Urteil : Rechtswidrige Datenverarbeitungen Metas mit dem Business Tool : aus der RDV 6/2025, Seite 324 bis 330

Aus den Gründen:

II. Die Klage ist überwiegend begründet.

1. Der Feststellungsantrag hat in der Sache Erfolg.

Der Nutzungsvertrag zwischen den beiden Parteien gestattet die Verarbeitung der durch die Klägerseite aufgeführten personenbezogenen Daten seit dem 25.05.2018 nicht. Die dem Urteil zugrunde zulegenden Datenverarbeitungsvorgänge sind nicht von einer Einwilligung der Klägerseite abgedeckt. Die Beklagte kann sich insbesondere nicht auf eine Einwilligung nach Art. 6 Abs. 1 lit. a) DS‑GVO berufen, da der Kläger eine entsprechende Einwilligung in den Profileinstellungen seines Accounts nicht erteilt hat. Sonstige Rechtfertigungsgründe nach Art. 6 und 9 DS‑GVO hat die Beklagte nicht hinreichend vorgetragen.

Die Beklagte darf anders als in ihren AGB aufgeführt „App-, Browser- und Geräteinformationen“ und „Informationen von Partnern, Anbietern und Dritten“ nicht dauerhaft und uneingeschränkt ohne eine gesonderte Einwilligung zur „Erfüllung eines Vertrages”, zur „Erfüllung einer rechtlichen Verpflichtung”, zum Schutz „wesentlicher Interessen”, zur „Wahrung öffentlicher Interessen” oder für die „berechtigten Interessen” der Beklagten verarbeiten. […]

In ihren Schriftsätzen beruft sich die Beklagte allein auf eine Datenverarbeitung zum Zwecke der Sicherheit und Integrität ihrer Systeme, d.h. auf Art. 6 Abs. 1 UAbs. 1 lit. e) DS‑GVO:

„Meta wird Informationen dieses Nutzers, die über Cookies und ähnliche Technologien erhobenen wurden, nur für begrenzte Zwecke, wie Sicherheits- und Integritätszwecke, nutzen. Zu diesen Sicherheits- und Integritätszwecken gehören der Schutz und die Schadensverhütung (z.B. die Sicherheit von Kindern und die Bekämpfung potenzieller krimineller Aktivitäten (einschließlich gefährlicher Organisationen) und von Hassrede) sowie die Bekämpfung bestimmter bekannter Sicherheitsbedrohungen, wie z.B. die Bedrohungen der Cybersicherheit (z.B. durch Hackerangriffe, Cyberspionage). Zur Veranschaulichung: Meta‘s Systeme können überprüfen, ob eine IP-Adresse, die in Daten enthalten ist, die durch die Meta Business Tools übermittelt wurden, deckungsgleich ist mit einer von relativ wenigen IP-Adressen, die mit in der Vergangenheit identifizierten Bedrohungen in Verbindung steht.“

(Duplik vom 26.11.2024, S. 48, Bl. 522 d. Akte)

Über diesen pauschalen Vortrag hinaus trägt die Beklagte nichts weiter substanziiert vor. Der übrige Vortrag reicht indes nicht aus, um den strengen Anforderungen des EuGHs zu Art. 6 Abs. 1 UAbs. 1 lit. e) DS‑GVO gerecht zu werden. Die Beklagte erklärt nicht, wie personenbezogene Daten der Nutzer eingesetzt werden können, um den genannten Zwecken gerecht zu werden. Insofern wird bereits dem Erforderlichkeitskriterium des EuGHs nicht hinreichend Rechnung getragen. Zudem wird nicht klar, in welchem Umfang und auf welche Art und Weise personenbezogene Daten erhoben werden. Insofern kann das Gericht keine Überprüfung zur Angemessenheit der Datenverarbeitung vornehmen. Zu den sonstigen Rechtfertigungsgründen innerhalb von Art.  6 DS‑GVO wurde ebenfalls nicht hinreichend vorgetragen. Da es bereits an diesen Voraussetzungen fehlt, sind erst Recht die strengeren Anforderungen nach Art. 9 DS‑GVO nicht erfüllt. Im Übrigen verstößt das Vorgehen der Beklagten aus den gleichen Gründen gegen Art. 5 Abs. 2 DS‑GVO. Nach dem in dieser Vorschrift verankerten Grundsatz der Rechenschaftspflicht muss der Verantwortliche nachweisen können, das die personenbezogenen Daten unter Einhaltung der in Art. 5 Abs. 1 DS‑GVO genannten Grundsätze erhoben und verarbeitet werden (EuGH, Urt. v. 04.10.2024, Az. C-446/21, NJW 2025, 207 Rn. 55). In Art. 5 Abs. 1 DS‑GVO ist unter anderem der Grundsatz der Datenminimierung (lit. c) verankert, der bestimmt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen (EuGH, a.a.O, NJW 2023, 2997).

Eines Hinweises nach § 139 ZPO an die Beklagte bedurfte es nicht, da es der Beklagten hinreichend aus anderen Gerichtsverfahren bekannt war, dass ihr Vortrag zur Rechtfertigung nach den Vorschriften der DS‑GVO nicht ausreichend ist (siehe nur LG Ellwangen (Jagst), a.a.O., S. 30).

2. Der Kläger hat einen Unterlassungsanspruch aus Art. 17 DS‑GVO i.V.m. Art.  79 DS‑GVO. Obwohl die Vorschrift dem Wortlaut nach lediglich ein Recht auf Löschung beinhaltet, kann der Kläger aus Art. 17 DS‑GVO i.V.m. Art. 79 DS‑GVO auch einen Unterlassungsanspruch herleiten. „Aus der Verpflichtung zur Löschung von Daten ergibt sich implizit zugleich die Verpflichtung, diese Daten künftig nicht wieder zu speichern“ (LG Berlin II, Urt. v. 11.04.2025, Az. 58 O 72/24, S. 8, amtlicher Ausdruck, mitgeteilt durch die Klägerseite; einen Unterlassungsanspruch aus Art. 17 DS‑GVO ebenfalls herleitend OLG Düsseldorf, Urt. v. 05.10.2023, 16 U 127/22, GRUR-RS 2023, 28156 und BeckOK DatenschutzR/Worms, 52. Ed. 1.11.2024, DS‑GVO Art.  17 Rn.  77a). Materielle Voraussetzung des Anspruchs ist die konkrete Gefahr einer rechtswidrigen Verarbeitung personenbezogener Daten.

a) Die Beklagte ist Verantwortliche i.S.d. DS‑GVO (s.o.) und verarbeitet personenbezogene Daten i.S.v. Art. 4 Nr. 1 und 2 DS‑GVO in der im Tatbestand genannten Form: Die Beklagte erhebt personenbezogene Daten der Nutzer, sobald diese Websites oder Apps mit den Business Tools aufrufen bzw. wenn sie auf diese Websites Interaktionen durchführen. Sodann verknüpft die Beklagte die gewonnenen Daten mit dem Nutzerkonto der Klägerseite. Schließlich werden die Daten für die o.g. Zwecke verwendet (EuGH, Urt. v. 04.07.2023, Az. C-252/21, GRUR 2023, 1131, Rn. 71).

Gem. § 138 Abs. 3 und 4 ZPO ist der vollständige klägerische Vortrag zum Vorgehen der Beklagten in Bezug auf die Datenerhebung- und Verarbeitung – insbesondere zur Funktionsweise der Business Tools, der Übertragung der personenbezogenen Daten und der Erstellung von Nutzerprofilen – dem Urteil als unstreitig zugrunde zu legen. Die Beklagte ist dem klägerischen Vortrag in nicht erheblicher Weise entgegengetreten. Der Vortrag der Beklagtenseite erschöpft sich im Wesentlichen darin, dass sie mangels Einwilligung des Klägers keine Datenverarbeitung zum Zweck der Bereitstellung personalisierter Werbung vornehme. Darüber hinaus gesteht die Beklagte zu, dass sie die Daten, welche ihr über die Business Tools übermittelt werden, für andere Zwecke wie beispielsweise „Integrität und Sicherheit“ nutzt (siehe u.a. Duplik vom 26.11.2024, Rn. 81, Bl. 522 d. Akte).

Entgegen der Meinung der Beklagten hat die Klägerseite ausreichend dargelegt, dass die Beklagte ihre Daten in den streitgegenständlichen Business Tools verarbeitet. Die Klagepartei muss im Rahmen der Festlegung des streitgegenständlichen Sachverhalts nicht den konkreten Zweck der Datenverarbeitung, die sie angreifen will, benennen. Die DS‑GVO nimmt lediglich auf der Seite der Rechtfertigung, insbesondere in Art.  6 und 9 DS‑GVO, eine Differenzierung nach dem Zweck der Datenverarbeitung vor. Demnach ist es allein die Aufgabe der Beklagten, im Rahmen der Darlegung eines Rechtfertigungsgrunds den von ihr verfolgten Zweck näher zu spezifizieren.

Die Beklagte, die über die Daten der Klägerin verfügt, kann sich überdies nicht auf ein Bestreiten mit Nichtwissen zurückziehen.

Soweit die Beklagte im Rahmen des Bestreitens einwendet, dass es sich teilweise um Daten handele, die nach der Eigenart des Internets stets erhoben und verarbeitet werden, kann dies nicht verfangen. Auch diese Daten fallen unter den Anwendungsbereich der DS‑GVO. Der Verordnungsgesetzgeber war sich dessen bewusst und stellte in ErwG 30 fest, dass natürlichen Personen unter Umständen Online-Kennungen wie IP-Adressen, Cookie-Kennungen oder andere Identifikatoren zugeordnet werden können, die mit ihrem Gerät, Softwareanwendungen, Tools oder Protokollen zusammenhängen. Im Übrigen geht die Datenverarbeitung der Beklagten über diese technischen Standarddaten weit hinaus.

b) Rechtfertigungsgründe für die streitgegenständliche Datenverarbeitung liegen nicht vor (s.o.).

c) Die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr ist gegeben. Der bereits begangene und fortdauernde Verstoß der Beklagten begründet die tatsächliche Vermutung für seine Wiederholung (BGH, Urt. v. 17.07.2008, Az. I ZR 219/05, GRUR 2008, 996, Rn. 32).

d) Die Androhung des Ordnungsmittels beruht auf § 890 Abs. 2 ZPO. Der Rückgriff auf die nationale Vorschrift ist erforderlich, da die DS‑GVO mit der Sanktionsnorm in Art.  83 DS‑GVO keine äquivalente Regelung bereithält, die gleichermaßen geeignet ist, den Unterlassungstitel zur Gewährung effektiven Rechtsschutzes durchzusetzen (so auch LG Landau, Versäumnisurteil vom 26.02.2024, Az. 2 O 239/23, S. 13, amtlicher Ausdruck, mitgeteilt durch die Klägerseite).

Der Kläger hat einen Anspruch auf Ersatz des immateriellen Schadens i.H.v. 5.000 EUR gem. Art. 82 DS‑GVO nebst Zinsen hieraus im tenorierten Umfang. Ob im Weiteren auch ein Anspruch gem. § 823 Abs. 1 BGB i.V.m. Art. 1, 2 GG besteht, kann dahinstehen, da dieser jedenfalls keinen höheren Schadenersatzanspruch begründet. Darüber hinaus kann der Kläger Verzugszinsen verlangen.

a) Der haftungsbegründende Tatbestand ist erfüllt. Auf der Seite der Beklagten liegt ein Verstoß gegen die Vorgabe der DS‑GVO vor (s.o.).

b) Der Kläger hat einen immateriellen Schaden erlitten. Ein Schaden i.S.d. Art. 82 DS‑GVO kann jede materielle oder immaterielle Einbuße sein. Der bloße Verstoß gegen die DS‑GVO reicht zwar selbst noch nicht für die Begründung eines Schadenersatzanspruchs aus (EuGH, Urt. v. 04.05.2023, Az. C-300/21, GRUR-RS 2023, 8972 Ls. 1), es gibt jedoch umgekehrt auch keine Erheblichkeitsschwelle, deren Überschreitung es festzustellen gilt (siehe nur EuGH, a.a.O., GRUR-RS 2023, 8972). Als Schäden sind insbesondere in der Rspr. bereits anerkannt der Verlust von Kontrolle über personenbezogene Daten oder die Befürchtung der missbräuchlichen Verwendung der eigenen Daten (BGH, Urt. v. 18.11.2024, Az. VI ZR 10/24, GRUR-RS 2024, 31967 Rn. 30 u.a. mit Verweis auf den EuGH). Steht der Kontrollverlust fest, bedarf es darüber hinaus erst einmal nicht der Darlegung besonderer Ängste oder Befürchtungen der betroffenen Person, da diese Umstände lediglich zur Feststellung einer weiteren Schadensvertiefung herangezogen werden können (BGH, a.a.O., GRUR-RS 2024, 31967 Rn. 31).

Nach dem der Klage zugrunde liegenden Tatbestand wurde „[Das] nahezu gesamte Online-Verhalten des Klägers dokumentiert und in Persönlichkeitsprofilen ausgewertet. […]“ (LG Ellwangen (Jagst), a.a.O., S. 42 f.). Hierin liegen in jedem Fall ein erheblicher Kontrollverlust sowie das Risiko einer weiteren missbräuchlichen Verwendung der Daten. Da die Verarbeitung personenbezogener Daten im hiesigen Fall besonders umfangreich ist – sie betrifft potenziell unbegrenzte Datenmengen und hat nahezu die vollständige Überwachung des Online-Verhaltens des Nutzers zur Folge – ist es nach der Feststellung des EuGHs bereits abstrakt möglich, dass beim Nutzer das Gefühl einer kontinuierlichen Überwachung verursacht wird (EuGH, a.a.O., GRUR 2023, 1131, Rn. 118).

c) Der Schaden ist kausal auf das Verhalten der Beklagten zurückzuführen, da diese den Kontrollverlust insbesondere durch den Einsatz der Business Tools verursacht hat.

d) Art und Umfang des Schadenersatzanspruchs richten sich nach den nationalen Vorschriften in §§ 249 ff. und § 287 BGB i.V.m. den europarechtlichen Vorgaben des haftungsbegründenden Tatbestands in Art. 82 DS‑GVO.

aa) Nach der Rspr. des EuGHs ermöglicht die DS‑GVO ausschließlich einen Schadenersatz zum Zwecke des Ausgleichs, nicht auch zur Genugtuung. Die Vorschrift verlangt nicht, dass der Grad der Schwere und die Vorsatzform des Verantwortlichen bei der Schadensbemessung berücksichtigt werden. Im Gegenzug gibt der EuGH den nationalen Gerichten jedoch vor, dass die Höhe des geschuldeten immateriellen Schadenersatzes „seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung“ (zum Ganzen EuGH, Urt. v. 20.06.2024, Az. C-182/22, C-189/22, NJW 2024, 2599). Im Einzelnen:

(1) Der EuGH stellt klar, dass die Art.  83 und 84 DS‑GVO, welche im Wesentlichen Strafzwecke erfüllen, nicht im Rahmen von Art.  82 DS‑GVO herangezogen werden dürfen, da die Vorschrift auf den Ausgleich für erlittene Einbußen abzielt (EuGH, a.a.O., NJW 2024, 2599 Rn.  22). Abschreckungs- und Strafzwecke sind der Vorschrift damit nicht zugänglich, sodass ein sog. Strafschadensersatz ausscheidet.

(2) In Ermangelung eigener europäischer Regelungen zur Bestimmung der Höhe des Anspruchs nach Art.  82 DS‑GVO haben die nationalen Gerichte nach der Rspr. des EuGHs die bestehenden nationalen Vorschriften im Lichter der Äquivalenz und Effektivität des Unionsrechts anzuwenden (EuGH, a.a.O., NJW 2024, 2599 Rn. 27).

(3) Soweit es der EuGH ausschließt, dass im Rahmen der Ausgleichsfunktion des Schadenersatzanspruchs i.S.v. Art. 82 DS‑GVO ein möglicher Vorsatz des Verantwortlichen oder der Grad der Schwere des Verstoßes berücksichtigt wird, gibt er jedoch auch zu erkennen, dass der Schadenersatz der Höhe nach den konkret erlittenen Schaden vollständig ausgleichen muss (EuGH, a.a.O., NJW 2024, 2599 Rn. 29).

(4) Mit Blick auf den Vergleich physischer, materieller und immaterieller Schäden rekurriert der EuGH auf den 146. ErwG  der DS‑GVO und weist insoweit darauf hin, dass „[d] er Begriff des Schadens … im Lichte der Rechtsprechung des EuGH weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht“, und dass „[d]ie betroffenen Personen … einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten [sollten]“ (EuGH, a.a.O., NJW 2024, 2599 Rn.  36). Weiterhin führt er aus, dass durch die nationalen Vorschriften zur Umsetzung des immateriellen Schadenersatzanspruchs die Ausübung der durch das Unionsrecht verliehenen Rechte, insbesondere der DS‑GVO, nicht unmöglich gemacht oder übermäßig erschwert werden darf (EuGH, a.a.O., NJW 2024, 2599 Rn. 34).

Hiermit bringt der EuGH zum Ausdruck, dass an der deutschen Rechtsprechung, die bislang immateriellen Schadenersatz bei Persönlichkeitsrechtsverletzungen grundsätzlich nur höchst ausnahmsweise und insgesamt lediglich in geringem Umfang zugesprochen hat, bei der Anwendung der DS‑GVO nicht festgehalten werden darf (so auch Kühling/ Buchner/Bergt, 4. Aufl. 2024, DS‑GVO Art. 82 Rn. 18a; Ehmann/ Selmayr/Nemitz, 3. Aufl. 2024, DS‑GVO Art. 82 Rn. 38). Daraus folgt nicht zuletzt, dass trotz der Beschränkung auf den bloßen Ausgleich der erlittenen Nachteile, die Höhe des Schmerzensgeldes über die in der nationalen Rechtsprechungspraxis etablierten Beträge aus Schmerzensgeldtabellen o.ä. hinausgehen kann (so auch Kühling/Buchner/Bergt, 4. Aufl. 2024, DS‑GVO Art.  82 Rn.  18d m.w.N.). Ein „Sich-Einfügen“ in die bisherige nationale Rechtsprechungspraxis stünde geradezu im Widerspruch zur europarechtsautonomen Auslegung des Schadenersatzanspruchs gem. Art. 82 DS‑GVO. Soweit andere Gerichte teilweise auf nationale Schadenersatzansprüche wie § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, 2 Abs. 1 GG zurückgreifen, um die erweiterten Schutzkategorien dieser Ansprüche einbeziehen zu können (Genugtuung und Prävention) – letztlich um die vermeintlichen Restriktionen des EuGHs mithilfe dieser Ansprüche dogmatisch zu umgehen – ist dieses Vorgehen ob der oben genannte Gründe redundant.

(5) Der EuGH betont bei alldem, dass der Schadenersatzanspruch nach Art.  82 DS‑GVO neben den Sanktionen des Art. 83 DS‑GVO ebenfalls geeignet sein muss, die Einhaltung der Vorschriften der DS‑GVO sicherzustellen (EuGH, a.a.O., NJW 2024, 1561 Rn. 62).

bb) Die Höhe des Schadenersatzanspruchs ist nach der nationalen Vorschrift des § 287 ZPO zu schätzen. Nach § 287 Abs. 1 S. 1 ZPO entscheidet das Gericht nach Würdigung aller Umstände nach freier Überzeugung. Hierbei handelt es sich um das Einfallstor für die o.g. europarechtlichen Vorgaben. Nach § 287 Abs. 1 S. 2 ZPO steht es schließlich im Ermessen des Gerichts, ob es im Rahmen der Schadensbemessung eine Beweisaufnahme durchführt.

(1) Anknüpfungspunkte für die Bemessung eines immateriellen Schadenersatzanspruchs muss hier vordergründig der auf der Klägerseite eingetretene Verlust der Daten sein. Dieser ist hinsichtlich des unterschiedlichen grundrechtlich garantierten Schutzniveaus der betroffenen Daten zu differenzieren. Dies gilt insbesondere, wenn besondere Kategorien personenbezogener Daten i.S.v. Art. 9 DS‑GVO betroffen sind (OLG Dresden, Urt. v. 10.12.2024, Az. 4 U 808/24, ZD 2025, 221 Rn. 20). Zudem sind vor allem der Umfang der gesammelten Daten und die Dauer des Verstoßes zw. der Verletzungshandlung zu berücksichtigen. Hierbei handelt es sich um Kategorien zur Feststellung der Schadenstiefe bzw. -intensität, die nicht gleichzusetzen sind mit dem Grad der Schwere des Verstoßes, den der EuGH für nicht berücksichtigungsfähig erklärt (EuGH, a.a.O., NJW 2024, 2599 Rn. 26). Darüber hinaus kann die Möglichkeit des Betroffenen an der Wiedererlangung seiner Daten bzw. der Kontrolle über diese eine Rolle spielen (OLG Dresden, a.a.O., ZD 2025, 221, Rn. 20).

Weiterhin hat das Gericht bei der Schadensschätzung für den Wert der personenbezogenen Daten einen entsprechenden Anknüpfungspunkt festgelegt. Hierfür hat es auf den Wert personenbezogener Daten für die Beklagte – soweit dieser geschätzt werden konnte – abgestellt, zudem auf den allgemeinen Wert personenbezogener Daten auf dem hierfür relevanten legalen oder auch illegalen Markt. Die Berücksichtigung des Wertes der Daten für den Verletzer wird jedenfalls im Bereich der kommerziellen Nutzung auch in der Literatur gefordert (Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DS‑GVO Art. 82 Rn. 31, m.w.N.).

(2) Für das Ausmaß und den Umfang der betroffenen Daten wird auf die Ausführungen weiter oben verwiesen, auch für die Grundrechtssensibilität der betroffenen Daten. Hinzutritt, dass es aufgrund des bis zum Schluss der mündlichen Verhandlung bestehenden Schweigens der Beklagten zur streitgegenständlichen Datenverarbeitung aussichtslos erscheint, dass der Kläger konkrete Kenntnis davon erhält, ob er die Kontrolle der Daten durch Löschung o.ä. wiedererlangen könnte. Zudem ist über die Geständnisfiktion hinaus rein tatsächlich nicht feststellbar, ob und in welchem Umfang die Daten bereits an Dritte weitergegeben wurden und eine Datensicherung auch aus diesem Grund ausgeschlossen ist.

Erschwerend kommt hinzu, dass sogar wenn der Kläger in Bezug auf die Erhebung und Verarbeitung von Daten zu Zwecken personalisierter Werbung die von der Beklagten vorgesehene Einwilligung abgegeben hätte, diese unwirksam gewesen wäre, da die allgemeine und unterschiedslose Sammlung von Daten u.a. gegen den Grundsatz der Datenminimierung verstößt und die unbegrenzte Speicherung personenbezogener Daten zu Zwecken der zielgerichteten Werbung unverhältnismäßig ist (siehe nur EuGH, a.a.O., NJW 2025, 207 Rn. 58 ff.). Für den Wert der Daten für die Beklagte hat das Gericht auf die Feststellungen des BKartA (Beschl. v. 02.05.2022, Az. B 6-27/21, BeckRS 2022, 47486 Rn. 432) zurückgegriffen. Demnach verfügt die Beklagte im Bereich der sozialen Medien über eines der führenden Werbeangebote. Im Jahr 2020 erzielte die Beklagte 86 Mrd. USD an Werbeeinnahmen, im Jahr 2021 bereits 115 Mrd. USD. Der Gesamtumsatz betrug im Jahr 2021 118 Mrd. USD, sodass der Anteil der Werbeeinnahmen einen Anteil i.H.v. 97% ausmachte (BKartA a.a.O., Rn. 7). Die Werbung wird hierbei überwiegend personalisiert geschaltet und basiert auf einem individuellen Zuschnitt für den jeweiligen Nutzer. Es soll dem Nutzer die Werbung angezeigt werden, die die ihn aufgrund seines persönlichen Konsumverhaltens, seiner Interessen und seiner Lebenssituation interessieren könnte (BKartA a.a.O., Rn.  53). Will ein Nutzer keine personalisierte Werbung angezeigt bekommen, hat er die Möglichkeit eine solche Option gegen Zahlung eines monatlichen Beitrags auszuwählen. Ausgehend hiervon hat sich das Gericht davon überzeugt, dass der Wert von Daten für das Geschäftsmodell der Beklagten unerlässlich ist und dass die von der Beklagten gesammelten Daten einen erheblichen Wert für diese haben – auch wenn sie die Daten nach dem insoweit zulässigen Bestreiten nicht für Werbezwecke nutzt. Der finanzielle Wert eines einzigen Nutzerprofils, in dem sämtliche Daten über die Person gespeichert sind, ist für Teilnehmer datenverarbeitender Märkte enorm. Dass die Wertbemessung auch der Wahrnehmung in der Gesellschaft entspricht, bestätigen diverse Studien (siehe nur die Studie „Der Wert persönlicher Daten – Ist Datenhandel der bessere Datenschutz?“, B., 2016, im Auftrag des Sachverständigenrats für Verbraucherfragen beim Bundesministerium der Justiz und für Verbraucherschutz; Infografik „Preis, den Erwachsene in den USA für personenbezogene Daten aufrufen würden (in US-Dollar)“, Statista mit Quelldaten von Morning Consult aus dem Jahr 2019, abgerufen unter https://….com/Infographic/images/normal/18449.jpeg).

Es erschiene im Übrigen nicht zeitgemäß, einzelne Daten als belanglos einzustufen, da es dem vorliegenden Datenschutzverstoß gerade immanent ist, dass die für sich genommen abstrakten Daten erst in der Gesamtschau, d.h. nach Verbindung zu einem Persönlichkeitsprofil, ihr vollständiges Nutzungspotenzial entfalten (vgl. Kühling/Buchner/Bergt, 4. Aufl. 2024, DS‑GVO Art. 82 Rn. 18b, beck-online).

(3) Obwohl der BGH in seiner Rspr. (BGH, a.a.O., GRUR-RS 2024, 31967 Rn. 31) ausführt, dass die entwickelten besonderen Befürchtungen und Ängste der betroffenen Person als Grundlage für das Gericht dienen, wie groß der eingetretene Schaden ist, bedurfte es im hiesigen Fall keiner Anhörung des Klägers, da sich der Kläger jedenfalls auf die sich aus der o.g. Reichweite des Schadens ergebende Mindestbeeinträchtigung für den Durchschnittsbetroffenen i.S.d. DS‑GVO im konkreten Fall berufen kann. Mit dem EuGH (zuletzt Urt. v. 04.10.2024, a.a.O., NJW 2025, 207 Rn. 62) hat die potenziell unbegrenzte Datenverarbeitung der Beklagten zur Folge, dass bei den Betroffenen ein Gefühl der kontinuierlichen Überwachung des Privatlebens eintreten kann. Ausgehend von einem Durchschnittsbetroffenen i.S.d. DS‑GVO, der sich den o.g. Verletzungshandlungen ausgesetzt sieht, ist es dem Gericht möglich, den hieraus erwachsenden Grad der individuellen Betroffenheit zu schätzen.

(a) Nach der Rechtsprechung des BGH ist es dem Tatgericht nach der nationalen Norm des § 286 ZPO grundsätzlich erlaubt, „allein aufgrund des Vortrags der Parteien und ohne Beweiserhebung festzustellen, was für wahr und was für nicht wahr zu erachten ist“ (BGH, Beschl. v. 27.09.2017, Az. XII ZR 48/17, NJW-RR 2018, 249). Obwohl diese Rechtsprechung konkret auf die Überzeugungsbildung des Tatgerichts anhand einer informatorischen Anhörung abzielt, ist sie darüber hinaus auch so zu verstehen, dass das Gericht frei darin ist, seine Überzeugung nach § 286 ZPO jenseits der Strengbeweismittel zu bilden. Dies gilt insbesondere im Falle der Schadensschätzung nach § 287 ZPO, bei der die Freiheit der richterlichen Überzeugungsbildung zusätzlich geweitet ist. Insofern war es dem Gericht freigestellt, auf eine informatorische Anhörung des Klägers – so wie sie die meisten anderen Gerichte bislang vorgenommen haben – zu verzichten. Bei einer Anhörung des Klägers wäre nach Überzeugung des Gerichts gerade kein weiterer Erkenntnisgewinn zu erwarten gewesen, der über die Mitteilung des im Allgemeinen eher diffusen Gefühls des Datenverlusts und der Verunsicherung hinausgeht. Grund hierfür ist, dass es gerade das Problem der klägerischen Partei und auch des Gerichts ist, festzustellen, was konkret die Beklagte mit den Daten vorhat bzw. was sie bereits jetzt unternimmt. Da dies bis zuletzt nicht bekannt wird, kann sich die Erwartung oder Befürchtung des Klägers nicht auf ein bestimmtes Verhalten konkretisieren. Dies kann und darf ihm nicht zum Nachteil gereichen.

(b) Wie der EuGH in seiner Rechtsprechung jenseits des Datenschutzrechts, bspw. im Markenrecht, betont, ist auch unionsrechtlich für eine Dienstleistung, die sich an ein allgemeines Publikum richtet, Prüfungsmaßstab für die Gerichte ein normal informierter, angemessen aufmerksamer und verständiger Durchschnittsverbraucher (siehe nur EuGH, Urt. v. 29.04.2004, Az. C-456/01 P und C-457/01 P, GRUR Int 2004, 631, Rn. 35; Urt. v. 08.10.2020, Az. C-456/19, GRUR 2020, 1195, Rn. 32). Diese Grundsätze lassen sich auch auf den hiesigen Fall übertragen, da die Dienstleistungen bzw. das Produkt der Beklagten dem allgemeinen Verkehr gegenüber eröffnet sind. Damit lässt sich neben der spezifischen Betroffenheit einer einzelnen Person auch die des Durchschnittsbetroffenen i.S.d. DS‑GVO feststellen. Soweit – wie im vorliegenden Fall – die vorgetragene spezifische Betroffenheit nicht über das Maß der allgemeinen Betroffenheit hinausgeht und sich damit keine Schadensvertiefung aus dem klägerischen Vortrag ableiten lässt, kann sich das Gericht allein auf die allgemeine Beeinträchtigung des Durchschnittsbetroffenen i.S.d. DS‑GVO beziehen.

Die Kammer konnte daher ohne auf das jeweilige subjektive Empfinden des konkreten Klägers abstellen zu müssen, eine durchschnittliche, aufgeklärte und verständige betroffene Person zu Grunde legen, und deren Betroffenheit als Maßstab für einen Mindestschaden zu nehmen.

(4) Die Mindestbeeinträchtigung ist ohne das Hinzutreten weiterer Umstände bereits besonders schwerwiegend und hebt sich maßgeblich von den sog. Scraping-Fällen ab, in denen ein Mindestschaden i.H.v. 100 EUR für den bloßen Kotrollverlust für angemessen erachtet wird (siehe nur OLG Dresden, a.a.O., ZD 2025, 221 Rn.  20 m.w.N.). Anders als in den Scraping-Fällen ist die Quantität und Qualität der streitgegenständlichen Daten um ein Vielfaches größer, sodass der Mindestschaden weitaus höher einzustufen ist. Die Datenverarbeitung durch die Beklagte stellt nach der Rspr. Des EuGHs per se einen schweren Eingriff in die durch Art. 7 und 8 GrCh gewährleisteten Rechte auf Achtung des Privatlebens und den Schutz personenbezogener Daten dar (EuGH, a.a.O., NJW 2025, 207 Rn. 63), der nicht gerechtfertigt ist.

Die Verletzung dieser Grundrechte wird auch durch den Durchschnittsbetroffenen i.S.d. DS‑GVO als erhebliche Beeinträchtigung im o.g. Sinne wahrgenommen. Der aufgeklärte und verständige Durchschnittsbetroffene i.S.d. DS‑GVO wird sich der Bedeutung und Tragweite der über ihn gesammelten Daten bewusst, denn er kennt die Relevanz von personenbezogenen Daten innerhalb einer digitalisierten Gesellschaft und Wirtschaft (s.o. zur Wahrnehmung der Gesellschaft hinsichtlich der Werthaltigkeit von Daten). Der Kontrollverlust über nahezu sämtliche Daten seiner Online-Nutzungsaktivitäten bedeutet für ihn eine dauerhafte und nicht ohne Weiteres zu beseitigende negative Beeinflussung, die sich nach außen hin in unterschiedlichen Sorgen und Ängsten manifestiert. In jedem Falle setzt sich der Nutzer gezwungener Maßen mit dem Verlust der personenbezogenen Daten auseinander und wird hierdurch in Bezug auf sein weiteres Verhalten bei der Nutzung des Internets dauerhaft beeinflusst.

Das Gericht erachtet anhand der obigen Ausführungen in der Gesamtschau einen Betrag i.H.v. 5.000 EUR für einen angemessenen Schadenersatz. Zum Vergleich hat das OLG Dresden in einer Entscheidung wegen Ausspähung durch Einschaltung eines Detektivbüros einen Schadenersatzanspruch i.H.v 5.000 EUR für angemessen erachtet (OLG Dresden, Urt. v. 30.11.2021, Az. 4 U 1158/21, NZG 2022, 335). Die Reichweite der im hiesigen Verfahren betroffenen Daten geht über das Maß in dem Verfahren vor dem OLG Dresden hinaus, da nach dem als zugestanden anzusehenden klägerischen Vortrag dessen gesamtes im digitalen Bereich stattfindendes Privatleben dauerhaft und nicht nur auf einzelne Aspekte begrenzt aufgezeichnet wurde und immer noch wird. Seit dem Inkrafttreten der DS‑GVO handelt es sich bei dem als zugestanden anzusehenden Vorgehen der Beklagten um einen solch weitgehenden Verstoß, der den Rahmen der bisher bekannten Fälle bei weitem überschreitet, sodass der Mindestbetrag ohne Darlegung einer besonderen individuellen Betroffenheit mit dem des OLG Dresden in dem o.g. Verfahren gleichgesetzt werden kann.

Das Gericht ist sich bei dieser Entscheidung der Tatsache bewusst, dass das Zusprechen eines Betrags i.H.v. 5.000 EUR ohne das Erfordernis der spezifischen Darlegung einer über das gerichtlich festgestellte Maß der Mindestbeeinträchtigung hinausgehenden Intensität praktisch bedeutet, dass eine Vielzahl von Nutzern der Beklagten ohne größeren Aufwand Klage erheben kann. Dem stehen jedoch keine durchgreifenden Bedenken gegenüber, denn diese Form der privaten Rechtsdurchsetzung ist nach dem Willen des europäischen Gesetzgebers und der Rechtsprechung des EuGHs nach den obigen Ausführungen gerade bezweckt und dient in Form des sog. Private Enforcement dazu, die Einhaltung der Vorschriften der DS‑GVO und damit deren Effektivität zu gewährleisten. Die Tendenz des europäischen Gesetzgebers zur Ermöglichung eines Private Enforcement ist dabei in jüngerer Zeit nicht zu verkennen, bspw. im Rahmen des Digital Markets Act (Kersting/Meyer-Lindemann/Podszun/Dietrich/ Jung, 5. Aufl. 2025, DMA Art. 20-Art. 27 Rn. 54 m.w.N.). Art. 82 DS‑GVO ist i.d.S. „nur“ eine weitere Facette der Entwicklung hin zu mehr Private Enforcement (so auch Paal/Kritzer, NJW 2022, 2433 Rn. 2). Insoweit ist es gerade kein Grund, der gegen die Zusprechung eines erheblichen Schadenersatzanspruchs spricht, dass nahezu jeder Nutzer der Beklagten gleichermaßen betroffen ist (so aber LG Stuttgart, a.a.O., Rn. 66). Ebenso muss sich der Kläger auch nicht darauf verweisen lassen, dass die Sanktionierung der „Geschäftspraktiken“ der Beklagten nicht Aufgabe zivilrechtlicher Ansprüche sei, sondern es hierfür das öffentliche Recht i.S.e. Public Enforcement gebe (so aber LG Lübeck, a.a.O., Rn. 90).

Nicht anspruchsmindernd i.S.e. widersprüchlichen Verhaltens wirkt sich aus, dass der Kläger die Nutzung der Dienste der Beklagten auch nach Kenntniserlangung über die Datenverarbeitung weiter in Anspruch nimmt. Die Beklagte nimmt im Bereich der Social-Media-Plattformen eine überragende marktübergreifende Stellung ein, welche bereits das Bundeskartellamt i.S.v. §  19a GWB festgestellt hat (BKartA, Beschl. v. 02.05.2022, Az. B6-27/21). Gerade für die Teilhabe am gesellschaftlichen Leben handelt es sich bei den Netzwerken der Beklagten mittlerweile um für den durchschnittlichen Bürger essenzielle Dienstleistungen (vgl. ErwG Nr. 1, 3 zur VO 2022/2065), die faktisch nicht durch ein alternatives Netzwerk ersetzt werden können (zusammenfassend zu den Hintergründen siehe Mohr, EuZW 2019, 265 unter Bezugnahme auf die F.-Entscheidung des Bundeskartellamts vom 06.02.2019). Auch wenn der Nutzer Kenntnis von den Datenschutzverletzungen der Beklagten erlangt, ist es ihm deshalb nicht zuzumuten, dass er sämtliche Profile bei der Beklagten löscht und seine Nutzung beendet. Vielmehr muss die Beklagte gewährleisten, dass der Kläger ihre Netzwerke DS‑GVO-konform (auch in Zukunft) nutzen kann. Gerade durch die hiesige Klage bringt der Kläger zum Ausdruck, dass ihm die Datenschutzverstöße der Beklagten nicht egal sind, sondern er eine DS‑GVO-konforme Nutzung durchsetzen will. Anders als in den Scraping-Fällen war es dem Kläger hier zudem – bis auf die vollständige Löschung der Profile – nicht möglich, sein Nutzerverhalten auf den Plattformen der Beklagten so anzupassen, dass weitere Datenschutzverletzungen verhindert werden (vgl. Paal, ZfDR 2023, 325).

Demnach scheidet auch ein Mitverschulden des Geschädigten i.S.v. § 254 BGB aus, wobei für den Schadenersatzanspruch nach Art. 82 DS‑GVO umstritten ist, ob lediglich unter den Voraussetzungen von Art.  82 Abs.  3 DS‑GVO ein Ausschluss der Haftung i.S.e. Alles-oder-Nichts-Regelung in Betracht kommt (siehe Kühling/Buchner/Bergt DS‑GVO Art. 82 Rn. 59 m.w.N. auch der Gegenansicht).

e) Der Kläger hat des Weiteren einen Anspruch auf Verzugszinsen aus der Schadenersatzforderung gem. §  286 Abs. 1, 288 Abs. 1 BGB. Durch die vorgerichtliche Zahlungsaufforderung vom 03.08.2023 (Anl. K 3) befand sich die Beklagte in Verzug, sodass Zinsen ab dem 01.09.2023 zu zahlen sind. […]

Zur Vertiefung

[Urteil] Kontrollverlust als immaterieller Schaden = RDV 3/2025

[Urteil] Schadenersatzanspruch allein aufgrund des Kontrollverlustes über die eigenen Daten = RDV 1/2025