I.
Die Klägerin nutzt das Netzwerk „…“ seit dem 09.09.2018 unter dem Benutzernamen „…“. Betreiberin des Netzwerks ist die Beklagte […].
Die Nutzung der Plattform ist kostenfrei. Allerdings wird den Nutzern Werbung angezeigt, die auf den Interessen des jeweiligen Nutzers basiert. Dafür nutzt und verarbeitet die Beklagte verschiedene Daten, die sie in ihrer Datenschutzrichtlinie (Anlage K 1) aufführt und auf die sie bei der Registrierung ebenso hinweist wie auf die Cookie-Richtlinie. Zu diesen Daten gehören neben den persönlichen Informationen, die der Nutzer bei der Registrierung angibt, Informationen über
− das Nutzungsverhalten des jeweiligen Nutzers in Produkten der Beklagten (sog. OnsiteDaten)
− Informationen über Freunde und Follower des Nutzers
− deren Nutzungsverhalten in Produkten der Beklagten
− die technischen Geräte, mit deren Hilfe der Kunde die Produkte der Beklagten nutzt
Darüber hinaus gehören zu den o.g. Daten auch „Informationen von Partnern über Handlungen, die du sowohl innerhalb als auch außerhalb unserer Produkte durchführst. Dazu können z. B. andere von dir besuchte Websites, von dir verwendete Apps oder von dir gespielte Online-Spiele gehören“ (Datenschutzrichtlinie, Anlage K 1, S. 6; sog. Offsite-Daten).
Unter „Partnern“ versteht die Beklagte „Personen, Unternehmen, Organisationen oder Einrichtungen, die unsere Produkte nutzen oder integrieren, um ihre Produkte und Dienstleistungen zu bewerben, zu vertreiben oder zu unterstützen“ (Datenschutzrichtlinie, Anlage K 1, S. 10).
Um diese sog. Offsite-Daten erheben zu können, hat die Beklagte sog. „…-Tools“ entwickelt.
„Sie unterstützen Websitebetreiber*innen […], darunter auch Werbetreibende, bei der Integration ihrer Apps und Websites mit … […] Gleichzeitig können sie Personen, die diese nutzen oder daran Interesse haben, besser erreichen und ihnen einen besseren Service bieten. Zu diesen …-Tools gehören beispielsweise das …-Pixel, die C# …, App-Events über …, Offline- … und die App … Wir empfangen außerdem Daten der …-Tools als Impressionen und Klickdaten (z. B. „Gefällt mir“Angaben oder die Anzahl der Klicks auf den „Teilen“-Button), die durch soziale Plugins von … und … übermittelt werden. Darüber hinaus empfangen wir Daten von bestimmten …s, beispielsweise den MessengerKund*innenabgleich von der … oder aus bestimmten Pilot-, Test-, Alpha- oder Beta-Programmen, die wir von Zeit zu Zeit anbieten […]“
(Anlage B 3, S. 3)
Die …-Tools dienen dazu, dass bei Drittanbietern entstandene personenbezogene Informationen an die Beklagte übersandt werden. Dazu zählen u.a. der sog. „…-Pixel“ und die „C##“. Der …-Pixel wird in Form eines Programmcodes im Hintergrund des Browsers ausgeführt, ohne dass der Nutzer dies bemerkt („Glossar“, Anlage K 4, S. 5). „Die C## ist ein …-Tool, das Marketingdaten direkt und zuverlässig von deinem Server [= dem Server des Gewerbetreibenden] an die …-Systeme übermittelt, die deine Werbeanzeigen ausliefern“ („…-Playbook“, Anlage K 11, S. 4). Die Beklagte empfiehlt den Nutzern ihrer ……Tools, diese in Kombination zu verwenden:
„Heute sollte das Pixel zusammen mit anderen resilienten Lösungen verwendet werden, damit du die Customer Journey vollständig erfassen kannst.“ (“ …-Playbook“, Anlage K 11, S. 5)
Zu den personenbezogenen Informationen, die mit Hilfe der ……Tools erfasst werden, gehören zum einen Kontaktinformationen, „mit denen Einzelpersonen identifiziert werden können, wie Namen, E-Mail-Adressen und Telefonnummern“ („……Tools Nutzungsbedingungen“, Anlage B 5, S. 1). Zum anderen gehören hierzu aber auch sogenannte „Event-Daten“. Dabei handelt es sich um „sonstige Informationen, die du über Personen und ihre Handlungen teilst, die sie auf deinen Websites und in deinen Apps oder Shops vornehmen, wie z.B. Besuche auf deinen Websites, Installationen deiner Apps und Käufe deiner Produkte“ („……Tools Nutzungsbedingungen“, Anlage B 5, S. 1).
Für die Nutzung dieser ……Tools hat die Beklagte Nutzungsbedingungen mit den Drittanbietern vereinbart (Anlage B 5). Danach ist der Nutzer der ……Tools gem. Ziff. 3. lit. d) der Nutzungsbedingungen verpflichtet sicherzustellen, dass der Endnutzer „alle erforderlichen Einwilligungen erteilt“. Beim Öffnen einer Drittwebsite erscheint bei ordnungsgemäßer Einrichtung durch den Betreiber der Website eine zusätzliche Schaltfläche, auf welcher der Nutzer eine Einstellung betreffend die weitere Nutzung der Drittwebsite treffen kann. Beispielsweise hat er die Wahl zwischen einer weiteren entgeltfreien Nutzung mit Werbung und Tracking oder aber einer entgeltlichen Weiternutzung, ohne dass seine Daten an Werbetreibende weitergegeben werden (s. Screenshot, Replik vom 04.11.2024, Bl. 143 – 264 LGA, dort S. 28 = Bl. 170 LGA).
Allerdings wird der …-Pixel sofort ohne Zustimmung des Nutzers geladen:
„Das Gerät einer Person kommuniziert direkt mit dem Erstanbieter-Server, um die Inhalte von der Website oder App zu laden (z. B. Artikel/Bilder usw., die von der Website oder App veröffentlicht werden); auf Anweisung des Drittanbieters kommuniziert das Gerät auch mit Drittanbieter-Servern, z.B. LinkedIn, Google, Twitter oder … (unter anderen), um Technologien oder Funktionen zu laden, die von diesen Unternehmen angeboten werden und die das Drittunternehmen auf seiner Website oder in seiner App integriert oder eingebettet hat.“
(Schriftsatz der Beklagtenvertreterinnen vom 09.01.2025, Bl. 286 – 406 LGA, dort S. 19 = Bl. 305 LGA)
Eine Kontrolle durch die Beklagte sehen die Nutzungsbedingungen nicht vor. Vielmehr heißt es im …-Hilfebereich für Unternehmen (Anlage B 6, S. 1):
„…s Systeme sind zwar darauf ausgelegt, potenziell unzulässige Informationen herauszufiltern, die sie erkennen können, aber letztendlich bist du für die Daten verantwortlich, die du mit … teilst“.
Die Beklagte und der Drittanbieter sind ausweislich der „Nutzungsbedingungen für …-Tools (Anlage B 5, S. 5 unter Punkt 5. a. ii.) „gemeinsam Verantwortliche gemäß Art. 26 DSGVO“ für die Erhebung personenbezogener Informationen über die …-Tools und ihre anschließende Übermittlung an die Beklagte.
Besucht ein Nutzer eine mit einem solchen Tool präparierte Webseite oder App, erhebt und erfasst das ……Tool die o. g. Informationen zum Gerät des Nutzers und die Tätigkeiten des Nutzers auf der Webseite oder der App. Dies kann der Nutzer auch nicht mit Datenschutzeinstellungen auf der Plattform der Beklagten verhindern. Er kann lediglich Einfluss darauf nehmen, wie die Beklagte die so in ihren Machtbereich gelangten Daten weiter nutzt.
Im Rahmen der Nutzung des Netzwerks … nimmt die Beklagte nämlich auf Folgendes Bezug:
Bei der Einrichtung des Netzwerks muss der Nutzer den Nutzungsbedingungen zustimmen.
Im Rahmen der Registrierung verweist die Beklagte den Nutzer auf die Datenschutzrichtlinie (Anlage K 1) sowie auf die Cookie-Richtlinie. Aus der Datenschutzrichtlinie ergibt sich insbesondere, dass diese alle vom Nutzer bereitgestellten Informationen und Geräteinformationen erfasst sowie alle benutzten …-Produkte, einschließlich der über die …-Tools übersandten Informationen der Drittunternehmen, und diese miteinander verbunden werden. So heißt es auf S. 9 f. der Datenschutzrichtlinie (Anlage K 1):
„Partner teilen auch Informationen wie deine E-Mail-Adresse, Cookies und deine Geräte-ID für Werbezwecke mit uns. […] Wir erhalten diese Informationen unabhängig davon, ob du bei unseren Produkten angemeldet bist bzw. ein Konto auf ihnen hast oder nicht. […] Partner geben außerdem ihre Kommunikation mit dir an uns weiter, wenn sie uns anweisen, Dienstleistungen für ihr Unternehmen zu erbringen, wie Unterstützung bei der Verwaltung ihrer Kommunikation […] … Partner nutzen unsere Tools, Integrationen und … Audience Network-Technologien, um Informationen mit uns zu teilen.
Diese Partner erheben deine Informationen, wenn du ihre Website oder App besuchst oder ihre Dienste nutzt…“.
Sodann hat der Nutzer auf der Plattform der Beklagten die Möglichkeit, folgende Einstellungen zu treffen:
− Deaktivierung/Verwendung optionaler Cookies
− Informationen von Webepartnern zu Aktivitäten verwenden/nicht verwenden, um Werbung anzuzeigen.
D.h., der Nutzer kann zwar durch die Einstellungen verhindern, dass die an die Beklagte übermittelten Daten für personalisierte Werbung verwendet werden. Er kann aber nicht verhindern, dass die Beklagte die über Dritte generierten Daten überhaupt erhält.
Die von der Beklagten angebotenen und vertriebenen ……Tools laufen auf mannigfachen, reichweitenstarken Webseiten und Apps in Deutschland im Hintergrund. Hierzu gehören
− zahlreiche große Nachrichtenseiten und -Apps (z.B. spiegel.de, bild.de, welt.de, faz.net, stern.de)
− die großen Reiseseiten und -Apps (z.B. tripadvisor.de, hrs.de, holidaycheck.de, kayak.de, momondo.de)
− Seiten und Apps, die medizinische Hilfe bieten (z.B. apotheken.de, shopapotheke.de, docmorris.de, aerzte.de, heliosgesundheit.de, jameda.de)
− Dating- und Erotikseiten (parship.de, amorelie.de, orion.de, lovescout24.de)
− Seiten mit Inhalten aus der innersten Intimsphäre (krebshilfe.de, tfpfertility.com, niewiederalkohol.de, nvve.nl)
(Klageschrift vom 11.12.2023, S. 9, Anlage K 2).
Die bei ihren Nutzern angefallenen Daten sendet die Beklagte weltweit in Drittstaaten, insbesondere in die USA (a.a.O., S. 13).
Die Klägerin legte ein anwaltliches Schreiben vom 04.10.2023 (Anlage K 3) vor, in dem sie die Beklagte unter Fristsetzung zum 25.10.2023 unter anderem aufforderte, ihr ein Schmerzensgeld in Höhe von 5.000,- € für behauptete Eingriffe in das Recht auf informationelle Selbstbestimmung in Form von Verstößen gegen Verpflichtungen aus der DSGVO zu zahlen.
Die Klägerin hat mit Schriftsatz des Klägervertreters vom 11.12.2023, der Beklagten zugestellt am 28.02.2024, zunächst beantragt,
Es wird festgestellt, dass bei rechtskonformer Auslegung des Nutzungsvertrages der Parteien zur Nutzung des Netzwerks „…“ unter dem Benutzernamen „…l“ abweichend von den Regelungen des Nutzungsvertrags die Verarbeitung von folgenden personenbezogenen Daten der Klägerin, die die Beklagte beim Aufenthalt der Klägerin auf Drittwebseiten und -Apps außerhalb der Netzwerke der Beklagten verarbeitet hat, in folgendem Umfang seit dem 09.09.2018 nicht zulässig war:
a) auf durch die Klägerin besuchten Dritt-Webseiten und -Apps die personenbezogenen Daten, die der Identifizierung der Klägerin dienen, ob direkt oder in gehashter Form übertragen, d. h.
- E-Mail der Klagepartei
- Telefonnummer der Klagepartei
- Vorname der Klagepartei
- Nachname der Klagepartei
- Geburtsdatum der Klagepartei
- Geschlecht der Klagepartei
- Ort der Klagepartei
- externe IDs anderer Werbetreibender (von der … [ ] „external_ID“ genannt)
- IP-Adresse des Clients
- User-Agent des Clients (d.h. gesammelte Browserinformationen)
- interne Klick-ID der … [ ]
- interne Browser-ID der … [ ]
- Abonnement-ID
- Lead-ID
- anon_ID
- die Advertising ID des Betriebssystems „Android“ (von der … [ ] „…“ genannt) sowie b) auf durch die Klägerin besuchten Dritt-Webseiten
- die URLs der Webseiten samt ihrer Unterseiten
- der Zeitpunkt des Besuchs
- der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist)
- die von der Klagepartei auf der Webseite angeklickten Buttons
- weitere von der … „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren c) in den durch die Klägerin genutzten mobilen Dritt-Apps
- der Name der App
- der Zeitpunkt des Besuchs
- die von der Klagepartei in der App angeklickten Buttons
- die von der … „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren
Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,- €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckenden Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, ohne wirksame Einwilligung der Klägerin auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten die personenbezogenen Daten der Klägerin gemäß dem Antrag zu 1. zu verarbeiten, solange im Einzelfall kein Rechtfertigungsgrund gemäß Art. 6 Abs. 1 lit. b) – e) DSGVO vorliegt.
Die Beklagte wird verpflichtet, sämtliche unter dem Antrag zu 1. lit. a), b) und c) aufgeführten seit dem 09.09.2018 bereits verarbeiteten personenbezogenen Daten ab sofort unverändert am gespeicherten Ort zu belassen, d. h. insbesondere diese erst zu löschen, wenn unsere Mandantschaft sie hierzu auffordert, und diese bis zu diesem Zeitpunkt nicht zu verändern, intern nicht weiter zu verwenden, und nicht an Dritte weiterzugeben.
Die Beklagte wird verurteilt, an die Klägerin immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, der aber mindestens 5.000,- € beträgt, nebst Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 02.11.2023 zu zahlen.
Die Beklagte wird verurteilt, die Klägerin von vorgerichtlichen Rechtsanwaltskosten i.H.v. 1.295,43 € freizustellen.
sowie hilfsweise im Wege der Stufenklage die Anträge zu 6., 7. und 8., falls der Antrag zu 1. dem Grunde nach zugesprochen, dem Antrag zu 4. jedoch nicht vollständig stattgegeben wird: . Die Beklagte wird verurteilt, Auskunft nach Art. 15 Abs. 1 lit. a) bis h) darüber zu erteilen, welche personenbezogenen Daten der Klägerin gem. dem Antrag zu 1. die Beklagte seit dem 09.09.2018 verarbeitet hat, dies insbesondere, aber nicht ausschließlich durch Einbindung der „… – Tools“, d. h. insbesondere, aber nicht ausschließlich die Datensätze des http-Headers, ITAdressen, Browserinformationen, App-Betreiber, die App-ID, Speicherort der Seiten, Dokumentinformationen, Referrer (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist), Informationen über den Verwender, pixelspezifische Daten wie die Pixel-ID und das …-Cookie, Klickdaten sowie konfigurierte „Events“, Geräteinformationen einschließlich der Werbe-ID sowie CookieDaten und gehashte Nutzer-Identifikatoren, dies insbesondere, aber nicht ausschließlich, während die Klägerin nicht bei Netzwerken der Beklagten eingeloggt war, außerdem,
ob, und wenn ja welche konkreten personenbezogenen Daten der Klägerin die Beklagte seit dem 09.09.2018 zu welchem Zeitpunkt an Dritte (Werbepartner, sonstige Partner, im Konzern verbundene Unternehmen oder sonstige Dritte) weitergegeben hat, unter Benennung dieser Dritten,
ob, und wenn ja welche konkreten Daten der Klägerin die Beklagte seit dem 09.09.2018 zu welchem Zeitpunkt (Beginn, Dauer, Ende) in welchem Drittstaat gespeichert hat.
Die Beklagte wird verpflichtet, nach vollständiger Auskunftserteilung gemäß dem Antrag zu 6. sämtliche gem. dem Antrag zu 1. lit. a) seit dem 09.09.2018 bereits gespeicherten personenbezogenen Daten vollständig zu löschen und der Klägerin die Löschung zu bestätigen sowie sämtliche gem. dem Antrag zu 1. lit. b) sowie c) seit dem 09.09.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren sowie auf 2. Stufe (Stufenklage):
Die Beklagte wird verurteilt, an die Klägerin materiellen und immateriellen Schadensersatz aufgrund der Verarbeitung der gem. dem Antrag zu 6. beauskunfteten Daten, dessen Höhe in das Ermessen des Gerichts gestellt wird und dessen Mindestsumme nach erfolgter Auskunftserteilung konkretisiert wird, nebst Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 02.11.2023 zu zahlen sowie hilfsweise der Antrag zu 9., falls der Antrag zu 1. dem Grunde nach zugesprochen und dem Antrag zu 4. vollständig stattgegeben wird:
Die Beklagte wird verpflichtet, sämtliche gem. dem Antrag zu 1. lit. a) seit dem 09.09.2018 bereits gespeicherten personenbezogenen Daten der Klägerin vollständig zu löschen und der Klägerin die Löschung zu bestätigen sowie sämtliche gem. dem Antrag zur 1. lit. b) sowie c) seit dem 09.09.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren.
Mit Schriftsatz des Klägervertreters vom 04.11.2024 hat die Klägerin ihre Anträge wie folgt formuliert:
Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks „…“ unter dem Benutzernamen „…“ der Beklagten die Erfassung mithilfe der … – Tools, die Weiterleitung an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung von folgenden personenbezogenen Daten nicht gestattet:
a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klägerin, ob direkt oder in gehashter Form übertragen, d. h.
[Die folgende Auflistung entspricht der des o.g. ursprünglichen Klageantrags.]
sowie folgende personenbezogene Daten der Klägerin
b) auf Webseiten
[Die folgende Auflistung entspricht der des o.g. ursprünglichen Klageantrags.]
c) in mobilen Dritt-Apps
[Die folgende Auflistung entspricht der des o.g. ursprünglichen Klageantrags.]
Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,- €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckenden Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klägerin gemäß dem Antrag zu 1. mit Hilfe der …-Tools zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden.
Die Beklagte wird verpflichtet, sämtliche unter dem Antrag zu 1. lit. a), b) und c) aufgeführten, seit dem 09.09.2018 bereits verarbeiteten personenbezogenen Daten der Klägerin ab sofort unverändert am gespeicherten Ort zu belassen, d. h. insbesondere diese erst einen Monat nach rechtskräftigem Abschluss des Verfahrens zu löschen und diese bis zu diesem Zeitpunkt nicht zu verändern, intern nicht weiter zu verwenden und nicht an Dritte zu übermitteln.
Die Beklagte wird verpflichtet, sämtliche gem. dem Antrag zu 1. lit. a) seit dem 09.09.2018 bereits gespeicherten personenbezogenen Daten der Klägerin einen Monat nach rechtskräftigem Abschluss des Verfahrens vollständig zu löschen und der Klägerin die Löschung zu bestätigen sowie sämtliche gem. dem Antrag zu 1. lit. b) sowie c) seit dem 09.09.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen.
Die Beklagte wird verurteilt, an die Klägerin eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 5.000,- € beträgt, nebst Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 02.11. 2023 zu zahlen.
[Antrag auf Freistellung von vorgerichtlichen Rechtsanwaltskosten w.o.]
Das Landgericht hat die Klägerin im Rahmen der mündlichen Verhandlung vom 13.01.2025 persönlich angehört.
Die Klägerin hat erklärt, ihr sei vor etwa 3 – 4 Jahren aufgefallen, dass sie, wenn sie über bestimmte Apps – wie u.a. ShopApotheke – bestimmte Waren gekauft oder Dienstleistungen in Anspruch genommen habe, in der Folge dazu passende Werbung erhalten habe. Dies habe bei ihr Irritationen ausgelöst. Sie habe das ganze als beunruhigend empfunden, zumal sie Mutter eines kleinen Kindes sei und sich auch gedacht habe, was da so alles mit den Daten passieren könnte. Medizinische Hilfe habe sie in diesem Zusammenhang nicht in Anspruch genommen.
Die Beklagte bestreitet die von der Klägerin beschriebenen Gefühlszustände im Zusammenhang mit der gegenständlichen Datenproblematik und das von ihr beschriebene Nutzerverhalten im Internet mit Nichtwissen.
Ergänzend wird Bezug genommen auf die im erstinstanzlichen Verfahren gewechselten Schriftsätze nebst Anlagen und das Protokoll der erstinstanzlichen mündlichen Verhandlung vom 13.01. 2025 (Bl. 441 – 444 LGA).
Das Landgericht Augsburg hat mit Endurteil vom 31.03.2025 entschieden:
Die Beklagte wird verurteilt, es zu unterlassen, die folgenden, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten erhobenen personenbezogenen Daten der Klägerin zu verarbeiten:
a) auf Dritt-Webseiten und-Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d. h.
- E-Mail der Klagepartei
- Telefonnummer der Klagepartei
- Vorname der Klagepartei
- Nachname der Klagepartei
- Geburtsdatum der Klagepartei
- Geschlecht der Klagepartei
- Ort der Klagepartei
- externe IDs anderer Werbetreibender (von der … [ ] „external_ID“ genannt)
- IP-Adresse des Clients
- User-Agent des Clients (d.h. gesammelte Browserinformationen)
- interne Klick-ID der … [ ]
- interne Browser-ID der … [ ]
- Abonnement-ID
- Lead-ID
- anon_ID
- die Advertising ID des Betriebssystems „Android“ (von der … [ ] „…“ genannt) sowie folgende personenbezogene Daten der Klagepartei b) auf Webseiten
- die URLs der Webseiten samt ihrer Unterseiten
- der Zeitpunkt des Besuchs
- der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist)
- die von der Klagepartei auf der Webseite angeklickten Buttons
- weitere von der … „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren c) in mobilen Dritt-Apps – der Name der App
- der Zeitpunkt des Besuchs
- die von der Klagepartei in der App angeklickten Buttons
- die von der … „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren Für jeden Fall der Zuwiderhandlung wird der Beklagten die Verhängung eines Ordnungsgeldes bis zu 250.000 € oder einer Ordnungshaft bis zu 6 Monaten angedroht.
Die Beklagte wird verurteilt, an die Klägerin 250,- € nebst Zinsen hieraus i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit 02.11.2023 zu zahlen.
Im Übrigen wird die Klage abgewiesen.
Zur Begründung hat das Landgericht ausgeführt:
Die Klage habe teilweise Erfolg.
A) Die Klage sei teilweise zulässig.
I. Die Anträge zu 1. und 3. seien unzulässig. Der Antrag zu 4. sei teilweise zulässig.
1. Der Antrag zu 1. sei unzulässig mangels Feststellungsinteresses. Das Rechtsschutzziel der Klägerin werde durch die Leistungsanträge auf Zahlung für die vergangene Datenverarbeitung und Unterlassung der streitgegenständlichen Datenerhebung erschöpft.
2. Der Antrag zu 3. sei unzulässig. Die Klägerin mache der Sache nach einstweiligen Rechtsschutz geltend. Eine Klagehäufung mit Hauptsacheanträgen sei unzulässig.
3. Der Antrag zu 4. sei lediglich teilweise zulässig.
a) Der Antrag sei unzulässig, soweit er auf Löschung gerichtet sei. § 259 ZPO lasse Klagen auf künftige Leistung auch außerhalb des Anwendungsbereichs der §§ 257, 258 ZPO zu. Die Klägerin mache aber keinen Anspruch geltend, der erst nach Rechtskraft des Urteils fällig werde. Sie möchte den fälligen Anspruch von zwei alternativen außerprozessualen Voraussetzungen (Aufforderung durch die Klägerin, Ablauf einer Frist von 6 Monaten) abhängig machen. Die ZPO sehe aber nicht die Schaffung von Titeln vor, die erst auf gesonderte Aufforderung der Klägerin vollstreckbar würden. Die unzulässigen außerprozessualen Bedingungen hinderten auch eine Auslegung als Hilfsantrag.
b) Der im Antrag zu 4. enthaltene Antrag auf Anonymisierung weiterer personenbezogener Daten der Klägerin sei abtrennbar und zulässig.
B) Soweit zulässig, sei die Klage teilweise begründet.
I. Die Kägerin habe gem. Art. 17 Abs. 1 lit. d) DSGVO einen Anspruch auf Unterlassung der Datenverarbeitung im ignorierten Umfang.
1. Der Anwendungsbereich der DSGVO gem. Art. 2 und 3 DSGVO sei eröffnet.
2. Aus Art. 17 Abs. 1 lit. d) DSGVO ergebe sich auch ein Unterlassungsanspruch.
3. Die im Tenor genannten Daten der Klägerin seien durch die Beklagte als Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO verarbeitet worden.
a) Die Beklagte habe nicht substantiiert bestritten, die im Tenor genannten personenbezogenen Daten ihrer Nutzer zu verarbeiten. Sie äußere sich lediglich zur Verarbeitung von Daten mit dem Zweck, der Klägerin personalisierte Werbung anzuzeigen. Diese nehme sie mangels Einwilligung der Klägerin nicht vor.
Dass die Beklagte über diesen Zweck hinaus, wie von der Klägerin vorgetragen, über die … – Tools aus unterschiedlichen Quellen erhaltene personenbezogene Daten zusammenfüge und speichere und so einen Digital Fingerprint bzw. ein Digitalprofil des Internetverhaltens der Nutzer erstelle, bestreite sie nicht. Entsprechend trage sie vor, der vorrangige (nicht einzige) Zweck der … – Tools sei es, Drittunternehmen bei der Integration der …-Produkte zu unterstützen, die Effektivität ihrer Werbeanzeigen zu messen und auf …-Produkten Personen zu erreichen, die ihre Produkte oder Dienstleistungen nutzen oder daran interessiert sein könnten.
b) Die Betroffenheit der Klägerin ergebe sich aus ihrem nicht bestrittenen Internetnutzungsverhalten und dem jedenfalls nach Kategorien konkretisierten Vorbringen, sie nutze auch in Anlage K 13 enthaltene Seiten, die unstreitig … – Tools nutzten.
4. Die Datenverarbeitung sei nicht durch Art. 6 Abs. 1 DSGVO gedeckt gewesen.
a) Die von der Beklagten vorgesehenen Einstellungsmöglichkeiten ermöglichten keine wirksame Einwilligung i.S.d. Art. 6 Abs. 1 lit. a) DSGVO. Eine solche Einwilligung müsse freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich sowie durch Erklärung oder eine sonstige eindeutige bestätigende Handlung erfolgen (Art. 4 Nr. 11 DSGVO). Die Einstellungsmöglichkeiten der Beklagten führten nicht zu einer solchen Einwilligung.
b) Darüber hinaus stütze sich die Beklagte ausdrücklich nicht auf Einwilligungen, die die Nutzer auf Drittseiten bzw. Dritt-Apps erteilten. Eine Auslagerung der Einwilligung wäre auch nicht möglich, insbesondere weil eine solche Einwilligung jeweils nur die dort erhobenen Daten und nicht deren Kumulation bei der Beklagten, die eine darüber hinausgehende Qualität und einen weitergehenden Informationsgehalt habe, betreffen könnte.
c) Auf weitere Rechtfertigungsgründe berufe sich die insoweit darlegungs- und beweisbelastete Beklagte nicht.
5. Die Wiederholungsgefahr ergebe sich aus der bereits erfolgten rechtswidrigen Datenverarbeitung.
6. Anlass für die Aussetzung des Verfahrens (§ 148 ZPO) bestehe nicht. Nicht letztinstanzliche Gerichte seien nur zur Aussetzung verpflichtet, wenn sie erhebliche Zweifel an der Gültigkeit einer Unionsnorm hätten und diese nicht anwenden oder von ihrer bisherigen Auslegung durch den EuGH bewusst abweichen wollten. Dieses sei nicht der Fall.
II. Ein Anspruch auf Anonymisierung (Antrag zu 4.) bestehe mangels Anspruchsgrundlage nicht. Insbesondere ergebe er sich nicht aus Art. 17 DSGVO. Anonymisierung sei kein Minus, sondern ein Aliud zur Löschung.
III. Der Schadensersatzanspruch beruhe auf Art. 82 DSGVO. Kumulative Voraussetzungen seien ein Verstoß gegen die DSGVO (s.o.), ein materieller oder immaterieller Schaden und ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden.
1. Der Begriff des immateriellen Schadens sei mangels eines Verweises in Art. 82 Abs. 1 DSGV auf das Recht der Mitgliedstaaten unionsrechtlich autonom zu definieren. Er sei weit auszulegen. Ein bestimmter Grad an Schwere oder Erheblichkeit sei nicht erforderlich. Bereits der kurzzeitige Verlust der Kontrolle über personenbezogene Daten könne einen immateriellen Schaden darstellen, ohne dass dieser den Nachweis zusätzlicher spürbarer negativer Folgen erfordere. Auch die begründete Befürchtung, dass die personenbezogenen Daten einer Person aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet würden, ohne Kontrollverlust reiche aus. Demgegenüber genügten die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen oder ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht.
Die Beklagte habe rechtswidrig personenbezogene Daten der Klägerin verarbeitet und dadurch einen Kontrollverlust hervorgerufen. Einen darüber hinausgehenden Schaden habe die informatorische Anhörung der Klägerin nicht ergeben.
2. Die DSGVO enthalte keine Bestimmung über die Bemessung des Schadensersatzes aus Art. 82 Abs. 1 DSGVO. Diese richte sich nach den innerstaatlichen Vorschriften. Eine Entschädigung in Geld sei „vollständig und wirksam“, wenn sie es ermögliche, den erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion solle der Anspruch nicht erfüllen (BGH, Urt. v. 18.11.2024 – VI ZR 10/24).
Der immaterielle Schaden sei mit 250,- € angemessen und ausreichend kompensiert (§ 287 ZPO).
Der Zinsanspruch beruhe auf §§ 286, 288 Abs. 1 BGB.
3. Außergerichtliche Rechtsanwaltskosten seien nicht zu kompensieren. Die Rechtsverfolgung sei nicht zweckmäßig gewesen. Den Klägervertretern habe bekannt sein müssen, dass die Beklagte auf außergerichtliche Aufforderungen hin zu keiner Erfüllung bereit sei. Sie hätten sich daher ein unbedingtes Mandat zur Klageerhebung erteilen lassen müssen. C.
Die Zwangsmittelandrohung erfolge auf der Grundlage des § 890 ZPO.
Das Urteil ist der Beklagtenvertreterin am 02.04.2025 und dem Klägervertreter am 03.04.2025 zugestellt worden.
Die Klägerin hat mit Schriftsatz des Klägervertreters vom 05.05.2025, eingegangen beim Oberlandesgericht München am selben Tag, Berufung eingelegt und diese mit Schriftsatz des Klägervertreters vom 04.09.2025, eingegangen beim Oberlandesgericht München am selben Tag (im Folgenden: BBK, Bl. 34 – 59 der Akte des Berufungsverfahrens – im Folgenden: BerA), begründet.
Die Beklagte hat mit Schriftsatz der Beklagtenvertreterin vom 23.04.2025, eingegangen beim Oberlandesgericht München am selben Tag, Berufung eingelegt und diese mit Schriftsatz der Beklagtenvertreterin vom 04.09.2025, eingegangen beim Oberlandesgericht München am selben Tag (im Folgenden: BBB, Bl. 60 – 125 der Akte des Berufungsverfahrens – im Folgenden: BerA), begründet.
Die Klägerin führt aus:
1. Die Klage sei insgesamt zulässig.
a) Der Feststellungsantrag zu 1. sei zulässig.
(1) Die Klägerin habe ein schutzwürdiges Interesse an der Feststellung des streitigen Rechtsverhältnisses.
Es komme ihr darauf an, das Netzwerk der Beklagten zukünftig im zulässigen Rahmen nutzen zu können, ohne dass die Beklagte rechtswidrig personenbezogene Daten verarbeite. Dem Interesse könne nicht durch die übrigen Anträge entsprochen werden. Die Rechte aus dem Nutzungsvertrag stellten das konkrete feststellungsfähige Rechtsverhältnis dar. Zukünftige Schäden durch weitere Eingriffe in die informationelle Selbstbestimmung der Klägerin gemäß § 823 Abs. 1 BGB seien offensichtlich zu besorgen. Die Möglichkeit der künftigen Schädigung bestehe auch, wenn das Gericht den übrigen Anträgen stattgebe. Zur Erreichung des Antragsziels stehe der Klägerin kein einfacherer und billiger Weg zur Verfügung. Es bestehe eine Parallele zur Feststellung einer Schadensersatzpflicht dem Grunde nach bei noch nicht abgeschlossenen Schadensentwicklungen, wo die Möglichkeit von Folgeschäden genüge. Hier habe die Schadenszufügung noch kein Ende gefunden. Ein Unterlassungstitel sei keine Grundlage für weitere Schadensersatzansprüche. Die Beklagte setze ihr von der Klägerin beanstandetes Verhalten fort.
(2) Jedenfalls sei der Feststellungsantrag zu 1. als Zwischenfeststellungsantrag gemäß § 256 Abs. 2 ZPO zulässig. Die Frage der Berechtigung der Beklagten zur Datenverarbeitung sei für den Unterlassungsantrag vorgreiflich.
b) Der Antrag zu 3. sei ebenfalls zulässig.
Es sei Sache der Klägerin, ob sie den Antrag im Hauptsacheverfahren geltend mache oder eine einstweilige Verfügung beantrage. Art. 18 DSGV möge als Ausprägung einstweiligen Rechtsschutzes anmuten. Es gebe aber keine Vorgabe, dass der Anspruch nur so geltend gemacht werden könnte. Ein Anordnungsgrund sei nicht Voraussetzung. Der Klägerin stünden auch nach nationalem Recht Unterlassungsansprüche aus §§ 823, 1004 BGB und §§ 280 Abs. 1, 241 Abs. 2, 242 BGB zu.
c) Auch der Antrag zu 4. sei zulässig.
Er sei nicht an eine außerprozessuale Bedingung geknüpft. Soweit die Klägerin die Möglichkeit haben solle, die Beklagte aufzufordern, die Daten schon früher zu löschen, spreche dies nur die rechtliche Möglichkeit eines Verzichts auf den Aufbewahrungsanspruch an.
2. Die Klage sei insgesamt begründet.
a) Der auf Löschung gerichtete Antrag zu 4. sei begründet.
Die Anonymisierung sei ein Unterfall der Löschung (Art. 17 DSGVO). Das Recht auf Anonymisierung folge außerdem aus Art. 18 Abs. 1 lit. b), Abs. 2 DSGVO (Einschränkung der Verarbeitung).
b) Auch der auf Entschädigung gerichtete Antrag zu 5. sei begründet.
(1) Er ergebe sich aus Art. 82 DSGVO.
Das Landgericht habe den Schaden deutlich zu niedrig beziffert. Es liege ein umfänglicher Kontrollverlust vor. Die Klägerin wisse nicht mehr und könne nicht mehr wissen, was die Beklagte über sie wisse.
Der EuGH habe bereits die einmalige ungerechtfertigte Weitergabe einer IP-Adresse als Schaden mit 400,- € bewertet. Während die Scraping-Fälle wenige freiwillig angegebene Daten, die aufgrund fahrlässigen Verhaltens von Dritten hätten erlangt werden können, betroffen hätten, gehe es hier um eine vorsätzliche, dauerhafte und umfassende Verarbeitung einer Vielzahl von Daten, die geeignet seien ein umfassendes Persönlichkeitsprofil zu erstellen.
(2) Der Anspruch folge auch aus § 823 BGB i.V.m. Art. 1 Abs. 1, 2 Abs. 1 GG.
c) Der Antrag zu 6. auf Freistellung von vorgerichtlichen Rechtsanwaltskosten sei begründet.
Erste Zahlungsaufforderungen seien im Mai 2023 erfolgt, erste Klagen seien im August 2023 eingereicht worden. Zum Zeitpunkt der vorgerichtlichen Tätigkeit sei die Reaktion der Beklagten noch nicht absehbar gewesen.
Die Klägerin beantragt,
das erstinstanzliche Urteil des Landgerichts Augsburg vom 31.03.2025 abzuändern und neu zu fassen wie folgt:
Es wird festgestellt, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks „…“ unter dem Benutzernamen „…“ der Beklagten die Erfassung mit Hilfe der … – Tools, die Weiterleitung an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung von folgenden personenbezogenen Daten nicht gestattet:
a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klägerin, ob direkt oder in gehashter Form übertragen, d. h.“
- E-Mail der Klagepartei
- Telefonnummer der Klagepartei
- Vorname der Klagepartei
- Nachname der Klagepartei
- Geburtsdatum der Klagepartei
- Geschlecht der Klagepartei
- Ort der Klagepartei
- externe IDs anderer Werbetreibender (von der … [ ] „external_ID“ genannt) – IP-Adresse des Clients
- User-Agent des Clients (d.h. gesammelte Browserinformationen)
- interne Klick-ID der … [ ]
- interne Browser-ID der … [ ]
- Abonnement-ID
- Lead-ID
- anon_ID
- die Advertising ID des Betriebssystems „Android“ (von der … [ ] „…“ genannt) sowie folgende personenbezogene Daten der Klagepartei b) auf Webseiten
- die URLs der Webseiten samt ihrer Unterseiten
- der Zeitpunkt des Besuchs
- der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist)
- die von der Klagepartei auf der Webseite angeklickten Buttons
- weitere von der … „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren c) in mobilen Dritt-Apps – der Name der App
- der Zeitpunkt des Besuchs
- die von der Klagepartei in der App angeklickten Buttons
- die von der … „Events“ genannten Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren
Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,- €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckenden Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, auf Drittseiten und -Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klägerin gemäß dem Antrag zu 1. mit Hilfe der … – Tools zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden.
Die Beklagte wird verpflichtet, sämtliche unter dem Antrag zu 1. lit. a), b) und c) aufgeführten seit dem 09.09.2018 bereits verarbeiteten personenbezogenen Daten der Klägerin ab sofort unverändert am gespeicherten Ort zu belassen, bis diese gem. dem Antrag zu 4. gelöscht werden.
Die Beklagte wird verpflichtet, sämtliche gem. dem Antrag zu 1. lit. a) seit dem 09.09.2018 bereits gespeicherten personenbezogenen Daten der Klägerin einen Monat nach rechtskräftigem Abschluss des Verfahrens vollständig zu löschen und der Klägerin die Löschung zu bestätigen sowie sämtliche gem. dem Antrag zu 1. lit. b) sowie c) seit dem 09.09.2018 bereits gespeicherten personenbezogenen Daten vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen.
Die Beklagte wird verurteilt, an die Klägerin eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 5.000,- € beträgt, nebst Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 02.11. 2023 zu zahlen.
Die Beklagte wird verurteilt, die Klägerin von vorgerichtlichen Rechtsanwaltskosten i.H.v. 1.295,43 € freizustellen.
Die Beklagte beantragt, die Berufung der Klägerin zurückzuweisen,
das Urteil des Landgerichts Augsburg vom 31.03.2025, 021 O 4389/23, … zugestellt am 02.04.2025, abzuändern, soweit der Klage stattgegeben wurde, und die Klage insgesamt abzuweisen.
Hilfsweise beantragt sie, die Revision zuzulassen.
Für den Fall, dass der Senat zu der Auffassung gelangen sollte, dass aus Art. 17 DSGVO ein Unterlassungsanspruch folge, beantragt die Beklagte, das Verfahren analog § 148 ZPO aufgrund des Vorlagebeschlusses des BGH an den EuGH (ZD 2024, 90) zu folgenden Fragen auszusetzen:
a) Ist Art. 17 DSGVO dahingehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangt?
b) Kann sich ein solcher Unterlassungsanspruch (auch) aus Art. 18 DSGVO oder einer sonstigen Bestimmung der DSGVO ergeben?
Die Beklagte meint, die Berufung der Klägerin sei unzulässig, soweit sie das erstinstanzliche Urteil insgesamt – also auch, soweit es der Klage stattgegeben hat – angreife.
Im Übrigen verteidigt sie das erstinstanzliche Urteil, soweit es die Klage abgewiesen hat.
Zur Begründung ihrer Berufung führt die Beklagte aus:
1. Nutzer hätten die Wahl zwischen einem werbefreien kostenpflichtigen Abonnement und der Erlaubniserteilung, die auf …-Produkten erhobenen Informationen für Werbung zu verwenden. Daten von Dritt-Webseiten und -Apps würden nur verarbeitet, wenn der Nutzer ausdrücklich über die Einstellung „Informationen von Werbepartnern zu deinen Aktivitäten“ eingewilligt habe. Die Klägerin habe dies getan.
2. Das Landgericht habe unzutreffende Tatsachenfeststellungen getroffen.
a) Das Landgericht habe rechtsfehlerhaft festgestellt, dass die Beklagte „Digital Fingerprinting“ durchführte.
Die Beklagte verwende keine personenbezogenen Daten, die mithilfe von Cookies oder ähnlichen Technologien erhoben würden, für bestimmte Verarbeitungszwecke einschließlich der Verarbeitung von …-Tools Daten zur Bereitstellung personalisierter Werbung, wenn ein Nutzer sich nicht dafür entscheide, Cookies auf anderen Apps und Webseiten zu erlauben.
Die Einstellung „Deine Aktivitäten außerhalb von …-Technologien“ erlaube den Nutzern, ihre bisherigen mit ihrem Konto verknüpften und von Drittunternehmen geteilten Informationen über Aktivitäten von ihrem …-Konto zu trennen und / oder die Speicherung künftiger Verknüpfungen zwischen ihrem …-Konto und der von Drittunternehmen geteilten Informationen über Aktivitäten für alle Web-Seiten oder -Apps Dritter oder für einzelne Webseiten (oder Apps) aufzuheben.
b) Das Landgericht habe rechtsfehlerhaft angedeutet, dass die Beklagte das außergerichtliche Schreiben der Klägerin vor dem Rechtsstreit erhalten habe, obwohl die Beklagte tatsächlich keine Aufzeichnungen über den Erhalt dieses Schreibens habe.
Sie habe den Zugang des Schreibens bestritten.
c) Die Klägerin habe nicht nachgewiesen, dass die Beklagte ihre Daten verarbeitet.
3. Das angefochtene Urteil sei rechtsfehlerhaft, soweit es der Klage stattgegeben habe.
a) Der Vortrag der Klägerin sei unsubstantiiert.
Die Beurteilung einer individuellen Betroffenheit hänge davon ab, welche Dritt-Webseiten bzw. -Apps die Klägerin besucht habe, ob diese zur Zeit der Besuche eines der streitgegenständlichen – Tools verwendet hätten und welche Daten die Dritt-Webseite bzw.App über die streitgegenständlichen … – Tools an die Beklagte übermittelt habe.
(1) Die Klägerin habe nicht hinreichend substantiiert, inwiefern sie von der von ihr beanstandeten Datenverarbeitung betroffen sei.
Die Liste der angeblich meistbesuchten Webseiten (Anlage K 14) lege eine individuelle Betroffenheit der Klägerin nicht dar. Diese habe nur wenige Webseiten aufgelistet, ohne Beweise des konkreten Besuchs vorzulegen.
Die Beklagte bestreite mit Nichtwissen, dass die Klägerin diese Webseiten besucht hätte.
Die Annahme des Landgerichts, die Klägerin müsste nur nachweisen, dass die Beklagte ihre personenbezogenen Daten im Allgemeine verwendete, während die Beklagte nach Art. 6 DSGVO die Darlegungs- und Beweislast für die Verarbeitung aller streitgegenständlichen Daten hätte, sei fehlerhaft. Die Klägerin müsse angeben, welchen konkreten Verarbeitungszweck und welche entsprechende Rechtsgrundlage sie beanstande. Die Beklagte habe für jede Rechtsgrundlage der Datenschutz-Richtlinie angegeben, warum sie Daten der Nutzer verarbeite. Sie habe das Verhalten der Klägerin nur so verstehen können, dass diese die Verarbeitung von …-ToolsDaten zur Bereitstellung personalisierter Werbung beanstande.
(2) Die Liste der angeblich meistbesuchten Webseiten (Anlage K 14) lege die individuelle Betroffenheit der Klägerin nicht dar.
Bei der Überprüfung einiger Webseiten auf dieser Liste (Amorelie, Orion, Estheticon, NiewiederAlkohol, Wahl-O-Mat, Thorsteinar, Antifascismapparel) habe die Beklagte keine Hinweise darauf gefunden, dass diese zum Zeitpunkt der Überprüfung die streitgegenständlichen – Tools verwendet hätten. Selbst wenn Anlage K 14 Webseiten enthalte, die diese verwendeten, lege dies nicht dar, dass die Beklagte die Daten der Klägerin verarbeitet habe und dies rechtswidrig gewesen sei. Die Klägerin habe nicht substantiiert dargelegt, ob und wann sie diese Webseiten besucht habe und ob diese zur Zeit des Besuchs die streitgegenständlichen – Tools verwendet hätten.
Hauptverantwortlich für die Erhebung und Übermittlung von …-Tools-Daten seien die
Drittunternehmen. Diese müssten alle Offenlegungen vornehmen, Rechte und Genehmigungen einholen, bevor sie -Tools-Daten an die Beklagte weitergäben. Dies sei in den – Tool-Nutzungsbedingungen, an die die Drittunternehmen gebunden seien, festgelegt. Die Beklagte stelle Drittunternehmen Informationen zur Verfügung, wie sie das Senden von Daten durch die streitgegenständlichen – Tools, wie …pixel, an die Beklagte pausieren oder blockieren könnten, bis der Besucher seine Einwilligungen erteilt habe. Eine entsprechende Option gebe es bei der C##. Die Beklagte stelle die streitgegenständlichen – Tools bereit, die Implementierung und Einholung der Einwilligungen liege jedoch in erster Linie in der Verantwortung der Drittunternehmen. Ein Drittunternehmen könne jederzeit entscheiden, ein installiertes …-Tool wieder zu deinstallieren.
(3) In Massenverfahren könnten identische Behauptungen Zweifel an ihrer Wahrhaftigkeit aufkommen lassen.
Selbst wenn der Vortrag eines Klägers isoliert substantiiert und schlüssig wäre, könne die Darstellung in einem Massenverfahren unzureichend sein, wenn derselbe Vortrag inhaltlich und wörtlich identisch bei anderen Klägern vorgetragen werde (vgl. BGH, 18.06.2015 – III ZR 189/14; OLG Stuttgart, 22.11.2023 – 4 U 20/23).
Die Klägervertreter hätten nahezu identische Schriftsätze in tausenden Verfahren eingereicht, ohne hinreichend darzulegen, ob, wann und über welche Webseiten oder Apps Daten über die streitgegenständlichen – Tools verarbeitet worden sein könnten, inwiefern eine solche Verarbeitung rechtswidrig sein könnte, auf welcher konkreten Grundlage jeder Kläger subjektive Eindrücke von Kontrollverlust oder Angst vor Missbrauch habe und inwiefern die Handlungen der Beklagten diese Empfindungen verursacht haben könnten.
(4) Die Klägerin könne sich nicht auf angebliche Schwierigkeiten bei der Einholung von Beweisen stützen, um das Versäumen der Erfüllung ihrer Darlegungs- und Beweislast zu entschuldigen.
Die Beklagte bestreite derartige Schwierigkeiten.
Die Klägerin hätte substantiiert vortragen können, ob eine Webseite, die sie angeblich besucht habe, die streitgegenständlichen …-Tools verwende. In der Klage zeige der Klägervertreter mehrere Screenshots von Webseiten, die angeblich den Pixelcode der Beklagten verwendeten. Dies zeige, dass er gängige Technologien nutzen könne, um Webseiten auf die Verwendung bestimmter streitgegenständliche – Tools zu überprüfen. Soweit der Klägervertreter der Klägerin rate, nicht weiter zum Besuch von Drittwebseiten oder -Apps vorzutragen, um die Weitergabe ihrer in privaten Informationen an die Beklagte zu vermeiden, sei dies widersprüchlich, da die Beklagte nach dem Vortrag der Klägerin die Information schon habe.
Die Beklagte bestreite mit Nichtwissen, dass sie Informationen über die Aktivitäten der Klägerin auf jeder Drittwebseite oder -App erhalte, die die Klägerin jemals besucht habe.
(5) Die Beklagte treffe keine sekundäre Darlegungslast.
Dies wäre nur der Fall, wenn die Klägerin keine weiteren Kenntnisse über die relevanten Umstände hätte und nicht in der Lage wäre, die Angelegenheit weiter aufzuklären. Die Klägerin wisse, welche Webseiten sie besucht habe.
(6) Selbst wenn die Behauptungen der Klägerin unstreitig wären, stützten sie die Anträge nicht. Die Klägerin trage nicht vor, was die Beklagte zu löschen, anonymisieren oder von der Verarbeitung zu unterlassen habe und auf welcher Grundlage der Schadensersatz zu berechnen sei.
b) Es liege keine rechtswidrige Datenverarbeitung vor.
(1) Die Klägerin habe weder einen Verarbeitungszweck konkretisiert noch erläutert, warum dieser rechtswidrig sein sollte.
Der Betroffene müsse die betreffenden Daten, Verarbeitungsvorgänge und -zwecke darlegen.
(2) Die Beklagte stütze sich rechtmäßig auf die Einwilligung der Klägerin für die Verarbeitung von …-Tools-Daten zur Bereitstellung personalisierter Werbung.
Die Einwilligung sei wirksam gem. Art. 4 Nr. 11 DSGVO. Die Nutzer könnten frei entscheiden. Die Einstellung „Informationen von Werbepartnern zu deinen Aktivitäten“ beschränke sich auf einen bestimmten Verarbeitungszweck (Verarbeitung von …-Tools-Daten zur Bereitstellung personalisierter Werbung) und eine bestimmte Datenquelle (die von Werbepartnern übermittelten Aktivitäten eines Nutzers außerhalb der Plattform …#). Nutzern werde eine klare, leicht verständliche und schrittweise Anleitung zur Verfügung gestellt. Sie müssten aktiv auf „Ja, meine Werbung mithilfe dieser Informationen relevanter machen“ klicken. Die Beklagte stütze sich nicht auf die Einstellung „…-Cookies auf anderen Apps und Webseiten“. Sie informiere die Nutzer im Rahmen der Einstellung „Informationen von Werbepartnern zu deinen Aktivitäten“.
c) Der Unterlassungsantrag sei abzuweisen.
(1) Der Antrag sei unzulässig.
aa) Die Klägerin begründe die Rechtswidrigkeit der Verarbeitung nicht.
bb) Der Antrag sei zu unbestimmt, da lediglich abstrakt einzelne in Art. 4 Nr. 2 DSGVO aufgelistete Verarbeitungsvorgänge wiederholt würden. Die Beklagte würde verpflichtet, jegliche Erhebung, Speicherung, Übermittlung und Verwendung personenbezogener Daten der Klägerin unabhängig vom Verarbeitungszweck einzustellen.
cc) Ferner stelle der Antrag eine unzulässige verdeckte Klage auf Vornahme einer Handlung dar. Der Schwerpunkt liege auf einem aktiven Tun (Änderung der Programmierung). Der Klägerin stehe ein einfacherer und billigerer Weg zur Verfügung. Sie könne mit dem SelfService-Tool die dauerhafte Löschung ihres Kontos veranlassen. Unabhängig davon würden Event-Daten maximal 2 Jahre gespeichert. Darüber hinaus könne die Beklagte Kontodaten bei Bedarf (z.B. Rechtsstreitigkeiten) aufbewahren.
(2) Es fehle an einer Rechtsgrundlage für einen Unterlassungsanspruch.
aa) Art. 17 DSGVO enthalte keine Rechtsgrundlage für einen Unterlassungsanspruch. Unterlassung sei etwas grundlegend anderes als Löschung.
bb) Auch aus § 1004 Abs. 1 Satz 2 i.V.m. § 823 Abs. 1 BGB, Art. 2 Abs. 1 GG ergebe sich kein Unterlassungsanspruch.
Es fehle an einer Verletzung des allgemeinen Persönlichkeitsrechts, die aufgrund einer Interessenabwägung unrechtmäßig wäre. Die Beklagte könne sich auf ihre Berufsfreiheit nach Art. 12 Abs. 1 GG und ihr Interesse an einer effektiven und sicheren Bereitstellung ihrer Dienste berufen. Die Klägerin sei nicht gezwungen, ein Konto bei … bzw. … zu unterhalten. Die Gewährung des Anspruchs hätte unverhältnismäßige Auswirkungen auf andere Nutzer und Werbekunden.
Zudem habe die Klägerin weder eine unmittelbare Erstbegehungs- noch eine Wiederholungsgefahr dargelegt. Sie habe weder vorgetragen, dass sie die Website oder App eines Dritten besucht habe, auf der eines der streitgegenständlichen …-Tools installiert gewesen sei, oder dies in naher Zukunft tun werde, noch habe sie dargelegt, dass diese tatsächlich Daten ohne ihre Zustimmung gesammelt und an die Beklagte übermittelt hätte. cc) Schließlich gebe es auch keine vertragliche Grundlage für einen Unterlassungsanspruch.
(3) Die Verarbeitung von …-Tools-Daten zur Bereitstellung personalisierter Werbung sei rechtmäßig, da die Klägerin eingewilligt habe.
(4) Es bestehe keine Wiederholungsgefahr.
Die Klägerin habe keine Beweise dargelegt, dass sie die besagte Dritt-Webseite oder App besucht habe. Es fehle schon der Nachweis einer erfolgten Rechtsverletzung.
Die Klägerin könne ihre Einwilligung widerrufen, ein werbefreies Abonnement abschließen oder über den Cookie-Banner in eine Platzierung technisch nicht notwendiger Cookies nicht einwilligen.
(5) Die Klage überschreite in unzulässiger Weise den Rahmen eines deutschen Zivilprozesses. Eine gewisse Verarbeitung der über die – Tools erhaltenen Daten sei erforderlich, um festzustellen, ob es sich um personenbezogene Daten der Klägerin handele. Die Beklagte habe 3,35 Milliarden Nutzer pro Tag. Die Klage wende sich gegen ihr Geschäftsmodell als solches. Dies sei eine Angelegenheit des öffentlichen Rechts und der zuständigen Behörden. Drittunternehmen, die nicht am Rechtsstreit beteiligt seien, hätten keine Möglichkeit, sich zu beteiligen.
Sollte die Beklagte zur Unterlassung verurteilt werden, müsste die Höhe der Sicherheitsleistung gem. § 709 Satz 1 ZPO ein Vielfaches des Streitwerts betragen.
d) Der Antrag auf Geldentschädigung sei abzuweisen.
(1) Die Voraussetzungen eines Schadensersatzanspruchs gemäß Art. 82 DSGVO seien nicht erfüllt.
Ein solcher Anspruch erfordere einen Verstoß gegen die DSGVO, einen tatsächlich erlittenen Schaden und einen Kausalzusammenhang.
Ein Verstoß sei aufgrund der Einwilligung der Klägerin nicht gegeben. Die Beklagte speichere die Daten maximal 2 Jahre. Ein Schaden sei nicht substantiiert dargelegt. Dies gelte auch für einen Kontrollverlust. Beweisbelastet sei insoweit die Klägerin. Ein Zugriff unbefugter Dritter (wie beim Scraping) sei nicht erfolgt. Die Klägerin habe über die Einstellungen jederzeit Kontrolle über ihre Daten gehabt. Die hypothetische Befürchtung eines Missbrauchs stelle keinen Schaden dar. Die erteilte Einwilligung zeige, dass die Klägerin keine Angst vor Missbrauch habe. Sie behaupte subjektive Gefühle. Die Befürchtungen (Überwachung, Ausspionieren, Verfolgen, Verwendung der Daten für böswillige Zwecke, Verkauf) seien unbegründet. Die Beklagte verwendet Daten „auch dazu, um die Klägerin, Nutzer und das Internet insgesamt vor Cybervorfällen zu schützen“ (BBB, S. 60 = Bl. 120 BerA). Der Klägerin hätten Tools zur Verwaltung der Verarbeitung ihrer Daten zur Verfügung gestanden.
Das Landgericht habe die zugesprochene Höhe des Anspruchs fehlerhaft bemessen. Der Entschädigung komme keine Straffunktion bei. Hauptprofiteure seien die Drittunternehmen. Der BGH habe in seiner Scraping-Entscheidung entschieden, dass in Situationen, in denen ein unbestrittener Kontrollverlust über Daten durch einen unbefugten Dritten vorliege, grundsätzlich eine Entschädigung von bis zu 100,- € angemessen sei.
4. Soweit das Landgericht die Klage abgewiesen habe, entspreche dies der Sach- und Rechtslage.
a) Die Klage sei teilweise unzulässig.
(1) Der Feststellungsantrag zu 1. sei unzulässig.
aa) Es fehle an einem Feststellungsinteresse. Die Klägerin ziele auf die Klärung einer abstrakten Rechtsfrage. Zudem sei der Feststellungsantrag zu unbestimmt.
bb) Die Zulässigkeit des Antrags könne auch nicht auf § 256 Abs. 2 ZPO gestützt werden. Dies stellte eine Umgehung der Anforderungen an das Feststellungsinteresse dar. Der Antrag habe keine Bedeutung für etwaige Folgeprozesse.
(2) Der Belassungsantrag zu 3. widerspreche dem Löschungs- und Anonymisierungsantrag. Die Beklagte können nicht beiden nachkommen. Damit seien beide Anträge unzulässig. Es gebe auch keine Anspruchsgrundlage für die Belastung. Die DSGV enthalte insoweit keine Rechtsgrundlage. Das nationale Recht könne die Rechte der Betroffenen aus der DSGVO nicht erweitern.
(3) Der Löschungs- und Anonymisierungsantrag zu 4. sei unzulässig. Er widerspräche dem Antrag, die Daten unverändert zu belassen. Zudem sei er unbestimmt. Es fehle auch die erforderliche Besorgnis nicht rechtzeitiger Leistung.
b) Soweit das Landgericht die Klage teilweise als unbegründet abgewiesen habe, entspreche dies der Sach- und Rechtslage. Im Übrigen sei die Klage insgesamt unbegründet (s.o. unter Ziff. 3.).
(1) Der Antrag zu 4. (Löschung) sei unbegründet.
Die DSGVO sehe kein Recht auf Anonymisierung vor. Diese sei im Verhältnis zur Löschung ein Aliud.
Die Voraussetzungen von Art. 18 DSGVO seien nicht erfüllt, weil eine Einwilligung vorliege und die Klägerin nach ihrem Antrag die Löschung der Daten nicht ablehne. Die Klägerin habe die Möglichkeit, ihr Konto insgesamt zu löschen. Die Daten würden maximal 2 Jahre, darüber hinaus bei Bedarf gespeichert.
(2) Der Antrag zu 5. (Entschädigung) sei unbegründet.
Der geltend gemachte Schadensersatzanspruch stehe der Klägerin nicht zu.
Es fehle an der konkreten Darlegung eines DSGVO-Verstoßes. Zugriffe Dritter auf Daten der Klägerin seien nicht erfolgt.
Die Klägerin habe keinen Kontrollverlust erlitten. Die Datenschutz-Richtlinie der Beklagten biete detaillierte Informationen darüber, wie die Beklagte Informationen sammele, verwende, teile und übermittle, sowie über die rechtlichen Grundlagen. Andere Unternehmen nutzten ähnliche Technologien. Der behauptete Schaden sei auf die allgemeine Nutzung des Internets durch die Klägerin zurückzuführen.
Ein Anspruch aus nationalem Recht bestehe nicht, weil es sich um EU-Recht handele und eine Öffnungsklausel nicht existiere (BGH, 12.03.2024 – VI ZR 1370/20, Rdnr. 31). Die Klägerin habe auch weder dargelegt, dass eine erhebliche Verletzung ihres allgemeinen Persönlichkeitsrechts erfolgt wäre, noch, dass lediglich eine Geldentschädigung geeignet sei, ihren behaupteten Schaden auszugleichen (vgl. BGH, 17.12.2013 -VI ZR 211/12).
Jedenfalls habe die Klägerin keinen Anspruch auf eine derart hohe Entschädigung. Die Berücksichtigung eines Vorsatzes laufe den Zielen der DSGV zuwider. Der Bundesgerichtshof halte bei unbestrittenem Kontrollverlust über Daten durch einen unbefugten Dritten 100,- € für angemessen.
c) Der Antrag auf Freistellung von vorgerichtlichen Rechtsanwaltskosten sei abzuweisen.
Die Klägerin habe eine Rechtsschutzversicherung, auf die der Anspruch übergegangen sei. Sie habe die Notwendigkeit der Einschaltung eines Anwalts nicht dargelegt. Die vorgerichtliche Korrespondenz sei unnötig gewesen.
Die Klägerin beantragt, die Berufung der Beklagten zurückzuweisen.
Hinsichtlich der von der Beklagten erhobenen Berufungsrügen verteidigt die Klägerin das angefochtene Urteil. Im Übrigen führt sie insoweit aus:
Sie verfolge das Ziel, die Verarbeitung ihrer Off-Site-Daten umfassend zu verhindern. Zu konkreten Verarbeitungszwecken müsse die Beklagte vortragen. Nach den Grundsätzen der sekundären Darlegungslast sei von einer umfassenden Datenverarbeitung auszugehen. Die Beklagte sei darlegungs- und beweisbelastet für die Datenschutzkonformität ihrer technischen Systeme (Art. 5 Abs. 2 DSGVO).
Der Senat hat am 27.11.2025 mündlich verhandelt. Insoweit wird Bezug genommen auf das Sitzungsprotokoll (Bl. 220 – 223 BerA).
Die Beklagte hat am 09.12.2025 einen weiteren Schriftsatz der Beklagtenvertreterin (Bl. 123 – 133 LGA) eingereicht. Darin führt sie u.a. aus, dass die Verarbeitung von …-Tools-Daten auch Sicherheits- und Integritätszwecken im Zusammenhang mit der Erkennung anomaler Aktivitäten, die möglicherweise darauf abzielten, ihre Dienste zu stören, der Erkennung von feindlichen Akteuren, deren Handlungen gegen ihre Richtlinien verstoßen könnten, sowie der Fehlerbehebung und Betriebsdatenerfassung diente.
Die Klägerin hat am 12.12.2025 einen weiteren Schriftsatz des Klägervertreters eingereicht (Bl. 235 – 237 BerA).
II.
Die Berufungen der Klägerin und der Beklagten sind zulässig und teilweise begründet.
1. Die Berufung der Klägerin ist form- und fristgerecht eingelegt (§§ 517, 519 ZPO) und begründet (§ 520 ZPO) worden und auch im Übrigen zulässig.
Gleiches gilt für die Berufung der Beklagten.
2. Die Sache ist auch unter Berücksichtigung des nach Schluss der mündlichen Verhandlung eingereichten, nicht nachgelassenen Schriftsatzes der Beklagten vom 09.12.2025 entscheidungsreif. Ein Anlass zum Wiedereintritt in die mündliche Verhandlung besteht nicht (§ 156 Abs. 1, 2 ZPO). Vielmehr ist der Vortrag nach § 296 a Satz 1 ZPO verspätet, im Übrigen aber auch nicht mehr entscheidungserheblich.
3. Die Klage erweist sich als zulässig.
3.1. Die internationale Zuständigkeit, die auch in der Berufung von Amts wegen zu prüfen ist (vgl. für die Revision BGHZ 153, 82 (84 ff.) = NJW 2003, 426), folgt aus Artt. 17 I lit. c, 18 I Alt. 2 Brüssel Ia-VO.
3.2. Soweit die Klägerin die Feststellung begehrt, wonach der zwischen den Parteien bestehende „Nutzungsvertrag“ es der Beklagten verwehrt, bestimmte – hinreichend genau bezeichnete – personenbezogene Daten von Dritt-Webseiten und Dritt-Apps zu erheben, weiterzugeben, zu speichern und zu verwenden (Antrag zu 1.), ergibt sich die Zulässigkeit der Klage aus § 256 Abs. 2 ZPO.
3.2.1. Die begehrte Feststellung richtet sich auf das Nichtbestehen eines Rechtsverhältnisses.
Ein Rechtsverhältnis ist eine aus dem vorgetragenen Sachverhalt abgeleitete rechtliche Beziehung von Personen untereinander oder zu einem Gegenstand, die ein subjektives Recht enthält oder aus der ein solches Recht entspringen kann (Seiler, in: Thomas/Putzo § 256 Rn. 5 unter Hinweis auf BGH NJW-RR 2015, 398 Rn. 17). Nach BGH NJW 1984, 1556 fallen hierunter „auch einzelne Folgen solcher Rechtsbeziehungen, z.B. einzelne Ansprüche (…)“. Vorliegend verbindet die Parteien unstreitig ein Vertrag zur Nutzung von …, nach dem Verständnis des Senats begehrt die Klägerin die Feststellung, dass der Beklagten ein von ihr aus diesem Vertrag hergeleitetes und in Anspruch genommenes Recht nicht zusteht.
3.2.2. Dahinstehen kann, ob die Klägerin mit Blick auf die von ihr parallel erhobenen Unterlassungs- und Schadenersatzansprüche ein Interesse an der begehrten Feststellung hat, weil ein solches für die Zwischenfeststellung nach § 256 Abs. 2 ZPO nicht notwendig ist.
3.2.3. Bei der Zwischenfeststellungsklage genügt grundsätzlich schon die bloße Möglichkeit, dass das inzidenter ohnehin zu klärende Rechtsverhältnis zwischen den Parteien noch über den gegenwärtigen Streitgegenstand hinaus Bedeutung hat oder gewinnen kann (st. Rspr. seit RGZ 170, 328 [330]). Das ist vorliegend schon deshalb der Fall, weil sich – vom Vortrag der Parteien ausgehend – nicht ausschließen lässt, dass die von Drittanbietern stammenden und der begehrten Feststellung unterliegenden Daten der Klägerin in die Hände Nichtberechtigter geraten (z.B. durch die in der Datenschutzerklärung der Beklagte angesprochenen „Angriffsversuche auf […] Server“) und dass hieraus neuerlich Ansprüche der Klägerin entstehen.
3.3. Der Unterlassungsantrag zu 2. ist hinreichend bestimmt.
3.3.1. Nach § 253 Abs. 2 Nr. 2 ZPO darf ein Verbotsantrag nicht derart undeutlich gefasst sein, dass Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und letztlich die Entscheidung darüber, was dem Beklagten verboten ist, dem Vollstreckungsgericht überlassen bleibt (stRspr, s. z.B. BGH NJW-RR 2016, 363 Rn. 10). Vorliegend bestehen derartige Bedenken nicht, weil die Klägerin in ihren Anträgen die Daten, von deren Verarbeitung die Beklagte absehen soll, exakt bezeichnet (E-Mail der Klagepartei; Telefonnummer der Klagepartei; […]) und auch die beanstandeten Verarbeitungsformen präzise benennt. Dass sich die Klägerin dabei an den – durch Rechtsprechung und Literatur deutlich konturierten – Begriffen des Art. 4 Nr. 2 DSGVO orientiert, sorgt für mehr und nicht für weniger Klarheit. Die Klägerin begehrt nach alledem gerade kein Verbot im Umfang des Gesetzeswortlauts, sondern orientiert sich mit ihrem Unterlassungsbegehren an der konkreten Verletzungshandlung (vgl. hierzu BGH NJW 2020, 3386 Rn. 39.).
3.3.2. Dass die Beklagte – z.B. durch eine entsprechende Gestaltung der … – Tools – (aktiv) handeln muss, um den Unterlassungsanspruch erfüllen zu können, hindert die Unterlassungsanordnung nicht (st. Rspr., z.B. BGH GRUR 2013, 1030 Rn. 21; BGH GRUR 2018, 1044 Rn. 57). Unter die von der Beklagten vorzunehmenden Handlungen kann auch die Einwirkung auf Dritte fallen (vgl. BGH NJW 2017, 2119 Rn. 35).
3.4. Der Belassungsantrag zu 3. ist zulässig. Die grundsätzliche Möglichkeit eines entsprechenden Anspruchs ergibt sich aus Art. 18 DSGVO. Es handelt sich auch nicht um einen im Verfahren der einstweiligen Verfügung geltend gemachten Eilantrag. Die Frage der Realisierung des Anspruchs im Zeitraum bis zur Rechtskraft des Urteils (im Falle einer stattgebenden Entscheidung) richtet sich vielmehr nach den Vorschriften über die vorläufige Vollstreckbarkeit (§§ 708 ff. ZPO).
3.5. Der auf die Löschung oder Anonymisierung von Daten gerichtete Antrag zu 4. ist ebenfalls zulässig.
3.5.1. Anhaltspunkte dafür, dass die Klägerin entgegen § 260 ZPO („dieselbe Prozessart“) eine einstweilige Regelung dahingehend anstrebt, es der Beklagte bis einen Monat nach Rechtskraft zu untersagen, den bestehenden Löschungsanspruch zu erfüllen, sieht der Senat angesichts der Formulierung des Antrages nicht (vgl. auch oben unter Punkt 3.4.).
3.5.2. Soweit die Klägerin von der Beklagten verlangt, bestimmte Daten „vollständig zu anonymisieren oder wahlweise nach Wahl der Beklagten zu löschen“, erweist sich der Antrag zu 4. als hinreichend bestimmt i.S.v. § 253 Abs. 2 Nr. 2 a.E. ZPO. Durch die Einräumung einer Wahlmöglichkeit wird keine Unsicherheit von außen in den Prozess hineingetragen, die Beklagte wird durch das ihr eingeräumte Wahlrecht nicht beschwert (vgl. OLG Düsseldorf, Urteil vom 21. September 2023 – VI-5 U 4/22 (Kart) –, Rn. 68, juris; s. auch Roth, in: Stein, § 260 ZPO Rn. 10). Dass es prozessual möglich sein muss, der Beklagten ein Wahlrecht einzuräumen, beweist § 264 Abs. 1 BGB, der unmittelbar den – hier nicht einschlägigen – Fall der Wahlschuld betrifft.
3.5.3. Es handelt sich prozessual dabei auch nicht um einen grundsätzlich unzulässigen, weil zu unbestimmten alternativen Klageantrag. Denn es soll anders als bei einem alternativen Klageantrag nicht dem Gericht, sondern der Beklagten überlassen bleiben, ob sie löscht oder stattdessen anonymisiert, so das sich für die Beklagte keine unzumutbare Unbestimmtheit ergäbe (s. zu der Unterscheidung nur MüKoZPO/Becker-Eberhard, 7. Aufl. 2025, ZPO § 260 Rn. 23; verkannt von LG Nürnberg-Fürth, Urteil vom 20. Februar 2025 – 6 O 1485/24 –, juris Rn. 73).
4. Die Klage ist teilweise begründet.
Die Anwendung deutschen Rechts folgt vorliegend aus der Rechtswahl der Parteien (Art. 3 Abs. 1, 6 Abs. 2 Rom I-VO – vgl. die Nutzungsvereinbarung in Anlage B2), sie ergäbe sich im Übrigen aus Art. 6 I lit. b Rom I-VO, weil ein Verbrauchervertrag vorliegt.
Der Klägerin steht ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von 500,- € zu (dazu sogleich 4.1.), daneben ein Anspruch auf Feststellung eines Verstoßes gegen den Nutzungsvertrag (dazu 4.2.), Ansprüche auf Unterlassung einer Verarbeitung bestimmter personenbezogener Daten (dazu 4.3.), auf Löschung (dazu 4.4.) und auf Belassung der Daten (dazu 4.5.). Unbegründet ist der auf Erstattung vorgerichtlicher Rechtsanwaltskosten gerichtete Antrag (dazu 4.6.).
Die Datenschutz-Grundverordnung (im Folgenden DSGVO) ist vorliegend sachlich (Art. 2), räumlich (Art. 3) und auch zeitlich (vgl. Art. 99 Abs. 2) anwendbar.
4.1. Der Senat geht davon aus, dass der Kläger einen einheitlichen Anspruch auf Schadenersatz aus Art. 82 Abs. 1 DSGVO (vgl. hierzu BGH NJW 2025, 298 Rn. 16) geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der sog. … – Tools) wurzelt (s. Klageschrift S. 29: „der Verstoß“).
Mit den Worten des BGH (a.a.O., Rn. 21) erfordert ein derartiger Anspruch nach der Rechtsprechung des EuGH „einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind […] Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 I DSGVO den Ersatz eines (immateriellen) Schadens verlangt […]. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 I DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 III DSGVO dem Verantwortlichen […].“
Ein solcher Anspruch besteht vorliegend in Höhe von 500,- €.
4.1.1. Für den Senat steht fest, dass die Beklagte mithilfe der … – Tools eine potenziell unbegrenzte Menge an Daten der Klägerin verarbeitet, indem sie die Aktivitäten der Klägerin auf Dritt-Webseiten und Dritt-Apps verfolgt (so auch EuGH GRUR 2023, 1131 Rn. 118 betr. …#).
4.1.1.1. Technische Grundlage und Datenschutzeinstellungen
4.1.1.1.1. Über die sog. … – Tools („u.a. …-Pixel, C# … (vormals bekannt als serverseitige …#), das F## für App Events, Offline- … und die App …“, s. Anlage B5) erhält die Beklagte …-Tool-Daten, d.h. Kontaktinformationen und/oder Event-Daten (z.B. Besuche auf einer Webseite, Installation einer App, Kauf eines Produkts) von ihren Vertragspartnern, den (hier) sog. Drittanbietern.
4.1.1.1.2. Bestimmte technische Standarddaten (s. hierzu z.B. Duplik, Rz. 31 = Bl. 308 f. LGA) gelangen automatisch an die Beklagte, wenn die Klägerin eine Webseite aufruft, deren Anbieter die …-Tools in seine Webseite eingebettet hat. Nach einer vereinfachten Darstellung des EuGH (BeckRS 2019, 15831 – Fashion ID; näher Duplik, Rz. 23 ff. = Bl. 304 ff. LGA) ist es „eine Eigenart des Internets, dass der Browser des Internetbesuchers Inhalte aus verschiedenen Quellen darstellen kann. […] Hierzu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. […]“
4.1.1.1.3. Weitere (sog. Event-) Daten werden dann automatisch an die Beklagte übertragen, wenn der Drittanbieter bei der Einbettung der …-Tools in seine Webseite oder App eine entsprechende Einstellung vorgenommen hat (Duplik, Rz. 35 f. = Bl. 310 f. LGA). Die …- Tools Nutzungsbedingungen verlangen in diesem Fall von dem Drittanbieter, die erforderlichen Angaben und Datenschutzbelehrungen zu erteilen und die notwendige Einwilligung einzuholen (Anlage B5). Die Beklagte überprüft dies nicht.
4.1.1.1.4. Wie die Beklagte mit den bei ihr eingegangenen Informationen weiter verfährt, hängt von den Datenschutz-Einstellungen des jeweiligen Nutzers ab.
4.1.1.1.4.1. Erlaubt der Nutzer der Beklagten nicht, Cookies und vergleichbare Technologien in anderen Apps und auf anderen Webseiten zu nutzen, so kann er sich dort nicht mehr mit seinem …-Konto anmelden und die dort erhobenen Daten werden nicht verwendet, um relevante Werbung zu zeigen. Sie werden aber in eingeschränktem Umfang genutzt, um für Sicherheit und Integrität zu sorgen und es kann sein, dass die Beklagte aggregierte Informationen zu Aktivitäten erhält, nicht aber die persönliche Cookie-Information des Nutzers (Anlage B7, S. 41).
4.1.1.1.4.2. Entscheidet sich der Nutzer dafür, Werbung mithilfe der Informationen von Werbepartnern zu seinen Aktivitäten relevanter zu machen, erhält er stärker personalisierte Werbung. Entscheidet er sich dagegen, (s. Anlage B7, S. 43), werden die Daten dennoch – für andere Zwecke – verarbeitet (Duplik, Rz. 62 = Bl. 322 LGA), z.B. zum Schutz der Sicherheit und Integrität der Server (a.a.O. Rz. 63) oder zur Messung der Effektivität von Werbekampagnen (Anlage K11, S. 23: „die C## ist nötig, um die Events von Nutzer*innen zu aggregieren, die sich gegen die Nutzung ihrer Daten entschieden haben“; hierzu Duplik, Rz. 60 = Bl. 321 LGA.).
4.1.1.1.4.3. Der Nutzer hat weiter die Möglichkeit, die Verknüpfung künftiger Aktivitäten mit seinem Konto aufzuheben und frühere Aktivitäten zu löschen (Anlage B7, S. 44 ff.). In diesem Fall erhält die Beklagte aber weiterhin Informationen zu seinen Aktivitäten, die für Messungen sowie zur Verbesserung der Werbesysteme verwendet werden (Anlage B7, S. 56).
4.1.1.2. Die Feststellung des Landgerichts, wonach die Klägerin von der streitgegenständlichen Datenverarbeitung betroffen sei, weil davon auszugehen sei, dass die Klägerin Seiten von Drittanbietern besuche, auf welchen …-Tools geschaltet seien (vgl. LGU S. 9), bindet den Senat nach § 529 Abs. 1 Nr. 1 ZPO, weil keine Anhaltspunkte für Zweifel an ihrer Richtigkeit oder Vollständigkeit bestehen.
4.1.1.2.1. Die Klägerin kann und muss nicht wissen, auf welchen (Dritt-) Webseiten und Apps …-Tools Verwendung finden, sie darf sich insoweit auf Vermutungen stützen (vgl. z.B. BGH BeckRS 2015, 10851). Die Beklagte kann sich hingegen nicht auf ein pauschales Bestreiten beschränken, sie müsste konkret vortragen, weil (nur) sie es kann (§ 138 Abs. 1, Abs. 2 ZPO).
4.1.1.2.2. Dass die Klägerin sich um eine gewisse Plausibilisierung ihrer Vermutung bemüht, indem sie – gestützt auf Nachforschungen ihrer Prozessbevollmächtigten – vorträgt, dass allein „der … Pixel […] auf 30 – 40% aller Internetseiten und der ganz überwiegenden Mehrzahl der meistbesuchten 100 Webseiten Deutschlands verbaut“ sei (Replik, S. 49 = Bl. 191 d.A.; vgl. auch Anlage K2), gereicht ihr nicht zum Nachteil. Das pauschale Bestreiten dieses Vortrags als unsubstantiiert ist unwirksam.
4.1.1.2.3. Die Behauptung der Klägerin, ihr sei aufgefallen, dass, wenn sie über die App Shopapotheke ein Medikament bestellt habe, sie dann mehrere Tage über [zwei Plattformen] eine dazu passende Werbung bekommen habe (Protokoll der erstinstanzlichen mündlichen Verhandlung vom 13.01.2025, S. 2 = Bl. 442 LGA), ist ebenfalls hinreichend substantiiert. Nachdem die Beklagte genau weiß, von welchen Drittseiten sie Informationen über Aktivitäten der Klägerin erhalten hat, könnte sie den Vortrag der Klägerin konkret bestreiten. In der Sache hat die Beklagte den Vortrag jedoch nicht bestritten, sondern lediglich erklärt, dass derart sensible Daten nicht an die Beklagte zurückgespielt werden dürften bzw. von dieser ausgesondert würden (ebd.).
4.1.2. Hierin liegt ein Verstoß gegen den Grundsatz der Datenminimierung, der in Art. 5 Abs. 1 lit. b), lit. c), Art. 25 Abs. 2 S. 1, 3 DSGVO verankert ist.
4.1.2.1. Der Grundsatz der Datenminimierung sichert die Verhältnismäßigkeit der Datenverarbeitung und besagt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen (EuGH NZA 2024, 1407 Rn. 49 f.; NZA 2023, 1523). Der Verantwortliche darf die Daten nicht allgemein und unterschiedslos erheben, sondern muss von der Erhebung solcher Daten absehen, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (EuGH NZA 2024, 1407 Rn. 59). In zeitlicher Hinsicht ist der Zeitraum der Datenerhebung als solcher und der Zeitraum, in dem die Möglichkeit besteht, den Betroffenen zu identifizieren, auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (sog. Speicherbegrenzung, s. EuGH a.a.O. Rn. 52 f.; EuZW 2022, 527).
4.1.2.2. Zwischen den Parteien ist unstreitig, dass die von den (Dritt-) Webseiten und Apps stammenden „Kontaktinformationen“ und/oder „Event-Daten“ (Anlage B5) ungefiltert und damit – in den Worten des EuGH (s.o.) – allgemein und unterschiedslos von der Beklagten verarbeitet werden. Der Senat sieht hierin – wie der EuGH (NZA 2024, 1407 Rn. 62 ff.) in einem […] betreffenden Fall – einen unverhältnismäßigen Eingriff in die durch Art. 7, 8 GRCharta geschützten Rechte der Klägerin auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten. Der EuGH weist zurecht darauf hin, „dass eine solche Verarbeitung besonders umfassend [ist], da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von … aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird“ (EuGH NZA 2024, 1407 Rn. 62; NZA 2023, 1523).
4.1.2.3. Personenbezogen i.S.v. Art. 4 Nr. 1 DSGVO sind die verarbeiteten Daten schon deshalb, weil die Beklagte unstreitig in der Lage ist, diese Daten (z.B. über die verwendete IPAdresse oder individuelle Geräteinformationen) dem Benutzerkonto der Klägerin zuzuordnen (vgl. Erwägungsgrund 26 zur DSGVO: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren […]“; s. auch EuGH BeckRS 2016, 82520 zu dynamischen IP-Adressen).
4.1.2.4. Die Beklagte ist zur Überzeugung des Senats für die Erhebung, Übermittlung, Speicherung und Verwendung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.
4.1.2.4.1. Die Verantwortlichkeit für die Speicherung und Verwendung liegt auf der Hand.
4.1.2.4.2. Die Beklagte ist – gemeinsam mit dem jeweiligen Drittanbieter – auch für die Erhebung und Übermittlung verantwortlich (EuGH BeckRS 2019, 15831 Rn. 79, 96 – Fashion ID). Das liegt daran, dass durch die Einbettung der …-Tools in eine Webseite oder App quasi eine „dynamische Verweisung“ auf die jeweils aktuelle Version des Tools entsteht. Die Kontrolle über die Programmierung und in der Folge über die Funktionalität des Tools verbleibt damit bei der Beklagten. Diese entscheidet (mit), welche Daten erhoben und übermittelt werden. Dass eine „gemeinsame Verantwortlichkeit für die Datenverarbeitung mit dem jeweiligen Drittunternehmen gem. der DSGVO betreffend die Erhebung und Übermittlung zusätzlicher Daten an … über gewisse …-Tools“ besteht, hat die Beklagte eingeräumt (Duplik, Rz. 41, 45 = Bl. 313 f. LGA, vgl. auch die Nutzungsbedingungen für die … – Tools in Anlage B5, dort S. 5).
4.1.3. Die Datenverarbeitung seitens der Beklagten ist nicht nach Art. 6 Abs. 1 DSGVO gerechtfertigt.
4.1.3.1. Von Bedeutung ist dabei zunächst, „dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es nach Art. 13 I Buchst. c dieser Verordnung, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, dem Verantwortlichen, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren“ (EuGH GRUR 2023, 1131 Rn. 95). Anders als die Beklagte meint, muss nicht die Klägerin bestimmte Verarbeitungszwecke in Frage stellen, sondern hat die Beklagte zu erklären, zu welchem Zweck sie welche Daten erhoben hat und weshalb die Verarbeitung der Daten rechtmäßig sein soll. Die Beklagte verweist in der Berufungsbegründung (S. 23, Fn. 10) selbst auf die sog. Einwilligungsleitlinien des Europäischen Datenschutzausschusses (dort, Rz. 118), in denen es heißt: „[Es ist] sehr wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. […] Deshalb sollten Verantwortliche von Anfang an deutlich machen, welcher Zweck auf welche Daten Anwendung findet und auf welcher Rechtsgrundlage die Verarbeitung beruht.“
4.1.3.2. Die Beklagte stützt sich ausweislich ihrer Berufungsbegründung (Rz. 62 = Bl. 85 d. BerA) für die Verarbeitungszwecke auf unterschiedliche Rechtsgrundlagen, sie sich aus ihrer Datenschutzrichtlinie ergäben. Ein Blick in die als Anlage K1 vorliegende Datenschutzrichtlinie bestätigt diesen Befund. Hier findet sich auf annähernd 70 (!) Seiten (Anlage K1, S. 82 – 148) eine Darstellung zu den Rechtfertigungsgründen i.S.v. Art. 6 Abs. 1 DSGVO, den Gründen für die Datenverarbeitung („Warum und wie wir deine Informationen verarbeiten“) und den verwendeten „Informationskategorien“). Für die vorliegend relevante Informationskategorie „Information von Partnern, Anbietern und Dritten“ finden sich dabei – sinngemäß – die folgenden Eintragungen:
|
Rechtsgrundlage
|
Verarbeitungszweck
|
|
Einwilligung
|
Personalisierung von Werbeanzeigen
|
|
Erfüllung eines Vertrags
|
Personalisierung der …-Produkte
Bereitstellung und Verbesserung von …Produkten, u.a. Inhalte analysieren
Förderung von Schutz, Integrität und Sicherheit in und auf den …-Produkten
Übermittlung, Speicherung oder Verarbeitung deinerInformationen weltweit, intern wie extern
|
|
Erfüllung einer rechtlichen Verpflichtung
|
Verarbeitung von Informationen, wenn nach dem Gesetz erforderlich
|
|
Berechtigte Interessen
|
Personalisierung der …-Produkte
|
|
|
Bereitstellung und Verbesserung von …Produkten, u.a. Inhalte analysieren
|
|
|
Förderung von Schutz, Integrität und Sicherheit in und auf den …-Produkten
|
|
|
Bereitstellung von Messungen, Analysen und anderen Unternehmens-Services für Unternehmen, Werbetreibende und andere Partner:
|
|
|
Kommunikation, Interaktion und Teilen von Inhalten über die Produkte der …-Unternehmen hinweg:
|
|
|
- Intelligence und Statistik
|
|
|
Identifizierung/Personalisierung iRv … Audience Network
|
|
|
Zuschneiden von Werbeanzeigen
|
|
|
Forschung und Innovation für soziale Zwecke
|
|
|
Anonymisieren von Informationen
|
|
|
Beantwortung rechtlicher Anfragen
|
|
|
Förderung von Schutz, Integrität und Sicherheit außerhalb der Erfüllung von Verträgen
|
|
… bei Nutzung nicht bekannter Geräte
|
Förderung von Schutz, Integrität und Sicherheit
|
|
|
Forschung und Innovation für soziale Zwecke
|
|
|
Beantwortung rechtlicher Anfragen
|
|
|
Produktverbesserung
|
|
Im öffentlichen Interessen durchgeführte Aufgaben
|
Forschung für soziale Zwecke
Förderung von Schutz, Integrität und Sicherheit
Schutz deiner wesentlichen Interessen oder der Schutz wesentlicher Interessen einer anderen Person
|
4.1.3.3. Im vorliegenden Einzelfall sind unter den verarbeiteten Daten auch solche, die dem besonderen Schutz des Art. 9 DSGVO unterliegen („sensible Daten“) in Form von Gesundheitsdaten (s.o. unter Punkt 4.1.1.2.3.).
4.1.3.4. Damit muss die Verarbeitung des gesamten Datensatzes an Art. 9 Abs. 2 DSGVO gemessen werden (EuGH GRUR 2023, 1131 Rn. 89), wobei die Beklagte zum Umfang und der Art und Weise der Datenverarbeitung nicht konkret vorgetragen hat.
4.1.3.5. Eine Rechtfertigung der Datenverarbeitung nach Art. 6 Abs. 1 lit. b) – f) DSGVO scheitert zur Überzeugung des Senats schon daran, dass die Beklagte nicht hinreichend genau bezeichnet, welche Daten sie zu welchem Zweck erhebt. Dass ihr dies angesichts der Menge der betroffenen Daten womöglich nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, verdeutlicht nur den eklatanten Verstoß gegen den Grundsatz der Datenminimierung.
4.1.3.6. Selbst wenn man dies anders sehen und es für ausreichend erachten wollte, dass die Beklagte – ohne auf die konkret verarbeiteten Daten einzugehen – in allgemeiner Form auf ihre Datenschutzrichtlinie verweist, gelangt man nicht zu einer Rechtfertigung der Datenverarbeitung:
4.1.3.6.1. Die Verarbeitung der personenbezogenen Daten ist für die Erfüllung des Nutzungsvertrages nicht erforderlich i.S.v. Art. 6 Abs. 1 UABs.1 lit. b DSGVO:
4.1.3.6.1.1. Die auch insoweit darlegungs- und beweisbelastete (EuGH GRUR 2023, 1131 Rn. 98) Beklagte hat nicht hinreichend konkret dargestellt, weshalb die Verarbeitung der Daten „objektiv unerlässlich [war], um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist“ (EuGH a.a.O.).
4.1.3.6.1.2. Es erscheint bereits zweifelhaft, ob die von der Beklagten in der Berufung angesprochene Personalisierung von Funktionen, Inhalten und Vorschlägen zu Personen, Gruppen und Veranstaltungen (Berufungsbegründung, S. 25 ff., 28 = Bl. 85 ff., 88 d. BerA) notwendiger Bestandteil der Vertragsleistung seitens der Beklagten ist. Jedenfalls aber ist die streitgegenständliche Verarbeitung von Daten zur Erreichung dieses Zweckes nicht „objektiv unerlässlich“, sondern ließe sich eine hinreichende Personalisierung schon durch OnsiteDaten erreichen.
4.1.3.6.1.3. Die von der Beklagten weiter ins Feld geführten Sicherheits- und Integritätszwecke wurden bis zur mündlichen Berufungsverhandlung nur an einer Stelle näher erläutert (Abgleich von IP-Adressen, s. Berufungsbegründung, S. 35 = Bl. 95 d.A.). Auch insoweit aber fehlt es an hinreichend präzisem Vortrag zu konkreten, die Klägerin betreffenden Datenverarbeitungsvorgängen (z.B.: Wann wurde welche IP-Adresse verarbeitet und weshalb war die Verarbeitung im konkreten Fall aus Sicherheitsgründen notwendig?). Sollte der Vortrag der Beklagten zu so verstehen sein, dass IP-Adressen immer ausgewertet werden, wäre eine solche Vorgehensweise nicht unerlässlich, um den Nutzungsvertrag mit der Klägerin zu erfüllen. Die Beklagte erklärt im Übrigen weder, wie der Pool verdächtiger IP-Adressen zustande kommt, noch, welche Folgen eine Übereinstimmung nach sich zieht, weshalb der Nutzer also im Ergebnis von der angeblich erforderlichen Datenverarbeitung profitiert (durch einen Gewinn an Datensicherheit) und nicht etwa unter ihr leidet, weil er in den möglicherweise unbegründeten Verdacht krimineller Aktivität geraten kann.
4.1.3.6.2. Den ergänzenden Vortrag im Schriftsatz vom 09.12.2025 konnte der Senat nach § 296a ZPO nicht berücksichtigen. Unabhängig davon unternimmt die Beklagte aber auch in diesem Schriftsatz nicht den Versuch, konkrete Datenverarbeitungsvorgänge zu rechtfertigen. Die Verarbeitung der personenbezogenen Daten ist auch nicht zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, Art. 6 Abs. 1 UABs.1 lit. f) DSGVO.
4.1.3.6.2.1. Nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO ist eine Verarbeitung personenbezogener Daten unter den folgenden drei Voraussetzungen rechtmäßig: „Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen“ (EuGH GRUR 2023, 1131 Rn. 106).
4.1.3.6.2.2. Indem die Beklagte im vorliegenden Verfahren nicht hinreichend genau bezeichnet, welche Daten sie zu welchem Zweck erhoben und verarbeitet hat, ermöglicht sie es dem Senat nicht, eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO zu prüfen. Das bestätigt den Befund des Bundeskartellamtes, wonach der Vortrag der Beklagten keine hinreichend klare Artikulation der berechtigten Interessen darstellt, die der Abwägungsprüfung mit den Interessen und Rechten der betroffenen Personen zugänglich wäre (BKartA, Beschluss v. 19.02.2019 in Bezug auf … [B6-22/16], Rn. 727 ff., 736 ff., 796 ff.). Unabhängig davon ist angesichts von Art und Umfang der verarbeiteten Daten mehr als zweifelhaft, ob die von der Beklagte in allgemeiner Form dargestellten Verarbeitungszwecke gegenüber den Interessen und Grundrechten des Nutzers (Art. 7, 8 GRCharta) Vorrang beanspruchen können (vgl. EuGH GRUR 2023, 1131 Rn. 123 bezogen auf das Ziel der Produktverbesserung).
4.1.3.6.3. Die Beklagte macht nicht geltend, dass sie gesetzlich verpflichtet ist, personenbezogene Daten präventiv zu erheben und – gleichsam auf Vorrat – zu speichern, um jegliche Anfrage einer nationalen Behörde, die darauf abzielt, bestimmte Daten über ihre Nutzer zu erlangen, beantworten zu können. Eine derartige gesetzliche Verpflichtung liegt auch fern. Eine Rechtfertigung nach Art. 6 Abs. 1 UABs.1 lit. c) DSGVO scheidet damit von vornherein aus (vgl. EuGH GRUR 2023, 1131 Rn. 132).
4.1.3.6.4. Eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. d) DSGVO kommt bei der gebotenen engen Auslegung von Art. 6 Abs. 1 DSGVO (EuGH GRUR 2023, 1131 Rn. 93) nur in Betracht, wenn lebenswichtige Interessen zu schützen sind, wobei der Normgeber z.B. die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen im Blick hatte (46. ErwG). Konkreter Vortrag der Beklagten in diese Richtung fehlt, eine Rechtfertigung scheidet in Anbetracht der von der Beklagten angebotenen Dienste wirtschaftlicher und kommerzieller Art aus (EuGH GRUR 2023, 1131 Rn. 137).
4.1.3.6.5. Die Beklagte hat nicht vorgetragen, dass ihr Aufgaben übertragen wurden, die im öffentlichen Interesse liegen, oder dass ihr öffentliche Gewalt übertragen wurde, womit auch eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO ausscheidet (vgl. EuGH GRUR 2023, 1131 Rn. 133).
4.1.3.7. Nachdem der Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO keine Abschreckungs- oder Straffunktion erfüllt (BGH NJW 2025, 298, Rn. 25 m.w.N.), kann dahinstehen, ob weitere Verstöße gegen die DSGVO vorliegen.
4.1.4. Art. 82 DSGVO sieht eine Haftung für vermutetes Verschulden vor (BGH GRUR-RS 2025, 32135 Rn. 13; s. auch EuGH NJW 2024, 1561 Rn. 44). Der Senat vermag dem Vortrag der Beklagten keine Anhaltspunkte für eine Exkulpation nach Art. 82 Abs. 3 DSGVO zu entnehmen. Die Beklagte macht geltend, dass sie rechtmäßig gehandelt habe, nicht, dass sie für die – aus Sicht der Klagepartei anspruchsbegründenden – Umstände nicht verantwortlich sei.
4.1.5. Durch den Verstoß gegen den Grundsatz der Datenminimierung ist der Klägerin ein immaterieller Schaden im weiten, autonom unionsrechtlichen Sinne des Art. 82 Abs. 1 DSGVO (vgl. hierzu EuGH NJW 2025, 3137 Rn. 55; BGH GRUR-RS 2025, 32135 Rn. 25 m.w.N.) entstanden.
4.1.5.1. Nach aktueller Rechtsprechung des EuGH kann „der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten […] einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat“ (EuGH ZD 2024, 519 Rn. 33; zustimmend BGH GRUR-RS 2025, 32135 Rn. 27 ff.). Zusätzliche spürbare negative Folgen müssen nicht hinzutreten (EuGH r+s 2024, 1080 Rn. 156).
4.1.5.2. Für die Klägerin stellt die Tatsache, dass eine erhebliche Menge personenbezogener Daten, die ihrem Benutzerkonto zugeordnet sind oder die ihr – z.B. mittels eines Abgleiches von IP-Adressen – zugeordnet werden können, sich auf Servern der Beklagten in der ganzen Welt (s. Datenschutzrichtlinie in Anlage K1, S. 72) und bei bestimmten Dritten befinden, einen Kontrollverlust dar. Als Dritte, mit denen Informationen geteilt werden, bezeichnet die Datenschutzrichtlinie der Beklagten (Anlage K1, dort S. 48 f.) Werbetreibende, Unternehmen, die Produkte für die Beklagten vermarkten oder die mit Kundenservice oder Umfragen beauftragt werden, und Forscher.
4.1.5.3. Dahinstehen kann bei dieser Betrachtung, ob einzelne der streitgegenständlichen Daten bei lebensnaher Betrachtung auch von anderen Anbietern von Internetdiensten erhoben und gespeichert wurden. Denn dann läge jedenfalls eine Intensivierung des Kontrollverlusts vor, die ebenfalls einen immateriellen Schaden darstellt (BGH GRUR-RS 2025, 32135 Rn. 35).
4.1.5.4 Die – auf der Anhörung der Klägerin beruhende – Feststellung des Landgerichts, wonach ein über den bloßen Kontrollverlust hinausgehender Schaden nicht eingetreten ist, wird mit der Berufung nicht angegriffen. Anhaltspunkte für Zweifel an der Richtigkeit oder Vollständigkeit der Feststellung des Landgerichts sind nicht ersichtlich.
4.1.6. Der Senat folgt der Auffassung des Bundesgerichtshofes (NJW 2025, 298 Rn. 96), wonach „eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 I DS-GVO dagegen nicht erfüllen (vgl. EuGH […]). Folglich darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen (EuGH […]) und ob er vorsätzlich gehandelt hat […].“ Der Senat schätzt, dass vorliegend ein Betrag von 500,- € erforderlich, aber auch ausreichend ist, um den eingetretenen Kontrollverlust auszugleichen, § 287 ZPO:
− Unter den verarbeiteten Daten fanden sich auch sensible Daten in Form von Gesundheitsdaten.
− Der Empfängerkreis der Daten ist vorliegend begrenzt: Er umfasst die Beklagte und solche Dritte, mit denen sie bestimmte Informationen teilt. Frei im Internet verfügbar sind die Daten danach nicht.
− Ausweislich der Datenschutzrichtlinie der Beklagten (Anlage K1, S. 67 ff.) behält die Beklagte Daten so lange, wie sie benötigt werden, um die Produkte der Beklagten bereitzustellen, rechtliche Verpflichtungen zu erfüllen oder bestimmte Interessen zu schützen. Dies wird am Beispiel einer Suche auf [einer Plattform] erläutert: Der Suchverlauf wird dabei gespeichert, bis der Nutzer ihn löscht, nur die Informationen zum verwendeten Gerät oder einem Standort werden nach sechs Monaten gelöscht. Es ist damit – auch in zeitlicher Hinsicht – von einem erheblichen Kontrollverlust auszugehen.
− Der Senat hat weiter berücksichtigt, welchen Zwecken die Verarbeitung der Daten dient (vgl. oben, 4.1.3.2), wobei er sich insoweit auf die Datenschutzrichtlinie der Beklagten stützt.
− Eine Überzeugung dahingehend, dass die Klägerin die Möglichkeit hätte, die Kontrolle über ihre Daten selbständig zurückzuerlangen, hat sich der Senat schon deshalb nicht bilden können, weil die Beklagte die bei ihr vorhandenen Daten nicht benannt hat. Der pauschale Hinweis auf die Möglichkeit, bestimmte Einstellungen vorzunehmen oder Aktivitäten zu trennen (vgl. Anlage B7) führt deshalb nicht weiter.
− Bei der Schätzung des Schadens hat der Senat den Grad des Verschuldens ebenso wenig berücksichtigt wie die Tatsache, dass der Klägerin ein Unterlassungsanspruch zugesprochen wurde (BGH a.a.O.; zuletzt EuGH NJW 2025, 3137 Rn. 73 und Rn. 83).
4.1.7. Ein darüber hinausgehender Zahlungsanspruch wegen Verletzung des allgemeinen Persönlichkeitsrechts der Klagepartei durch die Beklagte nach § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG steht der Klageseite nicht zu.
4.1.7.1. Zwar kann die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung begründen, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann (ständige Rechtsprechung des BGH, s. nur BGH NJW 2024, 2836 Rn. 70).
4.1.7.1.1. Der Bundesgerichtshof hat den Entschädigungsanspruch im Spannungsfeld von allgemeinem Persönlichkeitsrecht und Pressefreiheit entwickelt, um zu verhindern, dass schwerwiegende Verletzungen der Würde und Ehre eines Menschen durch Presseveröffentlichungen ohne Sanktion bleiben könnten und dass hierdurch der Rechtsschutz der Persönlichkeit verkümmert (BGH NJW 2014, 2029 Rn. 40 m.w.N.). Entschädigungen wurden demnach in solchen Fällen zugesprochen, in denen eine Person durch Berichte in Printmedien (s. z.B. BGH 1995, 861 – Caroline von Monaco), im Fernsehen (s. z.B. OLG Hamm GRUR 2004, 970 – Stefan Raab) oder im Internet (BGH NJW 2014, 2029 – www.stern.de) öffentlich bloßgestellt wurden. Bei der Bemessung der Höhe der Entschädigung sollen die „Bedeutung und Tragweite des Eingriffs, also das Ausmaß der Verbreitung der Veröffentlichung, die Nachhaltigkeit und Fortdauer der Interessen- oder Rufschädigung des Verletzten, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens“ berücksichtigt werden (BGH a.a.O., Rn. 38).
4.1.7.1.2. Der vorliegende Fall ist insofern anders gelagert, als mit der informationellen Selbstbestimmung ein anderer (Teil-) Gehalt des allgemeinen Persönlichkeitsrechts betroffen ist. Der Senat geht zwar davon aus, dass auch die Verletzung des Rechts auf informationelle Selbstbestimmung einen Entschädigungsanspruch im o.g. Sinne begründen kann (so wohl auch BGH NJW 2024, 2836 Rn. 71). Auch insoweit müsste aber ein schwerwiegender Eingriff in das allgemeine Persönlichkeitsrecht nachgewiesen sein und die Beeinträchtigung dürfte nicht in anderer Weise aufgefangen werden können.
4.1.7.1.3. Für den Senat liegt auf der Hand, dass ein „schwerwiegender Eingriff“ im Sinne der Rechtsprechung des Bundesgerichtshofes von der Klägerin nicht vorgetragen wurde. Entscheidend ist dabei, dass die die Klägerin betreffenden Daten nicht in die allgemeine Öffentlichkeit gelangt sind. Der Umfang der Datenverarbeitung allein (insb. Menge/Art der Daten; Dauer/Zweck der Verarbeitung), die Ausprägung der Daten und die Tatsache, dass von einem vorsätzlichen Verhalten auszugehen ist, begründen die notwendige besondere Schwere des Eingriffs nicht.
4.1.7.1.4. Es kommt hinzu, dass Art. 82 DSGVO für Eingriffe in das Recht auf informationelle Selbstbestimmung gerade einen Schadenersatzanspruch bereithält. Durch die ihr zugesprochene Entschädigung in Höhe von 500,- € für den erlittenen Kontrollverlust und durch das an die Beklagte gerichtete Verbot wird die von der Klägerin erlittene Beeinträchtigung befriedigend aufgefangen.
4.2. Da die streitgegenständliche Datenverarbeitung rechtswidrig war (s.o. unter Punkt 4.1.), war die beantragte Feststellung zu treffen.
4.3. Der Klägerin steht infolge der rechtswidrigen Datenverarbeitung seitens der Beklagten auch ein Unterlassungsanspruch im tenorierten Umfang zu.
4.3.1. Soweit die Klägerin beantragt, der Beklagten die zukünftige Erhebung und Verarbeitung von Daten zu untersagen, folgt der Unterlassungsanspruch nicht aus der DSGVO (EuGH NJW 2025, 3137), er kann sich aber – wie der EuGH überzeugend klargestellt hat (a.a.O., Rn. 46 ff.) – aus nationalen Vorschriften ergeben.
Im Hinblick auf die o.g. Entscheidung des EuGH sind die Voraussetzungen der von der Beklagten hilfsweise beantragten Aussetzung des Verfahrens analog § 148 ZPO nicht erfüllt.
4.3.2. Im deutschen Recht folgt der Unterlassungsanspruch zur Überzeugung des Senats zum einen unmittelbar aus dem Nutzungsvertrag der Parteien und zum anderen aus einer entsprechenden Anwendung der §§ 1004 Abs. 1 S. 2, 823 Abs. 1 BGB.
4.3.2.1. Bei der Verletzung von Vertragspflichten ergibt sich jedenfalls dann ein Unterlassungsanspruch aus dem Vertrag, wenn bereits einmal Pflichten aus dem – fortbestehenden – Vertragsverhältnis verletzt wurden und die Vertragsverletzung noch andauert (so i.E. BGH NJW 2021, 3179, der diesen Anspruch aus § 280 Abs. 1 BGB ableitet). Genau so liegt der Fall hier: Durch die rechtswidrige Datenverarbeitung hat die Beklagte gegen eine (Haupt- oder Neben-) Pflicht des Nutzungsvertrages verstoßen und sie tut es – soweit ersichtlich – weiterhin. Die – auch insoweit nötige (BGH a.a.O.) Wiederholungsgefahr – wird damit indiziert. Anhaltspunkte für eine Widerlegung der Vermutung sind weder vorgetragen noch ersichtlich.
4.3.2.2. Auch aus einer entsprechenden Anwendung der §§ 1004 Abs. 1 S. 2, 823 Abs. 1 BGB folgt der Unterlassungsanspruch: Der nicht erforderliche und auch nicht durch eine Einwilligung gedeckte Verstoß gegen den Grundsatz der Datenminimierung (s.o., I.) hat die Klägerin in ihrem allgemeinen Persönlichkeitsrecht verletzt, das sie gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe ihrer persönlichen Daten schützt (Recht auf informationelle Selbstbestimmung, vgl. hierzu Art. 7, 8 GRCh; Art. 8 EMRK; Rspr des EuGH seit 29/69 Rs. Stauder; Rspr des BVerfG zu Art. Art. 2 Abs. 1, 1 Abs. 1 GG seit BVerfG NJW 1984, 419 – Volkszählungsurteil).
Das rechtswidrige Verhalten dauert an, eine Wiederholungsgefahr ist damit indiziert. Anhaltspunkte für eine Widerlegung der Vermutung sind weder vorgetragen noch ersichtlich.
4.3.3. Der Beklagten ist aber nicht jegliche Erhebung, Weitergabe, Speicherung und Verwendung der streitgegenständlichen Daten zu untersagen, sondern nur eine solche, die ungerechtfertigt geschieht.
4.3.3.1. Der Beklagten ist in diesem Zusammenhang zuzugestehen, dass nach der Konzeption der DSGVO bestimmte Datenverarbeitungsvorgänge gerechtfertigt sein können, vgl. insb. Art. 6, 9 DSGVO. Aus der Tatsache, dass die Beklagte es im vorliegenden Verfahren nicht unternommen hat, einzelne Datenverarbeitungsvorgänge zu rechtfertigen, lässt sich nicht pauschal schließen, dass ihr eine solche Rechtfertigung in der Zukunft stets misslingen wird.
Denkbar ist insoweit, dass die Klägerin ihre Einwilligung zur Verarbeitung bestimmter personenbezogener Daten für einen oder mehrere bestimmte Zwecke freiwillig, in informierter Weise und unmissverständlich i.S.v. Art. 4 Nr. 11 DSGVO erteilt (vgl. EuGH GRUR 2023, 1131 Rn. 91 f.). Die Beklagte muss sich im Zeitpunkt der Datenverarbeitung sicher sein, dass eine wirksame Einwilligung vorliegt. Das gilt auch und gerade, wenn der Betreiber der Website oder App als Drittanbieter die Einwilligung einholt (vgl. zu dieser Konstellation EuGH BeckRS 2019, 15831). Liegt keine Einwilligung vor, so kann die Beklagte die Verarbeitung bestimmter Daten gegebenenfalls auf einen oder mehrere der weiteren – grundsätzlich abschließenden – Rechtfertigungsgründe des Art. 6 Abs. 1 DSGVO stützen. Dies kann aber nicht pauschal in abstrakter und präventiver Weise erfolgen (vgl. EuGH GRUR 2023, 1131 Rn. 137 zu Art. 6 Abs. 1 UAbs. 1), sondern allenfalls bezogen auf spezifische Verarbeitungsvorgänge (Entschließung des Europäischen Parlaments v. 25.03.2021, P_19TA(2021)0111, Rn. 5; Ehmann/Selmayr/Heberlein, 3. Aufl. 2024, DS-GVO Art. 6). Die Verarbeitung sensibler Daten i.S.v. Art. 9 Abs. 1 DSGVO ist nur unter den Voraussetzungen des Art. 9 Abs. 2 DSGVO erlaubt.
4.3.3.2. Dem Senat ist einerseits bewusst, dass jede Einschränkung eines Verbots eine zusätzliche Unbestimmtheit in das Verfahren hineinträgt, die womöglich später das Vollstreckungsverfahren mit besonderen Herausforderungen belasten könnte. Wo aber die materielle Rechtslage – wie häufig und auch hier – so ist, dass kein materiellrechtlicher Anspruch auf ein uneingeschränktes Verbot besteht, kann andererseits effektiver negatorischer Rechtsschutz allein dann gewährt werden, wenn es gelingt, die jeweiligen Verbotsgrenzen in den Tenor des Unterlassungsurteils aufzunehmen. Vor diesem Hintergrund muss im jeweiligen Einzelfall entschieden werden, welches Maß an Unbestimmtheit noch akzeptabel ist, um den Anspruch auf effektiven negatorischen Rechtsschutz nicht unzulässig zu verkürzen (vgl. Roth, in Stein, § 253 ZPO Rn. 37 m.w.N.; Thüringer Oberlandesgericht, Urteil vom 17. Juli 2002 – 2 U 59/02 –, juris; s. auch BGH GRUR 2007, 607 Rn. 17).
4.3.3.3. Der Senat erachtet die mit dem Verweis auf die Ausnahmetatbestände der Art. 6, 9 DSGVO einhergehende Unbestimmtheit im vorliegenden Fall als noch akzeptabel, weil die fehlende weitergehende Präzisierung der konkreten Verletzungshandlungen maßgeblich auf dem prozessualen Vorgehen der Beklagten beruht und weil zudem die Ausnahmetatbestände der Art. 6 und 9 DSGVO hinreichend konkretisiert und bestimmt sind und durch die – z.T. durchaus vergleichbare Sachverhalte betreffende Rechtsprechung des EuGH (s. nur EuGH GRUR 2023, 1131 [Facebook Ireland] und EuGH NZA 2024, 1407 [Meta (Facebook) – Schrems] m.w.N.) – eine zusätzliche Konturierung erfahren haben, so dass insbesondere mit Blick auf die Vollstreckung hinreichend deutlich wird, welches Verhalten untersagt wird. Der Senat konnte deshalb im Tenor auf diese gesetzlichen Regelungen Bezug nehmen.
4.3.3.3.1. Entscheidend ist dabei, dass es der Klägerin nicht möglich und auch nicht zumutbar ist, den Unterlassungsantrag auf konkrete Verletzungsformen zu beschränken (vgl. allgemein BGH GRUR 2010, 749 Rn. 32). Die Klägerin kann nur vermuten, welche ihrer personenbezogenen Daten die Beklagte verarbeitet hat. Würde die Beklagte offenlegen, welche Daten der Klägerin sie in der Vergangenheit zu welchem Zweck verarbeitet hat, wäre der Klägerin eine Beschränkung des Unterlassungsantrages auf konkrete Verletzungshandlungen möglich und zumutbar. Diese wären der Beklagten dann untersagt, sowie (jedenfalls nach st. Rspr. im Wettbewerbsrecht, s. nur BGH GRUR 2010, 749 Rn. 32) bei entsprechender Antragstellung alle kernidentischen Zuwiderhandlungen. Dass die Beklagte konkrete Datenverarbeitungsvorgänge nicht benennt, kann der Klägerin nicht zum Nachteil gereichen.
4.3.3.3.2. Nur ein solches Ergebnis entspricht im Übrigen auch der – von der Beklagten angesprochenen – Konzeption der DSGVO: Diese strebt – ausweislich ihrer Erwägungsgründe – gerade mit Blick auf die technische Entwicklung ein hohes Datenschutzniveau und eine Minimierung der Verarbeitung personenbezogener Daten an. Natürliche Personen sollen wissen, welche personenbezogenen Daten zu welchem Zweck und in welchem Umfang verarbeitet werden. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden.
4.4. Die Klägerin kann aus Art. 17, 12 Abs. 3 DSGVO weiterhin eine Löschung der von ihr hinreichend bestimmt bezeichneten personenbezogenen Daten und die Mitteilung hierüber verlangen.
Einen Anspruch auf Anonymisierung kennt die DSGVO demgegenüber nicht, ein solcher ist auch kein ‚Minus‘ zur Löschung, nachdem er mit erheblichem Aufwand verbunden sein kann.
Auch ein vertraglicher Anspruch aus einer wirksamen Abrede über eine alternative Erfüllungsmodalität besteht nicht.
Zwar hat die Klägerin der Beklagten teilweise ein Erfüllungssurrogat angeboten (s. Antrag zu 4.: nach Wahl der Beklagten Anonymisierung statt Löschung). Eine solche Abrede ist aufgrund der Vertragsfreiheit grundsätzlich zulässig. Dem steht auch nicht etwa entgegen, dass die DSGVO keinen Anspruch auf Anonymisierung gewährt. Vielmehr steht es dem Gläubiger grundsätzlich frei, sich mit einem Aliud als Erfüllungssurrogat zufriedenzugeben und das Erlöschen seines Anspruchs hinzunehmen. Es bleibt den Parteien eines Schuldverhältnisses also unbenommen, eine gesonderte Vereinbarung darüber zu treffen, dass die Schuld durch eine andere als die zunächst versprochene Leistung erfüllt werden soll (s. nur Schmidt, in: Münchener Kommentar zum BGB, 10. Auflage 2025, Rn 2 zu § 364).
Wie der Inhalt dieses Angebots der Klageseite auf eine wahlweise Erfüllung durch Anonymisierung materiellrechtlich genau einzuordnen ist, ob eine Wahlschuld im Sinne von § 262 BGB intendiert ist oder hingegen eine – nach h.M. (s. nur BeckOGK/Krafka, 1.10.2025, BGB § 262 Rn. 5 m.w.N.) wegen des kaum passenden gesetzlichen Wahlschuldregimes davon zu unterscheidende – Ersetzungsbefugnis, braucht vorliegend ebenso wenig entschieden zu werden wie die Frage, ob eine wirksam vereinbarte alternative Erfüllungsmodalität entgegen der wohl h.A. (s. nur MüKoZPO/Becker-Eberhard, 7. Aufl. 2025, ZPO § 260 Rn. 24 m.w.N.) in den Tenor einer Verurteilung zur Löschung aufzunehmen wäre, weil sie den Anspruch auf Löschung gleichsam qualitativ verkürzt und ein Kläger, der eine solche Wahlmöglichkeit materiellrechtlich wirksam vereinbart hat, dementsprechend „zu viel“ beantragt, wenn er dennoch uneingeschränkte Verurteilung zur Leistung beantragt.
Denn die Beklagte hat vorliegend das klägerische Angebot, anstatt zu löschen zu anonymisieren, unmissverständlich zurückgewiesen und damit abgelehnt.
4.5. Die Klägerin hat aus Art. 18 DSGVO einen Anspruch auf Belassung der Daten bis zu der einen Monat nach Rechtskraft fälligen Löschung.
Bis zu diesem Zeitpunkt lehnt die Klägerin die Löschung ab und verlangt für diese Zeit stattdessen die Belassung (vgl. Art. 18 Abs. 1 lit. b) DSGVO). Der Anspruch auf Löschung der Daten und der Anspruch auf Einschränkung der Verarbeitung stehen zwar in einem Alternativverhältnis zueinander, jedoch schließt die einmal verlangte Einschränkung der Verarbeitung eine spätere Geltendmachung des Rechts auf Löschung nicht aus (Keber/Keppeler in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 3. Aufl. 2024, Art. 18 EUV 2016/679, Rz. 11). Das Einschränkungsrecht gemäß lit. b) gilt für den Zeitraum, bis die Daten auf ein geändertes Verlangen der betroffenen Person gelöscht werden. Die betroffene Person ist also durch die Ausübung des Wahlrechts zugunsten einer Einschränkung nicht an der späteren Ausübung ihres Löschungsrechts gehindert (Kamann/Braun in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl. 2014, Art. 18 DSGVO, Rz. 17). Ausgeschlossen ist lediglich, zuerst die Löschung der Daten zu verlangen und dann das Begehren auf eine eingeschränkte Verarbeitung dieser Daten zu lenken, da erforderlich ist, dass der Betroffene zuvor die Löschung abgelehnt hat (Keber/Keppeler in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 3. Aufl. 2024, Art. 18 EUV 2016/679, Rz. 11).
Vorliegend macht die Klägerin beide Begehren in der „richtigen“ (= durch diese Systematik vorgezeichneten) Reihenfolge geltend, und es kann keinen Unterschied machen, ob sie es in verschiedenen Verfahren hintereinander tut oder – wie hier – im selben Verfahren zeitlich gestaffelt und mit einem hinreichend bestimmten „Schaltpunkt“, der hier markiert wird durch den innerprozessual bestimmbaren Eintritt der Rechtskraft zzgl. eines Monats, dem hier lediglich die Funktion eines Sicherheitszuschlages zugunsten der Beklagten zukommt.
4.6. Ein Anspruch auf Freistellung von vorgerichtlichen Rechtsanwaltskosten besteht nicht.
Die Klägerin ist rechtsschutzversichert (vgl. Replik, S. 78 = Bl. 220 LGA). Den Vortrag der Beklagten, die Rechtschutzversicherung der Klägerin habe die außergerichtlichen Kosten bereits gedeckt (Berufungserwiderung vom 10.11.2025, Bl. 128 – 182, dort Rz. 133), hat die Klägerin nicht bestritten. Damit ist vom gesetzlichen Forderungsübergang auf den Versicherer der Klägerin gem. § 86 Abs. 1 VVG auszugehen, so dass die Klägerin nicht aktivlegitimiert ist.
5. Die Entscheidung über die Kosten des Rechtsstreits beruht auf den §§ 92 Abs. 1 S. 1 Alt. 1, S. 2, 97 Abs. 1 ZPO, wobei der Senat neben dem Schadenersatzantrag i.H.v. 5.000,- € den Unterlassungsantrag mit insgesamt 3.000,- € und die Anträge auf Feststellung, Belassung und Löschung oder Anonymisierung mit jeweils 500,- € bewertet hat.
6. Die Entscheidung zur vorläufigen Vollstreckbarkeit beruht auf §§ 708 Nr. 10, 711 S. 1 und 2 i.V.m. 709 S. 2 ZPO.
7. Der Senat lässt die Revision unter dem Gesichtspunkt des Gewichts für die beteiligten Verkehrskreise (s. BGH NJW 2003, 3765) zu. Es ist allgemein bekannt, dass schon jetzt eine hohe fünfstellige Zahl vergleichbarer Verfahren geführt wird. Die wirtschaftliche Bedeutung für die Beklagte (und andere Anbieter vergleichbarer Dienstleistungen) liegt vor diesem Hintergrund auf der Hand. Auch Rechtsschutzversicherer und Gerichte wird man zu den beteiligten Verkehrskreisen zählen können.
Open Legal Data