LG Freiburg (Breisgau), Urteil vom 24.05.2024, Az. 8 O 304/23
Art. 82 DSGVO
Das LG Freiburg hat entschieden, dass ein Kläger die Feststellung eines Schadensersatzanspruches gem. Art. 82 DSGVO bereits dann beantragen kann, wenn die spätere Verwirklichung eines weiteren Schadens in absehbarer Zeit nach der Art der Verletzung möglich erscheint. Nicht erforderlich sei eine darüber hinausgehende Wahrscheinlichkeit des Eintritts weiterer Schäden. Das LG Freiburg hat damit anders als das LG Stuttgart, Urteil vom 24.1.2024, Az. 27 O 92/23 entschieden. Zum Volltext der Entscheidung:
Landgericht Freiburg
Urteil
…
1. Die Klage wird abgewiesen.
2. Der Kläger hat die Kosten des Rechtsstreits zu tragen.
3. Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages leistet.
Beschluss
Der Streitwert wird auf 5.500,00 € festgesetzt [Klageantrag Ziffer 1: 2.500 €; Klageantrag Ziff. 2 (Feststellung): 500,- € (vgl. OLG Karlsruhe, Beschluss vom 5. Juli 2023 – 10 W 5/23 –, Rn. 15, juris sowie Beschluss vom 21.11.2023 – 13 W 91/23 unter Ziff. 2); Klageantrag Ziffer 3 (Unterlassung) 2.000,- € (vgl. OLG Karlsruhe 10 W 5/23 Randnummer 16, 13 W 91/23 unter Ziff. 3); Klageantrag Ziffer 4 (Auskunft) 500 € (vgl. OLG Karlsruhe, 10 W 5/23 Randnummer 17; 13 W 91/23 unter Ziff. 4.)].
Tatbestand
Die Parteien streiten über Ansprüche auf Schadensersatz, Unterlassung, Auskunft und Nebenforderungen aufgrund behaupteter Verstöße der Beklagten gegen die Datenschutzgrundverordnung (DSGVO) im Zusammenhang mit einem sog. „API-Bug“ bei der Beklagten.
Die Beklagte betreibt das soziale Netzwerk Twitter (jetzt „X“) und die Webseite twitter.com. Im Rahmen der Nutzung dieser Plattform können Nutzer persönliche Profile anlegen. Auf den persönlichen Profilen können Nutzer ergänzende Angaben zur eigenen Person machen, Profilfotos anlegen, sich sozial vernetzen sowie öffentlich Beiträge zur Diskussion stellen bzw. an von anderen Nutzern initiierten öffentlichen Diskussionen teilnehmen. Die Registrierung bei Twitter erfordert die Angaben einer E-Mail-Adresse oder einer Telefonnummer. In den einzelnen Registrierungsschritten hat der Nutzer sodann neben seiner E-Mail-Adresse bzw. Telefonnummer mindestens seinen Namen und sein Geburtsdatum anzugeben. Außerdem legt der Benutzer innerhalb des Registrierungsvorgangs für seinen Twitter-Account einen Nutzernamen und einen Anzeigenamen fest. Der Nutzername (auch Handle genannt) beginnt mit dem Symbol @. Anhand dieses Nutzernamens können andere Nutzer nach dem Account suchen. Der Anzeigename (auch bezeichnet als Name) ist dagegen eine persönliche Kennung auf dem Twitter-Dienst. Es kann sich bei dem Anzeigenamen um einen Firmennamen oder einen echten Namen handeln, aber auch z.B. um ein Wortspiel oder ein Anonymus. Er wird neben dem Nutzernamen angezeigt. Innerhalb des Registrierungsvorgangs muss der Nutzer außerdem den geltenden Twitter Allgemeine Geschäftsbedingungen (Allgemeine Geschäftsbedingungen bzw. Bedingungen), Twitters Datenschutzrichtlinie (Datenschutzrichtlinie) und der Nutzung von Cookies zustimmen. Die Nutzer können verschiedene Anpassungen hinsichtlich ihrer Auffindbarkeit für andere Nutzer vornehmen. Sofern ein Nutzer eingeloggt ist, findet er unter den Einstellungen für Datenschutz und Sicherheit im Abschnitt Auffindbarkeit die Auswahlmöglichkeit „Personen, die deine E-Mail-Adresse haben, erlauben, dich auf Twitter zu finden“. Das gleiche gilt für die Auffindbarkeit anhand der Telefonnummer. Die Auffindbarkeit über die E- Mail-Adresse bzw. Telefonnummer für die in Deutschland lebenden Nutzer ist grundsätzlich standardmäßig deaktiviert und muss, wenn er dies möchte, durch den entsprechenden Nutzer selbst in den Einstellungen aktiviert werden. Der Kläger hat an dieser Standardeinstellung keine Veränderungen vorgenommen.
Bei der Beklagten bestand im Juni 2021 für kurze Zeit ein – vom Kläger so bezeichnetes – Datenleck bzw. – von der Beklagten so bezeichnet – ein API-Bug. Dieses / Dieser bestand darin, dass es nach einem Update für eine bestimmte Zeit über eine nicht durch Sicherheitsmaßnahmen eingeschränkte API-Schnittstelle Dritten, die sich bereits im Besitz der E-Mail-Adresse oder Telefonnummer eines Nutzers befanden, möglich war, mittels Eingabe dieser Daten die Twitter-ID ebenjenes Nutzers zu erhalten und dann mit der schon vorhandenen E-Mailadresse / Telefonnummer zu verknüpfen. Ebenso war dies einem Dritten möglich, wenn willkürlich E-Mail-Adressen und Handynummern – beispielsweise bezogen auf Handynummer mit Rufnummernaufzählung – durchprobiert wurden. Ergab der dann nachfolgende Abgleich zwischen den eingespeisten Daten und der bei Twitter vorhandenen Nutzer- Datenbank über die API-Schnittstelle einen Treffer, wurde die Twitter-ID des Nutzers übermittelt und dem Dritten bekannt gegeben. Aufgrund der vorübergehenden Programmierung der API-Schnittstelle war es möglich, mithilfe der E-Mail-Adresse oder Telefonnummer die Nutzer auch dann aufzufinden, wenn dies – wie beim Kläger – aufgrund der standardisierten Einstellungen hätte ausgeschlossen sein sollen. Mit Hilfe der so erlangten Nutzer-ID konnten kriminelle Akteure im Wege des Daten-Scrapings die im Account hinterlegten öffentlich zugänglichen Stammdaten des jeweiligen Nutzers visualisieren und abgreifen und die in Summe abgegriffenen Daten in einen einheitlichen Datensatz konvertieren.
Welche Datenpunkte in dem so zusammengestellten Datensatz enthalten waren, war dabei jeweils davon abhängig, wie viele Daten der Nutzer in seinem Twitter Profil angegeben hat. Grundsätzlich konnten es sein: E-Mail-Adresse, Telefonnummer, Twitter-ID, Namen des Nutzers (wenn im Profil eingegeben), Accountnamen des Nutzers (wenn im Profil eingegeben), Verifizierungsstatus des Nutzers (wenn im Profil eingegeben), Wohnort des Nutzers (wenn im Profil eingegeben), Anzahl der Freunde des Twitter Nutzers (wenn im Profil eingegeben), Favoritenlisten des Nutzers (wenn im Profil eingegeben), URLs zu dem Profilbild des Nutzers (wenn im Profil eingegeben), Geburtstag des Nutzers (wenn im Profil eingegeben).
Im Juni 2022 wurde, weil die abgegriffenen Daten in einem bekannten Hacker-Forum zum Download angeboten wurden, bekannt, dass unbefugte Dritte in einer Vielzahl von Fällen den API-Bug dazu genutzt hatten, Nutzer-ID von Nutzern in Erfahrung zu bringen, mit der eingegebenen Handynummer oder E-Mail-Adresse zu verknüpfen und dann im Profil als öffentlich eingestellte Daten abzurufen. In einer allgemeinen Pressemitteilung vom 05.08.2022 führte die Beklagte dazu folgendes aus:
Wir möchten Sie über eine Schwachstelle informieren, die es jemandem ermöglichte, eine Telefonnummer oder E-Mail-Adresse in den Anmeldeablauf einzugeben, um herauszufinden, ob diese Informationen mit einem bestehenden Twitter-Konto verknüpft waren, und wenn ja, mit welchem spezifischen Konto. Wir nehmen unsere Verantwortung zum Schutz Ihrer Privatsphäre sehr ernst und es ist bedauerlich, dass dies geschehen ist. <…> Dieser Fehler resultierte aus einer Aktualisierung unseres Codes im Juni 2021. Als wir davon erfuhren, haben wir ihn sofort untersucht und behoben.
Die Klägerseite war zum Zeitpunkt des Datenlecks / API-Bugs (Juni 2021) unstreitig auf der Plattform Twitter angemeldet und hatte dort seine Mailadresse ZZZZZ hinterlegt. Mit welchem Nutzernamen er angemeldet war, ist zwischen den Parteien streitig. Ob von ihm relevante Daten beim streitgegenständlichen Vorfall abgegriffen und neu verknüpft wurden, ist zwischen den Parteien ebenfalls streitig.
Vorgerichtlich forderte die Klagepartei mit Anwaltsschriftsatz vom 27.9.2023 zur Auskunftserteilung, Abgabe einer Unterlassungserklärung, Zahlung von mindestens 2.500,- € Schmerzensgeld, Abgabe einer Verpflichtungserklärung bezüglich möglicher künftiger Schäden, Abgabe einer Unterlassungserklärung, Auskunft und Erstattung vorgerichtlicher Rechtsanwaltskosten auf. Im Einzelnen wird auf Anlage K 2 verwiesen. Die Beklagte beantwortete dies mit Anwaltsschriftsatz vom 27.10.2023 dahingehend, dass Twitter International Behauptungen zurückweise, wonach 400 Millionen mit Twitter verknüpfte E-Mail-Adressen und Telefonnummern von Nutzern durch dieselbe Sicherheitslücke, die im Januar 2022 entdeckt worden sei, erlangt worden seien. Vielmehr sei das Vorfall-Reaktionsteam und das Team für Privatsphäre und Datenschutz von Twitter International nach einer umfassenden Untersuchung zu dem Schluss gekommen, dass es keine Beweise dafür gebe, dass die online verkauften Daten durch die Ausnutzung einer Sicherheitslücke in den Systemen von Twitter International erlangt worden seien. Im Einzelnen wird auf Anlage B 15 verwiesen.
Die Klagepartei ist der Ansicht, die Beklagte habe Vorschriften der DSGVO verletzt.
Sie behauptet unter Verweis auf eine Positivmeldung auf der Webseite „haveibeenpawned.com“ (Anlage K 1), dass auch sie vom streitgegenständlichen API-Bug betroffen sei, d.h. persönliche Daten von ihr an Dritte übermittelt worden seien, nämlich namentlich ihre Mailadresse.
Die Beklagte habe gegen mehrere Vorgaben der DSGVO verstoßen. Insbesondere habe sie personenbezogene Daten ohne Rechtsgrundlage (unbefugten) Dritten zugänglich gemacht, personenbezogene Daten ohne die Gewährleistung (ausreichender) Sicherheit nach Art. 32 DSGVO verarbeitet, die zuständige Aufsichtsbehörde sowie auch die betroffene Klägerseite nicht nach Art. 33, 34 13 DSGVO über die Datenschutzverletzungen informiert und das Auskunftsrecht der Klägerseite nach Art. 15 DSGVO verletzt. Im Einzelnen wird insoweit auf die Ausführungen in der Klageschrift und Replik verwiesen.
Die Klagepartei behauptet, die Veröffentlichung ihrer Daten habe weitreichende Folgen für sie. Insbesondere werde sie durch Spam-Nachrichten via E-Mail belästigt. Sie habe regelmäßig ca. 10 Spam-Mails erhalten, außerdem auch ca. einmal am Tag einen Telefonanruf und eine Spam-SMS. Sie habe einen erheblichen Kontrollverlust über ihre Daten erlitten, welcher bei ihr ein großes Unwohlsein und große Sorge über einen möglichen Missbrauch der sie betreffenden Daten ausgelöst habe. Sie habe ihre E-Mail-Adresse und ein Passwort gewechselt, außerdem die Einstellungen am Spamfilter des Mailprogramms geändert.
Es könne zudem zum jetzigen Zeitpunkt noch nicht abgesehen werden, welche Dritte Zugriff auf die Daten der klagenden Partei erhalten hätten und für welche konkreten kriminellen Zwecke die Daten missbraucht würden. Folgen von Datenschutzverletzungen würden sich ihrem Wesen nach erst spät zeigen und lange unerkannt bleiben. Es erscheine auf Grund der Veröffentlichung der E-Mail-Adresse möglich, dass die Klagepartei durch eine Vielzahl betrügerischer Kontaktaufnahmen belästigt oder gefährdet werde.
Die Beklagte habe ihre Auskunftsverpflichtung nicht erfüllt und weder die Klägerseite noch die Aufsichtsbehörde in ausreichendem Maße und rechtzeitig über die Verarbeitung sie betreffender personenbezogener Daten informiert bzw. aufgeklärt.
Die der Klägerseite entstandenen Rechtsanwaltskosten beliefen sich auf 627,13 EUR und seien von der Beklagten zu ersetzen.
Die Klagepartei beantragt:
1. Die Beklagte wird verurteilt, an die Klagepartei immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, der aber mindestens 2.500 Euro beträgt, nebst Zinsen i.H.v. fünf Prozentpunkten über dem Basiszinssatz seit dem 12.10.2023 zu zahlen
2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2021 erfolgte, entstanden sind und/oder noch entstehen werden.
3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu Euro 250.000,00, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, namentlich Telefonnummer und Mailadresse sowie die Twitter-ID Dritten über eine API-Schnittstelle zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen.
4. Die Beklagte wird verurteilt, der Klagepartei Auskunft über die personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch die Nutzung der API-Schnittstelle erlangt werden konnten
5. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten in Höhe von 627,13 EURO gegenüber der BRR Automotive Rechtsanwaltsgesellschaft mbH freizustellen.
Die Beklagte beantragt
Klageabweisung.
Die Beklagte ist der Ansicht, dass dem Feststellungsantrag bereits das Feststellungsinteresse fehle, weil ein zukünftiger Schaden nicht überwiegend wahrscheinlich sei.
Sie bestreitet, dass die Klagepartei von dem streitgegenständlichen API-Bug 2021 betroffen sei. Eine interne Überprüfung durch Twitter habe vielmehr ergeben, dass der Account der Klagepartei nicht zu denjenigen Twitter-Accounts gehöre, die von dem API-Bug im Jahr 2021 betroffen waren (Vortrag AS 40, 45ff, 95ff, 123).
Darüber hinaus liege kein Verstoß gegen Art. 33, 34 DSGVO vor. Die Beklagte habe die DPC als zuständige datenschutzrechtliche Aufsichtsbehörde unmittelbar nach Kenntniserlangung des API-Bug am 8.1.2022 und dann fortlaufend informiert, ebenso die von dem API-Bug betroffenen Nutzer mit teilweise in englischer, teilweise in deutscher Sprache abgefassten Informationen, bezüglich der auf die Anlagen B 10 bis B 13 verwiesen wird. Mangels Betroffenheit der Klagepartei sei dieser gegenüber auch keine Auskunftspflicht nach Art. 15 DSGVO verletzt worden, jedenfalls habe die Beklagte mit ihrem vorgerichtlichen Schreiben Anlage B 15 der Auskunftspflicht genügt. Zur Beantwortung von Fragen betreffend die Verarbeitungstätigkeiten Dritter sei die Beklagte weder imstande noch nach Art. 15 DSGVO rechtlich verpflichtet. Ein vermeintlicher Verstoß gegen Art. 15 DSGVO könne außerdem keinen Schadensersatzanspruch nach Art. 82 DSGVO begründen. Der Klagepartei stünden auch der geltend gemachte Unterlassungsanspruch nicht zu.
Schließlich bestreitet die Beklagtenpartei die von der Klagepartei behaupteten Beeinträchtigungen. Die Klagepartei habe keinen ersatzfähigen Schaden erlitten. Ihr Vortrag hierzu sei pauschal und unsubstantiiert. Außerdem sei die Kausalität des API-Bugs der Beklagten für den behaupteten Schaden nicht bewiesen, nachdem ausweislich der Auskunft Anlage K 1 die Klagepartei von mehreren Datenvorfällen bei verschiedenen sozialen Netzwerken betroffen sei.
Wegen der Einzelheiten des Parteivorbringens wird auf die vorbereitenden Schriftsätze nebst Anlagen sowie das Protokoll zur mündlichen Verhandlung Bezug genommen.
Das Gericht hat die Klagepartei persönlich angehört; auf das Protokoll der mündlichen Verhandlung wird verwiesen.
Entscheidungsgründe
Die Klage ist hinsichtlich des Klageantrags Ziff. 3 unzulässig, im Übrigen zulässig aber nicht begründet.
A. Zulässigkeit
Die Klage ist mit Ausnahme des Klageantrag Ziff. 3 zulässig.
I. Zuständigkeit
Das Landgericht Freiburg ist für sämtliche Anträge international und örtlich und sachlich zuständig.
1. Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 79 Abs. 2 S. 2 DSGVO, der die Vorschriften der EuGVVO verdrängt (Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 8: Rechtsbehelfe, Haftung und Sanktionen Rn. 29, beck-online; Sydow/Marsch DSGVO/BDSG/Kreße, 3. Aufl. 2022, DS GVO Art. 79 Rn. 33). Danach können Klagen gegen einen Verantwortlichen – von gewissen hier nicht relevanten Ausnahmen abgesehen – wahlweise auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat. Die Klagepartei hat ihren Wohnsitz in der Bundesrepublik Deutschland und im Bezirk des Landgerichts Freiburg.
2. Das Landgericht Freiburg ist gemäß §§ 23, 71 GVG auch sachlich zuständig, weil der Zuständigkeitsstreitwert 5.000,00 € überschreitet. Die örtliche Zuständigkeit folgt aus § 44 Abs. 1 S. 2 BDSG. Demnach können Klagen gegen einen Verantwortlichen an dem Ort erhoben werden, an dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat. Die Klagepartei hat ihren gewöhnlichen Aufenthaltsort durch ihren Wohnsitz im Bezirk des Landgerichts Freiburg, § 7 BGB.
II. Klageantrag Ziffer 1 (Schadenersatz)
Der Klageantrag Ziffer 1 ist hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO.
Die Bemessung des immateriellen Schadenersatzes stellt die Klagepartei zulässig in das Ermessen des Gerichts. Der unbezifferte Klageantrag ist zulässig, wenn statt der Bezifferung mindestens die Größenordnung des Betrags, den der Kläger sich vorstellt, angegeben wird (h.M., vgl. MüKoZPO/Becker-Eberhard, 6. Aufl. 2020, ZPO § 253 Rn. 121). Dem ist die Klagepartei nachgekommen, indem sie in Klageantrag Ziffer 1 einen Mindestbetrag in Höhe von 2.500,- € genannt hat. Es liegt auch keine unzulässige alternative Klagehäufung vor (vgl. hierzu nur OLG Stuttgart, Urteil vom 22.11.2023 4 U 20/23 – juris – Rdnr. 230).
II. Klageantrag Ziffer 2 (Feststellung)
Der Feststellungsantrag ist zulässig. Das erforderliche Feststellungsinteresse nach § 256 Abs. 1 ZPO liegt entgegen der Auffassung der Beklagtenpartei vor. Behauptet eine Klagepartei, dass ein Teilschaden schon entstanden sei, genügt für das Vorliegen eines Feststellunginteresses gem. § 256 Abs. 1 ZPO, wenn die spätere Verwirklichung eines weiteren Schadens in absehbarer Zeit nach der Art der Verletzung möglich erscheint (BGH, Urt. v. 11. April 1961 – VI ZR 188/60, VersR 1961, 595, 596) und nicht gerade fernliegt (BGH, Urt. v. 2. Dezember 1966 – VI ZR 88/66, VersR 1967, 256, 257; v. 21. Oktober 1971 – II ZR 22/70, ZZP 85, 245, 246; v. 16. November 1971 – VI ZR 76/70, FamRZ 1972, 89, 90; v. 21. September 1987 – II ZR 20/87, NJW-RR 1988, 445; Urt. v. 28. September 1989 – IX ZR 180/88, FamRZ 1990, 37, 39. Die vorliegende Sachverhaltskonstellation – behaupteter Schadensersatzanspruch nach Art. 82 DSGVO – ist vergleichbar derjenigen, bei der es um die Verletzung eines absoluten Rechts geht, nicht derjenigen der alleinigen Geltendmachung von Vermögensschäden (a.A. LG Stuttgart, Urteil vom 24.1.2024 27 O 92/23, juris Rn. 33). Das Feststellungsinteresse wäre deshalb nur dann zu verneinen, wenn aus der Sicht des Geschädigten keinerlei Besorgnis besteht, zumindest mit dem Eintritt eines Schadens zu rechnen (vgl. BGH, Beschluss vom 09.01.2007 –VI ZR 133/06).
Nach dem Vortrag der Klagepartei seien die mit seiner Twitter-ID verknüpften Daten (E-Mail-Adresse) noch im Darknet abrufbar. Wer bereits in der Vergangenheit darauf zugegriffen hat, liege nach dem Vortrag des Klägers im Dunkeln. Ausgehend vom Vortrag der Klagepartei könnte daher nicht ausgeschlossen werden, dass der Klagepartei bereits ein Schaden zugefügt wurde, von dem sie bislang nur noch keine Kenntnis hat. Erweist sich nach durchgeführter Beweisaufnahme, dass eine Verletzungshandlung tatsächlich nicht stattgefunden hat, ist die Klage als unbegründet, nicht als unzulässig abzuweisen (vgl. Zöller, ZPO, 35. Aufl. 2024 § 256 Rn. 7).
III. Klageantrag Ziffer 3 (Unterlassungsantrag) ist hingegen unzulässig
Der Klageantrag Ziffer 3, mit dem die Klagepartei der Beklagten verbieten lassen möchte, bestimmte, im Einzelnen genannte personenbezogene Daten von ihr über eine API-Schnittstelle zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, ist nicht ausreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO und damit als unzulässig abzuweisen.
a) Nach § 253 Abs. 2 Nr. 2 ZPO darf ein Unterlassungsantrag – und nach § 313 Abs. 1 Nr. 4 ZPO eine darauf beruhende Verurteilung – nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und die Entscheidung darüber, was dem Beklagte verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt. Eine hinreichende Bestimmtheit ist für gewöhnlich gegeben, wenn eine Bezugnahme auf die konkrete Verletzungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll (st. Rspr; vgl. nur BGH, GRUR 2021, 746 Rn. 17 = WRP 2021, 604 – Dr. Z, mwN). Demgegenüber sind Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, grundsätzlich als zu unbestimmt und damit als unzulässig anzusehen. Die Bejahung der Bestimmtheit und die Verwendung auslegungsbedürftiger Begriffe im Klageantrag ist in solchen Fällen nur dann zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungshandlung ausrichtet (BGH, GRUR 2021, 1425 Rn. 12 = WRP 2021, 1437 – Vertragsdokumentengenerator, mwN; BGH, GRUR 2022, 1308 Rn. 26)
b) Das mit der Unterlassungsverpflichtung Begehrte ließe sich vorliegend insbesondere im späteren Vollstreckungsverfahren im tatsächlichen nicht im ausreichenden Maße durch Auslegung unter Heranziehung des Sachvortrags der Klagepartei ermitteln. Die tatsächliche Gestaltung der Sicherheitsmaßnahmen und die Frage, was Stand der Technik ist, steht vorliegend zwischen den Parteien gerade nicht außer Frage. Ihr Streit würde sich deshalb gerade nicht lediglich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränken lassen. Die Klagepartei hat ihren Unterlassungsantrag trotz entsprechenden Hinweises nicht auf die konkrete Verletzungsform beschränkt (vgl. dazu mwN: BGH, GRUR 2022, 1308 Rn. 26 – YouTube II; BGH GRUR 2021, 1425 Rn. 12 – Vertragsdokumentengenerator; Köhler/Feddersen in Köhler/Bornkamm/Feddersen, 41. Aufl. 2023, UWG § 12 Rn. 1.43 und 1.45).
c) Auch der Gesichtspunkt der Gewährleistung effektiven Rechtsschutzes erfordert vorliegend die Zulassung des Unterlassungsantrags nicht. Entgegen der Ansicht der Klagepartei ergeben sich auch aus ihrem gehaltenen Sachvortrag keine hinreichend konkreten objektiven Maßstäbe zur Abgrenzung des zulässigen vom unzulässigen Verhalten, die unter diesen Voraussetzungen für die Annahme eines den Erfordernissen des § 253 Abs. 2 Nr. 2 ZPO entsprechenden Unterlassungsantrags unverzichtbar sind (vgl. BGH, GRUR 2013, 421 Rn. 45 – Pharmazeutische Beratung über Call-Center; BGH, GRUR 2011, 539 Rdnr. 13 – Rechtsberatung durch Lebensmittelchemiker, m. w. N.). Die Klagepartei kann aus Art. 82 Abs. 1 DSGVO nur das Unterlassen der Zugänglichmachung von Daten verlangen, wenn dadurch gegen die DSGVO verstoßen wird (vgl. Art. 82 Abs. 1 DSGVO). Es gibt nur Sachvortrag dazu, dass die Beklagte beim streitgegenständlichen Sachverhalt keine nach dem damaligen Stand der Technik ausreichenden Maßnahmen getroffen hat. Zwar kann eine auslegungsbedürftige Antragsformulierung hinzunehmen sein, wenn eine weitere Konkretisierung nicht möglich ist und die Antragsformulierung zur Gewährleistung effektiven Rechtsschutzes erforderlich erscheint. Dies ist hier aber nicht der Fall, weil die Klagepartei sich mit der Formulierung des Klageantrags an der konkreten Verletzungsform orientieren könnte, ohne dass für sie damit ein effektiver Rechtsschutz gefährdet wäre (vgl. BGH, GRUR 2012, 405 Rn. 15 – Kreditkontrolle). Etwas Anderes ergibt sich auch nicht aus der Entscheidung des BGH GRUR 2015, 1237 Rn. 14, weil die dortige Klägerin im Unterlassungsantrag auf die konkrete Verletzungsform Bezug genommen hat und dort der Sachverhalt des verbotenen Verhaltens unstreitig war und es nur um dessen rechtliche Einordnung ging.
B. Begründetheit
Die Klage ist, soweit sie zulässig ist, nicht begründet.
I. Klageantrag Ziffer 1 (immaterieller Schaden)
Ein Schadensersatzanspruch gemäß Art. 82 DSGVO setzt voraus, dass eine Verletzung des Schutzes personenbezogener Daten der Klagepartei vorgelegen hat. Dies erfordert, dass ihr Twitter-Account von dem API-Bug 2021 betroffen gewesen ist und es handelt sich hierbei um eine Frage der haftungsbegründenden Kausalität. Diese Betroffenheit ist von der Klagepartei somit zur vollen Überzeugung des Gerichts mit dem Beweismaß des § 286 ZPO nachzuweisen. Vorliegend hat die Klagepartei diesen Nachweis nicht erbracht.
a) Der Beweisantritt des Klägers besteht darin, dass – was vom Grundsatz her unstreitig ist – die von dem australischen Sicherheitsforscher Tony Hunt betriebene Internetplattform https:///haveibeenpwned.com unter Eingabe der E-Mail-Adresse der Klägers XXXX mitteilt, dass der Kläger vom API-Bug der Beklagten 2021 betroffen sei. Hieraus ergibt sich – jedenfalls im vorliegenden Fall – aber nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend sind und die Klägerin von dem API-Bug tatsächlich betroffen ist (so auch u.a. LG Stuttgart, Urteil vom 24.1.2024, 27 O 92/23 juris Rn 27ff; LG Deggendorf, Urteil vom 3.5.2024 34 O 471/23 (nicht veröffentlich)).
aa.
Die Beklagte hat im vorliegenden Verfahren – anders als es im Verfahren 8 O 122/23 (LG Freiburg (Breisgau), Urteil vom 8. Februar 2024 – 8 O 212/23 –, juris) der Fall war, in dem das angerufene Gericht aufgrund des dortigen pauschalen Sachvortrags der Beklagten von einer Verletzung der sekundären Darlegungslast der Beklagten ausgegangen ist –dezidiert dargestellt, aufgrund welcher Umstände sie davon ausgehe, dass die Treffermitteilung der Webseite https://haveibeenpwned.com/ bezogen auf die Klagepartei des vorliegenden Verfahrens keine verlässliche Grundlage für die Annahme sei, dass diese tatsächlich vom API-Bug 2021 bei der Beklagten betroffen sei. Insbesondere hat die Beklagte dargestellt, dass https://haveibeenpwned.com/ durch die Bezugnahme auf einen Artikel der Internetseite www.bleeping-computer.com mitteile, dass es sich bei den 200 Millionen Datensätzen, die sich im Besitz unberechtigter Dritter befänden, um solche handele, die aufgrund des API-Bugs bei der Beklagten im Jahr 2021 erlangt worden seien. Twitter habe diese Darstellung überprüft und festgestellt, dass weltweit lediglich 5,4 Millionen (und nicht 200 Millionen) Twitter-Nutzer von dem API-Bug betroffen gewesen seien. Bezüglich dieser Personen stelle Twitter deren Betroffenheit in den entsprechenden Klageverfahren auch unstreitig. Die Website https://haveibeenpwned.com/ nehme Bezug auf den „200 M Report“, der aber gerade nicht in Verbindung mit dem API-Bug 2021 bei der Beklagten stehe. Es bestünden nämlich wesentliche Unterschiede zwischen den beiden Datensätzen. Unter anderem erschienen die Datensätze in unterschiedlichen Formaten. Das Format des 200 M-Datensatzes weise auch nicht darauf hin, dass es sich um von Twitter gewonnene Daten handelt. Im 200 M-Datensatz seien zudem – anders als im 5,4 M Datensatz – gerade keine Twitter-IDs enthalten, die für jedes Nutzerkonto existieren, jeweils einzigartig sind und allein aus Zahlen bestehen. Der 200 M-Datensatz enthielt auch keine Telefonnummern. Bei den im 200 M Report enthaltenen Daten handelt es sich wahrscheinlich um eine Sammlung von Daten, die bereits online über verschiedene Quellen öffentlich zugänglich seien und nicht von Twitter stammten.
Entgegen der Auffassung der Klagepartei ist diese Sachdarstellung nicht widersprüchlich im Verhältnis zu Rn. 28 der Klageerwiderung. Denn an diese Stelle der Klageerwiderung hat die Beklagte lediglich die Angaben, die sich auf der Website https://haveibeenpwned.com/ finden, aus dem Englischen ins Deutsche übersetzt und sich die dort befindlichen Ausführungen keineswegs zu Eigen gemacht. Im Gegenteil hat sie hat sie ausführlich dargelegt, warum die Website nach ihrer Auffassung kein zuverlässiges Beweismittel darstelle.
bb.
Auf dieses dezidierte Vorbringen hat die Klagepartei, obwohl hinsichtlich ihrer Betroffenheit beweisbelastet, substantiiert nichts erwidert. Insbesondere hat sie nicht vorgetragen, auf welcher Grundlage der Betreiber der Internetseite https:///haveibeenpwned.com die mögliche Betroffenheit individueller Nutzer ermittelt hat. Allein der Umstand, dass gerichtsbekannt auch das Bundesamt für Sicherheit in der Informationstechnik in einer Pressemitteilung auf die Internetseite https:///haveibeenpwned.com verwiesen hat, genügt nicht für den Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com richtig sind. Denn in der genannten Pressemitteilung vom 17.01.2019 (abrufbar unter https://www.bsi.bund.de/DE/Service-Navi/ Presse/Pressemitteilungen/Presse2019/BSI_analysiert_Datensatz_mit_Millionen_Mailadressen_und_Passwoertern _170119.html ) hat das Bundesamt für Sicherheit in der Informationstechnik in der Pressemitteilung lediglich ausgeführt, das „Angaben des IT-Sicherheitsforschers Troy Hunt zufolge, der den Datensatz aufgefunden hat, Internetnutzer über die Plattform https:///haveibeenpwned.com prüfen können, ob ihre E-Mail-Adressen und Zugangsdaten in dem aktuellen Datenfund enthalten sind“. Aufgrund der ausdrücklichen Bezugnahme auf die Angaben des Webseitenbetreibers wird mithin keine eigene Bewertung der Verlässlichkeit dieser Daten abgegeben.
cc.
Ebenso ist festzustellen, dass auch die Internetseite https://haveibeenpwned.com/ selbst im Ergebnis keine verlässliche Verantwortung für die mögliche Zuordnung der Daten des „200 M Reports“ zum API-Bug bei der Beklagten 2021 übernimmt, sondern insoweit ihrerseits lediglich auf die Einschätzung Dritter verweist. Denn bei Anklicken der Textzeile „over 200M records scraped from Twitter appeared on a popular hacking forum“ erfolgt eine Weiterleitung auf einen Artikel der Internetseite www.bleepingcomputer.com, auf der es ausdrücklich heißt, dass von den Bedrohungsakteuren lediglich „behauptet“ („claimed“, „is allegedly the same“) werde, dass es sich bei den 200 Millionen bzw. 400 Millionen Twitter Profilen um solche handelt, die auf die Sicherheitslücke im Jahr 2021 zurückzuführen seien. Indem die Seite www.haveibeenpwned.com auf diesen Artikel Bezug nimmt, gibt sie also selbst bekannt, dass der Zusammenhang des 200-Millionen-Datensatzes mit der Sicherheitslücke im Jahre 2021 lediglich auf Behauptungen der Bedrohungsakteure zurückzuführen ist (so auch LG Deggendorf, a.a.O. unter B. 3 d) der Entscheidungsgründe).
dd)
Auch die Angaben des Klägers im Rahmen seiner Parteianhörung, die die Klagepartei in der Replik ausdrücklich beantragt hat, um die Betroffenheit des Klägers darstellen zu können, führt nicht zum Nachweis seiner Betroffenheit vom API-Bug 2021 bei der Beklagten. Der Kläger hat dort erklärt, dass er vom streitgegenständlichen Scraping deshalb erfahren habe und er deshalb Klage erhoben habe, weil er in einer Internetwerbeanzeige seiner Anwaltskanzlei darauf hingewiesen worden sei, dass die Möglichkeit bestehe, Schadensersatz zu erhalten, wenn man von einem Datenleck betroffen sei. Auf der betreffenden Seite sei die Rede z.B. von Telefonaten aus dem Ausland und Spamnachrichten gewesen, die man möglicherweise erhalte und beides sei auch bei ihm der Fall gewesen. Von der Seite https://haveibeenpwned.com/ habe er keine Kenntnis, dort habe er auch selbst keine Daten eingegeben.
Ein Schluss darauf, dass der Kläger vom API-Bug bei der Beklagten im Jahr 2021 betroffen sein müsse, lässt sich hieraus ersichtlich nicht ableiten. Dies folgt, soweit sich die Schilderung des Klägers auf Telefonate aus dem Ausland bezieht, bereits daraus, dass vom Datenscraping bei der Beklagten im Jahr 2021 unstreitig (vgl. Seite 1 der Replik vom 17.4.2024) lediglich die Mailadresse von Twitterkonten betroffen gewesen ist, nicht hingegen auch die Telefonnummer. Bezüglich möglicher Spammails hat der Kläger zwar mitgeteilt, dass er seit einigen Jahren zwischen 10 und 30 Spammails an seine Mailadresse XXXXX. Der Kläger hat aber bereits nicht sagen könne, seit wann genau dies der Fall sei. Vor allem ist zwischen den Parteien unstreitig, dass die vom Kläger genannte Mailadresse XXXX Gegenstand von Datenlecks bei drei weiteren von der Beklagten unabhängigen Unternehmen im Zeitraum zwischen 2013 und 2023 gewesen ist. Aus dem Umstand, dass der Kläger nach seiner Darstellung Spammails im behaupteten Umfang erhalten habe, lässt sich daher kein zuverlässiger Schluss auf die Betroffenheit dieser Mailadresse gerade vom API-Bug bei der Beklagten im Jahr 2021 ziehen. Dies gilt umso mehr, als der Kläger bei seiner persönlichen Anhörung zuletzt selbst nicht mehr sicher gewesen ist, welche Mailadresse er bei Twitter hinterlegt und welchen Nutzernamen er mit dieser Mailadresse verknüpft habe.
II. Feststellung, Klageantrag Ziff. 2:
Nachdem eine Betroffenheit des Klägers vom API-Bug 2021 nicht bewiesen ist, ist auch der gestellte Klageantrag Ziffer 2 – Feststellung der Verpflichtung zum Ersatz weiterer materieller Schäden – nicht begründet.
III. Unterlassungsantrag Ziffer 3:
1. Der mit Klageantrag Ziffer 3 verfolgte Unterlassungsanspruch ist – wie dargestellt – bereits unzulässig (s.o.). Er wäre in der gewählten Formulierung aber auch aus mehreren Gründen unbegründet.
Dabei kann dahinstehen, ob die Regelung der DSGVO abschließend ist und damit den Rückgriff auf § 1004 BGB versperrt (vgl. dazu BGH, Beschluss vom 26.09.2023 – VI ZR 97/22, WM 2023, 2096 Rn. 19 ff; OLG Stuttgart, Urteil vom 22.11.2023 – 4 U 20/23, juris Rn. 570).
Die Klagepartei könnte von der Beklagten ohnehin nicht verlangen, dass diese es unterlässt, die Daten der Klagepartei Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen. Denn die Beklagte trifft als Verantwortliche keine Verpflichtung, die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen. Zwar folgt aus Art. 32 Abs. 1 und 2 DSGVO, dass der Verantwortliche ein dem Risiko eines unbefugten Zugangs zu personenbezogenen Daten angemessenes Schutzniveau zu gewährleisten hat. Dabei liegt es im Ermessen des Verantwortlichen, aus der Vielzahl möglicher Maßnahmen, die das Risiko der Datenverarbeitung reduzieren können, konkrete Maßnahmen auszuwählen, durch die ein angemessenes Schutzniveau erreicht wird (Kühling/Buchner/Jandt, 3. Aufl. 2020, DSGVO Art. 32 Rn. 8). Allerdings ist wesentlich, dass nicht alle möglichen Maßnahmen zur Gewährleistung von Datensicherheit zu ergreifen sind, sondern nur solche, die unter Abwägung zwischen Schutzzweck und Aufwand unter Berücksichtigung der Arten der Daten, dem Stand der Technik und den anfallenden Kosten als verhältnismäßig anzusehen sind (vgl. Sydow/Marsch DSGVO/BDSG/Mantz, 3. Aufl. 2022, DS GVO Art. 32 Rn. 10). Denn die DSGVO verlangt keine Datensicherheit um jeden Preis und verpflichtet den Verantwortlichen nicht zu einem absoluten Schutz der personenbezogenen Daten; vielmehr muss das Schutzniveau dem jeweiligen Einzelfall angemessen sein, wobei Risiken nicht gänzlich ausgeschlossen werden können (Gola/Heckmann/Piltz, DSGVO 3. Aufl., Art. 32 Rn. 11; Paal/Pauly/Martini, DSGVO 3. Aufl., Art. 32 Rn. 46; Dr. Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DSGVO)/ Bundesdatenschutzgesetz (BDSG), Artikel 32 Sicherheit der Verarbeitung, Rn. 3). Die Klagepartei könnte daher im Fall ihrer Betroffenheit lediglich ein angemessenes Schutzniveau bzw. die Unterlassung einer Datenverarbeitung ohne dieses verlangen. Darauf, dass eines der Abwägungskriterien in den Vordergrund gestellt wird, hat sie ebenso wenig Anspruch wie auf das Ergreifen konkreter Maßnahmen (vgl. dazu auch BGH, Urteil vom 22. Oktober 1976 – V ZR 36/75 –, BGHZ 67, 252-254, Rn. 11; Urteil vom 17. Dezember 1982 – V ZR 55/82 –, Rn. 17, juris, jeweils zu Unterlassungsansprüchen gegen Immissionen).
IV. Auskunft (Klageantrag Ziffer 4)
Der Klagepartei steht ferner der mit dem Klageantrag zu 4 verfolgte Auskunftsanspruch dazu, welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch die Nutzung der API-Schnittstelle erlangt werden konnte, nicht (mehr) zu. Denn der Anspruch auf Auskunft ist jedenfalls durch Erfüllung untergegangen, § 362 Abs. 1 BGB.
a) Einen Auskunftsanspruch ist im Sinne des § 362 Abs. 1 BGB erfüllt, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit oder Unvollständigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen, was auch aus dem Wortlaut des § 259 Abs. 2 BGB folgt. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig sei (vgl. BGH, Urteil vom 03.09.2020 – III ZR 136/18 = GRUR 2021,110). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll.
b) Dies ist hier der Fall. Mit Schreiben vom 27.9.2023 hat die Klagepartei gegenüber der Beklagten Auskunft begehrt, „wann wer welche personenbezogenen Daten unserer Mandantschaft über die API-Schnittstelle „abgegriffen“ hat“. Diesem Auskunftsverlangen hat die Beklagte zwar mit vorgerichtlichem Schreiben vom 27.10.2023 (Anlage B 15) noch nicht entsprochen. Denn die Erklärung
„.. weist Twitter International Behauptungen zurück, wonach 400 Millionen mit Twitter verknüpfte NutzerE-Mails und Telefonnummern durch dieselbe Sicherheitslücke, die im Januar 2022 entdeckt wurde, erlangt wurden. Vielmehr sind das Vorfall-Reaktionsteam und das Team für Privatsphäre und Datenschutz von Twitter International nach einer umfassenden Untersuchung zu dem Schluss gekommen, dass es keine Beweise dafür gibt, dass die online verkauften Daten durch die Ausnutzung einer Sicherheitslücke in den Systemen von Twitter International erlangt wurden“
erschöpfte sich in der bloßen Zurückweisung der geltend gemachten Ansprüche und enthielt keine Erklärung dazu, ob personenbezogene Daten des Klägers über die API-Schnittstelle der Beklagten an Dritte gelangt seien.
Die Beklagte hat dem Auskunftsverlangen der Klagepartei jedoch dann mit Klageerwiderung vom 26.2.2024 genügt. Denn dort hat die Beklagte ausdrücklich erklärt, dass der Account der Klagepartei nicht zu denjenigen Twitter-Accounts gehört habe, die von dem API-Bug im Jahr 2021 betroffen gewesen seien. Diese Erfüllungshandlung war ausreichend, um den Erfüllungserfolg zu bewirken. Dass die Klagepartei die erteilte Auskunft für unrichtig ansieht, ändert hieran – wie ausgeführt – nichts.
c) Soweit die Klagepartei darüber hinaus Auskunft verlangt, wer die Daten über die API-Schnittstelle „abgegriffen“ habe, ist der Anspruch (ebenfalls) durch Erfüllung untergegangen, § 362 BGB. Die Beklagte hat mit der Klageerwiderung vorgetragen, über die Verarbeitungstätigkeiten Dritter (hier: „Scraper“), keine Angaben machen zu können. Unabhängig davon, ob die erteilte Auskunft unrichtig oder unvollständig ist, begründet die erteilte Auskunft jedenfalls keinen (weiteren) Auskunftsanspruch, da die Beklagte zum Ausdruck gebracht hat, das Auskunftsbegehren der Klagepartei vollständig erfüllt zu haben und nicht weiter erfüllen zu können (vgl. idS: LG Paderborn Urt. v. 19.12.2022 – 3 O 99/22, GRUR-RS 2022, 39349 Rn. 162-168, beck-online).
V. Vorgerichtliche Rechtsanwaltskosten (Klageantrag Ziff. 5)
Nachdem die geltend gemachten Ansprüche in der Sache nicht bestehen, kommt auch der mit dem Klageantrag Ziff. 5 geltend gemachte Anspruch auf Ersatz vorgerichtlicher Anwaltskosten nicht in Betracht. Ein Anspruch auf Ersatz vorgerichtlicher Anwaltskosten besteht auch dann nicht, wenn zu Gunsten der Klägerin unterstellt wird, dass ihr ein Anspruch auf Erteilung einer „Negativauskunft“ (fehlende Betroffenheit vom API-Bug) zugestanden hat, der erst im Rahmen der Klageerwiderung erfüllt worden ist. Die Beklagte war jedenfalls nicht verpflichtet, die Klägerin unaufgefordert über ihre fehlende Betroffenheit zu informieren. Mit der Geltendmachung des Auskunftsanspruchs durch den Anwaltsschriftsatz der Klägerin vom 27.9.2023 (Anlage K 2) sind die vorgerichtlichen Anwaltskosten bereits angefallen und daher nicht dadurch verursacht worden, dass die Beklagte in ihrem Antwortschreiben vom 27.10.2023 (Anlage B 15) keine ausdrückliche Auskunft der Nicht-Betroffenheit erteilt hat (ebenso LG Stuttgart 27 O 92/23 vom 24.1.2024 juris Rn. 38).
C. Nebenentscheidungen
1. Die Entscheidung über die Kosten beruht auf § 91 ZPO.
2. Die Entscheidung zur vorläufigen Vollstreckbarkeit folgt aus §§ 708 Nr. 11, 711 S. 1, 709 S. 2 ZPO.