Das OLG München hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 750 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.
Aus den Entscheidungsgründen: Die Anwendung deutschen Rechts folgt vorliegend aus der Rechtswahl der Parteien (Art. 3 Abs. 1, 6 Abs. 2 Rom I-VO – vgl. die Nutzungsvereinbarung in Anlage B2), sie ergäbe sich im Übrigen aus Art. 6 I lit. b Rom I-VO, weil ein Verbrauchervertrag vorliegt.
Der Klägerin steht ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von 750,- € zu (dazu sogleich 4.1.), daneben ein Anspruch auf Feststellung eines Verstoßes gegen den Nutzungsvertrag (dazu 4.2.), Ansprüche auf Unterlassung einer Verarbeitung bestimmter personenbezogener Daten (dazu 4.3.) und auf Erstattung vorgerichtlicher Rechtsanwaltskosten (dazu 4.4.).
Die Datenschutz-Grundverordnung (im Folgenden DSGVO) ist vorliegend sachlich (Art. 2), räumlich (Art. 3) und auch zeitlich (vgl. Art. 99 Abs. 2) anwendbar.
4.1. Der Senat geht davon aus, dass die Klägerin einen einheitlichen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DSGVO (vgl. hierzu BGH NJW 2025, 298 Rn. 55) geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der sog. ... ... Tools) wurzelt (s. Klageschrift S. 29: "der Verstoß").
Mit den Worten des BGH (a.a.O., Rn. 21) erfordert ein derartiger Anspruch nach der Rechtsprechung des EuGH "einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind [...] Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 I DSGVO den Ersatz eines (immateriellen) Schadens verlangt [...]. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 I DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 III DSGVO dem Verantwortlichen [...]."
Ein solcher Anspruch besteht vorliegend in Höhe von 750,- €.
4.1.1. Für den Senat steht fest, dass die Beklagte mithilfe der ... ... Tools eine potenziell unbegrenzte Menge an Daten der Klägerin verarbeitet, indem sie die Aktivitäten der Klägerin auf Dritt-Webseiten und Dritt-Apps verfolgt (so auch EuGH GRUR 2023, 1131 Rn. 118 betr. ...#).
4.1.1.1. Technische Grundlage und Datenschutzeinstellungen
4.1.1.1.1. Über die sog. ... ... Tools ("u.a. ...-Pixel, C# ... (vormals bekannt als ...I), das ... für App Events, Offline-C# ... und die App ...", s. Anlage B5) erhält die Beklagte ...Tool-Daten, d.h. Kontaktinformationen und/oder Event-Daten (z.B. Besuche auf einer Webseite, Installation einer App, Kauf eines Produkts) von ihren Vertragspartnern, den (hier) sog. Drittanbietern.
4.1.1.1.2. Bestimmte technische Standarddaten (s. hierzu z.B. Duplik, Rz. 31 = Bl. 308 f. LGA) gelangen automatisch an die Beklagte, wenn die Klägerin eine Webseite aufruft, deren Anbieter die ... ... Tools in seine Webseite eingebettet hat. Nach einer vereinfachten Darstellung des EuGH (BeckRS 2019, 15831 – Fashion ID; näher Duplik, Rz. 23 ff. = Bl. 304 ff. LGA) ist es "eine Eigenart des Internets, dass der Browser des Internetbesuchers Inhalte aus verschiedenen Quellen darstellen kann. [...] Hierzu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. [...]"
4.1.1.1.3. Weitere (sog. Event-) Daten werden dann automatisch an die Beklagte übertragen, wenn der Drittanbieter bei der Einbettung der ... ... Tools in seine Webseite oder App eine entsprechende Einstellung vorgenommen hat (Duplik, Rz. 35 f. = Bl. 310 f. LGA). Die ... Tools Nutzungsbedingungen verlangen in diesem Fall von dem Drittanbieter, die erforderlichen Angaben und Datenschutzbelehrungen zu erteilen und die notwendige Einwilligung einzuholen (Anlage B5). Die Beklagte überprüft dies nicht.
4.1.1.1.4. Wie die Beklagte mit den bei ihr eingegangenen Informationen weiter verfährt, hängt von den Datenschutz-Einstellungen des jeweiligen Nutzers ab.
4.1.1.1.4.1. Erlaubt der Nutzer der Beklagten nicht, Cookies und vergleichbare Technologien in anderen Apps und auf anderen Webseiten zu nutzen, so kann er sich dort nicht mehr mit seinem ...-Konto anmelden und die dort erhobenen Daten werden nicht verwendet, um relevante Werbung zu zeigen. Sie werden aber in eingeschränktem Umfang genutzt, um für Sicherheit und Integrität zu sorgen und es kann sein, dass die Beklagte aggregierte Informationen zu Aktivitäten erhält, nicht aber die persönliche Cookie-Information des Nutzers (Anlage B7, S. 41).
4.1.1.1.4.2. Entscheidet sich der Nutzer dafür, Werbung mithilfe der Informationen von Werbepartnern zu seinen Aktivitäten relevanter zu machen, erhält er stärker personalisierte Werbung. Entscheidet er sich dagegen, (s. Anlage B7, S. 43), werden die Daten dennoch – für andere Zwecke – verarbeitet (Duplik, Rz. 62 = Bl. 322 LGA), z.B. zum Schutz der Sicherheit und Integrität der Server (a.a.O. Rz. 63) oder zur Messung der Effektivität von Werbekampagnen (Anlage K11, S. 23: "die C# ... ist nötig, um die Events von Nutzer*innen zu aggregieren, die sich gegen die Nutzung ihrer Daten entschieden haben"; hierzu Duplik, Rz. 60 = Bl. 321 LGA.).
4.1.1.1.4.3. Der Nutzer hat weiter die Möglichkeit, die Verknüpfung künftiger Aktivitäten mit seinem Konto aufzuheben und frühere Aktivitäten zu löschen (Anlage B7, S. 44 ff.). In diesem Fall erhält die Beklagte aber weiterhin Informationen zu seinen Aktivitäten, die für Messungen sowie zur Verbesserung der Werbesysteme verwendet werden (Anlage B7, S. 56).
4.1.1.2. Die Klägerin hat im Rahmen ihrer erstinstanzlich erfolgten persönlichen Anhörung erklärt, ihr sei aufgefallen, dass ihr zu zuvor gegoogelten Themen Werbung angezeigt wurde. Sie habe schon zuvor unter einer generalisierten Angststörung gelitten und sei auch schon in psychologischer Behandlung gewesen. Sie google viele Symptome und möchte nicht, dass ein Dritter wisse, wie es um ihre Gesundheit bestellt sei. Ihre generalisierte Angststörung sei dadurch "befeuert" worden (Protokoll der erstinstanzlichen mündlichen Verhandlung vom 06.02.2025, Bl. 482 – 484, dort S. 2 = Bl. 483 LGA).
Die Beklagte hat insoweit mit Nichtwissen bestritten, dass der streitgegenständliche Sachverhalt Thema der Behandlung der Klägerin gewesen wäre (ebd.). Nicht bestritten und damit vom Senat zugrunde zu legen ist die restliche Erklärung der Klägerin, sie google viele Symptome, ihr sei zu gegoogelten Themen Werbung angezeigt worden und ihre bereits zuvor vorhandene generalisierte Angststörung sei durch ihre Aufklärung über den streitgegenständlichen Sachverhalt "befeuert" worden.
4.1.1.2.1. Die Klägerin kann und muss nicht wissen, auf welchen (Dritt-) Webseiten und Apps ... ... Tools Verwendung finden, sie darf sich insoweit auf Vermutungen stützen (vgl. z.B. BGH BeckRS 2015, 10851). Die Beklagte kann sich hingegen nicht auf ein pauschales Bestreiten beschränken, sie müsste konkret vortragen, weil (nur) sie es kann (§ 138 Abs. 1, Abs. 2 ZPO).
4.1.1.2.2. Dass die Klägerin sich um eine gewisse Plausibilisierung ihrer Vermutung bemüht, indem sie – gestützt auf Nachforschungen ihrer Prozessbevollmächtigten – vorträgt, dass allein "der ... Pixel [...] auf 30 – 40% aller Internetseiten und der ganz überwiegenden Mehrzahl der meistbesuchten 100 Webseiten Deutschlands verbaut" sei (Replik, S. 49 = Bl. 191 d.A.; vgl. auch Anlage K2), gereicht ihr nicht zum Nachteil. Das pauschale Bestreiten dieses Vortrags als unsubstantiiert ist unwirksam.
4.1.2. Nachdem der Klägerin unstreitig Werbung zu gegoogelten Themen gezeigt wurde (s.o. unter Punkt 4.1.1.2.), liegt ein Verstoß gegen den Grundsatz der Datenminimierung, der in Art. 5 Abs. 1 lit. b), lit. c), Art. 25 Abs. 2 S. 1, 3 DSGVO verankert ist, vor.
4.1.2.1. Der Grundsatz der Datenminimierung sichert die Verhältnismäßigkeit der Datenverarbeitung und besagt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (EuGH NZA 2024, 1407 Rn. 49 f.; NZA 2023, 1523). Der Verantwortliche darf die Daten nicht allgemein und unterschiedslos erheben, sondern muss von der Erhebung solcher Daten absehen, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (EuGH NZA 2024, 1407 Rn. 59). In zeitlicher Hinsicht ist der Zeitraum der Datenerhebung als solcher und der Zeitraum, in dem die Möglichkeit besteht, den Betroffenen zu identifizieren, auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (sog. Speicherbegrenzung, s. EuGH a.a.O. Rn. 52 f.; EuZW 2022, 527).
4.1.2.2. Zwischen den Parteien ist unstreitig, dass die von den (Dritt-) Webseiten und Apps stammenden "Kontaktinformationen" und/oder "Event-Daten" (Anlage B5) ungefiltert und damit – in den Worten des EuGH (s.o.) – allgemein und unterschiedslos von der Beklagten verarbeitet werden. Der Senat sieht hierin – wie der EuGH (NZA 2024, 1407 Rn. 62 ff.) in einem ... betreffenden Fall – einen unverhältnismäßigen Eingriff in die durch Art. 7, 8 GRCharta geschützten Rechte der Klägerin auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten. Der EuGH weist zurecht darauf hin, "dass eine solche Verarbeitung besonders umfassend [ist], da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von ... aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird" (EuGH NZA 2024, 1407 Rn. 62; NZA 2023, 1523).
4.1.2.3. Personenbezogen i.S.v. Art. 4 Nr. 1 DSGVO sind die verarbeiteten Daten schon deshalb, weil die Beklagte unstreitig in der Lage ist, diese Daten (z.B. über die verwendete IPAdresse oder individuelle Geräteinformationen) dem Benutzerkonto der Klägerin zuzuordnen (vgl. Erwägungsgrund 26 zur DSGVO: "Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren [...]"; s. auch EuGH BeckRS 2016, 82520 zu dynamischen IP-Adressen).
4.1.2.4. Die Beklagte ist zur Überzeugung des Senats für die Erhebung, Übermittlung, Speicherung und Verwertung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.
4.1.2.4.1. Die Verantwortlichkeit für die Speicherung und Verarbeitung liegt auf der Hand.
4.1.2.4.2. Die Beklagte ist – gemeinsam mit dem jeweiligen Drittanbieter – auch für die Erhebung und Übermittlung verantwortlich (EuGH BeckRS 2019, 15831 Rn. 79, 96 – Fashion ID). Das liegt daran, dass durch die Einbettung der ... ... Tools in eine Webseite oder App quasi eine "dynamische Verweisung" auf die jeweils aktuelle Version des Tools entsteht. Die Kontrolle über die Programmierung und in der Folge über die Funktionalität des Tools verbleibt damit bei der Beklagten. Diese entscheidet (mit), welche Daten erhoben und übermittelt werden. Dass eine "gemeinsame Verantwortlichkeit für die Datenverarbeitung mit dem jeweiligen Drittunternehmen gem. der DSGVO betreffend die Erhebung und Übermittlung zusätzlicher Daten an ... über gewisse ... ... Tools" besteht, hat die Beklagte eingeräumt (Duplik, Rz. 41, 45 = Bl. 313 f. LGA, vgl. auch die Nutzungsbedingungen für die ... ... Tools in Anlage B5, dort S. 5).
4.1.3. Die Datenverarbeitung seitens der Beklagten ist nicht nach Art. 6 Abs. 1 DSGVO gerechtfertigt.
4.1.3.1. Von Bedeutung ist dabei zunächst, "dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es nach Art. 13 I Buchst. c dieser Verordnung, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, dem Verantwortlichen, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren" (EuGH GRUR 2023, 1131 Rn. 95). Anders als die Beklagte meint, muss nicht die Klägerin bestimmte Verarbeitungszwecke in Frage stellen, sondern hat die Beklagte zu erklären, zu welchem Zweck sie welche Daten erhoben hat und weshalb die Verarbeitung der Daten rechtmäßig sein soll. Die Beklagte verweist in der Berufungsbegründung (S. 23, Fn. 10) selbst auf die sog. Einwilligungsleitlinien des Europäischen Datenschutzausschusses (dort, Rz. 118), in denen es heißt: "[Es ist] sehr wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. [...] Deshalb sollten Verantwortliche von Anfang an deutlich machen, welcher Zweck auf welche Daten Anwendung findet und auf welcher Rechtsgrundlage die Verarbeitung beruht."
Das LG Jena hat entschieden, dass die Nutzung einer Gesichtserkennungssoftware durch eine Universität zur Authentifizierung bei einer Online-Prüfung nur mit Einwilligung zulässig ist. Vorliegend hat das Gericht dem Betroffenen 200 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.
Aus den Entscheidungsgründen: Der Klägerin steht gemäß Art. 82 Abs. 1 DSGVO ein Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens aufgrund der rechtswidrigen Verarbeitung biometrischer Daten der Kläger durch die Beklagte zu.
Bei der Nutzung der Gesichtserkennungssoftware des Anbieters Uniwise sind biometrische Daten der Klägerin im Sinne von Art. 4 Nr. 14 DSGVO verarbeitet worden. Durch den automatisierten Abgleich der während der Online-Prüfungen aufgenommenen Bilder vom Gesicht der Klägerin mit dem am 09.07.2020 erstellten Referenzbild wurden mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der Klägerin, die ihre eindeutige Identifizierung ermöglichen oder bestätigen, zur Feststellung möglicher Täuschungsversuche verwendet. Diese Verarbeitung der biometrischen Daten der Klägerin war unter den hier vorliegenden Umständen auch rechtswidrig. Gemäß Art 9 Abs. 1 DSGVO ist die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person grundsätzlich untersagt, es sei denn es liegt ein in Art. 9 Abs. 2 DSGVO geregelter Ausnahmefall vor. Ein solcher Ausnahmefall kann hier jedoch nicht angenommen werden.
Der in § 9 Abs. 2 Buchst. a DSGVO geregelte Fall einer ausdrücklichen Einwilligung der von der Verarbeitung ihrer biometrischen Daten betroffenen Person ist hier nicht gegeben. Eine solche ausdrückliche Einwilligung kann insbesondere nicht durch den Umstand angenommen werden, dass die Klägerin aus dem Katalog der möglichen Durchführung von Prüfungen während der Corona-Pandemie die Möglichkeit 1 (Absolvierung der Prüfung außerhalb des Unicampus) ausgewählt hat. In der Wahl dieser Prüfungsart liegt weder eine konkludente noch eine von der genannten Norm erforderte ausdrückliche Einwilligung der Klägerin mit der Verarbeitung ihrer biometrischen Daten. Der Umstand, dass nach der entsprechenden Auswahl durch die Klägerin ein Referenzbild von ihr angefertigt wurde, konnte zwar die Vermutung der Klägerin begründen, dass bei der Online-Prüfung eine automatisierte Gesichtserkennungssoftware zum Einsatz kommt. Durch die bloße Hinnahme dieses Procederes hat sie jedoch nicht ihr Einverständnis mit der konkreten Verarbeitung ihrer biometrischer Daten durch die zum Einsatz gebrachte Gesichtserkennungssoftware erklärt. Jedenfalls fehlt es insoweit an der im Gesetz vorgeschriebenen Ausdrücklichkeit der Einwilligungserklärung. Hierzu hätte es einer expliziten Belehrung der Klägerin über die durch die Nutzung der Gesichtserkennungssoftware ermöglichte Verarbeitung ihrer biometrischen Daten und einer hierauf bezogenen konkreten Einwilligungserklärung der Klägerin bedurft. Eine solche ausdrückliche Einwilligungserklärung hat sie nicht abgegeben. Auch die Möglichkeit, sich bei Auskunftsstellen der Universität näher über den Prüfungsablauf informieren zu können, ersetzt das Erfordernis einer solchen ausdrücklichen Einwilligungserklärung nicht.
Die Zulässigkeit der Verarbeitung der biometrischen Daten der Klägerin ergibt sich auch nicht aus Art. 9 Abs. 2 Buchst. e DSGVO. Durch die Veröffentlichung von Gesichtsbildern in den sozialen Medien seit dem Jahr 2015 hat die Klägerin keine biometrischen Daten veröffentlicht, sondern lediglich die Möglichkeit geschaffen, dass Dritte biometrische Daten aus diesen Bildern gewinnen können. Ob die Klägerin durch die vorherige Veröffentlichung ihrer Bilder im Internet bereits die Kontrolle über diese personenbezogenen Daten verloren hat, spielt in diesem Zusammenhang keine Rolle, sondern ist erst für die Frage relevant, inwieweit ihr durch den Datenschutzverstoß ein Schaden entstanden ist.
Auch aus der Norm des Art. 9 Abs. 2 Buchst. g DSGVO kann keine Rechtfertigung für die Verarbeitung der biometrischen Daten hergeleitet werden. Zwar mag die Durchführung von Fernprüfungen während der Corona-Pandemie zwecks Aufrechterhaltung des Lehr- und Prüfungsbetriebes in den Hochschulen einem gewissen öffentlichen Interesse entsprochen haben. Dieses öffentliche Interesse erforderte es jedoch nicht wie geschehen eine Verarbeitung biometrischer Daten, durch die nicht unerheblich in das informationelle Selbstbestimmungsrecht des Betroffenen eingegriffen wird, ohne Einholung einer ausdrücklichen Einwilligungserklärung des Betroffenen vorzunehmen, zumal auch andere Möglichkeiten der Prüfungsdurchführung während der Pandemie zur Verfügung standen.
Durch die unzulässige Verarbeitung der biometrischen Daten der Klägerin bei der Durchführung der Online-Prüfungen ist dieser auch ein wenn auch eher als nicht allzu intensiv einzuschätzender Schaden in Form einer psychischen Beeinträchtigung entstanden, für den die Beklagte gemäß Art. 82 Abs. 1 DSGVO Ersatz zu leisten hat.
Die Klägerin hat bei ihrer Anhörung durch das Landgericht erklärt, dass sie während der Fernprüfungen aufgrund der Nutzung der Gesichtserkennungssoftware dauerhaft befürchtet habe, durch bestimmte Bewegungen ihres Kopfes den Übereinstimmungsreferenzwert zwischen aktuellem Bild und dem Referenzbild zu unterschreiten und hierdurch infolge der Softwarefunktion dem Prüfer automatisch Veranlassung zur Überprüfung eines Täuschungsversuches ihrerseits bieten könnte. Der Senat hält diese Bekundungen auch für plausibel. Insbesondere der Umstand, dass eine automatisierte Erkennungssoftware zum Einsatz gekommen ist, lässt das wenn auch vielleicht diffuse Gefühl, dass ohne eigene Einflussmöglichkeit ständig die Möglichkeit besteht, dem Vorwurf eines Täuschungsversuches ausgesetzt zu sein, durchaus nachvollziehbar erscheinen. Entgegen dem Vorbringen der Beklagten ist die Behauptung auch nicht deshalb unglaubhaft, weil sie erst im späteren Verlauf des Verfahrens aufgestellt wurde. Vielmehr hat die Klägerin bereits in der Klageschrift vorgetragen, dass die automatische Überwachung sie während der Prüfungssituation unter erheblichen Stress gesetzt habe und in ihr die Angst ausgelöst habe, dem unbegründeten Verdacht eines Täuschungsversuchs ausgesetzt zu sein. Dass das Landgericht diese Bekundung der Klägerin für unglaubhaft gehalten hat, ergibt sich aus den Ausführungen im Urteil nicht. Vielmehr meinte das Landgericht, hieraus nicht den Schluss ziehen zu können, dass der Klägerin ein immaterieller Schaden entstanden ist. Soweit das Landgericht damit argumentiert hat, dass der Umstand, dass sich die Klägerin vor den Prüfungen nicht bei Auskunftsstellen der Beklagten über den genauen Ablauf der Fernprüfungen informiert habe, gegen die Annahme eines immateriellen Schadens spreche, handelt es sich nach Auffassung des Senats letztlich um die unbewusste Anwendung des Erfordernisses einer Erheblichkeitsschwelle für die Annahme eines immateriellen Schadens durch das Landgericht, da dieses Argument nicht geeignet ist, die Befürchtungen der Klägerin als solche zu widerlegen, sondern die Annahme begründet, dass die Befürchtungen nicht allzu intensiv gewesen sein können. Die weitere Schlussfolgerung des Landgerichts, dass die psychische Beeinträchtigung nicht spezifisch auf die Verarbeitung biometrischer Daten zurückzuführen ist, da anzunehmen sei, dass diese auch bei der Durchführung herkömmlicher videoüberwachter Prüfungen aufgetreten sei, vermag der Senat nicht zu teilen. Zwischen diesen Prüfungssituationen besteht ein erheblicher Unterschied. Während bei einer bloß videoüberwachten Prüfung für den Prüfer nur dann Anlass besteht, Ermittlungen wegen eines möglichen Täuschungsversuchs aufzunehmen, wenn er durch eigene Anschauung entsprechende Anhaltspunkte hierfür gewonnen hat, wird die entsprechende Verdachtsprüfung durch den automatisierten Einsatz der Gesichtserkennungssoftware ausgelöst. Für den Prüfling besteht hierdurch ein Gefühl, „der Technik ausgeliefert zu sein“ und das Auslösen eines Verdachts der Täuschung letztlich nicht beeinflussen zu können. Die von der Klägerin geschilderten Befürchtungen sind also gerade auf die Verwendung der Gesichtserkennungssoftware und die hierdurch erfolgte Verarbeitung biometrischer Daten zurückzuführen.
Eine nochmalige Anhörung der Klägerin war entgegen der Auffassung der Beklagten nicht erforderlich, um bezüglich der Beweiswürdigung in Bezug auf den Eintritt einer psychischen Beeinträchtigung zu einem anderen Ergebnis zu kommen als das Landgericht. Die von derjenigen des Landgerichts abweichende Beweiswürdigung des Senats beruht nicht auf einer unterschiedlichen Einschätzung der Glaubhaftigkeit der Aussage der Klägerin, sondern auf divergierenden Schlussfolgerungen, die aus den Bekundungen der Klägerin im Hinblick auf den Eintritt eines ersatzfähigen Schadens gezogen wurden.
Der Senat bewertet den der Klägerin durch die erlittene psychische Beeinträchtigung entstandenen immateriellen Schaden mit einem Betrag von 200 EUR. Dabei war zu beachten, dass es sich nach Einschätzung durch den Senat vorliegend um eine eher geringfügige Beeinträchtigung von nicht sehr hoher Intensität handelt. Die Befürchtungen bestanden vorliegend nicht dauerhaft, wie das etwa bei der Veröffentlichung personenbezogener Daten im Internet der Fall ist, sondern nur punktuell während der Zeit der Fernprüfungen. Darüber hinaus drohten der Klägerin bei einem Auslösen des „Alarms“ durch die Software bei Unterschreitung des Referenzwertes noch keine unmittelbar nachteiligen Konsequenzen, sondern lediglich Maßnahmen zur Überprüfung des Grundes für das Auslösen der Software. Ein solche Überprüfung ist zwar für den Prüfling nachvollziehbarerweise mit unangenehmen Gefühlen verbunden, stellt aber noch kein so gravierendes Übel dar, dass von einer hohen psychischen Beeinträchtigung ausgegangen werden kann. Hinzu kommt, dass mit der Absolvierung mehrerer Fernprüfungen, bei denen der „Alarm“ durch die Software gerade nicht ausgelöst worden war, bei der Klägerin ein Gewöhnungseffekt eingetreten sein dürfte, der bei den später absolvierten Klausuren die Intensität der Befürchtungen, wenn sie überhaupt noch vorhanden waren, deutlich verringert haben dürfte. Der Senat hält daher die Bewertung des Schmerzensgeldbetrages mit einem im unteren Bereich der Bemessungsskala angesiedelten Betrag für gerechtfertigt.
Ein weitergehender Schaden in Form eines Kontrollverlustes über ihre biometrischen Schaden ist der Klägerin nicht entstanden. Allerdings hat der BGH in seiner nach Erlass des Urteils des Landgerichts ergangenen Leitentscheidung vom 18.11.2024, Az.:VI ZR 10/24, juris entschieden, dass der bloße Kontrollverlust über personenbezogene Daten bei dem von einem Datenschutzverstoß Betroffenen bereits einen ersatzfähigen Schaden darstellt. Jedoch muss der Betroffene den Eintritt eines solchen Kontrollverlusts darlegen und gegebenenfalls beweisen. Der Datenschutzverstoß als solcher stellt noch keinen Nachweis eines Kontrollverlusts dar.
Vorliegend hat die Klägerin durch die Verarbeitung ihrer biometrischen Daten schon deshalb keinen Kontrollverlust erlitten, weil sie zum Zeitpunkt der Datenverarbeitung bereits keine Kontrolle mehr über ihre ihr Gesicht betreffenden biometrischen Daten gehabt hat. Die Klägerin hat unstreitig Fotos von ihrem Gesicht seit 2015 auf stark besuchten Internetplattformen, insbesondere Instagram, veröffentlicht und erst 2022 die Sichtbarkeit dieser Bilder zumindest auf einen beschränkten Personenkreis reduziert. Damit bestand für eine unbegrenzte Vielzahl von Nutzern der Plattform Instagram über eine lange Zeitdauer die potentielle Möglichkeit, aus den Gesichtsfotos der Klägern biometrische Daten zu gewinnen. Dieses Vorbringen der Beklagten hat die Klägerin nicht bestritten. Die Generierung und Nutzung der biometrischen Daten der Klägerin war somit für eine unbegrenzte Vielzahl von Internetnutzern auf aller Welt gegeben, so dass die Klägerin nicht mehr die Kontrolle über ihre biometrischen Daten, soweit sie ihr Gesicht betreffen, besaß. Der Umstand, dass die Generierung und Nutzung von biometrischen Daten aus den von ihr veröffentlichten Bildern regelmäßig rechtswidrig sein dürfte, ändert am Eintritt des Kontrollverlusts nichts. Einem Kontrollverlust über personenbezogene Daten ist es gerade immanent, dass deren - insbesondere missbräuchliche - Verwendung durch Dritte durch den Betroffenen nicht mehr verhindert werden kann. Die Annahme der Klägerin, dass der von einem vor dem Datenschutzverstoß bereits eingetretenen Kontrollverlust Betroffene der Verwendung seiner Daten schutzlos ausgeliefert sei, ist unzutreffend. Selbstverständlich kann der Betroffene bei einer rechtswidrigen Generierung oder Verwendung seiner biometrischen (oder sonstigen personenbezogenen) Daten Schadensersatz geltend machen, wenn ihm hierdurch ein materieller oder immaterieller Schaden entstanden ist. Er kann lediglich keinen Schadensersatz wegen des (bloßen) Kontrollverlusts über seine personenbezogenen Daten mehr verlangen.
Schadensersatz wegen eines etwaigen Kontrollverlusts über ihre biometrischen Daten, der sich angesichts der Rechtsprechung des BGH im Urteil vom 18.11.2024, Az.: VI 10/24, wonach selbst der Kontrollverlust über dauerhaft im Darknet veröffentlichte personenbezogene Daten mit einem Schadensbetrag von etwa 100 EUR zu bewerten ist, ohnehin in einem eher symbolischen Bereich bewegen dürfte, kann die Klägerin somit nicht geltend machen.
Ein Verstoß gegen Art. 22 DSGVO liegt nicht vor. In dem Umstand, dass das Unterschreiten oder Nichtunterschreiten des Referenzwertes die Grundlage für eine Überprüfung des Vorliegens eines Täuschungsversuches bildet, sieht der Senat wie das Landgericht weder eine rechtliche wirksame Entscheidung für die Klägerin noch diese hierdurch „in ähnlicher Weise beeinträchtigt“. Das ist auch dann der Fall, wenn man wie angeblich in anderen Sprachversionen eine „beträchtliche Auswirkung“ fordert. Selbst wenn man einen Verstoß gegen Art. 22 DSGVO bejahen würde, stünde der Klägerin kein weitergehender Ersatz eines Schadens, den sie nicht bereits durch den Verstoß gegen Art. 9 Abs. 1 DSGVO verlangen kann, zu. Aus demselben Grund kann auch dahinstehen, ob dem Grunde nach Schadensersatzansprüche aus § 823 Abs. 2 BGB aus § 839 BGB i.V.m. Art. 34 GG oder aus § 25 TMMG gegeben sind.
Ein Verstoß gegen Art. 44 DSGVO (Übermittlung von Daten in Staaten außerhalb der EU) begründet ebenfalls keinen Schadensersatzanspruch, da eine entsprechende Datenschutzverletzung schon nicht feststeht. Insbesondere steht nicht fest, dass Daten an die in den USA ansässigen Gesellschaften der Mutterkonzerne Amazon bzw. Google übermittelt wurden. Darüber hinaus wäre die Klägerin durch die Übermittlung von Daten an den in den USA ansässigen Mutterkonzern Amazon aufgrund des bereits zuvor eingetretenen Kontrollverlust über ihre biometrischen Daten nicht zusätzlich geschädigt.
Ein Verstoß gegen die Verpflichtung der Beklagten, gemäß Art. 28 Abs. 3 und 4 DSGVO Verträge mit dem dort geregelten Inhalt mit den Auftrags- bzw. Unterauftragsverarbeitern zu schließen, dürfte zwar vorliegen, da die Beklagte solche Verträge trotz ausdrücklichen Bestreitens der Behauptung durch die Klägerin, dass solche existieren, nicht vorgelegt hat. Auch diesbezüglich hat die Klägerin jedoch keinen weitergehenden Schaden erlitten.
Auf die Geltendmachung von Schadensersatz wegen der Übermittlung von IP-Adressen der Klägerin an den Google-Konzern im Zusammenhang mit der Verwendung der Software WISEflow hat diese im Laufe des Verfahrens verzichtet. Die streitige Rechtsfrage (vgl. den Vorlagebeschluss des BGH an den EuGH vom 28.08.2025, Az.: VI ZR 258/24), in welchen Konstellationen an Dritte übermittelte IP-Adressen als personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO anzusehen sind, kann somit offenbleiben.
Die Klägerin kann ebenfalls keinen Schadensersatz wegen der Verwendung des Lock-Down-Browsers der Firma Respondus verlangen. Hierbei handelt es sich nicht um einen Datenschutzverstoß durch die Beklagte. Dass durch den Zugriff auf das seitens der Klägerin auf ihrem Laptop installierte Programm auf auf dem Endgerät gespeicherte Daten zugegriffen wurde, die über die Programmbibliotheken des Lock-Down-Programms selbst hinausgehen, hat die Klägerin weder substantiiert vorgetragen noch hierzu Beweis angetreten. Der Zugriff auf die Daten des Programms, welches die Klägerin selbst auf Veranlassung der Beklagten zur Verhinderung der Inanspruchnahme unerlaubter Hilfsmittel bei den Fernprüfungen installiert hat, ist nicht rechtswidrig. Die Klägerin hat sich durch die Installation des Programms zwecks Teilnahme an der Fernprüfung mit dem Zugriff auf die Programmdaten während der Prüfung zumindest konkludent einverstanden erklärt. Zudem ist nicht ersichtlich, dass die Klägerin durch den Zugriff auf die Programmbibliotheken des Lock-Down-Programms einen Schaden erlitten hat.
Die Klägerin hat gegen die Beklagte daher einen Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens in Höhe von 200 EUR, so dass das Urteil des Landgerichts entsprechend abzuändern war.
Das OLG Frankfurt hat entschieden, dass jeder der am Setzen von Cookies mitwirkt, Anbieter im Sinne von § 25 TDDDG ist und ggf. auf Unterlassung und Schadensersatz haftet, wenn die erforderliche Einwilligung fehlt
Aus den Entscheidungsgründen: e) Entgegen der Auffassung der Beklagten ist sie auch Verpflichtete des § 25 TDDDG.
Die Verpflichtung nach § 25 TDDDG ist nicht auf „Anbieter“ beschränkt wie andere Verpflichtungen des TDDDG (zB § 19); § 25 TDDDG verbietet vielmehr jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. Der Tatbestand ist durch die Begriffe „Speicherung“ und „Zugriff“ rein verhaltensbezogen formuliert. Normadressat des Verbots aus § 25 und zugleich Einwilligungsadressat in den Fällen des Abs. 1 bzw. gesetzlich Zugriffsermächtigter in den Fällen des Abs. 2 ist der Akteur, der die konkrete Speicher- oder Zugriffshandlung beabsichtigt. Das kann der Anbieter eines Telemediendiensts sein, ebenso aber auch andere wie Zugriffsinteressierte unabhängig von ihren Motiven. Das Verbot adressiert auch und insbesondere Gefahren wie etwa eingeschleuste Spähsoftware oder Viren (Erwägungsgrund 66 S. 1 Cookie-RL), die üblicherweise nicht von Telemedienangeboten ausgehen (VG Köln, Urteil vom 17.07.2025, 13 K 1419/23, GRUR-RS 2025, 17335, Rnr. 80 ff.; Gierschmann/Baumgartner/Hanloser, 2023, TDDDG § 25 Rn. 42; HK-TDDDG/Schneider, 2022, TDDDG § 25 Rn. 17; BeckOK IT-Recht/Sesing-Wagenpfeil, 20. Ed. 1.10.2025, TTDSG § 25 Rn. 41-51).
Adressat des § 25 I 1 TDDDG ist daher jede natürliche oder juristische Person, die kausal die Ausführung des die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltextes veranlasst und der darüber hinaus bei wertender Betrachtung die mit dem Fernzugriff einhergehende Realisierung der Distanzgefahr zuzurechnen ist. Das sind regelmäßig die Personen, die den Quelltext selbst ausführen beziehungsweise ausführen lassen oder für den Endnutzer zum Abruf bereithalten oder bereithalten lassen. Ohne Bedeutung ist, ob diese Personen Anbieter eines Telemediums sind, und von allenfalls indizieller Bedeutung, ob sie datenschutzrechtlich Verantwortliche sind (VG Köln Urt. v. 17.7.2025 - 13 K 1419/23, GRUR-RS 2025, 17335 Rn. 82).
Im Übrigen wäre die Beklagte auch als „Anbieterin“ iSv § 2 II Nr. 1 TDDDG anzusehen. Danach ist „Anbieter von Telemedien“ jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt - wobei der Begriff des „Mitwirkenden“ alle Arten von Hilfeleistung erfassen soll (HK-TDDDG/Assion, 1. Aufl. 2022, TDDDG § 2 Rn. 16-18) - oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. § 2 II Nr. 1 TDDDG liegt ein funktionales Verständnis zu Grunde, welches in der Praxis zu einem sehr weiten Anwendungsbereich des TDDDG führt (Gierschmann/Baumgartner/Baumgartner, 1. Aufl. 2023, TDDDG § 2 Rn. 13), so z.B. auch der Hosting-Provider. Daher ist auch die Beklagte als Anbieterin anzusehen, da sie an der Erbringung der Telemedien der Seitenbetreiber durch die Setzung der Cookies mitwirkt.
Der Ansicht des Senats steht - entgegen der Auffassung der Beklagten - nicht entgegen, dass Verfahren auf Grundlage von § 25 TDDDG (bzw. § 25 TTDSG) bisher nur gegen Webseitenbetreiber geführt worden sein sollen. Dass für ein Verstoß gegen § 25 TDDDG auch der Webseitenbetreiber verantwortlich sein kann, wird vom Senat nicht in Frage gestellt. Dies schließt allerdings nicht aus, dass auch eine Verantwortlichkeit der Beklagten besteht. Auch die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ stehen - unabhängig von der rechtlichen Unverbindlichkeit für den Senat - dem nicht entgegen, weist doch die Beklagte selber darauf hin, dass sich diese Hinweise „vor allem“ an Telemedienanbieter richten soll und eben nicht nur an diese.
Dies steht auch nicht in Widerspruch zu Art. 5 III der Cookie-Richtlinie, die durch § 25 TDDDG umgesetzt wird. Ebenso wie das TDDDG unterscheidet auch die Cookie-Richtlinie zwischen Pflichten, die gegenüber jedermann gelten und Pflichten, die nur Diensteanbieter betreffen sollen. Soweit im „Planet49“-Urteil des EuGH (MMR 2019, 732) im dritten Leitsatz der Begriff des „Diensteanbieters“ auftaucht, kann dies die Auslegung von Art. 5 III der Cookie-Richtlinie nicht beeinflussen. Leitsätzen kommt schon kein rechtlicher Charakter zu, der für die Auslegung einer Norm relevant wäre. Im Übrigen hat sich der EuGH in der Entscheidung an keiner Stelle mit der Frage der Anwendbarkeit von Art. 5 III der Cookie-Richtlinie auf Diensteanbieter befasst. Dass der Leitsatz gleichwohl auf einen Diensteanbieter Bezug nimmt, lässt sich zwangslos durch die Tatsache erklären, dass im Ausgangsverfahren eben ein Diensteanbieter beteiligt war.
f) Die Speicherung von Cookies ohne Einwilligung des Klägers auf dessen Endgerät stellt einen Verstoß gegen § 25 I TDDDG dar.
(1) Bei den streitgegenständlichen „Cookies“ handelt es sich um Informationen im Sinne von § 25 I TDDDG. Soweit die Beklagte darauf hinweist, es würden nur die IP-Adresse (anonymisiert), die Device-/Cookie-ID (Pseudonymisiert), der Besuchszeitpunkt sowie der verwendete Browser gespeichert, steht dies der Anwendung von § 25 TDDDG nicht entgegen. Der Begriff der Information wird im TDDDG nicht näher konturiert. Die Literatur verweist darauf, dass der Begriff umfassend zu verstehen sei (Schwartmann/Jaspers/Eckhardt/Burkhardt/Reif/Schwartmann Rn. 21; Plath/Piltz Rn. 38; Sebisch DSRITB 2022, 243, 250), sodass jegliche Information von der Vorschrift erfasst werde (Schürmann/Guttmann K&R 2023, 246, 247; Säcker/Körber/Werkmeister Rn. 15). Insbesondere auf einen Personenbezug der Information kommt es nicht an (Baumgartner/Hansch ZD 2020, 435, 437; Golland NJW 2021, 2238, 2239; Haberer MMR 2020, 810, 812; Hanloser ZD 2021, 121; Nebel CR 2021, 666, 670; HK-TDDDG/Schneider Rn. 23; Schürmann/Guttmann K&R 2023, 246, 247; Sebisch BeckOK IT-Recht/Sesing-Wagenpfeil, 16. Ed. 1.10.2024, TDDDG § 25 Rn. 22).
(2) Der Senat hat davon auszugehen, dass beim Besuch mehrerer Internetseiten Cookies der Beklagten ohne Einwilligung des Klägers auf dessen Endgerät gespeichert worden sind. Den entsprechenden Vortrag des Klägers hat die Beklagte nicht substantiiert bestritten.
aa) Der Kläger hat unter Vorlage ihres Privatgutachtens im Einzelnen dargetan, welche Internetseiten er besucht hat und dass im Anschluss die Cookies der Beklagten auf seinem Rechner gespeichert waren, ohne dass er dazu seine Einwilligung erteilt hatte. Darüber hinaus hat er mithilfe des Privatgutachtens dargestellt, wie dies festzustellen ist und insbesondere wie der Vorgang überprüfbar nachvollzogen werden kann, was der Privatgutachter getan hat und was die Beklagte ohne weiteres selbst überprüfen kann. Damit handelt es sich bei dem Vortrag des Klägers um Tatsachen, die Gegenstand der Wahrnehmung der Beklagten sein können, so dass sich die Beklagte vollständig und wahrheitsgemäß über die Darlegung des Klägers erklären müsste, wenn sie den gegnerischen Vortrag bestreiten wollte (§ 138 ZPO), ohne dass sie dafür die HAR-Datei der Beklagten benötigen würde.
Zudem hat der Kläger auf den Beschluss des Senats nach § 144 ZPO die HAR-Datei vorgelegt. Dieses neue Angriffsmittel war auch nicht nach § 531 I ZPO verspätet; es war vielmehr nach § 531 II Nr. 2 ZPO zuzulassen, da es infolge eines Verfahrensmangels im ersten Rechtszug nicht geltend gemacht wurde. Die Bestimmung des § 531 II Nr. 2 ZPO erfasst die Fälle, in denen eine Partei aufgrund eines objektiven Verfahrensfehlers des Erstgerichts Angriffs- und Verteidigungsmittel nicht vorgebracht hat. Darunter fällt insbesondere der Fall, dass nach § 139 gebotene Hinweise unterbleiben (BGH NJW 2004, 2152; BGH NJW 2018, 2202), sei es in Gestalt eines erforderlichen Hinweises nach § 139 I 2 ZPO zur Ergänzung und Vervollständigung des Vorbringens (BGH NJW 2005, 2624) oder eines Hinweises nach § 139 II ZPO, wenn das Erstgericht seine Entscheidung auf einen von der Partei erkennbar übersehenen Gesichtspunkt stützt (BGH NJW-RR 2005, 213; BeckOK ZPO/Wulf/Gaier, 58. Ed. 1.9.2025, ZPO § 531 Rn. 18). Hier hätte das Landgericht nach § 139 ZPO darauf hinweisen müssen, dass der Kläger zu Substantiierung seines Vortrags die HAR-Datei hätte vorlegen müssen. Auch eine Verspätung nach § 296 II ZPO liegt aus den gleichen Gründen nicht vor; eine grobe Nachlässigkeit ist nicht erkennbar.
bb) Dem ist die Beklagte nicht substantiiert entgegengetreten.
Soweit sie ausgeführt hat, die HAR-Datei weise keinerlei Bezug zum Kläger auf und zeige insbesondere nicht die IP-Adresse des Klägers, sondern lediglich isolierte Netzwerkanfragen an Server ohne die ausgehende IP-Adresse ist der Senat nach der informatorischen Anhörung des Klägers davon überzeugt, dass es sich um die Aufzeichnung des Netzwerkverkehrs des Klägers handelt. Der Kläger hat in seiner informatorischen Anhörung vor dem Senat erklärt, die im Verfahren vorgelegte HAR-Datei sei von ihm persönlich auf seinem Rechner angefertigt worden. Sein Rechtsanwalt, Herr J, sei dabei virtuell anwesend. Dabei habe dieser ihm erklärt, wie es funktioniere, eine solche HAR-Datei anzufertigen. Diese habe er anschließend an Herrn J übermittelt, wobei ihm nicht erinnerlich sei, ob dies per E-Mail geschehen oder wegen der Größe der Datei über einen Dienst. Es sei dann darüber informiert worden, dass wegen der HAR-Datei ein Gutachten eingeholt worden sei. Vor diesem Vorgang habe er seine Browser-Daten angeschaut und den Browser-Verlauf gelöscht; anschließend habe er die Seiten wieder angesteuert, die er in seinem Browser-Verlauf gehabt habe.
Aufgrund des Ergebnisses der Anhörung, des persönlichen Eindrucks des Senats von dem Kläger sowie dem Inhalt des Sachverständigengutachtens hat der Senat keine Zweifel daran, dass die streitgegenständliche HAR-Datei bei dem Kläger aufgezeichnet worden ist.
Dass die HAR-Datei als solche das Setzen von Cookies dokumentiert, stellt auch die Beklagte nicht in Frage. Sie hat ausgeführt, dass die HAR-Datei (lediglich) zeige, dass Cookies gesetzt wurden (EA Bl. 371). Dass die Websiteaufrufe von einer dem Kläger zuzuordnenden IP-Adresse erfolgt sind und dass die Cookies auf dem streitgegenständlichen Endgerät des Klägers gesetzt wurden, sieht der Senat - wie oben ausgeführt - als bewiesen an.
(3) Es fehlt auch an der notwendigen Einwilligung des Klägers in die Cookie-Setzung. Die Beklagte rügt, das Landgericht habe verkannt, dass der Kläger nicht bewiesen habe, dass er nicht in die Cookie-Setzung eingewilligt habe. Dabei verkennt sie allerdings die Darlegungs- und Beweislast. Für die Einwilligung als für sie günstige Tatsache ist die Beklagte darlegungs- und beweisbelastet. Seiner sekundären Darlegungslast ist der Kläger insoweit durch die Darlegung der Abläufe und Vorlage des Gutachtens sowie der HAR-Datei nachgekommen, so dass nunmehr die Beklagte eine Einwilligung hätte beweisen müssen.
Eine faktische Einwilligung dadurch, dass der Kläger die Cookies provoziert und damit jedenfalls als Zwischenschritt gewollt habe, liegt ersichtlich nicht vor. Das reine Besuchen der Internetseite ohne ausdrückliche Einwilligung kann nicht als Einwilligung auf der Grundlage von klaren und umfassenden Informationen im Sinne von § 25 I 1 TDDDG angesehen werden.
(4) Entgegen der Auffassung der Beklagten ist die Speicherung auch nicht durch andere Gründe gerechtfertigt. Die beiden gesetzlichen Zugriffsermächtigungen aus § 25 II TDDDG regeln das einwilligungsfreie Speichern und Zugreifen abschließend. Ein Rückgriff auf die datenschutzrechtlichen Erlaubnistatbestände des Art. 6 I lit. b-f DSGVO zur Rechtfertigung eines Gerätezugriffs iSd § 25 I ist ausgeschlossen. Ein berechtigtes Interesse am Gerätezugriff analog Art. 6 I f DSGVO ist § 25 II ist unbekannt (Gierschmann/Baumgartner/Hanloser, 1. Aufl. 2023, TTDSG § 25 Rn. 91).
g) Die Beklagte haftet insoweit auch für den Verstoß gegen § 25 I TDDDG als Täterin.
(1) Die Frage, ob sich jemand als Täter, Mittäter, Anstifter oder Gehilfe in einer die zivilrechtliche Haftung begründenden Weise an einer deliktischen Handlung eines Dritten beteiligt hat, beurteilt sich nach den im Strafrecht entwickelten Rechtsgrundsätzen (vgl. BGH NJW 1975, 49; NJW 1984, 1226; GRUR 2011, 152, Rn. 30 - Kinderhochstühle im Internet I; GRUR 2011, 1018, Rn. 24 - Automobil-Onlinebörse; BGH GRUR 214, 883, Rn.13 - Geschäftsführerhaftung). Täter ist derjenige, der die Zuwiderhandlung selbst begeht (§§ 25 I StGB, 830 Abs. 1 BGB; BGH GRUR 2004, 860 - Internet-Versteigerung I; GRUR 2007, 708 - Internet-Versteigerung II; GRUR 2009, 597, Rn. 14 - Halzband; GRUR 2011, 152, 154, Rn. 30 - Kinderhochstühle im Internet; BGH GRUR 214, 883, Rn.13 - Geschäftsführerhaftung), indem er den objektiven Tatbestand einer Zuwiderhandlung selbst und adäquat kausal verwirklicht (BGH, GRUR 2016, 961, Rn. 32 - Herstellerpreisempfehlung bei Amazon).
(2) Täter ist darüber hinaus in Anlehnung an die strafrechtlichen Kategorien (§ 25 I Alt. 2 StGB) der mittelbare Täter, der sich für den Rechtsverstoß als Hintermann gezielt eines unmittelbar handelnden Tatmittlers als Werkzeug bedient und so den Rechtsverstoß durch einen anderen begeht.
Die mittelbare Täterschaft erfordert zum einen, dass der Hintermann die durch den Tatmittler vorgenommene Zuwiderhandlung im eigenen Interesse veranlasst hat, und zum anderen, dass der Hintermann die Kontrolle über das Handeln des Tatmittlers hat. Im Hinblick auf die zweite Voraussetzung, nämlich die Kontrolle im Sinne der Tatherrschaft, scheidet eine mittelbare Täterschaft jedenfalls dann aus, wenn der Tatmittler den betreffenden Verstoß seinerseits täterschaftlich - also mit eigener Kontrolle und Tatherrschaft über den Geschehensablauf - begangen hat und somit als Täter haftet. Einen „Täter hinter dem Täter“ gibt es grundsätzlich nicht.
Der mittelbaren Täterschaft kommt allerdings nur ein potentiell sehr kleiner Anwendungsbereich zu. Denn für die Begründung einer eigenen Täterschaft reicht in den allermeisten Fällen der objektive Verstoß gegen eine Norm aus; Verschulden oder gar Vorsatz sind nicht erforderlich. Auch ein vorsatzlos handelnder Vordermann ist deshalb in aller Regel nicht nur Tatmittler, sondern selbst Täter, so dass der Hintermann nicht seinerseits als mittelbare Täter verantwortlich gemacht werden kann (Harte-Bavendamm/Henning-Bodewig/Goldmann, 5. Aufl. 2021, UWG § 8, Rnr. 462).
(3) Danach ist die Beklagte hier als Täterin anzusehen: Nach dem unbestritten gebliebenen Vortrag des Klägers ist es die Beklagte, die die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer auch ohne deren Einwilligung speichert, sobald die entsprechende Anforderung durch den von ihr bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst wird. Darüber hinaus greift sie - was ebenfalls erstinstanzlich unstreitig geblieben ist - auf die hinterlegten Informationen zu, indem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lässt, nachdem diese die Informationen über die weiteren Webseitenbesuche des Nutzers auf den Endgeräten ausgelesen haben.
Da die § 25 TDDG kein vorsätzliches Handeln erfordert, ist es für die Verwirklichung des Tatbestands unerheblich, ob und inwieweit die Beklagte von der fehlenden Einwilligung des Klägers Kenntnis hatte.
(4) Die Beklagte kann nicht damit gehört werden, dass ihr der Umstand nicht ursächlich zugerechnet werden könne, dass Webseitenbetreiber entgegen der Allgemeinen Geschäftsbedingungen der Beklagten das Setzen von Cookies ohne Zustimmung des Endnutzers haben veranlassen lassen.
Bei der fehlenden Einwilligung des Endnutzers, die erst den Verstoß gegen § 25 I TDDDG begründet, handelt es sich um ein negatives Tatbestandsmerkmal, das sich nicht durch ein positives Tun der Beklagten verwirklicht, sondern allein dadurch, dass sie selbst die Einholung der Einwilligung unterlässt und sich darauf verlässt, dass die jeweiligen Webseiten-Betreiber diese Einwilligung ordnungsgemäß eingeholt haben. Besteht das dem Verletzer vorgeworfene Verhalten in einem solchen Unterlassen, ist im Rahmen der normativ-kausalen Zurechnung zu fragen, ob eine pflichtgemäße Handlung den Eintritt der Rechtsgutsverletzung verhindert hätte (vgl. BGH, Urt.v.06.05.2021, I ZR 61/20, Rn. 27 - Die Filsbacher). Das ist hier der Fall. Denn nach der aus der Formulierung des § 25 I TDDDG herzuleitenden und in Art. 7 Abs. 1 DSGVO ausdrücklich geregelten Darlegungs- und Beweislastverteilung muss die Beklagte nachweisen, dass der Endnutzer vor der Speicherung der Cookies auf seinem Endgerät eingewilligt hat. Wie die Beklagte diesen Nachweis führen möchte, ist zunächst ihre Sache. Jedenfalls aber hat die Regelung über die Verteilung der Darlegungs- und Beweislast zur Folge, dass sie sicherstellen muss, dass ihr die Einwilligung des Endnutzers vom Webseitenbetreiber übermittelt wird, bevor sie ihre Cookies auf dem Gerät des Endnutzers speichert. Dadurch, dass sie dieses pflichtgemäße Handeln unterlässt, verwirklicht sie den Verstoß gegen § 25 I TDDDG adäquat-kausal.
(5) Es fehlt auch nicht an der Adäquanz. Das Kriterium der Adäquanz dient im Rahmen der Feststellung des Zurechnungszusammenhangs dem Zweck, diejenigen Kausalverläufe auszugrenzen, die dem Verletzer billigerweise nicht mehr zugerechnet werden können. Im Deliktsrecht besteht ein adäquater Zusammenhang zwischen Tatbeitrag und Taterfolg, wenn eine Tatsache im Allgemeinen und nicht nur unter besonders eigenartigen, ganz unwahrscheinlichen und nach regelmäßigem Verlauf der Dinge außer Betracht zu lassenden Umständen zur Herbeiführung eines Erfolges geeignet ist. Hieran kann es fehlen, wenn der Verletzte oder ein Dritter in völlig ungewöhnlicher und unsachgemäßer Weise in den schadensträchtigen Geschehensablauf eingreift und eine weitere Ursache setzt, die den Schaden erst endgültig herbeiführt. Bei der Ermittlung der Adäquanz ist auf eine nachträgliche Prognose abzustellen, bei der neben den dem Verletzer bekannten Umständen alle einem optimalen Betrachter zur Zeit des Eintritts des Schadensereignisses erkennbaren Gegebenheiten zu berücksichtigen sind (BGH, GRUR 2016, 961, Rn. 34 - Herstellerpreisempfehlung bei Amazon m.w.N.).
Dass es sich bei dem Setzen von Cookies ohne Einwilligung des Endnutzers auf den Webseiten Dritter keineswegs um einen besonders eigenartigen, ganz unwahrscheinlichen und nach dem regelmäßigen Verlauf der Dinge außer Betracht zu lassenden Umstand handelt, liegt auf der Hand. Im Gegenteil stellt es sogar ein naheliegendes und typisches Risiko dar, wenn die Beklagte Webseitenbetreibern ihren Quellcode zur Verfügung stellt, die damit datenschutzrelevante Prozesse unter Einbeziehung der Beklagten auslösen können, ohne dass die Beklagte in irgendeiner Weise kontrollieren kann, ob tatsächlich eine Einwilligung vorliegt oder sich dies jedenfalls von dem Beklagten durch Übermittlung der Einwilligung bestätigen lässt.
(6) Ob der Beklagten ein solches pflichtgemäßes Verhalten durch entsprechende technische Vorkehrungen möglich ist, ist für die rechtliche Beurteilung des vorliegenden Falls irrelevant. Die Frage des technisch Möglichen kann allenfalls im Rahmen der Störerhaftung eine Rolle spielen, auf die es hier nicht ankommt. Im Übrigen ist schon nicht nachvollziehbar, wieso es der Beklagten nicht möglich sein soll, ihre Cookies erst dann auf den Endgeräten von Nutzern abzuspeichern, wenn ihr dessen Einwilligung übersandt worden ist. Hinzu kommt, dass der Gesetzgeber in § 26 TDDDG davon ausgeht, dass Dienste zur Einwilligungsverwaltung technisch und rechtlich möglich sind. Insofern beruft sich die Beklagte auch nur darauf, dass derzeit entsprechende Dienste noch nicht am Markt durchgesetzt sind. Das lässt die Anforderungen des § 25 I TDDDG jedoch unberührt.
h) Soweit die Beklagte im Hinblick auf die Tenorierung „für die Auswertung zum Zwecke zielgerichteter Werbung“ rügt, die Beklagte betreibe keine Werbeplattform und verwende die eingesetzten Technologien nicht zu Werbezwecken, sondern nur zur Reichweitenmessung, ist dieses Argument nicht valide.
Der Unterlassungsanspruch des Klägers besteht einschränkungslos, da § 25 TDDDG insoweit auch keine Einschränkung vorsieht. Die Speicherung ist nicht nur zu Werbezwecken, sondern grundsätzlich untersagt. Schränkt der Kläger mit dem Zusatz „zu Werbezwecken“ nun seinen Unterlassungsanspruch ein, mag er weniger verlangen, als ihm tatsächlich zustehen würde. Dies ist jedoch unschädlich.
5. Das notwendige Feststellungsinteresse für den Schadensersatzfeststellungs-anspruch liegt nicht vor. Es ist nicht vorgetragen und erkennbar, wie dem Kläger in Zukunft durch die (pseudonymisierte) Cookie-Setzung noch ein materieller Schaden entstehen sollte.
Der BFH hat entschieden, dass eine finanzgerichtliche Klage auf Schadensersatz aus Art. 82 DSGVO nur zulässig ist, wenn der Anspruch zuvor von der Finanzbehörde abgelehnt wurde.
Leitsatz des BFH:
Die (finanzgerichtliche) Klage auf Schadenersatz nach Art. 82 der Datenschutz-Grundverordnung ist unzulässig, wenn es an einer vorherigen Ablehnung des Anspruchs seitens der Finanzbehörde und damit an einer für die Klageerhebung notwendigen Beschwer fehlt.
LG Berlin II
Urteil vom 16.12.2025 61 O 60/24 Kart
Das LG Berlin II hat entschieden, dass Booking.com aufgrund der Verwendung unzulässiger Bestpreisklauseln Schadensersatz an 1.099 Anbieter von Unterkünften zahlen muss.
Die Pressemitteilung des Gerichts;: Landgericht Berlin II: Booking.com ist verpflichtet, 1.099 Betreibern von Unterkünften Schäden aufgrund der Verwendung unzulässiger Bestpreisklauseln zu ersetzen
Auf die Feststellungsklage von insgesamt 1.288 Klägern hat die Zivilkammer 61 des Landgerichts Berlin II mit seinem heutigen Urteil festgestellt, dass die Booking.com BV und deren deutsche Tochtergesellschaft Booking.com (Deutschland) GmbH als Gesamtschuldner verpflichtet sind, 1.099 Betreibern von Unterkünften jeweils den Schaden zu ersetzen, der ihnen einzeln durch die Verwendung unzulässiger Bestpreisklauseln seit dem 1. Januar 2013 entstanden ist. Die weitergehende Klage, mit der u.a. die Feststellung begehrt wurde, dass Buchungsprovisionen zu erstatten seien, hatte dagegen keinen Erfolg. In welcher Höhe den Betreibern tatsächlich ein Schaden entstanden ist und ob dieser ursächlich auf die Verwendung der Bestpreisklauseln zurückzuführen ist, war in dem Verfahren nicht zu klären.
Die Booking.com BV, eine Aktiengesellschaft nach niederländischem Recht, betreibt die gleichnamige Buchungsplattform. Sie erhält für jede nicht mehr stornierbare Buchung einer Unterkunft eine Provision, die sich anteilig nach dem Übernachtungspreis richtet. Die Booking.com (Deutschland) GmbH ist für die Betreuung der deutschen Vertragspartner der Plattform zuständig.
Seit Mitte der 2000er Jahre bis zum 30. Juni 2015 verwendete die Booking.com BV in ihren Verträgen mit Betreibern von Unterkünften sog. weite Bestpreisklauseln. Nach diesen mussten Unterkunftsbetreiber ihre Unterkünfte auf der Buchungsplattform zu den unter Berücksichtigung sämtlicher anderer Vertriebswege besten verfügbaren Preisen und Konditionen anbieten. Ab dem 1. Juli 2015 verwendete die Booking.com BV in ihrer Vertragsgestaltung sog. enge Bestpreisklauseln. Danach durften Unterkunftsbetreiber im Direktvertrieb mit Reisenden keine günstigeren Preise als auf Booking.com anbieten. Mit Beschluss vom 22. Dezember 2015 stellte das Bundeskartellamt fest, dass die Verwendung der sog. engen Bestpreisklauseln kartellrechtswidrig sei und ordnete deren Entfernung mit zum 31. Januar 2016 an. Der Bundesgerichtshof bestätigte diese Entscheidung mit Beschluss vom 18. Mai 2021 (Az.: KVR 54/20, BGHZ 230, 88).
Mit ihrer Klage begehrten die Kläger neben der Feststellung der Schadensersatzpflicht wegen der Verwendung von Bestpreisklauseln auch die Feststellung, dass die Beklagten die zwischen Januar 2006 und Februar 2025 erhaltenen Buchungsprovisionen zu erstatten haben, sofern und soweit diese infolge der Verwendung der unzulässigen Bestpreisklauseln überhöht waren.
Soweit die Feststellung der Schadensersatzpflicht wegen der Verwendung der Bestpreisklauseln begehrte wurde, war die Klage nach Auffassung der Kammer zulässig. Zwar sei eine Feststellungsklage regelmäßig unzulässig, wenn der Kläger sein Ziel mit einer auf Zahlung gerichteten Leistungsklage erreichen könne. Dies gelte auch dann, wenn die Bezifferung eines Schadens mit erheblichem Aufwand und Kosten verbunden sei. Wenn die Schadensentwicklung zum Zeitpunkt der Klageerhebung noch nicht abgeschlossen und eine abschließende Bezifferung des Schadens daher nicht möglich ist, könne ausnahmsweise auf Feststellung der Ersatzpflicht geklagt werden. Maßgeblich sei das Vorbringen des jeweiligen Klägers. Nach diesem habe die Verwendung der Bestpreisklauseln zu einer erheblichen Marktabschottung und Oligopolisierung des Marktes beigetragen. Die Beeinflussung der Marktstruktur wirke über den Zeitraum der Verwendung der Bestpreisklauseln hinaus fort. Derartige Nachlaufeffekte ließen – so die Kammer – eine fortwirkende Schädigung der klagenden Betreiber möglich erscheinen, sodass die Feststellungsklage zulässig sei.
Nach Auffassung der Kammer steht den klagenden Betreibern auch ein Anspruch auf Schadensersatz zu. Sowohl die engen als auch die weiten Bestpreisklauseln bewirkten eine Beschränkung des Wettbewerbs, denn durch diese Klauseln werde jedenfalls die Preisgestaltungsfreiheit der Unterkunftsbetreiber und damit der Wettbewerb beim Vertrieb von Unterkünften eingeschränkt. Dies stehe für die von den Beklagten zwischen Juli 2015 und Januar 2016 verwendeten engen Bestpreisklauseln bereits aufgrund der Bindungswirkung der bestandskräftigen Entscheidung des Bundeskartellamts vom 22. Dezember 2015 fest.
Durch Bestpreisklauseln werde dem Unterkunftsbetreiber die naheliegende Möglichkeit genommen, die im Eigenvertrieb nicht anfallende Vermittlungsprovision von durchschnittlich 10 bis 15 % des Zimmerpreises bei seiner Preisgestaltung zu berücksichtigen und diese Ersparnis für niedrigere Preise zu nutzen, um Kunden zu werben. Auch werde es Unterkunftsbetreibern erschwert, zur Kapazitätssteuerung Restkapazitäten mit Preiszugeständnissen direkt online zu vermarkten. Zwar könnten sie solche Angebote machen, wenn sie zugleich ihren Preis auf Booking.com entsprechend herabsetzten. Sie müssten dann aber die übliche Provision auf den niedrigeren Preis bei Vermittlungen auf Booking.com zahlen, so dass ihr Preissenkungsspielraum und damit die Chance zur erfolgreichen „Lastminute“-Vermarktung entsprechend verringert werde.
Soweit die Feststellung begehrt wurde, dass bereits gezahlte Provisionen zu erstatten seien, war die Klage nach Auffassung der Kammer unzulässig. Die Kläger hätten insoweit eine bezifferte Zahlungsklage erheben müssen, weil es sich bei bereits gezahlten Provisionen um einen abgeschlossenen Sachverhalt handle.
In 70 Fällen war die Klage nach Auffassung der Kammer unzulässig, weil eine ordnungsgemäße Bevollmächtigung der klägerischen Prozessbevollmächtigten nicht nachgewiesen wurde. Bei 118 Klägern war nicht feststellbar, dass sie von dem Kartellverstoß durch Verwendung der Bestpreisklauseln betroffen waren. In einem Fall war die Klage aus anderen Gründen unzulässig.
Das Urteil ist nicht rechtskräftig. Die Parteien können binnen eines Monats ab Zustellung des Urteils Berufung zum Kammergericht einlegen.
Landgericht Berlin II, Urteil vom 16. Dezember 2025, Aktenzeichen 61 O 60/24 Kart
Das OLG Düsseldorf hat enstchieden, dass auch éin Prokurist im Einzelfall für Patentverletzungen des Unternehmens persönlich auf Unterlassung, Schadensersatz, Auskunft und Rechnungslegung haften kann.
Aus den Entscheidungsgründen: Die Beklagte zu 2) wendet sich mit ihrer Berufung allein gegen die Annahme des Landgerichts, dass neben der Beklagten zu 1) auch sie als für die Patentverletzung mitverantwortliche Person für die geltend gemachten Ansprüche passivlegitimiert sei. Hiermit vermag sie indes nicht durchzudringen. Denn das Landgericht hat zu Recht entschieden, dass der Klägerin auch gegen die Beklagte zu 2) die zugesprochenen Ansprüche auf Unterlassung, Auskunftserteilung, Rechnungslegung, Erstattung von Abmahnkosten und Feststellung der Verpflichtung zum Schadensersatz gemäß Art. 64 EPÜ i.V.m. §§ 139 Abs. 1, Abs. 2, 140b Abs. 1 und 3 PatG i.V.m. §§ 242, 259 BGB zustehen.
1. Zutreffend ist das Landgericht davon ausgegangen, dass (Patent-) Verletzer im Sinne der §§ 139 ff. PatG derjenige ist, der die patentierte Erfindung in eigener Person im Sinne des § 9 PatG unmittelbar benutzt oder der als Teilnehmer i.S. des § 830 Abs. 2 BGB eine fremde unmittelbare Benutzung i.S. des § 9 PatG ermöglicht oder fördert (BGH, GRUR 2009, 1142, 1144 – MP3-Player-Import). Patentverletzer ist mithin jeder Alleintäter, Mittäter, Nebentäter, Gehilfe oder Anstifter (Kühnen, Hdb. d. Patentverletzung, 16. Aufl. 2024, Abschn. D Rn. 406; Mes/Mes, 6. Aufl. 2024, PatG § 9 Rn. 146). Nichts anderes gilt für die Benutzungsart der mittelbaren Patentverletzung gemäß § 10 PatG, auf die das Landgericht seine Verurteilung gestützt hat.
2. Bei Patentverletzungen durch ein Unternehmen können Ansprüche nicht nur gegen das Unternehmen selbst, sondern auch gegen seine verantwortlichen Mitglieder gegeben sein. So haften die gesetzlichen Vertreter bzw. vertretungsberechtigten Gesellschafter eines Unternehmens selbst auf Unterlassung und – als Gesamtschuldner mit der juristischen Person oder der Gesellschaft – auf Schadensersatz (BeckOK PatR/Pitz, 37. Ed. 01.08.2025, PatG § 139 Rn. 31; Benkard PatG/Grabinski/Zülch/Tochtermann, 12. Aufl. 2023, PatG § 139 Rn. 23; Mes/Mes, 6. Aufl. 2024, PatG § 139 Rn. 70 u. 138).
Nach zutreffender und vom Senat geteilter Ansicht haften im Einzelfall – unabhängig von ihrer (formalen) Organstellung – außerdem Angestellte in leitender Funktion vollumfänglich für Patentverletzungen auf Unterlassung, Auskunftserteilung, Rechnungslegung und Schadensersatz (Kühnen, Hdb. d. Patentverletzung, 16. Aufl. 2024, Abschn. D Rn. 471: vgl. auch Benkard PatG/Grabinski/Zülch/Tochtermann, 12. Aufl. 2023, PatG § 139 Rn. 26). Dabei kommt es nicht darauf an, ob der Mitarbeiter ein leitender Angestellter im arbeitsrechtlichen Sinne ist, was eine Personalkompetenz im Sinne einer Berechtigung zur selbständigen Einstellung oder Entlassung von Arbeitnehmern voraussetzen würde (vgl. § 5 Abs. 3 S. 2 Nr. 1 BetrVG, § 14 Abs. 2 S. 1 KSchG). Für die Haftung als Täter bzw. Mittäter einer Patentverletzung ist es vielmehr entscheidend, ob sich die Patentverletzung als vom leitenden Angestellten im Rahmen seines Zuständigkeitsbereichs beherrschte eigene Entscheidung darstellt. Ist dies nicht der Fall, weil die in Anspruch genommene Person als bloße Hilfsperson ohne eigene Tatherrschaft gehandelt hat und ihr die verletzende Handlung daher in sozialtypischer Hinsicht nicht als eigene zugerechnet werden kann, scheidet eine Haftung wegen Patentverletzung hingegen aus (Kühnen, Hdb. d. Patentverletzung, 16. Aufl. 2024, Abschn. D Rn. 406; Haedicke/Timmann PatR-HdB/Haedicke/Timmann, 2. Aufl. 2020, § 14. Rn. 27; zur Urheberrechtsverletzung: BGH, GRUR 2016, 493 Rn. 20 – Al Di Meola).
3. Ausgehend von diesen Grundsätzen hat das Landgericht im Ergebnis eine Haftung der Beklagten zu 2) zu Recht bejaht. Denn unabhängig davon, zu welchem Zeitpunkt die Beklagte zu 2) als Geschäftsführerin abberufen worden ist, war sie weiterhin in zentraler Position für die Beklagte zu 1) tätig und für das Angebot der angegriffenen Ausführungsform auf der Handelsplattform XXX.de mitverantwortlich. Hieraus folgt eine eigene (mit)täterschaftliche Verantwortung der Beklagten zu 2) gemäß § 830 Abs. 1 S. 1 BGB.
a) Es steht außer Streit, dass die Beklagte zu 2) 49 % der Gesellschaftsanteile der Beklagten zu 1) hält und die einzige Prokuristin der Beklagten zu 1) ist, deren Geschäftsführer ihr Ehemann ist. Schon die Stellung als Gesellschafterin und Prokuristin macht deutlich, dass es sich bei der Beklagten zu 2) um keine Arbeitnehmerin mit nur untergeordneter Stellung handelt. Dies zeigt sich auch an der Tatsache, dass sie zuvor die Beklagte zu 1) als Geschäftsführerin geleitet hat und sich ihre private E-Mail-Adresse im polnischen Handelsregister als Kontaktmöglichkeit findet.
Allein diese Umstände legen bereits nahe, dass der Beklagten zu 2) zum Zeitpunkt der Angebotshandlungen eine leitende Stellung bei der Beklagten zu 1) zukam. Dass dies auch tatsächlich der Fall war, zeigt das Tätigwerden der Beklagten zu 2) im Zusammenhang mit der Abmahnung durch die Klägerin wegen der Veräußerung der angegriffenen Ausführungsform auf XXX.de. Hierzu im Einzelnen:
(1) Die Beklagte zu 2) stellt nicht in Abrede, dass sie – wie aus dem von der Klägerin in der Klageschrift (S. 9, Bl. 11 eA LG) dargelegten und nachfolgend eingeblendeten Screenshot ersichtlich – auf der Handelsplattform XXX.de als Unternehmensvertreter genannt wurde.
Abbildung entfernt.
Diesbezüglich hat bereits das Landgericht zu Recht darauf hingewiesen, dass die Beklagte zu 2) durch diese Angabe den Eindruck vermittelt hat, für die dort angebotenen Produkte der verantwortliche Ansprechpartner zu sein. Insbesondere war die Angabe nicht, wie die Beklagte zu 2) meint, nach ihrer Abberufung auf den ersten Blick ersichtlich fehlerhaft, sondern hierfür bedurfte es weiterer Nachforschungen im polnischen Handelsregister. Gleichwohl kann diese Angabe nur ein Indiz dafür darstellen, dass die Beklagte zu 2) an maßgeblicher Position bei der Beklagten zu 1) für das Angebot der angegriffenen Ausführungsform bei XXX.de (mit)verantwortlich war. Denn die Richtigkeit dieser Annahme vermag eine bloße Angabe in einem Impressum nicht zu belegen, zumal aufgrund der Abberufung der Beklagten zu 2) als Geschäftsführerin jedenfalls nicht ausgeschlossen werden kann, dass es sich um eine veraltete Angabe zur Geschäftsführung der Beklagten zu 1) handelte.
(2) Allerdings stützt das Tätigwerden der Beklagten zu 2) in Reaktion auf die Abmahnung die Behauptung der Klägerin, dass die Beklagte zu 2) an maßgeblicher Stelle bei der Beklagten zu 1) für das Angebot bei XXX.de (mit)verantwortlich war.
Die Klägerin hat die Beklagte zu 1) mit rechtsanwaltlichem Schreiben vom 29.11.2022 (Anlage K 4) abgemahnt und zur Abgabe einer strafbewehrten Unterlassungserklärung aufgefordert. Dieses Schreiben wurde an die E-Mail-Adresse XXX.XXX@gXXXl.com übersandt, die im polnischen Handelsregister als Kontaktadresse der Beklagten zu 1) angegeben ist (vgl. Anlage B 1, Bl. 3 Anlagenordner_Beklagtenvertreter eA LG) und bei der es sich um die private E-Mail-Adresse der Beklagten zu 2) handelt. Auf dieses Abmahnschreiben antwortete die Beklagte zu 2) am 21.12.2022 wie folgt (vgl. Anlage B 10):
„Dear Sir,
Our product is not for X 3. Please read below the reviews of some people they bought the product by error. The image you set is very ancient – the diameter of the cardboard have been changed and it is not compatible with your product. Each foil can break your patent but our foil not as you can see below.
I am not the X 5 anymore – For any informations please write an e-mail at: XX@XXX.XX
best regards
XXX XXX
some reviews about“
[…]
Entgegen der Ansicht der Beklagten zu 2) belegt diese Antwort gerade nicht, dass sie für die Angelegenheit nicht zuständig war. Das Gegenteil ist der Fall. So stellt die Beklagte zu 2) nach der Anrede unmittelbar eine Patentverletzung durch die angegriffene Ausführungsform in Abrede, indem sie unter Bezugnahme auf Kundenrezensionen und einen geänderten Durchmesser darauf verweist, dass diese nicht mit (einer Kassette der Marke) X 3 kompatibel sei. Weder erfolgt ein Hinweis, dass sich die Klägerin an einen unzuständigen Ansprechpartner gewandt habe, noch lässt sich der E-Mail entnehmen, dass die Beklagte zu 2) die Antwort inhaltlich nicht zu verantworten hat. Allein der am Ende der E-Mail zu findende Hinweis, dass sie nicht mehr die Geschäftsführerin der Beklagten zu 1) sei und der Verweis auf die E-Mail-Adresse XXX@XXX-XXX.com beinhaltet nicht die Erklärung, für die Abmahnung organisatorisch unzuständig zu sein. Vielmehr vermittelt die E-Mail den Eindruck, dass die Beklagte zu 2) als zuständige Ansprechpartnerin für das Angebot bei XXX.de im Rahmen ihrer Verantwortlichkeit den Vorwurf einer Patentverletzung zurückweist und allein am Ende klarstellt, dass sie inzwischen nicht mehr Geschäftsführerin ist.
b) Bei der Gesamtbetrachtung der dargelegten Umstände hat der Senat keine berechtigten Zweifel, dass die Beklagte zu 2) in leitender Funktion das Angebot der angegriffenen Ausführungsform durch die Beklagte zu 1) (mit)verantwortet hat. Nicht nur kam ihr aufgrund ihrer Stellung als ehemalige Geschäftsführerin, Prokuristin und Gesellschafterin ohnehin eine herausragende Stellung zu, die mit der einer „regulären“ – mit Buchhaltungs- und Verwaltungsaufgaben betrauten – Arbeitnehmerin nicht zu vergleichen ist. Insbesondere war gerade sie es, die vorgerichtlich den Vorwurf der Patentverletzung durch das Angebot auf XXX.de, wo sie als Unternehmensvertreterin genannt war, zurückwies, ohne sich in erkennbarer Form von einer Zuständigkeit zu distanzieren. Mit der von der Beklagten zu 2) behaupteten „einfachen Bürotätigkeit“ hat diese Reaktion auf eine durch eine internationale Rechtsanwaltskanzlei erhobene Abmahnung, die eine inhaltliche Auseinandersetzung mit dem Vorwurf der Patentverletzung beinhaltete, nichts zu tun.
Hieran ändert auch der Inhalt des als Anlage B 11 vorgelegten Arbeitsvertrags nichts, da es allein darauf ankommt, wie das Anstellungsverhältnis tatsächlich gelebt wurde. Die erstinstanzlich mit nachgelassenem Schriftsatz vom 04.06.2024 vorgelegte undatierte Erklärung des Buchhaltungsbüros X 5 (Anlage B 12) und die Bestätigung des Geschäftsführers der Beklagten zu 1) vom 04.06.2024 (Anlage B 13) können – unabhängig davon, dass sie entgegen § 420 ZPO nicht im Original vorgelegt wurden und es daher an einem tauglichen Beweisantritt fehlt – als Privaturkunden nicht die Richtigkeit ihres Inhalts belegen, sondern allenfalls die Abgabe entsprechender Erklärungen. Ihr daher allenfalls als Indiz zu berücksichtigender Inhalt vermag angesichts der dargelegten tatsächlichen Umstände die Überzeugung des Senats, wie sich die Tätigkeit der Beklagten zu 2) in tatsächliche Hinsicht ausgestaltete, nicht zu erschüttern.
Soweit die Beklagte zu 2) einwendet, dass sie keine Verantwortung für die betriebliche Organisation gehabt habe, so verfängt dies ebenfalls nicht. Denn es geht vorliegend nicht darum, dass die Beklagte zu 2) – wie ein Geschäftsführer – auf Unterlassung haftet, weil ihr eine Garantenstellung zukam, die sie dazu verpflichtet hätte, den Betrieb so einzurichten, dass eine Verletzung technischer Schutzrechte Dritte verhindert wird (vgl. hierzu BGH, GRUR 2016, 257 Rn. 107 ff. – Glasfasern II). Vielmehr war die Beklagte zu 2) an der patentverletzenden Angebotshandlung im Sinne von § 10 PatG im arbeitsteiligen Zusammenwirken mit der Beklagten zu 1) durch positives Tun beteiligt.
Auch an der für die Annahme einer Mittäterschaft zu verlangenden vorsätzlichen gemeinschaftlichen Tatbegehung im Sinne eines bewussten und gewollten Zusammenwirkens (vgl. Senat, Urt. v. 11.06.2015 – I-2 U 64/14, GRUR-RS 2015, 18679 Rn. 61; zum Recht des unlauteren Wettbewerbs: BGH, GRUR 2012, 1279, 1283 m.w.N. – DAS GROSSE RÄTSELHEFT), die die Beklagte zu 2) in Abrede stellt, können angesichts der Stellung der Beklagten zu 2) bei der Beklagten zu 1) keine Zweifel bestehen. Das Anbieten der angegriffenen Ausführungsform im Namen der Beklagten zu 1) auf XXX.de erfolgte einverständlich und in beiderseitiger Kenntnis. Als Mitgesellschafterin der Beklagten zu 1) hatte die Beklagte zu 2) zudem ein erhebliches eigenes (Mit‑) Interesse am Taterfolg, was dafür spricht, dass sie nicht nur als Teilnehmer (§ 830 Abs. 2 BGB) zu behandeln ist.
Die Beklagte zu 2) handelte weiterhin zumindest fahrlässig, so dass das für den Schadensersatzanspruch notwendige Verschulden zu bejahen ist. Denn der Verletzungssachverhalt indiziert das Verschulden, sofern der Verletzer keine außergewöhnlichen Umstände darlegen kann, die ihn ausnahmsweise von der Verschuldenshaftung befreien (vgl. Kühnen, Hdb. d. Patentverletzung, 16. Aufl. 2024, Abschn. D Rn. 767). Solche Umstände sind vorliegend indes weder vorgetragen noch ersichtlich. Insbesondere handelte es sich bei der Beklagten zu 2) gerade nicht nur um eine bloße Hilfsperson.
4. Die Klägerin hat daher auch gegen die Beklagte zu 2) Ansprüche auf Unterlassung, Auskunftserteilung, Rechnungslegung und Schadensersatz. Soweit die Beklagte gegen den geltend gemachten Anspruch auf Auskunft und Rechnungslegung einwendet, dass ihr dieser infolge ihrer Abberufung als Geschäftsführerin der Beklagten zu 1) nicht mehr möglich sei, überzeugt dies nicht. Es ist nicht nachvollziehbar vorgetragen, warum sie – als Prokuristin der Beklagten zu 1) – keinen Zugang zu den erforderlichen Informationen haben sollte bzw. warum ihr diese auf Anfrage nicht zur Verfügung gestellt werden sollten.
Das LG Hamburg hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools auf Drittseiten und -Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen und einen Unterlassungsanspruch gegen Meta bejaht.
Aus den Entscheidungsgründen: Der Antrag zu Ziff. 1) ist auch begründet. Die Beklagte verarbeitet personenbezogene Daten des Klägers. Nach Art. 4 Nr. 2 DSGVO fallen darunter das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten.
Die Beklagte empfängt über die M. Business Tools personenbezogene Daten mit denen sie den Nutzer identifizieren kann. Diese Daten gleicht sie mit den bei ihr gespeicherten Benutzerkonten ab. Wenn die Einstellungen es zulassen, werden die Daten für personalisierte Werbung verwendet. Auch wenn dies nicht erfolgt, bleiben die Daten gespeichert und sind weiter mit dem Nutzerkonto verknüpft und gespeichert.
Die auf den Drittseiten eingesetzten M. Business Tools prüfen nicht, wer die Seiten aufruft, sondern schicken sämtliche mittels der M. Business Tools erhobenen Daten an die Server der Beklagten. Dort wird geprüft, ob diese Daten Nutzer der Beklagten betreffen und darüber entschieden, wie sie weiterverarbeitet werden.
Wenn ein Nutzer des Netzwerks Instagram oder Facebook eine Drittseite welche M. Business Tools einsetzt, besucht, übermitteln die Drittfirmen über die derart eingebundenen M. Business Tools personenbezogene Daten an die Beklagte. Dies erfolgt unabhängig davon, ob der Nutzer zu diesem Zeitpunkt die Apps der Beklagten aktiviert hat bzw. dort eingeloggt ist (vgl. LG Lübeck GRUR-RS 2025, 81 Rn. 3, beck-online). Es findet auch statt, wenn die Drittseiten direkt und nicht aus den Programmen der Beklagten aus aufgerufen werden. Dies kann auch stattfinden, wenn die betroffene Person einer Datenübertragung an die Beklagte gegenüber dem Drittanbieter nicht zugestimmt und in die Datenverarbeitung auch gegenüber der Beklagten nicht eingewilligt hat (vgl. LG Lübeck ZD 2025, 228, beck-online). Für den durchschnittlichen Internetnutzer ist nicht erkennbar, ob die jeweilige Webseite mit einem M. Business Tool ausgestattet worden ist (so LG Braunschweig, a.a.O., juris Rn. 101 ff.). Jedenfalls die Erfassung und der Abgleich der Daten findet im jeden Fall statt – auch wenn der Nutzer keine Einwilligung zur Verwendung der Daten für personalisierte Werbung abgegeben hat. Soweit die Beklagte pauschal vorträgt, dass dann keine Datenverarbeitung stattfindet, ist dies nicht nachvollziehbar. Eine anschließende Löschung der übermittelten Daten erfolgt erst nach dem Abgleichprozess, d.h. nachdem sie die mit den Kontaktinformationen übermittelten Event-Daten mit einer Facebook-Nutzer-ID verknüpft hat, so dass eine Zuordnung zum Kläger möglich bleibt.
Die streitgegenständliche Datenverarbeitung ist folglich nicht durch eine etwaig vorhandene Einwilligung zur Bereitstellung personalisierter Werbung gerechtfertigt. Zum einen findet diese Datenverarbeitung unabhängig von einer Einwilligung statt und beschränkt sich zum anderen nicht auf dem in der Einwilligungserklärung genannten Zweck. Sie kann auch nicht durch eine Veränderung der Einstellung durch den Nutzer beeinflusst werden (LG Braunschweig, a.a.O., juris Rn. 112).
Die Beklagte räumt selbst ein, dass sie die von ihr als Off-Site-Daten bezeichnete Daten für Sicherheits- und Integritätszwecke speichere und verwende. Ungeachtet dessen, dass aus den Erläuterungen der Beklagten nicht hervorgeht, welche Maßnahmen damit bezeichnet sind und weshalb und in welchem Umfang dafür eine Verwendung der Daten des Klägers erforderlich ist, gibt es nach den Ausführungen der Beklagten offenbar auch noch weitere Verwendungen. Denn die Formulierung, dass sie die erhobenen Daten „für begrenzte Zwecke wie Sicherheits- und Integritätszwecke verwende“ (Hervorhebung hier) zeigt, dass die genannten Zwecke nur beispielhaft aufgezählt sind (LG Hamburg, a.a.O.).
Auch andere Rechtfertigungsgründe des Art. 6 DSGVO greifen nicht. Die Datenverarbeitung ist insbesondere nicht zur Erfüllung eines Vertrags nach Art. 6 Abs. 1 Unterabsatz 1 b) DSGVO erforderlich. Das Geschäftsmodell der Beklagten zwingt diese nicht, die angebotenen Inhalte zu personalisieren (EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 102 nach juris). Erst recht gilt dies für eine Personalisierung anhand der hier allein streitgegenständlichen Off-Site-Daten, denn der Kläger beanstandet ja nicht, dass ihm Inhalte und ggf. auch Werbung auf der Grundlage der von ihm besuchten M.-Seiten vorgeschlagen werden.
Schließlich liegt die Verantwortlichkeit der Datennutzung ab Übermittlung der Daten allein bei der Beklagten. Nach der Übermittlung der Daten liegt die weitere Verwendung der Daten in der Hand der Beklagten. Die Betreiber der Drittwebseiten, die über die M. Business Tools die Nutzungsdaten an die Beklagte weitergeben, sind dann nicht mehr eingebunden.
Soweit die Anträge zu Ziff. 1 b) und c) zusammen mit den in Ziff. 1 a) genannten personenbezogenen Daten erfasst, in Zusammenhang gebracht und gespeichert werden, erfasst der Feststellungsbegehren rechtmäßig auch diese Datenerhebung. Dass dies der Fall sein soll, ergibt sich aus der Zusammenschau und der Formulierung der Anträge, die wiederholt in Zusammenhang mit dem konkreten Nutzungsverhalten des Benutzers/Klägers gebracht werden.
4. Der Antrag zu Ziff. 2 ) ist zulässig und begründet.
Auch ohne ausdrückliche Regelung folgt ein Unterlassungsanspruch aus der DSGVO.
Hierzu werden auf die Ausführung des LG Braunschweig a.a.O. (juris Rn. 81 ff.) Bezug genommen.
„Aus Art. 17 DSGVO kann ein Anspruch auf Unterlassung der Speicherung von Daten folgen (OLG Frankfurt a. M. GRUR 2023,904, Rn. 44 ff.). Aus der Verpflichtung zur Löschung von Daten ergibt sich implizit zugleich die Verpflichtung, diese künftig nicht (wieder) zu verarbeiten. Auch aus Art. 82 DSGVO kann ein Unterlassungsanspruch erwachsen, soweit ein konkreter Schaden vorliegt (OLG Frankfurt a.a.O. Rn. 47 ff.).
Aus dem generellen Regelungsziel der DSGVO folgt, dass die Rechtsordnung grundsätzlich eine Möglichkeit für von rechtswidrigen Datenverarbeitungsvorgängen betroffenen Personen gegeben sein muss, gegen diese per Unterlassungsklage vorzugehen. Insoweit führt der EuGH (MMR 2024, 1022 – Lindenapotheke) aus, dass generelles Regelungsziel der DSGVO ist, den Betroffenen im europäischen Rechtsraum ein hohes Schutzniveau zu gewährleisten und die praktische Wirksamkeit der DSGVO sicherzustellen (vgl. LG Lübeck ZD 2025, 228 Rn. 50, beck-online).
Deshalb garantiert Art. 79 Absatz 1 DSGVO dem Betroffenen einen "wirksamen gerichtlichen Rechtsbehelf " und unterstützt damit ein maßgebliches Ziel der DSGVO, das – wie nicht zuletzt Satz 1 des 10. Erwägungsgrunds der DSGVO zeigt – in der Etablierung eines hohen Datenschutzniveaus liegt. Das Ziel, einen umfassenden Schutz bei der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten würde unterlaufen und damit zugleich der Grundrechtsschutz beeinträchtigt, wenn dem Betroffenen die Möglichkeit genommen würde, dem Verantwortlichen eine unrechtmäßige Datenverarbeitung für die Zukunft zu verbieten und ihn auf Löschungsansprüche nach Art. 17 DSGVO und Schadensersatzansprüche nach Art. 82 DSGVO zu verweisen (vgl. OLG Dresden ZD 2022, 235 [237, Rn. 29]).
Auch der BGH hat bereits entschieden, dass das in Art. 17 Abs. 1 DSGVO niedergelegte "Recht auf Löschung" schon aufgrund der für den Betroffenen letztlich unwägbaren und zudem stetem Entwicklungsfortschritt unterworfenen technischen Voraussetzungen der beanstandeten Datenverarbeitung nicht auf das schlichte Löschen von Daten zu verengen ist, sondern unabhängig von der technischen Umsetzung auch das Begehren umfasst, eine erneute Erfassung zu unterlassen (BGH GRUR 2022, 258 Rn. 10, 11, beck-online; BGH GRUR 2023, 1724 Rn. 20, beck-online). Daher kann jedenfalls Unterlassung zusammen mit der Löschung verlangt werden. Die Vorlage des BGH an den EuGH (GRUR 2023, 1724) bezieht sich nur auf den, hier nicht gegebenen Fall, dass keine Löschung beantragt ist.
Im Übrigen muss auch Konsequenz des Vorranges der Leistungsklage und der Verneinung des Feststellungsinteresses die Möglichkeit sein, Ansprüche im Wege einer Unterlassungsklage durchzusetzen.
Es kann offenbleiben, ob ein Unterlassungsanspruch sich auch auf nationales Recht (§ 823 BGB, Art 2 GG, § 1004 BGB) stützen lässt (vgl. OLG Nürnberg GRUR-RS 2024, 18386, Rn. 13; OLG Dresden ZD 2022, 235 [237, Rn. 29]; OLG Stuttgart, ZD 2022, 105, Rn. 2; OLG Köln MMR 2020, 186 [187, Rn. 28]; LG Augsburg 082 O 262/24 Anl. 2 zum SS v. 09.04.2025 in 9 O 2615/23).“
Der Antrag ist hinreichend bestimmt. Der Kläger kann, wie hier geschehen, sich allgemein gegen die Verarbeitung seiner Daten wenden.
Wie bereits dargelegt, ist die streitgegenständliche Datenverarbeitung rechtswidrig und verstößt gegen die Regelungen der Datenschutzgrundverordnung. Insbesondere kann sich die Beklagte auf keinen Rechtfertigungsgrund stützen. Da hier die Unterlassung direkt aus der Datenschutzgrundverordnung hergeleitet wird, kommt es auf eine Verletzung des Allgemeinen Persönlichkeitsrechts in Form des Rechts auf Informationelle Selbstbestimmung nicht an. Wenn der Unterlassungsanspruch allein auf nationales Recht (§§ 1004, 823 Abs. 1 BGB) gestützt werden müsste, wäre ein konkrete Rechtsgutsverletzung Voraussetzung für die Unterlassung.
5. Der Antrag zu Ziff. 3) ist teilweise begründet. Dem Kläger steht eine Geldentschädigung in Höhe von 3.000,00 € gemäß Art. 82 Abs. 1 DSGVO zu.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Zu den Voraussetzungen des Anspruchs hat das LG Braunschweig ausgeführt:
„Der Kläger hat auch einen immateriellen Schaden erlitten. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DSGVO reicht nach der Rechtsprechung des EUGH jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich.
Weiter hat der EUGH ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.
Schließlich hat der EUGH in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Im ersten Satz des 85. Erwägungsgrundes der DSGVO heißt es, dass "[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person". Aus dieser beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen Verlust der Kontrolle über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, juris Rn. 28 ff. m. w. N. zur Rechtsprechung des EuGH).
Die betroffene Person muss den Nachweis erbringen, dass sie einen solchen – das heißt in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (vgl. EuGH ECLI:EU:C:2024:536 Rn. 33 = DB 2024, 1676 = GRUR-RS 2024, 13978 – PS GbR; Senat NJW 2025, 298 Rn. 31 mwN = DB 2024, 3091). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (BGH NJW 2025, 298 Rn. 31 = DB 2024, 3091; BGH NJW 2025, 1060 Rn. 16, 17, beck-online).
Nach diesen Maßstäben liegt es in diesem Fall auf der Hand, dass der Kläger einen solchen Kontrollverlust erlitten hat. Die Beklagte hat personenbezogene Daten des Klägers über die streitgegenständlichen MBT ohne eine Einwilligung verarbeitet und bei sich gespeichert. Damit geht denknotwendigerweise einher, dass der Kläger nicht weiß, welche Daten dies sind und er daher einen Kontrollverlust über ihn betreffende personenbezogene Daten erlitten hat.
Ferner liegt die erforderliche haftungsbegründende Kausalität vor. Gerade die Datenerhebung auf den Drittwebseiten bzw. Apps führte zu der dem Kläger unbekannten Datenspeicherung bei der Beklagten und somit zu dem immateriellen Schaden in Form des Kontrollverlusts.“
(LG Braunschweig, a.a.O., juris Rn. 193 ff.)
Bei der Bemessung der Höhe der Entschädigung ist zu berücksichtigen, dass die streitgegenständliche Datenverarbeitung angesichts der Vielzahl der Webseiten, die M. Business Tools verwenden, einen erheblichen Umfang einnimmt und diese Tools seit Jahren verwendet werden. Anders als bei den sog. „Hacking-Fällen“ handelt es sich gerade nicht um ein einmaliges Ereignis. Ferner dienen die M. Business Tools allein dem Zweck der Zuordnung der Internetnutzung auf einen bestimmten Nutzer und werden hierfür von der Beklagten zielgerichtet angeboten. Auch hier unterscheidet sich die Verletzungshandlung von den sog. „Hacking-Fällen“, bei denen den Webseitenbetreibern in der Regel lediglich ein Fahrlässigkeitsvorwurf zu machen ist. Vor dem Hintergrund erscheint der tenorierte Schadensersatzanspruch angemessen aber auch ausreichend, um der Genugtuungsfunktion des immateriellen Schadensersatzanspruchs Rechnung zu tragen.
Da der Schadensersatzanspruch sich bereits aus Art. 82 Abs. 1 DSGVO ergibt, kann hier offenbleiben, ob darüber hinaus der Kläger seinen Anspruch auch auf § 823 Abs. 1 BGB hätte stützen können.
II.
I. Die Nebenforderungen sind teilweise begründet.
1. Verzugszinsen stehen dem Kläger erst ab Rechtshängigkeit gemäß §§ 291, 288 Abs. 1 BGB zu. Da die Beklagte, die den Zugang des als Anlage K3 eingereichten Schreibens bestreitet, zuvor in Schuldnerverzug geraten ist, ist nicht nachgewiesen.
2. Der Freistellungsanspruch ist teilweise begründet. Rechtsgrundlage für die Erstattung der Rechtsanwaltskosten ist Art. 82 DSGVO, da es sich um Kosten handelt, die der Kläger aufgrund der rechtswidrigen Datenverarbeitung eingegangen ist. Ob die Beklagte das Schreiben der klägerischen Anwälte erhalten hat, kann für diesen Anspruch dahinstehen. Denn die vorgerichtliche Tätigkeit ist auch dann zu vergüten, wenn das Schreiben die Beklagte nicht erreicht haben sollte. Es ist auch nicht davon auszugehen, dass der Kläger seinen späteren Prozessbevollmächtigten einen unbedingten Klagauftrag erteilt hat. Das vorgerichtliche Schreiben diente nicht der Schaffung einer Klagvoraussetzung, sondern war darauf ausgerichtet, mit einer beigefügten Verpflichtungserklärung eine gerichtliche Auseinandersetzung zu vermeiden. Es gibt keinen Grund zu der Annahme, dass der Kläger seine Anwälte auch für den Fall, dass die Beklagte diese Erklärung unterzeichnet hätte, mit einer Klage beauftragt hat; insbesondere lässt der Umstand, dass die Klägervertreter in mehreren tausend Fällen ähnliche Schreiben verschickt haben, nicht den Schluss zu, dass ein außergerichtlicher Abschluss der einzelnen Verfahren nicht in Betracht gekommen wäre. Sofern die Klägervertreter hingegen nur bedingt, also für den Fall, dass eine vorgerichtliche Einigung nicht zustande kommt, mit einer Klage beauftragt worden waren, hinderte sie dies nicht, eine Gebühr nach Nr. 2300 VV RVG in Rechnung zu stellen (BGH, Urt. v. 26.2.2013 – XI ZR 345/10, BKR 2013, 283, Rn. 37 nach juris).
Das Bestreiten der Beklagten, dass die mit dem Klagantrag geltend gemachten Kosten entstanden seien, steht dem Anspruch ebenfalls nicht entgegen. Dass die Gebühr angefallen ist, ergibt sich aus dem RVG. Soweit das Bestreiten darauf zielt, dass die Kosten bislang nicht bezahlt wurden, ist dies für den hier geltend gemachten Freistellungsanspruch keine Voraussetzung.
Der Höhe nach ist eine 1,3-Gebühr nebst Kommunikationspauschale und Umsatzsteuer nach einem Gegenstandswert von 7.000 € ersatzfähig. Gegenstand des vorgerichtlichen Schreibens war die Geltendmachung eines Auskunfts- und Löschungsanspruchs sowie die Zahlung einer Entschädigung in Höhe von 5.000,00 €.
VG Düsseldorf
Beschluss vom 05.09.2025 29 K 6375/25
Das VG Düsseldorf hat entschieden, dass die Auskunfterteilung nach Art. 15 DSGVO nicht binnen der Monatsfrist gemäß Art. 12 Abs. 3 DSGVO erfolgen muss. Vielmehr reicht eine Statusmeldung.
Aus den Entscheidungsgründen: Nach § 161 Abs. 2 Satz 1 VwGO hat das Gericht bei Erledigung der Hauptsache nach billigem Ermessen unter Berücksichtigung des bisherigen Sach- und Streitstands über die Kosten des Verfahrens zu entscheiden. Vorliegend entspricht es der Billigkeit, die Kosten des Verfahrens dem Kläger aufzuerlegen. Die Kostenregelung in § 161 Abs. 3 VwGO kommt dem Kläger nicht zugute, weil er nicht mit seiner Bescheidung vor Klageerhebung rechnen durfte. Der Kläger hat die Untätigkeitsklage verfrüht, d. h. vor Ablauf der dreimonatigen Sperrfrist des § 75 Satz 2 VwGO erhoben.
Nach § 75 Satz 2 VwGO kann die Klage im Regelfall nicht vor Ablauf von drei Monaten seit dem Antrag auf Vornahme des Verwaltungsakts erhoben werden. Diese Frist war zum Zeitpunkt der Klageerhebung am 23. Juni 2025 noch nicht abgelaufen. Der Antrag auf Erteilung der datenschutzrechtlichen Auskunft nach Art. 15 DSGVO datiert vom 16. Mai 2025.
Es lagen auch keine besonderen Umstände des Falles vor, die eine kürzere Frist als die Regelfrist von drei Monaten geboten hätten. § 75 Satz 2 VwGO ist Ausdruck des Gebots effektiven Rechtsschutzes. Besondere Umstände, die eine frühzeitige Entscheidung der Behörde als geboten erscheinen lassen können, liegen insbesondere vor, wenn dem Kläger das Abwarten der Dreimonatsfrist schwere und unverhältnismäßige Nachteile zufügen würde. Solche Nachteile macht der Kläger nicht geltend.
Soweit auch spezialgesetzliche Fristen "besondere Umstände" im Sinne von § 75 Satz 2 VwGO sein können,
vgl. BVerwG, Urteil vom 22. März 2018 – 7C 21/16 –, juris Rn. 12, m.w.N.,
kann dahinstehen, ob Art. 12 Abs. 3 Satz 1 DSGVO eine solche spezialgesetzliche kürzere Bearbeitungsfrist darstellt. Denn die Beklagte ist der aus Art. 12 Abs. 3 Satz 1 DSGVO folgenden Pflicht zur Unterrichtung des Klägers über die ergriffenen Maßnahmen zur Befriedigung seines Auskunftsantrags innerhalb der Monatsfrist nachgekommen.
Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Die Frist in Art. 12 Abs. 3 Satz 1 DSGVO bezieht sich lediglich auf die Statusmeldung über die auf Antrag ergriffenen Maßnahmen. Nicht normiert ist dadurch eine Frist zur Erfüllung der in Art. 15-22 DSGVO verankerten Rechte bzw. Ansprüche der betroffenen Person.
Dafür, dass es sich nicht um eine Erledigungsfrist handelt, sondern allein die Statusmeldung unverzüglich erfolgen muss, spricht bereits der Wortlaut der Norm, wonach nur die Informationen „über die auf Antrag (…) ergriffenen Maßnahmen“ jedenfalls innerhalb eines Monats zur Verfügung gestellt werden müssen. Noch deutlicher kommt dies in der englischen Fassung der Norm „…provide information on action taken“ zum Ausdruck. Demgemäß heißt es im Erwägungsgrund 59 bezogen auf die Modalitäten, die einer betroffenen Person die Ausübung ihrer Rechte erleichtern, lediglich, der Verantwortliche solle verpflichtet werden, den Antrag der betroffenen Person spätestens innerhalb eines Monats zu beantworten.
In Art. 12 Abs. 3 Satz 1 DSGVO heißt es gerade nicht, dass die begehrten Informationen innerhalb der Frist zur Verfügung zu stellen sind. Der EU-Gesetzgeber differenziert jedoch ausdrücklich zwischen der Erteilung von Informationen einerseits sowie der Übermittlung von Mitteilungen bzw. Maßnahmen andererseits. So enthält etwa Art. 14 Abs. 3 lit. a DSGVO explizit eine Erledigungsfrist (“ erteilt die Informationen (…) innerhalb eines Monats“). Art. 77 Abs. 2 DSGVO unterscheidet ebenfalls ausdrücklich zwischen der Unterrichtung über den Stand und über die Ergebnisse der Beschwerde. Auch in den Erwägungsgründen ist von der Bereitstellung der Informationen (Erwägungsgrund 60) oder der Pflicht, Informationen zur Verfügung zu stellen (Erwägungsgrund 62) die Rede, wenn es um die Erfüllung des Anspruchs geht.
Der Gesetzeszusammenhang stützt die hier vertretene Auffassung. Bezöge sich die Frist in Art. 12 Abs. 3 Satz 1 DSGVO auch auf die Erfüllung der in Art. 15 bis 22 DSGVO verankerten Rechte bzw. Ansprüche der betroffenen Person, ergäben die Regelungen in Art. 16 und Art. 17 DSGVO, wonach die betroffene Person das Recht hat, von dem Verantwortlichen „unverzüglich“ die Berichtigung bzw. Löschung sie betreffender personenbezogener Daten zu verlangen, keinen Sinn. Einer weiteren Erledidungsfrist für die Berichtigung bzw. Löschung bedürfte es nicht, wenn sich diese bereits aus Art. 12 Abs. 3 Satz 1 DSGVO ergäbe.
Eine Statusmeldung hat die Beklagte dem Kläger fristgerecht erteilt. Sie hat ihm mit Schreiben vom 20. Mai 2025 mitgeteilt, dass sein Schreiben eingegangen sei und sein Anliegen geprüft werde, die Klärung jedoch Zeit in Anspruch nehmen könne. Damit hat die Beklagte nicht nur eine – nicht ausreichende - reine Eingangsbestätigung übersandt,
sondern die zur Verwirklichung der Auskunft ergriffenen Maßnahmen beschrieben.
Danach war die Klage unzulässig, weil sie erhoben wurde, ohne dass die Voraussetzungen einer Untätigkeitsklage vorlagen. Die Beklagte hat den Anspruch des Klägers sodann alsbald erfüllt, ohne Anlass zu der verfrühten Untätigkeitsklage gegeben zu haben. Auch nach dem in § 156 VwGO enthaltenen Rechtsgedanken entspricht es in einem solchen Fall der Billigkeit, die Kosten dem Kläger aufzuerlegen.
Die Festsetzung des Streitwerts beruht auf § 52 Abs. 2 GKG.
Das LAG Hamm hat dem betroffenen Arbeitnehmer eine Geldentschädigung aus §§ 823 Abs. 1, 253 Abs. 2 BGB in Höhe von 15.000 EURO wegen unzulässiger dauerhafter Videoüberwachung durch den Arbeitgeber über einen Zeitraum von 22 Monaten zugesprochen.
Aus den Entscheidungsgründen: 1. Dem Kläger steht der Unterlassungsanspruch nicht zu, den er mit dem Klageantrag zu 1) geltend macht.
An dieser Stelle kann offenbleiben, ob das Persönlichkeitsrecht des Klägers in rechtswidriger Weise beeinträchtigt wurde, weil er einer übermäßigen Kameraüberwachung ausgesetzt war. Voraussetzung für einen Unterlassungsanspruch analog § 1004 Abs. 1 Satz 2 BGB ist, dass "weitere Beeinträchtigungen zu besorgen" sind, dass also eine Wiederholungsgefahr besteht (vgl. nur Ebbing, in: Erman, 17. Aufl. 2023, § 1004 BGB Rdnr. 76 m.w.N.). An dieser Wiederholungsgefahr fehlt es im Streitfall, nachdem das Arbeitsverhältnis der Parteien beendet ist. Es sind keine Anhaltspunkte dafür ersichtlich, dass der Kläger zukünftig noch den Betrieb der Beklagten aufsuchen muss und von den dort installierten Kameras überwacht wird.
2. Der Kläger kann von der Beklagten die Zahlung einer Geldentschädigung in Höhe von 15.000,00 € verlangen.
Der Anspruch ergibt sich daraus, dass die Beklagte das Persönlichkeitsrecht des Klägers durch eine übermäßige Kameraüberwachung in rechtswidriger, schuldhafter und erheblicher Weise verletzt hat. Der Anspruch folgt aus § 280 Abs. 1 BGB (die Beklagte hat die sie gemäß § 241 Abs. 2 BGB treffende vertragliche Nebenpflicht, das Persönlichkeitsrecht des Klägers zu schützen, verletzt) und aus § 823 Abs. 1 BGB (das Persönlichkeitsrecht ist als sonstiges Recht durch § 823 Abs. 1 BGB geschützt), jeweils in Verbindung mit § 253 Abs. 2 BGB.
Das Arbeitsgericht hat dem Kläger richtigerweise eine Entschädigung in Höhe von 15.000,00 € zugesprochen. Es besteht keine Veranlassung, das ausführlich und sorgfältig begründete Urteil abzuändern.
a) Die Voraussetzungen für die Zahlung einer Geldentschädigung wegen einer Verletzung des Persönlichkeitsrechts liegen im Streitfall vor.
Das Arbeitsgericht hat die insoweit zu stellenden Anforderungen an die Zubilligung einer Geldentschädigung unter Bezugnahme auf die einschlägige höchstrichterliche Rechtsprechung (BAG, Urteil vom 19.02.2015 - 8 AZR 1007/13 m.w.N.) im Einzelnen unter I 2 b aa der Entscheidungsgründe des erstinstanzlichen Urteils dargelegt. Die erkennende Kammer tritt dem bei (§ 69 Abs. 2 ArbGG).
aa) Die Beklagte griff in das Persönlichkeitsrecht des Klägers ein.
Der Eingriff erfolgte dadurch, dass die Beklagte mit den Videokameras, die in der Betriebshalle installiert sind, Bildaufnahmen vom Kläger fertigte. Das Persönlichkeitsrecht umfasst auch das Recht am eigenen Bild (BAG, Urteil vom 19.02.2015 - 8 AZR 1007/13). Es gehört zum Selbstbestimmungsrecht eines jeden Menschen, selbst darüber zu entscheiden, ob Filmaufnahmen von ihm gemacht und möglicherweise verwendet werden dürfen.
bb) Der Eingriff in das Persönlichkeitsrecht des Klägers war rechtswidrig.
Ob ein Eingriff in das Recht am eigenen Bild durch Videoaufnahmen rechtswidrig ist, beurteilt sich nach den Bestimmungen des Bundesdatenschutzgesetzes sowie der DSGVO. Die dort niedergelegten Anforderungen an eine zulässige Datenverarbeitung konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung und am eigenen Bild (vgl. BAG, Urteil vom 23.08.2018 - 2 AZR 133/18, Urteil vom 19.02.2019 - 8 AZR 1007/13, Urteil vom 12.02.2025 - 6 AZR 845/13, jeweils zum Bundesdatenschutzgesetz:). Das Anfertigen von Videoaufnahmen stellt eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 und 2 DSGVO dar.
(1) Die Kameraüberwachung ist nicht nach den Bestimmungen des Bundesdatenschutzgesetzes zulässig.
(a) Die (erleichterten) Zulässigkeitsvoraussetzungen für die Videoüberwachung öffentlich zugänglicher Räume gemäß § 4 BDSG kommen im Streitfall nicht zum Tragen.
Bei der Betriebshalle der Beklagten handelt es sich nicht um öffentlich zugängliche Räume. Das hat das Arbeitsgericht unter Heranziehung der Gesetzesmaterialien, der Literatur und der einschlägigen Rechtsprechung unter I 2 b bb (1) (a) der Entscheidungsgründe des erstinstanzlichen Urteils überzeugend begründet. Diesen Ausführungen des Arbeitsgerichts, die die Beklagte mit der Berufungsbegründung nicht angegriffen hat, schließt die erkennende Kammer sich an (§ 69 Abs. 2 ArbGG).
(b) Die Videoüberwachung ist nicht nach § 26 Abs. 1 BDSG zulässig.
(aa) § 26 Abs. 1 Satz 1 BDSG vermag die Videoüberwachung nicht zu rechtfertigen.
Die Norm kommt als rechtliche Grundlage für die Datenverarbeitung nicht in Betracht, da sie den Anforderungen, die Art. 88 DSGVO an Vorschriften des nationalen Rechts stellt, nicht erfüllt (BAG, Beschluss vom 09.05.2023 - 1 ABR 14/22). Dies gilt schon deshalb, weil Schutzmaßnahmen im Sinne des Art. 88 Abs. 2 DSGVO nicht vorgesehen sind.
(bb) Die Zulässigkeit der Videoüberwachung folgt nicht aus § 26 Abs. 1 Satz 2 BDSG.
Dokumentierte tatsächliche Anhaltspunkte dafür, dass der Kläger oder ein anderer Arbeitnehmer eine Straftat beging, liegen nicht vor. Bei den Manipulationen an den Maschinen, die sich - der Behauptung der Beklagten zufolge - in der Vergangenheit zutrugen, handelt es sich nicht um Straftaten. Der Einbruchsversuch, der im Frühjahr 2024 geschah, ist aufgeklärt. Sonstige Anhaltspunkte für Straftaten, die eine Überwachung im vorgesehenen Umfang zu ihrer Aufdeckung als erforderlich erscheinen lassen, sind nicht ersichtlich.
(2) Die Videoüberwachung ist auch nicht nach Art. 6 DSGVO zulässig.
(a) An einer wirksamen Einwilligung des Klägers im Sinne des Art. 6 Abs. 1 Buchstabe a DSGVO fehlt es.
Zwar hat sich der Kläger gemäß § 14 des Arbeitsvertrages vom 01.08.2020 mit der Verarbeitung personenbezogener Daten einverstanden erklärt. Damit willigte er jedoch nicht wirksam in die Videoüberwachung ein. Es fehlt schon an der erforderlichen Freiwilligkeit der Einwilligung (§ 26 Abs. 2 Satz 1 BDSG, Art. 7 Abs. 4 DSGVO). In Maßnahmen der Mitarbeiterüberwachung kann durch den Abschluss des Arbeitsvertrages nicht vorab wirksam eingewilligt werden (vgl. etwa Gola, BB 2017, 1462, 1468; Wybitul, NZA 2017, 413, 416), da der Abschluss des Arbeitsvertrages von der Erklärung der Einwilligung abhängt und die Einwilligung dem Arbeitnehmer in dieser Situation nur Nachteile bringt. Es kommt hinzu, dass eine Belehrung über das Widerrufsrecht gemäß § 26 Abs. 2 Satz 4 BDSG nicht erteilt wurde und die Erklärung der Einwilligung von den übrigen arbeitsvertraglichen Vereinbarungen nicht gemäß Art. 7 Abs. 2 Satz 1 DSGVO klar unterscheidbar ist.
(b) Die Videoüberwachung ist schließlich nicht nach Art. 6 Abs. 1 Buchstabe f DSGVO zulässig.
Diese Vorschrift erlaubt die Datenverarbeitung zur Wahrung berechtigter Interessen. Datenverarbeitende Maßnahmen, sollen sie nach Art. 6 Abs. 1 Buchstabe f DSGVO statthaft sein, müssen allerdings einer Verhältnismäßigkeitsprüfung standhalten (EuGH, Urteil vom 11.12.2019 - C - 708/18). Das ergibt sich bereits aus dem Wortlaut der Vorschrift. Im Streitfall ist die Videoüberwachung als unverhältnismäßig anzusehen.
(aa) Soweit die Beklagte unter Hinweis auf einen Diebstahl, der sich auf dem Nachbargelände ereignete, die Kameraüberwachung mit der Verhinderung von Straftaten und Vandalismus auf ihrem Betriebsgelände rechtfertigen will, sind die Voraussetzungen einer verhältnismäßigen Datenverarbeitung erkennbar nicht erfüllt.
Es fehlt schon an der Eignung der Maßnahme. Eine Kameraüberwachung in der Betriebshalle vermag die aus Sicht der Beklagten drohenden Gefahren auf dem Betriebsgelände nicht oder allenfalls teilweise abzuwenden oder zu dokumentieren. Jedenfalls stellt die Überwachung des Außenbereichs ein milderes Mittel dar.
(bb) Soweit die Beklagte vorbringt, in der Betriebshalle befänden sich Maschinen zur Stahlbearbeitung, hochwertiges Werkzeug sowie Materialvorräte, kann dies die Überwachung im vorliegenden Ausmaß nicht rechtfertigen.
Dabei mag zugunsten der Beklagten davon ausgegangen werden, dass diese Gegenstände, anders als die von ihr hergestellten Produkte, leicht Gegenstand einer Entwendung oder Beschädigung sein können. Die Beklagte hat aber schon nicht vorgetragen, an welchen Standorten in der Betriebshalle sich diese Gegenstände befinden. Die Beklagte hat auch nicht vorgetragen, inwieweit diese Erwägungen auf den Arbeitsplatz des Klägers zutreffen. Schließlich hat die Beklagte keinen Vortrag dazu gehalten, inwiefern aufgrund von Vorkommnissen in der Vergangenheit ein nennenswertes Sicherheitsrisiko besteht. Es ist nicht ersichtlich, dass es zu einer Sachbeschädigung, einem Diebstahl oder einem Diebstahlsversuch durch die in der Halle tätigen Arbeitnehmer kam. Für die Kammer ist auch nicht erkennbar, inwiefern das konkrete Risiko eines Diebstahls durch betriebsfremde dritte Personen besteht. Insoweit wäre jedenfalls eine Überwachung des Eingangs- und Außenbereichs als gefahrabwendende Maßnahme zureichend.
(cc) Das Vorbringen der Beklagten zu Manipulationen an Maschinen begründet nicht Zulässigkeit der Kameraüberwachung.
Es lässt sich nicht feststellen, inwiefern es in der Vergangenheit zu derartigen Manipulationen kam. Der Kläger hat dies bestritten. Eine Beweiserhebung durch die Vernehmung des Betriebsleiters, den die Beklagte als Zeugen benannt hat, ist als Ausforschungsbeweis unzulässig. Die Beklagte hat die Tatsachen, über welche die Vernehmung des Zeugen stattfinden soll, nicht hinreichend genau gemäß § 373 ZPO bezeichnet. Sie hat die Manipulationen nur pauschal behauptet und weder nach Ort, Art oder Zeitpunkt konkretisiert. Zwar ist der Beklagten zuzugeben, dass Manipulationen an Maschinen grundsätzlich denkbar sind. Will die Beklagte durch eine Kameraüberwachung des vorliegenden Ausmaßes aber nur einer abstrakten Manipulationsgefahr begegnen, so ist die Maßnahme offenkundig unverhältnismäßig.
(dd) Auch unter dem Gesichtspunkt der Arbeitssicherheit und der beabsichtigten Auswertung von Arbeitsunfällen erweist sich die Videoüberwachung nicht als zulässig.
Im Hinblick auf Vorkommnisse im Außenbereich, die für die Arbeitssicherheit relevant sein könnten, stellt die Kameraüberwachung innerhalb der Betriebshalle schon keine geeignete Maßnahme dar. Im Hinblick auf den Bereich innerhalb der Betriebshalle fehlt es an einer konkreten Darlegung der Beklagten, wann sich welche Arbeitsunfälle ereigneten und inwiefern eine Auswertung von Kameraaufzeichnungen nützlich wäre. Die Beklagte hat auch nicht vorgebracht, inwiefern das Gefahrenpotential für die Arbeitnehmer so hoch ist, dass die Überwachung des gesamten Hallenbereichs notwendig erscheint, insbesondere bezogen auf den Arbeitsplatz des Klägers
(ee) Bezüglich der beabsichtigten Nachverfolgung von Maschinenausfällen ist die Kameraüberwachung ebenfalls unverhältnismäßig.
Die Beklagte hat nicht dargelegt, in welcher Häufigkeit es in der Vergangenheit zu Ausfällen von Maschinen kam und ob der Arbeitsplatz des Klägers davon betroffen war. Es ist auch nicht ersichtlich, warum eine Videoaufzeichnung hilfreich wäre. Ein zeitnaher Eingriff, um auf den Ausfall zu reagieren, wäre nur möglich, wenn eine ständige "Live-Auswertung" der Kamerabilder erfolgte. Das hat die Beklagte jedoch nicht vorgetragen. Darüber hinaus ist nicht ersichtlich, welche Schäden bei einem Ausfall von Maschinen drohen und inwiefern zur Abwendung dieser Schäden die intensive Kameraüberwachung erforderlich ist.
(ff) Wenn die Beklagte vorbringt, die Kameraüberwachung erfolge, um nachweisen zu können, dass korrektes Material verladen wurde, ist auch dieser Gesichtspunkt nicht geeignet, die Rechtmäßigkeit der Überwachungsmaßnahme darzutun.
Die Überwachung erweist sich insoweit als unverhältnismäßig, denn sie betrifft den gesamten Innenbereich der Halle und nicht nur den Bereich, in dem die Verladung stattfindet. Diesen Bereich hat die Beklagte nicht näher konkretisiert. Sie hat keinen Vortrag dazu gehalten, inwiefern auch die Überwachung des Arbeitsplatzes, an dem der Kläger tätig war, unter diesem Gesichtspunkt erforderlich ist. Bei einer Löschung der Aufzeichnungen nach 48 Stunden dürfte im Regelfall die Kameraaufzeichnung als Beweismittel nicht mehr zur Verfügung stehen, wenn es zu einem Streit um die Verladung des ordnungsgemäßen Materials kommt. Schließlich ist nicht ersichtlich, warum es für die Beklagte nicht möglich ist, den gewünschten Nachweis durch Zeugen zu erbringen.
cc) Die Beklagte handelte im Hinblick auf die Kameraüberwachung schuldhaft.
Die Beklagte führte die Überwachungsmaßnahme vorsätzlich durch. Sie handelte bewusst und gewollt.
dd) Durch die Überwachung fand ein schwerer Eingriff in das Persönlichkeitsrecht des Klägers statt, der einen Anspruch auf Geldentschädigung auslöst.
Dabei ist zwar zugunsten der Beklagten zu berücksichtigen, dass die Überwachung nicht heimlich, sondern offen stattfand. Es ist auch nicht ersichtlich, dass aufgrund der Kameraüberwachung konkrete disziplinarische Maßnahmen gegenüber dem Kläger getroffen wurden. Ob dies, wie der Kläger vorträgt, gegenüber anderen Arbeitnehmern der Fall war, ist im Hinblick auf die Beeinträchtigung der Rechtsposition des Klägers unerheblich.
Andererseits ist zu berücksichtigen, dass die Überwachung in einem besonders langen Zeitraum stattfand. Der Kläger wurde von Januar 2023 bis Oktober 2024, also über einen Zeitraum von 22 Monaten, arbeitstäglich dauerüberwacht. Außerhalb der Pausen-, Umkleide- und Sanitärräume gab es in der Betriebshalle keinen Raum, in den der Kläger sich zum Schutze vor der Kameraüberwachung hätte zurückziehen können. Ob in den Büroräumen eine Kameraüberwachung tatsächlich nicht stattfand, ist insoweit unerheblich, da der Kläger als gewerblicher Arbeitnehmer sich dort kaum aufgehalten haben wird. Wenngleich er bei seiner regulären Arbeit nur von hinten aufgenommen wurde, war die Tätigkeit des Klägers am Arbeitsplatz war Gegenstand permanenter Überwachung. Beim Verlassen des Arbeitsplatzes wurde der Kläger von vorn aufgenommen. Dass insoweit auch die Möglichkeit bestand, das Kamerabild zu "zoomen", hat die Beklagte nicht konkret bestritten. Auch nach dem Vorbringen der Beklagten war der Zugriff auf die Bilddaten jederzeit durch mehrere Personen möglich. Wie die Beklagte in der mündlichen Verhandlung vor der erkennenden Kammer eingeräumt hat, erlaubte die eingesetzte Überwachungstechnik nicht nur, Einsicht in aufgezeichnete Kameradaten durch nachträgliches "Abspielen" zu nehmen; vielmehr bestand auch die Möglichkeit einer "Live-Überwachung" durch Einsichtnahme in die aktuell laufenden Kameraaufzeichnungen. Es entspricht allgemeiner Lebenserfahrung und bedarf keines besonderen Vortrages, dass dadurch ein extrem hoher Anpassungsdruck für den Kläger - und die anderen in der Halle tätigen Arbeitnehmer - hervorgerufen wurde. Es kommt hinzu, dass die Beklagte die Videoüberwachung unverändert fortführte, obgleich der Kläger mit dem Schreiben vom 18.12.2023 auf deren Unerwünschtheit und Unverhältnismäßigkeit hingewiesen hatte. Das Vorbringen der Beklagten, sie habe eine Überarbeitung des Überwachungskonzepts zu Beginn des Jahres 2024 in Auftrag gegeben, stellt die Schwere des Eingriffs in das Persönlichkeitsrecht nicht in Frage. Eine Modifikation erfolgte bis zum Ende der Beschäftigungszeit des Klägers nicht und wurde auch nicht konkret in Aussicht gestellt.
b) Die rechtswidrige, schuldhafte und besonders schwere Verletzung des Persönlichkeitsrechts zieht die Verpflichtung der Beklagten nach sich, eine Geldentschädigung gemäß § 253 Abs. 2 BGB zu zahlen, deren durch das Arbeitsgericht festgesetzte Höhe aus Sicht der erkennenden Kammer nicht zu beanstanden ist.
So hat das Landesarbeitsgericht Mecklenburg-Vorpommern (Urteil vom 25.05.2019 - 2 Sa 214/18) eine Überwachung des Arbeitnehmers durch drei Kameras im nicht öffentlich zugänglichen Bereich der Tankstelle für einen Zeitraum von mehr als acht Monaten für unzulässig gehalten und den Arbeitgeber zur Zahlung einer Geldentschädigung in Höhe von 2.000,00 € verurteilt. Das Landesarbeitsgericht Hamm (Urteil vom 30.10.2012 - 9 Sa 158/12) hat einem Arbeitnehmer, der über einen Zeitraum von 20 Monaten durch zwei Kameras für einen Zeitraum von 15 bis 20 Minuten je Arbeitstag überwacht wurde, eine Geldentschädigung in Höhe von 4.000,00 € zugesprochen. Das Hessische Landesarbeitsgericht (Urteil vom 25.10.2010 - 7 Sa 1586/09) hat den Arbeitgeber zur Zahlung einer Geldentschädigung in Höhe von 7.000,00 € für eine dreimonatige Dauerüberwachung verurteilt. Die im Streitfall erfolgte Kameraüberwachung war deutlich intensiver als in den Sachverhalten, die diesen Entscheidungen zugrunde lagen. Unter Berücksichtigung der Geldentwertung und des nicht geringen Verschuldens der Beklagten ist im Streitfall eine Geldentschädigung in Höhe von 15.000,00 € angemessen. Die Beklagte hat sich in eklatanter Weise über die Vorgaben des Datenschutzrechts hinweggesetzt. Anhaltspunkte dafür, dass sie hätte glauben dürfen, ihr Vorgehen seien rechtmäßig, sind nicht ersichtlich. Insbesondere hat die Beklagte nicht vorgebracht, sich vor der Installation der Kameraüberwachungsanlage datenschutzrechtlich beraten lassen zu haben. Zudem handelt es sich angesichts der Dauer und Intensität der Überwachung um einen besonders schweren Eingriff in das Persönlichkeitsrecht des Klägers; insoweit kann auf die Ausführungen unter II 2 a dd der Entscheidungsgründe Bezug genommen werden.
Das BAG hat vorliegend entschieden, dass dem Betroffenen 1.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO zustehen, nachdem der potentielle Arbeitgeber eine Google Recherche über einen Bewerber durchgeführt hat, ohne diesen nach Art. 14 DSGVO zu informieren.
Aus den Entscheidungsgründen: bb) Der mit dem Feststellungsantrag verfolgte Anspruch auf materiellen Schadenersatz steht dem Kläger auch nicht aus Art. 82 Abs. 1 DSGVO zu.
(1) Nach dieser Bestimmung hat jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.
(2) Hiervon ausgehend kann dahingestellt bleiben, ob die Beklagte, soweit sie im Auswahlverfahren Daten über das gegen den Kläger vor dem Landgericht München I geführte Strafverfahren verarbeitet hat, gegen die Datenschutz-Grundverordnung verstoßen hat, insbesondere ob hier ein Verstoß gegen Art. 6, Art. 10 und/oder Art. 14 DSGVO vorliegt. Dies kann vielmehr zugunsten des Klägers unterstellt werden. Es fehlt jedenfalls an der Darlegung eines Kausalzusammenhangs zwischen den vom Kläger angeführten Verstößen gegen die Datenschutz-Grundverordnung und dem geltend gemachten materiellen Schaden als einer der drei kumulativen Voraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO (vgl. dazu: EuGH 4. Oktober 2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 140; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 32; BAG 20. Februar 2025 – 8 AZR 61/24 – Rn. 10 mwN).
Bei den geltend gemachten Verstößen gegen die Datenschutz-Grundverordnung handelt es sich um Fehler im Auswahlverfahren, die für sich betrachtet nicht ursächlich für einen dem Kläger durch die Nichteinstellung entstandenen Schaden geworden sein können. Dieser Schaden ist vielmehr darauf zurückzuführen, dass er wegen objektiv begründeter Zweifel an seiner charakterlichen Eignung nicht als geeigneter Bewerber angesehen werden kann und schon deshalb keine Verpflichtung der Beklagten bestand, die ausgeschriebene Stelle mit ihm zu besetzen.
2. Der zulässige Klageantrag zu 2. ist, soweit Gegenstand der Revision, unbegründet. Das Landesarbeitsgericht hat dem Kläger zu Recht keinen über 1.000,00 Euro zzgl. Zinsen ab dem 28. Oktober 2022 hinausgehenden immateriellen Schadenersatz zugesprochen.
a) Da sich die Beklagte gegen ihre Verurteilung zur Zahlung einer Entschädigung nicht mit einem eigenen Rechtsmittel gewandt hat, ist die Entscheidung des Landesarbeitsgerichts insoweit mit dem Ablauf der Frist für eine mögliche Anschlussrevision rechtskräftig geworden (vgl. BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 10 mwN).
b) Zugunsten des Klägers kann unterstellt werden, dass ihm nicht nur – wie vom Landesarbeitsgericht angenommen – ein Anspruch auf Zahlung immateriellen Schadenersatzes gemäß Art. 82 Abs. 1 DSGVO wegen eines Verstoßes der Beklagten gegen ihre Informationspflichten aus Art. 14 Abs. 1 Buchst. d DSGVO zusteht, sondern die Beklagte bereits die Daten über das gegen den Kläger anhängige Strafverfahren mangels Eingreifens eines Erlaubnistatbestands iSv. Art. 6 und Art. 10 DSGVO unter Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung erhoben hat, und demzufolge mehrere Verstöße gegen die Verordnung vorliegen. Dies führt aber nicht dazu, dass der vom Landesarbeitsgericht festgesetzte Entschädigungsbetrag rechtsfehlerhaft bemessen wäre.
aa) Bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DSGVO geschuldeten Schadenersatzes haben die nationalen Gerichte in Ermangelung einer Bestimmung in der Datenschutz-Grundverordnung die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Art. 82 Abs. 1 DSGVO verlangt dabei nicht, dass die Schwere des Verschuldens berücksichtigt wird. Die Ausgleichsfunktion des in Art. 82 Abs. 1 DSGVO verankerten Schadenersatzanspruchs schließt es sogar aus, dass eine etwaige Vorsätzlichkeit des Verstoßes gegen die Datenschutz-Grundverordnung bei der Bemessung des Schadenersatzes zum Tragen kommt. Der Betrag ist jedoch so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung erlittenen Schaden in vollem Umfang ausgleicht (vgl. EuGH 20. Juni 2024 – C-182/22, C-189/22 – [Scalable Capital] Rn. 27 ff. mwN; BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 36).
bb) Hinsichtlich der nach diesen Maßgaben vorzunehmenden Bemessung der Höhe eines Schadenersatzes steht den Tatsachengerichten nach § 287 Abs. 1 ZPO ein weiter Ermessensspielraum zu, innerhalb dessen sie die Besonderheiten jedes einzelnen Falls zu berücksichtigen haben. Die Festsetzung unterliegt nur der eingeschränkten Überprüfung durch das Revisionsgericht (vgl. BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 37; 20. Juni 2024 – 8 AZR 124/23 – Rn. 16).
cc) Der vom Landesarbeitsgericht ausgeurteilte Betrag von 1.000,00 Euro ist jedenfalls ausreichend, um einen dem Kläger entstandenen immateriellen Schaden auszugleichen.
(1) Das Landesarbeitsgericht hat darauf abgestellt, dass der Kläger durch die Art und Weise der Verarbeitung der Daten über das gegen ihn anhängige Strafverfahren in erheblicher Weise zum bloßen Objekt der Verarbeitung geworden sei, was seinen Achtungsanspruch als Person herabgesetzt habe und mit einem erheblichen Kontrollverlust einhergegangen sei. Damit hat es die vom Kläger angeführten tatsächlichen Beeinträchtigungen umfassend gewürdigt. Der auf dieser Grundlage festgesetzte Entschädigungsbetrag hält sich im tatrichterlichen Beurteilungsspielraum.
(2) Soweit der Kläger eine ausreichend „abschreckende Wirkung“ der ihm zuerkannten Entschädigung vermisst, zeigt er keinen Gesichtspunkt auf, der eine Erhöhung rechtfertigen könnte. Durch die Rechtsprechung des Gerichtshofs der Europäischen Union ist geklärt, dass der in Art. 82 Abs. 1 DSGVO geregelte Schadenersatzanspruch ausschließlich eine ausgleichende und keine strafende Funktion hat, und dass die Höhe eines auf der Grundlage dieser Bestimmung gewährten Schadenersatzes nicht über das hinausgehen darf, was zum Ausgleich eines erlittenen Schadens erforderlich ist (zuletzt EuGH 4. Oktober 2024 – C-507/23 – Rn. 40 ff.). Der danach maßgebliche Charakter des Entschädigungsanspruchs als Anspruch auf Ausgleich eines tatsächlich erlittenen Schadens ist nicht davon abhängig, ob Regelungen im nationalen Recht wegen eines Verstoßes gegen die Datenschutz-Grundverordnung die Verhängung eines Bußgelds gegen den Verantwortlichen ermöglichen oder nicht.
(3) Der Kläger zeigt auch keinen revisiblen Rechtsfehler auf, soweit er geltend macht, das Landesarbeitsgericht sei lediglich von einem Verstoß gegen die Datenschutz-Grundverordnung ausgegangen, während tatsächlich mehrere Verstöße vorlägen. Selbst wenn Letzteres – was zugunsten des Klägers unterstellt werden kann – zutreffen sollte, beziehen sich die behaupteten Verstöße jedenfalls auf denselben Verarbeitungsvorgang. In einem solchen Fall kann, wie der Gerichtshof der Europäischen Union bereits erkannt hat, der Umstand, dass der Verantwortliche mehrere Verstöße gegenüber derselben Person begangen hat, nicht als relevantes Kriterium für die Bemessung des der betroffenen Person gemäß Art. 82 DSGVO zu gewährenden Schadenersatzes herangezogen werden. Um den Betrag der als Ausgleich geschuldeten finanziellen Entschädigung festzulegen, ist allein der vom Betroffenen konkret erlittene Schaden zu berücksichtigen (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 64).
Das OLG Hamm hat sich in diesem Fall mit der Zulässigkeit der Entfernung von Videos sowie vorübergehenden Kontoeinschränkungen und -sperrungen durch YouTube befasst.
Aus den Entscheidungsgründen: 1. Die von den Parteien nicht in Zweifel gezogene internationale Zuständigkeit der deutschen Gerichtsbarkeit, welche auch im Berufungsrechtszug von Amts wegen zu prüfen ist (vgl. BGH, Urteil vom 16.12.2003 - XI ZR 474/02, NJW 2004, juris Rn. 12), ergibt sich aus Art. 7 Nr. 1 Buchst. a der Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12.12.2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (Brüssel Ia-VO). Die Vertragspflicht der Beklagten auf Bereitstellung der YouTube-Dienste ist in Ermangelung abweichender Vereinbarungen der Parteien am Wohnsitz des Klägers zu erfüllen.
Zutreffend und ohne dass dies von den Parteien angegriffen wird, hat das Landgericht auf das Vertragsverhältnis deutsches Recht angewendet. Der Vertrag unterliegt nach Art. 3 Abs. 1 der Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17.06.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I-VO) dem von den Parteien ausweislich der Nutzungsbedingungen vereinbarten deutschen Recht (siehe Seite 16 der Nutzungsbedingungen unter "Anwendbares Recht").
2. Im Ergebnis ebenfalls zutreffend ist das Landgericht davon ausgegangen, dass der Kläger gegen die Beklagte keinen Anspruch auf Freistellung von den geltend gemachten vorgerichtlichen Rechtsanwaltskosten hat.
a) Es kann dahinstehen, ob sich ein Freistellungsanspruch des Klägers hinsichtlich der vorgerichtlichen Kosten im Zusammenhang mit der Aufforderung der Beklagten zur Rückgängigmachung der streitgegenständlichen Maßnahmen (Klageanträge zu Ziff. 1a, 1c, 1f, 1g, 1h, 1j, 2a, 2b und 2c) nur unter dem Gesichtspunkt des Schuldnerverzugs ergeben kann (§ 280 Abs. 1 und 2, § 286 BGB). Hiervon ist das Landgericht ausgegangen, welches auf die Leistungspflicht der Beklagten abgestellt hat, das YouTube-Konto zur Verfügung zu stellen und in seiner Funktionalität dauerhaft aufrecht zu erhalten, so dass die Deaktivierung einzelner Videos sowie Funktionseinschränkungen und -sperrungen des YouTube-Kontos als Nichtleistung zu begreifen wären (vgl. auch OLG Frankfurt, Urteil vom 30.06.2022 - 16 U 229/20, MDR 2022, 1481, juris Rn. 163). Zwar liegt es näher, für eine etwaige Pflichtverletzung der Beklagten an die vermeintlich unberechtigten Kontoeinschränkungen und -sperrungen selbst anzuknüpfen, so dass der geltend gemachte Freistellungsanspruch auf § 280 Abs. 1 BGB zu stützen wäre (vgl. BGH, Urteil vom 29.07.2021 - III ZR 179/20, NJW 2021, 3179, juris Rn. 27; OLG Nürnberg, Urteil vom 13.12.2022 - 3 U 4205/21, juris Rn. 70). Dies kann jedoch offenbleiben, da die Beauftragung eines Rechtsanwalts jeweils nicht erforderlich war.
aa) Voraussetzung für einen Anspruch auf Freistellung von vorgerichtlichen Rechtsverfolgungskosten ist, dass der Geschädigte im Innenverhältnis zur Zahlung der in Rechnung gestellten Kosten verpflichtet ist und die konkrete anwaltliche Tätigkeit im Außenverhältnis aus Sicht des Geschädigten mit Rücksicht auf seine spezielle Situation zur Wahrnehmung und Durchsetzung seiner Rechte erforderlich und zweckmäßig war (vgl. BGH, Beschluss vom 25.04.2022 - VIa ZR 524/21, juris Rn. 7). Es kommt darauf an, wie sich die voraussichtliche Abwicklung des Schadensfalls aus der Sicht des Geschädigten darstellt (BGH, Urteil vom 29.10.2019 - VI ZR 45/19, NJW 2020, 144). Dem von einer Vertragspflichtverletzung Betroffenen ist es dabei grundsätzlich zuzumuten, seinen Vertragspartner zunächst selbst auf Erfüllung der diesem obliegenden Pflichten in Anspruch zu nehmen (vgl. OLG Karlsruhe, Urteil vom 04.02.2022 - 10 U 17/20, juris Rn. 163; OLG München, Urteil vom 07.01.2020 - 18 U 1491/19 Pre, MDR 2020, 552, juris Rn. 2109).
bb) Gemessen an diesen Vorgaben lagen die Voraussetzungen für die Einschaltung eines Rechtsanwalts zum Zeitpunkt der vorgerichtlichen anwaltlichen Aufforderungen gegenüber der Beklagten nicht vor. Aus Sicht des Klägers lagen keine Verstöße gegen die Community-Richtlinien, auf welche die Beklagte die Videoentfernungen und Kontosperrungen gestützt hat, vor. Dementsprechend sind - so der Kläger in der Berufungsbegründung (dort Seite 12) - auf seine Beschwerden auch sämtliche Videos von der Beklagten wiederhergestellt worden. Dem Kläger stand - worauf auch das Landgericht schon zutreffend abgestellt hat - gegen sämtliche Maßnahmen die Möglichkeit offen, Beschwerde über das von der Beklagten hierfür vorgesehene Beschwerde-Tool zu erheben. Hiervon hat der Kläger auch in einer Vielzahl von Fällen Gebrauch gemacht. Gleichwohl hat er entweder gleichzeitig oder kurz danach seine späteren Prozessbevollmächtigten mit der zusätzlichen anwaltlichen vorgerichtlichen Geltendmachung der Rückgängigmachung der Maßnahmen beauftragt (Fälle zu den Klageanträgen zu Ziff. 1a, 1c, 1f, 1h, 1j und 2a) oder aber anstelle der Erhebung einer Beschwerde sofort eine vorgerichtliche anwaltliche Aufforderung veranlasst (Fälle zu den Klageanträgen zu Ziff. 1g, 2b und 2c). Der im Umgang mit der Plattform der Beklagten und den dort vorgesehenen Beschwerdemöglichkeiten vertraute Kläger wäre gehalten gewesen, zunächst persönlich Beschwerde über das hierfür vorgesehene Beschwerde-Tool zu erheben und - so auch das Landgericht - innerhalb eines angemessenen Zeitraums die Reaktion der Beklagten hierauf abzuwarten, bevor er einen Rechtsanwalt beauftragt. Es ist weder dargetan noch ersichtlich, inwieweit dem Kläger ein weiteres Zuwarten unzumutbar gewesen wäre oder die Beklagte auf die erhobenen Beschwerden nicht mit der gebotenen Schnelligkeit reagiert hätte. Dass die Beklagte auf die persönliche Intervention des Klägers ohnehin nicht tätig geworden wäre, wird vom Kläger nicht substantiiert behauptet, zumal in den Fällen der Klageanträge zu Ziff. 1a und 1j die anwaltliche Aufforderung auch erst nach Wiederherstellung der Videos durch die Beklagte stattgefunden hat.
b) Nicht beanspruchen kann der Kläger auch die vorgerichtlichen Kosten, die er im Zusammenhang mit der vorgerichtlichen Aufforderung verlangt, zu erklären, dass die Beklagte zukünftig keine Inhalte (ausgenommen rechtswidrige) auf unsichtbar stellen oder den klägerischen Kanal in seinen Funktionen beeinträchtigen oder demonetarisieren oder den Kläger gar von der Plattform aussperren werde, ohne ihn vorher mit einer angemessenen Frist anzuhören und seine Stellungnahme zu berücksichtigen (Fall zum Klageantrag zu Ziff. 1i). Die Beklagte musste eine entsprechende Erklärung schon deshalb nicht abgeben, da diese zu weit gefasst ist.
aa) Die vorgerichtliche Aufforderung vom 05.08.2021 (GA-LG 75) nimmt auf die Rechtsprechung des Bundesgerichtshofs zu den Facebook-Nutzungsbedingungen Bezug (vgl. Urteile vom 27.09.2021 - III ZR 179/20 und 192/20) und führt aus, dass ein soziales Netzwerk mit Marktmacht, was auf die Beklagte zutreffe, Nutzer nicht sperren und ihre Beiträge nicht löschen dürfe, ohne sie vorher anzuhören und ihnen Gelegenheit zur Stellungnahme zu geben. Dies müsse in den Nutzungsbedingungen zwingend verankert sein, dürfe also nicht im Belieben des Anbieters stehen. Es kann an dieser Stelle dahinstehen, ob die damaligen Nutzungsbedingungen der Beklagten Videoentfernungen und Kontosperrungen nicht wirksam geregelt haben. Denn es konnte jedenfalls Fälle geben, in denen die Beklagte berechtigt war, den Kläger zu sperren, ohne ihn vorab über die beabsichtigte Sperrung zu informieren und ihm Gelegenheit zur Gegenäußerung mit anschließender Neubescheidung einzuräumen. So ist die Beklagte insbesondere gehalten gewesen, unverzüglich tätig zu werden, um strafbare Inhalte auf ihrer Plattform zu entfernen oder zu sperren, sobald sie Kenntnis von Tatsachen oder Umständen erlangt hat, aus denen die Rechtswidrigkeit der Inhalte offensichtlich wird (vgl. BGH, Urteil vom 29.07.2021 - III ZR 179/20, NJW 2021, 3179, juris Rn. 98). Zu den dann - auch unabhängig von der Wirksamkeit einer vertraglichen Ermächtigung für eine Kontosperrung - zulässigen und gebotenen Maßnahmen konnte auch die vorübergehende Sperrung eines Nutzerkontos gehören (vgl. OLG Köln, Urteil vom 25.01.2024 - 15 U 45/23, juris Rn. 31; OLG München, Urteil vom 12.04.2022 - 18 U 6473/20, juris Rn. 50 f.). Über solche Entscheidungen musste die Beklagte den Nutzer jedenfalls nicht - wie es der Kläger mit der vorgerichtlichen Aufforderung von der Beklagten erklärt haben wollte - vorab, sondern lediglich unverzüglich informieren (vgl. § 3 Abs. 2 Satz 1 Nr. 5 NetzDG a.F.).
bb) Schließlich konnte der Kläger von der Beklagten auch nicht verlangen, dass diese ihn vor einer "Demonetarisierung" des YouTube-Kanals hätte anhören müssen. Die "Demonetarisierung" bezieht sich auf die Kündigung eines YouTube-Partnerprogramms, welches es der Beklagten ermöglicht, Werbung auf die Videos des Nutzers zu schalten, wobei dieser an den dadurch generierten Werbeeinnahmen partizipiert (vgl. GA-LG 331). Am 21.06.2019 hatte die Beklagte gegenüber dem Kläger die außerordentliche fristlose Kündigung der Monetarisierungsvereinbarung erklärt (vgl. GA-LG 222). Eine vorherige Anhörung war vor dem Hintergrund von § 314 BGB allerdings nicht erforderlich. Die Sachverhaltsaufklärung vor einer Kündigung aus wichtigem Grund wird nach der Konzeption des Gesetzes durch das Regelerfordernis der Abmahnung sichergestellt (vgl. OLG Dresden, Urteil vom 08.03.2022 - 4 U 1050/21, NJW-RR 2022, 1207, juris Rn. 22 zur Kündigung eines Nutzerkontos). Eine Anhörung muss vor Ausspruch einer solchen Kündigung nicht stattfinden (vgl. BAG, Urteil vom 18.09.1997 - 2 AZR 36/97, NJW 1998, 1508, juris Rn. 17 zur Kündigung nach § 626 BGB).
3. Sodann steht dem Kläger auch nicht der mit dem Haupt- und erstrangigen Hilfsantrag zum Berufungsantrag zu Ziff. 3 geltend gemachte Unterlassungsanspruch hinsichtlich Einschränkungen der Nutzbarkeit oder Funktionalität seines YouTube-Kanals oder hinsichtlich der Löschung des Kanals ohne vorherige Anhörung zu.
Allerdings geht der Kläger im Ansatz zutreffend davon aus, dass die Beklagte aufgrund des zwischen den Parteien bestehenden Nutzungsvertrags und auf Grundlage der vorgelegten Nutzungsbedingungen mit Stand 05.01.2022 nicht uneingeschränkt berechtigt ist, hochgeladene Videos des Klägers zu entfernen oder weitergehende Maßnahmen gegen dessen YouTube-Konto zu ergreifen. Denn die Beklagte hat sich ausweislich ihrer Nutzungsbedingungen dazu verpflichtet, Nutzern zu ermöglichen, Inhalte im Rahmen des Dienstes einzustellen und zugänglich zu machen (vgl. etwa Seite 4 der Nutzungsbedingungen). Dies wird auch von der Beklagten nicht in Abrede gestellt. Verletzt die Beklagte die sie treffenden Vertragspflichten, kann sich aus § 280 Abs. 1 BGB ein Unterlassungsanspruch ergeben (vgl. BGH, Urteil vom 29.07.2021 - III ZR 179/20, NJW 2021, 3179, juris Rn. 102). Die Beklagte kann sich bei Entfernungen der Videos sowie den vorübergehenden Kontoeinschränkungen und -sperrungen jedoch auf den in ihren Nutzungsbedingungen niedergelegten Entfernungsvorbehalt sowie die Regelungen zu Warnungen und Verwarnungen bei Mehrfachverstößen stützen. Diese Regeln sind - was von keiner der Parteien beanstandet wird - wirksam in das Vertragsverhältnis einbezogen und entgegen der Auffassung des Klägers nicht nach § 307 Abs. 1 Satz 1 BGB unwirksam, weil sie im Zusammenhang mit nutzerkontobeschränkenden Maßnahmen der Beklagten keine vorherige Anhörung des Nutzers vorsehen.
a) Eine Klausel ist unangemessen im Sinne von § 307 Abs. 1 Satz 1 BGB, wenn der Verwender durch einseitige Vertragsgestaltung missbräuchlich eigene Interessen auf Kosten seines Vertragspartners durchzusetzen versucht, ohne von vornherein auch dessen Belange hinreichend zu berücksichtigen und ihm einen angemessenen Ausgleich zuzugestehen. Insoweit bedarf es einer umfassenden Würdigung und Abwägung der wechselseitigen Interessen, bei der die mit der Abweichung vom dispositiven Recht verbundenen Nachteile für den Vertragspartner, die von einigem Gewicht sein müssen, sowie Gegenstand, Zweck und Eigenart des Vertrages zu berücksichtigen sind (vgl. BGH, Urteil vom 18.04.2019 - III ZR 191/18, NJW-RR 2019, 1072, juris Rn. 19). Im vorliegenden Fall ist insoweit von Belang, dass bei Videoentfernungen sowie Kontoeinschränkungen und -sperrungen in das Grundrecht der Nutzer auf freie Meinungsäußerung aus Art. 5 Abs. 1 Satz 1 GG eingegriffen wird. Dieses Grundrecht entfaltet im Privatrecht seine Wirkkraft über die Vorschriften, die das jeweilige Rechtsgebiet unmittelbar beherrschen, und ist insbesondere bei der Auslegung von Generalklauseln, wie hier von § 307 Abs. 1 Satz 1 BGB, zu beachten (vgl. BGH, Urteil vom 29.07.2021 - III ZR 179/20, NJW 2021, 3179, juris Rn. 54). Die Beklagte ist als Anbieterin eines sozialen Netzwerks im Rahmen ihrer durch Art. 12 Abs. 1 Satz 1 GG geschützten unternehmerischen Handlungsfreiheit und eigenen Meinungsäußerungsfreiheit nach Art. 5 Abs. 1 Satz 1 GG jedoch berechtigt, den Nutzern in ihren Nutzungsbedingungen etwa bestimmte Kommunikationsstandards vorzugeben, die über strafrechtliche Vorgaben hinausgehen. Hiervon hat die Beklagte in ihren Community-Richtlinien Gebrauch gemacht, deren Berechtigung als solche zwischen den Parteien auch außer Streit steht. In diesem Rahmen darf sich die Beklagte das Recht vorbehalten, bei Verstoß gegen die Standards Maßnahmen zu ergreifen, die eine Entfernung einzelner Beiträge und die (vorübergehende) Sperrung des Netzwerkzugangs einschließen (vgl. BGH, Urteil vom 29.07.2021 - III ZR 179/20, NJW 2021, 3179, juris Rn. 78).
b) Für die Nutzungsbedingungen von Facebook hat der Bundesgerichtshof im Rahmen der AGB-rechtlichen Inhaltskontrolle entschieden, dass es für einen interessengerechten Ausgleich der kollidierenden Grundrechtspositionen und damit die Wahrung der Angemessenheit im Sinne von § 307 Abs. 1 Satz 1 BGB erforderlich sei, dass sich der Anbieter der Plattform in seinen Geschäftsbedingungen dazu verpflichte, den betreffenden Nutzer über die Entfernung eines Beitrags und eine beabsichtigte Sperrung seines Nutzerkontos umgehend zu informieren, ihm den Grund dafür mitzuteilen und eine Möglichkeit zur Gegenäußerung einzuräumen, an die sich eine Neubescheidung anschließen müsse, mit der die Möglichkeit der Wiederzugänglichmachung des entfernten Beitrags einherzugehen habe (vgl. BGH, Urteil vom 29.07.2021 - III ZR 179/20, NJW 2021, 3179, juris Rn. 85). Die Anhörung des betroffenen Nutzers, im Rahmen derer die Möglichkeit zur Gegendarstellung bestehe, sei insofern von herausragender Bedeutung, als aufgrund einer häufig komplexen Ausgangslage der inhaltlichen Auslegung und rechtlichen Bewertung von Beiträgen ein oft hohes Risiko der Fehlbeurteilung bestehe (vgl. BGH, Urteil vom 29.07.2021 - III ZR 179/20, NJW 2021, 3179, juris Rn. 86). In Bezug auf die Entfernung eines Beitrags sei es nicht zwingend geboten ist, die notwendige Anhörung vor der Maßnahme durchzuführen. Ausreichend sei insofern vielmehr, wenn der Anbieter im Hinblick auf die Löschung eines Beitrags in seinen Geschäftsbedingungen den Nutzern ein Recht auf unverzügliche nachträgliche Benachrichtigung, Begründung und Gegendarstellung mit anschließender Neubescheidung einräume (vgl. BGH, Urteil vom 29.07.2021 - III ZR 179/20, NJW 2021, 3179, juris Rn. 88). Sei dagegen eine (vorübergehende) Sperre des Nutzerkontos beabsichtigt, sei eine Anhörung vor Durchführung dieser Maßnahme geboten, von eng begrenzten, in Allgemeinen Geschäftsbedingungen näher zu bestimmenden Ausnahmefällen abgesehen. Die Kontosperrung sei im Verhältnis zur Entfernung eines einzelnen Beitrags die deutlich schwerwiegendere Maßnahme, da der betroffene Nutzer während des gesamten Zeitraums der Sperrung sein Profil nicht aktiv nutzen und dementsprechend auf der Kommunikationsplattform nicht nur eine bestimmte Meinungsäußerung, sondern jegliche Meinungsäußerung nicht tätigen kann. Die Kontosperrung diene zudem nicht unmittelbar der Beseitigung eines aktuellen Verstoßes des Nutzers gegen die Nutzungsbedingungen und Gemeinschaftsstandards, sondern der Sanktionierung eines Verstoßes und der Prävention im Hinblick auf künftige Verstöße. Ein Interesse des Plattformbetreibers, diese Maßnahme möglichst zügig und noch vor Anhörung des Nutzers durchführen zu können, sei nicht erkennbar (vgl. BGH, Urteil vom 29.07.2021 - III ZR 179/20, NJW 2021, 3179, juris Rn. 87).
c) Die vorstehenden vom Bundesgerichtshof zu den Nutzungsbedingungen von Facebook entwickelten Grundsätze können allerdings nicht unbesehen auf die Nutzungsbedingungen der Beklagten übertragen werden, und zwar bereits unabhängig von der zwischen den Parteien umstrittenen Frage, ob der Beklagten für den Bereich der Videoplattformen überhaupt eine ähnliche marktbeherrschende Stellung wie Facebook auf seinem Gebiet zukommt (vgl. GA-LG 569; 614), woraus der Bundesgerichtshof für Facebook eine besondere, das "virtuelle Hausrecht" reglementierende gesteigerte (mittelbare) Grundrechtsbindung aus Art. 3 Abs. 1 GG abgeleitet hat (vgl. BGH, Urteil vom 29.07.2021 - III ZR 179/20, NJW 2021, 3179, juris Rn. 63 ff.; vgl. auch Grünwald/Hackl, MMR 2024, 532, 533 gegen eine vorschnelle Übertragung der Facebook-Rechtsprechung auf andere Plattformen). Der Kläger ist im Wesentlichen der Auffassung, dass die Beklagte ihn unter Zugrundelegung der höchstrichterlichen Vorgaben zu den Facebook-Nutzungsbedingungen zwar nicht vor der Entfernung einzelner Videos, so aber doch vor der Ergreifung weitergehender, mit Verwarnungen ("strikes") einhergehender Funktionseinschränkungen bzw. -sperrungen seines Kontos jeweils anhören müsse. Dies lässt allerdings unberücksichtigt, dass die Beklagte in ihren Vertragsbestimmungen unterschiedliche, konkret gefasste "Eskalationsstufen" bei Verstößen gegen ihre Nutzungsbedingungen und Richtlinien vorgesehen hat und eine über die bloße Entfernung des betroffenen Videos hinausgehende Verwarnung mit weitergehenden Maßnahmen gegen das Nutzerkonto nicht gleich bei dem ersten Verstoß ausgesprochen wird. Aus den Feststellungen der Entscheidungen des Bundesgerichtshofs zu den Facebook-Nutzungsbedingungen ist nicht ersichtlich, dass Facebook dort ebenfalls nach einem derart gestaffelten und vorab abstrakt festgelegten System agiert hat.
Im Fall der Beklagten verhält es sich so, dass dem betroffenen Nutzer bei der ersten Videoentfernung aufgrund eines vermeintlichen Verstoßes gegen die Community-Richtlinien die Möglichkeit zur nachträglichen Gegendarstellung in Form einer Beschwerde offensteht, was jedenfalls auch den vom Bundesgerichtshof zu Facebook aufgestellten prozeduralen Anforderungen entspricht. Wenn die mit dem ersten Verstoß erteilte Warnung jedoch bestehen bleibt, weil der Nutzer den Vorwurf der Richtlinienwidrigkeit des Videos weder im Rahmen der Gegendarstellung noch womöglich unter Inanspruchnahme gerichtlichen (einstweiligen) Rechtsschutzes ausräumen konnte, ist der Nutzer "angezählt". Unter diesen Umständen überwiegt dann allerdings bei weiteren Verstößen gegen die Community-Richtlinien das Interesse der Beklagten, das Nutzerkonto zur Verhinderung der Verbreitung wiederum weiterer möglicherweise richtlinienwidriger Inhalte auch in seinen Funktionen für einen kurzen Zeitraum einzuschränken oder zu sperren, ohne den Nutzer vorab zu der beabsichtigten Maßnahme anzuhören zu müssen. In diesen Fällen reicht die Möglichkeit des Nutzers zur nachträglichen Gegendarstellung aus, an die sich die Neubescheidung durch die Beklagte anzuschließen hat. Nach dem gestaffelten System der Beklagten kommt es nämlich erst bei dem zweiten Verstoß des Nutzers gegen die Community-Richtlinien zu einer ersten Verwarnung ("strike") mit einer einwöchigen Einschränkung der Kontofunktionen. Die noch schwerer wiegende Maßnahme der vorübergehenden Kontosperrung darf die Beklagte nach ihren Bestimmungen erst ergreifen, wenn es innerhalb von 90 Tagen nach der ersten Verwarnung zu einem weiteren Verstoß kommt (zweite Verwarnung bzw. zweiter "strike"). Da von einem Nutzer, der in der Vergangenheit bereits Videos mit vertragswidrigen Inhalten hochgeladen hat, die nicht unbegründete Gefahr der Verbreitung weiterer vertragswidriger Inhalte ausgeht, hat die Beklagte ein schützenswertes Interesse, bei einem kurze Zeit nach dem letzten beanstandeten Video veröffentlichten weiteren Video, bei dem der objektiv begründete Verdacht eines erneuten Verstoßes gegen die Vertragsbestimmungen besteht, dieses Video nicht nur zu sperren, sondern gleichzeitig auch aus präventiven Gründen die Funktionen des betroffenen Nutzerkontos für einen gewissen Zeitraum einzuschränken oder zu sperren und den betroffenen Nutzer auf die Möglichkeit der nachträglichen Gegendarstellung zu verweisen. Es besteht aufgrund des vorangegangenen Nutzerverhaltens die begründete Gefahr, dass der Nutzer weitere rechtswidrige Inhalte hochlädt und deren Rechtswidrigkeit zunächst womöglich unbemerkt bleibt, so dass sich die Verbreitung jener Inhalte angesichts der Geschwindigkeit der Netzkommunikation kaum mehr aufhalten lässt. Davon ausgehend ist es nicht zu beanstanden, wenn die Beklagte im Fall eines vorangegangenen noch "aktiv" gezählten Verstoßes gegen die Community-Richtlinien bei dem Verdacht eines weiteren Verstoßes innerhalb von 90 Tagen nach dem letzten das Konto des betreffenden Nutzers in seinen Funktionen für eine Woche einschränkt (erste Verwarnung) und bei dem Verdacht eines weiteren Verstoßes innerhalb von 90 Tagen nach dem letzten Verstoß - nämlich nach der ersten Verwarnung - für einen Zeitraum von zwei Wochen sperrt (zweite Verwarnung), und zwar jeweils ohne den Nutzer vorab anzuhören. Zwar besteht die Möglichkeit, dass bei zeitlich dicht aufeinanderfolgenden Entfernungen von Videos wegen vermeintlicher Richtlinienverstöße der vorherige Vorfall nach Beschwerde und Gegendarstellung des Nutzers noch nicht geklärt ist, im Rahmen des mehrstufigen Sanktionssystems der Beklagten also noch "zählt", so dass der nächste, im kurzen Abstand folgende Vorwurf einer Richtlinienverletzung bereits zu einer vorübergehenden Sperre führt. Auch in diesen Fällen überwiegt allerdings der Präventionsgedanke zur Verhinderung weiterer Verstöße, da die Beklagte gerade keine willkürlichen Videoentfernungen vornehmen darf, sondern es nach den Nutzungsbedingungen der Beklagten (dort Seite 10 unter "Entfernen von Inhalten durch YouTube") stets "objektive und konkrete Gründe" zu der Annahme geben muss, dass die Inhalte gegen die vertraglichen Bestimmungen verstoßen. Dass "objektive und konkrete Gründe" für die Annahme eines Richtlinienverstoßes ausreichen, lässt sich mit der komplexen Ausgangslage der inhaltlichen Auslegung und rechtlichen Bewertung von Videoinhalten rechtfertigen, der ein hohes Risiko der Fehlbeurteilung innewohnt, die aber gleichwohl ein schnelles Handeln gebietet, so dass der betroffene Nutzer mit seiner Sicht der Dinge erst im Nachgang gehört wird (vgl. BGH, Urteil vom 29.07.2021 - III ZR 179/20, NJW 2021, 3179, juris Rn. 86, 88 zur Löschung von Facebook-Beiträgen). Nicht jede sich im Nachhinein als falsch herausstellende Ersteinschätzung zur Richtlinienwidrigkeit eines Videoinhalts stellt daher bereits einen rechtswidrigen Eingriff in das Vertragsverhältnis dar (vgl. LG Frankenthal, Urteil vom 08.09.2020 - 6 O 23/20, MMR 2021, 85, juris Rn. 73; a.A. ohne nähere Begründung aber OLG Schleswig, Urteil vom 08.11.2024 - 1 U 70/22, juris Rn. 81). Es besteht ein anerkennenswertes Bedürfnis eines Plattformbetreibers für kurzfristige Sperrungen, wenn aufgrund objektiver Umstände zu befürchten ist, dass von dem Nutzer kurzfristig weitere Verstöße gegen die Nutzungsbestimmungen drohen (vgl. auch Raue, NJW 2022, 209, 214; Heymann/Götz, GRUR 2021, 1491, 1494).
Soweit sich der Kläger schließlich noch dagegen wendet, dass auch vor einer "Löschung" eines YouTube-Kanals keine vorherige Anhörung stattfinde, ist - unabhängig davon, dass der Kläger von einer Kontolöschung noch nicht betroffen war - schon nicht ersichtlich, dass eine solche überhaupt ohne vorherige Anhörung ausgesprochen werden dürfte. Vielmehr sehen die Nutzungsbedingungen der Beklagten vor einer als "Löschung" zu begreifenden Kontokündigung eine Anhörung ausdrücklich vor, indem die Maßnahme zunächst "angekündigt" wird (siehe Seite 13 der Nutzungsbedingungen: "Wenn Sie der Meinung sind, dass es sich bei der angekündigten Kündigung oder Sperrung um einen Fehler handelt, können Sie über dieses Formular Beschwerde einlegen").
d) Zutreffend weist die Beklagte darauf hin, dass zwischenzeitlich die Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19.10.2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste, Digital Services Act) (im Folgenden: DSA) in Kraft getreten ist, welche seit dem 17.02.2024 in vollem Umfang Anwendung findet (vgl. Art. 93 Abs. 2 Satz 1 DSA). Auch danach stellen sich die eine Anhörung vor kontobeschränkenden Maßnahmen nicht vorsehenden Nutzungsbedingungen der Beklagten nicht gemäß § 307 BGB als unwirksam dar.
aa) Nach Art. 16 DSA müssen Hostingdiensteanbieter ein leicht zugängliches und benutzerfreundliches Melde- und Abhilfeverfahren für rechtswidrige Inhalte einrichten. Auf entsprechende Meldungen müssen sie "zeitnah" reagieren und den Ersteller des betroffenen Inhalts sowie ggf. auch die meldende Person darüber unverzüglich informieren. Zu den möglichen Maßnahmen zählt die Entfernung einzelner Inhalte, die zeitweilige oder dauerhafte Beschränkung der Bereitstellung des Dienstes oder die Aussetzung oder Schließung des Nutzerkontos. Ergreift der Diensteanbieter solche Maßnahmen, muss er dem betroffenen Nutzer darüber eine klare und spezifische Begründung abgeben (Art. 17 DSA). Dem betroffenen Nutzer muss ein internes Beschwerdemanagement des Anbieters von Online-Plattformen (Art. 20 DSA) sowie ein Verfahren zur außergerichtlichen Streitbeilegung (Art. 21 DSA) offenstehen, um die fragliche Maßnahme der Inhaltemoderation überprüfen zu lassen. Darüber hinaus müssen die Betreiber von Vermittlungsdiensten ihre Verfahren und Maßnahmen zur Moderation von Inhalten in ihren Allgemeinen Geschäftsbedingungen in einfacher, verständlicher und benutzerfreundlicher Form darstellen (Art. 14 DSA) (vgl. zum Überblick Grünwald/Hackl, MMR 2024, 532, 534).
Diese Vorgaben gelten auch für die Beklagte und deren Videoplattform YouTube. Bei der Beklagten handelt es sich um einen Vermittlungsdienstleister im Sinne von Art. 2 Abs. 1 DSA, weil sie einen Hostingdienst betreibt, der darin besteht, von einem Nutzer bereitgestellte Informationen in dessen Auftrag zu speichern (Art. 3 Buchst. g Ziff. iii DSA) (vgl. OLG Nürnberg, Urteil vom 23.07.2024 - 3 U 2469/23, MMR 2025, 147, juris Rn. 21 zur hiesigen Beklagten). Ebenfalls handelt es sich bei der Beklagten um eine Online-Plattform im Sinne von Art. 3 Buchst. i DSA, da sie die bereitgestellten Informationen nicht nur speichert, sondern auch öffentlich verbreitet (vgl. Keppeler, ITRB 2023, 317, 318: Online-Plattform als Spezialfall eines Hostingdienstes).
bb) Aus der Systematik des Kapitels III des Digital Services Act ergibt sich allerdings, dass ein Vermittlungsdienst den von einem Verstoß betroffenen Nutzer im Regelfall nicht anhören muss (aber anhören kann), bevor er den Inhalt aufgrund seiner Allgemeinen Geschäftsbedingungen beschränkt oder weitergehende Maßnahmen gegen das Konto des Nutzers ergreift. Der Digital Services Act sieht - worauf die Beklagte zutreffend hinweist - nachträgliches rechtliches Gehör und nachgelagerten Rechtsschutz mittels interner Beschwerdemanagementsysteme, außergerichtlicher Streitbeilegung und ggf. gerichtlicher Hilfe vor (vgl. Raue in Hofmann/Raue, DSA, 1. Aufl., Art. 14 Rn. 86; Grünwald/Hackl, MMR 2024, 532, 535; Holznagel, CR 2022, 594, 598; Gielen/Uphues, EuZW 2021, 627).
cc) Es ist umstritten, ob sich die prozeduralen Pflichten des Betreibers einer Online-Plattform bei der Ergreifung von Maßnahmen gegen einzelne Inhalte sowie das Konto des Nutzers im Falle von gegen die Nutzungsbedingungen verstoßenden Inhalten ab Inkrafttreten des Digital Services Act - so wie die Beklagte meint - ausschließlich nach den dortigen Regelungen bestimmen.
(a) So wird vertreten, dass die Rechtsprechung des Bundesgerichtshofs zu den Facebook-Nutzungsbedingungen und einer vorherigen Anhörungspflicht vor (vorübergehenden) Kontosperrungen mit Wirksamwerden des Digital Services Act nicht mehr haltbar sei und gegen höherrangiges Recht verstoße (vgl. Grünwald/Hackl, MMR 2024, 532, 535) bzw. die Rechtsprechung des Bundesgerichtshofs durch den Digital Services Act überlagert und die geforderte Anhörung betroffener Nutzer bei Durchführung einer Moderationsmaßnahme des Online-Plattformbetreibers durch das Beschwerdeverfahren gemäß Art. 20 DSA als Leitbild ersetzt sei (vgl. Berberich in Steinrötter, Europäische Plattformregulierung, 1. Aufl., § 5 Rn. 46). Dagegen wird in der Literatur auch die Auffassung vertreten, der Digital Services Act schließe einen Rückgriff auf das sich nach nationalem Recht richtende vertragsrechtliche Gefüge nicht aus, so dass die Rechtsprechung des Bundesgerichtshofs zur Inhaltskontrolle der Facebook-Nutzungsbedingungen nach § 307 BGB weiterhin Anwendung finde (vgl. Gerdemann/Spindler, GRUR 2023, 3, 10; Holznagel, CR 2022, 594, 597). Andere wiederum sind der Meinung, dass sich trotz der Systematik des Kapitels III des Digital Services Act bestimmte Anhörungspflichten aus Art. 14 Abs. 4 DSA ergäben, wonach die Anbieter von Vermittlungsdiensten bei der Anwendung und Durchsetzung von Beschränkungen nach Art. 14 Abs. 1 DSA "sorgfältig, objektiv und verhältnismäßig" vorzugehen hätten und dabei "die Rechte und berechtigten Interessen aller Beteiligten sowie die Grundrechte der Nutzer, die in der Charta verankert sind, etwa das Recht auf freie Meinungsäußerung, die Freiheit und den Pluralismus der Medien und andere Grundrechte und -freiheiten" berücksichtigen müssten. Zwar sei für die vom Bundesgerichtshof aufgestellten Anhörungserfordernisse zu den Facebook-Nutzungsbedingungen unter dem neuen Regelungsregime des Digital Services Act kein Raum. Allerdings ergebe sich aus dem unionsrechtlichen Grundsatz der Verhältnismäßigkeit, dass in "normalen" Fällen, in denen sich nicht etwa aus dem bisherigen Nutzerverhalten ableiten lasse, dass kurzfristig weitere Verstöße gegen die Nutzungsbedingungen drohten, eine vorherige Warnung des Nutzers mit der Möglichkeit zur Stellungnahme erfolgen müsse (vgl. Raue in Hofmann/Raue, DSA, 1. Aufl., Art. 14 Rn. 87; Wischmeyer/Meißner, NJW 2023, 2673, 2678).
(b) Die Streitfrage kann im vorliegenden Fall indes offenbleiben. Selbst wenn die Facebook-Rechtsprechung des Bundesgerichtshofs zu den prozeduralen Anforderungen an Moderationsentscheidungen unter dem Digital Services Act fortgelten sollte oder aber sich Anhörungserfordernisse aus dem unionsrechtlichen Grundsatz der Verhältnismäßigkeit ergeben sollten, welche sodann über Art. 14 Abs. 4 DSA zu einer unionsrechtlich determinierten AGB-rechtlichen Inhaltskontrolle führen (kritisch zur Einwirkung von Art. 14 Abs. 4 DSA auf die Gestaltung von Allgemeinen Geschäftsbedingungen Mast/Kettemann/Schulz in Mast/Kettemann/Dreyer/Schulz, DSA/DMA, 1. Aufl., Art. 14 DSA Rn. 16), ergäbe sich für den Streitfall unter Zugrundelegung der obigen Ausführungen - siehe unter 3.c) - keine Unwirksamkeit der eine vorherige Anhörung nicht vorsehenden Nutzungsbedingungen der Beklagten. Das ausdifferenzierte Regelungssystem zu Sperrentscheidungen bei Mehrfachverstößen stellt sich nicht als unverhältnismäßig im Sinne von Art. 14 Abs. 4 DSA dar, da es ein abgestuftes Vorgehen beinhaltet und zeitlich beschränkte Sperrmaßnahmen ohne vorherige Anhörungen einer effektiven und aufgrund der vorangegangenen Verstöße auch dringlichen Prävention weiterer Verstöße dienen.
e) Nach alledem handelt es sich bei den Regelungen der Beklagten zur nachträglichen Anhörung auch im Falle von Kontofunktionseinschränkungen und -sperrungen um eine sämtliche Interessen ausgleichende Vertragsgestaltung, die nicht gegen § 307 Abs. 1 Satz 1 BGB verstößt.
4. Dem erstmals in der Berufungsinstanz gestellten Hilfs-Hilfsantrag zu Ziff. 3 der Berufungsanträge bleibt der Erfolg ebenfalls versagt.
a) Bei dem Antrag handelt es sich um eine zulässige Klageerweiterung, da diese sachdienlich ist (§ 533 Nr. 1 ZPO) und auf Tatsachen gestützt werden kann, die der Senat seiner Verhandlung und Entscheidung über die Berufung ohnehin nach § 529 ZPO zugrunde zu legen hat (§ 533 Nr. 2 ZPO).
b) Der geltend gemachte Unterlassungsanspruch steht dem Kläger nicht zu. Es besteht weder eine Wiederholungsgefahr noch eine ernsthaft drohende Erstbegehungsgefahr. Soweit der Kläger offenbar meint, die Beklagte informiere nicht "unverzüglich" über Nutzbarkeits- oder Funktionseinschränkungen eines YouTube-Kanals aufgrund der Veröffentlichung richtlinienwidriger Videoinhalte, übersieht er zum einen, dass die Nutzungsbedingungen der Beklagten ausdrücklich eine "unverzügliche" Benachrichtigung des Nutzers im Falle der vollständigen oder teilweisen Entfernung von Videoinhalten vorsehen (vgl. die Nutzungsbedingungen unter der Überschrift "Entfernen von Inhalten durch YouTube, GA-LG 159-160). Zum anderen ist weder dargetan noch sonst ersichtlich, dass die Beklagte unabhängig von den eine "unverzügliche" Benachrichtigung gerade vorsehenden Nutzungsbedingungen den Kläger zu irgendeinem Zeitpunkt nicht "unverzüglich" benachrichtigt hätte.
5. Schließlich kann der Kläger von der Beklagten auch nicht die mit dem Klageantrag zu 4. geltend gemachte Löschung der "Lösch- und Sperrvorgänge" verlangen.
a) Soweit der Kläger mit seinem Hauptantrag die Löschung aller Lösch- und Sperrvermerke aus dem Nutzerdatensatz verlangt, ist der Antrag bereits mangels Bestimmtheit unzulässig (§ 253 Abs. 2 Nr. 2 ZPO). Werden nämlich die einzelnen Vermerke nicht bezeichnet, wäre im Fall einer Verurteilung der Umfang der Rechtskraft hinsichtlich der Löschungsverpflichtung nicht hinreichend bestimmt und eine Vollstreckung nicht möglich (vgl. OLG Frankfurt, Urteil vom 14.11.2024 - 16 U 52/23, K&R 2025, 138, juris Rn. 56, juris).
b) Dem Kläger steht gegen die Beklagte aber auch kein Löschungsanspruch in der mit dem Hilfsantrag spezifizierten Form zu.
aa) Der Kläger kann von der Beklagten keine Löschung nach § 280 Abs. 1, § 241 Abs. 2 BGB unter dem Gesichtspunkt eines noch aktiv gezählten Verstoßes gegen die Community-Richtlinien geltend machen.
Zwar wäre die Beklagte im Falle bereits revidierter Warnungen und/oder Verwarnungen gemäß § 241 Abs. 2 BGB verpflichtet, die dokumentierten Verstöße nicht mehr als Verstoß gegen die Nutzungsbedingungen zu zählen, mit der Folge, dass sich bei weiteren Verstößen gegen die Richtlinien umfangreichere Sanktionen der Beklagten gegen den Kläger ergeben könnten (vgl. OLG München, Urteil vom 07.01.2020 - 18 U 1491/19 Pre, MMR 2021, 79, juris Rn. 183). Dass das YouTube-Konto des Klägers, nachdem - so sein eigener Vortrag - sämtliche Videos wiederhergestellt sind, noch aktiv gezählte Warnungen und/oder Verwarnungen aufweist, hat der Kläger aber schon nicht substantiiert behauptet. Die Beklagte hat bestritten, dass gegenwärtig Warnungen und/oder Verwarnungen bestünden und hat - vom Kläger unbestritten - vorgetragen, dass dieser in seinem YouTube-Konto selbst einsehen könne, ob gegenwärtig Warnungen oder sonstige Kontobeeinträchtigungen vorlägen (GA-LG 330). Vor diesem Hintergrund handelt es sich bei der gegenteiligen Behauptung des Klägers um eine ohne greifbare Anhaltspunkte aufgestellte Mutmaßung ins Blaue hinein.
bb) Der Kläger kann von der Beklagten die Löschung der Lösch- und Sperrvorgänge aber auch nicht insoweit verlangen, als es sich dabei lediglich um die interne Dokumentation eines Vorgangs ohne Auswirkungen auf den "Verstoßzähler" handelt.
(a) Der Kläger hat gegen die Beklagte keinen Anspruch auf Löschung nach Art. 16 DSGVO. Soweit der Kläger die Beseitigung von Lösch- und Sperrvermerken aus seinem Nutzerdatensatz bei der Beklagten begehrt, kann er dies nicht mit der Begründung erreichen, die Beklagte speichere insoweit unzutreffende Daten. Denn die Videolöschungen und Kontosperrungen haben tatsächlich - unstreitig - stattgefunden, so dass schon vor diesem Hintergrund keine "unrichtigen" Daten im Sinne von Art. 16 DSGVO vorliegen (vgl. OLG Karlsruhe, Urteil vom 26.05.2023 - 10 U 24/22, MMR 2023, 962, juris Rn. 245; OLG Celle, Urteil vom 20.01.2022 - 13 U 84/19, MMR 2022, 399, juris Rn. 97; siehe auch Keber/Keppeler in Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 3. Aufl., Art. 16 DSGVO Rn. 7).
(b) Schließlich besteht ein entsprechender Anspruch auch nicht nach Art. 17 Abs. 1 DSGVO.
Diese Vorschrift gibt ein "Recht auf Vergessenwerden", also auf Löschung personenbezogener Daten insbesondere dann, wenn sie unrechtmäßig verarbeitet wurden (Art. 17 Abs. 1 Buchst. d DSGVO) oder wenn sie für die Zwecke, für die sie verarbeitet wurden, nicht mehr erforderlich sind (Art. 17 Abs. 1 Buchst. a DSGVO). Es kann dahinstehen, ob die Verarbeitung der Lösch- und Sperrvorgänge zur Erfüllung von Transparenzberichtspflichten der Beklagten nach Art. 15 Abs. 1 Buchst. b und d DSA erforderlich ist, so dass ein Datenberichtigungsanspruch nach Art. 17 Abs. 1 DSGVO gemäß Art. 17 Abs. 3 Buchst. b DSGVO ausgeschlossen wäre. Jedenfalls ist die Beklagte berechtigt, entsprechende Daten gemäß Art. 17 Abs. 3 Buchst. e DSGVO vorzuhalten.
Eine Löschung personenbezogener Daten kommt gemäß Art. 17 Abs. 3 Buchst. e DSGVO nicht in Betracht, soweit die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. Dies gilt jedenfalls für den vorliegenden Fall, nachdem der Kläger die Beklagte wegen angeblicher unberechtigter Sperrungen und Videolöschungen in Anspruch nimmt und es der Beklagten jedenfalls während des noch laufenden Verfahrens unbenommen sein muss, Informationen darüber vorzuhalten, die ihr eine sachgerechte Rechtsverteidigung erlauben. Dazu gehört es, dass es ihr möglich sein muss, den klägerischen Vortrag zu stattgefundenen Videolöschungen und Kontosperrungen anhand eigener Aufzeichnungen verifizieren oder falsifizieren zu können. Der Kläger kann keine Klage wegen Ansprüchen erheben, die er auf vertragswidrige Lösch- und Sperrvorgänge der Beklagten stützt (Vorgerichtliche Kosten als Schadensersatz; Unterlassung künftiger vertragswidriger Einschränkungen oder Löschungen des YouTube-Kanals), und gleichzeitig von der Beklagten verlangen, ihre Aufzeichnungen darüber zu löschen, ob solche etwaigen Verstöße stattgefunden haben (vgl. OLG Karlsruhe, Urteil vom 26.05.2023 - 10 U 24/22, MMR 2023, 962, juris Rn. 246; siehe auch OLG Köln, Urteil vom 25.01.2024 - 15 U 45/23, juris Rn. 17; BeckOK Datenschutzrecht/Worms, Stand: 01.11.2024, Art. 17 DSGVO Rn. 87; a.A. OLG Frankfurt, Urteil vom 14.11.2024 - 16 U 52/23, K&R 2025, 138, juris Rn. 70).
BGH
Urteil vom 13.05.2025 VI ZR 186/22
DSGVO Art. 82 Abs. 1
Der BGH hat entschieden, dass kein Schadensersatzanspruch aus Art. 82 DSGVO bei einem rein hypothetischen Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten besteht.
Leitsatz des BGH:
Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten kann nicht zu einer Entschädigung gemäß Art. 82 Abs. 1 DSGVO führen.
BGH, Urteil vom 13. Mai 2025 - VI ZR 186/22 - OLG Oldenburg - LG Osnabrück
Aus den Entscheidungsgründen: bb) Jedenfalls hat der Kläger nicht dargelegt, einen immateriellen Schaden erlitten zu haben.
(1) Der bloße Verstoß gegen die Datenschutzgrundverordnung reicht nicht aus, um einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu begründen. Denn das Vorliegen eines materiellen oder immateriellen "Schadens" stellt ebenso eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch dar, wie das Vorliegen eines Verstoßes gegen die Datenschutzgrundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden. Insbesondere muss eine Person, die von einem Verstoß gegen die Datenschutzgrundverordnung betroffen ist, der für sie nachteilige Folgen hatte, den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 140 ff.; Senat, Urteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 28 f.; jeweils mwN).
Aus der im ersten Satz des 85. Erwägungsgrundes der Datenschutzgrundverordnung enthaltenen beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen "Verlust der Kontrolle" über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutzgrundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 145 mwN).
Nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff "immaterieller Schaden" im Sinne dieses Artikels weit zu verstehen ist, sondern auch aus dem mit der Datenschutzgrundverordnung verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt sich, dass die durch einen Verstoß gegen die Datenschutzgrundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen "immateriellen Schaden" im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 144 mwN).
Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 143 mwN).
Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen reicht nicht aus (vgl. EuGH, Urteil vom 20. Juni 2024 - C590/22, DB 2024, 1676 Rn. 35). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann nicht zu einer Entschädigung führen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, DB 2024, 519 Rn. 68).
Das OLG Oldenburg hat entschieden, dass kein Anspruch gegen die Bank aus § 675u Satz 2 BGB nach einem Phishing-Vorfall besteht, wenn sich dem Kontoinhaber die betrügerische Absicht einer Phishing-E-Mail aufdrängen musste.
Die Pressemitteilungt des Gerichts: OLG Oldenburg zur Haftung einer Bank nach einem sogenannten Phishing-Vorfall
Vorsicht vor sogenannten Phishing E-Mails! Dies hat wiederum ein Fall gezeigt, den der 8. Zivilsenat des Oberlandesgerichts Oldenburg in zweiter Instanz zu entscheiden hatte.
Geklagt hatte ein Ehepaar aus dem Ammerland, von dessen Konto ein mittlerer fünfstelliger Betrag verschwunden war. Diesen Betrag verlangten die Klägerin und der Kläger von der kontoführenden Bank mit der Begründung zurück, dass die entsprechenden Zahlungsvorgänge von ihnen nicht autorisiert worden seien. Bei nicht autorisierten Zahlungsvorgängen sieht § 675u Satz 2 BGB grundsätzlich eine Erstattungspflicht des Zahlungsdienstleisters – hier also der Bank – vor.
Passiert war nach den gerichtlichen Feststellungen Folgendes: Die Ehefrau, die spätere Klägerin, hatte eines Tages im Jahr 2021 eine E-Mail erhalten, die scheinbar von dem Bankinstitut stammte, bei dem die Eheleute ihr gemeinsames Konto hatten. In dieser E-Mail wurde sie aufgefordert, binnen zwei Tagen ihre PushTAN-Registrierung zu aktualisieren, da anderenfalls eine Neuregistrierung erforderlich sein würde. Die Klägerin klickte auf den in der E-Mail angegebenen Link, der sie zu einer – wie sich später herausstellte – gefälschten Website führte. Dort gab sie zumindest ihr Geburtsdatum und die Nummer ihrer EC-Karte ein. Im Anschluss erhielt sie per SMS einen Registrierungslink für die Neuregistrierung zum PushTAN-Verfahren auf ihr Mobiltelefon. Am nächsten Tag bemerkte die Klägerin, dass durch zwei Echtzeit-Überweisungen insgesamt knapp 41.000 Euro von ihrem Gemeinschaftskonto auf ein Konto in Estland transferiert worden waren.
Das in erster Instanz zuständige Landgericht Oldenburg wies die Zahlungsklage der Eheleute gegen die Bank im Jahr 2023 ab. Zwar war das Landgericht davon überzeugt, dass die Eheleute die Zahlungsvorgänge in der Tat nicht autorisiert hatten; vielmehr seien die Überweisungen und auch die im Vorfeld erfolgte Erhöhung des Tageslimits durch unbekannte Täter ohne Wissen und Wollen der Kläger ausgelöst worden. Allerdings bestehe im Ergebnis dennoch kein Anspruch der Eheleute auf Erstattung der Zahlungsbeträge gemäß § 675u Satz 2 BGB gegen die Bank, weil diese den Eheleuten wiederum einen Schadensersatzanspruch entgegenhalten könne; denn die Ehefrau habe grob fahrlässig im Sinne von § 675v Abs. 3 Nr. 2 BGB gehandelt, was sich der Ehemann gemäß § 278 BGB zurechnen lassen müsse. Nach der durchgeführten Beweisaufnahme sei, so das Landgericht, nämlich davon auszugehen, dass die Klägerin auf der gefälschten Website nicht nur ihr Geburtsdatum und ihre EC-Karten-Nummer, sondern auch ihren Anmeldenamen und ihre PIN eingegeben habe. Laut dem gerichtlich bestellten Sachverständigen sei es weder technisch möglich noch plausibel, dass die unbekannten Täter ohne diese Angaben die Überweisungen hätten vornehmen können. Damit aber habe die Klägerin die Sorgfaltspflichten aus dem Vertrag mit der Bank grob verletzt, nach denen sie die zur Authentifizierung bereitgestellten personalisierten Merkmale vor unbefugtem Zugriff zu schützen hatte.
Auf die Berufung der Eheleute hat der 8. Zivilsenat des Oberlandesgerichts die Entscheidung des Landgerichts bestätigt. Die Klägerin hatte in ihren Anhörungen vor dem Oberlandesgericht wiederum nicht zu 100 Prozent ausschließen können, dass sie neben ihrem Geburtsdatum und ihrer EC-Karten-Nummer noch weitere Daten auf der gefälschten Website eingegeben hatte. Auch aufgrund der Ausführungen des in zweiter Instanz erneut angehörten Sachverständigen erachtete das Oberlandesgericht die Folgerung des Landgerichts, die Klägerin habe auf der gefälschten Website auch ihren Anmeldenamen und ihre PIN eingegeben, als in jeder Hinsicht plausibel. Der Senat stellte darüber hinaus eine weitere Sorgfaltspflichtverletzung der Ehefrau fest, weil diese nach dem Ergebnis der ergänzenden Beweisaufnahme auch den ihr per SMS zugeschickten Registrierungs-Link beziehungsweise den entsprechenden Registrierungs-Code für die Neuregistrierung zum PushTAN-Verfahren entweder weitergeleitet oder auf sonstige Weise an die Täter weitergegeben hatte. Zumindest dies sei als grob fahrlässig zu bewerten. Darüber hinaus hätten sich der Klägerin aus mehreren Gründen Zweifel an der Seriosität der E-Mail aufdrängen müssen; unter anderem wurden die Kläger hierin nicht namentlich adressiert, sondern mit „Sehr geehrter Kunde“ angesprochen. Außerdem enthielt die E-Mail mehrere Rechtschreibfehler. Schließlich müsse sich die Bank auch kein Mitverschulden zurechnen lassen; insbesondere sei es zum damaligen Zeitpunkt nicht geboten gewesen, in die Registrierungs-SMS einen – inzwischen von der Beklagten verwendeten – Warnhinweis aufzunehmen, wonach die SMS nicht an dritte Personen weitergeleitet werden darf.
Mithin erhalten die Kläger ihre verlorenen Gelder nicht von ihrer Bank zurück.
Die Entscheidung des Oberlandesgerichts ist rechtskräftig.
Oberlandesgericht Oldenburg, 24.04.2025 – 8 U 103/23
Das BAG hat das vorliegende Verfahren nach § 72 Abs. 5 ArbGG iVm. § 555 Abs. 1 ZPO ausgesetzt bis der EuGH über einen möglichen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO bei verspäteter oder unvollständiger Auskunft nach Art. 15 DSGVO entschieden hat.
Aus den Entscheidungsgründen: I. Die Parteien streiten über einen Anspruch des Klägers auf immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO wegen Verletzung des Auskunftsrechts nach Art. 15 DSGVO. Der Kläger hat sich ua. auf einen ihm entstandenen Schaden durch Einschränkung seiner Rechte aus der Datenschutz-Grundverordnung und einen Kontrollverlust berufen.
II. Die Verhandlung im vorliegenden Verfahren wird gemäß § 72 Abs. 5 ArbGG iVm. § 555 Abs. 1 ZPO und einer entsprechenden Anwendung von § 148 Abs. 1 ZPO bis zu einer Entscheidung des Gerichtshofs der Europäischen Union über das durch den Bundesgerichtshof mit Vorlagebeschluss vom 6. Mai 2025 (- VI ZR 53/23 -) an den Gerichtshof der Europäischen Union gestellte Vorabentscheidungsersuchen (Art. 267 AEUV) ausgesetzt.
1. Der Bundesgerichtshof hat dem Gerichtshof der Europäischen Union mit vorbezeichnetem Beschluss vom 6. Mai 2025 ua. folgende Fragen zur Vorabentscheidung nach Art. 267 AEUV vorgelegt:
„II. [ … ]
2. a) Falls die Datenschutz-Grundverordnung anwendbar ist:
[ … ]
Sind die Regelungen in Art. 82 Abs. 1, Abs. 2 Satz 1 DSGVO dahingehend zu verstehen, dass sie einer betroffenen Person auch wegen Verletzung ihres Auskunftsrechts nach Art. 15 DSGVO einen Anspruch auf Schadensersatz für den wegen einer verspäteten oder unvollständigen Auskunft entstandenen immateriellen Schaden einräumen?
3. Falls Frage 2 a) oder … bejaht wird:
Stellt bereits die mit einer Verletzung der Auskunftspflicht (nach Art. 15 DSGVO bzw. …) einhergehende Ungewissheit des Betroffenen über die Verarbeitung seiner personenbezogenen Daten und die daraus resultierende Hinderung daran, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen und etwaige diesbezügliche Rechte geltend zu machen, einen immateriellen Schaden im Sinne von Art. 82 DSGVO bzw. … dar?“
2. Die Frage zu II 2 a) und – soweit sie sich auf die Auslegung von Art. 82 DSGVO bezieht – die Frage zu II 3 sind auch im vorliegenden Verfahren entscheidungserheblich. Der Senat hält es daher – nach Anhörung der Parteien, die insoweit ihr Einverständnis erklärt haben – für angemessen, die Verhandlung im vorliegenden Revisionsverfahren analog § 148 Abs. 1 ZPO wegen Vorgreiflichkeit der im Vorlageersuchen des Bundesgerichtshofs (- VI ZR 53/23 -) gestellten Fragen zu II 2 a) und zu II 3 bis zu einer Entscheidung des Gerichtshofs der Europäischen Union auszusetzen (zur Zulässigkeit dieser Vorgehensweise: vgl. BAG 7. September 2021 – 9 AZR 3/21 (A) – Rn. 41 ff.; 28. Juli 2021 – 10 AZR 397/20 (A) – Rn. 14 ff. mwN, BAGE 175, 296; BGH 21. Februar 2023 – VI ZR 330/21 – Rn. 9 mwN).
LAG Düsseldorf
Beschluss vom 29.06.2025 3 Ta 60/25
Das LAG Düsseldorf hat entschieden, dass Rechtsstreitigkeiten um Auskunft und Schadensersatz nach der DSGVO eines Bewerbers für eine arbeitsvertragliche Anstellung der Arbeitsgerichtsbarkeit unterfallen.
Aus den Entscheidungsgründen: Bei unterstellter Zuständigkeit der staatlichen Gerichtsbarkeit ist innerhalb derselben die Arbeitsgerichtsbarkeit für die Auskunfts- und Schadensersatzklage nach Art. 15 und 82 Abs. 1 DSGVO des Klägers als ehemaligen Bewerbers um eine arbeitsvertragliche Anstellung bei der Beklagten zuständig. Das folgt, wie insoweit auch das Arbeitsgericht bereits völlig zutreffend erkannt und ausgeführt hat, aus § 2 Abs. 1 Nr. 3 lit. c ArbGG.
Nach § 2 Abs. 1 Nr. 3 lit. c ArbGG sind die Arbeitsgerichte zuständig für bürgerliche Rechtsstreitigkeiten zwischen Arbeitnehmern und Arbeitgebern aus Verhandlungen über die Eingehung eines Arbeitsverhältnisses.
Richtet sich das Auskunfts- und Schadensersatzbegehren wie hier gegen einen potentiellen Arbeitgeber wegen im Rahmen eines Bewerbungsverfahrens um eine Anstellung als Arbeitnehmer erfolgter Datenverarbeitung, liegt eine bürgerliche Rechtsstreitigkeit vor. Diese resultiert aus Verhandlungen über die Eingehung eines Arbeitsverhältnisses und Streitparteien sind mit dem Bewerber und dem die Stelle ausschreibenden, seinerzeit potentiellen Arbeitgeber dann auch Arbeitnehmer und Arbeitgeber im Sinne des § 2 Abs. 1 Nr. 3 lit. c ArbGG. Denn diese zuständigkeitsbegründende Norm ist wie alle in § 2 ArbGG aufgeführten, zuständigkeitsbegründenden Tatbestände in dem Sinne weit auszulegen, dass alle ein Arbeitsverhältnis betreffenden Streitigkeiten – von der Phase der Bewerbung und den hieraus resultierenden vertragsähnlichen oder gesetzlichen Ansprüchen bis zu den nachvertraglichen Ansprüchen – der Fachgerichtsbarkeit der Arbeitsgerichte zugewiesen werden sollen (vgl. LAG Berlin-Brandenburg vom 21.12.2018 – 21 Ta 1552/18, juris, Rz. 18; GMP/Schlewing/Dickerhof-Borello, ArbGG, 10. Auflage, § 2 Rn. 70; GK-ArbGG/Schütz, EL 136 - Dezember 2022, § 2 Rn. 8 m.w.N.). Erfasst werden mit § 2 Abs. 1 Nr. 3 lit. c ArbGG sämtliche Streitigkeiten im Zusammenhang mit einem Bewerbungsverfahren um eine arbeitsvertragliche Anstellung, unabhängig davon, ob das Bewerbungsverfahren erfolgreich oder ohne Erfolg verlaufen ist (Walker in Schwab/Weth, ArbGG, 6. Auflage, § 2 Rn. 124; vgl. auch BAG vom 27.08.2008 – 5 AZB 71/08, juris, Rz. 5). Mithin ist auch der erfolglose Bewerber „Arbeitnehmer“ im Sinne der Zuständigkeitsnorm des § 2 Abs. 1 Nr. 3 lit. c ArbGG und der nur zeitweise potentielle Arbeitgeber ist gleichfalls ein solcher im Sinne dieser Norm. Anerkannt ist dementsprechend unter anderem, dass Schadensersatzklagen erfolgloser Bewerber nach § 15 AGG Streitigkeiten nach § 2 Abs. 1 Nr. 3 lit. c ArbGG betreffen (BAG vom 27.08.2008 – 5 AZB 71/08, juris, Rz. 5). Gleiches gilt für Herausgabeklagen bzgl. eingereichter Bewerbungsunterlagen und solche auf Auskunftserteilung über Testergebnisse (vgl. LAG Berlin-Brandenburg vom 21.12.2018 – 21 Ta 1552/18, juris, Rz. 18; Walker in Schwab/Weth, ArbGG, 6. Auflage, § 2 Rn. 124). Nichts anderes hat dann aber konsequenterweise auch für Auskunftsklagen nach Art. 15 DSGVO und Schadensersatzklagen nach Art. 82 Abs. 1 DSGVO eines erfolglosen Bewerbers um eine Anstellung in einem Arbeitsverhältnis im Zusammenhang mit den im Rahmen seines Bewerbungsverfahrens erhobenen und verarbeiteten Daten zu gelten (ebenso im Ergebnis auch bereits ArbG Berlin vom 18.04.2024 – 17 Ca 15093/23, juris, Rz. 11; ArbG Duisburg vom 18.08.2023 – 5 Ca 877/23, juris, Rz. 17 f.).
