DSGVO: Unterlassung von Off‑Site‑Tracking via Business Tools und 1.000 € Art. 82-Schaden

1. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,- €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckenden Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und – Apps außerhalb der Netzwerke der Beklagten die nachfolgend aufgelisteten personenbezogenen Daten des Klägers mit Hilfe der V. Business Tools zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden, nämlich

a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d.h.

E-Mail der Klagepartei

Telefonnummer der Klagepartei

Vorname der Klagepartei

Nachname der Klagepartei

Geburtsdatum der Klagepartei

Geschlecht der Klagepartei

Ort der Klagepartei

Externe IDs anderer Werbetreibender (von der V. Ltd.

„external_ID” genannt)

IP-Adresse des Clients

User-Agent des Clients (d.h. gesammelte

Browserinformationen) interne Klick-ID der V. Ltd. interne Browser-ID der V. Ltd.

Abonnement-ID Lead-ID anon_id

sowie folgende personenbezogene Daten des Klägers

auf Webseiten

die URLs der Webseiten samt ihrer Unterseiten der Zeitpunkt des Besuchs der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist),

die von der Klagepartei auf der Webseite angeklickten Buttons sowie

weitere von der V. „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren

in mobilen Dritt-Apps

der Name der App sowie der Zeitpunkt des Besuchs 

die von der Klagepartei in der App angeklickten Buttons sowie

die von der V. „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren.

Die Beklagte wird verurteilt, an den Kläger 1.000,- € nebst Zinsen i.H.v. fünf Prozentpunkten über dem Basiszinssatz seit dem 11.01.2024 zu zahlen.

Die Beklagte wird verurteilt, den Kläger von vorgerichtlichen

Rechtsanwaltskosten i.H.v. 296,07 € freizustellen.

Im Übrigen wird die Klage abgewiesen.

Die Kosten des Rechtsstreits tragen der Kläger zu 71 % und die Beklagte zu 29 %.

Das Urteil ist vorläufig vollstreckbar, für den Kläger jedoch nur gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages. Der Kläger kann die Vollstreckung durch Hinterlegung einer Sicherheit von 110 % des gegen ihn aus dem Urteil vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet.

Der Kläger macht unter anderem Schadensersatz- und Unterlassungsansprüche wegen einer vermeintlich rechtswidrigen Datenverarbeitung der Beklagten auf Webseiten und Apps Dritter mittels von ihr entwickelter Tools geltend.

Der Kläger nutzt (wie in mündlicher Verhandlung nunmehr unstreitig gestellt) seit dem 03.04.2023 das von der Beklagten betriebene Netzwerk „K.“ unter dem Benutzernamen „O.“ zu privaten Zwecken. Die Beklagte ist Entwicklerin sogenannter „Business Tools“ (namentlich: V. J., Z. über B., D. und Z. C.), die Dritte auf ihren Webseiten und Apps durch Einfügen des Codes implementieren können. Durch Einbindung dieser Tools werden auf den Webseiten Daten zum Nutzungsverhalten des Betroffenen gesammelt (z.B. wie oft bestimmte Webseiten besucht werden und welche Klicks dort gesetzt werden) und an die Beklagte übersendet. Verfügt der Nutzer über ein K.-Konto, werden die sogenannten Off-Site-Daten automatisch mit dem K.-Konto des Nutzers und den dort gespeicherten personenbezogenen Daten verknüpft. Der Nutzer kann auch ohne bei seinem Konto bei der Beklagten eingeloggt zu sein oder dieses zu nutzen anhand seines digitalen Fingerabdrucks (der individuellen Kombination aus Browser- und Endgeräteeinstellungen) mit einer Sicherheit von 99 % identifiziert werden. Zweck der Business Tools ist es, hierüber die Bereitstellung von personalisierter Werbung zu ermöglichen.

Die Business Tools der Beklagten finden verbreitet Anwendung, unter anderem auf Nachrichtenseiten, Dating-, Reise- und Selbsthilfeportalen, wobei der konkrete Umfang streitig ist.

Die Überlassung der Tools an Dritte erfolgt aufgrund vertraglich von der Beklagten vorgegebener Nutzungsbedingungen (Anlage B5), mit denen sich die Dritten unter anderem verpflichten, die Erhebung und Übermittlung der Daten in Übereinstimmung mit geltenden Vorschriften wie insbesondere auch der DSGVO vorzunehmen und als Mindestinhalt deutliche Hinweise anzubringen mit Verlinkung der Information, dass unter anderem die Beklagte möglicherweise Cookies nutze, um Informationen von der Webseite zu erhalten.

Durch Konfiguration seines K.-Kontos, die dem Nutzer gemäß Anlage B7 erläutert werden, kann dieser in den Einstellungen unter „Informationen von Werbepartnern zu deinen Aktivitäten“ seine Einwilligung in diese Verknüpfung verweigern mit der Folge, dass die über Cookies erlangten Off-Site-Daten nicht für Werbezwecke und zur Anzeige von personalisierter Werbung genutzt werden. Ferner kann der Nutzer in den Einstellungen zu „Deine Aktivitäten außerhalb der V-Technologien“ wählen, dass bestimmte Aktivitäten, die Drittunternehmen geteilt haben, von dem K.-Konto getrennt oder gelöscht werden.

Für die Sammlung und Übertragung der Daten auf den externen Seiten und Apps holt die Beklagte zuvor keine Einwilligung des Nutzers ein, sondern beruft sich hierfür auf die diesbezügliche Zuständigkeit der Drittunternehmen.

Der Kläger behauptet, die Business Tools der Beklagten seien auf 30 – 40 % aller Webseiten weltweit und einer großen Zahl beliebter Apps aktiv. Konkret legt der Kläger eine in Bezug genommene Liste mit betroffenen Webseiten (Anlage K2) vor. Es liege daher außerhalb jeder Wahrscheinlichkeit, dass er hiervon nicht betroffen sei und die Beklagte keine Off-Site-Daten von ihm verarbeitet habe. Er nutze diverse dieser Seiten. Er ist der Ansicht, es bestehe kein Anlass, über sein konkretes Surfverhalten Auskunft zu geben, da er anderenfalls gerade geschützte Daten in diesem Verfahren preisgeben müsste. Der Besucher sei beim Aufruf sämtlicher von ihm aufgerufener Webseiten und Apps im Unklaren, ob die Beklagte nun gerade mitlese oder nicht.

Der Kläger verbringe durchschnittlich fünf Stunden pro Tag im Internet. Diese Zeit nutzte er zu einem guten Teil, um Tätigkeiten durchzuführen, die seiner Privat- und Intimsphäre zuzurechnen seien, dies v. a. zu Hause und allein am Rechner bzw. am Mobiltelefon ohne bewusste Einsicht Dritter. Der Kläger beschäftige sich durchschnittlich etwa 50 Stunden pro Monat mit sensiblen Themen im Internet, unter andrem finanziellen Themen inklusive Online-Banking und der Recherche zu Investitionen, Online-Trading, Kreditkonditionen sowie Automobilen und Immobilien, mit gesundheitlichen Themen, unter anderem durch regelmäßige Nutzung von Online-Apotheken und Recherche von Krankheitssymptomen, mit politischen Themen, u.a. zu Themen wie z. B. Migration, Klimawandel, die Genderdebatte oder das aktuelle Kriegsgeschehen und durch Nutzung des Wahl-O-Maten, sowie zu rechtlichen Themen. Über die Sexualität betreffende Themen möchte der Kläger vorerst auch dem Gericht gegenüber keine weiteren Auskünfte erteilen.

Der Kläger lehne bereits seit längerer Zeit alle Cookies ab.

Der Kläger ist der Ansicht, diese massenweise Datenerhebung sei rechtswidrig und insbesondere nicht von einer Einwilligung gedeckt. Der Nutzer könne sich auch durch die Einstellungen nicht dagegen wehren, dass die Daten zunächst einmal erhoben und gespeichert würden; lediglich die Anzeige von Werbung könne durch Abschluss eines werbefreien Abos unterbunden werden. Durch die “Conversion C.” und die „Z. C.“ der Beklagten würden Schutzversuche der großen Browser gegen Cookie-Setzung Dritter gezielt unterlaufen, womit die Beklagte sogar aktiv werbe. Die Beklagte sei für die Erhebung der Daten neben den Dritten verantwortlich i.S.d. DSGVO und habe daher auch die Einwilligung des Klägers einzuholen.

Der Kläger macht unter anderem einen Schmerzensgeldanspruch aus Art. 82 DSGVO geltend mit der Begründung, die Beklagte habe jahrelange, vorsätzlich ausgeführte Spionage durch die Datensammlung betrieben, die ihm das Gefühl vermittele, dass sein Privatleben kontinuierlich überwacht werde.

Auf den Kläger habe dies die Auswirkung, dass er sich beim Aufruf beliebiger Webseiten und Apps niemals sicher sein könne, ob die Beklagte gerade mitlese, was er tue oder nicht. Er wisse, dass er die Kontrolle darüber, was die Beklagte mit den erhaltenen Daten mache, was sie über den Kläger wisse und mit wem sie dieses Wissen teile, verloren habe. Er fühle sich durch die streitgegenständliche Datenverarbeitungspraxis der Beklagten unwohl und überwacht. Er fühle sich der Beklagten ausgeliefert, da das Internet für ihn unverzichtbar sei und einen wesentlichen Bestandteil seines Lebens darstelle. Der Kläger habe ein sehr ungutes Gefühl dabei, sich auf Webseiten und in Apps zu bewegen, die sensible personenbezogene Inhalte über ihn preisgeben könnten.

Der Kläger beantragt,

1. festzustellen, dass der Nutzungsvertrag der Parteien zur Nutzung des Netzwerks „K.” unter dem Benutzernamen „O.“ der Beklagten die Erfassung mit Hilfe der V. Business Tools, die Weiterleitung an die Server der Beklagten, die dortige Speicherung und anschließende Verwendung von folgenden personenbezogenen Daten nicht gestattet:

a) auf Dritt-Webseiten und -Apps entstehende personenbezogene Daten der Klagepartei, ob direkt oder in gehashter Form übertragen, d.h.

E-Mail der Klagepartei

Telefonnummer der Klagepartei

Vorname der Klagepartei

Nachname der Klagepartei

Geburtsdatum der Klagepartei

Geschlecht der Klagepartei

Ort der Klagepartei

Externe IDs anderer Werbetreibender (von der V. Ltd.

„external_ID” genannt)

IP-Adresse des Clients

User-Agent des Clients (d.h. gesammelte

Browserinformationen) interne Klick-ID der V. Ltd. interne Browser-ID der V. Ltd.

Abonnement-ID Lead-ID anon_id

sowie folgende personenbezogene Daten der Klagepartei

auf Webseiten

die URLs der Webseiten samt ihrer Unterseiten der Zeitpunkt des Besuchs

der „Referrer“ (die Webseite, über die der Benutzer zur aktuellen Webseite gekommen ist),

die von der Klagepartei auf der Webseite angeklickten

Buttons sowie

weitere von der V. „Events“ genannte Daten, die die Interaktionen der Klagepartei auf der jeweiligen Webseite dokumentieren

in mobilen Dritt-Apps der Name der App sowie der Zeitpunkt des Besuchs

die von der Klagepartei in der App angeklickten Buttons sowie

die von der V. „Events“ genannte Daten, die die Interaktionen der Klagepartei in der jeweiligen App dokumentieren

es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,- €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft oder einer an ihrem gesetzlichen Vertreter zu vollstreckenden Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, auf Drittseiten und – Apps außerhalb der Netzwerke der Beklagten personenbezogene Daten der Klagepartei gem. dem Antrag zu 1. mit Hilfe der V. Business Tools zu erfassen, an die Server der Beklagten weiterzuleiten, die Daten dort zu speichern und anschließend zu verwenden

die Beklagte zu verurteilen, an die Klagepartei eine angemessene Entschädigung in Geld, deren Höhe in das Ermessen des Gerichts gestellt wird, die aber mindestens 5.000,- € beträgt, nebst Zinsen i.H.v. fünf Prozentpunkten über dem Basiszinssatz seit dem 11.01.2024, zu zahlen,

die Beklagte zu verurteilen, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten i.H.v. 713,76 € freizustellen.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte hat zunächst bestritten, dass der Kläger ein Konto bei K. unterhalte. Falls er kein K.-Nutzer sei oder nicht eingewilligt habe, verarbeite die Beklagte auch keine Daten. In mündlicher Verhandlung hat sie indessen unstreitig gestellt, dass der Kläger K.-Nutzer ist und das behauptete Konto besteht.

Die Beklagte bestreitet weiterhin, gerade die im Antrag genannten Daten verarbeitet zu haben. Die Beklagte entscheide nicht darüber, welche Daten über die Business Tools übermittelt werden. Die Zustimmung hierzu werde von den Drittunternehmen eingeholt und an die Beklagte übermittelt. Damit seien die Anforderungen an die erforderliche Einwilligung erfüllt. Auch nach der Auffassung des EuGH seien für die Einholung der Einwilligungen die Drittunternehmen zuständig. Für die anschließende Verarbeitung bei der Beklagten beruft sich die Beklagte auf ihre vertraglichen Grundlagen bzw. erteilte Einwilligung im Verhältnis der Parteien. Dass sensible Daten i.S.v. Art. 9 DSGVO von der Beklagten überhaupt verarbeitet wurden, lege der Kläger nicht dar. Der Vertrag zwischen der Beklagten und den Drittunternehmen verbiete es ausdrücklich, dass diese sensiblen Daten mit der Beklagten teilen. Die Systeme der Beklagten seien dahin ausgestaltet, diese potentiellen Informationen herauszufiltern.

Die Beklagte ist der Ansicht, die vorliegende Art der Verwendung von Cookies sei völlig normaler Bestandteil der täglichen Internetnutzung.

Der Kläger müsse darlegen, dass er überhaupt relevante Webseiten oder Apps Dritter besucht habe. Es bestünden auch keinerlei Anhaltspunkte dafür, dass die 466 Webseiten in Anlage K 2 die streitgegenständlichen Business Tools verwenden oder verwendet hätten. Der Kläger könne dies leicht darlegen. Dies habe der Klägervertreter selbst demonstriert, indem er entsprechende Screenshots in

Einzelfällen vorgelegt habe. Mit gängigen Technologien (z. B. die V. J. E. lasse sich prüfen, ob Webseiten das Business Tools nutzten.

Auch der Eintritt eines Schadens sei nicht dargelegt. Angebliche Befürchtungen bezögen sich auf unrichtige Behauptungen zu Spionage und Überwachung durch die Beklagte.

Die Klage ist mit Ausnahme des Feststellungsantrags zulässig und weitgehend begründet, mit Ausnahme der Höhe des geltend gemachten Mindestschmerzensgeldes.

I.

1.)

Das Landgericht Duisburg ist gemäß Art. 79 Abs. 2 S. 2 DSGVO sowie Art. 18 Abs. 1, 2. Alt. EuGVVO international zuständig.

Der Kläger hat seinen Wohnsitz und gewöhnlichen Aufenthaltsort in Duisburg und geht gegen die Beklagte als Verantwortliche im Sinne der DSGVO vor.

Sofern Anspruchsgrundlagen außerhalb der DSGVO in Betracht kommen, folgt die Zuständigkeit jedenfalls aus der EuGVVO, da der Kläger Verbraucher ist und in Deutschland seinen Wohnsitz hat.

Die örtliche Zuständigkeit folgt jedenfalls aus § 39 ZPO.

2.)

Die Klage ist in Bezug auf den Feststellungsantrag zu 1. unzulässig.

Gegenstand einer Feststellungsklage kann gemäß § 256 Abs. 1 ZPO in der hier allenfalls in Betracht kommenden Variante das Bestehen oder Nichtbestehen eines Rechtsverhältnisses sein. Hierzu können auch einzelne Rechte und Pflichten gehören, die sich aus einem Rechtsverhältnis ergeben, nicht jedoch bloße Elemente oder Vorfragen eines Rechtsverhältnisses, reine Tatsachen oder etwa die Wirksamkeit von Willenserklärungen oder die Rechtswidrigkeit eines Verhaltens (BGH, Versäumnisurteil vom 27.03.2015 – V ZR 296/13, NJW-RR 2015, 915 Rn. 7 m.w.N.). Vorliegend geht es dem Kläger inhaltlich um die Feststellung der Rechtwidrigkeit der Datenverarbeitung durch die Beklagte. Dies ergibt sich aus seiner Klagebegründung, da er die Rechtswidrigkeit nicht vorrangig mit dem Verstoß gegen vertragliche Vereinbarungen begründet, sondern mit Verstößen gegen die DSGVO. Die Antragsformulierung dahingehend, dass der Nutzungsvertrag die Datenverarbeitung nicht gestattet, ändert an dieser Zielrichtung nichts, da sich aus dem Nutzungsvertrag lediglich eine Einwilligung hierfür ergeben könnte (ebenso LG Aachen, Schlussurteil vom 15.04.2025 – 15 O 40/24, GRUR-RS 2025, 24 Rn. 30). Es geht mithin nicht um die Feststellung konkreter Rechte und Pflichten aus dem Nutzungsvertrag, sondern um die Bewertung der Rechtswidrigkeit (auch) unter Einbeziehung möglicher vertraglicher Einwilligungen.

Darüber hinaus fehlt es auch an dem erforderlichen Feststellungsinteresse. Es gilt grundsätzlich der Vorrang der Leistungsklage. Diese hat der Kläger durch Geltendmachung von Schadensersatz- und Unterlassungsansprüchen bereits erhoben. Welche noch nicht benennbaren weiteren Folgen dem Kläger entstehen sollen, ist nicht ersichtlich.

Auch eine Zwischenfeststellungsklage nach § 256 Abs. 2 ZPO, für die ein besonderes Feststellungsinteresse entbehrlich ist, ist nicht zulässig. Auch diese setzt voraus, dass ein Rechtsverhältnis im o.g. Sinn Gegenstand der (Zwischen-) Feststellung ist.

II.

1.)

Der Kläger hat einen Anspruch auf Unterlassung der vorliegenden rechtswidrigen Datenerhebung.

a)

Anspruchsgrundlage für einen Unterlassungsanspruch ist zumindest für die Handlungsalternative des Speicherns von Daten Art. 17 Abs. 1 DSGVO.

Die DSGVO ist zeitlich ab dem 25.05.2018 anwendbar. Der Kläger hat seinen Account bei der Beklagten nach diesem Zeitpunkt eröffnet und unterhalten.

Art. 17 DSGVO begründet dem Wortlaut nach als Rechtsfolge zwar nur einen Anspruch auf Löschung von Daten. In Verbindung mit Art. 79 DSGVO, der wirksame gerichtliche Rechtsbehelfe bei einer Verletzung der DSGVO garantiert, kann hieraus jedoch zugleich ein Unterlassungsanspruch hergeleitet werden (vgl. BGHZ 231, 264 = GRUR 2022, 258 Rn. 10 – Ärztebewertung V). Denn aus der Verpflichtung zur Löschung von Daten ergibt sich implizit zugleich die Verpflichtung, diese künftig nicht (wieder) zu speichern. Daher ist im Löschungsanspruch des Art. 17 DSGVO zugleich ein Unterlassungsanspruch zu sehen (vgl. für eine vergleichbare Fallgestaltung: OLG Frankfurt am Main, Urteil v. 30.03.2023, 16 U 22/22 Rn. 44 f.).

aa)

Der Kläger ist „betroffene Person“ i.S.v. Art. 17 Abs. 1 DSGVO. Im Hinblick auf die Unterlassung erst künftiger Speichervorgänge ist dies in Anlehnung an anderweitige Unterlassungsansprüche des BGB so auszulegen, dass in der Vergangenheit bereits entsprechende Daten gespeichert wurden oder zumindest diese Gefahr konkret droht (vgl. LG Lübeck, Urteil vom 10.01.2025 – 15 O 269/23, GRUR-RS 2025, 8, das eine „irgendwie greifbare Erstbegehungs- oder Wiederholungsgefahr“ fordert).

Hierzu hat der Kläger ausreichend vorgetragen, um das Gericht von seiner individuellen Betroffenheit zu überzeugen. Nicht zu fordern ist dafür, dass der Kläger den Besucht einzelner Webseiten oder Nutzung einzelner Apps vorträgt, sowie wann er diese jeweils besucht hat. Die weltweite Marktstellung der Beklagten, insbesondere auf dem Bereich der sozialen Medienplattformen, darf als allgemeinbekannt vorausgesetzt werden. Dementsprechend groß sind ihre Möglichkeiten zur Einflussnahme durch personalisierte Werbung und die Wahrscheinlichkeit, dass die von ihr zur Verfügung gestellten Tools von Drittunternehmen auch tatsächlich verwendet werden. Das ersichtlich ins Blaue hinein erfolgte pauschale Bestreiten, dass die Business Tools der Beklagten im dargelegten Umfang und auf den im Einzelnen aufgelisteten Seiten Verwendung findet, ist vor diesem Hintergrund unzulässig.

Dies gilt auch vor dem Hintergrund, dass dem Kläger – wie durch seine Prozessbevollmächtigten demonstriert – grundsätzlich technische Möglichkeiten zur Verfügung stehen, um seinerseits die Betroffenheit einzelner Webseiten zu überprüfen. Im Unterschied zur Beklagten, die mit den jeweiligen Betreibern Vertragsverhältnisse pflegt und diese leicht mit der Liste des Klägers abgleichen könnte, wäre der Kläger zu diesem Zweck jedoch gezwungen, auf gut Glück eine immense Anzahl der täglich genutzten Seiten und Apps zu dokumentieren und zu durchforsten, wofür er sonst keinen Anlass hat.

Die Beklagte bestreitet auch grundsätzlich nicht, dass ihre Tools eine ganz erhebliche Verbreitung erfahren. Bei einem durchschnittlichen Internetnutzungsverhalten, ist es daher realistischerweise nicht denkbar, dass der Kläger nicht in Berührung mit den Business Tools der Beklagten kam.

Dabei ist auch zu berücksichtigen, dass der Kläger durch Preisgabe der ganz konkret von ihm besuchten Internetseiten mit möglicherweise sensiblen Themen gerade entgegen dem Schutzzweck der DSGVO gezwungen würde, diese auch gegenüber der Beklagten offenzulegen (vgl. LG Lübeck, aaO, Rn. 71).

bb)

Die Beklagte ist für das Speichern der Daten verantwortlich i.S.v. § 4 Nr. 7 DSGVO. Dies bedarf hinsichtlich der eigenen Speicherung durch sie keiner weiteren Erörterung.

cc)

Der Kläger hat eine etwaig erteilte Einwilligung zur Speicherung der mittels Business Tools gewonnenen Daten jedenfalls i.S.v. § 17 Abs. 1 lit. b) durch seine Klageerhebung und den vorangegangenen Schriftverkehr (hier: das vorgerichtliche anwaltliche Aufforderungsschreiben vom 13.12.2023, K3) widerrufen. Dass die Beklagte sich dem gebeugt hätte und – unabhängig von den Einstellungsmöglichkeiten für den Kläger selbst auf K. – Maßnahmen ergriffen hätte, um in diesem Fall eine Speicherung zu verhindern, ist nicht vorgetragen. Vielmehr beruft sich die Beklagte weiterhin allgemein auf das Bestehen einer Einwilligung. Darüber hinaus hat die Beklagte bis zuletzt geleugnet, dass der Kläger ein Konto bei ihr unterhalte, da sie dies nicht auffinden könne. Daher ist auszuschließen, dass sie entsprechend tätig geworden ist.

dd)

Auf die Einstellungsmöglichkeiten auf seinem K. Konto kann die Beklagte den Kläger nicht verweisen.

Zwar steht ihm hier – vorbehaltlich der Frage der ausreichend deutlichen Information für eine rechtswirksame Einwilligung – die Möglichkeit offen, selbst die Entkoppelung von seinem Konto oder die Löschung bestimmter Daten anzuwählen bzw. für die Zukunft zu untersagen.

Zum einen ist jedoch nicht ersichtlich, dass er hiermit die Speicherung von jedweden, durch die Business Tools gewonnenen Daten generell unterbinden könnte. Die individuelle Auswahl der Daten einzelner Drittanbieter ist weder zumutbar, noch wird dies dem Bedürfnis auf vollständige Unterlassung gerecht. Darüber hinaus beruft sich die Beklagte in Erwiderung des Vorhalts, dass eine Übertragung und Speicherung der Daten nicht durch Widerspruch verhindert werden könne lediglich darauf, dass sie diese Daten in dem Falle nicht zur Anzeige von Werbung nutze. Demnach ist unstreitig, dass die Daten aber trotzdem zunächst (nach Maßstab der Bedingungen des Drittanbieters) übermittelt und gespeichert werden. Dass bzw. durch welche Einstellung dies generell und im Voraus für den Nutzer verhinderbar sei, legt die Beklagte nicht dar.

b) aa)

Die übrigen Handlungsweisen, nämlich die Daten mit Hilfe der V. Business Tools zu erfassen, an die Server der Beklagten weiterzuleiten und anschließend zu verwenden, sind angesichts der klaren Abweichung vom Wortlaut des Art. 17 DSGVO von dieser Anspruchsgrundlage nicht erfasst.

Insoweit besteht jedoch ein Anspruch aus §§ 1004 Abs. 1 analog, 823 Abs. 1 BGB bzw. § 823 Abs. 2 BGB i.V.m. § 6 DSGVO. Diese Anspruchsgrundlagen gelten hilfsweise auch für den Unterlassungsanspruch bezogen auf den Speichervorgang gemäß Buchstabe a).

Diese Anspruchsgrundlage wird nicht durch eine abschließende Regelung in der DSGVO verdrängt. Gemäß Art. 84 Abs. 1 DSGVO legen die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen.

Dies wird gestützt durch die Entscheidung des EuGH vom 04.10.2024 (AZ.: C 21/23), die insoweit zeitlich nach dem diesbezüglichen Vorlageverfahren des BGH (Beschluss vom 26.09.2023, VI ZR 97/22) ergangen ist. Hierin führt der EuGH aus, dass generelles Regelungsziel der DSGVO ist, den Betroffenen im europäischen Rechtsraum ein hohes Schutzniveau zu gewährleisten und die praktische Wirksamkeit der DSGVO sicherzustellen. Vor diesem Hintergrund hat er eine Unterlassungsklage für zulässig gehalten, die zur Einhaltung dieser Bestimmungen beiträgt.

bb)

Zur Betroffenheit im Sinne einer Rechtsgutsverletzung gegenüber dem Kläger gelten die obigen Ausführungen entsprechend.

Der Kläger wird durch eine Datenerhebung in seinem durch § 823 Abs. 1 BGB geschützten Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG verletzt. Ferner liegt hierin ein Verstoß gegen Art. 6 DSGVO (präventives Verbot der Datenverarbeitung).

cc)

Die Beklagte ist „Verantwortliche“ i.S.v. § 4 Nr. 7 DSGVO bzw. aus denselben Gründen zugleich Handlungsstörer bezogen auf die Rechtsgutsverletzung des § 823 BGB. Dies gilt nicht nur für die von ihr selbst unmittelbar veranlasste Speicherung und Verwendung der Daten für Werbezwecke, sondern auch für die Erhebung beim Drittunternehmen und Übermittlung an die Klägerin. Verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO ist, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Verarbeitung ist nach der Legaldefinition in Art. 4 Nr. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Hierfür genügt es nach der Rechtsprechung des EuGH, wenn die Person aus Eigeninteresse Einfluss auf die Mittel und Zwecke der Datenverarbeitung nimmt (BeckOK DatenschutzR, 50. Ed. Stand 01.05.2025, DSGVO Art. 26 Rn. 18). Gem. Art. 26 Abs. 1 S. 1 DSGVO können auch mehrere nebeneinander verantwortlich sein, wenn sie die Zwecke und Mittel gemeinsam festlegen. Der erforderliche Beitrag zur Datenverarbeitung kann dabei bereits in der Ermöglichung der Erhebung der Daten und der Einflussnahme auf die Kategorien der Daten, welche erhoben werden sollen, liegen. Hierzu hat der EuGH (Urteil vom 29. 07.2019 – C-40/17 –, „M.“, GRUR 2019, 977 Rn. 78 f.) ausgeführt:

„Mit der Einbindung eines solchen Social Plugins in ihre Website hat M. im Übrigen entscheidend das Erheben und die Übermittlung von personenbezogenen Daten der Besucher dieser Seite zugunsten des Anbieters dieses Plugins, im vorliegenden Fall F. Ireland, beeinflusst, die ohne Einbindung dieses Plugins nicht erfolgen würden. Unter diesen Umständen und vorbehaltlich der insoweit vom vorlegenden Gericht vorzunehmenden Nachprüfungen ist davon auszugehen, dass F. Ireland und M. über die Mittel, die dem Erheben personenbezogener Daten der Besucher der Website von M. und deren Weitergabe durch Übermittlung zugrunde lagen, gemeinsam entschieden haben.

(…) Folglich ist M. für die Vorgänge des Erhebens personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung gemeinsam mit F. Ireland als verantwortlich im Sinne von Art. 2 Buchst. d der RL 95/46 anzusehen“.

Durch die Ausgestaltung und Bereitstellung der Business Tools hat die Beklagte vorliegend vorbestimmt und mit beeinflusst, welche Daten auf welchem Wege erhoben werden und wie diese an sie übermittelt und weiterverarbeitet werden. Dies folgt auch aus den vertraglichen Nutzungsbedingungen mit den Drittunternehmen, mit denen die Beklagten diesen diesbezügliche Vorgaben macht. Sie ist daher gemeinsam mit den Drittunternehmen verantwortlich.

dd)

Durch eine rechtswidrige Datenerhebung und – verarbeitung wird der Kläger in seinem durch § 823 Abs. 1 BGB geschützten Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG verletzt. Ferner liegt hierin ein Verstoß gegen Art. 6 DSGVO.

Danach ist jede Datenverarbeitung rechtswidrig, sofern nicht einer der dort angegebenen Rechtfertigungsgründe erfüllt ist. Unbestritten kommt hier allenfalls eine Einwilligung der Verarbeitung für bestimmte zu benennende Zwecke gem. Art. 6 Abs. 1 S.1 lit. a) DSGVO in Betracht.

Für die Erhebung beim Drittunternehmen und Übermittlung an die Beklagte hat diese nach eigenem Vortrag keine Einwilligung eingeholt, da sie die Auffassung vertritt, dies obliege nur dem Drittunternehmen. Dass die Drittunternehmen die erforderliche Einwilligung auch tatsächlich und rechtswirksam eingeholt hätten, trägt die Beklagte ebenfalls nicht vor, sondern nur, dass sie die Dritten hierzu durch Nutzungsvertrag anhalte. Dass und auf welche Weise diese dem auch nachkommen, ist damit nicht gesagt. Dass der EuGH in diesem Zusammenhang formuliert hat, es obliege dem Betreiber der Website und nicht dem Anbieter eines Social Plugins, diese Einwilligung einzuholen (EuGH, Urteil vom 29.07.2019 – C-40/17 –, „M.“, GRUR 2019, 977 Rn.102) bedeutet nicht, dass die Beklagte für die Folgen einer fehlenden Einwilligung nicht einzustehen hätte. Vielmehr ändert dies nichts daran, dass die Beklagte zusammen mit den Dritten verantwortlich ist. Zudem hat der EuGH dies nur im Hinblick darauf geäußert, dass es nicht ausreichend sei, wenn die Einwilligung erst gegenüber dem Anbieter des Plugins erklärt werde, der erst zu einem späteren Zeitpunkt beteiligt sei, sondern dass diese bereits beim Aufruf der Webseite vorliegen müsse. Hiermit ist demnach nur gemeint, dass die Einwilligung in zeitlicher Hinsicht schon zu diesem frühen Zeitpunkt eingeholt werden muss, was aus rein praktischen Gründen dann in der Regel durch den Webseitenbetreiber zu bewerkstelligen ist, und nicht, dass der Entwickler des Plugins oder hier: Business Tools dadurch exkulpiert wird und für das etwaige Fehlen einer Einwilligung nicht mehr verantwortlich ist.

In Bezug auf die durch die Beklagte selbst eingeholte Einwilligung für die Weiterverarbeitung der Daten gelten die obigen Ausführungen im Rahmen des Anspruchs nach Art. 17 DSGVO entsprechend. Eine freiwillige Einwilligung mit Abwahl jedweder Verarbeitung im Sinne von Speicherung der Daten und Zuordnung zu einem Nutzerprofil der Beklagten trägt diese nicht vor. Die Möglichkeit, nur die konkrete Nutzung zu Werbezwecken abzuwählen, ist nicht ausreichend.

3.)

Aufgrund der rechtswidrigen Datenverarbeitung steht dem Kläger ferner ein Anspruch auf immateriellen Schadensersatz gem. Art. 82 DSGVO zu.

Ein hierauf beruhender immaterieller Schaden besteht bereits dann, wenn hieraus der bloße Verlust der Kontrolle über die eigenen Daten infolge eines Verstoßes gegen die DSGVO folgt (EuGH, Urteil v. 4. Oktober 2024 - C-200/23, juris Rn. 145; Urteil v. 14. Dezember 2023 - C-340/21 = NJW 2024, 1091 Rn. 82).

Steht der Kontrollverlust fest, stellt dieser selbst den immateriellen Schaden dar, und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Aber auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Lediglich die begründete Befürchtung muss bewiesen sein; demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung (BGH, Urteil v. 18.11.2024 - VI ZR 10/24, Rn. 31 f. zum Scraping).

Die Gefahr eines Missbrauchs steht vorliegend nicht im Raum. Den immateriellen Schaden für den eingetretenen Kontrollverlust bewertet das Gericht gemäß § 287 ZPO mit 1.000,- €. Der Schaden bemisst sich nicht nach der Schwere des DSGVO Verstoßes, da deren Art. 82 keine Abschreckungs- oder Straffunktion erfüllt (BGH aaO, Rn. 96). Ist allein ein Kontrollverlust der personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, ist bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DSGVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen sowie die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung der personenbezogenen Daten in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich kann in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (dort: insbesondere eines Rufnummernwechsels) dienen (BGH aaO, Rn. 99).

Vorliegend ist ein gravierender und umfangreicher Kontrollverlust dadurch zu verzeichnen, dass es dem Kläger nicht möglich ist, in Bezug auf die Vielzahl der möglichen erhobenen Datenerhebungsvorgänge im Voraus und für alle Fälle seinen Widerspruch zu erklären. Das Gefühl, in sämtlichen Lebensbereichen, die heutzutage von der Internetnutzung geprägt sind, der Beobachtung zu unterliegen, ist deshalb nachvollziehbar. Dafür ist es nicht erforderlich, dass der Kläger konkret betroffene sensible Daten i.S.v. Art. 9 Abs. 1 DSGVO darlegt. Umfang und Art der tatsächlich betroffenen Daten kann der Höhe des Schmerzensgeldes ohnehin nicht zugrunde gelegt werden da der Kläger hierzu nichts vorträgt. Hierzu ist er nicht verpflichtet, kann insoweit jedoch auch keine positiven Rechtsfolgen für sich reklamieren.

Angesichts der Vielgestaltigkeit der betroffenen Daten sind für den Kläger auch keine effektiven Mittel ersichtlich, wie den Wechsel seiner Telefonnummer, mit denen er die Kontrolle wieder zurückerlangen könnte.

Nach Abwägung dieser Aspekte hält das Gericht den Betrag von 1.000,- € für angemessen, aber auch ausreichend.

4.)

Der Anspruch auf Erstattung vorgerichtlicher Anwaltskosten besteht ebenfalls auf Grundlage von Art. 82 DSGVO und ist von dem diesbezüglichen Schaden erfasst (Kühling/Buchner, DS-GVO, BDSG, 4. Auflage 2024, Art. 82 Rn. 19). Der Kläger durfte die vorgerichtliche Einschaltung eines Anwalts für erforderlich und zweckmäßig halten. Anderenfalls hätte er sich vorwerfen lassen müssen, die von einem Laien nicht begründbaren Ansprüche nicht zuvor angekündigt und fällig gestellt zu haben.

Die Höhe der Anwaltskosten richtet sich nach dem Streitwert des erfolgreichen Teils der Klage in Höhe von 2.000,- €. Der Streitwert wird auf 7.000,- € festgesetzt und verteilt sich mit 5.000,- € auf den Schmerzensgeldanspruch sowie jeweils 1.000,- € auf Feststellung und Unterlassung. Die hierauf entfallenden Anwaltskosten betragen 296,07 €.

Der Zinsanspruch für den Zahlungsantrag ergibt sich aus § 286 Abs. 1, 288 BGB. Die Zahlungsaufforderung enthielt eine befristete Mahnung zum 03.01.2024.

III.

Die Kostenentscheidung folgt aus § 92 Abs. 1 ZPO.

Die Vollstreckbarkeit ergibt sich aus §§ 709, 708 Nr. 11 ZPO.

N. L.