Aus den Entscheidungsgründen: Es besteht bereits kein Verfügungsanspruch. Auf Grundlage der im einstweiligen Verfügungsverfahren gebotenen (OLG Köln, Beschluss vom 5. Juli 2024 – I-5 W 33/24 –, juris, Rn. 29; OLG Hamm, Beschluss vom 11. Dezember 2024 – I-30 U 40/24 –, juris, Rn. 95; OLG Koblenz, Urteil vom 12. September 2007 – 1 U 223/07 –, juris, Rn. 14) summarischen Prüfung vermag der Senat keinen Unterlassungsanspruch aus § 2 UKlaG im Hinblick auf die – nach Klarstellung des Antrags durch den Verfügungskläger allein verfahrensgegenständlichen – First Party Data festzustellen.
a) Die Verfügungsbeklagte verstößt durch die Einbringung von Daten aus dem Social Media-Angebot Facebook und dem Social Media-Angebot Instagram in einen einheitlichen Datensatz zum Training ihrer KI nicht gegen ihre Pflichten aus Art. 5 Abs. 2 UAbs. 1 lit b) DMA, da sie diese Daten hierdurch nicht im Rechtssinne „zusammenführt“.
aa) Die Verfügungsbeklagte ist unstreitig ein „Torwächter“ im Sinne des Art. 5 Abs. 2 i.V.m. Art. 1 Ziffer 1 DMA. Sowohl bei dem Social Media-Angebot Facebook als auch bei dem Social Media-Angebot Instagram handelt es sich unstreitig um zentrale Plattformdienste der Verfügungsbeklagten.
bb) Nach Art. 5 Abs. 2 UAbs. 1 lit b) DMA darf ein Torwächter personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Torwächter bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenführen. Damit wird ein Verbot jeglicher Zusammenführung statuiert (Podszun, in: Podszun, DMA, 2023, § 5 Rn. 17; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 23).
Der Begriff der „Zusammenführung“ ist im DMA (und auch in der DSGVO) nicht legal definiert (vgl. Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Der Senat, der im Eilverfahren weder die Möglichkeit der Einholung einer Stellungnahme der Kommission (Art. 39 Abs. 1 DMA) noch der Vorlage an den Europäischen Gerichtshof hatte, geht davon aus, dass die von der Verfügungsbeklagten angekündigte Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei zentralen Plattformdiensten in einen unstrukturierten Trainingsdatensatz für eine KI keine Zusammenführung im Sinne des Art. 5 Abs. 2 UAbs. 1 lit b) DMA ist. Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst. Auf Art. 5 Abs. 2 UAbs. 1 lit c) DMA hat sich der Verfügungskläger nicht berufen.
Der Senat verkennt nicht, dass im deutschen Schrifttum teilweise vertreten wird (Hacker, GRUR 2022, 1278, 1279; Wielsch, in: Mast u.a., DSA, DMA, 2024, Art. 5 Abs. 2 DMA Rn. 60), dass die die Verbindung von Datensätzen aus Plattformdiensten zum verbesserten Training von KI eine „Zusammenführung“ im genannten Sinne darstellen soll. Hierfür spricht, dass der spezifische Nutzen der besonderen Möglichkeit, Daten zu aggregieren und damit „Verbundvorteile“ (Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 94; zu Verbundvorteilen bei der KI-Anwendungen, vgl. KönigBorges/Keil, Rechtshandbuch Big Data, 2024, Rn. 9) zu erzielen, bei einer solchen Datennutzung thematisiert ist. Die Ausnutzung solcher Vorteile soll von Art. 5 Abs. 2 DMA verhindert werden (vgl. Erwägungsgrund 36 zum DMA).
Dennoch sprechen aus Sicht des Senats überwiegende Gründe gegen die Annahme, dass eine bloße Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei Plattformdiensten in einen KI-Trainingsdatensatz bereits als Zusammenführung im Rechtssinne gewertet werden kann. Die bloße Einschlägigkeit des Schutzzwecks bedeutet noch nicht, dass der Fall von der Norm auch erfasst wird. Insbesondere enthält Art. 5 DMA gerade keine Generalklausel, sondern eine „erschöpfende Enumeration“ (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 13) von Tatbeständen, um die Durchsetzung der Regelungen zu erleichtern und die Rechtssicherheit zu erhöhen (aaO, Rn. 13). Insoweit kommt es darauf an, ob gerade der hier zu entscheidende Fall durch Art. 5 Abs. 2 UAbs. 1 lit b) DMA normiert ist.
Erforderlich ist insoweit eine gezielte Verbindung von Daten gerade derselben Person (so auch: Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Unbehelflich mag insoweit noch ein Abgleich mit der englischen Sprachfassung des Art. 5 Abs. 2 UAbs. 1 lit b) DMA sein. Soweit dort von „combining“ die Rede ist, kann hierunter sowohl ein bloßes Zusammenfassen von personenbezogenen Daten aus zwei zentralen Plattformdiensten in einem Datensatz als auch eine gezielte „Kombination“ gerade von Daten ein- und derselben Person gefasst werden. Auch der insoweit maßgebliche Erwägungsgrund 36 der DMA gibt keine Hinweise. Insbesondere ist dem Erwägungsgrund ein spezifischer Zweck, die Verbindung von Daten im Rahmen des Trainings von KI-Systemen einzuschränken, nicht zu entnehmen. Es ist, worauf die Verfügungsbeklagte in der mündlichen Verhandlung mit Recht hingewiesen hat, nicht ersichtlich, dass dem Gesetzgeber bei Schaffung des Art. 5 Abs. 2 DMA die spezifischen Fragen im Zusammenhang mit Datenverarbeitungen zum Zwecke der Entwicklung und Verbesserung von Systemen künstlicher Intelligenz vor Augen gestanden haben. Mit der vom Senat vertretenen Auslegung der Vorschrift steht es ferner in Einklang, dass in einer Entscheidung der Kommission vom 23. April 2025 (C(2025) 2091) ausdrücklich darauf verwiesen wird, dass das Zusammenführen Daten derselben Person betrifft. Dort heißt es:
Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.
Wenngleich sich aus dieser Entscheidung, die dem Senat durch die Verfügungsbeklagte aufgrund einer vor Veröffentlichung durch die Kommission bestehenden Vertraulichkeit nicht vollständig vorgelegt werden konnte, keine Hinweise – in die eine oder andere Richtung – ergeben, ob diese Begriffsbestimmung abschließend zu verstehen ist, sprechen für ein solches Verständnis im Sinne eines Schutzes vor der Erstellung von Nutzerprofilen die besseren Gründe. Aus der Gesetzeshistorie folgt, dass Art. 5 Abs. 2 UAbs. 1 lit a) und b) DMA insbesondere die in dem Facebook-Verfahren des Bundeskartellamtes (vgl. hierzu die erst nach Erlass der DMA ergangene Entscheidung des Europäischen Gerichtshofs vom 4. Juli 2023 (Az. C-252/21)) zugrundeliegende Konstellation einer plattformübergreifenden „Personalisierung mittels Datenzusammenführung“ zugrunde liegt (Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 59 und 80; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 17; Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 72). Dies spricht dafür, dass ein „Zusammenführen“ von Daten allein im Fall ihrer Verbindung im Rahmen von Nutzerprofilen, nicht aber bei ihrer – wie hier – nicht näher zugeordneten und sogar deidentifizierten Einbringung in ein einheitliches „Datensilo“ anzunehmen ist. Nur bei dem erstgenannten Verständnis erklärt sich auch die Möglichkeit der betroffenen Nutzer, in eine Zusammenführung einzuwilligen (vgl. auch Göhsl/Zimmer, in: Immenga/Mestmäcker, Wettbewerbsrecht, 2025, Art. 5 DMA Rn. 31). Nach Art. 5 Abs. 2 DMA ist die Zusammenführung der Daten rechtmäßig, wenn „dem Endnutzer“ die spezifische Wahl gegeben wurde und „er“ eingewilligt hat. Die Vorschrift geht also davon aus, dass ein Endnutzer in die Zusammenführung von Daten aus mehreren Quellen einwilligt und die Zusammenführung dann rechtmäßig ist. Auch daran zeigt sich, dass die Vorschrift auf den Fall der gezielten Verknüpfung von Daten ein und desselben Nutzers zugeschnitten ist.
b) Der Senat vermag ferner nicht festzustellen, dass die von der Verfügungsbeklagten beabsichtigte und von dem Verfügungskläger angegriffene Verarbeitung personenbezogener Daten nicht rechtmäßig (Art. 5 Abs. 1 lit a) DSGVO) wäre und damit Datenschutzrecht verletzen würde.
aa) Die datenschutzrechtlichen Anforderungen werden durch die – zwar in Kraft getretene, aber ohnehin noch nicht vollständig anwendbare (vgl. Art. 113 der Verordnung) – Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz; im Folgenden: KI-VO) nicht verdrängt. Nach deren Art. 2 Abs. 7 S. 2 berührt die KI-VO die DSGVO grundsätzlich nicht (vgl. im Einzelnen etwa Schwartmann/Keber/Köhler in: Schwartmann u.a., DSGVO, 2024, Anhang 3 Rn. 37 ff.; Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, 3. Kapitel Rn. 3; Golland, EuZW 2024, 846, 853).
Gleiches gilt für eine etwaige Verdrängung der DSGVO durch Art. 5 Abs. 2 DMA. Dieser verdrängt die Regelungen aus der DSGVO nicht, beide Regelungsmaterien gelten parallel (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925, Rn. 86; Podszun in: Podszun, DMA, Art. 5 Abs. 2 Rn. 31.).
bb) Die Verfügungsbeklagte beabsichtigt im Rahmen des Trainings der von ihr entwickelten KI Nutzerdaten und damit – was sie selbst auch nicht in Abrede stellt – personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO zu nutzen. Insoweit verarbeitet die Verfügungsbeklagte als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO personenbezogene Daten (mit gleichem Ergebnis für eine solche Konstellation auch: Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 4 EUV 2016/679, Rn. 54a; Golland, EuZW 2024, 846, 847; Hüger, ZfDR 2024, 263, 267; Dieker, ZD 2024, 132, 133; Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 10 ff.).
cc) Die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung ist bei summarischer Prüfung allerdings rechtmäßig, da sie sich, was entscheidend ist, da andere Rechtsgrundlagen nicht ersichtlich sind, auf den Rechtfertigungsgrund des Art. 6 Abs. 1 S. 1 lit f) DSGVO stützen kann.
aaa) Speziellere, Art. 6 Abs. 1 S. 1 lit f) DSGVO verdrängende Rechtsgrundlagen zum Training von KI mittels Nutzerdaten ergeben sich insbesondere nicht aus der KI-VO (vgl. insoweit Erwägungsgrund 63, S. 3 zur KI-VO; hierzu auch: Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 288; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a). Auch aus der DSGVO ergeben sich keine vorrangigen Rechtsgrundlagen. Soweit in der Literatur gelegentlich Art. 6 Abs. 4 DSGVO für Datenverarbeitungen im Bereich der KI-Trainings herangezogen wird (vgl. die – kritische – Darstellung - bei Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 307 und Schulz, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 6 Rn. 152), hat sich die Verfügungsbeklagte hierauf bereits nicht berufen. Art. 6 Abs. 4 DSGVO bietet richtigerweise zudem bereits keinen eigenen Erlaubnistatbestand (so wohl: EuGH, Urteil vom 21. Dezember 2023 - C-667/21 – juris, Rn. 75; aus der Literatur vgl. Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 239 mit Nachweisen zur Gegenauffassung; Heberlein, in: Ehmann/Selmayr, DSGVO, 2024, Art. 6 Rn. 69; Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK, Datenschutzrecht, 01.02.2025, Art. 6 Rn. 107 f.).
bbb) Bei einer summarischen Prüfung ist die streitgegenständliche Datenverarbeitung zur Wahrung der berechtigten Interessen der Verfügungsbeklagten erforderlich und überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, nicht.
Aus der Rechtsprechung des Europäischen Gerichtshofs (vgl. etwa EuGH, Urteil vom 4.- Juli 2023 – C-252/21 – Rn. 106) ergibt sich folgende Prüfungstrias: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.
Auf dieser Grundlage vermag der Senat auf Basis einer summarischen Prüfung nicht festzustellen, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung nicht zu rechtfertigen vermag.
ccc) Die Verfügungsbeklagte verfolgt mit dem Training einer von ihr entwickelten KI mit den von ihren Nutzern in deren Nutzerkonten veröffentlichen Daten ein berechtigtes Interesse.
(1.) Als berechtigte Interessen kommen neben rechtlichen und ideellen insbesondere auch wirtschaftliche Belange in Betracht (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 47; Hüger, ZfdR 2024, 263, 272). In seiner Stellungnahme vom 17. Dezember 2024 hat der Ausschuss Art. 6 Abs. 1 S. 1 lit f) DSGVO auf dieser Basis als taugliche Grundlage angesehen, KI-Modell mit Datensätzen, die personenbezogene Daten enthalten, zu trainieren und hat das entsprechende Interesse damit als berechtigt angesehen. Diese Auffassung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in der mündlichen Verhandlung am 22. Mai 2025 geteilt (entsprechend der ganz h.M. so etwa auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 21: „regelmäßig anzunehmen“; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a; Keber, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, Kapitel 3 Rn. 28; Golland, EuZW 2024, 846, 849; Dieker, ZD 2024, 132, 134).
(2.) Erforderlich ist weiter, dass das Interesse hinreichend klar und präzise formuliert und real und gegenwärtig und nicht bloß spekulativ ist (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 49).
Diese Voraussetzungen sind auf Basis einer summarischen Prüfung erfüllt.
Die Verfügungsbeklagte hat beschrieben, die Möglichkeiten generativer KI nutzen zu wollen, um einen Gesprächsassistenten bereitzustellen, der etwa Antworten in Echtzeit für Chats, Hilfe bei der Organisation und Planung etwa eines Urlaubs bis hin zu Hilfen bei der Formulierung von Texten bietet. Hierzu soll die KI an regionale Gepflogenheiten angepasst werden. Zudem sollen Inhalte wie etwa Texte, Bilder und Audios erstellt werden können. Da die Verfügungsbeklagte mit dem entsprechenden Training zeitlich unmittelbar beginnen möchte, ist das entsprechend konkret beschriebene Interesse auch gegenwärtig und nicht bloß spekulativ.
(3.) Damit die Wahrnehmung dieses Interesses eine Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtfertigen kann, ist ferner ist erforderlich, dass die Verfügungsbeklagte allen anderen, ihr obliegenden Pflichten aus der DSGVO nachkommt (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 50).
Auf solche weiteren datenschutzrechtlichen Anforderungen, die im Rahmen des Trainings von KI-Modellen zu beachten sind (etwa: Grundsatz der Datenrichtigkeit, Art. 5 Abs. 1 lit d) DSGVO; Grundsatz der Zweckbindung, Art. 5 Abs. 1 lit b) DSGVO; Transparenzgrundsatz, Art. 5 Abs. 1 lit a) Var. 3 DSGVO und Art. 12 ff. DSGVO; vgl. Paal, ZfDR 2024, 129, 141 ff.), beziehen sich die Angriffe des Verfügungsklägers nicht im Schwerpunkt. Oftmals erscheint eine Beachtung auch noch im Rahmen des Betriebs der KI möglich. Unabhängig von einer Anwendbarkeit des Art. 14 Abs. 5 lit b) DSGVO ist den Transparenzerfordernissen (Art. 12 ff. DSGVO) durch die von der Verfügungsbeklagten umfangreich zur Verfügung gestellten Informationen (Anlage AG 8, 22 bis 29) Rechnung getragen. Ferner kommt es nicht darauf an, ob die Verfügungsbeklagte gegen eine – in Art. 83 Abs. 4 lit a) DSGVO allerdings bußgeldbewehrte – Pflicht zur Einholung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verstoßen hat. Diese ist – wie sich aus ihrer Stellung in Kapitel IV der DSGVO ergibt, dessen Anforderungen der Europäische Gerichthof nicht als Rechtmäßigkeitsvoraussetzungen der Datenschutzverordnung erachtet (EuGH, Urteil vom 4. Mai 2023 – C-60/22 -, juris, Rn. 62; Hansen, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 01.02.2024, Art. 35 Rn. 76a) – keine Rechtmäßigkeitsvoraussetzung der Datenverarbeitung (BSG, Urteil vom 20. Januar 2021 – B 1 KR 7/20 R –, juris, Rn. 84 mwN.; Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2025, Art. 35 Rn. 104; Nolte/Werkmeister, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 35 Rn. 74).
ddd) Die entsprechende Datenverarbeitung erweist sich bei einer summarischen Prüfung auch – unter gemeinsamer Prüfung mit dem Grundsatz der Datenminimierung nach Art. 5 Absatz 1 lit c) DSGVO (vgl. hierzu EuGH Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 109; EuGH, Urt. v. 9.1.2025 - Rs. C-394/23, Rn. 48f.) – als erforderlich.
Mit dieser Ansicht steht der Senat im Wesentlichen im Einklang mit der in der mündlichen Verhandlung am 22. Mai 2025 geschilderten Auffassung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, der eine Erforderlichkeit im Grundsatz anerkannte und lediglich Zweifel hinsichtlich der Verwendung besonders eingriffsintensiver Daten äußerte (etwa Nummernschilder von Fahrzeugen, Kreditkartennummern).
Eine Datenverarbeitung ist erforderlich, wenn sie zur Erreichung des Interesses des Verarbeiters geeignet ist und es keine weniger in die Privatsphäre eingreifende Möglichkeit gibt, den entsprechenden Zweck zu erreichen (EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 108).
Hierfür ist – worauf der Verfügungskläger mit Recht hinweist – die Verfügungsbeklagte beweisbelastet (EuGH, Urteil vom 11. Juli 2024 - C-757/22 -, Rn. 52; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23 -, juris, Rn. 182 ff). Die entsprechenden Verfahrensvorschriften ergeben sich mangels konkreter Regelungen im europäischen Recht aus dem nationalen Recht. § 5 UKlaG verweist insoweit auf die Zivilprozessordnung. Für die im Verfahren des einstweiligen Rechtsschutzes erforderliche Glaubhaftmachung besteht insoweit eine Abweichung vom Regelbeweismaß der vollen Überzeugung von der Wahrheit einer Tatsache. Es genügt, wenn ihr Vorliegen überwiegend wahrscheinlich ist, d.h., dass etwas mehr für das Vorliegen der Tatsache spricht als gegen sie (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 19; Kessen, aaO., § 935 Rn. 9). Ob das Beweismaß erreicht ist, beurteilt das Gericht in freier Würdigung (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 21; Kessen, aaO., § 935 Rn. 9).
Nach diesen Maßstäben hat der Senat keine Zweifel, dass das Training der von der Verfügungsbeklagten entwickelten KI mit den Nutzerdaten geeignet ist, die aufgezeigten, mit ihm verfolgten Zwecke zu erreichen, d.h. eine generative KI optimiert an regionale Gepflogenheiten anzubieten und in die Dienste der Verfügungsbeklagten zu implementieren.
Im Hinblick auf weniger in die Privatsphäre eingreifende – aber gleich geeignete – Möglichkeiten der Zielerreichung hat zwar der Verfügungskläger entsprechend der Stellungnahme vom 17. Dezember 2024 des Ausschusses (Rn. 75; ähnlich auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 22) auf die Möglichkeit des Trainings mittels anonymisierter oder sog. synthetischer Daten hingewiesen. Zudem hat der Verfügungskläger vorgetragen, die Verfügungsbeklagte könne das Training der KI auf sog. Flywheel-Daten beschränken. Ferner hat er vorgetragen, die Erforderlichkeit müsse hinsichtlich jedes einzelnen Datenpunktes gegeben sein. Angesichts der Vielzahl der für das Training der KI erhobenen Daten sei nicht dargetan, dass jeder einzelne Datenpunkt erforderlich sei.
Dennoch erscheint dem Senat der mittels eidesstattlicher Verfügung glaubhaft gemachte Vortrag der Verfügungsbeklagten, dass es
„keine andere sinnvolle Alternative für Meta [gibt], um seine Interessen ebenso wirksam mit anderen, milderen Mittel zu verfolgen und zu erreichen. Meta hat zur Zielerreichung verfügbare Alternativen geprüft [im übersetzten Original: „considered available alternative ways], die eine weniger intensive Nutzung personenbezogener Daten ermöglichen würden“
als überwiegend wahrscheinlich. Die Notwendigkeit des Trainings großer generativer KI-Modelle mit „riesigen Mengen an Text, Bildern, Videos und anderen Daten“ ist im Erwägungsgrund 105 der KI-VO ausdrücklich anerkannt (vgl. zu dem erforderlichen Einsatz von Massendaten aus dem juristischen Schrifttum etwa Paal, ZfDR 2024, 129, 141). Der Vortrag der Verfügungsbeklagten wird im Hinblick auf eine fehlende Möglichkeit zur Anonymisierung durch Stellungnahmen im juristischen Schrifttum bestätigt, die eine solche für unpraktikabel halten (vgl. Paal, ZfDR 2024, 129, 136; Dieker, ZD 2024, 132, 134; Schürmann ZD 2022, 316, 317). Im Hinblick auf den bloßen Einsatz von sog. Flywheel-Daten ist es kaum plausibel, dass die so zu erzielende, deutlich geringere Menge an Daten im Vergleich zu dem vorhandenen Datenbestand aus aktiven Nutzerkonten zu vergleichbaren Ergebnissen beim Training der KI führt. Das insoweit ein „minderwertiges Produkt“ entstehen würde, hat die Verfügungsbeklagte mit eidesstattlicher Versicherung des Direktors GenAI Produkt Management bei Meta Platforms Inc, U. R., vom 18. Mai 2025 (Anlage AG 42) ebenso glaubhaft gemacht, wie die fehlende Gleichwertigkeit des Rückgriffs auf synthetische Daten (eidesstattliche Versicherung vom 21. Mai 2025, Anlage AG 45). Dem ist der Verfügungskläger nicht substantiiert entgegengetreten. Eine Pflicht, die Erforderlichkeit bezüglich jedes Datenpunktes zu belegen, trifft die Verfügungsbeklagte nicht. Das Training einer KI erfordert die Verwendung von Massen von Daten zur Generierung von Mustern und Wahrscheinlichkeitsparametern (Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil Kapitel 3 Rn. 9). Insoweit kommt dem einzelnen Datum im Zweifel kaum je ein messbarer Einfluss zu (vgl. insoweit Paal, ZfDR 2024, 129, 141: „Prüfung der Erforderlichkeit für jedes einzelne Datum weder zielführend noch praktikabel“). Der Senat geht – wie dargelegt – in Übereinstimmung mit dem Ausschuss und der ganz h.M. davon aus, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO ein tauglicher Rechtfertigungsgrund für Datenverarbeitung zum Training von KI sein kann. Unmöglich zu erfüllende Anforderungen würden diese Annahme konterkarieren und dürfen nicht aufgestellt werden. Zwar werden in der Literatur teilweise Möglichkeiten diskutiert, die die Diskrepanz zwischen dem „Datenhunger“ des KI-Trainings und dem Grundsatz der Datenminimierung auflösen (vgl. insoweit Paal, ZfDR 2024, 129, 141 mwN). Im Rahmen der im Eilrechtsschutz zur Verfügung stehenden Erkenntnismöglichkeiten sieht der Senat aber keine hinreichend verlässlichen Alternativen. Soweit erwogen werden kann, den Grundsatz der Erforderlichkeit auf die Art der verarbeiteten Daten zu beziehen, also die Verarbeitung personenbezogener Daten möglichst zu meiden (vgl. Hüger, ZfDR 2024, 263, 273), hat die Verfügungsbeklagte glaubhaft gemacht, auf Methoden der Deidentifizierung der in den Trainingsdatensatz eingestellten Daten zurückzugreifen. Damit wird auch den geschilderten Bedenken des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Rechnung getragen. Soweit in der Literatur die häufig durchgeführte Form der Datensammlung durch Web-Scraping und Crawling als die „effektivste“ Form (Dieker, ZD 2024, 132,134) der Datensammlung angesehen wird, kommt es hierauf nicht an: Diese wäre mit deutlich erheblicheren Eingriffen in die Rechte der Betroffenen verbunden, da die von der Verfügungsbeklagten implementierten Abschwächungsmaßnahmen insoweit nicht greifen würden. Zudem beabsichtigt die Verfügungsbeklagte gerade ein Training mit „regionalen“ Daten, sodass diese Art der Datengewinnung nicht gleich geeignet wäre.
Das OLG Köln hat im Rahmen eines einstweiligen Verfügungsverfahrens entschieden, dass Meta Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden darf. Das Gericht sah insbesondere keinenn Verstoß gegen die Vorgaben der DSGVO und des DMA.
Die Pressemitteilung des Gerichts: Meta darf Daten aus öffentlich gestellten Nutzerprofilen für KI-Training verwenden
Der 15. Zivilsenat des Oberlandesgerichts Köln hat heute (23.05.2025) in einem Eilverfahren einen Antrag der Verbraucherzentrale NRW e.V. gegen den Mutterkonzern von "Facebook" und "Instagram" abgelehnt, mit dem eine Verarbeitung öffentlich gestellter Nutzerdaten ab der kommenden Woche verhindert werden sollte.
Im April 2025 kündigte die Meta Platforms Ireland Limited (nachfolgend: Meta) öffentlich an, ab dem 27.05.2025 personenbezogene Daten aus öffentlichen Profilen ihrer Nutzer zum Training von Künstlicher Intelligenz zu verwenden. Meta betreibt unter anderem die Dienste "Facebook" und "Instagram". Die Verbraucherzentrale Nordrhein-Westfalen e.V. ist ein qualifizierter Verbraucherverband. Sie geht mit ihrem Antrag vom 12.05.2025 auf Grundlage des Unterlassungsklagengesetzes (UKlaG) gegen Meta vor. Betroffen sind Daten von Verbrauchern und von Dritten in öffentlich gestellten Profilen, soweit die Nutzer keinen Widerspruch eingelegt haben.
Nach vorläufiger und summarischer Prüfung im Rahmen des am 12.05.2025 eingeleiteten Eilverfahrens liegt weder ein Verstoß von Meta gegen Vorschriften der Datenschutz-Grundverordnung (DSGVO) noch gegen den Digital Markets Act (DMA) vor. Diese Einschätzung stimmt mit der aufsichtsrechtlichen Bewertung durch die für Meta zuständige irische Datenschutzbehörde überein. Diese führt wegen des Sachverhalts keine aufsichtsrechtlichen Maßnahmen durch und hat angekündigt, die Handlungen zu begleiten. Hinsichtlich der Daten, die von Nutzern nach Mitte des Jahres 2024 öffentlich gestellt wurden, sieht auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit die Verarbeitung als rechtlich möglich an. Er wurde in der mündlichen Verhandlung am 22.05.2025 angehört.
Die angekündigte Verwendung der Daten für KI-Trainingszwecke stellt sich bei vorläufiger Betrachtung auch ohne Einwilligung der Betroffenen als rechtmäßig im Sinne des Art. 6 Abs. 1 Buchstabe f) DSGVO dar. Meta verfolgt mit der Verwendung zum Training von Systemen Künstlicher Intelligenz einen legitimen Zweck. Dieser Zweck kann nicht durch gleich wirksame andere Mittel, die weniger einschneidend wären, erreicht werden. Unzweifelhaft werden für das Training große Datenmengen benötigt, die nicht zuverlässig vollständig anonymisiert werden können. Im Rahmen der Abwägung der Rechte von Nutzern und Meta als Betreiberin überwiegen die Interessen an der Datenverarbeitung. Diese heutige Bewertung beruht unter anderem auf einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) aus Dezember 2024, welcher die Beklagte durch verschiedene Maßnahmen Rechnung getragen hat. Es sollen ausschließlich öffentlich gestellte Daten verarbeitet werden, die auch von Suchmaschinen gefunden werden. Der Umstand, dass große Mengen von Daten, auch von Dritten einschließlich Minderjährigen und auch sensible Daten im Sinne des Art. 9 DSGVO, betroffen sind, überwiegt bei der Abwägung nicht. Meta hat insoweit wirkungsvolle Maßnahmen ergriffen, welche den Eingriff wesentlich abmildern. Die geplante Verarbeitung wurde bereits im Jahre 2024 angekündigt. Die Nutzer wurden über die Apps und - soweit möglich - auf anderem Wege informiert. Sie haben die Möglichkeit, die Datenverarbeitung durch Umstellung ihrer Daten auf "nicht-öffentlich" oder durch einen Widerspruch zu verhindern. Die verwendeten Daten enthalten keine eindeutigen Identifikatoren wie Name, E-Mail-Adresse oder Postanschrift einzelner Nutzer.
Nach Ansicht des Senats liegt bei vorläufiger und summarischer Prüfung im Rahmen des vorliegenden Eilverfahrens auch kein Verstoß gegen Art. 5 Abs. 2 DMA vor. Es fehlt bei vorläufiger rechtlicher Würdigung an einer "Zusammenführung" von Daten, weil Meta im Rahmen der beabsichtigten Vorgehensweise keine Daten aus Nutzerprofilen bei verschiedenen Diensten oder aus anderen Quellen im Hinblick auf einen einzelnen konkreten Nutzer kombiniert. Insoweit fehlt es an einschlägiger Rechtsprechung. Dem Senat war im Eilverfahren auch keine in der Rechtsgrundlage vorgesehene Kooperation mit der Europäischen Kommission möglich.
Das heutige Urteil ist in einem Eilverfahren infolge einer summarischen Prüfung ergangen. Es gelten hier abweichende rechtliche Anforderungen, insbesondere an die Beurteilung von streitigem Tatsachenvortrag. Die Parteien können ihre Rechte in einem gesonderten Hauptsacheverfahren wahrnehmen.
Das heute verkündete Urteil ist rechtskräftig. Die Revision zum Bundesgerichtshof findet nicht gegen Entscheidungen eines Oberlandesgerichts im einstweiligen Rechtschutz statt (§ 542 Abs. 2 Satz 1 ZPO). Für Verfahren nach dem Unterlassungsklagengesetz sind die Oberlandesgerichte in erster Instanz zuständig. Die örtliche Zuständigkeit des Oberlandesgerichts Köln folgt aus dem behaupteten Ort des drohenden Verstoßes gegen Verbraucherschutzgesetze (vergleiche § 6 Abs. 1 Satz 2 Nr. 2 UKlG).
Aus den Entscheidungsgründen: 2. Jedoch geht aus dem nunmehr in der Berufung noch verfolgten Klagebegehren der Verbotsgegenstand nicht hinreichend bestimmt hervor, § 253 Abs. 2 Nummer 2 ZPO
a) Grundsätzlich darf ein Verbotsantrag nicht derart undeutlich gefasst sein, dass Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und letztlich die Entscheidung darüber, was dem Beklagten verboten ist, dem Vollstreckungsgericht überlassen bleibt (statt vieler BGH GRUR 2003, 958 – Paperboy; BGH GRUR 2005, 604, 605 – Fördermittelberatung; GRUR 2007, 607 Rdnr. 16 – Telefonwerbung für „Individualverträge”).
b) Diesen Anforderungen genügt das vom Kläger in der Berufung verfolgte Verbot nicht.
aa) Zwar ist der im Verbotsantrag verwendete Begriff der Positivdaten hinreichend definiert mit „also personenbezogene Daten, die keine negativen Zahlungserfahrungen oder sonstiges, nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern Informationen über die Beantragung, Durchführung und Beendigung eines Vertrages darstellen“.
bb) Der Antrag ist aber im übrigen unbestimmt.
Verbotsziel des Klägers ist vorliegend keine konkrete Verletzungshandlung. Das in den Antrag einbezogene Datenschutzmerkblatt gemäß Anlage K 3 stellt keine konkrete Verletzungshandlung dar. Mit ihm erfüllt die Beklagte lediglich ihre Pflicht gemäß Art. 13, Art. 14 DS-GVO.
Der begehrte Antrag benennt auch nicht das Charakteristische der Verletzungshandlung, insbesondere nicht die tatsächliche Handhabung der Datenweitergabe durch die Beklagte. Zudem ist dem Klägervortrag nicht zu entnehmen, dass er – eventuell hilfsweise – diese tatsächliche Handhabung der Datenweitergabe und insbesondere die tatsächlich von der Beklagten hierfür angewandten Kriterien angreift. Vielmehr hebt der Kläger ausdrücklich hervor, dass er die Unterlassung der Übermittlung von Positivdaten an Auskunfteien begehrt, wenn dies nicht ausnahmsweise datenschutzrechtlich legitimiert ist. Damit verlagert er aber die Entscheidung darüber, was der Beklagten verboten ist, ins Vollstreckungsverfahren.
Letztlich begehrt er damit ein gesetzeswiederholendes Verbot, wie lit. a) seines Unterlassungsantrags mit der Formulierung „auf Basis eines berechtigten Interesses (also ohne Einwilligung oder zur Vertragserfüllung)“ zeigt. Denn dies gibt lediglich den Wortlaut des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO wieder. Derartige gesetzeswiederholende Verbote sind grundsätzlich kritisch zu bewerten. Ein Fall, in dem dies ausnahmsweise zulässig wäre (vgl. Köhler/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.40 ff. zu § 12), liegt nicht vor.
Daran ändern auch die in der Berufungsinstanz in den Verbotsantrag eingefügten weiteren Kriterien nichts. So ist unklar, was unter der Datenweitergabe „alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen)“ in lit. b) des Antrags oder unter „alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen)“ in lit. c des Antrags zu verstehen ist. Der Beklagten wird nicht vor Augen geführt, was ihr verboten werden soll.
II. Die Klage ist hinsichtlich Tenor I. des Ersturteils in der Gestalt, in der der Kläger den Ausspruch verteidigt, zudem unbegründet, so dass es – ungeachtet des bereits in der mündlichen Verhandlung erteilten Hinweises zur Unschlüssigkeit des zunächst gestellten Antrags und der seitens der Beklagten geäußerten Bestimmtheitsbedenken in Bezug auf den zuletzt gestellten Antrag – keines weiteren Hinweises des Senats bedurfte.
1. Es fehlt an der Begehungsgefahr als materielle Voraussetzung für den Unterlassungsanspruch (BGH GRUR 1973, 208, 209 – Neues aus der Medizin; GRUR 1980, 241, 242 – Rechtsschutzbedürfnis; GRUR 1983, 127, 128 – Vertragsstrafeversprechen; GRUR 1992, 318, 319 – Jubiläumsverkauf).
a) Begehungsgefahr liegt vor, wenn entweder die Gefahr eines erstmaligen Wettbewerbsverstoßes drohend bevorsteht (Erstbegehungsgefahr) oder der Anspruchsgegner sich bereits wettbewerbswidrig verhalten hat und Wiederholungsgefahr besteht. Wiederholungsgefahr wird aufgrund einer bereits erfolgten Verletzungshandlung vermutet wird (Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.11 f. zu § 8).
Dabei erstreckt sich die durch eine Verletzungshandlung begründete Wiederholungsgefahr grundsätzlich auch auf alle im Kern gleichartigen Verletzungshandlungen (BGH GRUR 1989, 445, 446 – Professorenbezeichnung in der Ärztewerbung II; GRUR 1991, 672, 674 – Anzeigenrubrik I; GRUR 1993, 579, 581 – R3. GmbH; GRUR 1996, 199 – Wegfall der Wiederholungsgefahr I; GRUR 1996, 800, 802 – EDV-Geräte; GRUR 1997, 379, 380 – Wegfall der Wiederholungsgefahr II; GRUR 1999, 509, 511 – Vorratslücken; GRUR 2000, 337, 338 – Preisknaller; GRUR 2000, 907, 909 – Filialleiterfehler; GRUR 2008, 702 Rn. 55 – Internet-Versteigerung III; Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.46 zu § 8). Im Kern gleichartig ist ein Verhalten aber nur, wenn es – ohne identisch zu sein – von der Verletzungshandlung nur unbedeutend abweicht (Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.47 zu § 8). Entscheidend ist, dass sich das Charakteristische der Verletzungshandlung wiederfindet.
b) Mit Blick auf diese Grundsätze fehlt es an der Begehungsgefahr für die angegriffene Verhaltensweise. Denn das vom Kläger begehrte Verbot richtet sich gemäß seiner in der Berufungsinstanz aufgenommenen lit. b) und c) gegen die Datenweitergabe soweit dies alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen) und ohne Risikoabwägung im Einzelfall erfolgt.
Davon, dass die Beklagte in diesem Sinne keine Risikoabwägung vornimmt, ist nicht auszugehen. Denn tatsächlich gibt die Beklagte Positivdaten nach ihrem Vortrag nur in Bezug auf Dauerschuldverhältnisse mit einer Laufzeit von mindestens 12 Monaten und einer kumulierten Grundgebühr von mehr als 100,- Euro weiter, und nur dann, wenn die betroffene Person selbst Vertragspartner war und ein kreditorisches Risiko bei der der Beklagten besteht. Ein solches Risiko nimmt die Beklagte an bei einer Hardwarefinanzierung oder bei der Nutzung von volumen- oder verbrauchsabhängigen entgeltpflichtigen Mehrwertdiensten, also bei Vorleistung durch die Beklagte. Die Beklagte bietet neben solchen Postpaid-Verträgen, mit denen kreditorische Risiken einhergehen, aber auch Prepaid-Verträge an, bei denen sie keine Vertragsdaten weitergibt. Zudem biete sie Verträge ohne vorfinanzierte Hardware oder ohne sonstige Vorleistung an und gibt diesbezüglich ebenfalls keine Vertragsdaten weiter.
Der diesbezügliche Beklagtenvortrag wurde im Ersturteil als streitig behandelt (LGU, Seite 18/ 19), was hier gemäß § 314 ZPO zugrunde zu legen ist. Er wird vom Kläger aber jedenfalls in der hiesigen Berufungsinstanz nicht mehr in Frage gestellt, so dass § 138 Abs. 3 ZPO greift. Der Kläger hebt nämlich nur hervor, dass diese Kriterien derart niedrigschwellig seien, dass sie von nahezu allen Mobilfunkverträgen erfüllt würden (Berufungserwiderung, Seite 4, Bl. 56 d. Akte des OLG). Einen konkreten Fall, in dem die Beklagte zudem tatsächlich verbotswidrig gehandelt hat, benennt der Kläger ebenfalls nicht.
2. Der in der Berufungsinstanz verfolgte Unterlassungsanspruch ist zudem zu weit gefasst.
Er umfasst auch rechtlich zulässiges Verhalten der Beklagten, insbesondere Verhalten, das unter den Erlaubnistatbestand des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO fällt. Denn das begehrte Verbot greift auch dann, wenn die Beklagte insbesondere die unter lit. b) des Antrags genannten allgemeinen Kriterien der Datenweitergabe derart ausgestaltet, dass die Voraussetzungen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO erfüllt sind, weil ein berechtigtes Interesse der Beklagten zur Betrugsprävention, die in Erwägungsgrund 46 der DSVGO ausdrücklich erwähnt ist, nicht verneint werden kann und sich die Verarbeitung im unbedingt erforderlichen Umfang hält.
Spräche man ein solch allgemeines Verbot der Einmeldung von Positivdaten an Auskunfteien aus, führte dies dazu, dass eine Übermittlung selbst bei datenschutzkonformer Ausgestaltung dieses Prozesses (also unter Darlegung, in welchen Szenarien und unter Vorschaltung interner Prüfprozesse etc. eine Übermittlung erfolgt) untersagt wäre, was mit dem zitierten Erwägungsgrund der DS-GVO nicht übereinstimmen würde. Nicht entscheidend ist, ob das Gericht ein solches zulässiges Szenario benennen kann. Es geht vielmehr darum, der Beklagten einen ihr nach der DS-GVO eingeräumten Spielraum beim Umgang mit Positivdaten zu belassen, den sie in den bestehenden Grenzen gestalten kann (so auch OLG Köln GRUR-RS 2023, 34611).
Diesem zu weit gefassten Antrag kann auch nicht im Wege der Auslegung als minus entnommen werden, dass jedenfalls ein konkretes Verhalten verboten werden soll (BGH GRUR 2004, 605, 607 – Dauertiefpreise; GRUR 2008, 702 Rn. 32 – Internetversteigerung III; GRUR 2011, 444 Rn. 13 – Flughafen FrankfurtHahn; GRUR 2011, 82 Rn. 37 – Preiswerbung ohne Umsatzsteuer).
Voraussetzung hierfür wäre nämlich, dass ohne weiteres feststellbar ist, welche konkrete Verletzungsform auf jeden Fall erfasst sein soll. Das ist hier nicht der Fall. Insbesondere stellt weder das in den Antrag einbezogene Datenschutzmerkblatt gemäß Anlage K 3 eine konkrete Verletzungsform dar noch grenzen die übrigen in der Berufung aufgenommenen Einschränkungen gemäß seiner weiteren lit. a) und lit. b) den Antrag derart ein, dass nur unzulässiges Verhalten unter den Antrag fällt. Denn danach soll die Datenübermittlung untersagt werden, soweit sie auf Basis eines berechtigten Interesses (also ohne Einwilligung oder zur Vertragserfüllung) und ohne Risikoabwägung im Einzelfall erfolgt. Damit sind weiterhin auch Fälle erfasst, in denen die Beklagte die genannten allgemeinen Kriterien gemäß lit. c) des Antrags derart ausgestaltet, dass die Voraussetzungen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO erfüllt sind.
Zudem gilt, dass eine Abspaltung als „minus“ ausscheidet, wenn der Kläger ausdrücklich an seinem Antrag festhält und eine Einschränkung ablehnt. Denn es ist nicht Sache des Gerichts, einen zu weit gefassten Antrag so umzuformulieren, dass er Erfolg hat oder haben könnte (BGH GRUR 1998, 489, 492 – Unbestimmter Unterlassungsantrag III; GRUR 2002, 187, 188 – Lieferstörung). Hier macht der Kläger durch die erfolgte Umstellung nach Hinweis auf die Unschlüssigkeit seines zunächst gestellten Antrags deutlich, dass er sich pauschal dagegen wendet, Daten über den Vertragsabschluss und die Vertragsbeendigung bei Mobilfunkverträgen an die Schufa zu übermitteln. Er begehrt also ein generelles Verbot und hat sich in Bezug auf die Reichweite des Verbots nie auf die tatsächliche Handhabung der Datenübermittlung durch die Beklagte bezogen.
LG Berlin II
Urteile vom 04.04.2025 39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24
Das LG Berlin II hat in mehreren Fällen Facebook / Meta zur Auskunftserteilung, Löschung und Zahlung von Schadensersatz an die jeweiligen Betroffenen wegen datenschutzwidriger Erhebung und Verarbeitung personenbezogener Daten über die Meta Buisness Tools verurteilt.
Die Pressemitteilung des Gerichts: Landgericht Berlin II verpflichtet Meta in sechs Fällen unter anderem zur Auskunft, Löschung von Daten und Schadensersatz
Das Landgericht Berlin II hat in sechs Urteilen vom 4. April 2025 den Klagen mehrerer Personen gegen Meta unter anderem auf Auskunft über und Anonymisierung bzw. Löschung ihrer über die Meta Business Tools erhobenen personenbezogenen Daten stattgegeben und ihnen zudem eine Schadensersatzzahlung in Höhe von jeweils 2.000 € zugesprochen.
Die Kläger*innen machen jeweils geltend, dass die Beklagte alle digitalen Bewegungen auf Webseiten und mobilen Apps sämtlicher Nutzer*innen von Facebook und Instagram auslese und aufzeichne, wenn die Dritt-Webseiten und Apps die Meta Business Tools installiert haben. Die Meta Business Tools erlauben die so gesammelten Daten mit einem einmal angelegten Nutzerkonto zu verbinden und so ein Profil über Personen anzulegen, das etwa ihre politische und religiöse Einstellung, ihre sexuelle Orientierung oder etwa Erkrankungen erfassen kann. So könnten z. B. Informationen über Bestellungen bei Apotheken, Angaben zu problematischem Suchtverhalten oder bei dem Wahl-O-Mat ausgelesen werden. Es sei unklar, mit wem die Beklagte die so erstellten Profile teile.
Der Einsatz der Meta Business Tools auf Webseiten und Apps ist dabei nur eingeschränkt erkennbar. Schätzungen gehen davon aus, dass diese bei mindestens 30 bis 40 Prozent der Webseiten weltweit und auf der überwiegenden Mehrzahl der meistbesuchten 100 Webseiten in Deutschland zum Einsatz kommen. Dies erfolge nicht nur ohne, sondern auch gegen den ausdrücklichen Willen der Nutzer*innen.
Die Beklagte wendet dagegen ein, die Drittunternehmen seien für die Installation und Nutzung der Business Tools und somit für die Offenlegung der Daten verantwortlich. Sie selbst nehme eine Datenverarbeitung jedenfalls zur Bereitstellung personalisierter Werbung nur vor, wenn die Nutzer*innen ausdrücklich hierin einwilligen. Anderenfalls würden übermittelte Daten nur für begrenzte Zwecke, wie Sicherheits- und Integritätszwecke, genutzt.
In der mündlichen Verhandlung wies das Gericht darauf hin, dass den Kläger*innen der Auskunftsanspruch aus Art. 15 Abs. 1 Datenschutzgrundverordnung (DSGVO) zustehe, da die Beklagte die über die Meta Business Tools erhaltenen personenbezogenen Daten der Kläger*innen zur Erstellung von Persönlichkeitsprofilen verarbeitet und gespeichert habe. Der Löschungs- bzw. Anonymisierungsanspruch bestehe nach Art. 17 Abs. 1 DSGVO, da für die Datenverarbeitung keine Rechtsgrundlage bestehe. Hierfür lägen keine Einwilligungen der Kläger*innen vor. Wegen der Verstöße gegen die DSGVO stünden den Kläger*innen zudem Ansprüche auf Schadensersatz nach Art. 82 DSGVO zu. Für die weiteren Einzelheiten müssen die schriftlichen Urteilsgründe abgewartet werden.
Die Urteile sind noch nicht rechtskräftig. Es kann dagegen Berufung beim Kammergericht innerhalb eines Monats nach Zustellung der schriftlichen Urteilsgründe eingelegt werden.
Landgericht Berlin II: Urteile vom 4. April 2025, Aktenzeichen 39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24
EuGH-Generalanwalt
Schlussanträge vom 20.03.2025 C‑655/23
Quirin Privatbank AG
Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die DSGVO einen Unterlassungsanspruch gegen erneute unrechtmäßige Weiterleitung von Daten gewährt. Dies ergibt sich nach Ansicht des EuGH-Generalanwalts aus Art. 5 Abs. 1 Buchst. a, Art. 6 Abs. 1 in Verbindung mit Art. 79 Abs. 1 DSGVO.
Ergebnis:
Art. 5 Abs. 1 Buchst. a, Art. 6 Abs. 1, Art. 79 Abs. 1 und Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung)
sind dahin auszulegen, dass
– der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig offengelegt wurden, gemäß Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 in Verbindung mit Art. 79 Abs. 1 der Verordnung 2016/679 ein Anspruch gegen den Verantwortlichen auf künftige Unterlassung einer erneuten unrechtmäßigen Weiterleitung der Daten, die der bereits erfolgten vergleichbar ist, zusteht.
– Es ist Sache der nationalen Rechtsordnung, unter Beachtung der Grundsätze der Äquivalenz und der Effektivität die Voraussetzungen für die Erhebung einer gegen den für die Verarbeitung personenbezogener Daten Verantwortlichen gerichteten Unterlassungsklage zu regeln. Es spricht nichts dagegen, für diese Zwecke den Nachweis der Wiederholungsgefahr zu verlangen oder gegebenenfalls eine (widerlegbare) Vermutung einer solchen Gefahr, die sich aus einem früheren Verstoß gegen die Verordnung 2016/679 ergibt, aufzustellen.
– Gemäß Art. 82 Abs. 1 der Verordnung 2016/679 ist es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens kein anspruchsmindernder Umstand, dass der betroffenen Person neben dem Anspruch auf Schadenersatz auch das Recht zusteht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass er künftig eine weitere unrechtmäßige Verarbeitung, die der bereits erfolgten vergleichbar ist, unterlässt.
BGH
Urteil vom 28.01.2025 VI ZR 109/23
DSGVO Art. 82 Abs. 1
Der BGH hat entschieden, dass die Zusendung einer Werbe-E-Mail allein nicht zur Begründung eines Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO genügt.
Leitsatz des BGH:
Zur Frage des immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO.
BGH, Urteil vom 28. Januar 2025 - VI ZR 109/23 - LG Rottweil - AG Tuttlingen
Aus den Entscheidungsgründen: a) Die Ablehnung einer Erheblichkeitsschwelle durch den Gerichtshof bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 27 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 29; jeweils mwN). Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 25 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN).
b) Das Berufungsgericht hat den Vortrag des Klägers - auch den Vortrag in der Klageschrift, auf den die Revision verweist - zu Recht als nicht hinreichend zur Darlegung eines immateriellen Schadens des Klägers angesehen. Deshalb bedarf es keiner Entscheidung, ob überhaupt ein Verstoß gegen die Datenschutz-Grundverordnung vorlag (Art. 95 DSGVO, Art. 13 Abs. 2 der Richtlinie 2002/58/EG, § 7 Abs. 3 UWG).
Die Revision ist der Ansicht, der Kläger habe ausreichend zu einem immateriellen Schaden vorgetragen, der ihm aus dem gerügten Verstoß gegen die Datenschutz-Grundverordnung entstanden sei. So habe er bereits in der Klageschrift darauf hingewiesen, durch Zusendungen der in Rede stehenden Art werde das ungute Gefühl erweckt, dass personenbezogene Daten Unbefugten bekannt gemacht worden seien, eben weil die Daten unbefugt verwendet worden seien. Der Kläger habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen, was zu einem durchaus belastenden Eindruck des Kontrollverlusts geführt habe. Außerdem habe der Beklagte nach dem Verstoß zunächst einmal nicht reagiert; darin komme eine erneute Missachtung des Klägers zum Ausdruck.
Aus diesem Vortrag ergibt sich jedoch nicht, dass dem Kläger durch die Verwendung seiner E-Mail-Adresse ohne Einwilligung zum Zweck der Zusendung einer Werbe-E-Mail ein immaterieller Schaden entstanden wäre. Es liegt weder ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor (hierzu unter aa)), noch ist die vom Kläger geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt (unter bb)). Das Berufungsgericht hat auch keine weiteren Umstände festgestellt, aus denen sich ein immaterieller Schaden ergäbe. Die Revision zeigt insoweit keinen übergangenen Vortrag auf (unter cc)).
aa) Der Gerichtshof hat in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO (vgl. ferner ErwG 75 DSGVO) klargestellt, dass schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteil vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137 - Agentsia po vpisvaniyata; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 30 mwN)
Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust als solchem bestehenden - Schaden erlitten hat (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31 mwN). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31).
Weder den Feststellungen des Berufungsgerichts noch den Angaben in der Klageschrift, auf die die Revision verweist, ist zu entnehmen, dass der Kläger aufgrund der Verwendung seiner E-Mail-Adresse zur Übersendung der Werbe-E-Mail am 20. März 2020 einen Kontrollverlust über seine personenbezogenen Daten erlitten hätte. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall (zu den Voraussetzungen eines Kontrollverlusts auch BAG, DB 2024, 3114 Rn. 18).
bb) Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 67 - MediaMarktSaturn; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 36 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urteile vom 20. Juni 2024 C-590/22, DB 2024, 1676 Rn. 35 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN).
Die Revision verweist hierzu auf Vortrag des Klägers, aus dem sich die Befürchtung ergebe, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe. Damit legt der Kläger aber nur die - im Übrigen aus sich heraus nicht ohne Weiteres nachvollziehbare - Befürchtung weiterer Verstöße gegen die Datenschutz-Grundverordnung durch den Beklagten dar. Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen. Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß. Auch die von der Revision angeführte Abwehr der unerwünschten Werbung rechtfertigt den behaupteten Eindruck eines Kontrollverlusts für sich genommen nicht.
cc) Das Berufungsgericht hat ausgeführt, der Kläger habe zu einer objektiv nachvollziehbaren Beeinträchtigung persönlichkeitsbezogener Belange nicht hinreichend vorgetragen. Demgegenüber macht die Revision geltend, ein immaterieller Schaden liege in der Missachtung des Klägers, die sich auch in der fehlenden Reaktion des Beklagten auf die E-Mail des Klägers vom 20. März 2020 und auf ein gleichlautendes Fax vom 20. April 2020 zeige.
Die Übersendung der Werbe-E-Mail begründet allenfalls den gerügten Verstoß gegen die Datenschutz-Grundverordnung. Dieser reicht allein nicht aus, um zugleich einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, VersR 2024, 1147 Rn. 18 f., 30, 37, 43 - juris, zur Direktwerbung per E-Mail trotz Widerspruchs). Die - durch Übersendung der Werbe-E-Mail erfolgte - Kontaktaufnahme als solche ist nicht ehrverletzend (vgl. Senatsurteil vom 10. Juli 2018 - VI ZR 225/17, BGHZ 219, 233 Rn. 14 mwN). Die unterbliebene Reaktion des Beklagten auf die E-Mail vom 20. April 2019 und das Fax vom 6. April 2020 könnte einen immateriellen Schaden des Klägers allenfalls vertiefen, aber nicht begründen.
Das LG Stuttgart hat entschieden, dass die Speicherung von Meta Business Tools Off-Site-Daten durch Facebook datenschutzwidrig ist, wenn dies ohne Einwilligung des Nutzers erfolgt.
Aus den Entscheidungsgründen: Soweit die Klage zulässig ist, ist sie teilweise begründet.
1. Der Klageantrag Ziffer 3 ist unbegründet. Der Kläger hat keinen Anspruch darauf, dass die Beklagte seine personenbezogenen Daten unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert.
a) Soweit der Kläger sich zur Begründung dieses Anspruchs darauf stützt, dass nach Art. 18 Abs. 2 DSGVO Daten nur mit seiner Einwilligung verarbeitet werden dürfen, wobei unter Verarbeitung gemäß Art. 4 Nr. 2 DSGVO auch die Löschung falle, greift das nicht durch.
Tatbestandlich setzt ein Anspruch nach Art. 18 Abs. 2 DSGVO voraus, dass die Verarbeitung gemäß Art. 18 Abs. 1 DSGVO eingeschränkt wurde. Dabei kann vorliegend dahinstehen, ob die Voraussetzungen des Art. 18 Abs. 1 Buchst b DSGVO vorliegen und der Kläger deshalb von der Beklagten eine Einschränkung der Verarbeitung verlangen kann. Denn unabhängig davon ist die Verarbeitung jedenfalls derzeit nicht eingeschränkt im Sinne von Art. 4 Nr. 3 DSGVO. Denn gemäß Art. 4 Nr. 3 DSGVO ist eine Einschränkung der Verarbeitung die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Wie sich aus Erwägungsgrund 67 der DSGVO ergibt, muss für eine Einschränkung der Verarbeitung durch Einrichtung geeigneter Verfahren bzw. technische Maßnahmen ferner sichergestellt sein, dass die markierten Daten nur noch für eingeschränkte Zwecke nach Art. 18 Abs. 2 DSGVO verarbeitet werden (vgl. Herbst in Kühling/Buchner DSGVO/BDSG, 4. Aufl., Art. 18 DSGVO Rn. 29). Die bei der Beklagten gespeicherten personenbezogenen Daten des Klägers erfüllen diese Anforderungen nicht und sind somit nicht in der Verarbeitung eingeschränkt.
Selbst wenn dem Kläger ein Anspruch auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 Buchst b DSGVO zustehen sollte, hat er derzeit keinen Anspruch nach Art. 18 Abs. 2 DSGVO, da dies voraussetzen würde, dass die Verarbeitung der Daten zuvor bereits eingeschränkt wurde. Dies ergibt sich sowohl aus dem Wortlaut der Norm („Wurde die Verarbeitung eingeschränkt…“) als auch der systematischen Unterscheidung in Art. 18 Abs. 1 und Abs. 2 DSGVO zwischen den zeitlich und inhaltlich aufeinander aufbauenden Ansprüchen des Betroffenen. Die Rechte aus Art. 18 Abs. 2 DSGVO stehen dem Betroffenen daher erst dann zu, nachdem die Verarbeitung nach Art. 18 Abs. 1 DSGVO eingeschränkt wurde (Herbst in Kühling/Buchner DSGVO/BDSG, 4. Aufl., Art. 18 DSGVO Rn. 34), woran es im Streitfall gerade fehlt.
b) Dem Kläger steht auch nicht aus § 1004 BGB iVm § 823 Abs. 1 BGB ein Anspruch darauf zu, dass die Beklagte seine personenbezogenen Daten ab sofort unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert.
Dabei kann vorliegend dahinstehen, ob ein Unterlassungsanspruch des nationalen Rechts neben der DSGVO anwendbar ist oder ob diese insoweit Sperrwirkung entfaltet. Wird die Anwendbarkeit eines Unterlassungsanspruchs im rechtlichen Ausgangspunkt zu Gunsten des Klägers unterstellt, so besteht ein Unterlassungsanspruch jedenfalls in der Sache nicht. Denn die Beklagte ist gerade nach dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 Buchst e DSGVO verpflichtet, die Speicherung personenbezogener Daten zeitlich auf das notwendige Mindestmaß zu begrenzen. Außerhalb des Anwendungsbereichs des Art. 18 Abs. 2 DSGVO stünde es in Widerspruch zu diesem gesetzlichen Grundsatz, wenn man dem Verantwortlichen die Löschung der Daten verbieten würde.
2. Der Klageantrag Ziffer 4 ist begründet.
a) In tatsächlicher Hinsicht steht auf der Grundlage der Parteianhörung des Klägers zur vollen Überzeugung des Gerichts (§ 286 ZPO) fest, dass die Beklagte auf Drittwebseiten oder Apps angefallene Daten des Klägers speichert.
Wie der Kläger im Rahmen der Parteianhörung glaubhaft angegeben hat, besucht er regelmäßig die Internetseite bild.de. Überdies hat er den Vorhalt seines Prozessbevollmächtigten auf der Grundlage der diesem gegenüber schriftlich gemachten Angaben des Klägers bestätigt, dass er gelegentlich die Websites PayPal.com, jameda.de, shop-apotheke.de, eventim.de, ikea.de, zalando.de und netflix.com nutze. Es handelt sich hierbei sämtlich um Internetseiten, welche Facebook Business Tools installiert haben. Damit steht fest, dass es in der Vergangenheit zur Übermittlung von auf diesen Seiten angefallenen Daten des Klägers an die Beklagte gekommen ist.
b) Es kann dahinstehen, ob die bloße Entgegennahme von Daten, welche Drittunternehmen der Beklagten im Rahmen der Facebook Business Tools übermittelt haben, als „Erheben“ von Daten durch die Beklagte im Sinne von Art. 4 Nr. 2 DSGVO anzusehen ist und ob im Hinblick auf die Übermittlung personenbezogener Daten des Klägers die Betreiber der Drittwebseiten oder Apps hierzu die Einwilligung des Klägers eingeholt haben. Denn jedenfalls speichert die Beklagte die Daten, wofür sie sich nicht auf eine vom Anbieter der Drittwebseite oder App eingeholte Einwilligung berufen kann.
aa) Social-Media-Anbieter wie die Beklagte sind bei der Erhebung von Off-Site-Daten gemeinsam mit Drittunternehmen Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO für den Datenerhebungsvorgang (EuGH, Urteil vom 29.07.2019 – C-40/17, GRUR 2019, 977 Rn. 81 ff.). Es obliegt jedoch nicht dem Social-Media-Anbieter, sondern (nur) dem Drittunternehmen als Initiator des Datenverarbeitungsprozesses, die Einwilligung der betroffenen Person einzuholen (EuGH, aaO Rn. 102). Dieser Differenzierung liegt die Vorstellung zugrunde, dass die gemeinsame Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit zur Folge hat, und dass der Grad der Verantwortlichkeit jedes Mitverantwortlichen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (EuGH, aaO Rn. 70). Sollten die vom Kläger besuchten Drittwebseiten sowie Apps die Einwilligung des Klägers zur Weiterleitung von Daten an die Beklagte eingeholt haben, so rechtfertigte dies die Entgegennahme der Daten durch die Beklagte folglich auch dann, wenn dieser Vorgang auch in der Person der Beklagten als „Erheben“ von Daten zu qualifizieren sein sollte.
bb) Ob der Kläger beim Besuch von Drittwebsites oder der Benutzung von Apps, die Meta Business Tools eingebunden haben - namentlich der regelmäßigen Nutzung von bild.de sowie der gelegentlichen Nutzung von PayPal.com, jameda.de, shop-apotheke.de, eventim.de, ikea.de, zalando.de und netflix.com - seine Einwilligung erteilt hat, dass Daten über seine „Events“ an die Beklagte weitergeleitet werden, ist offen.
Soweit die Beklagte vorbringt, dass nach der mit ihrem jeweiligen Vertragspartner der Meta Business Tools getroffenen Vereinbarung es diesem obliege, die für die Weiterleitung von Daten erforderliche Einwilligung beim jeweiligen Nutzer der Website oder App einzuholen, bestehen erhebliche Zweifel, ob die Beklagte mit der Bereitstellung der Meta Business Tools tatsächlich das Ziel verfolgt, nur im Falle positiv erteilter Einwilligung Daten übermittelt zu erhalten. Die technische Ausgestaltung der Meta Business Tools legt eher die Annahme nahe, dass die Datenübermittlung in jedem Fall stattfinden solle. Denn ihren Vertragspartnern der Meta Business Tools stellt die Beklagte Cookies („fbc“ und „fbc“) zur Verfügung, welche auf den Websites der Vertragspartner als eigene Cookies („First Party Cookies“) installiert werden können. Blockiert ein Nutzer in seinem Browser Drittanbietercookies („Third Party Cookies“), so können diese von der Beklagten bereitgestellten Cookies gleichwohl gesetzt werden, weil es sich nicht in diesem Sinne um Drittanbietercokies handelt. Damit erfüllen die Meta Business Tools ihre Funktion der Weiterleitung von Daten auch dann, wenn beim Surfen im Internet sensibilisierte Einstellungen zum Schutz der Privatsphäre vorgenommen werden, was typischerweise keine Einwilligung zur Weiterleitung von Daten vermuten lässt. Auch bewirbt die Beklagte ihre sog. Conversions API gerade damit, dass dieses Tool Events von Nutzern aggregieren kann, die sich gegen die Nutzung ihrer Daten entscheiden haben (sog. Meta Playbook der Beklagten, Anlage K 11, S. 23).
cc) Entscheidend kommt es nicht darauf an, ob der Beklagten Daten des Klägers ohne seine Einwilligung weitergeleitet worden sind. Denn jedenfalls fehlt die erforderliche Einwilligung des Klägers in die Speicherung der Daten durch die Beklagte.
(1) Wird unterstellt, dass die Vertragspartner der Beklagten im Rahmen der Meta Business Tools auf allen vom Kläger besuchten Websites oder verwendeten Apps die Einwilligung des Klägers in die Weiterleitung von Daten an die Beklagte eingeholt haben, so bedarf die Speicherung dieser Daten gleichwohl einer gesonderten Rechtfertigung. Denn die Speicherung von Daten als Aufbewahrung zum Zweck weiterer Verarbeitung oder Nutzung stellt nach Art. 4 Nr. 2 DSGVO einen eigenständigen Fall der Datenverarbeitung dar, wobei im Hinblick auf die Speicherung die Beklagte nicht mehr gemeinsam mit dem Drittunternehmen handelt, sondern die Speicherung allein durch die Beklagte erfolgt. Auch die Beklagte selbst bringt zutreffend vor, dass es nach der Übermittlung von Daten durch Drittunternehmen an die Beklagte der Beklagten obliege, für die anschließende Verarbeitung dieser Daten eine eigene Rechtsgrundlage nach Art. 6 DSGVO herzustellen (Duplik vom 03.12.2024 Rn. 40 = eAkte Bl. 365).
Soweit die Beklagte in der Klageerwiderung und in der Duplik die Auffassung vertreten hat, die vom Kläger beanstandete Datenverarbeitung finde gar nicht statt, weil die Beklagte aufgrund der vom Kläger verweigerten Einwilligung beim Kläger Off-Site-Daten nicht für personalisierte Werbung nutze, geht dies jedoch am Klägervortrag vorbei. Denn der Kläger hat der Beklagten bereits in der Klageschrift (S. 27 = eAkte Bl. 27) vorgeworfen, dass die Beklagte lediglich die Möglichkeit biete, der Nutzung der Daten für personalisierte Werbung zu widersprechen, jedoch der Sammlung und Speicherung der Daten nicht widersprochen werden könne. Dass die Beklagte die ihr übermittelten Off-Site-Daten speichert, auch wenn ein Facebook-Nutzer - wie der Kläger - in deren Nutzung für die Anzeige personalisierter Werbung nicht eingewilligt hat, ist in tatsächlicher Hinsicht jedenfalls zuletzt unstreitig (Schriftsatz der Beklagten vom 17.01.2025 = eAkte Bl. 544).
(2) Es liegt weder eine Einwilligung des Klägers in die Datenspeicherung vor (Art. 6 Abs. 1 Buchst a DSGVO), noch ist die Speicherung durch eine der in Art. 6 Abs. 1 Buchst b bis f DSGVO genannten Tatbestände gerechtfertigt.
Die Notwendigkeit für die Erfüllung eines Vertrags oder vorvertragliche Maßnahmen gemäß Art. 6 Abs. 1 Buchst b DSGVO kommt schon deshalb nicht in Betracht, weil die Beklagte es ihren Nutzern gerade freistellt, ob die Off-Site-Daten für nutzerspezifische Werbung verwendet werden dürfen. Damit ist die Nutzung von Off-Site-Daten kein notwendiger Bestandteil des Vertragsverhältnisses, was die Beklagte auch nicht behauptet hat. Dass eine Ansammlung der Daten, welche bei - wie im Streitfall - verweigerter Einwilligung für personalisierte Werbung gar nicht zur Verfügung stehen, zur Erfüllung des Vertragsverhältnisses über ein Facebook-Konto aus anderen Gründen notwendig wäre, hat die Beklagte nicht dargelegt.
Die Speicherung ist auch nicht zur Wahrung der berechtigten Interessen der Beklagten erforderlich (Art. 6 Abs. 1 Buchst f DSGVO). Soweit die Beklagte vorgebracht hat, sie speichere die Off-Site-Daten, um die Sicherheit ihrer Server zu schützen und um sicherzustellen, dass Kriminelle die streitgegenständlichen Business Tools nicht ausnutzen, um über diese Produkte Spam, Scraping oder andere Cyberangriffe durchzuführen, wird der Rechtfertigungstatbestand berechtigter Interessen nicht schlüssig dargelegt. Es erscheint geradezu widersinnig, dass die Beklagte deshalb über bei ihr gespeicherte Daten verfügen müsste, um die missbräuchliche Verwendung eben dieser Daten zu bekämpfen, welche die Beklagte im Übrigen überhaupt nicht benötigt und mit welchen sie - da es sich um auf Drittwebseiten und Apps angefallene Daten handelt - auch überhaupt nichts zu schaffen hat, sofern sie die Daten nicht für personalisierte Werbung nutzen darf.
Verweigert ein Facebook-Nutzer die Einwilligung, Off-Site-Daten für personalisierte Werbung zu nutzen, so liegt der einzig rechtmäßige Umgang mit aufgrund der Meta Business Tools der Beklagten übermittelten Daten dieses Nutzers darin, die Daten zu löschen. Weshalb die Beklagte die Daten gleichwohl nicht löscht, bleibt im Dunkeln. Entscheidend kommt es auf die von der Beklagten mit der Datenakkumulation verfolgten Zwecke nicht an. Da die Beklagte als Verantwortliche für die Datenspeicherung nach Art. 5 Abs. 2 DSGVO die Beweislast für einen Rechtfertigungstatbestand trägt (vgl. EuGH, Urteil vom 24.02.2022 - C-175/20, EuZW 2022, 527 Rn. 77, 81) und ein Rechtfertigungstatbestand schon nicht schlüssig vorgetragen ist, ist die Speicherung rechtswidrig.
c) Nachdem die Beklagte die von Drittwebseiten oder Apps im Rahmen der Facebook Business Tools ihr übermittelten Daten rechtswidrig speichert, kann der Kläger nach Art. 17 Abs. 1 DSGVO die Löschung verlangen.
3. Der Klageantrag Ziffer 5 ist dem Grunde nach, aber nicht in der geltend gemachten Höhe begründet.
a) Wie ausgeführt, steht zur Überzeugung des Gerichts fest, dass im Rahmen von Facebook Business Tools auf Drittwebseiten oder Apps angefallene Daten des Klägers an die Beklagte übermittelt worden sind und von dieser gespeichert werden, ohne dass hierfür ein Rechtfertigungstatbestand vorläge. Der Kläger hat auch nachgewiesen, dass ihm ein immaterieller Schaden erwachsen ist (Art. 82 Abs. 1 DSGVO).
Der Betroffene eines Datenschutzrechtsverstoßes muss nachweisen, dass ihm über den bloßen Verstoß hinaus ein immaterieller Schaden entstanden ist (EuGH, Urteil vom 25.01.2024 – C-687/21, EuZW 2024, 278 Rn. 60; vom 11.04.2024 – C-741/21, NJW 2024, 1561 Rn. 36). Dabei kann aber selbst ein nur kurzzeitiger Verlust der Kontrolle des Betroffenen über seine personenbezogenen Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher negativer Folgen erforderte (EuGH, Urteil vom 04.10.2024 – C-200/23, NJW 2025, 40 Rn. 156). Der Betroffene muss aber jedenfalls nachweisen, dass er einen Schaden in Form des Kontrollverlusts erlitten habe (EuGH, Urteil vom 20.06.2024 - C-590/22, ZIP 2024, 2035 Rn. 33; BGH, Urteil vom 18.11.2024 – VI ZR 10/24, NJW 2025, 298 Rn. 31 f.).
Gemessen hieran ist dem Kläger ein Schaden erwachsen. Es steht fest, dass der Kläger Webseiten besucht hat, welche Facebook Business Tools nutzen und daher Daten an die Beklagte übermittelt hat. Diese Daten kann der Kläger zwar von seinem Nutzerkonto trennen, so dass sie diesem nicht mehr zugeordnet werden können, er kann sie jedoch nicht durch Konfiguration seines Kontos löschen. Welchen Zweck die Beklagte mit diesen angesammelten Daten verfolgt, bleibt im Dunkeln. Dadurch hat der Kläger keine Kontrolle damit, was mit den auf Drittwebseiten angefallenen Eventdaten bei der Beklagten geschieht.
b) Bei der Höhe des dem Kläger zuzuerkennenden Schadensersatzes berücksichtigt das Gericht, dass einerseits eine Mehrzahl von Datenübertragungen gegenständlich ist, weil der Kläger mehrere Webseiten unter Einbindung von Facebook Business Tools besucht hat, namentlich bild.de regelmäßig. Andererseits hat der Kläger im Rahmen der Parteianhörung nicht den Eindruck erweckt hat, als verursache dieser Umstand ihm größeren seelischen Schmerz, vielmehr gab er lediglich an, es wäre ihm lieber, die Daten würden gelöscht. Unter Abwägung dieser Gesichtspunkte erachtet das Gericht einen Anspruch auf immateriellen Schadensersatz in Höhe von 300 € als angemessen.
Soweit der Kläger vorgebracht hat, es müsse auch der Gesichtspunkt der Prävention gegen künftige Verstöße sowie der Vergeltung zu berücksichtigen sein, handelt es sich hierbei um Umstände, welche im Rahmen von Art. 82 Abs. 1 DSGVO nicht von Bedeutung sind, nachdem diese Regelung ausschließlich eine Ausgleichsfunktion erfolgt (EuGH, Urteil vom 11.04.2024 - C-741/22, NJW 2024, 1561 Rn. 59 f., 64 f.). Der Kläger kann sich auch nicht mit Erfolg darauf berufen, unter dem Gesichtspunkt der Verletzung des aus Art. 1 und 2 GG abgeleiteten allgemeinen Persönlichkeitsrechts sei ein höherer immaterieller Schadensersatz zuzuerkennen. Unabhängig von der Frage, inwieweit neben Art. 82 Abs. 1 DSGVO der Rückgriff auf weitergehende Schadensersatznormen nach nationalem Recht überhaupt eröffnet ist, liegt jedenfalls kein solcher Sachverhalt vor, bei welchem der Rechtsschutz von Würde und Ehre des Menschen als verkümmert anzusehen wäre, wenn nicht eine Sanktion in Form einer Geldentschädigung verhängt würde (vgl. zu diesem Maßstab BGH, Urteil vom 17.12.2013 - VI ZR 211/12, BGHZ 199, 237 Rn. 40 mwN). Immerhin lassen sich die von der Beklagten gesammelten Daten vom Nutzerkonto trennen. Auch wenn sich diese Trennung für den Nutzer wie den Kläger nicht kontrollieren lässt und er sich auf deren Unumkehrbarkeit jedenfalls nicht verlassen kann, so gibt es doch keinen Anhaltspunkt für eine nennenswert fühlbare Beeinträchtigung des Klägers durch die rechtswidrige Datenspeicherung bei der Beklagten.
Der EuGH hat entschieden, dass die Erhebung des Geschlechts bei Verkauf eines Bahn-Tickts nicht für die Erfüllung des Vertrages erforderlich im Sinne von Art. 6 I lit.b) DSGVO ist.
Die Pressemitteilungd es EuGH: DSGVO und Schienentransport: Die Geschlechtsidentität des Kunden ist keine für den Erwerb eines Fahrscheins erforderliche Angabe
Die Erhebung von Daten hinsichtlich der Anrede der Kunden ist nicht objektiv unerlässlich, insbesondere wenn sie darauf abzielt, die geschäftliche Kommunikation zu personalisieren.
Der Verband Mousse beanstandete bei der französischen Behörde für den Schutz personenbezogener Daten (CNIL)1 die Praxis des französischen Eisenbahnunternehmens SNCF Connect, seine Kunden beim Onlineerwerb von Fahrscheinen systematisch zu verpflichten, ihre Anrede („Herr“ oder „Frau“) anzugeben. Seiner Ansicht nach verstößt diese Verpflichtung gegen die Datenschutz-Grundverordnung (DSGVO) , insbesondere im Hinblick auf den Grundsatz der Datenminimierung, da die Anrede, die einer Geschlechtsidentität entspreche, keine für den Erwerb eines Fahrscheins erforderliche Angabe sein dürfte. 2021 wies die CNIL diese Beschwerde mit der Begründung zurück, dass diese Praxis keinen Verstoß gegen die DSGVO darstelle.
Mousse war mit diesem Bescheid nicht einverstanden und wandte sich an den französischen Staatsrat, um ihn für nichtig erklären zu lassen. Der Staatsrat fragt den Gerichtshof insbesondere, ob die Erhebung von Daten hinsichtlich der Anrede der Kunden, die auf die Angaben „Herr“ oder „Frau“ beschränkt ist, als rechtmäßig und insbesondere mit dem Grundsatz der Datenminimierung vereinbar eingestuft werden kann, wenn diese Erhebung darauf abzielt, eine personalisierte geschäftliche Kommunikation mit diesen Kunden in Übereinstimmung mit der allgemeinen Verkehrssitte in diesem Bereich zu ermöglichen.
Der Gerichtshof weist darauf hin, dass nach dem Grundsatz der Datenminimierung, mit dem der Grundsatz der Verhältnismäßigkeit zum Ausdruck gebracht wird, die erhobenen Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.
Die DSGVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann: Dies ist insbesondere dann der Fall, wenn die Verarbeitung (1.) für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder (2.) zur Wahrung der berechtigten Interessen des Verantwortlichen dieser Verarbeitung oder eines Dritten erforderlich ist.
Was den ersten dieser beiden Rechtfertigungsgründe anbelangt, muss die Verarbeitung von Daten für die ordnungsgemäße Erfüllung des Vertrags objektiv unerlässlich sein, damit sie für die Erfüllung eines Vertrags als erforderlich angesehen werden kann. In diesem Zusammenhang erscheint eine Personalisierung der geschäftlichen Kommunikation, die auf einer anhand der Anrede des Kunden angenommenen Geschlechtsidentität beruht, nicht objektiv unerlässlich, um die ordnungsgemäße Erfüllung eines Schienentransportvertrags zu ermöglichen. Das Eisenbahnunternehmen könnte sich nämlich für eine Kommunikation entscheiden, die auf allgemeinen und inklusiven Höflichkeitsformeln beruht, die in keinem Zusammenhang mit der angenommenen Geschlechtsidentität der Kunden stehen, was eine praktikable und weniger einschneidende Lösung wäre.
In Bezug auf den zweiten Rechtfertigungsgrund stellt der Gerichtshof unter Hinweis auf seine einschlägige ständige Rechtsprechung klar, dass die Verarbeitung von Daten hinsichtlich der Anrede der Kunden eines Transportunternehmens, die darauf abzielt, die geschäftliche Kommunikation aufgrund ihrer Geschlechtsidentität zu personalisieren, nicht als erforderlich angesehen werden kann, wenn (1.) diesen Kunden bei der Erhebung dieser Daten nicht das verfolgte berechtigte Interesse mitgeteilt wurde, oder (2.) die Verarbeitung nicht innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist, oder (3.) in Anbetracht aller relevanten Umstände die Grundrechte und Grundfreiheiten dieser Kunden gegenüber diesem berechtigten Interesse überwiegen können, insbesondere wegen der Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität.
EuG
Urteil vom 08.01.2025 T-354/22
Bindl ./. EU-Kommission
Das EuG hat entschieden, dass die EU-Kommission einem Nutzer der Website der Konferenz zur Zukunft Europas Schadensersatz für die datenschutzwidrige Übermittlung personenbezogener Daten in die USA zahlen muss.
Sowohl der Kläger wie auch die EU-Kommission haben Rechtsmittel gegen die Entscheidung des EuG eingelegt, so das der EuGH Gelegenheit erhält, die Sache zu entscheiden.
Die Pressemitteilung des Gerichts_ Das Gericht verurteilt die Kommission, einem Besucher der Website der Konferenz zur Zukunft Europas, die von der Kommission betrieben wird, den durch die Übermittlung personenbezogener Daten an die Vereinigten Staaten entstandenen Schaden zu ersetzen
Mit dem auf der Website von „EU Login“ angezeigten Hyperlink „Sign in with Facebook“ hat die Kommission die Voraussetzungen dafür geschaffen, dass die IP-Adresse des Betroffenen an das amerikanische Unternehmen Meta Platforms, Inc. übermittelt wurde.
Ein in Deutschland lebender Bürger wirft der Kommission vor, sein Recht auf Schutz seiner personenbezogenen Daten verletzt zu haben, als er 2021 und 2022 die von der Kommission betriebene Website der Konferenz zur Zukunft Europas1 besucht habe. Er hatte sich über diese Website zu der Veranstaltung „GoGreen“ angemeldet und hierzu den Authentifizierungsdienst „EU Login“ der Kommission verwendet, bei dem er sich für die Anmeldeoption „Mit Facebook anmelden“ entschieden hatte.
Der Betroffene meint, bei seinen Besuchen der Website der Konferenz zur Zukunft Europas seien ihn betreffende personenbezogene Daten an Empfänger in den Vereinigten Staaten übermittelt worden, insbesondere seine IPAdresse sowie Browser- und Geräteinformationen.
Ihn betreffende personenbezogene Daten seien zum einen an das amerikanische Unternehmen Amazon Web Services übermittelt worden, das das Content Delivery Network „Amazon CloudFront“ betreibe, über das die betreffende Website laufe, und zum anderen an das amerikanische Unternehmen Meta Platforms, Inc., nämlich bei seiner Anmeldung zu der Veranstaltung „GoGreen“ über sein Facebook-Konto.
Die Vereinigten Staaten hätten aber kein angemessenes Schutzniveau. Die ihn betreffenden personenbezogenen Daten seien deshalb der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt. Die Kommission habe keine geeigneten Schutzmaßnahmen genannt, die die Datenübermittlungen zu rechtfertigen vermöchten.
Der Betroffene beantragt als Ersatz des immateriellen Schadens, der ihm durch die streitigen Datenübermittlungen entstanden sei, 400 Euro. Er beantragt ferner, die Übermittlungen der ihn betreffenden personenbezogenen Daten für nichtig zu erklären, festzustellen, dass die Kommission es rechtswidrig unterlassen habe, zu einem Antrag auf Auskunft Stellung zu nehmen, und die Kommission zu verurteilen, an ihn als Ersatz des immateriellen Schadens, der ihm durch die Verletzung seines Auskunftsrechts entstanden sei, 800 Euro zu zahlen.
Das Gericht weist den Antrag auf Nichtigerklärung als unzulässig ab und stellt fest, dass der Rechtsstreit, was den Antrag auf Feststellung der Untätigkeit angeht, in der Hauptsache erledigt ist. Es weist auch den auf die Verletzung des Auskunftsrechts gestützten Schadensersatzantrag zurück, weil der behauptete immaterielle Schaden nicht vorliegt.
Den auf die streitigen Datenübermittlungen gestützten Schadensersatzantrag weist das Gericht zurück, soweit es um die Datenübermittlungen über „Amazon CloudFront“ geht.
Das Gericht stellt insoweit fest, dass bei einer der streitigen Verbindungen die Daten nicht an die Vereinigten Staaten, sondern nach dem Prinzip der Proximität an einen Server4 in München übermittelt worden sind. Nach dem Vertrag, den die Kommission mit dem Betreiber von „Amazon CloudFront“, der luxemburgischen Gesellschaft Amazon Web Services EMEA SARL, geschlossen hat, musste Letztere gewährleisten, dass die Daten im Ruhezustand und bei der Übermittlung in Europa bleiben.
Bei einer anderen Verbindung ist die Weiterleitung an Server in den Vereinigten Staaten, die durch den RoutingMechanismus von „Amazon CloudFront“ erfolgte, auf das Verhalten des Betroffenen selbst zurückzuführen. Dieser gab sich nämlich mit Hilfe einer technischen Einstellung für jemanden aus, der sich in den Vereinigten Staaten befand.
Soweit es um Anmeldung des Betroffenen zu der Veranstaltung „GoGreen“ geht, stellt das Gericht hingegen fest, dass die Kommission mit dem Hyperlink „Sign in with Facebook“, der auf der Website von „EU Login“ angezeigt wird, die Voraussetzungen für die Übermittlung der IP-Adresse des Betroffenen an Facebook geschaffen hat. Die IPAdresse des Betroffenen gehört zu den personenbezogenen Daten. Sie wurde mit dem Hyperlink „Sign in with Facebook“ an die Meta Platforms, Inc., eine Gesellschaft mit Sitz in den Vereinigten Staaten, übermittelt. Diese Datenübermittlung ist der Kommission zuzurechnen.
Zum Zeitpunkt dieser Datenübermittlung (30. März 2022) gab es aber keinen Beschluss, mit dem festgestellt worden wäre, dass die Vereinigten Staaten für die personenbezogenen Daten der Unionsbürger ein angemessenes Schutzniveau geboten hätten. Die Kommission hat auch nicht dargetan, ja nicht einmal behauptet, dass es eine geeignete Garantie gegeben hätte, etwa eine Standarddatenschutzklausel oder eine Vertragsklausel5 . Für die Anzeige des Hyperlinks „Sign in with Facebook“ auf der Website von „EU Login“ galten schlicht und einfach die Nutzungsbedingungen von Facebook.
Mithin hat die Kommission die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ, eine Einrichtung oder eine Stelle der Union nicht beachtet.
Das Gericht stellt fest, dass die Kommission einen hinreichend qualifizierten Verstoß gegen eine Rechtsnorm, die bezweckt, dem Einzelnen Rechte zu verleihen, begangen hat. Der Betroffene hat auch einen immateriellen Schaden erlitten. Er befindet sich nämlich in einer Lage, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Außerdem besteht zwischen dem von der Kommission begangenen Verstoß und dem immateriellen Schaden, der dem Betroffenen entstanden ist, ein hinreichend unmittelbarer Kausalzusammenhang.
Da die Voraussetzungen der außervertraglichen Haftung der Union erfüllt sind, verurteilt das Gericht die Kommission, an den Betroffenen, wie von ihm beantragt, 400 Euro zu zahlen.
Die Irische Datenschutzbehörde hat ein Bußgeld in Höhe von 310 Millionen EURO gegen LinkedIn wegen DSGVO-Verstößen im Zusammenhang mit der Analyse des Nutzerverhaltens und zielgerichteter Werbung verhängt.
Die Pressemitteilung der Irischen Datenschutzbehörde: Irish Data Protection Commission fines LinkedIn Ireland €310 million
The Irish Data Protection Commission (DPC) has today announced its final decision following an inquiry into LinkedIn Ireland Unlimited Company (LinkedIn). This inquiry was launched by the DPC, in its role as the lead supervisory authority for LinkedIn, following a complaint initially made to the French Data Protection Authority.
The inquiry examined LinkedIn’s processing of personal data for the purposes of behavioural analysis[1] and targeted advertising[2] of users who have created LinkedIn profiles (members). The decision, which was made by the Commissioners for Data Protection, Dr Des Hogan and Dale Sunderland, and notified to LinkedIn on 22 October 2024, concerns the lawfulness, fairness and transparency of this processing. The decision includes a reprimand, an order for LinkedIn to bring its processing into compliance, and administrative fines totalling €310 million.
The DPC submitted a draft decision to the GDPR cooperation mechanism in July 2024, as required under Article 60 of the GDPR[3]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
The DPC’s final decision records the following findings of infringement of the GDPR:
Article 6 GDPR and Article 5(1)(a) GDPR, insofar as it requires the processing of personal data to be lawful, as LinkedIn:
Did not validly rely on Article 6(1)(a) GDPR (consent) to process third party data of its members for the purpose of behavioural analysis and targeted advertising on the basis that the consent obtained by LinkedIn was not freely given, sufficiently informed or specific, or unambiguous.
Did not validly rely on Article 6(1)(f) GDPR (legitimate interests) for its processing of first party personal data of its members for behavioural analysis and targeted advertising, or third party data for analytics, as LinkedIn’s interests were overridden by the interests and fundamental rights and freedoms of data subjects.
Did not validly rely on Article 6(1)(b) GDPR (contractual necessity) to process first party data of its members for the purpose of behavioural analysis and targeted advertising.
Articles 13(1)(c) and 14(1)(c) GDPR, in respect of the information LinkedIn provided to data subjects regarding its reliance on Article 6(1)(a), Article 6(1)(b) and Article 6(1)(f) GDPR as lawful bases.
Article 5(1)(a) GDPR, the principle of fairness.
DPC Deputy Commissioner Graham Doyle commented:
“The lawfulness of processing is a fundamental aspect of data protection law and the processing of personal data without an appropriate legal basis is a clear and serious violation of a data subject's fundamental right to data protection.”
The DPC will publish the full decision and further related information in due course.
Summary of LinkedIn Decision Infographic
Further information
This decision relates to a complaint-based inquiry, which was commenced on 20 August 2018, following a complaint made by the French non-profit organisation, La Quadrature Du Net. The complaint was initially made to the French Data Protection Authority and thereafter provided to the DPC in its role as the lead supervisory authority for LinkedIn, which acts as the controller for the processing of personal data at issue.
This inquiry examined the lawfulness, fairness and transparency of the processing of the personal data of users of the LinkedIn platform for the purposes of behavioural analysis and targeted advertising. The personal data in question encompassed data provided directly to LinkedIn by its members (first-party data) and data obtained via its third-party partners relating to its members (third-party data).
The GDPR requires processing of personal data to be based on one of the legal bases outlined in Article 6(1) GDPR, such as consent, contractual necessity or legitimate interests. Depending on the lawful basis selected by controllers, certain conditions must to be met. For example, any consent obtained must meet the standard required by the GPDR of being a freely given, specific, informed, and an unambiguous indication of the data subject’s wishes.
The GDPR also requires that processing is carried out in a fair manner. Fairness is an overarching principle, which requires that personal data may not be processed in a way that is detrimental, discriminatory, unexpected or misleading to the data subject. An absence of fairness can result in a loss of autonomy of data subjects over their personal data, put them in a position where they may be unable to exercise other GDPR rights, and impact their fundamental rights to privacy and personal data protection.
Transparency is another crucial aspect of data protection, and gives data subjects control over the processing of their personal data. Compliance with transparency provisions by controllers ensures that data subjects are fully informed of the scope and consequences of the processing of their personal data in advance and in a positon to exercise their rights.
The DPC’s final decision exercised the following corrective powers:
a reprimand pursuant to Article 58(2)(b) GDPR;
three administrative fines totalling €310 million pursuant to Articles 58(2)(i) and 83 GDPR; and
an order to LinkedIn to bring its processing into compliance with the GDPR pursuant to Article 58(2)(d).
Das BAG hat entschieden, dass ein Anspruch aus Art. 82 Abs. 1 DSGVO Darlegung und Beweis eines konkreten Schadens voraussetzt, der durch gerügten DSGVO-Verstoß kausal verursacht wurde.
Aus den Entscheidungsgründen: 1. Das Erfordernis eines Schadens und die entsprechende Darlegungslast der Klagepartei ist durch die jüngsten Entscheidungen des Gerichtshofs der Europäischen Union hinreichend geklärt (vgl. hierzu BAG 25. April 2024 – 8 AZR 209/21 (B) – Rn. 5 f.).
a) Aus dem Wortlaut des Art. 82 Abs. 1 DSGVO geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 58; 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 77; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 32). Der Schadenersatzanspruch hat, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87). Der Schaden muss keinen bestimmten Grad an Erheblichkeit erreicht haben (EuGH 14. Dezember 2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 16 und – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 78; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 51).
b) Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof der Europäischen Union klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 35; 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 60 f.). Da der 85. Erwägungsgrund der Datenschutz-Grundverordnung ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 42; 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 66). Dabei kann die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 65; 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 79 ff.). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 68). Das angerufene nationale Gericht muss vielmehr prüfen, ob die Befürchtung der missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85).
c) Vor dem Hintergrund dieser aktuellen Rechtsprechung des Gerichtshofs der Europäischen Union zum Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei kommt es nach Auffassung des Senats auf die Vorlage des Bundesgerichtshofs vom 26. September 2023 (- VI ZR 97/22 – Rn. 30 ff.) nicht an. Der Bundesgerichtshof hat dem Gerichtshof der Europäischen Union die Frage gestellt, ob Art. 82 Abs. 1 DSGVO dahin gehend auszulegen ist, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist. Diese Frage ist durch die nach der Vorlage des Bundesgerichtshofs ergangene Rechtsprechung des Gerichtshofs der Europäischen Union jedenfalls bezogen auf die Sorge vor Datenverlust bzw. unrechtmäßiger Datenverwendung beantwortet (aA Rombach/Hoeren WuB 2024, 28, 32; Scharpf jurisPR-ITR 8/2024 Anm. 5 unter C; vgl. auch BGH 12. Dezember 2023 – VI ZR 277/22 – Rn. 6).
aa) Nach der Rechtsprechung des Gerichtshofs der Europäischen Union können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat, wie dargestellt, zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“ (EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (idS auch Halder/Maluszczak jurisPR-ITR 3/2024 Anm. 4 unter D; Sorber/Lohmann BB 2023, 1652, 1655; Peisker/Zhou BB 2024, 308, 310; aA Rudkowski NZA 2024, 1, 7). Dabei ist ua. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung (vgl. Arning/Dirkers DB 2024, 381, 383).
bb) Dem steht nicht entgegen, dass Art. 82 Abs. 1 DSGVO nach der Rechtsprechung des Gerichtshofs der Europäischen Union nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss (EuGH 14. Dezember 2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 17). Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens als solchen ist hiervon zu unterscheiden. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO (vgl. BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 14).
2. Der Kläger hat geltend gemacht, durch die jahrelang verspätete Auskunft bleibe er weiterhin über wesentliche Faktoren der Datenverarbeitung im Dunkeln und ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union hat der Kläger damit keinen immateriellen Schaden dargelegt.
a) Entgegen der Auffassung des Landesarbeitsgerichts kann ein Schaden nicht allein mit der Begründung angenommen werden, durch eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO – so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – trete ein Kontrollverlust ein, weil die Überprüfung verhindert werde, ob personenbezogene Daten rechtmäßig verarbeitet werden. Zwar dient der Auskunftsanspruch des Art. 15 Abs. 1 DSGVO dem Zweck, Betroffenen die Ausübung der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung nach Art. 16 bis 18 und Art. 21 DSGVO zu ermöglichen (vgl. EuGH 4. Mai 2023 – C-487/21 – [Österreichische Datenschutzbehörde] Rn. 35). Ein derartiger Kontrollverlust geht jedoch mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO zwingend einher. Er ist daher nicht geeignet einen von der bloßen Verletzung des Art. 15 Abs. 1 DSGVO unterscheidbaren Schaden zu begründen (aA Brandt/Goffart NZA 2024, 240, 242). Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (vgl. LAG Rheinland-Pfalz 8. Februar 2024 – 5 Sa 154/23 – zu II 1 b der Gründe; LAG Baden-Württemberg 27. Juli 2023 – 3 Sa 33/22 – zu B II 1 b der Gründe; Barrein/Fuhlrott NZA 2024, 443, 446).
b) Soweit der Kläger im Hinblick auf einen Verlust der Kontrolle vorträgt, ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite, legt er lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung dar. Ein objektiv erhöhtes Missbrauchsrisiko in Bezug auf die von dem Auskunftsanspruch betroffenen personenbezogenen Daten zeigt der Kläger gerade nicht auf. Anders als bei einem Datenleck verschlechtert sich durch die unterbliebene Auskunft die Sicherheit der Daten nicht unmittelbar. Es hätte in der vorliegenden Fallgestaltung ergänzender Darlegungen des Klägers bedurft, aus welchen Gründen ein mehr als nur hypothetisches Risiko einer missbräuchlichen Verwendung seiner personenbezogenen Daten bestehen soll.
c) Soweit sich aus dem Vortrag des Klägers – andeutungsweise – negative Gefühle in Form einer Befürchtung der missbräuchlichen Datenverwendung ergeben, können diese unter den gegebenen Umständen nicht als begründet angesehen werden. Das bloße Berufen auf Befürchtungen dieser Art reicht nicht aus. Um zu prüfen, ob das Gefühl als begründet angesehen werden kann, ist ein objektiver Maßstab anzulegen. Dabei ist insbesondere das objektive Risiko eines Missbrauchs in den Blick zu nehmen, zu dem es vorliegend an ausreichenden Darlegungen fehlt.
3. Soweit der Kläger Schadenersatz hilfsweise aus vertraglicher, hierzu hilfsweise vertragsähnlicher, hierzu hilfsweise deliktischer Haftung nach nationalen Rechtsvorschriften geltend gemacht hat, fehlt es ebenfalls an einem hinreichend dargelegten Schaden.
Das LG Traunstein hat entschieden, dass der Nutzer eines weltweit agierenden sozialen Netzwerks nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA hat.
Aus den Entscheidungsgründen: Die Klage ist nur teilweise zulässig.
I. Das Landgericht Traunstein ist sachlich nach §§ 1 ZPO, 71 Abs. 1, 23 GVG, international nach Art. 79 Abs. 2 S. 2, 82 Abs. 6 DSGVO und örtlich nach § 44 Abs. 1 S. 2 BDSG zuständig.
II.Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der Antrag bezieht sich auf „künftige Schäden“, „die der Klägerseite (…) entstanden sind und/oder noch entstehen werden.„Auch unter Berücksichtigung des gesamten klägerischen Vorbringens ist für das Gericht nicht zu erkennen, ob sich der Antrag nur auf künftige Schäden oder auch bereits entstandene, aber ggfs. noch nicht bekannte Schäden erstrecken soll.
III. Hinsichtlich des Feststellungsantrags besteht auch kein ausreichendes Feststellungsinteresse (§ 256 Abs. 1 ZPO). Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH NJW-RR 2007, 601). Welcher Schaden der Klagepartei dadurch entstehen soll, dass die Beklagte rechtswidrig ihre MessengerNachrichten überwacht, OffF Daten verarbeitet und Daten in die USA übermitteln sollte, ist für das Gericht nicht ersichtlich und wird auch nicht plausibel dargelegt.
IV. Der Unterlassungsantrag zu Ziff. 4 a) der Klageanträge ist nicht hinlänglich bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Das Wort „anlasslos“ schränkt das Unterlassungsbegehren in objektiv nicht abgrenzbarer Weise ein. Ein entsprechender Ausspruch wäre nicht vollstreckungsfähig.
V. Hinsichtlich des Unterlassungsantrags zu Ziff. 4b) fehlt der Klagepartei das Rechtsschutzbedürfnis. Die Klagepartei hat die Möglichkeit, über die Einstellungen die Behandlung der „Off-...- Daten“ bzw. „Aktivitäten außerhalb der ...-Technologien“ selbst zu steuern. Dies muss der Klagepartei spätestens aufgrund des Beklagtenvortrags im Rechtsstreit auch bekannt sein. Da ihr ein einfacherer Weg zur Erreichung ihres Rechtsschutzziels zur Verfügung steht, fehlt ihr für eine Unterlassungsklage das Rechtsschutzbedürfnis.
VI. Der Antrag auf Löschung „anlasslos gespeicherter“ Daten (Ziff. 5a und b der Klageanträge) ist aus den oben unter Ziff. IV genannten Erwägungen wegen Unbestimmtheit unzulässig.
VII. Im Übrigen ist die Klage zulässig.
B.
Die Klage ist – soweit sie unzulässig ist, jedenfalls auch – unbegründet.
23
I. Der Klagepartei stehen keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich des ...-Messenger-Dienstes zu. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO.
Die Klagepartei hat nicht schlüssig dargelegt, woraus sich ergeben soll, dass die Beklagte die über den ...-Messenger-Dienst ausgetauschten Inhalte systematisch automatisiert überwacht im Sinne eines „crawlings“ der Inhalte. Aus der Datenschutzrichtlinie der Beklagten ergibt sich solches jedenfalls nicht. Die Beklagte hat vielmehr plausibel dargelegt, dass sie die übertragenen Nachrichten entsprechend der gesetzlichen Vorgaben, insbesondere der ePrivacy-Richtlinie, behandelt und ein zulässiges CSAM (child sexual abuse material)-Scanning zur Identifikation kinderpornographischer Inhalte durchführt. Soweit die Klagepartei die Länge und Unübersichtlichkeit der Datenschutzrichtlinie der Beklagten rügt, lässt sich kein Verstoß gegen Art. 13, 14 DSGVO erkennen. Die umfangreichen datenschutzrechtlichen Anforderungen, die von Rechts wegen an die Beklagte gestellt werden, in Verbindung mit der Komplexität der von der Beklagten zur Verfügung gestellten Dienstleistungen lassen keine knappere oder einfachere Darstellung der datenschutzrechtlichen Rahmenbedingungen zu. Dass die Beklagte die über den MessengerDienst ausgetauschten Inhalte als solche speichert und an den Adressaten übermittelt, ist zur Bereitstellung dieser Dienstleistung unumgänglich, Art. 6 Abs. 1 Buchst. B DSGVO. Für einen Verstoß gegen das Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sieht das Gericht deswegen ebenfalls keine Anhaltspunkte. Das CSAM-Scanning ist von Art. 6 Abs. 1 Buchst. f DSGVO gedeckt. Im Übrigen ist es der Klagepartei – wie jedem „f-Nutzer selbst überlassen, ob sie den MessengerDienst überhaupt verwenden will oder nicht.
II. Der Klagepartei stehen auch keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich der “Off-...-Daten“ zu.
1. Auch insoweit ist kein datenschutzrechtlicher Verstoß ersichtlich. Die Verarbeitung von Daten im Zusammenhang mit „Aktivitäten außerhalb der ...-Technologien“ („Off-...-Daten“) ist durch die Einwilligung des Nutzers gedeckt, Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO. Nach dem Vortrag der Beklagten, an dessen Richtigkeit das Gericht keine Zweifel hat, holt sie die Einwilligung der Nutzer mittels eines im Schriftsatz vom 04.03.2024 auf S. 11 abgebildeten CookieBanners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden. Die Klagepartei ist bei „...“ angemeldet, so dass sie selbst die entsprechenden Einstellungen vornehmen kann. Wie es sich bei Personen verhält, die nicht bei „...“ angemeldet sind, kann dahinstehen, weil die Klagepartei nicht zu diesem Personenkreis gehört. Dass die Schaltfläche „Alle Cookies erlauben“ blau eingefärbt ist, stellt keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (datenschutzfreundliche Voreinstellung) dar. Denn es handelt sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt. Soweit die Beklagte Informationen von Cookies und ähnlichen Technologien von Dritten erhält, verarbeitet sie diese nach eigenen Angaben ohne Zustimmung des Nutzers nur zu Sicherheits- und Integritätszwecken, was durch Art. 6 Abs. 1 Buchst. b ff. DSGVO bzw. Art. 9 Abs. 2 Buchst. B ff. DSGVO gedeckt ist. Substanziell Entgegenstehendes wurde durch die Klagepartei nicht in den Rechtsstreit getragen.
2. Soweit die Beklagte bis zum Beschluss des Bundeskartellamts vom 06.02.2019 (s. Pressemitteilung vom 07.02.2019, Anlage KE-4) die „Off-...-Daten“ ohne eine erforderliche Einwilligung verarbeitet haben sollte, wird schon nicht vorgetragen, dass die Beklagte „Off ... Daten“ aus diesem Zeitraum bezogen auf die Klagepartei überhaupt noch vorhält. Im Übrigen wären daraus resultierende Ansprüche der Klagepartei jedenfalls verjährt, §§ 195, 199 Abs. 1, 214 Abs. 1 BGB. Die Klagepartei musste jedenfalls infolge der vorgenannten Pressemitteilung die tatsächlichen Anspruchsvoraussetzungen kennen oder sich dem Vorwurf grob fahrlässiger Unkenntnis aussetzen. Verjährung wäre somit zum Ende des Jahres 2022 eingetreten.
III. Der Klagepartei stehen schließlich keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen im Zusammenhang mit der Datenübermittlung in die USA zu.
1. Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. Die Plattform „...“ und der MKonzern stammen aus den USA. „...“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. Dieses Erfordernis ist auch unabhängig davon, ob die Klagepartei mit USamerikanischen „...“-Nutzern „befreundet“ ist oder nicht. Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „..."-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „...“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „...“. Die unternehmerische Entscheidung des Betreibers der Plattform „...“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „...“ zu nutzen.
2. Die Datenübermittlung ist daher grundsätzlich zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 Buchst. b DSGVO. Dafür dass die Beklagte, was die Klagepartei letztlich behauptet, darüber hinaus ihren gesamten Datenbestand dem amerikanischen Auslandsgeheimdienst voraussetzungslos zur freien Verfügung stellt, gibt es keine hinreichenden tatsächlichen Anhaltspunkte. Was die USamerikanische Regierung insoweit „zugegeben“ haben soll, wird klägerseits nicht konkret dargelegt. Die Beklagte jedenfalls hat solches bestritten und Beweis wurde klägerseits nicht geführt.
3. Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden von der Beklagten eingehalten.
a) Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.
b) Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. Nach Art. 46 Abs. 1 DSGVO müssen den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, um ein dem EURecht gleichwertiges Schutzniveau zu gewährleisten. Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.
c) Schließlich ist die Datenübermittlung, wie bereits oben ausgeführt, zur Vertragserfüllung erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 b DSGVO zulässig.
d) Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend.
4. Für eine Verletzung von Art. 5 Abs. 1 Buchst. f bzw. Art. 32 DSGVO ist schlüssig nichts vorgetragen. Wieso Anlass zur Annahme bestehen sollte, dass die Beklagte die Daten der Klagepartei in technischer oder organisatorischer Hinsicht nicht hinlänglich schützt, ergibt sich aus dem Klagevortrag nicht.
5. Eine Verletzung von Art. 13 DSGVO kann das Gericht ebenfalls nicht erkennen. Die Beklagte hat die Fundstellen genannt, unter denen sich der Nutzer über die Notwendigkeit der Datenübermittlung an ausländische Unternehmen, namentlich die .., Inc., wie auch über die Beauskunftung von Regierungsanfragen informieren kann. Dass die Beklagte ihrer Informationspflicht nicht nachgekommen wäre, ist nicht ersichtlich.
6. Soweit US-Regierungsbehörden einschließlich der Geheimdienste von .., Inc., nach USamerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 Buchst. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre.
IV. Für einen Schadensersatzanspruch aus Art. 82 DSGVO fehlt es zudem an einem kausalen Schaden der Klagepartei. Diese gab im Rahmen ihrer informatorischen Anhörung lediglich an, dass sie erst durch die Klägervertreter auf etwaige Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten bzw. dem Messenger gebracht worden sei. Erst auf Hinweis des Gerichtes wurde ihr offenbar, dass die hiesige Klage sich nicht auf die Scraping-Fälle bezieht. Schließlich wird Bezug genommen auf die Entscheidung des OLG München, Az. 14 U 3359/23 e, Verfügung vom 19.12.23, in welcher folgendes ausgeführt wird:
„Die Befürchtung (noch deutlicher: englisch „fear“ und französisch „crainte“), in der der EuGH einen materiellen Schaden erblickt, kann nur etwas sein, was der Geschädigte (a) persönlich erlebt und was ihn (b) seelisch belastet, mithin psychisch beeinträchtigt. Vermag das Tatgericht nichts dergleichen zu erkennen, so ist der Eintritt des immateriellen Schadens nicht überwiegend wahrscheinlich im Sinne von § 287 Abs. 1 ZPO.“
So liegt der Fall hier: allein die im Rahmen der informatorischen Anhörung (erst) auf Vorhalt ihres Prozessbevollmächtigten angegebene „große Sorge“ (nachdem zunächst angegeben wurde, dass man es „auch schlimm findet“) stellt keinen immateriellen Schaden dar.
V. Auskunftsansprüche nach Art. 15 DSGVO stehen der Klagepartei gegen die Beklagte nicht zu.
1. Soweit begehrt wird Auskunft bezüglich der Daten „aus der Überwachung des FMessengers“ zu erteilen, „ChatProtokolle vorzulegen und deren interne Bewertung offenzulegen“, können die Chat-Verläufe durch die Klagepartei selbst heruntergeladen werden. Der Auskunftsanspruch ist dadurch erfüllt, § 362 Abs. 1 BGB. Was unter einer „internen Bewertung“ zu verstehen sein soll, erschließt sich dem Gericht nicht; eine Subsumtion unter eine der Kategorien des Art. 15 Abs. 1 DSGVO ist insoweit nicht möglich.
2. Soweit Auskunft begehrt wird, welche „Off-...-Daten“ durch die Beklagte an der IP-Adresse der Klägerseite gesammelt und zu welchem Zweck sie gespeichert und verwendet wurden, verweist die Beklagte zu Recht auf die von ihr zur Verfügung gestellte Selbstauskunftsmöglichkeit und hinsichtlich der Verarbeitungszwecke auf eine bestimmte Seite im Hilfebereich. Die Auskunft ist damit erteilt, § 362 Abs. 1 BGB.
3. Hinsichtlich etwaiger an die NSA übermittelter Daten kann die Beklagte die Auskunft verweigern, weil zum einen eine Geheimhaltungspflicht nach USamerikanischem Rechts besteht und es sich zum anderen um ihrem Wesen nach geheimhaltungsbedürftige Informationen handelt, Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG, wobei sich letztgenannte Vorschrift entgegen der Auffassung der Klagepartei schon dem Wortlaut nach nicht auf Berufsgeheimnisträger beschränkt. Es versteht sich von selbst, dass die Information, ob und welche Auskünfte an Geheimdienste erteilt werden, ihrem Wesen nach geheimhaltungsbedürftig ist. Im Übrigen erfolgt die Beauskunftung an die NSA nicht durch die Beklagte, sondern durch die .., Inc., so dass die Beklagte hinsichtlich eines Auskunftsanspruchs auch nicht passivlegitimiert wäre.
VI. Die Löschungsanträge nach Art. 17 DSGVO (Ziff. 5 b und c der Klageanträge) gehen ins Leere, weil sie unter der Voraussetzung gestellt sind, dass die Datenverarbeitung „anlasslos“ erfolgt. Selbst wenn man diesem Begriff die Bedeutung „nicht notwendig“ (Art. 17 Abs. 1 Buchst. a DSGVO), „ohne Rechtsgrundlage“ (Art. 17 Abs. 1 Buchst. b DSGVO), oder „unrechtmäßig“ (Art. 17 Abs. 1 Buchst. d DSGVO) beimessen wollte, liegen diese Voraussetzungen, wie unter Ziffer I. bis II. ausgeführt, nicht vor.
VII. Sämtliche Unterlassungsansprüche scheitern am Fehlen eines Verstoßes gegen die DSGVO, s.o. Ziff. I bis III. Bezüglich der „Off-...-Daten“ tritt hinzu, dass es der Nutzer selbst in der Hand hat, die diesbezüglichen Einstellungen zu verwalten. Die Klagepartei handelt widersprüchlich, wenn sie die Einstellungen so belässt, wie sie sind, und andererseits von der Beklagten verlangt, die Daten nicht auf Grundlage dieser Einstellungen zu verarbeiten.
OLG Stuttgart
Hinweisbeschluss vom 02.02.2024 2 U 63/22
Das OLG Stuttgart hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass die Übersendung von Werbung per Briefpost ohne vorherige Einwilligung des Empfängers auch mit den Vorgaben der DSGVO vereinbar ist
Aus den Entscheidungsgründen: Der Senat ist einstimmig der Auffassung, dass die Berufung offensichtlich keine Aussicht auf Erfolg hat, der Rechtssache auch keine grundsätzliche Bedeutung zukommt, weder die Fortbildung des Rechts noch die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts erfordert und die Durchführung einer mündlichen Verhandlung über die Berufung nicht geboten ist.
Das Landgericht hat zutreffend einen Anspruch des Klägers auf Schadensersatz abgewiesen. Auf die überzeugende Begründung des Landgerichts wird zur Vermeidung von Wiederholungen verwiesen.
I. Insbesondere hat das Landgericht zutreffend und überzeugend herausgearbeitet, dass sowohl die Erhebung der öffentlich zugänglichen Daten als auch die der Übersendung des Werbeschreibens zugrundeliegende Verarbeitung der Daten in Übereinstimmung mit Artikel 6 Absatz 1 Satz 1 lit. f DS-GVO erfolgte.
Entgegen der Auffassung der Berufung ist für die Rechtmäßigkeit einer Direktwerbung nicht Voraussetzung, dass bereits eine Kundenbeziehung besteht. Bei seiner Auslegung des Artikels 6 Absatz 1 Satz 1 lit. f DS-GVO hat das Landgericht überzeugend den Erwägungsgrund Nr. 47 herangezogen, der die Direktwerbung beispielhaft als berechtigtes Interesse im Sinne der genannten Norm anerkennt. Unter diesem Begriff versteht die Verordnung – etwa in Artikel 21 Absatz 2 DS-GVO – jede unmittelbare Ansprache der betroffenen Person, etwa durch Zusendung von Briefen (Buchner/Petri in: Kühling/Buchner, DS-GVO, 4. Aufl. 2024, Artikel 21 DS-GVO Rn. 26). Weder aus Artikel 6 Absatz 1 Satz 1 lit. f DS-GVO noch aus den Erwägungsgründen ergeben sich Anhaltspunkte dafür, dass die Direktwerbung nur innerhalb einer bestehenden Kundenbeziehung als berechtigtes Interesse anerkannt wird. Unter dem Begriff der berechtigten Interessen sind vielmehr sämtliche rechtlichen, wirtschaftlichen oder ideellen Interessen zu verstehen (OVG Lüneburg, Beschluss vom 19. Januar 2021 – 11 LA 16/20, juris Rn. 16), die auch außerhalb oder im Vorfeld einer Kundenbeziehung liegen können. Zutreffend hat das Landgericht auch gesehen, dass das berechtigte Interesse eines Dritten – hier das Interesse der X. Lebensversicherung AG an der Verteilung der Werbebotschaft – dem Interesse des Beklagten als Verantwortlichen gleichsteht.
Weiter hat das Landgericht überzeugend herausgearbeitet, dass die Verarbeitung der personenbezogenen Daten erforderlich war. Insbesondere steht der Erforderlichkeit nicht der Einwand der Berufung entgegen, dass auch eine Übersendung der Werbung per elektronischer Post möglich wäre. Zwar sollen personenbezogene Daten nicht verarbeitet werden, wenn der Zweck der Verarbeitung in zumutbarer Weise durch andere Mittel erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen (EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 108). Dabei kann der Kläger die Beklagte allerdings nicht darauf verweisen, die Zusendung elektronischer Nachrichten sei weniger belastend für Betroffene. Nach der Wertung der deutschen Rechtsordnung stellt die Versendung elektronischer Nachrichten ohne vorherige ausdrückliche Einwilligung vielmehr eine unzumutbare Belästigung dar (vgl. § 7 Absatz 2 Nr. 2 UWG), während die Zusendung eines Briefes mit einer sofort als Werbung erkennbaren Botschaft als zulässig bewertet wird (BGH, Urteil vom 30. April 1992 – I ZR 287/90, juris Rn. 14 – Briefwerbung; BGH, Urteil vom 3. März 2011 – I ZR 167/09, juris Rn. 19 – Kreditkartenübersendung).
Weiter hat das Landgericht auch überzeugend die Interessen der Streitparteien miteinander abgewogen und ist zutreffend davon ausgegangen, dass die Interessen, Grundrechte und Grundfreiheiten des Klägers die Interessen der Beklagten und ihrer Auftraggeberin jedenfalls nicht überwiegen. Alleine das Interesse des Klägers, keine Werbung zu erhalten, führt nicht zu einer ihm günstigen Interessenabwägung. Erst wenn er einen Widerspruch erhebt, ist die künftige Direktwerbung unzulässig (Artikel 21 Absatz 2 DS-GVO).
II. Zutreffend hat das Landgericht auch die weiteren gerügten Handlungen nicht als Verstöße gegen die Datenschutz-Grundverordnung bewertet. Insbesondere wurde der Kläger ganz offenkundig nicht im Sinne von Artikel 22 Absatz 1 DS-GVO einer ihm gegenüber verbindlichen oder erheblich beeinträchtigenden Entscheidung unterworfen, die auf einer automatisierten Verarbeitung seiner Daten getroffen wurde (sog. Profiling). Eine derartige beeinträchtigende Entscheidung legt der Kläger schon nicht dar.
Auch die Behauptung, dass die Beklagte dem Kläger eine unvollständige Auskunft über die Verarbeitung seiner Daten erteilt habe, kann nicht festgestellt werden. Vorgerichtlich wurde danach nicht gefragt, und in der ersten Instanz hat die Beklagte ausgeführt, die personenbezogenen Daten des Klägers nicht mit zusätzlichen Informationen verknüpft zu haben. Auf die Frage, ob eine unvollständige Auskunft überhaupt zu einem Schadensersatzanspruch gem. Art. 82 DS-GVO führen kann, kommt es nicht mehr an (zum Streitstand: OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, juris Rn. 381 ff.).
III. Unabhängig davon, dass datenschutzrechtliche Verstöße nicht feststellbar sind, hat der Kläger auch nicht ausreichend dargelegt, einen Schaden erlitten zu haben. Zwar ist es nach der Rechtsprechung des Europäischen Gerichtshofs nicht erforderlich, dass der Schaden einen bestimmten Grad an Erheblichkeit überschreitet. Gleichwohl löst der bloße Verstoß gegen Bestimmungen der Verordnung einen Schadensersatzanspruch noch nicht aus. Es muss vielmehr festgestellt werden, dass tatsächlich ein Schaden entstanden ist (EuGH, Urteil vom 4. Mai 2023 – C-300/21, Rn. 42, 51). Insoweit beruft sich der Kläger auf eine mit dem Verlust der Daten seelisch belastende Ungewissheit über das Schicksal der Daten. Dieser Vortrag genügt nicht für die Darlegung eines Schadens, denn es muss festgestellt werden können, ob die Befürchtung einer künftigen missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden (vgl. EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 85). Dies ist jedoch nicht ersichtlich auf der Grundlage der überzeugenden und unangefochtenen Feststellung des Landgerichts, dass die Beklagte die personenbezogenen Daten nicht an Dritte übermittelt hat. Zudem hat die Beklagte die Daten gelöscht bzw. intern mit einem Sperrvermerk versehen, um künftige Werbesendungen zu verhindern.
VG Mannheim
Beschluss vom 06.05.2024 6 L 318/24.WI
Das VG Mannheim hat entschieden, dass kein DSGVO-Verstoß durch Veröffentlichung von Parteiunterlagen einschließlich der Mitgliederlisten der Vorstände einer Partei auf der Internetseite der Bundeswahlleiterin vorliegt.
Aus den Entscheidungsgründen: Grundlage der Datenverarbeitung ist Art. 6 Abs. 1 Satz 1 Buchst. c) DS-GVO i. V. m. § 6 Abs. 3 Satz 3 PartG. Gemäß Art. 6 Abs. 1 Satz 1 Buchst. c) DS-GVO ist die Verarbeitung personenbezogener Daten rechtmäßig, sofern sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Die gesetzliche Verpflichtung der Antragsgegnerin zur Verarbeitung und Bereitstellung der Daten folgt aus § 6 Abs. 3 PartG.
Die Online-Zurverfügungstellung der Unterlagen einschließlich der Mitgliederlisten der Vorstände von Partei und Landesverbänden der Antragsgegnerin ist auch erforderlich. Sie verstößt insbesondere nicht gegen den Grundsatz der Datensparsamkeit. Der Grundsatz der Datensparsamkeit ist in Art. 5 Abs. 1 Buchst. c) DS-GVO bzw. § 47 Nr. 3 BDSG geregelt. Demnach muss die Datenverarbeitung dem Zweck angemessen bzw. erforderlich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein bzw. darf hierzu nicht außer Verhältnis stehen. Dies ist hier der Fall.
Die Online-Zurverfügungstellung der vollständigen Unterlagen ist erforderlich, weil, wie oben dargelegt, interessierte Bürger sich, wie in § 6 Abs. 3 Satz 3 PartG vorgesehen, nur auf diese Weise gleichmäßig über alle politischen Parteien informieren können. Sie ist auch nicht außer Verhältnis zu diesem Zweck, da die Daten, die hinsichtlich der Bundes- bzw. Landesvorstände veröffentlicht werden, also die Namen der jeweiligen Parteimitglieder sowie deren Funktion in der Partei, weder geheimhaltungsbedürftig noch sensibel sind. Vorstandsmitglieder einer bundesweit tätigen politischen Partei stehen bereits aufgrund ihrer hervorgehobenen politischen Tätigkeit in der Öffentlichkeit. Darüber hinaus erfolgt die Aufnahme der betroffenen Personen in die Unterlagensammlung aufgrund ihres – freiwilligen – innerparteilichen Engagements. Die Nennung der Namen der Betroffenen erfolgt im parteispezifischen Umfeld und damit im Bereich ihrer Sozialsphäre. Zudem stellt die Antragsgegnerin die Unterlagen möglichst datensparsam, nämlich in einer PDF-Datei, abrufbar über einen Link, bereit, sodass die Internetsuche nach dem Namen einer betroffenen Person nicht ohne Weiteres zu der Unterlagensammlung der Antragsgegnerin führt. Schließlich ist insoweit festzuhalten, dass die Antragstellerin auf ihrer eigenen Homepage im Downloadbereich unter einer hervorgehobenen Überschrift „Unterlagen gemäß § 6 Abs. 3 Parteigesetz (ParteiG)“ ein Schreiben der Antragsgegnerin vom 07.10.2021 (unter Aufführung des Klarnamens des Sachbearbeiters) und eine Verlinkung zur streitgegenständlichen Unterlagensammlung der Antragsgegnerin zur Verfügung stellt und somit letztlich selbst die Reichweite der von ihr monierten Informationen erhöht.
Unerheblich für die Entscheidung ist, dass keine (gesetzliche) Verpflichtung besteht, sich in sozialen Medien mit Klarnamen zu registrieren. Die freiwillige Registrierung und Darstellung in sozialen Medien ist, anders als die Meldung und Vorhaltung der Unterlagen nach § 6 Abs. 3 PartG nämlich nicht gesetzlich angeordnet. Gleiches gilt, soweit die Antragstellerin darauf abstellt, dass die Antragsgegnerin nicht die Einwilligung der betroffenen Personen eingeholt hat. Dies ist aufgrund der gesetzlichen Anordnung der Aufnahme der Vorstandsmitglieder auf Bundes- bzw. Landesebene und der Verpflichtung zur Vorhaltung der diesbezüglichen Unterlagen gemäß § 6 Abs. 3 PartG nicht erforderlich.
Nach alledem ist der Antrag nach summarischer Prüfung der Sach- und Rechtslage unter allen in Betracht kommenden Gesichtspunkten abzulehnen.
Das LG Lüneburg hat dem Betroffenen Schadensersatz aus Art. 82 DSGVO in Höhe von 500 EURO wegen der Zusendung von Werbemails nach mehrmaligen Widerruf der Einwilligung zu Zusendung von Werbung zugesprochen.
Aus den Entscheidungsgründen: 1. Dem Kläger steht gem. Art. 82 DS-GVO ein Anspruch auf Ersatz immateriellen Schadens zu, den die Kammer wie tenoriert bemisst.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen, also diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).
2. Die Beklagte hat gegen Bestimmungen der DS-GVO verstoßen, indem sie dem Kläger Werbeemails zugeschickt hat, ohne dass dies nach Art. 6 Abs.1 DS-GVO gerechtfertigt war. Der Kläger hatte seine zunächst erteilte Einwilligung zu dem Erhalt von Werbeemails zuvor unbestritten widerrufen. Die Beklagte konnte folglich keinen rechtfertigenden Tatbestand gem. Art. 6 Abs. 1 lit. a DS-GVO mehr für den Versand der streitgegenständlichen Werbeemails darlegen.
3. Die Verstöße haben nach dem - insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs.3 ZPO) Vorbringen des Klägers - kausal zu einem immateriellen Schaden geführt. Der Begriff des immateriellen Schadens ist unionsrechtlich autonom und in allen Mitgliedstaaten einheitlich auszulegen (EuGH, Urt. 4.5.2023 - C-300/21).
Dabei muss der Schaden des Klägers nicht eine gewisse Erheblichkeit erreicht haben. Nach der Rechtsprechung des EuGH ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urt. 4.5.2023 - C-300/21).
Wenngleich der immaterielle Schaden nach Erwägungsgrund 146 zur DS-GVO tatsächlich entstanden sein muss und nicht lediglich befürchtet werden darf, ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen. Der EuGH verlangt unter Bezugnahme auf den Effektivitätsgrundsatz, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen (so bereits EuGH 10.4.1984 - 14/83, NJW 1984, 2021 (2022).
Als immaterieller Schaden kommen Ängste, Stress, Komfort- und Zeiteinbußen in Betracht (Bergt in Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art.82 Rn. 18b).
Hier hat der Kläger unbestritten viermal gegenüber der Beklagten erklärt, dass er keine weiteren Werbeemails wünscht. Zweimal ließ der Kläger dies sogar von seinem bevollmächtigten Rechtsanwalt erklären. Dennoch hat die Beklagte dem Kläger weiterhin Werbeemails geschickt. Der bei dem Kläger dadurch verursache Ärger, Zeitverlust und Eindruck des Kontrollverlusts stellt einen Schaden im Sinne der Norm dar. Die negativen Auswirkungen des Verstoßes gegen die DS-GVO liegen darin, dass sich der Kläger mit der Abwehr der von ihm unerwünschten Werbung auseinandersetzen musste. Dies sogar mehrfach, da die Beklagte seinen Widerruf der Einwilligung mehrfach missachtete. Der Umstand, dass sogar der Prozessbevollmächtigte des Klägers die Beklagte zweimal erfolglos zum Unterlassen aufforderte, ist geeignet bei dem Kläger den belastenden Eindruck der Hilflosigkeit und des Kontrollverlustes in Bezug auf seine Datenverarbeitung zu führen.
4. Die Frage, ob Art. 82 DS-GVO eine vom Verschulden abhängige oder unabhängige Anspruchsgrundlage darstellt, kann dahinstehen. Denn vorliegend ist nichts vorgetragen oder ersichtlich, was gegen ein Verschulden der Beklagten spricht.
5. Bei der Bestimmung der Höhe des Schadensersatzes, die der Kläger in das Ermessen des Gerichts gestellt hat, sind gem. § 287 Abs.1 S. 1 ZPO alle Umstände des Einzelfalls würdigen, insbesondere Art, Intensität und Dauer der erlittenen Rechtsverletzung. Auch bei der Höhe des Schadens ist der Effektivitätsgrundsatz zu berücksichtigen.
Das Amtsgericht Pfaffenhofen (AG Pfaffenhofen, Endurteil v. 09.09.2021 - 2 C 133/21) entschied in einem ähnlichen Fall:
"Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a)."
Dabei sprach das AG Pfaffenhofen dem Kläger 300,00 Euro für eine unerwünscht erhaltene Werbeemail zu, wobei in dem dortigen Fall die Beklagte die Emailadresse des Klägers gänzlich ohne dessen Einwilligung erhalten hatte.
Das AG Diez (Urteil vom 17.04.2018 - 7 O 6829/17) erachtete in dem Fall eines Versandes einer Werbeemail, mit welcher die Beklagte am 25.5.2018, als die DS-GVO Gültigkeit erlangte, eben aus diesem Grund und unter Bezugnahme hierauf nach einer Einwilligung zum Newsletter-Bezug anfragte, einen Schadensersatzanspruch als unbegründet.
In einem ähnlichen Fall lehnte das AG Goslar (Urteil vom 27.09.2019 - 28 C 7/19) einen Schadensersatzanspruch ab, da es sich auch in dem dortigen Fall um lediglich eine Werbeemail handelte: "Für das Gericht ist aufgrund des Vortrags des Klägers ein Schaden indes nicht ersichtlich. Es handelte sich lediglich um eine einzige Werbe-E-Mail, die nicht zur Unzeit versandt wurde und aufgrund ihres äußeren Erscheinungsbildes deutlich zeigt, dass es sich um Werbung handelt, so dass ein längeres Befassen mit der E-Mail nicht notwendig war."
Im Interesse einer effektiven Abschreckung und einer Kompensierung des erlittenen Schadens ist das Verhalten der Beklagten in Form der mehrfachen Missachtung des ausdrücklich erklärten Willens des Klägers als schadensersatzerhöhend zu berücksichtigen. Schadensersatzerhöhend ist ebenfalls die Häufigkeit des Verstoßes zu berücksichtigen. In dem vorliegenden Fall hat der Kläger in einem Zeitraum von knapp vier Monaten insgesamt dreizehn Werbeemails von der Beklagten erhalten. Er erhielt dabei jeweils 4 bzw. 5 Werbeemails in kurzer Zeitabfolge, teilweise fast täglich.
Zu berücksichtigen ist allerdings auch, dass die Auswirkungen des Verstoßes gegen die DS-GVO den Wirkungsbereich des Klägers nicht verlassen haben. Es wurde durch den Verstoß kein Bereich berührt, der etwa die Beziehung des Klägers zu Dritten berührt.
Das Gericht erachtet vorliegend im Ergebnis eine Entschädigung von 500,00 EUR für angemessen.
