LG Hamburg: DSGVO-Verstoß durch Meta Business Tools - 3.000 EURO Schadensersatz aus Art. 82 DSGVO und Unterlassungsanspruch gegen Meta
LG Hamburg
Urteil vom 01.07.2025
301 O 20/24
Das LG Hamburg hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools auf Drittseiten und -Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen und einen Unterlassungsanspruch gegen Meta bejaht.
Aus den Entscheidungsgründen:
Der Antrag zu Ziff. 1) ist auch begründet. Die Beklagte verarbeitet personenbezogene Daten des Klägers. Nach Art. 4 Nr. 2 DSGVO fallen darunter das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten.
Die Beklagte empfängt über die M. Business Tools personenbezogene Daten mit denen sie den Nutzer identifizieren kann. Diese Daten gleicht sie mit den bei ihr gespeicherten Benutzerkonten ab. Wenn die Einstellungen es zulassen, werden die Daten für personalisierte Werbung verwendet. Auch wenn dies nicht erfolgt, bleiben die Daten gespeichert und sind weiter mit dem Nutzerkonto verknüpft und gespeichert.
Die auf den Drittseiten eingesetzten M. Business Tools prüfen nicht, wer die Seiten aufruft, sondern schicken sämtliche mittels der M. Business Tools erhobenen Daten an die Server der Beklagten. Dort wird geprüft, ob diese Daten Nutzer der Beklagten betreffen und darüber entschieden, wie sie weiterverarbeitet werden.
Wenn ein Nutzer des Netzwerks Instagram oder Facebook eine Drittseite welche M. Business Tools einsetzt, besucht, übermitteln die Drittfirmen über die derart eingebundenen M. Business Tools personenbezogene Daten an die Beklagte. Dies erfolgt unabhängig davon, ob der Nutzer zu diesem Zeitpunkt die Apps der Beklagten aktiviert hat bzw. dort eingeloggt ist (vgl. LG Lübeck GRUR-RS 2025, 81 Rn. 3, beck-online). Es findet auch statt, wenn die Drittseiten direkt und nicht aus den Programmen der Beklagten aus aufgerufen werden. Dies kann auch stattfinden, wenn die betroffene Person einer Datenübertragung an die Beklagte gegenüber dem Drittanbieter nicht zugestimmt und in die Datenverarbeitung auch gegenüber der Beklagten nicht eingewilligt hat (vgl. LG Lübeck ZD 2025, 228, beck-online). Für den durchschnittlichen Internetnutzer ist nicht erkennbar, ob die jeweilige Webseite mit einem M. Business Tool ausgestattet worden ist (so LG Braunschweig, a.a.O., juris Rn. 101 ff.). Jedenfalls die Erfassung und der Abgleich der Daten findet im jeden Fall statt – auch wenn der Nutzer keine Einwilligung zur Verwendung der Daten für personalisierte Werbung abgegeben hat. Soweit die Beklagte pauschal vorträgt, dass dann keine Datenverarbeitung stattfindet, ist dies nicht nachvollziehbar. Eine anschließende Löschung der übermittelten Daten erfolgt erst nach dem Abgleichprozess, d.h. nachdem sie die mit den Kontaktinformationen übermittelten Event-Daten mit einer Facebook-Nutzer-ID verknüpft hat, so dass eine Zuordnung zum Kläger möglich bleibt.
Die streitgegenständliche Datenverarbeitung ist folglich nicht durch eine etwaig vorhandene Einwilligung zur Bereitstellung personalisierter Werbung gerechtfertigt. Zum einen findet diese Datenverarbeitung unabhängig von einer Einwilligung statt und beschränkt sich zum anderen nicht auf dem in der Einwilligungserklärung genannten Zweck. Sie kann auch nicht durch eine Veränderung der Einstellung durch den Nutzer beeinflusst werden (LG Braunschweig, a.a.O., juris Rn. 112).
Die Beklagte räumt selbst ein, dass sie die von ihr als Off-Site-Daten bezeichnete Daten für Sicherheits- und Integritätszwecke speichere und verwende. Ungeachtet dessen, dass aus den Erläuterungen der Beklagten nicht hervorgeht, welche Maßnahmen damit bezeichnet sind und weshalb und in welchem Umfang dafür eine Verwendung der Daten des Klägers erforderlich ist, gibt es nach den Ausführungen der Beklagten offenbar auch noch weitere Verwendungen. Denn die Formulierung, dass sie die erhobenen Daten „für begrenzte Zwecke wie Sicherheits- und Integritätszwecke verwende“ (Hervorhebung hier) zeigt, dass die genannten Zwecke nur beispielhaft aufgezählt sind (LG Hamburg, a.a.O.).
Auch andere Rechtfertigungsgründe des Art. 6 DSGVO greifen nicht. Die Datenverarbeitung ist insbesondere nicht zur Erfüllung eines Vertrags nach Art. 6 Abs. 1 Unterabsatz 1 b) DSGVO erforderlich. Das Geschäftsmodell der Beklagten zwingt diese nicht, die angebotenen Inhalte zu personalisieren (EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 102 nach juris). Erst recht gilt dies für eine Personalisierung anhand der hier allein streitgegenständlichen Off-Site-Daten, denn der Kläger beanstandet ja nicht, dass ihm Inhalte und ggf. auch Werbung auf der Grundlage der von ihm besuchten M.-Seiten vorgeschlagen werden.
Schließlich liegt die Verantwortlichkeit der Datennutzung ab Übermittlung der Daten allein bei der Beklagten. Nach der Übermittlung der Daten liegt die weitere Verwendung der Daten in der Hand der Beklagten. Die Betreiber der Drittwebseiten, die über die M. Business Tools die Nutzungsdaten an die Beklagte weitergeben, sind dann nicht mehr eingebunden.
Soweit die Anträge zu Ziff. 1 b) und c) zusammen mit den in Ziff. 1 a) genannten personenbezogenen Daten erfasst, in Zusammenhang gebracht und gespeichert werden, erfasst der Feststellungsbegehren rechtmäßig auch diese Datenerhebung. Dass dies der Fall sein soll, ergibt sich aus der Zusammenschau und der Formulierung der Anträge, die wiederholt in Zusammenhang mit dem konkreten Nutzungsverhalten des Benutzers/Klägers gebracht werden.
4. Der Antrag zu Ziff. 2 ) ist zulässig und begründet.
Auch ohne ausdrückliche Regelung folgt ein Unterlassungsanspruch aus der DSGVO.
Hierzu werden auf die Ausführung des LG Braunschweig a.a.O. (juris Rn. 81 ff.) Bezug genommen.
„Aus Art. 17 DSGVO kann ein Anspruch auf Unterlassung der Speicherung von Daten folgen (OLG Frankfurt a. M. GRUR 2023,904, Rn. 44 ff.). Aus der Verpflichtung zur Löschung von Daten ergibt sich implizit zugleich die Verpflichtung, diese künftig nicht (wieder) zu verarbeiten. Auch aus Art. 82 DSGVO kann ein Unterlassungsanspruch erwachsen, soweit ein konkreter Schaden vorliegt (OLG Frankfurt a.a.O. Rn. 47 ff.).
Aus dem generellen Regelungsziel der DSGVO folgt, dass die Rechtsordnung grundsätzlich eine Möglichkeit für von rechtswidrigen Datenverarbeitungsvorgängen betroffenen Personen gegeben sein muss, gegen diese per Unterlassungsklage vorzugehen. Insoweit führt der EuGH (MMR 2024, 1022 – Lindenapotheke) aus, dass generelles Regelungsziel der DSGVO ist, den Betroffenen im europäischen Rechtsraum ein hohes Schutzniveau zu gewährleisten und die praktische Wirksamkeit der DSGVO sicherzustellen (vgl. LG Lübeck ZD 2025, 228 Rn. 50, beck-online).
Deshalb garantiert Art. 79 Absatz 1 DSGVO dem Betroffenen einen "wirksamen gerichtlichen Rechtsbehelf " und unterstützt damit ein maßgebliches Ziel der DSGVO, das – wie nicht zuletzt Satz 1 des 10. Erwägungsgrunds der DSGVO zeigt – in der Etablierung eines hohen Datenschutzniveaus liegt. Das Ziel, einen umfassenden Schutz bei der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten würde unterlaufen und damit zugleich der Grundrechtsschutz beeinträchtigt, wenn dem Betroffenen die Möglichkeit genommen würde, dem Verantwortlichen eine unrechtmäßige Datenverarbeitung für die Zukunft zu verbieten und ihn auf Löschungsansprüche nach Art. 17 DSGVO und Schadensersatzansprüche nach Art. 82 DSGVO zu verweisen (vgl. OLG Dresden ZD 2022, 235 [237, Rn. 29]).
Auch der BGH hat bereits entschieden, dass das in Art. 17 Abs. 1 DSGVO niedergelegte "Recht auf Löschung" schon aufgrund der für den Betroffenen letztlich unwägbaren und zudem stetem Entwicklungsfortschritt unterworfenen technischen Voraussetzungen der beanstandeten Datenverarbeitung nicht auf das schlichte Löschen von Daten zu verengen ist, sondern unabhängig von der technischen Umsetzung auch das Begehren umfasst, eine erneute Erfassung zu unterlassen (BGH GRUR 2022, 258 Rn. 10, 11, beck-online; BGH GRUR 2023, 1724 Rn. 20, beck-online). Daher kann jedenfalls Unterlassung zusammen mit der Löschung verlangt werden. Die Vorlage des BGH an den EuGH (GRUR 2023, 1724) bezieht sich nur auf den, hier nicht gegebenen Fall, dass keine Löschung beantragt ist.
Im Übrigen muss auch Konsequenz des Vorranges der Leistungsklage und der Verneinung des Feststellungsinteresses die Möglichkeit sein, Ansprüche im Wege einer Unterlassungsklage durchzusetzen.
Es kann offenbleiben, ob ein Unterlassungsanspruch sich auch auf nationales Recht (§ 823 BGB, Art 2 GG, § 1004 BGB) stützen lässt (vgl. OLG Nürnberg GRUR-RS 2024, 18386, Rn. 13; OLG Dresden ZD 2022, 235 [237, Rn. 29]; OLG Stuttgart, ZD 2022, 105, Rn. 2; OLG Köln MMR 2020, 186 [187, Rn. 28]; LG Augsburg 082 O 262/24 Anl. 2 zum SS v. 09.04.2025 in 9 O 2615/23).“
Der Antrag ist hinreichend bestimmt. Der Kläger kann, wie hier geschehen, sich allgemein gegen die Verarbeitung seiner Daten wenden.
Wie bereits dargelegt, ist die streitgegenständliche Datenverarbeitung rechtswidrig und verstößt gegen die Regelungen der Datenschutzgrundverordnung. Insbesondere kann sich die Beklagte auf keinen Rechtfertigungsgrund stützen. Da hier die Unterlassung direkt aus der Datenschutzgrundverordnung hergeleitet wird, kommt es auf eine Verletzung des Allgemeinen Persönlichkeitsrechts in Form des Rechts auf Informationelle Selbstbestimmung nicht an. Wenn der Unterlassungsanspruch allein auf nationales Recht (§§ 1004, 823 Abs. 1 BGB) gestützt werden müsste, wäre ein konkrete Rechtsgutsverletzung Voraussetzung für die Unterlassung.
5. Der Antrag zu Ziff. 3) ist teilweise begründet. Dem Kläger steht eine Geldentschädigung in Höhe von 3.000,00 € gemäß Art. 82 Abs. 1 DSGVO zu.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Zu den Voraussetzungen des Anspruchs hat das LG Braunschweig ausgeführt:
„Der Kläger hat auch einen immateriellen Schaden erlitten. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DSGVO reicht nach der Rechtsprechung des EUGH jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich.
Weiter hat der EUGH ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.
Schließlich hat der EUGH in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Im ersten Satz des 85. Erwägungsgrundes der DSGVO heißt es, dass "[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person". Aus dieser beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen Verlust der Kontrolle über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, juris Rn. 28 ff. m. w. N. zur Rechtsprechung des EuGH).
Die betroffene Person muss den Nachweis erbringen, dass sie einen solchen – das heißt in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (vgl. EuGH ECLI:EU:C:2024:536 Rn. 33 = DB 2024, 1676 = GRUR-RS 2024, 13978 – PS GbR; Senat NJW 2025, 298 Rn. 31 mwN = DB 2024, 3091). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (BGH NJW 2025, 298 Rn. 31 = DB 2024, 3091; BGH NJW 2025, 1060 Rn. 16, 17, beck-online).
Nach diesen Maßstäben liegt es in diesem Fall auf der Hand, dass der Kläger einen solchen Kontrollverlust erlitten hat. Die Beklagte hat personenbezogene Daten des Klägers über die streitgegenständlichen MBT ohne eine Einwilligung verarbeitet und bei sich gespeichert. Damit geht denknotwendigerweise einher, dass der Kläger nicht weiß, welche Daten dies sind und er daher einen Kontrollverlust über ihn betreffende personenbezogene Daten erlitten hat.
Ferner liegt die erforderliche haftungsbegründende Kausalität vor. Gerade die Datenerhebung auf den Drittwebseiten bzw. Apps führte zu der dem Kläger unbekannten Datenspeicherung bei der Beklagten und somit zu dem immateriellen Schaden in Form des Kontrollverlusts.“
(LG Braunschweig, a.a.O., juris Rn. 193 ff.)
Bei der Bemessung der Höhe der Entschädigung ist zu berücksichtigen, dass die streitgegenständliche Datenverarbeitung angesichts der Vielzahl der Webseiten, die M. Business Tools verwenden, einen erheblichen Umfang einnimmt und diese Tools seit Jahren verwendet werden. Anders als bei den sog. „Hacking-Fällen“ handelt es sich gerade nicht um ein einmaliges Ereignis. Ferner dienen die M. Business Tools allein dem Zweck der Zuordnung der Internetnutzung auf einen bestimmten Nutzer und werden hierfür von der Beklagten zielgerichtet angeboten. Auch hier unterscheidet sich die Verletzungshandlung von den sog. „Hacking-Fällen“, bei denen den Webseitenbetreibern in der Regel lediglich ein Fahrlässigkeitsvorwurf zu machen ist. Vor dem Hintergrund erscheint der tenorierte Schadensersatzanspruch angemessen aber auch ausreichend, um der Genugtuungsfunktion des immateriellen Schadensersatzanspruchs Rechnung zu tragen.
Da der Schadensersatzanspruch sich bereits aus Art. 82 Abs. 1 DSGVO ergibt, kann hier offenbleiben, ob darüber hinaus der Kläger seinen Anspruch auch auf § 823 Abs. 1 BGB hätte stützen können.
II.
I. Die Nebenforderungen sind teilweise begründet.
1. Verzugszinsen stehen dem Kläger erst ab Rechtshängigkeit gemäß §§ 291, 288 Abs. 1 BGB zu. Da die Beklagte, die den Zugang des als Anlage K3 eingereichten Schreibens bestreitet, zuvor in Schuldnerverzug geraten ist, ist nicht nachgewiesen.
2. Der Freistellungsanspruch ist teilweise begründet. Rechtsgrundlage für die Erstattung der Rechtsanwaltskosten ist Art. 82 DSGVO, da es sich um Kosten handelt, die der Kläger aufgrund der rechtswidrigen Datenverarbeitung eingegangen ist. Ob die Beklagte das Schreiben der klägerischen Anwälte erhalten hat, kann für diesen Anspruch dahinstehen. Denn die vorgerichtliche Tätigkeit ist auch dann zu vergüten, wenn das Schreiben die Beklagte nicht erreicht haben sollte. Es ist auch nicht davon auszugehen, dass der Kläger seinen späteren Prozessbevollmächtigten einen unbedingten Klagauftrag erteilt hat. Das vorgerichtliche Schreiben diente nicht der Schaffung einer Klagvoraussetzung, sondern war darauf ausgerichtet, mit einer beigefügten Verpflichtungserklärung eine gerichtliche Auseinandersetzung zu vermeiden. Es gibt keinen Grund zu der Annahme, dass der Kläger seine Anwälte auch für den Fall, dass die Beklagte diese Erklärung unterzeichnet hätte, mit einer Klage beauftragt hat; insbesondere lässt der Umstand, dass die Klägervertreter in mehreren tausend Fällen ähnliche Schreiben verschickt haben, nicht den Schluss zu, dass ein außergerichtlicher Abschluss der einzelnen Verfahren nicht in Betracht gekommen wäre. Sofern die Klägervertreter hingegen nur bedingt, also für den Fall, dass eine vorgerichtliche Einigung nicht zustande kommt, mit einer Klage beauftragt worden waren, hinderte sie dies nicht, eine Gebühr nach Nr. 2300 VV RVG in Rechnung zu stellen (BGH, Urt. v. 26.2.2013 – XI ZR 345/10, BKR 2013, 283, Rn. 37 nach juris).
Das Bestreiten der Beklagten, dass die mit dem Klagantrag geltend gemachten Kosten entstanden seien, steht dem Anspruch ebenfalls nicht entgegen. Dass die Gebühr angefallen ist, ergibt sich aus dem RVG. Soweit das Bestreiten darauf zielt, dass die Kosten bislang nicht bezahlt wurden, ist dies für den hier geltend gemachten Freistellungsanspruch keine Voraussetzung.
Der Höhe nach ist eine 1,3-Gebühr nebst Kommunikationspauschale und Umsatzsteuer nach einem Gegenstandswert von 7.000 € ersatzfähig. Gegenstand des vorgerichtlichen Schreibens war die Geltendmachung eines Auskunfts- und Löschungsanspruchs sowie die Zahlung einer Entschädigung in Höhe von 5.000,00 €.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 01.07.2025
301 O 20/24
Das LG Hamburg hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools auf Drittseiten und -Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen und einen Unterlassungsanspruch gegen Meta bejaht.
Aus den Entscheidungsgründen:
Der Antrag zu Ziff. 1) ist auch begründet. Die Beklagte verarbeitet personenbezogene Daten des Klägers. Nach Art. 4 Nr. 2 DSGVO fallen darunter das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten.
Die Beklagte empfängt über die M. Business Tools personenbezogene Daten mit denen sie den Nutzer identifizieren kann. Diese Daten gleicht sie mit den bei ihr gespeicherten Benutzerkonten ab. Wenn die Einstellungen es zulassen, werden die Daten für personalisierte Werbung verwendet. Auch wenn dies nicht erfolgt, bleiben die Daten gespeichert und sind weiter mit dem Nutzerkonto verknüpft und gespeichert.
Die auf den Drittseiten eingesetzten M. Business Tools prüfen nicht, wer die Seiten aufruft, sondern schicken sämtliche mittels der M. Business Tools erhobenen Daten an die Server der Beklagten. Dort wird geprüft, ob diese Daten Nutzer der Beklagten betreffen und darüber entschieden, wie sie weiterverarbeitet werden.
Wenn ein Nutzer des Netzwerks Instagram oder Facebook eine Drittseite welche M. Business Tools einsetzt, besucht, übermitteln die Drittfirmen über die derart eingebundenen M. Business Tools personenbezogene Daten an die Beklagte. Dies erfolgt unabhängig davon, ob der Nutzer zu diesem Zeitpunkt die Apps der Beklagten aktiviert hat bzw. dort eingeloggt ist (vgl. LG Lübeck GRUR-RS 2025, 81 Rn. 3, beck-online). Es findet auch statt, wenn die Drittseiten direkt und nicht aus den Programmen der Beklagten aus aufgerufen werden. Dies kann auch stattfinden, wenn die betroffene Person einer Datenübertragung an die Beklagte gegenüber dem Drittanbieter nicht zugestimmt und in die Datenverarbeitung auch gegenüber der Beklagten nicht eingewilligt hat (vgl. LG Lübeck ZD 2025, 228, beck-online). Für den durchschnittlichen Internetnutzer ist nicht erkennbar, ob die jeweilige Webseite mit einem M. Business Tool ausgestattet worden ist (so LG Braunschweig, a.a.O., juris Rn. 101 ff.). Jedenfalls die Erfassung und der Abgleich der Daten findet im jeden Fall statt – auch wenn der Nutzer keine Einwilligung zur Verwendung der Daten für personalisierte Werbung abgegeben hat. Soweit die Beklagte pauschal vorträgt, dass dann keine Datenverarbeitung stattfindet, ist dies nicht nachvollziehbar. Eine anschließende Löschung der übermittelten Daten erfolgt erst nach dem Abgleichprozess, d.h. nachdem sie die mit den Kontaktinformationen übermittelten Event-Daten mit einer Facebook-Nutzer-ID verknüpft hat, so dass eine Zuordnung zum Kläger möglich bleibt.
Die streitgegenständliche Datenverarbeitung ist folglich nicht durch eine etwaig vorhandene Einwilligung zur Bereitstellung personalisierter Werbung gerechtfertigt. Zum einen findet diese Datenverarbeitung unabhängig von einer Einwilligung statt und beschränkt sich zum anderen nicht auf dem in der Einwilligungserklärung genannten Zweck. Sie kann auch nicht durch eine Veränderung der Einstellung durch den Nutzer beeinflusst werden (LG Braunschweig, a.a.O., juris Rn. 112).
Die Beklagte räumt selbst ein, dass sie die von ihr als Off-Site-Daten bezeichnete Daten für Sicherheits- und Integritätszwecke speichere und verwende. Ungeachtet dessen, dass aus den Erläuterungen der Beklagten nicht hervorgeht, welche Maßnahmen damit bezeichnet sind und weshalb und in welchem Umfang dafür eine Verwendung der Daten des Klägers erforderlich ist, gibt es nach den Ausführungen der Beklagten offenbar auch noch weitere Verwendungen. Denn die Formulierung, dass sie die erhobenen Daten „für begrenzte Zwecke wie Sicherheits- und Integritätszwecke verwende“ (Hervorhebung hier) zeigt, dass die genannten Zwecke nur beispielhaft aufgezählt sind (LG Hamburg, a.a.O.).
Auch andere Rechtfertigungsgründe des Art. 6 DSGVO greifen nicht. Die Datenverarbeitung ist insbesondere nicht zur Erfüllung eines Vertrags nach Art. 6 Abs. 1 Unterabsatz 1 b) DSGVO erforderlich. Das Geschäftsmodell der Beklagten zwingt diese nicht, die angebotenen Inhalte zu personalisieren (EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 102 nach juris). Erst recht gilt dies für eine Personalisierung anhand der hier allein streitgegenständlichen Off-Site-Daten, denn der Kläger beanstandet ja nicht, dass ihm Inhalte und ggf. auch Werbung auf der Grundlage der von ihm besuchten M.-Seiten vorgeschlagen werden.
Schließlich liegt die Verantwortlichkeit der Datennutzung ab Übermittlung der Daten allein bei der Beklagten. Nach der Übermittlung der Daten liegt die weitere Verwendung der Daten in der Hand der Beklagten. Die Betreiber der Drittwebseiten, die über die M. Business Tools die Nutzungsdaten an die Beklagte weitergeben, sind dann nicht mehr eingebunden.
Soweit die Anträge zu Ziff. 1 b) und c) zusammen mit den in Ziff. 1 a) genannten personenbezogenen Daten erfasst, in Zusammenhang gebracht und gespeichert werden, erfasst der Feststellungsbegehren rechtmäßig auch diese Datenerhebung. Dass dies der Fall sein soll, ergibt sich aus der Zusammenschau und der Formulierung der Anträge, die wiederholt in Zusammenhang mit dem konkreten Nutzungsverhalten des Benutzers/Klägers gebracht werden.
4. Der Antrag zu Ziff. 2 ) ist zulässig und begründet.
Auch ohne ausdrückliche Regelung folgt ein Unterlassungsanspruch aus der DSGVO.
Hierzu werden auf die Ausführung des LG Braunschweig a.a.O. (juris Rn. 81 ff.) Bezug genommen.
„Aus Art. 17 DSGVO kann ein Anspruch auf Unterlassung der Speicherung von Daten folgen (OLG Frankfurt a. M. GRUR 2023,904, Rn. 44 ff.). Aus der Verpflichtung zur Löschung von Daten ergibt sich implizit zugleich die Verpflichtung, diese künftig nicht (wieder) zu verarbeiten. Auch aus Art. 82 DSGVO kann ein Unterlassungsanspruch erwachsen, soweit ein konkreter Schaden vorliegt (OLG Frankfurt a.a.O. Rn. 47 ff.).
Aus dem generellen Regelungsziel der DSGVO folgt, dass die Rechtsordnung grundsätzlich eine Möglichkeit für von rechtswidrigen Datenverarbeitungsvorgängen betroffenen Personen gegeben sein muss, gegen diese per Unterlassungsklage vorzugehen. Insoweit führt der EuGH (MMR 2024, 1022 – Lindenapotheke) aus, dass generelles Regelungsziel der DSGVO ist, den Betroffenen im europäischen Rechtsraum ein hohes Schutzniveau zu gewährleisten und die praktische Wirksamkeit der DSGVO sicherzustellen (vgl. LG Lübeck ZD 2025, 228 Rn. 50, beck-online).
Deshalb garantiert Art. 79 Absatz 1 DSGVO dem Betroffenen einen "wirksamen gerichtlichen Rechtsbehelf " und unterstützt damit ein maßgebliches Ziel der DSGVO, das – wie nicht zuletzt Satz 1 des 10. Erwägungsgrunds der DSGVO zeigt – in der Etablierung eines hohen Datenschutzniveaus liegt. Das Ziel, einen umfassenden Schutz bei der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten würde unterlaufen und damit zugleich der Grundrechtsschutz beeinträchtigt, wenn dem Betroffenen die Möglichkeit genommen würde, dem Verantwortlichen eine unrechtmäßige Datenverarbeitung für die Zukunft zu verbieten und ihn auf Löschungsansprüche nach Art. 17 DSGVO und Schadensersatzansprüche nach Art. 82 DSGVO zu verweisen (vgl. OLG Dresden ZD 2022, 235 [237, Rn. 29]).
Auch der BGH hat bereits entschieden, dass das in Art. 17 Abs. 1 DSGVO niedergelegte "Recht auf Löschung" schon aufgrund der für den Betroffenen letztlich unwägbaren und zudem stetem Entwicklungsfortschritt unterworfenen technischen Voraussetzungen der beanstandeten Datenverarbeitung nicht auf das schlichte Löschen von Daten zu verengen ist, sondern unabhängig von der technischen Umsetzung auch das Begehren umfasst, eine erneute Erfassung zu unterlassen (BGH GRUR 2022, 258 Rn. 10, 11, beck-online; BGH GRUR 2023, 1724 Rn. 20, beck-online). Daher kann jedenfalls Unterlassung zusammen mit der Löschung verlangt werden. Die Vorlage des BGH an den EuGH (GRUR 2023, 1724) bezieht sich nur auf den, hier nicht gegebenen Fall, dass keine Löschung beantragt ist.
Im Übrigen muss auch Konsequenz des Vorranges der Leistungsklage und der Verneinung des Feststellungsinteresses die Möglichkeit sein, Ansprüche im Wege einer Unterlassungsklage durchzusetzen.
Es kann offenbleiben, ob ein Unterlassungsanspruch sich auch auf nationales Recht (§ 823 BGB, Art 2 GG, § 1004 BGB) stützen lässt (vgl. OLG Nürnberg GRUR-RS 2024, 18386, Rn. 13; OLG Dresden ZD 2022, 235 [237, Rn. 29]; OLG Stuttgart, ZD 2022, 105, Rn. 2; OLG Köln MMR 2020, 186 [187, Rn. 28]; LG Augsburg 082 O 262/24 Anl. 2 zum SS v. 09.04.2025 in 9 O 2615/23).“
Der Antrag ist hinreichend bestimmt. Der Kläger kann, wie hier geschehen, sich allgemein gegen die Verarbeitung seiner Daten wenden.
Wie bereits dargelegt, ist die streitgegenständliche Datenverarbeitung rechtswidrig und verstößt gegen die Regelungen der Datenschutzgrundverordnung. Insbesondere kann sich die Beklagte auf keinen Rechtfertigungsgrund stützen. Da hier die Unterlassung direkt aus der Datenschutzgrundverordnung hergeleitet wird, kommt es auf eine Verletzung des Allgemeinen Persönlichkeitsrechts in Form des Rechts auf Informationelle Selbstbestimmung nicht an. Wenn der Unterlassungsanspruch allein auf nationales Recht (§§ 1004, 823 Abs. 1 BGB) gestützt werden müsste, wäre ein konkrete Rechtsgutsverletzung Voraussetzung für die Unterlassung.
5. Der Antrag zu Ziff. 3) ist teilweise begründet. Dem Kläger steht eine Geldentschädigung in Höhe von 3.000,00 € gemäß Art. 82 Abs. 1 DSGVO zu.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Zu den Voraussetzungen des Anspruchs hat das LG Braunschweig ausgeführt:
„Der Kläger hat auch einen immateriellen Schaden erlitten. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DSGVO reicht nach der Rechtsprechung des EUGH jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich.
Weiter hat der EUGH ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.
Schließlich hat der EUGH in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Im ersten Satz des 85. Erwägungsgrundes der DSGVO heißt es, dass "[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person". Aus dieser beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen Verlust der Kontrolle über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, juris Rn. 28 ff. m. w. N. zur Rechtsprechung des EuGH).
Die betroffene Person muss den Nachweis erbringen, dass sie einen solchen – das heißt in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (vgl. EuGH ECLI:EU:C:2024:536 Rn. 33 = DB 2024, 1676 = GRUR-RS 2024, 13978 – PS GbR; Senat NJW 2025, 298 Rn. 31 mwN = DB 2024, 3091). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (BGH NJW 2025, 298 Rn. 31 = DB 2024, 3091; BGH NJW 2025, 1060 Rn. 16, 17, beck-online).
Nach diesen Maßstäben liegt es in diesem Fall auf der Hand, dass der Kläger einen solchen Kontrollverlust erlitten hat. Die Beklagte hat personenbezogene Daten des Klägers über die streitgegenständlichen MBT ohne eine Einwilligung verarbeitet und bei sich gespeichert. Damit geht denknotwendigerweise einher, dass der Kläger nicht weiß, welche Daten dies sind und er daher einen Kontrollverlust über ihn betreffende personenbezogene Daten erlitten hat.
Ferner liegt die erforderliche haftungsbegründende Kausalität vor. Gerade die Datenerhebung auf den Drittwebseiten bzw. Apps führte zu der dem Kläger unbekannten Datenspeicherung bei der Beklagten und somit zu dem immateriellen Schaden in Form des Kontrollverlusts.“
(LG Braunschweig, a.a.O., juris Rn. 193 ff.)
Bei der Bemessung der Höhe der Entschädigung ist zu berücksichtigen, dass die streitgegenständliche Datenverarbeitung angesichts der Vielzahl der Webseiten, die M. Business Tools verwenden, einen erheblichen Umfang einnimmt und diese Tools seit Jahren verwendet werden. Anders als bei den sog. „Hacking-Fällen“ handelt es sich gerade nicht um ein einmaliges Ereignis. Ferner dienen die M. Business Tools allein dem Zweck der Zuordnung der Internetnutzung auf einen bestimmten Nutzer und werden hierfür von der Beklagten zielgerichtet angeboten. Auch hier unterscheidet sich die Verletzungshandlung von den sog. „Hacking-Fällen“, bei denen den Webseitenbetreibern in der Regel lediglich ein Fahrlässigkeitsvorwurf zu machen ist. Vor dem Hintergrund erscheint der tenorierte Schadensersatzanspruch angemessen aber auch ausreichend, um der Genugtuungsfunktion des immateriellen Schadensersatzanspruchs Rechnung zu tragen.
Da der Schadensersatzanspruch sich bereits aus Art. 82 Abs. 1 DSGVO ergibt, kann hier offenbleiben, ob darüber hinaus der Kläger seinen Anspruch auch auf § 823 Abs. 1 BGB hätte stützen können.
II.
I. Die Nebenforderungen sind teilweise begründet.
1. Verzugszinsen stehen dem Kläger erst ab Rechtshängigkeit gemäß §§ 291, 288 Abs. 1 BGB zu. Da die Beklagte, die den Zugang des als Anlage K3 eingereichten Schreibens bestreitet, zuvor in Schuldnerverzug geraten ist, ist nicht nachgewiesen.
2. Der Freistellungsanspruch ist teilweise begründet. Rechtsgrundlage für die Erstattung der Rechtsanwaltskosten ist Art. 82 DSGVO, da es sich um Kosten handelt, die der Kläger aufgrund der rechtswidrigen Datenverarbeitung eingegangen ist. Ob die Beklagte das Schreiben der klägerischen Anwälte erhalten hat, kann für diesen Anspruch dahinstehen. Denn die vorgerichtliche Tätigkeit ist auch dann zu vergüten, wenn das Schreiben die Beklagte nicht erreicht haben sollte. Es ist auch nicht davon auszugehen, dass der Kläger seinen späteren Prozessbevollmächtigten einen unbedingten Klagauftrag erteilt hat. Das vorgerichtliche Schreiben diente nicht der Schaffung einer Klagvoraussetzung, sondern war darauf ausgerichtet, mit einer beigefügten Verpflichtungserklärung eine gerichtliche Auseinandersetzung zu vermeiden. Es gibt keinen Grund zu der Annahme, dass der Kläger seine Anwälte auch für den Fall, dass die Beklagte diese Erklärung unterzeichnet hätte, mit einer Klage beauftragt hat; insbesondere lässt der Umstand, dass die Klägervertreter in mehreren tausend Fällen ähnliche Schreiben verschickt haben, nicht den Schluss zu, dass ein außergerichtlicher Abschluss der einzelnen Verfahren nicht in Betracht gekommen wäre. Sofern die Klägervertreter hingegen nur bedingt, also für den Fall, dass eine vorgerichtliche Einigung nicht zustande kommt, mit einer Klage beauftragt worden waren, hinderte sie dies nicht, eine Gebühr nach Nr. 2300 VV RVG in Rechnung zu stellen (BGH, Urt. v. 26.2.2013 – XI ZR 345/10, BKR 2013, 283, Rn. 37 nach juris).
Das Bestreiten der Beklagten, dass die mit dem Klagantrag geltend gemachten Kosten entstanden seien, steht dem Anspruch ebenfalls nicht entgegen. Dass die Gebühr angefallen ist, ergibt sich aus dem RVG. Soweit das Bestreiten darauf zielt, dass die Kosten bislang nicht bezahlt wurden, ist dies für den hier geltend gemachten Freistellungsanspruch keine Voraussetzung.
Der Höhe nach ist eine 1,3-Gebühr nebst Kommunikationspauschale und Umsatzsteuer nach einem Gegenstandswert von 7.000 € ersatzfähig. Gegenstand des vorgerichtlichen Schreibens war die Geltendmachung eines Auskunfts- und Löschungsanspruchs sowie die Zahlung einer Entschädigung in Höhe von 5.000,00 €.
Den Volltext der Entscheidung finden Sie hier: