 am 11.02.2025 für Recht erkannt: 1. Die Berufung der Klägerin gegen das Urteil des Landgerichtes Dresden vom 09.08.2024 - 3 O 340/24 - wird zurückgewiesen. 2. Die Kosten des Berufungsverfahrens trägt die Klägerin.

3. Das Urteil ist wegen der Kosten gegen Sicherheitsleistung in Höhe von 110% des beizutreibenden Betrages vorläufig vollstreckbar. 4. Die Revision wird nicht zugelassen. Beschluss: Der Streitwert wird auf 6.500,00 EUR festgesetzt. G r ü n d e (Von der Aufnahme des Tatbestandes wird gem. §§ 540, 313a ZPO abgesehen.) Die Berufung ist zulässig (A.), aber unbegründet (B.). A. Entgegen der Auffassung der Beklagten ist die Berufung - noch - zulässig. Nach § 520 Abs. 3 Satz 2 Nr. 2 ZPO muss die Berufungsbegründung die Umstände bezeichnen, aus denen sich nach Ansicht des Berufungsklägers die Rechtsverletzung und deren Erheblichkeit für die angefochtene Entscheidung ergeben; nach § 520 Abs. 3 Satz 2 Nr. 3 ZPO muss sie konkrete Anhaltspunkte bezeichnen, die Zweifel an der Richtigkeit oder Vollständigkeit der Tatsachenfeststellung im angefochtenen Urteil begründen und deshalb eine erneute Feststellung gebieten. Dazu gehört eine aus sich heraus verständliche Angabe, welche bestimmten Punkte des angefochtenen Urteils der Berufungskläger bekämpft und welche tatsächlichen oder rechtlichen Gründe er ihnen im Einzelnen entgegensetzt. Besondere formale Anforderungen bestehen zwar nicht; auch ist es für die Zulässigkeit der Berufung ohne Bedeutung, ob die Ausführungen in sich schlüssig oder rechtlich haltbar sind. Die Berufungsbegründung muss aber auf den konkreten Streitfall zugeschnitten sein. Es reicht nicht aus, die Auffassung des Erstgerichts mit formularmäßigen Sätzen oder allgemeinen Redewendungen zu rügen oder lediglich auf das Vorbringen erster Instanz zu verweisen (st. Rspr., vgl. z. B. BGH, Beschluss vom 7. Mai 2020 – IX ZB 62/18, juris Rn. 11; BGH, Beschluss vom 13. Juni 2017 – VIII ZB 7/16, juris Rn. 12; BGH, Beschluss vom 27. Januar 2015 – VI ZB 40/14, juris Rn. 7; BGH, Beschluss vom 30. Januar 2013 – III ZB 49/12, juris Rn. 7). Vor allem muss das Rechtsmittel die tragenden Erwägungen des angefochtenen Urteils angreifen und darlegen, warum diese aus Sicht des Berufungsklägers nicht zutreffen (BGH, Beschluss vom 30. Juli 2020 – III ZB 48/19, juris Rn. 10; BGH, Beschluss vom 10. Dezember 2015 – IX ZB 35/15, juris Rn. 7; OLG Celle, Urteil vom 4. April 2024 – 5 U 77/23 –, juris Rz. 25). Diesen Anforderungen ist vorliegend noch genügt. Die Klägerseite hat sich hinreichend mit den aus ihrer Sicht rechtsfehlerhaften Ausführungen des Landgerichts zu den Voraussetzungen eines Schadensersatzanspruches nach Art. 82 DSGVO auseinandergesetzt. Sie hat insbesondere gerügt, dass es entgegen der Auffassung des Landgerichts nicht erforderlich sei, dass der (behauptete) Kontrollverlust direkt und ausschließlich auf den streitgegenständlichen Vorfall zurückzuführen sei, sondern vielmehr genüge es vorliegend, wenn eine hinreichende Wahrscheinlichkeit bestehe, dass der streitgegenständliche Vorfall zu dem Schaden beigetragen habe. Damit ist die Berufung der Klägerseite im Ergebnis (noch) ausreichend begründet, auch wenn die Berufungsbegründung nur einen geringen Grad an Individualisierung aufweist, denn dies dürfte vorliegend der Natur des Massenverfahrens geschuldet sein (vgl. OLG Düsseldorf, Urteil vom 20. Oktober 2023 – I-7 U 189/22 –, juris). Unerheblich ist es für eine formell ordnungsgemäße Berufungsbegründung im Übrigen, ob die Ausführungen schlüssig oder

auch nur vertretbar sind oder rechtlich neben der Sache liegen (Zöller/Heßler, ZPO, 35. Aufl. 2024, § 520 Rn. 36). B. Die internationale Zuständigkeit deutscher Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn die Klagepartei hat ihren gewöhnlichen Aufenthalt in Deutschland. Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung ist eröffnet. C. 1. Der Klagepartei steht kein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DSGVO zu (Antrag Ziffer 1.). Ob die Beklagte hat bei der Verarbeitung der Daten gegen die Bestimmungen der DSGVO verstoßen hat und ob die Klagepartei hinreichend dargelegt hat, von dem Datenschutzvorfall betroffen zu sein, kann im Ergebnis offenbleiben (a). Bei unterstellter Betroffenheit wäre der Klägerin bereits nach eigenem Vortrag kein kausaler Schaden in Form eines Kontrollverlustes entstanden (b). a) Zwar hat die Klägerin behauptet, wegen eines Fehlers in der API Schnittstelle (die es zwei unabhängigen Software-Komponenten ermöglicht, Informationen auszutauschen), hätten unbefugte Dritte willkürlich E-Mail-Adressen und/oder Handynummern in das System der Beklagten einspeisen und die Nutzer-IDs erlangen und damit das öffentlich einsehbare Profil des Nutzers sichten und entsprechend Daten erbeuten können. Die Beklagte hat auch zugestanden, aufgrund eines Fehlers in ihrer Software-Programmierung (“Bug“) sei es zu einer „Schwachstelle“ in ihrem System gekommen, weshalb durch die Eingabe einer E-Mail-Adresse oder Telefonnummer in ihre Systeme herausgefunden werden konnte, ob mit dieser E-Mail-Adresse oder Telefonnummer ein Account verbunden gewesen sei, und wenn ja, welcher. Dass dies auf einem Verstoß gegen die sie treffenden Pflichten aus Art. 32 DSGVO zu hinreichenden technischen und organisatorischen Schutzmaßnahmen beruhte, hat sie allerdings bestritten. Ob das Bestreiten hinreichend ist, muss der Senat vorliegend aber nicht entscheiden. Eine Betroffenheit der Klägerin von einem zu ihren Gunsten unterstellten Verstoß gegen eine solche Pflicht ist ausweislich der Webseite www.haveibeenpwnd.com für E-Mail-Adresse, Name, Social-Media-Profil und Benutzername ersichtlich, während die Klägerin ihre Telefonnummer unstreitig nicht bei der Beklagten hinterlegt hatte. Die gegen die Betroffenheit von der Beklagten erhobenen Einwände verfangen nicht. Für das Vorliegen der tatsächlichen Voraussetzungen des Art. 82 Abs. 1 DSGVO ist zwar der Anspruchsteller, hier also die Klagepartei, darlegungs- und beweisbelastet. Weiterer Vortrag hierzu war von der Klägerin aber zunächst nicht geschuldet. Das Angebot der Webseite www.haveibeenpwnd.com ist hinreichend verlässlich, um jedenfalls die individuelle Betroffenheit von Sicherheitsvorfällen darzulegen und damit die sekundäre Darlegungslast des Betreibers auszulösen. Der Senat hält einen Auszug aus der Webseite haveibeenpwnd.com für ein hinreichendes Indiz, es sei denn, die Beklagte legt dezidiert dar, aufgrund welcher Umstände die Webseite bezogen auf die Klagepartei keine verlässliche Grundlage für die Annahme der Betroffenheit ist. Denn die Verantwortlichen sammeln nach

eigenen Angaben Daten aus derartigen Vorfällen und ermöglichen es den Nutzern, damit festzustellen, ob und in welchen Fällen ihre Daten offengelegt wurden. Dass die zugrundeliegende Methodik im Einzelnen nicht bekannt und daher die Aussagekraft dieser Seite auch in der Rechtsprechung umstritten ist, steht dem nicht entgegen. Fraglos kann mit einem Auszug aus dieser Seite ein tauglicher Beweis nicht geführt werden, weil es sich hierbei lediglich um ein Augenscheinsobjekt handelt, das keine Beweiskraft für seinen Inhalt hat. Dies ändert jedoch nichts daran, dass die Aufnahme einer E-Mail-Anschrift in den Datenbestand dieser Seite ein Indiz für deren Einbeziehung in einen Datenschutzvorfall ist, auch weil der Betroffene regelmäßig keine Möglichkeit hat, die Aufnahme seiner E-Mail-Anschrift in den Datenbestand dieser Seite zu beeinflussen und - gerichtsbekannt - nach einem größeren Datenschutzvorfall nicht automatisch alle E-Mail Anschriften, die bei einem Plattformbetreiber hinterlegt sind, auch bei www.haveibeenpwand.com zu einem Treffer führen. Die daraus folgende Eingrenzung führt daher dazu, dass der Betroffene auf der ersten Stufe seiner Darlegungslast genügt, was wiederum dazu führt, dass nunmehr der Betreiber im Rahmen seiner sekundären Darlegungslast substantiiert und einzelfallbezogen darlegen muss, weshalb gerade die jeweilige Klagepartei von einem Datenschutzvorfall nicht betroffen sein soll. Diese Verteilung erscheint auch deswegen angemessen, weil der Nutzer in der Regel keinen Einblick in die Einzelheiten der Verarbeitung seiner Daten bei dem Plattformbetreiber und in den Umfang des Datenschutzvorfalls hat und es ihm in der Regel auch nicht möglich ist, deren Verbleib im Darknet im Einzelnen nachzuweisen. Jedenfalls in den Fällen, in denen - wie hier - ein Datenschutzvorfall mit mehreren Millionen abhanden gekommenen Nutzerdaten unstreitig ist und der Plattformbetreiber aufgrund einer eigenen Untersuchung einzelne Nutzer als Betroffene individualisiert und angeschrieben hat, spricht auch eine tatsächliche Vermutung dafür, dass er tatsächlich in der Lage ist, mitzuteilen, welche seiner Nutzer im Einzelfall von einem Datenabfluss betroffen waren und welche nicht und dies durch Bezugnahme auf seine Untersuchungsergebnisse und die zugrunde liegende Methodik auch zu belegen. Der Senat hält es daher in diesen Fällen für angemessen, ihm eine sekundäre Darlegungslast aufzuerlegen. Erfolgt ein solcher Vortrag nicht, ist eine Betroffenheit mit den aus dem Auszug ersichtlichen Daten für das weitere Verfahren zu unterstellen; legt die Beklagte hingegen dar, was ihre Untersuchung ergeben hat und wieso diese die Annahme rechtfertigen, dass die Daten der jeweiligen Klagepartei nicht betroffen sind, ist hierüber ggf. Beweis zu erheben. Diese Verteilung der Darlegungslast gilt allerdings dann nicht, wenn der betroffene Nutzer bereits die Verwendung der bei www.haveibeenpwnd.com hinterlegten E-Mail-Anschrift bei der Anmeldung zur Plattform nicht nachgewiesen hat oder die Beklagte bezogen auf die jeweilige Klagepartei darstellt, aufgrund welcher konkreten Umstände sie davon ausgeht, dass die Treffermitteilung bei www.haveibeenpwnd.com im Einzelfall keine verlässliche Grundlage sein kann, etwa weil mit der jeweiligen Klagepartei im Zeitpunkt des Datenschutzvorfalls kein Nutzungsverhältnis bestand (Senat, Urteil vom 15.10.2024 - 4 U 422/24 - juris, Rn. 52). Diesen Anforderungen wird der Vortrag der Beklagten - ohne dass es hierauf entscheidend ankäme - nicht gerecht, zumal sie sich selbst mit der Anlage B10 auf die Webseite www.haveibeenpwnd.com berufen hat. b) Wer von einem Verstoß gegen die DSGVO betroffen ist, der für ihn negative Folgen gehabt hat, muss nachweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (vgl. EuGH Urteil vom 14.12.2023 - C-340/21, Rn 84; vgl. EuGH, Urteil vom 20.06.2024 - C - 590/22, Rn 34, 36 - juris). Wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich

verwendet werden, ist daher zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH, Urteil vom 14.12.2023 - C - 340/21, Rn 85 - juris). Nach der Rechtsprechung des Bundesgerichtshofes (vgl. Urteil vom 18.11.2024 - VI ZR - 10/24 - juris) kann auch der bloße Kontrollverlust einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betroffenen Daten bewiesen ist. Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust als solchem bestehenden - Schaden erlitten hat (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22 - juris; vgl. BGH a.a.O.). Ein solcher Kontrollverlust konnte hier indes nicht mehr eintreten. Die E-Mail-Adresse der Klägerin info@......com ist nach dem von ihr selbst vorgelegten Ausdruck der Webseite www.haveibeenpwnd.com bereits mehrfach im Zeitraum zwischen 2008 und 2020, d.h. vor dem streitgegenständlichen Scraping-Ereignis, von einem Datenschutzvorfall betroffen gewesen (Anl. K6 - auszugsweise -). Der Senat hat die Seite www.haveibeenpwnd.com selbst in Augenschein genommen (Datum des Abrufs: 27.01.2025). Hiernach kam es vor dem streitgegenständlichen Vorfall bereits bei 12 anderen Anbietern zum Verlust unter anderem der streitgegenständlichen E-Mail-Adresse der Klägerin, nämlich im Jahre 2008 (MySpace), 2012 (Dropbox), 2013 (tumblr), 2016 (LinkedIn), 2017 (MyHeritage), 2018 (Houzz sowie SHEIN), 2019 (Verifications.io sowie Evite und Data Enrichment Exposure From PDL Customer), und 2021 (Epik und nochmals LinkedIn), bevor es zum streitgegenständlichen Datenschutzvorfall Anfang 2023 kam; verzeichnet sind vier weitere unverifizierte Datenschutzvorfälle aus den Jahren 2016, 2018 und 2019. Zwar steht das Risiko, dass auch Dritte das Datum nicht datenschutzkonform verarbeitet haben, der Darlegung eines Kontrollverlustes nicht entgegen (vgl. BGH, Urteil vom 18.11.2024 - VI ZR 10/24 a.a.O.). Dies gilt jedoch nur, solange sich dieses nicht unstreitig vor dem Eintritt des Datenschutzvorfalls verwirklicht hat (vgl. BGH, Urteil vom 18.11.2024 - VI ZR 10/24 a.a.O.). So liegt es aber hier. Soweit die Klägerin in ihrer Anhörung vor dem Senat angegeben hat, dass sie seit dem Datenschutzvorfall bei der Beklagten nach ihrer Einschätzung seit etwa fünf Jahren - in erhöhtem Maße Spam-Mails, -SMS und -Anrufe erhalte, führt dies zu keinem anderen Ergebnis. Denn die Daten der Klägerin sind nicht nur vor dem streitgegenständlichen Scraping-Ereignis mehrfach von Datenschutzvorfällen bei anderen Diensteanbietern betroffen gewesen, sondern die Klägerin hat auch angegeben, seit etwa zehn bis 15 Jahren eine Webseite www......com zu betreiben, auf der ihre Anschrift, Telefonnummer und E-Mail-Adresse öffentlich einsehbar ist. Den Beweis dafür, dass der Kontrollverlust - wie die Klägerin meint - gerade dadurch eingetreten ist, dass man über ihre bei der Beklagten gehackten E-Mail-Adresse zu ihren Daten auf ihrer Homepage gelangt sei, konnte die Klägerin jedoch nicht erbringen. Es ist vielmehr allgemeinkundig und senatsbekannt, dass auch Personen ohne Twitter-Account von Spam betroffen sind, wie ihn die Klägerin geschildert hat. Hinzu kommt, dass sie von solchen Anrufen bzw. Kontaktaufnahmen seit etwa fünf Jahren berichtet. Nach dem von der Klägerin selbst vorgelegten Ausdruck der Webseite www.haveibeenpwnd.com erschienen die 2021 durch den Missbrauch einer API erlangten Datensätze der Beklagten aber erst Anfang 2023 in einem Hackerforum. Soweit ausweislich der Webseite www.haveibeenpwnd.com auch das Social-Media-Profil und der Benutzername der Klägerin in Verbindung mit ihrem Klarnamen bei der Beklagten gescraped worden war, so hat die Klägerin hierzu nicht substantiiert vorgetragen, da sie lediglich behauptet hat, „u. a.“ ihre E-Mail-Adresse hinterlegt zu haben. Auch insoweit ist die

Klägerin für einen Kontrollverlust beweisfällig geblieben. Zu einer ausreichenden Darlegung hätte wegen der zahlreichen vorausgegangenen Datenschutzvorfälle insbesondere auch Vortrag gehört, welche weiteren Daten außer der E-Mail-Adresse nur bei Twitter und nicht auch bei MySpace, Dropbox, tumblr, LinkedIn, MyHeritage, Houzz, Epik sowie SHEIN hinterlegt worden waren, um einen kausalen Kontrollverlust nachweisen zu können. 2. Da es an einem kausalen Schaden fehlt, steht der Klägerin auch kein Anspruch auf Feststellung einer weiteren Ersatzpflicht (Antrag Ziffer 3.) zu. Die Möglichkeit des Eintritts künftiger - hier materieller - Schäden als Voraussetzung für ein Feststellungsinteresse ist nur dann ohne weiteres zu bejahen, wenn auf Grund eines eingetretenen und andauernden Kontrollverlustes eine künftige Schadensentwicklung nicht nur rein theoretischer Natur ist (vgl. BGH, Urteil vom 18.11.2024 - VI ZR 10/24, Rn 49 - juris). 3. Der Unterlassungsantrag gemäß Ziffer 4. der Berufungsanträge ist unzulässig, denn er ist nicht hinreichend bestimmt. Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem Unterlassungsantrag regelmäßig der Fall, wenn die konkret angegriffene Verletzungsform antragsgegenständlich ist (vgl. BGH; Urteil vom 09.03.2021 - VI ZR 73/20, Rn. 15 -, juris). Der vorliegende Antrag hat indes keinen vollstreckungsfähigen Inhalt, denn die Klagepartei begehrt die Unterlassung, bestimmte Daten Dritten zugänglich zu machen, ohne dass eine Einwilligung der Klagepartei oder ein berechtigtes Interesse der Beklagten vorliegt. Damit würde die Prüfung der Frage, ob die Voraussetzungen vorliegen, in das Vollstreckungsverfahren verlagert werden. a) Schon die Formulierung „berechtigtes Interesse“ ist unbestimmt und bedarf der Subsumtion im konkreten Einzelfall. Dies kann nicht auf der Vollstreckungsverfahren abgewälzt werden (Senat, Urt. v. 17.09.2024 – 4 U 506/24, juris). b) Ebenso wenig kann die Prüfung der Frage, ob eine ausreichende Einwilligung vorliegt, auf das Vollstreckungsverfahren verlagert werden. Soweit der BGH im Leitentscheidungsverfahren einen entsprechenden Unterlassungsantrag trotz seiner weiten Formulierung als bestimmt i.S.v. § 253 Abs. 2 Nr. 2 ZPO angesehen hat, so war dies darauf zurückzuführen, dass er sich unter Heranziehung des Klagevorbringens dahingehend auslegen ließ, dass der Kläger ein Unterlassen jeglicher Verarbeitung seiner Telefonnummer durch die Beklagte, die über die notwendige Verarbeitung für die Zwei-Faktor-Authentifizierung hinausgeht, begehrte: „Vielmehr begehrt der Kl., dass die Bekl. seine Telefonnummer nicht ... auf Basis einer von

ihm erteilten Einwilligung weiterverarbeitet, da diese Einwilligung nach seinem Verständnis mangels Transparenz unwirksam ist, weil ihm das Ausmaß der Datenverarbeitung betreffend seine Telefonnummer bei Erteilung der Einwilligung nicht verständlich war. Der Unterlassungsantrag konkretisiert darüber hinaus... die inkriminierte Verletzungshandlung, nämlich die behauptete unrechtmäßige Verarbeitung auf Grundlage einer unwirksamen Einwilligung. Aus welchen Gründen die Einwilligung unwirksam sein soll, ergibt sich aus der weiteren Formulierung des Antrags. Nach Ansicht des Kl. wurde diese „wegen der unübersichtlichen und unvollständigen Informationen durch die Bekl. erlangt (…), namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf ,privat’ noch durch Verwendung der Kontakt-Import-Funktion verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der Facebook-Messenger App, hier ebenfalls explizit die Berechtigung verweigert wird“. Der so verstandene Unterlassungsantrag ist hinreichend bestimmt, da der Bekl. ohne weiteres deutlich wird, für welche Zwecke sie die Telefonnummer des Kl. noch verarbeiten darf und für welche der Kl. die Unterlassung der Datenverarbeitung begehrt.“ (BGH, Urt. v. 18.11.2024 – VI ZR 10/24 -, juris Rn. 63 f.). Dies ist vorliegend gerade nicht der Fall, da die Klägerin die Unterlassung nicht näher konkretisiert, sondern allgemein für den Fall einer fehlenden Einwilligung begehrt („...ohne dass eine Einwilligung der Klägerseite oder ein berechtigtes Interesse der Beklagten vorliegt“). c) Darüber hinaus ist auch die beantragte Androhung nach § 890 Abs. 2 ZPO unzulässig. Die Titulierung einer Unterlassungsverpflichtung kann - auch unter Berücksichtigung der Grundsätze der Effektivität und Äquivalenz - eine gleichfalls nach § 890 ZPO vollstreckbare Verpflichtung zur Handlung nur beinhalten, wenn der Schuldner der Pflicht zur Unterlassung ausschließlich genügen kann, indem er die hierfür erforderliche positive Handlung vornimmt. Ob ein Titel Handlungspflichten auferlegt oder Unterlassung fordert, ist im Wege der Auslegung mit Blick auf den Schwerpunkt der jeweils in Rede stehenden Verpflichtung zu beurteilen (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 221 - juris). Vorliegend fordert die Klagepartei mit dem Antrag im Schwerpunkt ein aktives Tun, das nicht nach § 890 ZPO, sondern als vertretbare Handlung nach § 887 ZPO zu vollstrecken ist. Die Klagepartei will gar kein Unterlassen der Datenverarbeitung durch die Beklagte, sondern sie will, dass sie die von der Beklagten bereitgestellten Dienste und die Datenverarbeitung durch diese unter dem Vorbehalt der Einwilligung oder des berechtigten Interesses erfolgen. 4. Der Klagepartei steht kein Anspruch auf Auskunft nach Art. 15 DSGVO zu (Ziffer 5. des Klageantrages), denn der Anspruch ist erfüllt worden, § 362 BGB. Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Gemäß Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung (vgl. OLG Hamm im Urteil vom 15.08.2023 - 7 U 19/23, Rn 244 ff. - juris). Vorliegend ist der Auskunftsantrag durch Erfüllung erloschen. Erfüllt im Sinne des § 362 Abs.

1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH Urt. v. 15.6.2021 - VI ZR 576/19 -, juris). Die Beklagte ist in diesem Sinne ihren Pflichten in ausreichendem Umfang nachgekommen. Mit den Ausführungen in der Klageerwiderung hat die Beklagte zu erkennen gegeben, dass und über welche Datensätze bezüglich der Klägerin sie verfügt und dass ihr darüberhinausgehende Auskünfte darüber, durch welche Empfänger diese Daten erlangt werden konnten, nicht möglich sind. Sie hat damit zu erkennen gegeben, dass sie vollständig Auskunft erteilt hat. Es ist nicht ersichtlich und die Klagepartei trägt auch nicht vor, woher der Beklagten die Identität der Empfänger bekannt sein soll. Insofern wäre das Auskunftsverlangen auch auf eine objektiv unmögliche Leistung gerichtet und damit nach § 275 BGB nicht geschuldet, als es auf Herausgabe und Mitteilung von Daten gerichtet ist, über die die Beklagte nicht verfügt. 5. Im Anschluss hieran kommt auch kein an die Verletzung einer Auskunftspflicht anknüpfender weiterer immaterieller Schadensersatz (Ziff. 2. des Klageantrages) in Betracht, ohne dass es insofern darauf ankäme, ob die Verletzung einer Auskunftspflicht aus Art. 15 DSGVO tauglicher Anknüpfungspunkt für einen Anspruch aus Art. 82 DSGVO sein kann (vgl. BSG, Urteil vom 24. September 2024 – B 7 AS 15/23 R –, juris). 6. Aufgrund des Vorstehenden sind Ansprüche auf Erstattung vorgerichtlicher Rechtsverfolgungskosten ebenfalls zu verneinen. D. Die Entscheidung über die Kosten folgt aus § 92 Abs.1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 ZPO. Gründe für die Zulassung der Revision sind nach der Entscheidung des BGH vom 18.11.2024 - VI ZR 10/24 - nicht mehr gegeben. Die Festsetzung des Streitwerts hat ihre Grundlage in §§ 3, ZPO, 48 Abs. 2 GKG. Die Anträge auf Feststellung auf Auskunft sind mit jeweils 500,- EUR zu bemessen. Die Zahlungsanträge haben Werte von 3.000,- EUR und 1.000,- EUR. Der Unterlassungsantrag ist mit 1.500,- EUR zu bemessen (vgl. BGH, Beschluss vom 10.12.2024 - VI ZR 7/24, juris). Im Übrigen wird zur Begründung auf die Beschlüsse des Senates vom 31.07.2023 (4 W

396/23 und 4 W 388/23 - beide in juris) Bezug genommen. S...... Dr. L...... R......