Leitsatz: 1. Für die Betroffenheit von einem Datenschutzvorfall auf einer Internet-Plattform gilt eine gestufte Darlegungslast (Festhaltung Senat, Urteil vom 28.01.2025 - 4 U 157/24). 2. Für den Antrag auf Feststellung der weiteren Ersatzpflicht des Verantwortlichen fehlt es an einem Feststellungsinteresse, wenn ein Kontrollverlust an den betroffenen Daten nicht vorliegt. OLG Dresden, 4. Zivilsenat, Beschluss vom 3. April 2025, Az.: 4 U 1273/24

Oberlandesgericht Dresden Zivilsenat Aktenzeichen: 4 U 1273/24 Landgericht Dresden, 3 O 2427/23 BESCHLUSS In dem Rechtsstreit C...... R......, ...... - Kläger und Berufungskläger - Prozessbevollmächtigter: Rechtsanwalt C...... D......, ...... gegen ...... International ......, ...... vertreten durch den Vorstand - Beklagte und Berufungsbeklagte - Prozessbevollmächtigte: Rechtsanwälte W...... & C...... LLP, ...... wegen Ansprüchen aus der DSGVO/Persönlichkeitsrechtsverletzung hat der 4. Zivilsenat des Oberlandesgerichts Dresden durch Vorsitzenden Richter am Oberlandesgericht S......, Richter am Oberlandesgericht Dr. L...... und Richterin am Oberlandesgericht R...... ohne mündliche Verhandlung am 03.04.2025 beschlossen: 1. Der Senat beabsichtigt, die Berufung der Klagepartei gegen das Endurteil des Landgerichts Dresden vom 09.08.2024 - 3 O 2427/23 - ohne mündliche Verhandlung durch Beschluss zurückzuweisen. 2. Die Klagepartei hat Gelegenheit, innerhalb von zwei Wochen Stellung zu nehmen. Sie sollte allerdings auch die Rücknahme der Berufung in Erwägung ziehen. 3. Der Senat beabsichtigt, den Streitwert des Berufungsverfahrens auf 4.500,- EUR festzusetzen. 4. Der Termin am 15.04.2025 wird aufgehoben.

Gründe I. Die Klagepartei macht gegen die Beklagte, die einen Kurznachrichtendienst im Internet betreibt, Ansprüche auf Schadensersatz, Feststellung, Auskunft und Unterlassung sowie vorgerichtliche Rechtsverfolgungskosten wegen eines behaupteten Verstoßes gegen die DSGVO geltend. Das Landgericht hat die Klage mit Endurteil vom 09.08.2024 - 3 O 2427/23 - abgewiesen. Hiergegen wendet sich die Klagepartei mit ihrer Berufung. Die Klagepartei beantragt, 1. Die Beklagte wird verurteilt, an den Kläger als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Handynummer bzw. Mailadresse der Klägerseite sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 € nebst Zinsen in Höhe von 5%-Punkten über dem Basiszinssatz seit Rechtshängigkeit zu bezahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, dem Kläger alle materiellen künftigen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, welcher nach Aussage der Beklagten im Jahr 2021 erfolgte, entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, an den Kläger für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft im Sinne des Art. 15 DS-GVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.000,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5%-Punkten über dem Basiszinssatz seit Rechtshängigkeit zu bezahlen. 4. Die Beklagte wird verurteilt, dem Kläger Auskunft über die den Kläger betreffenden weiteren personenbezogenen Daten zu erteilen, die durch Unbefugte erlangt werden konnten, namentlich welche Daten außer der Telefonnummer der Klägerseite durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten unbefugt erlangt werden konnten. 5. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, namentlich Telefonnummer und Mailadresse sowie die ......-ID Dritten über eine API-Schnittstelle zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen. Hilfsweise: Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im

Wiederholungsfall bis zu 2 Jahren, es zu unterlassen, eine API-Schnittstelle vorzuhalten mit der unbekannte Dritte, die bereits im Besitz der Email-Adresse oder der Mobilnummer der Klägerseite waren, mittels Eingabe dieser Daten die ......-ID der Klägerseite erhalten können. 6. Die Beklagte wird weiter verurteilt, an den Kläger vorgerichtliche Rechtsanwaltskosten in Höhe von 887,03 € zzgl. Zinsen in Höhe von 5%Punkten über dem Basiszinssatz per anno seit Rechtshängigkeit zu bezahlen. II. Der Senat beabsichtigt, die zulässige Berufung nach § 522 Abs. 2 ZPO ohne mündliche Verhandlung durch - einstimmig gefassten - Beschluss zurückzuweisen. Die Berufung bietet in der Sache offensichtlich keine Aussicht auf Erfolg. Die Rechtssache hat auch weder grundsätzliche Bedeutung noch erfordert die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts durch Urteil. Auch andere Gründe gebieten eine mündliche Verhandlung nicht. 1. Der Klagepartei steht gegen die Beklagte kein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DSGVO zu (Antrag Ziffer 1.). Ob die Beklagte bei der Verarbeitung der Daten gegen die Bestimmungen der DSGVO verstoßen hat, kann im Ergebnis offenbleiben. Der Klagepartei ist jedenfalls kein kausaler Schaden in Form eines Kontrollverlustes entstanden. a) Allerdings ist hier von einer Betroffenheit des Klägers von dem streitgegenständlichen Datenschutzvorfall auszugehen. Aufgrund der von der Klagepartei vorgelegten Trefferanzeige auf der Webseite www.haveibeenpwned.com (Anlage K3) ist sie mit ihrer E-Mail-Adresse [email protected] von dem sog. API-Bug 2021 bei der Beklagten betroffen, nicht hingegen mit ihrer Mobilfunknummer. Die gegen die Betroffenheit der E-Mail-Adresse von der Beklagten erhobenen Einwände verfangen nicht. Insoweit besteht eine gestufte Darlegungslast. Auf der ersten Stufe genügt es, wenn der Betroffene sich auf einen Auszug der Seite www.haveibeenpawnd.com stützt, sofern der Datenschutzvorfall an sich sowie die Verwendung der zugrundeliegenden Daten bei der Plattformanmeldung – wie vorliegend – unstreitig sind. Es obliegt dann dem Plattformbetreiber, substantiiert darzulegen, weshalb es gleichwohl an einer Betroffenheit des Nutzers fehlt (Senat, Urteil vom 28. Januar 2025 – 4 U 157/24 –, juris). Die Beklagte behauptet, dass durch sie vorgenommene Untersuchungen ergeben hätten, dass weit weniger Datensätze von dem API-Bug 2021 betroffen gewesen seien, als bei einer Recherche über die Website www.haveibeenpwned.com ausgewiesen würden, und dass u. a. der ......-Account der Klagepartei nicht von einem Hacking-Vorfall auf ihrer Plattform betroffen gewesen sei. Mit diesem pauschalen Bestreiten genügt die Beklagte aber nicht der sie treffenden sekundären Darlegungslast. Soweit sie tatsächlich über einen kompletten Datensatz aller betroffenen Nutzer verfügen sollte, hat sie diesen nicht vorgelegt und auch nicht im Einzelnen dargestellt, aufgrund welcher Erkenntnisse es ihr möglich war, den Kläger aus dem Kreis der betroffenen Nutzer auszuschließen. Auch vorgerichtlich hat die Beklagte gegenüber der Klagepartei auf deren Anfrage vom 17.07.2023 (Anlage K 1) hin mit Schreiben ihrer Bevollmächtigten vom 03.08.2023 (Anlage K 2) lediglich erklärt, dass es keine Beweise dafür gebe, dass die online verkauften Daten durch die Ausnutzung einer Sicherheitslücke in den Systemen von ...... International erlangt worden seien. Damit ist der Klagepartei jedwede Möglichkeit zu konkretisiertem Vortrag genommen. Sache der Beklagten wäre es gewesen, im Einzelnen darzustellen, woraus sich die behauptete

fehlende Betroffenheit der Klagepartei aufgrund der von ihr selbst durchgeführten Untersuchungen beweisbar entnehmen lässt (vgl. LG Freiburg (Breisgau), Urteil vom 8. Februar 2024 – 8 O 212/23 –, juris). Hieran fehlt es vorliegend. b) Es fehlt indes an einem Schaden infolge dieses Datenschutzvorfalls. Nach der Rechtsprechung des Bundesgerichtshofes (vgl. Urteil vom 18.11.2024 - VI ZR - 10/24 - juris) kann auch der bloße Kontrollverlust einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betroffenen Daten bewiesen ist. Der Beweis obliegt der betroffenen Person (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22 - juris; vgl. BGH a.a.O.). Ein solcher Kontrollverlust konnte hier indes nicht mehr eintreten. Die E-Mail-Adresse der Klagepartei ist nach dem von ihr selbst vorgelegten Ausdruck der Webseite www.haveibeenpwnd.com bereits vor dem streitgegenständlichen Vorfall von einem Datenschutzvorfall betroffen gewesen. Der Senat hat die Seite www.haveibeenpwnd.com selbst in Augenschein genommen (Stand: 01.04.2025), da der von der Klagepartei vorgelegte Screenshot zwei Datenschutzvorfälle, in der Detailbeschreibung aber lediglich den Vorfall bei der Beklagten ausweist. Hiernach kam es vor dem streitgegenständlichen Vorfall jedoch bereits bei der Plattform „D......“ im Jahr 2016 zu einem Verlust unter anderem der E-Mail-Adresse der Klagepartei. Zwar steht das Risiko, dass auch Dritte das Datum nicht datenschutzkonform verarbeitet haben, der Darlegung eines Kontrollverlustes nicht entgegen; dies gilt jedoch nur, solange sich dieses nicht unstreitig vor dem Eintritt des Datenschutzvorfalls verwirklicht hat (vgl. BGH, Urteil vom 18.11.2024 - VI ZR 10/24 a.a.O.). So liegt es aber hier. Wie die persönliche Anhörung des Klägers vor dem Landgericht in der öffentlichen Sitzung vom 12.07.2024 (Bl. 138 eA I. Instanz) ergeben hat, begann das erhöhte SPAM-Aufkommen bei E-Mails, Telefonanrufen und SMS gegen Ende des Jahres 2020. Bei dieser Sachlage – Datenschutzvorfall bei einem anderen Anbieter im Jahr 2016 und erhöhtes Spamaufkommen ab dem Jahr 2020 – ist es nicht plausibel, dass die Befürchtung des Missbrauchs der Daten durch den Datenschutzvorfall bei der Beklagten Anfang des Jahres 2023 ausgelöst worden sein soll. Einen weitergehenden immateriellen Schaden hat die Klagepartei bereits nicht dargelegt. 2. Da es an einem kausalen Schaden fehlt, steht der Klagepartei auch kein Anspruch auf Feststellung einer weiteren Ersatzpflicht (Antrag Ziffer 2.) zu. Die Möglichkeit des Eintritts künftiger - hier materieller - Schäden als Voraussetzung für ein Feststellungsinteresse ist nur dann ohne weiteres zu bejahen, wenn auf Grund eines eingetretenen und andauernden Kontrollverlustes eine künftige Schadensentwicklung nicht nur rein theoretischer Natur ist (vgl. BGH, Urteil vom 18.11.2024 - VI ZR 10/24, Rn 49 - juris). 3. Die Unterlassungsanträge (Antrag Ziffer 5. bzw. Hilfsantrag) sind unzulässig, da nicht hinreichend bestimmt. Der Hauptantrag hat keinen vollstreckungsfähigen Inhalt. Die Begriffe „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen“ sind zu unbestimmt und nicht vollstreckbar (so auch BGH, Urteil vom 18.11.2024, VI ZR 10/24 - juris). Schließlich steht zwischen den Parteien im Streit, welche Maßnahmen dem Stand der Technik entsprechen. Die auslegungsbedürftige Antragsformulierung lässt sich auch nicht durch Auslegung unter Heranziehung des Vortrags der Klagepartei eindeutig präzisieren. Eine Zwangsvollstreckung wäre nicht möglich (vgl. Senat, Urteil vom 28. Januar 2025 – 4 U 157/24 –, juris, für die gleiche Sachverhaltskonstellation). Für den Hilfsantrag, mit dem der Beklagten Unterlassung aufgegeben werden soll, eine API-Schnittstelle vorzuhalten, mit der unbekannte Dritte, die bereits im Besitz der E-Mail-Adresse oder der Mobilnummer der

Klägerseite waren, mittels Eingabe dieser Daten die ......-ID der Klägerseite erhalten können, gilt nichts anderes. Welche konkreten Maßnahmen die Beklagte für eine Modifizierung der API-Schnittstelle ergreifen soll, lässt sich der Formulierung nicht entnehmen. 4. Der Klagepartei steht kein Anspruch auf Auskunft nach Art. 15 DSGVO zu (Ziffer 4.), denn der Anspruch ist erfüllt worden, § 362 BGB (siehe Senat, Urteil vom 28. Januar 2025 – 4 U 157/24 –, juris, für die gleiche Sachverhaltskonstellation). 5. Im Anschluss hieran kommt auch kein an die Verletzung einer Auskunftspflicht anknüpfender weiterer immaterieller Schadensersatz (Feststellungsantrag Ziff. 2.) in Betracht, ohne dass es insofern darauf ankäme, ob die Verletzung einer Auskunftspflicht aus Art. 15 DSGVO tauglicher Anknüpfungspunkt für einen Anspruch aus Art. 82 DSGVO sein kann (vgl. BSG, Urteil vom 24. September 2024 – B 7 AS 15/23 R –, juris). 6. Aufgrund des Vorstehenden sind Ansprüche auf Erstattung vorgerichtlicher Rechtsverfolgungskosten ebenfalls zu verneinen. 7. Der Senat rät daher zu eine Rücknahme der Berufung, die zwei Gerichtsgebühren spart. Die beabsichtigte Festsetzung des Streitwerts hat ihre Grundlage in §§ 3, ZPO, 48 Abs. 2 GKG. Die Anträge auf Feststellung auf Auskunft sind mit jeweils 500,- EUR zu bemessen. Die Zahlungsanträge haben Werte von jeweils 1.000,- EUR. Der Unterlassungsantrag ist mit 1.500,- EUR zu bemessen (vgl. BGH, Beschluss vom 10.12.2024 - VI ZR 7/24, juris). Im Übrigen wird zur Begründung auf die Beschlüsse des Senates vom 31.07.2023 (4 W 396/23 und 4 W 388/23 - beides juris) Bezug genommen. S...... Dr. L...... R......