Urteil : 1.500,– EUR Entschädigung für Meta-Nutzer wegen Tracking über „Meta Business Tools“ : aus der RDV 3/2026, Seite 167 bis 175

Da es sich bei diesen Verarbeitungsvorgängen um interne Abläufe in den Systemen der Beklagten handelt, trifft sie dabei eine sekundäre Darlegungslast zu den Datenverarbeitungsvorgängen bei der Erhebung und Verarbeitung personenbezogener Daten mittels Business-Tools. Die Klagepartei hat demgegenüber nicht darzulegen, welche konkreten Webseiten sie aufgesucht hat und auf welchen dieser Webseiten Business-Tools zum Einsatz kommen (s.o. 2. a)). Schon aus diesem Grund kann von ihr – anders als die Beklagte meint – auch nicht verlangt werden, darzulegen und zu beweisen, dass sie auf diesen Webseiten die Einwilligung in die Datenerhebung über Business-Tools verweigert hat. Zwingende Voraussetzung für eine Datenübermittlung an die Beklagte ist die Cookie-Einwilligung des Nutzers auf Drittwebseiten ohnehin nicht, weil unstreitig die Implementierung der Business-Tools auf zahlreichen Drittwebseiten fehlerhaft ist, so dass dort Daten auch dann an die Beklagte weitergeleitet werden, wenn der Nutzer eine solche Einwilligung nicht erteilt hat. Nachdem unstreitig ist, dass die Klagepartei bei der Beklagten als Nutzer registriert ist und dass auf einer erheblichen Anzahl namhafter und reichweitenstarker Webseiten in Deutschland die Business-Tools der Beklagten in ihren verschiedenen Ausprägungen zum Einsatz kommen, ist vielmehr davon auszugehen, dass auch von der Klagepartei Business-Tool-Daten erhoben werden. Soweit sich die Beklagte darauf beruft, dass dies ausnahmsweise nicht der Fall ist, trägt sie auch hierfür die Darlegungslast (vgl. hierzu auch Senat, Urt. v. 11.2.2025 – 4 U 1283/24 –, juris, und mit überzeugender Begründung: LG Lübeck, Urt. v. 27.11.2025 – 15 O 15/24 –, Rn. 88-92 m.w.N., -juris).

bb) Bei Anwendung dieser Maßstäbe hat die Beklagte die Behauptung, die ihr seitens ihrer Geschäftspartner über Business-Tools übermittelten personenbezogenen Daten der Klagepartei verarbeite sie auch bei fehlender Einwilligung des Nutzers, nicht substanziiert bestritten. Hierfür ist nicht entscheidend, ob sie die von Drittunternehmern übermittelten Daten verarbeitet, um der Klagepartei personalisierte Werbung zu zeigen. Entscheidend ist vielmehr, dass sie diese Daten auf ihrer Plattform jedenfalls vorübergehend speichert und mit den sog. onsite-Daten der Klagepartei zusammenführt, bevor diese in einem weiteren Schritt durch Zuweisung von Ad-IDs, Hash-Werten und Cookie-IDs pseudonymisiert werden. Diese Zusammenfassung in für die Beklagte auswertbaren individuellen Nutzerprofilen stellt ein Verknüpfen i.S.d. Art.  4 Nr. 2 DS‑GVO dar, weil hiermit eine inhaltliche Umgestaltung erfolgt und die verknüpften Daten einen neuen Aussagewert erhalten (vgl. hierzu Schaffland/ Wiltfang/Schaffland/Holthaus, DS‑GVO/BDSG, 6. Erglfg. 2025, Art. 4 EUV 2016/679, Rn. 116). Die hiermit einhergehende Bildung individueller Nutzerprofile stellt zugleich ein Profiling der Nutzer im Sinne von Art. 4 Nr. 4 DS‑GVO dar, weil die mit der o.a Verknüpfung verbundene Erstellung eines Profils einer Person durch Auswertung von Daten und Bewertungen aufgrund von Algorithmen zur Erstellung eines Persönlichkeits-, Verhaltens- oder Bewegungsprofils durch Sammlung von Daten, unter anderem durch (im Internet) hinterlassene (Cookies), getätigte und veröffentlichte Informationen z.B. zu sozialen Kontakten, politischer Einstellung, persönlichem Weltbild, persönlichen Vorlieben, finanziellen Verhältnissen, gesundheitlicher Situation und weiteren Angaben ein modellhaftes, auf Algorithmen beruhendes Gesamtbild der individuellen Persönlichkeit ergeben (vgl. auch insoweit Schaffland/Wiltfang, a.a.O., Art. 4 EUV 2016/679, Rn. 125). Dies steht zur Überzeugung des Senats aufgrund des Sachvortrags der Parteien und in Würdigung der vorgelegten NB-MBT sowie der Nutzungsbedingungen für Plattform-Nutzer (im Folgenden NB-PN) fest.

(1) Die hiergegen gerichtete Behauptung der Beklagten, es sei technisch ausgeschlossen, dass über auf Drittwebseiten, -Apps und Servern implementierte Business-Tools Daten von Nutzern wie der Klagepartei mit ihr geteilt werden, die nicht von einer Einwilligung des Nutzers in diese Verarbeitung umfasst sind, ist weder ausreichend dargelegt noch bewiesen.

Nach Ziff. 1 und 2 der NB-MBT vom 25.4.2023 (vgl. Anl. B5) werden bei Implementierung von Business-Tools auf Drittwebseiten, -Apps und Servern sowohl Kontaktinformationen (definiert unter Ziff. 1. a. i.) als auch Event-Daten (definiert unter Ziff. 1. a. ii.) an die Beklagte übermittelt; dies – unstreitig – zumindest dann, wenn die Drittunternehmen eine „Cookie-Einwilligung“ ihres Kunden eingeholt haben. Keine Daten werden hingegen nach dem Vortrag der Beklagten (nur) dann übermittelt, wenn und soweit die Business-Tools Verwender ihre Cookie-Einstellungen bzw. -Banner entsprechend den Nutzungsbedingungen der Beklagten und auch im übrigen datenschutzkonform konfiguriert haben, und der Nutzer diese abgelehnt hat. Ob alle diese Voraussetzungen zutreffen, überprüft die Beklagte freilich nicht.

Nach den NB-MBT (vgl. dort Ziff. 2 a) kann die Beklagte sämtliche Business-Tools-Daten für eine Reihe von Zwecken verwenden, insbesondere auch die übermittelten Kontaktinformationen mit von ihr selbst vergebenen Nutzer-IDs abgleichen und mit den Event-Daten kombinieren. Entsprechend dem Hinweis unter Ziff. iv am Ende ihrer Nutzungsbedingungen definiert die Beklagte als „abgeglichene Daten“ Event-Daten, die mit abgeglichenen Nutzer-IDs kombiniert wurden. Somit kann sie den betreffenden Nutzer eindeutig identifizieren und ihm sämtliche Interaktionen zuordnen. Im Anschluss an diesen Abgleichprozess werden – lediglich – die von Dritten übermittelten Kontaktinformationen von ihr gelöscht (vgl. Ziff. 2 a i.1., S. 2 NB-MBT), was nach dem Verständnis des Senats jedoch keine Auswirkungen auf die zuvor von der Beklagten in ihren Systemen erfolgte Identifizierung und Zuordnung zu einem bestimmten Nutzer wie der Klagepartei hat. Dies wird auch durch Ziff. 2. a. bestätigt, insbesondere unter v. der NB-MBT. Dabei verarbeitet die Beklagte die ihr von Dritten übermittelten Daten auch nicht ausschließlich für drittbezogene (Werbe-)Zwecke. Aus der Regelung unter Ziff. 2. a. v. 2. NB-MBT ergibt sich vielmehr, dass sie die übermittelten Event-Daten verwenden kann, „um die Funktionen und Inhalte (einschließlich Werbeanzeigen und Empfehlungen) zu personalisieren, die wir Personen auf und außerhalb von unseren Meta-Produkten zeigen.“ Nach Ziff. 2. a. v. 3. NB-MBT ist die Beklagte ferner berechtigt, „um das Erlebnis für Nutzer von Meta-Produkten zu verbessern“, Event-Daten zu verwenden, „um den Schutz und die Sicherheit auf und außerhalb von Meta-Produkten zu fördern, sowie für Forschungs- und Entwicklungszwecke und für den Erhalt der Integrität der Meta-Produkte sowie für deren Bereitstellung und Verbesserung.“

(2) Auch die in den Nutzungsvertrag mit der Klagepartei (NB-PN) einbezogenen Erläuterungen zur „Deine Aktivitäten außerhalb von Meta-Technologien“- Einstellung („Off-site Aktivitäten“ bzw.„Third-Party Activity Data“) bestätigen eine fortlaufende Verarbeitung der ihr übermittelten BusinessTools Daten, unabhängig von der Einwilligung eines Nutzers. Entsprechend den Ausführungen unter Ziff. IV und den Informationen in der abgebildeten Infobox (vgl. Anl. B7) verwendet die Beklagte über ihre optionalen Cookies in anderen Apps und Websites geteilte Informationen des Nutzers zur Verbesserung des Nutzungserlebnisses in Meta-Produkten mittels personalisierter Werbeanzeigen, zur Erbringung von Diensten außerhalb der Meta-Plattformen, zur Verbesserung von Meta-Produkten und zur Unterstützung der BusinessTools-Verwender bei Analysen und Messungen ihrer Anzeigenperformance. Bei einem Nutzer, der optionale Cookies auf Dritt-Apps und -Websites erlaubt, verwendet die Beklagte die individuellen Cookie-Informationen zur Anzeige von relevanter Werbung. Die Einstellungen des Nutzers für Werbung und seine Werbepräferenzen werden dabei „berücksichtigt“, ohne dass die Beklagte näher erläutert, in welcher Form dies geschieht. Ein Nutzer, der – wie die Klagepartei – Cookies der Beklagten über die Plattform-Einstellungen nicht erlaubt, wird zwar bei den Dritt-Websites und -Apps von seinen Plattform-Konten abgemeldet. Selbst nach dem Beklagtenvorbringen folgt hieraus indes nicht zwingend, dass die Beklagte über ihre Business-Tools keine personenbezogenen Daten dieses Nutzers mehr erhält. Denn sie bestätigt, dass sie die Informationen in eingeschränktem Umfang für „Sicherheit und Integrität“, und nicht für die Anzeige von für den Nutzer relevanter Werbung verwendet. Darüber hinaus könne sie aber auch weiterhin „aggregierte“ Informationen zu Aktivitäten in diesen Apps und auf diesen Websites erhalten, während (nur) „persönliche“ Cookie-Informationen darin nicht enthalten sein sollen. Zudem wird in den NB-PN ausdrücklich darauf hingewiesen, dass die Beklagte im Fall einer Kontentrennung, und zwar bezogen auf zukünftige und vergangene Aktivitäten, auch weiterhin Informationen zu den Aktivitäten von Apps und Websites erhalte, die sie für Messungen sowie zur Verbesserung ihrer Werbesysteme verwenden könne (vgl. Infobox: „Das solltest du wissen“).

Bestätigt wird eine fortlaufende Verarbeitung von personenbezogenen Daten auch durch die für die Nutzung von Instagram/Facebook geltende, 146 Seiten (!) umfassende Datenschutzrichtlinie der Beklagten (Anl. B10). Im Unterpunkt „Wie teilen wir Informationen mit Dritten?“ (vgl. S. 46) wird ausgeführt, dass die Beklagte „bestimmte Informationen“ mit einer Reihe von Parteien teile, darunter Werbetreibende, die Anzeigen in Produkten der Beklagten schalten, Unternehmen, die die Beklagte damit beauftrage, ihre Produkte für sie zu vermarkten, bzw. mit Dienstleistungen wie Kundenservice oder Umfragen, Forscher, die diese Informationen für Zwecke wie Innovationen, technologische Fortschritte oder Sicherheitsverbesserungen nutzen (vgl. S. 46 ff.). Auch der weitere Passus:

„Wir bestätigen Werbetreibenden außerdem, welche Werbeanzeigen du gesehen hast, die dich zu einer Handlung veranlasst haben, beispielsweise zum Herunterladen der App eines Werbetreibenden. Wir teilen mit diesen Werbetreibenden und ihren Anbietern jedoch keine Informationen, die für sich genommen dazu verwendet werden können, dich zu kontaktieren oder identifizieren (wie z.B. dein Name oder deine E-Mail-Adresse), es sei denn, du gibst uns deine Einwilligung dazu. …“ (vgl. S. 48) lässt darauf schließen, dass auch ohne Einwilligung des Nutzers bestimmte nutzerbezogene Datenkategorien an Geschäftspartner der Beklagten weitergegeben werden, wenn auch nicht solche, die seine eindeutige direkte Identifizierung ermöglichen.

(3) Die Beklagte kann sich nicht mit Erfolg darauf berufen, die Privatsphäre der Nutzer sei gewahrt, da sie personenbezogene Daten aggregiere, also einzelne Datenpunkte zu Gruppen zusammenfasse, so dass Erkenntnisse aus den gesammelten Informationen mehrerer Personen und nicht aus denen einer einzelnen Person gewonnen werden. Dagegen steht, dass schon wegen der Vielzahl der durch Offsite Aktivitäten bzw. Third-Party Activity Data gewonnenen Datenpunkte und Informationen es zumindest nicht ausgeschlossen erscheint, dass einzelne Nutzer und/oder ihm zugeordnete Events identifizierbar bleiben. Welche Daten konkret aggregiert und von der Beklagten genutzt werden, sei es für eigene Zwecke, sei es, indem sie sie weiterleitet bzw. teilt, wird durch die Datenschutzbedingungen nur beispielhaft und damit unzureichend erläutert […]

(4) Schließlich ist auch das Hashen (Verschlüsseln) der von Partnern der Beklagten übermittelten Daten nicht geeignet, ihre Behauptung zu stützen, sie verarbeitete bei fehlender Einwilligung ihrer Nutzer keine personenbezogenen Daten, die ihr mittels Business Tools übermittelt werden. Drittunternehmen übermitteln der Beklagten zwar Kontakt- und Eventdaten ihrer Kunden in gehashter Form bei Vorliegen einer „Cookie-Einwilligung“. Den NB-MBT und den Parametern für Kundeninformationen lässt sich aber entnehmen, dass die Beklagte, die ihren Geschäftspartnern die für die Verschlüsselung dieser Daten zu verwendende Technologie im Einzelnen verbindlich vorschreibt, diese Technologie selbst verwendet. Da sie ihre eigenen Nutzerdaten mit demselben Verfahren hasht und die Hashes vergleicht, ermöglicht dies eine Zuordnung in den meisten Fällen. Dass sie die erfolgte Verschlüsselung der Daten rückgängig machen kann, um sie für ihre Zwecke, darunter auch – aber nicht nur – personalisierte Werbung verwenden zu können, wird durch die NBMBT und die detaillierten Regelungen in den Parametern für Kundeninformationen belegt.

(5) Dem Vortrag der Beklagten, sie verarbeite Business Tools Daten von Nutzern, die „Meta-Cookies auf anderen Apps und Websites“ nicht ausdrücklich zulassen, nur zu Sicherheits- und Integritätszwecken, steht bereits entgegen, dass er ihren eigenen Nutzerinformationen widerspricht, die eine Verarbeitung auch zu „weiteren eigenen Zwecke wie Messungen und Verbesserung unserer Werbesysteme“ zulässt. Abgesehen davon ist der diesbezügliche Sachvortrag der Beklagten geprägt von unbestimmten Begriffen wie „gewisse“ bzw. „eingeschränkte“ Verarbeitung, „Integritätszwecke“, die nicht näher erläutert werden sowie von Verallgemeinerungen wie „einige Informationen“, “im Großen und Ganzen“, und ist zudem in wesentlichen Punkten widersprüchlich und nicht nachvollziehbar. So bleibt beispielsweise im Dunkeln, wie die Beklagte ohne einen Datenabgleich ermitteln will, ob die ihr übermittelten Daten einem Nutzerprofil zuzuordnen sind und dieser Nutzer eine Einwilligung in die Verarbeitung seiner Daten erteilt hat oder nicht.

(6) Die Beklagte hat zu diesem Punkt im Verlauf des Verfahrens eingeräumt, an sie gelangte personenbezogene Daten (zumindest) für einen Abgleich in ihren Systemen zu nutzen, um festzustellen, ob es sich um Daten eines bei ihr registrierten Nutzer handelt. Bereits der Abgleich zur Prüfung, ob es sich um einen bei ihr registrierten Nutzer handelt, stellt eine Verarbeitung im Sinne des Art 4 Ziff. 2 DS‑GVO dar. Nach dem Vorstehenden betrifft der Abgleich zudem Kontaktinformationen und Event-Daten, die sie automatisch entschlüsselt bzw. de-hasht (vgl. die zit. Parameter für Kundeninformationen). Der weitere Umgang der Beklagten mit den ihr übermittelten personenbezogenen Daten bleibt allerdings in jeder Hinsicht unklar und wird auch durch den – nach entsprechenden Hinweisen des Senats – ergänzten Vortrag nicht weiter aufgeklärt. Sie verweist lediglich darauf, sie müsse zumindest eine „gewisse“ Verarbeitung von Business-Tools Daten vornehmen, um festzustellen, ob sie diese einem bestimmten Nutzerkonto zuordnen könne und um die Einstellungen des Nutzers zu erkennen und anzuwenden. Es erschließt sich bereits nicht, aus welchem Grund die Beklagte nicht nur übermittelte Kontaktinformationen für den Abgleich mit Nutzerkonten (“abgeglichene Nutzer-ID“) nutzt, sondern darüber hinaus auch eine weitere Verarbeitung der Event-Daten in Form einer Kombination beider vornimmt, so jedenfalls nach den NB-MBT und den Parametern für Kundeninformationen (s.o.). Zudem führt sie „zur Klarstellung“ weiterhin aus, dass bei Daten, die keinem registrierten Nutzer zugeordnet werden können, anschließend eine Speicherung nicht erfolge (ausgenommen bestimmte Daten für Sicherheits- und Integritätszwecke). Im Umkehrschluss folgt hieraus aber, dass sie umgekehrt Daten, die sie einem registrierten Nutzer wie der Klagepartei zuordnen kann, anschließend speichert. Zwar behauptet sie, bei Nutzern, die „Meta Cookies auf anderen Apps und Webseiten“ nicht zugelassen haben, die über Cookies und andere Technologien gesammelten Daten einer Person nicht „zur Anzeige von Werbung“ zu verwenden. Andere Zwecke, die sie nach ihren eigenen Nutzungsbedingungen verfolgt, werden indes nicht genannt. Ihr ohnehin allgemein gehaltener, unscharfer und durch kein Beweisangebot untersetzter Vortrag lässt sich daher bereits nicht mit den NB-MBT und der Datenschutzrichtlinie in Übereinstimmung bringen. Er verhält sich insbesondere auch nicht zu der Frage, wie die Beklagte mit den an sie gelangten Daten der Nutzer weiter verfährt, die auf Drittwebseiten, -Apps und Servern ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten erteilt, jedoch der Nutzung durch die Beklagte auf den von ihr betriebenen sozialen Netzwerken widersprochen haben. Hierzu lässt die Beklagte lediglich vortragen, nach der Verarbeitung könne „Meta dann entscheiden, welche weiteren Maßnahmen in Bezug auf diese spezifischen Daten ergriffen werden, abhängig von den Einstellungen des Nutzers“, ohne aber diese Maßnahmen und ihre technische Umsetzung näher zu beschreiben. Abgesehen davon konnte die Beklagte auch auf Nachfrage des Senats nicht darstellen, ob und ggfls. wie lange die Daten, die von Drittunternehmen übermittelt werden und die sich auf konkrete Nutzer beziehen, bei ihr zunächst zwischengespeichert werden, bevor sie darüber entscheidet, ob sie diese bei Vorliegen der entsprechenden Einwilligungserklärungen für personenbezogene Werbung verwendet oder nicht.

(7) Dies gilt auch hinsichtlich der besonderen Kategorien personenbezogener Daten (im folgenden BKD) i.S.d. Art. 9 Abs. 1 DS‑GVO, da die Datenverarbeitung über die BusinessTools der Beklagten insofern nicht zwischen „einfachen“ und „sensiblen“ personenbezogenen Daten unterscheidet, also sie nicht extrahiert, ob Daten sensibel sind oder nicht (vgl. OGH Wien, a.a.O., Rn. 98 und 99, EuGH, Urt. v. 4.7.2023, C-252/21, Rn. 71, 73; – juris). Zwar untersagt die Beklagte den Verwendern ihrer Business-Tools die Übermittlung von BKD wie Gesundheits- oder Finanzdaten, Informationen von oder über Kindern unter 13 sowie nicht zugelassene IDs wie etwa Sozialversicherungs- oder Kreditkartennummern (vgl. NBMBT, Abschnitt 1. h., Richtlinie Unzulässige Informationen, „Parameter für Kundeninformationen“). Bei Verstößen hiergegen steht jedoch zumindest für den Zeitraum bis zu den vorstehend zitierten Entscheidungen fest, dass die automatisiert ablaufende Datenverarbeitung der Beklagten sensible Daten objektiv umfasste und der gesamte Verarbeitungsvorgang als “Verarbeitung besonderer Kategorien personenbezogener Daten“ zu beurteilen ist (vgl. OGH, a.a.O., EuGH, a.a.O.), was eine für ein Unterlassungsbegehren ausreichende Erstbegehungs-, aber auch eine Wiederholungsgefahr indiziert. Im Übrigen ist kaum vorstellbar, dass bei der Übermittlung von diesen Drittwebseiten an die Beklagte keine sensiblen Daten enthalten sind. Denn schon allein das Aufsuchen oder Registrieren auf entsprechenden Drittwebseiten sowie die dort getätigten Aktionen, wie z.B. Online-Bestellungen, können Rückschlüsse auf Gesundheit, sexuelle Orientierung, Finanzen und Weltanschauung eines Nutzers zulassen.

(8) Ohne Erfolg beruft sich die Beklagte angesichts dessen darauf, sie habe „freiwillig“ Maßnahmen wie eine Kategorisierung der Datenquellen, eine automatisierte Filterung sowie erweiterte Datenbeschränkungen wie beispielsweise das „Core Set-up“ implementiert, die dazu dienen sollten, den Erhalt und die Nutzung potenziell sensibler Daten zu verhindern, die nach den NB-MBT nicht zulässig seien und die Drittunternehmen möglicherweise unzulässigerweise zu übermitteln versuchen. Dass diese Maßnahmen vor der Übertragung sensibler Daten an die Beklagte bei einer automatisierten Datenverarbeitung mittels Business-Tools ausreichend Schutz bieten, erscheint bereits deshalb zweifelhaft, weil die Beklagte an anderer Stelle vortragen lässt, nur die Drittunternehmen hätten die Möglichkeit, sicherzustellen, dass der Browser der Person oder der Server des Drittunternehmens eine HTTP-Anfrage erst dann ausführe, wenn die Person ihre Einwilligung zu nicht notwendigen Cookies erteilt habe, was die Beklagte selbst nicht kontrolliere. Auch in der Richtlinie „Unzulässige Informationen“ (Anl. B6) weist die Beklagte darauf hin, dass ihre Systeme „die eigenen Mechanismen des Verwenders zur Einhaltung dieser Regeln lediglich ergänzen“, was für sich genommen bereits belegt, dass die implementierten Maßnahmen allein nicht ausreichen, um das Teilen von sensiblen Daten mit der Beklagten gänzlich und zuverlässig zu unterbinden. Schließlich steht die damit einhergehende Behauptung einer automatischen Ausfilterung besonders geschützter Daten nach Art. 9 Abs. 1 DS‑GVO auch in Widerspruch zu den tatbestandlichen Feststellungen in den „Schrems-Verfahren“ (vgl. OGH a.a.O.; EuGH a.a.O.), worauf die Beklagte durch den Senat auch hingewiesen wurde.

cc) Die Beklagte ist als Verantwortliche i.S.d. Art. 4 Ziff. 7 DS‑GVO für die Erhebung von über Business-Tools auf Drittseiten erlangten Daten und deren anschließende Weiterverarbeitung passivlegitimiert. Gem. Art.  4 Ziff. 7 DS‑GVO ist Verantwortlicher diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Eine gemeinsame Verantwortung besteht nach Art. 26 Ziff. 1 S. 1 DS‑GVO, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verwendung festlegen. Das Ziel dieser Bestimmungen liegt darin, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (Urt. v. 13.5.2014, Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 34, und vom 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388‚ Rn. 28). Der EuGH hat für die insoweit dem Art. 4 Ziff. 7 entsprechende Vorschrift des Art.  2 lit. d) der Richtlinie 95/46 entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für die Verarbeitung Verantwortlicher i.S.v. Art. 2 lit. d) der Richtlinie 95/46 angesehen werden kann (EuGH, Urt. v. 29.7.2019 – C-40/17 –, juris, Rn. 68; Urt. v. 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, Rn. 68). Indem die Beklagte Drittunternehmern ihre Business-Tools anbietet, mit deren Hilfe sie unstreitig möglichst viele Daten der Drittseitennutzer für ihre eigenen Zwecke erhalten möchte, wird sie auch für die Datenerhebung auf Drittseiten zur Mitverantwortlichen i.S.d. Art. 26 DS‑GVO (vgl. EuGH, Urt. v. 29.7.2019 – C-40/17 – juris; vgl. LG Stuttgart, Urt. v. 5.2.2025 – 27 O 190/23 – juris; vgl. OGH Wien, Urt. v. 26.11.2025 – 6 Ob 189/24y, Beck-RS 34948, Beck-Online); vgl. OLG München, Urt. v. 18.12.2025 – 14 U 1068/25e, juris).

Diese Verantwortlichkeit kann sie weder durch vertragliche Vereinbarungen mit den Drittanbietern auf diese abwälzen, noch kann sie sich durch etwaige Belehrungen der Drittanbieter im Hinblick auf deren datenschutzrechtlichen Pflichten von der eigenen Verantwortlichkeit freizeichnen, schon weil sie selbst gegenüber ihren Business-tools-Kunden die gemeinsame Verantwortlichkeit nach Art. 26 DS‑GVO feststellt (“…–Tools Nutzungsbedingungen, Anlage B 5 S.  5 unter 5 a. ii.). Aus denselben Gründen kann sich die Beklagte daher auch nicht darauf berufen, entsprechend ihren NBMBT unter Ziff. 5. hinsichtlich bestimmter Verarbeitungszwecke (Abgleich-, Messung- und Analysedienste) lediglich als Auftragsverarbeiter i.S.d. Art. 4 Nr. 9 DS‑GVO der Drittunternehmer tätig zu werden. Nimmt eine Stelle – wie hier die Beklagte – aus Eigeninteresse auf die Verarbeitung Einfluss und wirkt auf diese Weise neben einem anderen Beteiligten an der Entscheidung über Zweck und Mittel der Verarbeitung mit, führt dies regelmäßig zu einer (gemeinsamen) Verantwortlichkeit (EuGH, Urt. v. 29.7.2019, a.a.O.; Simitis/Hornung/ Spiecker gen. Döhmann, Datenschutzrecht, DS‑GVO Art.  26 Rn. 25, Art. 4 Nr. 7, Rn. 24, m.w.N., beck-online; BeckOK DatenschutzR/Spoerr, 54. Ed. 1.11.2025, DS‑GVO Art. 26 Rn. 18-22, m.w.N. beck-online ).

dd) Bei den von der Klagepartei aufgezählten und unstreitig von der Beklagten auch verarbeiteten Daten handelt es sich ausnahmslos um „personenbezogene Daten“ im Sinne der Legaldefinition in Art. 4 Ziffer 1 DS‑GVO. Der Begriff der personenbezogenen Daten ist weit zu verstehen und umfasst alle Arten von Informationen sowohl objektiver als auch subjektiver Natur unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten natürlichen Person verknüpft ist, so dass sie aufgrund dessen direkt oder indirekt identifiziert oder identifizierbar ist. (vgl. EuGH, Urt. v. 20.12.2017 – C-434/16, juris Rn. 34 f. – Nowak; BGH, Urt. v. 18.12.2025 – I ZR 115/25 –, m.w.N., Rn. 22ff, juris). Die übermittelten Daten sind zur Identifizierung des Nutzers geeignet, was die Beklagte ausdrücklich nicht bestreitet. Die Identifizierung des Nutzers auf Webseiten und Apps Dritter erfolgt durch verschiedene Techniken. Dafür werden „Third Party Cookies“, „First Party Cookies“, die „Klick-ID“ sowie „automatisiertes Advanced Matching“ und „manuelles Advanced Matching“ verwendet (vgl. LG Braunschweig, Urt. v. 4.6.2025 – 9 O 2615/23 –, Rn.  106, juris mit Verweis auf BKartA Beschl. v. 6.2.2019 Az. B6-22/16 Rn. 575 ff; https://www.bundeskartellamt.de/SharedDocs/Entscheidung/DE/Entscheidungen/Missbrauchsaufsicht/2019/B6-22-16.pdf?__blob=publicationFile&v=2)

ee) Die Verarbeitung der personenbezogenen Daten der Klagepartei durch die Beklagte ist rechtswidrig. Die Beklagte hat keine Rechtfertigungsgründe für die Verarbeitung nachgewiesen i.S.d. Art. 6 Ziff. 1 DS‑GVO, deren Nachweis ihr nach Art. 7 Ziff. 1 DS‑GVO obliegt. Die Erhebung und Verarbeitung personenbezogener Daten verstößt darüber hinaus gegen das in Art. 5 Ziff. 1 a DS‑GVO normierte Rechtmäßigkeits- und Transparenzgebot, gegen den Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c) DS‑GVO sowie gegen zulässige Speicherfristen, Art. 5 Ziff. 1 lit. e) DS‑GVO. Erst recht liegen keine die Verarbeitung von BKD i.S.d. Art. 9 DS‑GVO rechtfertigende Gründe vor.

(1) Damit der Rechtfertigungsgrund einer Einwilligung der Klagepartei als betroffene Person greift, muss die Beklagte nachweisen, dass die Weitergabe von Daten der Klagepartei an sie von einer auf konkrete Zwecke bezogenen freiwilligen Einwilligung gedeckt ist, vgl. Art.  6, Art. 7 Ziff. 2 und 4 DS‑GVO. Dieser Nachweis ist ihr nicht gelungen. Dies betrifft die im Unterlassungsantrag genannten Verarbeitungsvorgänge der Datenerhebung mittels Business-Tools bei den Drittunternehmen, der Weitergabe an die Server der Beklagten, die Speicherung und die anschließende Verwendung. Unstreitig hat die Klagepartei der Beklagten weder über die „Meta-Cookies in anderen Apps und auf anderen Webseiten“ noch über die Schaltfläche „Informationen über deine Aktivitäten“ eine Einwilligung zur Nutzung von Business-Tool-Daten erteilt. Eine solche Einwilligung nimmt die Beklagte auch nicht für sich in Anspruch, sie beruft sich auch nicht auf eine vor dem 25.5.2018 erklärte Einwilligung, die ohnehin unter der Geltung der DS‑GVO keine rechtfertigende Wirkung mehr entfalten könnte (vgl. OLG Hamm, Urt. v. 15.8.2023 – 7 U 19/23, Rn 114 – juris). Die Beklagte kann sich auch nicht auf eine etwaig erteilte Einwilligung der Klagepartei auf Drittwebseiten und -Apps berufen, da sich diese nur auf Datenverarbeitungszwecke des Webseiten- bzw. App-Betreibers als Business-Tools Verwender, aber nicht auf diejenigen des Anbieters dieser Technologien bezieht (vgl. EuGH, Urt. v. 29.7.2019 – C-40/17 (Fashion ID) a.a.O., Rn.  97). Es obliegt somit nicht den Drittunternehmen, eine Einwilligung des Nutzers für eine Verarbeitung von Daten für Zwecke der Beklagten einzuholen. Ob die Klagepartei die (Nicht-)Erteilung einer Einwilligung hierin auf Drittseiten substanziiert dargelegt hat, ist daher nicht entscheidend.

(2) Die Beklagte kann sich auch nicht mit Erfolg darauf berufen, sie verarbeite Business-Tools Daten als für die Erfüllung der Verträge mit geschäftsfähigen Nutzern erforderlich gem. Art. 6 Ziff. 1 lit. b) DS‑GVO. Damit eine Verarbeitung personenbezogener Daten als für die Erfüllung eines Vertrags erforderlich im Sinne dieser Bestimmung angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, dass der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte (vgl. EuGH, Urt. v. 4.7.2023, C-252/21, Rn. 98, – juris). Entscheidend ist dabei, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen. Zudem ist bei einem Vertrag, der mehrere Dienstleistungen oder mehrere eigenständige Elemente einer Dienstleistung umfasst, die unabhängig voneinander erbracht werden können, die Anwendbarkeit des Rechtfertigungstatbestandes für jede dieser Dienstleistungen gesondert zu beurteilen (vgl. EuGH, a.a.O., Rn. 100). Dass die Verwendung der Business-Tools und die Verarbeitung der durch sie gewonnenen personenbezogenen Daten zur Nutzung der sozialen Plattform unerlässlich wäre, lässt sich nicht feststellen. Der Betrieb und die Nutzung der streitgegenständlichen Plattform sind vielmehr ohne Einbindung der Business-Tools möglich, was nicht zuletzt die Einführung des Bezahlmodells seit dem 3.11.2023 verdeutlicht. Für fernliegend hält der Senat die Annahme, die Verarbeitung von Business-Tools-Daten sei aus Sicherheits- und Integritätszwecke geboten. Insoweit fehlt es aber schon an nachvollziehbaren, hinreichend konkreten Sachvortrag, dass der Hauptgegenstand des Vertrags, der hier in der Nutzung der Social-Media-Plattform der Beklagten liegt, ohne die zusätzliche und außerhalb des eigentlichen Vertragszwecks liegende, umfassende Verarbeitung von Offsite Daten ihrer Geschäftspartner nicht erfüllt werden könnte, diese also objektiv unerlässlich für den mit der Klagepartei bestehenden Nutzungsvertrag sind.

(3) Die nach Art. 6 Ziff. 1 lit. f) DS‑GVO vorzunehmende Interessenabwägung ergibt gleichfalls kein zugunsten der Beklagten überwiegendes Interesse an der Verarbeitung von Business-Tool-Daten (vgl. zu den Voraussetzungen EuGH, Urt. v. 4.7.2023, C-252/21, a.a.O., Rn. 114, -juris).

(a) Dem berechtigten Interesse der Beklagten an einem „profitablen Dienst“ kommt kein höheres Gewicht zu, als dem Recht der Nutzer auf Datensicherheit und -minimierung sowie informationelle Selbstbestimmung. Der EuGH (a.a.O.) hat insoweit bereits entschieden, dass auch wenn die Dienste eines sozialen Online-Netzwerks unentgeltlich sind, der Nutzer dieses Netzwerks vernünftigerweise nicht damit rechnen müsse, dass dessen Betreiber seine personenbezogenen Daten ohne seine Einwilligung zum Zweck der Personalisierung der Werbung verarbeitet oder sogar noch umfänglicher nutzt. Daher sei davon auszugehen, dass die Interessen und Grundrechte eines solchen Nutzers bereits gegenüber dem Interesse dieses Betreibers an einer solchen Personalisierung der Werbung, mit der er seine Tätigkeit finanziert, überwiegen, so dass die von ihm zu solchen Zwecken vorgenommene Verarbeitung nicht unter Art. 6 Ziff. 1 lit. f) DS‑GVO fallen könne (vgl. EuGH, Urt. v. 4.7.2023, a.a.O., Rn. 117, juris). Davon ausgehend kann erst recht die der Nutzung der Plattform der Beklagten vorgelagerte oder gar unabhängig von einer Plattformnutzung erfolgte Verarbeitung von personenbezogenen Daten nicht gem. Art. 6 Ziff.1 lit. f) DS‑GVO gerechtfertigt sein.

(b) Soweit die Beklagte auch insoweit geltend macht, die Speicherung der Off-Site-Daten sei zu Sicherheits- und Integritätszwecken notwendig, trägt dies den Rechtfertigungsgrund des berechtigten Interesses nicht. Denn sie bezieht sich auch in diesem Zusammenhang auf die Datenerhebung mittels Business-Tools, die wiederum als „Einfallstor“ für kriminelle Aktivitäten bzw. Ausnutzung der Systeme diene und der sie durch eine Speicherung/Auswertung dieser Daten begegnen müsse. Diese Begründung ist nicht geeignet, die Verarbeitung von individualisierten und/oder individualisierbaren Nutzerdaten auf ihrer Plattform zu rechtfertigen (so auch LG Stuttgart, Urt. v. 5.2.2025 – 27 O 190/23 –, Rn. 85, –juris; LG Lübeck, Urt. v. 10.1.2025 – 15 O 269/23 –, Rn. 130, –juris). Im Übrigen widerspricht der Vortrag der Beklagten, dass die Daten nur zu Sicherheits- und Integritätszwecken genutzt werden ihren eigenen Informationen (Anlage K 7, Abb. 26, Abb. 32), in denen sie mitteilt, dass sie trotz „Trennung“ und/ oder „Verknüpfung mit künftigen Aktivitäten aufheben“ weiterhin Informationen zu den Aktivitäten erhält und diese für „Messungen sowie zur Verbesserung ihrer Werbesysteme“ verwendet. Schließlich steht dieser Vortrag auch nicht im Einklang mit den Informationen, die die Beklagte ihren Nutzern erteilt. Dort heißt es u.a.:

„Berechtigte Interessen

Wir verarbeiten deine Informationen so, wie es für unsere berechtigten Interessen bzw. die von anderen erforderlich ist. Zu unseren Interessen zählen u.a. die Bereitstellung eines innovativen, personalisierten, sicheren und profitablen Dienstes für unsere Nutzer und Partner und die Reaktion auf rechtliche Anfragen. Wir verarbeiten deine Informationen jedoch nicht, wenn deine Interessen oder Grundrechte und Grundfreiheiten unsere überwiegen. Wenn wir uns auf berechtigte Interessen berufen, hast du das Recht, der Verwendung bestimmter Informationen durch uns zu widersprechen.“

Sicherheits- und Integritätszwecke finden hier keine Erwähnung.

(c) Bei der gebotenen Gesamtabwägung nach Art. 6 Abs. 1 lit. f) DS‑GVO ist zudem zu berücksichtigten, dass die von der Beklagten angegebene Speicherpraxis mit wesentlichen Grundgedanken der DS‑GVO nicht im Einklang steht. Die auch nach Vortrag der Beklagten bestehende längerfristige Speicherung von abgeglichenen Daten, also Nutzer-IDs und Event-Daten, begründet sie mit Sicherheits- und Integritätsprozessen, für die sie nach ihrem Sachvortrag „aufgrund deren Komplexität und Feinheiten“ keinen „konkreten Zeitrahmen“ angeben könne, da sie sicherstellen müsse, dass „schwerwiegende oder böswillige Aktivitäten keine negativen Auswirkungen auf die Nutzer, Produkte oder Systeme von Meta haben“. Die „maximalen Aufbewahrungsfristen“ lege sie im Rahmen eines umfassenden, funktionsübergreifenden Überprüfungsprozesses fest, Daten werden „in der Regel bis zu 90 Tage aufbewahrt“, u.U. auch länger. Eine solche Speicherpraxis verstößt gegen Art. 5 Ziff. 1 lit. e) DS‑GVO. In EG 39 S.8 wird gefordert, „dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt“. Dass die Speicherung sämtlicher zunächst zu Zwecken wie Verbesserung des Erlebnisses für Nutzer von Meta-Produkten, Förderung von Schutz und die Sicherheit auf und außerhalb von Meta-Produkten, für Forschungs- und Entwicklungszwecke, Erhalt der Integrität der Meta-Produkte, für deren Bereitstellung und Verbesserung übermittelter personenbezogener Daten für einen unbestimmten Zeitraum nunmehr mit Sicherheits- und Integritätsprozessen und -interessen begründet wird, ist nicht nachvollziehbar und für den Senat nicht überzeugend.

(d) Schließlich verstößt die streitgegenständliche Datenverarbeitung auch gegen den Grundsatz der Datenminimierung, Art. 5 Ziff. 1 lit. c) DS‑GVO, der verlangt, dass die Datenverarbeitung dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt ist („limited to what is necessary“). Aus diesem Grundsatz folgt, dass der Verantwortliche nicht allgemein und unterschiedslos personenbezogene Daten erheben darf und er von der Erhebung von Daten absehen muss, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (EuGH, Urt. v. 4.10.2024 – C-446/21, a.a.O.). Die Beklagte erhält über ihre Business-Tools – wie bereits ausgeführt – umfassende Offsite Daten ihrer Nutzer über deren Tätigkeiten und verfolgt allgemein auch das Navigationsverhalten der Nutzer (vgl. EuGH a.a.O.; Bundeskartellamt, NZKart, 2024, 651 [655]; vgl. Hense, K&R, 2023, 556-562 m.w.N.). Eine solche Verarbeitung ist besonders umfassend, da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von der Beklagten aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird (EuGH a.a.O., und MMR, 2023, 669 [678, Rn. 118] – M. Plat – forms/Sosna, GSZ, 2024, 53 [57]). Es steht dem Grundsatz der Datenminimierung entgegen, wenn – wie hier – sämtliche personenbezogenen Daten, die ein Verantwortlicher wie der Betreiber einer Onlineplattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden.

ff) Anders als das OLG München (a.a.O.) hält der Senat auch keine Einschränkung der Unterlassungsverpflichtung wegen einer möglicherweise noch in der Zukunft erteilten Einwilligung oder eines sich in der Zukunft ergebenden Rechtfertigungsgrundes für erforderlich. Die Klagepartei hat gegenüber der Beklagten keine Einwilligung in die streitgegenständliche Datenverarbeitung erteilt, eine möglicherweise gegenüber Drittanbietern erteilte Einwilligung bezieht sich allein auf die dortige Datenerhebung, erfasst indes die Weiterverarbeitung durch die Beklagte nicht (s.o. 2.). Wird zu einem späteren Zeitpunkt eine wirksame Einwilligung erteilt oder ergibt sich ein Rechtfertigungsgrund für eine Datenverarbeitung durch die Beklagte, ist dies ggf. durch eine Vollstreckungsabwehrklage nach § 767 Abs. 2 ZPO geltend zu machen, die auch gegen einen Unterlassungsanspruch gerichtet werden kann (OLG Köln, Urt. v. 26.6.2019 – I-15 U 91/19 –, Rn. 57, juris).

[…]

5. Der Klagepartei steht wegen der streitgegenständlichen Datenverarbeitung ein immaterieller Schadenersatz in aus dem Tenor ersichtlicher Höhe gem. Art. 82 Ziff. 1 DS‑GVO zu.

Nach ständiger Rechtsprechung des EuGH erfordert ein Schadenersatzanspruch im Sinne des Art.  82 Abs.  1 DS‑GVO einen Verstoß gegen Vorschriften der DS‑GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. nur EuGH, Urt. v. 4.10.2024 – C-200/23, DB, 2024, 2952 Rn. 140; BGH, Urt. v. 18.11.2024 – VI ZR 10/24, BGHZ 242, 180 Rn.  21). Die Darlegungs- und Beweislast für diese Voraussetzungen trifft grundsätzlich die Person, die auf der Grundlage von Art. 82 Ziff. 1 DS‑GVO den Ersatz eines (immateriellen) Schadens verlangt (vgl. EuGH a.a.O., Rn.  141, BGH, a.a.O m.w.N). Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadenersatzanspruches nach Art.  82 Ziff. 1 DS‑GVO ein Verschulden des Verantwortlichen. Art. 82 DS‑GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DS‑GVO dem Verantwortlichen (vgl. EuGH, Urt. v. 11.4.2024 – C-741/21, NJW, 2024, 1561 Rn. 44 ff., BGH, a.a.O m.w.N). Der europäische Gerichtshof stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person (vgl. EuGH, Urt. v. 4.5.2023 – C – 300/21, 49, 50 – juris). Allerdings muss der Schaden tatsächlich und sicher entstanden sein (vgl. EuGH, Urt. v. 4.4.2017 – C – 337/15, Rn. 91 – juris; vgl. Senat, Urt. v. 10.12.2024 – 4 U 732/24, Rn. 17 – juris).

Im Anschluss an die mittlerweile gefestigte Rechtsprechung des Bundesgerichtshofes (Urt. v. 18.11.2024 – VI ZR 10/24 – juris) und des EuGH (Urt. v. 4.9.2025 (C-655/23; Rn. 60 – juris) kann bereits ein Kontrollverlust über personenbezogene Daten als Schaden angesehen werden, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (vgl. EuGH, Urt. v. 4.9.2025 – C-655, Rn 60 – juris). Der Bundesgerichtshof hat hierzu in seinem Urt. v. 18.11.2024 (VI ZR 10/24 – juris) u.a. folgendes ausgeführt:

„Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.“

Die Beklagte verarbeitet die personenbezogenen Daten der Klagepartei ohne Rechtfertigungsgrund gem. Art. 6 Ziff. 1 DS‑GVO. Insoweit wird auf die Ausführungen unter 2.) Bezug genommen.

Es ist zudem ein Kontrollverlust eingetreten, denn die Klagepartei hat keine Kenntnis darüber, auf welchen der von ihr besuchten Webseiten die von der Beklagten entwickelten Business-Tools eingesetzt werden, welche Daten dort über sie erhoben sowie an die Beklagte weitergeleitet und in welchem Ausmaß diese Daten bei der Beklagten gespeichert, aggregiert und genutzt werden. Wie bereits ausgeführt, ist die Datenverarbeitung durch die Beklagte besonders umfassend, da sie potenziell unbegrenzte Daten über die OnlineAktivitäten der Nutzer betrifft und das Gefühl auslösen kann, dass das Privatleben der Nutzer kontinuierlich überwacht wird (vgl. EuGH, Urt. v. 4.10.2024 – C-446/21 –, Rn 62, – juris). Dieses Gefühl des ständigen Überwachtwerdens ist eine nachteilige Folge, die über einen „bloßen“ Kontrollverlust und die hiermit verbundenen Unannehmlichkeiten hinausgeht und daher einen immateriellen Schaden begründet (vgl. Meyer, MMR, 2025, 173 (177) m.w.N.). Dies gilt umso mehr, als nach dem hier zugrunde zu legenden Vorbringen anzunehmen ist, dass auch bei verweigerter Einwilligung eines Nutzers über Business-Tools erlangte Daten zu einem Profiling im Sinne des Art. 22 DS‑GVO verwendet werden. Nach der Rechtsprechung des EuGH (Urt. v. 4.10.2024 – C-446/21 (Schrems) – juris, dort Rn. 63) stellt das Erstellen detaillierter Profile der Nutzer in Verbindung mit der zeitlich unbegrenzten Weiterverarbeitung einen schweren Eingriff in die Grundrechte der betroffenen Nutzer, insbesondere auf Achtung ihres Privatlebens und den Schutz personenbezogener Daten dar (EuGH a.a.O., Rn. 63). Dies gilt nach Auffassung des Senats auch in den Fällen – wie hier –, in denen nicht nachgewiesen ist, dass die über Business-Tools erlangten Daten für Zwecke der personalisierten Werbung verwendet werden. Dass vorliegend über

dies nicht ausgeschlossen werden kann, dass durch die Business-Tools auch BKD im Sinne von Art. 9 Abs. 1 DS‑GVO von der streitgegenständlichen Datenverarbeitung betroffen sind, verstärkt diesen Eindruck und kann dazu führen, dass Nutzer davon absehen, Webseiten etwa zu Gesundheitsthemen oder zum Sexualleben zu besuchen. Anders als in den sog. Scraping-Fällen werden vorliegend zwar die über die BusinessTools erlangten Daten nicht im Internet veröffentlicht, sondern lediglich bei der Beklagten verknüpft und gespeichert. Im Unterschied zu den Scraping-Sachverhalten, bei denen es im Wesentlichen um die Verknüpfung von Telefonnummer und/oder E-Mail-Anschrift mit einem Facebook-Nutzerkonto geht, erfasst die Verarbeitung von Daten aus den BusinessTools aber eine unabsehbare Vielzahl personenbezogener Daten, darunter je nach Einzelfall auch Gesundheitsdaten oder Daten zur sexuellen Orientierung. Des Weiteren ist die nicht bestehende Möglichkeit der Klagepartei, durch eigenes Handeln die Kontrolle über diese Daten zurückzuerlangen zu berücksichtigen (zu diesen Kriterien vgl. Senat, Urt. v. 10.12.2024 – 4 U 808/24, GRUR-RS 2024, 35688 Rn. 20, beck-online). Insofern kann vorliegend nicht außer Betracht bleiben, dass weder durch die Änderung der Datenschutzeinstellungen noch durch die Löschung des Kontos eine vollumfängliche Löschung der bei der Beklagten gespeicherten Daten möglich wäre. Der Senat geht nach alledem davon aus, dass bereits dieser abstrakt bestehende Kontrollverlust in Verbindung mit dem nachvollziehbar hieraus abgeleiteten Unsicherheitsgefühl für einen immateriellen Schaden ausreicht, ohne dass die Klagepartei diesen noch weiter individualisieren müsste. Die sehr umfassende Verarbeitung von personenbezogenen Daten durch die Beklagte sowie das allgemeine Gefühl der Beobachtung im privaten Umfeld sind ohne weiteres geeignet, bei jedem davon betroffenen Nutzer negative Gefühle in Form von Sorge und Ärger auszulösen, weshalb diese Empfindungen bei der Bemessung des immateriellen Schadens berücksichtigt werden können, ohne dass es auf einen weiteren Vortrag ankommt, welche Daten genau erhoben worden sind (so wohl auch Ehmann/Selmayr/Nemitz, 3. Aufl., DS‑GVO Art. 82 Rn. 17; Kühling/Buchner/Bergt, 4. Aufl., DS‑GVO Art. 82 Rn. 18c). Das unbestimmte Gefühl einer Überwachung ihres Verhaltens nicht nur im Internet liegt nachvollziehbar darin begründet, dass die Klägerseite nicht weiß und auch nicht wissen kann, welche und wie viele Daten die Beklagte aus ihrer Privat- und Intimsphäre über sie gesammelt hat und auch nicht weiß und wissen kann, was die Beklagte mit diesen Daten macht (so auch LG Leipzig, Urt. v. 4.7.2025 – 5 O 2351/23 –, Rn. 72 ff., Juris). Der Senat hält für diesen sich bereits aus abstrakten Überlegungen ergebenden und jeden einzelnen Nutzer betreffenden Schaden einen immateriellen Schadenersatz in Höhe von 1.500,– € für ausreichend und angemessen. Bei dieser Bemessung geht der Senat davon aus, dass die Klagepartei einen einheitlichen Anspruch auf immateriellen Schadenersatz aus Art. 82 Ziff. 1 DS‑GVO geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der Business-Tools) wurzelt. Auf den von der Beklagten erhobenen Verjährungseinwand kam es hierfür nicht an, weil sie eine Kenntnis der Klagepartei vor Klageerhebung weder behauptet noch unter Beweis gestellt hat.

Eine höhere immaterielle Entschädigung hätte die auf den Einzelfall bezogene Darlegung der Klagepartei erfordert, infolge der streitgegenständlichen Datenverarbeitung eine psychische Beeinträchtigung erlitten zu haben. Unabhängig vom Nachweis eines Kontrollverlusts reicht für einen Anspruch auf einen immateriellen Schadenersatz nämlich auch die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urt. v. 25.1.2024 – C-687/21, CR 2024, 160 Rn.  67 – MediaMarktSaturn; vom 14.12.2023 – C-340/21, NJW 2024, 1091 Rn.  85 – Natsionalna agentsia za prihodite). Die Befürchtung samt ihren negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urt. v. 20.7.2024 – C-590/22, DB 2024,1676 Rn. 36 – PS GbR; vom 14.12.2023 – C-340/21, NJW 2024, 1091 Rn. 75-86 – Natsionalna agentsia za prihodite). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urt. v. 20.6.2024 – C-590/22, DB 2024, 1676 Rn.  35 – PS GbR; v. 25.1.2024 – C-687/21, CR 2024, 160 Rn. 68 – MediaMarktSaturn). Sind derartige psychische Beeinträchtigungen infolge einer Anhörung des Betroffenen nachgewiesen, ist der Entschädigungsbetrag in einer Höhe festzusetzen, die über dem im Falle eines bloßen Kontrollverlustes zuzusprechenden Betrag liegt (BGH, Urt. v. 18.11.2024 – Rn. VIII 2 c) cc)). Zu einer solchen emotionalen Betroffenheit hat die Klagepartei jedoch keinerlei individualisierbare Anhaltspunkte vorgetragen; der Vortrag ihrer Prozessbevollmächtigten ist vielmehr identisch mit demjenigen in zahlreichen Parallelverfahren. Ihre Anhörung nach § 141 ZPO hält der Senat bei dieser Sachlage nicht für geboten.