DSGVO-Datenleck bei Streamingdienst: Klage auf Art. 82-Schadensersatz abgewiesen

Die Klage wird abgewiesen.

Die Kosten des Rechtsstreits trägt der Kläger.

Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Zwangsvollstreckung durch Sicherheitsleistung in Höhe von 110 Prozent des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 Prozent des jeweils zu vollstreckenden Betrags leistet.

Der Kläger nimmt die Beklagte aufgrund behaupteter Datenschutzverstöße in Anspruch.

Die Beklagte betreibt in Europa die Musik-Streaming Plattform „K“, unter der Internetadresse L. Die Beklagte ist in mehr als 180 Ländern verfügbar. Neben Musik haben Nutzer auch Zugriff auf Hörbücher, Hörspiele und Podcasts. Die Beklagte hat derzeit rund 16 Millionen aktive Nutzer.

Der Kläger schloss mit der Beklagten ein Musik- und Hörbuch-Streaming Abo ab. Die Beklagte speicherte im Kundenprofil des Klägers folgende Stammdaten:

Am 6.11.2022 wurde ein Hackerangriff öffentlich bekannt gemacht, der auf Datensätzen aus dem Jahr 2019 beruhte. Wann der Angriff stattfand, ist zwischen den Parteien streitig. Zunächst hatte die Beklagte selbst auf ihrer Homepage von einem Angriff im Jahr 2019 berichtet, dies aber später anders dargestellt und auf 2022 abgestellt.

Zwischenzeitlich wurden die Kundendaten der Beklagten im sog. Darknet zum Verkauf angeboten. Am 23.12.2022 wurden die Kundendaten dann kostenlos bereitgestellt.

Am 10.11.2022 gegen 18:00 Uhr meldete die Beklagte der zuständigen V Datenschutzbehörde (D) den Vorfall. Die Beklagte informierte am 11.11.2022 auf der unternehmenseigenen Webseite.

Mit anwaltlichem Schreiben vom 17.05.2023 (Anlage K1) forderte der Kläger die Beklagte auf die rechtswidrige Verarbeitung der personenbezogenen Daten zu unterlassen, Schadensersatz in Höhe von nicht weniger als 1.000,00 Euro zu zahlen, Auskunft darüber zu erteilen, insbesondere welche Daten konkret (wohl) abgegriffen und veröffentlicht wurden sowie vorgerichtliche Rechtsanwaltskosten in Höhe von 1.054,10 Euro zu zahlen.

Die Beklagte antwortete mit E-Mail vom 25.05.2023 (Anlage K3) sowie mit Schriftsatz vom 12.06.2023 (Anlage K2) an die Prozessbevollmächtigten des Klägers und erteilte diesen Auskunft.

Der Kläger behauptet, bereits im Jahr 2019 seien 229 Millionen Datensätze der K-Nutzer gestohlen worden, von denen er ebenfalls betroffen gewesen sei.

Die Beklagte habe den Kläger nicht rechtzeitig über das Datenleck aus dem Jahr

2019 informiert. Die Beklagte habe nicht erst am 08.11.2022 Kenntnis von dem Cyberangriff erlangt. Sie habe sodann auch nicht in der erforderlichen Geschwindigkeit reagiert. Auch sei die zuständige Datenschutzbehörde nicht rechtzeitig informiert worden. Zudem sei sie für das Datenleck verantwortlich. Sie habe seine Daten nicht ausreichend geschützt. Mit Nichtwissen bestreitet er, dass die IT-Systeme der Beklagten nicht von dem streitgegenständlichen Datenschutzleck betroffen gewesen seien. Die Ermittlungsergebnisse, die die Beklagte vorgelegt habe, seien unsubstantiiert. Es sei unklar, weshalb immer noch keine konkreten Tatsachen vorgelegt werden könnten. Er bestreitet mit Nichtwissen, dass der Dienstleister im Juni 2023 eingeräumt habe, dass drei seiner Mitarbeiter die von dem Vorfall betroffenen Datensätze von einer Produktivumgebung in eine von dem

Dienstleister außerhalb der Vertragsbeziehung mit der Beklagten betriebenen

Nicht-Produktivumgebung überführt haben sollen. Ebenso bestreitet er, dass dieser Vorgang vertraglich nicht gestattet gewesen sein solle und die Beklagte von diesem

Vorgang keine Kenntnis gehabt habe. Es sei auch nicht bekannt, wer die drei Mitarbeiter seien und wie diese mehr als 200 Millionen Datensätze rechtswidrig hätten nutzen können, ohne dass dies aufgefallen sei.

Der               Auftragsverarbeitungsvertrag               sei               außerdem               nicht               rechtskonform.               Die

Vereinbarung weise nicht den benannten Auftragsverarbeiter Optimove als

Vertragspartner               auf.               Darüber               hinaus               sei               nicht               ersichtlich,               auf               welcher

Rechtsgrundlage personenbezogene Daten durch einen Auftragsverarbeiter zur „Einteilung in relevante Zielgruppen auf der Grundlage des Algorithmus des Auftragsverarbeiters“ sowie zur „Durchführung der Kampagne“ oder „um personalisierte, emotional intelligente Kommunikation in großem Umfang zu orchestrieren“ bzw. als „systematischen Ansatz zur Planung, Ausführung, Messung und Optimierung eines vollständigen, zielgerichteten Kundenmarketingplans“ in das außereuropäische Ausland übermittelt worden seien. Die Beklagte habe den Auftragsverarbeiter weder gewissenhaft ausgewählt noch kontrolliert. Die Beklagte habe auch die technischen und organisatorischen Maßnahmen nicht ausreichend überwacht. Aufgrund der E-Mail (Anlage B4) habe sie nicht davon ausgehen können, dass der Auftragsverarbeiter alle Daten gelöscht habe. Es sei gerade keine Löschungsbestätigung erfolgt. Die Beklagte habe sich die Löschung der Daten erstmalig am 22.02.2023 bestätigen lassen. Die Vertragsbeziehung zwischen der Beklagten und dem Dienstleister sei auch nicht zum 30.11.2020 beendet worden.  Der Kläger sei durch den Verlust seiner Daten in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch. Es bestehe Kontrollverlust sowie Sorgen, Ängste und Ärger. Er erhalte regelmäßig Spam-Nachrichten und fürchte einen Betrug.

Entgegen der Auffassung der Beklagten sei die erteilte Auskunft unzureichend. Es fehle eine konkrete Aussage, welche Daten des Klägers im Wege Datenlecks von unbekannten Dritten abgegriffen worden seien.

Der Kläger beantragt,

1.       die Beklagte zu verurteilen, an ihn immateriellen Schadensersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000,00 EUR nebst Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz;

2.       festzustellen, dass die Beklagte verpflichtet ist, ihm alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der im Jahr 0 erfolgte, entstanden sind und/oder noch entstehen werden;

3.       die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der

Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu

EUR 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, ihn betreffenden personenbezogenen Daten, welche die Beklagte im Rahmen der Account-Erstellung sowie ihm Rahmen der Nutzung des Musikstreaming-Dienstes K. verarbeitete, selbst und/oder durch Dritte und/oder Auftragsverarbeiter zu verarbeiten, ohne geeignete technische und organisatorische Maßnahmen i.S.v. Art. 32 DSGVO zu ergreifen und/oder ergreifen zu lassen, welche die unbefugte Offenlegung von bzw. den unbefugten Zugang zu personenbezogenen Daten ihn betreffend verhindern, wie jedoch geschehen mit Datenvorfall 0;

4.       die Beklagte zu verurteilen, ihm Auskunft über seine personenbezogenen

Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche

Daten von welchem Empfänger gestohlen wurden und/oder durch welche Empfänger zu welchem Zeitpunkt durch den Datenvorfall aus dem Jahr 0 erlangt werden konnten;

5.       die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in

Höhe von 1054,10 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit in Höhe von 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

              die Klage abzuweisen.

Die Beklagte ist der Auffassung, sie sei nicht für das Datenleck verantwortlich. Der Cyberangriff habe kurz vor der Veröffentlichung der Daten am 06.11.2022 stattgefunden habe. Sie habe jedenfalls erst am 08.11.2022 gegen 15:33 Uhr Kenntnis davon erlangt, dass unbekannte Hacker Daten von Nutzern der Beklagten im Dark Web veröffentlichten. Die Hacker hätten behauptet, dass sie die Daten durch den Hack eines nicht näher benannten „Drittdienstleisters“ erbeutet hätten und der Datensatz aus dem Jahr 2019 stamme. Wenn sie selbst auf ihrer Webseite es zunächst so dargestellt habe, dass der Angriff 2019 stattgefunden habe, so sei damals der genaue Hergang noch nicht klar gewesen. Sie habe den Cyberangriff unverzüglich gemeldet und die von dem Vorfall betroffenen Personen unverzüglich auf der unternehmenseigenen Webseite informiert. Anfang 2023 habe sie neben der Information auf ihrer Homepage nach wochenlanger enger Abstimmung mit der CNIL eine individuelle Betroffenenbenachrichtigung per E-Mail an den Kläger versandt.

Sie habe einem Dienstleister (U.“) die gesamten Kundendaten übermittelt. Im Rahmen der

Ermittlungen habe der Dienstleister im Juni 2023 eingeräumt, dass drei seiner

Mitarbeiter die von dem Vorfall betroffenen Datensätze von einer Produktivumgebung

(„production               environment")               in               eine               vom               Dienstleister               außerhalb               der

Vertragsbeziehung mit der Beklagten betriebene Nicht-Produktivumgebung („non-production environment“) überführt hätten. Dieser Vorgang sei vertraglich nicht gestattet gewesen und sie habe von diesem Vorgang keine Kenntnis gehabt.

Die Vertragsbeziehung mit diesem Drittdienstleister sei auch bereits zum 30.11.2020 beendet worden. Der Dienstleister habe damals versichert, dass er sämtliche Daten am 01.12.2020 löschen werde. Sie ist der Auffassung, sowohl ihre als auch die Sicherheitsvorkehrungen des Dienstleisters seien ausreichend gewesen und hätten den gesetzlichen Vorgaben entsprochen (Bl. 151 f. d. A.). Insbesondere seien zwischen dem Dienstleister und ihr vertraglich verschiedene Sicherheitsvorkehrungen vereinbart gewesen, so z.B hinsichtlich der IT-Zertifizierungen, Verschlüsselung, Verschlüsselte Kommunikation, Datentrennung sowie Angriffserkennungssysteme. Die IT-Infrastruktur des Dienstleisters sei in Echtzeit und rund um die Uhr überwacht worden. Jährlich seien Penetrationstests erfolgt.

Sie habe in Bezug auf den Kläger keine positive Kenntnis darüber, ob und falls ja, welche ihrer Informationen tatsächlich Gegenstand eines unberechtigten Zugriffs

geworden seien. Sie ist der Ansicht, der Kläger behaupte ohne jegliche Substantiierung an verschiedenen Stellen der Klage, sie hätte im Allgemeinen und insbesondere bei der Übermittlung von Kundendaten an einen Dienstleister nur unzureichende technische und organisatorische Schutzmaßnahmen vorgehalten. Zudem sei dem Kläger unter keinen Umständen ein kausaler Schaden entstanden. Hierzu trage der Kläger schon keine individuelle Betroffenheit vor. Die von ihr erteilte Auskunft sei ausreichend gewesen.

Die Klage hat keinen Erfolg.

I.

Die zulässige Klage ist unbegründet.

1.

Der Kläger hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen in Betracht kommenden Anspruchsgrundlage.

Nach dieser Norm hat jede Person, der wegen eines Verstoßes gegen diese

Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Die Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO liegen nicht vor.

Einen Verstoß der Beklagten als „Verantwortliche“ hat der Kläger weder hinreichend dargelegt noch bewiesen. Es kann daher offen bleiben, ob es – was sehr zweifelhaft ist –  bei dem Kläger zu einem immateriellen Schaden gekommen ist.

Voraussetzung der Haftung der Beklagten ist eine Pflichtverletzung, wobei der Begriff sehr weit gefasst ist und damit jede Verletzung materieller oder formeller Bestimmungen der Verordnung erfasst (Kohn, ZD 2019, 498, 500).

Der Kläger ist für die behauptete Pflichtverletzung der Beklagten im Sinne des Art. 82 DSGVO durch Verstoß gegen die Vorschriften der DSGVO (insbesondere Art. 32, 24, 25 Abs. 2, 33, 35, 15 DSGVO) beweisfällig.

Der Kläger trägt die Darlegungs- und Beweislast dafür, dass die Beklagte ihre

Pflichten nach der DS-GVO verletzt hat. Da Art. 82 DSGVO keine Regelung zur

Darlegungs- und Beweislast enthält, richtet sich diese nach den allgemeinen Grundsätzen der Beweislastverteilung und obliegt damit dem Kläger. Der Kläger muss zunächst darlegen und beweisen, dass das Datenleck durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurde (Hans-Jürgen Schaffland;

Gabriele               Holthaus               in:               Schaffland/Wiltfang,               Datenschutz-Grundverordnung

(DS-GVO)/Bundesdatenschutzgesetz (BDSG), 3. Ergänzungslieferung 2024, Art. 82 EUV 2016/679, Rn. 28, 29a; Jacquemain/Keppeler/Schwartmann in:

Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Artikel 82 Haftung und

Recht auf Schadenersatz, Rn. 28; vgl. hierzu auch LG Karlsruhe, ZD 2019, 511 ff.; OLG Stuttgart, ZD 2021, 375 und LG München I, ZD 2020, 204). Erst Recht trägt der

Betroffene die Darlegungslast dafür, dass überhaupt ein Datenleck bei der

Verarbeitung seiner Daten bei dem Unternehmen oder seines datenverarbeitenden Dienstleisters zu einem Datenabfluss geführt hat.

Eine sekundäre Darlegungslast trifft den Prozessgegner der primär darlegungsbelasteten Partei, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hat, während der Bestreitende alle wesentlichen Tatsachen kennt und es ihm unschwer möglich und zumutbar ist, nähere Angaben zu machen. Kommt dieser seiner sekundären Darlegungslast nach, obliegt dem Betroffenen wiederum die Widerlegung dieses

Vortrags (OLG Stuttgart, Urteil vom 31.03.2021 – 9 U 34/21, BeckRS 2021, 6282 Rn.

48 f.).

a)

Eine Verletzung der Rechtmäßigkeit der Verarbeitung gemäß Artt. 5 Abs. 1 lit. a), 6 DS-GVO ist seitens des Klägers nicht hinreichend dargelegt.

Der Datentransfer im Rahmen der Auftragsverarbeitung ist ohne Einwilligung zulässig. Liegt ein Fall der Auftragsverarbeitung vor, ist die dabei erfolgende Offenlegung personenbezogener Daten auch nach der DS-GVO weiterhin datenschutzrechtlich privilegiert, als hierfür keine explizite Rechtsgrundlage (zB berechtigtes Interesse/Interessensabwägung gem. Art. 6 Abs. 1 S. 1 Buchst. f DS–GVO) vorliegen muss. Die Offenlegung personenbezogener Daten an den

Auftragnehmer ist kraft Gesetzes zulässig (Schall, in: Katko, Checklisten zur

Datenschutz-Grundverordnung, 2. Auflage 2023, § 11 Rn. 8; vgl. dazu Schmidt/Freund, ZD 2017, 14).

Des Weiteren ist beim Empfänger – vorliegend Israel – im Drittland gemäß Art. 45 Abs. 1 DS-GVO ein angemessenes Datenschutzniveau, das dem der DS-GVO in

materieller und prozessualer Hinsicht im Wesentlichen gleichwertig ist gewährleistet (Lembke in: Henssler/Willemsen/Kalb, Arbeitsrecht Kommentar, 11. Auflage 2024, d)

Datenübermittlung in Drittländer (Art. 44 ff.) Rn. 78; Kühling/Buchner/Schröder, 4.

Aufl. 2024, DS-GVO Art. 45 Rn. 37).

b)

Eine Verletzung der Pflicht zur Implementierung angemessener technischer und organisatorischer Maßnahmen gemäß der Artt. 5 Abs. 1 lit. f), 24, 32 DSGVO ist nicht erkennbar.

Der Kläger ist beweisfällig. Zutreffend hat er darauf hingewiesen, dass es sich bei der Datenverarbeitung um Interna der Beklagten handele, in die er keinen Einblick habe, sodass der Beklagten eine sekundäre Darlegungslast zukomme. Die Beklagte hat substantiiert vorgetragen, dass es zu dem Datenleck nach Beendigung des Vertrages mit ihrem früheren Dienstleister gekommen ist, weil drei Mitarbeiter des Dienstleisters die von dem Vorfall betroffenen Datensätze von einer Produktivumgebung („production environment") in eine vom Dienstleister außerhalb der Vertragsbeziehung mit der Beklagten betriebene Nicht-Produktivumgebung („non-production environment“) überführt hatten, was vertraglich nicht gestattet gewesen sei und wovon sie – die Beklagte – keine Kenntnis gehabt habe. Überdies habe der Dienstleister vor dem Datenleck die Löschung aller von der Beklagten an sie übermittelten Daten zugesichert und bestätigt. Danach lag die Ursache des Datenlecks außerhalb des von der Beklagten zu verantwortenden Bereichs der Datenverarbeitung.

Zwar ist grundsätzlich ein Verantwortlicher nicht nur für jedwede Verarbeitung personenbezogener Daten, die durch ihn selbst erfolgt, sondern auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich ist, wenn personenbezogene Daten unrechtmäßig verarbeitet werden und die Verarbeitung nicht durch ihn, sondern durch einen Auftragsverarbeiter, an den er sich gewandt hat, in seinem Namen erfolgt ist. Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters kann sich jedoch nicht auf solche Fälle erstrecken, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte (EuGH, Urteil vom 5.12.2023 – C-683/21, ZD 2024, 209 Rn. 84, 85).

Der Kläger hat den Vortrag der Beklagten weder widerlegt noch einen tauglichen Beweis angeboten. Insoweit ist auch das Bestreiten mit Nichtwissen unzulässig, denn wenn die Beklagte ihrer sekundären Darlegungslast – wie vorliegend –  genügt, ist es wieder Sache des Klägers, die für die für die Haftung erforderlichen Umstände darzulegen und nachzuweisen (BGH, Urteil vom 27.7.2017 – I ZR 68/16, NJW 2018, 68 Rn. 13.)

Es obliegt dem Kläger, seinen (konkreten) Vortrag, dass ein bestimmter Standard nicht eingehalten wurde, zu beweisen. Dass er sich in einer solchen Beweisnot befinden würde, die es ihm nicht ermöglichte, die wesentlichen Tatsachen aufzuklären, ist nicht anzunehmen. Insbesondere hätte der Kläger über die B Aufsichtsbehörde (E) weitere Informationen erhalten können.

Entgegen der Auffassung des Klägers folgt auch nicht allein aus der Tatsache, dass es Dritten gelungen ist, auf Daten zuzugreifen und sie zu veröffentlichen, dass der Verantwortliche keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz ergriffen hat (BeckOK DatenschutzR/Quaas, 47. Ed. 1.2.2024, DS-GVO Art. 82 Rn. 14a f. mwN).

c)

Eine Verletzung der Art. 34, 33 DS-GVO liegt ebenfalls nicht vor.

Insoweit gelten die vorherigen Ausführungen entsprechend.

Die Beklagte hat umfassend dargelegt, dass sie die Anforderungen der Artt. 34 und 33 DS-GVO nicht verletzt hat. Insbesondere habe sie keine 72 Stunden benötigt, um der Aufsichtsbehörde das Datenleck mitzuteilen. Sie habe auch die betroffenen Personen am 11.11.2022 über ihre Webseite informiert und nach wochenlanger

Abstimmung               mit               der               CNIL               Anfang               2023               eine               individuelle

Betroffenenbenachrichtigung per E-Mail versandt, sofern sie über Kontaktdaten verfügt habe.

Auch insoweit ist der Kläger für eine Verletzung beweisfällig.

d)

Eine Verletzung des Art. 15 DS-GVO liegt gleichfalls nicht vor.

Zur Überzeugung des Gerichts wurde der Auskunftsanspruch nach Art. 15 DSGVO jedenfalls durch die Klageerwiderung vom 30.01.2024 vollumfänglich erfüllt (§ 362 Abs. 1 BGB).

Weitergehende Auskunft kann der Kläger nicht verlangen. Wenn er bemängelt, dass ihm die konkret betroffenen Daten nicht benannt worden seien, so ist dies mittlerweile anders. Diese Daten sind in der Klageerwiderung vom 29.11.2023 (dort S. 7 = Bl. 149 d.A.) widergegeben, indem die Beklagte dem Kläger zumindest mitgeteilt hat, welche Daten sie von ihm überhaupt gespeichert hat. Soweit der Kläger bemängelt, es fehle an einer Auskunft dazu, „welche Daten durch welche

Empfänger zu welchem Zeitpunkt bei der Beklagten durch die unbefugte Veröffentlichung im Internet im Jahr 2019 erlangt werden konnten“, ist der Beklagten diese Auskunft nicht möglich. Nach den Ausführungen der Beklagten seien die Daten bei einem Dienstleister durch unbekannte Dritte abgegriffen und später durch diese oder andere Dritte veröffentlicht worden. Der Anspruch nach Art. 15 DSGVO richtet sich jedoch gegen den Verantwortlichen der Datenverarbeitung, dies wären also hier die „Hacker“.

2.

Der Feststellungsantrag zu 2) ist unbegründet, der Kläger ist bereits in Hinblick auf einen etwaigen Verstoß beweisfällig, sodass der Eintritt eines weiteren Schadens nicht hinreichend wahrscheinlich ist.

3.

Dem Kläger steht gegen die Beklagte kein Anspruch auf Unterlassung nach §§ 1004 analog, 823 Abs. 1 und aus Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO sowie Art. 17 DSGVO (Antrag zu 3.) zu, seine personenbezogenen Daten in Zukunft Dritten zugänglich zu ohne Einholung einer Einwilligung oder Erfüllung sonstiger gesetzlicher Erlaubnistatbestände. Denn es fehlt bereits an einem Verstoß der Beklagten, der überhaupt zu einem Unterlassungsanspruch führen könnte, selbst wenn man Art. 6 DSGVO als Schutzgesetz im Sinne des § 823 Abs. 2 BGB ansieht.  Eine Rechtsnorm ist ein Schutzgesetz i.S.d § 823 Abs. 2 BGB, wenn sie zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen. Dafür kommt es nicht auf die Wirkung, sondern auf Inhalt und Zweck des Gesetzes sowie darauf an, ob der Gesetzgeber bei Erlass des Gesetzesgerade einen Rechtsschutz, wie er wegen der behaupteten Verletzung in Anspruch genommen wird, zu Gunsten von Einzelpersonen oder bestimmten Personenkreisen gewollt oder doch mitgewollt hat

(BGH, Urteil vom 25.05.2020, Az.: VI ZR 252/19, NJW 2020,1962). Art. 6 Abs. 1 10

DSGVO dient dem Schutz der Verarbeitung personenbezogener Daten. Der Zweck des Art. 6 Abs. 1 DSGVO liegt darin, rechtswidrige Verarbeitungen personenbezogener Daten zu deklarieren und zu verhindern. Insoweit ist Art. 6 Abs.

1 DSGVO Schutzgesetz i.S.d. § 823 Abs. 2 BGB (LAG Hamm, Urteil vom

14.12.2021, Az.: 17Sa 1185/20). Es fehlt bereits an einem Verstoß der Beklagten.

4.

Dem Kläger steht entsprechend der Ausführungen unter II. 1. d) kein Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO (Antrag zu 4.) zu.

5.

Der Anspruch auf außergerichtliche Rechtsanwaltskosten (Antrag zu 5.) teilt als Nebenforderung das Schicksal der unbegründeten Hauptforderungen.

II. 

Die prozessualen Nebenentscheidungen beruhen auf §§ 91, 708 Nr. 11, 711 ZPO

III. 

Der Streitwert wird auf 3.500,00 Euro festgesetzt.

Dieser setzt sich wie folgt zusammen:

1.       Für den Antrag zu 1.) ergibt sich ein Wert in Höhe von 1.000,00 Euro.

2.       Für den Antrag zu 2.) ergibt sich ein Wert in Höhe von bis zu 500,00 Euro.

3.       Für den Antrag zu 3.) ergibt sich ein Wert in Höhe von bis zu 1.500,00 Euro.

4.       Für den Antrag zu 4.) ergibt sich ein Wert in Höhe von bis zu 500,00 Euro.